SISF ベースのデバイストラッキングに関する情報
SISF ベースのデバイストラッキングの概要
スイッチ統合セキュリティ機能ベース(SISF ベース)のデバイストラッキング機能は、一連のファースト ホップ セキュリティ機能の一部です。
この機能の主な役割は、ネットワーク内のエンドノードの存在、ロケーション、移動を追跡することです。SISF は、スイッチが受信したトラフィックをスヌーピングし、デバイスアイデンティティ(MAC と IP アドレス)を抽出して、バインディングテーブルに保存します。Cisco TrustSec、IEEE 802.1X、LISP、web 認証などの多くの機能は、この情報の正確性に依存して正常に動作します。
SISF ベースのデバイストラッキングは、IPv4 と IPv6 の両方をサポートします。
SISF ベースのデバイストラッキングが導入されても、レガシー デバイス トラッキング CLI(IP デバイストラッキング(IPDT)および IPv6 スヌーピング CLI)は引き続き使用できます。スイッチをブートアップすると、使用可能なコマンドのセットは既存の設定によって異なり、次のいずれかのみが使用可能です。
-
SISF ベースのデバイストラッキング CLI、または
-
IPDT および IPv6 スヌーピング CLI
![]() (注) |
IPDT および IPv6 スヌーピングコマンドは廃止されましたが、引き続き使用できます。SISF ベースのデバイストラッキングにアップグレードすることを推奨します。 |
IPDT および IPv6 スヌーピング CLI を使用していて、SISF ベースのデバイストラッキングに移行する場合、詳細については「レガシー IPDT と IPv6 スヌーピングから SISF ベースのデバイストラッキングへの移行」を参照してください。
SISF ベースのデバイストラッキングは、手動で(device-tracking コマンドを使用して)、またはプログラムで(デバイス トラッキング サービスを他の機能に提供する場合に)有効にできます。
SISF ベースのデバイストラッキングを有効にするオプション
デフォルトでは、SISF ベースのデバイストラッキングは無効になっています。
これを有効にするには、デバイス トラッキング ポリシーを定義し、そのポリシーを特定のターゲットに適用します。
![]() (注) |
ターゲットは、インターフェイスまたは VLAN です。 |
SISF ベースのデバイストラッキングの手動による有効化
-
オプション 1:default デバイス トラッキング ポリシーをターゲットに適用します。
インターフェイス コンフィギュレーション モードまたは VLAN コンフィギュレーション モードで、device-tracking コマンドを入力します。次に、システムは default ポリシーをインターフェイスまたは VLAN に適用します。
(注)
default ポリシーは、デフォルト設定の組み込みポリシーです。default ポリシーの属性は変更できません。デバイス トラッキング ポリシーの属性を設定できるようにするには、カスタムポリシーを作成する必要があります。「オプション 2:カスタム設定でカスタムポリシーを作成します」を参照してください。
-
オプション 2:カスタム設定でカスタムポリシーを作成します。
グローバル コンフィギュレーション モードで device-tracking policy コマンドを入力し、続けてカスタムポリシー名を入力します。システムにより、指定した名前のポリシーが作成されます。その後、デバイス トラッキング コンフィギュレーション モード(config-device-tracking)で使用可能な設定を行い、指定したターゲットにポリシーを適用できます。
プログラムによる SISF ベースのデバイストラッキングの有効化
一部の機能はデバイストラッキングに依存し、SISF ベースのデバイストラッキングが構築および維持するバインディングエントリの信頼性のあるデータベースを利用します。これらの機能は、デバイス トラッキング クライアントとも呼ばれ、プログラムによりデバイストラッキングを有効にします(デバイス トラッキング ポリシーを作成して適用します)。
![]() (注) |
ここでの例外は、IEEE 802.1X、web 認証、Cisco TrustSec、IP ソースガード(IPSG)です。これらもデバイストラッキングに依存しますが、有効にはしません。これらのデバイス トラッキング クライアントでは、ip dhcp snooping vlan vlan コマンドを入力して、プログラムにより特定のターゲットでデバイストラッキングを有効にする必要があります。 |
プログラムによる SISF ベースのデバイストラッキングの有効化については、次の点に注意してください。
-
デバイス トラッキング クライアントでは、デバイストラッキングを有効にする必要があります。
複数のデバイス トラッキング クライアントが存在するため、複数のプログラムポリシーを作成できます。各ポリシーの設定は、ポリシーを作成するデバイス トラッキング クライアントによって異なります。
-
作成されるポリシーとその設定はシステム定義です。
設定可能なポリシー属性は、デバイス トラッキング コンフィギュレーション モード(config-device-tracking)で使用でき、リリースごとに異なります。設定不可能な属性を変更しようとすると、設定変更は拒否され、エラーメッセージが表示されます。
プログラムによって作成されたポリシーのリリース固有の情報については、マニュアルの必要なバージョンの「Cisco IOS XE <release name> <release number> での SISF ベースのデバイストラッキングのプログラムによる有効化」を参照してください。
レガシー IPDT と IPv6 スヌーピングから SISF ベースのデバイストラッキングへの移行
デバイスにあるレガシー設定に基づいて、device-tracking upgrade-cli コマンドは CLI を異なる方法でアップグレードします。既存の設定を移行する前に、次の設定シナリオ、および対応する移行結果を検討します。
![]() (注) |
古い IPDT と IPv6 スヌーピング CLI を SISF ベースのデバイストラッキング CLI と併用することはできません。 |
IPDT 設定のみが存在する
デバイスに IPDT 設定のみがある場合は、device-tracking upgrade-cli コマンドを実行すると、設定が変換され、新しく作成されてインターフェイスで適用される SISF ポリシーが使用されます。これにより、この SISF ポリシーを更新できます。
引き続きレガシーコマンドを使用する場合、レガシーモードでの操作に制限されます。このモードでは、レガシー IPDT と IPv6 スヌーピングコマンドのみがデバイスで使用可能になります。
IPv6 スヌーピング設定のみが存在する
既存の IPv6 スヌーピング設定があるデバイスで、古い IPv6 スヌーピングコマンドを以降の設定に使用できます。次のオプションを使用できます。
-
(推奨)device-tracking upgrade-cli コマンドを使用して、レガシー設定をすべて、新しい SISF ベースのデバイス トラッキング コマンドに変換します。変換後は、新しいデバイス トラッキング コマンドのみがデバイスで動作します。
-
レガシー IPv6 スヌーピングコマンドを今後の設定に使用し、device-tracking upgrade-cli コマンドは実行しません。このオプションでは、デバイスで使用可能なのはレガシー IPv6 スヌーピングコマンドのみであり、新しい SISF ベースのデバイストラッキング CLI コマンドは使用できません。
IPDT と IPv6 スヌーピングの両方の設定が存在する
レガシー IPDT 設定と IPv6 スヌーピング設定の両方が存在するデバイスでは、レガシーコマンドを SISF ベースのデバイストラッキング CLI コマンドに変換できます。ただし、インターフェイスに適用することができるスヌーピングポリシーは 1 つだけであり、IPv6 スヌーピング ポリシー パラメータは IPDT 設定よりも優先される、ということに注意してください。
![]() (注) |
新しい SISF ベースのコマンドに移行しておらず、レガシー IPv6 スヌーピングや IPDT コマンドを使用し続けている場合、IPv4 デバイストラッキング設定情報が IPv6 スヌーピングコマンドに表示される可能性があります。SISF ベースのデバイストラッキング機能では、IPv4 と IPv6 の両方の設定を扱うためです。これを回避するには、レガシー設定を SISF ベースのデバイス トラッキング コマンドに変換することを推奨します。 |
IPDT または IPv6 スヌーピング設定が存在しない
デバイスにレガシー IP デバイストラッキング設定も IPv6 スヌーピング設定もない場合は、今後の設定に使用できるのは新しい SISF ベースのデバイス トラッキング コマンドのみです。レガシー IPDT コマンドと IPv6 スヌーピングコマンドは使用できません。