デバイス センサー

デバイスセンサー機能は、Cisco Discovery Protocol(CDP)、Link Layer Discovery Protocol(LLDP)、Dynamic Host Configuration Protocol(DHCP)、DHCP バージョン 6、マルチキャスト DNS(mDNS)などのプロトコルを使用してネットワークデバイスから raw エンドポイントデータを収集するために使用します。収集されたエンドポイントデータは、アクセスセッションのコンテキストで登録済みのクライアントが使用できるようになります。

デバイスセンサーの制限

  • Cisco Discovery Protocol(CDP)、Link Layer Discovery Protocol(LLDP)、Dynamic Host Configuration Protocol(DHCP)、Dynamic Host Configuration Protocol ersion 6(DHCPv6)、マルチキャスト DNS(mDNS)プロトコルのみがサポートされています。

  • プロファイリングポートのセッション制限は 32 です。

  • 1 つのタイプ、長さ、および値(TLV) の長さは 1024 以下である必要があり、すべてのプロトコルの TLV の合計の長さ(TLV を結合した長さ)は 4096 以下である必要があります。

  • センサーがプロファイリングするのは、1 ホップのみ離れているデバイスです。

  • デバイスセンサー機能はデフォルトで有効になっており、無効にすることはできません。グローバル コンフィギュレーション モードで no device classifier コマンドを使用してデバイス分類子を無効にしても、デバイスセンサーは無効になりません。これは、デバイスセンサーが IP デバイストラッキングおよびデバイス分類子から独立しているためです。

デバイスセンサーに関する情報

デバイス センサー

デバイスセンサーは、ネットワークデバイスから raw エンドポイントデータを収集するために使用されます。収集されたエンドポイント情報は、スイッチのプロファイリング機能の実行を支援します。プロファイリングとは、ネットワークへの接続中にエンドポイントが送信するさまざまなプロトコルパケットから取得した情報に基づいて、エンドポイントタイプを決定することです。

プロファイリング機能は、次の 2 つの部分で構成されています。

  • コレクタ:ネットワークデバイスからエンドポイントデータを収集します。

  • アナライザ:データを処理し、デバイスのタイプを決定します。

デバイスセンサーは、組み込みのコレクタ機能を表します。以下の図は、プロファイリングシステムのコンテキストでの Cisco センサーを表し、可能性のあるセンサーの他のクライアントも示しています。

センサー機能を備えたデバイスは、Cisco Discovery Protocol、LLDP、DHCPv6、mDNS、DHCP などのプロトコルを使用して、ネットワークデバイスから、静的に設定されたフィルタの対象となるエンドポイント情報を収集し、登録済みクライアントがアクセスセッションのコンテキストでこの情報を使用できるようにします。アクセスセッションは、ネットワークデバイスへのエンドポイントの接続を表します。

デバイスセンサーには内部クライアントと外部クライアントがあります。内部クライアントには、組み込みの Device Classifier(ローカルアナライザ)、ATM スイッチプロセッサ(ASP)、MSI-Proxy、EnergyWise(EW)などのコンポーネントが含まれます。Identity Services Engine(ISE)アナライザである外部クライアントは、RADIUS アカウンティングを使用して追加のエンドポイントデータを受信します。

プロファイリングデータおよびセッションイベントや他のセッション関連データ(MAC アドレスや入力ポートなど)を含むクライアント通知とアカウンティングメッセージが生成され、内部クライアントと外部クライアント(ISE)に送信されます。デフォルトでは、サポートされている各ピアプロトコルでクライアント通知とアカウンティングイベントが生成されるのは、特定のセッションのコンテキストで前に受信したことのないタイプ、長さ、および値(TLV)が着信パケットに含まれている場合だけです。新しい TLV が受信された、または、以前受信された TLV が CLI コマンドを使用して別の値で受信された、すべての TLV 変更に関するクライアント通知とアカウンティング イベントを有効にできます。

デバイスセンサーのポートセキュリティにより、スイッチがメモリを消費したり、意図的または偶発的なサービス拒否(DoS)タイプの攻撃時にクラッシュが発生したりするのを防ぎます。センサーは、ポート(アクセス ポートとトランク ポート)あたりの最大デバイス モニタリング セッション数を 32 に制限します。ホストからのアクティビティがない場合、セッションのアイドル時間は 12 時間です。

デバイスセンサーの設定方法

デバイスセンサーはデフォルトで有効化されています。

以下のタスクは、特定の要件に基づいてセンサーを設定する場合にのみ適用されます。


(注)  

これらの設定タスクを実行しない場合は、以下の TLV がデフォルトで含まれます。

  • Cisco Discovery Protocol フィルタ:secondport-status-type および powernet-event-type(タイプ 28 および 29)

  • LLDP フィルタ:organizationally-specific(タイプ 127)

  • DHCP フィルタ:message-type(タイプ 53)

アカウンティング拡張の有効化

デバイス センサー プロトコル データをアカウンティングレコードに追加するには、以下のタスクを実行します。

始める前に

アカウンティング メッセージに追加するセンサープロトコルデータについては、標準の認証、許可、アカウンティング(AAA)、および RADIUS コンフィギュレーション コマンドを使用して、セッションアカウンティングを有効化する必要があります。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

device-sensor accounting

例:

Device(config)# device-sensor accounting

新しいセンサー データの検出時に、アカウンティング レコードへのセンサー プロトコル データの追加、および追加のアカウンティング イベントの生成をイネーブルにします。

ステップ 4

end

例:

Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

プロトコルフィルタの作成

デバイスセンサー出力に含めたり、そこから除外したりできる TLV を含む CDP、LLDP、DHCP、mDNS、または DHCPv6 フィルタを作成するには、以下のタスクを実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

device-sensor { filter-listcdp | dhcp | dhcpv6 | mdns | lldp } { listtlv-list-name }

例:

Device(config)# device-sensor filter-list cdp list cdp-list

センサー プロトコル リストを作成し、個々の TLV を設定できる CDP センサー コンフィギュレーション モードを開始します。

  • cdp :Cisco Discovery Protocol TLV フィルタリストを適用します。

  • lldp :リンク層検出プロトコル TLV フィルタリストを適用します。

  • dhcp:動的ホスト設定プロトコル TLV フィルタリストを適用します。

  • dhcpv6 :動的ホスト設定プロトコルバージョン 6 の TLV フィルタリストを適用します。

  • mdns :マルチキャスト DNS プロトコル TLV フィルタリストを適用します。

  • list list-name:プロトコル TLV フィルタリスト名を指定します。

ステップ 4

option { name option-name | number option-number}

例:

Device(config-sensor-cdplist)# tlv number 10

この手順は、DHCP プロトコルにのみ適用されます。オプション リストに個々の DHCP オプションを追加します。

no device-sensor filter-list dhcp list option-list-name コマンドを使用すると、リストからオプションを個別に削除せずに、オプションリストを削除できます。

  • no device-sensor filter-list cdp list tlv-list-name コマンドを使用すると、リストから TLV を個別に削除せずに、 TLV リストを削除できます。

ステップ 5

tlv { name tlv-name | number tlv-number}

例:

Device(config-sensor-cdplist)# tlv number 10

TLV リストに個別の Cisco Discovery Protocol TLV を追加します。

  • no device-sensor filter-list cdp list tlv-list-name コマンドを使用すると、リストから TLV を個別に削除せずに、 TLV リストを削除できます。

ステップ 6

end

例:

Device(config-sensor-cdplist)# end

特権 EXEC モードに戻ります。

センサー出力へのプロトコルフィルタの適用

センサー出力に Cisco Discovery Protocol、LLDP、または DHCP フィルタを適用するには、以下のタスクを実行します。セッション通知は、内部センサークライアントとアカウンティング要求に送信されます。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

device-sensor filter-spec { cdp | dhcp | lldp} { exclude { all | list list-name} | include list list-name}

例:

Device(config)# device-sensor filter-spec cdp include list list1

TLV フィールドのリストを含む特定のプロトコルフィルタをデバイスセンサー出力に適用します。

  • cdp :デバイスセンサー出力に Cisco Discovery Protocol TLV フィルタリストを適用します。

  • lldp :デバイスセンサー出力に LLDP TLV フィルタリストを適用します。

  • dhcp :デバイスセンサー出力に DHCP TLV フィルタリストを適用します。

  • dhcpv6 :デバイスセンサー出力に DHCPv6 TLV フィルタリストを適用します。

  • mdns :デバイスセンサー出力に mDNS フィルタリストを適用します。

  • exclude :デバイスセンサー出力から除外する必要がある TLV を指定します。

  • include :デバイスセンサー出力に含める必要がある TLV を指定します。

  • all :関連するプロトコル用のすべての通知をディセーブルにします。

  • list list-name :プロトコル TLV フィルタリスト名を指定します。

ステップ 4

end

例:

Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

TLV 変更のトラッキング

このタスクを実行して、すべての TLV 変更のクライアント通知およびアカウンティングイベントをイネーブルにします。デフォルトでは、サポートされている各ピアプロトコルでクライアント通知とアカウンティングイベントが生成されるのは、特定のセッションのコンテキストで前に受信したことのないタイプ、長さ、および値(TLV)が着信パケットに含まれている場合だけです。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

device-sensor notify all-changes

例:

Device(config)# device-sensor notify all-changes

すべての TLV 変更のクライアント通知およびアカウンティング イベントをイネーブルにします。つまり、新しい TLV が受信されるか、または以前受信した TLV が特定のセッションのコンテキストにおける新しい値で受信されます。

(注)  

 

デフォルトの TLV に戻すには、default device-sensor notify または device-sensor notify new-tlvs コマンドを使用します。

ステップ 4

end

例:

Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

デバイス センサーの設定の確認

すべてのデバイスのセンサーキャッシュエントリを確認するには、以下のタスクを実行します。

手順

ステップ 1

enable

特権 EXEC モードを有効にします。

例:

Device> enable

ステップ 2

show device-sensor details

すべてのデバイスのプロトコル設定の詳細を表示します。

例:

Device# show device-sensor details

ステップ 3

show device-sensor cache mac mac-address

特定のデバイスのセンサー キャッシュ エントリ(デバイスから受信したプロトコル TLV またはオプションのリスト)を表示します。

例:

Device# show device-sensor cache mac 0024.14dc.df4d

ステップ 4

show device-sensor cache all

すべてのデバイスのセンサー キャッシュ エントリを表示します。

例:

Device# show device-sensor cache all

Device: 001c.0f74.8480 on port GigabitEthernet2/1

デバイスセンサーの設定例

例:デバイスセンサーの設定

次に、TLV のリストを含む Cisco Discovery Protocol フィルタを作成する例を示します。 

Device> enable
Device# configure terminal
Device(config)# device-sensor filter-list cdp list cdp-list
Device(config-sensor-cdplist)# tlv name address-type
Device(config-sensor-cdplist)# tlv name device-name
Device(config-sensor-cdplist)# tlv number 34
Device(config-sensor-cdplist)# end

次に、TLV のリストを含む LLDP フィルタを作成する例を示します。 

Device> enable
Device# configure terminal
Device(config)# device-sensor filter-list lldp list lldp-list
Device(config-sensor-lldplist)# tlv name chassis-id
Device(config-sensor-lldplist)# tlv name management-address
Device(config-sensor-lldplist)# tlv number 28
Device(config-sensor-lldplist)# end

次に、オプションのリストを含む DHCP フィルタを作成する例を示します。 

Device> enable
Device# configure terminal
Device(config)# device-sensor filter-list dhcp list dhcp-list
Device(config-sensor-lldplist)# option name address-type
Device(config-sensor-lldplist)# option name device-name
Device(config-sensor-lldplist)# option number 34
Device(config-sensor-lldplist)# end

次に、Cisco Discovery Protocol TLV フィルタリストをデバイスセンサー出力に適用する例を示します。 

Device> enable
Device# configure terminal
Device(config)# device-sensor filter-spec cdp include cdp-list1
Device(config
Device(config-sensor-lldplist)# end)# end

次に、すべての TLV 変更のクライアント通知およびアカウンティング イベントをイネーブルにする例を示します。 

Device> enable
Device# configure terminal
Device(config)# device-sensor notify all-changes
Device(config)# end

デバイスセンサーの機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

表 1. デバイスセンサーの機能情報

リリース

機能

機能情報

Cisco IOS XE Fuji 16.8.1a

デバイス センサー

デバイスセンサー機能は、Cisco Discovery Protocol、Link Layer Discovery Protocol(LLDP)、DHCP などのプロトコルを使用してネットワークデバイスから raw エンドポイントデータを収集するために使用します。収集されたエンドポイントデータは、アクセスセッションのコンテキストで登録済みのクライアントが使用できるようになります。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。