- Cisco Industrial Ethernet 4000、4010、および 5000 スイッチ ソフトウェア コンフィギュレーション ガイド
- Contents
- はじめに
- 設定の概要
- コマンドライン インターフェイスの使用
- インターフェイスの設定
- スイッチ アラームの設定
- スイッチ セットアップの設定
- Cisco IOS Configuration Engine の設定
- スイッチ クラスタの設定
- スイッチ管理の実行
- PTP の設定
- PROFINET の設定
- CIP の設定
- SDM テンプレートの設定
- スイッチ ベース認証の設定
- IEEE 802.1x ポートベース認証の設定
- MACsec
- Web ベース認証の設定
- SmartPort マクロの設定
- SGACL モニタモードおよび SGACL ロギングの設定
- SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定
- VLAN の設定
- VTP の設定
- 音声 VLAN の設定
- STP の設定
- MSTP の設定
- オプションのスパニングツリー機能の設定
- Resilient Ethernet Protocol の設定
- FlexLink および MAC アドレス テーブル移動更新の設定
- DHCP の設定
- ダイナミック ARP インスペクション(DAI)の設定
- IP ソース ガードの設定
- IGMP スヌーピングおよび MVR の設定
- ポート単位のトラフィック制御の設定
- LLDP、LLDP-MED、およびワイヤード ロケーション サービスの設定
- SPAN および RSPAN の設定
- レイヤ 2 NAT の設定
- CDP の設定
- UDLD の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- ACL によるネットワーク セキュリティの設定
- QoS の設定
- スタティック IP ユニキャスト ルーティングの設定
- IPv6 ホスト機能の設定
- リンク ステート トラッキングの設定
- IP マルチキャスト ルーティングの設定
- MSDP の設定
- IPv6 MLD スヌーピングの設定
- HSRP および VRRP の設定
- IPv6 ACL の設定
- Embedded Event Manager の設定
- IP ユニキャスト ルーティングの設定
- IPv6 ユニキャスト ルーティングの設定
- ユニキャストの概要
- Cisco IOS IP SLA 動作の設定
- Dying Gasp
- 拡張オブジェクト トラッキングの設定
- MODBUS TCP の設定
- イーサネット CFM
- Cisco IOS ファイル システム、コンフィギュレーション ファイル、およびソフトウェア イメージの操作
- EtherChannel の設定
- トラブルシューティング
- SD カードの使用
SGACL モニタモードおよび SGACL ロギングの設定
SGACL モニタモードおよび SGACL ロギングは、Cisco IOS リリース 15.2(8)E 以降の IE 4000、IE 4010、および IE 5000 シリーズ スイッチでサポートされています。
セキュリティグループベースのアクセスコントロールは Cisco TrustSec セキュリティアーキテクチャのコンポートで、信頼できるネットワークデバイスのドメインを確立することによってセキュアネットワークを構築します。TrustSec の前提条件、ガイドラインと制限事項、設定手順など、TrustSec に関する包括的な情報については、『 Cisco TrustSec Switch Configuration Guide 』を参照してください。SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定については、SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定を参照してください。
SGACL ポリシーの設定の制約事項
SGACL ポリシーを設定する場合、次の制約事項が Cisco IE 4000、IE 4010、および IE 5000 シリーズ スイッチに適用されます。
■
Cisco TrustSec は物理インターフェイスでのみ設定でき、論理インターフェイスでは設定できません。
■Cisco IE 4000、IE 4010、または IE 5000 スイッチと別のスイッチとの間で SXP が設定されている場合、SGACL ポリシーは Cisco IE 4000、IE 4010、または IE 5000 シリーズ スイッチに適用されません。SGACL ポリシーは接続先 SGT 用にダウンロードされますが、ポリシーステートメントは送信元 SGT から開始されたトラフィックには適用されません。
IP デバイストラッキングは両方のスイッチで有効にする必要があり、Cisco IE 4000、IE 4010、または IE 5000 が SXP プロトコルを介して学習した対応する SGT を使用してパケットにタグ付けできるように、これらのスイッチ間でレイヤ 2 隣接関係を設定する必要があります。
ip device tracking maximum < number > コマンドを使用して、Cisco IE 4000、IE 4010、または IE 5000 シリーズ スイッチで IP デバイストラッキングを有効にできます。トポロジに基づき、number 引数を使用して IP クライアント数を設定します。ポート/インターフェイスで多数の IP クライアントを設定することは推奨されません。
IP デバイストラッキングは Cisco IOS リリース 15.2(1)E のすべてのポートでデフォルトで有効になっており、このリリースイメージを使用する Cisco IE 4000、IE 4010、および IE 5000 スイッチでは、SGACL ポリシーが適用されます。
■ハードウェアの制限により、CTS SGACL はハードウェアのパント(CPU バウンド)トラフィックに適用できません。
次の制限事項は IPv6 SGACL の適用に適用されます。
■IPv6 マルチキャストトラフィックの SGACL 適用はバイパスされます。
■SGACL の適用は、リンクローカル IPv6 送信元/宛先アドレスを持つ IPv6 パケットについてはバイパスされます。
SGACL モニタ モード
Cisco TrustSec の事前導入段階で、モニタモードを使用して、ポリシーが意図したとおりに機能することを確認するために、セキュリティポリシーを適用しない状態でテストすることができます。セキュリティポリシーが意図したとおりに機能しない場合、モニタモードでそのことが特定され、セキュリティ グループ アクセス コントロール リスト(SGACL)の適用をイネーブルにする前にポリシーを修正できます。ポリシーを適用する前にポリシーアクションの結果を確認することで、対象のポリシーがセキュリティ要件を満たしている(ユーザが認証されなければリソースへのアクセスは拒否される)ことを確認できます。
モニタリング機能は、SGT-DGT ペア レベルで提供されます。SGACL モニター モード機能を有効にすると、拒否アクションがライン カード上の ACL 許可として実装されます。これにより、SGACL カウンタおよびロギングでは、接続が SGACL ポリシーによりどう処理されているかを表示できます。すべてのモニター対象トラフィックが許可されるため、SGACL モニターモードでは、SGACL によるサービスの中断はありません。
SGACL モニタモードを有効にするには、IPServices ライセンスが必要です。
SGACL モニタモードの設定 - CLI
CLI を使用して SGACL モニタモードを設定するには、次の手順を実行します。
SGACL モニタモードの設定 - Radius(ISE)
Cisco Identity Services Engine(ISE)GUI を使用して SGACL モニタモードを有効にするには、次のように [モニタ(Monitor)] を選択します。
ポリシーマトリックスの変更は、マトリックスの上部にある展開機能を使用してネットワークデバイスにプッシュされる必要があります。これは、RADIUS CoA を使用して、変更が行われたことをデバイスに通知します。
更新がスイッチにダウンロードされたら、 show cts role-based Permissions コマンドを使用して設定を確認します。ポリシーの権限は、「モニタ対象」という用語を追加することで、モニタモードの特定のポリシーを示します。
設定の確認
次に、 show cts role-based Permissions コマンドと show cts role-based counters コマンドの出力例を示します。これらのコマンドを使用して、SGACL モニタモードのステータスを表示できます。
show cts role-based カウンタ の HW-Monitor カラムには、ハードウェアでモニタされているが実際には適用されていない適用イベントの数が表示されます。
SGACL ロギング
cts の log オプションは個々の ACE に適用され、ACE に一致するパケットがログに記録されます。 log キーワードで記録された最初のパケットは、syslog メッセージを生成します。
SGACL ロギングは、Cisco ACE アプリケーション コントロール エンジンに logging キーワードがある場合にのみトリガーされます。
SGACL でロギングが有効になっている場合、スイッチは次の情報を記録します。
■送信元セキュリティグループタグ(SGT)および宛先 SGT
Cisco TrustSec ロールベース(セキュリティグループ)アクセスコントロール適用を有効にするには、グローバル コンフィギュレーション モードで cts role-based enforcement コマンドを使用します。SGACL のロギング間隔を設定するには、次のように入力します。
cts role-based enforcement [ logging-interval interval ]
interval 引数の有効な値は 5 ~ 86400 秒です。デフォルトは 300 秒です。
ロギングを有効にするには、SGACL 構成の ACE 定義の前に log キーワードを使用します。たとえば、 permit ip log などです。
次に、送信元と宛先の SGT、ACE の一致(拒否アクション)を表示するサンプルログを示します。 logging rate-limit コマンドを使用して、1 秒あたりに記録されるメッセージのレートを制限できます。
フィードバック