インターフェイスについて
ここでは、IPS のインターフェイスとモードについて説明します。内容は次のとおりです。
• 「IPS センサーのインターフェイス」
• 「コマンド/コントロール インターフェイス」
• 「センシング インターフェイス」
• 「TCP リセット インターフェイス」
• 「インターフェイスのサポート」
• 「ハードウェア バイパス モード」
• 「インターフェイス設定の制約事項」
• 「インターフェイスの設定手順」
IPS センサーのインターフェイス
センサーのインターフェイスは、インターフェイスの最大速度および物理的な場所に従って名前が付けられています。物理的な場所は、ポート番号とスロット番号で構成されます。センサーのマザーボードに組み込まれたすべてのインターフェイスは、スロット 0 にあります。インターフェイス カード拡張スロットには、一番下のスロットをスロット 1 として、下から上に向かって順にスロット番号が付けられています(ポート番号が上から下の順になっている IPS 4270-20 を除く)。指定したスロットのインターフェイスは、右側のポートをポート 0 として、右から左に向かって順にポート番号が付けられます。たとえば、GigabitEthernet2/1 は、1 ギガビットの最大速度をサポートし、下から 2 番めのインターフェイス カード拡張スロットの右から 2 番めのインターフェイスです。例外として、IPS 4240、IPS 4255、IPS 4260、および IPS 4270-20 には、この規則が適用されません。これらのセンサーのコマンド/コントロール インターフェイスは、GigabitEthernet0/0 ではなく Management0/0 と呼ばれます。IPS 4270-20 には、Management0/1 と呼ばれる追加のインターフェイスがあり、将来の使用のために予約されています。
インターフェイスには、次の 3 つの役割があります。
• コマンドとコントロール
• 検知
• 代替 TCP リセット
特定のインターフェイスに割り当てることができる役割には制約事項があり、一部のインターフェイスには複数の役割があります。任意の検知インターフェイスを、TCP リセット インターフェイスとして他の任意の検知インターフェイスに設定できます。TCP リセット インターフェイスは、同時に IDS(無差別)検知インターフェイスとしても機能することができます。次の制約事項が適用されます。
• AIM IPS、AIP SSM、および NME IPS には検知インターフェイスが 1 つしかないため、TCP リセット インターフェイスを設定することはできません。
• Catalyst スイッチのハードウェアの制約により、両方の IDSM2 検知インターフェイスは、TCP リセット インターフェイスとして System0/1 を使用するように永続的に設定されます。
• TCP リセットは、常にインライン インターフェイス モードまたはインライン VLAN ペア モードで検知インターフェイスに送信されるため、検知インターフェイスに割り当てられた TCP リセット インターフェイスは、これらのモードに影響を与えません。
(注) 各物理インターフェイスは、VLAN グループ サブインターフェイスに分けることができます。各サブインターフェイスは、そのインターフェイスの VLAN のグループで構成されます。
詳細情報
setup コマンドを使用してインターフェイスを設定する方法の詳細については、「センサーの初期化」を参照してください。
コマンド/コントロール インターフェイス
コマンド/コントロール インターフェイスは、IP アドレスを持ち、センサーの設定に使用します。このインターフェイスは、センサーからセキュリティ イベントとステータス イベントを受信し、センサーに統計情報を問い合わせます。コマンド/コントロール インターフェイスは、常にイネーブルです。このインターフェイスは特定の物理インターフェイス(センサーのモデルによって異なる)に常時マッピングされています。コマンド/コントロール インターフェイスを検知インターフェイスや代替 TCP リセット インターフェイスとして使用することはできません。
表 6-1 に、各センサーのコマンド/コントロール インターフェイスを示します。
表 6-1 コマンド/コントロール インターフェイス
|
|
AIM IPS |
Management0/0 |
AIP SSM-10 |
GigabitEthernet0/0 |
AIP SSM-20 |
GigabitEthernet0/0 |
AIP SSM-40 |
GigabitEthernet0/0 |
IDSM2 |
GigabitEthernet0/2 |
IPS 4240 |
Management0/0 |
IPS 4255 |
Management0/0 |
IPS 4260 |
Management0/0 |
IPS 4270-20 |
Management0/0 |
NME IPS |
Management0/1 |
センシング インターフェイス
(注) アプライアンスでは、すべての検知インターフェイスがデフォルトでディセーブルになっています。これらのインターフェイスを使用するには、イネーブルにする必要があります。モジュールでは、検知インターフェイスは常にイネーブルです。
検知インターフェイスは、セキュリティ違反に関してトラフィックを分析するために、センサーによって使用されます。センサーには、1 つ以上の検知インターフェイスがあり、その数はセンサーによって異なります。検知インターフェイスは、無差別モードで個別に動作させるか、またはペアにしてインライン インターフェイスを作成できます。
一部のアプリケーションは、検知インターフェイスをセンサーに追加するオプションのインターフェイス カードをサポートしています。オプション カードの挿入または取り外しは、センサーの電源がオフのときに行ってください。センサーは、サポートされているインターフェイス カードの追加または取り外しを検出します。オプションのインターフェイス カードを取り外すと、速度、デュプレックス、説明文、インターフェイスのイネーブルまたはディセーブルの状態、インライン インターフェイス ペアなど、一部のインターフェイス設定が削除されます。カードをもう一度取り付けると、これらの設定はデフォルト設定に復元されます。ただし、分析エンジンに対する無差別インターフェイスとインライン インターフェイスの割り当ては、分析エンジンの設定から削除されません。しかし、これらの割り当ては、カードを再度挿入してインライン インターフェイス ペアを再作成するまで無視されます。
詳細情報
• 各センサーで使用できる検知インターフェイスの数とタイプの詳細については、「インターフェイスのサポート」を参照してください。
• インターフェイス モードの詳細については、「無差別モードの設定」、「インライン インターフェイス モードの設定」、「インライン VLAN ペア モードの設定」、「VLAN グループ モードの設定」、および「インライン バイパス モードの設定」を参照してください。
• 仮想センサーの設定手順の詳細については、「仮想センサーの追加、編集、および削除」を参照してください。
代替 TCP リセット インターフェイスについて
攻撃者のホストと攻撃のターゲット ホストとの間のネットワーク接続をリセットするために、TCP リセット パケットを送信するようにセンサーを設定できます。一部のインストールでは、インターフェイスが無差別モードで動作している場合、攻撃が検出された検知インターフェイスと同じインターフェイスでセンサーが TCP リセット パケットを送信できないことがあります。このような場合は、検知インターフェイスを代替 TCP リセット インターフェイスに関連付けることができます。これにより、無差別モードで動作している場合に通常は検知インターフェイスで送信されるすべての TCP リセットを、関連付けた代替 TCP リセット インターフェイスで送信できます。
検知インターフェイスが代替 TCP リセット インターフェイスに関連付けられている場合、センサーが無差別モードに設定されるとその関連付けが適用されますが、検知インターフェイスがインライン モードに設定されると無視されます。
IDSM2 を除いて、すべての検知インターフェイスは、別の検知インターフェイスの代替 TCP リセット インターフェイスとなることができます。IDSM2 の代替 TCP リセット インターフェイスは、ハードウェアの制限があるために固定されています。
表 6-2 に、代替 TCP リセット インターフェイスを示します。
(注) IPS モジュール(AIM IPS、AIP SSM、および NME IPS)の検知インターフェイスは 1 つだけです。
表 6-2 代替 TCP リセット インターフェイス
|
|
AIM IPS |
なし |
AIP SSM-10 |
なし |
AIP SSM-20 |
なし |
AIP SSM-40 |
なし |
IDSM2 |
System0/1 |
IPS 4240 |
すべての検知インターフェイス |
IPS 4255 |
すべての検知インターフェイス |
IPS 4260 |
すべての検知インターフェイス |
IPS 4270-20 |
すべての検知インターフェイス |
NME IPS |
なし |
詳細情報
代替 TCP インターフェイスの選択については、「代替 TCP リセット インターフェイスの指定」を参照してください。
代替 TCP リセット インターフェイスの指定
代替 TCP リセット インターフェイスは、次の場合に指定する必要があります。
• スイッチが SPAN または VACL キャプチャのいずれかによってモニタされており、そのスイッチが SPAN または VACL キャプチャ ポートで着信パケットを受け付けない場合。
• スイッチが複数の VLAN の SPAN または VACL キャプチャのいずれかによってモニタされており、そのスイッチが 802.1q ヘッダーを持つ着信パケットを受け付けない場合。
(注) TCP リセットでは、リセットの送信が必要な VLAN を区別するために、802.1q ヘッダーが必要です。
• ネットワーク タップが接続のモニタに使用される場合。
(注) タップは、センサーからの着信トラフィックを許可しません。
代替 TCP リセット インターフェイスとして割り当てることができるのは、検知インターフェイスだけです。管理インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。
インターフェイスのサポート
表 6-3 では、Cisco IPS を実行するアプライアンスとモジュールのインターフェイス サポートについて説明します。
表 6-3 インターフェイスのサポート
|
|
インライン VLAN ペアをサポートしているインターフェイス(センシング ポート)
|
インライン インターフェイス ペアをサポートしている組み合わせ
|
インラインをサポートしていないインターフェイス(コマンド/コントロール ポート)
|
AIM IPS |
-- |
VLAN ペアまたはインライン インターフェイス ペアではなく、ルータ設定の ids-service-module コマンドによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、ルータ設定の ids-service-module コマンドによる GigabitEthernet0/1 |
Management0/0 |
AIP SSM-10 |
-- |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
GigabitEthernet0/0 |
AIP SSM-20 |
-- |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
GigabitEthernet0/0 |
AIP SSM-40 |
-- |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
GigabitEthernet0/0 |
IDSM2 |
-- |
GigabitEthernet0/7 GigabitEthernet0/8 |
0/7<->0/8 |
GigabitEthernet0/2 |
IPS 4240 |
-- |
GigabitEthernet0/0 GigabitEthernet0/1 GigabitEthernet0/2 GigabitEthernet0/3 |
0/0<->0/1 0/0<->0/2 0/0<->0/3 0/1<->0/2 0/1<->0/3 0/2<->0/3 |
Management0/0 |
IPS 4255 |
-- |
GigabitEthernet0/0 GigabitEthernet0/1 GigabitEthernet0/2 GigabitEthernet0/3 |
0/0<->0/1 0/0<->0/2 0/0<->0/3 0/1<->0/2 0/1<->0/3 0/2<->0/3 |
Management0/0 |
IPS 4260 |
-- |
GigabitEthernet0/1 |
該当なし |
Management0/0 |
IPS 4260 |
4GE-BP スロット 1 スロット 2 |
GigabitEthernet0/1 GigabitEthernet2/0 GigabitEthernet2/1 GigabitEthernet2/2 GigabitEthernet2/3 GigabitEthernet3/0 GigabitEthernet3/1 GigabitEthernet3/2 GigabitEthernet3/3 |
2/0<->2/1 2/2<->2/3 3/0<->3/1 3/2<->3/3 |
Management0/0 |
IPS 4260 |
2SX スロット 1 スロット 2 |
GigabitEthernet0/1 GigabitEthernet2/0 GigabitEthernet2/1 GigabitEthernet3/0 GigabitEthernet3/1 |
すべてのセンシング ポートをペアにすることが可能 |
Management0/0 |
IPS 4260 |
10GE スロット 1 |
GigabitEthernet0/1 TenGigabitEthernet2/0 TenGigabitEthernet2/1 |
2/0<->2/1 |
Management0/0 |
IPS 4270-20 |
-- |
-- |
該当なし |
Management0/0 Management0/1 |
IPS 4270-20 |
4GE-BP スロット 1 スロット 2 |
GigabitEthernet3/0 GigabitEthernet3/1 GigabitEthernet3/2 GigabitEthernet3/3 GigabitEthernet4/0 GigabitEthernet4/1 GigabitEthernet4/2 GigabitEthernet4/3 |
3/0<->3/1 3/2<->3/3 4/0<->4/1 4/2<->4/3 |
Management0/0 Management0/1 |
IPS 4270-20 |
2SX スロット 1 スロット 2 |
GigabitEthernet3/0 GigabitEthernet3/1 GigabitEthernet4/0 GigabitEthernet4/1 |
すべてのセンシング ポートをペアにすることが可能 |
Management0/0 Management0/1 |
IPS 4270-20 |
10GE スロット 1 スロット 2 |
TenGigabitEthernet5/0 TenGigabitEthernet5/1 TenGigabitEthernet7/0 TenGigabitEthernet7/1 |
すべてのセンシング ポートをペアにすることが可能 |
Management0/0 Management0/1 |
NME IPS |
-- |
VLAN ペアまたはインライン インターフェイス ペアではなく、ルータ設定の ids-service-module コマンドによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、ルータ設定の ids-service-module コマンドによる GigabitEthernet0/1 |
Management0/1 |
(注) IPS 4260 は、4GE-BP カード、2SX カード、および 10GE カードの混在をサポートしています。また、IPS 4270-20 は、合計 6 枚までの 4GE-BP カード、2SX カード、および 10GE カードの混在、または合計 16 ポートのどちらか少ないほうをサポートします。ただし、混在可能な 10GE カードは 2 枚に制限されています。
ハードウェア バイパス カード
IPS 4260 と IPS 4270-20 は、ハードウェア バイパス機能を持つ 4 ポート GigabitEthernet カード(部品番号 IPS-4GE-BP-INT=)をサポートします。この 4GE バイパス インターフェイス カードは、ポート 0 とポート 1 の間、およびポート 2 とポート 3 の間のハードウェア バイパスのみサポートします。
(注) ハードウェア バイパスをディセーブルにするには、たとえば 2/0<->2/2 や 2/1<->2/3 など、その他の組み合わせのインターフェイスをペアにします。
ハードウェア バイパスは、Cisco IPS の既存のソフトウェア バイパス機能を補完するものです。ハードウェア バイパスとソフトウェア バイパスには、次の条件があります。
• バイパスを OFF に設定すると、ソフトウェア バイパスが非アクティブになります。
ハードウェア バイパスを使用できる各インライン インターフェイスでは、フェールオープン機能をディセーブルにするようコンポーネント インターフェイスが設定されています。SensorApp が失敗した場合、センサーが電源オフまたはリセットされるか、NIC インターフェイス ドライバが失敗またはアンロードされた場合は、ペアになっているインターフェイスがフェールクローズ状態(インライン インターフェイスまたはインライン VLAN サブインターフェイスを通過するトラフィック フローがない状態)になります。
• バイパスを ON に設定すると、ソフトウェア バイパスがアクティブになります。
ソフトウェア バイパスは、各インライン インターフェイス内でペアになっている物理インターフェイス間、および各インライン VLAN サブインターフェイス内でペアになっている VLAN 間でパケットを転送します。ハードウェア バイパスを使用できる各インライン インターフェイスでは、コンポーネント インターフェイスがスタンドバイ モードに設定されます。センサーが電源オフまたはリセットされるか、NIC インターフェイスが失敗またはアンロードされた場合は、ペアになっているインターフェイスがハードウェアでフェールオープン状態(インライン インターフェイスを通過するトラフィック フローが影響を受けない状態)になります。その他のインライン インターフェイスはフェールクローズ状態になります。
• バイパスが AUTO(検査なしのトラフィック フロー)に設定されると、SensorApp が失敗した場合にソフトウェア バイパスがアクティブ化されます。
ハードウェア バイパスを使用できる各インライン インターフェイスでは、コンポーネント インターフェイスがスタンドバイ モードに設定されます。センサーで電源がオフまたはリセットされるか、NIC インターフェイスが失敗またはアンロードされた場合は、ペアになっているインターフェイスがハードウェアのフェールオープン状態になります。その他のインライン インターフェイスはフェールクローズ状態になります。
(注) フェールオーバーをテストするには、バイパス モードを ON または AUTO に設定し、1 つ以上のインライン インターフェイスを作成して、センサーの電源をオフし、トラフィックが引き続きインライン パスを経由して流れることを検証します。
詳細情報
• バイパス モードの設定手順の詳細については、「バイパス モードの設定」を参照してください。
• ハードウェア バイパス カードの取り付けと取り外し手順の詳細について、IPS 4260 は「 Installing and Removing Interface Cards 」、IPS 4270-20 は「 Installing and Removing Interface Cards 」を参照してください。
ハードウェア バイパス設定の制約事項
4GE バイパス インターフェイスでハードウェア バイパス機能を使用するには、インターフェイスをペアにしてカードのハードウェア設計をサポートする必要があります。ハードウェア バイパス対応インターフェイスと 1 つ以上のハードウェア バイパス設定の制約事項に違反するインターフェイスをペアにするインライン インターフェイスを作成すると、ハードウェア バイパスがそのインライン インターフェイスで非アクティブ化され、次のような警告メッセージが表示されます。
Hardware bypass functionality is not available on Inline-interface pair0. Physical-interface GigabitEthernet2/0 is capable of performing hardware bypass only when paired with GigabitEthernet2/1, and both interfaces are enabled and configured with the same speed and duplex settings.
ハードウェア バイパスには、設定に関して次のような制約があります。
• 4 ポート バイパス カードは、IPS 4260 および IPS 4270-20 でのみサポートされます。
• フェールオープン ハードウェア バイパスは、インライン インターフェイス(インターフェイス ペア)でのみ動作し、インライン VLAN ペアでは動作しません。
• フェールオープン ハードウェア バイパスは、次のすべての条件を満たす場合、インライン インターフェイスで使用できます。
– 両方の物理インターフェイスがハードウェア バイパスをサポートしている。
– 両方の物理インターフェイスが同じインターフェイス カード上にある。
– 2 つの物理インターフェイスが、ハードウェア内でバイパス ペアとして関連付けられている。
– 物理インターフェイスの速度とデュプレックスの設定が同一である。
– 両方のインターフェイスが管理上イネーブルになっている。
• IPS 4260 および IPS 4270-20 に接続される MDI/X スイッチ ポートは、自動ネゴシエーションに設定する必要があります。
ハードウェア バイパスが動作するためには、センサー ポートとスイッチ ポートの両方を自動ネゴシエーションに設定する必要があります。スイッチ ポートは、必要に応じて送信回線と受信回線を自動的に反転し、ケーブル接続の問題を解消する MDI/X をサポートする必要があります。センサーは、センサーとスイッチの両方が同一の速度とデュプレックスに設定されている場合のみ、正常に動作することが保証されます。つまり、センサーも自動ネゴシエーションに設定する必要があります。
インターフェイス設定の制約事項
センサーのインターフェイスの設定には、次の制約事項が適用されます。
• 物理インターフェイス
– モジュール(AIM IPS、AIP SSM、IDSM2、および NME IPS)のすべてのバックプレーン インターフェイスは、速度、デュプレックス、および状態設定が固定されます。これらの設定は、すべてのバックプレーン インターフェイスのデフォルト設定で保護されています。
– バックプレーン以外の FastEthernet インターフェイスでは、有効な速度設定は、10 Mbps、100 Mbps、および auto です。有効なデュプレックス設定は、full、half、および auto です。
– ギガビット銅線インターフェイス(IPS 4240、IPS 4255、IPS 4260、および IPS 4270-20 の 1000-TX)では、有効な速度設定は、10 Mbps、100 Mbps、1000 Mbps、および auto です。有効なデュプレックス設定は、full、half、および auto です。
– ギガビット(銅線またはファイバ)インターフェイスでは、速度が 1000 Mbps に設定された場合、有効なデュプレックス設定は auto のみです。
– コマンド/コントロール インターフェイスは、検知インターフェイスとしては機能できません。
• インライン インターフェイス ペア
– インライン インターフェイス ペアは、インターフェイスの物理インターフェイス タイプ(銅線またはファイバ)、速度、またはデュプレックス設定にかかわらず、任意の組み合わせの検知インターフェイスを含むことができます。ただし、異なるメディア タイプ、速度、およびデュプレックス設定のインターフェイスのペアは、完全にはテストまたはサポートされていない場合があります。
– コマンド/コントロール インターフェイスをインライン インターフェイス ペアのメンバにすることはできません。
– インライン インターフェイス ペアの物理インターフェイス自体を、物理インターフェイスのペアにすることはできません。
– 物理インターフェイスは、1 つのインライン インターフェイス ペアのみのメンバとすることができます。
– インライン モードをサポートするセンサー プラットフォームでのみ、バイパス モードを設定し、インライン インターフェイス ペアを作成できます。
– 物理インターフェイスのサブインターフェイス モードが none でない場合、物理インターフェイスをインライン インターフェイス ペアのメンバにできません。
• インライン VLAN ペア
– VLAN 自体を VLAN のペアにすることはできません。
– インライン VLAN ペアでペアになっている VLAN のいずれかとして、デフォルト VLAN を使用することはできません。
– 特定の検知インターフェイスでは、VLAN は 1 つのインライン VLAN ペアのみのメンバとすることができます。ただし、特定の VLAN を、2 つ以上の検知インターフェイスのインライン VLAN ペアのメンバとすることができます。
– インライン VLAN ペア内で、VLAN を指定する順序は重要ではありません。
– インライン VLAN ペア モードの検知インターフェイスは、1 から 255 のインライン VLAN ペアを持つことができます。
• 代替 TCP リセット インターフェイス
– 検知インターフェイスに割り当てることができるのは、代替 TCP リセット インターフェイスだけです。コマンド/コントロール インターフェイスを、代替 TCP リセット インターフェイスとして設定することはできません。代替 TCP リセット インターフェイスは、デフォルトで none に設定され、検知インターフェイスを除くすべてのインターフェイスに対して保護されています。
– 同じ物理インターフェイスを、複数の検知インターフェイスの代替 TCP リセット インターフェイスとして割り当てることができます。
– 物理インターフェイスは、検知インターフェイスと代替 TCP リセット インターフェイスの両方として機能できます。
– コマンド/コントロール インターフェイスは、検知インターフェイスの代替 TCP リセット インターフェイスとして機能できません。
– 検知インターフェイスは、自分自身の代替 TCP リセット インターフェイスとして機能できません。
– 代替 TCP リセット インターフェイスとして設定できるのは、TCP リセットが可能なインターフェイスだけです。
(注) IDSM2 は、この制限の例外になります。両方の検知インターフェイスに対する代替 TCP リセット インターフェイスの割り当ては、System0/1(保護)になります。
• VLAN グループ
– 無差別モード、インライン インターフェイス ペア モード、またはインライン VLAN ペア モードに対して単一のインターフェイスを設定できますが、これらのモードを組み合わせることはできません。
– 1 つの VLAN を、各インターフェイス上の複数のグループに追加できません。
– 1 つの VLAN グループを、複数の仮想センサーに追加できません。
– インターフェイスは、255 以下のユーザ定義 VLAN グループを持つことができます。
– 物理インターフェイスをペアにする場合、その物理インターフェイスを分割することはできません。ペアは分割できます。
– 複数のインターフェイス上の VLAN を使用できますが、この設定では警告が表示されます。
– 分割されているかどうかに関係なく、1 つ以上の物理インターフェイスおよびインライン VLAN ペアの組み合わせに仮想センサーを割り当てることができます。
– 物理インターフェイスと論理インターフェイスを VLAN グループに分割できます。
– CLI、IDM、および IME では、ぶら下がり参照の削除を求められます。ぶら下がり参照はそのままで、設定の編集を続けることができます。
– CLI、IDM、および IME では、インターフェイス設定と矛盾する設定変更を分析エンジンで行えません。
– CLI では、分析エンジンの設定と矛盾する設定変更をインターフェイス設定で行えます。IDM および IME では、分析エンジンの設定と矛盾する変更をインターフェイス設定で行え ません 。
詳細情報
• サポートされるセンサー インターフェイスの一覧については、「インターフェイスのサポート」を参照してください。
• 代替 TCP リセットの詳細については、「TCP リセット インターフェイス」を参照してください。
• 物理インターフェイスの詳細については、「物理インターフェイスの設定」を参照してください。
物理インターフェイスの設定
(注) AIP SSM は、Cisco IPS CLI からではなく、適応型セキュリティ アプライアンス CLI から無差別モードに設定されます。
サービス インテグレーション サブモードで physical-interfaces interface_name コマンドを使用して、無差別インターフェイスを設定します。インターフェイス名は、FastEthernet または GigabitEthernet です。
次のオプションが適用されます。
• admin-state {enabled | disabled} :インターフェイスの管理リンク状態。インターフェイスがイネーブルか、ディセーブルか。
(注) すべてのモジュール上の検知インターフェイスで、admin-state がイネーブルに設定され、保護されます(設定を変更できません)。admin-state は、コマンド/コントロール インターフェイスに影響しません(保護されています)。検出インターフェイスにのみ影響します。コマンド/コントロール インターフェイスはモニタできないため、イネーブルにする必要はありません。
• alt-tcp-reset-interface :代替インターフェイスが無差別モニタリングに使用され、シグニチャの起動によってリセット アクションがトリガーされた場合に、代替インターフェイスで TCP リセットを送信します。
(注) 代替 TCP リセット インターフェイスとして割り当てることができるのは、検知インターフェイスだけです。管理インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。
(注) このオプションは、モジュール上で保護されています。
– interface_name :このインターフェイスが無差別モニタリングに使用され、シグニチャの起動によってリセット アクションがトリガーされた場合に、TCP リセットを送信するインターフェイスの名前。このインターフェイスがインライン インターフェイスのメンバの場合、この設定は無視されます。
– none :代替 TCP リセット インターフェイスの使用をディセーブルにします。無差別モード時にリセット アクションによってトリガーされるTCP リセットは、代わりにこのインターフェイスから送信されます。
• default :値をシステム デフォルト設定に戻します。
• description :ユーザによる無差別インターフェイスの説明。
• duplex :インターフェイスのデュプレックス設定。
– auto :インターフェイスを自動ネゴシエーション デュプレックスに設定します。
– full :インターフェイスを全二重に設定します。
– half :インターフェイスを半二重に設定します。
(注) duplex オプションは、すべてのモジュール上で保護されています。
• no :エントリまたは選択設定を削除します。
• speed :インターフェイスの速度設定。
– auto :インターフェイスを自動ネゴシエーション速度に設定します。
– 10 :インターフェイスを 10 MB に設定します(TX インターフェイスの場合だけ)。
– 100 :インターフェイスを 100 MB に設定します(TX インターフェイスの場合だけ)。
– 1000 :インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合だけ)。
(注) speed オプションは、すべてのモジュール上で保護されています。
センサー上で無差別インターフェイスを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 インターフェイス サブモードを開始します。
sensor# configure terminal
sensor(config)# service interface
ステップ 3 使用可能なインターフェイスのリストを表示します。
sensor(config-int)# physical-interfaces ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet0/2 GigabitEthernet0/2 physical interface.
GigabitEthernet0/3 GigabitEthernet0/3 physical interface.
Management0/0 Management0/0 physical interface.
sensor(config-int)# physical-interfaces
ステップ 4 無差別モードのインターフェイスを指定します。
sensor(config-int)# physical-interfaces GigabitEthernet0/2
ステップ 5 インターフェイスをイネーブルにします。
sensor(config-int-phy)# admin-state enabled
仮想センサーにインターフェイスを割り当て、イネーブルにすると、トラフィックをモニタできるようになります。
ステップ 6 このインターフェイスの説明を追加します。
sensor(config-int-phy)# description INT1
ステップ 7 デュプレックス設定を指定します。
sensor(config-int-phy)# duplex full
このオプションは、モジュールでは利用できません。
ステップ 8 速度を指定します。
sensor(config-int-phy)# speed 1000
このオプションは、モジュールでは利用できません。
ステップ 9 必要な場合は、このインターフェイスの TCP リセットをイネーブルにします。
sensor(config-int-phy)# alt-tcp-reset-interface interface-name GigabitEthernet2/0
ステップ 10 無差別インターフェイスとして指定する他のすべてのインターフェイスに対して、ステップ 4 から 9 を繰り返します。
ステップ 11 設定を確認できます。
(注) subinterface-type
がデフォルトの none であることを確認します。subinterface-type コマンドを使用して、インライン VLAN ペアを設定します。
sensor(config-int-phy)# show settings
-----------------------------------------------
media-type: tx <protected>
description: INT1 default:
admin-state: enabled default: disabled
duplex: full default: auto
speed: 1000 default: auto
-----------------------------------------------
interface-name: GigabitEthernet2/0
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 12 インターフェイスから TCP リセットを削除するには、次のコマンドを実行します。
sensor(config-int-phy)# alt-tcp-reset-interface none
ステップ 13 設定を確認できます。
sensor(config-int-phy)# show settings
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <protected>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 14 インターフェイス サブモードを終了します。
sensor(config-int-phy)# exit
ステップ 15 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• IPS 4260 および IPS 4270-20 上でハードウェア バイパス カードを使用している場合、設定に必要な情報については、「ハードウェア バイパス設定の制約事項」を参照してください。
• ご使用のセンサーで使用可能なインターフェイスの一覧については、「インターフェイスのサポート」を参照してください。
• AIP SSM にトラフィックを送信する手順については、「AIP SSM へのトラフィックの送信」を参照してください。
• 代替 TCP リセット インターフェイスの詳細については、 「代替 TCP リセット インターフェイスについて」 および 「代替 TCP リセット インターフェイスの指定」を参照してください。
• インライン VLAN ペアを設定する手順については、「インライン VLAN ペアの設定」を参照してください。
• 仮想センサーにインターフェイスを追加する手順については、「仮想センサーの追加、編集、および削除」を参照してください。
インライン インターフェイス モードの設定
ここでは、センサー上でのインライン モードについて説明します。内容は次のとおりです。
• 「インライン インターフェイス モードについて」
• 「インライン インターフェイス ペアの設定」
インライン インターフェイス モードについて
(注) AIM IPS、AIP SSM、および NME IPS は、検知インターフェイスが 1 つしかない場合でも、インラインで動作するように設定できます。
インライン インターフェイス ペア モードで運用する場合は、IPS が直接トラフィック フローに挿入され、パケット転送速度に影響を与えます。遅延が加わるため、パケット転送速度は遅くなります。その結果、センサーは、悪意のあるトラフィックがターゲットに到達する前にそのトラフィックをドロップして攻撃を阻止できるため、保護サービスが提供されます。インライン デバイスは、レイヤ 3 および 4 で情報を処理するだけでなく、より高度な埋め込み型攻撃のパケットの内容およびペイロードも分析します(レイヤ 3 ~ 7)。この詳細な分析では、通常は従来のファイアウォール デバイスを通過する攻撃をシステムが識別し、停止またはブロックすることができます。
インライン インターフェイス ペア モードでは、パケットはセンサーのペアの 1 つめのインターフェイスを経由して入り、ペアの 2 つめのインターフェイスを経由して出ます。パケットは、シグニチャによって拒否または変更されないかぎり、ペアの 2 つめのインターフェイスに送信されます。
(注) ペアになっているインターフェイスが同じスイッチに接続されている場合は、それらのインターフェイスをスイッチ上で 2 つのアクセス ポートとして設定し、それぞれが異なる VLAN アクセスを持つようにする必要があります。このようにしないと、トラフィックはインライン インターフェイスを通過しません。
図 6-2 は、インライン インターフェイス ペア モードを示しています。
図 6-2 インライン インターフェイス ペア モード
インライン インターフェイス ペアの設定
(注) AIM IPS、AIP SSM、および NME IPS は、モニタリングにインライン ペアを必要としません。必要となるのは、物理インターフェイスを仮想センサーに追加することだけです。
サービス インターフェイス サブモードで inline-interfaces name コマンドを使用して、インライン インターフェイス ペアを作成します。
次のオプションが適用されます。
• inline-interfaces name :論理インライン インターフェイス ペアの名前。
• default :値をシステム デフォルト設定に戻します。
• description :インライン インターフェイス ペアの説明。
• interface1 interface_name :インライン インターフェイス ペア内の最初のインターフェイス。
• interface2 interface_name :インライン インターフェイス ペア内の 2 番めのインターフェイス。
• no :エントリまたは選択設定を削除します。
• admin-state {enabled | disabled} :インターフェイスの管理リンク状態。インターフェイスがイネーブルか、ディセーブルか。
(注) すべてのモジュール上の検知インターフェイスで、admin-state がイネーブルに設定され、保護されます(設定を変更できません)。admin-state は、コマンド/コントロール インターフェイスに影響しません(保護されています)。検出インターフェイスにのみ影響します。コマンド/コントロール インターフェイスはモニタできないため、イネーブルにする必要はありません。
インライン インターフェイス ペアを作成するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 インターフェイス サブモードを開始します。
sensor# configure terminal
sensor(config)# service interface
ステップ 3 インライン インターフェイス内でペアにする物理インターフェイスで、両方のサブインターフェイス モードが none であることを確認します。
sensor(config-int)# show settings
physical-interfaces (min: 0, max: 999999999, current: 2)
-----------------------------------------------
name: GigabitEthernet0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <protected>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 4 インライン ペアに名前を付けます。
sensor(config-int)# inline-interfaces PAIR1
ステップ 5 使用可能なインターフェイスを表示します。
sensor(config-int)# interface1 ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet0/2 GigabitEthernet0/2 physical interface.
GigabitEthernet0/3 GigabitEthernet0/3 physical interface.
Management0/0 Management0/0 physical interface.
ステップ 6 2 つのインターフェイスをペアとして設定します。
sensor(config-int-inl)# interface1 GigabitEthernet0/0
sensor(config-int-inl)# interface2 GigabitEthernet0/1
仮想センサーにインターフェイスを割り当て、イネーブルにすると、トラフィックをモニタできるようになります(ステップ 10)。
ステップ 7 インターフェイス ペアの説明を追加します。
sensor(config-int-inl)# description PAIR1 Gig0/0 and Gig0/1
ステップ 8 インライン インターフェイス ペアに設定するその他のインターフェイスに対して、ステップ 4 ~ 7 を繰り返します。
ステップ 9 設定を確認できます。
sensor(config-int-inl)# show settings
-----------------------------------------------
description: PAIR1 Gig0/0 & Gig0/1 default:
interface1: GigabitEthernet0/0
interface2: GigabitEthernet0/1
-----------------------------------------------
ステップ 10 インターフェイス ペアに割り当てられたインターフェイスをイネーブルにします。
sensor(config-int)# physical-interfaces GigabitEthernet0/0
sensor(config-int-phy)# admin-state enabled
sensor(config-int-phy)# exit
sensor(config-int)# physical-interfaces GigabitEthernet0/1
sensor(config-int-phy)# admin-state enabled
sensor(config-int-phy)# exit
ステップ 11 インスタンスがイネーブルになったことを確認します。
sensor(config-int)# show settings
physical-interfaces (min: 0, max: 999999999, current: 5)
-----------------------------------------------
-----------------------------------------------
media-type: tx <protected>
admin-state: enabled default: disabled
default-vlan: 0 <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
media-type: tx <protected>
admin-state: enabled default: disabled
default-vlan: 0 <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/2 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
default-vlan: 0 <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/3 <defaulted>
-----------------------------------------------
media-type: tx <protected>
ステップ 12 インライン インターフェイス ペアを削除し、インターフェイスを無差別モードに戻すには、次のようにします。
sensor(config-int)# no inline-interfaces PAIR1
インライン インターフェイス ペアを、割り当て先の仮想センサーから削除する必要もあります。
ステップ 13 インライン インターフェイス ペアが削除されたことを確認します。
sensor(config-int)# show settings
-----------------------------------------------
command-control: Management0/0 <protected>
inline-interfaces (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
bypass-mode: auto <defaulted>
-----------------------------------------------
ステップ 14 インターフェイス コンフィギュレーション サブモードを終了します。
ステップ 15 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• IPS 4260 および IPS 4270-20 上でハードウェア バイパス カードを使用している場合、設定に必要な情報については、「ハードウェア バイパス設定の制約事項」を参照してください。
• AIP SSM のインライン インターフェイス モードを設定する手順については、「AIP SSM へのトラフィックの送信」を参照してください。
• インライン インターフェイス ペアを仮想センサーに割り当てる手順、またはインライン インターフェイス ペアを割り当て先の仮想センサーから削除する手順については、「仮想センサーの追加、編集、および削除」を参照してください。
インライン VLAN ペア モードの設定
ここでは、インライン VLAN ペア モード、およびその設定方法について説明します。次の項目について説明します。
• 「インライン VLAN ペア モードについて」
• 「インライン VLAN ペアの設定」
• 「UDLD の設定」
インライン VLAN ペア モードについて
(注) AIM IPS、AIP SSM、および NME IPS は、インライン VLAN ペアをサポートしません。
物理インターフェイス上で、VLAN をペアで関連付けることができます。これは、インライン VLAN ペア モードと呼ばれます。ペアの一方の VLAN で受信されたパケットは、分析後にペアのもう一方の VLAN に転送されます。
インライン VLAN ペア モードは、アクティブ検知モードです。このモードでは、検知インターフェイスが 802.1q トランク ポートとして動作し、センサーがトランク上の VLAN のペア間の VLAN ブリッジングを実行します。センサーは、ペアごとに各 VLAN 上で受信するトラフィックを検査し、そのパケットをペアのもう一方の VLAN に転送するか、または侵入の試行が検出された場合はそのパケットをドロップできます。IPS センサーは、各検知インターフェイス上で最大 255 個の VLAN ペアを同時にブリッジするように設定できます。センサーは、受信した各パケットの 802.1q ヘッダー内の VLAN ID フィールドを、センサーがパケットを転送する出力 VLAN の ID に置き換えます。センサーは、インライン VLAN ペアに割り当てられていないすべての VLAN で受信したすべてのパケットをドロップします。
図 6-3 は、インライン VLAN ペア モードを示しています。
図 6-3 インライン VLAN ペア モード
インライン VLAN ペアの設定
(注) すでに他のインターフェイスとペアになっているインターフェイス、または仮想センサーに割り当てられている無差別モードのインターフェイスに対しては、インライン VLAN ペアを作成できません。
(注) インライン VLAN ペアでペアになっている VLAN のいずれかとして、デフォルト VLAN を使用することはできません。
サービス インターフェイス サブモードで physical-interfaces interface_name コマンドを使用して、インライン VLAN ペアを設定します。インターフェイス名は、FastEthernet または GigabitEthernet です。
次のオプションが適用されます。
• admin-state {enabled | disabled} :インターフェイスの管理リンク状態。インターフェイスがイネーブルか、ディセーブルか。
(注) すべてのモジュール上の検知インターフェイスで、admin-state がイネーブルに設定され、保護されます(設定を変更できません)。admin-state は、コマンド/コントロール インターフェイスに影響しません(保護されています)。検出インターフェイスにのみ影響します。コマンド/コントロール インターフェイスはモニタできないため、イネーブルにする必要はありません。
• default :値をシステム デフォルト設定に戻します。
• description :インターフェイスの説明。
• duplex :インターフェイスのデュプレックス設定。
– auto :インターフェイスを自動ネゴシエーション デュプレックスに設定します。
– full :インターフェイスを全二重に設定します。
– half :インターフェイスを半二重に設定します。
(注) duplex オプションは、すべてのモジュール上で保護されています。
• no :エントリまたは選択設定を削除します。
• speed :インターフェイスの速度設定。
– auto :インターフェイスを自動ネゴシエーション速度に設定します。
– 10 :インターフェイスを 10 MB に設定します(TX インターフェイスの場合だけ)。
– 100 :インターフェイスを 100 MB に設定します(TX インターフェイスの場合だけ)。
– 1000 :インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合だけ)。
(注) speed オプションは、すべてのモジュール上で保護されています。
• subinterface-type :インターフェイスがサブインターフェイスであることを指定し、また次のどのインターフェイス タイプが定義されているかを指定します。
– inline-vlan-pair :サブインターフェイスをインライン VLAN ペアとして定義します。
– none :サブインターフェイスは定義されません。
• subinterface name :サブインターフェイスを次のインライン VLAN ペアとして定義します。
– vlan1 :インライン VLAN ペア内の最初の VLAN。
– vlan2 :インライン VLAN ペア内の 2 番めの VLAN。
センサー上でインライン VLAN ペアを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 インターフェイス サブモードを開始します。
sensor# configure terminal
sensor(config)# service interface
ステップ 3 インライン インターフェイスが存在するか確認します(インライン インターフェイスが設定されていない場合、subinterface-type に「none」と表示されます)。
sensor(config-int)# show settings
physical-interfaces (min: 0, max: 999999999, current: 5)
-----------------------------------------------
name: GigabitEthernet0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/1 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/2 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/3 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: Management0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <protected>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
command-control: Management0/0 <protected>
inline-interfaces (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
bypass-mode: auto <defaulted>
-----------------------------------------------
missed-percentage-threshold: 0 percent <defaulted>
notification-interval: 30 seconds <defaulted>
idle-interface-delay: 30 seconds <defaulted>
-----------------------------------------------
ステップ 4 物理インターフェイスを使用するインライン インターフェイスが存在する場合、そのインターフェイスを削除します。
sensor(config-int)# no inline-interfaces interface_name
インライン インターフェイスを、割り当て先の仮想センサーから削除する必要もあります。
ステップ 5 使用可能なインターフェイスのリストを表示します。
sensor(config-int)# physical-interfaces ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet0/2 GigabitEthernet0/2 physical interface.
GigabitEthernet0/3 GigabitEthernet0/3 physical interface.
Management0/0 Management0/0 physical interface.
sensor(config-int)# physical-interfaces
ステップ 6 インターフェイスを指定します。
sensor(config-int)# physical-interfaces GigabitEthernet0/2
ステップ 7 インターフェイスをイネーブルにします。
sensor(config-int-phy)# admin-state enabled
仮想センサーにインターフェイスを割り当て、イネーブルにすると、トラフィックをモニタできるようになります。
ステップ 8 このインターフェイスの説明を追加します。
sensor(config-int-phy)# description INT1
ステップ 9 デュプレックス設定を行います。
sensor(config-int-phy)# duplex full
このオプションは、モジュールでは利用できません。
ステップ 10 速度を設定します。
sensor(config-int-phy)# speed 1000
このオプションは、モジュールでは利用できません。
ステップ 11 インライン VLAN ペアを設定します。
sensor(config-int-phy)# subinterface-type inline-vlan-pair
sensor(config-int-phy-inl)# subinterface 1
sensor(config-int-phy-inl-sub)# vlan1 52
sensor(config-int-phy-inl-sub)# vlan2 53
ステップ 12 インライン VLAN ペアの説明を追加します。
sensor(config-int-phy-inl-sub)# description INT1 vlans 52 and 53
ステップ 13 インライン VLAN ペアの設定を確認します。
sensor(config-int-phy-inl-sub)# show settings
-----------------------------------------------
description: INT1 vlans 52 and 53 default:
-----------------------------------------------
sensor(config-int-phy-inl-sub)#
ステップ 14 VLAN ペアを削除するには、次の手順に従います。
a. 1 つの VLAN ペアを削除します。
sensor(config-int-phy-inl-sub)# exit
sensor(config-int-phy-inl)# no subinterface 1
この VLAN ペアがセンサー上の最後の VLAN ペアだった場合、次のエラー メッセージが表示されます。
Error: This "subinterface-type" contains less than the required number of "subinterface" entries. Please add entry(s) to reach the minimum required entries or select a different "subinterface-type".
ステップ b に進み、最後の VLAN ペアを削除します。
b. すべての VLAN ペアを削除します。
sensor(config-int-phy-inl-sub)# exit
sensor(config-int-phy-inl)# exit
sensor(config-int-phy)# subinterface-type none
インターフェイスを、割り当て先の仮想センサーから削除する必要もあります。
ステップ 15 インターフェイス サブモードを終了します。
sensor(config-int-phy-inl-sub)# exit
sensor(config-int-phy-inl)# exit
sensor(config-int-phy)# exit
ステップ 16 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• IPS 4260 および IPS 4270-20 上でハードウェア バイパス カードを使用している場合、設定が必要な内容については、「ハードウェア バイパス設定の制約事項」を参照してください。
• インライン インターフェイス ペアを仮想センサーに割り当てる手順、またはインライン インターフェイス ペアを割り当て先の仮想センサーから削除する手順については、「仮想センサーの追加、編集、および削除」を参照してください。
UDLD の設定
単方向リンク検出(UDLD)は、Cisco スイッチが、スパニング ツリー転送ループおよび単一方向リンクを防止するために使用するプロトコルです。これで、インライン VLAN ペア モードで設定される IPS アプライアンスが、スイッチから受信する UDLD パケットに応答できるようになります。スイッチ上の UDLD プロトコルをイネーブルにすると、パケットはアプライアンスに送信されるが、アプライアンスがパケットをスイッチに送り返さないエラー ステートに、アプライアンスがいつなったかを検出することができます。UDLD サポートが使用可能になる前は、スパニング ツリーおよび EtherChannel 設定では、特定のアプライアンス障害を検出できません。その結果、スパニング ツリー ループが発生する場合や、スイッチがパケットの代替ルートを使用しなくなる場合があります。
(注) アプライアンス上で特殊な設定は必要ありません。アプライアンスをインライン VLAN ペア用に設定し、そのインターフェイスがイネーブルになっていることを確認します。
インライン VLAN ペア モードで設定されたアプライアンスを持つ UDLD を使用するよう Catalyst 6500 シリーズ スイッチを設定するには、次の手順に従います。
ステップ 1 コンソールにログインします。
ステップ 2 アグレッシブ モードで UDLD をグローバルにイネーブルにし、UDLD によってディセーブルにされたインターフェイスをスイッチが自動的に復元するのを防止します。
switch(config)# udld aggressive
switch(config)# no errdisable recovery cause udld
switch(config)# errdisable detect cause udld
switch(config)# udld message time 7
ステップ 3 センサー インターフェイスに接続されたスイッチ インターフェイスを、UDLDアグレッシブ モード用に設定します。
switch(config)# interface gigabitethernet slot/port
switch(config-if)# udld port aggressive
センサー インターフェイスに接続されているスイッチ インターフェイスごとに、ステップ 3 を繰り返します。
ステップ 4 UDLD がスイッチ ポートをディセーブルにした場合は、手動でセンサー エラーを修正し、スイッチ インターフェイスを復旧する必要があります。スイッチ インターフェイスを復旧するには、インターフェイスをシャットダウンした後、再度イネーブルにします。
switch(config)# interface gigabit ethernet slot/port
switch(config-if)# shutdown
switch(config-if)# no shutdown
VLAN グループ モードの設定
ここでは、VLAN グループ モードと、VLAN グループの設定方法について説明します。次の項目について説明します。
• 「VLAN グループ モードについて」
• 「VLAN グループの展開」
• 「VLAN グループの設定」
VLAN グループ モードについて
(注) インライン VLAN ペアに含まれている物理インターフェイスは、VLAN グループに分けることはできません。
各物理インターフェイスまたはインライン インターフェイスは、VLAN グループ サブインターフェイスに分けることができます。各サブインターフェイスは、そのインターフェイスの VLAN のグループで構成されます。分析エンジンは複数の仮想センサーをサポートし、それぞれでこれらのインターフェイスの 1 つ以上をモニタできます。これにより、複数のポリシーを同じセンサーに適用できます。この利点は、わずかなインターフェイスしかないセンサーを多くのインターフェイスがあるかのように使用できる点にあります。
VLAN グループ サブインターフェイスによって、物理インターフェイスまたはインライン インターフェイスと VLAN セットが関連付けられます。VLAN を複数の VLAN グループ サブインターフェイスのメンバにすることはできません。各 VLAN グループ サブインターフェイスは、1 ~ 255 の数値で識別されます。サブインターフェイス 0 は、仮想化されていない物理インターフェイスまたは論理インターフェイス全体を表すために使用される予約済みのサブインターフェイス番号です。サブインターフェイス 0 を作成、削除、または変更することはできません。また、サブインターフェイス 0 に関する統計情報は報告されません。
未割り当て VLAN グループは、別の VLAN グループに明示的に割り当てられていないすべての VLAN を含んでいる状態で維持されます。未割り当て VLAN グループ内の VLAN を直接指定することはできません。別の VLAN グループ サブインターフェイスに VLAN が追加されたり、または別の VLAN グループ サブインターフェイスから VLAN が削除されたりすると、未割り当て VLAN グループは更新されます。
通常、802.1q トランクのネイティブ VLAN 内のパケットには、そのパケットが属する VLAN 番号を示す 802.1q カプセル化ヘッダーがありません。各物理インターフェイスには、デフォルトの VLAN 変数が関連付けられており、この変数をネイティブ VLAN の VLAN 番号または 0 に設定する必要があります。値 0 は、ネイティブ VLAN が不明であるか、またはネイティブ VLAN の指定の有無は関係ないことを示しています。デフォルトの VLAN 設定が 0 の場合は、次の処理が行われます。
• 802.1q カプセル化のないパケットによってトリガーされたアラートには、VLAN 値 0 が報告されます。
• 802.1q カプセル化のないトラフィックは未割り当て VLAN グループに関連付けられ、ネイティブ VLAN として他の VLAN グループに割り当てることができません。
(注) スイッチのポートは、アクセス ポートまたはトランク ポートとして設定できます。アクセス ポートでは、すべてのトラフィックは、アクセス VLAN と呼ばれる 1 つの VLAN 内にあります。トランク ポートでは、ポートで複数の VLAN を伝送することができ、各パケットには VLAN ID を含む 802.1q ヘッダーと呼ばれる特別なヘッダーが付加されます。このヘッダーは、一般に VLAN タグと呼ばれます。ただし、トランク ポートには、ネイティブ VLAN と呼ばれる特別な VLAN があります。ネイティブ VLAN 内のパケットには、802.1q ヘッダーは付加されていません。IDSM2 は、ネイティブでないすべてのトラフィックの 802.1q ヘッダーを読み取り、そのパケットの VLAN ID を判断することができます。ただし、IDSM2 は、スイッチ設定内のポートのネイティブ VLAN としてどの VLAN が設定されているかはわからないため、ネイティブ パケットを受信する VLAN も認識できません。したがって、どの VLAN が該当のポートのネイティブ VLAN であるかを IDSM2 に通知する必要があります。IDSM2 は、タグが付いていないパケットを、ネイティブ VLAN ID のタグが付いたパケットとして処理します。
VLAN グループの展開
インライン ペアの VLAN グループは、VLAN ID を変換しません。したがって、論理インターフェイスで VLAN グループを使用するには、2 つのスイッチ間にインライン ペア インターフェイスが存在する必要があります。アプライアンスの場合、2 つのペアを同じスイッチに接続し、それらをアクセス ポートにして、2 つのポートに対して別々にアクセス VLAN を設定できます。この設定では、センサーは 2 つの VLAN 間を接続します。これは、2 つのポートはそれぞれアクセス モードであり、1 つの VLAN だけを伝送するためです。この場合、2 つのポートは異なる VLAN に存在する必要があります。センサーはこれら 2 つの VLAN をブリッジし、2 つの VLAN 間を流れるすべてのトラフィックをモニタします。IDSM2 の 2 つのデータ ポートは常に同じスイッチに接続されているため、IDSM2 はこの方法でも動作します。
2 つのスイッチ間にアプライアンスを接続することもできます。2 つの方法があります。第 1 の方法では、2 つのポートがアクセス ポートとして設定されるため、1 つの VLAN を伝送できます。この方法では、センサーは 2 つのスイッチ間で 1 つの VLAN をブリッジします。
第 2 の方法では、2 つのポートはトランク ポートとして設定されるため、複数の VLAN を伝送できます。この設定では、センサーは 2 つのスイッチ間で複数の VLAN をブリッジします。複数の VLAN がインライン インターフェイス ペアで伝送されるため、VLAN をグループに分けることができ、各グループを仮想センサーに割り当てることができます。第 2 の方法は、IDSM2 には適用されません。IDSM2 はこの方法では接続できないためです。
詳細情報
VLAN グループ内で IDSM2 を設定する手順については、「IDSM2 の設定」を参照してください。
VLAN グループの設定
サービス インターフェイス サブモードで physical-interfaces interface_name コマンドを使用して、インライン VLAN グループを設定します。インターフェイス名は、FastEthernet または GigabitEthernet です。
次のオプションが適用されます。
• admin-state {enabled | disabled} :インターフェイスの管理リンク状態。インターフェイスがイネーブルか、ディセーブルか。
(注) すべてのモジュール上の検知インターフェイスで、admin-state がイネーブルに設定され、保護されます(設定を変更できません)。admin-state は、コマンド/コントロール インターフェイスに影響しません(保護されています)。検出インターフェイスにのみ影響します。コマンド/コントロール インターフェイスはモニタできないため、イネーブルにする必要はありません。
• default :値をシステム デフォルト設定に戻します。
• description :インターフェイスの説明。
• duplex :インターフェイスのデュプレックス設定。
– auto :インターフェイスを自動ネゴシエーション デュプレックスに設定します。
– full :インターフェイスを全二重に設定します。
– half :インターフェイスを半二重に設定します。
(注) duplex オプションは、すべてのモジュール上で保護されています。
• no :エントリまたは選択設定を削除します。
• speed :インターフェイスの速度設定。
– auto :インターフェイスを自動ネゴシエーション速度に設定します。
– 10 :インターフェイスを 10 MB に設定します(TX インターフェイスの場合だけ)。
– 100 :インターフェイスを 100 MB に設定します(TX インターフェイスの場合だけ)。
– 1000 :インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合だけ)。
(注) speed オプションは、すべてのモジュール上で保護されています。
• subinterface-type :インターフェイスがサブインターフェイスであることを指定し、また次のどのインターフェイス タイプが定義されているかを指定します。
– vlan-group :サブインターフェイスを VLAN グループとして定義します。
– none :サブインターフェイスは定義されません。
• subinterface name :サブインターフェイスを次の VLAN グループとして定義します。
– vlans {range | unassigned} :VLAN グループ内の VLAN のセット
(注) range の値は、カンマで区切りパターンの VLAN ID で 1 ~ 4095、または 1,5-8,10-15 となります。エントリ間にスペースは入れません。
センサー上でインライン VLAN グループを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 インターフェイス サブモードを開始します。
sensor# configure terminal
sensor(config)# service interface
ステップ 3 インライン インターフェイスが存在するか確認します(インライン インターフェイスが設定されていない場合、subinterface-type に「none」と表示されます)。
sensor(config-int)# show settings
physical-interfaces (min: 0, max: 999999999, current: 5)
-----------------------------------------------
name: GigabitEthernet0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/1 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/2 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/3 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: Management0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <protected>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
command-control: Management0/0 <protected>
inline-interfaces (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
bypass-mode: auto <defaulted>
-----------------------------------------------
missed-percentage-threshold: 0 percent <defaulted>
notification-interval: 30 seconds <defaulted>
idle-interface-delay: 30 seconds <defaulted>
-----------------------------------------------
ステップ 4 物理インターフェイスを使用するインライン インターフェイスが存在する場合、そのインターフェイスを削除します。
sensor(config-int)# no inline-interfaces interface_name
ステップ 5 使用可能なインターフェイスのリストを表示します。
sensor(config-int)# physical-interfaces ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet0/2 GigabitEthernet0/2 physical interface.
GigabitEthernet0/3 GigabitEthernet0/3 physical interface.
Management0/0 Management0/0 physical interface.
sensor(config-int)# physical-interfaces
ステップ 6 インターフェイスを指定します。
sensor(config-int)# physical-interfaces GigabitEthernet0/2
ステップ 7 インターフェイスをイネーブルにします。
sensor(config-int-phy)# admin-state enabled
仮想センサーにインターフェイスを割り当て、イネーブルにすると、トラフィックをモニタできるようになります。
ステップ 8 このインターフェイスの説明を追加します。
sensor(config-int-phy)# description INT1
ステップ 9 デュプレックス設定を指定します。
sensor(config-int-phy)# duplex full
このオプションは、モジュールでは利用できません。
ステップ 10 速度を指定します。
sensor(config-int-phy)# speed 1000
このオプションは、モジュールでは利用できません。
ステップ 11 VLAN グループを設定します。
sensor(config-int-phy)# subinterface-type vlan-group
sensor(config-int-phy-vla)# subinterface 1
ステップ 12 このグループに VLAN を割り当てます。
a. 特定の VLAN に対しては、次のようにします。
sensor(config-int-phy-vla-sub)# vlans range 1,5-8,10-15
sensor(config-int-phy-vla-sub)#
b. 設定を確認できます。
sensor(config-int-phy-vla-sub)# show settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
sensor(config-int-phy-vla-sub)#
c. 未割り当ての VLAN に対しては、次のようにします。
sensor(config-int-phy-vla-sub)# vlans unassigned
sensor(config-int-phy-vla-sub)#
d. 設定を確認できます。
sensor(config-int-phy-vla-sub)# show settings
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
sensor(config-int-phy-vla-sub)#
(注) 未割り当ての VLAN を別の仮想センサーに割り当てると、明示的に他のグループに割り当てられていないすべての VLAN に対してポリシーを指定できます。たとえば、重要な内部 VLAN を 1 つのグループにまとめ、そのグループに厳重なセキュリティ ポリシーを適用することができます。重要性の低い別の未割り当て VLAN を別のグループにまとめ、そのグループにデフォルトのセキュリティ ポリシーを適用して、非常に深刻なアラートのみ報告されるようにできます。
ステップ 13 VLAN グループの説明を追加します。
sensor(config-int-phy-inl-sub)# description INT1 vlans 52 and 53
ステップ 14 VLAN グループの設定を確認します。
sensor(config-int-phy-vla-sub)# show settings
-----------------------------------------------
description: GROUP1 default:
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
sensor(config-int-phy-vla-sub)#
ステップ 15 VLAN グループを削除するには、次の手順に従います。
a. 1 つの VLAN グループを削除します。
sensor(config-int-phy-vla-sub)# exit
sensor(config-int-phy-vla)# no subinterface 1
この VLAN グループがセンサー上の最後の VLAN グループだった場合、エラー メッセージが表示されます。
Error: This "subinterface-type" contains less than the required number of "subinterface" entries. Please add entry(s) to reach the minimum required entries or select a different "subinterface-type".
ステップ b に進み、最後の VLAN グループを削除します。
b. すべての VLAN グループを削除します。
sensor(config-int-phy-vla-sub)# exit
sensor(config-int-phy-vla)# exit
sensor(config-int-phy)# subinterface-type none
VLAN グループを、割り当て先の仮想センサーから削除する必要もあります。
ステップ 16 インターフェイス サブモードを終了します。
sensor(config-int-phy-vla-sub)# exit
sensor(config-int-phy-vla)# exit
sensor(config-int-phy)# exit
ステップ 17 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• IPS 4260 および IPS 4270-20 上でハードウェア バイパス カードを使用している場合、設定に必要な情報については、「ハードウェア バイパス設定の制約事項」を参照してください。
• インライン インターフェイス ペアを仮想センサーに割り当てる手順、またはインライン インターフェイス ペアを割り当て先の仮想センサーから削除する手順については、「仮想センサーの追加、編集、および削除」を参照してください。
インターフェイス通知の設定
インターフェイス上のパケットのフローをモニタし、そのフローが指定した間隔中に変更(開始/停止)された場合に通知を送信するようにセンサーを設定できます。特定の通知間隔内に失われたパケットのしきい値を設定でき、ステータス イベントがレポートされる前のインターフェイス アイドル遅延も設定できます。サービス インターフェイス サブモードで interface-notifications コマンドを使用して、トラフィック通知を設定します。
次のオプションが適用されます。
• default :値をシステム デフォルト設定に戻します。
• idle-interface-delay :インターフェイスがこの秒数だけアイドル状態になっていると、通知が送信されます。有効な範囲は 5 ~ 3600 です。デフォルトは 30 秒です。
• missed-percentage-threshold :指定された間隔の間にこのパーセンテージだけパケット損失があると、通知が送信されます。有効な範囲は 0 ~ 100 です。デフォルトは 0 です。
• notification-interval :失われたパケットのパーセンテージを確認する間隔。有効な範囲は 5 ~ 3600 です。デフォルトは 30 秒です。
インターフェイス通知を設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 インターフェイス サブモードを開始します。
sensor(config)# service interface
ステップ 4 インターフェイス通知サブモードを開始します。
sensor(config-int)# interface-notifications
ステップ 5 アイドル インターフェイス遅延を指定します。
sensor(config-int-int)# idle-interface-delay 60
ステップ 6 損失パーセンテージのしきい値を指定します。
sensor(config-int-int)# missed-percentage-threshold 1
ステップ 7 通知間隔を指定します。
sensor(config-int-int)# notification-interval 60
ステップ 8 設定を確認できます。
sensor(config-int-int)# show settings
-----------------------------------------------
missed-percentage-threshold: 1 percent default: 0
notification-interval: 60 seconds default: 30
idle-interface-delay: 60 seconds default: 30
-----------------------------------------------
ステップ 9 インターフェイス通知サブモードを終了します。
sensor(config-int-int)# exit
ステップ 10 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
インターフェイス統計情報の表示
EXEC モードで show interfaces [ clear | brief ] コマンドを使用して、すべてのシステム インターフェイスの統計情報を表示します。 show interfaces { FastEthernet | GigabitEthernet | Management } [ slot/port ] コマンドを使用して、特定インターフェイスの統計情報を表示します。
次のオプションが適用されます。
• clear :(任意)診断情報をクリアします。
• brief :(任意)各インターフェイスのユーザビリティ ステータス情報の要約を表示します。
• FastEthernet :FastEthernetインターフェイスの統計情報を表示します。
• GigabitEthernet :GigabitEthernetインターフェイスの統計情報を表示します。
• Management :管理インターフェイスの統計情報を表示します。
(注) このキーワードは、Management とマークされた外部ポートを持つプラットフォームでのみサポートされます。
• slot/port :インターフェイスの特定のスロット/ポートに関する統計情報を表示します。
インターフェイス統計情報を表示するには、次の手順に従います。
ステップ 1
CLI にログインします。
ステップ 2 すべてのインターフェイスの統計情報を表示します。
Total Packets Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/0
Statistics From Subinterface 12
Total Packets Received On This Vlan Group = 0
Total Bytes Received On This Vlan Group = 0
Total Packets Transmitted On This Vlan Group = 0
Total Bytes Transmitted On This Vlan Group = 0
Statistics From Subinterface 16
Total Packets Received On This Vlan Group = 0
Total Bytes Received On This Vlan Group = 0
Total Packets Transmitted On This Vlan Group = 0
Total Bytes Transmitted On This Vlan Group = 0
Statistics From Subinterface 25
Total Packets Received On This Vlan Group = 0
Total Bytes Received On This Vlan Group = 0
Total Packets Transmitted On This Vlan Group = 0
Total Bytes Transmitted On This Vlan Group = 0
ステップ 3 インターフェイスの簡単な要約を表示します。
sensor# show interfaces brief
CC Interface Sensing State Link Inline Mode Pair Status
GigabitEthernet0/0 Disabled Down Unpaired N/A
* Management0/0 Disabled Up
GigabitEthernet0/1 Disabled Down Unpaired N/A
GigabitEthernet0/2 Disabled Down Unpaired N/A
GigabitEthernet0/3 Disabled Down Unpaired N/A
* は、そのインターフェイスがコマンド/コントロール インターフェイスであることを示します。
ステップ 4 特定のインターフェイスの統計情報を表示します。
sensor# show interfaces Management0/0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Total Packets Received = 4305909
Total Bytes Received = 280475712
Total Multicast Packets Received = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 973627
Total Bytes Transmitted = 437632618
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ステップ 5 統計情報をクリアするには、次のようにします。
sensor# show interfaces clear
Total Packets Received = 0
Missed Packet Percentage = 0
Current Bypass Mode = Auto_off
MAC statistics from interface GigabitEthernet0/0
Statistics From Subinterface 12
Total Packets Received On This Vlan Group = 0
Total Bytes Received On This Vlan Group = 0
Total Packets Transmitted On This Vlan Group = 0
Total Bytes Transmitted On This Vlan Group = 0
Statistics From Subinterface 16
Total Packets Received On This Vlan Group = 0
Total Bytes Received On This Vlan Group = 0
Total Packets Transmitted On This Vlan Group = 0
Total Bytes Transmitted On This Vlan Group = 0
Statistics From Subinterface 25
Total Packets Received On This Vlan Group = 0
Total Bytes Received On This Vlan Group = 0
Total Packets Transmitted On This Vlan Group = 0
Total Bytes Transmitted On This Vlan Group = 0
詳細情報
スロット番号とポート番号、およびどのプラットフォームに管理ポートが存在するかについては、『 Installing Cisco Intrusion Prevention System Appliances and Modules 7.0 』を参照してください。