IPS 5.X以降/IDSM2:CLIおよびIDMを使用したインラインVLANペアモードの設定例
はじめに
物理インターフェイスのペアの VLAN の関連付けはインライン VLAN ペア モードと呼ばれています。ペアの VLAN の一方で受信したパケットは分析され、ペアのもう一方の VLAN に転送されます。インラインVLANペアは、NM-CIDS、AIP-SSM-10、およびAIP-SSM-20を除き、侵入防御システム(IPS)5.1と互換性のあるすべてのセンサーでサポートされます。
インラインVLANペアモードはアクティブなセンシングモードで、センシングインターフェイスが802.1qトランクポートとして動作し、センサーがトランク上のVLANペア間のVLANブリッジングを実行します。つまり、センシングインターフェイスに接続されたスイッチは、トランクモードである必要があります。
センサーは、各ペアの各VLANで受信するトラフィックを検査し、ペアの他のVLANでパケットを転送するか、侵入の試みが検出された場合はパケットをドロップできます。IPSセンサーは、各検知インターフェイスで最大255のVLANペアを同時にブリッジするように設定できます。センサーは、受信した各パケットの802.1qヘッダー内のVLAN IDフィールドを、パケットを転送する出力VLANのIDに置き換えます。センサーは、インラインVLANペアに割り当てられていないVLANで受信されたすべてのパケットをドロップします。
注:IPS-4260では、フェールオープンハードウェアバイパスはインラインVLANペアではサポートされていません。詳細は、『ハードウェアバイパス設定の制限』を参照してください。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、5.1以降を使用するCisco Intrusion Prevention System(IPS;侵入防御システム)センサーに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
関連製品
また、このドキュメントの情報は、侵入検知システム(IDSM-2)サービス モジュールにも適用されます。
表記法
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
VACLキャプチャの設定
スイッチのIDSMにトラフィックを送信するには、『IDSM-2の設定』の「VACLキャプチャの設定」セクションを参照してください。
インラインVLANペアモードの設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。
CLIを使用してインラインVLANペアを設定するには、サービスインターフェイスサブモードでphysical-interfaces interface_nameコマンドを使用します。インターフェイス名はFastEthernetまたはGigabitEthernetです。
これらのオプションによって、次の設定が割り当てられます。
-
admin-state {enabled | disabled}:インターフェイスの管理リンク状態。インターフェイスは有効または無効のいずれかです。
注:すべてのモジュール(IDSM-2 NM-CIDSおよびAIP-SSM)のすべてのバックプレーンセンシングインターフェイスで、admin-stateは有効に設定され、保護されます(設定を変更することはできません)。admin-state は、コマンド/制御インターフェイスに影響しません(保護されています)。検出インターフェイスにのみ影響します。コマンドおよび制御インターフェイスはモニタできないため、有効にする必要はありません。
-
default:値をシステムのデフォルト設定に戻します。
-
description:インラインインターフェイスペアの説明。
-
duplex:インターフェイスのデュプレックス設定。
-
auto:デュプレックスを自動ネゴシエートするようにインターフェイスを設定します。
-
full:インターフェイスを全二重に設定します。
-
half:インターフェイスを半二重に設定します。
注:デュプレックスオプションは、すべてのモジュールで保護されています。
-
-
no:エントリまたは選択設定を削除します。
-
speed:インターフェイスの速度設定。
-
auto:インターフェイスの速度を自動ネゴシエートするように設定します。
-
10:インターフェイスを10 MBに設定します(TXインターフェイスのみ)。
-
100:インターフェイスを100 MBに設定します(TXインターフェイスのみ)。
-
1000:インターフェイスを1 GBに設定します(ギガビットインターフェイス用)。
注:速度オプションはすべてのモジュールで保護されています。
-
-
subinterface-type:インターフェイスがサブインターフェイスであり、定義されているサブインターフェイスのタイプを指定します。
-
inline-vlan-pair:サブインターフェイスをインラインVLANペアとして定義できます。
-
none:サブインターフェイスが定義されていません。
-
-
subinterface:サブインターフェイスをインラインVLANペアとして定義します。
-
vlan1:インラインVLANペアの最初のVLAN。
-
vlan2:インラインVLANペアの2番目のVLAN。
-
CLI での設定
CLIを使用してセンサーでインラインVLANペアを設定するには、次の手順を実行します。
-
管理者権限を持つアカウントを使用してCLIにログインします。
-
インターフェイス サブモードを入力します。
sensor#configure terminal sensor(config)#service interface sensor(config-int)#
-
インラインインターフェイスが存在するかどうかを確認します(インラインインターフェイスが設定されていない場合は、サブインターフェイスのタイプは「none」になります)。
sensor(config-int)#show settings physical-interfaces (min: 0, max: 999999999, current: 2) ----------------------------------------------- <protected entry> name: GigabitEthernet0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/1 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/2 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/3 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: Management0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- command-control: Management0/0 <protected> inline-interfaces (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- bypass-mode: auto <defaulted> interface-notifications ----------------------------------------------- missed-percentage-threshold: 0 percent <defaulted> notification-interval: 30 seconds <defaulted> idle-interface-delay: 30 seconds <defaulted> ----------------------------------------------- sensor(config-int)# -
次の物理インターフェイスを使用するインラインインターフェイスをすべて削除します。
sensor(config-int)#no inline-interfaces interface_name
-
使用可能なインターフェイスのリストが表示されます。
sensor(config-int)#physical-interfaces ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet0/2 GigabitEthernet0/2 physical interface. GigabitEthernet0/3 GigabitEthernet0/3 physical interface. Management0/0 Management0/0 physical interface. sensor(config-int)#physical-interfaces
-
インターフェイスを指定します。
sensor(config-int)#physical-interfaces GigabitEthernet0/2
-
インターフェイスのadmin-stateを有効にします。
sensor(config-int-phy)#admin-state enabled
トラフィックをモニタするには、インターフェイスを仮想センサーに割り当て、有効にする必要があります。
-
このインターフェイスの説明を追加します。
sensor(config-int-phy)#description INT1
-
デュプレックスを設定します。
sensor(config-int-phy)#duplex full
このオプションはモジュールでは使用できません。
-
速度を設定します。
sensor(config-int-phy)#speed 1000
このオプションはモジュールでは使用できません。
-
インラインVLANペアを設定します。
sensor(config-int-phy)#subinterface-type inline-vlan-pair sensor(config-int-phy-inl)#subinterface 1 sensor(config-int-phy-inl-sub)#vlan1 52 sensor(config-int-phy-inl-sub)#vlan2 53
-
インラインVLANペアの説明を追加します。
sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53
-
インラインVLANペアの設定を確認します。
sensor(config-int-phy-inl-sub)#show settings subinterface-number: 1 ----------------------------------------------- description: VLANpair1 default: vlan1: 52 vlan2: 53 ----------------------------------------------- sensor(config-int-phy-inl-sub)# -
インターフェイスサブモードを終了します。
sensor(config-int-phy-inl-sub)#exit sensor(config-int-phy-inl)#exit sensor(config-int-phy)#exit sensor(config-int)#exit Apply Changes:?[yes]:
-
変更を適用するにはEnterキーを押し、変更を破棄するにはnoと入力します。
-
バーチャルセンサーのコンフィギュレーションモードを開始します。
sensor(config)#service analysis-engine sensor(config-ana)#virtual-sensor vs0 -
インターフェイスをバーチャルセンサーに追加します。
sensor(config-ana-vir)#physical-interface GigabitEthernet0/2 subinterface-number 1
-
virtual-sensorサブモードを終了します。
sensor(config-ana-vir)#exit sensor(config-ana)#exit Apply Changes:?[yes]: -
変更を適用するにはEnterキーを押し、変更を破棄するにはnoと入力します。
IDM の設定
IDS Device Manager(IDM)を使用してセンサーでインラインVLANペアを設定するには、次の手順を実行します。
-
ブラウザを開き、https://<Management_IP_Address_of_IPS> と入力して、IPS 上の IDM にアクセスします。
-
[Download IDM Launcher and Start IDM] をクリックし、アプリケーションのインストーラをダウンロードします。
-
ホスト名、IPアドレス、バージョン、モデルなどのデバイス情報を表示するには、ホームページに移動します。
-
[Configuration] > [Sensor Setup] の順に移動して、[Network] をクリックします。ホスト名、IP アドレス、デフォルト ルートを指定できます。
-
[Configuration] > [Interface Configuration] の順に移動して、[Summary] をクリックします。
このページには、センシングインターフェイスの設定の概要が表示されます。
-
Configuration > Interface Configuration > Interfacesの順に選択し、インターフェイス名を選択します。次に、Enableをクリックして、センシングインターフェイスをイネーブルにします。また、デュプレックス、速度、VLAN 情報を設定します。
-
Configuration > Interface Configuration > VLAN Pairsの順に選択し、Addをクリックして、インラインVLANペアを作成します。
-
センシングインターフェイス(GigabitEthernet0/0)のサブインターフェイス番号、VLAN AおよびVLAN Bを入力します。
インラインVLANペア設定の概要を表示できます。
-
[Configuration] > [Analysis Engine] > [Virtual Sensor] の順に移動して、[Edit] をクリックし、新しい仮想センサーを作成します。
-
インラインVLANペア52および53を仮想センサーvs0に割り当てます。
割り当てた仮想センサー情報の要約を表示します。
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
27-Jun-2007 |
初版 |
フィードバック