Cisco IOS IP アプリケーション サービス コンフィ ギュレーション ガイド リリース 15.1

IP ソース ルーティング

Cisco IOS ソフトウェアは、すべてのパケットの IP ヘッダー オプションを検査します。RFC 791 に定義されている IP ヘッダー オプションである Strict Source Route、Loose Source Route、Record Route、および Time Stamp をサポートします。これらのオプションのいずれかがイネーブルにされているパケットを検出すると、適切なアクションを実行します。無効なオプションが設定されたパケットを検出すると、Internet Control Message Protocol（ICMP; インターネット制御メッセージ プロトコル）パラメータの問題に関するメッセージをパケットの送信元に送信し、該当のパケットを破棄します。

IP は、送信元 IP ホストが IP ネットワーク上のルートを指定できるプロビジョニング（「ソース ルーティング」と呼ばれます）を提供します。ソース ルーティングは、IP ヘッダーのオプションとして指定されます。ソース ルーティングが指定されると、ソフトウェアは指定されたソース ルートに従ってパケットを転送します。IP ソース ルーティングは、ネットワーク上の特定のルートを通るようにパケットに強制したい場合に採用されます。デフォルトでは、ソース ルーティングが実行されます。IP ソース ルーティングがネットワークでの正規の目的に使用されることはめったにありません。古い IP 実装では、ソース-ルート パケットが適切に処理されないことがあり、ソース ルーティング オプションを指定してデータグラムに送信することで、これらの実装を実行するデバイスがクラッシュすることがあります。可能である限り、IP ソース ルーティングをディセーブルにします。IP ソース ルーティングをディセーブルにすると、Cisco ルータは、ソース ルーティング オプションを送受信する IP パケットの転送を行いません。

ICMP の概要

Internet Control Message Protocol（ICMP）は、元来、RFC 792 で TCP/IP スイート用に作成されたもので、少数のエラー状態を報告するように設計されました。ICMP は、さまざまなエラー状態を報告し、フィードバック機能やテスト機能を提供することもできます。各メッセージでは、共通のフォーマットが使用され、同じプロトコル ルールを使用して送受信されます。

ICMP により、カプセル化されたメッセージの IP デバイス間での送受信を許可することで、IP はアドレッシング、データグラム パッケージング、およびルーティングを実行できるようになります。これらのメッセージは、他の IP メッセージのように、IP データグラムにカプセル化されます。メッセージが生成されると、元の IP ヘッダーは ICMP メッセージにカプセル化され、これらの 2 つの情報は新しい IP ヘッダー内にカプセル化されて、エラー報告として送信元デバイスに返されます。

ICMP メッセージはさまざまな状況で送信されます。たとえば、データグラムが宛先に到達できない場合、ゲートウェイにデータグラムを転送するためのバッファリング機能がない場合、ゲートウェイが短いルート上でトラフィックを送信するホストを指定できる場合、などが挙げられます。メッセージに関するメッセージの無限後退を避けるため、ICMP メッセージに関する ICMP メッセージが送信されることはありません。

ICMP によって、IP の信頼性が高められることや、データグラム配信や制御メッセージが戻されることが確実になることはありません。一部のデータグラムは、データ損失が報告されることなく、ドロップされることがあります。IP を使用する上位レベルのプロトコルは、信頼性の高い通信が求められる場合、信頼性を高めるための独自の手順を実装する必要があります。

IPv6 および ICMP の詳細については、次の URL に掲載されている『 Cisco IOS IPv6 Configuration Guide 』の「Implementing IPv6 Addressing and Basic Connectivity」を参照してください。

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-addrg_bsc_con.html

ICMP 到達不能エラー メッセージ

宛先ホストのアプリケーションに対してメッセージを完全に配信できない場合は、タイプ 3 のエラー メッセージが送信されます。ICMP ヘッダーに含まれる 6 つのコードに、次のような到達不能条件が示されます。

• 0：ネットワーク到達不能

• 1：ホスト到達不能

• 2：プロトコル到達不能

• 3：ポート到達不能

• 4：フラグメンテーションが必要であるのに「Don't Fragment」（DF）ビットが設定されている

• 5：ソース ルート機能停止

Cisco IOS ソフトウェアは、ICMP 到達不能宛先エラー メッセージの生成を抑止できます。これは「レート制限」と呼ばれます。デフォルトでは、0.5 秒の間に 2 つ以上の到達不能メッセージが生成されないようにします。コード 4 やその他の到達不能宛先エラー メッセージがあるため、このように間隔を空けて設定できます。ただし、送信されていない ICMP メッセージの数を表示する方法はありません。

送信されていないタイプ 3 メッセージをカウントして表示する方法は、ICMP 到達不能宛先カウンタ機能によって提供されます。ルータに対する Denial of Service（DoS; サービス拒否）攻撃を示す過剰なレート制限が見られる期間が発生すると、この機能によりコンソール ロギングにもエラー メッセージが表示されます。

不明なプロトコルを使用した、自身に宛てた非ブロードキャスト パケットを受け取ると、Cisco IOS ソフトウェアは送信元に ICMP プロトコル 到達不能メッセージを送り返します。同様に、宛先アドレスへのルートがないことが明らかで最終的な宛先に配信できないパケットを受け取ったときも、Cisco IOS ソフトウェアは送信元に ICMP プロトコル 到達不能メッセージを送り返します。この機能はデフォルトでイネーブルになっています。

可能である限り、Internet Message Control Protocol（ICMP; インターネット制御メッセージ プロトコル）ホスト到達不能メッセージをディセーブルにします。ICMP は、パス、ルート、ネットワーク状態に関する情報をリレーする方法で、IP トラフィックをサポートします。これらのメッセージは、ネットワーク マッピング情報を取得することを目的に攻撃者によって利用されることがあります。

空のインターフェイスはパケット シンクであるため、ここで転送されたパケットは必ず破棄され、（機能がディセーブルになっていない限り）ホスト到達不能メッセージが生成されます。この場合、空のインターフェイスを使用して DoS 攻撃をブロックしていると、ローカル ネットワークではこれらのメッセージのフラッディングが発生します。このような状況に陥らないようにするためには、これらのメッセージをディセーブルにします。また、ブロックされたすべてのパケットは空のインターフェイスに転送されるため、ホスト到達不能メッセージを受信する攻撃者がそれらのメッセージを使用して Access Control List（ACL; アクセス コントロール リスト）設定を利用できるようになることがあります。ルータに「null 0」インターフェイスを設定している場合は、廃棄されたパケットや空のインターフェイスにルーティングされたパケットの ICMP ホスト到達不能メッセージをディセーブルにしてください。

ICMP マスク応答メッセージ

ネットワーク デバイスでは、インターネットワーク内の特定のサブネットワークのサブネット マスクを認識することが必要になる場合があります。このような場合、この情報を取得するため、デバイスは ICMP マスク要求メッセージを送信することができます。必要な情報を保有するデバイスからの応答として、ICMP マスク応答メッセージが送信されます。Cisco IOS ソフトウェアは、ICMP マスク要求メッセージに応答できます（この機能がイネーブルになっている場合）。

これらのメッセージは、ネットワーク マッピング情報を取得することを目的に攻撃者によって利用されることがあります。

ICMP リダイレクト メッセージ

ルートは、最善ではないことがあります。たとえば、ルータは、パケットを受信したインターフェイスを通してパケットを再送信するように強制されることがあります。ルータが、パケットを受信したのと同じインターフェイスを通してパケットを再送信すると、Cisco IOS ソフトウェアはパケットの発信元に対して ICMP リダイレクト メッセージを送信し、ルータがサブネット上で受信デバイスに直接接続されていることと、パケットは同じサブネット上の別のシステムに転送する必要があることを知らせます。ソフトウェアがパケットの発信元に ICMP リダイレクト メッセージを送信するのは、送信元ホストは、このデバイスをまったく関与させることなく、パケットをネクストホップに送信できるからです。リダイレクト メッセージは、送信者に対し、ルートから受信デバイスを削除し、より具体的にパスを示すデバイスに置き換えるように指示します。この機能はデフォルトでイネーブルになっています。

適切に機能している IP ネットワークでは、ルータは独自のローカル サブネット上にあるホストにしかリダイレクトを送信しません。エンド ノードがリダイレクトを送信することはなく、またリダイレクトが複数のネットワーク ホップを通過することもありません。ただし、攻撃者がこれらのルールに違反することがあり、これに基づいた攻撃も見られます。ICMP リダイレクトをディセーブルにすると、ネットワークに運用上の影響を及ぼすことなく、この方法で攻撃される可能性を排除できます。

サービス拒否攻撃

サービス拒否は次第に懸念が高まってきている問題です。特に、このような攻撃に関連するコストには大きな関心が寄せられています。DoS 攻撃は、ネットワーク デバイスのパフォーマンス低下、デバイスのネットワークからの切断、システム クラッシュの発生、などの原因となります。ネットワーク サービスを利用できないと、企業やサービス プロバイダーは生産性低下や売上損失の損害を被ることになります。

DoS 攻撃の目的は、ユーザや組織がサービスまたはリソースにアクセスできないようにすることです。Web サイトが DoS 攻撃の危険にさらされると、数百万のユーザのそのサイトへのアクセスが拒否されます。通常、DoS 攻撃によって情報が不正に盗み取られることはありません。DoS 攻撃では、不正なユーザがアクセスできるようにするのではなく、許可されたユーザのアクセスを妨害することで、苛立たせたり、コストを発生させたりします。Distributed DoS（DDoS; 分散型 DoS）攻撃は、危険にさらされたシステムで攻撃パケットのフラッディングを発生させるように DoS 攻撃を増幅させたもので、これにより、対象システムのユーザのサービス拒否が生じます。

DoS 攻撃は、ICMP エコー要求（ping）のストリームが宛先サブネットにブロードキャストされるときに発生します。これらの要求の送信元アドレスは、ターゲットの送信元アドレスに改ざんされます。攻撃者が要求を送信すると、その都度、サブネット上のホストはターゲット上でフラッディングを発生させ、帯域幅を浪費させます。大部分の DoS 攻撃は「Smurf」攻撃と呼ばれます。これは実行可能プログラムにちなんで名付けられたものです。ホストに対するネットワークレベル攻撃のカテゴリに該当します。ICMP 到達不能宛先カウンタ機能の error-message ロギングがイネーブルになっていると、DoS 攻撃を簡単に検出できます。

PMTUD

Cisco IOS ソフトウェアは、RFC 1191 に定義されたとおりに、IP PMTUD メカニズムをサポートします。IP PMTUD を使用すると、ホストは経路上のさまざまなリンクで許容される Maximum Transmission Unit（MTU; 最大伝送ユニット）サイズの差異をダイナミックに検出し、対処できます。（パケットが、ip mtu インターフェイス コンフィギュレーション コマンドでインターフェイスに設定した MTU よりも大きい場合など）フラグメンテーションが必要であるのに「Don't Fragment」（DF）ビットが設定されているため、ルータがデータグラムを転送できない場合もあります。Cisco IOS ソフトウェアは送信元ホストにメッセージを送信し、この問題を警告します。ホストは、パス沿いにあるすべてのリンクでの最小パケット サイズに合わせて、宛先に送信するパケットをフラグメンテーションすることが必要になります。この技術を図 1 に示します。

図 1 IP PMTUD

IP PMTUD は、ネットワーク内のリンクが機能停止して別のリンクを使用しなければならないときに、MTU サイズのリンクが異なる場合（そしてルータが異なる場合）に役立ちます。図 1 に示すように、ルータはネットワーク上で IP パケットを送信していますが、1 台目のルータの MTU は 1500 バイトに設定され、2 台目のルータの MTU は 512 バイトに設定されています。データグラムの「Don't Fragment」ビットが設定されていると、512 バイトのルータはデータグラムを転送できないため、このデータグラムはドロップされます。この場合、512 バイトより大きいパケットはすべてドロップされます。2 台目のルータは、「フラグメンテーションが必要であるのに「Don't Fragment」（DF）ビットが設定されている」ことを示す Code フィールドとともに、ICMP 宛先到達不能メッセージをデータグラムの送信元に返します。IP PMTUD をサポートするため、未使用のヘッダー フィールドの下位ビットにはネクストホップ ネットワーク リンクの MTU が含まれます。

IP PMTUD は、接続が確立されているものの、送信者が介在するリンクに関する情報をまったく有していない場合にも役立ちます。リンクで生じる最大 MTU を使用できるようにすることが推奨されます。MTU が大きいほど、ホストが送信しなければならないパケット数が少なくなります。

（注） IP PMTUD は、エンド ホストによって開始されるプロセスです。エンド ホストが IP PMTUD をサポートしない場合、受信デバイスは、エンド ホストでのデータグラムのフラグメンテーションを回避するメカニズムを持たないことになります。

発信インターフェイス上で小さい MTU が設定されているルータが、大きい MTU が設定されているホストからパケットを受信すると（たとえば、トークンリング インターフェイスからパケットを受信し、発信イーサネット インターフェイスに転送する場合など）、このルータは、受信したパケットを、発信インターフェイスの MTU よりも大きいサイズにフラグメンテーションします。パケットをフラグメンテーションすると、ルータのパフォーマンスは低下します。ネットワーク内のルータで受信パケットのフラグメンテーションを行わないようにするには、ネットワーク内のすべてのホストおよびルータで IP PMTUD を実行し、常に各ルータ インターフェイス タイプの MTU をできる限り大きく設定するようにします。

IP MAC アカウンティングと優先順位アカウンティング

Cisco IP アカウンティング サポートは、基本的な IP アカウンティング機能を提供します。IP アカウンティングをイネーブルにすると、ユーザが、送信元と宛先の IP アドレスに基づいて Cisco IOS ソフトウェアを介してスイッチングされたバイト数およびパケット数を参照できるようになります。中継 IP トラフィックだけが、発信ベースで測定されます。ソフトウェアが生成したトラフィックや、ソフトウェアで終了したトラフィックは、アカウンティング統計情報に含まれません。正確なアカウンティングの合計を得られるように、ソフトウェアは 2 つのアカウンティング データベース（アクティブ データベースとチェックポイント データベース）を維持します。

Cisco IP アカウンティング サポートは、IP アクセス リストに一致しなかった IP トラフィックを特定するための情報も提供します。IP アクセス リストに一致しなかった IP 送信元アドレスが特定されると、セキュリティ違反の可能性が警告されます。データでは、IP アクセス リスト コンフィギュレーションを確認する必要があることも通知されます。この機能をユーザが使用できるようにするには、 ip accounting access-violations インターフェイス コンフィギュレーション コマンドを使用して、アクセス リストに一致しなかった IP アカウンティングをイネーブルにする必要があります。イネーブルにすると、ユーザは、送信元と宛先のペアのアクセス リストに対してセキュリティ違反を試みた送信元からのバイト数およびパケット数を表示できるようになります。デフォルトでは、IP アカウンティングは、アクセス リストに一致してルーティングされたパケット数を表示します。

MAC アドレス アカウンティング機能は、LAN インターフェイス上の送信元と宛先の MAC アドレスに基づいて IP トラフィックのアカウンティング情報を提供します。MAC アカウンティングは、一意の MAC アドレスとの間で IP パケットを送受信した、LAN インターフェイスの合計のパケット数とバイト数を計算します。また、最後に送受信したパケットのタイムスタンプも記録します。たとえば、IP MAC アカウンティングを使用して、Network Access Profile（NAPS;ネットワーク アクセス プロファイル）/ピアリング ポイントでさまざまなピアとの間で送受信したトラフィック数を確認できます。IP MAC アカウンティングはイーサネット、ファスト イーサネット、FDDI インターフェイス上でサポートされ、Cisco Express Forwarding（CEF; シスコ エクスプレス フォワーディング）、distributed CEF（dCEF）、フロー、および最適なスイッチングをサポートします。

優先順位アカウンティング機能は、任意のインターフェイスの優先順位に基づいて、IP トラフィックのアカウンティング情報を提供します。この機能は、IP パケットを送受信したインターフェイスの合計のパケット数とバイト数を計算し、IP 優先順位に基づいて結果をソートします。この機能はすべてのインターフェイスおよびサブインターフェイスでサポートされ、CEF、dCEF、フロー、および最適なスイッチングをサポートします。

Show and Clear Commands for IOS Sockets

Show and Clear Commands for IOS Sockets 機能には、 show udp 、 show sockets 、and clear sockets コマンドが導入されました。これらの新しいコマンドは、Cisco IOS ソケット ライブラリのモニタリングや管理に役立ちます。

Cisco IOS ソフトウェアでは、ソケットはプロセス単位のエンティティです。これは、ソケットの最大数がプロセス単位であり、すべてのソケットはプロセスベースに管理されることを意味します。たとえば、各 Cisco IOS プロセスには、ファイル記述子番号が 1 のソケットを持たせることができます。これは、システム単位にファイル記述子を割り当てる UNIX やその他のオペレーティング システムとは異なります。

show コマンドと clear コマンドは、現在の機能と一致するようにプロセス単位に動作します。このため、コマンドによるアクションは、CLI で入力したプロセス ID で指定された特定のプロセスにのみ適用されます。

多くのアプリケーションでは、主にデバッグ目的で show コマンドと clear コマンドが必要になります。次に、これらのコマンドが役に立つシナリオの例を示します。

• アプリケーション H.323 は、音声呼にソケットを使用しています。現在の呼数から考えると、より多くのソケットに対応できるスペースが残っているはずです。ただし、これ以上、ソケットを開くことができません。このような場合、 show sockets コマンドを使用して、すべてのソケット スペースを実際に使用しているか、または（利用可能な）未使用のソケットがあるかどうかを調べることができます。

• アプリケーションは特定のソケット イベントが発生するのを待機しています。UDP セグメントが見つかりましたが、アプリケーションはアクティブになりません。このような場合、 show udp コマンドを使用して、モニタされているイベントのリストを表示し、UDP ソケット イベントがモニタされているか、またはソケット ライブラリがアプリケーションのアクティブ化に失敗していないかを判断することができます。

• アプリケーションは、特定のプロセスに関するすべてのソケットを閉じようとしています。このような場合、 clear sockets コマンドを使用して、ソケットと、その下位にある TCP/UDP 接続または Stream Control Transmission Protocol（SCTP）アソシエーションの両方を閉じることができます。

ネットワークの DoS 攻撃からの保護

ICMP は、パス、ルート、ネットワーク状態に関する情報をリレーする方法で、IP トラフィックをサポートします。ICMP メッセージは、ネットワーク マッピング情報を取得することを目的に攻撃者によって利用されることがあります。IP ソース ルーティングを使用して、送信元 IP ホストは IP ネットワーク上のルートを指定することができます。IP ソース ルーティングがネットワークでの正規の目的に使用されることはめったにありません。古い IP 実装では、ソース-ルート パケットが適切に処理されないことがあり、ソース ルーティング オプションを指定してデータグラムに送信することで、これらの実装を実行するデバイスがクラッシュすることがあります。

可能である限り、ICMP メッセージと IP ソース ルーティングはディセーブルにしてください。

手順の概要

1. enable

2. configure terminal

3. no ip source-route

4. interface type / number

5. no ip unreachables

6. no ip redirects

7. no ip mask-reply

手順の詳細

ICMP Unreachable Rate Limiting User Feedback の設定

このタスクは、到達不能宛先パケットの統計情報をすべてクリアし、到達不能宛先メッセージの間隔を指定するために実行します。このタスクでは、パケット カウンタ（しきい値）と、コンソールへのロギング メッセージをトリガーする間隔も設定します。このタスクは、しきい値を設定した後に新しくロギングを開始する場合に有用です。

手順の概要

1. enable

2. clear ip icmp rate-limit [ interface-type interface-number ]

3. configure terminal

4. ip icmp rate-limit unreachable [ df ] [ ms ] [ log [ packets ] [ interval-ms ]]

5. exit

6. show ip icmp rate-limit [ interface-type interface-number ]

手順の詳細

例

次に、インターフェイスに到達不能な宛先を表示する show ip icmp rate-limit コマンドの出力例を示します。

MTU パケット サイズの設定

すべてのインターフェイスには、デフォルト MTU パケット サイズが設定されています。Cisco IOS ソフトウェアがインターフェイスに設定されている MTU サイズを超える IP パケットのフラグメンテーションを行うように、IP MTU サイズを調整することができます。

MTU 値を変更すると（ mtu インターフェイス コンフィギュレーション コマンドを使用）、IP MTU 値に影響を及ぼします。現在の IP MTU 値が MTU 値と同じである場合に MTU 値を変更すると、IP MTU 値は新しい MTU に一致するように自動的に変更されます。ただし、その逆は当てはまりません。つまり、IP MTU 値を変更しても、 mtu インターフェイス コンフィギュレーション コマンドの値には影響しません。

物理メディア上にあるデバイスでは、正常に動作させるためには同じプロトコル MTU を使用する必要があります。

このタスクは、指定インターフェイスの MTU パケット サイズを設定するために実行します。

手順の概要

1. enable

2. configure terminal

3. interface type / number

4. ip mtu bytes

5. exit

手順の詳細

IP アカウンティングの設定

IP アカウンティングをイネーブルにするため、このタスクはインターフェイスごとに実行します。

手順の概要

1. enable

2. configure terminal

3. ip accounting-threshold threshold

4. ip accounting-list ip-address wildcard

5. ip accounting-transits count

6. interface type/number

7. ip accounting [ access-violations ] [ output-packets ]

8. ip accounting mac-address { input | output }
または
ip accounting precedence { input | output }

手順の詳細

IP ネットワークのモニタリングとメンテナンス

IP ルーティング テーブル、キャッシュ、データベース、ソケット プロセスの内容など、特定の統計情報を表示できます。結果の情報を使用して、リソースの活用法を判断したり、ネットワーク問題を解決したりできます。

IP ネットワークのモニタリングとメンテナンスを行うには、このタスクの任意の手順を実行してください。

手順の概要

1. clear ip traffic

2. clear ip accounting [ checkpoint ]

3. clear sockets process-id

4. show ip accounting [ checkpoint ] [ output-packets | access-violations ]

5. show interface [ type number ] mac

6. show interface [ type number ] precedence

7. show ip redirects

8. show ip sockets

9. show sockets process-id [ detail ] [ events ]

10. show udp [ detail ]

11. show ip traffic

（注） Cisco IOS リリース 12.4(11)T および以降のリリースでは、show ip sockets コマンドは show udp、show sockets、および show ip sctp コマンドに置き換えられました。show ip sctp コマンドの詳細については、『Cisco IOS Voice Command Reference』を参照してください。

ステップ 1 clear ip traffic

すべてのインターフェイス上にあるすべての IP トラフィック統計カウンタをクリアするには、次のコマンドを使用します。

ステップ 2 clear ip accounting [ checkpoint ]

特定のキャッシュ、テーブル、データベースのすべての内容を削除できます。キャッシュ、テーブル、またはデータベースは、特定の構造が無効になったり、無効になるおそれのあるときにクリアすることが必要になります。IP アカウンティングがイネーブルであるときにアクティブな IP アカウンティング データベースをクリアするには、次のコマンドを使用します。

IP アカウンティングがイネーブルであるときにチェックポイントが作成された IP アカウンティング データベースをクリアするには、次のコマンドを使用します。

ステップ 3 clear sockets process-id

すべての IP ソケットを閉じ、その下位にあるトランスポート接続と特定のプロセスのデータ構造をクリアするには、次のコマンドを使用します。

ステップ 4 show ip accounting [ checkpoint ] [ output-packets | access-violations ]

アクセス リストの不一致を表示するには、 show ip accounting コマンドを使用します。このコマンドを使用するには、まず、インターフェイス ベースで IP アカウンティングをイネーブルにする必要があります。

チェックポイント データベースを表示するには、 checkpoint キーワードを使用します。アクセス コントロールと一致し、ルーティングを表示する必要のあるパケットに関する情報を指定するには、 output-packets キーワードを使用します。送信元と宛先のペアの最後のパケットで一致しなかったアクセス リストの数を表示するには、 access-violations キーワードを使用します。パケット数により、特定の宛先に対する攻撃の状況（攻撃の強さなど）が明らかになります。 access-violations キーワードを指定しないと、このコマンドでは、デフォルトで、アクセス リストに一致してルーティングされたパケット数が表示されます。

output-packets キーワードと access-violations キーワードのどちらも指定しない場合は、デフォルトで output-packets が使用されます。

次に、 show ip accounting コマンドの出力例を示します。

次に、 show ip accounting access-violations コマンドの出力例を示します。アクセス リストに一致せず、ルーティングされなかったパケットが出力されます。

ステップ 5 show interface [ type number ] mac

MAC アカウンティング用に設定されたインターフェイスの情報を表示するには、 show interface mac コマンドを使用します。次に、show interface mac コマンドの出力例を示します。

ステップ 6 show interface [ type number ] precedence

優先順位アカウンティング用に設定されたインターフェイスの情報を表示するには、 show interface precedence コマンドを使用します。

次に、 show interface precedence コマンドの出力例を示します。この例では、合計のパケット数とバイト数は IP パケットを受信（入力）または送信（出力）するインターフェイスについて算出され、結果は IP 優先順位に基づいてソートされます。

ステップ 7 show ip redirects

デフォルト ルータのアドレスおよび ICMP リダイレクト メッセージを受信するホストのアドレスを表示するには、 show ip redirects コマンドを使用します。

次に、 show ip redirects コマンドの出力例を示します。

ステップ 8 show ip sockets

IP ソケット情報を表示し、使用しているソケットが正しく開いていることを確認するには、 show ip sockets コマンドを使用します。ローカルとリモートのエンドポイントがある場合は、特定されたポートを使用して接続が確立されます。

次に、 show ip sockets コマンドの出力例を示します。

ステップ 9 show sockets process-id [ detail ] [ events ]

現在開いているソケットの数を表示し、 process-id 引数を指定してトランスポート プロトコル プロセスに関する配信状況を表示するには、 show sockets コマンドを使用します。次に、指定したプロセスで開いているソケットの総数を示す show sockets コマンドの出力例を示します。

次に、開いている同じプロセスについて、 detail キーワードを使用して情報を表示した場合の出力例を示します。

Total open sockets - TCP:7, UDP:0, SCTP:0

次に、IP ソケット イベント情報を表示する例を示します。

ステップ 10 show udp [ detail ]

UDP プロセスに関する IP ソケット情報を表示するには、 show udp コマンドを使用します。次に、UDP ソケットに関する詳細情報を表示する例を示します。

（注） Cisco IOS リリース 12.4(11)T および以降のリリースでは、show ip sockets コマンドは show udp、show sockets、および show ip sctp コマンドに置き換えられました。show ip sctp コマンドの詳細については、『Cisco IOS Voice Command Reference』を参照してください。

ステップ 11 show ip traffic

IP プロトコル統計情報を表示するには、 show ip traffic コマンドを使用します。次に、 clear ip traffic コマンドでクリアされた IP トラフィック統計情報の例を示します。

DVMRP: 0/0, PIM: 0/0

ネットワークの DoS 攻撃からの保護：例

次に、ネットワーク マッピング情報を取得することを目的とした攻撃者によって利用されることがあるパス、ルート、ネットワーク状態に関する情報を ICMP がリレーしないようにするために、イーサネット インターフェイス 0/0 の ICMP のデフォルトの一部を変更する例を示します。

到達不能メッセージをディセーブルにすると、IP PMTUD もディセーブルになります。パス ディスカバリが Cisco IOS ソフトウェアにより到達不能メッセージを送信するためです。少数のデバイスのあるネットワーク セグメントがあり、絶対的な信頼性のあるトラフィック パターン（めったに使用されないユーザ デバイスが少数あるようなセグメントで発生しやすい）がある場合は、デバイスがどのような方法でも利用される可能性のなさそうなデバイス オプションを無効にします。

ICMP 到達不能宛先カウンタの設定：例

次に、到達不能宛先パケット統計情報をすべてクリアし、到達不能宛先メッセージの間隔を指定する場合の例を示します。この例では、パケット カウンタのしきい値と、コンソールへのロギング メッセージをトリガーする間隔も設定します。

MTU パケット サイズの設定：例

次に、イーサネット インターフェイス 0/0 のデフォルトの MTU パケット サイズを設定する例を示します。

IP アカウンティングの設定：例

次に、送信元と宛先の MAC アドレス、および送受信するパケットの IP 優先順位に基づいて IP アカウンティングをイネーブルにする例を示します。

次に、アクセス リストに一致しない IP トラフィックを特定する機能を使用し、また IP アカウンティング データベースに格納される中継レコードの数を 100 に指定して、アカウンティングをイネーブルにする例を示します。

関連資料

RFC

シスコのテクニカル サポート

CCDE, CCENT, CCSI, Cisco Eos, Cisco Explorer, Cisco HealthPresence, Cisco IronPort, the Cisco logo, Cisco Nurse Connect, Cisco Pulse, Cisco SensorBase, Cisco StackPower, Cisco StadiumVision, Cisco TelePresence, Cisco TrustSec, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra, Flip Video, Flip Video (Design), Instant Broadband, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Capital, Cisco Capital (Design), Cisco:Financed (Stylized), Cisco Store, Flip Gift Card, and One Million Acts of Green are service marks; and Access Registrar, Aironet, AllTouch, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, the IronPort logo, Laser Link, LightStream, Linksys, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV (Design), PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx, and the WebEx logo are registered trademarks of Cisco and/or its affiliates in the United States and certain other countries.

All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1002R)

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2008-2010 Cisco Systems, Inc.
All rights reserved.

Copyright © 2008-2010, シスコシステムズ合同会社.
All rights reserved.