IP アプリケーション サービス コンフィギュレーション ガイド Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: IP サービスの設定
IP サービスの設定
ここでは、オプションの IP サービスを設定する手順について説明します。この章で説明する IP サービス コマンドの詳細については、『 Cisco IOS IP Application Services Command Reference 』を参照してください。この章で説明するその他のコマンドについて詳細が記載されている資料を探すには、コマンド リファレンス マスター インデックス、またはオンライン検索を使用してください。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「IP サービスの機能情報」 を参照してください。
プラットフォーム サポートとシスコ ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
この章の構成
IP サービスの概要
•
「PMTUD」
• 「IP MAC アカウンティングと優先順位アカウンティング」
• 「Show and Clear Commands for IOS Sockets」
IP ソース ルーティング
Cisco IOS ソフトウェアは、すべてのパケットの IP ヘッダー オプションを検査します。RFC 791 に定義されている IP ヘッダー オプションである Strict Source Route、Loose Source Route、Record Route、および Time Stamp をサポートします。これらのオプションのいずれかがイネーブルにされているパケットを検出すると、適切なアクションを実行します。無効なオプションが設定されたパケットを検出すると、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)パラメータの問題に関するメッセージをパケットの送信元に送信し、該当のパケットを破棄します。
IP は、送信元 IP ホストが IP ネットワーク上のルートを指定できるプロビジョニング(「ソース ルーティング」と呼ばれます)を提供します。ソース ルーティングは、IP ヘッダーのオプションとして指定されます。ソース ルーティングが指定されると、ソフトウェアは指定されたソース ルートに従ってパケットを転送します。IP ソース ルーティングは、ネットワーク上の特定のルートを通るようにパケットに強制したい場合に採用されます。デフォルトでは、ソース ルーティングが実行されます。IP ソース ルーティングがネットワークでの正規の目的に使用されることはめったにありません。古い IP 実装では、ソース-ルート パケットが適切に処理されないことがあり、ソース ルーティング オプションを指定してデータグラムに送信することで、これらの実装を実行するデバイスがクラッシュすることがあります。可能である限り、IP ソース ルーティングをディセーブルにします。IP ソース ルーティングをディセーブルにすると、Cisco ルータは、ソース ルーティング オプションを送受信する IP パケットの転送を行いません。
ICMP の概要
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)は、元来、RFC 792 で TCP/IP スイート用に作成されたもので、少数のエラー状態を報告するように設計されました。ICMP は、さまざまなエラー状態を報告し、フィードバック機能やテスト機能を提供することもできます。各メッセージでは、共通のフォーマットが使用され、同じプロトコル ルールを使用して送受信されます。
ICMP により、カプセル化されたメッセージの IP デバイス間での送受信を許可することで、IP はアドレッシング、データグラム パッケージング、およびルーティングを実行できるようになります。これらのメッセージは、他の IP メッセージのように、IP データグラムにカプセル化されます。メッセージが生成されると、元の IP ヘッダーは ICMP メッセージにカプセル化され、これらの 2 つの情報は新しい IP ヘッダー内にカプセル化されて、エラー報告として送信元デバイスに返されます。
ICMP メッセージはさまざまな状況で送信されます。たとえば、データグラムが宛先に到達できない場合、ゲートウェイにデータグラムを転送するためのバッファリング機能がない場合、ゲートウェイが短いルート上でトラフィックを送信するホストを指定できる場合、などが挙げられます。メッセージに関するメッセージの無限後退を避けるため、ICMP メッセージに関する ICMP メッセージが送信されることはありません。
ICMP によって、IP の信頼性が高められることや、データグラム配信や制御メッセージが戻されることが確実になることはありません。一部のデータグラムは、データ損失が報告されることなく、ドロップされることがあります。IP を使用する上位レベルのプロトコルは、信頼性の高い通信が求められる場合、信頼性を高めるための独自の手順を実装する必要があります。
IPv6 および ICMP の詳細については、次の URL に掲載されている『 Cisco IOS IPv6 Configuration Guide 』の「Implementing IPv6 Addressing and Basic Connectivity」を参照してください。
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-addrg_bsc_con.html
ICMP 到達不能エラー メッセージ
宛先ホストのアプリケーションに対してメッセージを完全に配信できない場合は、タイプ 3 のエラー メッセージが送信されます。ICMP ヘッダーに含まれる 6 つのコードに、次のような到達不能条件が示されます。
• 4:フラグメンテーションが必要であるのに「Don't Fragment」(DF)ビットが設定されている
Cisco IOS ソフトウェアは、ICMP 到達不能宛先エラー メッセージの生成を抑止できます。これは「レート制限」と呼ばれます。デフォルトでは、0.5 秒の間に 2 つ以上の到達不能メッセージが生成されないようにします。コード 4 やその他の到達不能宛先エラー メッセージがあるため、このように間隔を空けて設定できます。ただし、送信されていない ICMP メッセージの数を表示する方法はありません。
送信されていないタイプ 3 メッセージをカウントして表示する方法は、ICMP 到達不能宛先カウンタ機能によって提供されます。ルータに対する Denial of Service(DoS; サービス拒否)攻撃を示す過剰なレート制限が見られる期間が発生すると、この機能によりコンソール ロギングにもエラー メッセージが表示されます。
不明なプロトコルを使用した、自身に宛てた非ブロードキャスト パケットを受け取ると、Cisco IOS ソフトウェアは送信元に ICMP プロトコル 到達不能メッセージを送り返します。同様に、宛先アドレスへのルートがないことが明らかで最終的な宛先に配信できないパケットを受け取ったときも、Cisco IOS ソフトウェアは送信元に ICMP プロトコル到達不能メッセージを送り返します。この機能はデフォルトでイネーブルになっています。
可能である限り、Internet Message Control Protocol(ICMP; インターネット制御メッセージ プロトコル)ホスト到達不能メッセージをディセーブルにします。ICMP は、パス、ルート、ネットワーク状態に関する情報をリレーする方法で、IP トラフィックをサポートします。これらのメッセージは、ネットワーク マッピング情報を取得することを目的に攻撃者によって利用されることがあります。
空のインターフェイスはパケット シンクであるため、ここで転送されたパケットは必ず破棄され、(機能がディセーブルになっていない限り)ホスト到達不能メッセージが生成されます。この場合、空のインターフェイスを使用して DoS 攻撃をブロックしていると、ローカル ネットワークではこれらのメッセージのフラッディングが発生します。このような状況に陥らないようにするためには、これらのメッセージをディセーブルにします。また、ブロックされたすべてのパケットは空のインターフェイスに転送されるため、ホスト到達不能メッセージを受信する攻撃者がそれらのメッセージを使用して Access Control List(ACL; アクセス コントロール リスト)設定を利用できるようになることがあります。ルータに「null 0」インターフェイスを設定している場合は、廃棄されたパケットや空のインターフェイスにルーティングされたパケットの ICMP ホスト到達不能メッセージをディセーブルにしてください。
ICMP マスク応答メッセージ
ネットワーク デバイスでは、インターネットワーク内の特定のサブネットワークのサブネット マスクを認識することが必要になる場合があります。このような場合、この情報を取得するため、デバイスは ICMP マスク要求メッセージを送信することができます。必要な情報を保有するデバイスからの応答として、ICMP マスク応答メッセージが送信されます。Cisco IOS ソフトウェアは、ICMP マスク要求メッセージに応答できます(この機能がイネーブルになっている場合)。
ICMP リダイレクト メッセージ
ルートは、最善ではないことがあります。たとえば、ルータは、パケットを受信したインターフェイスを通してパケットを再送信するように強制されることがあります。ルータが、パケットを受信したのと同じインターフェイスを通してパケットを再送信すると、Cisco IOS ソフトウェアはパケットの発信元に対して ICMP リダイレクト メッセージを送信し、ルータがサブネット上で受信デバイスに直接接続されていることと、パケットは同じサブネット上の別のシステムに転送する必要があることを知らせます。ソフトウェアがパケットの発信元に ICMP リダイレクト メッセージを送信するのは、送信元ホストは、このデバイスをまったく関与させることなく、パケットをネクストホップに送信できるからです。リダイレクト メッセージは、送信者に対し、ルートから受信デバイスを削除し、より具体的にパスを示すデバイスに置き換えるように指示します。この機能はデフォルトでイネーブルになっています。
適切に機能している IP ネットワークでは、ルータは独自のローカル サブネット上にあるホストにしかリダイレクトを送信しません。エンド ノードがリダイレクトを送信することはなく、またリダイレクトが複数のネットワーク ホップを通過することもありません。ただし、攻撃者がこれらのルールに違反することがあり、これに基づいた攻撃も見られます。ICMP リダイレクトをディセーブルにすると、ネットワークに運用上の影響を及ぼすことなく、この方法で攻撃される可能性を排除できます。
サービス拒否攻撃
サービス拒否は次第に懸念が高まってきている問題です。特に、このような攻撃に関連するコストには大きな関心が寄せられています。DoS 攻撃は、ネットワーク デバイスのパフォーマンス低下、デバイスのネットワークからの切断、システム クラッシュの発生、などの原因となります。ネットワーク サービスを利用できないと、企業やサービス プロバイダーは生産性低下や売上損失の損害を被ることになります。
DoS 攻撃の目的は、ユーザや組織がサービスまたはリソースにアクセスできないようにすることです。Web サイトが DoS 攻撃の危険にさらされると、数百万のユーザのそのサイトへのアクセスが拒否されます。通常、DoS 攻撃によって情報が不正に盗み取られることはありません。DoS 攻撃では、不正なユーザがアクセスできるようにするのではなく、許可されたユーザのアクセスを妨害することで、苛立たせたり、コストを発生させたりします。Distributed DoS(DDoS; 分散型 DoS)攻撃は、危険にさらされたシステムで攻撃パケットのフラッディングを発生させるように DoS 攻撃を増幅させたもので、これにより、対象システムのユーザのサービス拒否が生じます。
DoS 攻撃は、ICMP エコー要求(ping)のストリームが宛先サブネットにブロードキャストされるときに発生します。これらの要求の送信元アドレスは、ターゲットの送信元アドレスに改ざんされます。攻撃者が要求を送信すると、その都度、サブネット上のホストはターゲット上でフラッディングを発生させ、帯域幅を浪費させます。大部分の DoS 攻撃は「Smurf」攻撃と呼ばれます。これは実行可能プログラムにちなんで名付けられたものです。ホストに対するネットワークレベル攻撃のカテゴリに該当します。ICMP 到達不能宛先カウンタ機能の error-message ロギングがイネーブルになっていると、DoS 攻撃を簡単に検出できます。
PMTUD
Cisco IOS ソフトウェアは、RFC 1191 に定義されたとおりに、IP PMTUD メカニズムをサポートします。IP PMTUD を使用すると、ホストは経路上のさまざまなリンクで許容される Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズの差異をダイナミックに検出し、対処できます。(パケットが、ip mtu インターフェイス コンフィギュレーション コマンドでインターフェイスに設定した MTU よりも大きい場合など)フラグメンテーションが必要であるのに「Don't Fragment」(DF)ビットが設定されているため、ルータがデータグラムを転送できない場合もあります。Cisco IOS ソフトウェアは送信元ホストにメッセージを送信し、この問題を警告します。ホストは、パス沿いにあるすべてのリンクでの最小パケット サイズに合わせて、宛先に送信するパケットをフラグメンテーションすることが必要になります。この技術を図 1 に示します。
IP PMTUD は、ネットワーク内のリンクが機能停止して別のリンクを使用しなければならないときに、MTU サイズのリンクが異なる場合(そしてルータが異なる場合)に役立ちます。図 1 に示すように、ルータはネットワーク上で IP パケットを送信していますが、1 台目のルータの MTU は 1500 バイトに設定され、2 台目のルータの MTU は 512 バイトに設定されています。データグラムの「Don't Fragment」ビットが設定されていると、512 バイトのルータはデータグラムを転送できないため、このデータグラムはドロップされます。この場合、512 バイトより大きいパケットはすべてドロップされます。2 台目のルータは、「フラグメンテーションが必要であるのに「Don't Fragment」(DF)ビットが設定されている」ことを示す Code フィールドとともに、ICMP 宛先到達不能メッセージをデータグラムの送信元に返します。IP PMTUD をサポートするため、未使用のヘッダー フィールドの下位ビットにはネクストホップ ネットワーク リンクの MTU が含まれます。
IP PMTUD は、接続が確立されているものの、送信者が介在するリンクに関する情報をまったく有していない場合にも役立ちます。リンクで生じる最大 MTU を使用できるようにすることが推奨されます。MTU が大きいほど、ホストが送信しなければならないパケット数が少なくなります。
(注) IP PMTUD は、エンド ホストによって開始されるプロセスです。エンド ホストが IP PMTUD をサポートしない場合、受信デバイスは、エンド ホストでのデータグラムのフラグメンテーションを回避するメカニズムを持たないことになります。
発信インターフェイス上で小さい MTU が設定されているルータが、大きい MTU が設定されているホストからパケットを受信すると(たとえば、トークン リング インターフェイスからパケットを受信し、発信イーサネット インターフェイスに転送する場合など)、このルータは、受信したパケットを、発信インターフェイスの MTU よりも大きいサイズにフラグメンテーションします。パケットをフラグメンテーションすると、ルータのパフォーマンスは低下します。ネットワーク内のルータで受信パケットのフラグメンテーションを行わないようにするには、ネットワーク内のすべてのホストおよびルータで IP PMTUD を実行し、常に各ルータ インターフェイス タイプの MTU をできる限り大きく設定するようにします。
IP MAC アカウンティングと優先順位アカウンティング
Cisco IP アカウンティング サポートは、基本的な IP アカウンティング機能を提供します。IP アカウンティングをイネーブルにすると、ユーザが、送信元と宛先の IP アドレスに基づいて Cisco IOS ソフトウェアを介してスイッチングされたバイト数およびパケット数を参照できるようになります。中継 IP トラフィックだけが、発信ベースで測定されます。ソフトウェアが生成したトラフィックや、ソフトウェアで終了したトラフィックは、アカウンティング統計情報に含まれません。正確なアカウンティングの合計を得られるように、ソフトウェアは 2 つのアカウンティング データベース(アクティブ データベースとチェックポイント データベース)を維持します。
Cisco IP アカウンティング サポートは、IP アクセス リストに一致しなかった IP トラフィックを特定するための情報も提供します。IP アクセス リストに一致しなかった IP 送信元アドレスが特定されると、セキュリティ違反の可能性が警告されます。データでは、IP アクセス リスト コンフィギュレーションを確認する必要があることも通知されます。この機能をユーザが使用できるようにするには、 ip accounting access-violations インターフェイス コンフィギュレーション コマンドを使用して、アクセス リストに一致しなかった IP アカウンティングをイネーブルにする必要があります。イネーブルにすると、ユーザは、送信元と宛先のペアのアクセス リストに対してセキュリティ違反を試みた送信元からのバイト数およびパケット数を表示できるようになります。デフォルトでは、IP アカウンティングは、アクセス リストに一致してルーティングされたパケット数を表示します。
MAC アドレス アカウンティング機能は、LAN インターフェイス上の送信元と宛先の MAC アドレスに基づいて IP トラフィックのアカウンティング情報を提供します。MAC アカウンティングは、一意の MAC アドレスとの間で IP パケットを送受信した、LAN インターフェイスの合計のパケット数とバイト数を計算します。また、最後に送受信したパケットのタイムスタンプも記録します。たとえば、IP MAC アカウンティングを使用して、Network Access Profile(NAPS;ネットワーク アクセス プロファイル)/ピアリング ポイントでさまざまなピアとの間で送受信したトラフィック数を確認できます。IP MAC アカウンティングはイーサネット、ファスト イーサネット、FDDI インターフェイス上でサポートされ、Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)、distributed CEF(dCEF)、フロー、および最適なスイッチングをサポートします。
優先順位アカウンティング機能は、任意のインターフェイスの優先順位に基づいて、IP トラフィックのアカウンティング情報を提供します。この機能は、IP パケットを送受信したインターフェイスの合計のパケット数とバイト数を計算し、IP 優先順位に基づいて結果をソートします。この機能はすべてのインターフェイスおよびサブインターフェイスでサポートされ、CEF、dCEF、フロー、および最適なスイッチングをサポートします。
Show and Clear Commands for IOS Sockets
Show and Clear Commands for IOS Sockets 機能には、 show udp 、 show sockets 、および clear sockets コマンドが導入されました。これらの新しいコマンドは、Cisco IOS ソケット ライブラリのモニタリングや管理に役立ちます。
Cisco IOS ソフトウェアでは、ソケットはプロセス単位のエンティティです。これは、ソケットの最大数がプロセス単位であり、すべてのソケットはプロセスベースに管理されることを意味します。たとえば、各 Cisco IOS プロセスには、ファイル記述子番号が 1 のソケットを持たせることができます。これは、システム単位にファイル記述子を割り当てる UNIX やその他のオペレーティング システムとは異なります。
show コマンドと clear コマンドは、現在の機能と一致するようにプロセス単位に動作します。このため、コマンドによるアクションは、CLI で入力したプロセス ID で指定された特定のプロセスにのみ適用されます。
多くのアプリケーションでは、主にデバッグ目的で show コマンドと clear コマンドが必要になります。次に、これらのコマンドが役に立つシナリオの例を示します。
• アプリケーション H.323 は、音声呼にソケットを使用しています。現在の呼数から考えると、より多くのソケットに対応できるスペースが残っているはずです。ただし、これ以上、ソケットを開くことができません。このような場合、 show sockets コマンドを使用して、すべてのソケット スペースを実際に使用しているか、または(利用可能な)未使用のソケットがあるかどうかを調べることができます。
• アプリケーションは特定のソケット イベントが発生するのを待機しています。UDP セグメントが見つかりましたが、アプリケーションはアクティブになりません。このような場合、 show udp コマンドを使用して、モニタされているイベントのリストを表示し、UDP ソケット イベントがモニタされているか、またはソケット ライブラリがアプリケーションのアクティブ化に失敗していないかを判断することができます。
• アプリケーションは、特定のプロセスに関するすべてのソケットを閉じようとしています。このような場合、 clear sockets コマンドを使用して、ソケットと、その下位にある TCP/UDP 接続または Stream Control Transmission Protocol(SCTP)アソシエーションの両方を閉じることができます。
IP サービスの設定方法
• 「ネットワークの DoS 攻撃からの保護」(任意)
• 「ICMP Unreachable Rate Limiting User Feedback の設定」(任意)
• 「MTU パケット サイズの設定」(任意)
• 「IP アカウンティングの設定」(任意)
• 「IP ネットワークのモニタリングとメンテナンス」(任意)
ネットワークの DoS 攻撃からの保護
ICMP は、パス、ルート、ネットワーク状態に関する情報をリレーする方法で、IP トラフィックをサポートします。ICMP メッセージは、ネットワーク マッピング情報を取得することを目的に攻撃者によって利用されることがあります。IP ソース ルーティングを使用して、送信元 IP ホストは IP ネットワーク上のルートを指定することができます。IP ソース ルーティングがネットワークでの正規の目的に使用されることはめったにありません。古い IP 実装では、ソース-ルート パケットが適切に処理されないことがあり、ソース ルーティング オプションを指定してデータグラムに送信することで、これらの実装を実行するデバイスがクラッシュすることがあります。
手順の概要
手順の詳細
ICMP Unreachable Rate Limiting User Feedback の設定
このタスクは、到達不能宛先パケットの統計情報をすべてクリアし、到達不能宛先メッセージの間隔を指定するために実行します。このタスクでは、パケット カウンタ(しきい値)と、コンソールへのロギング メッセージをトリガーする間隔も設定します。このタスクは、しきい値を設定した後に新しくロギングを開始する場合に有用です。
手順の概要
2. clear ip icmp rate-limit [ interface-type interface-number ]
4. ip icmp rate-limit unreachable [ df ] [ ms ] [ log [ packets ] [ interval-ms ]]
6. show ip icmp rate-limit [ interface-type interface-number ]
手順の詳細
例
次に、インターフェイスに到達不能な宛先を表示する show ip icmp rate-limit コマンドの出力例を示します。
MTU パケット サイズの設定
すべてのインターフェイスには、デフォルト MTU パケット サイズが設定されています。Cisco IOS ソフトウェアがインターフェイスに設定されている MTU サイズを超える IP パケットのフラグメンテーションを行うように、IP MTU サイズを調整することができます。
MTU 値を変更すると( mtu インターフェイス コンフィギュレーション コマンドを使用)、IP MTU 値に影響を及ぼします。現在の IP MTU 値が MTU 値と同じである場合に MTU 値を変更すると、IP MTU 値は新しい MTU に一致するように自動的に変更されます。ただし、その逆は当てはまりません。つまり、IP MTU 値を変更しても、 mtu インターフェイス コンフィギュレーション コマンドの値には影響しません。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
IP アカウンティングの設定
手順の概要
3. ip accounting-threshold threshold
4. ip accounting-list ip-address wildcard
5. ip accounting-transits count
7. ip accounting [ access-violations ] [ output-packets ]
8. ip accounting mac-address { input | output }
または
ip accounting precedence { input | output }
手順の詳細
IP ネットワークのモニタリングとメンテナンス
IP ルーティング テーブル、キャッシュ、データベース、ソケット プロセスの内容など、特定の統計情報を表示できます。結果の情報を使用して、リソースの活用法を判断したり、ネットワーク問題を解決したりできます。
手順の概要
2. clear ip accounting [ checkpoint ]
4. show ip accounting [ checkpoint ] [ output-packets | access-violations ]
5. show interface [ type number ] mac
6. show interface [ type number ] precedence
9. show sockets process-id [ detail ] [ events ]
(注) Cisco IOS Release 12.4(11)T および以降のリリースでは、show ip sockets コマンドは show udp、show sockets、および show ip sctp コマンドに置き換えられました。show ip sctp コマンドの詳細については、『Cisco IOS Voice Command Reference』を参照してください。
すべてのインターフェイス上にあるすべての IP トラフィック統計カウンタをクリアするには、次のコマンドを使用します。
ステップ 2 clear ip accounting [ checkpoint ]
特定のキャッシュ、テーブル、データベースのすべての内容を削除できます。キャッシュ、テーブル、またはデータベースは、特定の構造が無効になったり、無効になるおそれのあるときにクリアすることが必要になります。IP アカウンティングがイネーブルであるときにアクティブな IP アカウンティング データベースをクリアするには、次のコマンドを使用します。
IP アカウンティングがイネーブルであるときにチェックポイントが作成された IP アカウンティング データベースをクリアするには、次のコマンドを使用します。
ステップ 3 clear sockets process-id
すべての IP ソケットを閉じ、その下位にあるトランスポート接続と特定のプロセスのデータ構造をクリアするには、次のコマンドを使用します。
ステップ 4 show ip accounting [ checkpoint ] [ output-packets | access-violations ]
アクセス リストの不一致を表示するには、 show ip accounting コマンドを使用します。このコマンドを使用するには、まず、インターフェイス ベースで IP アカウンティングをイネーブルにする必要があります。
チェックポイント データベースを表示するには、 checkpoint キーワードを使用します。アクセス コントロールと一致し、ルーティングを表示する必要のあるパケットに関する情報を指定するには、 output-packets キーワードを使用します。送信元と宛先のペアの最後のパケットで一致しなかったアクセス リストの数を表示するには、 access-violations キーワードを使用します。パケット数により、特定の宛先に対する攻撃の状況(攻撃の強さなど)が明らかになります。 access-violations キーワードを指定しないと、このコマンドでは、デフォルトで、アクセス リストに一致してルーティングされたパケット数が表示されます。
output-packets キーワードと access-violations キーワードのどちらも指定しない場合は、デフォルトで output-packets が使用されます。
次に、 show ip accounting コマンドの出力例を示します。
次に、 show ip accounting access-violations コマンドの出力例を示します。アクセス リストに一致せず、ルーティングされなかったパケットが出力されます。
ステップ 5 show interface [ type number ] mac
MAC アカウンティング用に設定されたインターフェイスの情報を表示するには、 show interface mac コマンドを使用します。次に、show interface mac コマンドの出力例を示します。
ステップ 6 show interface [ type number ] precedence
優先順位アカウンティング用に設定されたインターフェイスの情報を表示するには、 show interface precedence コマンドを使用します。
次に、 show interface precedence コマンドの出力例を示します。この例では、合計のパケット数とバイト数は IP パケットを受信(入力)または送信(出力)するインターフェイスについて算出され、結果は IP 優先順位に基づいてソートされます。
デフォルト ルータのアドレスおよび ICMP リダイレクト メッセージを受信するホストのアドレスを表示するには、 show ip redirects コマンドを使用します。
次に、 show ip redirects コマンドの出力例を示します。
IP ソケット情報を表示し、使用しているソケットが正しく開いていることを確認するには、 show ip sockets コマンドを使用します。ローカルとリモートのエンドポイントがある場合は、特定されたポートを使用して接続が確立されます。
次に、 show ip sockets コマンドの出力例を示します。
ステップ 9 show sockets process-id [ detail ] [ events ]
現在開いているソケットの数を表示し、 process-id 引数を指定してトランスポート プロトコル プロセスに関する配信状況を表示するには、 show sockets コマンドを使用します。次に、指定したプロセスで開いているソケットの総数を示す show sockets コマンドの出力例を示します。
次に、開いている同じプロセスについて、 detail キーワードを使用して情報を表示した場合の出力例を示します。
Total open sockets - TCP:7, UDP:0, SCTP:0
UDP プロセスに関する IP ソケット情報を表示するには、 show udp コマンドを使用します。次に、UDP ソケットに関する詳細情報を表示する例を示します。
(注) Cisco IOS Release 12.4(11)T および以降のリリースでは、show ip sockets コマンドは show udp、show sockets、および show ip sctp コマンドに置き換えられました。show ip sctp コマンドの詳細については、『Cisco IOS Voice Command Reference』を参照してください。
IP プロトコル統計情報を表示するには、 show ip traffic コマンドを使用します。次に、 clear ip traffic コマンドでクリアされた IP トラフィック統計情報の例を示します。
IP サービスの設定例
例:DoS 攻撃からのネットワークの保護
次に、ICMP がパス、ルート、およびネットワーク状態に関する情報をリレーしないように、イーサネット 0/0 の一部の ICMP デフォルトを変更する例を示します。このような情報は、攻撃者がネットワーク マッピング情報を入手するために使用される可能性があります。
到達不能メッセージをディセーブルにすると、IP PMTUD もディセーブルになるという副次的効果があります。これは、Cisco IOS ソフトウェアに到達不能メッセージを送信するように指示することによってパス ディスカバリが機能するためです。ネットワーク セグメント内にデバイスの台数が少なく、確実に信頼できるトラフィック パターン(ほとんど使用されないユーザ デバイスの台数が少ないセグメントでよく発生する)が見られる場合は、デバイスであまり使用されないオプションをディセーブルにすることを推奨します。
例:ICMP 到達不能宛先カウンタの設定
次に、到達不能宛先パケット統計情報をすべてクリアし、到達不能宛先メッセージの間隔を指定する場合の例を示します。この例では、パケット カウンタのしきい値と、コンソールへのロギング メッセージをトリガーする間隔も設定します。
例:MTU パケット サイズの設定
次に、イーサネット インターフェイス 0/0 のデフォルトの MTU パケット サイズを設定する例を示します。
例:IP アカウンティングの設定
次に、送信元と宛先の MAC アドレス、および送受信するパケットの IP 優先順位に基づいて IP アカウンティングをイネーブルにする例を示します。
次に、アクセス リストに一致しない IP トラフィックを特定する機能を使用し、また IP アカウンティング データベースに格納される中継レコードの数を 100 に指定して、アカウンティングをイネーブルにする例を示します。
その他の参考資料
関連資料
|
|
|
|---|---|
『 Cisco IOS Security Configuration Guide: Securing the Data Plane 』の「 Access Control Lists (ACLs) 」 |
|
IP アプリケーション サービス コマンド:コマンド構文、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項、および例 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
|
|
|
|---|---|
シスコのテクニカル サポートおよびドキュメンテーション Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、ツール、技術マニュアルへのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |
IP サービスの機能情報
表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 に、特定のソフトウェア リリース トレイン内の機能に対するサポートが導入されたソフトウェア リリースだけを示します。特に断りのないかぎり、そのソフトウェア リリース トレイン以降のリリースでもその機能がサポートされます。
|
|
|
|
|---|---|---|
Clear IP Traffic CLI 機能で、 clear ip traffic コマンドが導入されました。これにより、ルータをリロードするのではなく、ルータ上のすべての IP トラフィック統計情報がクリアされるようになりました。安全性を高めるため、このコマンドを入力すると、ユーザに確認プロンプトが表示されます。 この機能は、Cisco IOS Release 12.4(2)T で導入されました。 |
||
ICMP Unreachable Rate Limiting User Feedback 機能により、到達不能な宛先であるために破棄されたパケットをクリアして表示することができます。エラー メッセージをトリガーするしきい値の間隔を設定できます。メッセージ ロギングが生成されると、コンソールに表示されます。 この機能は、Cisco IOS Release 12.4(2)T で導入されました。 この機能に関する詳細については、次の各項を参照してください。 • clear ip icmp rate-limit 、 ip icmp rate-limit unreachable 、 show ip icmp rate-limit の各コマンドがこの機能により導入または変更されました。 |
||
12.2(21) |
IP Precedence Accounting 機能により、インターフェイス上の優先順位に基づいて IP トラフィックのアカウンティング情報が提供されます。この機能は、IP パケットを送受信したインターフェイスごとにパケット数の合計とバイト数の合計を計算し、IP 優先順位に基づいて結果をソートします。この機能はすべてのインターフェイスおよびサブインターフェイスでサポートされ、CEF、dCEF、フロー、および最適なスイッチングをサポートします。 この機能に関する詳細については、次の各項を参照してください。 • show interface precedence および ip accounting precedence の各コマンドがこの機能により導入されました。 |
|
Show and Clear Commands for IOS Sockets 機能には、 show udp 、 show sockets 、および clear sockets コマンドが導入されました。これらの新しいコマンドは、Cisco IOS ソケット ライブラリのモニタリングや管理に役立ちます。 この機能に関する詳細については、次の各項を参照してください。 • clear sockets 、 show sockets 、 show udp の各コマンドがこの機能により導入または変更されました。 |
フィードバック