Cyber Vision のサポート
Cisco Cyber Vision Center(CVC)は、制御ネットワークとデータネットワークをリアルタイムでモニタすることにより、産業用制御システム(ICS)全体の産業用 IoT ネットワークの可視性を高めます。リリース 17.4 以降の IoT IOS-XE プラットフォームでは、IOX Cyber Vision センサーを展開することで CVC の統合がサポートされます。このセンサーを IoT ルータに展開すると、プラットフォームは IOX アプリケーションからのトラフィックを Cyber Vision Center に転送してリアルタイムでモニタし、キャプチャした PCAP ファイルを IOX アプリケーションから Vision Center に転送できます。
IOS-XE プラットフォームでの Cyber Vision Center(CVC)の展開
手順
|
ステップ 1 |
次の場所から、シスコがサポートしている Cyber Vision IOX アプリケーションをダウンロードします。 https://software.cisco.com/download/home/286325414/type/286325316/release/3.1.1?catid=268438162 Cisco Cyber Vision Sensor IOx Application 3.1.1 for IE3400 and IR1101 を選択します。 |
|
ステップ 2 |
仮想マシンまたは任意のハイパーバイザに CVC バージョン 3.1.1 をインストールします。次の場所は、さまざまなバージョンの CVC のダウンロードリンクです。 https://software.cisco.com/download/home/286325414/type Cisco Cyber Vision リリース 3.1.1 のリリースノート: |
|
ステップ 3 |
CVC センサーには 2 つの VirtualPort Group インターフェイスが必要です。一つは IOx トラフィック用であり、もう一つは物理インターフェース、SVI、トンネルインターフェース等の ERSPAN ソースでミラーされたトラフィック用です。次の図を参照してください。 
|
|
ステップ 4 |
CVC センサーの展開は、LMGUI または CLI からインストールできます。 |
L3 設定を介した ERSPAN と仮想ポートグループの設定例
物理ポートと仮想ポートの設定:
interface virtualportgroup 0
ip address 169.254.1.1 255.255.255.252
interface virtualportgroup 1
ip nat inside
ip address 169.254.0.1 255.255.255.252
interface gi0/0/0
ip address 101.0.0.151 255.255.255.0
ip nat outside
no shut
ERSPAN 設定:
monitor session 1 type erspan-source
source interface Gi0/0/0
no shutdown
destination
erspan-id 1
mtu 1464
ip address 169.254.1.2
origin ip address 169.254.1.1
アクセスリストを使用した NAT 設定:
ip nat inside source list NAT_ACL interface Gi0/0/0 overload
ip access-list standard NAT_ACL
10 permit 169.254.0.0 0.0.0.3
CLI からのインストール
CLI を使用してアプリケーションをインストールするには、CVC センサーをブートフラッシュ、USB、または mSATA にコピーします。次に、アプリケーションホスティング CLI を使用してアプリケーションをインストールし、Docker オプションを指定してからアプリケーションをアクティブ化します。
次に例を示します。
Router(config-if)#iox
Router# app-hosting install app-id <app-id> package {bootflash:/|usbflash0:|msata:}
app-hosting appid <app-id>
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 169.254.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 169.254.0.2 netmask 255.255.255.252
app-default-gateway 169.254.0.1 guest-interface 1
app-resource docker
run-opts 1 "--rm --tmpfs /tmp:rw,size=128m"
Router# app-hosting {activate|start|stop|deactivate|uninstall} app-id <app-id>
LMGUI からのインストール
LMGUI に到達するには、次を設定します。
iox
ip http server
ip http secure-server
ip http authentication local
Username cisco privilege 15 password cisco
Login URL: http://<Mgmt_IP>/iox/login
その他の詳細については、次を参照してください。 LM GUI を使用した CVC センサーのインストール
ルータ詳細の登録
手順
|
ステップ 1 |
ログインして次の場所に移動し、CVC に IOS-XE ルータの詳細を登録します。 Admin > Sensors > Install Sensor Manually 次に、[Cisco IOx Application] をクリックします。次を参照してください。 
|
|
ステップ 2 |
ルータのシリアル番号を入力します。show inventory の出力と完全に一致する必要があります。次に [Create Sensor ] をクリックします。次を参照してください。 
|
|
ステップ 3 |
[Get Provisioning File] をクリックして、CVC からプロビジョニングファイルを生成します。次を参照してください。 
|
|
ステップ 4 |
ローカルディレクトリにプロビジョニングファイルをダウンロードします。ファイルは次のようなファイル名の zip ファイルとして提供されます。 例: |
|
ステップ 5 |
LM GUI を使用して、プロビジョニングファイルをルータにインポートします。LM GUI アプリケーションから次の場所に移動します。 Applications > CVC App (Application Name) > Manage > App-DataDir 次を参照してください。 
|
|
ステップ 6 |
[Upload ] をクリックします。[Upload Configuration] ウィンドウが表示されます。ダウンロードしたプロビジョニング済みのファイルを同じ名前で CVC からアップロードします。次を参照してください。 
|
|
ステップ 7 |
CVC の認証を確認します。インストールされているセンサーのステータスが Connected または Waiting for Data に変更されたかどうかを検証します。次を参照してください。 
|
ライブトラフィックのキャプチャ
手順
|
ステップ 1 |
CVC とルータ間で日時を同期します。ライブトラフィックをキャプチャするには、ルータと CVC の間に正確なクロック同期が必要です。 |
|
ステップ 2 |
IOX トラフィックをシミュレートするか、またはキャプチャされた PCAP ファイルを再生します。ルータにインストールされている CVC センサーは Docker アプリです。アプリのコンソールにログインするには、次のコマンドを実行します。 例: |
|
ステップ 3 |
LM-GUI から PCAP ファイルをアプリケーションにアップロードします。次のとおりに移動します。 Applications > CVC App (Application Name) > Manage >App-Dir 次のコマンドは、PCAP ファイルの再生方法を示しています。 例: |
|
ステップ 4 |
CVC のトラフィックをモニタします。次の場所に移動します。 Explore > Essential Data > Activity List 次を参照してください。 
|
フィードバック