SISF ベースのデバイストラッキングに関する情報
SISF ベースのデバイストラッキングの概要
スイッチ統合セキュリティ機能ベース(SISF ベース)のデバイストラッキング機能は、一連のファーストホップセキュリティ機能の一部です。
この機能の主な役割は、ネットワーク内のエンドノードの存在、ロケーション、移動を追跡することです。SISF は、スイッチが受信したトラフィックをスヌーピングし、デバイスアイデンティティ(MAC と IP アドレス)を抽出して、バインディングテーブルに保存します。IEEE 802.1X、web 認証、Cisco TrustSec、LISP などの多くの機能は、この情報の正確性に依存して正常に動作します。
SISF ベースのデバイストラッキングは、IPv4 と IPv6 の両方をサポートします。
SISF ベースのデバイストラッキングが導入されても、レガシー デバイス トラッキング CLI(IP デバイストラッキング(IPDT)および IPv6 スヌーピング CLI)は引き続き使用できます。スイッチをブートアップすると、使用可能なコマンドのセットは既存の設定によって異なり、次のいずれかのみが使用可能です。
-
SISF ベースのデバイストラッキング CLI、または
-
IPDT および IPv6 スヌーピング CLI
![]() (注) |
IPDT および IPv6 スヌーピングコマンドは廃止されましたが、引き続き使用できます。SISF ベースのデバイストラッキングにアップグレードすることを推奨します。 |
IPDT および IPv6 スヌーピング CLI を使用していて、SISF ベースのデバイストラッキングに移行する場合、詳細については「レガシー IPDT と IPv6 スヌーピングから SISF ベースのデバイストラッキングへの移行」を参照してください。
SISF ベースのデバイストラッキングは、手動で(device-tracking コマンドを使用して)、またはプログラムで(デバイス トラッキング サービスを他の機能に提供する場合に)有効にできます。
SISF ベースのデバイストラッキングを有効にするオプション
デフォルトでは、SISF ベースのデバイストラッキングは無効になっています。
デバイス トラッキング ポリシーを定義し、そのポリシーを特定のターゲットに適用することで、有効にできます。
![]() (注) |
ターゲットは、インターフェイスまたは VLAN です。 |
SISF ベースのデバイストラッキングの手動による有効化
-
オプション 1:default デバイス トラッキング ポリシーをターゲットに適用します。
インターフェイス コンフィギュレーション モードまたは VLAN コンフィギュレーション モードで、device-tracking コマンドを入力します。次に、システムはdefault ポリシーをインターフェイスまたは VLAN に対応付けます。
(注)
default ポリシーは、デフォルト設定の組み込みポリシーです。default ポリシーの属性は変更できません。デバイス トラッキング ポリシーの属性を設定できるようにするには、カスタムポリシーを作成する必要があります。「オプション 2:カスタム設定でカスタムポリシーを作成します」を参照してください。
-
オプション 2:カスタム設定でカスタムポリシーを作成します。
グローバル コンフィギュレーション モードで device-tracking policy コマンドを入力し、続けてカスタムポリシー名を入力します。システムにより、指定した名前のポリシーが作成されます。その後、デバイス トラッキング コンフィギュレーション モード(config-device-tracking)で使用可能な設定を行い、指定したターゲットにポリシーをアタッチできます。
プログラムによる SISF ベースのデバイストラッキングの有効化
一部の機能はデバイストラッキングに依存し、SISF ベースのデバイストラッキングが構築および維持するバインディングエントリの信頼性のあるデータベースを利用します。これらの機能は、デバイス トラッキング クライアントとも呼ばれ、プログラムによりデバイストラッキングを有効にします(デバイス トラッキング ポリシーを作成して対応付けします)。
![]() (注) |
ここでの例外は、IEEE 802.1X、web 認証、Cisco TrustSec、IP ソースガード(IPSG)です。これらはデバイストラッキングにも依存しますが、有効にはなりません。これらのデバイス トラッキング クライアントでは、ip dhcp snooping vlan vlan コマンドを入力して、プログラムにより特定のターゲットでデバイストラッキングを有効にする必要があります。 |
プログラムによる SISF ベースのデバイストラッキングの有効化については、次の点に注意してください。
-
デバイス トラッキング クライアントでは、デバイストラッキングを有効にする必要があります。
複数のデバイス トラッキング クライアントが存在するため、複数のプログラムポリシーを作成できます。各ポリシーの設定は、ポリシーを作成するデバイス トラッキング クライアントによって異なります。
-
作成されるポリシーとその設定はシステム定義です。
設定可能なポリシー属性は、デバイス トラッキング コンフィギュレーション モード(config-device-tracking)で使用でき、リリースごとに異なります。設定不可能な属性を変更しようとすると、設定変更は拒否され、エラーメッセージが表示されます。
プログラムによって作成されたポリシーのリリース固有の情報については、 マニュアルの必要なバージョンの『Cisco IOS XE <release name> <release number>』の「Programmatically Enabling SISF-Based Device Tracking」を参照してください。
レガシーコマンドから SISF ベースの Device-Tracking コマンドへの移行
レガシー IPDT と IPv6 スヌーピングから SISF ベースのデバイストラッキングへの移行
Cisco IOS XE Denali 16.1.1 以降では、既存の IPv6 スヌーピングおよび IP デバイストラッキング( IPDT)に、対応する SISF ベースの device-tracking コマンドが用意され、IPv4 と IPv6 の両方のアドレスファミリに設定を適用できるようになりました。
Cisco IOS XE 3.xx リリースから Cisco IOS XE 16.xx リリースにアップグレードした後、device-tracking upgrade-cli を入力してレガシー IPDT および IPv6 スヌーピングコマンドを SISF ベースのデバイス トラッキング コマンドに変換します。このコマンドを実行した後は、新しい device-tracking コマンドのみがデバイスで使用でき、レガシーコマンドはサポートされません。
デバイスにあるレガシー設定に基づいて、device-tracking upgrade-cli コマンドは CLI を異なる方法でアップグレードします。既存の設定を移行する前に、次の設定シナリオ、および対応する移行結果を検討します。
![]() (注) |
古い IPDT IPv6 スヌーピング CLI と新しい SISF ベースデバイストラッキング CLI の両方を設定することはできません。 |
IPDT 設定のみが存在する
デバイスに IPDT 設定のみがある場合は、device-tracking upgrade-cli コマンドを実行すると、設定が変換され、新しく作成されてインターフェイスで適用される SISF ポリシーが使用されます。これにより、この SISF ポリシーを更新できます。
引き続きレガシーコマンドを使用する場合、レガシーモードでの操作が制限されます。このモードでは、レガシー IPDT と IPv6 スヌーピングコマンドのみがデバイスで使用可能になります。
IPv6 スヌーピング設定のみが存在する
既存の IPv6 スヌーピング設定があるデバイスで、古い IPv6 スヌーピングコマンドを以降の設定に使用できます。次のオプションを使用できます。
-
(推奨)device-tracking upgrade-cli コマンドを使用して、レガシー設定をすべて、新しい SISF ベースの device-tracking コマンドに変換します。変換後は、新しいデバイス トラッキング コマンドのみがデバイスで動作します。
-
レガシー IPv6 スヌーピングコマンドを今後の設定に使用し、device-tracking upgrade-cli コマンドは実行しません。このオプションでは、デバイスで使用可能なのはレガシー IPv6 スヌーピングコマンドのみであり、新しい SISF ベースの device-tracking CLI コマンドは使用できません。
IPDT と IPv6 スヌーピングの両方の設定が存在する
レガシー IPDT 設定と IPv6 スヌーピング設定の両方が存在するデバイスでは、レガシーコマンドを SISF ベースのデバイストラッキング CLI に変換できます。ただし、インターフェイスに適用することができるスヌーピングポリシーは 1 つだけであり、IPv6 スヌーピング ポリシー パラメータは IPDT 設定よりも優先される、ということに注意してください。
![]() (注) |
新しい SISF ベースのコマンドに移行しておらず、レガシー IPv6 スヌーピングや IPDT コマンドを使用し続けている場合、IPv4 デバイストラッキング設定情報が IPv6 スヌーピングコマンドに表示される可能性があります。SISF ベースのデバイストラッキング機能では、IPv4 と IPv6 の両方の設定を扱うためです。これを回避するには、レガシー設定を SISF ベースのデバイス トラッキング コマンドに変換することを推奨します。 |
IPDT または IPv6 スヌーピング設定が存在しない
デバイスにレガシー IP デバイストラッキング設定も IPv6 スヌーピング設定もない場合は、今後の設定に使用できるのは新しい SISF ベースの device-tracking コマンドのみです。レガシー IPDT コマンドと IPv6 スヌーピングコマンドは使用できません。
![]() (注) |
Cisco IOS XE Denali 16.3.1 以降、ip dhcp snooping vlan vlan コマンドは、IEEE 802.1X、web 認証、Cisco TrustSec、IPSG 機能をサポートするために、プログラムによってデバイス トラッキング ポリシーを作成します。プログラムによって作成されたポリシーは、IPv4 および IPv6 クライアントの両方を追跡します。前述の機能のいずれかを使用している場合、このコマンドが設定されていることを確認します。 |
IPDT、IPv6 スヌーピング、および SISF ベースのデバイストラッキング CLI の互換性
表 1 に、device-tracking upgrade-cli コマンド(グローバル コンフィギュレーション モード)が実行されていない場合に、レガシー IPDT と、それらが変換される IPv6 スヌーピングコマンドを示します。
表 表 2 に、device-tracking upgrade-cli コマンドを実行した場合に、レガシー IPDT と、それをシステムが変換する SISF ベースの device-tracking コマンドを示します。
レガシー IP デバイストラッキング(IPDT) |
IPv6 スヌーピングコマンド (Cisco IOS XE Denali 16.3.7 以降のすべての Cisco IOS XE 16.xx リリース)。 |
---|---|
ip device tracking probe count |
デフォルト値に設定されており、変更できません。 |
ip device tracking probe delay |
デフォルト値に設定されており、変更できません。1。 |
ip device tracking probe interval |
ipv6 neighbor binding reachable-lifetime 2 |
ip device tracking probe use-svi |
デフォルトの動作に設定されており、変更できません。 |
ip device tracking probe auto-source [ fallback host-ip-address subnet-mask] [ override] |
ipv6 neighbor tracking auto-source[ fallback host-ip-address subnet-mask] [ override] |
ip device tracking trace-buffer |
サポート対象外 |
ip device tracking maximum n |
ipv6 snooping policy IPDT_MAX_n[ limit address-count] |
ip device tracking maximum 0 |
サポート対象外 |
clear ip device tracking all |
サポート対象外 |
レガシー IP デバイストラッキング(IPDT) |
SISF 変換後の SISF ベースのデバイストラッキング (Cisco IOS XE Denali 16.3.7 以降のすべての Cisco IOS XE 16.xx リリース)。 |
---|---|
ip device tracking probe count |
デフォルト値に設定されており、変更できません。 |
ip device tracking probe delay |
デフォルト値に設定されており、変更できません。3。 |
ip device tracking probe interval |
device-tracking binding reachable-lifetime 4 |
ip device tracking probe use-svi |
デフォルトの動作に設定されており、変更できません。 |
ip device tracking probe auto-source[ fallback host-ip-address subnet-mask] [ override] |
device-tracking tracking auto-source[ fallback host-ip-address subnet-mask] [ override] |
ip device tracking trace-buffer |
未サポート |
ip device tracking maximum n |
device-tracking snooping policy IPDT_MAX_n[ limit address-count] |
ip device tracking maximum 0 |
未サポート |
clear ip device tracking all |
未サポート |