パッシブ フェールオープン キット クイック スタート ガイド 改訂 A McAfee Network Security Platform McAfee Network Security Platform IPS Sensor はインラインで配備されると、指定したポート ペア 経由ですべての受信トラフィックをルーティングします。 ただし、メンテナンスを行う場合や停電でポ ートが使用できない場合など、Sensor をオフにしなければならないときがあります。 このようなとき、 トラフィックを中断せず継続させたい場合があります。 このような条件下では、フェールオープン スイ ッチと呼ばれる外部デバイスを使用できます。 フェールオープン スイッチには、アクティブ フェールオ ープン スイッチとパッシブ フェールオープン スイッチがあります。 パッシブ フェールオープン スイッチは、Sensor からコントロール ケーブル経由で供給される電気信号 により動作します。 Sensor のコントロール ポートは、コントロール ケーブルによってフェールオープ ン スイッチのコントロール ポートに接続されています。 Sensor の動作中、スイッチは「オン」にな り、すべてのトラフィックが Sensor を通じて直接ルーティングされます。 Sensor で障害が発生する と、スイッチが自動的にバイパス状態に切り替わります。インラインのトラフィックは引き続きネットワ ーク リンクを通過しますが、Sensor を通じてルーティングされなくなります。 Sensor の動作が回復 すると、スイッチが「オン」の状態に戻り、インライン モードでの監視が再度有効になります。 各 Sensor のコントロール ポート数は、Sensor モデルに応じて決まります。 各 Sensor のコントロール ポート は、対応するモニタリング ポート ペアに内部的に配線されます。 たとえば、コントロール ポート X2 は常にモニタリング ポート ペア 2A-2B とともに使用する必要があります。 以下の表に、パッシブ フェールオープン スイッチの各種モデルを示します。 フェールオープン スイ SKU ッチ NS9x00 NS7x00 M-8000、 M-4050、 M-2950、 M-6050 M-3050 M-2850 パッシブ光ファイバー IAC-PF85050(850 nm) KT1 10G (50 µm) いいえ はい はい はい いいえ パッシブ光ファイバー IAC-PF85062(850 nm) KT1 10/1G (62.5 µm) いいえ はい はい はい はい パッシブ光ファイバー IAC-PF131010- いいえ (1310 nm) KT1 10/1G (8.5 µm) はい はい はい はい パッシブ銅線 IAC-PFOCG- はい はい はい はい 10/100/1000 KT2 いいえ 1 光ファイバー フェールオープン スイッチは、シングル モード光ファイバーとマルチ モード光ファイバーの 2 種類で構 成されています。 これらの種類の光ファイバー フェールオープン スイッチに関する詳細を表に示します。 この情報は 重要です。使用するフェールオープン スイッチの種類を決める前に、組織のネットワークが使用する光ファイバーの種類 を決める必要があるためです。 また、光ファイバー フェールオープン キットのすべての製品マニュアルと、フェールオ ープン スイッチのステッカーには、これらのパラメーターが表記されているため、各種類について理解することも重要で す。 シングルモード光ファイバーとマルチモード光ファイバーの仕様の違いを以下の表に示します。 種類 光ファイバーの太さ 波長帯 シングル モード (ロング リーチ) 8.5 µm 1300 nm から 1550 nm マルチモード (ショート リーチ) 50 µm または 62.5 µm 850 nm から 1300 nm NS-9x00 Sensor にはコントロール ポートがないため、パッシブ フェールオープン キットをサポートしませ ん。 各種フェールオープン キットと Sensor との互換性の詳細については、『Fail-Open operation in Sensors』 (「Sensor でのフェールオープン操作」) の章 (『McAfee Network Security Platform IPS Administration Guide』 (『McAfee Network Security Platform IPS 管理ガイド』)) を参照してください。 フェールオープン キットの詳細については、『Fail-Open operation in Sensors』 (「Sensor でのフェールオープン操 作」) の章 (『McAfee Network Security Platform IPS Administration Guide』 (『McAfee Network Security Platform IPS 管理ガイド』)) を参照してください。 この章には、本クイックスタートガイドの内容と関連する情報が多 く記載されています。このガイドのコピーを準備しておくと、フェールオープン スイッチの取り付けと構成を行う際に役 立ちます。 1 梱包箱の内容 すべてのフェールオープン キットは同じコンポーネントで構成されています。 モデルによってケーブルやスイッ チの種類は異なりますが、キット自体のアイテムの内容は同じです。 アイテムのリストを表に示します。 数 量 アイテム 説明 1 フェールオープン スイッ 銅線: 1000Base-T スイッチ。Sensor に内蔵のコントロール ポート経由で、す チ べての該当する Sensor モデルの GE ポートに接続します。 光ファイバー: Sensor に内蔵のコントロール ポート経由で、すべての該当する Sensor モデルの 1-Gigabit または 10-Gigabit ポートに接続します。 2 1 19 インチ ラックマウン ト パネル (最大 3 つの スイッチを設置可能) 標準のラックに最大 3 つのバイパス スイッチを設置できる 1RU のマウンティ ング ハードウェアです。 1 RJ-45/RJ-11 ケーブル (3 m) Sensor のコントロール ポートをフェールオープン スイッチに接続します。 4 銅線: RJ-45/RJ-45 ケー ネットワーク デバイスと Sensor にフェールオープン スイッチを接続します。 ブル (3 m) 光ファイバー フェールオープン キットでは、購入時の要件に応じてこれ 光ファイバー: LC-LC (3 らのケーブルがシングル モード ケーブルになるかマルチモード ケーブ m) ルになるかが決まります。 2 パッシブ フェールオープン スイッチのラックへの取り付け 開始する前に • フェールオープン スイッチの取り付け先となるラックを決めます。 • 物理的な Sensor を使用している場合は、モニタリング ポートを使用してフェールオープン スイ ッチに物理的に接続できることを確認します。 ラックマウント パネルには、フェールオープン スイッチを 3 つまで取り付けることができます。 このセクション で説明するラックマウント パネルは、フェールオープン キットに同梱されています。 ラックへの取り付けは任意です。フェールオープン スイッチをラックに取り付けたくない場合は、 Sensor または他のネットワーク デバイスの上部にスイッチを直接取り付けることもできます。 a ラックマウント パネルの真ん中の開口部にスイッチを差し込みます。スイッチの前面プレートがパネルに接 するまで差し込んでください。 b フェールオープン スイッチの前面プレートの穴とパネルの穴を重ねて付属のネジを差し込み、ラックマウン ト パネルにスイッチを固定します。 追加のフェールオープン スイッチを取り付ける場合は、ラックマウント パネルをラックに設置した ままの状態で取り付けることができます。 c 標準の 19 インチ ラックの前面に 1U パネルを取り付けます。 d パネルの前面の穴とラックの側面の穴を重ねてネジ (ラックマウント パネルに同梱) を回し入れ、ラックマウ ント パネルを固定します。 e (任意) スイッチを追加するには (最大 2 つまで)、次の手順に従います。 a パネルの前面で、開口部をカバーしている取り外し可能なプレートを固定しているネジを外します。 b この手順の 1 と 2 に従い、ラックマウント パネルにフェールオープン スイッチを取り付けて追加しま す。 これで、フェールオープン スイッチを Sensor に接続できるようになります。 3 3 フェールオープン スイッチの接続 攻撃を正確に検知するには、Sensor でネットワークの外部からのトラフィックと内部からのトラフィックを識別 する必要があります。 トラフィックの方向を正確に識別するには、フェールオープン スイッチを適切に配線し、 Manager で Sensor のモニタリング ポートを適切に構成する必要があります。 パッシブ フェールオープン スイッチは、以下の画像に示されているポートで構成されます。 フィールド 4 説明 1 Sensor のフェールオープン コントロール ポートに接続 2 ネットワーク デバイス (内部) に接続 3 ネットワーク デバイス (外部) に接続 4 PTx/SRx - 内部 (Sensor ポート xA に接続) 5 STx/PRx - 外部 (Sensor ポート xB に接続) ネットワーク デバイスへのフェールオープン スイッチの接続 開始する前に • 銅線フェールオープン スイッチを接続する場合は、2 つの Cat 5/Cat 5e Ethernet ケーブルがあ ることを確認します。 • 光ファイバー フェールオープン スイッチを接続する場合は、2 つの LC-LC ケーブルがあることを 確認します。 番号 説明 1 パッシブ フェールオープン スイッチ 2 フェールオープン コントロール ポート (RJ-11) 3 フェールオープン スイッチのコントロール ポート (RJ-45) 4 コントロール ケーブル (RJ-45 から RJ-11 に接続) 5 ネットワーク デバイスに接続 6 ネットワーク デバイスに接続 7 Sensor のモニタリング ポート 5A への PTx/SRx (内部) 接続 8 Sensor のモニタリング ポート 5B への STx/PRx (外部) 接続 以下に、銅線および光ファイバー フェールオープン スイッチの両方を接続する手順を示します。 a 銅線の場合は、フェールオープン スイッチの [Network 0] または [Net 0] とラベル付けされた Cat 5/Cat 5e/LC ポートに、光ファイバーの場合は、フェールオープン スイッチの [Network A] (三角形付き) とラベ ル付けされた Cat 5/Cat 5e/LC ポートに内部ネットワーク ケーブル コネクタを接続します。 b このケーブルのもう一方の端を該当するネットワーク デバイスに接続します。 5 c 銅線の場合は、フェールオープン スイッチの [Network 1] または [Net 1] とラベル付けされた Cat 5/Cat 5e/LC に、光ファイバーの場合は、フェールオープン スイッチの [Network B] (三角で表示) とラベル付け された Cat 5/Cat 5e/LC に外部ネットワーク ケーブル コネクタを接続します。 d このケーブルのもう一方の端を該当するネットワーク デバイスに接続します。 このフェールオープン スイッチが、内部ネットワークおよび外部ネットワークのネットワーク デバイスに接続され ます。 次に、フェールオープン スイッチを Sensor に接続します。 (いずれか) 銅線フェールオープン スイッチの接続 開始する前に • フェールオープン スイッチを Sensor に接続するには、2 つの Cat 5/Cat 5e Ethernet ケーブル が必要です。 • 2 つの銅線 SFP モジュールを、Sensor 上の対応する 2 つの未使用のモジュラー ソケットに差し 込みます。 Sensor と SFP モジュールの詳細については、該当するモデルの 『Sensor Product Guide』 (『Sensor 製品ガイド』) を参照してください。 • フェールオープン キットに同梱されるコントロール ケーブル。 a ポート [xA] (x は 1 から 6 まで) の銅線 SFP に Cat 5/Cat 5e Ethernet ケーブル (内部) を接続します。 b フェールオープン スイッチで [Monitor 0] というラベルの付いたポートにケーブルのもう一方の端を接続し ます。 c 対応する [xB] ピア ポートに Cat 5/Cat 5e Ethernet ケーブル (外側) を接続します。 たとえば、手順 1 で [2A] を使用した場合は、ケーブルをポート [2B] に差し込みます。 d フェールオープン スイッチの [Monitor 1] というラベルの付いたポートにケーブルのもう一方の端を接続し ます。 e コントロール ケーブルの片側の端をフェールオープン スイッチの[コントロール] ポートに接続します。 f もう一方の端を、Sensor のコントロール ポート [Xy] に接続します。[y] はいずれかのモニタリング ポート に対応するポート番号です。 接続する Sensor のコントロール ポートは、使用するポート ペアに対応している必要があります。 たとえば、Sensor で 2A-2B のポート ペアを使用する場合は、X2 を使用する必要があります。 この配線では、Sensor のモニタリング ポート [xA] でネットワークの内部から送信されるトラフィックが監視さ れ、ポート [xB] でネットワークの外部から送信されるトラフィックが監視されます。 この構成 ([xA] が外部で [xB] が内部) は、Sensor のポート構成と一致させる必要があります。また、これらのポートがそのように構成さ れている必要があります。 (または) 光ファイバー フェールオープン スイッチの接続 開始する前に 6 • フェールオープン スイッチを Sensor に接続するには、2 つの LC-LC ケーブルが必要です。 • 1-Gigabit フェールオープン スイッチを接続する場合は、2 つの光ファイバー SFP モジュールを、 Sensor 上の対応する 2 つの未使用のモジュラー ソケットに差し込みます。 • 10 Gigabit フェールオープン スイッチを接続する場合は、2 つの光ファイバー XFP/SFP+ モジ ュールを、Sensor 上の対応する 2 つの未使用のモジュール ソケットに差し込みます。 Sensor または SFP/XFP/SFP+ モジュールの詳細については、該当するモデルの 『『Sensor 製品ガイド』 』を参照してください。 • フェールオープン キットに同梱されるコントロール ケーブル。 a LC-LC ケーブルをポート [xA] または [Gx/a] の LC レセプタクルに接続します。x および a は、対応する 1 Gigabit または 10 Gigabit ポート番号です。 b フェールオープン スイッチの [Monitor A] というラベルの付いた LC レセプタクルに LC ケーブルのもう一 方の端を接続します。 c 対応するピア ポート [xB] または [Gx/b] に LC-LC ケーブルを接続します。 たとえば、手順 1 で [G1/1] を使用した場合は、ケーブルをポート [G1/2] に差し込みます。 d フェールオープン スイッチの [Monitor B] というラベルの付いたポートにケーブルのもう一方の端を接続し ます。 e コントロール ケーブルの片側の端をフェールオープン スイッチの[コントロール] ポートに接続します。 接続する Sensor のコントロール ポートは、使用するポート ペアに対応している必要があります。 たとえば、Sensor で 2A-2B のポート ペアを使用している場合は、コントロール ポート X2 を使 用する必要があります。 この配線では、Sensor のモニタリング ポート [xA] でネットワークの内部から送信されるトラフィックが監視さ れ、ポート [xB] でネットワークの外部から送信されるトラフィックが監視されます。 この構成 ([xA] が外部で [xB] が内部) は、Sensor のポート構成と一致させる必要があります。また、これらのポートがそのように構成さ れている必要があります。 4 Sensor のモニタリング ポートの構成 開始する前に • Sensor は Manager サーバーと信頼関係を確立するよう設定する必要があります。 • Sensor にはインライン フェールオープン モードで配備できるフリーなポート ペアが備わってい ます。 • Sensor およびフェールオープン スイッチの配線を完了している場合、必要なトランシーバー モ ジュールは Sensor に挿入されています。 初めて Sensor を設定する場合、ポートはデフォルトで無効になっています。 インライン フェールオープン動作 を有効にするには、Sensor のポートを手動で構成する必要があります。 a Manager で、 [Devices (デバイス)] 、 [<Admin_Domain_Name>] 、 [Devices (デバイス)] 、 [<Device_Name>] 、 [Setup (セットアップ)] 、 [Physical Ports (物理ポート)]の順に選択します。 b いずれかの構成可能なポート ([G0/1] など) をダブルクリックします。 ウィンドウの右側に構成パネルが表示されます。 7 c [State] (状態) ドロップダウンをクリックし、[Enabled] (有効) を選択します。 この構成はポート [G0/2] にも影響するため、続行するかどうか確認されます。 d [Yes] (はい) をクリックして続行します。 これで、ポート G0/1-G0/2 が有効になります。 e [Auto Negotiate] (オート ネゴシエーション) チェックボックスをオンにし、[Speed (Duplex)] (速度 (二 重モード)) が [1 Gbps (Full)] (1 Gbps (全)) に設定されていることを確認します。 f [Mode] (モード) ドロップダウンをクリックし、[In-line Fail-Open Passive] (インライン フェールオープ ン パッシブ) を選択します。 g [Placement] (配置) ドロップダウンをクリックし、ポートの構成方法に応じて [Inside Network] (内部ネッ トワーク) または [Outside Network] (外部ネットワーク) を選択します。 McAfee[Gx/1] または [xA] を内部ネットワークとして、[Gx/2] または [xB] を [外部ネットワーク] として 選択することをお勧めします。 h [Response Port] (応答ポート) ドロップダウンをクリックし、割り当てるポートを選択します。 インライン フェールオープンまたはインライン フェールクローズ設定では、同一のポートを応答ポートとし て構成できます。 i [Save] (保存) をクリックします。 Sensor およびフェールオープン スイッチが設定されます。 トラフィックがポートを通過するときは、ポート リ ンクのステータスが [Up] に変わって緑色になります。 5 取り付けの確認 これらの手順に従って、設定が想定どおりに動作していることを確認します。 a Manager で、インライン フェールオープン パッシブとして構成したポートの横にあるアイコンを確認しま す。 [Up] と表示されている必要があります。 b 8 フェールオープン スイッチの電源 の LED を確認します。 c 6 LED ステータ ス 説明 ON (オン) スイッチはフェールオープン モードになっておらず、Sensor のモニタリング ポートは通 常どおり動作しています。 OFF (オフ) スイッチはフェールオープン モードになっており、Sensor のモニタリング ポートはトラ フィックを監視していません。 Gigabit インライン フェールオープン モードのポートのステータスと動作モードのステータスを確認しま す。 インライン フェー ルオープン ポート のステータス Sensor の 動作モードのステータス インライン フェー ルオープン - パッ シブ (a/b とペア) 緑 インライン フェールオープン デバイスはインライン フェールオープン モードです。 バイパス 黄 インライン フェールオープン デバイスはインライン バイパス モードで す。 バイパス スイッチはアクティブになっています。 この間、Sensor は監視を行いません。 スイッチが存在しな 赤 い フェールオープン コントロール、コントロール ケーブル、またはバイパ ス スイッチが存在しません。 3 つのコンポーネントがすべて正しく接続 されているか確認します。 すべてのコンポーネントが正しく接続されて いる場合は、動作ステータスを確認します。 該当なし 該当なし。動作モードがインライン フェールオープン モードではありま せん。 ポートの色 グレー トラブルシューティング Sensor が通常のインライン フェールオープンで動作している間、フェールオープン スイッチは常にハートビート 信号を Sensor に送信します。 フェールオープン スイッチが設定された間隔で信号を受信しない場合、フェール オープン スイッチはデータ パスから Sensor を除外し、バイパス モードに移行します。このため、ネットワーク はほとんど中断されません。 フェールオープン スイッチがバイパス モードで動作している間、トラフィックは Sensor をバイパスして直接ス イッチを通過します。 Sensor で通常の動作が回復したら、Manager のインターフェースから手動でモニタリング ポートを有効にする 必要があります。ただし、Sensor で発生した障害の原因によっては、手動で有効にする必要がない場合もありま す。 次のセクションでは、Sensor をインライン モードに戻す方法について説明します。 9 Sensor に障害が発生するとどうなりますか? Sensor でフェールオープン スイッチの障害が発生すると、次のイベントが、示されている順に発生します。 • • Manager の [System Health] (動作ステータス) ウィンドウに「[Sensor in bad health]」エラーまたは 「[Port pair is in bypass mode]」エラーが表示されます。 Sensor が再起動し、フェールオープン スイッチがトラフィックの転送を開始します。 すべてのトラフィック が Sensor をバイパスし、フェールオープン スイッチを経由します。これにより、トラフィックの中断を最小 限に抑えることができます。 Sensor が再起動すると、Sensor と接続されているデバイス間のリンクが切断されます。2 つのデ バイス間のネットワーク リンクを再度ネゴシエーションする必要があります。 ネットワークの中 断は数秒から数分続く場合があります。これは、使用しているネットワーク デバイスによって異な ります。 • 再起動が完了すると、Sensor はハートビートを再開します。次のいずれかが実行されます。 • 前述のような通常の動作で再起動が行われた場合、フェールオープン スイッチは再び Sensor にデータ を送信し、Sensor はインライン フェールオープン モードに戻ります。 • エラーにより再起動が行われた場合、管理者が Manager で Sensor のポートを手動で再度有効にするま で、フェールオープン スイッチは Sensor にトラフィックを送信しません。 ポートが有効になると、フェールオープン スイッチが Sensor 経由でのデータ送信を再開し、Sensor がインライン モードに戻ります。 Sensor がインライン モードに切り替わる際にもリンクの再ネゴシエーションが行われるた め、接続が短時間中断する場合があります。 • Manager でエラーが発生しなくなり、通常の動作状態であることが報告されます。 よくある問題と解決方法 このセクションでは、設置に関する一般的な問題と解決方法について説明します。 問題 考えられる原因 解決方法 ネットワークまたはリンクに 問題がある。 配線が適切でないか、ポー 送信ケーブルと受信ケーブルがフェールオープン ス トの構成が適切でない。 イッチに適切に接続されているかどうか確認してく ださい。 Sensor の LED がオフになっ Sensor の電源が入ってい Sensor の電源を入れてください。 ている。 ない。 Sensor にケーブルが接続されているかどうか確認 してください。 Sensor のポートにケーブ ルが接続されていない。 Sensor は動作しているが、ト ネットワーク デバイスの ケーブルがネットワーク デバイスとフェールオープ ラフィックの監視を行ってい ケーブルが接続されていな ン スイッチの両方に適切に接続されているかどうか ない。 い。 確認してください。 Sensor で Sensor のポー Sensor で発生した障害によりポートが無効になっ トが有効になっていない。 ています。Sensor での監視を再開するには、 Manager でポートを再度有効にしてください。 10 問題 考えられる原因 スイッチとルーターでエラー が発生する。 配線が適切でないか、ポー 送信ケーブルと受信ケーブルがフェールオープン ス トの構成が適切でない。 イッチに適切に接続されているかどうか確認してく ださい。 配線が適切でない。 Manager の [Operational Status] (動作ステータス) ペ ージに「Switch absent」とい うエラーが表示される。 解決方法 送信ケーブルと受信ケーブルがフェールオープン ス イッチに適切に接続されているかどうか確認してく ださい。 11 Copyright © 2015 McAfee, Inc. www.intelsecurity.com Intel および Intel のロゴは、Intel Corporation における登録商標です。McAfee および McAfee のロゴは、McAfee, Inc. における登録商標です。 その他すべての登録商標および商標はそれぞれの所有者に帰属します。 12 700-4419A16
© Copyright 2024 Paperzz