1. No category

アクティブ フェールオープン キット クイック スタート ガイド
改訂 B
McAfee Network Security Platform
McAfee Network Security Platform IPS Sensor はインラインで配備されると、指定したポート ペア
経由ですべての受信トラフィックをルーティングします。 ただし、メンテナンスを行う場合や停電でポ
ートが使用できない場合など、Sensor をオフにしなければならないときがあります。 このようなとき、
トラフィックを中断せず継続させたい場合があります。 このような条件下では、フェールオープン スイ
ッチと呼ばれる外部デバイスを使用できます。 フェールオープン スイッチには、アクティブ フェールオ
ープン スイッチとパッシブ フェールオープン スイッチがあります。
アクティブ フェールオープン スイッチは常に Sensor の状態を監視します。 これはポートからハート
ビート信号を送信することによって行われます。 ハートビート信号は [Monitor] のいずれかのポートか
ら送信され、別のポートで受信することにより、Sensor が正常に動作していることを示します。
以下の表に、アクティブ フェールオープン スイッチの各種モデルを示します。
フェールオープン ス
イッチ
SKU
NS-9x00 NS-7x00 M-8000、 M-4050、 M-2950、
M-6050 M-3050 M-2850
アクティブ光ファイ
バー (850 nm)
IAC-AF85010-
はい
はい
はい
はい
いいえ
IAC-AF131010- はい
はい
はい
はい
いいえ
はい
はい
はい
はい
はい
IAC-AF131085- はい
はい
はい
はい
はい
KT1
10G (62.5 µm)
アクティブ銅線
(1310 nm)
KT1
10G (8.5 µm)
アクティブ光ファイ
バー (850 nm)
IAC-AF85062KT1
1G (62.5 µm)
アクティブ光ファイ
バー (1310 nm)
KT1
1G (8.5 µm)
1
フェールオープン ス
イッチ
SKU
NS-9x00 NS-7x00 M-8000、 M-4050、 M-2950、
M-6050 M-3050 M-2850
アクティブ銅線
IAC-AFOCG-
はい
はい
はい
はい
はい
10/100/1000 モ
ジュール
KT2
アクティブ フェール
オープン
IAC-AFOCH-
はい
はい
はい
はい
はい
KT2
シャーシ
また、選択する際は、必要となる SFP/SFP+ または XFP があることを確認する必要もあります。
光ファイバー フェールオープン スイッチは、シングル モード光ファイバーとマルチ モード光ファイバーの 2 種類で構
成されています。 これらの種類の光ファイバー フェールオープン スイッチに関する詳細を以下の表に示します。 この
情報は重要です。使用するフェールオープン スイッチの種類を決める前に、組織のネットワークで使用する光ファイバー
の種類を決める必要があるためです。 また、フェールオープン キットのすべての製品マニュアルと、フェールオープン
スイッチのデカールでは、これらのパラメーターが頻繁に使用されます。 シングルモード光ファイバーとマルチモード光
ファイバーの仕様の違いを以下の表に示します。
種類
光ファイバーの太さ
波長帯
シングル モード (ロング リーチ)
8.5 µm
1300 nm から 1550 nm
マルチ モード (ショート リーチ)
50 µm または 62.5 µm
850 nm から 1300 nm
フェールオープン キットの詳細については、『Fail-Open operation in Sensors』 (「Sensor でのフェール
オープン操作」) の章 (『McAfee Network Security Platform IPS Administration Guide』 (『McAfee
Network Security Platform IPS 管理ガイド』)) を参照してください。 この章には、本クイックスタートガ
イドの内容と関連する情報が多く記載されています。このガイドのコピーを準備しておくと、フェールオープ
ン スイッチの取り付けと構成を行う際に役立ちます。
動作
まず、Sensor とフェールオープン スイッチを適切に配線する必要があります。 次に、Sensor のポートをフェールオー
プン動作用に構成します。 Sensor のモニタリング ポート構成の詳細については、
「Sensor のモニタリング ポートの構
成10 ページの「」」を参照してください。
Sensor とフェールオープン スイッチを接続して構成すると、スイッチが Sensor にハートビート信号を送信し始めま
す。 各ハートビート信号が送信されると、Sensor からフェールオープン スイッチに応答が戻ります。 指定した期間内
にフェールオープン スイッチは、この応答を Sensor から受信しなかった場合、データ パスから Sensor を除外し、自
身のポートを通じてネットワークにトラフィックをルーティングし始めます。
1G の光ファイバーまたは銅線フェールオープン スイッチは 1 秒ごとにハートビート信号を送信します。 フェールオー
プン スイッチは、応答を 3 秒以内に受信しなかった場合、動作モードを「不明」に変更し、自身を通じてトラフィック
をルーティングし始めます。
10G の光ファイバー フェールオープン スイッチは 10 ミリ秒 (ms) ごとにハートビート信号を送信します。 フェール
オープン スイッチは、Sensor からの応答を 100 ミリ秒以内に受信しなかった場合、データ パスから Sensor を除外
し、自身のポートを通じてトラフィックをルーティングし始めます。
2
1
梱包内容
すべてのフェールオープン キットは同様のコンポーネントで構成されています。 モデルによってケーブルやスイ
ッチの種類は異なりますが、キット自体のアイテムの内容は同じです。 アイテムのリストを以下の表に示します。
数
量
項目
説明
1
フェールオープン スイッチ モジ
ュール
•
10/100/1000 銅線フェー
ルオープン モジュール、ま
たは
•
10G 850 nm 光ファイバ
ー (62.5 µm) フェールオ
ープン モジュール、または
•
1G 850 nm 光ファイバー
(62.5 µm) フェールオー
プン モジュール、または
•
10G 1310 nm 光ファイ
バー (8.5 µm) フェール
オープン モジュール
•
1G 1310 nm 光ファイバ
ー (8.5 µm) フェールオ
ープン モジュール、または
1
4 つのフェールオープン スイッ
チ対応のアクティブ フェールオ
ープン スイッチ 1U シャーシ
標準ラックで最大 4 つのフェールオープン スイッチの差し込みが可能
な 1RU ホスト ハードウェア。
2
ホスト システム用の電源装置と
電源コード
1 つの電源装置はプライマリとして、もう 1 つは障害が発生した場合の
冗長電源装置として機能します。
4
銅線: RJ-45-RJ-45 ケーブル
(3m)
ネットワーク デバイスと Sensor にフェールオープン スイッチを接続
します。
光ファイバー: LC-LC (3m)
1
2
RS232 RJ-11 プログラミング
ケーブル
光ファイバー フェールオープン キットでは、購入時の要件に応
じてこれらのケーブルがシングル モード ケーブルになるかマ
ルチ モード ケーブルになるかが決まります。
フェールオープン スイッチをコンピューターに接続し、スイッチ パラメ
ーターの構成に使用するスイッチ CLI にアクセスします。
アクティブ フェールオープン スイッチとシャーシを取り付ける
開始する前に
•
フェールオープン シャーシの取り付け先となるラックを決めます。
•
物理的な Sensor を使用する場合は、モニタリング ポートを使用してシャーシに物理的に接続で
きることを確認してください。
3
1 つのシャーシに最大 4 つのフェールオープン スイッチを取り付けることができます。
アクティブ フェールオープン スイッチ モジュールは、ラック内のシャーシに電源を入れたままの状態で
取り付けできます。
a
シャーシにラック マウントを取り付けます。
b
シャーシのいずれかの開口部にスイッチを差し込みます。スイッチの前面プレートがシャーシに接するまで差
し込んでください。
c
フェールオープン スイッチの前面プレートの穴とパネルの穴を重ねて付属のネジを差し込み、スイッチをシャ
ーシに固定します。
シャーシの電源を入れたままスイッチを取り付ける場合、スイッチを差し込んでネジを締めた後、4
秒間待機する必要があります。
d
標準の 19 インチ ラックの前面に 1U シャーシを取り付けます。
e
シャーシのラック マウントの穴にネジを差し込んでシャーシを固定します (このセクションの「『開始する前
に』」の手順を参照してください)。
f
(オプション) スイッチを追加するには (最大 3 つまで)、以下の手順を実行します。
a
シャーシの前面で、何も記載されていない取り外し可能なプレートの両側を固定しているネジを外しま
す。
b
追加のフェールオープン スイッチをシャーシに取り付ける場合は、この手順の 1 と 2 を実行します。
これでフェールオープン スイッチを Sensor に接続できます。
3
アクティブ フェールオープン スイッチをシャーシから取り外す
開始する前に
フェールオープン スイッチをシャーシから取り外す前に、スイッチの電源が完全に切れていることを確
認してください。
4
このセクションの手順に従い、フェールオープン スイッチの電源をオフにして取り外してください。
a
b
4
Web インターフェースまたは CLI コマンド プロンプトを使用してフェールオープン スイッチの電源をオフ
にします。
•
Web インターフェースを使用する場合は、[[Rescue]] (修復) タブをクリックし、[[System Restore]]
(システムの復元) セクションの [[Power Off]] (電源オフ) チェックボックスをオンにします。 Web
インターフェースにアクセスする場合は、「Web インターフェースを通じてフェールオープン スイッチ
を管理する12 ページの「」」を参照してください。
•
CLI コマンド プロンプトを使用している場合は、power_off と入力し、[Enter] を押します。 CLI コ
マンド プロンプトにアクセスする場合は、「フェールオープン スイッチのパラメーターを構成する8
ページの「」」を参照してください。
フェールオープン スイッチの電源がオフになったら、拘束ネジを取り外し、シャーシから引き出します。
フェールオープン スイッチの接続
攻撃を正確に検知するには、Sensor でネットワークの外部からのトラフィックと内部からのトラフィックを識別
する必要があります。 トラフィックの方向を正確に識別するには、フェールオープン スイッチを正しく配線し、
Manager で Sensor のモニタリング ポートを適切に構成する必要があります。 トラフィックが Sensor を通過
しているかどうかは、LED で判断できます。
5
ネットワーク デバイスへのフェールオープン スイッチの接続
番号
説明
1
10/100/1000 銅線フェールオープン スイッチ モジュール
2
ネットワーク デバイスとの接続 (内部)
3
ネットワーク デバイスとの接続 (外部)
4
Sensor モニタリング ポート [G3/1] (内部)
5
Sensor モニタリング ポート [G3/2] (外部)
6
NS9200 の Sensor モニタリング ポート
以下に、銅線および光ファイバー フェールオープン スイッチの両方を接続する手順を示します。
a
銅線の場合は、フェールオープン スイッチの [Network 0] または [Net 0] とラベル付けされた Cat 5/Cat
5e/LC ポートに、光ファイバーの場合は、フェールオープン スイッチの [Network A] (三角形付き) とラベ
ル付けされた Cat 5/Cat 5e/LC ポートに内部ネットワーク ケーブル コネクタを差し込みます。
b
このケーブルのもう一方の端を、該当するネットワーク デバイスに差し込みます。
c
銅線の場合は、フェールオープン スイッチの [Network 1] または [Net 1] とラベル付けされた Cat 5/Cat
5e/LC ポートに、光ファイバーの場合は、フェールオープン スイッチの [Network B] (三角で表示) とラベ
ル付けされた Cat 5/Cat 5e/LC ポートに外部ネットワーク ケーブル コネクタを差し込みます。
d
このケーブルのもう一方の端を、該当するネットワーク デバイスに差し込みます。
このフェールオープン スイッチが、内部ネットワークおよび外部ネットワークのネットワーク デバイスに接続され
ます。 次に、フェールオープン スイッチを Sensor に接続します。
6
(いずれか) 銅線フェールオープン スイッチの接続
開始する前に
•
フェールオープン スイッチを Sensor に接続するには、2 つの Cat 5/Cat 5e Ethernet ケーブル
が必要です。
•
2 つの銅線 SFP を、Sensor 上の対応する 2 つの空のポートに差し込みます。
Sensor の詳細については、該当するモデルの 『Sensor Product Guide』 (『Sensor
製品ガイド』) を参照してください。
a
ポート [Gx/a] または [xA] (x および a はポート番号) の銅線 SFP に Cat 5/Cat 5e Ethernet ケーブル
(内部) を接続します。
b
フェールオープン スイッチで [Port 0] というラベルの付いたポートにケーブルのもう一方の端を接続しま
す。
c
対応する [Gx/b] または [xB] ピア ポートに Cat 5/Cat 5e Ethernet ケーブル (外側) を接続します (たと
えば、手順 1 で [G1/1] を使用した場合は、ケーブルをポート [G1/2] に差し込みます)。
d
バイパス スイッチの [Port 1] というラベルの付いたポートにケーブルのもう一方の端を接続します。
この配線では、Sensor のモニタリング ポート [G1/1] でネットワークの内部から送信されるトラフィックが監視
され、ポート [G1/2] でネットワークの外部から送信されるトラフィックが監視されます。 この構成 ([G1/1] が
外部で [G1/2] が内部) は、Sensor のポート構成と一致させる必要があります。また、これらのポートがそのよう
に構成されている必要があります。
(または) 光ファイバー フェールオープン スイッチの接続
開始する前に
•
フェールオープン スイッチを Sensor に接続するには、2 つの LC-LC ケーブルが必要です。
•
1 Gigabit フェールオープン スイッチを接続する場合は、2 つの光ファイバー SFP を、Sensor
上の対応する 2 つの空のポートに差し込みます。
•
10 Gigabit フェールオープン スイッチを接続する場合は、2 つの光ファイバー XFP/SFP+ を、
Sensor 上の対応する 2 つの空のポートに差し込みます。
Sensor と互換性のある SFP/XFP/SFP+ の詳細については、該当するモデルの
『『Sensor 製品ガイド』
』を参照してください。
a
LC-LC ケーブルをポート [Gx/a] または [xA] の LC レセプタクルに接続します。x および a は、対応する 1
Gigabit または 10 Gigabit ポート番号です。
b
フェールオープン スイッチの [Monitor A] というラベルの付いた LC レセプタクルに LC ケーブルのもう一
方の端を接続します。
c
対応するピア ポート [Gx/b] または [xB] に LC-LC ケーブルを接続します。 たとえば、手順 1 で [G1/3]
を使用した場合は、ケーブルをポート [G1/4] に差し込みます。
d
フェールオープン スイッチの [Monitor B] というラベルの付いたポートにケーブルのもう一方の端を接続し
ます。
7
この配線では、Sensor のモニタリング ポート [G1/3] でネットワークの内部から送信されるトラフィックが監視
され、ポート [G1/4] でネットワークの外部から送信されるトラフィックが監視されます。 この構成 ([G1/3] が
外部で [G1/4] が内部) は、Sensor のポート構成と一致させる必要があります。また、これらのポートがそのよう
に構成されている必要があります。
5
フェールオープン スイッチのパラメーターを構成する
フェールオープン スイッチではさまざまなパラメーターを構成できます。 すべての構成オプション、ステータス、
統計情報は、フェールオープン スイッチのコマンドライン インターフェース (CLI) からアクセスできます。 基本
ネットワーク設定 (IP アドレス、ゲートウェイ、サブネット マスク) を構成すると、SSH を通じてフェールオープ
ン スイッチにアクセスできるようになります。 デフォルトではすべてのフェールオープン スイッチで SSH が有
効になっており、CLI を使用して無効化できます。
フェールオープン スイッチは IPv4 アドレスのみをサポートします。
以下に、フェールオープン スイッチのパラメーターを構成する手順を示します。
a
RJ-11 ケーブルをモジュールの前面に接続します。
b
ケーブルのもう一方の端を、ハイパーターミナルや PuTTY などのターミナル エミュレーション ソフトウェア
を実行しているコンピューターに接続します。
c
ターミナル エミュレーション ソフトウェアを起動し、通信パラメーターを以下のように設定します。
•
ボー レート: 9600
•
ストップ ビット: 1
•
フロー制御: なし
管理ポートのボー レートは変更し
ないことをお勧めします。
d
•
データ ビット: 8
•
パリティ: なし
フェールオープン スイッチの電源を入れます。
CLI バナーとログイン プロンプトが表示されます。
e
ログイン プロンプトで、McAfee00 と入力し、[Enter] を押します。
f
パスワード プロンプトで、McAfee00 と入力し、[Enter] を押します。
フェールオープン スイッチの CLI プロンプトが表示されます。
g
8
以下のコマンドを使用して、フェールオープン スイッチのアクセスおよびポートに関連するパラメーターを構
成または変更します。
コマンド
説明
set_ip
xxx.xxx.xxx.xxx
フェールオープン スイッチの IPv4 アドレスを構成します。
set_netmask
xxx.xxx.xxx.xxx
set_gateway
xxx.xxx.xxx.xxx
set_link <port>
<on/off>
新しい IPv4 アドレスを有効にするには、フェールオープン スイッチを再起動し
ます。
フェールオープン スイッチのサブネット マスクを構成します。
新しいサブネット マスクを有効にするには、フェールオープン スイッチを再起
動する必要があります。
デフォルトのゲートウェイの IPv4 アドレスを構成します。
新しいゲートウェイの IPv4 アドレスを有効にするには、フェールオープン スイ
ッチを再起動します。
1G の銅線フェールオープン スイッチのポートをオート ネゴシエーションに設
定します。
<port> には、mon0、mon1、net0、net1 のいずれかを指定します。
set_link <port> off
fd 100m
ポートを 100 Mbps 全二重に設定します。
set_link <port>
<enable/
disable>_autoneg
1G の光ファイバー フェールオープン スイッチのポートをオート ネゴシエーシ
ョンに設定します。
<port> には、上で説明したいずれかの値を指定します。
<port> には、mon0、mon1、net0、net1 のいずれかを指定します。
10G の光ファイバー フェールオープン スイッチの場合はデフォルト
でオート ネゴシエーションが有効になっているため、こうしたコマンド
は用意されていません。
h
以下のコマンドを使用して、フェールオープン スイッチでその他の設定に使用するパラメーターを構成または
変更します。
9
コマンド
説明
set_ssh_state <on/off>
フェールオープン スイッチ上の SSH ステータスの有効と無効を切り替え
ます。
set_web_https_state
<on/off>
フェールオープン スイッチ インターフェースに対する Web アクセスの有
効と無効を切り替えます。
set_snmp_srv_ip
SNMP サーバーの IPv4 アドレスを構成します。
SNMP サーバーの IPv4 アドレスは、Web インターフェースで設定するこ
ともできます。
以下の SNMP トラップの有効と無効を切り替えます。
set_trap <parameter>
<on/off>
i
•
[appl fail]: アプリケーシ
ョン状態変更トラップ。
•
[net link]: ネットワーク
ポート状態変更トラップ。
•
[bypass]: バイパス状態変
更トラップ。
•
[error]: エラー通知トラッ
プ。
•
[mon link]: ポート状態変
更監視トラップ。
•
[update]: 更新完了トラッ
プ。
表示されたコマンドを使用して、フェールオープン スイッチの重要なパラメーターを参照します。 フェール
オープン スイッチのパラメーターをこれまで構成したことがない場合は、工場出荷時の設定が表示されます。
コマンド
説明
get_ip
フェールオープン スイッチの IPv4 アドレスを表示します。
get_netmask
フェールオープン スイッチのサブネット マスクを表示します。
get_gateway
デフォルト ゲートウェイ アドレスを表示します。
get_ssh_state
SSH のステータスを表示します。このステータスはデフォルトで有効になって
います。
get_snmp_srv_ip
SNMP サーバーの IPv4 アドレスを表示します。
get_params
フェールオープン スイッチのパラメーターを表示します。
get_web_https_state フェールオープン スイッチ インターフェースに対する Web アクセスのステー
タスを表示します。
get_link <port>
ポートのステータスを表示します。
<port> には、mon0、mon1、net0、net1 のいずれかを指定します。
6
Sensor のモニタリング ポートの構成
開始する前に
10
•
Sensor は Manager サーバーと信頼関係を確立するよう設定する必要があります。
•
Sensor にはインライン フェールオープン モードで配備できるフリーなポート ペアが備わってい
ます。
•
Sensor およびフェールオープン スイッチの配線を完了している場合、必要なトランシーバー モ
ジュールは Sensor に挿入されています。
初めて Sensor を設定する場合、ポートはデフォルトで無効になっています。 インライン フェールオープン動作
を有効にするには、Sensor のポートを手動で構成する必要があります。
a
Manager で、 [Devices (デバイス)] 、 [<Admin_Domain_Name>] 、 [Devices (デバイス)] 、
[<Device_Name>] 、 [Setup (セットアップ)] 、 [Physical Ports (物理ポート)]に移動します。
b
[G2/1] などの構成可能なポートを 1 つダブルクリックします。
ウィンドウの右側に構成パネルが表示されます。
c
[State] (状態) ドロップダウンをクリックし、[Enabled] (有効) を選択します。
この構成はポート [G2/2] にも影響するため、続行するかどうか確認されます。
d
[Yes] (はい) をクリックして続行します。
これで、ポート G2/1-G2/2 が有効になります。
e
[Auto Negotiate] (オート ネゴシエーション) チェックボックスをオンにし、[Speed (Duplex)] (速度 (二
重モード)) が [1 Gbps (Full)] (1 Gbps (全)) に設定されていることを確認します。
f
[Mode] (モード) ドロップダウンをクリックし、[In-line Fail-Open – Active] (インライン フェールオープ
ン - アクティブ) を選択します。
g
[Placement] (配置) ドロップダウンをクリックし、ポートの構成方法に応じて [Inside Network] (内部ネッ
トワーク) または [Outside Network] (外部ネットワーク) を選択します。
[Gx/1] または [xA] を [内部ネットワーク] として、[Gx/2] または [xB] を [外部ネットワーク] として選択
することをお勧めします。
h
[Save] (保存) をクリックします。
Sensor およびフェールオープン スイッチが設定されます。 トラフィックがポートを通過するときは、ポート リ
ンクのステータスが [Up] に変わって緑色になります。
11
7
Web インターフェースを通じてフェールオープン スイッチを管理する
フェールオープン スイッチの IPv4 アドレスを構成している場合は、Web インターフェースを通じてフェールオ
ープン スイッチを管理できます。
a
フェールオープン スイッチの Web インターフェースにアクセスするには、構成済みのフェールオープン ス
イッチの IPv4 アドレスを入力します。
フェールオープン スイッチの Web インターフェースがログオン画面に表示されます。
b
ログオンするには、デフォルトのユーザー名 McAfee00 と、デフォルトのパスワード McAfee00 を入力しま
す。
フェールオープン Web インターフェースのランディング ページが開き、フェールオープン スイッチで構成されて
いる現在の設定に関する情報が表示されます。 必要な設定の構成については、関連セクションで説明しています。
8
フェールオープン スイッチ用に TAP モードを有効にする
開始する前に
•
フェールオープン スイッチ用の IPv4 アドレスを設定します。
•
Web ブラウザーを使用してフェールオープン スイッチの Web インターフェースにアクセスでき
ることを確認してください。
TAP を使用してネットワーク トラフィックを Sensor のモニタリング ポートにルーティングする場合は、アクテ
ィブ フェールオープン スイッチ用に TAP モードを有効にすることができます。
a
アクティブ フェールオープン スイッチの Web インターフェースにログオンします。
デフォルトの認証情報を使用して Web インターフェースにアクセスします。 Web インターフェースの詳細
については、「Web インターフェースを通じてフェールオープン スイッチを管理する 12 ページの「」」を参
照してください。
12
b
[Bypass] (バイパス) タブをクリックして、[Bypass] (バイパス) 構成ページにアクセスします。
c
[HB active mode] (HB アクティブ モード) ドロップダウン メニューをクリックして [Off] (オフ) を選択
します。
d
[Active bypass] (アクティブ バイパス) セクションで [tap] を選択します。
e
[Apply] (適用) をクリックして設定内容を保存します。
これで、アクティブ フェールオープンが TAP モードに設定されました。
TAP モードからインライン モードに戻す機能
a
[Bypass] (バイパス) タブをクリックして、[Bypass (バイパス)] 構成ページにアクセスします。
b
[HB Active mode] (HB アクティブ モード) ドロップダウン メニューをクリックして [On] (オン) を選択
します。
c
[Apply] (適用) をクリックして構成内容を保存します。
フェールオープン スイッチがインライン モードで実行されるように構成されました。
9
SNMP トラップで通知を構成する
開始する前に
•
SNMP トラップを構成するには、SNMP サーバーとして機能するサーバーが必要になります。
iReasoning などの MIB ブラウザーがインストールされた Windows または Linux システムが、
SNMP サーバーとして機能します。
•
フェールオープン スイッチの IP アドレスにネットワーク内からアクセスできることを確認して
ください。
13
•
SNMP サーバーとフェールオープン スイッチが通信できることを確認してください。
•
また、フェールオープン スイッチによって送信されたアラート コードをデコードするには、MIB
ファイルを取得する必要もあります。 これらのファイルはフェールオープン スイッチ固有のファ
イルで、テクニカル サポートに問い合わせることで取得できます。
フェールオープン スイッチの SNMP 機能は、SNMP トラップを通じて通知を送信することのみに使用で
きます。
a
フェールオープン スイッチの背面にある管理ポートに RJ-45 ケーブルを接続します。
b
もう一方の端をネットワーク デバイスに接続し、ネットワークを通じて SNMP サーバーにアクセスできるよ
うにします。
c
フェールオープン スイッチの MIB ファイルを SNMP サーバーの適切な場所にコピーします。
d
Web インターフェースにログオンして、フェールオープン スイッチの IP アドレス、ネットワーク マスク、
および SNMP Manager の IP アドレスを設定します。 Web インターフェースへのログオンの詳細について
は、「Web インターフェースを通じてフェールオープン スイッチを管理する 12 ページの「」」を参照してく
ださい。
ほかにも SNMP トラップに固有のさまざまなパラメーターを構成できます。 これらのコマンドの
詳細については、
「フェールオープン スイッチのパラメーターを構成する 8 ページの「」」を参照し
てください。
e
Web インターフェースで、[SNMP] タブをクリックします。
[SNMP] 構成ページが表示されます。
14
f
SNMP サーバーの IPv4 アドレスを構成するには、[Server IP] (サーバー IP) フィールドに IPv4 アドレス
を入力します。
使用する認証情報は、フェールオープン スイッチのデフォルトの認証情報になります。
g
(オプション) 複数の SNMP アカウントを構成する場合は、[SNMP trap account] (SNMP トラップ アカウ
ント) セクションで、[Operations] (オペレーション) ドロップダウンから [set] (セット) を選択します。
追加の SNMP トラップ アカウントを構成しない場合、すべてのトラップは、ここで設定したメイン
の SNMP トラップ アカウントにルーティングされます。
h
他のアカウントの IPv4 アドレスを入力します。
i
(オプション) 追加の SNMP サーバー用に代替 SNMPv3 パスワードを指定できます。
SNMP [コミュニティ] ストリングは、SNMPv1 と SNMPv2c プロトコルをサポートするデバイス
でのみ使用されます。 SNMPv3 では、ユーザー名とパスワード認証に加えて暗号化キーを使用しま
す。 使用する SNMP ソフトウェアでコミュニティ ストリングを構成する必要がある場合は、この
ユーザー インターフェースの条件に関係なくコミュニティ ストリングを構成できます。
j
[Apply] (適用) をクリックして構成内容を保存します。
k
SNMP サーバーでこれらの設定を構成し、アクティブ フェールオープン キット用に SNMPv3 トラップを有
効にします。
•
USM ユーザー: McAfee00
•
認証パスワード: McAfee00
•
セキュリティ レベル: auth、priv
•
プライバシー アルゴリズム: AES
•
認証アルゴリズム: SHA
•
プライバシー パスワード: McAfee00
l
MIB ファイルを読み込みます。 適切な MIB ファイルがない場合は、McAfee サポートに連絡してください。
m
SNMP サーバーとフェールオープン スイッチがネットワークを通じて通信できることを確認します。
SNMP トラップが SNMP サーバーに送信されるように、アクティブ フェールオープン スイッチが構成されまし
た。 複数の SNMP トラップ アカウントを構成するオプションも使用できます。 SNMP サーバーにアクセスして
トリガーを表示します。
10 取り付けの確認
これらの手順に従って、設定が想定どおりに動作していることを確認します。
a
Manager で、インライン フェールオープン パッシブとして構成したポートの横にあるアイコンを確認しま
す。
[Up] と表示されている必要があります。
b
Sensor 上の[Bypass] (バイパス) の LED を確認します。
LED ステータス 説明
ON (オン)
Sensor はインライン フェールオープン モード、インライン フェールクローズ モード、
または TAP モードです。
OFF (オフ)
Sensor はバイパス モードです。
15
c
シャーシで [PWR] (電源) の LED を確認します。
使用している電源に応じて、[PWR] (電源) の LED が点灯します。
d
GE インライン フェールオープン ポートのポート ステータスと動作モード ステータスを確認します。
以下の画像は、Sensor ポートが通常に動作しているときの通常モードのフェールオープン スイッチと、
Sensor のポートが停止しているときのバイパス モードのフェールオープン スイッチを示しています。
アイテム
説明
NRM (通常)
Sensor が通常モードで動作しているときに緑に点灯します。
WDT (ウォッチ ウォッチ ドッグ タイマーを示します。 [Watch Dog Timer] (ウォッチドッグ タイマ
ドッグ タイマー) ー) の LED は、フェールオープン スイッチが通常モードかバイパス モードかに関係なく
常に黄色に点滅します。
点滅はハートビート信号がフェールオープン接続を通じて送信されていることを示しま
す。 ウォッチドッグ タイマーは、フェールオープン スイッチが Sensor を迂回している
場合でも常に点滅します。Sensor のモニタリング ポートから正しいハートビートの状
態を常に送信、受信するためです。
BYP (バイパス)
フェールオープン スイッチがバイパス モードのときに赤く点灯します。
11 トラブルシューティング
Sensor が通常のインライン フェールオープンで動作している間、フェールオープン スイッチは常にハートビート
信号を Sensor に送信します。 フェールオープン スイッチが設定された間隔で信号を受信しない場合、フェール
オープン スイッチはデータ パスから Sensor を除外し、バイパス モードに移行します。このため、ネットワーク
はほとんど中断されません。
フェールオープン スイッチがバイパス モードで動作している間、トラフィックは Sensor をバイパスして直接ス
イッチを通過します。
Sensor で通常の動作が回復したら、Manager のインターフェースから手動でモニタリング ポートを有効にする
必要があります。ただし、Sensor で発生した障害の原因によっては、手動で有効にする必要がない場合もありま
す。
16
次のセクションでは、Sensor をインライン モードに戻す方法について説明します。
Sensor に障害が発生するとどうなりますか?
Sensor でフェールオープン スイッチの障害が発生すると、次のイベントが、示されている順に発生します。
•
•
Manager の [System Health] (動作ステータス) ウィンドウに「[Sensor in bad health]」エラーまたは
「[Port pair is in bypass mode]」エラーが表示されます。
Sensor が再起動し、フェールオープン スイッチがトラフィックの転送を開始します。 すべてのトラフィック
が Sensor をバイパスし、フェールオープン スイッチを経由します。これにより、トラフィックの中断を最小
限に抑えることができます。
Sensor が再起動すると、Sensor と接続されているデバイス間のリンクが切断されます。2 つのデ
バイス間のネットワーク リンクを再度ネゴシエーションする必要があります。 ネットワークの中
断は数秒から数分続く場合があります。これは、使用しているネットワーク デバイスによって異な
ります。
•
再起動が完了すると、Sensor はハートビートを再開します。次のいずれかが実行されます。
•
前述のような通常の動作で再起動が行われた場合、フェールオープン スイッチは再び Sensor にデータ
を送信し、Sensor はインライン フェールオープン モードに戻ります。
•
エラーにより再起動が行われた場合、管理者が Manager で Sensor のポートを手動で再度有効にするま
で、フェールオープン スイッチは Sensor にトラフィックを送信しません。
ポートが有効になると、フェールオープン スイッチが Sensor 経由でのデータ送信を再開し、Sensor
がインライン モードに戻ります。
Sensor がインライン モードに切り替わる際にもリンクの再ネゴシエーションが行われるた
め、接続が短時間中断する場合があります。
•
Manager でエラーが発生しなくなり、通常の動作状態であることが報告されます。
よくある問題と解決方法
このセクションでは、設置に関する一般的な問題と解決方法について説明します。
問題
考えられる原因
解決方法
ネットワークまたはリンクに
問題がある。
配線が適切でないか、ポー 送信ケーブルと受信ケーブルがフェールオープン ス
トの構成が適切でない。
イッチに適切に接続されているかどうか確認してく
ださい。
Sensor の LED がオフになっ Sensor の電源が入ってい Sensor の電源を入れてください。
ている。
ない。
Sensor にケーブルが接続されているかどうか確認
Sensor のポートにケーブ してください。
ルが接続されていない。
Sensor は動作しているが、ト ネットワーク デバイスの ケーブルがネットワーク デバイスとフェールオープ
ラフィックの監視を行ってい ケーブルが接続されていな ン スイッチの両方に適切に接続されているかどうか
ない。
い。
確認してください。
Sensor で Sensor のポー Sensor で発生した障害によりポートが無効になっ
トが有効になっていない。 ています。Sensor での監視を再開するには、
Manager でポートを再度有効にしてください。
17
問題
考えられる原因
スイッチとルーターでエラー
が発生する。
配線が適切でないか、ポー 送信ケーブルと受信ケーブルがフェールオープン ス
トの構成が適切でない。
イッチに適切に接続されているかどうか確認してく
ださい。
配線が適切でない。
Manager の [Operational
Status] (動作ステータス) ペ
ージに「Switch absent」とい
うエラーが表示される。
18
解決方法
送信ケーブルと受信ケーブルがフェールオープン ス
イッチに適切に接続されているかどうか確認してく
ださい。
19
Copyright © 2015 McAfee, Inc. www.intelsecurity.com
Intel および Intel のロゴは、Intel Corporation における登録商標です。McAfee および McAfee のロゴは、McAfee, Inc. における登録商標です。
その他すべての登録商標および商標はそれぞれの所有者に帰属します。
20
700-4420B16