CCP Express 3.1 アプリケーション利用状況 見える化ガイド ※本資料は2015/09現在のハードウェア/ソフトウェアにおけるガイドです はじめに • この資料はC841Mの機能を利用して、CCP Express 3.1のGUIから流れ ているトラフィクの見える化を行うガイドです 見える化設定手順 ゾーンの設定済み 1. • スタティックVPN設定ガイド、DMVPN設定ガイドを利用しVPNを設定している場 合、ゾーンの設定が完了しています ->すでに見える化完了です(8スライドをご参照下さい) ゾーンの設定は未設定 1. • 初期設定ガイド(WAN/LAN)のみ設定している場合、ゾーンの設定はおこなって いません ->次スライド以降をご参照下さい ステップ1:ゾーンの設定 • トップページから、セキュリティを選択して下さい • ゾーン画面では使用可能インターフェイスをドラッグ&ドロップでゾーン LAN, DMZにあてはめることができます セキュリティ ステップ2 (オプション):ゾーンWANの設定 • ゾーンWANにインターフェイスが入っていない場合は左上のインターフェ イスボタンをクリックしてWANに使っているポートの編集ボタンを押してく ださい • ポップアップした編集ボックスで”WANゾーンに移動”をクリックし、セキュリ ティ設定(ゾーン設定)に戻ります ステップ3:ゾーン設定内容の確認 • 今回のサンプルではG0/8ポートをゾーンWANに、Vlan1をゾーンLANに 設定し、”適用する”ボタンを押します • ゾーン設定後、”ポリシータブ”を押します ステップ4:ポリシーの設定 • 初期設定ではポリシーは設定されていません。 ポリシーに設定していないトラフィックは全てドロップするので、今回は全 てのトラフィックを通す設定を追加します • 右上の追加ボタンをクリックしてください • セキュリティポリシーボックスが開いた後、ポリシー名(今回はInternet)を 入力し、他はデフォルトのままセーブします アプリケーション利用状況の見える化 -1 • ”ダッシュボード”タブを選択します • ”セキュリティ”タブを選択します アプリケーション利用状況の見える化 -2 • トップ10のアプリケーションとトップユーザが確認できます ・現在:直近30秒 ・累計的な:設定後の累計 オプション アプリケーションファイアウォール • 指定したアプリケーションのアクセスをブロック可能です • “ポリシーの追加”から、新しく ポリシーを作成します • アクションで”ブロック”を選択します • “アプリケーション”タブを選択します • “使用可能なアプリケーション”から、 ブロックしたいアプリケーションを 選択し、”選択されたアプリケーション”に ドラッグアンドドロップします • “セーブ”を選択します ドラッグアンドドロップで アプリケーションを指定 オプション CLIで見える化の設定を行う場合 オプション CLIで設定を行う場合 -1 • “sh run | s flow monitor application-mon”を入力します • 何も設定されていないことを確認します C841M#sh run | s flow monitor application-mon C841M# オプション CLIで設定を行う場合 -2 • Flexible NetFlowとNBARの設定を行います ※次のスライドに流し込み用のコンフィグが あります C841M# C841M#conf t Enter configuration commands, one per line. End with CNTL/Z. C841M(config)#flow record nbar-appmon C841M(config-flow-record)# match ipv4 source address C841M(config-flow-record)# match ipv4 destination address C841M(config-flow-record)# match application name C841M(config-flow-record)# collect interface output C841M(config-flow-record)# collect counter bytes C841M(config-flow-record)# collect counter packets C841M(config-flow-record)# collect timestamp absolute first C841M(config-flow-record)# collect timestamp absolute last C841M(config-flow-record)#! C841M(config-flow-record)#flow monitor application-mon C841M(config-flow-monitor)# cache timeout active 60 C841M(config-flow-monitor)# record nbar-appmon C841M(config-flow-monitor)#exit C841M(config)#int vlan 1 C841M(config-if)#ip flow monitor application-mon in C841M(config-if)#ip nbar protocol-discovery C841M(config-if)#end C841M# オプション CLIで設定を行う場合 -2 • グローバルコンフィグレーションモードから下枠の設定情報をコピー& ペーストできます flow record nbar-appmon match ipv4 source address match ipv4 destination address match application name collect interface output collect counter bytes collect counter packets collect timestamp absolute first collect timestamp absolute last flow monitor application-mon cache timeout active 60 record nbar-appmon exit int vlan 1 ip flow monitor application-mon in ip nbar protocol-discovery 設定情報の確認 • “sh run flow monitor application-mon expand”と”sh run int vlan 1”を入 力し、設定情報が反映されていることを確認します C841M#sh run flow monitor application-mon expand Current configuration: ! flow record nbar-appmon match ipv4 source address match ipv4 destination address match application name collect interface output collect counter bytes collect counter packets collect timestamp absolute first collect timestamp absolute last ! ! flow monitor application-mon cache timeout active 60 record nbar-appmon ! C841M#sh run int vlan 1 Building configuration... Current configuration : 261 bytes ! interface Vlan1 description $ETH_LAN$ ip address 10.10.10.1 255.255.255.128 ip nbar protocol-discovery ip flow monitor application-mon input ip nat inside ip virtual-reassembly in zone-member security LAN ip tcp adjust-mss 1412 load-interval 30 end
© Copyright 2024 ExpyDoc
