IP 照合ポリシーの作成および編集 - BlueCat Integrity - 9.5.0

IP 照合ポリシーは、構成 (IPv4 のみ) 、ブロック、またはネットワークの各レベルで作成できます。

1. IP 照合ポリシーの追加先を選択します。
   • 構成レベル (IPv4 のみ) で IP 照合ポリシーを設定するには、構成の [詳細] タブに移動します。[IP 照合ポリシー] セクションで、[新規] > [IPv4 照合ポリシー] リンクをクリックします。
   • IP 照合ポリシーをブロック レベルで設定するには、IP ブロックの [詳細] タブに移動します。[IP 照合ポリシー] セクションで、[IPv4/IPv6 照合ポリシー] リンクをクリックします。
   • IP 照合ポリシーをネットワーク レベルで設定するには、IP ネットワークの [詳細] タブに移動します。[IP 照合ポリシー] セクションで、[IPv4/IPv6 照合ポリシー] リンクをクリックします。
2. [検知エンジン] で、次のいずれかの検知手法を選択します。
   • SNMP
   • 検知なし
   • ping スイープ (IPv4 のみ)
   • SNMP ping スイープ (IPv4 のみ)

   使用可能なオプションは、選択した検知手法によって異なります。

3. [ネットワーク検知基準] で、次のパラメータを設定します。
   注: このセクションは、[SNMP] および [SNMP と ping スイープ (IPv4)] 方法が選択されている場合にのみ、表示されます。

   • シード IP アドレス: ネットワーク検知操作が開始されるルータまたはレイヤ 3 スイッチの IP アドレスを入力します。
   • マルチ シードの IP アドレス: ネットワーク検知操作が開始される複数のルータまたはレイヤ 3 スイッチの IP アドレスを入力します。テキスト フィールドで、IP アドレスを入力し、[他を追加] をクリックします。テキスト フィールドの下のリストに、IP アドレスが表示されます。リストから IP アドレスを削除するには、IP アドレスの横にある [削除] をクリックします。このオプションは、[SNMP] 方法が選択されている場合にのみ、表示されます。トラフィックの増加とネットワークへの影響を最小限にするため、複数の IP アドレスを追加できます。
   • デフォルト ゲートウェイ アドレス: このオプションを選択して、Address Manager のデフォルト ゲートウェイ アドレスをネットワーク検知の開始ポイントとして使用します。
   • バージョン: ルータまたはレイヤ 3 スイッチで実行されている SNMP バージョンを選択します。デバイスのドキュメントを参照して、実行されている SNMP バージョンを決定してください。
   • ポート番号: Address Manager がルータまたはスイッチとの通信に使用する SNMP ポートを示す値を入力します。デフォルト ポートは 161 です。
   • コミュニティ文字列: 認証に使用する SNMP コミュニティ文字列を入力し、[追加] をクリックします。リストにコミュニティ文字列が表示されます。リストに追加できるコミュニティ文字列は、最大 100 個です。文字列は、リストに表示された順序で使用されます。文字列を削除するには、該当する文字列をリストから選択し、[削除] をクリックします。リストの項目の順序を変更するには、リストで項目を選択して、[上に移動] または [下に移動] をクリックします。
4. IPv4 のみ。[ネットワーク境界] で、ネットワークおよびアドレスを検索する範囲を定義します。テキスト フィールドで、CIDR 表記の範囲を入力して、[他を追加] をクリックします。テキスト フィールドの下のリストに、範囲が表示されます。リストから範囲を削除するには、範囲の横にある [削除] をクリックします。BlueCat では、検知済みアドレスの照合での大幅な遅延を避けるため、単一の大きな境界を定義しないことを強く推奨します。ネットワーク インフラストラクチャに基づいて複数の IP 照合ポリシーを戦略的に定義し、ポリシーごとに境界を設定する必要があります。
   構成レベルでポリシーを作成する場合、既存のネットワーク構造に基づく複数の境界を追加して、ネットワークのトラフィックと影響を最小限にすることもできます。例えば、スイッチ/ルータで 192.0.2.0/24、デスクトップで 192.0.3.0/24 を使用していた場合、ポリシーを作成するとき、2 つの別のネットワーク境界を定義する必要があります。

   注:

   • [ネットワーク境界] セクションは、IPv4 照合ポリシーが構成レベルで作成された場合にのみ表示されます。
   • IPv4 照合ポリシーがブロックまたはネットワーク レベルで作成された場合、[ネットワーク境界] セクションは、[ネットワーク検知基準] で事前定義されたネットワーク範囲とともに表示されます。
5. [ping スイープ] で、ping スイープが ICMP エコー リクエストを送信する IP アドレスの範囲を CIDR 表記で定義します。
   注: このセクションは、[ping スイープのみ] 方法が選択されている場合にのみ、表示されます。

   • ネットワーク ギャップ (CIDR): この方法を選択して、ping スイープが ICMP エコー リクエストを送信する IP アドレスの特定の範囲を定義します。テキスト フィールドに、CIDR 表記で IPv4 ネットワーク範囲を入力して、[他を追加] をクリックします。テキスト フィールドの下のリストに、IPv4 ネットワーク範囲が表示されます。リストからネットワーク範囲を削除するには、ネットワーク範囲の横にある [削除] をクリックします。
   • ネットワーク全体: このオプションを選択すると、[ネットワーク境界] セクションで定義したネットワーク全体に ICMP エコーリクエストを送信します。
     注: [ネットワーク全体] オプションは、次に定義された IPv4 ブロック/ネットワークの IPv4 照合ポリシーでのみ使用可能です。

     • IPv4 ネットワークは /22 以下である必要があります。
     • IPv4 ブロックは /22 以下で、CIDR 揃え*である必要があります。

     * CIDR 揃えとは、開始アドレス - 終了アドレスのように任意の範囲のセグメントとしてではなく、ブロックが CIDR 表記の <NetworkAddress>/<RoutingPrefix> で定義されていることです。

   範囲を定義しないと、ping スイープはネットワーク 検知を実行しません。

   注: このセクションは、[SNMP] および [SNMP と ping スイープ (IPv4)] 方法が選択されている場合にのみ、表示されます。
6. [詳細なパラメータ] で、次のパラメータを設定します。
   • FQDN/逆引き DNS 解決のスキップ: 選択すると、FQDN および DNS 逆引き参照をスキップします。このオプションが選択されている場合、Address Manager 検知 エンジンは DNS リゾルバに対する FQDN および DNS 逆引き参照を実行せず、IPv4/IPv6 照合の表の FQDN 列は空で表示されます。
   • DNS サーバ: 検知 エンジンが FQDN および DNS 逆引き参照を実行するときに使用する、DNS サーバの IP アドレスを入力します。
     注:

     • IP 照合ポリシーで DNS サーバを設定すると、構成レベルの [照合設定] ページで追加された DNS サーバ設定より優先されます。
     • IPv4 のみ。グローバル構成レベルまたは特定の IP 照合ポリシーで DNS サーバが設定されていない場合、IP 照合および検知 エンジンは Address Manager 管理コンソールから構成されたネーム サーバを使用します。
   • ブラックホール VLAN: ブラックホール VLAN の VLAN ID を入力します。これは、すべての未使用ポートのデフォルト VLAN として使用されます。デフォルト値は 1 です。BlueCat では、スイッチのすべてのアイドル ポートを、VLAN 1 以外の異なる VLAN に構成することを推奨します。
   • トランク デフォルト VLAN: 制御されたトラフィックをなりすましから保護するため、ネイティブ/デフォルト VLAN としてトランクに割り当てる未使用の VLAN ID を入力します。デフォルト値は 1 です。BlueCat では、値を VLAN 1 以外に変更することを推奨します。
7. [スケジュール時間] で、ポリシーの時間および頻度を設定します。
   • 開始時間: これらのフィールドに開始時間を入力し、[AM] または [PM] を選択します。
   • 開始日: 日付を DD MMM YYYY の形式で入力するか (例えば、2012 年 1 月 10 日の場合は、10 JAN 2012 と入力します)、[カレンダ] ボタンをクリックして日付を選択します。
     重要: 優先するブラウザ ロケールが、設定済みの Address Manager システム言語ロケールに一致しない場合、Address Manager 内の日付コンポーネントで問題が発生している可能性があります。日付コンポーネントを設定できない場合、設定済みの Address Manager システム言語ロケールに一致するようにブラウザ ロケールを更新する必要があります。デフォルトでは、Address Manager システム言語ロケールは [英語 [en-US]] に設定されています。

     サポートされる Address Manager システム言語および Address Manager ロケールの設定に関する詳細は、「システム言語の設定」を参照してください。

     注: IP 照合ポリシーの詳細を表示する場合、[開始時間] および [開始日] に、照合ポリシーで指定された元の時刻と日付が示されます。これらのフィールドには、ポリシーが最後に実行された日時は表示されません。
   • 間隔: ポリシーを指定した日時に一度だけ実行するには、[1 回] をクリックします。ポリシーを定期的な間隔で実行するには、[次の間隔] を選択してテキスト フィールドに値を入力し、ドロップダウン リストから時間間隔を選択します。
8. [ステータス] で、[アクティブ] を選択して、ポリシーをアクティブにします。選択した場合、ポリシーがスケジュールされた時刻に実行されます。[今すぐ実行] リンクを使用しても、ポリシーを実行できます。選択しない場合、スケジュールされた時刻にポリシーは実行されませんが、[今すぐ実行] リンクを使用して、ポリシーを実行できます。
9. IPv4 のみ。[受け入れ基準] で、[自動受け入れの有効化] を選択して、自動照合プロセスを有効にします。これにより、検知プロセスで見つかったすべての IP アドレスが、自動的に Address Manager データベースに格納されます。
   次のパラメータを設定して、選択した時刻よりも古い IP アドレスを照合または通知します。

   • 回収:、不明:、または不一致:次より古い IP アドレス: テキスト フィールドに値を入力し、ドロップダウン リストから時間間隔を選択して、[照合] を選択し、照合を実行するか、[アクションなし] を選択して、回収、不明、または不一致の IP アドレスの照合の詳細を電子メールで受信します。
     注:

     • 再利用可能: (IPv4 のみ) Address Manager に存在するが、物理ネットワーク上には存在しないアドレス。検知時に電源が切られていたデバイスを表す場合や、そのアドレスがネットワーク上にもう存在しない場合があります。
     • 不明: 物理ネットワーク上に存在するが、Address Manager には存在しないアドレス。最後の検知が実行された後にネットワークに追加されたアドレスである可能性があります。
     • 不一致: Address Manager とネットワーク上の両方に存在するが、MAC アドレス、DNS ホスト名情報、VLAN 情報、または接続スイッチポートが一致しないアドレス。
   • 照合用ビュー: 照合プロセスを実行する DNS ビューを選択します。または、[DNS スペースを無視] を選択すると、Address Manager はすべての DNS ビューに対して IP アドレスを照合します。
     注: Address Manager の利用可能な DNS ビューは、ドロップダウン メニューに設定されます。

     検知プロセスですべての検知済み IP アドレスが返された後、自動照合がすぐ開始されます。[照合] が IP アドレスのタイプに選択されており、IP アドレスが選択した時間間隔より古い場合、IP アドレスが照合されます。[アクションなし] を選択した場合、電子メールが送信され、IP アドレスは照合されません。

10. IPv4 のみ。[IPv4 照合オーバーライド リスト] で、ポリシーが無視すべきアドレスおよび範囲を指定します。単一の IP アドレス、CIDR ブロック (nnn.nnn.nnn.nnn/mm)、または IP アドレス範囲 (nnn.nnn.nnn.nnn-nnn.nnn.nnn.nnn) をフィールドに入力し、[他を追加] をクリックします。この手順を繰り返して、オーバーライド リストにアドレスをさらに追加します。アドレス、CIDR ブロック、または IP アドレス範囲を削除するには、[削除] をクリックします。
11. 必要に応じて [変更管理] で、コメントを追加します。
12. [追加] をクリックします。