Cisco IOS XE セキュリティ コンフィギュレーション ガイド:コントロール プレーンのセキュリティ設定
コントロール プレーン ポリシング
コントロール プレーン ポリシング
発行日;2012/02/03 | 英語版ドキュメント(2011/03/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 639KB) | フィードバック

目次

コントロール プレーン ポリシング

機能情報の確認

目次

コントロール プレーン ポリシングの前提条件

コントロール プレーン ポリシングの制約事項

コントロール プレーン ポリシングに関する情報

コントロール プレーン ポリシングの利点

理解しておく必要があるコントロール プレーンの用語

コントロール プレーン ポリシングの概要

出力レート制限とサイレント モード動作

コントロール プレーン ポリシングの使用方法

コントロール プレーン サービスの定義

前提条件

制約事項

コントロール プレーン サービスの確認

コントロール プレーン ポリシングの設定例

入力 Telnet トラフィックに対するコントロール プレーン ポリシングの設定例

出力 ICMP トラフィックに対するコントロール プレーン ポリシングの設定例

出力コントロール プレーンパケットのマーキング例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コントロール プレーン ポリシングの機能情報

コントロール プレーン ポリシング

コントロール プレーン ポリシング機能により、ユーザは、コントロール プレーン パケットのトラフィック フローを管理する Quality of Service(QoS)フィルタを設定して、偵察行為や Denial-of-Service(DoS; サービス拒絶)攻撃から Cisco IOS XE ルータおよびスイッチのコントロール プレーンを保護できます。このように、ルータやスイッチに対する攻撃や大量トラフィック負荷があったとしても、Control Plane(CP; コントロール プレーン)を利用してパケット転送とプロトコル ステートを維持することができます。

機能情報の確認

最新の機能情報と警告については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「コントロール プレーン ポリシングの機能情報」 を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

コントロール プレーン ポリシングの前提条件

Modular Quality of Service(QoS)Command-Line interface(CLI; コマンドライン インターフェイス)(MQC; モジュラ QoS コマンドライン インターフェイス)を使用して、コントロール プレーン ポリシング機能が持つパケット分類とポリシングの機能を設定します。

Control Plane Policing(CoPP; コントロール プレーン ポリシング)を設定する前に、MQC の使用手順を理解する必要があります。MQC の詳細については、『 Applying QoS Features Using the MQC 』モジュールを参照してください。

コントロール プレーン ポリシングの制約事項

出力レート制限サポート

出力レート制限は、サイレント(パケット廃棄)モードで実行されます。サイレント モードでは、ルータが、 service-policy output コマンドで出力コントロール プレーン トラフィックに適用されたポリシー マップに従ってパケットを自動的に廃棄できます。詳細については、「出力レート制限とサイレント モード動作」を参照してください。

MQC の制約事項

コントロール プレーン ポリシング機能では、MQC によりパケット分類、パケット マーキング、およびトラフィック ポリシングを設定する必要があります。MQC を使用してトラフィック ポリシングを設定するときに適用されるすべての制約事項が、コントロール プレーン ポリシングの設定時にも適用されます。ポリシー マップでは、 police set の 2 つの MQC アクションだけがサポートされます。

一致基準のサポートおよび制約事項

サポートされる分類(一致)基準は次のとおりです。

標準および拡張 IP アクセス リスト(ACL)

クラスマップ コンフィギュレーション モードでは、次のコマンドによって一致基準を指定します。

match dscp

match ip dscp

match ip precedence

match precedence

match protocol arp

match protocol ipv6

match protocol pppoe


match protocol pppoe コマンドは、コントロール プレーンに送信されるすべての PPPoE データ パケットを一致させるものです。


match protocol pppoe-discovery


match protocol pppoe-discovery コマンドは、コントロール プレーンに送信されるすべての PPPoE コントロール パケットを一致させるものです。


match qos-group


match input-interface コマンドはサポートされていません。



) Network-Based Application Recognition(NBAR)分類を必要とする機能は、コントロール プレーン レベルで適切に機能しない場合があります。


コントロール プレーン ポリシングに関する情報

コントロール プレーン ポリシング機能を設定するには、次の概念を理解しておく必要があります。

「コントロール プレーン ポリシングの利点」

「理解しておく必要があるコントロール プレーンの用語」

「コントロール プレーン ポリシングの概要」

「出力レート制限とサイレント モード動作」

コントロール プレーン ポリシングの利点

Cisco ルータまたはスイッチ上でコントロール プレーン ポリシング機能を設定すると、次の効果が得られます。

インフラストラクチャのルータおよびスイッチに対する DoS 攻撃からの保護

Cisco ルータまたはスイッチのコントロール プレーン宛てに送信されるパケットに対する QoS 制御

コントロール プレーン ポリシーの設定の容易さ

プラットフォームの信頼性と可用性の向上

理解しておく必要があるコントロール プレーンの用語

Cisco ASR 1000 シリーズ ルータでは、Control Plane Policing(CoPP; コントロール プレーン ポリシング)機能に関して次の用語が使用されます。

コントロール プレーン(CP):Route Processor(RP; ルート プロセッサ)上でプロセス レベルで稼動するプロセスの集合。これらのプロセスがまとまって、ほとんどの Cisco IOS XE 機能を高いレベルで制御します。コントロール プレーンへ送信される、またはコントロール プレーンから送信されるトラフィックを、制御トラフィックと呼びます。

フォワーディング プレーン(FP):IP パケットの高速フォワーディングを担当するデバイス。ハードウェアによって実装して、高速パケットフォワーディングを実現できるように、そのロジックはシンプルに保たれています。FP によって、複雑な処理を必要とするパケット(IP オプションを持つパケットなど)が、コントロールプレーンの RP にパントされ、処理されます。

コントロール プレーン ポリシングの概要

コントロール プレーン ポリシング機能は、ルータ上の CP を DoS 攻撃から保護し、CP に対するまたは CP からのトラフィックを細かく制御するために、CP を、入力トラフィックおよび出力トラフィック用に独自のインターフェイスを持つ、個別のエンティティとして扱います。このインターフェイスはパント/インジェクト インターフェイスと呼ばれます。パント/インジェクト インターフェイスは、ルータ上の物理インターフェイスと同じです。パケットは、このインターフェイスを通して FP から RP へ(入力方向)パントされ、また、RP から FP へ(出力方向)インジェクトされます。CoPP を実現するために、このインターフェイスに一連の Quality Of Service(QoS)規則を適用することが可能です。

これらの QoS 規則は、パケットの宛先がその CP であると判定された後またはパケットがその CP から出て行くときにだけ適用されます。指定したレート制限に到達した後に不要なパケットがそれ以上進むことがないようにサービス ポリシー(QoS ポリシー マップ)を設定できます。たとえば、システム管理者は、CP 宛てのすべての TCP/SYN パケットを 1 メガビット/秒の最大レートに制限できます。

図 1 デュアル RP とデュアル FP を使用した Cisco ASR 1000 シリーズ ルータの概念図

 

図 1 には、デュアル RP とデュアル FP を使用した Cisco ASR 1000 シリーズ ルータの概念図が示されています。いつでも 1 つの RP と 1 つの FP だけがアクティブになります。片方の RP と FP はスタンバイ モードになり、Carrier Card(CC; キャリア カード)からのトラフィックは受信しません。CP 宛てに送信されるパケットは、キャリア カードを通って入ってきてからアクティブな FP を通して出て行き、その後、アクティブな RP へパントされます。入力 QoS ポリシー マップを CP 上で設定すると、パケットがアクティブな RP にパントされる前に、アクティブな FP によって QoS アクション(送信、ドロップ、設定アクションなど)が実行されます。これにより、アクティブな RP におけるコントロールプレーンの最適な保護が実現されます。

一方、CP から出て行くパケットはアクティブな FP にインジェクトされてから、キャリア カードを通って出て行きます。出力 QoS ポリシー マップが CP 上で設定されていると、RP からインジェクトされたパケットの受信後に、アクティブな FP によって QoS アクションが実行されます。これにより、重要なリソースが RP に再度保存されます。


図 1 に示すとおり、管理インターフェイスは RP に直接接続されています。そのため、コントロールプレーンに対する、またはコントロールプレーンからの、管理インターフェイスを通るすべてのトラフィックは、FP が実行する CoPP 機能の影響を受けません。


High-Availability(HA; ハイアベイラビリティ)モードでは、RP のスイッチオーバーが発生すると、アクティブな FP によって、トラフィックが、新しいパント/インジェクト インターフェイスを通って、新しいアクティブな RP に転送されます。アクティブな FP は、新しいアクティブな RP にトラフィックをパントする前に、CoPP 機能を引き続き実行します。FP のスイッチオーバーが発生すると、新しいアクティブな FP によって、キャリー カードからトラフィックが受信され、トラフィックがアクティブな RP にパントされる前に、CoPP 機能が実行されます。


) Cisco ASR 1000 シリーズ ルータでは、FP 内で従来の制御トラフィックの一部が処理されるので、CP の負荷が軽減されます。たとえば、IP Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)エコー要求がこのルータに送信されるのが一例です。Cisco ASR1000 シリーズ ルータによってこのようなパケットが受信されると、そのパケットは、RP にパントされることなく、FP 内で直接処理されます。他の Cisco ルータと整合性を保ち、同じ機能によって、CoPP を使用してこのようなパケットを制御するために、Cisco ASR 1000 シリーズ ルータでは、パケットが RP にパントされなくても、このようなパケットに対する CoPP 機能が拡張されます。カスタマーが CoPP 機能を使用して、このようなパケットをレート制限したり、マーキングしたりすることも可能です。


出力レート制限とサイレント モード動作

service-policy output policy-map-name コマンドを使用してコントロール プレーン トラフィックに出力ポリシングを設定した場合、ルータがパケットを静かに廃棄するように自動的に設定されます。

CP からの出力トラフィックのレート制限(ポリシング)は、サイレント モードで実行されます。サイレント モードでは、Cisco IOS XE ソフトウェアを稼動しているルータは、いかなるシステム メッセージも送信せずに動作します。コントロール プレーンから出て行くパケットが出力ポリシングで廃棄されても、エラー メッセージを受け取ることはありません。

コントロール プレーン ポリシングの使用方法

ここでは、次の手順について説明します。

「コントロール プレーン サービスの定義」(必須)

「コントロール プレーン サービスの確認」(必須)

「コントロール プレーン ポリシングの設定例」 (任意)

コントロール プレーン サービスの定義

アクティブなルート プロセッサに CP サービス(パケット レート制御やサイレント パケット廃棄など)を設定するには、次の手順を実行します。

前提条件

コントロールプレーンのコンフィギュレーション モードを開始して既存の QoS ポリシーをコントロール プレーンに付加する前に、MQC でポリシーを作成してコントロール プレーン トラフィック用のクラス マップとポリシー マップを定義しておく必要があります。

トラフィックを分類し、QoS ポリシーを作成する方法の詳細については、『 Applying QoS Features Using the MQC 』モジュールを参照してください。

制約事項

プラットフォーム固有の制約事項は、あるとしても、サービス ポリシーがコントロール プレーン インターフェイスに適用されるときにチェックされます。

出力ポリシングにパフォーマンス上の利点はありません。単にデバイスから出て行く情報を制御するだけです。

手順の概要

1. enable

2. configure terminal

3. control-plane

4. service-policy { input | output } policy-map-name

5. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

control-plane

 

Router(config)# control-plane

コントロールプレーン コンフィギュレーション モードを開始します(ステップ 4 の前提条件)。

ステップ 4

service-policy { input | output } policy-map-name

 

Router(config-cp)# service-policy input control-plane-policy

QoS サービス ポリシーをコントロール プレーンに付加します。次の点に注意してください。

input :指定したサービス ポリシーをコントロール プレーンで受信されるパケットに適用します。

output :指定したサービス ポリシーをコントロール プレーンから送信されるパケットに適用し、ルータがパケットを静かに廃棄できるようにします。

policy-map-name :付加されるサービス ポリシー マップ( policy-map コマンドで作成)の名前。この名前には、40 文字までの英数字を使用できます。

ステップ 5

end

 

Router(config-cp)# end

(任意)特権 EXEC モードに戻ります。

コントロール プレーン サービスの確認

CP サービス用にコントロール プレーンに付加されたサービス ポリシーに関する情報を表示するには、次の手順を実行します。

手順の概要

1. enable

2. show policy-map control-plane [ all ] [ input [ class class-name ] | output [ class class-name ]]

3. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show policy-map control-plane [ all ] [ input [ class class-name ] | output [class class-name]]

 

Router# show policy-map control-plane all

コントロール プレーンに関する情報を表示します。次の点に注意してください。

all :(任意)CP 上で使用されるすべての QoS ポリシーに関するサービス ポリシー 情報

input :(任意)付加された入力ポリシーの統計情報

output :(任意)付加された出力ポリシーの統計情報

class class-name :(任意)設定と統計情報を表示するトラフィック クラスの名前

ステップ 3

exit

 

Router# exit

(任意)特権 EXEC モードを終了します。

次に、ポリシー マップ TEST がコントロール プレーンに関連付けられている例を示します。このポリシー マップでは、クラス マップ TEST と一致するトラフィックがポリシングされ、他のすべてのトラフィック(クラス マップ「class-default」と一致する)はそのまま通過します。

Router# show policy-map control-plane
 
Control Plane
 
Service-policy input:TEST
 
Class-map:TEST (match-all)
20 packets, 11280 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match:access-group 101
police:
8000 bps, 1500 limit, 1500 extended limit
conformed 15 packets, 6210 bytes; action:transmit
exceeded 5 packets, 5070 bytes; action:drop
violated 0 packets, 0 bytes; action:drop
conformed 0 bps, exceed 0 bps, violate 0 bps
 
Class-map:class-default (match-any)
105325 packets, 11415151 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match:any

コントロール プレーン ポリシングの設定例

ここでは、次の例について説明します。

「入力 Telnet トラフィックに対するコントロール プレーン ポリシングの設定例」

「出力 ICMP トラフィックに対するコントロール プレーン ポリシングの設定例」

「出力コントロール プレーンパケットのマーキング例」

入力 Telnet トラフィックに対するコントロール プレーン ポリシングの設定例

次に、入力 Telnet トラフィックに QoS ポリシーに適用する例を示します。送信元アドレスが 10.1.1.1 および 10.1.1.2 の信頼できるホストは Telnet パケットを制約なしでコントロール プレーンに転送します。残りすべての Telnet パケットは指定したレートでポリシングされます。

! Allow 10.1.1.1 trusted host traffic.
Router(config)# access-list 140 deny tcp host 10.1.1.1 any eq telnet
! Allow 10.1.1.2 trusted host traffic.
Router(config)# access-list 140 deny tcp host 10.1.1.2 any eq telnet
! Rate-limit all other Telnet traffic.
Router(config)# access-list 140 permit tcp any any eq telnet
! Define class-map “telnet-class.”
Router(config)# class-map telnet-class
Router(config-cmap)# match access-group 140
Router(config-cmap)# exit
Router(config)# policy-map control-plane-in
Router(config-pmap)# class telnet-class
Router(config-pmap-c)# police 80000 conform transmit exceed drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
! Define control plane service for the active route processor.
Router(config)# control-plane
Router(config-cp)# service-policy input control-plane-in
Router(config-cp)# end

出力 ICMP トラフィックに対するコントロール プレーン ポリシングの設定例

次に、出力 ICMP ポート到達不能パケットの CP に QoS ポリシーを適用する例を示します。送信元アドレスが 10.0.0.0 および 10.0.0.1 の信頼できるネットワークは ICMP ポート到達不能応答を制約なしで受信します。残りすべての ICMP ポート到達不能応答はドロップされます。

! Allow 10.0.0.0 trusted network traffic.
Router(config)# access-list 141 deny icmp 10.0.0.0 0.0.0.255 any port-unreachable
! Allow 10.0.0.1 trusted network traffic.
Router(config)# access-list 141 deny icmp 10.0.0.1 0.0.0.255 any port-unreachable
! Rate-limit all other ICMP traffic.
Router(config)# access-list 141 permit icmp any any port-unreachable
Router(config)# class-map icmp-class
Router(config-cmap)# match access-group 141
Router(config-cmap)# exit
Router(config)# policy-map control-plane-out
! Drop all traffic that matches the class "icmp-class."
Router(config-pmap)# class icmp-class
Router(config-pmap-c)# drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
Router(config)# control-plane
! Define control plane service for the active route processor.
Router(config-cp)# service-policy output control-plane-out
Router(config-cp)# end
 

出力コントロール プレーンパケットのマーキング例

次に、CP に QoS ポリシーに適用して、IPv6 precedence 6 を持つすべての出力 IPv6 エコー要求パケットをマーキングする例を示します。

! Match all IPv6 Echo Requests
Router(config)# ipv6 access-list coppacl-ipv6-icmp-request
Router(config-ipv6-acl)# permit icmp any any echo-request
Router(config-ipv6-acl)# exit
Router(config)# class-map match-all coppclass-ipv6-icmp-request
Router(config-cmap)# match access-group name coppacl-ipv6-icmp-request
Router(config-cmap)# exit
! Set all egress IPv6 Echo Requests with precedence 6
Router(config)# policy-map copp-policy
Router(config-pmap)# class coppclass-ipv6-icmp-request
Router(config-pmap-c)# set precedence 6
Router(config-pmap-c)# exit
Router(config-pmap)# exit
! Define control plane service for the active route processor.
Router(config)# control-plane
Router(config-cp)# service-policy output copp-policy
Router(config-cp)# end

その他の参考資料

ここでは、コントロール プレーン ポリシング機能に関する関連資料について説明します。

関連資料

関連項目
参照先

QoS コマンド:コマンド構文、コマンド モード、コマンド履歴、デフォルト、使用上のガイドライン、および例

『Cisco IOS Quality of Service Solutions Command Reference』

QoS 機能の概要

Quality of Service Overview 』モジュール

MQC

Applying QoS Features Using the MQC

セキュリティ機能の概要

『Security Overview』モジュール

規格

標準
タイトル

この機能によりサポートされた新規標準または改訂標準はありません。またこの機能による既存標準のサポートに変更はありません。

--

MIB

MIB
MIB リンク

CISCO-CLASS-BASED-QOS-MIB

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

コントロール プレーン ポリシングの機能情報

表 1 に、この機能のリリース履歴を示します。

プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース トレインで特定の機能をサポートする Cisco IOS XE ソフトウェア リリースのみを示します。特に明記されていない限り、記載された Cisco IOS XE ソフトウェア リリース トレインの後続のリリースでも該当の機能はサポートされます。


 

表 1 コントロール プレーン ポリシングの機能情報

機能名
リリース
機能情報

コントロール プレーン ポリシング

Cisco IOS XE Release 2.1
Cisco IOS XE Release 2.2

コントロール プレーン ポリシング機能により、ユーザは、コントロール プレーン パケットのトラフィック フローを管理する Quality Of Service(QoS)フィルタを設定して、偵察行為や Denial-of-Service(DoS; サービス拒絶)攻撃から Cisco IOS ルータおよびスイッチを保護できます。

Cisco IOS XE Release 2.1 では、この機能は、Cisco ASR 1000 シリーズ ルータに実装されています。

Cisco IOS XE Release 2.2 では、この機能は、パケット マーキング、出力レート制限、および追加一致基準のサポートが含まれるように変更されています。

コマンド match protocol pppoe match protocol pppoe-discovery が導入または変更されています。