Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ システム セキュリティ コンフィギュレーション ガイド リリース 4.3.x
管理プレーン保護の実装
管理プレーン保護の実装
発行日;2013/02/28   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

管理プレーン保護の実装

Cisco IOS XR ソフトウェア の管理プレーン保護(MPP)機能では、ネットワーク管理パケットのデバイスへの着信を許可するインターフェイスを制限できます。 ネットワーク オペレータは MPP 機能を使用して、1 つ以上のルータ インターフェイスを管理インターフェイスとして指定できます。

デバイス管理トラフィックは、これらの管理インターフェイスを通じてのみ着信が許可されます。 MPP をイネーブルにすると、指定された管理インターフェイス以外のインターフェイスでは、そのデバイス宛のネットワーク管理トラフィックは許可されません。 指定されたインターフェイスに管理パケットを制限することで、デバイスの管理方法をより詳細に制御できるため、デバイスのセキュリティが向上します。

このモジュールでは、Cisco ASR 9000 シリーズ ルータ での管理プレーン保護の実装方法について説明します。

MPP コマンドの詳細については 『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』Management Plane Protection Commands on Cisco ASR 9000 シリーズ ルータモジュールを参照してください。

管理プレーン保護の実装の機能履歴

リリース

変更内容

リリース 3.7.2

この機能が導入されました。

管理プレーン保護の実装に関する前提条件

適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。

管理プレーン保護の実装に関する制約事項

管理プレーン保護(MPP)の実装には次の制約事項があります。

  • 現在、MPP は拒否またはドロップされたプロトコル要求を追跡していません。
  • MPP 設定では、プロトコル サービスをイネーブルにはできません。 MPP はさまざまなインターフェイスでサービスを利用可能にする役割のみを果たします。 プロトコルは明示的にイネーブル化されます。
  • インバンド インターフェイスで受信する管理要求は、その場で必ずしも認知されるわけではありません。
  • ルータ プロセッサ(RP)と分散ルート プロセッサ(DRP)のイーサネット インターフェイスは、デフォルトでアウトオブバンド インターフェイスとなり、MPP で設定できます。
  • MPP 設定に加えた変更は、その変更よりも前に確立されているアクティブなセッションには影響を与えません。
  • 現在、MPP は、TFTP、Telnet、簡易ネットワーク管理プロトコル(SNMP)、セキュア シェル(SSH)、HTTP などのプロトコルに対して着信する管理要求のみを制御します。
  • MIB はサポートされていません。

管理プレーン保護の実装について

管理プレーン保護機能をイネーブルにする前に、次の概念について理解しておく必要があります。

インバンド管理インターフェイス

インバンド管理インターフェイスは、データ転送パケットだけでなく管理パケットも処理する、Cisco IOS XR ソフトウェア の物理インターフェイスまたは論理インターフェイスです。 インバンド管理インターフェイスは、共有管理インターフェイスとも呼ばれています。

アウトオブバンド管理インターフェイス

アウトオブバンドは、管理プロトコル トラフィックの転送または処理だけを許可するインターフェイスを意味します。 アウトオブバンド管理インターフェイスは、ネットワーク管理トラフィックだけを受信するようネットワーク オペレータによって定義されます。 転送(またはカスタマー)トラフィックの利点は、ルータの管理が妨害されないことであり、これにより、サービス拒否攻撃の可能性が大幅に低減します。

アウトオブバンド インターフェイスは、アウトオブバンド インターフェイス間のトラフィックのみを転送するか、ルータ宛の管理パケットを終端します。 また、アウトオブバンド インターフェイスをダイナミック ルーティング プロトコルに加えることができます。 サービス プロバイダーはルータのアウトオブバンド インターフェイスに接続し、ルータが提供可能なすべてのルーティング ツールおよびポリシー ツールを使用して、独立したオーバーレイ管理ネットワークを構築します。

インターフェイス上のピア フィルタリング

ピア フィルタリング オプションでは、特定のピアまたはピア範囲からの管理トラフィックの設定を許可します。

コントロール プレーン保護の概要

コントロール プレーンは、ルート プロセッサ上のプロセス レベルで稼働するプロセスの集合であり、ほとんどの Cisco IOS XR ソフトウェアの機能に高レベルの制御を提供します。 直接的または間接的にルータを宛先とするすべてのトラフィックは、コントロール プレーンによって処理されます。 管理プレーン保護はコントロール プレーン インフラストラクチャ内で動作します。

管理プレーン

管理プレーンは、ルーティング プラットフォームの管理に関連するすべてのトラフィックの論理的なパスです。 層およびプレーンで構成される通信アーキテクチャの 3 つのプレーンの 1 つである管理プレーンは、ネットワークの管理機能を実行し、すべてのプレーン(管理、制御、およびデータ)間で機能を調整します。 また、管理プレーンはネットワークとの接続を通じてデバイスの管理に使用されます。

管理プレーンで処理されるプロトコルの例は、簡易ネットワーク管理プロトコル(SNMP)、Telnet、HTTP、セキュア HTTP(HTTPS)、および SSH です。 これらの管理プロトコルは、モニタリングやコマンドライン インターフェイス(CLI)のアクセスに使用されます。 デバイスに対し、内部送信元(信頼ネットワーク)へのアクセスを制限することが重要です。

管理プレーン保護機能

MPP 保護機能は、MPP 配下のすべての管理プロトコルと同様、デフォルトではディセーブルになっています。 インターフェイスをアウトオブバンドまたはインバンドとして設定すると、インターフェイスは自動的に MPP をイネーブルにします。 これにより、MPP 配下のすべてのプロトコルもイネーブルになります。

MPP がディセーブルでプロトコルがアクティブな場合、トラフィックはすべてのインターフェイスを通過できます。

アクティブなプロトコルが存在する状態で MPP がイネーブルになると、管理トラフィックを許可するデフォルトの管理インターフェイスはルート プロセッサ(RP)およびスタンバイ ルート プロセッサ(SRP)のイーサネット インターフェイスのみになります。 MPP をイネーブルにする他のすべてのインターフェイスについては、次に説明する MPP CLI を使用して、手動で管理インターフェイスとして設定する必要があります。 以後は、デフォルト管理インターフェイスと事前に MPP インターフェイスとして設定したインターフェイスのみがデバイス宛のネットワーク管理パケットを受け付けます。 他のすべてのインターフェイスは、デバイス宛のネットワーク管理パケットをドロップします。


(注)  


論理インターフェイス(またはデータ プレーンに存在しない他のすべてのインターフェイス)は、入力物理インターフェイスに基づいてパケットをフィルタリングします。


設定後に、管理インターフェイスを変更または削除できます。

MPP 機能がサポートしている管理プロトコルは、次のとおりです。 これらの管理プロトコルは、MPP がイネーブルになった際に影響を受ける唯一のプロトコルでもあります。

  • SSH v1 と v2
  • SNMP のすべてのバージョン
  • Telnet
  • TFTP
  • HTTP
  • HTTPS

管理プレーン保護機能のメリット

MPP 機能を設定すると、次の利点があります。

  • すべてのインターフェイスで管理プロトコルを許可することを超える、デバイスの管理目的でのアクセス制御。
  • 非管理インターフェイスでのデータ パケットのパフォーマンス向上。
  • ネットワークの拡張性のサポート。
  • インターフェイス単位のアクセス コントロール リスト(ACL)を使用することによる、デバイスへの管理アクセス制限の作業の簡易化。
  • デバイスへのアクセスを制限するために必要な ACL 数の削減。
  • スイッチング インターフェイスおよびルーティング インターフェイス上でパケット フラッディングの CPU への到達を防止。

管理プレーン保護のデバイスの設定方法

ここでは、次のタスクについて説明します。

インバンド インターフェイスの管理プレーン保護のデバイスの設定

ネットワークに追加した直後のデバイスや、ネットワークですでに動作しているデバイスを設定するには、この作業を実行します。 この作業では、特定のインターフェイスを通じてのみ Telnet のルータへのアクセスが許可されるインバンド インターフェイスとして、MPP を設定する方法について説明します。

デフォルトでない VRF でインバンド MPP インターフェイスを設定するには、次の作業を追加で実行します。

  • デフォルトでないインバンド VRF のインターフェイスを設定します。
  • グローバル インバンド VRF を設定します。
  • Telnet の場合は、インバンド VRF に対して Telnet VRF サーバを設定します。
手順の概要

    1.    configure

    2.    control-plane

    3.    management-plane

    4.    インバンド

    5.    interface {type instance | all}

    6.    allow {protocol | all} [peer]

    7.    address ipv4 {peer-ip-address | peer ip-address/length}

    8.    次のいずれかのコマンドを使用します。

    • end
    • commit

    9.    show mgmt-plane [inband | out-of-band] [interface {type instance}]


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure


    例:
    RP/0/RSP0/CPU0:router# configure
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 control-plane


    例:
    
    RP/0/RSP0/CPU0:router(config)# control-plane
    RP/0/RSP0/CPU0:router(config-ctrl)# 
    
    
     

    コントロール プレーン コンフィギュレーション モードを開始します。

     
    ステップ 3 management-plane


    例:
    
    RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
    RP/0/RSP0/CPU0:router(config-mpp)#
    
    
     

    管理プレーン保護を設定してプロトコルを許可および拒否し、管理プレーン保護コンフィギュレーション モードを開始します。

     
    ステップ 4 インバンド


    例:
    
    RP/0/RSP0/CPU0:router(config-mpp)# inband
    RP/0/RSP0/CPU0:router(config-mpp-inband)# 
    
    
     

    インバンド インターフェイスを設定し、管理プレーン保護インバンド コンフィギュレーション モードを開始します。

     
    ステップ 5interface {type instance | all}


    例:
    
    RP/0/RSP0/CPU0:router(config-mpp-inband)# interface GigabitEthernet 0/6/0/1
    RP/0/RSP0/CPU0:router(config-mpp-inband-Gi0_6_0_1)#
    
    
     

    特定のインバンド インターフェイスを設定するか、すべてのインバンド インターフェイスを設定します。 管理プレーン保護インバンド インターフェイス コンフィギュレーション モードを開始するには、interface コマンドを使用します。

    • all キーワードを使用して、すべてのインターフェイスを設定します。
     
    ステップ 6allow {protocol | all} [peer]


    例:
    
    RP/0/RSP0/CPU0:router(config-mpp-inband-Gi0_6_0_1)# allow Telnet peer
    RP/0/RSP0/CPU0:router(config-telnet-peer)#
    
    
     

    指定されたプロトコルまたはすべてのプロトコルに対するインバンド インターフェイスとして、インターフェイスを設定します。

    • protocol 引数を使用して、指定管理インターフェイスで管理プロトコルを許可します。
      • HTTP または HTTPS
      • SNMP(バージョンも)
      • セキュア シェル(v1 および v2)
      • TFTP
      • Telnet
    • all キーワードを使用して、プロトコルのリストで指定されるすべての管理トラフィックを許可するようにインターフェイスを設定します。
    • (任意)peer キーワードを使用して、インターフェイスでピア アドレスを設定します。
     
    ステップ 7address ipv4 {peer-ip-address | peer ip-address/length}


    例:
    
    RP/0/RSP0/CPU0:router(config-telnet-peer)# address ipv4 10.1.0.0/16
    
    
     

    このインターフェイス上で管理トラフィックが許可されるピア IPv4 アドレスを設定します。

    • peer-ip-address 引数を使用して、このインターフェイス上で管理トラフィックが許可されるピア IPv4 アドレスを設定します。
    • peer ip-address/length 引数を使用して、ピア IPv4 アドレスのプレフィックスを設定します。
     
    ステップ 8次のいずれかのコマンドを使用します。
    • end
    • commit


    例:
    RP/0/RSP0/CPU0:router(config)# end

    または

    RP/0/RSP0/CPU0:router(config)# commit
     

    設定変更を保存します。

    • end コマンドを実行すると、変更をコミットするように要求されます。
      Uncommitted changes found, commit them
      before exiting(yes/no/cancel)? [cancel]:
      
      • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
      • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
      • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
    • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
     
    ステップ 9show mgmt-plane [inband | out-of-band] [interface {type instance}]


    例:
    RP/0/RSP0/CPU0:router# show mgmt-plane inband interface GigabitEthernet 0/6/0/1
    
     

    インターフェイスのタイプやインターフェイスでイネーブルにされるプロトコルなど、管理プレーンに関する情報を表示します。

    • (任意)inband キーワードを使用して、管理パケットおよびデータ転送パケットを処理するインターフェイスであるインバンド管理インターフェイスの設定を表示します。
    • (任意)out-of-band キーワードを使用して、アウトオブバンド インターフェイス設定を表示します。
    • (任意)interface キーワードを使用して、特定のインターフェイスの詳細を表示します。
     

    アウトオブバンド インターフェイスの管理プレーン保護のデバイスの設定

    アウトオブバンド MPP インターフェイスを設定するには、次の作業を実行します。

    • アウトオブバンド VRF のインターフェイスを設定します。
    • グローバル アウトオブバンド VRF を設定します。
    • Telnet の場合は、アウトオブバンド VRF に対して Telnet VRF サーバを設定します。
    手順の概要

      1.    configure

      2.    control-plane

      3.    management-plane

      4.    アウトオブバンド

      5.    vrf vrf-name

      6.    interface {type instance | all}

      7.    allow {protocol | all} [peer]

      8.    address ipv6 {peer-ip-address | peer ip-address/length}

      9.    次のいずれかのコマンドを使用します。

      • end
      • commit

      10.    show mgmt-plane [inband | out-of-band] [interface {type instance} | vrf]


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure


      例:
      RP/0/RSP0/CPU0:router# configure
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 control-plane


      例:
      
      RP/0/RSP0/CPU0:router(config)# control-plane
      RP/0/RSP0/CPU0:router(config-ctrl)# 
      
      
       

      コントロール プレーン コンフィギュレーション モードを開始します。

       
      ステップ 3 management-plane


      例:
      
      RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
      RP/0/RSP0/CPU0:router(config-mpp)#
      
      
       

      管理プレーン保護を設定してプロトコルを許可および拒否し、管理プレーン保護コンフィギュレーション モードを開始します。

       
      ステップ 4 アウトオブバンド


      例:
      
      RP/0/RSP0/CPU0:router(config-mpp)# out-of-band
      RP/0/RSP0/CPU0:router(config-mpp-outband)# 
      
      
       

      帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯域外コンフィギュレーション モードを開始します。

       
      ステップ 5vrf vrf-name


      例:
      
      RP/0/RSP0/CPU0:router(config-mpp-outband)# vrf target
      
      
       

      帯域外インターフェイスのバーチャル プライベート ネットワーク(VPN)Routing and Forwarding(VRF; VPN ルーティングおよび転送)リファレンスを設定します。

      • vrf-name 引数を使用して、VRF に名前を割り当てます。
       
      ステップ 6interface {type instance | all}


      例:
      
      RP/0/RSP0/CPU0:router(config-mpp-outband)# interface GigabitEthernet 0/6/0/2
      RP/0/RSP0/CPU0:router(config-mpp-outband-Gi0_6_0_2)#
      
      
       

      特定のアウトオブバンド インターフェイス、またはすべてのアウトオブバンド インターフェイスをアウトオブバンド インターフェイスとして設定します。 管理プレーン保護アウトオブバンド コンフィギュレーション モードを開始するには、interface コマンドを使用します。

      • all キーワードを使用して、すべてのインターフェイスを設定します。
       
      ステップ 7allow {protocol | all} [peer]


      例:
      
      RP/0/RSP0/CPU0:router(config-mpp-outband-Gi0_6_0_2)# allow TFTP peer
      RP/0/RSP0/CPU0:router(config-tftp-peer)#
      
      
       

      指定されたプロトコルまたはすべてのプロトコルに対するアウトオブバンド インターフェイスとして、インターフェイスを設定します。

      • protocol 引数を使用して、指定管理インターフェイスで管理プロトコルを許可します。
        • HTTP または HTTPS
        • SNMP(バージョンも)
        • セキュア シェル(v1 および v2)
        • TFTP
        • Telnet
      • all キーワードを使用して、プロトコルのリストで指定されるすべての管理トラフィックを許可するようにインターフェイスを設定します。
      • (任意)peer キーワードを使用して、インターフェイスでピア アドレスを設定します。
       
      ステップ 8address ipv6 {peer-ip-address | peer ip-address/length}


      例:
      
      RP/0/RSP0/CPU0:router(config-tftp-peer)# address ipv6 33::33
      
      
       

      このインターフェイス上で管理トラフィックが許可されるピア IPv6 アドレスを設定します。

      • peer-ip-address 引数を使用して、このインターフェイス上で管理トラフィックが許可されるピア IPv6 アドレスを設定します。
      • peer ip-address/length 引数を使用して、ピア IPv6 アドレスのプレフィックスを設定します。
       
      ステップ 9次のいずれかのコマンドを使用します。
      • end
      • commit


      例:
      RP/0/RSP0/CPU0:router(config)# end

      または

      RP/0/RSP0/CPU0:router(config)# commit
       

      設定変更を保存します。

      • end コマンドを実行すると、変更をコミットするように要求されます。
        Uncommitted changes found, commit them
        before exiting(yes/no/cancel)? [cancel]:
        
        • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
        • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
        • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
      • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
       
      ステップ 10show mgmt-plane [inband | out-of-band] [interface {type instance} | vrf]


      例:
      
      RP/0/RSP0/CPU0:router# show mgmt-plane out-of-band interface GigabitEthernet 0/6/0/2
      
      
       

      インターフェイスのタイプやインターフェイスでイネーブルにされるプロトコルなど、管理プレーンに関する情報を表示します。

      • (任意)inband キーワードを使用して、管理パケットおよびデータ転送パケットを処理するインターフェイスであるインバンド管理インターフェイスの設定を表示します。
      • (任意)out-of-band キーワードを使用して、アウトオブバンド インターフェイス設定を表示します。
      • (任意)interface キーワードを使用して、特定のインターフェイスの詳細を表示します。
      • (任意)vrf キーワードを使用して、アウトオブバンド インターフェイスのバーチャル プライベート ネットワーク(VPN)ルーティングおよび転送リファレンスを表示します。
       

      管理プレーン保護の実装の設定例

      ここでは、次の設定例について説明します。

      管理プレーン保護の設定:例

      次に、MMP 下での特定の IP アドレスに対するインバンドおよびアウトオブバンド インターフェイスを設定する例を示します。

      
      configure
       control-plane
        management-plane
         inband
          interface all
           allow SSH
           !
          interface GigabitEthernet 0/6/0/0
           allow all
           allow SSH
           allow Telnet peer
            address ipv4 10.1.0.0/16
          !
         !
          interface GigabitEthernet 0/6/0/1
           allow Telnet peer
            address ipv4 10.1.0.0/16
           !
          !
         !
         out-of-band
          vrf my_out_of_band
          interface GigabitEthernet 0/6/0/2
           allow TFTP peer
            address ipv6 33::33
           !
          !
         !
        !
       !
      
      show mgmt-plane
      
      Management Plane Protection
      
      inband interfaces
      ----------------------
      
      interface - GigabitEthernet0_6_0_0
              ssh configured - 
                      All peers allowed
              telnet configured - 
                      peer v4 allowed - 10.1.0.0/16
              all configured - 
                      All peers allowed
      interface - GigabitEthernet0_6_0_1
              telnet configured - 
                      peer v4 allowed - 10.1.0.0/16
      
      interface - all 
              all configured - 
                      All peers allowed
      
      outband interfaces
      ----------------------
      interface - POS0_6_0_2 
              tftp configured - 
                      peer v6 allowed - 33::33
      
      show mgmt-plane out-of-band vrf
      
      Management Plane Protection - 
              out-of-band VRF - my_out_of_band
      
      

      その他の関連資料

      ここでは、管理プレーン保護の実装に関する関連資料について説明します。

      関連資料

      関連項目

      マニュアル タイトル

      MPP コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上のガイドライン、および例

      『Cisco ASR 9000 Series Aggregation Services Router System Monitoring Command Reference』 の管理プレーン保護コマンド

      標準

      標準

      タイトル

      この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

      MIB

      MIB

      MIB のリンク

      Cisco IOS XR ソフトウェアを使用している MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator を使用し、[Cisco Access Products] メニューからプラットフォームを選択します。http:/​/​cisco.com/​public/​sw-center/​netmgmt/​cmtk/​mibs.shtml

      RFC

      RFC

      タイトル

      この機能でサポートが追加または変更された RFC はありません。

      シスコのテクニカル サポート

      説明

      リンク

      シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクなどの、数千ページに及ぶ技術情報が検索可能です。 Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

      http:/​/​www.cisco.com/​techsupport