Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.2SX
ネットワーク セキュリティの設定
ネットワーク セキュリティの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

ネットワーク セキュリティの設定

MACアドレスベースのトラフィック ブロッキングの設定

TCPインターセプトの設定

ユニキャストRPFチェックの設定

PFC3ユニキャストRPFチェックのサポートの概要

PFC2ユニキャストRPFチェックのサポートの概要

ユニキャストRPFチェックに関する注意事項および制約事項

ユニキャストRPFチェックの設定

ユニキャストRPFチェック モードの設定

PFC3での複数パスのユニキャストRPFチェック モードの設定

PFC3での複数パスのインターフェイス グループの設定

self-pingのイネーブル化

ネットワーク セキュリティの設定

この章では、Cisco 7600シリーズ ルータ固有のネットワーク セキュリティ機能について説明します。これは、次のマニュアルに記載されているネットワーク セキュリティに関する情報および手順を補足するためのものです。

次のURLの『 Cisco IOS Security Configuration Guide 』Release 12.2

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/index.htm

次のURLの『 Cisco IOS Security Command Reference 』Release 12.2

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_r/index.htm

この章の構成は次のとおりです。

「MACアドレスベースのトラフィック ブロッキングの設定」

「TCPインターセプトの設定」

「ユニキャストRPFチェックの設定」

MACアドレスベースのトラフィック ブロッキングの設定

特定のVLAN(仮想LAN)内のMAC(メディア アクセス制御)アドレスを経由するすべてのトラフィックをブロックするには、次の作業を行います。

 

コマンド
説明

Router(config)# mac-address-table static mac_address vlan vlan_ID drop

特定のVLANで設定されているMACアドレスを経由するすべてのトラフィックをブロックします。

Router(config)# no mac-address-table static mac_address vlan vlan_ID

MACアドレスベースのブロッキングを消去します。

次に、VLAN 12内でMACアドレス0050.3e8d.6400を経由するすべてのトラフィックをブロックする例を示します。

Router# configure terminal
Router(config)# mac-address-table static 0050.3e8d.6400 vlan 12 drop

TCPインターセプトの設定

TCPインターセプト フローはハードウェアで処理されます。

設定手順については、下記のURLにある『 Cisco IOS Security Configuration Guide 』Release 12.2の
「Traffic Filtering and Firewalls」、「Configuring TCP Intercept(Preventing Denial-of-Service Attacks)」を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/ftrafwl/scfdenl.htm

ユニキャストRPFチェックの設定

ここでは、Cisco IOSユニキャストReverse Path Forwarding(RPF)チェック(ユニキャストRPFチェック)について説明します。

「PFC3ユニキャストRPFチェックのサポートの概要」

「ユニキャストRPFチェックの設定」

PFC3ユニキャストRPFチェックのサポートの概要

ユニキャストRPFチェック機能概要の詳細については、次のURLにある『 Cisco IOS Security
Configuration Guide
』Release 12.2の「Other Security Features」、「Configuring Unicast Reverse Path
Forwarding」を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fothersf/scfrpf.htm

Policy Feature Card3(PFC3;ポリシー フィーチャ カード3)は、複数のインターフェイスからのトラフィックのRPFチェックをハードウェアでサポートします。

strict方式ユニキャストRPFチェックの場合、PFC3はルーティング テーブルのプレフィクスすべてに対し2つのパラレル パスと、4つのユーザ設定変更可能なRPFインターフェイス グループ(インターフェイス グループごとに4つのインターフェイスを収容可能)のいずれかを通じて到達したプレフィクスに対し最大4つのパラレル パスをサポートします。

loose方式ユニキャストRPFチェック(別名exist-only方式)の場合、PFC3は最大8つのリバース パス インターフェイスをサポートします(Cisco IOSソフトウェアはルーティング テーブルでは8つのリバース パスに制限されます)。

Cisco IOSでユニキャストRPFチェックを実行する方式は、次の4つです。

strictユニキャストRPFチェック

allow-defaultを使用したstrictユニキャストRPFチェック

looseユニキャストRPFチェック

allow-defaultを使用したlooseユニキャストRPFチェック

ユニキャストRPFチェックをインターフェイス単位で設定できますが、ユニキャストRPFチェックがイネーブルであるインターフェイスすべてに対してPFC3がサポートするのは、ユニキャストRPF方式のみです。現在設定されている方式とは異なるユニキャストRPF方式を使用するようにインターフェイスを設定する場合、ユニキャストRPFチェックがイネーブルになっているシステムのインターフェイスすべてが、新しい方式を使用します。

PFC2ユニキャストRPFチェックのサポートの概要

PFC2は、1つのリターン パスを持つパケットをハードウェアで処理することによってユニキャストRPFをサポートしています。Multilayer Switch Feature Card 2(MSFC2;マルチレイヤ スイッチ フィーチャ カード2)は、複数のリターン パスを持つトラフィックをソフトウェアで処理します(負荷分散など)。

PFC2の場合、Access Control List(ACL;アクセス制御リスト)を使用してフィルタ処理するようにユニキャストRPFを設定する場合、PFC2はトラフィックがACLと一致するかどうかを判断します。PFC2は、RPF ACLに拒否されたトラフィックをMSFC2へ送信してユニキャストRPFチェックを受けます。

ユニキャストRPFチェックに関する注意事項および制約事項

ユニキャストRPFチェックを設定し、Access Control List(ACL;アクセス制御リスト)でフィルタをかける場合、PFCはトラフィックがACLと一致するかどうかを判断します。PFCはRPF ACLに拒否されたトラフィックをMultilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ カード)へ送信し、MSFCがユニキャストRPFチェックを行います。PFC2またはPFC3Aの場合、ACLで許可されたパケットは、ユニキャストRPFチェックを受けずにハードウェアで転送されます。PFC3BXLを使用する場合、ACLで許可されたパケットはMSFC3上でRPFチェックされます。

通常、DoS攻撃のパケットは拒否Access Control Entry(ACE;アクセス制御エントリ)と一致し、ユニキャストRPFチェックを受けるためMSFCに送信されます。そのため、送信されたパケットでMSFCは過負荷状態になる可能性があります。

PFCは、ユニキャストRPFチェックのACLとは一致しなくても、入力セキュリティACLと一致するトラフィックをハードウェアでサポートします。

PFCでは、Policy-Based Routing(PBR;ポリシーベース ルーティング)トラフィックのユニキャストRPFチェックをハードウェアでサポートしません(CSCea53554)。

ユニキャストRPFチェックの設定

ここでは、ユニキャストRPFチェックの設定手順について説明します。

「ユニキャストRPFチェック モードの設定」

「PFC3での複数パスのユニキャストRPFチェック モードの設定」

「self-pingのイネーブル化」

ユニキャストRPFチェック モードの設定

ユニキャストRPFには、次に示す2つのチェック モードがあります。

strictチェック モード ― 送信元IPアドレスがForwarding Information Base(FIB;転送情報ベース)テーブルにあること、および入力ポートから到達可能な範囲内にあることを確認します。

exist-onlyチェック モード ― 送信元IPアドレスがFIBテーブルにあるかどうかだけを確認します。


) ユニキャストRPFチェック用に設定されたすべてのポートには、その時点で設定されているモードが自動的に適用されます。


ユニキャストRPFチェック モードを設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface {{ vlan vlan_ID } | { type 1 slot/port } | { port-channel number }}

設定するインターフェイスを選択します。


) ユニキャストRPFチェックは次の宛先にパケットを転送する前に、入力ポートに基づいて、最適なリターン パスを確認します。


 

ステップ 2

Router(config-if)# ip verify unicast source reachable-via { rx | any } [ allow-default ] [ list ]

ユニキャストRPFチェック モードを設定します。

Router(config-if)# no ip verify unicast

デフォルトのユニキャストRPFチェック モードに戻します。

ステップ 3

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

ステップ 4

Router# show mls cef ip rpf

設定を確認します。

1.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

ユニキャストRPFチェック モードを設定する際、次の構文情報に注意してください。

strictチェック モードをイネーブルにするには、 rx キーワードを使用します。

exist-onlyチェック モードをイネーブルにするには、 any キーワードを使用します。

RPFの確認にデフォルト ルートを使用できるようにするには、 allow-default キーワードを使用します。

アクセス リストを識別するには、 list オプションを使用します。

アクセス リストによってネットワークへのアクセスが拒否された場合は、スプーフィングされたパケットがポートで廃棄されます。

アクセス リストによってネットワークへのアクセスが許可された場合は、スプーフィングされたパケットが宛先アドレスに転送されます。転送されたパケットは、インターフェイスの統計情報にカウントされます。

アクセス リストにログ アクションが含まれている場合、スプーフィングされたパケットに関する情報がログ サーバに送信されます。


ip verify unicast source reachable-viaコマンドを入力すると、ユニキャストRPFチェック モードがルータのすべてのポートで変更されます。


次に、ポートGigabitEthernet 4/1でユニキャストRPFのexist-onlyチェック モードをイネーブルにする例を示します。

Router(config)# interface gigabitethernet 4/1
Router(config-if)# ip verify unicast source reachable-via any
Router(config-if)# end
Router#
 

次に、ポートGigabitEthernet 4/2でユニキャストRPFのstrictチェック モードをイネーブルにする例を示します。

Router(config)# interface gigabitethernet 4/2
Router(config-if)# ip verify unicast source reachable-via rx
Router(config-if)# end
Router#
 

次に、設定を確認する例を示します。

Router# show running-config interface gigabitethernet 4/2
Building configuration...
Current configuration : 114 bytes
!
interface GigabitEthernet4/2
ip address 42.0.0.1 255.0.0.0
ip verify unicast reverse-path
no cdp enable
end
Router# show running-config interface gigabitethernet 4/1
Building configuration...
Current configuration : 114 bytes
!
interface GigabitEthernet4/1
ip address 41.0.0.1 255.0.0.0
ip verify unicast reverse-path (RPF mode on g4/1 also changed to strict-check RPF mode)
no cdp enable
end
Router#

PFC3での複数パスのユニキャストRPFチェック モードの設定

PFC3で複数パスのユニキャストRPFチェック モードを設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# mls ip cef rpf mpath { punt | pass | interface-group }

PFC3で複数のパスRPFチェック モードを設定します。

Router(config)# no mls ip cef rpf mpath { punt | interface-group }

デフォルト値に戻します( mls ip cef rpf mpath punt )。

ステップ 2

Router(config)# end

コンフィギュレーション モードを終了します。

ステップ 3

Router# show mls cef ip rpf

設定を確認します。

複数のパスRPFチェックを設定する場合、次の構文情報に注意してください。

punt (デフォルト) ― プレフィクスごとに最大2つのインターフェイスに対して、PFC3はユニキャストRPFチェックをハードウェアで実行します。追加のインターフェイスに着信するパケットはMSFC3にリダイレクト(パント)されて、ソフトウェアでユニキャストRPFチェックが実行されます。

pass ― パスが1つまたは2つのプレフィクスの場合、PFC3はユニキャストRPFチェックをハードウェアで実行します。ユニキャストRPFチェックは、3つ以上のリバースパス インターフェイスのあるmultipathプレフィクスから着信するパケットに対し、ディセーブルです(このパケットは常にユニキャストRPFチェックに合格します)。

interface-group ― パスが1つまたは2つのプレフィクスの場合、PFC3はユニキャストRPFチェックをハードウェアで実行します。PFC3はプレフィクス単位で最大4つの追加インターフェイスに対し、ユーザ設定変更可能なマルチパス ユーザRPFチェック インターフェイス グループを介して、ユニキャストRPFチェックを実行します。ユニキャストRPFチェックは、3つ以上のリバースパス インターフェイスのある他のmultipathプレフィクスから着信するパケットに対し、ディセーブルです(このパケットは常にユニキャストRPFチェックが行われます)。

次に、複数パスのRPFチェックを設定する例を示します。

Router(config)# mls ip cef rpf mpath punt

PFC3での複数パスのインターフェイス グループの設定

複数パスのユニキャストRPFインターフェイス グループをPFC3に設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# mls ip cef rpf interface-group [ 0 | 1 | 2 | 3 ] interface1 [ interface2 [ interface3 [ interface4 ]]]

複数パスのRPFインターフェイス グループをPFC3に設定します。

ステップ 2

Router(config)# mls ip cef rpf interface-group group_number

インターフェイス グループを削除します。

ステップ 3

Router(config)# end

コンフィギュレーション モードを終了します。

ステップ 4

Router# show mls cef ip rpf

設定を確認します。

次に、インターフェイス グループ2を設定する例を示します。

Router(config)# mls ip cef rpf interface-group 2 fastethernet 3/3 fastethernet 3/4 fastethernet 3/5 fastethernet 3/6

self-pingのイネーブル化

ユニキャストRPFチェックがイネーブルの場合、ルータはデフォルトでself-pingを実行できません。

self-pingをイネーブルにするには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface {{ vlan vlan_ID } | { type 2 slot/port } | { port-channel number }}

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# ip verify unicast source reachable-via any allow-self-ping

self-pingまたはセカンダリ アドレスへのpingを実行できるように、ルータをイネーブルにします。

Router(config-if)# no ip verify unicast source reachable-via any allow-self-ping

self-pingをディセーブルにします。

ステップ 3

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

2.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、self-pingをイネーブルにする例を示します。

Router(config)# interface gigabitethernet 4/1
Router(config-if)# ip verify unicast source reachable-via any allow-self-ping
Router(config-if)# end