Cisco IOS Resilient Configuration
Cisco IOS Resilient Configuration 機能で、実行中のイメージおよび設定のワーキング コピーを保護し維持することができます。これにより、イメージや設定ファイルが永続ストレージ(NVRAM やフラッシュ)の内容を消去する不正な攻撃に耐えることができます。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「Cisco IOS Resilient Configuration の機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
Cisco IOS Resilient Configuration の制約事項
• この機能は、Personal Computer Memory Card International Association(PCMCIA; PC メモリ カード国際協会)の Advanced Technology Attachment(ATA)をサポートしているプラットフォームでしか使用できません。少なくとも 1 つの Cisco IOS イメージ(アップグレードの場合は 2 つ)と実行設定のコピーを保存するのに十分なスペースがストレージ デバイス上に存在する必要があります。このソフトウェアには、セキュアなファイル システム用の IOS Files System(IFS; IOS ファイル システム)サポートも必要です。
• 隠しファイルに対するファイル システム サポートが含まれていない古いバージョンの Cisco IOS ソフトウェアを使用している場合は、保護されたファイルが強制的に削除される可能性があります。
• この機能は、ルータへのコンソール接続を通してのみ無効にすることができます。アップグレード シナリオを除いて、機能をアクティブにするためのコンソール アクセスは必要ありません。
• ネットワークからロードしたイメージでブートセットを保護できません。実行イメージは、プライマリとして保護すべき永続ストレージからロードする必要があります。
• 保護されたファイルは、エグゼクティブ シェルから発行された dir コマンドの出力に表示されません。これは、IFS がディレクトリ内のセキュアなファイルの一覧表示を阻止するためです。ROM monitor(ROMMON; ROM モニタ)モードには、このような制限がないため、保護されたファイルを一覧表示したり、ブートしたりすることができます。実行イメージと実行設定のアーカイブは Cisco IOS dir コマンド出力に表示されません。代わりに、 show secure bootset コマンドを使用してアーカイブの存在を確認できます。
Cisco IOS Resilient Configuration に関する情報
Cisco IOS Resilient Configuration を使用する前に、次の概念を理解しておく必要があります。
• 「Cisco IOS Resilient Configuration の機能設計」
Cisco IOS Resilient Configuration の機能設計
ネットワーク オペレータの大きな課題は、ルータの故障以降の総ダウンタイムと、永続ストレージから消去された運用ソフトウェアと設定データです。オペレータは、設定のアーカイブ コピー(もしあれば)とワーキング イメージを入手して、ルータを復元させる必要があります。その後で、影響を受けたルータごとに回復を実行する必要があるため、総ネットワーク ダウンタイムがさらに増加します。
Cisco IOS Resilient Configuration 機能の目的は、回復プロセスを速めることです。この機能は、常に、ルータ イメージのセキュアなワーキング コピーと起動設定を維持します。これらのセキュアなファイルはユーザが削除できません。このイメージとルータ実行設定のセットは、プライマリ ブートセットと呼ばれています。
Cisco IOS Resilient Configuration の設計では、次の要素が考慮されています。
• プライマリ ブートセット内の設定情報は、この機能が最初に有効にされた時点でルータ内に存在していた実行設定のコピーです。
• この機能は、最小限のファイルのワーキング セットを保護することによって、永続ストレージのスペースを確保します。プライマリ Cisco IOS イメージ ファイルを保護するために余分なスペースは必要ありません。
• この機能は、自動的にイメージまたは設定のバージョン ミスマッチを検出します。
• ファイルを保護し、TFTP サーバ上での複数のイメージと設定の保存からスケーラビリティ メンテナンスの課題を排除するために、ローカル ストレージのみが使用されます。
• この機能は、コンソール セッションを通してのみ無効にすることができます。
Cisco IOS Resilient Configuration の使用方法
ここでは、次の各手順について説明します。
• 「ルータ設定のアーカイブ」
• 「アーカイブされたルータ設定の復元」
ルータ設定のアーカイブ
このタスクでは、永続ストレージ内のセキュアなアーカイブへのプライマリ ブートセットの保存方法について説明します。
手順の概要
1. enable
2. configure terminal
3. secure boot-image
4. secure boot-config
5. end
6. show secure bootset
手順の詳細
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
secure boot-image
Router(config)# secure boot-image |
Cisco IOS image resilience を有効にします。 |
ステップ 4 |
secure boot-config
Router(config)# secure boot-config |
プライマリ ブートセットのセキュアなコピーを永続ストレージに保存します。 |
ステップ 5 |
end
Router(config)# end |
特権 EXEC モードに戻ります。 |
ステップ 6 |
show secure bootset
Router# show secure bootset |
(任意)設定回復のステータスとプライマリ ブートセット ファイル名を表示します。 |
例
この項では、次の出力例について説明します。
• 「show secure bootset コマンドのサンプル出力」
show secure bootset コマンドのサンプル出力
次の例は、 show secure bootset コマンドのサンプル出力を示しています。
Router# show secure bootset
IOS resilience router id JMX0704L5GH
IOS image resilience version 12.3 activated at 08:16:51 UTC Sun Jun 16 2002
Secure archive slot0:c3745-js2-mz type is image (elf) []
file size is 25469248 bytes, run size is 25634900 bytes
Runnable image, entry point 0x80008000, run from ram
IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16 2002
Secure archive slot0:.runcfg-20020616-081702.ar type is config
configuration archive size 1059 bytes
アーカイブされたルータ設定の復元
このタスクでは、ルータが改ざん(NVRAM の消去またはディスクのフォーマットによって)された後に、セキュアなアーカイブからプライマリ ブートセットを復元する方法について説明します。
(注) アーカイブされたプライマリ ブートセットを復元するには、Cisco IOS image resilience を有効にして、永続ストレージ内にアーカイブされていたプライマリ ブートセットを復元する必要があります。
手順の概要
1. reload
2. dir [ filesystem : ]
3. boot [ partition-number : ][ filename ]
4. no
5. enable
6. configure terminal
7. secure boot-config [ restore filename ]
8. end
9. copy filename running-config
手順の詳細
|
|
ステップ 1 |
reload
Router# reload |
(任意)必要に応じて、ROM モニタ モードに入ります。 |
ステップ 2 |
dir [ filesystem : ]
rommon 1 > dir slot0: |
セキュアなブートセット ファイルを含むデバイスの内容を列挙します。 • デバイス名は、 show secure bootset コマンドの出力内で見つけることができます。 |
ステップ 3 |
boot [ partition-number : ][ filename ]
rommon 2 > boot slot0:c3745-js2-mz |
セキュアなブートセット イメージを使用してルータを起動します。 |
ステップ 4 |
no
--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: no |
(任意)セットアップ モードでインタラクティブ設定セッションに入ることを拒否します。 • NVRAM が消去された場合は、ルータがセットアップ モードに入り、ユーザにインタラクティブ設定セッションを開始するように促します。 |
ステップ 5 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 6 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 7 |
secure boot-config [ restore filename ]
Router(config)# secure boot-config restore slot0:rescue-cfg |
セキュアな設定を指定されたファイル名に復元します。 |
ステップ 8 |
end
Router(config)# end |
特権 EXEC モードに戻ります。 |
ステップ 9 |
copy filename running-config
Router# copy slot0:rescue-cfg running-config |
復元された設定を実行設定にコピーします。 |
その他の参考資料
次の項で、Cisco IOS Resilient Configuration に関する参考資料を紹介します。
関連資料
|
|
その他のコマンド:完全なコマンド構文、コマンド モード、デフォルト、使用上の注意事項、および例 |
『 Cisco IOS Configuration Fundamentals and Network Management Command Reference , Release 12.4T 』 |
規格
|
|
この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。 |
-- |
MIB
|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs |
RFC
|
|
この機能がサポートする新規 RFC または改訂 RFC はありません。また、この機能による既存 RFC のサポートに変更はありません。 |
-- |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
Cisco IOS Resilient Configuration の機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 1 Cisco IOS Resilient Configuration の機能情報
|
|
|
Cisco IOS Resilient Configuration |
12.3(8)T |
Cisco IOS Resilient Configuration 機能で、実行中のイメージおよび設定のワーキング コピーを保護し維持することができます。これにより、イメージや設定ファイルが永続ストレージ(NVRAM やフラッシュ)の内容を消去する不正な攻撃に耐えることができます。 12.3(8)T で、この機能が導入されました。 secure boot-config、secure boot-image、および show secure bootset コマンドが導入または変更されました。 |
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2004-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2004-2011, シスコシステムズ合同会社.
All rights reserved.