この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco IOS XR ソフトウェア の管理プレーン保護(MPP)機能では、ネットワーク管理パケットのデバイスへの着信を許可するインターフェイスを制限できます。 ネットワーク オペレータは MPP 機能を使用して、1 つ以上のルータ インターフェイスを管理インターフェイスとして指定できます。
デバイス管理トラフィックは、これらの管理インターフェイスを通じてのみ着信が許可されます。 MPP をイネーブルにすると、指定された管理インターフェイス以外のインターフェイスでは、そのデバイス宛のネットワーク管理トラフィックは許可されません。 指定されたインターフェイスに管理パケットを制限することで、デバイスの管理方法をより詳細に制御できるため、デバイスのセキュリティが向上します。
このモジュールでは、Cisco ASR 9000 シリーズ ルータ での管理プレーン保護の実装方法について説明します。
MPP コマンドの詳細については、 『Cisco ASR 9000 Series Aggregation Services Router System Security Command Reference』の「Management Plane Protection Commands on Cisco ASR 9000 シリーズ ルータ」モジュールを参照してください。
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
この機能が導入されました。 |
適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。 ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。
管理プレーン保護(MPP)の実装には次の制約事項があります。
管理プレーン保護機能をイネーブルにする前に、次の概念について理解しておく必要があります。
インバンド管理インターフェイスは、データ転送パケットだけでなく管理パケットも処理する、Cisco IOS XR ソフトウェア の物理インターフェイスまたは論理インターフェイスです。 インバンド管理インターフェイスは、共有管理インターフェイスとも呼ばれています。
アウトオブバンドは、管理プロトコル トラフィックの転送または処理だけを許可するインターフェイスを意味します。 アウトオブバンド管理インターフェイスは、ネットワーク管理トラフィックだけを受信するようネットワーク オペレータによって定義されます。 転送(またはカスタマー)トラフィックの利点は、ルータの管理が妨害されないことであり、これにより、サービス拒否攻撃の可能性が大幅に低減します。
アウトオブバンド インターフェイスは、アウトオブバンド インターフェイス間のトラフィックのみを転送するか、ルータ宛の管理パケットを終端します。 また、アウトオブバンド インターフェイスをダイナミック ルーティング プロトコルに加えることができます。 サービス プロバイダーはルータのアウトオブバンド インターフェイスに接続し、ルータが提供可能なすべてのルーティング ツールおよびポリシー ツールを使用して、独立したオーバーレイ管理ネットワークを構築します。
ピア フィルタリング オプションでは、特定のピアまたはピア範囲からの管理トラフィックの設定を許可します。
コントロール プレーンは、ルート プロセッサ上のプロセス レベルで稼働するプロセスの集合であり、ほとんどの Cisco IOS XR ソフトウェアの機能に高レベルの制御を提供します。 直接的または間接的にルータを宛先とするすべてのトラフィックは、コントロール プレーンによって処理されます。 管理プレーン保護はコントロール プレーン インフラストラクチャ内で動作します。
管理プレーンは、ルーティング プラットフォームの管理に関連するすべてのトラフィックの論理的なパスです。 層およびプレーンで構成される通信アーキテクチャの 3 つのプレーンの 1 つである管理プレーンは、ネットワークの管理機能を実行し、すべてのプレーン(管理、制御、およびデータ)間で機能を調整します。 また、管理プレーンはネットワークとの接続を通じてデバイスの管理に使用されます。
管理プレーンで処理されるプロトコルの例は、簡易ネットワーク管理プロトコル(SNMP)、Telnet、HTTP、セキュア HTTP(HTTPS)、および SSH です。 これらの管理プロトコルは、モニタリングやコマンドライン インターフェイス(CLI)のアクセスに使用されます。 デバイスに対し、内部送信元(信頼ネットワーク)へのアクセスを制限することが重要です。
MPP 保護機能は、MPP 配下のすべての管理プロトコルと同様、デフォルトではディセーブルになっています。 インターフェイスをアウトオブバンドまたはインバンドとして設定すると、インターフェイスは自動的に MPP をイネーブルにします。 これにより、MPP 配下のすべてのプロトコルもイネーブルになります。
MPP がディセーブルでプロトコルがアクティブな場合、トラフィックはすべてのインターフェイスを通過できます。
アクティブなプロトコルが存在する状態で MPP がイネーブルになると、管理トラフィックを許可するデフォルトの管理インターフェイスはルート プロセッサ(RP)およびスタンバイ ルート プロセッサ(SRP)のイーサネット インターフェイスのみになります。 MPP をイネーブルにする他のすべてのインターフェイスについては、次に説明する MPP CLI を使用して、手動で管理インターフェイスとして設定する必要があります。 以後は、デフォルト管理インターフェイスと事前に MPP インターフェイスとして設定したインターフェイスのみがデバイス宛のネットワーク管理パケットを受け付けます。 他のすべてのインターフェイスは、デバイス宛のネットワーク管理パケットをドロップします。
(注) |
論理インターフェイス(またはデータ プレーンに存在しない他のすべてのインターフェイス)は、入力物理インターフェイスに基づいてパケットをフィルタリングします。 |
設定後に、管理インターフェイスを変更または削除できます。
MPP 機能がサポートしている管理プロトコルは、次のとおりです。 これらの管理プロトコルは、MPP がイネーブルになった際に影響を受ける唯一のプロトコルでもあります。
MPP 機能を設定すると、次の利点があります。
ここでは、次のタスクについて説明します。
ネットワークに追加した直後のデバイスや、ネットワークですでに動作しているデバイスを設定するには、この作業を実行します。 この作業では、特定のインターフェイスを通じてのみ Telnet のルータへのアクセスが許可されるインバンド インターフェイスとして、MPP を設定する方法について説明します。
デフォルトでない VRF でインバンド MPP インターフェイスを設定するには、次の作業を追加で実行します。
1. configure
2. control-plane
3. management-plane
4. インバンド
5. interface {type instance | all}
6. allow {protocol | all} [peer]
7. address ipv4 {peer-ip-address | peer ip-address/length}
9. show mgmt-plane [inband | out-of-band] [interface {type instance}]
アウトオブバンド MPP インターフェイスを設定するには、次の作業を実行します。
1. configure
2. control-plane
3. management-plane
4. アウトオブバンド
5. vrf vrf-name
6. interface {type instance | all}
7. allow {protocol | all} [peer]
8. address ipv6 {peer-ip-address | peer ip-address/length}
10. show mgmt-plane [inband | out-of-band] [interface {type instance} | vrf]
ここでは、次の設定例について説明します。
次に、MMP 下での特定の IP アドレスに対するインバンドおよびアウトオブバンド インターフェイスを設定する例を示します。
configure control-plane management-plane inband interface all allow SSH ! interface GigabitEthernet 0/6/0/0 allow all allow SSH allow Telnet peer address ipv4 10.1.0.0/16 ! ! interface GigabitEthernet 0/6/0/1 allow Telnet peer address ipv4 10.1.0.0/16 ! ! ! out-of-band vrf my_out_of_band interface GigabitEthernet 0/6/0/2 allow TFTP peer address ipv6 33::33 ! ! ! ! ! show mgmt-plane Management Plane Protection inband interfaces ---------------------- interface - GigabitEthernet0_6_0_0 ssh configured - All peers allowed telnet configured - peer v4 allowed - 10.1.0.0/16 all configured - All peers allowed interface - GigabitEthernet0_6_0_1 telnet configured - peer v4 allowed - 10.1.0.0/16 interface - all all configured - All peers allowed outband interfaces ---------------------- interface - POS0_6_0_2 tftp configured - peer v6 allowed - 33::33 show mgmt-plane out-of-band vrf Management Plane Protection - out-of-band VRF - my_out_of_band
ここでは、管理プレーン保護の実装に関する関連資料について説明します。
関連項目 |
マニュアル タイトル |
---|---|
MPP コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上のガイドライン、および例 |
『Cisco ASR 9000 Series Aggregation Services Router System Monitoring Command Reference』 の管理プレーン保護コマンド |
標準 |
タイトル |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
MIB |
MIB のリンク |
---|---|
— | Cisco IOS XR ソフトウェアを使用している MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator を使用し、[Cisco Access Products] メニューからプラットフォームを選択します。http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
RFC |
タイトル |
---|---|
この機能でサポートが追加または変更された RFC はありません。 |
— |
説明 |
リンク |
---|---|
シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクなどの、数千ページに及ぶ技術情報が検索可能です。 Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |