このドキュメントでは、次の設定例について説明します。
Nexus7000 シリーズにおける CoPP を用いたコントロール・プレーンへのトラフィック (telnet/ssh) の制限方法について
Nexus7000 シリーズでは、管理インタフェース mgmt 0, cmp-mgmt 上で、アクセス・コントロール・リスト(以降 ACL)によるトラフィック・コントロールをサポートしていますが、ネットワーク・インタフェース(ラインカード上のインタフェース)を経由したコントロール・プレーンへのトラフィックについては、 ACL を用いたトラフィック・コントロールをサポートしておりません。
ここでは代替ソリューションとして、CoPP を用いたコントロール・プレーンへのトラフィック・コントロールについてご紹介させて頂きます。
この設定を開始する前に、次の要件が満たされていることを確認してください。
Nexus における telnet/ssh サービスの開始については、コンフィグレーション・ガイドをご参照ください。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメント内で使用されているデバイスは、すべてクリアな(デフォルト)設定で作業が開始されています。
対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を説明します。
注:このドキュメントで使用されているコマンドの詳細情報は、Command Lookup Tool(登録ユーザ専用)を使用してください。
このドキュメントでは、次の設定を使用します。
Step 1 - |
既存のアクセスリスト access-list copp-system-acl-telnet, copp-system-acl-ssh を編集し、ホスト192.168.1.1/24 からのみ telnet/ssh アクセスを許容するように変更します。 変更前:
変更後:
|
||||
Step 2 - |
Nexus7000で許容しない、他のホストからの telnet/ssh トラフィックを copp-system-acl-deny として追加で定義します(アクセスリスト名は任意です)。
作成したアクセスリストをもとに 拒否トラフィックを定義するクラスマップを作成します。(クラスマップ名は任意です)
|
||||
Step 3 - |
既存の CoPP として定義されている ポリシーマップ "copp-system-policy" へ Step2 で作成したクラスマップを "confirm drop violate drop" で適用します。
ICMP, TFTP, SNMP などのトラフィックについても、ACLを変更することで同様に制御することが可能です。 |