Nexus7000 シリーズにおける CoPP を用いたコントロールプレーンへのトラフィック（telnet / ssh）の制限方法

ダウンロードオプション

PDF (364.9 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (44.9 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (63.4 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2009 年 4 月 21 日

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

概要

このドキュメントでは、次の設定例について説明します。

Nexus7000 シリーズにおける CoPP を用いたコントロール・プレーンへのトラフィック (telnet/ssh) の制限方法について

前提条件

Nexus7000 シリーズでは、管理インタフェース mgmt 0, cmp-mgmt 上で、アクセス・コントロール・リスト（以降 ACL）によるトラフィック・コントロールをサポートしていますが、ネットワーク・インタフェース（ラインカード上のインタフェース）を経由したコントロール・プレーンへのトラフィックについては、 ACL を用いたトラフィック・コントロールをサポートしておりません。
ここでは代替ソリューションとして、CoPP を用いたコントロール・プレーンへのトラフィック・コントロールについてご紹介させて頂きます。

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

Nexus7000 シリーズにおいて、telnet/ssh フィーチャーが有効になっていること

Nexus における telnet/ssh サービスの開始については、コンフィグレーション・ガイドをご参照ください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

NX-OS 4.0 および 4.1 が Supervisor-1 上で動作する Nexus7000 シリーズ・スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメント内で使用されているデバイスは、すべてクリアな（デフォルト）設定で作業が開始されています。
対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。

Return to Top

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を説明します。

注：このドキュメントで使用されているコマンドの詳細情報は、Command Lookup Tool（登録ユーザ専用）を使用してください。

設定例

このドキュメントでは、次の設定を使用します。

ホスト 192.168.1.1/24 からのみ Nexus への telnet/ssh を許可し、他のホストからの telnet/ssh は許容しない

Step 1 -

既存のアクセスリスト access-list copp-system-acl-telnet, copp-system-acl-ssh を編集し、ホスト192.168.1.1/24 からのみ telnet/ssh アクセスを許容するように変更します。
これらの ACL は、クラスマップcopp-system-class-management で定義されており、デフォルトで通信が許可されています。

変更前：

Nexus7000

ip access-list copp-system-acl-telnet
  10 permit tcp any any eq telnet
  20 permit tcp any any eq 107
  30 permit tcp any eq telnet any
  40 permit tcp any eq 107 any
 
ip access-list copp-system-acl-ssh
  10 permit tcp any any eq 22
  20 permit tcp any eq 22 any

変更後：

Nexus7000
ip access-list copp-system-acl-telnet 10 permit tcp 192.168.1.1/24 any eq telnet 20 permit tcp 192.168.1.1/24 any eq 107 ip access-list copp-system-acl-ssh 10 permit tcp 192.168.1.1/24 any eq 22

Step 2 -

Nexus7000で許容しない、他のホストからの telnet/ssh トラフィックを copp-system-acl-deny として追加で定義します（アクセスリスト名は任意です）。

Nexus7000
ip access-list copp-system-acl-deny 10 permit tcp any any eq telnet 20 permit tcp any any eq 107 30 permit tcp any any eq 22

作成したアクセスリストをもとに拒否トラフィックを定義するクラスマップを作成します。（クラスマップ名は任意です）

Nexus7000
class-map type qos match-all copp-system-class-management-deny match access-group name copp-system-acl-deny

Step 3 -

既存の CoPP として定義されているポリシーマップ "copp-system-policy" へ Step2 で作成したクラスマップを "confirm drop violate drop" で適用します。
これにより、192.168.1.1/24 以外のホストからの Nexus7000 に対する telnet/ssh トラフィックが遮断されます。

Nexus7000

policy-map type control-plane copp-system-policy
  class copp-system-class-critical
    police cir 39600 kbps bc 250 ms conform transmit violate drop
  class copp-system-class-important
    police cir 1060 kbps bc 1000 ms conform transmit violate drop
  class copp-system-class-management
    police cir 10000 kbps bc 250 ms conform transmit violate drop
  class copp-system-class-normal
    police cir 680 kbps bc 250 ms conform transmit violate drop
  class copp-system-class-redirect
    police cir 280 kbps bc 250 ms conform transmit violate drop
  class copp-system-class-monitoring
    police cir 130 kbps bc 1000 ms conform transmit violate drop
  class copp-system-class-exception
    police cir 360 kbps bc 250 ms conform transmit violate drop
  class copp-system-class-undesirable
    police cir 32 kbps bc 250 ms conform drop violate drop
  class copp-system-class-management-deny
    police cir 100 kbps bc 250 ms conform drop violate drop        

  class class-dropdefault
    police cir 100 kbps bc 250 ms conform transmit violate drop

ICMP, TFTP, SNMP などのトラフィックについても、ACLを変更することで同様に制御することが可能です。

Return to Top

Nexus7000 シリーズにおける CoPP を用いたコントロール プレーンへのトラフィック（telnet / ssh）の制限方法

ダウンロード オプション