Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド

by user

on 28 марта 2017

Category: Documents

>> Downloads: 1

views

Report

Comments

Description

Download Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド

Transcript

Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド

Cisco ASR 9000 シリーズサービスルータ
の管理プレーン保護コマンド
ここでは、Cisco ASR 9000 シリーズアグリゲーションサービスルータで Management Plane
Protection（MPP; 管理プレーン保護）の設定に使用する Cisco IOS XR ソフトウェアコマンドについ
て説明します。
キーチェーン管理の概念、設定作業、および例の詳細については、『Cisco ASR 9000 Series
Aggregation Services Router System Security Configuration Guide』の「Cisco ASR 9000 シリーズサー
ビスルータ」モジュールで「Implementing Management Plane Protection」を参照してください。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-329
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
address ipv4 (MPP)
address ipv4 (MPP)
管理トラフィックがインターフェイス上で許可されるピア IPv4 アドレスを設定するには、インター
フェイスピアコンフィギュレーションモードで address ipv4 コマンドを使用します。以前このイン
ターフェイスに設定された IP アドレスを削除するには、このコマンドの no 形式を使用します。
address ipv4 {peer-ip-address | peer ip-address/length}
no address ipv4 {peer-ip-address | peer ip-address/length}
シンタックスの説明
peer-ip-address
このインターフェイス上で管理トラフィックが許可されるピア IPv4 アド
レス。実質的には、このアドレスは、設定済みインターフェイスで着信す
る管理トラフィックのソースアドレスです。
peer ip-address/length
ピア IPv4 アドレスのプレフィクス。
デフォルト
特定のピアが設定されていない場合は、すべてのピアが許可されます。
コマンドモード
インターフェイスピアコンフィギュレーション
コマンドの履歴
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
使用上のガイドライン
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
タスク ID
タスク ID
操作
system
読み取り、書き込み
例
次に、管理トラフィックにピア IPv4 アドレス 10.1.0.0 とプレフィクス 16 を設定する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# inband
RP/0/RSP0/CPU0:router(config-mpp-inband)# interface GigabitEthernet 0/1/1/1
RP/0/RSP0/CPU0:router(config-mpp-inband-GigabitEthernet0_1_1_1)# allow Telnet peer
RP/0/RSP0/CPU0:router(config-telnet-peer)# address ipv4 10.1.0.0/16
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-330
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
address ipv4 (MPP)
関連コマンド
コマンド
説明
address ipv6 (MPP)
このインターフェイス上で管理トラフィックが許可されるピア IPv6 アド
レスを設定します。
allow
インターフェイスを、特定またはすべてのプロトコルに対してすべてのピ
アアドレスを許可する帯域内または帯域外インターフェイスとして設定し
ます。
control-plane
inband
interface (MPP)
management-plane
out-of-band
コントロールプレーンを設定します。
show mgmt-plane
管理プレーンを表示します。
帯域内インターフェイスまたはプロトコルを設定します。
特定またはすべての帯域内または帯域外インターフェイスを設定します。
プロトコルを許可または不許可にする管理プレーン保護を設定します。
帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯
域外コンフィギュレーションモードを開始します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-331
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
address ipv6 (MPP)
address ipv6 (MPP)
管理トラフィックがインターフェイス上で許可されるピア IPv6 アドレスを設定するには、インター
フェイスピアコンフィギュレーションモードで address ipv6 コマンドを使用します。以前このイン
ターフェイスに設定された IP アドレスを削除するには、このコマンドの no 形式を使用します。
address ipv6 {peer-ip-address | peer ip-address/length}
no address ipv6 {peer-ip-address | peer ip-address/length}
シンタックスの説明
peer-ip-address
このインターフェイス上で管理トラフィックが許可されるピア IPv6 アド
レス。実質的には、このアドレスは、設定済みインターフェイスで着信す
る管理トラフィックのソースアドレスです。
peer ip-address/length
ピア IPv6 アドレスのプレフィクス。
デフォルト
特定のピアが設定されていない場合は、すべてのピアが許可されます。
コマンドモード
インターフェイスピアコンフィギュレーション
コマンドの履歴
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
使用上のガイドライン
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
タスク ID
タスク ID
操作
system
読み取り、書き込み
例
次に、管理トラフィックにピア IPv6 アドレス 33::33 を設定する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# out-of-band
RP/0/RSP0/CPU0:router(config-mpp-outband)# interface GigabitEthernet 0/1/1/2
RP/0/RSP0/CPU0:router(config-mpp-outband-GigabitEthernet0_1_1_2)# allow TFTP peer
RP/0/RSP0/CPU0:router(config-tftp-peer)# address ipv6 33::33
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-332
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
address ipv6 (MPP)
関連コマンド
コマンド
説明
address ipv4 (MPP)
このインターフェイス上で管理トラフィックが許可されるピア IPv4 アド
レスを設定します。
allow
インターフェイスを、特定またはすべてのプロトコルに対してすべてのピ
アアドレスを許可する帯域内または帯域外インターフェイスとして設定し
ます。
control-plane
inband
interface (MPP)
management-plane
out-of-band
コントロールプレーンを設定します。
show mgmt-plane
管理プレーンを表示します。
帯域内インターフェイスまたはプロトコルを設定します。
特定またはすべての帯域内または帯域外インターフェイスを設定します。
プロトコルを許可または不許可にする管理プレーン保護を設定します。
帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯
域外コンフィギュレーションモードを開始します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-333
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
allow
allow
インターフェイスを、特定またはすべてのプロトコルに対してすべてのピアアドレスを許可する帯域
内または帯域外インターフェイスとして設定するには、管理プレーン保護帯域内インターフェイスコ
ンフィギュレーションモードまたは管理プレーン保護帯域外インターフェイスコンフィギュレーショ
ンモードで allow コマンドを使用します。インターフェイス上でプロトコルを不許可にするには、こ
のコマンドの no 形式を使用します。
allow {protocol | all} [peer]
no allow {protocol | all} [peer]
シンタックスの説明
protocol
次に示す特定のプロトコルのトラフィックに対してピアフィルタリングを
許可するよう設定されたインターフェイス。
• HTTP（S）
• SNMP（バージョンも）
• セキュアシェル（v1 および v2）
• TFTP
• Telnet
all
peer
プロトコルのリストで指定されたすべての管理トラフィックに対してピア
フィルタリングを許可するインターフェイスを設定します。
（任意）インターフェイスのピアアドレスを設定します。ピアは、トラ
フィックがメインルータに到着する可能性があるネイバールータイン
ターフェイスを意味します。
デフォルト
デフォルトでは、管理プロトコルは管理インターフェイス以外のどのインターフェイス上でも許可され
ません。
コマンドモード
管理プレーン保護帯域内インターフェイスコンフィギュレーション
管理プレーン保護帯域外インターフェイスコンフィギュレーション
コマンドの履歴
使用上のガイドライン
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
インターフェイスに対して特定のプロトコルを許可すると、トラフィックはそのプロトコルに対してだ
け許可され、その他の管理トラフィックはすべてドロップされます。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-334
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
allow
インターフェイスを帯域内または帯域外として設定すると、指定したプロトコルのトラフィックまたは
すべてのプロトコルトラフィックがインターフェイス上で許可されます。帯域内または帯域外として
設定されていないインターフェイスは、プロトコルトラフィックをドロップします。
タスク ID
例
タスク ID
操作
system
読み取り、書き込み
次に、すべての帯域内インターフェイスに対してすべての管理プロトコルを設定する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# inband
RP/0/RSP0/CPU0:router(config-mpp-inband)# interface all
RP/0/RSP0/CPU0:router(config-mpp-inband-all)# allow all
次に、帯域外インターフェイスに TFTP プロトコルのピアフィルタリングを設定する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# out-of-band
RP/0/RSP0/CPU0:router(config-mpp-outband)# interface GigabitEthernet 0/1/1/2
RP/0/RSP0/CPU0:router(config-mpp-outband-GigabitEthernet0_1_1_2)# allow TFTP peer
RP/0/RSP0/CPU0:router(config-tftp-peer)#
関連コマンド
コマンド
説明
control-plane
inband
interface (MPP)
management-plane
out-of-band
コントロールプレーンを設定します。
show mgmt-plane
管理プレーンを表示します。
帯域内インターフェイスまたはプロトコルを設定します。
特定またはすべての帯域内または帯域外インターフェイスを設定します。
プロトコルを許可または不許可にする管理プレーン保護を設定します。
帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯
域外コンフィギュレーションモードを開始します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-335
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
control-plane
control-plane
コントロールプレーン保護コンフィギュレーションモードを開始するには、グローバルコンフィギュ
レーションモードで control-plane コマンドを使用します。コントロールプレーンモードでの設定を
すべてディセーブルにするには、このコマンドの no 形式を使用します。
control-plane
no control-plane
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作または値はありません。
コマンドモード
グローバルコンフィギュレーション
コマンドの履歴
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
使用上のガイドライン
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
コントロールプレーンコンフィギュレーションモードを開始するには、control-plane コマンドを使
用します。
タスク ID
例
タスク ID
操作
system
読み取り、書き込み
次に、control-plane コマンドを使用してコントロールプレーンコンフィギュレーションモードを開
始する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)#
関連コマンド
コマンド
説明
management-plane
プロトコルを許可または不許可にする管理プレーン保護を設定します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-336
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
inband
inband
帯域内インターフェイスを設定し、管理プレーン保護帯域内コンフィギュレーションモードを開始す
るには、管理プレーン保護コンフィギュレーションモードで inband コマンドを使用します。帯域内コ
ンフィギュレーションモードでの設定をすべてディセーブルにするには、このコマンドの no 形式を使
用します。
inband
no inband
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作または値はありません。
コマンドモード
管理プレーン保護コンフィギュレーション
コマンドの履歴
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
使用上のガイドライン
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
管理プレーン保護コンフィギュレーションモードを開始するには、inband コマンドを使用します。
タスク ID
例
タスク ID
操作
system
読み取り、書き込み
次に、inband コマンドを使用して管理プレーン保護帯域内コンフィギュレーションモードを開始する
例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# inband
RP/0/RSP0/CPU0:router(config-mpp-inband)#
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-337
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
inband
関連コマンド
コマンド
説明
control-plane
interface (MPP)
management-plane
out-of-band
コントロールプレーンを設定します。
show mgmt-plane
管理プレーンを表示します。
特定またはすべての帯域内または帯域外インターフェイスを設定します。
プロトコルを許可または不許可にする管理プレーン保護を設定します。
帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯
域外コンフィギュレーションモードを開始します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-338
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
interface (MPP)
interface (MPP)
特定またはすべてのインターフェイスを帯域内または帯域外インターフェイスとして設定するには、管
理プレーン保護帯域内コンフィギュレーションモードまたは管理プレーン保護帯域外コンフィギュ
レーションモードで interface コマンドを使用します。インターフェイスモードでの設定をすべて
ディセーブルにするには、このコマンドの no 形式を使用します。
interface {type instance | all}
no interface {type instance | all}
シンタックスの説明
type
インターフェイスのタイプ。詳細については、オンにインヘルプ機能の疑
問符（?）を使用してください。
instance
次の物理インターフェイスインスタンスまたは仮想インターフェイスイ
ンスタンスのいずれかです。
• 物理インターフェイスインスタンス。名前は rack/slot/module/port 形
式で表記します。各値の間には、表記の一部としてスラッシュが必要
です。
– rack：ラックのシャーシ番号。
– slot：モジュラサービスカードまたはラインカードの物理スロッ
ト番号。
– module：モジュール番号。Physical Layer Interface Module
（PLIM; 物理レイヤインターフェイスモジュール）は常に 0 です。
– port：インターフェイスの物理ポート番号。
（注）
ルートプロセッサカード上の管理イーサネットインターフェイス
を参照する場合、物理スロット番号は英数字（RSP0 など）、モ
ジュールは CPU0 です。たとえば、
MgmtEth 0/RSP0/CPU0/0 です。
• 仮想インターフェイスインスタンス。インターフェイスタイプによっ
て、番号の範囲は異なります。
ルータの構文の詳細については、オンラインヘルプ機能の疑問符（?）を
使用してください。
all
管理トラフィックを許可するよう、すべてのインターフェイスを設定しま
す。
デフォルト
デフォルトの動作または値はありません。
コマンドモード
管理プレーン保護帯域内コンフィギュレーション
管理プレーン保護帯域外コンフィギュレーション
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-339
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
interface (MPP)
コマンドの履歴
使用上のガイドライン
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
管理プレーン保護帯域内インターフェイスコンフィギュレーションモードまたは管理プレーン保護帯
域外インターフェイスコンフィギュレーションモードを開始するには、interface コマンドを使用しま
す。
instance 引数については、管理イーサネットインターフェイスを帯域内インターフェイスとして設定
できません。
タスク ID
例
タスク ID
操作
system
読み取り、書き込み
次に、MPP にすべての帯域内インターフェイスを設定する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# inband
RP/0/RSP0/CPU0:router(config-mpp-inband)# interface all
RP/0/RSP0/CPU0:router(config-mpp-inband-all)#
次に、MPP にすべての帯域外インターフェイスを設定する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# out-of-band
RP/0/RSP0/CPU0:router(config-mpp-outband)# interface all
RP/0/RSP0/CPU0:router(config-mpp-outband-all)#
関連コマンド
コマンド
説明
allow
インターフェイスを、特定またはすべてのプロトコルに対してすべてのピ
アアドレスを許可する帯域内または帯域外インターフェイスとして設定し
ます。
control-plane
inband
management-plane
out-of-band
コントロールプレーンを設定します。
show mgmt-plane
管理プレーンを表示します。
帯域内インターフェイスまたはプロトコルを設定します。
プロトコルを許可または不許可にする管理プレーン保護を設定します。
帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯
域外コンフィギュレーションモードを開始します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-340
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
management-plane
management-plane
プロトコルを許可または不許可にするよう管理プレーン保護を設定するには、コントロールプレーン
コンフィギュレーションモードで management-plane コマンドを使用します。管理プレーンモードで
の設定をすべてディセーブルにするには、このコマンドの no 形式を使用します。
management-plane
no management-plane
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作または値はありません。
コマンドモード
コントロールプレーンコンフィギュレーション
コマンドの履歴
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
使用上のガイドライン
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
管理プレーン保護コンフィギュレーションモードを開始するには、management-plane コマンドを使
用します。
タスク ID
例
タスク ID
操作
system
読み取り、書き込み
次に、management-plane コマンドを使用して管理プレーン保護コンフィギュレーションモードを開
始する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)#
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-341
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
management-plane
関連コマンド
コマンド
説明
control-plane
inband
out-of-band
コントロールプレーンを設定します。
帯域内インターフェイスまたはプロトコルを設定します。
帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯
域外コンフィギュレーションモードを開始します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-342
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
out-of-band
out-of-band
帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯域外コンフィギュレーション
モードを開始するには、管理プレーン保護コンフィギュレーションモードで out-of-band コマンドを
使用します。管理プレーン保護帯域外コンフィギュレーションモードでの設定をすべてディセーブル
にするには、このコマンドの no 形式を使用します。
out-of-band
no out-of-band
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの動作または値はありません。
コマンドモード
管理プレーン保護コンフィギュレーション
コマンドの履歴
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
使用上のガイドライン
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
管理プレーン保護帯域外コンフィギュレーションモードを開始するには、out-of-band コマンドを使用
します。
帯域外は、管理プロトコルトラフィックの転送または処理だけを許可するインターフェイスを意味し
ます。帯域外管理インターフェイスは、ネットワーク管理トラフィックだけを受信するようネットワー
クオペレータによって定義されます。これには、転送（またはカスタマー）トラフィックによって
ルータの管理が妨害されないという利点があります。
タスク ID
例
タスク ID
操作
system
読み取り、書き込み
次に、out-of-band コマンドを使用して管理プレーン保護帯域外コンフィギュレーションモードを開始
する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# out-of-band
RP/0/RSP0/CPU0:router(config-mpp-outband)#
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-343
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
out-of-band
関連コマンド
コマンド
説明
control-plane
inband
interface (MPP)
management-plane
show mgmt-plane
vrf (MPP)
コントロールプレーンを設定します。
帯域内インターフェイスまたはプロトコルを設定します。
特定またはすべての帯域内または帯域外インターフェイスを設定します。
プロトコルを許可または不許可にする管理プレーン保護を設定します。
管理プレーンを表示します。
帯域外インターフェイスの Virtual Private Network（VPN; バーチャルプ
ライベートネットワーク）Routing and Forwarding（VRF; VPN ルーティ
ングおよび転送）リファレンスを設定します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-344
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
show mgmt-plane
show mgmt-plane
インターフェイスのタイプやインターフェイス上でイネーブルにするプロトコルなど、管理プレーンに
関する情報を表示するには、EXEC モードで show mgmt-plane コマンドを使用します。
show mgmt-plane [inband | out-of-band] [interface {type instance} | vrf]
シンタックスの説明
inband
（任意）データ転送パケットだけでなく管理パケットも処理する帯域内管
理インターフェイスコンフィギュレーションを表示します。帯域内管理イ
ンターフェイスは、共有管理インターフェイスとも呼ばれています。
out-of-band
（任意）帯域外インターフェイスコンフィギュレーションを表示します。
帯域外インターフェイスは、ネットワーク管理トラフィックだけを受信す
るよう、ネットワークオペレータによって定義されます。
interface
（任意）指定されたインターフェイス上で許可されるすべてのプロトコル
を表示します。
type
インターフェイスのタイプ。詳細については、オンにインヘルプ機能の疑
問符（?）を使用してください。
instance
次の物理インターフェイスインスタンスまたは仮想インターフェイスイ
ンスタンスのいずれかです。
• 物理インターフェイスインスタンス。名前は rack/slot/module/port 形
式で表記します。各値の間には、表記の一部としてスラッシュが必要
です。
– rack：ラックのシャーシ番号。
– slot：モジュラサービスカードまたはラインカードの物理スロッ
ト番号。
– module：モジュール番号。物理レイヤインターフェイスモ
ジュール（PLIM）は常に 0 です。
– port：インターフェイスの物理ポート番号。
（注）
ルートプロセッサカード上の管理イーサネットインターフェイス
を参照する場合、物理スロット番号は英数字（RSP0 など）、モ
ジュールは CPU0 です。たとえば、
MgmtEth 0/RSP0/CPU0/0 です。
• 仮想インターフェイスインスタンス。インターフェイスタイプによっ
て、番号の範囲は異なります。
ルータの構文の詳細については、オンラインヘルプ機能の疑問符（?）を
使用してください。
vrf
（任意）帯域外インターフェイスのバーチャルプライベートネットワーク
（VPN）ルーティングおよび転送リファレンスを設定します。
デフォルト
デフォルトの動作または値はありません。
コマンドモード
EXEC
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-345
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
show mgmt-plane
コマンドの履歴
使用上のガイドライン
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
vrf キーワードは、帯域外 VRF コンフィギュレーションに対してだけ有効です。
タスク IDI
例
タスク ID
操作
system
読み取り
次のサンプル出力は、MPP で帯域内または帯域外インターフェイスとして設定されるすべてのイン
ターフェイスを示しています。
RR/0/RSP0/CPU0:router# show mgmt-plane
Management Plane Protection
inband interfaces
---------------------interface - GigabitEthernet0_1_1_0
ssh configured All peers allowed
telnet configured peer v4 allowed - 10.1.0.0/16
all configured All peers allowed
interface - GigabitEthernet0_1_1_1
telnet configured peer v4 allowed - 10.1.0.0/16
interface - all
all configured All peers allowed
outband interfaces
---------------------interface - GigabitEthernet0_1_1_2
tftp configured peer v6 allowed - 33::33
次のサンプル出力は、帯域外インターフェイスの Virtual Private Network (VPN) routing and
forwarding（VRF; バーチャルプライベートネットワーク（VPN）および転送）リファレンスを示し
ています。
RR/0/RSP0/CPU0:router# show mgmt-plane out-of-band vrf
Management Plane Protection out-of-band VRF - my_out_of_band
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-346
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
show mgmt-plane
関連コマンド
コマンド
説明
management-plane
プロトコルを許可または不許可にする管理プレーン保護を設定します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-347
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
vrf (MPP)
vrf (MPP)
帯域外インターフェイスのバーチャルプライベートネットワーク（VPN）および転送（VRF）リファ
レンスを設定するには、管理プレーン保護帯域外コンフィギュレーションモードで vrf コマンドを使
用します。VRF 名を使用する前に VRF 定義を削除するには、このコマンドの no 形式を使用します。
vrf vrf-name
no vrf vrf-name
シンタックスの説明
vrf-name
デフォルト
インターフェイスを帯域外として設定するには、VRF の概念を使用する必要があります。帯域外コン
フィギュレーションで VRF が設定されていない場合、インターフェイスはデフォルトの VRF になり
ます。
コマンドモード
管理プレーン保護帯域外コンフィギュレーション
コマンドの履歴
リリース
変更内容
リリース 3.7.2
このコマンドは Cisco ASR 9000 シリーズサービスルータに追加されまし
た。
使用上のガイドライン
VRF に割り当てられた名前。
このコマンドを使用するには、適切なタスク ID を含むタスクグループに関連付けられているユーザグ
ループに属している必要があります。ユーザグループの割り当てが原因でコマンドを使用できないと考
えられる場合、AAA 管理者に連絡してください。
VRF リファレンスが設定されていない場合は、デフォルト名の MPP_OUTBAND_VRF が使用されます。
VRF を参照する帯域外コンフィギュレーションがあり、その VRF が削除された場合は、すべての
MPP バインディングが削除されます。
タスク ID
例
タスク ID
操作
system
読み取り
次に、VRF を設定する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# vrf my_out_of_band
RP/0/RSP0/CPU0:router(config-vrf)# address-family ipv4 unicast
RP/0/RSP0/CPU0:router(config-vrf-af)# exit
RP/0/RSP0/CPU0:router(config-vrf)# address-family ipv6 unicast
RP/0/RSP0/CPU0:router(config-vrf-af)# commit
RP/0/RSP0/CPU0:router(config-vrf-af)# end
RR/0/RSP0/CPU0:router#
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-348
OL-17247-01-J
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
vrf (MPP)
次に、MMP の VRF 定義を設定する例を示します。
RR/0/RSP0/CPU0:router# configure
RP/0/RSP0/CPU0:router(config)# control-plane
RP/0/RSP0/CPU0:router(config-ctrl)# management-plane
RP/0/RSP0/CPU0:router(config-mpp)# out-of-band
RP/0/RSP0/CPU0:router(config-mpp-outband)# vrf my_out_of_band
関連コマンド
コマンド
説明
control-plane
interface (MPP)
management-plane
out-of-band
コントロールプレーンを設定します。
show mgmt-plane
管理プレーンを表示します。
特定またはすべての帯域内または帯域外インターフェイスを設定します。
プロトコルを許可または不許可にする管理プレーン保護を設定します。
帯域外インターフェイスまたはプロトコルを設定し、管理プレーン保護帯
域外コンフィギュレーションモードを開始します。
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
OL-17247-01-J
SR-349
Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド
vrf (MPP)
Cisco ASR 9000 シリーズアグリゲーションサービスルータシステムセキュリティコマンドリファレンス
SR-350
OL-17247-01-J

Cisco ASR 9000 シリーズ サービス ルータ の管理プレーン保護コマンド

Comments

Description

Transcript

Cisco ASR 9000 シリーズサービスルータの管理プレーン保護コマンド