Skip to content

Control and Data Plane Security

技術役割
CoPP (Control Plane Policing)制御プレーン保護
ACLトラフィック制御
TrustSecSGTベースのセグメンテーション
MACsec (802.1AE)L2ホップバイホップ暗号化
NGFWL7可視化/制御

MPP (Management Plane Protection)

管理プレーンへのアクセスを制限する機能。接続を許可するインターフェースとプロトコルを指定する。

設定目的コンフィグモードコマンド例
MPP設定cp-host configmanagement-interface <IF> allow {ssh|telnet|snmp|http|https|tftp}
(config)#control-plane host
(config-cp-host)#management-interface GigabitEthernet0/0 allow ssh snmp

CoPP (Control Plane Policing)

コントロールプレーンで処理するパケットの流入を制御する機能。ACL + QoSポリシングでDoS攻撃からコントロールプレーンを保護する。

CoPP実装手順

順序内容コンフィグモードコマンド例
ACLでパケット識別Global configaccess-list 150 permit tcp 172.16.10.0 0.0.0.255 any eq 22
クラスマップで分類Global configclass-map {match-all|match-any} <name>match access-group <ACL番号>
ポリシーマップでポリシングGlobal configpolicy-map <name>police <rate> conform-action transmit exceed-action drop
コントロールプレーンに適用cp configcontrol-planeservice-policy input <ポリシーマップ名>
! ① ACL
access-list 150 permit icmp 172.16.10.0 0.0.0.255 any

! ② Class-map
class-map match-all CMAP_ICMP
 match access-group 150

! ③ Policy-map
policy-map PMAP_ICMP
 class CMAP_ICMP
  police 9000 conform-action transmit exceed-action drop

! ④ Control Plane適用
control-plane
 service-policy input PMAP_ICMP

重要: service-policy の方向は input(受信パケット制御)が基本。適用するのはポリシーマップ名(PMAP_*)であり、クラスマップ名ではない。

重要: CoPPのACLでは permit がレート制限対象、deny はレート制限対象外。通常のACLとは意味が異なる。

重要: CoPPのACLにはプロトコル指定が必要なため、拡張ACL(100〜199, 2000〜2699)を使用する。標準ACL(1〜99)は不可。

重要: match-all は全条件のAND(全てに合致)、match-any は全条件のOR(いずれかに合致)。複数の match 文を指定した場合の評価ロジックが異なる。

CoPP確認コマンド

コマンド確認内容
show access-listsACL情報
show class-mapクラスマップ情報
show policy-mapポリシーマップ情報
show policy-map control-planeCoPP適用状態

重要: class-default はポリシーマップに自動的に存在するデフォルトクラス。他のクラスマップに一致しなかった全パケットを対象とする(match any 相当)。デフォルトの動作はtransmit(転送)で、ポリシングは適用されない。

SPAN / RSPAN / ERSPAN

スコープ方式
SPAN同一スイッチ内ミラーポート
RSPANVLAN経由で別スイッチVLAN拡張
ERSPANL3越えGREトンネル

TrustSec

  • SGT(Security Group Tag)でトラフィックを分類する仕組み
  • ユーザーやデバイスの役割に基づいてタグを付与
  • SGACL(Security Group ACL)でSGTベースのアクセス制御

MACsec (802.1AE)

  • L2暗号化、ホップバイホップ
  • TrustSecのタグ付きフレームを暗号化して保護
  • AWS Direct Connectでも使われる

TrustSec と MACsec の関係

  • TrustSec → トラフィックの分類(SGTタグ付け)
  • MACsec → そのタグ付きフレームの暗号化(保護)

NGFW (Next-Generation Firewall)

  • Cisco Firepower(現 Secure Firewall)
  • L7までの可視化、IPS統合、URLフィルタリング
  • FortiGateと同じ概念、Cisco語に変換するだけ