Appearance
Control and Data Plane Security
| 技術 | 役割 |
|---|---|
| CoPP (Control Plane Policing) | 制御プレーン保護 |
| ACL | トラフィック制御 |
| TrustSec | SGTベースのセグメンテーション |
| MACsec (802.1AE) | L2ホップバイホップ暗号化 |
| NGFW | L7可視化/制御 |
MPP (Management Plane Protection)
管理プレーンへのアクセスを制限する機能。接続を許可するインターフェースとプロトコルを指定する。
| 設定目的 | コンフィグモード | コマンド例 |
|---|---|---|
| MPP設定 | cp-host config | management-interface <IF> allow {ssh|telnet|snmp|http|https|tftp} |
(config)#control-plane host
(config-cp-host)#management-interface GigabitEthernet0/0 allow ssh snmpCoPP (Control Plane Policing)
コントロールプレーンで処理するパケットの流入を制御する機能。ACL + QoSポリシングでDoS攻撃からコントロールプレーンを保護する。
CoPP実装手順
| 順序 | 内容 | コンフィグモード | コマンド例 |
|---|---|---|---|
| ① | ACLでパケット識別 | Global config | access-list 150 permit tcp 172.16.10.0 0.0.0.255 any eq 22 |
| ② | クラスマップで分類 | Global config | class-map {match-all|match-any} <name> → match access-group <ACL番号> |
| ③ | ポリシーマップでポリシング | Global config | policy-map <name> → police <rate> conform-action transmit exceed-action drop |
| ④ | コントロールプレーンに適用 | cp config | control-plane → service-policy input <ポリシーマップ名> |
! ① ACL
access-list 150 permit icmp 172.16.10.0 0.0.0.255 any
! ② Class-map
class-map match-all CMAP_ICMP
match access-group 150
! ③ Policy-map
policy-map PMAP_ICMP
class CMAP_ICMP
police 9000 conform-action transmit exceed-action drop
! ④ Control Plane適用
control-plane
service-policy input PMAP_ICMP重要: service-policy の方向は input(受信パケット制御)が基本。適用するのはポリシーマップ名(PMAP_*)であり、クラスマップ名ではない。
重要: CoPPのACLでは permit がレート制限対象、deny はレート制限対象外。通常のACLとは意味が異なる。
重要: CoPPのACLにはプロトコル指定が必要なため、拡張ACL(100〜199, 2000〜2699)を使用する。標準ACL(1〜99)は不可。
重要: match-all は全条件のAND(全てに合致)、match-any は全条件のOR(いずれかに合致)。複数の match 文を指定した場合の評価ロジックが異なる。
CoPP確認コマンド
| コマンド | 確認内容 |
|---|---|
show access-lists | ACL情報 |
show class-map | クラスマップ情報 |
show policy-map | ポリシーマップ情報 |
show policy-map control-plane | CoPP適用状態 |
重要: class-default はポリシーマップに自動的に存在するデフォルトクラス。他のクラスマップに一致しなかった全パケットを対象とする(match any 相当)。デフォルトの動作はtransmit(転送)で、ポリシングは適用されない。
SPAN / RSPAN / ERSPAN
| スコープ | 方式 | |
|---|---|---|
| SPAN | 同一スイッチ内 | ミラーポート |
| RSPAN | VLAN経由で別スイッチ | VLAN拡張 |
| ERSPAN | L3越え | GREトンネル |
TrustSec
- SGT(Security Group Tag)でトラフィックを分類する仕組み
- ユーザーやデバイスの役割に基づいてタグを付与
- SGACL(Security Group ACL)でSGTベースのアクセス制御
MACsec (802.1AE)
- L2暗号化、ホップバイホップ
- TrustSecのタグ付きフレームを暗号化して保護
- AWS Direct Connectでも使われる
TrustSec と MACsec の関係
- TrustSec → トラフィックの分類(SGTタグ付け)
- MACsec → そのタグ付きフレームの暗号化(保護)
NGFW (Next-Generation Firewall)
- Cisco Firepower(現 Secure Firewall)
- L7までの可視化、IPS統合、URLフィルタリング
- FortiGateと同じ概念、Cisco語に変換するだけ