###前提
HP5900AF comware-7系 の OS の L3スイッチを設定しています。
管理インターフェースへのアクセスを制限しようとしていますが、想定通りにいきません。
vpn-instance(VRF-lite)を使っているので、VRFごとに IPアドレスを付けています。(正確には、VLANインターフェースをVRFにバインドしており、VLANごとにIPアドレスを付けています)
参考にしたドキュメント
(PDF) HP Networking guide to hardening Comware-based devices
やりたいこと
管理インターフェースへのアクセスを、特定のインターフェースのIPアドレスでのみ許可して、HP5900AFが持っている他のアドレスでは拒否する。
###発生している問題・エラーメッセージ
ACLを作って、[マネジメントの物理インターフェース]と[vlanインターフェース]に適用しようとしたが適用できませんでした。
[HP-M-GigabitEthernet0/0/0]packet-filter name ACL-INFRASTRUCTURE-IN inbound Failed to apply or refresh ACL ACL-INFRASTRUCTURE-IN to the inbound direction of interface M-GigabitEthernet0/0/0. The ACL is not supported.
[HP-Vlan-interface18]packet-filter 3010 inbound Failed to apply ACL 3010 to the inbound direction of interface Vlan-interface18 on slot 1.
ちなみにディレクションを outbound にしてみても、やっぱりダメでした。
###該当のソースコード
acl number 3010 name ACL-INFRASTRUCTURE-IN description 'VTY Connection ACL' # M-Gi0/0/0 については、ソースIPを制限して明示的に ssh|snmp を許可する。 rule 1 permit tcp source 192.168.18.0 0.0.0.255 destination 192.168.18.173 0 destination-port eq 22 rule 2 permit tcp source 100.64.180.0 0.0.3.255 destination 192.168.18.173 0 destination-port eq 22 rule 3 permit udp source 100.64.180.0 0.0.3.255 destination 192.168.18.173 0 destination-port eq 161 # Lab-Mng(管理系vpn-instance)では DNS/NTP をサービスするので明示的に dns|ntp を許可する。 rule 101 permit tcp destination 100.71.254.126 0 destination-port eq 123 rule 102 permit udp destination 100.71.254.126 0 destination-port eq 123 rule 103 permit tcp destination 100.71.254.126 0 destination-port eq 53 rule 104 permit udp destination 100.71.254.126 0 destination-port eq 53 # ゲートウェイアドレスの icmp は明示的に許可する。 rule 201 permit icmp destination 192.168.18.7 0 rule 202 permit icmp source 192.168.18.7 0 rule 203 permit icmp destination 100.71.254.126 0 rule 204 permit icmp source 100.71.254.126 0 rule 205 permit icmp destination 100.71.0.254 0.0.255.0 rule 206 permit icmp source 100.71.0.254 0.0.255.0 # HP5900AFに付いたアドレスへの ssh を拒否する。 rule 1001 deny tcp destination 192.168.18.7 0 destination-port eq 22 rule 1002 deny udp destination 192.168.18.7 0 destination-port eq 161 rule 1003 deny tcp destination 100.71.254.126 0 destination-port eq 22 rule 1004 deny udp destination 100.71.254.126 0 destination-port eq 161 rule 1005 deny tcp destination 100.71.0.254 0.0.255.0 destination-port eq 22 rule 1006 deny tcp destination 100.71.0.254 0.0.255.0 destination-port eq 161 quit
回避策として
ssh server に ACL を適用することは出来たので、とりあえず最低限のsshの制限はかけることが出来ました。
telnet 無効、snmp 無効であればこれでも良いのですが、snmpを有効化した場合、どうするか、上記の ACL rule は入れられなさそうなので、ツラいなと。
###補足情報(言語/FW/ツール等のバージョンなど)
<HP>disp version HPE Comware Software, Version 7.1.045, Release 2432P01 Copyright (c) 2010-2017 Hewlett Packard Enterprise Development LP HPE 5900AF-48G-4XG-2QSFP+ Switch uptime is 2 weeks, 2 days, 4 hours, 53 minutes Last reboot reason : Cold reboot Boot image: flash:/5900_5920-cmw710-boot-r2432p01.bin Boot image version: 7.1.045, Release 2432P01 Compiled Jan 04 2017 16:00:00 System image: flash:/5900_5920-cmw710-system-r2432p01.bin System image version: 7.1.045, Release 2432P01 Compiled Jan 04 2017 16:00:00 Slot 1: Uptime is 2 weeks,2 days,4 hours,53 minutes 5900AF-48G-4XG-2QSFP+ Switch with 2 Processors BOARD TYPE: 5900AF-48G-4XG-2QSFP+ Switch DRAM: 2048M bytes FLASH: 512M bytes PCB 1 Version: VER.A Bootrom Version: 155 CPLD Version: 003 Release Version: HPE 5900AF-48G-4XG-2QSFP+ Switch-2432P01 Patch Version : None Reboot Cause : ColdReboot [SubSlot 0] 48GE+4SFP Plus+2QSFP Plus
回答1件
あなたの回答
tips
プレビュー