質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Cisco

シスコ(Cisco Systems,Inc.)は、アメリカ合衆国に本社を置く、世界最大のコンピュータネットワーク機器開発会社及び同社の製品

Q&A

解決済

1回答

3104閲覧

VTYへのアクセス制限

Oshiete-kun

総合スコア51

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Cisco

シスコ(Cisco Systems,Inc.)は、アメリカ合衆国に本社を置く、世界最大のコンピュータネットワーク機器開発会社及び同社の製品

0グッド

1クリップ

投稿2017/07/05 11:40

編集2017/07/07 02:20

###前提
HP5900AF comware-7系 の OS の L3スイッチを設定しています。
管理インターフェースへのアクセスを制限しようとしていますが、想定通りにいきません。
vpn-instance(VRF-lite)を使っているので、VRFごとに IPアドレスを付けています。(正確には、VLANインターフェースをVRFにバインドしており、VLANごとにIPアドレスを付けています)

参考にしたドキュメント
(PDF) HP Networking guide to hardening Comware-based devices

やりたいこと

管理インターフェースへのアクセスを、特定のインターフェースのIPアドレスでのみ許可して、HP5900AFが持っている他のアドレスでは拒否する。

###発生している問題・エラーメッセージ
ACLを作って、[マネジメントの物理インターフェース]と[vlanインターフェース]に適用しようとしたが適用できませんでした。

[HP-M-GigabitEthernet0/0/0]packet-filter name ACL-INFRASTRUCTURE-IN inbound Failed to apply or refresh ACL ACL-INFRASTRUCTURE-IN to the inbound direction of interface M-GigabitEthernet0/0/0. The ACL is not supported.
[HP-Vlan-interface18]packet-filter 3010 inbound Failed to apply ACL 3010 to the inbound direction of interface Vlan-interface18 on slot 1.

ちなみにディレクションを outbound にしてみても、やっぱりダメでした。

###該当のソースコード

acl number 3010 name ACL-INFRASTRUCTURE-IN description 'VTY Connection ACL' # M-Gi0/0/0 については、ソースIPを制限して明示的に ssh|snmp を許可する。 rule 1 permit tcp source 192.168.18.0 0.0.0.255 destination 192.168.18.173 0 destination-port eq 22 rule 2 permit tcp source 100.64.180.0 0.0.3.255 destination 192.168.18.173 0 destination-port eq 22 rule 3 permit udp source 100.64.180.0 0.0.3.255 destination 192.168.18.173 0 destination-port eq 161 # Lab-Mng(管理系vpn-instance)では DNS/NTP をサービスするので明示的に dns|ntp を許可する。 rule 101 permit tcp destination 100.71.254.126 0 destination-port eq 123 rule 102 permit udp destination 100.71.254.126 0 destination-port eq 123 rule 103 permit tcp destination 100.71.254.126 0 destination-port eq 53 rule 104 permit udp destination 100.71.254.126 0 destination-port eq 53 # ゲートウェイアドレスの icmp は明示的に許可する。 rule 201 permit icmp destination 192.168.18.7 0 rule 202 permit icmp source 192.168.18.7 0 rule 203 permit icmp destination 100.71.254.126 0 rule 204 permit icmp source 100.71.254.126 0 rule 205 permit icmp destination 100.71.0.254 0.0.255.0 rule 206 permit icmp source 100.71.0.254 0.0.255.0 # HP5900AFに付いたアドレスへの ssh を拒否する。 rule 1001 deny tcp destination 192.168.18.7 0 destination-port eq 22 rule 1002 deny udp destination 192.168.18.7 0 destination-port eq 161 rule 1003 deny tcp destination 100.71.254.126 0 destination-port eq 22 rule 1004 deny udp destination 100.71.254.126 0 destination-port eq 161 rule 1005 deny tcp destination 100.71.0.254 0.0.255.0 destination-port eq 22 rule 1006 deny tcp destination 100.71.0.254 0.0.255.0 destination-port eq 161 quit

回避策として

ssh server に ACL を適用することは出来たので、とりあえず最低限のsshの制限はかけることが出来ました。
telnet 無効、snmp 無効であればこれでも良いのですが、snmpを有効化した場合、どうするか、上記の ACL rule は入れられなさそうなので、ツラいなと。

###補足情報(言語/FW/ツール等のバージョンなど)

<HP>disp version HPE Comware Software, Version 7.1.045, Release 2432P01 Copyright (c) 2010-2017 Hewlett Packard Enterprise Development LP HPE 5900AF-48G-4XG-2QSFP+ Switch uptime is 2 weeks, 2 days, 4 hours, 53 minutes Last reboot reason : Cold reboot Boot image: flash:/5900_5920-cmw710-boot-r2432p01.bin Boot image version: 7.1.045, Release 2432P01 Compiled Jan 04 2017 16:00:00 System image: flash:/5900_5920-cmw710-system-r2432p01.bin System image version: 7.1.045, Release 2432P01 Compiled Jan 04 2017 16:00:00 Slot 1: Uptime is 2 weeks,2 days,4 hours,53 minutes 5900AF-48G-4XG-2QSFP+ Switch with 2 Processors BOARD TYPE: 5900AF-48G-4XG-2QSFP+ Switch DRAM: 2048M bytes FLASH: 512M bytes PCB 1 Version: VER.A Bootrom Version: 155 CPLD Version: 003 Release Version: HPE 5900AF-48G-4XG-2QSFP+ Switch-2432P01 Patch Version : None Reboot Cause : ColdReboot [SubSlot 0] 48GE+4SFP Plus+2QSFP Plus

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

HogeAnimalLover

2017/07/22 04:54

これはciscoでないネットワーク機器のようです。ちなみに、ciscoならばACLを定義してVTYにこのルールを適用するだけです。
Oshiete-kun

2017/07/22 06:19

そうですね(๑˃̵ᴗ˂̵)
Oshiete-kun

2017/07/24 01:58

HP5900AF と記載しており disp ver の結果も記載しております。Ciscoについてはネットワーク機器でタグが存在しなかったため Cisco タグを付けました。Cisco機器の具体的なケースを教えていただいても残念ながら参考にはなりませんでした。
guest

回答1

0

自己解決

Comware 7 以降で VTY に ACL を掛けるコマンドは廃止されたとのことでした。
https://support.hpe.com/hpsc/doc/public/display?docId=mmr_sf-EN_US000005606&docLocale=en_US

したがって、自分が質問で記載した [回避方法] ssh server に ACL を適用するというのが正解だったようです。

Resolution This command has been removed from the Comware V7 and there is an alternate command introduced in V7 as below. Ex2: For telnet: [device]telnet server acl 2000 For SSH: [device]ssh server acl 2000

投稿2018/05/28 09:55

Oshiete-kun

総合スコア51

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問