【Cisco Systems】VRFとACLを併用したVTYへのアクセス

はじめに

この度、IOS及びIOS-XEが稼働する機器をご利用頂いているエンドユーザー様から、「基本的なセキュリティ向上のためにVTYポートへACLを設定したが、VRFインスタンスのIPへCLIの管理アクセスができなくなった」とのお問い合わせを頂きました。また、これまでに他のエンドユーザー様からも同様のお問い合わせを頂いておりましたので、今回の記事では、この詳細と留意すべき事項についてお送りさせて頂きます。

※予めホームページへの掲載許可を頂いた事例を基に記載しています。

変更前の汎用的なの設定例

IOS、IOS-XEへのリモートCLIアクセス（SSH、Telnet）は、以下のようなコンフィグレーションでアクセス元のアドレスをACLで制御可能です。
※10.0.0.0/24からのアクセスのみを許可する例

interface GigabitEthernet0/0/0
 ip address 10.0.0.1 255.255.255.0

ip access-list standard VTY
 permit 10.0.0.0 0.0.0.255

line vty 0 4
 access-class VTY in
 transport input ssh

VRFを使用しない（管理アクセスはグローバルルーティングテーブルのみ）の環境では、この設定で正常に意図した動作をします。

×VRFインスタンスからアクセスが不可となる例

それでは、実際に今回お問い合わせを頂いたエンドユーザー様から頂いた、以下のような変更後のコンフィグレーションを見てみましょう。

※設定値は実際の環境のものではなく、この記事の掲載に向けて改変しています。

interface GigabitEthernet0
 vrf forwarding Mgmt-vrf
 ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet0/0/0
 ip address 10.0.0.1 255.255.255.0

interface GigabitEthernet0/0/1
 vrf forwarding MGMT
 ip address 10.2.2.1 255.255.255.0

ip access-list standard VTY
 permit 10.0.0.0 0.0.0.255
 permit 10.1.1.0 0.0.0.255
 permit 10.2.2.0 0.0.0.255

line vty 0 4
 access-class VTY in
 transport input ssh

C9Kなどの管理専用インターフェース（GigabitEthernet0）が排他的に所属するVRF: Mgmt-vrfと、VRF: MGMTのインスタンスでも、追加したIPレンジ（10.1.1.0/24, 10.2.2.0/24）からのアクセスを許可したいご意向のようでした。しかし、この設定値ではグローバルルーティングテーブルは正常に動作するものの、他のVRFインスタンスでは接続が拒否されてしまっていました。

※さらに誤解を招くのが、この状態でもACLのパケットヒットは上昇します。

〇VRFインスタンスからアクセスが可能となる例

IOS、IOS-XEのデフォルトでは、すべてのVTY接続を受け入れる動作となっています。しかし、access-classを指定した場合、標準の動作は「グローバルルーティングテーブルのみ」を対象とする仕様となっています。

このため、VRFインスタンスからの接続を許可する構成においては、以下のようにaccess-classにvrf-alsoのキーワードを付与する必要があります。

interface GigabitEthernet0
 vrf forwarding Mgmt-vrf
 ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet0/0/0
 ip address 10.0.0.1 255.255.255.0

interface GigabitEthernet0/0/1
 vrf forwarding MGMT
 ip address 10.2.2.1 255.255.255.0

ip access-list standard VTY
 permit 10.0.0.0 0.0.0.255
 permit 10.1.1.0 0.0.0.255
 permit 10.2.2.0 0.0.0.255

line vty 0 4
 access-class VTY in vrf-also
 transport input ssh

これにより、グローバルルーティングテーブルを含めた全てのVRFインスタンスから、ACL条件に適合するIPレンジのVTYアクセスが有効となります。

※VRFインスタンス単位での許可ではなく、全インスタンスで一律に適用されます。インスタンス毎の制御は、VTYにacccess-classで適用するACLや、L3インターフェースへのACLなどで調整が必要となります。

まとめ

いかがだってしょうか。

今回の記事で取り上げさせて頂いたことと言えば、「VRFを使用する環境でVTYにACLを適用する場合、vrf-alsoを付与する」に尽きてしまいます。

しかし、VRFインスタンスを管理トラフィックに利用する場合においては、以前の記事でも紹介させて頂いたSNMPをはじめとして、時刻同期／名前解決／ライセンス認証など多くの要素も的確に設定する必要があります。

【Cisco Systems】SNMPのDoS脆弱性

🕒️2025年2月12日

はじめに2025年2月5日、IOS、IOS-XE、IOS-XRにおける、SNMPのDoSに関する複数の脆弱性が公表されました。今回の記事ではこの脆弱性の概要と今後の対処について、公開されている情報をもとにお送りさせて頂きます。脆弱性の概要この脆弱性はSNMPが有効となっているデバイスにおいて、攻撃者からDoS状態を引き起こされてしまう可能性が存在するものです。よって、SNMPが有効となっていない環境においては、影響を受けません。CVSSでのベーススコアは7.7、レートはHighとマークされているため、利用環境に応じて適切な措置を講じるべき事...

電新ネットワーク技術株式会社

特に、EoLを控えるC4500X/C3850/3650などのリプレイスと併せて、新たにVRFでのセグメンテーションを計画されるケースにおいて、関連する技術的要素を十分に認識していなければ、予期しないトラブルやセキュリティリスクが発生してしまう場合があります。今回のようなVRFに関連したお問い合わせについても、今後機会があれば取り上げたいと思います。

この記事が、ご覧いただいた皆様へ少しでもお役に立てば幸いです。

• ※この記事は筆者個人の見解によるものであり、各メーカー様や当社としての意見や見解を示すものではありません。
• ※この記事に含まれる情報については、その内容について当社として何らの保証をするものではありません。
• ※この記事に含まれる情報を利用したことに起因する、利用者又は第三者が被る直接的及び間接的損害に関して、当社はその責任を一切負いません。

• ← 前の記事に戻る
• 一覧に戻る
• 次の記事に進む →