ルーティングエンジンの保護

ルーティングエンジン保護機能は、ルーティングエンジンが信頼できるシステムからのトラフィックのみを受け入れることを確実にします。この機能を有効にすると、ステートレスファイアウォールフィルターが作成され、指定された信頼できる送信元からのものを除き、ルーティングエンジン宛てのすべてのトラフィックを破棄します。ルーティングエンジンを保護するには、ルーターの lo0 インターフェイス上で受信トラフィックをフィルタリングする必要があります。ジュニパースイッチでこの機能を有効にすることが、ベストプラクティスとして推奨されます。

ルーティングエンジンの保護を設定する

ルーティングエンジン保護が有効になっている場合、デフォルトでは、Mistが次のサービス(設定されている場合)がスイッチと通信できることを確認します。 BGP、BFD、NTP、DNS、SNMP、TACACS、RADIUS、およびMistクラウド接続。

スイッチへのアクセス元のICMPまたはSSHを追加で設定する場合は、[Trusted Services]で有効にすることができます。ICMPとSSHを有効にすると、これらのプロトコルがすべてのネットワークに開かれることに注意してください。

スイッチへのアクセス元として一般的に使用されるIPネットワークを設定する場合は、[信頼済みネットワーク]で設定できます。ネットワーク全体からスイッチにアクセスする場合は、このオプションを使用します。

スイッチにアクセスしたい他のカスタムサービス(IP、ポート、プロトコルの特定の組み合わせ)がある場合は、信頼できるIP/ポート/プロトコルで設定できます。このオプションでは、特定のポートとプロトコルを使用してスイッチにアクセスできます。

ルーティングエンジンの保護は、組織レベル(組織>スイッチテンプレート)、サイトレベル(サイト > スイッチ設定)、およびスイッチレベル(スイッチ>スイッチ名)で設定できます。

以下の手順は、スイッチレベルでルーティングエンジンの保護を設定する手順を示しています。

スイッチレベルでルーティングエンジンの保護を設定するには:

[スイッチ>switch name(Switches )] をクリックして、スイッチの詳細ページに移動します。
[Management](管理)セクションの[PROTECTION OF ROUTING ENGINE](ルーティングエンジンの保護)タイルまで下にスクロールします。
[サイト/テンプレート設定の上書き(Override Site/Template Settings)] チェックボックスをオンにします。
「有効」チェック・ボックスを選択します。

ルーティングエンジンの保護が有効になっている場合、Mistは自動的に設定を解析し、エンドホスト(BGPネイバー、DNS/NTP/TACACS/RADIUSサーバー、SNMPクライアントなど)がスイッチと通信できるようにします。スイッチが通信するIPまたはIPサブネットを追加する場合は、次の手順で説明するように、[信頼できるネットワーク]セクションにそれらのネットワークを追加します。
スイッチが通信するIPまたはIPサブネットを追加するには、[Trusted Networks]フィールドにIPアドレスをカンマ区切り形式で入力します。
スイッチが SSH および ICMP サービスに応答するようにするには、ssh および icmp のチェックボックスを選択します。
スイッチをカスタムサービス(IP、ポート、プロトコルの特定の組み合わせ)に応答させる場合は、以下の手順に従います。
1. [Add IP/Protocol/Port] をクリックします。
  [Add Trusted IP/Protocol/Port](信頼できるIP/プロトコル/ポートの追加)ウィンドウが表示されます。
2. [信頼できるIP/プロトコル/ポートの追加(Add Trusted IP/Protocol/Port)] ウィンドウで、[IP アドレス(IP アドレス)]、[プロトコル(Protocol)]、および適用可能なポート範囲を指定します。
3. [追加] をクリックします。
設定を保存します。

設定コマンド(CLI)