はじめに
NexusシリーズではCoPPはDefault有効になっていますが、
初期設定時に誤ってbasic configuration dialogモードに入ってしまった場合には、
手順を誤るとCoPPが無効のまま動作してしまいます。
本記事では初期設定時にCoPPが無効になってしまう手順を紹介します。
*本ドキュメントはN9K-C9372TXと7.0(3)I7(1)を用いて動作確認しています。
初期起動時
起動時には一度CoPPが有効にならずに立ち上がってきます。(パスワード設定前)
2018 Jun 21 05:50:27 %$ VDC-1 %$ %PLATFORM-2-FANMOD_FAN_OK: Fan module 1 (Fan1(sys_fan1) fan) ok
2018 Jun 21 05:50:27 %$ VDC-1 %$ %PLATFORM-2-FANMOD_FAN_OK: Fan module 2 (Fan2(sys_fan2) fan) ok
2018 Jun 21 05:50:27 %$ VDC-1 %$ %PLATFORM-2-FANMOD_FAN_OK: Fan module 3 (Fan3(sys_fan3) fan) ok
2018 Jun 21 05:50:27 %$ VDC-1 %$ %PLATFORM-2-FANMOD_FAN_OK: Fan module 4 (Fan4(sys_fan4) fan) ok
2018 Jun 21 05:50:31 %$ VDC-1 %$ netstack: Registration with cli server complete
2018 Jun 21 05:50:40 %$ VDC-1 %$ %USER-2-SYSTEM_MSG: ssnmgr_app_init called on ssnmgr up - aclmgr
2018 Jun 21 05:50:46 %$ VDC-1 %$ %USER-0-SYSTEM_MSG: end of default policer - copp
2018 Jun 21 05:50:46 %$ VDC-1 %$ %COPP-2-COPP_NO_POLICY: Control-plane is unprotected.
2018 Jun 21 05:50:48 %$ VDC-1 %$ %CARDCLIENT-2-FPGA_BOOT_PRIMARY: IOFPGA booted from Primary
2018 Jun 21 05:50:48 %$ VDC-1 %$ %CARDCLIENT-2-FPGA_BOOT_PRIMARY: MIFPGA booted from Primary
2018 Jun 21 05:50:49 %$ VDC-1 %$ %VDC_MGR-2-VDC_ONLINE: vdc 1 has come online
Waiting for system online status before starting POAP ...
CoPPが有効になる場合
パターン1:basic configuration dialogを利用しない場合
POAPを無効化し、パスワードの設定を求められた後に、
「Would you like to enter the basic configuration dialog (yes/no):」という質問に
Noと答えた場合にはCoPPがDefaultで有効となります。
2018 Jun 21 05:52:21 switch %$ VDC-1 %$ %ASCII-CFG-2-CONF_CONTROL: System ready
Done
Abort Auto Provisioning and continue with normal setup ?(yes/no)[n]: yes
Disabling POAP
---- System Admin Account Setup ----
Do you want to enforce secure password standard (yes/no) [y]: yes
Enter the password for "admin":
Confirm the password for "admin":
---- Basic System Configuration Dialog VDC: 1 ----
This setup utility will guide you through the basic configuration of
the system. Setup configures only enough connectivity for management
of the system.
Please register Cisco Nexus9000 Family devices promptly with your
supplier. Failure to register may affect response times for initial
service calls. Nexus9000 devices must be registered to receive
entitled support services.
Press Enter at anytime to skip a dialog. Use ctrl-c at anytime
to skip the remaining dialogs.
Would you like to enter the basic configuration dialog (yes/no): no
2018 Jun 21 05:53:08 switch %$ VDC-1 %$ %COPP-2-COPP_POLICY: Control-Plane is protected with policy copp-system-p-policy-strict.
User Access Verification
switch login:
Noと答えた場合にはCoPPが有効になった旨のログメッセージが表示され、
下記のようにshowコマンドでもCoPPが有効になっていることが確認できます。
switch# show copp status
Last Config Operation: copp profile strict
Last Config Operation Timestamp: 05:53:07 UTC Jun 21 2018
Last Config Operation Status: Success
Policy-map attached to the control-plane: copp-system-p-policy-strict
switch#
パターン2:basic configuration dialogを利用する場合
POAPを無効化し、パスワードの設定を求められた後に、
「Would you like to enter the basic configuration dialog (yes/no):」という質問に
Yesと答えた場合は下記のように質問形式で初期設定が実施されます。
Would you like to enter the basic configuration dialog (yes/no): yes
Create another login account (yes/no) [n]:
Configure read-only SNMP community string (yes/no) [n]:
Configure read-write SNMP community string (yes/no) [n]:
Enter the switch name :
Continue with Out-of-band (mgmt0) management configuration? (yes/no) [y]: no
Configure advanced IP options? (yes/no) [n]: no
Enable the telnet service? (yes/no) [n]: no
Enable the ssh service? (yes/no) [y]: no
Configure the ntp server? (yes/no) [n]: no
Configure default interface layer (L3/L2) [L2]:
Configure default switchport interface state (shut/noshut) [noshut]:
Configure CoPP system profile (strict/moderate/lenient/dense) [strict]:
The following configuration will be applied:
password strength-check
no feature telnet
no feature ssh
system default switchport
no system default switchport shutdown
copp profile strict
Would you like to edit the configuration? (yes/no) [n]: no
Use this configuration and save it? (yes/no) [y]: no
2018 Jun 21 06:04:54 switch %$ VDC-1 %$ %COPP-2-COPP_POLICY: Control-Plane is protected with policy copp-system-p-policy-strict.
このとき、最後まで順に設定をして「Use this configuration and save it?」の質問に回答した場合にはCoPPが設定されます。
(Yesを選んだ場合には選択したCoPP、Noを選んだ場合にはDefaultのstrict policyが設定されます。)
switch# show copp status
Last Config Operation: copp profile strict
Last Config Operation Timestamp: 06:04:54 UTC Jun 21 2018
Last Config Operation Status: Success
Policy-map attached to the control-plane: copp-system-p-policy-strict
switch#
CoPPが無効になる場合
誤ってbasic configuration dialogモードに入ってしまい、
Ctrl+Cで抜けるときに「Apply and save the config before exiting?」
という質問に対してNoと答えてしまった場合にはCoPPが設定されません。
Press Enter at anytime to skip a dialog. Use ctrl-c at anytime
to skip the remaining dialogs.
Would you like to enter the basic configuration dialog (yes/no):
Would you like to enter the basic configuration dialog (yes/no): yes
Create another login account (yes/no) [n]: ^C <- Ctrl+C
The current setup configuration is as follows:
no password strength-check
copp profile strict
Apply and save the config before exiting? (yes/no) [y]: no
User Access Verification
login: admin
Password:
showコマンドでも下記の通りCoPPが設定されていないことが分かります。
switch# show copp status
Last Config Operation: None
Last Config Operation Timestamp: None
Last Config Operation Status: None
Policy-map attached to the control-plane: None
switch#
そのため、誤ってbasic configuration dialogモードに入ってしまった場合には、
Ctrl+Cで抜けるときに「Apply and save the config before exiting? (yes/no)」
という選択肢ではYesを指定して下さい。(defaultの選択肢はYesになっています)
注意事項
CoPPは有効にしておくことが推奨されますので、
showコマンドでCoPPが有効になっているかは改めてご確認下さい。
その他のCoPPの制限事項や設定に関してはConfiguration guideをご参照下さい。
Cisco Nexus 9000 Series NX-OS Security Configuration Guide, Release 7.x
Configuring Control Plane Policing
