API Guide

ManualsBrandsDell ManualsAccess PlatformsSmartFabric OS10 Documentation

Table Of Contents

Dell EMC SmartFabric OS10 セキュリティベス

トプラクティスガイド

2021 年 5 月

月 2021 年

Rev. A05

Summary of content (36 pages)

PAGE 1
Dell EMC SmartFabric OS10 セキュリティベストプラクティスガイド 2021 年 5 月 5 月 2021 年 Rev.
PAGE 2
メモ、注意、警告メモ: 製品を使いやすくするための重要な情報を説明しています。注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 ©2020 年～2021 年 Dell Inc.またはその関連会社。All rights reserved.（不許複製・禁無断転載）Dell、EMC、およびその他の商標は、Dell Inc.
PAGE 3
目次章 1: OS10 セキュリティのベストプラクティス................................................................................... 4 最初の起動時........................................................................................................................................................................ 4 パスワードルール...............................................................................................................................................................5 Federal Information Processing Standards（FIPS）...
PAGE 4
1 OS10 セキュリティのベストプラクティスこのドキュメントでは、Dell EMC SmartFabric OS10 を実行するスイッチを保護するための推奨事項をまとめています。詳細な構成については、『Dell EMC SmartFabric OS10 ユーザーガイド』を参照してください。 Dell EMC のドキュメントは、https://www.dell.com/support/で入手できます。［適用性］このドキュメントに記載されている推奨事項は、Dell EMC SmartFabric OS10.5.x.
PAGE 5
［論拠］：ユーザーに Linux シェルへのアクセスを許可しない場合は、linuxadmin アカウントを無効にします。［構成］： OS10(config)# system-user linuxadmin disable OS10(config)# exit OS10# write memory ［Linux コマンドへのアクセスの無効化］［論拠］：linuxadmin ユーザーを無効化した場合でも、ユーザーは system コマンドを使用して Linux コマンドにアクセスできます。Linux コマンドへのアクセスを完全に無効にするには、system-cli コマンドを使用します。［構成］： OS10(config)# system-cli disable OS10(config)# exit OS10# write memory ［使用していないインターフェイスの無効化］［論拠］：不正ユーザーがフロントエンドインターフェイス上のネットワークに接続できないようにするには、使用していないインターフェイスを無効にします。［構成］： OS10(config)# interface range
PAGE 6
デフォルトでは、強力なパスワードのチェックはシステムで有効化されており、no service simple-password コマンドは実行中の構成で黙示的になっています。強力なパスワードのチェックを有効にしているかどうかを確認するには、次のコマンドを使用します。 OS10(config)# do show running-configuration | grep simple service simple-password ［強力なパスワードの強制］［論拠］：デフォルトでは、構成するパスワードは 9 文字以上の英数字と特殊文字を含んでいる必要があります。さらにパスワードの強度を上げるには、異なる文字の組み合わせを使用し、パスワードを長くするようユーザーに強制します。［構成］： OS10(config)# password-attributes {[min-length number] [character-restriction {[upper number] [lower number][numeric number] [special-char number]}} OS10(config)#
PAGE 7
システムで FIPS が有効になっているかどうかを確認するには、次のコマンドを使用します。 OS10# show fips status FIPS mode: Disabled セキュアブートの有効化と構成 OS10 セキュアブートにより、OS10 イメージの信頼性と整合性を検証するためのメカニズムが提供されます。セキュアブートでは、起動プロセス中に悪意のあるコードが読み込まれて実行されないようにシステムを保護します。セキュアブート機能を使用して、インストール中およびいつでもオンデマンドで OS10 イメージを検証します。［セキュアブートの有効化］［論拠］：セキュアブート機能を有効にすると、侵害されたカーネルとシステムバイナリーが起動操作中にロードされるのを防ぐことができます。［構成］： OS10(config)# secure-boot enable OS10(config)# exit OS10# write memory ［スタートアップ構成ファイルの保護］［論拠］：スタートアップ構成ファイルを保護することで、現在のスタートアップ設定ファイルの保護されたコピーを内部
PAGE 8
メモ: セキュアブートが有効になっている場合は、image secure-install コマンドを使用した場合にのみ、OS10 のアップグレードを行うことができます。［ONIE OS 手動インストール前の OS10 イメージの検証］［論拠］：セキュアブートが有効になっていて、ONIE を使用して OS10 イメージを手動でインストールする場合は、PKI または SHA256 を使用してイメージを検証できます。［構成］： OS10# onie-nos-install image_url pki signature_filepath certificate_filepath または OS10# onie-nos-install image_url sha256 signature_filepath ［セキュアブートの有効化とファイルの整合性ステータスのチェック］次のコマンドを使用して、セキュアブート操作のステータスとファイルの整合性ステータスをチェックします。 OS10# show secure-boot status Last boot was via secure boot : yes
PAGE 9
secadmin：パスワードの強度、AAA 認証、暗号形式キーなどのセキュリティポリシーとシステムアクセスを設定する、構成コマンドへのフルアクセスが可能です。セキュリティ管理者は、暗号形式キー、ログイン統計情報、ログ情報などのセキュリティ情報を表示できます。￭ netadmin：ルート、インターフェイス、ACL など、スイッチ経由のトラフィックの流れを管理する構成コマンドへのフルアクセスが可能です。ネットワーク管理者は、セキュリティ機能の構成コマンドにアクセスすることも、セキュリティ情報を表示することもできません。￭ netoperator：現在の構成を表示するために EXEC モードにアクセスします。ネットワークオペレーターは、スイッチの構成設定を変更することはできません。 ○ priv-lvl privilege-level：権限レベルを 0～15 の範囲で入力します。￭レベル 0：ユーザーに最低限の権限を与え、基本的なコマンドへのアクセスを制限します。￭レベル 1：一連の show コマンドや、ping、traceroute などの特定の操作へのアクセスを提供します。￭
PAGE 10
［論拠］：MAC アドレス学習制限の方式を使用すると、インターフェイス上で許可される MAC アドレスの上限値を設定できます。 MAC アドレスを制限することで、スイッチを MAC アドレスフラッディング攻撃から保護します。インターフェイス上で構成された制限に達すると、デフォルトでは、システムは不明なデバイスからのすべてのトラフィックをドロップします。インターフェイスでポートセキュリティを有効にした後、インターフェイスは、デフォルトで 1 個のセキュア MAC アドレスを学習できます。この制限は、セキュアダイナミック MAC アドレスとセキュアスタティック MAC アドレスの両方に適用されます。［構成］： 1. CONFIGURATION モードでシステムのポートセキュリティを有効にします。 OS10(config)# switchport port-security 2.
PAGE 11
［スティッキー MAC アドレスの構成］［論拠］：システムを再ロードすると、ポートセキュリティは動的に学習したセキュア MAC アドレスを削除します。スティッキー機能を使用して、動的に学習したセキュア MAC アドレスをシステムの再起動後も保持できます。これにより、インターフェイスがこれらの MAC アドレスを再び学習する必要がなくなります。［構成］： INTERFACE PORT SECURITY モードで、次のコマンドを入力します。 sticky メモ: スティッキー MAC アドレスの学習を有効にする前に、インターフェイスが mac-learn limit コマンドを使用して学習できる MAC アドレスの数を制限するようにしてください。［スティッキー MAC アドレスの構成例］ OS10# configure terminal OS10(config)#interface ethernet 1/1/1 OS10(config-if-eth1/1/1)#switchport port-security OS10(config-if-port-sec)#no disable OS10(con
PAGE 12
● MAC 移動違反時に、MAC アドレスを学習した元のインターフェイスをシャットダウンするには、shutdown-original オプションを使用します。 OS10(config-if-port-sec)#mac-move violation shutdown-original ● 別のインターフェイスによってすでに学習されている MAC アドレスを検出したインターフェイスをシャットダウンするには、shutdown-offending オプションを使用します。 OS10(config-if-port-sec)#mac-move violation shutdown-offending ● 元のインターフェイスと、問題のあるインターフェイスの両方をシャットダウンするには、 shutdown-both オプションを使用します。 OS10(config-if-port-sec)#mac-move violation shutdown-both ［有効かつ実行中のポートセキュリティ機能の確認］すべてのインターフェイスでポートセキュリティが有効になっているかどうかを確認するには、次のコマンドを使用
PAGE 13
［フォールバックオプションを使用した AAA ログイン認証の有効化］［論拠］：フォールバックオプションを使用した AAA 認証の構成により、認証時に耐久性が提供されます。1 つの方法で障害が発生した場合、システムは他の認証方法を使用します。［構成］： OS10(config)# aaa authentication login {console | default} {local | group radius | group tacacs+} OS10(config)# exit OS10# write memory ● console：コンソールログインの認証方法を構成します。 ● default：SSH および Telnet ログインの認証方法を構成します。 ● local：username password role コマンドで構成されたローカルユーザー名、パスワード、役割エントリーを使用します。 ● group radius：radius-server host コマンドで構成された RADIUS サーバーを使用します。 ● group tacacs+：tacacs-server h
PAGE 14
［AAA 再認証または有効モードの有効化］［論拠］：ユーザーがリソースにアクセスできないようにしたり、ユーザーが実行できないタスクを実行したり、認証方法またはサーバーの変更時にログによるユーザーの再認証を要求したりすることができます。［構成］： OS10(config)# aaa re-authenticate enable ［RADIUS 認証の構成］［論拠］：従来の RADIUS ベースのユーザー認証は UDP を介して実行され、安全な通信のために MD5 メッセージダイジェストアルゴリズムが使用されます。RADIUS ユーザー認証交換のセキュリティを強化するため、RFC 6614 では、トランスポートレイヤーセキュリティ（TLS）プロトコルを使用して RADIUS を定義します。RADIUS over TLS は、認証交換全体を TLS 接続で保護し、セキュリティを強化します。［構成］： OS10(config)# radius-server host {hostname | ip-address} tls security-profile profile-name [auth
PAGE 15
● authentication-key：（オプション）サーバー上のスイッチを認証するために使用する認証キーを入力します。最大 42 文字です。デフォルトは radius_secure です。［TACACS+認証応答タイマーの構成］［論拠］：TACACS+サーバーからの認証応答を待機するために使用するグローバルタイムアウトを構成します。待機時間が長くなるのを防ぐため、小さい値を構成します。［構成］： OS10(config)# tacacs-server timeout seconds OS10(config)# exit OS10# write memory seconds：TACACS+サーバーからの認証応答を待機するために使用されるタイムアウト時間を、1～1000 秒の範囲で入力します。［RBAC 構成の表示］システムで構成された RBAC を表示するには、次のコマンドを使用します。 OS10# show running-configuration aaa aaa authentication login default group radius local aaa authentic
PAGE 16
［コンカレントログインセッションの制限］［論拠］：同じユーザー ID で 1 台のスイッチ上のアクティブセッション数が無制限にならないようにするため、コンソールとリモート接続の数を制限します。［構成］： OS10(config)# login concurrent-session limit-number OS10(config)# exit OS10# write memory limit-number：任意のユーザーがコンソールまたは仮想端末の回線で使用できるコンカレントセッションの数を指定します（1 ～12）。［ユーザーのロックアウトの確認］［論拠］：指定された回数のログイン試行が失敗した後に、ユーザーが特定の時間にわたってシステムにログインできないようにシステムを構成します。［構成］： OS10(config)# password-attributes max-retry number lockout-period minutes OS10(config)# exit OS10# write memory ● max-retry number：（オプション）ユーザーがロック
PAGE 17
OS10(config)# exit OS10# write memory SNMP ルール Simple Network Management Protocol（SNMP）へのアクセス制限により、SNMP を使用する際のデバイスのセキュリティが向上します。［特定の SNMP コミュニティーへの読み取り/書き込みアクセスの禁止］［論拠］：単一または複数の SNMP コミュニティーへの読み取り/書き込みアクセスを禁止して、不正なエンティティーがデバイスをリモートで操作できないようにします。［構成］： OS10(config)# no snmp-server community community_string {ro | rw} OS10(config)# exit OS10# write memory ［ACL なしの SNMP へのアクセスを禁止］［論拠］：ACL が構成されていない場合、有効な SNMP コミュニティー文字列を持つユーザーは誰でもシステムにアクセスでき、不要な変更を加える可能性があります。信頼できるステーションの許可されたグループのみがシステムへの SNMP アクセスを
PAGE 18
○ group-name：グループの名前を入力します。最大 32 文字の英数字です。 ○ v3 security-level：SNMPv3 では、オプションで SNMP メッセージのユーザー認証と暗号化を行うことができます。 snmp-server user コマンドで構成します。 ○ security-level：（SNMPv3 のみ）SNMPv3 ユーザーのセキュリティレベルを構成します。￭ auth：SNMP メッセージでユーザーを認証します。￭ noauth：ユーザーの認証や SNMP メッセージの暗号化を行いません。メッセージをプレーンテキストで送信します。￭ priv：ユーザーの認証、SNMP メッセージの暗号化または復号化を行います。 ○ access acl-name（オプション）IPv4 または IPv6 アクセスリストの名前を入力して、スイッチで受信した SNMP リクエストをフィルタリングします。最大 16 文字です。 ○ read view-name：（オプション）読み取り専用ビューの名前を入力します。最大 32 文字です。 ○ write view-name：（オプショ
PAGE 19
ログルールログを使用して、エラーや情報の通知、セキュリティ監査、ネットワークフォレンジックを行うことができます。［コンソールでのログの有効化］［論拠］：コンソールへのログ記録を有効にし、ログメッセージがシステムパフォーマンスに影響しないように、重大度を「重要」に制限します。［構成］： OS10(config)# logging console enable OS10(config)# logging console severity log-crit OS10(config)# exit OS10# write memory ［TLS 経由での Syslog サーバーへのログの有効化］［論拠］：Syslog サーバーへのログを有効にし、TLS で接続を保護します。［構成］： OS10(config)# logging server {hostname | ipv4–address | ipv6–address} tls [port-number] [severity severity-level] [vrf {management | vrf-name] OS10(config)# e
PAGE 20
NTP ルール Network Time Protocol（NTP）は、分散タイムサーバーとクライアントのセットでの計時を同期し、大規模で多様なネットワーク内での時間分布を調整します。NTP クライアントは、正確に時間を測定する NTP サーバーと同期します。［信頼できる NTP サーバーの構成］［論拠］：信頼できる NTP サーバーと時間を同期するようにシステムを構成します。［構成］： OS10(config)# ntp server ntp1-server-ip-address OS10(config)# exit OS10# write memory ntp1-server-ip-address：NTP サーバーの IPv4 アドレスを A.B.C.
PAGE 21
［構成］： OS10(config)# interface loopback 0 OS10(config)# exit OS10# write memory ［複数のループバックインターフェイスの削除］［論拠］：複数のループバックインターフェイスが構成されていないことを確認します。［構成］： OS10(config)# no interface loopback loopback-instance OS10(config)# exit OS10# write memory ［AAA サービスのループバックインターフェイスへのバインド］［論拠］：AAA サービスはループバックインターフェイスにバインドされるため、AAA サービスが中断されることはありません。［構成］： OS10(config)# ip tacacs source-interface loopback 0 OS10(config)# exit OS10# write memory ［NTP サービスのループバックインターフェイスへのバインド］［論拠］：NTP サービスはループバックインターフェイスにバインドされるため、AAA
PAGE 22
［構成］： OS10(config)# ip access-list deny-private-external OS10(config-ipv4-acl)# deny ip source-ip-address mask any log OS10(config-ipv4-acl)# end OS10# write memory ［アウトバウンドトラフィックでの外部ソースアドレスの禁止］［論拠］：アウトバウンドトラフィックが、組織の IP アドレス範囲の有効な内部アドレスのみを使用していることを確認します。［構成］： OS10(config)# ip access-list deny-source-external OS10(config-ipv4-acl)# permit ip internal-ip-address mask any OS10(config-ipv4-acl)# exit OS10(config)# interface ethernet 1/1/1 OS10(conf-if-eth1/1/1)# ip access-group deny-source-external in OS1
PAGE 23
ip ospf message-digest-key 2 md5 sample12345 ... ［プロキシ ARP の無効化］［論拠］：プロキシ ARP は、ネットワークに存在しないデバイスの MAC アドレスを取得するために、他のデバイスの代わりにネットワークデバイスが使用する技術です。ネットワークデバイスが正しく構成されていないと、DoS 攻撃を受ける可能性があります。［構成］： OS10(config)# interface interface-name OS10(conf-if-eth1/1/1)# no ip proxy-arp OS10(conf-if-eth1/1/1)# end OS10# write memory X.509v3 証明書 OS10 は、スイッチとホスト（RADIUS サーバーなど）との間の通信を保護するために、X.509v3 証明書をサポートします。スイッチとサーバーの両方が、認証局（CA）によって発行された署名済みの X.
PAGE 24
○ validity days：証明書の有効日数を入力します。CSR には有効性は関係ありません。自己署名証明書の場合、デフォルトは 3650 日または 10 年です。 ○ length bit-length：キーワードの長さのビット値を入力します。FIPS モードでは、値の範囲は 2048～4096 です。非 FIPS モードでは、値の範囲は 1024～4096 です。FIPS モードと非 FIPS モードのデフォルトキーの長さは 2048 ビットです。 FIPS モードのキーの長さの最小値は 2048 ビットです。非 FIPS モードのキーの長さの最小値は 1024 ビットです。 ○ altname altname：組織の代替名を入力します。例えば、altname IP:192.168.1.100 などの IP アドレスを使用できます。 ● CSR を CA サーバーにコピーします。 OS10# copy home://DellHost.pem scp:///file-path/DellHost.
PAGE 25
Not After : Jul 22 19:11:19 2028 GMT Subject: C = US, ST = California, L = Santa Clara, O = Dell EMC, OU = Networking, CN = Dell_host1_CA1 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:e7:81:4b:4a:12:8d:ce:88:e6:73:3f:da:19:03: c6:56:01:19:b2:02:61:3f:5b:1e:33:28:a1:ed:e3: 85:bc:56:fb:18:d5:16:2e:a0:e7:3a:f9:34:b4:df: 37:97:93:a9:b9:94:b2:9f:69:af:fa:31:77:68:06: 89:7b:6d:fc:91:14:4a:c8:7b:23:93:f5:44:5a:0a: 3f:ce:9b:af:a6:9b:49:29:fd:fd:cb:34:40:c4:02: 30:9
PAGE 26
State or Province Name (full name) [Some-State]:California Locality Name (eg, city) []:San Francisco Organization Name (eg, company) []:Starfleet Command Organizational Unit Name (eg, section) []:NCC-1701A Common Name (eg, YOUR name) [hostname]:S4148-001 Email Address []:scotty@starfleet.com 2.
PAGE 27
53:52:0c:4d:05:ed:31:23:79:44:5c:d7:62:01:9d: 41:e8:ff:3a:b0:35:0c:22:d7:ef:df:05:9a:28:6b: 95:10:8e:bc:c6:62:3a:82:30:0f:4f:4e:19:17:48: f1:bd:1e:0c:4f:54:03:42:f3:a7:de:22:40:3d:5e: 6b:b2:8e:23:17:53:ef:10:d9:ae:1d:1f:d6:e4:ae: 25:9f:d9:39:60:5c:49:b0:ad Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: DA:39:A3:EE:5E:6B:4B:0D:32:55:BF:EF:95:60:18:90:AF:D8:07:09 X509v3 Subject Alternative Name: DNS:dell.domain.
PAGE 28
Processing file ... issuer=C=US,O=Network Solutions L.L.C.,CN=Network Solutions Certificate Authority.0.crl.pem lastUpdate=Jul 7 04:15:08 2019 GMT nextUpdate=Jul 11 04:15:08 2019 GMT OS10# show crypto crl -------------------------------------| Manually installed CRLs | -------------------------------------Network_Solutions_Certificate_Authority.0.crl.
PAGE 29
● CONFIGURATION モードでアプリケーション固有のセキュリティプロファイルを作成します。 OS10(config)# crypto security-profile profile-name ● 証明書とプライベートキーのペアを SECURITY-PROFILE モードでセキュリティプロファイルに割り当てます。 certificate-name には、show crypto certs 出力に表示される証明書キーペアの名前を.
PAGE 30
［論拠］：ユーザーは強力で複雑なパスワードを使用してデバイスに安全にアクセスすることができますが、ユーザーはパスワードを書き留めたり、安全でない場所に保管したりする傾向があります。SSH にスマートカードを使用すると、セキュリティが強化され、ユーザーは複雑なパスワードを記憶する必要がなくなります。 OS10 SSH サーバーにより、パスワードありとなしの 2 種類の形式で X.509v3 スマートカード認証がサポートされます。パスワードを使用して X.509v3 認証を使用する場合、RADIUS または TACACS+認証を使用したリモート認証とともに、X.509v3 認証を使用できます。［パスワードを使用したリモートユーザー認証］ X.509v3 SSH 認証、および RADIUS または TACACS+を使用したリモート認証を行うようにスイッチを構成する場合、SSH を使用して接続すると、次のシーケンスが発生します。 1. システムまたはキーボードのカードリーダースロットに、CAC または PIV スマートカードを挿入します。 2. RFC 6187 X.
PAGE 31
2. RFC 6187 X.509v3 互換 SSH クライアントアプリケーションを起動して、認証をスマートカードまたは CAC に設定し、OS10 スイッチへの接続を確立します。 3. SSH クライアントアプリケーションは、スイッチへの初期接続を確立し、X.509v3 認証をネゴシエートして、OS10 スイッチ X.509v3 証明書を検証します。 4. SSH クライアントアプリケーションによって、CAC または PIV カードから必要な認証証明書を選択するよう促されます。 5. SSH クライアントアプリケーションによって、CAC または PIV カードの PIN の入力を求めるプロンプトが表示されます。 6. SSH クライアントアプリケーションにより、X.509v3 証明書を使用して認証リクエストが送信されます。 7. OS10 SSH サーバーは、公開証明書を検証します。これには、信頼できるチェーン、有効な日付範囲、使用状況フィールドの検証が含まれます。フィールドのいずれかが無効な場合、認証は失敗します。 8.
PAGE 32
● 証明書が構成されていないユーザーのために、プレーンパスワード認証を有効のままにしておきます。 ip ssh server password-authentication ● ユーザーが SSH 公開キーのパスワードレス認証を代わりに使用する必要がある場合は、プレーン公開キー認証を有効のままにしておいてください。 ip ssh server pubkey-authentication ● ユーザーの X.509v3 証明書の詳細を構成して、SSH サーバーがユーザーの証明書をアカウントと照合できるようにします。 username username certificate subject “x509v3-subject-string” or username username certificate principal-name user-principal-name-string or username username certificate fingerprint fingerprint-value フルスイッチモードの OS10 10.4.3.
PAGE 33
［スイッチ B：］ Switch-B# show switch-operating-mode 8713-ToR-2# Switch-Operating-Mode : Full Switch Mode 3. VLT が収束していることを確認します。［スイッチ A：］ Switch-A# show vlt 255 Domain ID : 255 Unit ID : 1 Role : primary Version : 2.
PAGE 34
● validity days ：証明書の有効日数を入力します。自己署名証明書の場合、デフォルトは 3650 日です。 ● length bit-length ：キーワードの長さのビット値を入力します。FIPS モードでは、値の範囲は 2048～4096 です。非 FIPS モードでは、値の範囲は 1024～4096 です。FIPS モードと非 FIPS モードのデフォルトキーの長さは 2048 ビットです。 FIPS モードのキーの長さの最小値は 2048 ビットです。非 FIPS モードのキーの長さの最小値は 1024 ビットです。 ● altname altname ：組織の代替名を入力します。例えば、altname IP:192.168.1.100 などの IP アドレスを使用できます。 5.
PAGE 35
［スイッチ A：］ Switch-A(config-sec-profile)# certificate dell ［スイッチ B：］ Switch-B(config-sec-profile)# certificate dell 12. クラスターのセキュリティプロファイルを作成します。［スイッチ A：］ Switch-A(config)# cluster security-profile DELL123 ［スイッチ B：］ Switch-A(config)# cluster security-profile DELL123 13.（リリース 10.4.3.x を実行している場合のみ）両方のデバイス上の/config/certs/ディレクトリーに store フォルダーを作成します。 Switch-A# system "sudo mkdir /config/certs/store" Switch-B# system "sudo mkdir /config/certs/store" 14.
PAGE 36
Local System MAC address : 20:04:0f:21:9a:00 Role priority : 32768 VLT MAC address : 20:04:0f:21:9a:00 IP address : fda5:74c8:b79e:1::2 Delay-Restore timer : 90 seconds Peer-Routing : Disabled Peer-Routing-Timeout timer : 0 seconds VLTi Link Status port-channel1000 : up VLT Peer Unit ID System MAC Address Status IP Address Version ---------------------------------------------------------------------------------1 20:04:0f:20:86:00 up fda5:74c8:b79e:1::1 2.