API Guide

ManualsBrandsDell ManualsAccess PlatformsSmartFabric OS10 Documentation

Table Of Contents

ip ospf message-digest-key 2 md5 sample12345

...

［プロキシ ARP の無効化］

［論拠］：プロキシ ARP は、ネットワークに存在しないデバイスの MAC アドレスを取得するために、他のデバイスの代わりにネッ

トワークデバイスが使用する技術です。ネットワークデバイスが正しく構成されていないと、DoS 攻撃を受ける可能性がありま

す。

［構成］：

OS10(config)# interface interface-name

OS10(conf-if-eth1/1/1)# no ip proxy-arp

OS10(conf-if-eth1/1/1)# end

OS10# write memory

X.509v3 証明書

OS10 は、スイッチとホスト（RADIUS サーバーなど）との間の通信を保護するために、X.509v3 証明書をサポートします。スイッ

チとサーバーの両方が、認証局（CA）によって発行された署名済みの X.509v3 証明書の公開キーを交換して、相互に認証を行いま

す。認証局は、プライベートキーを使用してホスト証明書に署名します。

証明書の署名リクエストとプライベートキーの生成

［論拠］：ネットワーク内の OS10 スイッチでのセキュアな通信とユーザー認証のために X.509v3 証明書を使用する場合、認証局

（CA）による公開鍵基盤（PKI）が必要です。CA は、ネットワークデバイスの信頼性を証明する証明書に署名します。

［構成］：

● EXEC モードでプライベートキーと CSR を作成します。CSR ファイルをホームディレクトリーまたは

フラッシュ：

に保存しま

す。これにより、後で CA サーバーにコピーできるようになります。

キーパス

を指定して、ホームディレクトリーなどの安全

で永続的な場所に device.key ファイルを保存するか、

プライベート

オプションを使用して、ユーザーに表示されない内部ファ

イルシステムのプライベートな隠れた場所にキーファイルを保存します。

OS10# crypto cert generate request cert-file cert-path key-file {private | keypath}

country 2-letter code state state locality city organization organization-name orgunit

unit-name cname common-name email email-address validity days length length altname alt-

name]

○ request：CA にコピーする証明書の署名リクエストを作成します。

○ cert-file cert-path：（オプション）自己署名証明書または CSR が保存されているローカルパスを入力します。フル

パスまたは相対パスを入力できます。例：flash://certs/s4810-001-request.csr または usb://

s4810-001.crtcert-file オプションを入力しない場合、システムにより、証明書の署名リクエストの残りのフィール

ドを入力するように求められます。copy コマンドを使用して、CSR を CA にエクスポートします。

○ key-file {key-path | private}：ダウンロードした、またはローカルに生成されたプライベートキーが保存されて

いるローカルパスを入力します。キーがリモートサーバーにダウンロードされた場合は、HTTPS、SCP、SFTP などの安全

な方法でサーバーのパスを入力します。private を入力して、キーをローカルの隠れた場所に保存します。

○ country 2-letter-code：（オプション）国を識別する 2 文字のコードを入力します。

○ state state：都道府県の名前を入力します。

○ locality city：市町村の名前を入力します。

○ organization organization-name：組織の名前を入力します。

○ orgunit unit-name：ユニットの名前を入力します。

○ cname common-name：証明書に割り当てられた共通名を入力します。共通名は、デバイスを接続するために提示される主

要な ID です。デフォルトでは、スイッチのホスト名に共通名が使用されます。スイッチに、IP アドレスなどの別の共通名

を構成できます。common-name 値がデバイスの ID と一致しない場合、署名済み証明書は検証されません。

○ email email-address：組織との通信に使用する有効な E メールアドレスを入力します。

OS10 セキュリティのベストプラクティス 23