イメージ検証

イメージ検証機能を使用すると、Cisco IOS XE イメージとプロビジョニング ファイルの完全性を自動的に検証できます。そのため、ユーザは、イメージまたはプロビジョニング ファイルが偶発的な破壊から保護されていることを確認できます。破壊は、シスコによってファイルが作成される瞬間からユーザに届くまで、輸送中にいつでも起きる可能性があります。

イメージ検証の制約事項

イメージ検証は、任意のファイルに適用され実行されますが、ファイルがイメージ ファイルまたはプロビジョニング ファイルでない場合、イメージ検証は実行されず、「SIGNATURE-4-NOT_PRESENT」というエラーが表示されます。


Note


イメージ検証機能は、Cisco IOS XE デバイスに格納されている Cisco IOS XE ソフトウェア イメージまたはプロビジョニング ファイルの完全性を確認するためにだけに使用できます。リモート ファイル システム上のイメージや、メモリ内で実行されているイメージの完全性を確認するためは使用できません。


イメージ検証について


Note


このドキュメントでは、Cisco IOS XE イメージに関する記述は、プロビジョニング ファイルにも適用されます。


イメージ検証の利点

転送エラーやディスク破壊の結果、偶発的にイメージやプロビジョニング ファイルの完全性が破壊される場合に、ルータが自動的に検出できるようになったため、Cisco IOS XE ルータの効率は向上しています。

イメージ検証の動作

実稼働イメージは、一連の転送を経てルータのメモリにコピーされるため、イメージの完全性が転送のたびに偶発的に破壊される危険があります。Cisco.com からイメージをダウンロードするとき、ユーザはダウンロードしたイメージに対してメッセージ ダイジェスト 5(MD5)ハッシュを実行し、Cisco.com で公開されている MD5 ダイジェストが、ユーザのサーバで計算した MD5 ダイジェストと同じであることを確認できます。しかし、MD5 ダイジェストが 128 ビット長であり、検証が手動であることから、多くのユーザは MD5 ダイジェストを実行しません。イメージ検証により、ユーザーは、ダウンロードしたすべてのイメージの完全性を自動的に検証できるため、ユーザーの操作が大幅に削減されます。

イメージ検証の使用方法

イメージの完全性のグローバルな検証

file verify auto コマンドを使用すると、イメージの検証がグローバルにイネーブルになります。つまり、コピー(copy コマンドを使用)またはリロード(reload コマンドを使用)されるすべてのイメージが自動的に検証されます。copy コマンドと reload コマンドには、イメージの検証をイネーブルにする /verify キーワードがありますが、イメージをコピーまたはリロードするたびにキーワードを指定する必要があります。file verify auto コマンドを使用すると、デフォルトでイメージの検証がイネーブルになるため、イメージ検証を何度も指定する必要がなくなります。

デフォルトでイメージ検証をイネーブルにし、特定のイメージのコピーまたはリロードで検証をディセーブルにする場合は、/noverify キーワードは、copy コマンドまたは reload コマンドを指定することで、file verify auto コマンドを上書きします。

自動的なイメージ検証をイネーブルにするには、ここに示す手順を実行します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. file verify auto
  4. exit

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

file verify auto

Example:


Device(config)# file verify auto

自動的なイメージ検証をイネーブルにします。

Step 4

exit

Example:


Device(config)# exit

グローバル コンフィギュレーション モードを終了します。

イメージをコピーまたはリロードする場合は、グローバル コンフィギュレーション モードを終了する必要があります。

次の作業

file verify auto コマンドを実行した後は、/verify キーワードを copy または reload コマンドで発行する必要はなくなります。これは、コピーまたはリロードされる各イメージが自動的に検証されるためです。

コピーしようとしているイメージの完全性の検証

copy コマンドを実行するとき、/verify キーワードを指定することで、コピーされるファイルの完全性を検証できます。完全性の確認に失敗した場合、コピーされたファイルは削除されます。コピーしようとしているファイルにハッシュが埋め込まれていない場合(古いイメージの場合)、コピー処理を続行するかどうかを質問されます。続行を選択すると、ファイルは正常にコピーされ、続行しないことを選択すると、コピーされたファイルが削除されます。

/verify キーワードを指定しないと、copy コマンドにより有効でないファイルがコピーされる可能性があります。そのため、copy コマンドを正常に実行した後、いつでも verify コマンドを実行して、ルータのストレージに格納されているファイルの完全性を確認できます。

ルータにコピーする前にイメージの完全性を確認するには、次の手順を実行します。

SUMMARY STEPS

  1. enable
  2. copy [/erase ] [/verify | /noverify ] source-url destination-url
  3. verify [/md5 [md5-value ]] filesystem: file-url ]

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

copy [/erase ] [/verify | /noverify ] source-url destination-url

Example:


Device# copy /verify tftp://10.1.1.1/cat3k_caa-universalk9.SSA.16.1.0.EFT3-1.bin flash:

コピー元からコピー先に任意のファイルをコピーします。

  • /verify :コピー先のファイルのシグニチャを検証します。検証に失敗すると、ファイルは削除されます。

  • /noverify :イメージをコピーする前にコピー先ファイルのシグニチャを検証しません。

Note

 

/noverify は、多くの場合、file verify auto コマンドが有効になっており、コピーするすべてのイメージのシグニチャが自動的に検証される場合に使用されます。

Step 3

verify [/md5 [md5-value ]] filesystem: file-url ]

Example:


Device# flash: tftp://10.1.1.1/cat3k_caa-universalk9.SSA.16.1.0.EFT3-1.bin flash:

(任意)デバイスのストレージに格納されているイメージの完全性を検証します。

リロードしようとしているイメージの完全性の検証

reload コマンドを /verify キーワード付きで実行することにより、システムにロードしようとしているイメージの完全性が確認されます。/verify キーワードを指定した場合、システムがリブートを開始する前にイメージの検証が実行されます。そのため、検証に失敗すると、イメージはロードされません。


Note


プラットフォームが異なれば、ロードするファイルの取得方法も異なるため、BOOTVAR で指定されたファイルが検証されます。ファイルが指定されていない場合、各サブシステム上の最初のファイルが検証されます。プラットフォームによっては、設定レジスタなどの変数があるため、検証されるファイルがロードされるファイルになるとは限りません。


ルータにリロードする前にイメージの完全性を確認するには、次の手順を実行します。

SUMMARY STEPS

  1. enable
  2. reload [[warm ] [/verify | /noverify ] text | [warm ] [/verify | /noverify ] in [hh : mm [text ] | [warm ] [/verify | /noverify ] at hh : mm [month day | day month ] [text ] | [warm ] [/verify | /noverify ] cancel ]

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

reload [[warm ] [/verify | /noverify ] text | [warm ] [/verify | /noverify ] in [hh : mm [text ] | [warm ] [/verify | /noverify ] at hh : mm [month day | day month ] [text ] | [warm ] [/verify | /noverify ] cancel ]

Example:


Device# reload /verify 

オペレーティング システムをリロードします。

  • /verify :コピー先のファイルのシグニチャを検証します。検証に失敗すると、ファイルは削除されます。

  • /noverify :イメージをリロードする前にコピー先ファイルのシグニチャを検証しません。

Note

 

/noverify は、多くの場合、file verify auto コマンドが有効になっており、コピーするすべてのイメージのシグニチャが自動的に検証される場合に使用されます。

イメージ検証の設定例

グローバル イメージ検証の例

次に、自動的なイメージ検証をイネーブルにする例を示します。このコマンドをイネーブルにした後、コピー(copy コマンドを使用)またはリロード(reload コマンドを使用)されるすべてのイメージに対し、イメージ検証が自動的に実行されます。


Device(config)# file verify auto

copy コマンドを使用したイメージ検証の例

次に、イメージをコピーする前にイメージ検証を指定する例を示します。


Device# copy /verify tftp://10.1.1.1/jdoe/c7200-js-mz disk0:
Destination filename [c7200-js-mz]? 
Accessing tftp://10.1.1.1/jdoe/c7200-js-mz...
Loading jdoe/c7200-js-mz from 10.1.1.1 (via FastEthernet0/0):!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 19879944 bytes]
19879944 bytes copied in 108.632 secs (183003 bytes/sec)
Verifying file integrity of disk0:/c7200-js-mz  ..................................................................................
..................................................................................
..................................................................................
.........................Done!
Embedded Hash 		MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash    			MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash            			MD5 :44A7B9BDDD9638128C35528466318183
Signature Verified

reload コマンドを使用したイメージ検証の例

次に、デバイスにイメージをリロードする前にイメージ検証を指定する例を示します。


Device# reload /verify
Verifying file integrity of bootflash:c7200-kboot-mz.121-8a.E
%ERROR:Signature not found in file bootflash:c7200-kboot-mz.121-8a.E.
Signature not present. Proceed with verify? [confirm]
Verifying file disk0:c7200-js-mz ..........................................................................
............................................................Done!
Embedded Hash   		MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash   			MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash        		MD5 :44A7B9BDDD9638128C35528466318183
Signature Verified
Proceed with reload? [confirm]n

verify コマンドの出力例

次に、verify コマンドでイメージ検証を指定する例を示します。


Device# verify disk0:c7200-js-mz
%Filesystem does not support verify operations
Verifying file integrity of disk0:c7200-js-mz.......................................
...............................................................................Done!
Embedded Hash   		MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash   			MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash        		MD5 :44A7B9BDDD9638128C35528466318183

Signature Verified

その他の参考資料

ここでは、イメージ検証機能に関する関連資料について説明します。

関連資料

関連項目

マニュアル タイトル

システム イメージのロード、メンテナンス、リブートに関する設定作業と情報

『Cisco ASR 1000 Series Aggregation Services Routers Software Configuration Guide』

システム イメージをロード、メンテナンス、リブートするためのその他のコマンド

『Cisco IOS Master Command List, All Releases』

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

イメージ検証に関する機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. イメージ検証に関する機能情報

機能名

リリース

機能情報

イメージ検証

イメージ検証機能を使用すると、ユーザは Cisco IOS XE イメージの完全性を自動的に検証できます。

次のコマンドが導入または変更されました。copy file verify auto reload verify