この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
イメージ検証機能を使用すると、Cisco IOS XE イメージとプロビジョニング ファイルの完全性を自動的に検証できます。そのため、ユーザは、イメージまたはプロビジョニング ファイルが偶発的な破壊から保護されていることを確認できます。破壊は、シスコによってファイルが作成される瞬間からユーザに届くまで、輸送中にいつでも起きる可能性があります。
イメージ検証は、任意のファイルに適用され実行されますが、ファイルがイメージ ファイルまたはプロビジョニング ファイルでない場合、イメージ検証は実行されず、「SIGNATURE-4-NOT_PRESENT」というエラーが表示されます。
 Note |
イメージ検証機能は、Cisco IOS XE デバイスに格納されている Cisco IOS XE ソフトウェア イメージまたはプロビジョニング ファイルの完全性を確認するためにだけに使用できます。リモート ファイル システム上のイメージや、メモリ内で実行されているイメージの完全性を確認するためは使用できません。 |
Note |
このドキュメントでは、Cisco IOS XE イメージに関する記述は、プロビジョニング ファイルにも適用されます。 |
転送エラーやディスク破壊の結果、偶発的にイメージやプロビジョニング ファイルの完全性が破壊される場合に、ルータが自動的に検出できるようになったため、Cisco IOS XE ルータの効率は向上しています。
実稼働イメージは、一連の転送を経てルータのメモリにコピーされるため、イメージの完全性が転送のたびに偶発的に破壊される危険があります。Cisco.com からイメージをダウンロードするとき、ユーザはダウンロードしたイメージに対してメッセージ ダイジェスト 5(MD5)ハッシュを実行し、Cisco.com で公開されている MD5 ダイジェストが、ユーザのサーバで計算した MD5 ダイジェストと同じであることを確認できます。しかし、MD5 ダイジェストが 128 ビット長であり、検証が手動であることから、多くのユーザは MD5 ダイジェストを実行しません。イメージ検証により、ユーザーは、ダウンロードしたすべてのイメージの完全性を自動的に検証できるため、ユーザーの操作が大幅に削減されます。
file verify auto コマンドを使用すると、イメージの検証がグローバルにイネーブルになります。つまり、コピー(copy コマンドを使用)またはリロード(reload コマンドを使用)されるすべてのイメージが自動的に検証されます。copy コマンドと reload コマンドには、イメージの検証をイネーブルにする /verify キーワードがありますが、イメージをコピーまたはリロードするたびにキーワードを指定する必要があります。file verify auto コマンドを使用すると、デフォルトでイメージの検証がイネーブルになるため、イメージ検証を何度も指定する必要がなくなります。
デフォルトでイメージ検証をイネーブルにし、特定のイメージのコピーまたはリロードで検証をディセーブルにする場合は、/noverify キーワードは、copy コマンドまたは reload コマンドを指定することで、file verify auto コマンドを上書きします。
自動的なイメージ検証をイネーブルにするには、ここに示す手順を実行します。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
file verify auto Example: |
自動的なイメージ検証をイネーブルにします。 |
|
Step 4 |
exit Example: |
グローバル コンフィギュレーション モードを終了します。 イメージをコピーまたはリロードする場合は、グローバル コンフィギュレーション モードを終了する必要があります。 |
file verify auto コマンドを実行した後は、/verify キーワードを copy または reload コマンドで発行する必要はなくなります。これは、コピーまたはリロードされる各イメージが自動的に検証されるためです。
copy コマンドを実行するとき、/verify キーワードを指定することで、コピーされるファイルの完全性を検証できます。完全性の確認に失敗した場合、コピーされたファイルは削除されます。コピーしようとしているファイルにハッシュが埋め込まれていない場合(古いイメージの場合)、コピー処理を続行するかどうかを質問されます。続行を選択すると、ファイルは正常にコピーされ、続行しないことを選択すると、コピーされたファイルが削除されます。
/verify キーワードを指定しないと、copy コマンドにより有効でないファイルがコピーされる可能性があります。そのため、copy コマンドを正常に実行した後、いつでも verify コマンドを実行して、ルータのストレージに格納されているファイルの完全性を確認できます。
ルータにコピーする前にイメージの完全性を確認するには、次の手順を実行します。
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
copy [/erase ] [/verify | /noverify ] source-url destination-url Example: |
コピー元からコピー先に任意のファイルをコピーします。
|
||
|
Step 3 |
verify [/md5 [md5-value ]] filesystem: file-url ] Example: |
(任意)デバイスのストレージに格納されているイメージの完全性を検証します。 |
reload コマンドを /verify キーワード付きで実行することにより、システムにロードしようとしているイメージの完全性が確認されます。/verify キーワードを指定した場合、システムがリブートを開始する前にイメージの検証が実行されます。そのため、検証に失敗すると、イメージはロードされません。
Note |
プラットフォームが異なれば、ロードするファイルの取得方法も異なるため、BOOTVAR で指定されたファイルが検証されます。ファイルが指定されていない場合、各サブシステム上の最初のファイルが検証されます。プラットフォームによっては、設定レジスタなどの変数があるため、検証されるファイルがロードされるファイルになるとは限りません。 |
ルータにリロードする前にイメージの完全性を確認するには、次の手順を実行します。
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
||
|
Step 2 |
reload [[warm ] [/verify | /noverify ] text | [warm ] [/verify | /noverify ] in [hh : mm [text ] | [warm ] [/verify | /noverify ] at hh : mm [month day | day month ] [text ] | [warm ] [/verify | /noverify ] cancel ] Example: |
オペレーティング システムをリロードします。
|
次に、自動的なイメージ検証をイネーブルにする例を示します。このコマンドをイネーブルにした後、コピー(copy コマンドを使用)またはリロード(reload コマンドを使用)されるすべてのイメージに対し、イメージ検証が自動的に実行されます。
Device(config)# file verify auto
次に、イメージをコピーする前にイメージ検証を指定する例を示します。
Device# copy /verify tftp://10.1.1.1/jdoe/c7200-js-mz disk0:
Destination filename [c7200-js-mz]?
Accessing tftp://10.1.1.1/jdoe/c7200-js-mz...
Loading jdoe/c7200-js-mz from 10.1.1.1 (via FastEthernet0/0):!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 19879944 bytes]
19879944 bytes copied in 108.632 secs (183003 bytes/sec)
Verifying file integrity of disk0:/c7200-js-mz ..................................................................................
..................................................................................
..................................................................................
.........................Done!
Embedded Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash MD5 :44A7B9BDDD9638128C35528466318183
Signature Verified
次に、デバイスにイメージをリロードする前にイメージ検証を指定する例を示します。
Device# reload /verify
Verifying file integrity of bootflash:c7200-kboot-mz.121-8a.E
%ERROR:Signature not found in file bootflash:c7200-kboot-mz.121-8a.E.
Signature not present. Proceed with verify? [confirm]
Verifying file disk0:c7200-js-mz ..........................................................................
............................................................Done!
Embedded Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash MD5 :44A7B9BDDD9638128C35528466318183
Signature Verified
Proceed with reload? [confirm]n
次に、verify コマンドでイメージ検証を指定する例を示します。
Device# verify disk0:c7200-js-mz
%Filesystem does not support verify operations
Verifying file integrity of disk0:c7200-js-mz.......................................
...............................................................................Done!
Embedded Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash MD5 :44A7B9BDDD9638128C35528466318183
Signature Verified
ここでは、イメージ検証機能に関する関連資料について説明します。
|
関連項目 |
マニュアル タイトル |
|---|---|
|
システム イメージのロード、メンテナンス、リブートに関する設定作業と情報 |
『Cisco ASR 1000 Series Aggregation Services Routers Software Configuration Guide』 |
|
システム イメージをロード、メンテナンス、リブートするためのその他のコマンド |
|
標準 |
タイトル |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
-- |
|
MIB |
MIB のリンク |
|---|---|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
|
RFC |
タイトル |
|---|---|
|
この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。 |
-- |
|
説明 |
リンク |
|---|---|
|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
イメージ検証 |
イメージ検証機能を使用すると、ユーザは Cisco IOS XE イメージの完全性を自動的に検証できます。 次のコマンドが導入または変更されました。copy 、file verify auto 、reload 、verify 。 |
フィードバック