Skip to content

Cisco CML

Cisco CML 2.8.1 リリース

Cisco CML 2.8.1 がリリースされていました。 既存環境からのアップグレード手順は CML 2.7.2 へアップグレードする にまとめてあります。

最近の CML は主に以下の 3 要素から構成されています。 Cisco SD-WAN を利用しないのであれば必ずしも Supplemental Reference Platform は必要ありません。 今回の 2.8.1 リリースタイミングでは Supplemental Reference Platform の更新はありませんが、Reference Platform は更新されています。 但し、Reference Platform の変更点は「TRex イメージの差し替え」のみです。 もし TRex イメージを利用していないのであれば、Reference Platform を更新する必要はありません。

今回の更新 項目 説明
有り CML 本体 -
有り Reference Platform TRex イメージのみ、更新されている
- Supplemental Reference Platform 変更無し

CML でノードライセンスを超過した場合のエラー

以前に CML でノードライセンスを消費するノード・消費しないノード というメモを書きました。 CML は「同時に起動出来るノード数」は「インストールされているノードライセンス数」で決定されます。 これはあくまで「同時起動数」であり、起動しなければ無制限にノードを配置出来ます。 ライセンスがインストールされていない場合の挙動はバージョンによって異なります。

バージョン ライセンス未インストール時の挙動
2.8.0 未満 ノードは 1 台も起動出来ない (サードパーティノードであっても起動出来ない)
2.8.0 以降 ノードは 5 台まで起動出来る (6 台以上起動するとエラーになる)

ノードライセンスを超過した場合、Web UI では以下のようなエラーが表示されます。

file

今回は API アクセスしている場合のエラーをメモしておきます。 API アクセスには Python + virl2-client を用います。

CML 上のノードを virl2-client (pyATS) で操作する

pyats を使うことでネットワーク機器の操作を自動化することが出来ます。 CML 上に作成したラボであれば virl2_client を使うことで pyATS 用の testbed 用意などを簡略化しつつ、簡単にノードの操作を自動化することが出来ます。 但し、実際に virl2_client から pyats の機能を呼び出すには少しコツがあるようです。 今回は CML 上のノードを pyats 経由で操作するスクリプトの「問題があるバージョン」「修正したバージョン」をメモしておきます。

CML 2.7.2 へアップグレードする

Cisco CML 2.7.2 がリリースされていたので、Cisco CML のバージョンアップ手順をメモしておきます。 今回は「2.7.1 → 2.7.2」へのバージョン変更です。 正式な手順は公式サイトの Upgrading to New Version に記載されています。

尚、今回は「Reference Platform の追加」については説明しません。 公式サイトの Copy Refplat ISO to Disk に詳細が書かれていますが、Reference Platform に含まれるイメージを追加したい場合は Cockpit 上から操作を行う必要があります。

Ubuntu 24.04LTS 上で CML 用の VyOS 1.5 系イメージを作成する

以前に以下のメモを書きました。

VyOS は Get VyOS から VyOS nightly builds 版をダウンロード出来、現時点ではバージョン 1.5 系 (circinus) が公開されています。 ですが、公開されているのは .iso ファイルだけであり .qcow2 ファイルはリリースされていません。 そこで今回は CML 上で利用出来る VyOS の .qcow2 イメージを作成します。 尚、後述する理由から「cloud-init は無効」のイメージを作成します。

CML の Reference Platform が要求するスペック (20240322-supplemental / 20240623-fcs 版)

Cisco CML で動作させるノードのイメージファイルは Reference Platform として提供されています。 現時点では下記の 2 種類、リリースされています。

ファイル名 収録しているイメージ
refplat-20240322-supplemental.iso Cisco Catalyst SD-WAN 関連のイメージのみを収録
refplat-20240623-fcs.iso SD-WAN 以外の Cisco 製品とサードパーティ製イメージ

これらに含まれる各イメージがデフォルトで要求する CPU / メモリリソースを一覧にまとめておきます。

ASAv の CiscoSSH スタック有効 / 無効時で CVE-2024-6387 の影響有無を確認する

通称「regreSSHion」こと CVE-2024-6387 ですが、Remote Unauthenticated Code Execution Vulnerability in OpenSSH Server (regreSSHion): July 2024 には ASA の修正バージョンは以下と記載されています。

  • 9.18.4.34
  • 9.20.3 (Aug 2023)

CSCwk62296 - Address SSP OpenSSH regreSSHion vulnerability には以下の記載があります。

Conditions:

Please not that not all past software releases are affected, this is due to the fact that OpenSSH is either not in use or included in a version that is not affected by this CVE.

For ASA:

  • releases up to 9.16 (included) are NOT affected
  • releases 9.17 and 9.18 are affected, only if CiscoSSH is configured on the ASA. By default, CiscoSSH is not configured.

For FTD:

  • releases up to 7.0.6 (included) are NOT affected

今回は「ASAv の CiscoSSH スタック有効時 / 無効時」各々で CVE-2024-6387 の影響有無を確認してみます。