インストール後の構成
このセクションでは、インストール後に行う必要があるセキュリティ構成の変更について説明します。 通常、構成を変更するときにOracle Private Cloud Applianceのセキュリティ状態を弱めることはできません。
ハードウェアの保護
Oracle Private Cloud Applianceのインストール後、ハードウェアへのアクセスを制限し、シリアル番号を記録することによってハードウェアをセキュリティ保護します。
アクセスを制限する措置として、次のことをお薦めします。
-
Oracle Private Cloud Applianceおよび関連する機器をロックされたアクセス制限のある部屋に取り付けます。
-
ラック内のコンポーネントでサービスが必要でない場合は、ラックのドアに鍵を掛けます。
-
コンポーネントは簡単に取り外せるように設計されているため、ホット・プラグ可能またはホット・スワップ可能なデバイスへのアクセスを制限します。
-
予備の現場交換可能ユニット(FRU)または顧客交換可能ユニット(CRU)は鍵の掛かったキャビネットに保管します。 鍵の掛かったキャビネットへは、認可された人のみがアクセスできるように制限します。
-
SSHリスナー・ポートを管理ネットワークおよびプライベート・ネットワークに制限します。 SSHプロトコル2 (SSH-2)およびFIPS 140-2承認暗号を使用します。
-
SSHが許可される認証メカニズムを制限します。 本質的にセキュアでない方法は無効化されます。
-
すべての主要なコンピュータ・ハードウェア・アイテム(FRUなど)にラベルを付けます。
-
ハードウェアのアクティベーション・キーとライセンスは、システム緊急時にシステム・マネージャが簡単に取り出せる安全な場所に保管します。
アプライアンスのシリアル番号の取得
Oracle Private Cloud Applianceには、アプライアンスをエンティティ全体として識別するシリアル番号があります。 Oracle Support Servicesを操作する場合は、アプライアンスのシリアル番号が必要になることがあります。
ラックにはシリアル番号のラベルが付いています。 シリアル番号ラベルは、ラックの右前レールの真ん中上にある白色のラベルです。
-
「サービス・エンクレーブ」コンソールの使用(管理コンソール) - 「サービス・エンクレーブ」コンソールからアプライアンスのシリアル番号を取得するには:
-
サポートされているwebブラウザを使用して、十分な認可(
https://adminconsole.<domain>)があるユーザー名とパスワードでコンソールにログインします。 -
初期設定を完了したばかりの場合は、構成されたパスワードで管理ユーザー名を使用します(そうでない場合は、管理者がアクセス用に特定のユーザーを提供できます)。
-
メニューから「アプライアンス詳細」セクションにアクセスします。
-
このページからIDとレルムを記録します。 レルムは物理アプライアンスのシリアル番号です: IDと物理アプライアンスのシリアル番号の両方を記録します。
-
-
適切なモニタリング・ダッシュボードの使用( Grafana) - モニタリング・ダッシュボードからアプライアンスのシリアル番号を取得するには:
-
サポートされているwebブラウザを使用して、十分な認可を持つユーザー名とパスワード(
https://grafana.<domain>)を使用してダッシュボードにログインします。 -
「ダッシュボード」→「ダッシュボードの管理」セクションに移動します。
-
Service Monitoring→Hardware Statsダッシュボードを開きます。 このダッシュボードにはアプライアンスのシリアル番号が表示されます。
-
このページからIDとレルムを記録します。 レルムは物理アプライアンスのシリアル番号です: IDと物理アプライアンスのシリアル番号の両方を記録します。
-
-
管理コマンドライン・インタフェース(CLI)の使用 - CLIを使用してアプライアンスのシリアル番号を取得するには:
-
十分な認可を持つユーザー名とパスワードで管理CLIにログインします(コマンドssh -l <username> management host -p 30006を使用します)。 管理ホストは3つの管理ノード(
pcamn01、pcamn02またはpcamn03)のいずれかであり、ユーザー名はデフォルトでadminです。 パスワードのローテーションに関するセクションがまだ完了していない場合は、初期設定時に指定したパスワードを使用します。 -
プロンプトから、ラックのシリアル番号を取得するためのさまざまな方法があります。 クイック・レポートは、コマンドで取得できます: list Rack fields name,rackNumber,rackSerialnumber,rackType.
たとえば、
PCA-ADMIN> list Rack fields rackSerialnumber Command: list Rack fields rackSerialnumber Status: Success Time: 2022-02-17 20:15:41,773 UTC Data: id rackSerialnumber -- ---------------- x6d9f31a-b1ds-4a43-bc09-7270609abd8k CL00888510 PCA-ADMIN>
-
アプライアンス詳細の情報をセキュアなロケーションに格納します。
-
ラック内のハードウェア・コンポーネントのシリアル番号の取得
Oracle Private Cloud Applianceは、多くのハードウェア・コンポーネントで構成されるエンジニアド・システムです。 わかりやすくするために、これらのコンポーネントをrackコンポーネントと呼びますが、コンポーネントは複数のラックにまたがることができます。 ラック・コンポーネントのシリアル番号を収集する最も効率的な方法は、管理CLIを使用することです。ただし、これらは「サービス・エンクレーブ」コンソール(管理コンソール)から取得することもできます。 これらのシリアル番号は、Oracle Support Servicesを操作するときにも必要になる場合があります。
管理CLIからラック・コンポーネントのシリアル番号のリストを取得するには:
-
十分な認可を持つユーザー名とパスワードで管理CLIにログインします(コマンドssh -l <username> management host -p 30006を使用します)。 詳細は、「アプライアンスのシリアル番号の取得」セクションを参照してください。
-
ログインしたら、次のようなコマンドを使用してレポートを取得: list RackUnit fields name,rackElevation,serialNumber,hostname.
-
上記で記録した情報を安全なロケーションに保存します。
「サービス・エンクレーブ」コンソールを使用するには、十分な認可(https://adminconsole.<domain>)を持つユーザー名とパスワードでコンソールにログインします。 ログイン後:
-
メニューを使用して、「ラック・ユニット」コンテキストに移動します。
-
リスト内のユニットごとに、詳細の表示を選択します:
-
詳細が表示されたら、システム・タブを選択します。
-
その他のコンポーネント情報とともにシリアル番号を記録します。
-
-
「ラック・ユニット」リストに戻り、次のコンポーネントを記録します。
-
上記で記録した情報を安全なロケーションに保存します。
ソフトウェアの保護
Oracle Private Cloud Applianceのインストール後、ソフトウェアをセキュリティ保護します。 多くの場合、ハードウェア・セキュリティはソフトウェアを介して実装されます。
Oracle Private Cloud Applianceの初期インストール後、Oracleでは、システム・アクセスを制限するために次の演習を推奨します:
-
管理ノードではroot、「サービス・エンクレーブ」および「コンピュート・エンクレーブ」ではSuperAdminアカウントなど、スーパーユーザー・アカウントの使用を制限します。 個々のユーザー・アカウントを作成して使用すると、監査証跡での肯定的な識別が保証され、管理者がチームまたは会社を離れた場合のメンテナンスが減ります。
-
管理ノードで新規ユーザーを作成しないでください。
-
顧客が管理する層の不要なプロトコルとモジュールを無効にします。
-
物理セーバーとネットワーク・スイッチにはシステムへの直接アクセスを提供するポートとコンソール接続があるため、USBポート、ネットワーク・ポート、およびシステム・コンソールへの物理アクセスを制限してください。
-
ネットワークを介してシステムを再起動する機能を制限します。
-
その他のセキュリティ機能を有効にする方法の詳細は、このガイドの「Oracle Private Cloud Applianceのセキュリティ機能」を参照してください。
特権ユーザーとマルチ・ファクタ・アクセス制御、およびデータ暗号化、監査、モニタリング、データ・マスキングなどのその他のツールを使用することで、顧客は、既存のアプリケーションを変更する必要のない信頼できるデータ・セキュリティ・ソリューションをデプロイできます。
ネットワークの保護
Oracle Private Cloud Applianceはプライベート・クラウド環境です。 初期化中、アプライアンスのコア・ネットワーク・コンポーネントは、既存のデータセンター・ネットワーク設計と統合されます。 アプライアンス・スイッチのアップリンク・ポートは、次レベルのデータ・センター・スイッチに接続して、すべてのトラフィックをアプライアンスとの間で送受信する冗長な高速および高帯域幅の物理接続を提供します。 つまり、プライベート・クラウド環境の観点から見ると、パブリック・ネットワークはオンプレミス・ネットワークであり、インターネット・アクセスは常にデータ・センターのエッジ・ルーターを介して間接的に行われます。
このプライベート環境は、ネットワークに関してOracle Private Cloud Applianceをセキュリティ保護する場合、いくつかの結果をもたらします:
-
ラックはオンプレミスにあり、データ・センター内に設定してオンプレミス・ネットワークに直接接続します。 クラウド・リソースとオンプレミス・ネットワークが通信できるように、インターネットを介したセキュアなトンネルは必要ありません。 アクセスは、仮想クラウド・ネットワーク(VCN)とオンプレミス・ネットワークの間のゲートウェイを介して有効化されます
-
インターネット・アクセスに関しては、インバウンドまたはアウトバウンドでは、クラウド環境のリソースにインターネットに直接アクセスできません。 パブリック・クラウド環境とは異なり、VCNに対して直接インターネット接続を有効にできるゲートウェイはありません。 データ・センター内のネットワーキング・コンポーネントの構成によって、クラウド・リソースがインターネットに接続する方法と、インターネットからアクセスできるかどうかが決まります。
-
通常、このプライベート環境は、Oracle Private Cloud Appliance仮想ネットワークがパブリック・インターネットの脅威から十分に分離されていることを意味します。 ただし、このプライベート・ネットワーク内でパブリックIPアドレスを使用できます。 パブリックIPによって、リソースが存在するVCNの外部からリソースにアクセスできます。 「パブリック」とみなされるIPアドレスは、実際にはデータ・センターのプライベート範囲に含まれています。
ただし、クラウド・ネットワーク・セキュリティおよびコンピュート・インスタンスへのアクセスを制御するために実行できるステップがあります:
-
インスタンスにパブリックIPアドレスが必要ない場合は、プライベート・サブネットを使用します。
-
インスタンス上のファイアウォール・ルールを構成して、パケット・レベルでインスタンス間のトラフィックを制御します。 ただし、Oracle-Oracle Linuxを実行するイメージには、SSHトラフィックのTCPポート22でのイングレスを許可するデフォルト・ルールが自動的に含まれます。 また、Microsoft Windowsイメージには、リモート・デスクトップ・アクセス用にTCP port 3389でイングレスを許可するデフォルト・ルールが含まれています。
-
必要な接続のみを許可するようにゲートウェイおよびルート表を構成します。 これにより、オンプレミス・ネットワークや別のVCNなどの外部の宛先へのトラフィック・フローを制御できます。
ノート:
PCAラックに存在する異なるDRG上のVCN間の通信は、2つのVCNを接続する顧客データ・センター・ネットワーク上のルート・エントリおよびファイアウォール・アクセスが顧客から提供される場合に可能です。 -
IAMポリシーを使用して、Oracle Private Cloud Applianceインタフェースへのアクセスを制御します。 アクセスできるクラウド・リソースと、許可されるアクセスのタイプを制御できます。 たとえば、ネットワークとサブネットを設定できるユーザーや、ルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを更新できるユーザーを制御できます。
Oracle Private Cloud Applianceネットワーク・セキュリティの詳細は、「Oracle Private Cloud Applianceユーザーズ・ガイド」および「Oracle Private Cloud Appliance管理者ガイド」を参照してください。
ネットワーキングおよびDNS
Oracle Private Cloud Applianceネットワークには、次の3つの領域でDNSサービスが必要です:
-
「サービス・エンクレーブ」のKubernetes DNS。
-
Customer Data Center Networkの認可DNSサービス(<pca>.<domain>)。
-
「コンピュート・エンクレーブ」の認可DNSサービス(顧客テナンシのサブネットからアクセス可能) (<pca>.<domain>およびinternalpca.local)。
-
外部ゾーンの場合、「コンピュート・エンクレーブ」内の再帰的DNS。
Kubernetesは、対応するKubernetesサービスのデプロイ時にサービス・エンドポイントを使用して動的に構成されるCoreDNSを使用するDNSサービスを提供します。 他の2つのDNSサービスのいずれかまたは両方が、すでに必要なCoreDNSデプロイメントを利用できる場合があります。 最悪の場合、それぞれがCoreDNSまたは別の実装を使用して個別のDNSデプロイメントを使用できます。
ポート・マトリックス
ほとんどのファイアウォールのデフォルトのセキュリティ状態は、アクセスを拒否することです。 これは、Oracle Private Cloud Applianceラックと顧客データ・センター間で使用されるファイアウォールに適用されます。 特定のOracle Private Cloud Appliance機能が正しく動作できるようにするには、特定のIPアドレスおよび関連サービスにアクセス権を付与する必要があります。 0.0.0.0/0などの"allow all"ルールはセキュリティの目的では広すぎるため、許可するアドレス、ポートおよびプロトコルを明示的にリストすることをお薦めします。
管理ネットワークが有効で有効でない場合の具体的な情報については、次のセクションを参照してください:
管理ネットワークのないアクセス構成
次の表に、特定のIPアドレス、ポートおよびプロトコルに付与する必要があるアクセス権限とその目的の説明を示します。 この表は、「管理ネットワーク分離なし」の構成用です。 つまり、管理ネットワーク・トラフィックに使用される専用ポートはありません。 管理ネットワークの使用方法の詳細は、「Oracle Private Cloud Appliance管理者ガイド」の「ハードウェア管理」章の「管理ネットワーク情報の編集」を参照してください。
| ソースIPアドレス | 宛先IPアドレス | ポート | プロトコル | 説明 |
|---|---|---|---|---|
| すべての顧客ネットワーク | SE/CE結合VIP | ICMP | タイプ0/エコー・リプライ | |
| すべての顧客ネットワーク | 管理ノード | ICMP | タイプ0/エコー・リプライ | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ0/エコー・リプライ | |
| すべての顧客ネットワーク | SE/CE結合VIP | ICMP | タイプ3/到達不可能 | |
| すべての顧客ネットワーク | 管理ノード | ICMP | タイプ3/到達不可能 | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ3/到達不可能 | |
| すべての顧客ネットワーク | SE/CE結合VIP | ICMP | タイプ8/VIPへのping | |
| PCA管理者 | 管理ノード | ICMP | タイプ8/ノードへのping | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ8/VIPへのping | |
| PCA管理者 | SE/CE結合VIP | 22 | TCP | アクティブ管理ノードへのSSH |
| PCA管理者 | 管理ノード | 22 | TCP | 特定の管理ノードへのSSH |
| 初期インストールのDNS IP | SE/CE結合VIP | 53 | UDP | PCA認可ゾーン |
| 初期インストールのDNS IP | 管理ノード | 53 | TCP | PCA認可ゾーン |
| 管理ノード | 初期インストールのDNS IP | 53 | UDP | 外部DNS解決 |
| 管理ノード | 初期インストールのDNS IP | 53 | TCP | 外部DNS解決 |
| PCA管理者 | SE/CE結合VIP | 443 | TCP | SE APIエンドポイントとSE BUI |
| すべてのCEユーザー | SE/CE結合VIP | 443 | TCP | CE APIエンドポイントとCE BUI |
| すべてのCEユーザー | SE/CE結合VIP | 8079 | TCP | イメージ・ダウンロード・リポジトリ |
| PCA管理者 | SE/CE結合VIP | 30006 | TCP | 管理CLI |
| PCA管理者 | 管理ノード | 30006 | TCP | 管理CLI |
| SE/CE結合VIP | DNS再帰サーバー | 53 | UDP | DNS転送 |
| SE/CE結合VIP | DNS再帰サーバー | 53 | TCP | DNS転送 |
| SE/CE結合VIP | 顧客のNTPサーバー | 123 | UDP | NTP |
| SE/CE結合VIP | 通常はtransport.oracle.com | 443 | TCP | ASRターゲット (https://docs.oracle.com/en/engineered-systems/private-cloud-appliance/3.0/admin-3.0.2/admin-adm-healthmonitor.html#adm-health-ASR) |
| SE/CE結合VIP | Grafana通知ターゲット | 443 | TCP | Grafana通知ターゲット (https://docs.oracle.com/en/engineered-systems/private-cloud-appliance/3.0/admin-3.0.2/admin-adm-healthmonitor.html#adm-health-status) |
| SE/CE結合VIP | ローカルULNミラー | 443 | TCP | PCAパッチ適用 |
| SE/CE結合VIP | ローカル・イメージ・リポジトリ | 443 | TCP | カスタム・イメージのインポートfrom-object-uri |
| すべての顧客ネットワーク | VMコンソール | 1443 | TCP |
管理ネットワークを使用した構成へのアクセス
次の表に、管理ネットワーク・トラフィックに使用される専用ポートがある場合に、構成「管理ネットワークの分離」に付与する必要があるアクセス権限を示します。
セキュリティを強化するために、管理ネットワークを通常のテナント・トラフィック・フローから分離できます。 管理ネットワーク分離は、次の目標を達成します:
- 異なる外部ポート・セットを使用して、テナント・アクセス・パスと管理者アクセス・パスを分離します。
- VCNに外部および内部的に公開されている、選択したサービスに対するテナント・アクセスと管理者アクセスを分離します。
- インフラストラクチャおよびVCNに内部的に公開されているDNSサービスへのテナント・アクセスと管理者アクセスを分離します。
管理ネットワークの使用方法の詳細は、「Oracle Private Cloud Appliance管理者ガイド」の「ハードウェア管理」章の「管理ネットワーク情報の編集」を参照してください。
| ソースIPアドレス | 宛先IPアドレス | ポート | プロトコル | 説明 |
|---|---|---|---|---|
| すべての顧客ネットワーク | CE VIP | ICMP | タイプ0/エコー・リプライ | |
| PCA管理者 | SE VIP | ICMP | タイプ0/エコー・リプライ | |
| すべての顧客ネットワーク | 管理ノード | ICMP | タイプ0/エコー・リプライ | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ0/エコー・リプライ | |
| すべての顧客ネットワーク | CE VIP | ICMP | タイプ3/到達不可能 | |
| PCA管理者 | SE VIP | ICMP | タイプ3/到達不可能 | |
| すべての顧客ネットワーク | 管理ノード | ICMP | タイプ3/到達不可能 | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ3/到達不可能 | |
| すべての顧客ネットワーク | CE VIP | ICMP | タイプ8/VIPへのping | |
| PCA管理者 | SE VIP | ICMP | タイプ8/VIPへのping | |
| PCA管理者 | 管理ノード | ICMP | タイプ8/ノードへのping | |
| すべての顧客ネットワーク | オブジェクト・ストレージIP | ICMP | タイプ8/VIPへのping | |
| PCA管理者 | SE VIP | 22 | TCP | アクティブ管理ノードへのSSH |
| PCA管理者 | 管理ノード | 22 | TCP | 特定の管理ノードへのSSH |
| 初期インストールのDNS IP | CE VIP | 53 | UDP | PCA認可ゾーン |
| 初期インストールのDNS IP | CE VIP | 53 | TCP | PCA認可ゾーン |
| 初期インストールのAdminDNS IP | SE VIP | 53 | UDP | PCA管理ゾーン |
| 初期インストールのAdminDNS IP | SE VIP | 53 | TCP | PCA管理ゾーン |
| 管理ノード | 初期インストールのDNS IP | 53 | UDP | データ・ネットワークの外部DNS解決 |
| 管理ノード | 初期インストールのDNS IP | 53 | TCP | データ・ネットワークの外部DNS解決 |
| 管理ノード | 初期インストールのAdminDNS IP | 53 | UDP | 管理ネットワークの外部DNS解決 |
| 管理ノード | 初期インストールのAdminDNS IP | 53 | TCP | 管理ネットワークの外部DNS解決 |
| PCA管理者 | SE VIP | 443 | TCP | SE APIエンドポイントとSE BUI |
| すべてのCEユーザー | CE VIP | 443 | TCP | CE APIエンドポイントとCE BUI |
| すべてのCEユーザー | CE VIP | 8079 | TCP | イメージ・ダウンロード・リポジトリ |
| PCA管理者 | SE VIP | 30006 | TCP | 管理CLI |
| PCA管理者 | 管理ノード | 30006 | TCP | 管理CLI |
| CE VIP | DNS再帰サーバー | 53 | UDP | DNS転送 |
| CE VIP | DNS再帰サーバー | 53 | TCP | DNS転送 |
| SE VIP | DNS再帰サーバー | 53 | UDP | DNS転送 |
| SE VIP | DNS再帰サーバー | 53 | TCP | DNS転送 |
| SE VIP | 顧客のNTPサーバー | 123 | UDP | NTP |
| SE VIP | 通常はtransport.oracle.com | 443 | TCP | ASRターゲット (https://docs.oracle.com/en/engineered-systems/private-cloud-appliance/3.0/admin-3.0.2/admin-adm-healthmonitor.html#adm-health-ASR) |
| SE VIP | Grafana通知ターゲット | 443 | TCP | Grafana通知ターゲット (https://docs.oracle.com/en/engineered-systems/private-cloud-appliance/3.0/admin-3.0.2/admin-adm-healthmonitor.html#adm-health-monitor) |
| SE VIP | ローカルULNミラー | 443 | TCP | PCAパッチ適用 |
| CE VIP | ローカル・イメージ・リポジトリ | 443 | TCP | カスタム・イメージのインポートfrom-object-uri |
| 管理マネジメント・ノード | ロード・バランサのパブリックIPアドレス | 6443 | TCP | ロード・バランサ・パブリックIPアドレス・エンドポイント |
| すべての顧客ネットワーク | VMコンソール | 1443 | TCP |
アップリンクでのBGP認証
ダイアン・ミック・ルーティングを使用するアップリンクでは、BGP認証が必要です。 BGP認証を使用する動的ネットワーク構成の場合は、パラメータを1行で入力します:
PCA-ADMIN> setDay0DynamicRoutingParameters \ uplinkPortSpeed=100 \ uplinkPortCount=2 \ uplinkVlanMtu=9216 \ spine1Ip=<ip_address> \ spine2Ip=<ip_address> \ uplinkNetmask=255.255.255.252 \ mgmtVipHostname=<hostname> \ mgmtVip=<ip_address> \ ntpIps=<ip_address> \ peer1Asn=50000 \ peer1Ip=<ip_address> \ peer2ASN=50000 \ peer2Ip=<ip_address> \ objectStorageIp=1<ip_address> \ mgmt01Ip=<ip_address> \ mgmt02Ip=<ip_address> \ mgmt03Ip=<ip_address> \ bgpTopology=topology-type \ BGPAuthenticuation=true \ BGPAuthenticationPassword=<bgp-password> \ adminBGPAuthenticuation=true \ adminBGPAuthenticationPassword=<admin-bgp-password>
PCA-ADMIN> setDay0DynamicRoutingParameters \ uplinkPortSpeed=40 \ uplinkPortCount=4 \ uplinkVlanMtu=9216 \ spine1Ip=10.nn.nn.17 \ spine2Ip=10.nn.nn.25 \ uplinkNetmask=255.255.255.252, 255.255.255.252 \ mgmtVipHostname=example-vip \ mgmtVip=10.nn.nn.46 \ ntpIps=10.nn.nn.2 \ peer1Asn=50000 \ peer1Ip=10.nn.nn.34,10.nn.nn.30 \ peer2ASN=50000 \ peer2Ip=10.nn.nn.72 \ objectStorageIp=10.nn.nn.1 mgmt01Ip=10.nn.nn.44 \ mgmt02Ip=10.nn.nn.45 \ mgmt03Ip=10.nn.nn.46 \ bgpTopology=mesh \ BGPAuthenticuation=true \ BGPAuthenticationPassword=<bgp-password> \ adminBGPAuthenticuation=true \ adminBGPAuthenticationPassword=<admin-bgp-password>
ノート:
パスワードを指定しない場合、BGP認証は有効になりません。BGPには別々の管理ドメインが含まれることが多いため、BGPリンクの両端を担当するドメイン間でパスワード調整が必要です。
adminBGPpasswordは、BGPリンクの両端で同時に確立および変更される必要があります。 これには、異なる管理者間の慎重な調整が必要になる場合があります。 1つのBGP認証パスワードが変更され、もう1つのBGP認証パスワードが変更されていない場合、リンクは失敗します。
BGP操作の成功を確認するには、コマンドshow bgp sessionsを実行します。