ファブリック バインディングの概要
ファブリック バインディング機能を使用すると、ファブリック バインディング設定で指定されたスイッチ間でだけ、ISL をイネーブルにできます。ファブリック バインディングは、VSAN 単位で設定します。
この機能を使用すると、不正なスイッチがファブリックに参加したり、現在のファブリック処理が中断されることがなくなります。この機能では、Exchange Fabric Membership Data(EFMD)プロトコルを使用することによって、ファブリック内の全スイッチで、許可されたスイッチのリストが同一になるようにします。
ここでは、次の内容について説明します。
ライセンスの要件
ファブリック バインディングを使用するには、スイッチ上に MAINFRAME_PKG ライセンスまたは ENTERPRISE_PKG ライセンスのいずれかをインストールする必要があります。
ライセンス機能のサポートとインストールの詳細については、『Cisco MDS 9000 Family NX-OS Licensing Guide』を参照してください。
ポート セキュリティとファブリック バインディングの比較
ポート セキュリティとファブリック バインディングは、相互補完するように設定可能な、2 つの独立した機能です。 表 11-1 では、2 つの機能を比較します。
表 11-1 ファブリック バインディングとポート セキュリティの比較
|
|
一連の sWWN および永続的ドメイン ID を使用します。 |
pWWN/nWWN または fWWN/sWWN を使用します。 |
スイッチ レベルでファブリックをバインドします。 |
インターフェイス レベルでデバイスをバインドします。 |
ファブリック バインディング データベースに格納された設定済み sWWN にだけ、ファブリックへの参加を許可します。 |
設定済みの一連のファイバ チャネル デバイスを SAN ポートに論理的に接続できます。WWN またはインターフェイス番号で識別されるスイッチ ポートは、同様に WWN で識別されるファイバ チャネル デバイス(ホストまたは別のスイッチ)に接続されます。これらの 2 つのデバイスをバインドすると、これらの 2 つのポートがグループ(リスト)にロックされます。 |
VSAN 単位でアクティブ化する必要があります。 |
VSAN 単位でアクティブ化する必要があります。 |
ピア スイッチが接続されている物理ポートに関係なく、ファブリックに接続可能な特定のユーザ定義のスイッチを許可します。 |
別のデバイスを接続できる特定のユーザ定義の物理ポートを許可します。 |
ログインしているスイッチについて学習しません。 |
学習モードがイネーブルの場合、ログインしているスイッチまたはデバイスについて学習します。 |
CFS によって配信できず、ファブリック内の各スイッチで手動で設定する必要があります。 |
CFS によって配信できます。 |
xE ポートのポート レベル チェックは、次のように実行されます。
- スイッチ ログインは、指定された VSAN にポート セキュリティ バインディングとファブリック バインディングの両方を使用します。
- バインディング検査は、ポート VSAN で次のように実行されます。
– ポート VSAN での E ポート セキュリティ バインディング検査
– 許可された各 VSAN での TE ポート セキュリティ バインディング検査
ポート セキュリティはファブリック バインディングを補完する関係にありますが、これらの機能は互いに独立していて、個別にイネーブルまたはディセーブルにできます。
ファブリック バインディングの実行
ファブリック バインディングを実行するには、Switch World Wide Name(sWWN)を設定して、スイッチごとに xE ポート接続を指定します。ファブリック バインディング ポリシーは、ポートがアクティブになるたび、およびポートを起動しようとした場合に実行されます。FICON VSAN でファブリック バインディング機能を実行するには、すべての sWWN をスイッチに接続し、永続的ドメイン ID をファブリック バインディング アクティブ データベースに格納する必要があります。ファイバ チャネル VSAN では、sWWN だけが必要であり、ドメイン ID はオプションです。
(注) ファブリック バインディングを使用するファイバ チャネル VSAN の全スイッチで、Cisco MDS SAN-OS リリース 3.0(1) および NX-OS リリース 4.1(1b) 以降を実行している必要があります。
ファブリック バインディングの設定
ファブリック内の各スイッチにファブリック バインディングを設定する手順は、次のとおりです。
ステップ 1 ファブリック設定機能をイネーブルにします。
ステップ 2 ファブリックにアクセス可能なデバイスに sWWN のリスト、および対応するドメイン ID を設定します。
ステップ 3 ファブリック バインディング データベースをアクティブにします。
ステップ 4 ファブリック バインディング アクティブ データベースを、ファブリック バインディング コンフィギュレーション データベースにコピーします。
ステップ 5 ファブリック バインディング設定を保存します。
ステップ 6 ファブリック バインディング設定を確認します。
ファブリック バインディングのイネーブル化
ファブリック バインディングに参加するファブリック内のスイッチごとに、ファブリック バインディング機能をイネーブルにする必要があります。デフォルトでは、この機能は Cisco MDS 9000 ファミリのすべてのスイッチでディセーブルになっています。ファブリック バインディング機能に関する設定および確認コマンドを使用できるのは、スイッチ上でファブリック バインディングがイネーブルな場合だけです。この設定をディセーブルにした場合、関連するすべての設定は自動的に廃棄されます。
参加させるスイッチのファブリック バインディングをイネーブルにする手順は、次のとおりです。
|
|
|
ステップ 1 |
switch# config t |
コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config)# feature fabric-binding |
現在のスイッチ上でファブリック バインディングをイネーブルにします。 |
switch(config)# no feature fabric-binding |
現在のスイッチ上でファブリック バインディングをディセーブル(デフォルト)にします。 |
ファブリック バインディングがイネーブルになっているスイッチのファブリック バインディング機能のステータスを表示するには、 show fabric-binding status コマンドを発行します。
switch# show fabric-binding status
VSAN 1:Activated database
VSAN 4:No Active database
スイッチ WWN リストの設定
ユーザ指定のファブリック バインディング リストには、ファブリック内の sWWN のリストが含まれています。リストにない sWWN、または許可リストで指定されているドメイン ID と異なるドメイン ID を使用する sWWN がファブリックへの参加を試みると、スイッチとファブリック間の ISL が VSAN 内で自動的に隔離され、スイッチはファブリックへの参加を拒否されます。
永続的ドメイン ID は sWWN とともに指定できます。FICON VSAN では、ドメイン ID 許可が必要です。FICON VSAN では、ドメインがスタティックに設定されているため、エンド デバイスによって、ファブリック内のすべてのスイッチにおけるドメイン ID の変更が拒否されます。ファイバ チャネル VSAN の場合には、ドメイン ID 許可は不要です。
FICON VSAN 用の sWWN およびドメイン ID のリストを設定する手順は、次のとおりです。
|
|
|
ステップ 1 |
switch# config t switch(config)# |
コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config)# fabric-binding database vsan 5 switch(config-fabric-binding)# |
指定された VSAN のファブリック バインディング サブモードを開始します。 |
switch(config)# no fabric-binding database vsan 5 |
指定された VSAN のファブリック バインディング データベースを削除します。 |
ステップ 3 |
switch(config-fabric-binding)# swwn 21:00:05:30:23:11:11:11 domain 102 |
設定したデータベース リストにスイッチの sWWN およびドメイン ID を追加します。 |
switch(config-fabric-binding)# swwn 21:00:05:30:23:1a:11:03 domain 101 |
設定したデータベース リストに別のスイッチの sWWN およびドメイン ID を追加します。 |
switch(config-fabric-binding)# no swwn 21:00:15:30:23:1a:11:03 domain 101 |
設定されたデータベース リストから、スイッチの sWWN およびドメイン ID を削除します。 |
ステップ 4 |
switch(config-fabric-binding)# exit switch(config)# |
ファブリック バインディング サブモードを終了します。 |
ファイバ チャネル VSAN 用の sWWN および任意のドメイン ID のリストを設定する手順は、次のとおりです。
|
|
|
ステップ 1 |
switch# config t switch(config)# |
コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config)# fabric-binding database vsan 10 switch(config-fabric-binding)# |
指定された VSAN のファブリック バインディング サブモードを開始します。 |
switch(config)# no fabric-binding database vsan 10 |
指定された VSAN のファブリック バインディング データベースを削除します。 |
ステップ 3 |
switch(config-fabric-binding)# swwn 21:00:05:30:23:11:11:11 |
設定したデータベース リストに全ドメインのスイッチの sWWN を追加します。 |
switch(config-fabric-binding)# no swwn 21:00:05:30:23:11:11:11 |
設定したデータベース リストから全ドメインのスイッチの sWWN を削除します。 |
switch(config-fabric-binding)# swwn 21:00:05:30:23:1a:11:03 domain 101 |
設定されたデータベース リストに、特定のドメイン ID 用の別のスイッチの sWWN を追加します。 |
switch(config-fabric-binding)# no swwn 21:00:15:30:23:1a:11:03 domain 101 |
設定されたデータベース リストから、スイッチの sWWN およびドメイン ID を削除します。 |
ステップ 4 |
switch(config-fabric-binding)# exit switch(config)# |
ファブリック バインディング サブモードを終了します。 |
ファブリック バインディングのアクティブ化
ファブリック バインディング機能によって、コンフィギュレーション データベース(config-database)およびアクティブ データベースが保持されます。コンフィギュレーション データベースは、実行された設定を収集する読み書きデータベースです。これらの設定を実行するには、データベースをアクティブにする必要があります。データベースがアクティブになると、アクティブ データベースにコンフィギュレーション データベースの内容が上書きされます。アクティブ データベースは、ログインを試みる各スイッチをチェックする読み取り専用データベースです。
デフォルトでは、ファブリック バインディング機能は非アクティブです。設定したデータベース内の既存のエントリがファブリックの現在の状態と矛盾していると、スイッチ上のファブリック バインディング データベースをアクティブにできません。たとえば、ログイン済みのスイッチの 1 つが、コンフィギュレーション データベースによってログインを拒否されている場合などです。これらの状態を強制的に上書きできます。
(注) アクティベーションのあと、現在アクティブなデータベースに違反するログイン済みのスイッチは、ログアウトされ、ファブリック バインディング制限によってログインが拒否されたすべてのスイッチは再初期化されます。
ファブリック バインディング機能をアクティブにする手順は、次のとおりです。
|
|
|
ステップ 1 |
switch# config t switch(config)# |
コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config)# fabric-binding activate vsan 10 |
指定された VSAN のファブリック バインディング データベースをアクティブにします。 |
switch(config)# no fabric-binding activate vsan 10 |
指定された VSAN のファブリック バインディング データベースを非アクティブにします。 |
ファブリック バインディングの強制的なアクティベーション
上記のような矛盾が 1 つまたは複数発生したためにデータベースのアクティブ化が拒否された場合は、 force オプションを使用してアクティブ化を継続できます。
ファブリック バインディング データベースを強制的にアクティブにする手順は、次のとおりです。
|
|
|
ステップ 1 |
switch# config t switch(config)# |
コンフィギュレーション モードを開始します。 |
ステップ 2 |
switch(config)# fabric-binding activate vsan 3 force |
指定した VSAN のファブリック バインディング データベースを強制的に(設定が許可されていない場合でも)アクティブにします。 |
switch(config)# no fabric-binding activate vsan 3 force |
元の設定状態、または(状態が設定されていない場合は)出荷時の設定に戻します。 |
ファブリック バインディング設定の保存
ファブリック バインディング設定を保存すると、コンフィギュレーション データベースが実行コンフィギュレーションに保存されます。
注意
FICON がイネーブルである VSAN では、ファブリック バインディングをディセーブルにできません。
- アクティブ データベースからコンフィギュレーション データベースにコピーするには、 fabric-binding database copy vsan コマンドを使用します。設定されたデータベースが空の場合、このコマンドは受け付けられません。
switch# fabric-binding database copy vsan 1
- アクティブ データベースとコンフィギュレーション データベース間の違いを表示するには、 fabric-binding database diff active vsan コマンドを使用します。このコマンドは、矛盾を解決する場合に使用できます。
switch# fabric-binding database diff active vsan 1
- コンフィギュレーション データベースとアクティブ データベース間の違いに関する情報を表示するには、 fabric-binding database diff config vsan コマンドを使用します。
switch# fabric-binding database diff config vsan 1
- 再起動後にファブリック バインディング設定データベースを使用できるように実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するには、 copy running-config startup-config コマンドを使用します。
switch# copy running-config startup-config
ファブリック バインディング統計情報のクリア
指定された VSAN のファブリック バインディング データベースから既存の統計情報をすべてクリアするには、 clear fabric-binding statistics コマンドを使用します。
switch# clear fabric-binding statistics vsan 1
ファブリック バインディング データベースの削除
指定された VSAN の設定済みデータベースを削除するには、コンフィギュレーション モードで no fabric-binding コマンドを使用します。
switch(config)# no fabric-binding database vsan 10
ファブリック バインディング設定の確認
show コマンドを使用して、このスイッチに設定されているすべてのファブリック バインディング情報を表示します(例 11-1 ~ 11-9 を参照)。
例 11-1 設定したファブリック バインディング データベース情報の表示
switch# show fabric-binding database
--------------------------------------------------
Vsan Logging-in Switch WWN Domain-id
--------------------------------------------------
1 21:00:05:30:23:11:11:11 0x66(102)
1 21:00:05:30:23:1a:11:03 0x19(25)
1 20:00:00:05:30:00:2a:1e 0xea(234) [Local]
4 21:00:05:30:23:11:11:11 Any
4 21:00:05:30:23:1a:11:03 Any
4 20:00:00:05:30:00:2a:1e 0xea(234) [Local]
61 21:00:05:30:23:1a:11:03 0x19(25)
61 21:00:05:30:23:11:11:11 0x66(102)
61 20:00:00:05:30:00:2a:1e 0xea(234) [Local]
例 11-2 アクティブ ファブリック バインディング情報の表示
switch# show fabric-binding database active
--------------------------------------------------
Vsan Logging-in Switch WWN Domain-id
--------------------------------------------------
1 21:00:05:30:23:11:11:11 0x66(102)
1 21:00:05:30:23:1a:11:03 0x19(25)
1 20:00:00:05:30:00:2a:1e 0xea(234) [Local]
61 21:00:05:30:23:1a:11:03 0x19(25)
61 21:00:05:30:23:11:11:11 0x66(102)
61 20:00:00:05:30:00:2a:1e 0xef(239) [Local]
例 11-3 設定した VSAN 固有のファブリック バインディング情報の表示
switch# show fabric-binding database vsan 4
--------------------------------------------------
Vsan Logging-in Switch WWN Domain-id
--------------------------------------------------
4 21:00:05:30:23:11:11:11 Any
4 21:00:05:30:23:1a:11:03 Any
4 20:00:00:05:30:00:2a:1e 0xea(234) [Local]
例 11-4 アクティブな VSAN 固有のファブリック バインディング情報の表示
switch# show fabric-binding database active vsan 61
--------------------------------------------------
Vsan Logging-in Switch WWN Domain-id
--------------------------------------------------
61 21:00:05:30:23:1a:11:03 0x19(25)
61 21:00:05:30:23:11:11:11 0x66(102)
61 20:00:00:05:30:00:2a:1e 0xef(239) [Local]
例 11-5 ファブリック バインディング統計情報の表示
switch# show fabric-binding statistics
Total Logins permitted : 0
Total Logins permitted : 0
Total Logins permitted : 0
Total Logins permitted : 0
Total Logins permitted : 0
Total Logins permitted : 0
Total Logins permitted : 0
Total Logins permitted : 0
Total Logins permitted : 0
例 11-6 VSAN ごとのファブリック バインディング状態の表示
switch# show fabric-binding status
VSAN 1 :Activated database
VSAN 4 :No Active database
VSAN 61 :Activated database
VSAN 345 :No Active database
VSAN 346 :No Active database
VSAN 347 :No Active database
VSAN 348 :No Active database
VSAN 789 :No Active database
VSAN 790 :No Active database
例 11-7 ファブリック バインディング違反の表示
switch# show fabric-binding violations
-------------------------------------------------------------------------------
VSAN Switch WWN [domain] Last-Time [Repeat count] Reason
-------------------------------------------------------------------------------
2 20:00:00:05:30:00:4a:1e [0xeb] Nov 25 05:46:14 2003 [2] Domain mismatch
3 20:00:00:05:30:00:4a:1e [*] Nov 25 05:44:58 2003 [2] sWWN not found
4 20:00:00:05:30:00:4a:1e [*] Nov 25 05:46:25 2003 [1] Database mismatch
(注) VSAN 3 では、sWWN 自体がリストにありません。VSAN 2 では、sWWN がリストで見つかりましたが、ドメイン ID が一致しませんでした。
例 11-8 EFMD 統計情報の表示
switch# show fabric-binding efmd statistics
EFMD Protocol Statistics for VSAN 1
----------------------------------------
Merge Requests -> Transmitted : 0, Received : 0
Merge Accepts -> Transmitted : 0, Received : 0
Merge Rejects -> Transmitted : 0, Received : 0
Merge Busy -> Transmitted : 0, Received : 0
Merge Errors -> Transmitted : 0, Received : 0
EFMD Protocol Statistics for VSAN 4
----------------------------------------
Merge Requests -> Transmitted : 0, Received : 0
Merge Accepts -> Transmitted : 0, Received : 0
Merge Rejects -> Transmitted : 0, Received : 0
Merge Busy -> Transmitted : 0, Received : 0
Merge Errors -> Transmitted : 0, Received : 0
EFMD Protocol Statistics for VSAN 61
----------------------------------------
Merge Requests -> Transmitted : 0, Received : 0
Merge Accepts -> Transmitted : 0, Received : 0
Merge Rejects -> Transmitted : 0, Received : 0
Merge Busy -> Transmitted : 0, Received : 0
Merge Errors -> Transmitted : 0, Received : 0
例 11-9 指定した VSAN の EFMD 統計情報の表示
switch# show fabric-binding efmd statistics vsan 4
EFMD Protocol Statistics for VSAN 4
----------------------------------------
Merge Requests -> Transmitted : 0, Received : 0
Merge Accepts -> Transmitted : 0, Received : 0
Merge Rejects -> Transmitted : 0, Received : 0
Merge Busy -> Transmitted : 0, Received : 0
Merge Errors -> Transmitted : 0, Received : 0