Device Manager ガイド Cisco ACE 4700 シリーズ アプリケーション コントロール エンジン アプライアンス ソフトウェア バージョンA5(2.2)
仮想コンテキストの設定
仮想コンテキストの設定
発行日;2013/06/12 | 英語版ドキュメント(2013/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

仮想コンテキストの設定

仮想コンテキストの使用

仮想コンテキストの作成

仮想コンテキストの設定

仮想コンテキスト システム属性の設定

仮想コンテキスト プライマリ属性の設定

仮想コンテキスト syslog ロギングの設定

syslog ログ ホストの設定

syslog ログ メッセージの設定

syslog ログ レート制限の設定

仮想コンテキストの SNMP 設定

SNMP の基本属性の設定

SNMPv2c コミュニティの設定

SNMPv3 ユーザの設定

SNMP トラップ宛先ホストの設定

SNMP 通知の設定

仮想コンテキスト グローバル トラフィック ポリシーの設定

ライセンスの管理

ライセンスの表示

ライセンスのインストール

ライセンスのアップデート

ライセンスのアンインストール

ライセンス ファイルの内容の表示

リソース クラスの管理

リソース割り当ての制約

リソース クラスの追加

リソース クラスの修正

リソース クラスの削除

仮想コンテキストにおけるリソース クラスの使用の表示

SNMP 通知を受信するためのリソース使用量しきい値の設定

実サーバのリソース使用量しきい値の設定

VIP のリソース使用量しきい値の設定

コンフィギュレーション チェックポイントとロールバック サービスの使用方法

コンフィギュレーション チェックポイントの作成

コンフィギュレーション チェックポイントの削除

実行コンフィギュレーションのロールバック

チェックポイントと実行コンフィギュレーションの比較

チェックポイント情報の表示

デバイスのバックアップおよび復元機能の実行

デバイス構成および依存関係のバックアップ

デバイス構成および依存関係の復元

ACL を使用したセキュリティの設定

ACL の作成

拡張 ACL 属性の設定

拡張 ACL のリシーケンス

EtherType ACL 属性の設定

コンテキスト別の全 ACL の表示

ACL の編集または削除

ACL 情報および統計情報の表示

オブジェクト グループの設定

オブジェクト グループの IP アドレスの設定

オブジェクト グループのサブネット オブジェクトの設定

オブジェクト グループのプロトコルの設定

オブジェクト グループの TCP/UDP サービス パラメータの設定

オブジェクト グループの ICMP サービス パラメータの設定

仮想コンテキスト エキスパート オプション設定

仮想コンテキストの管理

仮想コンテキスト設定の同期

仮想コンテキスト同期ステータスの表示

ハイ アベイラビリティおよび仮想コンテキスト設定ステータス

個々の仮想コンテキスト設定の手動同期

全仮想コンテキスト設定の手動同期

仮想コンテキストの編集

仮想コンテキストの削除

すべての仮想コンテキストの表示

仮想コンテキストの設定

Cisco アプリケーション コントロール エンジン アプライアンス Device Manager(ACE アプライアンス Device Manager)には、ACE アプライアンスの作成、設定、管理に関する数多くのオプションがあります。


) ACE CLI を使用して名前付きオブジェクト(実サーバ、仮想サーバ、パラメータ マップ、クラス マップ、ヘルス プローブなど)を設定するとき、Device Manager(DM)でサポートされるのは、1 ~ 64 文字の英数字文字列を使用したオブジェクト名であることに注意してください。オブジェクト名には、下線(_)、ハイフン(-)、ドット(.)、およびアスタリスク(*)の特殊文字を含めることができます。スペースは使用できません。

ACE CLI を使用して、DM でサポートされていない特殊文字を含んだ名前付きオブジェクトを設定した場合、DM を使用して ACE を設定できない場合があります。


 

この章の内容は、次のとおりです。

「仮想コンテキストの使用」

「仮想コンテキストの作成」

「仮想コンテキストの設定」

「仮想コンテキスト システム属性の設定」

「仮想コンテキスト プライマリ属性の設定」

「仮想コンテキスト syslog ロギングの設定」

「仮想コンテキストの SNMP 設定」

「仮想コンテキスト グローバル トラフィック ポリシーの設定」

「ACE アプライアンス ライセンスの管理」

「リソース クラスの管理」

「SNMP 通知を受信するためのリソース使用量しきい値の設定」

「コンフィギュレーション チェックポイントとロールバック サービスの使用方法」

「デバイスのバックアップおよび復元機能の実行」

「ACL を使用したセキュリティの設定」

「オブジェクト グループの設定」

「仮想コンテキスト エキスパート オプション設定」

「仮想コンテキストの管理」

仮想コンテキストの使用

仮想コンテキストでは、ACE アプライアンスを複数の仮想デバイスやコンテキストに分割する仮想化コンセプトを使用しています。各コンテキストには、それぞれ独自のポリシー、インターフェイス、リソース、および管理者のセットが含まれています。この機能により、より緊密で効率的にリソース、ユーザ、およびお客様に提供するサービスを管理できます。

仮想コンテキストを初めて使用すると、管理コンテキストだけが表示されます。他の仮想コンテキストの設定可能属性のほかに、管理コンテキストでは次のものを設定できます。

ACE アプライアンス ライセンス

リソース クラス

ポート チャネル、管理、およびギガビット イーサネット インターフェイス

ハイ アベイラビリティ(ACE アプライアンス間の HA または耐障害性)

ACE アプライアンスでのアプリケーション アクセラレーションおよび最適化

関連トピック

「仮想コンテキストの作成」

「仮想コンテキストの設定」

「仮想コンテキストの削除」

仮想コンテキストの作成

この手順を使用して仮想コンテキストを作成します。


SNMP アクセス用に管理 VLAN を設定していない場合、ACE アプライアンス Device Manager でコンテキストをポーリングできません。



) ACE アプライアンスがハイ アベイラビリティ ペアでホットスタンバイとして設定されている場合、その設定を変更することはできず、仮想コンテキストの追加や修正を行えません。ホットスタンバイ メンバーとして設定されている ACE アプライアンスでは、[All Virtual Contexts] テーブル([Config] > [Virtual Contexts])内にある [HA State] 列に [Standby Hot] と表示されます。詳細については、「ハイ アベイラビリティ ポーリング」を参照してください。


手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 [Add] をクリックします。

[New Virtual Context] 画面が表示されます。

ステップ 3 表 4-1 内の情報を使用して仮想コンテキストを設定します。


ヒント 2 ~ 3 の選択肢のあるフィールドではオプション ボタンを使用します。3 つを超える選択肢のあるフィールドでは、ドロップダウン リストを使用します。


 

表 4-1 仮想コンテキスト設定属性

フィールド
説明

Basic Settings

Name

仮想コンテキストの一意の名前を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

このフィールドは、既存コンテキストの場合読み取り専用です。

Description

仮想コンテキストの簡単な説明を入力します。最大 240 文字の英数字からなる、引用符で囲まれていないテキスト文字列として説明を入力します。

Resource Class

この仮想コンテキストが使用するリソース クラスを選択します。[View] をクリックし、選択したリソース クラスの情報を表示します。詳細については、「リソース クラスの管理」を参照してください)。

Allocate VLANs

コンテキストが関連トラフィックを受信できるように VLAN の番号または VLAN の範囲を入力します。次のいずれかの方法で VLAN を指定できます。

単一 VLAN の場合、2 ~ 4096 の整数を入力します。

複数の、非連続の VLAN の場合、 101, 201, 302 というような形のカンマ区切りを使用して入力します。

VLAN 範囲の場合、フォーマット <最初の VLAN>-<最後の VLAN> を使用します(たとえば 101-150 )。

(注) VLAN は管理コンテキストで変更できません。

Default Gateway for IPv4

デフォルト ゲートウェイの IPv4 アドレスを入力します。最大 8 個のアドレスを入力できます。192.168.65.1, 192.168.64.2 のように、複数の IP アドレスを指定する場合はカンマ区切りのリストを使用します。

すでに ACEで設定された、ネットマスクのある IP アドレスが 0.0.0.0 のデフォルト スタティック ルートがこのフィールドに表示されます。

Default Gateway for IPv6

デフォルト ゲートウェイの IPv6 アドレスを入力するか、または転送 VLAN インターフェイスか BVI を選択します。次を参照してください。

[IPv6 Address] フィールド:ゲートウェイ ルータのアドレス(このルートのネクストホップ アドレス)を入力します。次に、右矢印を使用して [Selected] フィールドにそのアドレスを移動します。[Outgoing Interfaces] 設定から、選択した VLAN または BVI を含む最大 8 個のアドレスを入力できます。

ACE に設定済みのデフォルト スタティック ルートがプレフィックスおよび IP アドレス ::0 とともに [Selected] フィールドに表示されます。

[Outgoing Interfaces]:リンクローカル アドレスのみに使用される VLAN または BVI を選択します。次に、VLAN または BVI のインターフェイス番号を選択します。

Management Settings

VLAN Id

管理インターフェイスに割り当てる VLAN 番号を入力します。有効値の範囲は 2 ~ 4094 です。デフォルトでは、すべてのデバイスが、デフォルト VLAN と呼ばれる VLAN1 に割り当てられます。

管理インターフェイスに割り当てられている、選択済みの VLAN ID に関連付けられている管理クラス マップとポリシー マップが ACE Device Manager により識別されます。

このフィールドは、既存のコンテキストに対して設定されている場合は読み取り専用です。

VLAN Description

管理インターフェイスの説明を入力します。スペースを含めて最大 240 文字の英数字を、引用符で囲まれていないテキスト文字列として入力します。

Interface Mode

選択した ACE 仮想コンテキストの関係をネットワーク内の実サーバに反映するトポロジを選択します。

[Routed]:ACE 仮想コンテキストは、クライアント側のネットワークとサーバ側のネットワーク間のルータとして機能します。このトポロジでは、仮想コンテキスト サーバ側の VLAN インターフェイス アドレスへのデフォルト ゲートウェイを各実サーバに設定するか、または ACE 仮想コンテキストと実サーバ間に適切なルートが設定されている別のルータを使用して、アプリケーションのすべての実サーバを ACE 仮想コンテキスト経由でルーティングする必要があります。

[Bridged]:仮想 ACE が、ブリッジされた仮想インターフェイス(BVI)を使用して、同じサブネット上の 2 つの VLAN(クライアント側 VLAN と実サーバ VLAN)をブリッジします。この場合、実サーバのルーティングは ACE 仮想コンテキストに対応するように変更されません。代わりに、仮想 ACE により、実サーバとの間のトラフィックが透過的に処理されます。

このフィールドは、既存のコンテキストに対して設定されている場合は読み取り専用です。

Management IP

コンテキストのリモート管理に使用される IPv4 アドレスを入力します。このアドレスは、別のコンテキストでは使用されていない一意な管理 IP アドレスである必要があります。DM は、異なるコンテキストでの重複した管理 IP アドレスはサポートしません。

(注) VLAN インターフェイスに管理ポリシー マップが関連付けられている場合、Device Manager はそのインターフェイスを管理インターフェイスと見なします。「仮想コンテキスト VLAN インターフェイスの設定」を参照してください。

Management Netmask

この IP アドレスに適用するサブネット マスクを選択します。

Alias IP Address

このインターフェイスと関連付けるエイリアスの IPv4 アドレスを入力します。

Peer IP Address

リモート ピアの IPv4 アドレスを入力します。

Access Permission

管理インターフェイスで許可される送信元 IP アドレスのアクセス権限を以下から選択します。

[Allow All]:ネットワーク トラフィック一致基準として、管理インターフェイスに設定されているすべてのクライアントの送信元 IP アドレスを許可します。

[Deny All]:ネットワーク トラフィック一致基準として、管理インターフェイスに設定されているすべてのクライアントの送信元 IP アドレスを拒否します。

[Match]:ACE が管理インターフェイスのトラフィックに使用する一致基準を指定する [Match Conditions] テーブルが表示されます。

Match Conditions

管理インターフェイスの VLAN ID を入力すると、[Match Condition] テーブルが表示されます。

この管理 VLAN で許可されるプロトコルを追加または変更するには、次の手順を実行します。

1. [Add] をクリックして管理インターフェイスのプロトコルを選択するか、または [Match Condition] テーブルに一覧表示されている既存のプロトコル エントリを選択し、[Edit] をクリックして変更します。

2. [Protocol] ドロップダウン リストで、プロトコルを選択します。

[HTTP]:ハイパーテキスト転送プロトコル(HTTP)を指定します。

[HTTPS]:ポート 443 を使用したインターフェイスとの接続にハイパーテキスト転送プロトコル セキュア(HTTPS)を指定します。

[ICMP]:インターネット プロトコル バージョン 4(IPv4)にインターネット制御メッセージ プロトコル(ICMP)を指定します。

[ICMPv6]:インターネット プロトコル バージョン 6(IPv6)にインターネット制御メッセージ プロトコル バージョン 6(ICMPv6)を指定します。

[KALAP UDP]:Keepalive Appliance Protocol over UDP を指定します。

[SNMP]:簡易ネットワーク管理プロトコル(SNMP)を指定します。


) SNMP が選択されていない場合、ACE アプライアンス Device Manager はコンテキストをポーリングできません。


[SSH]:ACE との接続に Secure Shell(SSH)を指定します。

[TELNET]:ACE との接続に Telnet を指定します。

[XML-HTTPS]:ポート 10443 を使用した、ACE アプライアンスとネットワーク管理システム(NMS)間における XML ドキュメントの送受信用の転送プロトコルとして HTTPS を指定します。このオプションは、ACE アプライアンスにのみ使用できます。

3. [Allowed From] フィールドで、クライアントの送信元 IP アドレスの一致基準を指定します。

[Any]:管理トラフィック分類用の任意のクライアント送信元アドレスを指定します。

[Source Address]:ネットワーク トラフィック一致条件として、クライアント送信元ホストの IP アドレスを指定します。ICMPv6 送信元アドレスは IPv6 アドレスだけを受け入れます。

[Source Netmask]:サブネット マスクを選択します。このフィールドは、ICMPv6 には適用されません。

[Source Prefix Length]:(ICMPv6 のみ)プレフィックス長(1 ~ 128 の値)を入力します。

4. プロトコルの選択を受け入れるには、[OK] をクリックします。エントリを受け入れないで終了するには、[Cancel] をクリックします。

をクリックします。

Enable SNMP Get

SNMP Get コミュニティ ストリングを追加して、このコンテキストの SNMP ポーリングをイネーブルにするには、このチェックボックスをオンにします。

このフィールドは、既存のコンテキストに対して設定されている場合は読み取り専用です。

SNMP v2c Read-Only Community String

[Enable SNMP Get] チェックボックスをオンにすると、このフィールドが表示されます。

SNMP Get コミュニティ ストリングとして使用される SNMPv2c の読み取り専用コミュニティ ストリングを入力します。

このフィールドは、既存のコンテキストに対して設定されている場合は読み取り専用です。

(注) SNMP が許可されていないプロトコルの場合、ACE アプライアンス Device Manager はコンテキストをポーリングできません。

Add Admin User

最初にコンテキストを設定するときは、このチェックボックスをオンにして、admin ユーザに対してこのコンテキストを設定します。フィールドが表示されたら、ユーザ名とパスワードを入力し、パスワードを確認します。

More Settings

Switch Mode

宛先が VIP ではない、またはトラフィックに関連付けられたポリシーがない TCP 接続を ACE が処理する方法を変更するには、このチェックボックスをオンにします。このようなトラフィックの場合でも、ACE は接続オブジェクトを作成しますが、ステートレスな接続として接続を処理します。つまり、TCP 正規化チェックは行われません。このオプションがイネーブルになっている場合、ACE は、設定されている他の要件をすべて満たす非 SYN TCP パケットのステートレスな接続も作成します。このプロセスにより、接続に関連する任意の着信パケットによって再確立されることで、タイムアウトしている場合でも、所要時間の長い固定接続が ACE を正常に通過することができます。

デフォルトでは、ステートレスな接続は、パラメータ マップに非アクティブ タイムアウトを別途設定している場合を除き、2 時間 15 分後にタイムアウトになります。ステートレスな接続がタイムアウトした場合、ACE は TCP RST パケットを送信せず、接続をそのまま終了します。これらの接続はステートレスですが、TCP RST および FIN-ACK フラグは受け入れられ、ACE が受信パケット内でこれらのフラグを確認すると接続が閉じます。

Shared VLAN Host Id

ACE で使用される具体的な MAC アドレス バンク。1 ~ 16 の数字を入力します。必ず、複数の ACE に対して異なるバンク番号を設定してください。このフィールドは、管理コンテキストでのみ使用できます。

Regex Compilation Timeout (minutes)

正規表現のコンパイルのタイムアウト(分単位)を入力します。正規表現を設定していて、コンパイルが設定されたタイムアウトよりも長い場合、ACE は正規表現のコンパイルを停止します。有効な入力は 1~500 の整数です。デフォルトのタイムアウトは 60 です。このフィールドは、管理コンテキストでのみ使用できます。

ステップ 4 次のいずれかを実行します。

[Deploy Now] をクリックして、この仮想コンテキストを導入します。別の仮想コンテキスト属性を設定する場合は、「仮想コンテキストの設定」を参照してください。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[All Virtual Contexts] テーブルに戻ります。


 

関連トピック

「仮想コンテキストの使用」

「仮想コンテキストの設定」

仮想コンテキストの設定

仮想コンテキストの作成後、これを設定できます。仮想コンテキストの設定には、 設定サブセット にグループ化された、多くの属性の構成が必要です。表 4-2 は、ACE アプライアンス Device Manager の設定サブセットを示したもので、関連トピックへのリンクも示しています。


) ACE アプライアンスがハイ アベイラビリティ ペアでホットスタンバイとして設定されている場合、その設定を変更することはできず、仮想コンテキストの追加や修正を行えません。ホットスタンバイ メンバーとして設定されている ACE アプライアンスでは、[All Virtual Contexts] テーブル([Config] > [Virtual Contexts])内にある [HA State] 列に [Standby Hot] と表示されます。詳細については、「ハイ アベイラビリティ ポーリング」を参照してください。



) 実サーバやサーバ ファームなどのオブジェクトをカスタマイズ済みドメインに追加するには、CLI を使用してから、ACE アプライアンス Device Manager の同期機能を使用してこのオブジェクトを ACE アプライアンス Device Manager のカスタマイズ済みドメインに追加します。ACE アプライアンス Device Manager でカスタマイズしたドメインにオブジェクトを直接追加すると、オブジェクトはデフォルト ドメインに追加されます。

同期オプションは、[All Virtual Contexts] テーブル([Config] > [Virtual Contexts])で選択できます。



ヒント 2 ~ 3 の選択肢のあるフィールドではオプション ボタンを使用します。3 つを超える選択肢のあるフィールドでは、ドロップダウン リストを使用します。

 

表 4-2 ACE アプライアンスおよび仮想コンテキスト設定オプション

設定サブセット
説明
関連トピック

System

システム設定オプションにより、次のことが設定可能です。

VLAN、SNMP アクセス、およびリソース クラスなどのプライマリ属性

ログされる syslog メッセージのタイプや重大度、syslog ログ ホスト、ログ メッセージ、ログ レート制限を含む、Syslog 属性

SNMP 属性。

仮想コンテキスト上の全 VLAN に対するグローバル ポリシー マップ設定

ACE アプライアンスで使用する ACE ライセンス。

ACE アプライアンス リソース割り当てのリソース クラス

ACE アプライアンスでのアプリケーション アクセラレーションおよび最適化

既知で不変の実行コンフィギュレーションのチェックポイント(スナップショット)。

ACE 全体または特定の仮想コンテキストのコンフィギュレーションおよび依存関係のバックアップまたは復元。

(注) ACE アプライアンス ライセンス、リソース クラス、アクセラレーションおよび最適化は、管理コンテキストだけで設定可能です。

「仮想コンテキスト プライマリ属性の設定」

「仮想コンテキスト syslog ロギングの設定」

「仮想コンテキストの SNMP 設定」

「仮想コンテキスト グローバル トラフィック ポリシーの設定」

「ACE アプライアンス ライセンスの管理」

「リソース クラスの管理」

「グローバル アプリケーション アクセラレーションおよび最適化の設定」

「コンフィギュレーション チェックポイントとロールバック サービスの使用方法」

「デバイスのバックアップおよび復元機能の実行」

Load Balancing

ロード バランシング属性で可能なことは次のとおりです。

ロード バランシングに対する仮想サーバ、実サーバ、およびサーバ ファームの設定。

プレディクタ方式および戻りコード チェックの確立。

セッションの持続性に対するスティッキ グループの実装。

ポリシー マップの関連アクションを組み合わせるためのパラメータ マップの設定。

ロード バランシング設定オプションには、次のものがあります。

仮想サーバ

実サーバ

サーバ ファーム

ヘルス モニタリング

スティッキ属性

パラメータ マップ

Secure KAL-AP

動的ワークロード拡張(管理コンテキストのみ)

「ロード バランシングの概要」

「仮想サーバの設定」

「サーバ ファームの設定」

「実サーバに対するヘルス モニタリングの設定」

「スティッキ グループの設定」

「パラメータ マップの設定」

「セキュア KAL-AP の設定」

「動的ワークロード拡張の設定」

SSL

SSL 設定オプションにより、次のことが可能になります。

SSL 証明書およびキーのインポートとエクスポート。

SSL パラメータ マップおよびチェーン グループ パラメータの設定。

認証局に送信する証明書署名要求の生成。

ピア証明書の認証。

クライアント認証中に使用する証明書失効リストの設定。

OCSP を使用した証明書失効チェック用のホスト サーバを定義するための、Online Certificate Status Protocol(OCSP)サービスの設定。

「SSL の設定」

「SSL 証明書の使用」

「SSL キーの使用」

「CSR の生成」

「SSL パラメータ マップの設定」

「SSL チェーン グループ パラメータの設定」

「SSL プロキシ サービスの設定」

「SSL 証明書グループの設定」

「SSL OCSP サービスの設定」

「クライアント認証での CRL の設定」

Security

セキュリティ設定オプションにより、アクセス コントロール リストの作成、ACL 属性の設定、ACL のリシーケンス、ACL の削除、オブジェクト グループの設定が可能になります。

「仮想コンテキスト エキスパート オプション設定」

「ACL の作成」

「オブジェクト グループの設定」

Network

ネットワーク設定オプションにより、次のことが設定可能です。

ポート チャネル インターフェイス

ギガビット イーサネット インターフェイス

VLAN インターフェイス

BVI インターフェイス

VLAN インターフェイス用ネットワーク アドレス変換(NAT)プール

スタティック ルート

DHCP リレー エージェント

(注) ポート チャネル インターフェイスおよびギガビット イーサネット インターフェイスは、管理コンテキストでのみ設定できます。

「仮想コンテキスト BVI インターフェイスの設定」

「ギガビット イーサネット インターフェイスの設定」

「仮想コンテキスト VLAN インターフェイスの設定」

「仮想コンテキスト BVI インターフェイスの設定」

「VLAN インターフェイス NAT プールの設定および NAT 使用率の表示」

「仮想コンテキスト スタティック ルートの設定」

「グローバル IP DHCP の設定」

High Availability

ハイアベイラビリティ(HA)属性により、フォルトトレラント冗長性に対して 2 つの ACE アプライアンスを設定できます。

(注) ハイ アベイラビリティは管理仮想コンテキストだけで設定できます。

「ハイ アベイラビリティの設定」

「ハイ アベイラビリティ ピアの設定」

「ACE ハイ アベイラビリティ グループの設定」

HA Tracking And Failure Detection

HA トラッキングおよび障害検出属性により、信頼できる耐障害性を確保するのに役立つトラッキング プロセスを設定できます。

「ハイ アベイラビリティ トラッキングおよび障害検出の概要」

「ハイ アベイラビリティ対応 VLAN インターフェイスのトラッキング」

「ハイ アベイラビリティ対応ホストのトラッキング」

Expert

エキスパート オプションにより、次のことが可能になります。

ACE アプライアンスを通じて受信または渡されたトラフィックのフィルタリングと処理のトラフィック ポリシー設定

最適化アクション リストの設定

HTTP ヘッダー修正アクション リストの設定

「トラフィック ポリシーの設定」

「HTTP 最適化アクション リストの設定」

「HTTP ヘッダー修正アクション リストの設定」

仮想コンテキスト システム属性の設定

表 4-3 は、ACE アプライアンス Device Manager 仮想コンテキスト システム設定オプションと詳細情報の関連トピックを示したものです。

 

表 4-3 仮想コンテキスト システム設定オプション

システム設定オプション
関連トピック

仮想コンテキスト プライマリ属性の指定

「仮想コンテキスト プライマリ属性の設定」

syslog オプションの指定

「仮想コンテキスト syslog ロギングの設定」

「syslog ログ ホストの設定」

「syslog ログ メッセージの設定」

「syslog ログ レート制限の設定」

SNMP 属性の設定

「仮想コンテキストの SNMP 設定」

「SNMPv2c コミュニティの設定」

「SNMPv3 ユーザの設定」

「SNMP トラップ宛先ホストの設定」

「SNMP 通知の設定」

仮想コンテキスト上の全 VLAN に対するグローバル ポリシー マップの確立

「仮想コンテキスト グローバル トラフィック ポリシーの設定」

ACE アプライアンス ライセンスの管理

「ACE アプライアンス ライセンスの管理」

仮想コンテキスト全体での ACE アプライアンス リソースの管理

「リソース クラスの管理」

ACE アプライアンスのアプリケーション アクセラレーションおよび最適化の確立

「グローバル アプリケーション アクセラレーションおよび最適化の設定」

ACE 全体または特定の仮想コンテキストのコンフィギュレーションおよび依存関係のバックアップまたは復元

「デバイスのバックアップおよび復元機能の実行」

仮想コンテキスト プライマリ属性の設定

プライマリ属性は、各仮想コンテキストの名前とリソース クラスを指定します。この情報を提供した後、インターフェイス、モニタリング、ロード バランシングなど他の属性を設定できます。設定オプションの全リストについては、「仮想コンテキストの設定」を参照してください。

この手順を使用して仮想コンテキスト プライマリ属性を設定します。

手順


ステップ 1 [Config] > [Virtual Contexts]> [ context ] > [System] > [Primary Attributes] を選択します。

[Primary Attributes] 設定画面が表示されます。

ステップ 2 表 4-1 の説明に従って、この仮想コンテキストのプライマリ属性を入力します。

ステップ 3 [Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

入力を受け入れずにこの手順を終了するには、別の設定オプションを選択します。


 

関連トピック

「仮想コンテキストの使用」

「仮想コンテキスト VLAN インターフェイスの設定」

「仮想コンテキスト BVI インターフェイスの設定」

「仮想コンテキスト syslog ロギングの設定」

「トラフィック ポリシーの設定」

仮想コンテキスト syslog ロギングの設定

ACE アプライアンス Device Manager は、syslog ロギングを使用して、メッセージを生成したプロセスとは非同期で指定場所にメッセージを記録するプロセスにログ メッセージを送信します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [Syslog] を選択します。

[Syslog] 設定画面が表示されます。

ステップ 2 表示されるフィールドに syslog ロギング属性を入力します( 表 4-5 を参照)。

syslog の重大度レベルを選択する必要のある全フィールドでは表 4-4 内の値を使用します。

 

表 4-4 syslog ロギング レベル

重大度
説明

0:Emergency

システム使用不可能

1:Critical

クリティカル状態

2:Warning

警告状態

3:Alert

即時対応が必要

4:Error

エラー状態

5:Notification

正常だが注意を要する状態

6:Information

単なる情報メッセージ

7:Debug

デバッグ中だけ表示

指定する重大度は、そのレベル以上の重大度を持つ syslog メッセージを送信する必要があることを示します。たとえば [Error] を指定した場合、syslog には [Error]、[Critical]、[Alert]、[Emergency] メッセージが表示されます。


) すべての syslog のレベルを [Debug] に設定した場合、switchover などのコマンドは正常に処理されません。これらのコマンドは、CLI を介して発行され、[Debug] レベルがイネーブルの場合 ACE アプライアンス Device Manager は返されたプロンプトを解析できません。代わりに、タイムアウト メッセージが表示されます。

syslog レベルを [Debug] に設定し、タイムアウト メッセージとなるコマンドを発行した場合、[Refresh] をクリックして操作の結果を表示します。



) 通常操作中にすべての syslog レベルを [Debug] に設定すると、全体のパフォーマンスが低下する可能性があります。


 

表 4-5 仮想コンテキスト syslog 設定属性

フィールド
説明
アクション

Enable Syslog

このオプションは、syslog ロギングがイネーブルかディセーブルかを示します。

チェックボックスをオンにして syslog ロギングをイネーブルにするか、チェックボックスをクリアして syslog ロギングをディセーブルにします。

Facility

syslog デーモンは、指定された syslog ファシリティを使用して受信したメッセージの処理方法を決定します。メッセージ内のファシリティ番号に基づいた syslog サーバ ファイルまたは直接メッセージです。

syslog デーモンおよびファシリティ レベルの詳細については、syslog デーモンの文書を参照してください。

ネットワークに最適なファシリティを入力します。

有効な入力は 16(LOCAL0)~ 23(LOCAL7)です。ACE アプライアンスのデフォルトは 20(LOCAL4)です。

Buffered Level

このオプションにより、ローカル バッファへのシステム ロギングが可能になり、重大度に基づいてバッファへ送信されるメッセージが制限されます。

システム ログ メッセージをローカル バッファへ送信する必要なレベルを選択します。

このオプションは、デフォルトで無効です。

Console Level

このオプションは、コンソールに送信されるシステム ログ メッセージの最大レベルを指定します。

システム ログ メッセージをコンソールへ送信する必要なレベルを選択します。

このオプションは、デフォルトで無効です。

(注) コンソールへのロギングは、システム パフォーマンスを低下させる可能性があります。したがって、テストや問題のデバッグ時にだけコンソールへメッセージを記録することを推奨します。ACE アプライアンスのパフォーマンスが低下する可能性があるため、ネットワークがビジーの場合にこのオプションを使用しないでください。

History Level

このオプションは、SNMP 管理ステーションへトラップとして送信されるシステム ログ メッセージの最大レベルを指定します。

SNMP ネットワーク管理ステーションへトラップとしてシステム ログ メッセージを送信する必要なレベルを選択します。

このオプションは、デフォルトで無効です。

(注) SNMP の設定方法の詳細については、「SNMP 通知の設定」を参照してください。

Monitor Level

このオプションは、ACE アプライアンスでセキュア シェル(SSH)または Telnet を使用してリモート接続へ送信されるシステム ログ メッセージの最大レベルを指定します。

ACE アプライアンスで SSH または Telnet を使用してリモート接続へシステム ログ メッセージを送信する必要レベルを選択します。

このオプションは、デフォルトで無効です。

(注) このオプションが機能するために、ACE アプライアンスでリモート アクセスをイネーブル化して、PC から SSH または Telnet プロトコルを使用してリモート接続を確立する必要があります。

Persistence Level

このオプションは、フラッシュ メモリに送信されるシステム ログ メッセージの最大レベルを指定します。

システム ログ メッセージをフラッシュ メモリへ送信する必要なレベルを選択します。

このオプションは、デフォルトで無効です。

(注) ACE アプライアンスにおいて高レートでフラッシュ メモリにロギングするとパフォーマンスに影響があるため、3 などの低めの重大度を使用することをお勧めします。

Trap Level

このオプションは、syslog サーバに送信されるシステム ログ メッセージの最大レベルを指定します。

システム ログ メッセージを syslog サーバへ送信する必要なレベルを選択します。

このオプションは、デフォルトで無効です。

Queue Size

このオプションは、処理を待機中に ACE アプライアンス内の他のプロセスから受信する syslog メッセージを格納するためのバッファのサイズを指定します。キューが指定の値を超過した場合、超過したメッセージは廃棄されます。

必要なキュー サイズを入力します。

有効な入力は 0 ~ 8192 メッセージです。

デフォルト値は 100 メッセージです。

Enable Timestamp

このオプションは、syslog メッセージにメッセージが生成された日付と時刻が含まれているかどうかを示します。

チェックボックスをオンにして syslog メッセージでタイムスタンプをイネーブルにするか、チェックボックスをクリアして syslog メッセージでタイムスタンプをディセーブルにします。

このオプションは、デフォルトで無効です。

Enable Standby

このオプションは、フェールオーバー スタンバイ ACE アプライアンスでロギングをイネーブルにするかどうかを示します。イネーブルの場合は、次のようになります。

この機能により、syslog サーバへのメッセージ トラフィックが 2 倍になります。

フェールオーバー発生時にはスタンバイ ACE アプライアンス syslog メッセージは同期したままになります。

チェックボックスをオンにしてフェールオーバー スタンバイ ACE アプライアンスでロギングをイネーブルにするか、チェックボックスをクリアしてフェールオーバー スタンバイ ACE アプライアンスでロギングをディセーブルにします。

Enable Fastpath Logging

このオプションは、接続のセットアップおよびティアダウン メッセージがログされるかどうかを示します。

チェックボックスをオンにしてセットアップおよびティアダウン メッセージのロギングをイネーブルにするか、チェックボックスをクリアしてセットアップおよびティアダウン メッセージのロギングをディセーブルにします。

このオプションは、デフォルトで無効です。

Device Id Type

このオプションは、syslog サーバに送信される syslog メッセージが含まれる一意のデバイス ID のタイプを指定します。

デバイス ID は、EMBLEM フォーマット化されたメッセージ、SNMP トラップ、ACE アプライアンス コンソール、管理セッション、またはバッファで表示されません。

使用されるデバイス ID のタイプを選択します。

[Any String]:テスト文字列を使用して、ACE アプライアンスから送信された syslog メッセージを一意に識別することを示します。

[Context Name]:現在の仮想コンテキスト名を使用して、ACE アプライアンスから送信される syslog メッセージを一意に識別することを示します。

[Host Name]:ACE アプライアンスのホスト名を使用して、ACE アプライアンスから送信される syslog メッセージを一意に識別することを示します。

[Interface]:インターフェイスの IP アドレスを使用して、ACE アプライアンスから送信される syslog メッセージを一意に識別することを示します。

[Undefined]:使用される ID がないことを示します。

Device Interface Name

[Device Id Type] が [Interface] である場合このフィールドが表示されます。

このオプションは、ロギング デバイス インターフェイスを使用して ACE アプライアンスから送信された syslog メッセージを一意に識別することを指定します。

ID がシステム メッセージに含まれているロギング デバイス インターフェイス名を一意に識別するテキスト文字列を入力します。最大文字列長はスペースなしで 64 文字です。&(アンパサンド)、'(単一引用符)、"(二重引用符)、<(小なり)、>(大なり)、または ?(疑問符)は使用しないでください。

Logging Device Id

[Device ID Type] が [Any String] である場合このフィールドが表示されます。

このオプションは、テキスト文字列を使用して ACE アプライアンスから送信された syslog メッセージを一意に識別することを指定します。

ACE アプライアンスから送信された syslog メッセージを一意に識別するテキスト文字列を入力します。最大文字列長はスペースなしで 64 文字です。&(アンパサンド)、'(単一引用符)、"(二重引用符)、<(小なり)、>(大なり)、または ?(疑問符)は使用しないでください。

ステップ 3 [Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

この仮想コンテキストの他の Syslog 属性の設定については、次のトピックを参照してください。

「syslog ログ ホストの設定」

「syslog ログ メッセージの設定」

「syslog ログ レート制限の設定」


 

関連トピック

「仮想コンテキストの設定」

「syslog ログ ホストの設定」

「syslog ログ メッセージの設定」

「syslog ログ レート制限の設定」

syslog ログ ホストの設定

syslog の基本特性を設定後(「仮想コンテキスト syslog ロギングの設定」を参照)、ログ ホスト、ログ メッセージ、およびログ レート制限を設定できます。これらの属性のタブは、[Syslog] 設定画面の下に表示されます。

注意事項および制約事項

コンテキストごとに最大 4 つのログ ホストを指定して ACE を設定できます。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [Syslog] を選択します。

[Syslog] 設定画面が表示されます。

ステップ 2 [Log Host] タブを選択します。

[Log Host] テーブルが表示されます。

ステップ 3 [Add] をクリックして新規ログ ホストを追加するか、既存のログ ホストを選択し、[Edit] をクリックして修正します。

[Log Host] 設定画面が表示されます。

ステップ 4 [IP Address] フィールドに、syslog サーバとして使用するホストの IPv4 アドレスを入力します。

ステップ 5 [Protocol] フィールドで、使用するプロトコルとして [TCP] または [UDP] を選択します。

ステップ 6 [Protocol Port] フィールドに、syslog サーバが syslog メッセージをリッスンするポートの数を入力します。

有効なエントリは 1 ~ 65535 です。TCP のデフォルト ポートは 1470、UDP の場合は 514 です。

ステップ 7 存在する場合は、[Default UDP] チェックボックスをオンにして、syslog サーバとの通信で TCP 転送が失敗した場合、ACE アプライアンスで UDP がデフォルトになるように指定します。

[Protocol] フィールドで [TCP] を選択する(ステップ 5)と、[Default UDP] チェックボックスが表示されます。TCP 転送が失敗した場合に ACE アプライアンスで UDP がデフォルトにならないようにするには、このチェックボックスをクリアします。

ステップ 8 [Format] フィールドで、次のように、EMBLEM フォーマット ロギングを使用するかどうかを指定します。

[N/A]:EMBLEM フォーマット ロギングをイネーブルにしないことを示します。

[Emblem]:EMBLEM フォーマット ロギングが各 syslog サーバでイネーブルであることを示します。Cisco Resource Manager Essentials(RME)ソフトウェアを使用してネットワーク上で syslog メッセージを収集し処理する場合、RME を処理できるように EMBLEM フォーマット ロギングをイネーブルにします。同様に、Cisco Resource Manager Essentials(RME)syslog アナライザでは UDP syslog メッセージだけがサポートされるため、UDP をイネーブルにする必要があります。

ステップ 9 次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して [Log Host] テーブルに戻ります。

[Add Another] をクリックして、別の syslog ホストを設定します。


 

関連トピック

「仮想コンテキスト syslog ロギングの設定」

「syslog ログ メッセージの設定」

「syslog ログ レート制限の設定」

syslog ログ メッセージの設定

syslog の基本特性を設定後(「仮想コンテキスト syslog ロギングの設定」を参照)、ログ ホスト、ログ メッセージ、およびログ レート制限を設定できます。これらの属性のタブは、[Syslog] 設定画面の下に表示されます。

この手順を使用して syslog ログ メッセージを設定します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [Syslog] を選択します。

[Syslog] 設定画面が表示されます。

ステップ 2 [Log Message] タブをクリックします。

[Log Message] テーブルが表示されます。

ステップ 3 [Add] をクリックして新規エントリをこのテーブルに追加するか、既存エントリを選択し、[Edit] をクリックして修正します。

[Log Message] 設定画面が表示されます。

ステップ 4 [Message Id] フィールドで、syslog サーバに送信されるか、syslog サーバに送信されない syslog メッセージのシステム ログ メッセージ ID を選択します。

ステップ 5 指定されたメッセージ ID でロギングがイネーブルであることを示すには、[Enable State] チェックボックスをオンにします。

指定されたメッセージ ID でロギングがイネーブルでないことを示すには、[Enable State] チェックボックスをクリアします。[Enable State] チェックボックスをオンにした場合、[Log Level] フィールドが表示されます。

ステップ 6 [Log Level] フィールドで、表 4-4 で識別されたレベルを使用して、syslog サーバへ送信される syslog メッセージの必要なレベルを選択します。

ステップ 7 次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して [Log Message] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、この仮想コンテキストの追加 syslog メッセージ エントリを設定します。


 

関連トピック

「仮想コンテキスト syslog ロギングの設定」

「syslog ログ ホストの設定」

「syslog ログ レート制限の設定」

syslog ログ レート制限の設定

syslog の基本特性を設定後(「仮想コンテキスト syslog ロギングの設定」を参照)、ログ ホスト、ログ メッセージ、およびログ レート制限を設定できます。これらの属性のタブは、[Syslog] 設定画面の下に表示されます。

この手順を使用して、ACE アプライアンスが syslog 内でメッセージを生成するレートを制限します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [Syslog] を選択します。

[Syslog] 設定画面が表示されます。

ステップ 2 [Log Rate Limit] タブをクリックします。

[Log Rate Limit] テーブルが表示されます。

ステップ 3 [Add] をクリックして新規エントリをこのテーブルに追加するか、既存エントリを選択し、[Edit] をクリックして修正します。

[Log Rate Limit] 設定画面が表示されます。

ステップ 4 [Type] フィールドで、次のように、syslog メッセージを制限する方法を指定します。

[Level] を選択して、syslog レベルで syslog メッセージを制限します。[Level] フィールドで、表 4-4 で識別されたレベルを使用して、syslog サーバへ送信される syslog メッセージのレベルを選択します。

[Message] を選択して、メッセージ識別番号で syslog メッセージを制限します。[Message Id] フィールドで、レポートを抑制するメッセージの syslog メッセージ ID を選択します。

ステップ 5 システム メッセージ ロギングに制限を適用しないことを示すには、[Unlimited] チェックボックスをオンにします。

システム メッセージ ロギングに制限を適用することを示すには、[Unlimited] チェックボックスをオフにします。[Unlimited] チェックボックスをクリアすると、[Rate] および [Time Interval] フィールドが表示されます。

ステップ 6 [Unlimited] チェックボックスをオフにする場合は、次のように、システム メッセージ ロギングに適用する制限を指定します。

a. [Rate] フィールドで、syslog メッセージ作成を制限する数を入力します。この制限に到達した場合、ACE アプライアンスが指定レートを超えないように新規 syslog メッセージの作成を制限します。有効な入力は 0 ~ 2147483647 の整数です。

b. [Time Interval (Seconds)] フィールドに、システム メッセージ ログを制限する期間(秒数)を入力します。デフォルトの時間間隔は 1 秒です。たとえば、[Rate] フィールドに 42 を入力して [Time Interval (Seconds)] フィールドに 60 を入力した場合、ACE アプライアンスでは、最大 42 のメッセージを 60 秒間隔で送信するように syslog メッセージの作成が制限されます。有効な入力は 0 ~ 2147483647 秒です。

ステップ 7 次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して [Log Rate Limit] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、別のエントリを [Log Rate Limit] テーブルに追加します。


 

関連トピック

「仮想コンテキストの設定」

「仮想コンテキスト syslog ロギングの設定」

「syslog ログ ホストの設定」

「syslog ログ メッセージの設定」

仮想コンテキストの SNMP 設定

ここでは、仮想コンテキストの SNMP 属性を設定する方法について説明します。内容は次のとおりです。

「SNMP の基本属性の設定」

「SNMPv2c コミュニティの設定」

「SNMPv3 ユーザの設定」

「SNMP トラップ宛先ホストの設定」

「SNMP 通知の設定」

SNMP の基本属性の設定

この手順を使用して、この仮想コンテキストとともに使用する SNMP の基本属性を設定します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [SNMP] を選択します。

[SNMP] 設定画面が表示されます。

ステップ 2 SNMP 属性を入力します(表 4-6 を参照)。

 

表 4-6 SNMP 属性

フィールド
説明

Contact Information

スペースを含めて最大 240 文字のテキスト文字列として、仮想コンテキスト内の SNMP サーバの連絡情報を入力します。名前の他に、電話番号や電子メール アドレスを含めることができます。スペースを含めるには、エントリの最初と最後に引用符を追加します。

Location

スペースを含めて最大 240 文字のテキスト文字列としてシステムの物理的な場所を入力します。スペースを含めるには、エントリの最初と最後に引用符を追加します。

Unmask Community

チェックボックスをオンにして、SNMP-COMMUNITY-MIB の snmpCommunityName OID と snmpCommunitySecurityName OID のマスクを解除します。

これらの OID をマスクするには、チェックボックスをオフにします。デフォルトでは、マスクされています(チェックボックスはオフ)。

Trap Source Interface

SNMP トラップが生成されるインターフェイスを識別する有効な VLAN 番号を入力します。

IETF Trap

ACE アプライアンスが、ifIndex、ifAdminStatus、ifOperStatus で構成されている、IETF 標準 IF-MIB(RFC 2863)変数バインドを持つ linkUp および linkDown トラップを送信することを示すには、チェックボックスをオンにします。

ACE アプライアンスが IETF 標準 IF-MIB(RFC 2863)変数バインドを持つ linkUp および linkDown トラップを送信しないことを示すには、チェックボックスをクリアします。代わりに、ACE アプライアンスはデフォルトで Cisco var-binds を送信します。

ステップ 3 [Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

他の SNMP 属性を設定については、次のトピックを参照してください。

「SNMPv2c コミュニティの設定」

「SNMPv3 ユーザの設定」

「SNMP トラップ宛先ホストの設定」

「SNMP 通知の設定」


 

関連項目

「仮想コンテキストの設定」

SNMPv2c コミュニティの設定

仮想コンテキストの基本 SNMP 情報を設定後(「仮想コンテキストの SNMP 設定」を参照)、SNMPv2c コミュニティ、SNMPv3 ユーザ、トラップ宛先のホスト、SNMP 通知などの他の SNMP 属性を設定できます。これらの属性のタブは、[SNMP] 設定画面の下に表示されます。


) ACE アプライアンス Device Manager内のすべての SNMP コミュニティは、読み取り専用コミュニティで、すべてのコミュニティはグループ network monitors に属します。


この手順を使用して、仮想コンテキスト用の SNMPv2c コミュニティを設定します。

前提

少なくとも 1 つの SNMP コンタクトを設定しておきます(「仮想コンテキストの SNMP 設定」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [SNMP] を選択します。

[SNMP] 設定画面が表示されます。

ステップ 2 [SNMP v2c Configuration] タブをクリックします。

[SNMP v2c Configuration] テーブルが表示されます。

ステップ 3 [Add] をクリックして、SNMP v2c コミュニティを追加します。

[SNMP v2c Configuration] 画面が表示されます。


) 既存 SNMP v2c コミュニティは修正できません。代わりに、既存の SNMP v2c コミュニティを削除して、新規コミュニティを追加します。


ステップ 4 [Read-Only Community] フィールドに、このコンテキストの SNMP v2c コミュニティ名を入力します。

有効な入力は、引用符で囲まずスペースを含まない 32 文字以下のテキスト文字列です。

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[SNMP v2c Community] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、この仮想コンテキストの別の SNMP コミュニティを設定します。画面がリフレッシュされて、別のコミュニティ名を入力できます。


 

関連トピック

「仮想コンテキストの設定」

「SNMPv3 ユーザの設定」

「SNMP トラップ宛先ホストの設定」

「SNMP 通知の設定」

SNMPv3 ユーザの設定

仮想コンテキストの基本 SNMP 情報を設定後(「仮想コンテキストの SNMP 設定」を参照)、SNMPv2c コミュニティ、SNMPv3 ユーザ、トラップ宛先のホスト、SNMP 通知などの他の SNMP 属性を設定できます。これらの属性のタブは、[SNMP] 設定画面の下に表示されます。

この手順を使用して、仮想コンテキスト用の SNMPv3 ユーザを設定します。

前提

少なくとも 1 つの SNMP コンタクトを設定しておきます(「仮想コンテキストの SNMP 設定」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [SNMP] を選択します。

[SNMP] 設定画面が表示されます。

ステップ 2 [SNMP v3 Configuration] タブをクリックします。

[SNMP v3 Configuration] テーブルが表示されます。

ステップ 3 [Add] をクリックしてユーザを追加するか、既存エントリを選択し、[Edit] をクリックして修正します。

[SNMP v3 Configuration] 画面が表示されます。

ステップ 4 SNMPv3 ユーザ属性を入力します(表 4-7 を参照)。

 

表 4-7 SNMP v3 ユーザ設定属性

フィールド
説明

User Name

SNMPv3 ユーザ名を入力します。有効な入力は、引用符で囲まずスペースを含まない 24 文字以下のテキスト文字列です。

Authentication Algorithm

このユーザに使用する認証アルゴリズムを選択します。

[N/A]:認証を使用しないことを示します。

[Message Digest (MD5)]:認証メカニズムとしてメッセージ ダイジェスト 5 を使用することを示します。

[Secure Hash Algorithm (SHA)]:認証メカニズムとして Secure Hash Algorithm を使用することを示します。

Authentication Password

認証アルゴリズムを選択するかどうかを表します。ACE アプライアンスは、SNMP 認証パスワードで CLI ユーザのパスワードを自動的に更新します。

次のようにして、このユーザの認証パスワードを入力します。

パスフレーズを平文で指定する場合、テキスト文字列を引用符で囲まず、スペースを使用せずに、8 ~ 64 文字の長さの英数字で入力します。パスワードの長さは偶数でも奇数でも問題ありません。

ローカライズされたキーの使用がイネーブルにされている場合、テキスト文字列を引用符で囲まず、スペースを使用せずに、8 ~ 130 文字の長さの英数字で入力します。パスワードの長さは偶数でなければなりません。

Confirm

認証アルゴリズムを選択するかどうかを表します。

認証パスワードを再入力します。

Localized

認証アルゴリズムを選択するかどうかを表します。

パスワードが、セキュリティ暗号化のローカライズされたキー フォーマットかどうかを示します。

[N/A]:このオプションが設定されていません。

[False]:パスワードが暗号化用にローカライズされたキー フォーマットになっていないことを示します。

[True]:パスワードが暗号化用にローカライズされたキー フォーマットになっていることを示します。

Privacy

認証アルゴリズムを選択するかどうかを表します。

暗号化属性がこのユーザ用に設定されているかどうかを示します。

[N/A]:暗号化属性が指定されていないことを示します。

[False]:暗号化パラメータがこのユーザ用に設定されていないことを示します。

[True]:暗号化パラメータがこのユーザ用に設定されていることを示します。

AES 128

[Privacy] を [True] に設定した場合に表示されます。

128 バイト高度暗号化規格(AES)アルゴリズムがプライバシーで使用されているかどうかを示します。AES は対称暗号アルゴリズムであり、SNMP メッセージ暗号化に対応するプライバシー プロトコルの 1 つです。

[N/A]:標準が指定されていないことを示します。

[False]:AES 128 がプライバシーに使用されないことを示します。

[True]:AES 128 がプライバシーに使用されることを示します。

Privacy Password

[Privacy] を [True] に設定した場合に表示されます。次のようにして、ユーザ暗号化パスワードを入力します。

パスフレーズを平文で指定する場合、テキスト文字列を引用符で囲まず、スペースを使用せずに、8 ~ 64 文字の長さの英数字で入力します。パスワードの長さは偶数でも奇数でも問題ありません。

ローカライズされたキーの使用がイネーブルにされている場合、テキスト文字列を引用符で囲まず、スペースを使用せずに、8 ~ 130 文字の長さの英数字で入力します。パスワードの長さは偶数でなければなりません。

Confirm

[Privacy] を [True] に設定した場合に表示されます。

プライバシー パスワードを再入力します。

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[SNMP v3 Configuration] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、別のエントリを [SNMP v3 Configuration] テーブルに追加します。画面がリフレッシュされて、別の SNMPv3 ユーザを入力できます。


 

関連トピック

「仮想コンテキストの設定」

「SNMPv2c コミュニティの設定」

「SNMP トラップ宛先ホストの設定」

「SNMP 通知の設定」

SNMP トラップ宛先ホストの設定

SNMP 通知を受信するには、次のことを設定する必要があります。

少なくとも 1 つの SNMP トラップ宛先ホスト。このセクションは、これを実行する方法について説明します。

少なくとも 1 タイプの通知。「SNMP 通知の設定」を参照してください。

仮想コンテキストの基本 SNMP 情報を設定後(「仮想コンテキストの SNMP 設定」を参照)、SNMPv2c コミュニティ、SNMPv3 ユーザ、トラップ宛先のホスト、SNMP 通知などの他の SNMP 属性を設定できます。これらの属性のタブは、[SNMP] 設定画面の下に表示されます。

この手順を使用して、仮想コンテキスト用の SNMP トラップ宛先ホストを設定します。

前提

少なくとも 1 つの SNMP コンタクトを設定しておきます(「仮想コンテキストの SNMP 設定」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [SNMP] を選択します。

[SNMP] 設定画面が表示されます。

ステップ 2 [Trap Destination Host] タブをクリックします。

[Trap Destination Host] テーブルが表示されます。

ステップ 3 [Add] をクリックしてホストを追加するか、テーブルで既存エントリを選択し、[Edit] をクリックして修正します。

[Trap Destination Host] 設定画面が表示されます。

ステップ 4 表 4-8 内の情報を使用して、SNMP トラップ宛先ホストを設定します。

 

表 4-8 SNMP トラップ宛先ホスト設定属性

フィールド
説明

IP Address

SNMP 通知を受信するサーバの IPv4 アドレスを入力します。

Port

SNMP 通知に使用されるポートを入力します。デフォルト ポートは 162 です。

Version

トラップを送信するのに使用される SNMP のバージョンを選択します。

[V1]:SNMPv1 を使用してトラップを送信することを示します。このオプションは、SNMP 応答要求と組み合わせての使用はできません。

[V2c]:SNMPv2c を使用してトラップを送信することを示します。

[V3]:SNMPv3 を使用してトラップを送信することを示します。このバージョンは、パケット暗号化が可能であるため最も安全なモデルです。

Community

通知操作で送信される SNMP コミュニティ ストリングまたはユーザ名を入力します。有効な入力は、引用符で囲まずスペースを含まない 32 文字以下のテキスト文字列です。

Security Level

このフィールドは、[V3] が選択されたバージョンの場合に表示されます。

実装されるセキュリティのレベルを選択します。

[Auth]:メッセージ ダイジェスト 5(MD5)および Secure Hash Algorithm(SHA)がパケット認証に使用されることを示します。

[Noauth]:AuthNoPriv セキュリティ レベルを使用することを示します。

[Priv]:データ暗号規格(DES)をパケット暗号化に使用することを示します。

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[Trap Destination Host] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、別のエントリを [Trap Destination Host] テーブルに追加します。画面がリフレッシュされて、別のトラップ宛先ホストを追加できます。


 

関連トピック

「仮想コンテキストの設定」

「SNMPv2c コミュニティの設定」

「SNMPv3 ユーザの設定」

「SNMP 通知の設定」

SNMP 通知の設定

仮想コンテキストの基本 SNMP 情報を設定後(「仮想コンテキストの SNMP 設定」を参照)、SNMPv2c コミュニティ、SNMPv3 ユーザ、トラップ宛先のホスト、SNMP 通知などの他の SNMP 属性を設定できます。これらの属性のタブは、[SNMP] 設定画面の下に表示されます。

SNMP 通知を受信するには、次のことを設定する必要があります。

少なくとも 1 つの SNMP トラップ宛先ホスト。「SNMP トラップ宛先ホストの設定」を参照してください。

この項で説明されている、少なくとも 1 種類の通知。

この手順を使用して、仮想コンテキスト用の SNMP 通知設定します。

前提条件

少なくとも 1 つの SNMP コンタクトを設定しておきます(「仮想コンテキストの SNMP 設定」を参照)。

少なくとも 1 つの SNMP サーバ ホストを設定しておきます(「SNMP トラップ宛先ホストの設定」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [SNMP] を選択します。

[SNMP] 設定画面が表示されます。

ステップ 2 [SNMP Notification] タブをクリックします。

[SNMP Notification] テーブルが表示されます。

ステップ 3 [Add] をクリックして新しいエントリを追加します。

[SNMP Notification] 設定画面が表示されます。


) 既存エントリは修正できません。代わりに、既存の通知エントリを削除して、新規エントリを追加します。


ステップ 4 [Option] フィールドで、SNMP ホストに送信される通知のタイプを選択します。

通知タイプについては、表 4-9を参照してください。

 

表 4-9 通知のタイプ

通知タイプ
説明
コンテキスト

Bandwidth

帯域幅使用量に対する変更を示す通知が送信されます(「SNMP 通知を受信するためのリソース使用量しきい値の設定」を参照)。

All

Concurrent Connections

同時接続に対する変更を示す通知が送信されます(「SNMP 通知を受信するためのリソース使用量しきい値の設定」を参照)。

All

Connection Rate

接続レートに対する変更を示す通知が送信されます(「SNMP 通知を受信するためのリソース使用量しきい値の設定」を参照)。

All

License

SNMP ライセンス通知が送信されます。

Admin

Rate Limit

レート制限に関連付けられた属性のしきい値設定を超えた場合に通知が送信されます。詳細については、「SNMP 通知を受信するためのリソース使用量しきい値の設定」を参照してください。

All

Real Server

実サーバに関連付けられた属性のしきい値設定を超えた場合に通知が送信されます。

All

Real Server Bandwidth

実サーバ レベルでの集約帯域幅の使用量に対する変更を示す通知が送信されます。詳細については、「SNMP 通知を受信するためのリソース使用量しきい値の設定」を参照してください)。

All

Real Server Concurrent Connections

実サーバ レベルでの同時接続に対する変更を示す通知が送信されます。

All

Real Server Connection Rate

実サーバのレベルでの接続レートに対する変更を示す通知が送信されます。

All

SLB

サーバのロードバランシング通知が送信されます。

All

SLB Real Server

実サーバのステート変更の通知が送信されます。

All

SLB Server Farm

サーバ ファームのステート変更の通知が送信されます。

All

SLB Virtual Server

仮想サーバのステート変更の通知が送信されます。

All

SNMP

SNMP 通知が送信されます。

All

SNMP Authentication

SNMP 要求内の正しくないコミュニティ ストリングの通知が送信されます。

All

SNMP Cold-Start

ACE のコールド リスタート(完全な電源の再投入)後に SNMP エージェント再起動通知が送信されます。

Admin

SNMP Link-Down

VLAN インターフェイスがダウンしたときに通知が送信されます。

All

SNMP Link-Up

VLAN インターフェイスがアップしたときに通知が送信されます。

All

Syslog

エラー メッセージ通知(Cisco Syslog MIB)が送信されます。

All

System

システム レベルに関連付けられた属性のしきい値設定を超えた場合に通知が送信されます。

Admin

System Active SSL Connections

集約されたアクティブな SSL 接続に対する変更を示す通知が送信されます。詳細については、「SNMP 通知を受信するためのリソース使用量しきい値の設定」を参照してください)。

(注) このリソース オプションは、ACE NPE のソフトウェア バージョンでは使用できません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。

Admin

System Bandwidth

集約帯域幅の使用量に対する変更を示す通知が送信されます。詳細については、「SNMP 通知を受信するためのリソース使用量しきい値の設定」を参照してください)。

Admin

System Concurrent Connections

同時接続に対する変更を示す通知が送信されます。

Admin

System Connection Rate

システム レベルでの接続レートに対する変更を示す通知が送信されます。

Admin

System CPU Utilization

システム レベルでの CPU 使用率に対する変更を示す通知が送信されます。

Admin

System Memory Utilization

システム レベルでのメモリ使用率に対する変更を示す通知が送信されます。

Admin

VIP

VIP に関連付けられた属性のしきい値設定を超えた場合に通知が送信されます。

All

VIP Bandwidth

VIP レベルでの帯域幅使用量に対する変更を示す通知が送信されます。

All

VIP Concurrent Connections

VIP レベルでの同時接続に対する変更を示す通知が送信されます。

All

VIP Connection Rate

VIP レベルで接続レートに対する変更を示す通知が送信されます。

All

Virtual Context

仮想コンテキスト通知が送信されます。

Admin

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、選択を保存せずにこの手順を終了して、[SNMP Notification] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、別のエントリを [SNMP Notification] テーブルに追加します。画面がリフレッシュされて、別の SNMP 通知オプションを選択できます。


 

関連トピック

「仮想コンテキストの設定」

「SNMPv2c コミュニティの設定」

「SNMPv3 ユーザの設定」

「SNMP 通知を受信するためのリソース使用量しきい値の設定」

仮想コンテキスト グローバル トラフィック ポリシーの設定

ACE アプライアンス Device Manager を使用して、トラフィック ポリシーを特定の VLAN インターフェイスまたは同じ仮想コンテキスト内の全 VLAN インターフェイスに適用できます。

この手順を使用して、選択されたコンテキスト内の全 VLAN インターフェイスにポリシーを適用します。

ポリシーを特定の VLAN に適用するには、「トラフィック ポリシーの設定」を参照してください。


) 既存ポリシーは修正できません。代わりに、既存のグローバル ポリシーを削除して、新規ポリシーを作成します。


前提

この仮想コンテキスト用にレイヤ 3/レイヤ 4 または管理ポリシー マップを設定しておく必要があります。詳細については、「仮想コンテキスト ポリシー マップの作成」を参照してください。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [Global Policies] を選択します。

[Global Policies] テーブルが表示されます。

ステップ 2 [Add] をクリックして新規グローバル ポリシーを追加します。

[Global Policies] 設定画面が表示されます。


) 既存ポリシーは修正できません。代わりに、既存のグローバル ポリシーを削除して、新規ポリシーを作成します。


ステップ 3 [Policy Maps] フィールドで、このコンテキスト内の全 VLAN に適用するポリシー マップを選択します。

[Add] ボタンをクリックして、ポリシー マップを作成または編集します。

ステップ 4 [Direction] フィールドで、ポリシーが着信通信に適用されることを確認します。

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[Global Policies] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、このコンテキストの別のグローバル ポリシーを設定します。


 

関連トピック

「仮想コンテキストの使用」

「仮想コンテキスト プライマリ属性の設定」

「仮想コンテキスト VLAN インターフェイスの設定」

「仮想コンテキスト syslog ロギングの設定」

「トラフィック ポリシーの設定」

ACE アプライアンス ライセンスの管理


) この機能は、管理コンテキストだけで使用できます。


シスコでは、パフォーマンス スループット、デフォルト コンテキストの数、SSL TPS(1 秒あたりのトランザクション数)、および HTTP 圧縮パフォーマンスを向上できる、ACE アプライアンス用のライセンスを提供しています。これらのライセンスの詳細については、cisco.com の『 Administration Guide, Cisco ACE Application Control Engine 』を参照してください。

ACE アプライアンスを使用して、ACE アプライアンス Device Manager ライセンスの表示、インストール、削除、アップデートを行うことができます。

ACE アプライアンス ライセンスのインストールまたはアップデートには、次の 2 つのプロセスが必要です。

リモート ネットワーク サーバから ACE アプライアンス上のフラッシュ メモリ内にある disk0: ファイル システムへのライセンスのコピー。

ACE アプライアンス でのライセンスのインストールまたはアップデート。

ACE Appliance Device Manager を使用すると、単一のダイアログボックスから両方のプロセスを実行できます。 copy CLI コマンドを使用して以前にライセンスを ACE 上の disk0: にコピーした場合は、このダイアログボックスを使用して、ACE で新規ライセンスをインストールするか、ライセンスをアップグレードできます。

関連トピック

「ACE アプライアンス ライセンスの表示」

「ACE アプライアンス ライセンスのインストール」

「ACE アプライアンスライセンスのアップデート」

「ACE アプライアンス ライセンスのアンインストール」

「ライセンス ファイルの内容の表示」

ACE アプライアンス ライセンスの表示


) この機能は、管理コンテキストだけで使用できます。


この手順を使用して、現在 ACE アプライアンスにインストールされているライセンスを表示します。

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Context] テーブルが表示されます。

ステップ 2 ACE アプライアンス ライセンスを表示する管理コンテキストを選択し、[System] > [Licenses] をクリックします。

次のライセンス テーブルが表示されます。

[License Status] テーブル:ACE のライセンス ステータスのサマリーが表示されます。次の内容を含みます。

メガビット/秒またはギガビット/秒単位での圧縮パフォーマンス

同時接続数で表されるアプリケーション アクセラレーションおよび最適化

1 秒あたりの SSL トランザクション


) 1 秒あたりの SSL トランザクション ライセンスは ACE NPE のソフトウェア バージョンには適用されません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。


サポートされている仮想コンテキストの数

ギガビット/秒単位の ACE アプライアンスの帯域幅

[Installed License Files] テーブル:すべてのインストール済みライセンスがそれぞれのファイル名、ベンダー、期限満了日(有効期限)とともに一覧表示されます。


 

関連トピック

「ACE アプライアンス ライセンスの管理」

「ACE アプライアンス ライセンスのインストール」

「ACE アプライアンスライセンスのアップデート」

「ACE アプライアンス ライセンスのアンインストール」

「ライセンス ファイルの内容の表示」

ACE アプライアンス ライセンスのインストール


) この機能は、管理コンテキストだけで使用できます。


ACE アプライアンス ライセンスをリモート サーバから ACE アプライアンス にコピーして新規インストールするか、アップグレードするには、次の手順を使用します。

前提

ACE アプライアンスの正しいソフトウェア ライセンス キーを受領しておきます。

ACE アプライアンス ライセンスは、ACE アプライアンスにインポートするためにリモート サーバで使用可能です。または、ソフトウェア ライセンス キーを受領して、 copy disk0: CLI コマンドを使用してライセンス ファイルを ACE アプライアンス上の disk0: ファイル システムにコピーしておきます。

DM のこの機能を使用するには、SSH がアプライアンスでイネーブルになっている必要があります。また、 ssh key rsa 1024 force コマンドがアプライアンスに適用されている必要があります。

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 ライセンスをインポートしてインストールする管理コンテキストを選択して [System] > [Licenses] をクリックします。

[License Status] テーブルおよび [Installed License Files] テーブルが表示され、インストール済みのすべてのライセンスが一覧表示されます。

ステップ 3 [Install] をクリックします。

[Install an ACE License] ダイアログボックスが表示されます。

ステップ 4 (任意)ライセンスが現在、フラッシュ メモリの ACE disk0: ファイル システムにある場合は、次の手順を実行します。

a. ダイアログボックスの [Select an Option to Locate a License File] セクションで、[Select a license file on the ACE] オプションをクリックします。

b. ダイアログボックスの [Select a License File on the Device (disk0)] セクションで、ドロップダウン リストからライセンス ファイルの名前を選択します。

c. ステップ 10 に進みます。

ステップ 5 (任意)ライセンスをフラッシュ メモリの disk0: ファイル システムにコピーする必要がある場合は、ダイアログボックスの [Select an Option to Locate a License File] セクションで、[Import a license file from remote system] オプションをクリックします。ステップ 6 に進みます。

ステップ 6 [Protocol To Connect To Remote System] フィールドで、リモート サーバから ACE にライセンス ファイルをインポートするために使用するプロトコルを選択します。次の手順を参照してください。

[FTP] を選択すると、[User Name] および [Password] フィールドが表示されます。ステップ 7 に進みます。

[SFTP] を選択すると、[User Name] および [Password] フィールドが表示されます。ステップ 7 に進みます。

[TFTP] を選択する場合は、ステップ 8 に進みます。

ステップ 7 (任意)[FTP] または [SFTP] を選択した場合は、次の手順を実行します。

a. [User Name] フィールドに、ネットワーク サーバのアカウントのユーザ名を入力します。

b. [Password] フィールドに、ユーザ アカウントのパスワードを入力します。

ステップ 8 [Remote System IP Address] フィールドに、リモート サーバのホスト IPv4 アドレスを入力します。

たとえば、192.168.11.2 と入力します。

ステップ 9 [License Path In Remote System] フィールドに、 /path/filename の形式で、リモート サーバのライセンス ファイルのホスト パスとファイル名を入力します。

path は、リモート サーバのライセンス ファイルのディレクトリ パスを表します。

filename は、リモート サーバのライセンス ファイルのファイル名を表します。

たとえば、/usr/bin/ACE-VIRT-020.lic のように入力します。

ステップ 10 次のいずれかを実行します。

[Install] をクリックして、エントリを確定し、ライセンス ファイルをインストールします。

[Cancel] をクリックして、ライセンス ファイルをインストールせずにこの手順を終了し、[Licenses] テーブルに戻ります。

ステップ 11 (任意)ACE ライセンスをインストールしたら、モニタしたリソース使用状況の情報([Monitor] > [Virtual Contexts] > [Resource Usage])が DM で正確に表示されるように、CLI を使用して手動で ACE 管理コンテキストを同期させることを推奨します。

管理コンテキストの同期の詳細については、「仮想コンテキスト設定の同期」を参照ください。


 

関連トピック

「ACE アプライアンス ライセンスの管理」

「ACE アプライアンス ライセンスの表示」

「ACE アプライアンスライセンスのアップデート」

「ACE アプライアンス ライセンスのアンインストール」

「ライセンス ファイルの内容の表示」

ACE アプライアンスライセンスのアップデート


) この機能は、管理コンテキストだけで使用できます。


ACE アプライアンス Device Manager により、デモンストレーション ライセンスを永続ライセンスに変換することと、永続ライセンスをアップグレードして仮想コンテキストの数を増やすことができます。

この手順を使用して、ACE アプライアンスのアップデート ライセンスをインストールします。

前提

ACE アプライアンスの正しいアップデート ソフトウェア ライセンスを受領しておきます。

ACE アプライアンス ライセンスは、ACE アプライアンスにインポートするためにリモート サーバで使用可能です。または、アップデート ソフトウェア ライセンスを受領して、 copy disk0: CLI コマンドを使用してライセンス ファイルを ACE アプライアンス上の disk0: ファイル システムにコピーしておきます。

DM のこの機能を使用するには、SSH がアプライアンスでイネーブルになっている必要があります。また、 ssh key rsa 1024 force コマンドがアプライアンスに適用されている必要があります。

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 更新するライセンスの管理コンテキストを選択し、[System] > [Licenses] をクリックします。

[License Status] テーブルおよび [Installed License Files] テーブルが表示され、インストール済みのすべてのライセンスが一覧表示されます。

ステップ 3 更新するライセンスを選択して、[Update] をクリックします。

[Update License On The ACE] ダイアログボックスが表示されます。

ステップ 4 (任意)更新ライセンスが現在、フラッシュ メモリの ACE disk0: ファイル システムにある場合は、次の手順を実行します。

a. ダイアログボックスの [Select an Option to Locate a License File] セクションで、[Select a license file on the ACE] オプションをクリックします。

b. ダイアログボックスの [Select a License File on the Device (disk0)] セクションで、ドロップダウン リストから更新ライセンス ファイルの名前を選択します。

c. ステップ 10 に進みます。

ステップ 5 (任意)更新ライセンスをフラッシュ メモリの disk0: ファイル システムにコピーする必要がある場合は、ダイアログボックスの [Select an Option to Locate a License File] セクションで、[Import a license file from remote system] オプションをクリックして、ステップ 6 に進みます。

ステップ 6 [Protocol To Connect To Remote System] フィールドで、リモート サーバから ACE に更新ライセンス ファイルをインポートするために使用するプロトコルを選択します。次の手順を参照してください。

[FTP] を選択すると、[User Name] および [Password] フィールドが表示されます。ステップ 7 に進みます。

[SFTP] を選択すると、[User Name] および [Password] フィールドが表示されます。ステップ 7 に進みます。

[TFTP] を選択する場合は、ステップ 8 に進みます。

ステップ 7 (任意)[FTP] または [SFTP] を選択した場合は、次の手順を実行します。

a. [User Name] フィールドに、ネットワーク サーバのアカウントのユーザ名を入力します。

b. [Password] フィールドに、ユーザ アカウントのパスワードを入力します。

ステップ 8 [Remote System IP Address] フィールドに、リモート サーバのホスト IPv4 アドレスを入力します。

たとえば、192.168.11.2 と入力します。

ステップ 9 [License Path In Remote System] フィールドに、 /path/filename の形式で、リモート サーバのライセンス ファイルのホスト パスとファイル名を入力します。

path は、リモート サーバのライセンス ファイルのディレクトリ パスを表します。

filename は、リモート サーバのライセンス ファイルのファイル名を表します。

たとえば、/usr/bin/ACE-VIRT-020.lic のように入力します。

ステップ 10 次のいずれかを実行します。

[Update] をクリックして、ライセンスを更新し、[License] テーブルに戻ります。[License] テーブルに更新された情報が表示されます。

[Cancel] をクリックして、ライセンスを更新せずにこの手順を終了し、[License] テーブルに戻ります。

ステップ 11 (任意)ACE ライセンスを更新したら、モニタしたリソース使用状況の情報([Monitor] > [Virtual Contexts] > [ACE] > [Resource Usage])が DM で正確に表示されるように、CLI を使用して手動で ACE 管理コンテキストを同期させることを推奨します。

管理コンテキストの同期の詳細については、「仮想コンテキスト設定の同期」を参照ください。


 

関連トピック

「ACE アプライアンス ライセンスの管理」

「ACE アプライアンス ライセンスの表示」

「ACE アプライアンス ライセンスのインストール」

「ACE アプライアンス ライセンスのアンインストール」

「ライセンス ファイルの内容の表示」

ACE アプライアンス ライセンスのアンインストール


) この機能は、管理コンテキストだけで使用できます。



注意 ライセンスを削除すると、ACE アプライアンスの帯域幅やパフォーマンスに影響を与える可能性があります。使用している ACE アプライアンスでのライセンス削除による影響の詳細については、『Administration Guide, Cisco ACE Application Control Engine』を参照してください。

この手順を使用して、ACE アプライアンス ライセンスを削除します。

前提

DM のこの機能を使用するには、SSH がアプライアンスでイネーブルになっている必要があります。また、 ssh key rsa 1024 force コマンドがアプライアンスに適用されている必要があります。

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 削除するライセンスの管理コンテキストを選択し、[System] > [Licenses] をクリックします。

ステップ 3 [Installed License Files] テーブルで、削除するライセンスを選択します。

ステップ 4 [Uninstall] をクリックします。

ダイアログボックスが表示され、ライセンス削除プロセスが確認されます。


) ライセンスの削除は、コンテキストの数、ACE アプライアンスの帯域幅、または SSL TPS(1 秒あたりのトランザクション数)に影響する可能性があります。削除を続ける前に、使用している環境でライセンスを削除することの影響を把握しておいてください。


ステップ 5 [OK] をクリックして削除を確定するか、[Cancel] をクリックして削除プロセスを停止します。

[OK] をクリックした場合、ライセンス削除のステータスがステータス ウィンドウに表示されます。ライセンスが削除される際に、削除されたライセンスがなくなって [Licenses] テーブルがリフレッシュされます。

ステップ 6 (任意)ACE ライセンスをアンインストールしたら、モニタしたリソース使用状況の情報([Monitor] > [Virtual Contexts] > [Resource Usage])が DM で正確に表示されるように、CLI を使用して手動で ACE 管理コンテキストを同期させることを推奨します。

管理コンテキストの同期の詳細については、「仮想コンテキスト設定の同期」を参照ください。


 

関連トピック

「ACE アプライアンス ライセンスの管理」

「ACE アプライアンス ライセンスのインストール」

「ACE アプライアンスライセンスのアップデート」

「ACE アプライアンス ライセンスの表示」

「ライセンス ファイルの内容の表示」

ライセンス ファイルの内容の表示


) この機能は、管理コンテキストだけで使用できます。


この手順を使用して、ACE のライセンスに関するファイルの内容を表示します。


 

 

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 表示するライセンス情報の管理コンテキストを選択して、[System] > [Licenses] を選択します。

[License Status] テーブルおよび [Installed License Files] テーブルが表示され、インストール済みのすべてのライセンスが一覧表示されます。

ステップ 3 表示する情報があるインストール済みのライセンス ファイルを選択して、[View] をクリックします。

DM から show license file CLI コマンドの出力が表示されます。

次に例を示します。

ACE-AP-C-500-LIC.lic:
SERVER this_host ANY
VENDOR cisco
INCREMENT ACE-AP-C-500-LIC cisco 1.0 permanent 1 \
NOTICE="<LicFileID>lic.conf</LicFileID><LicLineID>0</LicLineID> \ <PAK>dummyPak</PAK>" SIGN=222C4BCAD092
 

ステップ 4 ライセンス ファイル情報の確認が終了したら、[Close] をクリックします。


 

関連トピック

「ACE アプライアンス ライセンスのインストール」

「ACE アプライアンスライセンスのアップデート」

リソース クラスの管理

リソース クラスは、たとえば同時接続や帯域幅レートなど、ACE アプライアンス リソースへの仮想コンテキスト アクセスを管理する方法です。ACE アプライアンスには、作成時に管理コンテキストとユーザ コンテキストに適用されるデフォルトのリソース クラスが事前設定されています。デフォルトのリソース クラスは、リソース アクセスなし(0%)から完全なリソース アクセス(100%)まで変更可能な範囲でコンテキストを操作できるように設定されています。複数のコンテキストでデフォルトのリソース クラスを使用する場合、ACE アプライアンス リソースのオーバーサブスクライブが発生する危険があります。つまり、ACE アプライアンスが、すべてのコンテキストに対して、ファースト カム ファースト サーブド ベースでの全リソースへの完全アクセスを許可することになります。リソースが最大限度で利用される場合、ACE アプライアンスがそのリソースに対する任意のコンテキストからの追加要求を拒否します。

リソースのオーバーサブスクライブを回避して、任意のコンテキストによるリソースへのアクセスを保証させるために、1 つ以上のコンテキストに関連付ける、カスタマイズ済みのリソース クラスを作成できます。コンテキストは、アソシエーションの作成時にリソース クラスのメンバーとなります。リソース クラスを作成することにより、メンバー コンテキストが利用する権利のある各 ACE アプライアンス リソースの最大および最小量の制限を設定できます。全体に対するパーセンテージにより最小および最大値を定義します。たとえば、ACE アプライアンスがサポートする合計 SSL 接続数の少なくとも 25 % にメンバー コンテキストがアクセスできるように、リソース クラスを作成できます。

次の ACE アプライアンス リソースの割り当てを制限して管理できます。

ACL メモリ

アプリケーション アクセラレーション接続

syslog メッセージおよび TCP 異常(OOO)セグメントのバッファ

同時接続(ACE トラフィック経由)

管理接続(ACE トラフィック方向)

HTTP 圧縮パーセンテージ

プロキシ接続

レートとしてのリソース制限の設定(1 秒あたりの数)

正規表現(regexp)メモリ

SSL 接続


) SSL 接続リソースの管理は ACE NPE のソフトウェア バージョンには適用されません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。


スティッキ エントリ

スタティックまたはダイナミック ネットワーク アドレス変換(Xlates)

表 4-10 は、リソース クラスに対して設定可能なリソースを識別し、定義するものです。

リソース割り当ての制約


) この機能は、管理コンテキストだけで使用できます。


次のリソースは、管理コンテキストへの接続を維持するのに重要です。

Rate Bandwidth

Rate Management Traffic

Rate SSL Connections

Rate Connections

Management Connections

Concurrent Connections


注意 これらのリソースをリソース クラスに 100% 割り当てて、リソース クラスを仮想コンテキストに適用する場合、管理コンテキストへの接続が切断される可能性があります。

IP 接続を維持できるように、管理コンテキストに対して特別にリソース クラスを作成してこれをコンテキストに適用することをお勧めします。

 

表 4-10 リソース クラス属性

リソース
定義

All

管理トラフィック帯域幅を除いて、このリソース クラスに割り当てられたすべてのコンテキストに対してすべてのリソースを指定した値に制限します。管理トラフィック帯域幅は、明示的に管理トラフィックの最小値を設定するまでデフォルト値のままになります。

Acceleration Connections

アプリケーション アクセラレーション接続のパーセンテージ。

ACL Memory

ACL に割り当てられたメモリのパーセンテージ。

Buffer Syslog

syslog バッファのパーセンテージ。

Concurrent Connections

同時接続のパーセンテージ。

(注) 仮想コンテキストに 100% を割り当てることによってすべての同時接続を消費する場合、管理コンテキストへの IP 接続が失われる可能性があります。

HTTP Compression

HTTP データの圧縮パーセンテージ。

Management Connections

管理接続のパーセンテージ。

(注) 仮想コンテキストに 100% を割り当てることによってすべての管理接続を消費する場合、管理コンテキストへの IP 接続が失われる可能性があります。

Proxy Connections

プロキシ接続のパーセンテージ。

Rate Bandwidth

コンテキスト スループットのパーセンテージ。この属性は、1 つ以上のコンテキストに対してバイト/秒単位で ACE スループットの合計を制限します。

(注) 仮想コンテキストに 100% を割り当てることによってすべてのレート帯域幅を消費する場合、管理コンテキストへの IP 接続が失われる可能性があります。

コンテキスト当たりの最大帯域幅レートは、帯域幅ライセンスによって決定されます。デフォルトでは、ACE は 1 ギガビット/秒(Gbps)のアプライアンス スループットをサポートしています。オプションで 2 Gbps 帯域幅ライセンスに ACE をアップグレードできます。ACE 内のリソース クラスに対して最小帯域幅値を設定した場合、ACE は、関連付けられているリソース クラスに関係なく、ACE 内の全コンテキストの合計帯域幅最大値から設定値を減算します。コンテキストの合計帯域幅レートは、次の 2 つのコンポーネントから構成されています。

[Throughput]:ACE を通過するトラフィックを制限します。これは派生値で(直接は設定できない)、1 Gbps および 2 Gbps ライセンスの bandwidth レートから mgmt-traffic レートを引いた値になります。

[Management Traffic]:バイト/秒単位で(ACE への)管理トラフィックを制限します。管理トラフィック帯域幅の最小量を保証するためには、[Resource Classes] テーブルを使用して最小パーセンテージを管理トラフィックに明示的に割り当てる必要があります([Config] > [Virtual Contexts] > [admin context ] > [System] > [Resource Class])。帯域幅の最小パーセンテージを管理トラフィックに割り当てる際に、ACE は、その値を ACE 内の全コンテキストに対する最大利用可能管理トラフィック帯域幅から減算します。

Rate Connections

任意の種類の接続のパーセンテージ。

(注) 仮想コンテキストに 100% を割り当てることによってすべてのレート接続を消費する場合、管理コンテキストへの IP 接続が失われる可能性があります。

Rate Inspect Connection

FTP および RTSP のアプリケーション プロトコル インスペクション接続のパーセンテージ。

Rate MAC Miss

パケット内でのカプセル化が間違っている場合に、コントロール プレーンに送信される ACE アプライアンスに通じるメッセージのパーセンテージ。

Rate Management Traffic

管理トラフィック接続のパーセンテージ。

(注) 仮想コンテキストに 100% を割り当てることによってすべてのレート管理トラフィックを消費する場合、管理コンテキストへの IP 接続が失われる可能性があります。

Rate SSL Connections

(注) このリソース オプションは、ACE NPE のソフトウェア バージョンでは使用できません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。

SSL 接続のパーセンテージ。

(注) 仮想コンテキストに 100% を割り当てることによってすべてのレート管理トラフィックを消費する場合、管理コンテキストへの IP 接続が失われる可能性があります。

Rate Syslog

1 秒当たりの syslog メッセージのパーセンテージ。

Regular Expressions

正規表現メモリのパーセンテージ。

Sticky

スティッキ テーブル内のエントリのパーセンテージ。

Xlates

ネットワークおよびポート アドレス変換エントリのパーセンテージ。

関連トピック

「リソース クラスの追加」

「リソース クラスの修正」

「リソース クラスの削除」

「仮想コンテキストにおけるリソース クラスの使用の表示」

リソース クラスの追加


) この機能は、管理コンテキストだけで使用できます。


サービスのプロビジョニング、仮想コンテキストの確立、デバイスの管理、仮想コンテキスト リソース消費のモニタリングを行う際に、リソース クラスが使用されます。

リソース クラスの定義は、自動的にコンテキストに適用されません。新規リソース クラスは、リソース クラスが仮想コンテキストに割り当てられる際にだけ適用されます。


注意 これらのリソースをリソース クラスに 100% 割り当ててリソース クラスを仮想コンテキストに適用する場合、管理コンテキストへの接続が切断される可能性があります。詳細については、「リソース割り当ての制約」を参照してください。

この手順を使用して、新規リソース クラスを作成します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ admin context ] > [System] > [Resource Class] を選択します。

[Resource Classes] テーブルが表示されます。

ステップ 2 [Add] をクリックして、新規リソース クラスを作成します。

[New Resource Class] 設定画面が表示されます。

ステップ 3 [Name] フィールドに、このリソース クラスの一意の名前を入力します。

有効な入力は、スペースを含まず引用符なしの最大 64 文字です。

ステップ 4 各リソースで同じ値を使用するには、[All] 行に次の情報を入力します(リソースの説明については、表 4-10 を参照してください)。

a. [Min.] フィールドには、このリソース クラスに割り当てる各リソースの最小パーセンテージを入力します。有効な入力は、0.1 ずつ増加する 10 進数を含む 0 ~ 100 の数字です。

b. [Max.] フィールドでは、このリソース クラスに割り当てる各リソースの最大パーセンテージを選択します。

[Equal To Min.]:各リソースに割り当てられる最大パーセンテージが [MIn.] フィールドで指定されている最小値と等しいことを示します。

[Unlimited]:このリソース クラスに割り当て可能な各リソースのパーセンテージに上限がないことを示します。

ステップ 5 リソースに異なる値を使用するには、リソースごとに、リソースの割り当て方法を選択します。

[Default] を選択して、ステップ 4 に指定された値を使用します。

[Min.] を選択して、リソースに固有の最小値を入力します。[Min.] フィールドには、このリソース クラスに割り当てるこのリソースの最小パーセンテージを入力します。たとえば、ACL メモリの場合は、[Min.] フィールドに 10 を入力して、このリソース クラスに使用できる ACL メモリの最低 10 パーセントを割り当てることを示します。

ステップ 6 [Max.] フィールドで [Min.] を選択した場合は、このリソース クラスに割り当てるリソースの最大パーセンテージを選択します。

[Equal To Min.]:このリソースに割り当てられる最大パーセンテージが [MIn.] フィールドで指定されている最小値と等しいことを示します。

[Unlimited]:このリソース クラスに割り当て可能なリソースのパーセンテージに上限がないことを示します。

ステップ 7 このリソース クラスのリソースの割り当てを終了する場合は、次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。ACE アプライアンス Device Manager によって、このリソース クラスを使用してサポート可能な仮想コンテキストの数が [Maximum VC] 列に表示されます。サポートする仮想コンテキストの数を変更するには、リソース クラスを選択して、[Edit] をクリックし、この手順の説明に従い修正します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[Resource Classes] テーブルに戻ります。


 

関連トピック

「リソース クラスの管理」

「リソース クラスの修正」

「リソース クラスの削除」

「仮想コンテキストにおけるリソース クラスの使用の表示」

リソース クラスの修正


) この機能は、管理コンテキストだけで使用できます。


リソース クラスを修正する際に、ACE アプライアンス Device Manager によって、進行中のリソース クラスに関連付けられた仮想コンテキストに変更が適用されます。変更は、すでにリソース クラスに関連付けられている既存の仮想コンテキストに適用されます。


注意 これらのリソースをリソース クラスに 100% 割り当ててリソース クラスを仮想コンテキストに適用する場合、管理コンテキストへの接続が切断される可能性があります。詳細については、「リソース割り当ての制約」を参照してください。

この手順を使用して、既存のリソース クラスを修正します。


) デフォルトのリソース クラスは修正できません。


手順


ステップ 1 [Config] > [Virtual Contexts] > [ admin context ] > [System] > [Resource Class] を選択します。

[Resource Classes] テーブルが表示されます。

ステップ 2 修正するリソース クラスを選択して、[Edit] をクリックします。

[Edit Resource Class] 設定画面が表示されます。

ステップ 3 必要に応じてフィールドを変更します。

設定値の詳細については、「リソース クラスの追加」を参照してください。リソースの説明については、表 4-10 を参照してください。

ステップ 4 このリソース クラスのリソースの割り当てを終了する場合は、次のいずれかを実行します。

[Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。設定画面がリフレッシュされ、[Name] フィールドの下の [Max. Provisionable] フィールドに、このリソース割り当てを使用してサポート可能な仮想コンテキストの数が表示されます。リソース割り当てに満足していてエントリを保存する場合、[Cancel] をクリックして [Resource Classes] テーブルに戻ります。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[Resource Classes] テーブルに戻ります。

ACE アプライアンス Device Manager によって、すべての変更が、このリソース クラスを使用する仮想コンテキストに適用されます。


 

関連トピック

「リソース クラスの管理」

「リソース クラスの追加」

「リソース クラスの修正」

「リソース クラスの削除」

「仮想コンテキストにおけるリソース クラスの使用の表示」

リソース クラスの削除


) この機能は、管理コンテキストだけで使用できます。


この手順を使用して、リソース クラスを ACE アプライアンス Device Manager データベースから削除します。


) ACE アプライアンス Device Manager からリソース クラスを削除する際に、このリソース クラスに関連付けられていた仮想コンテキストはすべて、自動的にデフォルト リソース クラスのメンバーとなります。デフォルトのリソース クラスは、最小 0.00% から最大 100.00% までの全 ACE アプライアンス リソースを各コンテキストに割り当てます。デフォルトのリソース クラスは修正できません。


仮想コンテキストでのリソース クラスの削除の影響があるため、削除する前にリソース クラスの現在の構成を確認しておくことを推奨します。「仮想コンテキストにおけるリソース クラスの使用の表示」を参照してください。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ admin context ] > [System] > [Resource Class] を選択します。

[Resource Classes] テーブルが表示されます。

ステップ 2 削除するリソース クラスを選択して、[Delete] をクリックします。

ウィンドウが表示され、削除が確認されます。

ステップ 3 [OK] をクリックしてリソース クラスの削除を継続するか、[Cancel] をクリックしてリソース クラスを保持します。

更新された情報で [Resource Classes] テーブルがリフレッシュされます。


 

関連トピック

「リソース クラスの管理」

「リソース クラスの追加」

「リソース クラスの修正」

「仮想コンテキストにおけるリソース クラスの使用の表示」

仮想コンテキストにおけるリソース クラスの使用の表示


) この機能は、管理コンテキストだけで使用できます。


この手順を使用して、選択されたリソース クラスを使用する全仮想コンテキストの一覧を表示します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ admin context ] > [System] > [Resource Class] を選択します。

[Resource Class] テーブルでは、2 列目に各リソース クラスを使用している仮想コンテキストの数がリストされます。

ステップ 2 使用状況を表示するリソース クラスを選択して、[Virtual Contexts] をクリックします。

[Virtual Contexts Using Resource Class] テーブルが表示され、関連コンテキストがリストされます。

ステップ 3 [Cancel] をクリックして、[Resource Classes] テーブルに戻ります。


 

関連トピック

「リソース クラスの管理」

「リソース クラスの追加」

「リソース クラスの修正」

「リソース クラスの削除」

「仮想コンテキストにおけるリソース クラスの使用の表示」

SNMP 通知を受信するためのリソース使用量しきい値の設定

ACE によるリソース使用量、または特定のコンテキストが表 4-11 に一覧表示されているモニタ対象リソースの指定しきい値([High]、[Low]、および [Watermark])を超えたときに、SNMP トラップと syslog メッセージを発行するように ACE を設定できます。

 

表 4-11 仮想コンテキストのモニタ対象リソース

リソース
仮想コンテキスト

System bandwidth

Admin

System concurrent connections

Admin

System connection rate

Admin

System active SSL connections

Admin

(注) このリソース オプションは、ACE NPE のソフトウェア バージョンでは使用できません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。

System CPU utilization

Admin

System memory utilization

Admin

Bandwidth

All

Concurrent connections

All

Connection rate

All

リソースごとに、次のように機能する [High]、[Low]、および [Watermark] しきい値を指定できます。

[High]:定義されたしきい値の最高値を示します。この値は 1 から 100 の間のパーセンテージで設定され、割り当てられているリソースの最大数の最高のパーセンテージとして表されます。ACE は、現在のリソース使用量が最も高いしきい値を超えると通知/トラップを SNMP に送信します。

[Low]:定義されたしきい値の最小値を示します。この値は 1 から 100 の間のパーセンテージで設定され、割り当てられているリソースの最小数の最低のパーセンテージとして表されます。ACE は、現在のリソース使用量が指定された最も低いしきい値を超えると通知/トラップを SNMP に送信します。


) これらのリソースに課せられる下限はないため、アクティブな SSL 接続、CPU 利用率、およびメモリ使用率の下限は設定できません。


[Watermark]: 定義されたウォーターマークしきい値を示します。ウォーターマークは 1 から 100 の間のパーセンテージで設定され、割り当てられているリソースの最高および最小のパーセンテージとして表されます。次のように機能します。

[High watermark]:ACE は、現在のリソース使用量のレベルがハイ ウォーターマーク値を超えると Falling Watermark 通知を送信します。

[Low watermark]:ACE は、現在のリソース使用量のレベルがロー ウォーターマーク値を下回ると Rising Watermark 通知を送信します。

前提条件

コンテキストが SNMP に対して設定されている(「仮想コンテキストの SNMP 設定」を参照)。

リソース クラスが設定されていて、コンテキストと関連付けられている(「リソース クラスの管理」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [Resource Usage Threshold] を選択します。

[Resource Usage Threshold] ウィンドウが表示されます。

ステップ 2 [Resource Usage Threshold] ウィンドウで、[High]、[Low]、および [Watermark] のパーセンテージを指定します。

次のガイドを使用して、パーセンテージの値を入力します。

1 <= Low < Watermark < High <= 100(パーセント)

10 進値は使用できません。

ステップ 3 [Deploy Now] をクリックします。


 

関連トピック

「実サーバのリソース使用量しきい値の設定」

「VIP のリソース使用量しきい値の設定」

「仮想コンテキストの SNMP 設定」

「リソース クラスの管理」

実サーバのリソース使用量しきい値の設定

次のモニタ対象リソースに対して、実サーバ レベルで SNMP トラップと syslog メッセージを発行するように ACE を設定できます。

[Bandwidth]:特定の実サーバの集約帯域幅にしきい値が適用されます。

[Concurrent connections]:特定の実サーバの集約された同時接続にしきい値が適用されます。

[Connection rate]:特定の実サーバの集約された接続レートにしきい値が適用されます。

サーバ ファームに設定されているすべてのリソースが、特定の実サーバ レベルでモニタされます。リソースごとに、[High]、[Low]、および [Watermark] しきい値を指定できます。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [Resource Usage Threshold] > [Real Server Threshold] を選択します。

[Real Server Threshold] テーブルが表示されます。

ステップ 2 [Add] をクリックして新しい実サーバのしきい値を追加するか、変更する実サーバのしきい値を選択して、[Edit] をクリックします。[Real Server Threshold] 画面が表示されます。

ステップ 3 [Real Server Threshold] フィールドに、選択したサーバ ファームに関連付けられている実サーバの名前を入力します。

ステップ 4 [Server Farm Name] フィールドに、サーバ ファームの名前を入力します。

ステップ 5 リソースごとに、[High]、[Low]、および [Watermark] のパーセンテージを指定します。

次のガイドを使用して、パーセンテージの値を入力します。

1 <= Low < Watermark < High <= 100(パーセント)

10 進値は使用できません。

ステップ 6 次のいずれかを実行します。

[Deploy Now] をクリックします。

[Cancel] をクリックして、選択を保存せずにこの手順を終了して、[Real Server Threshold] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、別のエントリを [Real Server Threshold] テーブルに追加します。画面がリフレッシュされて、別の [Real Server Threshold] オプションを選択できます。


 

関連トピック

「VIP のリソース使用量しきい値の設定」

「仮想コンテキストの SNMP 設定」

「リソース クラスの管理」

VIP のリソース使用量しきい値の設定

次のモニタ対象リソースに対して、VIP の SNMP トラップと syslog メッセージを発行するように ACE を設定できます。

[Bandwidth]:特定の VIP の集約帯域幅にしきい値が適用されます。

[Concurrent connections]:特定の VIP の集約された同時接続にしきい値が適用されます。

[Connection rate]:特定の VIP の集約された接続レートにしきい値が適用されます。

リソースごとに、[High]、[Low]、および [Watermark] しきい値を指定できます。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [System] > [Resource Usage Threshold] > [VIP Threshold] を選択します。

[VIP Threshold] テーブルが表示されます。

ステップ 2 [Add] をクリックして VIP のしきい値を追加するか、変更する VIP のしきい値を選択して、[Edit] をクリックします。[VIP Threshold] 画面が表示されます。

ステップ 3 [VIP Address] フィールドに仮想 IP アドレスを入力します。

ステップ 4 [Class Map Name] フィールドに、レイヤ 3/4 ネットワーク トラフィック クラス マップの名前を入力します。

ステップ 5 [Policy Map Name] フィールドに、レイヤ 3/4 ネットワーク トラフィック(Multi-Match)ポリシー マップの名前を入力します。

ステップ 6 リソースごとに、[High]、[Low]、および [Watermark] のパーセンテージを指定します。

次のガイドを使用して、パーセンテージの値を入力します。

1 <= Low < Watermark < High <= 100(パーセント)

10 進値は使用できません。

ステップ 7 次のいずれかを実行します。

[Deploy Now] をクリックします。

[Cancel] をクリックして、選択を保存せずにこの手順を終了して、[VIP] テーブルに戻ります。

[Add Another] をクリックして、エントリを保存し、別のエントリを [VIP] テーブルに追加します。画面がリフレッシュされて、別の VIP オプションを選択できます。


 

関連トピック

「実サーバのリソース使用量しきい値の設定」

「仮想コンテキストの SNMP 設定」

「リソース クラスの管理」

「仮想コンテキスト ポリシー マップの作成」

「仮想コンテキスト クラス マップの作成」

コンフィギュレーション チェックポイントとロールバック サービスの使用方法

ある時点で、ACE の実行コンフィギュレーションを変更する場合があります。変更したコンフィギュレーションに問題がある場合は、ACE をリブートする必要があります。既知で不変の実行コンフィギュレーションのチェックポイント(スナップショット)を作成してから、変更を開始すると、実行コンフィギュレーションの変更に失敗した場合も、ACE をリブートする必要がなくなります。実行コンフィギュレーションを変更するときに問題が発生した場合は、コンフィギュレーションを以前の不変のコンフィギュレーション チェックポイントにロールバックできます。


) ACE ソフトウェアをアップグレードする前に、実行コンフィギュレーションにチェックポイントを作成しておくことを強く推奨します。ソフトウェア リリース A4(1.0) の場合は、バックアップ機能を使用して実行コンフィギュレーションのバックアップを作成します(「デバイスのバックアップおよび復元機能の実行」を参照)。


ACE では、チェックポイント コンフィギュレーションをコンテキスト レベルで作成できます。各コンテキストのチェックポイントは、ACE のフラッシュ メモリの非表示ディレクトリに格納されます。現在の実行コンフィギュレーションを修正するコンフィギュレーションの変更を加えた後で、チェックポイントをロールバックすると、ACE によって、実行コンフィギュレーションが、チェックポイントが設定されたコンフィギュレーションに戻されます。

この項では、次のトピックについて取り上げます。

「コンフィギュレーション チェックポイントの作成」

「コンフィギュレーション チェックポイントの削除」

「実行コンフィギュレーションのロールバック」

「チェックポイントと実行コンフィギュレーションの比較」

「チェックポイント情報の表示」

コンフィギュレーション チェックポイントの作成

特定のコンテキストのコンフィギュレーション チェックポイントを作成できます。ACE は、コンテキストごとに最大 10 のチェックポイントをサポートします。

前提

このトピックの前提は、次のとおりです。

現在の実行コンフィギュレーションが不変であること、およびチェックポイントの作成対象のコンフィギュレーションであることを確認します。チェックポイントの作成後に取り消す場合は、削除できます(「コンフィギュレーション チェックポイントの削除」を参照)。

ACE-Admin、DM-Admin、および Org-Admin の事前定義されたロールには、コンフィギュレーション チェックポイント機能へのアクセス権があります。

作成または変更するための Device Manager Inventory および Virtual Context ロール タスクが設定されているカスタム ロールには、コンフィギュレーション チェックポイントを作成するために必要な権限があります。

チェックポイントには、SSL キー/証明書、プローブ スクリプト、およびライセンスは含まれません。

DM のこの機能を使用するには、SSH がアプライアンスでイネーブルになっている必要があります。また、 ssh key rsa 1024 force コマンドがアプライアンスに適用されている必要があります。

チェックポイントを ACE のコンテキストから直接追加すると、そのコンテキストに対する ACE アプライアンス Device Manager の自動同期はトリガーされません。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ admin context ] > [System] > [Checkpoints] を選択します。

[Checkpoints] テーブルが表示されます。

チェックポイントの説明については、 表 4-12 を参照してください。

 

表 4-12 [Checkpoints] テーブル

フィールド
説明

Name

チェックポイントの固有識別子。

Size (In Bytes)

コンフィギュレーション チェックポイントのサイズ(バイト単位)。

Date (Created On)

コンフィギュレーション チェックポイントが作成された日付。

ステップ 2 [Checkpoints] テーブルで、[Create Checkpoint] をクリックします。

[Create Checkpoint] ダイアログボックスが表示されます。

ステップ 3 [Create Checkpoint] ダイアログボックスの [Checkpoint Name] フィールドで、チェックポイントの固有識別子を指定します。

最大 25 文字の英数字からなる、スペースを含まないテキスト文字列を入力します。

チェックポイントがすでに存在する場合は、別の名前を使用するように要求されます。

ステップ 4 次のいずれかを実行します。

[OK] をクリックして、コンフィギュレーション チェックポイントを保存します。[Checkpoints] テーブルに戻り、新しいチェックポイントがテーブルに表示されます。

[Cancel] をクリックして、コンフィギュレーション チェックポイントを保存せずにこの手順を終了し、[Checkpoints] テーブルに戻ります。


 

コンフィギュレーション チェックポイントの削除

チェックポイントを削除できます。チェックポイントを ACE のコンテキストから直接削除すると、そのコンテキストに対する ACE アプライアンス Device Manager の自動同期はトリガーされません。

前提条件

この手順を実行する前に、チェックポイントを削除することを確認します。[Trash] アイコンをクリックすると、ACE によってフラッシュ メモリからチェックポイントが削除されます。

DM のこの機能を使用するには、SSH がアプライアンスでイネーブルになっている必要があります。また、 ssh key rsa 1024 force コマンドがアプライアンスに適用されている必要があります。

手順


ステップ 1 コンフィギュレーション チェックポイントを作成する仮想コンテキストを選択するには、[Config] > [Virtual Contexts] > [ admin context ] > [System] > [Checkpoints] を選択します。

[Checkpoints] テーブルが表示されます。

ステップ 2 [Checkpoints] テーブルで、任意のテーブル エントリの左側にあるオプション ボタンを選択し、[Trash] アイコンをクリックしてチェックポイントを削除します。


 

実行コンフィギュレーションのロールバック

コンテキストの現在の実行コンフィギュレーションを、以前チェックポイントが設定された実行コンフィギュレーションにロールバックできます。


) DM のこの機能を使用するには、SSH がアプライアンスでイネーブルになっている必要があります。また、ssh key rsa 1024 force コマンドがアプライアンスに適用されている必要があります。


手順


ステップ 1 [Config] > [Virtual Contexts] > [ admin context ] > [System] > [Checkpoints] を選択します。

[Checkpoints] テーブルが表示されます。

ステップ 2 ロールバックするチェックポイントの左側にあるオプション ボタンを選択して、[Rollback] をクリックします。

ACE アプライアンス Device Manager から確認のポップアップ ウィンドウが表示され、この変更に関する警告、および 2 つのコンフィギュレーション間で検出される差異によってはロールバック操作に時間がかかることが示されます。


) ACE アプライアンス Device Manager は、ロールバック実行後にデバイスを同期します。この同期には時間がかかる場合があります。



 

チェックポイントと実行コンフィギュレーションの比較

既存のチェックポイントを実行コンフィギュレーションと比較できます。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ admin context ] > [System] > [Checkpoints] を選択します。

[Checkpoints] テーブルが表示されます。

ステップ 2 [Checkpoints] テーブルで、比較するチェックポイントの左側にあるオプション ボタンを選択し、[Compare] をクリックします。

ACE アプライアンス Device Manager は ACE compare checkpoint_name CLI コマンドを使用して、指定したチェックポイントの実行コンフィギュレーションを比較します。

チェックポイント コンフィギュレーションが実行コンフィギュレーションと同じ場合、このコマンドの出力は次のようになります。

Checkpoint config is same as running config
 

チェックポイント コンフィギュレーションが実行コンフィギュレーションと異なる場合、2 つのコンフィギュレーション間の違いが出力されます。赤色の項目は現在の実行コンフィギュレーションにあり、削除されます。緑色の項目は現在の実行コンフィギュレーションにはなく、追加されます。

 

ステップ 3 [Cancel] をクリックして、ダイアログボックスを終了し、[Checkpoints] テーブルに戻ります。


 

チェックポイント情報の表示

チェックポイント情報を表示できます。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ admin context ] > [System] > [Checkpoints] を選択します。

[Checkpoints] テーブルが表示されます。

ステップ 2 [Checkpoints] テーブルで、表示するチェックポイントの左側にあるオプション ボタンを選択し、[Details] をクリックします。

ACE アプライアンス Device Manager は ACE show checkpoint detail { name } CLI コマンドを使用して、指定したチェックポイントの実行コンフィギュレーションを表示します。

 

ステップ 3 [Cancel] をクリックして、ダイアログボックスを終了し、[Checkpoints] テーブルに戻ります。


 

デバイスのバックアップおよび復元機能の実行

バックアップおよび復元機能を使用すると、ACE 全体または特定の仮想コンテキストのコンフィギュレーションと依存関係をバックアップまたは復元できます。コンフィギュレーションの依存関係は、コンフィギュレーションを ACE に適用できるように、ACE に存在する必要があるファイルです。これらのファイルには、ヘルスモニタリングのスクリプト、SSL 証明書、SSL キーなどが含まれます。


) ここでは、SSL ファイルのバックアップおよび復元について説明します。これは、ACE NPE ソフトウェア バージョンには適用されません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。


この機能を使用すると、次のコンフィギュレーション ファイルと依存関係をバックアップおよび復元できます。

実行コンフィギュレーション ファイル

スタートアップ コンフィギュレーション ファイル

チェックポイント

SSL ファイル(SSL 証明書およびキー)

ヘルスモニタリングのスクリプト

ライセンス


) バックアップ機能では、サンプルの SSL 証明書およびキー ペア ファイルはバックアップされません。


この機能の一般的な使用例は次のとおりです。

後で使用するためのコンフィギュレーションのバックアップ

ソフトウェア障害やユーザ エラーが原因で失われたコンフィギュレーションの回復

ハードウェア障害が原因で古い ACE の返品許可(RMA)で発生したときに、新しい ACE にコンフィギュレーション ファイルを復元する

別の ACE にコンフィギュレーション ファイルを転送する

バックアップおよび復元機能は、管理コンテキストと仮想コンテキストの両方でサポートされています。管理コンテキストでこれらの機能を実行すると、ACE の管理コンテキストのみ、またはすべてのコンテキストのコンフィギュレーション ファイルをバックアップまたは復元できます。仮想コンテキストでこれらの機能を実行すると、そのコンテキストのコンフィギュレーション ファイルのみバックアップまたは復元できます。バックアップおよび復元機能は、いずれもバックグラウンドで非同期的に実行されます。

アーカイブの命名規則

コンテキストのアーカイブ ファイルの命名規則の形式は、次のとおりです。

Hostname_ctxname_timestamp .tgz

ファイル名の各フィールドは次のとおりです。

Hostname :ACE の名前。ホスト名に特殊文字を含めると、ACE はファイル名にデフォルトのホスト名の「switch」を使用します。たとえば、ホスト名が Active@~!#$%^ の場合、ACE は次のファイル名を割り当てます。switch_Admin_2009_08_30_15_45_17.tgz

ctxname :コンテキストの名前。コンテキスト名に特殊文字を含めると、ACE はファイル名にデフォルトのコンテキスト名の「context」を使用します。たとえば、コンテキスト名が Test!123* の場合、ACE は次のファイル名を割り当てます。switch_context_2009_08_30_15_45_17.tgz

timestamp :ACE がファイルを作成した日時。タイムスタンプは次の 24 時間形式です。 YYYY _ MM_DD_hh _ mm _ ss

次に例を示します。

ACE-1_ctx1_2009_05_06_15_24_57.tgz
 

ACE 全体をバックアップする場合、アーカイブ ファイル名には ctxname フィールドは含まれません。したがって、形式は次のようになります。

Hostname_timestamp .tgz

次に例を示します。

ACE-1_2009_05_06_15_24_57.tgz
 

アーカイブのディレクトリ構造とファイル名

ACE は、バックアップ アーカイブにフラット ディレクトリ構造を使用します。ACE は、バックアップする個々のファイルにファイル拡張子を提供し、アーカイブを復元する際にファイルのタイプを容易に特定できるようします。すべてのファイルが 1 つのディレクトリに保存されます。そして、次のように tar 圧縮および GZIP 圧縮されます。

ACE-1_Ctx1_2009_05_06_07_24_57.tgz
ACE-1_Ctx1_2009_05_06_07_24_57\
context_name-running
context_name-startup
context_name-chkpt_name.chkpt
context_name-cert_name.cert
context_name-key_name.key
context_name-script_name.tcl
context_name-license_name.lic

注意事項と制約事項

バックアップおよび復元機能には、次の設定の注意事項と制約事項があります。

DM のこの機能を使用するには、SSH がアプライアンスでイネーブルになっている必要があります。また、 ssh key rsa 1024 force コマンドがアプライアンスに適用されている必要があります。

バックアップ アーカイブは、ファイルの復元先である ACE のコンテキスト内の disk0: に保存します。フル バックアップには管理コンテキストを使用し、ユーザ コンテキストには対応するコンテキストを使用します。

実行コンフィギュレーション ファイルをバックアップする場合、ACE はアーカイブ ファイルのベースとして show running-configuration CLI コマンドの出力を使用します。

ACE は、エクスポート可能な証明書およびキーのみバックアップします。

ライセンス ファイルは、管理コンテキストをバックアップする場合のみバックアップされます。

パス フレーズを使用して、暗号化された形式で SSL キーをバックアップします。パス フレーズは記憶するか、または書き留めて安全な場所に保管します。暗号化キーを復元する場合、ACE からキーを復号化するパス フレーズを要求されます。SSL キーのバックアップ時にパス フレーズを使用しない場合、ACE は、OpenSSL ソフトウェアを使用して AES-256 暗号化でキーを復元します。

disk0: に存在するプローブ スクリプトのみバックアップする必要があります。probe: ディレクトリにある事前にパッケージ化されたプローブ スクリプトは常に使用可能です。バックアップを実行すると、ACE は、disk0: にあるコンフィギュレーションに必要なスクリプトを自動的に特定し、バックアップします。

ACE は、disk0: に存在するスクリプトを除き、バックアップ中にコンフィギュレーションで必要なその他の依存関係を解決しません。たとえば、実行コンフィギュレーション ファイルの SSL プロキシで SSL 証明書を設定し、後で証明書を削除した場合、バックアップは証明書がまだ存在するかのように実行されます。

復元操作を実行するには、ユーザ ロールに管理 RBAC 機能が必要です。DM-admin と ORG-admin には、デフォルトでこの機能へのアクセス権があります。作成または変更するための Device Manager Inventory および Virtual Context ロール タスクが設定されているカスタム ロールにも、この機能へのアクセス権があります。

ACE 全体のアーカイブを復元するように ACE に指示すると、まず管理コンテキストが完全に復元されてから、他のコンテキストが復元されます。ACE は実行コンフィギュレーションを復元する前に、すべての依存関係を復元します。ACE が復元する依存関係の順序は次のとおりです。

ライセンス ファイル

SSL 証明書およびキー ファイル

ヘルスモニタリングのスクリプト

チェックポイント

スタートアップ コンフィギュレーション ファイル

実行コンフィギュレーション ファイル

ACE を復元すると、その前にインストールしたライセンス ファイルはアンインストールされ、バックアップ ファイルにあるライセンス ファイルがそれぞれの場所にインストールされます。

冗長構成では、復元するアーカイブが FT グループのピア構成と異なる場合、復元後に冗長性が正しく機能しないことがあります。

次の条件を満たす場合、フル バックアップ アーカイブから 1 つのコンテキストを復元できます。

復元するコンテキストで復元操作を実行する。

コンテキストのすべてのファイル依存関係がフル バックアップ アーカイブに存在する。

復元成功後に ACE Device Manager が CLI を同期できるようにするには、[Latest Restore] ステータスが [In Progress] から [Success] に変わるまで、[Backup / Restore] ページから移動しないでください。復元プロセスが完了する前に別のページに移動すると、[Backup / Restore] ページに戻るか、自動または手動の CLI 同期が行われるまで CLI は同期されません。

デフォルト

表 4-13 にバックアップおよび復元機能のパラメータのデフォルト設定を示します。

 

表 4-13 デフォルトのバックアップおよび復元パラメータ

パラメータ
デフォルト

Backed up files

デフォルトでは、ACE は、現在のコンテキストにある次のファイルをバックアップします。

実行コンフィギュレーション ファイル

スタートアップ コンフィギュレーション ファイル

チェックポイント

SSL 証明書

SSL キー

ヘルスモニタリングのスクリプト

ライセンス

SSL key restore encryption

なし

この項では、次のトピックについて取り上げます。

「デバイス構成および依存関係のバックアップ」

「デバイス構成および依存関係の復元」

デバイス構成および依存関係のバックアップ

ACE の構成とその依存関係のバックアップを作成できます。


) 管理コンテキストからバックアップ プロセスを実行する場合は、管理コンテキスト ファイルのみ、または管理コンテキストとすべてのユーザ コンテキストをバックアップできます。ユーザ コンテキストからバックアップする場合は、現在のコンテキスト ファイルのみバックアップでき、ACE ライセンスはバックアップできません。



) Web ブラウザが [Remember Passwords] オプションをサポートしていて、このオプションをイネーブルにしている場合、Web ブラウザにより、ユーザ認証用の [Username] および [Password] フィールドが入力されていることがあります。デフォルトでは、これらのフィールドは空です。Web ブラウザによって 2 つのフィールドに何が挿入されていても、[Username] および [Password] フィールドは変更できます。


手順


ステップ 1 [Config] > [Virtual Contexts] > [System] > [Backup / Restore] を選択します。

[Backup / Restore] テーブルが表示され、最新のバックアップと復元の統計情報が表示されます。


) テーブルの内容をリフレッシュする場合は常に、[Poll Now] をクリックします。



) バックアップ/復元操作を選択すると、該当コンテキストがこの操作のためにアクセスされたことがない場合、Appliance Device Manager はそのコンテキストをポーリングする必要があります。最新のバックアップおよび復元の情報を得るために必要なポーリング操作により、[Backup / Restore] テーブルの表示に遅れが生じることがあります。


[Backup] および [Restore] フィールドについては、 表 4-14 の説明を参照してください。

 

表 4-14 [Backup] および [Restore] フィールド

フィールド
説明

Latest Backup

Backup Archive

バックアップ ファイルを含む、最後に作成された *.tgz ファイルの名前。

Type

バックアップのタイプ:コンテキストまたはフル(すべてのコンテキスト)。

Start-time

最後のバックアップが開始した日時。

Finished-time

最後のバックアップが終了した日時。

Status

バックアップする最後のコンテキストのステータス:[Success]、[In Progress]、または [Failed]。ステータスの詳細を表示する場合は、ステータスのリンクをクリックします。

Current vc

バックアップ プロセスの最後のコンテキストの名前。

Completed

コンテキスト バックアップ要求の総数との比較における完了したコンテキスト バックアップの数。

次に例を示します。

2/2 = 完了したコンテキスト バックアップ数は 2/要求されたコンテキスト バックアップ数は 2

0/1 = 完了したコンテキスト バックアップ数は 0/要求されたコンテキスト バックアップ数は 1

Latest Restore

Backup Archive

復元プロセス中に使用された *.tgz ファイルの名前。

Type

復元のタイプ:コンテキストまたはフル(すべてのコンテキスト)。

Start-time

最後の復元が開始した日時。

Finished-time

最後の復元が終了した日時。

Status

最後の復元のステータス:[Success]、[In Progress]、または [Failed]。ステータスの詳細を表示する場合は、ステータスをクリックします。

Current vc

復元プロセスの最後のコンテキストの名前。

Completed

コンテキスト復元要求の総数との比較における完了したコンテキスト復元の数。

次に例を示します。

2/2 = 完了したコンテキスト復元数は 2/要求されたコンテキスト復元数は 2

0/1 = 完了したコンテキスト復元数は 0/要求されたコンテキスト復元数は 1

ステップ 2 [Backup] をクリックします。

[Backup] ウィンドウが表示されます。

ステップ 3 [Backup] ウィンドウで、ACE がバックアップ ファイルを保存する場所のオプション ボタンをクリックします。

[Backup config on ACE (disk0:)]:これがデフォルトです。ステップ 9 に進みます。

[Backup config on ACE (disk0:) and then copy to remote system]:[Remote System] 属性のステップが表示されます。ステップ 4 に進みます。

ステップ 4 使用する転送プロトコルのオプション ボタンをクリックします。

[FTP]:File Transfer Protocol

[SFTP]:セキュア ファイル転送プロトコル

[TFTP]:Trivial File Transfer Protocol

ステップ 5 [Username] フィールドに、リモート サーバでのユーザ認証に必要なユーザ名を入力します。

このフィールドは、[FTP] と [SFTP] にのみ表示されます。

ステップ 6 [Password] フィールドに、リモート サーバでのユーザ認証に必要なパスワードを入力します。

このフィールドは、[FTP] と [SFTP] にのみ表示されます。

ステップ 7 [IP Address] フィールドに、リモート サーバの IP アドレスを入力します。

ステップ 8 [Backup File Path in Remote System] フィールドに、リモート サーバのフル パスを入力します。

ステップ 9 管理コンテキストおよびすべてのユーザ コンテキストのファイルを含むバックアップを ACE に作成させる場合は、[Backup All Contexts] チェックボックスをオンにします。管理コンテキスト ファイルのみのバックアップを作成する場合は、このチェックボックスをオフにします。

このフィールドは、管理コンテキストの場合のみ表示されます。

ステップ 10 バックアップ プロセスから除外するコンポーネント(チェックポイントまたは SSL ファイル)を指定します。


) [SSL Files] オプションは ACE NPE のソフトウェア バージョンには使用できません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。


コンポーネントを除外するには、[Available] ボックス内でダブルクリックして、[Selected] ボックスに移動します。また、左右の矢印を使用して、2 つのボックス間で選択した項目を移動することができます。


注意 SSL ファイル コンポーネントを除外し、このアーカイブ済みバックアップを使用して ACE を復元すると、これらのファイルは ACE から削除されます。このバックアップを使用して復元を実行する前に、これらのファイルを保存するには、crypto export CLI コマンドを使用して、キーをリモート サーバにエクスポートし、copy CLI コマンドを使用して、ライセンス ファイルを .tar ファイルとして disk0: にコピーします。

ステップ 11 [Pass Phrase] フィールドに、バックアップした SSL キーを暗号化するために指定するパス フレーズを入力します。


) このフィールドは ACE NPE のソフトウェア バージョンでは使用できません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。


パス フレーズとして、最大 40 文字の英数字を引用符で囲まずに、スペースを含めないで入力します。パス フレーズを入力し、アーカイブから SSL ファイルを除外する場合、ACE はパス フレーズを使用しません。

ステップ 12 バックアップ プロセスを開始するには、[OK] をクリックします。

ACE Device Manager がファイルを保存する場所に応じて次のアクションが発生します。

disk0: のみ:Device Manager は、バックアップ プロセス中の GUI 機能の継続を許可し、[Backup / Restore] ページに表示する ACE のバックアップ ステータスをポーリングします。

disk0: とリモート サーバ:Device Manager は GUI が操作を一時停止して、プロセスが完了するまで [Backup] ダイアログボックスに「Please Wait」メッセージを表示します。このプロセス中、ACE Device Manager は、バックアップ ファイルをローカルに作成して disk0: に保存し、ファイルのコピーを指定したリモート サーバに配置するように ACE に指示します。

ステップ 13 [Backup / Restore] ページで、[Poll Now] をクリックして、最新のバックアップ統計情報が表示されるようにします。次に [Latest Backup] 列にある [Status] リンク([Success]、[In Progress]、または [Failed])をクリックして、バックアップ操作の詳細を表示します。

バックアップ ステータスが [Success] または [In Progress] の場合、[Show Backup Status Detail] ポップアップ ウィンドウが開き、正常にバックアップされたファイルの一覧が表示されます。バックアップ ステータスが [In Progress] の場合、ACE Device Manager は 2 分おきに ACE をポーリングして、最新のステータス情報を取得し、表示されるステータス情報を自動的に更新します。ポーリングは ACE Device Manager が [Success] または [Failed] のステータスを受信するまで続行されます。バックアップ ステータスが [Failed] の場合、[Show Backup Errors] ポップアップ ウィンドウが開き、失敗したバックアップの試行の理由が表示されます。


 

関連トピック

「デバイス構成および依存関係の復元」

デバイス構成および依存関係の復元

バックアップ ファイルを使用して、ACE の構成とその依存関係を復元できます。


注意 復元操作では、バックアップ アーカイブ ファイルを復元する前に、コンテキスト内のすべての既存の SSL 証明書とキー ペア ファイル、ライセンス ファイル、およびチェックポイントがクリアされます。構成に SSL ファイルまたはチェックポイントが含まれていて、バックアップ アーカイブの作成時にこれらを除外した場合、これらのファイルはバックアップ アーカイブを復元後のコンテキストには存在しなくなります。コンテキスト内の既存のエクスポート可能な SSL 証明書およびキー ファイルを保持するには、復元操作を実行する前に、CLI および crypto export コマンドを使用して、FTP、SFTP、または TFTP サーバに保持する証明書とキーをエクスポートします。アーカイブを復元後、SSL ファイルをコンテキストにインポートします。CLI を使用した SSL 証明書およびキー ペア ファイルのエクスポートおよびインポートの詳細については、『SSL Guide, Cisco ACE Application Control Engine』を参照してください。

また、restore コマンドの exclude オプションを使用して、disk0: の SSL ファイルをクリアせず、ACE がバックアップを復元するときに、バックアップ アーカイブ内の SSL ファイルを無視するように ACE に指示できます。

暗号化プロトコルを許可しない NPE のソフトウェア バージョンを ACE が使用している場合は、この注意は無視します(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。


) Web ブラウザが [Remember Passwords] オプションをサポートしていて、このオプションをイネーブルにしている場合、Web ブラウザにより、ユーザ認証用の [Username] および [Password] フィールドが入力されていることがあります。デフォルトでは、これらのフィールドは空です。Web ブラウザによって 2 つのフィールドに何が挿入されていても、[Username] および [Password] フィールドは変更できます。


前提条件

管理コンテキスト ファイルとすべてのユーザ コンテキスト ファイルを復元する場合は、[Backup All Contexts] チェックボックスをオンにした状態で管理コンテキストから作成されたバックアップ ファイルを使用します(「デバイス構成および依存関係のバックアップ」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [System] > [Backup / Restore] を選択します。

[Backup / Restore] テーブルが表示されます。


) テーブルの内容をリフレッシュする場合は常に、[Poll Now] をクリックします。



) 管理コンテキストから復元プロセスを実行する場合は、管理コンテキスト ファイルのみ、または管理コンテキスト ファイルとすべてのユーザ コンテキスト ファイルを復元できます。ユーザ コンテキストから復元プロセスを実行する場合は、現在のコンテキスト ファイルのみ復元できます。


[Backup] および [Restore] フィールドについては、 表 4-14 の説明を参照してください。

ステップ 2 [Restore] をクリックします。

[Restore] ウィンドウが表示されます。


) Device Manager は、disk0: アーカイブ(*.tgz)ファイルの一覧を取得するために、[Restore] ウィンドウの表示は遅れることがあります。


ステップ 3 [Restore] ウィンドウで、該当するオプション ボタンをクリックして、保存したバックアップ ファイルがある場所を指定します。

[Choose a backup file on the ACE (disk0:)]:これがデフォルトです。ステップ 9 に進みます。

[Choose a backup file from remote system]:[Remote System] 属性のステップが表示されます。ステップ 4 に進みます。

ステップ 4 使用する転送プロトコルのオプション ボタンをクリックします。

[FTP]:File Transfer Protocol

[SFTP]:セキュア ファイル転送プロトコル

[TFTP]:Trivial File Transfer Protocol

ステップ 5 [Username] フィールドに、リモート ファイル システムでのユーザ認証に必要なユーザ名を入力します。

このフィールドは、[FTP] と [SFTP] にのみ表示されます。

ステップ 6 [Password] フィールドに、リモート ファイル システムでのユーザ認証に必要なパスワードを入力します。

このフィールドは、[FTP] と [SFTP] にのみ表示されます。

ステップ 7 [IP Address] フィールドに、リモート サーバの IP アドレスを入力します。

ステップ 8 [Remote System] フィールドの [Backup File Path] に、リモート サーバからコピーするバックアップ ファイル名を含む、バックアップ ファイルのフル パスを入力します。

ステップ 9 ACE にすべてのコンテキストのファイルを復元させる場合は、[Restore All Contexts] チェックボックスをオンにします。管理コンテキスト ファイルのみ復元する場合は、このチェックボックスをオフにします。

このフィールドは、管理コンテキストの場合のみ表示されます。

ステップ 10 ACE に現在ロードされている SSL ファイルを保持し、バックアップ ファイルの SSL ファイルを使用しない場合は、[Exclude SSL Files] チェックボックスをオンにします。


) このチェックボックスは、ACE NPE のソフトウェア バージョンでは使用できません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。



注意 [Exclude SSL Files] オプションをオンにした場合を除き、復元機能は、現在 ACE にロードされているすべての SSL ファイルを削除します。このオプションをオフにした場合、復元機能は、バックアップ ファイルに含まれている SSL ファイルをロードします。バックアップ ファイルに SSL ファイルが含まれていない場合、復元操作の完了時に ACE には SSL ファイルがロードされていません。その後、リモート サーバから SSL ファイルのコピーをインポートする必要があります。

ステップ 11 [Pass Phrase] フィールドに、アーカイブ内のバックアップした SSL キーを暗号化するために使用されるパス フレーズを入力します。


) このフィールドは ACE NPE のソフトウェア バージョンでは使用できません(「ACE No Payload Encryption ソフトウェア バージョン関する情報」を参照)。


パス フレーズとして、最大 40 文字の英数字を引用符で囲まずに、スペースを含めないで入力します。[Pass Phrase] フィールドは、[Exclude SSL Files] チェックボックスをオンにした場合は表示されません。

ステップ 12 [OK] をクリックして、復元プロセスを開始します。

ACE Device Manager がバックアップ ファイルを取得する場所に応じて次のアクションが発生します。

disk0: のみ:ACE Device Manager は、復元プロセス中の GUI 機能の継続を許可し、[Backup / Restore] ページに表示する ACE のバックアップ ステータスをポーリングします。


) 復元成功後に Device Manager が CLI を同期できるようにするには、[Latest Restore] ステータスが [In Progress] から [Success] に変わるまで、[Backup / Restore] ウィンドウから移動しないでください。復元プロセスが完了する前に別のウィンドウに移動すると、[Backup / Restore] ウィンドウに戻るか、または自動または手動の CLI 同期が行われるまで CLI は同期されません。


disk0: とリモート サーバ:ACE Device Manager は GUI が操作を一時停止して、プロセスが完了するまで [Restore] ダイアログボックスに「Please Wait」メッセージを表示します。このプロセス中、ACE Device Manager は、指定したリモート サーバから ACE の disk0: にバックアップ ファイルをコピーするように ACE に指示し、次に、コンテキストにバックアップ ファイルを適用します。

ステップ 13 [Backup / Restore] ページで、[Poll Now] をクリックして、最新の統計情報が表示されるようにします。次に、[Latest Backup] 列の [Status] リンク([Success]、[In Progress]、または [Failed])をクリックして、復元操作の詳細を表示します。

復元ステータスが [Success] または [In Progress] の場合、[Show Restore Status Detail] ポップアップ ウィンドウが開き、正常に復元されたファイルの一覧が表示されます。復元ステータスが [In Progress] の場合、ACE Device Manager は 2 分おきに ACE をポーリングして、最新のステータス情報を取得し、表示されるステータス情報を自動的に更新します。ポーリングは ACE Device Manager が [Success] または [Failed] のステータスを受信するまで続行されます。復元ステータスが [Failed] の場合、[Show Restored Errors] ポップアップ ウィンドウが開き、失敗した復元の試行の理由が表示されます。


 

関連トピック

「デバイスのバックアップおよび復元機能の実行」

ACL を使用したセキュリティの設定

ACL(アクセス コントロール リスト)は、ネットワーク トラフィック プロファイルを一括して定義する、ACL エントリと呼ばれる一連の文で構成されています。各エントリは、エントリ内で指定したネットワークの一部エリアに対して、ネットワーク トラフィック(インバウンドおよびアウトバウンド)を許可あるいは拒否します。アクション エレメント(「許可」または「拒否」)の他に、各エントリには、送信元アドレス、宛先アドレス、プロトコル、プロトコル固有パラメータなどの基準に基づくフィルタ エレメントが含まれています。暗黙的な「全拒否」エントリがすべての ACL エントリの終わりに存在するため、接続を許可するすべてのインターフェイスに ACL を設定する必要があります。これを行わないと、ACE はそのインターフェイス上のすべてのトラフィックを拒否してしまいます。

ACL は、各パケットを処理するのではなく、ネットワーク接続セットアップを制御できるようにすることで、すべてのネットワークに対して基本セキュリティを提供します。このような ACL は一般的に セキュリティ ACL と呼ばれます。

たとえば、ネットワーク アドレス変換(NAT)、サーバ ロード バランシング(SLB)などの他の機能の一部として ACL を設定できます。ACE は、これらの個別の ACL を、 マージド ACL と呼ばれる 1 つの大きい ACL にマージします。次にマージド ACL は ACL コンパイラにより解析され、ACL 参照メカニズムが生成されます。このマージド ACL への合致が 1 回発生するたびに、複数のアクションを発動させることができます。すでに [Summary] テーブル内にある ACL へのエントリの追加、エントリの修正、またはエントリの削除を行ったり、新規 ACL をリストに追加したりすることができます。

ACL を使用する場合、回線上のすべての電子メール トラフィックを許可するものの、FTP トラフィックをブロックするようなこともできます。また、ネットワークの一部エリアに対して、あるクライアントにはアクセスを許可し、別のクライアントには拒否するような場合にも ACL を利用できます。

ACL の設定では、あるインターフェイスを通るトラフィックを制御するためには、ACL をそのインターフェイスに適用しなくてはなりません。ある ACL をインターフェイスに適用することにより、その ACL とそのエントリがそのインターフェイスに対して割り当てられます。

拡張 ACL は、インターフェイスの各送信方向(インバウンドまたはアウトバウンド)に対して 1 つだけ適用できます。同じ ACL を複数のインターフェイスに適用することもできます。EtherType ACL は、着信方向およびレイヤ 2 インターフェイスだけに適用できます。


) デフォルトで、明示的に許可しない限りすべてのトラフィックが ACE で拒否されます。ACL 内で明示的に許可されたトラフィックだけが通過できます。その他のすべてのトラフィックは拒否されます。


ここでは、次の内容について説明します。

「ACL の作成」

「EtherType ACL 属性の設定」

「拡張 ACL 属性の設定」

「拡張 ACL のリシーケンス」

「コンテキスト別の全 ACL の表示」

「ACL の編集または削除」

ACL の作成


) デフォルトで、明示的に許可しない限りすべてのトラフィックが ACE で拒否されます。ACL 内で明示的に許可されたトラフィックだけが通過できます。その他のすべてのトラフィックは拒否されます。


ACL の作成、修正、または削除を行うには、次の手順を使用します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [ACLs] を選択します。

[ACL Summary] テーブルが表示され、既存 ACL が一覧表示されます。[ACL Summary] のフィールドについては、表 4-15 で説明します。

 

表 4-15 [ACL Summary] テーブル

フィールド
説明

Name

ACL の一意な識別子を入力します。有効な入力は、引用符なしの最大 64 文字の英数字です。

Type

次の ACL タイプを指定します。

[Extended]:この ACL では、トラフィックの送信先と宛先の両方の IP アドレスと、プロトコルおよび実行するアクションを指定できます。詳細については、「拡張 ACL 属性の設定」を参照してください。

[Ethertype]:この ACL は、EtherType に基づいて非 IP トラフィックのネットワーク アクセスを制御します。EtherType は、サブプロトコル ID です。詳細については、「EtherType ACL 属性の設定」を参照してください。

IP Address Type

IP アドレスのタイプを指定します。

[IPv4]:この ACL は、IPv4 トラフィックのネットワーク アクセスを制御します。

[IPv6]:この ACL は、IPv6 トラフィックのネットワーク アクセスを制御します。

# (Line Number)

拡張種別 ACL エントリの ACL 行番号。

Action

適用するアクション(許可/拒否)。

Protocol

この ACL エントリに適用するプロトコル番号またはサービス オブジェクト グループ。

Source

この ACL エントリに適用されている送信元 IPv6 または IPv4 アドレス、あるいは送信元ネットワーク オブジェクト グループ(設定されている場合)。

Destination

この ACL エントリに適用されている宛先 IPv6 または IPv4 アドレス、あるいは宛先ネットワーク オブジェクト グループ(設定されている場合)。

ICMP

この ACL で ICMP(インターネット制御メッセージ プロトコル)が使用されるかどうかを示します。詳細については、「プロトコル名と番号」を参照してください。

Interface

この ACL に関連付けられた VLAN インターフェイス。たとえば、in4,5:4out の場合、in は入力方向を示し、out は出力方向を示します。

Remark

この ACL について含めるコメントを入力します。有効な入力は、引用符で囲まない 100 文字以下のテキスト文字列です。テキストまたは特殊文字の最初に先行スペースを入力できます。末尾のスペースは無視されます。

ステップ 2 [Summary] テーブルから、次のいずれかを実行します。

ACL インラインの完全な詳細を表示するには、テーブル エントリの左側にあるプラス記号をクリックします。

ACL を作成するには、[Add] アイコンをクリックします。[New Access List] 画面が表示されます(ステップ 3 に進みます)。

ACL を修正するには、任意のテーブル エントリの左側にあるオプション ボタンを選択してから、[Edit] アイコンをクリックします。選択した任意のテーブル エントリの左側にあるオブション ボタンに基づき、[Edit ACL] または [Edit ACL entry] 画面が表示されます(ステップ 3 に進みます)。

ACL を削除するには、任意のテーブル エントリの左側にあるオプション ボタンを選択してから、[Delete] アイコンをクリックします。

ステップ 3 表 4-16 の説明に従って、必要なフィールドを追加または編集します。

 

表 4-16 ACL 設定属性

フィールド
説明

ACL Properties

名前、タイプ(Extended、Ethertype)、IP アドレス タイプ(IPv6 および IPv4)、および備考が含まれています。詳細については、「[ACL Summary] テーブル」を参照してください。

ACL Entries

Entry Attributes

行番号、アクション(許可、拒否)、プロトコルまたはサービス オブジェクト グループ、および関連付けられたドロップダウン記述子メニューが含まれています。これらの属性の詳細については、「拡張 ACL 属性の設定」または「EtherType ACL 属性の設定」参照してください。

Source

(拡張種別 ACL のみ)この ACL エントリに適用されている送信元 IPv6 アドレスとプレフィックス長、IPv4 アドレスとポート番号付きネットマスク(設定されている場合)、またはネットワーク オブジェクト グループ(設定されている場合)。詳細については、「拡張 ACL 属性の設定」を参照してください。

Destination

(拡張種別 ACL のみ)この ACL エントリに適用されている宛先 IPv6 アドレスとプレフィックス長、IPv4 アドレスとポート番号付きネットマスク(設定されている場合)、またはネットワーク オブジェクト グループ(設定されている場合)。詳細については、「拡張 ACL 属性の設定」を参照してください。

[Add To Table] ボタン

[Deploy] をクリックする前に、このボタンを使用して一度に 1 つの ACL エントリを追加することで、複数のエントリを追加するために使用されます。以前は、UI 内の 2 つの異なる場所を移動する 2 つの手順のプロセスで一度に追加できたのは 1 つのエントリだけでした。

[Remove From Table] ボタン

[Deploy] をクリックする前に、このボタンを使用して一度に 1 つの ACL エントリを削除することで、複数のエントリを削除するために使用されます。

Interfaces

Input/Output Direction

Currently Assigned (ACL:Direction)

ACL を 1 つ以上のインターフェイスに関連付けて、インターフェイスごとに 1 つの入力 ACL と 1 つの出力 ACL だけを許可できるようにします。[Interfaces] セクションの下にある左上部のチェックボックスを使用すると、すべてのインターフェイスを選択して、「access-group input」を適用できます。


) オブジェクト グループを追加、修正、または削除するには、「オブジェクト グループの設定」を参照してください。


ステップ 4 次のいずれかを実行します。

[Deploy] をクリックして、ACE アプライアンスにこの設定を導入します。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[ACLs] テーブルに戻ります。


 

関連トピック

「ACL を使用したセキュリティの設定」

「EtherType ACL 属性の設定」

「拡張 ACL 属性の設定」

「拡張 ACL のリシーケンス」

「ACL の編集または削除」

拡張 ACL 属性の設定


) デフォルトで、明示的に許可しない限りすべてのトラフィックが ACE で拒否されます。ACL 内で明示的に許可されたトラフィックだけが通過できます。その他のすべてのトラフィックは拒否されます。


拡張 ACL により、トラフィックの送信先と宛先の両方の IP アドレスと、プロトコルおよび実行するアクションを指定できます。

TCP、UDP、ICMP 接続の場合、ACE では確立した接続ですべての戻りトラフィックが許可されるため、戻りトラフィックを許可するために ACL を宛先インターフェイスにも適用する必要はありません。


) ACE は標準 ACL を明示的にはサポートしていません。標準 ACL を設定するために、宛先アドレスを [any] に指定して、拡張 ACL にポートを指定しません。


手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [ACLs] を選択します。

[ACLs] テーブルが表示され、既存 ACL がリストされます。

ステップ 2 [Add] をクリックします。[New Access List] 設定画面が表示されます。

ステップ 3 [ACL Properties] ペインに ACL 名を入力して、タイプに [Extended] を選択します。

IP アドレス タイプ(IPv6 または IPv4)を選択します。

ステップ 4 表 4-17 内の情報を使用して拡張 ACL エントリを設定します。

 

表 4-17 拡張 ACL 設定オプション

フィールド
説明

Entry Attributes

Line Number

ACL 内でこのエントリの位置を指定する番号を入力します。エントリの位置は ACL 内でのエントリ参照の順番に影響します。既存の拡張 ACL のシーケンスを変更するには、「拡張 ACL のリシーケンス」を参照してください。

Action

適用するアクション(許可/拒否)。

Service Object Group

この ACL に適用するサービス オブジェクト グループを選択します。

Protocol

この ACL エントリに適用するプロトコルまたはプロトコル番号を選択します。表 4-18 には、一般的なプロトコル名と番号が一覧表示されています。

ICMP Type

このプロトコルの ICMP タイプまたは番号を選択します。

表 4-19 に、RFC 792 に従った一般的な ICMP タイプと番号をリストします。

表 4-20 に、RFC 4443 に従った一般的な ICMPv6 タイプと関連の番号をリストします。

Message Code Operator

このサービス オブジェクトのメッセージ コードを比較する際に使用するオペランドを選択します。

[Equal To]:メッセージ コードは [Message Code] フィールドの番号と同じでなければなりません。

[Greater Than]:メッセージ コードは [Message Code] フィールドの番号よりも大きくなければなりません。

[Less Than]:メッセージ コードは [Message Code] フィールドの番号よりも小さくなければなりません。

[Not Equal To]:メッセージ コードは [Message Code] フィールドの番号と等しくなってはいけません。

[Range]:メッセージ コードは、[Min. Message Code] フィールドと [Max. Message Code] フィールドで指定されたコードの範囲内である必要があります。

Message Code

このフィールドは、[Message Code Operator] フィールドで [Equal To]、[Greater Than]、[Less Than]、または [Not Equal To] が選択された場合に表示されます。

このサービス オブジェクトの ICMP メッセージ コードを入力します。

Min.Message Code

このフィールドは、[Message Code Operator] フィールドで [Range] が選択された場合に表示されます。

このサービス オブジェクトのサービス範囲の開始値である番号を入力します。有効な入力は 0 ~ 255 の整数です。このフィールドの番号は、[Max. Message Code] フィールドに入力した番号よりも小さくする必要があります。

Max.Message Code

このフィールドは、[Message Code Operator] フィールドで [Range] が選択された場合に表示されます。

このサービス オブジェクトのサービス範囲の終了値である番号を入力します。有効な入力は 0 ~ 255 の整数です。このフィールドの番号は、[Min. Message Code] フィールドに入力した番号よりも大きくする必要があります。

Source

Source Network

ACE が送信元ネットワークから受信するネットワーク トラフィックを定義します。

[Any]:すべての送信元からのネットワーク トラフィックを許可することを示すには、[Any] オプション ボタンを選択します。

[IP/Netmask]:(IPv4 アドレス タイプ)アクセスを特定の送信元 IP アドレスに制限するには、このフィールドを使用します。この ACL で使用可能な送信元 IPv4 アドレスを入力し、そのサブネット マスクを選択します。

[IP/Prefix-length]:(IPv6 アドレス タイプ)アクセスを特定の送信元 IP アドレスに制限するには、このフィールドを使用します。この ACL で使用可能な送信元 IPv6 アドレスおよびそのプレフィックス長を入力します。

[Network Object Group]:この ACL に適用する送信元ネットワーク オブジェクト グループを選択します。

Source Port Operator

このフィールドは、[Protocol] フィールドで [TCP] または [UPD] が選択された場合に表示されます。

送信元ポート番号を比較するために使用するオペランドを選択します。

[Equal To]:送信元ポートは [Source Port Number] フィールドの番号と同じでなければなりません。

[Greater Than]:送信元ポートは [Source Port Number] フィールドの番号よりも大きくなければなりません。

[Less Than]:送信元ポートは [Source Port Number] フィールドの番号よりも小さくなければなりません。

[Not Equal To]:送信元ポートは [Source Port Number] フィールドの番号と等しくなってはいけません。

[Range]:送信元ポートは、[Lower Source Port Number] フィールドと [Uppser Source Port Number] フィールドに指定されたポートの範囲内でなければなりません。

Source Port Number

このフィールドは、[Source Port Operator] フィールドで [Equal To]、[Greater Than]、[Less Than]、または [Not Equal To] が選択された場合に表示されます。

アクセスを許可または拒否するポート名とポート番号を入力します。

Lower Source Port Number

このフィールドは、[Source Port Operator] フィールドで [Range] が選択された場合に表示されます。

アクセスを許可または拒否する下限のポート番号を入力します。有効な値は 0 ~ 65535 の整数です。このフィールド内の数字は、[Upper Source Port Number] フィールドに入力した数字よりも小さい必要があります。

Upper Source Port Number

このフィールドは、[Source Port Operator] フィールドで [Range] が選択された場合に表示されます。

アクセスを許可または拒否する上限のポート番号を入力します。有効な値は 0 ~ 65535 の整数です。このフィールド内の数字は、[Lower Source Port Number] フィールドに入力した数字よりも大きい必要があります。

Destination

Destination Network

ACE から宛先ネットワークに送信するネットワーク トラフィックを定義します。

[Any]:すべての宛先へのネットワーク トラフィックを許可することを示すには、[Any] オプション ボタンを選択します。

[IP/Netmask]:(IPv4 アドレス タイプ)アクセスを特定の宛先 IP アドレスに制限するには、このフィールドを使用します。この ACL で使用可能な宛先 IPv4 アドレスを入力し、そのサブネット マスクを選択します。

[IP/Prefix-length]:(IPv6 アドレス タイプ)アクセスを特定の宛先 IP アドレスに制限するには、このフィールドを使用します。この ACL で使用可能な宛先 IPv6 アドレスおよびそのプレフィックス長を入力します。

[Network Object Group]:この ACL に適用する宛先ネットワーク オブジェクト グループを選択します。

Destination Port Operator

このフィールドは、[Protocol] フィールドで [TCP] または [UPD] が選択された場合に表示されます。

宛先ポート番号を比較するために使用するオペランドを選択します。

[Equal To]:宛先ポートは [Destination Port Number] フィールドの番号と同じでなければなりません。

[Greater Than]:宛先ポートは [Destination Port Number] フィールドの番号よりも大きくなければなりません。

[Less Than]:宛先ポートは [Destination Port Number] フィールドの番号よりも小さくなければなりません。

[Not Equal To]:宛先ポートは [Destination Port Number] フィールドの番号と等しくなってはいけません。

[Range]:宛先ポートは、[Lower Destination Port Number] フィールドと [Upper Destination Port Number] フィールドに指定されたポートの範囲内でなければなりません。

Destination Port Number

このフィールドは、[Destination Port Operator] フィールドで [Equal To]、[Greater Than]、[Less Than]、または [Not Equal To] が選択された場合に表示されます。

アクセスを許可または拒否するポート名とポート番号を入力します。

Lower Destination Port Number

このフィールドは、[Destination Port Operator] フィールドで [Range] が選択された場合に表示されます。

アクセスを許可または拒否する下限のポート番号を入力します。有効な値は 0 ~ 65535 の整数です。このフィールド内の数字は、[Upper Destination Port Number] フィールドに入力した数字よりも小さい必要があります。

Upper Destination Port Number

このフィールドは、[Destination Port Operator] フィールドで [Range] が選択された場合に表示されます。

アクセスを許可または拒否する上限のポート番号を入力します。有効な値は 0 ~ 65535 の整数です。このフィールド内の数字は、[Lower Destination Port Number] フィールドに入力した数字よりも大きい必要があります。

 

表 4-18 プロトコル名と番号

プロトコル名1
プロトコル番号
説明

AH

51

Authentication Header(認証ヘッダー)

EIGRP

88

EIGRP

ESP

50

カプセル化したセキュリティ ペイロード

GRE

47

総称ルーティング カプセル化

ICMP

1

インターネット制御メッセージ プロトコル バージョン 4

ICMPv62

58

インターネット制御メッセージ プロトコル バージョン 6

IGMP

2

Internet Group Management Protocol(インターネット グループ管理プロトコル)

IP

0(任意)

インターネット プロトコル

IP-In-IP

4

IP-in-IP レイヤ 3 トンネリング プロトコル

OSPF

89

Open Shortest Path First:オープン ショーテスト パス ファースト

PIM

103

プロトコル独立マルチキャスト

TCP

6

伝送制御プロトコル(TCP)

UDP

17

ユーザ データグラム プロトコル(UDP)

1.全プロトコルとその番号の完全なリストについては、www.iana.org/numbers/にある「Internet Assigned Numbers Authority」を参照してください。

2.ICMPv6 は IPv4 サービス オブジェクト グループでは使用できません。

 

表 4-19 ICMP タイプ名と番号

ICMP タイプ名
番号

Alternate-Address

6

Conversion-Error

31

Echo

8

Echo-Reply

0

Information-Reply

16

Information-Request

15

Mask-Reply

18

Mask-Request

17

Mobile-Redirect

32

Parameter-Problem

12

Redirect

5

Router-Advertisement

9

Router-Solicitation

10

Source-Quench

4

Time-Exceeded

11

Timestamp-Reply

14

Timestamp-Request

13

traceroute

30

Unreachable

3

 

表 4-20 ICMPv6 タイプ名と番号

ICMP タイプ名
番号

Echo

128

Echo-Reply

129

Information-Reply

140

Information-Request

139

Parameter-Problem

4

Redirect

137

Time-Exceeded

3

traceroute

30

Unreachable

1

ステップ 5 1 つ以上の ACL エントリをテーブルに追加する場合は、[Add To Table] をクリックします。

拡張 ACL エントリの設定については、ステップ 4 を参照してください。

ステップ 6 必要に応じて任意の VLAN インターフェイスをこの ACL に関連付けて、次のいずれかを実行します。

[Deploy] をクリックして、この設定をただちに導入します。

[Cancel] をクリックして、エントリを保存せずに終了して、[ACL Summary] テーブルに戻ります。


 

関連トピック

「ACL を使用したセキュリティの設定」

「ACL の作成」

「EtherType ACL 属性の設定」

「拡張 ACL のリシーケンス」

「ACL の編集または削除」

拡張 ACL のリシーケンス

この手順を使用して、拡張 ACL のエントリのシーケンスを変更します。EtherType ACL エントリはリシーケンスを行えません。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [ACLs] を選択します。

[ACLs] テーブルが表示され、既存 ACL がリストされます。

ステップ 2 番号を付け替える拡張 ACL を選択して、フィルタ フィールドの左側に表示される [Resequence] アイコンをクリックします。

[ACL Line Number Resequence] ウィンドウが表示されます。

ステップ 3 [Start] フィールドに、ACL 内の最初のエントリに割り当てる番号を入力します。

有効な入力は 1 ~ 2147483647 です。

ステップ 4 [Increment] フィールドに、最初のエントリの後に ACL 内の各エントリに追加する番号を入力します。任意の整数を入力できます。

有効な入力は 1 ~ 2147483647 です。

ステップ 5 次のいずれかを実行します。

[Resequence] をクリックして、エントリを保存して [ACLs] テーブルに戻ります。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了して、[ACLs] テーブルに戻ります。


 

関連トピック

「ACL を使用したセキュリティの設定」

「ACL の作成」

「EtherType ACL 属性の設定」

「拡張 ACL 属性の設定」

「ACL の編集または削除」

EtherType ACL 属性の設定


) デフォルトで、明示的に許可しない限りすべてのトラフィックが ACE で拒否されます。ACL 内で明示的に許可されたトラフィックだけが通過できます。その他のすべてのトラフィックは拒否されます。


EtherType に基づいてトラフィックを制御する ACL を設定できます。EtherType は、サブプロトコル ID です。EtherType ACL によってイーサネット V2 フレームがサポートされます。EtherType ACL は、タイプ フィールドとは逆に長さフィールドを使用しているため、802.3 フォーマット化されたフレームをサポートしません。唯一の例外は、ブリッジ プロトコル データ ユニット(BPDU)で、SNAP カプセル化されており、ACE は特別に BPDU を処理するように設計されています。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [ACLs] を選択します。

[ACLs] テーブルが表示され、既存 ACL がリストされます。

ステップ 2 [Add] をクリックします。

[New Access List] 設定画面が表示されます。

ステップ 3 [ACL Properties] ペインに ACL 名を入力して、[Ethertype] を選択します。

選択可能な IP アドレス タイプは IPv4 だけです。

ステップ 4 次のいずれかのオプション ボタンを選択します。

ACE が接続をブロックすることを示すには、[Deny] をクリックします。

ACE が接続を許可することを示すには、[Permit] をクリックします。

ステップ 5 この ACL の [Protocol] フィールド ドロップダウン メニューから次のいずれかを選択します。

[Any]:任意の EtherType を指定します。

[BPDU]:ブリッジ プロトコル データ ユニットを指定します。ACE のポートはトランク ポート(シスコ独自)であるため、ACE はトランク ポート BPDU を受信します。トランク BPDU のペイロードには VLAN 情報が含まれるので、BPDU を許可すると、ACE により、発信 VLAN を使用してペイロードが修正されます。冗長性を設定した場合は、ブリッジ ループを避けるために、EtherType ACL を使って BPDU をインターフェイスの両側で許可する必要があります。冗長構成の詳細については、「ハイ アベイラビリティの設定」を参照してください。

[IPv6]:インターネット プロトコル バージョン 6 を指定します。

[MPLS]:マルチ プロトコル ラベル スイッチングを指定します。[MPLS] を選択すると、MPLS ユニキャストおよび MPLS マルチキャスト トラフィックの両方に適用されます。MPLS を許可する場合、ラベル配布プロトコル(LDP)またはタグ配布プロトコル(TDP)セッションのルータ ID として ACE インターフェイス上の IP アドレスを使用するように、ACE に接続された両方の MPLS ルータを設定することにより、LDP および TDP TCP 接続が ACE を通じて確立されるようにします。LDP および TDP を利用すると、パケット転送に使用するラベル(アドレス)を MPLS ルータのネゴシエーションに使用できるようになります。

ステップ 6 必要に応じてステップ 4ステップ 5 を繰り返して、[Add To Table] をクリックして 1 つ以上の ACL エントリを追加します。

ステップ 7 必要に応じて任意の VLAN インターフェイスをこの ACL に関連付けて、次のいずれかを実行します。

[Deploy] をクリックして、この設定をただちに導入します。

[Cancel] をクリックして、エントリを保存せずに終了して、[ACL Summary] テーブルに戻ります。


 

関連トピック

「ACL を使用したセキュリティの設定」

「ACL の作成」

「拡張 ACL 属性の設定」

「拡張 ACL のリシーケンス」

「ACL の編集または削除」

コンテキスト別の全 ACL の表示

この手順を使用して、設定されたすべてのアクセス コントロール リストを表示します。

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 表示する ACL のある仮想コンテキストを選択し、[Security] > [ACLs] を選択します。

[ACLs] テーブルが表示され、名前、そのタイプ(Extended または EtherType)、およびコメントとともに既存 ACL がリストされます。


 

関連トピック

「仮想コンテキスト エキスパート オプション設定」

「ACL の作成」

「EtherType ACL 属性の設定」

「拡張 ACL 属性の設定」

「ACL の編集または削除」

ACL の編集または削除

ACL またはそのいずれかのサブエントリを削除または編集するには、次の手順を使用します。

考慮事項

同じ ACL に IPv6 と IPv4 アクセス リスト エントリを混在させることはできません。

既存の ACL の IP アドレス タイプを変更する前に、新しい IP アドレス タイプに適用できないエントリを削除する必要があります。

ACL プロトコルを変更すると、ACE は、その ACL の既存の設定をすべて削除します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [ACLs] を選択します。

[ACLs] テーブルが表示され、既存 ACL がリストされます。

ステップ 2 編集または削除する ACL の左側にあるオプション ボタンをクリックします。

検索しているサブエントリ ACL が表示されるまで、ACL エントリの左側にあるプラス記号をクリックして必要に応じてエントリを展開します。または、[Expand All] アイコンをクリックして、すべての ACL とサブエントリを表示します。

ACL の下のサブエントリを非表示にするには、任意の ACL エントリの左側にあるマイナス記号をクリックします。すべての ACL の下のサブエントリを非表示にするには、[Collapse All] アイコンをクリックします。

ステップ 3 次のいずれかを実行します。

ACL またはそのエントリの 1 つを編集する場合は、[Edit] をクリックします。必要に応じて表 4-16 に一覧表示されているサマリー情報を使用してエントリを編集し、完了したら [Deploy] をクリックします。

ACL またはそのエントリの 1 つを削除する場合は、[Delete] をクリックします。削除の確認を求めるウィンドウが表示されます。[OK] をクリックした場合、[ACLs] テーブルが ACL を削除せずにリフレッシュされます。


 

関連トピック

「ACL の作成」

「EtherType ACL 属性の設定」

「拡張 ACL 属性の設定」

「拡張 ACL のリシーケンス」

ACL 情報および統計情報の表示

[Details] ボタンを使用して、特定の ACL に関する情報と統計情報を表示できます。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [ACLs] を選択します。

[ACLs] テーブルが表示され、既存の ACL がリストされます。

ステップ 2 [ACLs] テーブルで、ACL を選択し、[Details] をクリックします。

show access-list access-list detail CLI コマンドの出力が表示されます。表示される出力フィールドの詳細については、『 Security Guide, Cisco ACE Application Control Engine 』の第 1 章「Configuring Security Access Control Lists」を参照してください。

ステップ 3 [Update Details] をクリックして、 show access-list access-list detail CLI コマンドの出力をリフレッシュします。

ステップ 4 [Close] をクリックして、[ACLs] テーブルに戻ります。

関連トピック

「仮想コンテキスト エキスパート オプション設定」

「ACL の作成」

「拡張 ACL 属性の設定」

「拡張 ACL のリシーケンス」

「ACL の編集または削除」

オブジェクト グループの設定

オブジェクト グループは、ホスト(サーバおよびクライアント)、サービス、ネットワークなどのオブジェクトの論理グループです。オブジェクト グループを作成した場合、ネットワークやサービスなどのタイプを選択し、グループに属するオブジェクトを指定します。全体で、4 つのタイプのオブジェクト グループ(ネットワーク、プロトコル、サービス、ICMP)があります。

オブジェクト グループの設定後、これを ACL 内に含めることができ、それによってそのグループ内に全オブジェクトを含めて、全体的な設定サイズを削除します。

この手順を使用して ACL に関連付けることのできるオブジェクト グループを設定します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [Object Groups] を選択します。

[Object Groups] テーブルが表示され、既存のオブジェクト グループがリストされます。

ステップ 2 [Add] をクリックして新規オブジェクト グループを作成するか、既存のオブジェクト グループを選択し、[Edit] をクリックして修正します。

[Object Groups] 設定画面が表示されます。

ステップ 3 [Name] フィールドで、このオブジェクト グループの一意の名前を入力します。

有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

ステップ 4 [Description] フィールドに、このオブジェクト グループの概要を入力します。

ステップ 5 [Type] フィールドで、作成しているオブジェクト グループのタイプを選択します。

[Network]:オブジェクト グループはホストのグループまたはサブネット IP アドレスに基づいています。

[Service]:オブジェクト グループは TCP または UDP プロトコルおよびポート、または echo や echo-reply などの ICMP タイプに基づいています。

ステップ 6 次のいずれかを実行します。

[Deploy Now] をクリックして、この設定をただちに導入します。このオプションが表示されるのは、仮想コンテキストの場合です。テーブルの追加設定オプションで画面がリフレッシュされます。

[Cancel] をクリックして、エントリを保存せずに終了して、[Object Groups] テーブルに戻ります。

[Next] をクリックして、エントリを導入し、別のエントリを [Object Groups] テーブルに追加します。

ステップ 7 オブジェクト グループのオブジェクトを設定します。

ネットワークタイプ オブジェクト グループの場合、オプションには次のものが含まれています。

「オブジェクト グループの IP アドレスの設定」

「オブジェクト グループのサブネット オブジェクトの設定」

サービスタイプ オブジェクト グループの場合、オプションには次のものが含まれています。

「オブジェクト グループのプロトコルの設定」

「オブジェクト グループの TCP/UDP サービス パラメータの設定」

「オブジェクト グループの ICMP サービス パラメータの設定」


 

関連トピック

「仮想コンテキスト エキスパート オプション設定」

「ACL の作成」

「拡張 ACL 属性の設定」

「拡張 ACL のリシーケンス」

オブジェクト グループの IP アドレスの設定

この手順を使用して、ネットワークタイプのオブジェクト グループのホスト IP アドレスを指定します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [Object Groups] を選択します。

[Object Groups] テーブルが表示され、既存のオブジェクト グループがリストされます。

ステップ 2 ホスト IP アドレスを設定するオブジェクト グループを選択して、[Host Setting For Object Group] タブを選択します。

[Host Setting For Object Group] テーブルが表示されます。

ステップ 3 [Add] をクリックして、このテーブルにエントリを追加します。

ステップ 4 次のいずれかを選択します。

[IPV4]: IPv4 IP アドレスを持つホスト。[Host IPv4 Address] フィールドに、このグループに含めるホストの IP アドレスを入力します。

[IPV6]: IPv6 IP アドレスを持つホスト。[Host IPv6 Address] フィールドに、このグループに含めるホストの IP アドレスを入力します。

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、この設定をただちに導入します。このオプションが表示されるのは、仮想コンテキストの場合です。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了します。

[Next] をクリックして、エントリを導入し、別のエントリを [Host Setting] テーブルに追加します。


 

関連トピック

「オブジェクト グループの設定」

「オブジェクト グループのサブネット オブジェクトの設定」

「オブジェクト グループのプロトコルの設定」

「オブジェクト グループの TCP/UDP サービス パラメータの設定」

「オブジェクト グループの ICMP サービス パラメータの設定」

オブジェクト グループのサブネット オブジェクトの設定

この手順を使用して、ネットワークタイプのオブジェクト グループのサブネット オブジェクトを指定します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [Object Groups] を選択します。

[Object Groups] テーブルが表示され、既存のオブジェクト グループがリストされます。

ステップ 2 サブネット オブジェクトを設定するオブジェクト グループを選択して、[Network Setting For Object Group] タブを選択します。

[Network Setting For Object Group] テーブルが表示されます。

ステップ 3 [Add] をクリックして、このテーブルにエントリを追加します。

ステップ 4 次のいずれかを選択します。

[IPV4]: IPv4 IP アドレスを持つサブネット オブジェクト。[IPv4 Address] フィールドに、IP アドレスを入力します。[Netmask] フィールドで、このサブネット オブジェクト用のサブネット マスクを選択します。

[IPV6]: IPv6 IP アドレスを持つオブジェクト。[IPv6 Address] フィールドに、IP アドレスを入力します。[Network Prefix Length] フィールドに、このオブジェクトのプレフィックス長を入力します。

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、この設定をただちに導入します。このオプションが表示されるのは、仮想コンテキストの場合です。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了します。

[Next] をクリックして、エントリを導入し、別のエントリを [Network Setting] テーブルに追加します。


 

関連トピック

「オブジェクト グループの設定」

「オブジェクト グループの IP アドレスの設定」

「オブジェクト グループのプロトコルの設定」

「オブジェクト グループの TCP/UDP サービス パラメータの設定」

「オブジェクト グループの ICMP サービス パラメータの設定」

オブジェクト グループのプロトコルの設定

この手順を使用して、サービスタイプ オブジェクト グループのプロトコルを指定します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [Object Groups] を選択します。

[Object Groups] テーブルが表示され、既存のオブジェクト グループがリストされます。

ステップ 2 既存のサービス タイプ オブジェクト グループを選択して、[Protocol Selection] タブをクリックします。

[Protocol Selection] テーブルが表示されます。

ステップ 3 [Add] をクリックして、このテーブルにエントリを追加します。

ステップ 4 [Protocol Number] フィールドで、このオブジェクト グループに追加するプロトコルまたはプロトコル番号を選択します。

一般的なプロトコルとその番号については、表 4-18 を参照してください。

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、この設定をただちに導入します。このオプションが表示されるのは、仮想コンテキストの場合です。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了します。

[Next] をクリックして、エントリを導入し、別のエントリを [Protocol Selection] テーブルに追加します。


 

関連トピック

「オブジェクト グループの設定」

「オブジェクト グループの IP アドレスの設定」

「オブジェクト グループのサブネット オブジェクトの設定」

「オブジェクト グループの TCP/UDP サービス パラメータの設定」

「オブジェクト グループの ICMP サービス パラメータの設定」

オブジェクト グループの TCP/UDP サービス パラメータの設定

この手順を使用して、TCP または UDP サービス オブジェクトをサービスタイプ オブジェクト グループに追加します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [Object Groups] を選択します。

[Object Groups] テーブルが表示され、既存のオブジェクト グループがリストされます。

ステップ 2 既存のサービス タイプ オブジェクト グループを選択して、[TCP/UDP Service Parameters] タブを選択します。

[TCP/UDP Service Parameters] テーブルが表示されます。

ステップ 3 [Add] をクリックして、このテーブルにエントリを追加します。

ステップ 4 表 4-21 内の情報を使用して、TCP または UDP サービス オブジェクトを設定します。

 

表 4-21 TCP および UDP サービス パラメータ

フィールド
説明

Protocol

このサービス オブジェクトのプロトコルを選択します。

[TCP]:TCP は、このサービス オブジェクト用のプロトコルです。

[UDP]:UDP は、このサービス オブジェクト用のプロトコルです。

[TCP And UDP]:TCP と UDP の両方が、このサービス オブジェクト用のプロトコルです。

Source Port Operator

このサービス オブジェクトの送信元ポート番号を比較する際に使用するオペランドを選択します。

[Equal To]:送信元ポートは [Source Port] フィールドの番号と同じでなければなりません。

[Greater Than]:送信元ポートは [Source Port] フィールドの番号よりも大きくなければなりません。

[Less Than]:送信元ポートは [Source Port] フィールドの番号よりも小さくなければなりません。

[Not Equal To]:送信元ポートは [Source Port] フィールドの番号と等しくなってはいけません。

[Range]:送信元ポートは、[Lower Source Port] フィールドと [Upper Source Port] フィールドに指定されたポートの範囲内でなければなりません。

Source Port

このフィールドは、[Source Port Operator] フィールドで [Equal To]、[Greater Than]、[Less Than]、または [Not Equal To] が選択された場合に表示されます。

このサービス オブジェクトの送信元ポート名または番号を入力します。

Lower Source Port

このフィールドは、[Source Port Operator] フィールドで [Range] が選択された場合に表示されます。

このサービス オブジェクトのサービス範囲の開始値である番号を入力します。有効な入力は 1 ~ 65535 の整数です。このフィールド内の数字は、[Uppser Source Port] フィールドに入力した数字よりも小さい必要があります。

Upper Source Port

このフィールドは、[Source Port Operator] フィールドで [Range] が選択された場合に表示されます。

このサービス オブジェクトのサービス範囲の終了値である番号を入力します。有効な入力は 2 ~ 65535 の整数です。このフィールド内の数字は、[Lower Source Port] フィールドに入力した数字よりも大きい必要があります。

Destination Port Operator

宛先ポート番号を比較する際に使用するオペランドを選択します。

[Equal To]:宛先ポートは [Destination Port] フィールドの番号と同じでなければなりません。

[Greater Than]:宛先ポートは [Destination Port] フィールドの番号よりも大きくなければなりません。

[Less Than]:宛先ポートは [Destination Port] フィールドの番号よりも小さくなければなりません。

[Not Equal To]:宛先ポートは [Destination Port] フィールドの番号と等しくなってはいけません。

[Range]:宛先ポートは、[Lower Destination Port] フィールドと [Upper Destination Port] フィールドに指定されたポートの範囲内でなければなりません。

Destination Port

このフィールドは、[Destination Port Operator] フィールドで [Equal To]、[Greater Than]、[Less Than]、または [Not Equal To] が選択された場合に表示されます。

このサービス オブジェクトの宛先ポート名または番号を入力します。

Lower Destination Port

このフィールドは、[Destination Port Operator] フィールドで [ Range ] が選択された場合に表示されます。

このサービス オブジェクトのサービス範囲の開始値である番号を入力します。有効な値は 0 ~ 65535 の整数です。このフィールド内の数字は、[Upper Destination Port] フィールドに入力した数字よりも小さい必要があります。

Upper Destination Port

このフィールドは、[Destination Port Operator] フィールドで [Range] が選択された場合に表示されます。

このサービス オブジェクトのサービス範囲の終了値である番号を入力します。有効な値は 0 ~ 65535 の整数です。このフィールド内の数字は、[Lower Destination Port] フィールドに入力した数字よりも大きい必要があります。

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、この設定をただちに導入します。このオプションが表示されるのは、仮想コンテキストの場合です。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了します。

[Next] をクリックして、エントリを導入し、別のエントリを [TCP/UDP Service Parameters] テーブルに追加します。


 

関連トピック

「オブジェクト グループの設定」

「オブジェクト グループの IP アドレスの設定」

「オブジェクト グループのサブネット オブジェクトの設定」

「オブジェクト グループのプロトコルの設定」

「オブジェクト グループの ICMP サービス パラメータの設定」

オブジェクト グループの ICMP サービス パラメータの設定

この手順を使用して、ICMP サービス パラメータをサービスタイプ オブジェクト グループに追加します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Security] > [Object Groups] を選択します。

[Object Groups] テーブルが表示され、既存のオブジェクト グループがリストされます。

ステップ 2 既存のサービス タイプ オブジェクト グループを選択して、[ICMP Service Parameters] タブをクリックします。

[ICMP Service Parameters] テーブルが表示されます。

ステップ 3 [Add] をクリックして、このテーブルにエントリを追加します。

ステップ 4 表 4-22 内の情報を使用して ICMP タイプ オブジェクトを設定します。

 

表 4-22 ICMP タイプ サービス パラメータ

フィールド
説明

ICMP Version

次の ICMP バージョンのいずれかのチェックボックスをオンにします。

[ICMP]:インターネット プロトコル バージョン 4(IPv4)のインターネット制御メッセージ プロトコル(ICMP)。

[ICMPv6]:インターネット プロトコル バージョン 6(IPv6)のインターネット制御メッセージ プロトコル バージョン 6(ICMPv6)。

ICMP Type

このサービス オブジェクトの ICMP タイプまたは番号を選択します。表 4-23 に、一般的な ICMP タイプと番号をリストします。表 4-24 に、ICMPv6 タイプと番号をリストします。

Message Code Operator

このサービス オブジェクトのメッセージ コードを比較する際に使用するオペランドを選択します。

[Equal To]:メッセージ コードは [Message Code] フィールドの番号と同じでなければなりません。

[Greater Than]:メッセージ コードは [Message Code] フィールドの番号よりも大きくなければなりません。

[Less Than]:メッセージ コードは [Message Code] フィールドの番号よりも小さくなければなりません。

[Not Equal To]:メッセージ コードは [Message Code] フィールドの番号と等しくなってはいけません。

[Range]:メッセージ コードは、[Min. Message Code] フィールドと [Max. Message Code] フィールドで指定されたコードの範囲内である必要があります。

Message Code

このフィールドは、[Message Code Operator] フィールドで [Equal To]、[Greater Than]、[Less Than]、または [Not Equal To] が選択された場合に表示されます。

このサービス オブジェクトの ICMP メッセージ コードを入力します。

Min.Message Code

このフィールドは、[Message Code Operator] フィールドで [Range] が選択された場合に表示されます。

このサービス オブジェクトのサービス範囲の開始値である番号を入力します。有効な入力は 0 ~ 255 の整数です。このフィールドの番号は、[Max. Message Code] フィールドに入力した番号よりも小さくする必要があります。

Max.Message Code

このフィールドは、[Message Code Operator] フィールドで [Range] が選択された場合に表示されます。

このサービス オブジェクトのサービス範囲の終了値である番号を入力します。有効な入力は 0 ~ 255 の整数です。このフィールドの番号は、[Min. Message Code] フィールドに入力した番号よりも大きくする必要があります。

 

表 4-23 ICMP タイプ番号と名前

ICMP タイプ名
番号

Alternate-Address

6

Conversion-Error

31

Echo

8

Echo-Reply

0

Information-Reply

16

Information-Request

15

Mask-Reply

18

Mask-Request

17

Mobile-Redirect

32

Parameter-Problem

12

Redirect

5

Router-Advertisement

9

Router-Solicitation

10

Source-Quench

4

Time-Exceeded

11

Timestamp-Reply

14

Timestamp-Request

13

traceroute

30

Unreachable

3

 

表 4-24 ICMPv6 タイプ名と番号

ICMP タイプ名
番号

Echo

128

Echo-Reply

129

Information-Reply

140

Information-Request

139

Parameter-Problem

4

Redirect

137

Time-Exceeded

3

traceroute

30

Unreachable

1

ステップ 5 次のいずれかを実行します。

[Deploy Now] をクリックして、この設定をただちに導入します。このオプションが表示されるのは、仮想コンテキストの場合です。

[Cancel] をクリックして、エントリを保存せずにこの手順を終了します。

[Next] をクリックして、エントリを導入し、別のエントリを [ICMP Service Parameters] テーブルに追加します。


 

関連トピック

「オブジェクト グループの設定」

「オブジェクト グループの IP アドレスの設定」

「オブジェクト グループのサブネット オブジェクトの設定」

「オブジェクト グループのプロトコルの設定」

「オブジェクト グループの TCP/UDP サービス パラメータの設定」

仮想コンテキスト エキスパート オプション設定

表 4-25 は、ACE アプライアンス Device Manager 仮想コンテキスト エキスパート設定オプションと詳細情報の関連トピックを示したものです。

 

表 4-25 仮想コンテキスト エキスパート設定オプション

エキスパート設定オプション
関連トピック

ネットワーク トラフィックのタイプを分類し、その後トラフィックを処理するためのルールとアクションを適用することによるトラフィック ポリシーの確立

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

HTTP ヘッダー修正アクション リストの設定

「HTTP ヘッダー修正アクション リストの設定」

HTTP 最適化アクション リストの設定

「HTTP 最適化アクション リストの設定」

仮想コンテキストの管理

仮想コンテキストで次の管理アクションを実行できます。

「仮想コンテキスト設定の同期」

「仮想コンテキストの編集」

「仮想コンテキストの削除」

「すべての仮想コンテキストの表示」

仮想コンテキスト設定の同期

ACE アプライアンス Device Manager は、ACE アプライアンスと ACE アプライアンス Device Manager の別の設定で仮想コンテキストを特定します。これらの設定の不一致は、ユーザが ACE アプライアンス Device Manager ではなく CLI を使用して直接 ACE アプライアンスを設定した場合に発生します。

ACE アプライアンス Device Manager は、2 分おきに自動的に CLI をポーリングします。CLI を使用して ACE アプライアンスの仮想コンテキストの設定を変更して、Device Manager がこのポーリング期間中にコンテキストでのアウトオブバンド設定変更を検出した場合、設定変更が Device Manager によって適用されます。

ACE アプライアンス Device Manager の右下にあるステータス バーに、ユーザが CLI と DM GUI 同期ステータスを監視するための 2 つのインジケータが表示されます(図 4-1)。1 つのインジケータには、さまざまな同期ステータスになっているコンテキストの概要カウントとともに ACE Appliance Device Manager GUI と CLI 同期ステータスが表示され、もう 1 つのインジケータには、アクティブ コンテキストの CLI 同期およびポーリング ステータスが表示されます。ステータス バーは 10 秒ごとに自動的にリフレッシュされます。

図 4-1 CLI および DM GUI 同期ステータス バー

 

たとえば、図 4-1 に示されているように、メッセージ「DM out of sync with CLI (1/17)」は、17 の設定済みコンテキストの内、1 つのコンテキストが「Out of sync」CLI 同期ステータス状態になっていることを示します。


) 特定コンテキストで同期が進行している間に、([Deploy Now] ボタンをクリックして)ACE アプライアンス Device Manager からユーザが設定を導入しようとすると、同期が進行中であり、ユーザは後の時点で設定の導入を試行する必要があることを示すエラー メッセージが表示されます。


ACE アプライアンス Device Manager には、設定の不一致を特定し同期するための次のオプションがあります。

「仮想コンテキスト同期ステータスの表示」

「ハイ アベイラビリティおよび仮想コンテキスト設定ステータス」

「個々の仮想コンテキスト設定の手動同期」

「全仮想コンテキスト設定の手動同期」

仮想コンテキスト同期ステータスの表示

ACE アプライアンス Device Manager では、ACE アプライアンスと ACE アプライアンス Device Manager とで異なる設定を使用して仮想コンテキストを特定します。これらの設定の不一致は、ユーザが ACE アプライアンス Device Managerではなく CLI を使用して直接 ACE アプライアンスを設定した場合に発生します。

[Config] 画面で、CLI および DM GUI 設定ステータスが ACE アプライアンス Device Manager の次の場所に表示されます。

[All Virtual Contexts] テーブル([Config] > [Virtual Contexts])の、[CLI Sync Status] 列

ACE アプライアンス Device Manager ブラウザの下部にあるステータス バー(図 4-1 を参照)

次のレポートされた CLI 同期状態が [All Virtual Context] テーブルに表示されます。

[OK]:選択された仮想コンテキストの設定が CLI で同期されます。

[Out Of sync]:選択された仮想コンテキストの設定が CLI で同期されません。

[Sync In progress]:このコンテキストに対する CLI と DM GUI の同期が進行中で、ACE アプライアンス Device Manager によって自動的に開始されたか、([CLI Sync] または [CLI Sync All] のいずれかのボタンを使用して)手動で開始されました。

[Sync Failed]:最後の同期試行に失敗しました。[CLI Sync] または [CLI Sync All] のいずれかのボタンを使用して手動同期を実行する必要があります。失敗ステートは、コンテキストで認識されていない CLI コマンドによるものか、ACE アプライアンス Device Manager の内部エラーによるものです。問題が解決したら、コンテキストを [OK] 同期状態に移行させるために別の手動同期が必要です。

ACE アプライアンス Device Manager ブラウザの下にあるステータス バー(図 4-1 を参照)に、さまざまな同期ステートのコンテキストの概要カウントとともに DM GUI と CLI との同期ステータスが表示されます。たとえば、メッセージ「DM out of sync with CLI (1/10), DM sync with CLI failed (2/10)」は、10 の設定済みのコンテキストの内、1 つのコンテキストが「Out Of Sync」状態、2 つが「Sync Failed」状態、残りのコンテキストが「OK」状態になっていることを示します。ステータス バーは 10 秒ごとに自動的にリフレッシュされます。


) コンテキスト固有ページからステータスバー内の概要カウントをクリックすると、[All Virtual Contexts] テーブルにアクセスできます。全コンテキストの CLI 同期ステータスを表示できます。


[All Virtual Contexts] テーブルの表示中に、ユーザが CLI を使用してコンテキストの設定を変更した場合、[CLI Sync Status] 列内の情報は同期外状態を反映するために自動的に更新されません。[Refresh] をクリックするか、[Auto Refresh] をクリックして自動リフレッシュ レートを設定して、同期外設定を確認します。

同期外仮想コンテキスト設定の同期に関する詳細については、次のトピックを参照してください。

「個々の仮想コンテキスト設定の手動同期」

「全仮想コンテキスト設定の手動同期」

関連トピック

「仮想コンテキスト設定の同期」

「ハイ アベイラビリティおよび仮想コンテキスト設定ステータス」

ハイ アベイラビリティおよび仮想コンテキスト設定ステータス

ハイ アベイラビリティ ペアでは、継続的なコミュニケーションの一部として、設定された 2 つの仮想コンテキストが相互に同期を図ります。ただし、そのコピーは ACE アプライアンス Device Managerで同期せず、スタンバイ メンバーの設定が ACE アプライアンス上の設定と同期しなくなる可能性があります。

ハイ アベイラビリティ ペアのアクティブ メンバーに障害が発生してスタンバイ メンバーがアクティブになった後、新規にアクティブになったメンバーの ACE アプライアンス Device Managerで、同期外バーチャル コンテキスト設定が検出され、バーチャル コンテキスト設定を同期することができるように、[All Virtual Contexts] テーブル内のそのステータスがレポートされます。


) ある仮想コンテキストが Standby Hot ステート、または Standby Warm ステート(「ハイ アベイラビリティ ポーリング」を参照)である場合、この仮想コンテキストはその ACE ピアから設定変更を受け取る可能性があります。Device Manager の GUI が更新されることはありません。結果として、ACE アプライアンスの Device Manager の GUI は、CLI 設定と同期しなくなります。HA トラッキングおよび障害検出(「ハイ アベイラビリティ対応 VLAN インターフェイスのトラッキング」を参照)を使用してスタンバイ仮想コンテキストの設定をチェックする必要がある場合は、設定値をチェックする前に、まず [CLI Sync] または [CLI Sync All] ボタンを使用して手動同期を実行することを推奨します。


同期外仮想コンテキスト設定の同期に関する詳細については、次のトピックを参照してください。

「個々の仮想コンテキスト設定の手動同期」

「全仮想コンテキスト設定の手動同期」

関連トピック

「仮想コンテキスト同期ステータスの表示」

「ACE ハイ アベイラビリティの設定」

個々の仮想コンテキスト設定の手動同期

選択された仮想コンテキストの設定を手動で同期する場合にこの手順を使用します。この手順では、ACE アプライアンス Device Manager からこの仮想コンテキストの設定情報を削除して、ACE アプライアンスからの CLI 設定で置き換えます。自動同期が発生するまで待ちたくない場合は仮想コンテキスト設定を手動で同期して、CLI コンテキスト設定の変更を ACE アプライアンス Device Manager に即座に適用できます。

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。同期されていない設定のあるコンテキストの場合、[CLI Sync Status] 列に [Out of sync] が表示されます。


) [All Virtual Contexts] テーブルの表示中に、ユーザが CLI を使用してコンテキストの設定を変更した場合、[CLI Sync Status] 列内の情報は同期外状態を反映するために自動的に更新されません。[Refresh] をクリックするか、[Auto Refresh] をクリックして自動リフレッシュ レートを設定して、同期外設定を確認します。


ステップ 2 同期する設定がある仮想コンテキストを選択して、[CLI Sync] をクリックします。

ウィンドウが表示され、操作の確認を求められます。

ステップ 3 [OK] をクリックして ACE アプライアンスから設定をアップロードするか、[Cancel] をクリックして設定をアップロードせずにこの手順を終了します。

[OK] をクリックした場合、画面で進行状況がレポートされて、[CLI Sync Status] 列で更新された設定ステータスで画面がリフレッシュされます。


 

関連トピック

「仮想コンテキスト設定の同期」

「仮想コンテキスト同期ステータスの表示」

「全仮想コンテキスト設定の手動同期」

仮想コンテキスト設定の手動同期

この手順を使用して、すべての仮想コンテキスト設定を手動で同期します。この手順は、すべての仮想コンテキスト設定を ACE アプライアンス Device Manager から削除して、ACE アプライアンスからの CLI 設定でこれを置き換えます。自動同期が発生するまで待ちたくない場合は仮想コンテキストをすべて手動で同期して、CLI コンテキスト設定の変更を ACE アプライアンス Device Manager に即座に適用できます。

仮想コンテキストの数によっては、この操作を完了するには数分かかる可能性があります。


) CLI を使用して仮想サーバを設定し、[CLI Sync All] オプション([Config] > [Virtual Contexts])を使用して手動で設定を同期する場合、ACE アプライアンス Device Manager に表示される仮想サーバの設定には、その仮想サーバの全設定オプションが表示されない可能性があります。ACE アプライアンス Device Manager に表示される設定は、クラス マップに設定されているプロトコルや、ポリシー マップに対して定義されているルールなど、項目の数によって異なります。

たとえば、任意のプロトコルと一致するクラス マップを含む CLI 上に仮想サーバを設定した場合、仮想サーバのアプリケーション アクセラレーションおよび最適化設定サブセットは ACE アプライアンス Device Manager に表示されません。



) この手順は、管理コンテキストの管理ユーザだけが使用できます。


手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 [CLI Sync All] をクリックします。ウィンドウが表示され、操作の確認を求められます。

ステップ 3 [OK] をクリックしてこのオプションを続けるか、[Cancel] をクリックしてこの手順を終了します。

[OK] をクリックする場合、現時点でインポートされたコンテキストがリストされた [All Virtual Contexts] テーブルで画面がリフレッシュされ、設定更新の進捗が表示されます。


) コンテキストの数によっては、このプロセスが完了するのに数分かかる場合があります。


ステップ 4 [Refresh] をクリックして、インポートされた追加コンテキストを表示します。


 

関連トピック

「仮想コンテキスト設定の同期」

「個々の仮想コンテキスト設定の手動同期」

仮想コンテキストの編集

この手順を使用して、既存仮想コンテキストの設定を修正します。

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 仮想コンテキストを選択し、修正する設定属性を選択します。

設定オプションの詳細については、「仮想コンテキストの設定」を参照してください。

ステップ 3 [Deploy Now] をクリックして、ACE アプライアンスにこの設定を導入します。

エントリを保存せずに手順を終了する場合、[Cancel] をクリックするか、メニュー バー内の別の項目または設定する別の属性を選択します。ウィンドウが表示され、エントリを保存しなかったことが確認されます。


 

関連項目

「仮想コンテキストの使用」

仮想コンテキストの削除

この手順を使用して、既存仮想コンテキストを削除します。

手順


ステップ 1 [Config] > [Virtual Contexts] を選択します。

[All Virtual Contexts] テーブルが表示されます。

ステップ 2 削除する仮想コンテキストを選択して、[Delete] をクリックします。

ウィンドウが表示され、削除が確認されます。

ステップ 3 次のいずれかを実行します。

[OK] をクリックして、選択したコンテキストを削除します。デバイス ツリーがリフレッシュされ、削除されたコンテキストが表示されなくなります。

[Cancel] をクリックして、この手順を終了し、選択したコンテキストを保持します。


 

関連項目

「仮想コンテキストの使用」

すべての仮想コンテキストの表示

すべての仮想コンテキストを表示するには、[Config] > [Virtual Contexts] を選択します。[All Virtual Contexts] テーブルが表示されます。


) コンテキスト固有ページからステータスバー内の概要カウントをクリックすると、[All Virtual Contexts] テーブルにアクセスできます。すべての利用可能なコンテキストの同期設定詳細を見直すことができます。管理者ではない場合、ユーザ コンテキストの詳細だけが表示されます。


[All Virtual Contexts] テーブルに、各仮想コンテキストの次の情報が表示されます。

名前

リソース クラス

管理 IP アドレス

仮想コンテキスト同期ステータス(コンテキストの ACE アプライアンス Device Manager GUI および CLI 設定が同期しているか、同期していないか、同期中か、同期試行に失敗したのか)。詳細については、「仮想コンテキスト同期ステータスの表示」を参照してください。

ACE ハイ アベイラビリティ ステート。利用可能な ACE ハイ アベイラビリティ ステートの詳細については、「ハイ アベイラビリティ ポーリング」を参照してください。


) ACE Appliance Device Manager GUI および CLI 設定同期における ACE ハイ アベイラビリティの意味の詳細については、「ACE アプライアンス Device Manager とのハイ アベイラビリティ設定の同期」を参照してください。


ACE ハイ アベイラビリティ ピアの状態

ACE ハイ アベイラビリティ ピア名

ハイ アベイラビリティ ペアの自動同期が設定されているかどうか


) [All Virtual Contexts] テーブルの表示中に、ユーザが CLI を使用してコンテキストの設定を変更した場合、またはハイ アベイラビリティ ステートを変更した場合、テーブル列内の情報は同期外状態を反映するために自動的に更新されません。[Refresh] をクリックするか、[Auto Refresh] をクリックして自動リフレッシュ レートを設定して、同期外設定を確認します。



) [All Virtual Contexts] テーブルの表示中に、ユーザが別のセッションで新規仮想コンテキストを作成した場合、新規仮想コンテキストは自動的にこのテーブルに表示されません。[Refresh] をクリックするか、[Auto Refresh] をクリックして自動リフレッシュ レートを設定して、新規作成コンテキストを表示します。


選択されたコンテキストのポーリング ステータスが、右上隅にあるコンテンツ エリアの上部に表示されます(図 1-2 を参照)。表 14-1 で、さまざまなポーリング状態を説明します。

この画面から次のことが可能です。

新規仮想コンテキストの追加(「仮想コンテキストの作成」を参照)

既存の仮想コンテキストの編集(「仮想コンテキストの設定」を参照)

既存の仮想コンテキストの削除(「仮想コンテキストの削除」を参照)

1 つまたはすべての仮想コンテキストの ACE アプライアンス Device Manager および CLI 設定の手動同期(「仮想コンテキスト設定の同期」を参照)

関連項目

「仮想コンテキストの管理」