Cisco Application Control Engine モジュール Virtualization コンフィギュレーション ガイド Software Version A2(1.0)
仮想化の設定
仮想化の設定
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 548KB) | フィードバック

目次

仮想化の設定

仮想化設定のクイック スタート

リソースの管理

リソース管理のためのリソース クラスの作成

リソース クラス内でのリソースの割り当て

リソース クラスのリソース割り当ての変更

コンテキストの設定

コンテキストの作成

コンテキストの説明の設定

コンテキストの VLAN の設定

コンテキストのリソース クラスへの関連付け

コンテキストのリソース クラスの変更

コンテキスト間の移動

ユーザ ロールの作成と設定

ドメインの作成および設定

ユーザの設定

仮想化設定の例

仮想化の設定

この章では、ACE の仮想化を作成し、設定する方法を説明します。グローバル管理者(SuperUser)は、各仮想デバイスまたはコンテキストの基本設定を含む Admin コンテキスト経由で、すべてのコンテキストを設定および管理します。設定する各コンテキストには、それぞれ一連のポリシー、インターフェイス、リソース、および管理者が含まれます。

この章の内容は、次のとおりです。

仮想化設定のクイック スタート

ACEリソースの管理

コンテキストの設定

コンテキスト間の移動

ユーザ ロールの作成と設定

ドメインの作成および設定

ユーザの設定

仮想化設定の例


) デフォルトでは、ACE に Admin コンテキストが作成されており、さらに 5 つのユーザ コンテキストを設定できます。ユーザ コンテキストを 6 つ以上、最大 250 まで作成するには、シスコシステムズから別のライセンスを購入する必要があります。ライセンスの詳細については、『Cisco Application Control Engine Module Administration Guide 』を参照してください。


仮想化設定のクイック スタート

表2-1 は、仮想化機能の作成と設定に必要な手順の概要を示しています。各手順には、作業の完了に必要なコマンドライン インターフェイス(CLI)コマンドが含まれます。

 

表2-1 仮想化設定のクイック スタート

作業とコマンドの例

1. コンソールで、グローバル管理者として ACE にログインします。デフォルトでは、コンソールが Admin と呼ばれる 1 つのコンテキストで起動します。

2. コンフィギュレーション モードを入力します。

host1/Admin# config
Enter configuration commands, one per line. End with CNTL/Z.
host1/Admin(config)#

3. リソース クラスを設定して、ユーザ コンテキストで使用するリソースを制限します。たとえば、コンテキストのリソースを、使用可能なリソース全体の 10% に制限するには、次のコマンドを入力します。

host1/Admin(config)# resource-class RC1
host1/Admin(config-resource)# limit resource all minimum 10 maximum equal-to-min
host1/Admin(config-resource)# exit

4. 新しいコンテキストを作成します。

host1/Admin(config)# context C1
host1/Admin(config-context)#

5. 作成したコンテキストがそのコンテキスト用に分類されたトラフィックを受け取るように、既存の VLAN をコンテキストに関連付けます。

host1/Admin(config-context)# allocate-interface vlan 100

6. ステップ 3 で作成したリソース クラスにコンテキストを関連付けます。

host1/Admin(config-context)# member RC1

7. コンテキストを、ステップ 4 で作成した C1 コンテキストに変更して、コンフィギュレーション モードにします。

host1/Admin(config-context)# do changeto C1
host1/C1(config-context)# exit
host1/C1(config)#

8. コンテキストのドメインを作成します(オプション)。

host1/C1(config)# domain D1
host1/C1(config-domain)#

9. オブジェクト(実サーバ、サーバ ファーム、プローブ、ACL など)を、必要に応じてドメインに割り当てます。

host1/C1(config-domain)# add-object rserver SERVER1

10. ロールを作成して、ユーザのさまざまなグループのオブジェクトおよびリソース権限を定義します(オプション)。

host1/C1(config)# role UR1

11. 規則を作成して、ロール権限を定義します。

host1/C1(config-role)# rule 1 permit create feature real
host1/C1(config-role)# rule 2 deny create feature acl

12. 必要に応じてユーザを設定し、ロールおよびドメインをユーザに関連付けます。

host1/C1(config)# username user1 password 5 MYPASSWORD role UR1 domain D1

13. 次のコマンドのいずれかを入力して、仮想化設定を検証します。

host1/C1# show running-config context
host1/C1# show running-config domain
host1/C1# show running-config resource-class
host1/C1# show running-config role

ACEリソースの管理

1 つまたは複数のリソース クラスを作成および定義し、コンテキストをリソース クラスに関連付けることで、システム リソースを複数のコンテキストに割り当てることができます。ここでは、次の内容について説明します。

リソース管理のためのリソース クラスの作成

リソース クラス内でのリソースの割り当て

リソース クラスのリソース割り当ての変更

リソース管理のためのリソース クラスの作成

リソース クラスを作成して、1 つ以上のコンテキストでシステム リソースを割り当てたり、管理したりできます。ACE は、100 までのリソース クラスをサポートしています。リソース クラスを作成し、設定したあとに、コンテキスト コンフィギュレーション モードで member コマンドを使用して、コンテキストにリソース クラスに割り当てます(「コンテキストのリソース クラスへの関連付け」を参照)。リソース クラスを作成するには、コンフィギュレーション モードで resource-class コマンドを使用します。コマンドの構文は次のとおりです。

resource-class name

name 引数には、引用符もスペースも含まない、64 文字以下の英数字のテキスト文字列を入力します。

以下は入力例です。

host1/Admin(config)# resource-class RC1
host1/Admin(config-resource)
 

設定からリソース クラスを削除するには、次のように入力します。

host1/Admin(config)# no resource-class RC1
 

ACE からリソース クラスを削除すると、そのリソース クラスのメンバであったコンテキストはすべて、自動的にデフォルト リソース クラスのメンバとなります。デフォルト リソース クラスでは、すべての ACE リソースの最小 0.00% から最大 100.00% までが各コンテキストに割り当てられます。デフォルト リソース クラスは変更できません。

リソース クラス内でのリソースの割り当て

設定での仮想コンテキストの初期リソース割り当てを計画するときは、必要なリソースまたは推定リソースの最小値を割り当ててください。ACE では、使用中のリソースが保護されるため、コンテキストのリソースを削減するには、リソースが未使用である必要があります。リアルタイムでリソース割り当てを削減することも可能ですが、削減する前に使用中のリソースを解放するために、さらに管理オーバーヘッドが必要になる場合があります。したがって、最初にできるだけ多くのリソースを確保しておき、必要に応じて、未使用のリソースを割り当てるのがベスト プラクティスと考えられます。

スケーラビリティと容量管理の問題に対処するために、新しく取り付ける ACE が、モジュールの容量全体の 60 ~ 80% を超えないことを推奨します。全体の 60 ~ 80% を超えないようにするには、確保しておくリソース クラスを、ACE リソース全体の 20 ~ 40% となるように作成し、専用の仮想コンテキストを設定して、これらのリソースが確実に予約されるようにします。その後、時間が経つにつれ、増加するクライアント トラフィックの処理に必要となる容量に合わせて、確保されたリソースを効率的にコンテキストに配分できます。

すべてのリソースまたは各リソースを、リソース クラスのすべてのメンバ コンテキストに割り当てることができます。たとえば、数例として、同時接続、スティッキ テーブル メモリ、管理トラフィックなどにのみ割り当てることができます。リソース クラスのすべてのメンバ(コンテキスト)にシステム リソースを割り当てるには、resource-class コンフィギュレーション モードで limit-resource コマンドを使用します。

このコマンドの構文は次のとおりです。

limit-resource {acl-memory | all | buffer {syslog} | conc-connections | mgmt-connections | proxy-connections | rate {bandwidth | connections | inspect-conn | mac-miss | mgmt-traffic | ssl-bandwidth | syslog} | regexp | sticky | xlates} {minimum number } {maximum {equal-to-min | unlimited}}

引数とキーワードは次のとおりです。

acl-memory ― ACL に割り当てられるメモリ スペースを制限します。

all ― このリソース クラスに割り当てられたすべてのコンテキストのすべてのリソースを指定した値に制限します(管理トラフィックの帯域幅を除く)。管理トラフィックの帯域幅は、管理トラフィックの最小値を明示的に設定しないかぎり、デフォルト値のまま維持されます。

buffer ― Syslog バッファの数を制限します。

conc-connections ― 同時接続の数を制限します。

mgmt-connections ― 管理(ACE への)接続の数を制限します。

proxy-connections ― プロキシ接続の数を制限します。

rate ― 以下の 1 秒あたりの数としてリソースを制限します。

bandwidth ― 1 つまたは複数のコンテキストについて、ACE の合計スループットを 1 秒あたりのバイト数で制限します。コンテキストあたりの帯域幅の最大レートは、帯域幅のライセンスによって異なります。エントリレベルの ACE ではデフォルトで、5 Gbps の合計最大帯域幅に対して、伝送トラフィック用の帯域幅が 4 Gbps、管理トラフィック用の帯域幅が 1 Gbps に設定されています。オプションの 8 Gbps または 16 Gbps 帯域幅ライセンスを購入すると、ACE をアップグレードできます。8 Gbps ライセンスでは、ACE の合計最大帯域幅が 9 Gbps に、伝送トラフィック用の帯域幅が 8 Gbps に、管理トラフィック用の帯域幅が 1 Gbps になります。

ACE でリソース クラスの最小帯域幅の値を設定した場合、ACE ではコンテキストが関連付けられているリソース クラスとは関係なく、その設定値を ACE 内の全コンテキストの合計最大帯域幅から差し引きます。コンテキストの合計帯域幅レートは、次の 2 つの要素で構成されています。

スループット ― ACE 経由で伝送されるトラフィックを制限します。これは算出された値(ユーザによる直接設定は不可)であり、4 Gbps および 8 Gbps ライセンスを使用する場合、 帯域幅 レートから mgmt-traffic レートを引いた値と等しくなります。16 Gbps ライセンスでは、この値の計算方法が若干異なります。詳細については、次に示す
show resource-usage コマンドの出力例を参照してください。

mgmt-traffic ― 管理(ACE への)トラフィックを、1 秒あたりのバイト数で制限します。このパラメータは、 limit-resource all minimum コマンドとは独立して機能します。管理トラフィックの最小帯域幅を確保するには、 limit-resource rate mgmt-traffic minimum コマンドを使用して、明示的に管理トラフィックに最小比率を割り当てる必要があります。管理トラフィックに最小比率の帯域幅を割り当てると、その値が ACE によって、ACE 内の全コンテキストで利用可能な管理トラフィックの最大帯域幅から差し引かれます。デフォルトでは、ACE にインストールされた帯域幅ライセンスの種類に関係なく、管理トラフィックで保証される最小帯域幅レートは 0 に、最大帯域幅レートは 1 Gbps に設定されています。

スループットおよび管理トラフィックに関して ACE で帯域幅を管理する方法については、次に示す show resource-usage コマンドの出力例を参照してください。各帯域幅ライセンスについて、3 種類の例を示します。デフォルト値を使用した場合、全リソースの最小割り当て値が 25% の場合、および全リソースの最小割り当て値が 25% で、かつ管理トラフィックの最小割り当て値が 10% の場合です。出力例は、関連フィールドのみを示すために編集されています。すべての値の単位はバイト/秒です。ビット/秒に変換するには、各値に 8 を掛けてください。

switch/Admin# show resource usage

例2-1 デフォルトの show resource usage コマンドの出力(4 Gbps ライセンスの場合)

 

 
Allocation
Resource
Min
Max
bandwidth
0
625000000
throughput
0
500000000
mgmt-traffic rate
0
125000000

例2-2 show resource usage コマンドの出力(4 Gbps ライセンスで、全リソースの最小割り当て値が 25% の場合)(続き)

 

 
Allocation
Resource
Min
Max
bandwidth
125000000
500000000
throughput
125000000
375000000
mgmt-traffic rate
0
125000000

例2-3 show resource usage コマンドの出力(4 Gbps ライセンスで、全リソースの最小割り当て値が 25%、管理トラフィックの最小割り当て値が 10% の場合)

 

 
Allocation
Resource
Min
Max
bandwidth
137500000
487500000
throughput
125000000
375000000
mgmt-traffic rate
12500000
112500000

例2-4 デフォルトの show resource usage コマンドの出力(8 Gbps ライセンスの場合)

 

 
Allocation
Resource
Min
Max
bandwidth
0
1125000000
throughput
0
1000000000
mgmt-traffic rate
0
125000000

例2-5 show resource usage コマンドの出力(8 Gbps ライセンスで、全リソースの最小割り当て値が 25% の場合)

 

 
Allocation
Resource
Min
Max
bandwidth
250000000
875000000
throughput
250000000
750000000
mgmt-traffic rate
0
125000000

例2-6 show resource usage コマンドの出力(8 Gbps ライセンスで、全リソースの最小割り当て値が 25%、管理トラフィックの最小割り当て値が 10% の場合)

 

 
Allocation
Resource
Min
Max
bandwidth
262500000
862500000
throughput
250000000
750000000
mgmt-traffic rate
12500000
112500000

例2-7 デフォルトの show resource usage コマンドの出力(16 Gbps ライセンスの場合)

 

 
Allocation
Resource
Min
Max
bandwidth
0
2000000000
throughput
0
2000000000
mgmt-traffic rate
0
125000000

例2-8 show resource usage コマンドの出力(16 Gbps ライセンスで、全リソースの最小割り当て値が 25% の場合)

 

 
Allocation
Resource
Min
Max
bandwidth
500000000
1500000000
throughput
500000000
1500000000
mgmt-traffic rate
0
125000000

例2-9 show resource usage コマンドの出力(16 Gbps ライセンスで、全リソースの最小割り当て値が 25%、管理トラフィックの最小割り当て値が 10% の場合)

 

 
Allocation
Resource
Min
Max
bandwidth
500000000
1500000000
throughput
487500000
1500000000
mgmt-traffic rate
12500000
112500000

connections ― 1 秒あたりのあらゆる接続の数を制限します。

inspect conn ― File Transfer Protocol(FTP; ファイル転送プロトコル)および Real-Time Streaming Protocol(RTSP; リアルタイム ストリーミング プロトコル)のみの 1 秒あたりのアプリケーション プロトコル インスペクション接続の数を制限します。

mac-miss ― カプセル化の 1 秒あたりのバイト数が正しくない場合にコントロール プレーンに送られる ACE トラフィックを制限します。

ssl- bandwidth ― 1 秒あたりの SSL 接続数を制限します。

syslog ― 1 秒あたりの Syslog メッセージ数を制限します。

regexp ― 正規表現メモリの量を制限します。

sticky ― スティッキ テーブルのエントリ数を制限します。スティッキ ソフトウェアは、設定が 制限されていない 場合はリソースを受け取らないため、スティッキ データベースのエントリにリソースを割り当てるには、スティッキの最小値を設定する必要があります。スティッキにリソースを割り当てるには、スティッキのみにリソースの最小比率を設定する( limit-resource sticky )か、または全体的なリソースの最小比率を設定( limit-resource all )します。

xlates ― ネットワーク エントリおよびポート アドレス変換エントリの数を制限します。

minimum number ― リソースの最小許容値を指定します。0.00 ~ 100.00%(小数点 2 位まで)の整数を入力します。 number 引数で、リソース クラスのメンバであるすべてのコンテキストのパーセンテージ値が指定されます。 rate キーワードと併用すると、 number 引数で 1 秒あたりの値が指定されます。ACE で特定のリソース クラスのリソースに最小値を設定すると、ACE では対象のリソース クラスのメンバであるコンテキストにのみ、所定の最小リソースを割り当てます。全コンテキストに関しては、コンテキストが関連付けられているリソース クラスには関係なく、ACE によって設定した最小値がリソースの最大値から差し引かれます。リソース クラスに 1 つ以上のコンテキストが関連付けられている場合は、ACE によって、最小値にリソース クラスが含むコンテキストの数を掛けた値が最大値から差し引かれます。たとえば、4 Gbps 帯域幅ライセンスで、リソース クラスに 2 つのコンテキストが関連付けられており、そのクラスの最小帯域幅レートとして 25% を割り当てたとします。 show resource usage コマンドを実行すると、リソース クラス内の各コンテキストの帯域幅レートおよびスループット レートは、 表2-2 に示す値となります。

 

表2-2 show resource usage コマンドの出力(4 Gbps ライセンスで、帯域幅の最小割り当て値が 25% の場合)

 
Allocation
Resource
Min
Max
bandwidth
125000000
375000000
throughput
125000000
250000000
mgmt-traffic rate
0
125000000

ACE のその他の全コンテキストについて、最大値はすべて 表2-2 と同一になりますが、最小値はすべて 0 になります。 表2-2 と、リソース クラスにコンテキストが 1 つだけ含まれる場合の例を示した 表2-1 を比較してみてください。

maximum { equal-to-min | unlimited } ― リソースの最大値を指定します。最小値と同じか、または無制限に設定できます。


limit-resource コマンドを使用して個々のリソースに設定した制限は、limit-resource all コマンドを使用してすべてのリソースに設定した制限に優先して使用されます。


1 つのコンテキスト(コンテキスト A とします)の制限を、別のコンテキスト(コンテキスト B とします)の制限を増やす目的で削減すると、設定の変更に時間がかかる場合があります。これは、ACE では、コンテキスト A でのリソースの使用が終了するまで、その制限が削減されないためです。

たとえば、すべてのリソース(最小および最大)の 20% を、リソース クラスのすべてのメンバ コンテキストに割り当てるには、次のように入力します。

(config-resource)# limit-resource all minimum 20% maximum equal-to-min
 

すべてのメンバ コンテキストのすべてのリソースで、リソース割り当てを最小値 0% および最大値 100% のデフォルト値に戻すには、次のように入力します。

(config-resource)# no limit-resource all
 

表2-3 は、ACE の管理されたシステム リソースの一覧です。 limit-resource コマンドを使用して、コンテキストごとに、またはリソース クラスに関連付けられたすべてのコンテキストについて、これらのリソースを制限できます。「リソース クラス内でのリソースの割り当て」を参照してください。

 

表2-3 システム リソースの最大値

Resource
最大値

ACL メモリ

78,610,432 バイト

バッファ メモリ(Syslog)

4,000,000 バイト

同時接続(レイヤ 4)

4,000,000 接続

同時接続(SSL)

200,000

管理接続

5000 接続

プロキシ接続(レイヤ 7)

524,286 接続

SSL プロキシ接続

100,000

レート

帯域幅

4 ギガビット/秒(Gbps)

ACE 最大帯域幅は、シスコシステムズから別売のライセンスを購入して、8 Gbps または 16 Gbps にアップグレードできます。詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください。

接続(全種類)

325,000 接続/秒

MAC ミス

2000 パケット/秒

管理トラフィック

1 Gbps

SSL トランザクション

1000 TPS(トランザクション/秒)(個別ライセンスで 15000 TPS にアップグレード可能)詳細については、『 Cisco Application Control Engine Module Administration Guide 』を参照してください。

Syslog

ACE へのトラフィック(コントロール プレーン)の場合は 5000 メッセージ/秒

ACE 経由のトラフィック(データ プレーン)の場合は 350,000 メッセージ/秒

正規表現メモリ

1,048,576 バイト

スティッキ エントリ

4,194,304 エントリ

Xlates(ネットワーク エントリおよびポート アドレス変換エントリ)

524,286 個

リソース クラスのリソース割り当ての変更

2 つ以上のコンテキストをメンバとするリソース クラスで、リソース割り当てを変更する場合は(グローバル管理者権限が必要)、適切な CLI コマンドを入力することで、いつでも実行できます(リソース割り当ての詳細については、「リソース クラス内でのリソースの割り当て」を参照してください)。ただし、コンテキスト間でのリソースの移動は、適切なリソースで変更を反映する必要があるため、すぐには実行できません。多くのケースでは、リソース割り当ての変更を行うには、関連するコンテキストの管理者に連絡してリソースの割り当て変更が可能であることを確認する必要があります。

たとえば、クラスで利用可能なリソースのすべてがコンテキスト A で使用されている状況で、リソースの 50% をコンテキスト A に、残りの 50% をコンテキスト B に割り当てるよう変更するとします。CLI でリソースを割り当てるためのコマンドを実行しても、コンテキスト A のリソースのうち 50% の割り当てが解除されないかぎり、コンテキスト B に 50% のリソースは割り当てられません。

次に、この場合の対処法を示します。

コンテキスト A の管理者に連絡し、リソースの割り当て解除を依頼

コンテキスト B の管理者に連絡し、コンテキスト A のリソース解放後にリソースの割り当て作業を行うよう依頼


) 他のコンテキストからリソースが解放されると、ACE はリソースの不足したコンテキスト(リソース クラスの最小割り当て条件が満たされていないコンテキスト)にそのリソースを割り当てます。


コンテキストの設定

コンテキストにより ACE のユーザ ビューが提供され、ユーザが使用できるリソースが決定されます。ここでは、次の内容について説明します。

コンテキストの作成

コンテキストの説明の設定

コンテキストの VLAN の設定

コンテキストのリソース クラスへの関連付け

コンテキストのリソース クラスの変更

コンテキストの作成

コンテキストを作成するには、コンフィギュレーション モードで context コマンドを使用します。このコマンドの構文は次のとおりです。

context name

name 引数は、コンテキストの一意の ID です。引用符もスペースも含まない、64 文字以下の英数字のテキスト文字列を入力してください。

たとえば、C1 というコンテキストを作成するには、次のように入力します。

host1/Admin(config)# context C1
host1/Admin(config-context)#
 

設定からコンテキストを削除するには、次のように入力します。

host1/Admin(config)# no context C1

コンテキストの説明の設定

context コンフィギュレーション モードで description コマンドを使用して、コンテキストの説明を入力できます。このコマンドの構文は次のとおりです。

description text

text 引数には、引用符を含まない 240 字までの英数字のテキスト文字列で説明を入力します。

以下は入力例です。

host1/Admin(config-context)# description context for accounting users
 

設定からコンテキスト説明を削除するには、次のように入力します。

host1/Admin(config-context)# no description

コンテキストの VLAN の設定

ACE は、クラス マップおよびポリシー マップを使用して、トラフィックを分類(フィルタリング)し、サービス ポリシーを使用してさまざまなインターフェイス(VLAN)へと誘導します。コンテキストは、VLAN を使用して、その VLAN に分類されたパケットを受信します。ユーザ コンテキストがパケットを受信するための 1 つ以上の既存の VLAN を割り当てるには、Admin コンテキストの context コンフィギュレーション モードで allocate-interface コマンドを使用します。このコマンドを複数回入力して、ユーザ コンテキストに複数の VLAN を指定できます。


) インターフェイス設定はユーザ コンテキストから直接行うことができますが、Admin コンテキストで対象のインターフェイスに対して allocate-interface コマンドを実行するまでは、インターフェイスはダウン ステートのままになります。インターフェイスの設定および割り当ては、任意の順番で実行できます。


このコマンドの構文は次のとおりです。

allocate-interface vlan number1

number 引数には、コンテキストに割り当てる既存の VLAN の数または VLAN の範囲を 2 ~ 4094 の整数で入力します。


) Admin コンテキストでインターフェイスを削除した場合に、そのインターフェイスがユーザ コンテキストで使用されていると、対象のインターフェイスはダウン ステートになります。ユーザ コンテキストで show interface コマンドを実行すると、該当するインターフェイスがダウン ステートであることと、そのインターフェイスが現在、Admin コンテキストで割り当てられていないのが原因であることが表示されます。


たとえば、コンテキストに VLAN 100 を割り当てるには、次のように入力します。

host1/Admin(config-context)# allocate-interface vlan 100
 

VLAN 100 ~ VLAN 200 の範囲の VLAN をコンテキストに割り当てるには、次のように入力します。

host1/Admin(config-context)# allocate-interface vlan 100-200
 

コンテキストから VLAN の割り当てを解除するには、次のように入力します。

host1/Admin(config-context)# no allocate-interface vlan 100
 

コンテキストから VLAN の範囲の割り当てを解除するには、次のように入力します。

host1/Admin(config-context)# no allocate-interface vlan 100-200

) ユーザ コンテキストで VLAN が使用中の場合は、その割り当てをコンテキストから解除できません。


コンテキストのリソース クラスへの関連付け

リソース クラスは、1 つ以上のコンテキストで使用できるリソースを制限します。リソース クラスを指定しない場合は、コンテキストが自動的にデフォルト リソース クラスのメンバとなります。デフォルト リソース クラスでは、すべての ACE リソースの最小 0.00% から最大 100.00% までが各コンテキストに割り当てられます。コンテキストは、1 つのリソース クラスにのみ関連付けられます。リソース クラスの詳細については、「リソース管理のためのリソース クラスの作成」を参照してください。コンテキストをリソース クラスに関連付けるには、context コンフィギュレーション モードで member コマンドを使用します。

このコマンドの構文は次のとおりです。

member class

class 引数には、引用符もスペースも含まない、64 文字以下の英数字のテキスト文字列で既存のリソース クラスの名前を入力します。リソース クラスの設定の詳細については、「リソース管理のためのリソース クラスの作成」を参照してください。

たとえば、コンテキストを RC1 リソース クラスに関連付けるには、次のように入力します。

host1/Admin(config-context)# member RC1
 

RC1 リソース クラスからコンテキストの関連付けを削除するには、次のように入力します。

host1/Admin(config-context)# no member RC1

コンテキストのリソース クラスの変更

リソース クラスからコンテキストを削除するには、context コンフィギュレーション モードで no member コマンドを使用します(「コンテキストのリソース クラスへの関連付け」を参照)。リソース クラスからコンテキストを削除すると、ACE はそのコンテキストに関連付けられていた全リソースを解放するため、そのクラス内の他のコンテキストで、解放されたリソースを利用できるようになります。

同一のコンテキストを異なるリソース クラスに関連付けるには、context コンフィギュレーション モードで member コマンドを使用します(「コンテキストのリソース クラスへの関連付け」を参照)。リソース クラスにコンテキストを追加すると、ACE では、設定範囲内で残っているリソースだけを割り当てます。リソースに余裕がある場合は、対象のコンテキストに対して、さらにリソースを割り当てることができます。リソースに余裕がない場合は、あらかじめリソース クラス内の他のコンテキストに割り当てられたリソースを解放する必要があります。コンテキスト間でのリソース割り当ての修正については、「リソース クラスのリソース割り当ての変更」を参照してください)。

コンテキスト間の移動

EXEC モードで changeto コマンドを、またはコンフィギュレーション モードで do changeto コマンドを使用して、コンテキスト間を移動できます。 changeto コマンドを使用するには、Admin コンテキストに定義済みのユーザ ロールのいずれかが存在している必要があります。定義済みユーザ ロールの詳細については、「概要」「ロールベース アクセス コントロール」を参照してください。複数のコンテキストにアクセスできるコンテキスト管理者は、アクセス可能な他のコンテキストに明示的にログインする必要があります。このコマンドの構文は次のとおりです。

changeto name

name 引数は、既存のコンテキストの ID を指定します。引用符もスペースも含まない、64 文字以下の英数字のテキスト文字列を入力してください。

以下は入力例です。

host1/Admin# changeto C1
host1/C1#

ユーザ ロールの作成と設定

ユーザ ロールで、ユーザが持つ権限、ユーザが入力できるコマンド、および特定のコンテキストでユーザが実行できる動作が決定されます。ACE で提供される定義済みロールのリストについては、「概要」を参照してください。CLI で定義済みロールを表示するには、EXEC モードで show role コマンドを入力します。グローバル管理者またはコンテキスト管理者は、追加のロールを設定できます。作成したロールは、それを作成したコンテキスト中でのみ適用できます。

ロールを設定するには、コンフィギュレーション モードで role コマンドを使用します。このコマンドの構文は次のとおりです。

role name

name 引数は、ロールに関連付けられた ID です。引用符もスペースも含まない、64 文字以下の英数字のテキスト文字列を入力してください。

新規ユーザにロールを割り当てない場合、割り当てられるデフォルト ロールは Network-Monitor です。Admin コンテキストで作成したユーザの場合、デフォルトのアクセス範囲はデバイス全体です。その他のコンテキストで作成したユーザの場合、デフォルトのアクセス範囲はコンテキスト全体です。ユーザのアクセスを制限する必要がある場合は、 username コマンドを使用して、ロールとドメインのペアを割り当てる必要があります(「ユーザの設定」を参照)。

以下は入力例です。

host1/C1(config)# role TECHNICIAN
host1/C1(config-role)#
 

設定からロールを削除するには、次のように入力します。

host1/C1(config)# no role TECHNICIAN
 

ユーザ ロールを作成したあとに、そのロールに規則を設定して、ユーザがアクセスできる機能、およびユーザがその機能を使用するために入力できるコマンドを制限できます。機能ごとの権限をロールに割り当てるには、role コンフィギュレーション モードで rule コマンドを使用します。

このコマンドの構文は次のとおりです。

rule number {permit | deny} {create | modify | debug | monitor} [ feature {AAA | access-list | config-copy | connection | dhcp | fault-tolerant | inspect | interface | loadbalance | nat | pki | probe | real-inservice | routing | rserver | serverfarm | ssl | sticky | syslog | vip}]

キーワード、引数、およびオプションは次のとおりです。

number ― ルールおよび優先順位の ID。1 ~ 16 の一意の整数を入力します。 ルール番号により、 ACE が ルールを適用する順序が決定され、大きい番号のルールが小さい番号のルールのあとに適用されます。

permit ― ロールによる、残りのコマンド キーワードで定義される操作の実行を許可します。

deny ― ロールによる、残りのコマンド キーワードで定義される操作の実行を禁止します。

create ― 新規オブジェクトの作成または既存オブジェクトの削除に使用するコマンドを指定します( modify debug 、および monitor コマンドなど)。

modify ― 既存の設定の変更に使用するコマンドを指定します( debug および monitor コマンドなど)。

debug ― デバッグの問題に使用するコマンドを指定します( monitor コマンドなど)。

monitor ― リソースおよびオブジェクトの監視に使用するコマンドを指定します( show コマンド)。

feature ― この規則の設定に使用する、以下の ACE 機能を指定します(オプション)。

AAA ― 認証、認可、アカウンティングに使用するコマンドを指定します。

access-list ― アクセス コントロール リスト(ACL)に使用するコマンドを指定します。ACL 設定、ACL のクラス マップ、および ACL のクラス マップを含むポリシー マップが含まれます。

config-copy ― 実行コンフィギュレーション ファイルのスタートアップ コンフィギュレーション ファイルへのコピー、スタートアップ コンフィギュレーション ファイルの実行コンフィギュレーション ファイルへのコピー、および両コンフィギュレーション ファイルのフラッシュ ディスク(disk0:)またはリモート サーバへのコピーに使用するコマンドを指定します。

connection ― ネットワーク接続に使用するコマンドを指定します。

dhcp ― Dynamic Host Configuration Protocol に使用するコマンドを使用します。

fault-tolerant ― 冗長性に使用するコマンドを指定します。

inspect ― データセンターのセキュリティで使用されるパケット インスペクションに使用するコマンドを指定します。

interface ― すべてのインターフェイス コマンドを指定します。

loadbalance ― ロード バランシングに使用するコマンドを指定します。ポリシー マップでロードバランシング動作を追加できます。

nat ― データセンターのセキュリティで使用されるポリシー マップで、クラス マップに関連付けられたネットワーク アドレス変換(NAT)に使用するコマンドを指定します。

pki ― SSL Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)に使用するコマンドを指定します。

probe ― 実サーバのキープアライブに使用するコマンドを指定します。

real-inservice ― 実サーバを稼働状態にするためのコマンドを指定します。

routing ― グローバル、およびインターフェイスごとのルーティングに使用するすべてのコマンドを指定します。

rserver ― 物理サーバに使用するコマンドを指定します。

serverfarm ― サーバ ファームに使用するコマンドを指定します。

ssl ― SSL に使用するコマンドを指定します。

sticky ― サーバの永続性に使用するコマンドを指定します。

syslog ― システム ロギング機能のセットアップ コマンドを指定します。

vip ― 仮想 IP アドレスおよび仮想サーバに使用するコマンドを指定します。

たとえば、ロールに実サーバの作成および設定を許可する規則を設定するには、次のように入力します。

host1/C1(config-role)# rule 1 permit create rserver
 

ロールから規則を削除するには、次のように入力します。

host1/C1(config-role)# no rule 1 permit create rserver

ドメインの作成および設定

ドメインとは、ユーザが動作する名前空間です。コンテキストを作成すると、ACE により、そのコンテキストのデフォルト ドメイン(default-domain)が自動的に作成されます。各コンテキストで 63 個までのドメインを新たに作成できます。コンテキストの設定の詳細については、「コンテキストの設定」を参照してください。ドメインを作成するには、コンフィギュレーション モードで domain コマンドを使用します。このコマンドの構文は次のとおりです。

domain name

name 引数には、引用符もスペースも含まない、64 文字以下の英数字のテキスト文字列を入力します。

たとえば、D1 というドメインを作成するには、次のように入力します。

host1/C1(config)# domain D1
host1/C1(config-domain)#
 

設定からドメインを削除するには、次のように入力します。

host1/C1(config)# no domain D1
 

show running-config コマンドで表示できるコンテキスト設定が、ドメインにより制限されることはありません。コンテキスト全体の実行コンフィギュレーションは表示可能です。ただし、コンテキストで使用可能なすべてのオブジェクトの限定されたサブセットのみをドメインに追加すると、ドメインによる、コンテキスト内の設定可能なオブジェクトへのアクセスの制限が可能となります。ユーザにロールを割り当てることで、それらの設定可能なオブジェクトに対してユーザが実行できる動作をさらに制限できます。ユーザ ロールの設定の詳細については、「ユーザ ロールの作成と設定」を参照してください。


ドメインを作成したあと、設定可能なオブジェクト(実サーバ、サーバ ファーム、インターフェイスなど)をそのドメインに関連付けることができます。設定可能なオブジェクトをドメインに関連付けるには、domain コンフィギュレーション モードで add-object コマンドを使用します。

このコマンドの構文は次のとおりです。

add-object {access-list {ethertype | extended} | all | class-map | interface {bvi | vlan} | parameter-map | policy-map | probe | rserver | script | serverfarm | sticky} name

キーワード、引数、およびオプションは次のとおりです。

access-list ― ドメインに関連付ける既存のアクセス コントロール リスト(ACL)を指定します。

all ― コンテキスト内のすべての既存の設定オブジェクトがドメインに追加されることを指定します。

class-map ― ドメインに関連付ける既存のフロー分類用クラス マップを指定します。

interface ― ドメインに関連付ける既存のインターフェイスを指定します。

parameter-map ― ドメインに関連付ける既存のパラメータ マップを指定します。

policy-map ― ドメインに関連付ける既存のポリシー マップを指定します。

probe ― ドメインに関連付ける既存の実サーバ プローブ(キープアライブ)を指定します。

rserver ― ドメインに関連付ける既存の実サーバを指定します。

script ― ACE TCL スクリプト言語で作成した既存のスクリプトを指定します。

serverfarm ― ドメインに関連付ける既存のサーバ ファームを指定します。

sticky ― サーバでの永続性を維持するためにドメインに関連付ける、既存のスティッキ グループを指定します。

name ― 指定したオブジェクトの ID。引用符もスペースも含まない、64 文字以下の英数字のテキスト文字列を入力してください。

たとえば、VLAN 10 というインターフェイスをドメインに関連付けるには、次のように入力します。

host1/C1(config-domain)# add-object interface vlan 10
 

ドメインからオブジェクトを削除するには、次のように入力します。

host1/C1(config-domain)# no add-object interface vlan 10

ユーザの設定

ACE を起動すると、2 種類のデフォルト ユーザ アカウントが作成されます。admin ユーザおよび www ユーザです。admin ユーザはグローバル管理者であり、削除できません。ACE では、XML インターフェイスに www ユーザ アカウントを使用します。


注意 www ユーザ アカウントは削除しないでください。削除すると、XML インターフェイスが動作しなくなります。誤って www アカウントを削除した場合は、コンフィギュレーション モードで username www password 5 password domain default-domain role Admin コマンドを入力すると、アカウントを再設定し、XML 動作を元に戻すことができます。XML インターフェイスの使用の詳細については、Cisco Application Control Engine Module Administration Guideを参照してください。

グローバル管理者(admin)は、各コンテキストで 1 名のユーザをコンテキスト管理者として割り当てます。そのあとでコンテキスト管理者は、担当する 1 つ以上のコンテストにログインし、追加のユーザを作成できます。

新規ユーザにロールを割り当てない場合、割り当てられるデフォルト ロールは Network-Monitor です。Admin コンテキストで作成したユーザの場合、デフォルトのアクセス範囲はデバイス全体です。その他のコンテキストで作成したユーザの場合、デフォルトのアクセス範囲はコンテキスト全体です。ユーザのアクセスを制限する必要がある場合は、ロールとドメインのペアを割り当てる必要があります。

ユーザを作成するには、コンフィギュレーション モードで user コマンドを使用します。このコマンドの構文は次のとおりです。

username name1 [password [0 | 5] { password }] [expire date ] [role name2 {domain name3 name4 . . . namen }]

キーワード、引数、およびオプションは次のとおりです。

name1 ― 作成するユーザの ID。引用符もスペースも含まない、24 文字以下の英数字のテキスト文字列を入力してください。

password ― パスワードがあとに続くことを示すキーワード(オプション)。

0 ― クリア テキストのパスワードを指定します(オプション)。

5 ― MD5 ハッシュ強化暗号化パスワードを指定します(オプション)。

password ― 入力するオプション番号(0、5、または 7)に応じて、クリア テキスト、暗号化テキスト、または MD5 強化暗号化のパスワードを指定します(オプション)。オプション番号を入力しない場合は、デフォルトでクリア テキストのパスワードを指定します。 password キーワードを入力した場合は、パスワードを入力する必要があります。パスワードは、引用符を含まない 32 文字までの英数字のテキスト文字列で入力します。

expire date ― ユーザ アカウントの有効期限の日付を指定します(オプション)。有効期限の日付は yyyy-mm-dd という形式で入力します。

role name2 ― ユーザに割り当てる既存のロールを指定します(オプション)。

domain name3 name4 . . . namen ― ユーザが動作できるドメインを指定します。 default-domain を含め、10 までの複数のドメイン名を入力できます。

以下は入力例です。

host1/C1(config)# username USER1 password MYSECRET expire 2005-12-31 role TECHNICIAN domain D1 default-domain
 
host1/C1(config)# username USER2 password HERSECRET expire 2005-12-31 role Admin domain default-domain D2
 

設定からユーザを削除するには、次のように入力します。

host1/C1(config)# no username USER1

仮想化設定の例

次の実行コンフィギュレーションの例は、ユーザ定義のコンテキスト、リソース クラス、ドメイン、およびユーザを 1 つずつ含む基本的な仮想化設定を示します。

resource-class RC1
limit-resource rate syslog minimum 10.00 maximum equal-to-min
limit-resource acl-memory minimum 10.00 maximum unlimited
 
access-list ACL1 line 10 extended permit ip any any
 
rserver host RS1
ip address 192.168.2.251
inservice
rserver host RS2
ip address 192.168.2.252
inservice
serverfarm host SF1
rserver RS1
inservice
rserver RS2
inservice
 
domain D1
add-object access-list extended ACL1
add-object rserver RS1
add-object rserver RS2
add-object serverfarm SF1
 
role SLB-Admin
 
context C1
allocate-interface vlan 100-200
description accounting department
member RC1
 
username JANE password 5 adropgijaeprgja9erjg2uWgtce1 role SLB-Admin domain D1