Cisco IOS ネットワーク管理コンフィギュレーション ガイド
Web Services Management Agent の設定
Web Services Management Agent の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

Web Services Management Agent の設定

機能情報の入手

この章の構成

WSMA の設定に関する前提条件

WSMA の設定に関する制約事項

WSMA の設定に関する情報

WSMA の概要

コンフィギュレーション WSMA サービス

実行 WSMA サービス

ファイルシステム WSMA サービス

通知 WSMA サービス

Hello WSMA サービス

キープアライブ WSMA サービス

WSMA プロファイル

サービス リスナー

サービス イニシエータ

SOAP

WSMA over SSHv2

WSMA over HTTP

WSMA over TLS

WSMA ID

WSMA セキュリティ

WSMA スキーマ

ゼロタッチ展開

ZTD をイネーブルにするために DHCP Option 43 メッセージ内で定義されたパラメータ化された WSMA コマンド

アクティブ テンプレートの文字コード マッピングの例

WSMA の設定方法

ホスト名とドメイン名を使用した SSHv2 のイネーブル化

HTTP サーバのイネーブル化

HTTPS サーバのイネーブル化

前提条件

TLS クライアント上での WSMA イニシエータ モードの証明書検証のイネーブル化

TLS サーバ上での WSMA リスナー モードの証明書の設定

SSH 接続のステータスの確認

トラブルシューティングのヒント

この次の手順

サービス イニシエータのイネーブル化

前提条件

サービス リスナーのイネーブル化

前提条件

WSMA サービスのイネーブル化

前提条件

WSMA ID の割り当て

WSMA サービスのモニタリングとメンテナンス

WSMA プロファイルのモニタリングとメンテナンス

DHCP Option 43 メッセージを受信するための WSMA のイネーブル化

WSMA ペイロードの配信

WSMA の設定例

ホスト名とドメイン名を使用した SSHv2 のイネーブル化:例

RSA 鍵を使用した SSHv2 のイネーブル化:例

WSMA サービスの設定:例

WSMA イニシエータ プロファイルの設定:例

さまざまなパラメータによる WSMA リスナー プロファイルの設定:例

WSMA プロファイル パラメータの表示:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

WSMA の機能情報

用語集

Web Services Management Agent の設定

Web Services Management Agent(WSMA)は、ネットワーク デバイスの管理、設定データ情報の取得、および新しい設定データのアップロードと操作のメカニズムを定義します。WSMA では、設定データとプロトコル メッセージに対して Simple Object Access Protocol(SOAP)によって転送される Extensible Markup Language(XML)ベースのデータ符号化を使用します。

WSMA over Secure Shell(SSH)バージョン 2(SSHv2)、HyperText Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)、Secure Hypertext Transfer Protocol(HTTPS)、または Transport Layer Security(TLS)を使用することで、Cisco Command-Line Interface(CLI; コマンドライン インターフェイス)全体にアクセスできます。Cisco IOS ソフトウェア上で実行されている WSMA サーバには、複数の WSMA クライアントが接続できます。

また、信頼できるネットワークであるかどうかにかかわらず、WSMA over SSHv2、HTTP、HTTPS、または TLS を使用して、Cisco IOS ソフトウェアからアプリケーションへのセキュアな接続を開始できます。

機能情報の入手

ご使用のソフトウェア リリースによっては、この章に記載されている機能の中に、一部サポートされていないものがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「WSMA の機能情報」を参照してください。

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

WSMA の設定に関する前提条件

操作を実行するには、すべての WSMA エージェントを WSMA プロファイルに関連付ける必要があります。プロファイルに適切に関連付けられていない場合、WSMA エージェントはメッセージを送受信できません。

WSMA over SSHv2 では、WSMA セッションごとに Virtual Type Terminal(VTY; バーチャル 端末)回線を使用できる必要があります。

WSMA over TLS では、Certificate Authority(CA; 認証局)サーバをネットワーク上で使用できる必要があります。

WSMA の設定に関する制約事項

SSH バージョン 1(SSHv1)はサポートされていません。SSHv2 だけがサポートされています。

SSH、TLS、または HTTPS を設定するには、暗号イメージを実行する必要があります。

WSMA over HTTP のリスナー モードでは、通知サービスはサポートされていません。

WSMA over HTTP のイニシエータ モードでは、コンフィギュレーション、実行、およびファイルシステム サービスに対して WSMA キープアライブ メッセージを設定する必要があります。

WSMA の設定に関する情報

WSMA を設定する前に、次の概念を理解しておく必要があります。

「WSMA の概要」

「WSMA プロファイル」

「サービス リスナー」

「サービス イニシエータ」

「SOAP」

「WSMA over SSHv2」

「WSMA over HTTP」

「WSMA over TLS」

「WSMA ID」

「WSMA セキュリティ」

「WSMA スキーマ」

「ゼロタッチ展開」

WSMA の概要

Web Services Management Agent(WSMA)は、ポイントツーポイント管理アプリケーションがデバイスを完全に管理するために使用する組み込みエージェントのファミリです。

WSMA によって現在提供されている一連のサービスは次のとおりです。

「コンフィギュレーション WSMA サービス」

「実行 WSMA サービス」

「ファイルシステム WSMA サービス」

「通知 WSMA サービス」

「Hello WSMA サービス」

「キープアライブ WSMA サービス」

コンフィギュレーション WSMA サービス

コンフィギュレーション WSMA サービスは、Cisco IOS デバイス上の設定を変更し、一連のコンフィギュレーション コマンドを検証して Cisco IOS ソフトウェアに適用するためのサービスを提供します。Cisco IOS コンソールを使用して適用できる非インタラクティブなコンフィギュレーション CLI コマンドも、WSMA を使用して適用できます。このサービスは、Cisco IOS デバイス上のすべてのコンフィギュレーション CLI コマンドに対して使用できます。一連のコマンドは単一の動作として処理されます。

発生する可能性がある設定要求のタイプは 3 つあります。

configTest:設定データの構文を検証しますが、実行コンフィギュレーションにデータを適用しません。

configApply:指定された設定データを使用して実行コンフィギュレーションを変更します。設定を適用する際にエラーが発生した場合は、障害時アクション アトリビュートを使用して、実行するエラー処理を指定します。応答で返されたエラー情報のレベルは、詳細アトリビュートを使用して制御できます。

configPersist:リロード後に実行コンフィギュレーションが持続されるように、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

このサービスにより、XML Programmatic Interface(XML-PI)モードを使用するか、直接の CLI コマンドとして、CLI コマンドを指定できます。コンフィギュレーション WSMA サービス要求では、次のモードおよびアトリビュートを使用します。

ブロック モード: <cli-config-data-block> タグを使用して、複数の CLI コマンドのブロックをカプセル化します。

cmd モード: <cli-config-data> を使用して、コンフィギュレーション設定のブロックをカプセル化します。この場合、各 CLI 行は <cmd> タグによって個別に区切られます。

XML-PI モード: <xml-config-data> タグを使用して、処理命令をカプセル化します。これは、Cisco Enhanced Device Interface(EDI; 拡張デバイス インターフェイス)と互換性のあるフォーマットです。

障害時アクション:このアトリビュートを使用して、エラーが発生した場合に実行するアクションを指定します。次のアクション値を指定できます。

stop:最初のエラーの実行を停止して、システムの状態を維持します。これは、コンフィギュレーションが部分的に適用される可能性があることを意味します。

continue:エラーを無視して、命令の実装を続行します。

rollback:最初のエラーの処理を停止し、コンフィギュレーションを適用する前の状態を復元します。 archive Cisco IOS CLI を設定している場合にのみ、イネーブルになります。

詳細:このアトリビュートは、エラー詳細のレベルを制御するために使用します。次のいずれかの値を指定できます。

brief:エラー応答で最小限の詳細を提供します。

errors:発生したすべてのエラーの詳細を提供します。

all:最大レベルのエラーの詳細を提供します。

このサービスの要求メッセージおよび応答メッセージの詳細については、「WSMA Config Schema」を参照してください。

実行 WSMA サービス

実行 WSMA サービスは、Cisco IOS デバイスから運用データを取得するためのサービスを提供し、show コマンドやその他の診断コマンドなど、Cisco IOS デバイス上での実行モード コマンドライン操作を処理します。インタラクティブな EXEC コマンドには、交換シーケンスを設定できるように Expect タグと Response タグが用意されています。また、このサービスは、show コマンドの運用データの XML-PI 形式での取得や Cisco IOS デバイスのリモート リロードもサポートしています。

実行 WSMA サービス要求は、 <execCLI> タグ内にカプセル化された単一の EXEC モード コマンドと、次のタグおよびアトリビュートで構成されます。

maxWait:データを蓄積し、EXEC コマンドの完了を待機するための時間間隔。この間隔が終了すると、動作が停止し、蓄積されたすべてのデータが応答で送信されます。

maxResponseSize:応答の本文に蓄積される最大バイト数。デフォルトは 0(無限)で、範囲は 0 ~ 2^31-1 です。応答のサイズが指定値を超えると、動作が停止し、蓄積されたすべてのデータが応答で送信されます。

format:EXEC コマンドの結果を XML-PI 形式で取得するには、Cisco IOS ファイル システム上のスペック ファイルへのパスを指定します。Cisco IOS ファイル システム内で global spec file コマンドを使用し、さらに XML-PI 形式の結果を取得するには、アトリビュート format="" を使用します。

xsd:この値を 1 に設定している場合は、EXEC コマンドの出力ではなく、EXEC コマンドの XML スキーマ。

cmd:この必須タグには、実行する EXEC コマンドを含めます。

dialogue:このオプションのタグは、インタラクティブな EXEC コマンドだけに使用します。expect と reply のシーケンスを指定します。これには、同じ expect と reply のシーケンスが複数ある場合に使用する repeat アトリビュートが含まれます。

expect:システムが予期しているプロンプト。この値は、指定した文字列と完全に一致している必要はありません。文字列の一致には、次の 2 つのアトリビュートがあります。

match:leading(前方)、trailing(後方)、embedded(中間)、または exact(完全)に設定します。

caseSensitive:大文字と小文字を区別した一致検索を行う場合は、true に設定します。

reply:一致した場合に、プロンプトに応答します。

dialogue エレメントの順序と数が実際のプロンプトと一致している必要があります。そうでない場合は、EXEC のコールに失敗します。すべての dialogue を実行する必要があります。そうでない場合は、エラー メッセージが表示されます。

このサービスの要求メッセージおよび応答メッセージの詳細については、「WSMA Exec Schema」を参照してください。

ファイルシステム WSMA サービス

ファイルシステム WSMA サービスは、Cisco IOS デバイス上のファイルを管理するためのサービスを提供します。このサービスには、ローカル ファイル システムとリモート ファイル システム間でファイルのコピーと検証を行う役割があります。このエージェントを使用して、ディレクトリ リストの作成、デバイス上で実行されている IOS イメージのアップグレード、およびファイルの削除を実行できます。Message-Digest Algorithm 5(MD5)チェックサムを使用できる場合は、ファイルのコピーを検証できます。

ファイルシステム要求には 3 つのタイプがあります。

fileList は、ディレクトリ リストの作成を要求します。

fileDelete は、deleteFileList アトリビュートを使用して削除するファイルのリストを指定します。

fileCopy は、ローカル ファイルシステムとの間でのファイルのコピーをイネーブルにします。srcURL アトリビュートで指定されたプロトコルを使用して、ファイルを WSMA トランスポート メカニズムの外部にコピーします。このコピー プロセスは EXEC CLI シェルを使用したファイルのコピーに似ていますが、EXEC シェルでは使用できない追加の有効性検査を実行します。

このサービスの要求メッセージおよび応答メッセージの詳細については、「WSMA Filesystem Schema」を参照してください。

通知 WSMA サービス

通知 WSMA サービスは、設定変更イベントを収集して、通知を取得するための登録を行った管理アプリケーションに詳細を転送します。

リスナー プロファイルに接続すると、複数の管理アプリケーションが通知を受信できます。各管理アプリケーションが明示的に通知に登録する必要がありますが、接続されている他の管理アプリケーションに影響を及ぼすことなく、プロファイル上で通知をオン/オフできます。接続が廃棄されると、通知はオフに切り替わります。

通知は、キャッシュされたり、格納されたりしません。イベントの発生時に接続されている管理アプリケーションが存在しない場合、そのイベントのレコードはありません。

通知要求には、次の 3 つのアトリビュートがあります。

correlator:要求に対する確認応答を調整するために使用します。

type:セッションでイネーブルになっている通知のタイプを表す文字列。現時点でサポートされている文字列は config-change だけです。

activate:0(オフ)または 1(オン)の値を送信することにより、通知をオン/オフできます。

このサービスの要求メッセージおよび応答メッセージの詳細については、「WSMA Notification Schema」を参照してください。

Hello WSMA サービス

新しい WSMA セッションが確立されると、Cisco IOS デバイスは、WSMA ID と、セッションで使用できる WSMA サービスのリストが含まれる Hello メッセージを送信します。リモート管理アプリケーションは、WSMA Hello 要求を Cisco IOS デバイスに送信することによってこの情報を照会できます。

このサービスは、すべての WSMA プロファイル上で暗黙的にイネーブルになっています。

このサービスの要求メッセージおよび応答メッセージの詳細については、「WSMA Hello Schema」を参照してください。

キープアライブ WSMA サービス

キープアライブ メッセージを使用するように WSMA プロファイルが設定され、設定されているキープアライブ インターバル中に WSMA メッセージが受信されない場合、Cisco IOS デバイスは、その WSMA セッションでキープアライブ要求を送信します。送信されたキープアライブ要求の数が設定再試行回数を超えると、WSMA セッションが終了します。

キープアライブ要求は、1 つの correlator アトリビュートだけを持ちます。correlator アトリビュートは、1 で始まり、セッションでキープアライブ要求が送信されるたびに増分される数字です。キープアライブ応答で使用する correlator 値は、キープアライブ要求での値と一致している必要があります。

このサービスの要求メッセージおよび応答メッセージの詳細については、「WSMA Keepalive Schema」を参照してください。

WSMA プロファイル

WSMA プロファイルは、トランスポート レイヤの機能を WSMA から取り除きます。WSMA プロファイルは、トランスポート プロトコルとカプセル化で構成されています。有効な操作を実行するには、すべての WSMA エージェントを特定の WSMA プロファイルに関連付ける必要があります。WSMA プロファイルは、要求を適切な WSMA に逆多重化します。

WSMA プロファイルは、トランスポート終端地点として機能し、トランスポート パラメータと XML カプセル化パラメータを設定できるようにします。

WSMA に設定できるカプセル化は、SOAP 1.1 および SOAP 1.2 です。

WSMA のトランスポーテーション メカニズムには、SSH、HTTP、HTTPS、TLS などがあります。このメカニズムにより、ルータ上のリスナーに対してはリスニング ソケット、ルータ上のクライアントに対しては接続ソケットが開きます。

サービス リスナー

サービス リスナーは、着信接続をリスンして、許可されたアドレスまたは受け入れ可能なユーザ ID からデバイスを受け入れる一種の WSMA プロファイルです。受け入れ可能なアドレスは、アクセス リストを定義することによって設定します。

受け入れ可能なユーザ ID は、サービス リスナーがリスンするトランスポート方式を定義することによって設定します。トランスポート方式(SSH、HTTP、または TLS)により、受け入れ可能な特定のユーザ ID を強制します。


) WSMA リスナー プロファイルは、ファイアウォールの背後にある Cisco IOS デバイスにアクセスできません。


サービス イニシエータ

サービス イニシエータは、信頼できるかどうかにかかわらず、ネットワーク上で Cisco IOS デバイスから管理アプリケーションへのセキュアな接続を開始する一種の WSMA プロファイルです。

サービス イニシエータは、設定されたサーバ アドレスへの接続を維持しようとするダイナミックなソケットを作成します。各イニシエータは、再試行、キープアライブ、タイムアウト、および再接続設定を使用して設定できます。また、イニシエータごとに、プライマリ接続で障害が発生した場合に使用するバックアップ接続を指定できます。

サービス イニシエータを使用することにより、WSMA は、ファイアウォールまたは Network Address Translation(NAT; ネットワーク アドレス変換)の背後にあるデバイス、および Zero Touch Deployment(ZTD; ゼロタッチ展開)ネットワーク内のデバイスへの接続を開始できます。

SOAP

SOAP はアプリケーション間で XML データを交換するための業界標準プロトコルです。破損した XML メッセージを処理するための一般的なメカニズムを定義しています。SOAP は、トランザクションに関連付けられたメタデータを照合するためのヘッダー メカニズムを持ちます。

SOAP 1.1 と SOAP 1.2 のスキーマ定義は異なります。これらは、他に影響を及ぼさずに共存できます。Cisco IOS ソフトウェアは、SOAP 1.1 ライブラリと SOAP 1.2 ライブラリの両方を備えています。SOAP は、XML のフレーミング エラーおよび動作エラーを一般的な方法で処理するためのメカニズムを持つため、XML ベースのアプリケーションの相互運用性が向上します。

WSMA over SSHv2

WSMA over SSHv2 機能を実行するには、トランスポート方式として SSH を使用するサーバ プロファイルを使用するように WSMA エージェントを設定する必要があります。図 1 に、基本的な WSMA over SSHv2 ネットワークの構成を示します。クライアントとサーバは、セキュリティおよびパスワード暗号化のための鍵を交換します。WSMA を実行している SSHv2 セッションのユーザ ID とパスワードは、認可および認証のために使用されます。ユーザの特権レベルが強制されているため、特権レベルの高さが十分でない場合は、WSMA を操作するためのフル アクセスがクライアント セッションに与えられない可能性があります。Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)が設定されている場合は、デバイスに対してユーザが直接 SSH セッションを確立したかのように AAA サービスが使用されます。既存のセキュリティ設定を使用すると、WSMA への移行がほぼシームレスに行われます。クライアントの認証に成功したら、クライアントは SSH 接続プロトコルを呼び出し、接続が確立されます。SSH セッションが確立されると、ユーザまたはアプリケーションは、SSH サブシステムとして WSMA を呼び出します。このサブシステムのデフォルト名は「wsma」です。

図 1 WSMA over SSHv2

 

SSHv2

SSHv2 は、信頼性の高いトランスポート レイヤの上部で実行され、強力な認証機能と暗号化機能を提供します。SSHv2 は、ネットワーク上の他のコンピュータにセキュアにアクセスし、セキュアにコマンドを実行するための手段を提供します。

サービス リスナーは SSHv1 をサポートしていません。SSHv2 サーバの設定は、SSHv1 の設定に似ています。設定する SSH のバージョンを指定するには、 ip ssh version コマンドを使用します。このコマンドを設定しないと、デフォルトで、SSH は互換モードで実行されます。つまり、SSHv1 接続と SSHv2 接続の両方が受け入れられます。


) SSHv1 は、標準で定義されていないプロトコルです。未定義のプロトコル(バージョン 1)にルータがフォールバックしないようにするには、ip ssh version コマンドを使用してバージョン 2 を指定する必要があります。


設定した Rivest, Shamir, and Adelman(RSA)鍵を使用する SSH 接続をイネーブルにするには、 ip ssh rsa keypair-name コマンドを使用します。鍵ペアの名前を使用して ip ssh rsa keypair-name コマンドを設定すると、その鍵の名前が存在する場合は SSH がイネーブルになります。または、後で鍵ペアを作成すると、SSH がイネーブルになります。このコマンドを使用して SSH を有効にする場合、ホスト名とドメイン名を設定する必要はありません。

WSMA over HTTP

WSMA over HTTP 機能を実行するには、トランスポートとして HTTP または HTTPS を使用するサーバ プロファイルを使用するように WSMA エージェントを設定する必要があります。HTTPS の場合、クライアントとサーバは、セキュリティおよびパスワード暗号化のための鍵を交換します。WSMA を実行している HTTP または HTTPS セッションのユーザ ID とパスワードは、認可および認証のために使用されます。ユーザの特権レベルが強制されているため、特権レベルの高さが十分でない場合は、WSMA を操作するためのフル アクセスがクライアント セッションに与えられない可能性があります。AAA が設定されている場合は、デバイスに対してユーザが直接 SSH セッションを確立したかのように AAA サービスが使用されます。既存のセキュリティ設定を使用すると、WSMA への移行がほぼシームレスに行われます。HTTP または HTTPS セッションが確立されると、ユーザまたはアプリケーションは、HTTP パスとして WSMA を呼び出します。このパスのデフォルト名は「/wsma」です。

イニシエータ プロファイルのトランスポートとして HTTP を使用する場合は、追加の設定を行わずに WSMA 通知サービスを使用できます。ただし、コンフィギュレーション、実行、およびファイルシステム サービスを使用する場合は、最初にイニシエータ プロファイルでキープアライブ メッセージを設定する必要があります。キープアライブ メッセージを設定すると、Cisco IOS デバイスがリモート WSMA アプリケーションに定期的に要求を送信できるため、リモート HTTP サーバに WSMA 要求を送信する機会が与えられます。

リスナー プロファイルのトランスポートとして HTTP を使用する場合、WSMA 通知サービスはサポートされません。これは、HTTP サーバとして動作している Cisco IOS デバイスは HTTP 要求に応答できるだけで、HTTP 要求を送信できないためです。

HTTP

HTTP は、信頼性の高いトランスポート レイヤの上部で実行される信頼できる 要求/応答プロトコルです。HTTPS は、強力な認証機能と暗号化機能を提供します。

HTTP は ip http server コマンドを使用して設定し、HTTPS は ip http secure-server コマンドを使用して設定します。

アクセス リスト

任意で、サービス リスナーとともに使用するアクセス リストを設定できます。アクセス リストは、IP アドレスに適用される一連の許可条件および拒否条件のコレクションです。Cisco IOS ソフトウェアは、アクセス リストの条件に対して、アドレスを 1 つずつテストします。最初の一致によって、ソフトウェアがアドレスを受け入れるか、拒否するかが決まります。最初の一致が見つかると条件のテストが停止するため、条件の順序は非常に重要です。条件が一致しなければ、アドレスは拒否されます。

アクセス リストの使用に関連する 2 つの主要な作業は次のとおりです。

1. アクセス リスト番号または名前とアクセス条件を指定してアクセス リストを作成する。

2. アクセス リストをインターフェイスまたは端末回線に適用する。

アクセス リストの設定の詳細については、『 Cisco IOS Security Configuration Guide: Securing the Data Plane 』マニュアルの「 Access Control List 」を参照してください。

WSMA over TLS

WSMA over TLS 機能を実行するには、トランスポートとして TLS を使用するサーバ プロファイルを使用するように WSMA エージェントを設定する必要があります。TLS プロトコルは、エンドポイント認証と暗号化を使用して任意のネットワーク上でセキュアな接続を提供します。暗号化は傍受からの保護を提供し、(信頼できる CA によって署名された)デジタル証明書は、エンドポイントを認証することによって改ざんおよび偽造からの保護を提供します。

WSMA リスナー プロファイルおよびイニシエータ プロファイルは、TLS サーバ アダプタおよびクライアント アダプタを使用して TLS 接続の作成と受け入れを行います。TLS サーバはデフォルト ポート(13000)を使用して着信接続をリスンします。同様に、TLS クライアントも同じデフォルト ポートを使用して接続を開始します。デフォルト ポートの設定は、変更を加えたプロファイル コンフィギュレーションで上書きできます。

信頼できる証明書

WSMA over TLS 機能では、CA サーバをネットワーク上で使用できる必要があります。CA の公開鍵はクライアントに公開され、サーバの証明書に署名するために使用される秘密鍵に対応している必要があります。Cisco IOS デバイスとリモート WSMA アプリケーションは、CA サーバを使用して両者の間で送信される証明書を検証します。

WSMA ID

WSMA ID により、Cisco IOS ネットワーク デバイスは固有の ID を持つことができます。これは、デバイスのすべての IP アドレスがローカルに意味を持つネットワーク アドレス変換(NAT)または Dynamic Host Configuration Protocol(DHCP)ネットワークでは重要です。このような展開では、WSMA ID を使用して、各デバイスに対してグローバルに一意である ID を指定します。

WSMA ID は、次のような他のデバイス プロパティに基づいて明示的に設定できます。

ハードウェア シリアル番号

ホスト名

インターフェイスの IP アドレス

インターフェイスの Media Access Control(MAC; メディア アクセス制御)アドレス

ユーザ定義文字列

WSMA ID を変更するたびに、すべての WSMA セッションが接続解除されます。これにより、管理アプリケーションが状態を動的に同期する必要がなくなります。

WSMA セキュリティ

WSMA セキュリティは、Cisco IOS ソフトウェアの AAA 設定に統合されています。WSMA は、トランスポート レイヤ上で設定された AAA アソシエーションを使用します。

WSMA は、ポイントツーポイント オペレーション用に設計されており、暗号化トランスポート上で機能します。ユーザの識別と認証は、トランスポート レイヤ上のセキュリティによって行われます。

Web サービス セキュリティ ヘッダー(WSSE)

Web Services Security Header(WSSE; Web サービス セキュリティ ヘッダー)は SOAP のセキュリティ拡張です。

WSMA プロファイルは、展開モードに基づいて、SOAP メッセージ内の追加のセキュリティ ヘッダーを予期または無視するように設定できます。WSMA がセキュリティ ヘッダーを格納するように設定されている場合、このヘッダーの形式は SOAP セキュリティ拡張である WSSE に従います。

SOAP は、WSSE ヘッダーを使用して認証を実行します。認証エラーがある場合は、SOAP 障害として報告されます。認証されたメッセージは WSMA に渡され、WSMA は、操作を適用する前にユーザの承認レベルを検査します。認可エラーは、WSMA エラー応答として報告されます。

WSMA プロファイルが WSSE を格納しないように設定されている場合、セキュリティ ヘッダーは無視され、トランスポートのログイン クレデンシャルを使用して認証が行われます。WSSE が予期される場合は、セキュリティ ヘッダーの詳細を使用してユーザが認証されます。セキュリティ ヘッダーが欠落している場合、着信メッセージは廃棄され、SOAP 障害が発行されます。

WSMA over TLS による認証と認可

SSH や HTTPS での接続とは異なり、TLS 接続では、ユーザが Cisco IOS デバイスにログインする必要はありません。また、TLS 証明書によるホストレベルの認証は提供されますが、ユーザレベルの認証が常に提供されるとは限りません。このため、WSSE ヘッダー(設定されている場合)を使用して、指定されたホストから異なるユーザの認証と認可を行います。

TLS リスナー プロファイルの場合、すべての WSMA 要求は、SOAP の WSSE ヘッダーを使用して認証されます。要求が認証されたら、設定された特権レベルに基づいて操作を実行するためのユーザ認証が行われます。ユーザは、Cisco IOS デバイスまたは AAA サーバ上で設定できます。リモート ホストの識別情報は、TLS クライアント側の証明書を使用して検証されます。

TLS イニシエータ プロファイルの場合、リモート エンドポイントの識別情報は、TLS 接続セットアップの一部として CA サーバを使用して検証されます。接続が確立されると、すべての着信 WSMA 要求は WSSE ヘッダーを使用して認証されます。要求が認証されたら、設定された特権レベルに基づいて操作を実行するためのユーザ認証が行われます。ユーザは、Cisco IOS デバイスまたは AAA サーバ上で設定できます。

TLS リスナー プロファイルまたはイニシエータ プロファイルに対して SOAP の WSSE ヘッダーがディセーブルになっている場合は、ユーザレベルの認証を実行できないため、次のプロセスを使用してプロファイルに割り当てる承認レベルが決定されます。

プロファイルに関連付けられたすべてのエージェントに対して、 no wsse authorization level コマンドを使用して設定された承認レベルを使用する。

承認レベルが設定されていない場合は、デフォルトの特権レベルを使用する。デフォルトの特権レベルは 1(最小レベル)に設定されています。

WSMA スキーマ

各 WSMA サービスは、対応する XML スキーマをパブリッシュします。XLS スキーマは、特定の WSMA が理解し、実行できる XML メッセージを記述したものです。WSMA スキーマは、操作を実行するために必要なデータ全体を定義しているため、メッセージ伝送に使用されるトランスポートのタイプに関係なく、まったく同じように操作を実行できます。

ゼロタッチ展開

Cisco ゼロタッチ展開(ZTD)ソリューションを使用すると、ルータは、初期展開中にリモート DHCP サーバからコンフィギュレーション ファイルを取得できます。ルータがリモート サーバと通信するためには、ブートストラップ設定が必要になります。ブートストラップ設定は、デバイスに関する特定の情報を提供します。このブートストラップ設定は、デバイスに事前にインストールしておくか、DHCP サーバから取得することができます。Cisco IOS Release 15.1(1)T には、ブートストラップ設定情報を取得するための別の方法として、DHCP Option 43 の使用が導入されています。ルータにブートストラップ設定を事前にインストールできない状況に対処するには、DHCP Option 43 メッセージを使用する展開モデルを使用します。シスコでは、RFC 2132 に基づいた DHCP Option 43 メッセージの使用を推奨しています。DHCP Option 43 メッセージを使用すると、ASCII コード形式のベンダー固有情報を DHCP サーバに提供できます。

DHCP Option 43 メッセージは、通常はブートストラップ設定で提供される必須情報を DHCP クライアントに提供します。DHCP サーバ上で DHCP Option 43 メッセージが事前に設定されている場合、DHCP クライアントが DHCP サーバに対して DHCP IP アドレス要求を発行すると、DHCP サーバは IP アドレスと DHCP Option 43 メッセージを送信します。この DHCP Option 43 メッセージ内で、パラメータ化された定義済み WSMA コマンドが DHCP クライアントに提供されます。タイマーは 3 分に設定されています。ファイルのダウンロードに成功した場合は、タイムアウト後にプロセスが完了します。ファイルのダウンロードに失敗した場合は、生成された WSMA DHCP Option 43 メッセージが正しいかどうかを確認し、問題がある場合は修正してください。ルータの電源をオフにした後で再びオンにして、WSMA DHCP Option 43 メッセージ処理を再試行します。

ルータ システムの開始時には、DHCP Option 43 メッセージをルータに送信できるように、次の 2 とおりの方法で DHCP IP アドレス要求が開始されます。

1. ルータでスタートアップ コンフィギュレーションがイネーブルになっている場合は、 ip address dhcp および wsma dhcp コンフィギュレーション コマンドを使用して ZTD をイネーブルにできます。

2. ルータでスタートアップ コンフィギュレーションがイネーブルになっていない場合は、自動インストール機能によって ip address dhcp コンフィギュレーション コマンドが自動的に初期化され、ZTD がイネーブルになります。自動インストール機能の詳細については、『 Cisco IOS Configuration Fundamentals Configuration Guide 』の「 Overview - Basic Configuration of a Cisco Networking Device 」の章を参照してください。

ZTD をイネーブルにするために DHCP Option 43 メッセージ内で定義されたパラメータ化された WSMA コマンド

ZTD をイネーブルにするには、 wsma id wsma agent 、および wsma profile initiator コマンドを使用して設定した値をパラメータとして使用して DHCP Option 43 メッセージを作成します。DHCP Option 43 メッセージは、これらのパラメータ化された定義済みコマンドを DHCP クライアントに提供します。これにより、クライアントは、DHCP サーバによって送信されたメッセージをデコードして読み取ることができます。

DHCP Option 43 メッセージの作成

DHCP Option 43 メッセージは、Type/Value(タイプ/値; TV)形式で提示されます。DHCP Option 43 は、クライアントとサーバがベンダー固有情報を交換するために使用します。ベンダー固有情報(Option 43)を使用する場合は、16 進 ASCII 値を使用してデータを指定する必要があります。option コマンドの詳細については、『 Cisco IOS IP Addressing Command Reference Guide 』を参照してください。


) DHCP Option 43 の最大サイズは 2500 バイトです。


ZTD をイネーブルにするための DHCP Option 43 メッセージを作成するために WSMA が使用するパラメータは次のとおりです。

<DHCP-typecode><feature-opcode><version><debug-option>;<arglist>

表 1 に、パラメータと構文の説明を示します。

表 1 DHCP Option 43 メッセージのパラメータ

パラメータ
説明

DHCP-typecode

DHCP サブオプション タイプを指定します。WSMA の DHCP サブオプション タイプは 4 です。

feature-opcode

機能 OP コードには、アクティブ(A)とパッシブ(P)の 2 つのタイプがあります。WSMA の機能 OP コードは、アクティブ(A)テンプレートです。このコードは、管理サーバへの接続を開始し、管理サーバに hello メッセージを送信します。管理サーバに到達できない場合、ルータは到達するまで接続を試行し続けます。

version

WSMA が使用するテンプレートのバージョンを示します。

debug-option

DHCP Option 43 メッセージの処理中にデバッグ メッセージを生成する必要があるかどうかを示します。通常の処理には、デバッグ オフをお勧めします。DHCP Option 43 メッセージの処理をデバッグする場合は、デバッグ オンを使用できます。次の 2 つのデバッグ オプションが用意されています。

D:デバッグ オプションはオンです。

N:デバッグ オプションはオフです。

;

パラメータを区切るために使用する区切り文字。

arglist

セミコロンで区切られた名前付き引数のリスト。引数のデフォルト値を使用する場合は、パラメータの値を指定する必要はありません。デフォルト値がニーズを満たさない場合にのみ、パラメータとその値を指定してください。

文字コードは、引数を識別するために使用します。名前と値のペアは、セミコロンで区切って任意の順序で指定できます。

表 2 に、WSMA ID を設定するための引数および WSMA コンフィギュレーション エージェントを設定するためのイニシエータ プロファイル パラメータを示します。

表 2 WSMA アクティブ テンプレート A の引数リスト(WSMA インジケータ)

パラメータ
文字コード
CLI マッピングに対するパラメータ
文字コードの例
CLI マッピングの例

WSMA ID

A

(任意)WSMA ID を示します。デフォルトはホスト名です。

1 :使用するカスタム ID を示します。

2 :使用するインターフェイスの MAC アドレスを示します。

3 :使用するハードウェア シリアル番号を示します。

4 :Unified Display Interface(UDI)を示します。

A1881-ap



A4
Router(config)# wsma id string 881-ap


Router(config)# wsma id udi

Remote server IP ADDR

I

(必須) IPv4/IPv6 アドレスまたはホスト名を示します。ホスト名を使用する場合は、DHCP の DNS サーバ オプションを設定します。

I10.10.10.1-
Router(config-wsma-init)#
transport tls 10.10.10.1
 

Remote server part

J

(任意)リモート サーバ部分を示します。デフォルト ポートは 13000 です。

J10000
Router(config-wsma-init)#
transport tls 10.10.10.1.10090

Transport protocol for WSMA Initiator

K

(必須)WSMA インジケータのトランスポート プロトコルを示します。

1:TLS

2:SSH

3:HTTPS

4:HTTP

K1
Router(config)#
wsma profile intiator zero-touch
Router(config-wsma-init)#
transport tls 10.10.10.1 10090

Encapsulation

B

(任意)WSMA プロファイルのカプセル化を示します。デフォルトは SOAP 11 です。

1 :SOAP 11

2 :SOAP 12

B
Router(config-wsma-listener)#
encap soap12

Max message C

C

(任意)着信メッセージの最大サイズ制限を示します。デフォルトは 50 KB です。

1K ~ 2000K の範囲の数字列

C
Router(config-wsma-listen)# max-message 50

CA Server IP address

L

(必須)TLS または HTTPS プロトコルの認証局(CA)サーバの IP アドレスまたはホスト名を示します。

L
Router(ca-trustpoint)# enrollment url http://10.1.43.216:80

Source interface

M

送信元インターフェイス名を示します。TLS プロトコルに適用されます。

M11011
Router(config-wsma-initiator)#
transport tls name1 11011 source fastethernet 0/1

User Name

N

(必須)SSH プロトコルのユーザ名を指定します。TLS プロトコルには適用されません。

N11011
Router(config-wsma-initiator)#
transport ssh user1 11011 path remote-cmd-text user username password

User Password

O

(必須)SSH プロトコルにアクセスするためのパスワードを指定します。TLS プロトコルには適用されません。

O11011
Router(config-wsma-initiator)#
transport ssh user1 11011 path remote-cmd-text user username password

Connect string/path

P

(必須)SSH の接続文字列 コマンド、または HTTPS および HTTP のパスを指定します。TLS プロトコルには適用されません。

P11011
Router(config-wsma-initiator)#
transport https user1 11011 path remote-cmd-text user username password

idle-timeout

Q

(任意)タイムアウト値(分単位)を指定します。デフォルト値は 1 です。

Q30
Router(config-atm-vc)#
idle-timeout 30

domain-name

R

(任意)DHCP クライアントをホストするドメインの名前を指定します。このパラメータは、TLS プロトコルに適用されます。

example.com
Router(config)#
ip domain list example.com

fingerprint

T

(任意)認証時に認証局(CA)証明書のフィンガープリントと照合するフィンガープリントを指定します。TLS プロトコルに適用されます。

T96E50E2C126CC31490B319E3BFD40FE663DB5664
Router(ca-trustpoint)# fingerprint 96E50E2C126CC31490B319E3BFD40FE663DB5664

fqdn

U

(任意)ホスト名とドメイン名を指定します。TLS プロトコルに適用されます。

example.com
Router(ca-trustpoint)#
fqdn dp-7214.examplecom

Keepalive-interval

V

(任意)キープアライブ間隔の数を指定します。

V600
Router(config-wsma-initiator)#
keepalive 600

Keepalive-retries

W

(任意)キープアライブの再試行回数を指定します。

W5
Router(config-wsma-initiator)#
keepalive 600 retries 5

Crypto cmd wait time

X

(任意)crypto コマンドが実行されるまでの所要時間(秒数)を指定します。

1:15 秒

2:30 秒

3:45 秒

4:60 秒

5:120 秒

6:180 秒

X
NA

Default gateway

Y

設定する必要があるシステムのデフォルト ゲートウェイを指定します。

Y0.0.0.0
Router(config)# ip route 0.0.0.0 0.0.0.0 10.1.43.254

) バックアップ サーバは使用できません。Cisco IOS デバイス上で追加の初期設定が必要になるため、ゼロタッチにはタイプ 6 暗号化は指定できません。ルータは、15 分間、60 秒ごとに再接続を試行します。指定された期間内にサーバに到達できない場合、ルータは DHCP Option 43 メッセージによる再設定を受け入れます。


アクティブ テンプレートの文字コード マッピングの例

例 1

この例では、DHCP クライアントによって送信された DHCP IP アドレス要求への応答として、DHCP サーバが Option 43 メッセージ( 4A1N;I10.10.10.1;K1 など)を DHCP クライアントに送信します。DHCP クライアントは、この Option 43 メッセージを WSMA に転送します。WSMA は、Option 43 メッセージの処理が許可されるかどうかを検証します。WSMA 上で wsma dhcp コマンドがイネーブルになっている場合、WSMA は Option 43 メッセージの処理を許可します。

この Option 43 メッセージで示される ASCII データは、 表 3 に示す TV 値で構成されます。

表 3 この例の Option 43 コマンドの TV 値

タイプ

4

A1N;I10.10.10.1;K1

このメッセージは、 表 3 の引数リストを使用して、トークンにデコードされます。この引数リストを使用して 4A1N;I10.10.10.1;K1 メッセージに対してマッピングされるパラメータは、次のとおりです。

A:アクティブ テンプレートのコード

1:アクティブ テンプレートのバージョン番号

N:オフになっているデバッグ オプション

;:arglist の前の区切り文字

I10.10.10.1:管理サーバの IP アドレス

K1:TLS 内で使用されるイニシエータのトランスポート プロトコル

WSMA は、初期コンフィギュレーション ファイルを要求するために、次のコマンドを作成してリモート管理サーバに送信します。タイマーは 5 分に設定されています。

Router(config)# wsma agent config profile zero-touch
Router(config)# wsma profile initiator zero-touch
Router(config-wsma-initiator)# transport tls 10.10.10.1
Router(config-wsma-initiator)# no wsse authorization level 15
 

ダウンロードされた初期コンフィギュレーション ファイルが検査されます。ファイルのダウンロードが正常に行われた場合は、プロセスが完了します。

例 2

この例では、DHCP クライアントによって送信された DHCP IP アドレス要求への応答として、DHCP サーバが Option 43 メッセージ( 4A1N;A1881-ap;D10.10.10.1;E11024;K1 など)を DHCP クライアントに送信します。DHCP クライアントは、この Option 43 メッセージを WSMA に転送します。WSMA は、Option 43 メッセージの処理が許可されるかどうかを検証します。WSMA 上で wsma dhcp コマンドがイネーブルになっている場合、WSMA は Option 43 メッセージの処理を許可します。

この Option 43 メッセージで示される ASCII データは、 表 4 に示す TV 値で構成されます。

表 4 この例の Option 43 コマンドの TV 値

タイプ

4

4A1N;A1881-ap;D10.10.10.1;E11024;K1 ;

このメッセージは、 表 4 の引数リストを使用して、トークンにデコードされます。この引数リストを使用して 4A1N;A1881-ap;D10.10.10.1;E11024;K1 メッセージに対してマッピングされるパラメータは、次のとおりです。

A:アクティブ テンプレートのコード

1:アクティブ テンプレートのバージョン番号

N:オフになっているデバッグ オプション

;:arglist の前の区切り文字

881-ap:アクティブ テンプレートの文字列値

D10.10.10.1:管理サーバの IP アドレス

E11024:

K1:TLS 内で使用されるイニシエータのトランスポート プロトコル

4A1N;I10.10.10.1;K1 メッセージから作成されるトークンは、次のとおりです。

A1N

A1881-ap

10.10.10.1

E11024

K1

WSMA は、初期コンフィギュレーション ファイルを要求するために、次のコマンドを作成してリモート管理サーバに送信します。タイマーは 5 分に設定されています。

Router(config)# wsma agent config profile zero-touch
Router(config)# wsma profile initiator zero-touch
Router(config-wsma-initiator)# transport tls 10.10.10.1

Router(config-wsma-initiator)# no wsse authorization level 15

WSMA の設定方法

ここでは、次の作業について説明します。

「ホスト名とドメイン名を使用した SSHv2 のイネーブル化」(必須)

「HTTP サーバのイネーブル化」(必須)

「HTTPS サーバのイネーブル化」(必須)

「TLS クライアント上での WSMA イニシエータ モードの証明書検証のイネーブル化」(必須)

「TLS サーバ上での WSMA リスナー モードの証明書の設定」(必須)

「SSH 接続のステータスの確認」(任意)

「サービス イニシエータのイネーブル化」(必須)

「サービス リスナーのイネーブル化」(必須)

「WSMA サービスのイネーブル化」(必須)

「WSMA ID の割り当て」(必須)

「WSMA サービスのモニタリングとメンテナンス」(任意)

「WSMA プロファイルのモニタリングとメンテナンス」(任意)

「DHCP Option 43 メッセージを受信するための WSMA のイネーブル化」(必須)

「WSMA ペイロードの配信」(任意)

ホスト名とドメイン名を使用した SSHv2 のイネーブル化

ホスト名とドメイン名を使用してルータを SSHv2 用に設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. hostname hostname

4. ip domain-name name

5. crypto key generate rsa

6. ip ssh [ timeout seconds | authentication-retries integer ]

7. ip ssh version 2

8. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

hostname hostname

 

Router(config)# hostname host1

ルータのホスト名を設定します。

ステップ 4

ip domain-name name

 

Router(config)# ip domain-name domain1.com

ルータのドメイン名を設定します。

ステップ 5

crypto key generate rsa

 

Router(config)# crypto key generate rsa

ローカルおよびリモート認証用に SSH サーバをイネーブルにします。

ステップ 6

ip ssh [ timeout seconds | authentication-retries integer ]

 

Router(config)# ip ssh timeout 120

(任意)ルータ上で SSH 制御変数を設定します。

ステップ 7

ip ssh version 2

 

Router(config)# ip ssh version 2

ルータ上で実行する SSH のバージョンを指定します

ステップ 8

end

 

Router(config)# end

グローバル コンフィギュレーション モードを終了します。

HTTP サーバのイネーブル化

HTTP サーバをイネーブルにするには、次の作業を実行します。HTTP サーバは、デフォルトではディセーブルです。HTTP サーバがイネーブルになったら、オプションのサーバ特性を設定できます。HTTP サーバのオプションのサーバ特性の設定の詳細については、『 Cisco IOS Network Management Configuration Guide 』の「 HTTP 1.1 Web Server and Client 」の章を参照してください。

手順の概要

1. enable

2. configure terminal

3. ip http server

4. ip http authentication { aaa | local }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip http server

 

Router(config)# ip http server

HTTP 1.1 サーバ(Cisco Web ブラウザ ユーザ インターフェイスを含む)をイネーブルにします。

コマンドを使用して標準 HTTP サーバをディセーブルにする必要があります。サーバに対してセキュリティ保護された接続のみを確保するには、このコマンドが必要です。

ステップ 4

ip http authentication { aaa | local }

 

Router(config)# ip http authentication aaa

HTTP サーバ ユーザの認証方式を指定します。

ip http authentication enable コマンドは、イネーブルになっているパスワードを認証に使用することを指定します。この認証方式は、WSMA にアクセスするために使用できません。

HTTPS サーバのイネーブル化

標準 HTTP サーバをディセーブルにし、SSL3.0 搭載 HTTPS サーバを設定するには、このセクションに示す手順を実行します。

前提条件

認証に認証局が使用されている場合は、セキュア HTTP サーバをイネーブルにする前にルーティング デバイスで CA トラストポイントを宣言する必要があります。ルーティング デバイス上での CA トラストポイントの宣言の詳細については、『 Cisco IOS Network Management Configuration Guide 』の「 HTTPS - HTTP Server and Client with SSL 3.0 」の章を参照してください。

手順の概要

1. enable

2. show ip http server status

3. configure terminal

4. no ip http server

5. ip http secure-server

6. ip http secure-port port-number

7. ip http secure-ciphersuite [ 3des-ede-cbc-sha ] [ rc4-128-sha ] [ rc4-128-md5 ] [ des-cbc-sha ]

8. ip http secure-client-auth

9. ip http secure-trustpoint name

10. end

11. show ip http server secure status

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

Router# show ip http server status

 

Router# show ip http server status

 

(任意)HTTP サーバのステータスを表示します。

実行中のソフトウェア イメージで、セキュア HTTP サーバがサポートされているかどうかが確実ではない場合は、このコマンドを入力し「HTTP secure server capability: {Present | Not present}」という行を探します。

このコマンドは、イネーブルかディセーブルかにかかわらず、標準 HTTP サーバのステータスを表示します。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

no ip http server

 

Router(config)# no ip http server

標準 HTTP サーバをディセーブルにします。

(注) HTTPS サーバをイネーブルにする場合は、同じサービスに対するセキュリティ保護されていない接続を防ぐため、常に標準 HTTP サーバをディセーブルにする必要があります。これは予防的な手順です(通常、HTTP サーバはデフォルトではディセーブルです)。

ステップ 5

ip http secure-server
 

Router(config)# ip http secure-server

HTTPS サーバをイネーブルにします。

ステップ 6

ip http secure-port port-number

 

Router(config)# ip http secure-port 1025

(任意)HTTPS サーバが使用するポート番号を指定します。デフォルトのポート番号は 443 です。有効な選択肢は 443 または 1025 ~ 65535 の範囲のいずれかの数字です。

ステップ 7

ip http secure-ciphersuite [ 3des-ede-cbc-sha ] [ rc4-128-sha ] [ rc4-128-md5 ] [ des-cbc-sha ]

 

Router(config)# ip http secure-ciphersuite rc4-128-sha rc4-128-md5

(任意)HTTPS 接続上の暗号化で使用する CipherSuite(暗号化アルゴリズム)を指定します。

このコマンドを使用すると、サーバが接続しているクライアントに提供する CipherSuite のリストを制限できます。たとえば、最も安全な CipherSuite の使用のみを許可したい場合に、このコマンドを使用します。

ある CipherSuite を指定する理由がない場合、またはこれらの CipherSuite の詳細を熟知していない場合はこのコマンドを未設定のままにして、サーバとクライアント間で双方がサポートしている CipherSuite をネゴシエートさせます(これがデフォルトです)。

ステップ 8

ip http secure-client-auth

 

Router(config)# ip http secure-client-auth

(任意)接続プロセス中にクライアントを認証するため、クライアントから X.509v3 証明書を要求するよう HTTP サーバを設定します。

デフォルトの接続および認証プロセスでは、クライアントは HTTP サーバからの証明書を要求しますが、サーバはクライアントの認証を試行しません。クライアントを認証することで、サーバの認証自体よりもより強固なセキュリティを得ることができますが、すべてのクライアントに CA 認証が設定されているわけではありません。

ステップ 9

ip http secure-trustpoint name

 

Router(config)# ip http secure-trustpoint trustpoint-01

X.509v3 セキュリティ証明書の取得および接続するクライアントの証明書の認証に使用する CA トラストポイントを指定します。

このコマンドの使用は、すでに crypto pki trustpoint コマンドを使用して CA トラストポイントを宣言され、サブモード コマンドを関連付けられていることを前提としています。

関連付けた crypto pki trustpoint コマンドで使用したのと同じトラストポイント名を使用します。

ステップ 10

end

 

Router(config)# end

現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。

ステップ 11

show ip http server secure status

 

Router# show ip http server secure status

HTTP セキュア サーバ設定のステータスを表示します。

TLS クライアント上での WSMA イニシエータ モードの証明書検証のイネーブル化

TLS プロトコルを使用してリモート ホストに接続するには、(TLS クライアントとして動作する)Cisco IOS ルータは(TLS サーバとして動作する)WSMA アプリケーション ホストの署名付き証明書を検証する必要があります。ルータが証明書を検証し、CA によって署名された証明書を信頼できるようにするには、ルータ上で CA のトラストポイントを設定し、CA をルータに対して認証する CA からルータに自己署名証明書をダウンロードするようにルータに指示する必要があります。

Cisco IOS ルータ上での証明書検証をイネーブルにするには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. enrollment url url

5. exit

6. crypto pki authenticate name

7. end

8. show run

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint my_CA

ルータが使用する CA を宣言し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 4

enrollment url url

 

Router(ca-trustpoint)#enrollment url http://myCAurl:80

CA の Uniform Resource Locator(URL; ユニフォーム リソース ロケータ)を指定します。

ステップ 5

exit

 

Router(ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 6

crypto pki authenticate name

 

Router(config)# crypto pki authenticate my_CA

Certificate has the following attributes:

Fingerprint MD5: AC3B4A2B FD027F65 0B4650BF 018B1F79

Fingerprint SHA1: BC183062 A013FFDC 1E8E79B3 0150DEBF B887CD15

% Do you accept this certificate? [yes/no]: yes

Trustpoint CA certificate accepted.

CA の公開鍵を格納する CA の自己署名証明書を取得することにより、CA をルータに対して認証します。

CA はそれ自体の証明書に署名するため、このコマンドを実行する場合、ユーザは CA 管理者に連絡して CA の公開鍵を手動で認証する必要があります。

ルータが証明書を取得すると、その証明書を受け入れるように求めるプロンプトが表示されます。

ステップ 7

end

 

Router(config)# end

現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。

ステップ 8

show run

 

Router# show run

サーバ設定のステータス(CA と証明書の詳細を含む)を表示します。

TLS サーバ上での WSMA リスナー モードの証明書の設定

Cisco IOS ルータ上で、TLS プロトコルを使用する WSMA リスナー モードの CA 証明書を設定するには、ルータ上で CA のトラストポイントを設定し、CA をルータに対して認証する CA からルータに自己署名証明書をダウンロードするようにルータに指示する必要があります。その後、CA によって署名された独自の証明書を要求するようにルータに指示します。

WSMA リスナー モードの証明書の設定をイネーブルにするには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. enrollment url url

または

enrollment terminal

5. exit

6. crypto pki authenticate name

7. crypto pki enroll name

8. crypto pki import name certificate

9. end

10. show run

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint my_CA

ルータが使用する CA を宣言し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 4

enrollment url url

または

enrollment terminal

 

Router(ca-trustpoint)#enrollment url http://myCAurl:80

または

Router(ca-trustpoint)#enrollment terminal

CA の Uniform Resource Locator(URL; ユニフォーム リソース ロケータ)を指定します。

enrollment terminal コマンドを使用して、カットアンドペーストによる手動での証明書登録を指定します。

ステップ 5

exit

 

Router(ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 6

crypto pki authenticate name

 

Router(config)# crypto pki authenticate my_CA

Certificate has the following attributes:

Fingerprint MD5: AC3B4A2B FD027F65 0B4650BF 018B1F79

Fingerprint SHA1: BC183062 A013FFDC 1E8E79B3 0150DEBF B887CD15

% Do you accept this certificate? [yes/no]: yes

Trustpoint CA certificate accepted.

CA の公開鍵を格納する CA の自己署名証明書を取得することにより、CA をルータに対して認証します。

CA はそれ自体の証明書に署名するため、このコマンドを実行する場合、ユーザは CA 管理者に連絡して CA の公開鍵を手動で認証する必要があります。

ステップ 4 で、カットアンドペーストによる手動での登録を指定した場合は、符号化された CA 証明書を入力するように求めるプロンプトが表示されます。

ルータが証明書を取得すると、その証明書を受け入れるように求めるプロンプトが表示されます。

ステップ 7

crypto pki enroll name

 

Router(config)# crypto pki enroll my_CA

% Start certificate enrollment ..

% Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it.

Password:

Re-enter password:

% The subject name in the certificate will include: routername.cisco.com

% Include the router serial number in the subject name? [yes/no]: yes

% The serial number in the certificate will be: 34835646

% Include an IP address in the subject name? [no]:

Request certificate from CA? [yes/no]: yes

% Certificate request sent to Certificate Authority

% The 'show crypto pki certificate verbose my_CA' command will show the fingerprint.

ルータを CA に登録して、このルータの証明書を CA から要求します。

登録プロセス中に、チャレンジ パスワードを入力し、設定オプションを選択するように求めるプロンプトが表示されます。

ステップ 8

crypto pki import name certificate

 

Router(config)# crypto pki import my_CA certificate

(任意)証明書を手動でルータにインポートします。

このコマンドは、ステップ 4 で手動でのカットアンドペーストを選択した場合にのみ必要です。

コンソール端末に証明書要求が表示されます。証明書要求が CA にコピーされている必要があります。

CA により、このルータ用に署名付き証明書を作成されます。

このコマンドを使用して、署名付き証明書をルータにインポートします。

ステップ 9

end

 

Router(config)# end

現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。

ステップ 10

show run

 

Router# show run

サーバ設定のステータス(CA と証明書の詳細を含む)を表示します。

SSH 接続のステータスの確認

ルータ上で SSH 接続のステータスを表示するには、 show ssh コマンドと show ip ssh コマンドを使用します。

手順の概要

1. enable

2. show ssh

3. show ip ssh

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ssh

 

Router# show ssh

SSH サーバ接続のステータスを表示します。

ステップ 3

show ip ssh

 

Router# show ip ssh

SSH のバージョンおよび設定データを表示します。

次に、SSHv2 接続に関するステータスを表示する show ssh コマンドを出力する例を示します。

Router# show ssh
 
Connection Version Mode Encryption Hmac State
Username
1 2.0 IN aes128-cbc hmac-md5 Session started lab
1 2.0 OUT aes128-cbc hmac-md5 Session started lab
%No SSHv1 server connections running.
 

次に、イネーブルになっている SSH のバージョン、認証のタイムアウト値、および認証の再試行回数を表示する show ip ssh コマンドを出力する例を示します。

Router# show ip ssh
 
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

トラブルシューティングのヒント

ip ssh version コマンドは、SSH の設定のトラブルシューティングに使用できます。バージョンを変更することにより、問題のある SSH バージョンを判別できます。

この次の手順

ssh コマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。

サービス イニシエータのイネーブル化

サービス イニシエータをイネーブルにするには、次の作業を実行します。

前提条件

HTTP または HTTPS 上にサービス イニシエータを設定するには、Cisco IOS デバイスが定期的に HTTP 要求をリモート WSMA アプリケーションに送信できるようにキープアライブ設定を設定する必要があります。これにより、リモート WSMA に WSMA 要求を送信する機会が与えられます。

TLS 上にサービス イニシエータを設定する場合は、最初に Cisco IOS 上で CA 設定を設定する必要があります。詳細については、「 TLS クライアント上での WSMA イニシエータ モードの証明書検証のイネーブル化 」を参照してください。

手順の概要

1. enable

2. configure terminal

3. wsma profile initiator profile-name

4. encap { soap11 | soap12 }

5. [backup] transport { http | https | ssh remote-host [ initiator-port-number ] path path-name [ user username [ 0 | 6 ] password ] } | tls remote-host [ initiator-port-number ] [ localcert trustpoint-name ] [ remotecert trustpoint-name ] [ source source-interface ]}

6. keepalive interval [ retries number ]

7. idle-timeout minutes

8. max-message message-size

9. backup hold time

10. backup excluded time

11. reconnect reconnect-time

12. stealth

13. wsse

14. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

wsma profile initiator profile-name

 

Router(config)# wsma profile initiator prof1

サービス イニシエータを作成し、WSMA イニシエータ コンフィギュレーション モードを開始します。

ステップ 4

encap { soap11 | soap12 }

 

Router(config-wsma-init)# encap soap12

(任意)サービス リスナー プロファイルのカプセル化を設定します。

ステップ 5

[backup] transport { http | https | ssh remote-host [ initiator-port-number ] path path-name [ user username [ 0 | 6 ] password ] } | tls remote-host [ initiator-port-number ] [ localcert trustpoint-name ] [ remotecert trustpoint-name ] [ source source-interface ]}

 

Router(config-wsma-init)# transport tls 192.2.1.10

WSMA プロファイルのトランスポート設定を定義します。

リモート WSMA TLS アプリケーションがリスンしているポートが既知である必要があります。デフォルトでは、これはポート 13000 です。サーバが 13000 以外のポートをリスンしている場合は、initiator-port-number 引数を使用して正しいポートを設定する必要があります。

ステップ 6

keepalive interval [ retries number ]

 

Router(config-wsma-init)# keepalive 100 retries 10

(任意)キープアライブ メッセージをイネーブルにして、WSMA プロファイルの間隔と再試行の値を設定します。

Cisco ISO デバイス上でリモート WSMA アプリケーションが WSMA 要求を確実に送信できるようにするには、HTTP および HTTPS イニシエータ接続上でキープアライブ メッセージをイネーブルにする必要があります。

ステップ 7

idle-timeout minutes

 

Router(config-wsma-init)# idle-timeout 345

(任意)データ トラフィックがない場合に、セッションを有効な状態で維持する時間(分単位)を指定します。

ステップ 8

max-message message-size

 

Router(config-wsma-init)# max-message 290

(任意)受信メッセージの最大サイズ(1 ~ 2000 KB)を指定します。

ステップ 9

backup hold time

 

Router(config-wsma-init)# backup hold 233

(任意)WSMA プロファイルがバックアップ トランスポート設定に接続された状態を維持する時間(分単位)を設定します。

ステップ 10

backup excluded time

 

Router(config-wsma-init)# backup excluded 30

(任意)接続が失われた場合に、WSMA プロファイルがバックアップ トランスポート設定への接続を試行するまでの待機時間を設定します。

ステップ 11

reconnect reconnect-time

 

Router(config-wsma-init)# reconnect 434

(任意)WSMA イニシエータ プロファイルがセッションの再接続を試行するまでの待機時間を指定します。

ステップ 12

stealth

 

Router(config-wsma-init)# stealth

(任意)破損した XML メッセージへの応答として SOAP 障害メッセージを送信しないようにサービスを設定します。

ステップ 13

wsse

 

Router(config-wsma-init)# wsse

(任意)WSMA プロファイルに対して Web サービス セキュリティ ヘッダー(WSSE)をイネーブルにします。

デフォルトでは、WSSE はイネーブルになっています。WSSE をディセーブルにするには、 no wsse コマンドを入力します。

ステップ 14

end

 

Router(config-wsma-init)# end

現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。

サービス リスナーのイネーブル化

サービス リスナーをイネーブルにするには、次の作業を実行します。

前提条件

SSH 上にサービス リスナーを設定する場合は、最初に SSH を設定する必要があります。詳細については、「 ホスト名とドメイン名を使用した SSHv2 のイネーブル化 」を参照してください。

HTTP 上にサービス リスナーを設定する場合は、最初に HTTP を設定する必要があります。詳細については、「 HTTP サーバのイネーブル化 」および「 HTTPS サーバのイネーブル化 」を参照してください。

TLS 上にサービス リスナーを設定する場合は、最初にルータ上で CA 設定を設定する必要があります。詳細については、「 TLS サーバ上での WSMA リスナー モードの証明書の設定 」を参照してください。

手順の概要

1. enable

2. configure terminal

3. wsma profile listener profile-name

4. encap { soap11 | soap12 }

5. transport { http | https [ path path-name ] | ssh [ subsys subsys-name ] | tls [ listener-port-number ] [ localcert trustpoint-name ] [ disable-remotecert-validation | remotecert trustpoint-name ]}

6. idle-timeout minutes

7. max-message message-size

8. keepalive interval [ retries number ]

9. acl acl-number

10. stealth

11. wsse

12. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

wsma profile listener profile-name

 

Router(config)# wsma profile listener prof1

サービス リスナーを作成し、WSMA リスナー コンフィギュレーション モードを開始します。

ステップ 4

encap { soap11 | soap12 }

 

Router(config-wsma-listen)# encap soap12

(任意)サービス リスナー プロファイルのカプセル化を設定します。

ステップ 5

transport { http | https [ path path-name ] | ssh [ subsys subsys-name ] | tls [ listener-port-number ] [ localcert trustpoint-name ] [ disable-remotecert-validation | remotecert trustpoint-name ]}

 

Router(config-wsma-listen)# transport ssh subsys wsma

WSMA プロファイルのトランスポート設定を定義します。

ステップ 6

idle-timeout minutes

 

Router(config-wsma-listen)# idle-timeout 345

(任意)データ トラフィックがない場合に、セッションを有効な状態で維持する時間(分単位)を指定します。

ステップ 7

max-message message-size

 

Router(config-wsma-listen)# max-message 290

(任意)受信メッセージの最大サイズ(1 ~ 2000 KB)を指定します。

ステップ 8

keepalive interval [ retries number ]

 

Router(config-wsma-listen)# keepalive 100 retries 10

(任意)キープアライブ メッセージをイネーブルにして、WSMA プロファイルの間隔と再試行の値を設定します。

キープアライブ メッセージは、HTTP または HTTPS リスナー接続上では送信されません。

ステップ 9

acl acl-number

 

Router(config-wsma-listen)# acl 34

(任意)使用する Access Control List(ACL; アクセス コントロール リスト)グループを定義します。

ステップ 10

stealth

 

Router(config-wsma-listen)# stealth

(任意)破損した XML メッセージへの応答として SOAP 障害メッセージを送信しないようにサービスを設定します。

ステップ 11

wsse

 

Router(config-wsma-listen)# wsse

(任意)WSMA プロファイルに対して Web サービス セキュリティ ヘッダー(WSSE)をイネーブルにします。

デフォルトでは、WSSE はイネーブルになっています。WSSE をディセーブルにするには、 no wsse コマンドを入力します。

ステップ 12

end

 

Router(config-wsma-listen)# end

現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。

WSMA サービスのイネーブル化

WSMA をイネーブルにして、プロファイルに関連付けるには、次の作業を実行します。

前提条件

WSMA イニシエータまたはリスナー プロファイルを設定し、イネーブルにしておく必要があります。

手順の概要

1. enable

2. configure terminal

3. wsma agent { config | exec | filesys | notify } profile profile-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

wsma agent { config | exec | filesys | notify } profile profile-name

 

Router(config)# wsma agent config profile prof1

WSMA をイネーブルにして、プロファイルに関連付けます。

WSMA ID の割り当て

Cisco IOS ネットワーキング デバイスに固有の WSMA ID を割り当てるには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. wsma id { hardware-serial | hostname | ip-address interface-type | mac-address interface-type | string value }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

wsma id { hardware-serial | hostname | ip-address interface-type | mac-address interface-type | string value }

 
Router(config)# wsma id ip-address fastethernet 0/1

Cisco IOS ネットワーキング デバイスに固有の WSMA ID を割り当てます。

WSMA サービスのモニタリングとメンテナンス

WSMA サービスのモニタリングとメンテナンスを行うには、次の作業を実行します。

手順の概要

1. enable

2. show wsma agent { counters | schema } [ config | exec | filesys | notify ]

3. debug wsma agent [ config | exec | filesys | notify ]

4. clear wsma agent [ config | exec | filesys | notify ] counters

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show wsma agent { counters | schema } [ config | exec | filesys | notify ]

 

Router# show wsma agent config counters

指定された統計情報カウンタ、または WSMA のスキーマを表示します。

ステップ 3

debug wsma agent [ config | exec | filesys | notify ]

 

Router#debug wsma agent config

WSMA のデバッグをイネーブルにします。

ステップ 4

clear wsma counters [ config | exec | filesys | notify ] counters

 

Router#clear wsma agent filesys counters

すべての WSMA タイプの WSMA 統計情報カウンタをクリアします。

カウンタは、次の情報を返します。

messages received:サービス プロファイルから WSMA に渡されたメッセージの総数。

replies sent:サービス プロファイルに送信された返信メッセージの総数。

faults:受信メッセージによる返信の生成を妨げる障害の数。

notifications:サービス プロファイルに送信された通知メッセージの総数。

 
Router# show wsma agent counters
WSMA Exec Agent Statistics:
messages received 0, replies sent 0, faults 0
WSMA Config Agent Statistics:
messages received 4, replies sent 4, faults 0
WSMA Filesys Agent Statistics:
messages received 1, replies sent 1, faults 0
WSMA Notification Agent Statistics:
config silent
messages received 0, replies sent 0, notifications sent 0, faults 0
 
Router#show wsma agent config schema
 
New Name Space 'urn:cisco:wsma-config'
<VirtualRootTag> [0, 1] required
<WSMA-Config> [0, 1] required
<request> 1 required
<config-data> 1 required
<cli-config-data> [0, 1] required
<cmd> 1+ required
<cli-config-data-block> [0, 1] required
<xml-config-data> [0, 1] required
<Device-Configuration> [0, 1] required
<> any subtree is allowed

WSMA プロファイルのモニタリングとメンテナンス

イニシエータの WSMA プロファイルのモニタリングとメンテナンスを行うには、次の作業を実行します。

手順の概要

1. enable

2. show wsma profile { connections | counters | schema } [ name profile-name ]

3. debug wsma profile [ listener | initiator ]

4. clear wsma profile [ profile-name ] { connections | counters }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router>enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show wsma profile { connections | counters | schema } [ name profile-name ]

 

Router# show wsma profile connections

指定されたサービス プロファイルの接続、統計情報カウンタ、またはスキーマを表示します。

ステップ 3

debug wsma profile [ listener | initiator ]

 

Router# debug wsma profile listener

WSMA プロファイルのデバッグをイネーブルにします。

ステップ 4

clear wsma profile [ profile-name ] { connections | counters }

 

Router# clear wsma profile prof1 counters

WSMA プロファイル セッションまたは統計情報をクリアします。

DHCP Option 43 メッセージを受信するための WSMA のイネーブル化

着信 DHCP Option 43 メッセージを処理する権限を持つ WSMA をイネーブルにするには、次の作業を実行します。

前提条件

Cisco IOS サブシステム

次の Cisco IOS サブシステムがサポートされることを確認します。

DHCP クライアント

WSMA TLS サポート

ソフトウェア要件

SSH クライアント

HTTP(S)1.1 リスナー

HTTP(S)1.1 クライアント

SOAP

XML パーサー

外部デバイス

WSMA 用の WSMA リモート サーバ

Option 43 メッセージをサポートする DHCP サーバ

手順の概要

1. enable

2. configure terminal

3. wsma dhcp

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

wsma dhcp

 

Router# wsma dhcp

着信 DHCP Option 43 メッセージを処理する権限を持つ WSMA をイネーブルにします。

ステップ 4

exit

 

Router# exit

グローバル コンフィギュレーション モードを終了します。

WSMA ペイロードの配信

XML ペイロードは、通常、データ トランスポーテーション用に SOAP メッセージにラップされます。SOAP メッセージが正しく設計されていない場合は、ペイロードが一般的な XML スキーマに従っていても XML ペイロードが正常に交換されない可能性があります。XML ペイロードは、すべてのトランスポート上で同じです。WSMA は、SOAP1.1 と SOAP1.2 の両方をサポートしています。SOAP ヘッダーは、no wsse と wsse という 2 つのセキュリティ モードをサポートしています。

WSMA ペイロードを配信するには、次の XML を使用します。

WSMA 実行要求:ping

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<request xmlns="urn:cisco:wsma-exec" correlator="01">
<execCLI>
<cmd>ping oz-dirt</cmd>
</execCLI>
</request>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA 実行応答:ping

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<response xmlns="urn:cisco:wsma-exec" correlator="01" success="1">
<execLog>
<dialogueLog>
<sent>ping oz-dirt</sent>
<received>Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.3.1.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms</received>
</dialogueLog>
</execLog>
</response>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA 設定要求:CMD データ モデル

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<request xmlns="urn:cisco:wsma-config" correlator="4.1">
<configApply details="all">
<config-data>
<cli-config-data>
<cmd>no cns config partial mixy</cmd>
<cmd>no stupid</cmd>
<cmd>no cns exec 80 </cmd>
</cli-config-data>
</config-data>
</configApply>
</request>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA 設定応答:CMD データ モデル

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<response xmlns="urn:cisco:wsma-config" correlator="4.1" success="1">
<resultEntry lineNumber="1" cliString="no cns config partial mixy">
<success change="NO_CHANGE" mode="IMMEDIATE" />
</resultEntry>
<resultEntry lineNumber="2" cliString="no stupid">
<failure errorType="TEMPORARY" errorCode="PARSE_ERROR_NOMATCH" />
</resultEntry>
<resultEntry lineNumber="3" cliString="no cns exec 80 ">
<success change="NO_CHANGE" mode="IMMEDIATE" />
</resultEntry>
</response>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA 設定要求:ブロック データ モデル

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<request xmlns="urn:cisco:wsma-config" correlator="5.1">
<configApply details="all">
<config-data>
<cli-config-data-block>no cns config partial mixy
no stupid
no cns exec 80</cli-config-data-block>
</config-data>
</configApply>
</request>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA 設定応答:ブロック データ モデル

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<response xmlns="urn:cisco:wsma-config" correlator="5.1" success="1">
<resultEntry lineNumber="1" cliString="no cns config partial mixy">
<success change="NO_CHANGE" mode="IMMEDIATE" />
</resultEntry>
<resultEntry lineNumber="2" cliString="no stupid">
<failure errorType="TEMPORARY" errorCode="PARSE_ERROR_NOMATCH" />
</resultEntry>
<resultEntry lineNumber="3" cliString="no cns exec 80">
<success change="NO_CHANGE" mode="IMMEDIATE" />
</resultEntry>
</response>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA 設定要求:EDI データ モデル

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<request xmlns="urn:cisco:wsma-config" correlator="6.1">
<configApply details="all">
<config-data>
<xml-config-data>
<Device-Configuration><cns operation="delete" > <config><partial><HostNameAddressConfigurationServer>mixy</HostNameAddressConfigurationServer><PortNumberConfigServiceDefault80>80</PortNumberConfigServiceDefault80></partial></config></cns><stupid operation="delete" /><cns operation="delete" ><exec><P>80</P></exec></cns> </Device-Configuration>
</xml-config-data>
</config-data>
</configApply>
</request>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA 設定応答:EDI データ モデル

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<response xmlns="urn:cisco:wsma-config" correlator="6.1" success="1">
<resultEntry lineNumber="1" cliString="no cns config partial mixy 80">
<success change="NO_CHANGE" mode="IMMEDIATE" />
</resultEntry>
<resultEntry lineNumber="2" cliString="no stupid">
<failure errorType="TEMPORARY" errorCode="PARSE_ERROR_NOMATCH" />
</resultEntry>
<resultEntry lineNumber="3" cliString="no cns exec 80">
<success change="NO_CHANGE" mode="IMMEDIATE" />
</resultEntry>
</response>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA ファイル リスト要求

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<request xmlns="urn:cisco:wsma-filesystem" correlator="2"><fileList/></request>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA ファイル リスト応答

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<response xmlns="urn:cisco:wsma-filesystem" correlator="2" success="1">
<fileSystemList>
<fileSystem name="nvram" type="nvram" size="522232" freespace="516471" readable="true" writeable="true">
<directory name="/" fullName="nvram:/" readFlag="true" writeFlag="true">
<file name="startup-config" fullName="nvram:/startup-config" size="2134" readFlag="true" writeFlag="true"/>
<file name="private-config" fullName="nvram:/private-config" size="1527" readFlag="false" writeFlag="false"/>
<file name="underlying-config" fullName="nvram:/underlying-config" size="2134" readFlag="true" writeFlag="true"/>
<file name="persistent-data" fullName="nvram:/persistent-data" size="99" readFlag="false" writeFlag="false"/>
<file name="ifIndex-table" fullName="nvram:/ifIndex-table" size="0" readFlag="true" writeFlag="true"/>
</directory>
</fileSystem>
<fileSystem name="disk2" type="disk" size="64229376" freespace="63987712" readable="true" writeable="true">
<directory name="/" fullName="disk2:/" readFlag="true" writeFlag="true" modDate="1979-11-30T00:00:00.000Z">
<file name="spec.odm" fullName="disk2:/spec.odm" size="131739" readFlag="true" writeFlag="true" modDate="2007-08-31T05:11:36.000Z"/>
</directory>
</fileSystem>
<fileSystem name="bootflash" type="flash" size="14942208" freespace="8455208" readable="true" writeable="true">
<directory name="/" fullName="bootflash:/" readFlag="true" writeFlag="true">
<file name="c7200-kboot-mz.bw" fullName="bootflash:/c7200-kboot-mz.bw" size="5131872" readFlag="true" writeFlag="true" modDate="1999-11-30T00:01:47.000Z"/>
<file name="startup-config.base" fullName="bootflash:/startup-config.base" size="1808" readFlag="true" writeFlag="true" modDate="1999-11-30T00:23:26.000Z"/>
<file name="startup-config.12dec03.balam" fullName="bootflash:/startup-config.12dec03.balam" size="1598" readFlag="true" writeFlag="true" modDate="2000-01-05T22:54:50.000Z"/>
</directory>
</fileSystem>
</fileSystemList>
</response>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA ファイル コピー要求

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<request xmlns="urn:cisco:wsma-filesystem" correlator="12">
<fileCopy erase="0" overwrite="1" filesize="131739">
<srcURL>tftp://oz-dirt/jbalestr/spec.odm</srcURL>
<dstURL>test</dstURL>
</fileCopy>
</request>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA ファイル コピー応答

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<response xmlns="urn:cisco:wsma-filesystem" correlator="12" success="1">
<copyStatus></copyStatus>
</response>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA ファイル削除要求

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<request xmlns="urn:cisco:wsma-filesystem" correlator="6">
<fileDelete>
<deleteFileList>
<filename>brick</filename>
</deleteFileList>
</fileDelete>
</request>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA ファイル削除応答

<?xml version="1.0" encoding="UTF-8"?>
<SOAP:Envelope xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP:Body>
<response xmlns="urn:cisco:wsma-filesystem" correlator="6" success="1">
<deleteStatusList>
<deleteStatus>
<fileName>brick</fileName>
<status>DELETED</status>
</deleteStatus>
</deleteStatusList>
</response>
</SOAP:Body>
</SOAP:Envelope>]]>]]>

WSMA の設定例

ここでは、次の設定例について説明します。

「ホスト名とドメイン名を使用した SSHv2 のイネーブル化:例」

「RSA 鍵を使用した SSHv2 のイネーブル化:例」

「WSMA サービスの設定:例」

「WSMA イニシエータ プロファイルの設定:例」

「さまざまなパラメータによる WSMA リスナー プロファイルの設定:例」

「WSMA プロファイル パラメータの表示:例」

ホスト名とドメイン名を使用した SSHv2 のイネーブル化:例

次に、ホスト名とドメイン名を使用して SSHv2 を設定する例を示します。

configure terminal

hostname host1

ip domain-name domain1.com

crypto key generate rsa

ip ssh timeout 120

ip ssh version 2

RSA 鍵を使用した SSHv2 のイネーブル化:例

次に、RSA 鍵を使用して SSHv2 を設定する例を示します。

configure terminal

ip ssh rsa keypair-name sshkeys

crypto key generate rsa usage-keys label sshkeys modulus 768
ip ssh timeout 120
ip ssh version 2

WSMA サービスの設定:例

次に、WSMA を設定する例を示します。

configure terminal
wsma agent config profile prof

WSMA イニシエータ プロファイルの設定:例

次に、WSMA イニシエータ プロファイルを設定する例を示します。

configure terminal
wsma profile initiator ssh-test
transport ssh sshserver path /mypath/bin/mywsma-app.sh user1 6 encrypted-password

さまざまなパラメータによる WSMA リスナー プロファイルの設定:例

次に、WSMA over SSHv2 を設定する例を示します。

configure terminal
wsma profile listener mySession
transport ssh subsys wsma
acl 34
encap soap12
exit

WSMA プロファイル パラメータの表示:例

次に、WSMA プロファイル接続に関する情報を表示する例を示します。

Router# show wsma profile connections
Listener Profile http: 0 open connections: 0 closing connections
Encap: soap11
WSSE header is required
Max message (RX) is 50 Kbytes
SOAP Faults are sent
Idle timeout infinite
Keepalive not configured
Listening via http
Listening to path /wsma. Max Idle 0 ms. Accepting post on plaintext connections.
Established at 01:11:04.207 UTC Tue Jan 12 2010
Tx 493475 bytes (90 msg), Tx 0 errors,
Last message sent at 05:18:08.539 UTC Sat Feb 20 2010
Rx 59457 bytes (90 msg), 0 empty msg
Last message received at 05:18:08.295 UTC Sat Feb 20 2010
Listener Profile ssh: 2 open connections: 0 closing connections
Encap: soap11
WSSE header is required
Max message (RX) is 50 Kbytes
SOAP Faults are sent
Idle timeout infinite
Keepalive not configured
Listening via ssh
SSH listener, 10 sessions accepted, 0 sessions rejected
Connected sessions...
 
Remote connection via SSH by user(cisco) from 172.16.29.134:44457, state connect
Established at 01:14:03.184 UTC Thu Mar 11 2010
Tx 1183 bytes (2 msg), Tx 0 errors,
Last message sent at 01:14:48.565 UTC Thu Mar 11 2010
Rx 10 bytes (1 msg), 0 empty msg
Last message received at 01:14:48.565 UTC Thu Mar 11 2010
 
Remote connection via SSH by user(cisco) from 172.16.154.90:45404, state connect
Established at 01:14:28.041 UTC Thu Mar 11 2010
Tx 1183 bytes (2 msg), Tx 0 errors,
Last message sent at 01:14:54.437 UTC Thu Mar 11 2010
Rx 7 bytes (1 msg), 1 empty msg
Last message received at 01:14:54.437 UTC Thu Mar 11 2010
 
Initiator Profile ssh-init: 0 open connections: 0 closing connections
Encap: soap11
WSSE header is required
Max message (RX) is 50 Kbytes
SOAP Faults are sent
Idle timeout infinite
Keepalive not configured
Reconnect time 60 seconds
No transport configured
 

次に、WSMA プロファイル カウンタに関する情報を表示する例を示します。

Router# show wsma profile counters
Statistics for profile http
incoming total 90, bad XML 0, authentication errors 0, oversized 0
outgoing total 90, absorbed 0
message internal errors 0
Connection Accepts 90, local hangup 0, remote hangup 90, keepalive hangup 0
session internal errors 0
Statistics for profile ssh
incoming total 9, bad XML 2, authentication errors 0, oversized 0
outgoing total 20, absorbed 0
message internal errors 0
Connection Accepts 8, local hangup 0, remote hangup 8, keepalive hangup 0
session internal errors 0
 

次に、WSMA プロファイル スキーマに関する情報を表示する例を示します。

Router# show wsma profile schema
 
Schema http
New Name Space ''
<VirtualRootTag> [0, 1] required
New Name Space 'http://schemas.xmlsoap.org/soap/envelope/'
<Envelope> 1+ required
<Header> any subtree is allowed
<Body> 1 required
<Fault> [0, 1] required
<faultcode> 1 required
<faultstring> 1 required
<faultactor> [0, 1] required
<detail> any subtree is allowed
New Name Space 'urn:cisco:exec'
<request> [0, 1] required
<execCLI> 1+ required
<cmd> 1 required
<dialogue> 0+ required
<expect> 1 required
<reply> 1 required
New Name Space 'urn:cisco:wsma-config'
<request> [0, 1] required
<config-data> 1 required
<cli-config-data> [0, 1] required
<cmd> 1+ required
<cli-config-data-block> [0, 1] required
<xml-config-data> [0, 1] required
<Device-Configuration> [0, 1] required
<> any subtree is allowed
New Name Space 'urn:cisco:wsma-filesystem'
<request> [0, 1] required
<fileList> [0, 1] required
<fileDelete> [0, 1] required
<deleteFileList> 1 required
<filename> 1+ required
<fileCopy> [0, 1] required
<srcURL> 1 required
<dstURL> 1 required
<validationInfo> [0, 1] required
<md5CheckSum> 1 required
<deleteFileList> [0, 1] required
<filename> 1+ required
New Name Space 'urn:cisco:wsma-notify'
<request> [0, 1] required
 
Schema example1
New Name Space ''
<VirtualRootTag> [0, 1] required
New Name Space 'http://schemas.xmlsoap.org/soap/envelope/'
<Envelope> 1+ required
<Header> any subtree is allowed
<Body> 1 required
<Fault> [0, 1] required
<faultcode> 1 required
<faultstring> 1 required
<faultactor> [0, 1] required
<detail> any subtree is allowed

その他の参考資料

ここでは、WSMA に関する関連資料について説明します。

関連資料

関連トピック
参照先

IP アクセス リスト

Cisco IOS Security Configuration Guide: Securing the Data Plane 』の「 IP Access List Roadmap 」および「 IP Access List Overview

IP アクセス リスト コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上の注意事項、および例

『Cisco IOS Security Command Reference』

公開鍵インフラストラクチャ

Cisco IOS Secure Configuration Guide:Secure Connectivity 』の「 Public Key Infrastructure (PKI)

Secure Shell および Secure Shell バージョン 2

Cisco IOS Security Configuration Guide: Securing User Services 」の「 Configuring Secure Shell 」および「 Secure Shell Version 2 Support

セキュリティ コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用上の注意事項、および例

『Cisco IOS Security Command Reference』

ネットワーク管理コマンド(EEM コマンドを含む):コマンド構文の詳細、デフォルト設定、コマンド モード、コマンド履歴、使用上のガイドライン、および例

『Cisco IOS Network Management Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS Release、およびフィーチャ セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2132

『DHCP Options and BOOTP Vendor Extensions』

RFC 2246

『The TLS Protocol Version 1.0』

RFC 4251

『The Secure Shell (SSH) Protocol Architecture』

RFC 4252

『The Secure Shell (SSH) Authentication Protocol』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

WSMA の機能情報

表 5 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco IOS ソフトウェア イメージは、Cisco IOS ソフトウェア リリース、フィーチャ セット、プラットフォームそれぞれに固有です。Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 5 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 5 WSMA の機能情報

機能名
リリース
機能情報

Web Services Management Agent

12.4(24)T

15.1(1)T

WSMA 機能を使用すると、暗号化されたトランスポート上で Cisco コマンドライン インターフェイス(CLI)によるネットワーク設定を実行できます。

WSMA プロトコルは、ネットワーク デバイスの管理、設定データ情報の取得、および新しい設定データのアップロードと操作の簡単なメカニズムを定義します。WSMA では、設定データとプロトコル メッセージに対して Extensible Markup Language(XML)ベースのデータ符号化を使用します。

Cisco IOS 15.1(1)T リリースでは、この機能は、リスナー プロファイルとイニシエータ プロファイルの両方をサポートするように変更されています。

この機能に関する詳細については、次の項を参照してください。

「WSMA の設定に関する情報」

「WSMA の設定方法」

この機能により、 acl clear wsma agent clear wsma profile debug wsma agent debug wsma profile encap、idle-timeout max-message show wsma agent show wsma id show wsma profile stealth transport wsma agent wsma id wsma profile の各コマンドが導入されました。

TLS を備えた Web Services Management Agent

15.1(1)T

この機能を使用すると、WSMA イニシエータ プロファイルおよびリスナー プロファイルに対して TLS 暗号化プロトコルのサポートをイネーブルにできます。

この機能に関する詳細については、次の項を参照してください。

「WSMA over TLS」

「TLS クライアント上での WSMA イニシエータ モードの証明書検証のイネーブル化」

「TLS サーバ上での WSMA リスナー モードの証明書の設定」

この機能により、 backup excluded backup hold debug wsma profile encap idle-timeout keepalive max-message reconnect stealth transport wsma profile initiator wsma profile listener wsse の各コマンドが導入または変更されました。

DHCP ゼロタッチ

15.1(1)T

DHCP Option 43 を使用すると、初期展開時に DHCP サーバからデバイスのアトリビュートを設定できます。DCHP Option 43 により、WSMA ベースの展開において、完全にハンズフリーなゼロタッチ展開を実現できます。

この機能に関する詳細については、次の項を参照してください。

「WSMA の設定に関する情報」

「ゼロタッチ展開」

「WSMA ペイロードの配信」

この機能により、 wsma dhcp のコマンドが導入されました。

用語集

SSHv2 :Secure Shell バージョン 2。SSH は、信頼性の高いトランスポート レイヤの上部で実行され、強力な認証機能と暗号化機能を提供します。SSHv2 は、ネットワーク上の他のコンピュータにセキュアにアクセスし、セキュアにコマンドを実行するための手段を提供します。

WSMA :Web Services Management Agent。ネットワーク デバイスの管理、設定データ情報の取得、および新しい設定データのアップロードと操作の簡単なメカニズムを定義するプロトコル。

XML :eXtensible Markup Language。World Wide Web Consortium(W3C)によって管理されている、情報構造を指定するマークアップ言語を作成するための構文を定義する標準。情報構造は、情報の外観(太字、イタリック体など)ではなく、情報のタイプ(加入者名やアドレスなど)を定義します。外部のプロセスは、これらの情報を操作して、さまざまな形式で公開できます。XML では、独自にカスタマイズしたマークアップ言語を定義できます。

Copyright © 2009-2010. シスコシステムズ合同会社.