Cisco Fabric Manager セキュリティ コンフィギュ レーション ガイド
ファブリック バインディングの設定
ファブリック バインディングの設定
発行日;2012/01/31 | 英語版ドキュメント(2009/10/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

ファブリック バインディングの設定

ファブリック バインディングの概要

ライセンスの要件

ポート セキュリティとファブリック バインディングの比較

ファブリック バインディングの実行

ファブリック バインディングの設定

ファブリック バインディングのイネーブル化

スイッチ WWN リストの設定

ファブリック バインディングのアクティブ化

ファブリック バインディング設定の保存

デフォルト設定値

ファブリック バインディングの設定

この章では、Cisco MDS 9000 ファミリのディレクタおよびスイッチに組み込まれているファブリック バインディング機能について説明します。この章の内容は、次のとおりです。

「ファブリック バインディングの概要」

「ファブリック バインディングの設定」

「デフォルト設定値」

ファブリック バインディングの概要

ファブリック バインディング機能では、ファブリック バインディング設定で指定したスイッチ間だけで Inter-Switch Link(ISL; スイッチ間リンク)をイネーブルにできます。ファブリック バインディングは Virtual Storage Area Network(VSAN; 仮想ストレージ エリア ネットワーク)単位で設定します。

この機能を使用すると、不正なスイッチがファブリックに参加したり、現在のファブリック処理が中断されたりすることがなくなります。Exchange Fabric Membership Data(EFMD)プロトコルにより、ファブリック内の全スイッチで、許可されたスイッチのリストが同一になります。

ここで説明する内容は、次のとおりです。

「ライセンスの要件」

「ポート セキュリティとファブリック バインディングの比較」

「ファブリック バインディングの実行」

ライセンスの要件

ファブリック バインディングを使用するには、スイッチ上に MAINFRAME_PKG ライセンスまたは ENTERPRISE_PKG ライセンスのどちらかをインストールする必要があります。

ライセンス機能のサポートとインストールの詳細については、『Cisco MDS 9000 Family NX-OS Licensing Guide』を参照してください。

ポート セキュリティファブリック バインディングの比較

ポート セキュリティとファブリック バインディングは、相互に補完するように設定できる 2 つの独立した機能です。 表 10-1 に、2 つの機能の比較を示します。

 

表 10-1 ファブリック バインディングとポート セキュリティの比較

ファブリック バインディング
ポート セキュリティ

一連の Switch World Wide Name(sWWN; スイッチ WWN)および永続的ドメイン ID を使用します。

Port WWN(pWWN)/Node WWN(nWWN)または Fabric WWN(fWWN)/sWWN を使用します。

スイッチ レベルでファブリックをバインドします。

インターフェイス レベルでデバイスをバインドします。

ファブリック バインディング データベースに格納された設定済み sWWN にだけ、ファブリックへの参加を許可します。

設定済みの一連のファイバ チャネル デバイスを SAN ポートに論理的に接続できます。WWN またはインターフェイス番号で識別されるスイッチ ポートは、同様に WWN で識別されるファイバ チャネル デバイス(ホストまたは別のスイッチ)に接続されます。これらの 2 つのデバイスをバインドすると、これらの 2 つのポートがグループ(またはリスト)にロックされます。

VSAN 単位でアクティブ化する必要があります。

VSAN 単位でアクティブ化する必要があります。

ピア スイッチが接続されている物理ポートに関係なく、ファブリックに接続可能な特定のユーザ定義スイッチを許可します。

別のデバイスを接続できる特定のユーザ定義の物理ポートを許可します。

ログインしているスイッチについては学習しません。

学習モードがイネーブルの場合、ログインしているスイッチまたはデバイスについて学習します。

Cisco Fabric Services(CFS)によって配信できず、ファブリック内の各スイッチで手動で設定する必要があります。

CFS によって配信できます。

xE ポートのポート レベル チェックは、次のように実行されます。

スイッチのログインは、特定の VSAN に対して、ポート セキュリティ バインディングとファブリック バインディングの両方を使用します。

バインディング チェックは、ポート VSAN 上で次のように実行されます。

ポート VSAN 上での E ポート セキュリティ バインディング チェック

許可された各 VSAN での TE ポート セキュリティ バインディング チェック

ポート セキュリティはファブリック バインディングを補完する関係にありますが、これらの機能は互いに独立していて、個別にイネーブルまたはディセーブルにできます。

ファブリック バインディングの実行

ファブリック バインディングを実行するには、スイッチ WWN(sWWN)を設定して、各スイッチに xE ポート接続を指定します。ファブリック バインディング ポリシーは、ポートがアクティブになるたびに、およびポートを起動しようとした場合に実行されます。Fibre Connection(FICON)VSAN でファブリック バインディング機能を実行するには、すべての sWWN をスイッチに接続し、永続的ドメイン ID をファブリック バインディング アクティブ データベースに格納する必要があります。ファイバ チャネル VSAN では、sWWN だけが必要で、ドメイン ID はオプションです。


) ファブリック バインディングを使用するファイバ チャネル VSAN の全スイッチで、Cisco MDS SAN-OS Release 3.0(1) および NX-OS Release 4.1(1b) 以降を実行している必要があります。


ファブリック バインディングの設定

ファブリック内の各スイッチにファブリック バインディングを設定する手順は、次のとおりです。


ステップ 1 ファブリック設定機能をイネーブルにします。

ステップ 2 ファブリックにアクセス可能なデバイスに、sWWN のリスト、および対応するドメイン ID を設定します。

ステップ 3 ファブリック バインディング データベースをアクティブにします。

ステップ 4 ファブリック バインディング アクティブ データベースを、ファブリック バインディング コンフィギュレーション データベースにコピーします。

ステップ 5 ファブリック バインディング設定を保存します。

ステップ 6 ファブリック バインディング設定を確認します。


 

ファブリック バインディングのイネーブル化

ファブリック バインディングに参加させるファブリック内の各スイッチで、ファブリック バインディング機能をイネーブルにする必要があります。デフォルトでは、この機能は Cisco MDS 9000 ファミリのすべてのスイッチでディセーブルになっています。ファブリック バインディング機能の設定および確認コマンドを使用できるのは、スイッチ上でファブリック バインディングがイネーブルに設定されている場合だけです。この設定をディセーブルにすると、関連するすべてのコンフィギュレーションが自動的に廃棄されます。

スイッチ WWN リストの設定

ユーザ指定のファブリック バインディング リストには、ファブリック内のスイッチ WWN(sWWN)のリストが含まれています。sWWN がファブリックへの参加を試みたとき、その sWWN がリストに含まれていない場合、またはその sWWN が許可リストで指定されたドメイン ID と異なるドメイン ID を使用していた場合には、その VSAN 内でスイッチとファブリック間の ISL が自動的に隔離され、スイッチのファブリックへの参加は拒否されます。

sWWN とともに永続的ドメイン ID を指定できます。FICON VSAN では、ドメイン ID 許可が必要です。FICON VSAN では、ドメインがスタティックに設定されているので、エンド デバイスにより、ファブリック内のすべてのスイッチでドメイン ID の変更が拒否されます。ファイバ チャネル VSAN の場合には、ドメイン ID 許可は不要です。

ファブリック バインディングのアクティブ化

ファブリック バインディング機能では、コンフィギュレーション データベース(config-database)およびアクティブ データベースが保持されます。コンフィギュレーション データベースは、実行された設定を収集する読み書きデータベースです。これらの設定を実行するには、データベースをアクティブにする必要があります。データベースがアクティブになると、アクティブ データベースにコンフィギュレーション データベースの内容が上書きされます。アクティブ データベースは、ログインを試みる各スイッチをチェックする読み取り専用データベースです。

デフォルトでは、ファブリック バインディング機能は非アクティブです。設定したデータベース内の既存のエントリがファブリックの現在の状態と矛盾していると、スイッチ上のファブリック バインディング データベースをアクティブにできません。たとえば、ログイン済みのスイッチの 1 つが、コンフィギュレーション データベースによってログインを拒否されている場合などです。これらの状態は、強制的に上書きすることができます。


) データベースをアクティブにすると、現在のアクティブ データベースに違反するログイン済みのスイッチはログアウトされ、ファブリック バインディング制限によって以前にログインを拒否されたすべてのスイッチが、再初期化されます。


ファブリック バインディング設定の保存

ファブリック バインディング設定を保存すると、コンフィギュレーション データベースが実行コンフィギュレーションに保存されます。


注意 FICON がイネーブルである VSAN では、ファブリック バインディングをディセーブルにすることはできません。

デフォルト設定値

表 10-2 に、ファブリック バインディング機能のデフォルト設定を示します。

 

表 10-2 ファブリック バインディングのデフォルト設定

パラメータ
デフォルト

ファブリック バインディング

ディセーブル