Cisco VPN Solutions Center: MPLS Solution プロビジョニング ガイド
VPN Solutions Center MPLS 環境で のデバイス設定
VPN Solutions Center MPLS 環境でのデバイス設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

VPN Solutions Center MPLS 環境でのデバイス設定

VPNSC ソフトウェアを使用する前に完了しておく作業

VPN Solutions Center MPLS 環境でのデバイス設定

エッジ ルータでの Secure Shell(SSH)の設定

サービス プロバイダー ネットワークのルータ上での SNMPv1 と SNMPv2 の設定

サービス プロバイダー ネットワークのルータ上での SNMPv3 パラメータの設定

SLA ジッタ プローブ用にエッジ ルータ上の SA エージェントをイネーブルにする

VPN Solutions Center での各種要素の設定

VPN Solutions Center で TFTP をイネーブルにする

複数の TGS サーバを TFTP ホストとして使用する場合

ローカル Solaris ホストを TFTP サーバとして設定する

リモート Telnet Gateway Server への接続設定

セットアップ プロセスを開始する前に

リモート TGS ホストへの接続用に VPNSC ワークステーションを設定する

TIBCO イベント接続をリモート TGS ホストでイネーブルにする

TGS ホストに TFTP サーバ アドレスを指定する

VPN Solutions Center と Cisco IE2100 の使用

プロパティの修正

VPNSC マシンでの rvrd デーモンの設定

Cisco IE2100 デバイスでの rvrd デーモンの設定

Cisco IE2100 デバイスの追加設定手順

フレーム リレーの LMI 形式の修正

LMI 形式の混合セットを適用する

端末サーバ ポート用の Telnet セッションをイネーブルにする

VPNSC でサポートされている時間帯

VPN Solutions Center MPLS 環境でのデバイス設定

Cisco VPN Solutions Center: MPLS Solution は、MPLS VPN のプロビジョニングおよび監査ツールです。このソフトウェアは、PE、CE、および両ルータ間のリンクに重点を置いています。VPN Solutions Center ソフトウェアは、Telnet Gateway Server(TGS)ソフトウェアを使用して、コンフィギュレーション ファイル情報をターゲット ルータとの間で送受信します。追加機能には、Class of Service(CoS)のプロビジョニング、VPN 対応の NetFlow トラフィック プロファイリング、および SLA のモニタリングが含まれています。

Cisco VPN Solutions Center(VPNSC)では、CORBA API を使用した、プロビジョニング、トラフィックのプロファイリング、および SLA のモニタリング機能への外部アクセスも可能です。

MPLS ネットワークでは、CE は、カスタマーのトラフィックがカプセル化されて、ユーザが意識することなく他の CE に転送される方法、つまり VPN を構築する方法で、PE に接続されます。MPLS の VPN Solutions Center のプロビジョニング エンジンは、CE と PE の両方のコンフィギュレーション ファイルにアクセスし、PE-CE リンク上でサービスをサポートするために必要なコンフィギュレーション ファイルの変更を計算します。

図 2-1 サービス プロバイダー ネットワークでの VPN Solutions Center: MPLS Solution

 

図 2-1 に示すように、VPN Solutions Center ソフトウェアは、専用のシステムにインストールすることをお勧めします。VPN Solutions Center ワークステーションは、LAN 上の 1 つまたはそれ以上の Telnet Gateway Server に接続されます。

VPNSC ソフトウェアを使用する前に完了しておく作業

VPN Solutions Center: MPLS Solution ソフトウェアを使用して MPLS ネットワークのプロビジョニングを行う前に、サービス プロバイダーは次の作業を完了する必要があります。

1. プロビジョニングを行う前に、MPLS VPN ネットワーク内のすべてのルータ間で、IPv4 接続を可能にする。

2. サービス プロバイダーまたはカスタマーは、各ルータにループバック インターフェイスを作成する。

3. 各ルータに、ルーティング可能な IP アドレスを持たせる。

4. オプションとして、CE ルータに Secure Shell(SSH)をセットアップできます(詳細については、次の項を参照してください)。

5. ネットワーク内のすべてのエッジ ルータに SNMP をセットアップします。詳細については、「サービス プロバイダー ネットワークのルータ上での SNMPv1 と SNMPv2 の設定」および「サービス プロバイダー ネットワークのルータ上での SNMPv3 パラメータの設定」を参照してください。

6. SLA データを収集するすべてのエッジ デバイス上の SA エージェントをイネーブルにする。詳細については、「SLA ジッタ プローブ用にエッジ ルータ上の SA エージェントをイネーブルにする」を参照してください。

7. デフォルトのコンフィギュレーション転送方式として Trivial File Transfer Protocol(TFTP; トリビアル ファイル転送プロトコル)を使用する場合には、VPN Solutions Center ワークステーションの TFTP をイネーブルにする。詳細については、「VPN Solutions Center で TFTP をイネーブルにする」を参照してください。

8. リモート ネットワークに Telnet Gateway Server をインストールして使用している場合は、「リモート Telnet Gateway Server への接続設定」に記載されている手順を実行する。

9. 端末サーバを使用して、ネットワーク内のルータにアクセスする場合は、少なくとも端末サーバ ポートの数と同数の Telnet セッションを端末サーバ上でイネーブルにする。詳細については、「端末サーバ ポート用の Telnet セッションをイネーブルにする」を参照してください。


注意 VPN Solutions Center ワークステーションのログイン シェル ファイル(.login ファイル、.cshrc ファイル、または.kshrc ファイル)にファイル記述子制限が設定されていないことを確認してください。ログイン シェル ファイルに ulimit -n コマンド(たとえば、「ulimit -n <number>」)を含むラインがある場合は、このコマンド ラインをコメント アウトしてください。

VPN Solutions Center は、ログイン シェル ファイル内に設定されているファイル記述子制限を無効にできません。この値を誤って設定した場合、VPN Solutions Center の動作に問題が発生します。

VPN Solutions Center MPLS 環境でのデバイス設定

ここでは、サービス プロバイダーが VPN Solutions Center MPLS 環境でのデバイス設定に必要な作業について説明します。

エッジ ルータでの Secure Shell(SSH)の設定

サービス プロバイダーには、安全な方法で VPN コンフィギュレーション ファイルをリモート エッジ ルータに展開するメカニズムが必要です。安全な管理の基本要件は次のとおりです。

エッジ デバイス ルータと VPN Solutions Center の相互認証が可能であること。

ルータのコンフィギュレーション情報のアップロードとダウンロードに使用する暗号化チャネルが配備されていること。

VPN Solutions Center 2.1 は、コンフィギュレーション ファイルをダウンロードするメカニズムとして TGS を使用します。TGS が実行するモードの 1 つに「Secure Shell(SSH)モード」があります。Telnet Gateway Server は、SSH を認証と暗号化の両方に使用します。この方式では、エッジ デバイス ルータが SSH サーバとして動作し、VPN Solutions Center が SSH クライアントとして動作します。


) この設定手順では、ルータの認証データベースが、Terminal Access Controller Access Control System(TACACS)サーバではなく、ルータ上にローカルに格納されていると仮定します。


エッジ デバイス ルータで SSH を設定するには、次の手順を実行します。

 

 
コマンド
説明

ステップ 1

Router# configure terminal

グローバル設定モードに入ります。

ステップ 2

Router(config)# ip domain-name domain_name

IP ドメイン名を指定します。

ステップ 3

Router(config)# crypto key generate rsa

SSH セッション用のキーを生成します。

crypto key generate rsa コマンドは対話型です。次のメッセージが表示されます。

Choose the size of the key modulus in the range of 360 to 2048 for your general purpose keys.

How many bits in the modulus (nnn):

ステップ 4

 

Enter キーを押して、デフォルトのビット数をそのまま使用します。

ステップ 5

Router(config)# username username password password

ユーザ ID とパスワードを設定します。VPNSC ワークステーションへのログインに使用したユーザ名とパスワードを入力します。たとえば、 username admin password vpnsc と入力します。

ステップ 6

Router(config)# line vty 0 4

vty ログイン トランスポートの一部として SSH をイネーブルにします。

ステップ 7

Router(config-line)# login local

login コマンドは、その値として local または tacacs のいずれかを取ります。このコマンドは、ルータが認証情報をローカルに格納するように指示します。

ステップ 8

Router(config-line)# transport input telnet ssh

 

ステップ 9

Router(config-line)# Ctrl+Z

Privileged Exec モードに戻ります。

ステップ 10

Router# copy running startup

NVRAM のコンフィギュレーションに対する変更を保存します。

サービス プロバイダー ネットワークのルータ上での SNMPv1 と SNMPv2 の設定

Simple Network Management Protocol (SNMP; 簡易ネットワーク管理プロトコル)は、サービス プロバイダー ネットワークの各ルータと各エッジ デバイスに設定する必要があります。SNMP がイネーブルであるかどうかを判別して SNMP コミュニティ ストリングをルータに設定するには、各ルータで次の手順を実行します。

 

 
コマンド
説明

ステップ 1

> telnet router_name

設定するルータに Telnet 接続します。

ステップ 2

Router> enable

Router> enable_password

イネーブル モードに入り、有効なパスワードを入力します。

ステップ 3

Router# show snmp

show snmp コマンドの出力を調べて、「 SNMP agent not enabled 」というステートメントが表示されるかどうかを確認します。SNMP がイネーブルになっていない場合は、次の手順を実行します。

ステップ 4

Router# configure terminal

グローバル設定モードに入ります。

ステップ 5

Router(config)# snmp-server community userstring RO

コミュニティの読み取り専用ストリングを設定します。

ステップ 6

Router(config)# snmp-server community userstring RW

コミュニティの読み取りと書き込みストリングを設定します。

ステップ 7

Router(config)# Ctrl+Z

Privileged Exec モードに戻ります。

ステップ 8

Router# copy running startup

NVRAM のコンフィギュレーションに対する変更を保存します。


ヒント VPN Solutions Center で各ターゲット デバイス用に定義した SNMP ストリングは、サービス プロバイダー ネットワークで対応する各エッジ デバイス用に設定したストリングと一致している必要があります。VPN Solutions Center ソフトウェアの SNMP パラメータの設定手順については、「PE に対するデフォルトの SNMPv3 アトリビュートの指定」および「CE の SNMPv3 アトリビュートの指定」を参照してください。


サービス プロバイダー ネットワークのルータ上での SNMPv3 パラメータの設定

SNMPv3 は、ネットワーク管理向けの相互運用可能な標準ベースのプロトコルです。SNMPv3 は、ネットワーク上のパケットの認証および暗号化を組み合せることで、デバイスへの安全なアクセスを提供します。

ここでは、SNMPv3 パラメータをサービス プロバイダー ネットワークのルータ上で設定する方法について説明します。SNMPv3 パラメータに関する作業を完了するには、選択したパラメータ セットの VPN Solutions Center ソフトウェアへの設定も必要です。ルータで設定する SNMPv3 パラメータは、VPN Solutions Center ソフトウェアで指定する SNMPv3 パラメータと一致する必要があります(詳細については、「PE に対するデフォルトの SNMPv3 アトリビュートの指定」および「CE の SNMPv3 アトリビュートの指定」を参照してください)。

SNMPv3 に用意されているセキュリティ機能は、次のとおりです。

メッセージの整合性:パケットが中継時に改ざんされていないことを保証します。

認証:メッセージが有効な発信元からのものであると判別します。

暗号化:パケットの内容をスクランブルして、権限のない発信元から見られることを防ぎます。

SNMPv3 を使用すると、データの改ざんや破損を心配せずに、SNMP デバイスから安全にデータを収集できます。さらに、 SNMP Set コマンドを使用すると、ルータの設定を変更するパケットが暗号化され、内容がネットワークに流出することを防止できます。

SNMPv3 は、セキュリティ モデルとセキュリティ レベルの両方を備えています。「 セキュリティ モデル」 は、ユーザ、およびユーザが常駐するグループ用に設定される認証方法です。「セキュリティ レベル」は、セキュリティ モデル内で許可されているセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合せは、SNMP パケットを処理するときに使用されるセキュリティ メカニズムを決定します。

SNMPv1、SNMPv2c、および SNMPv3 の 3 つの使用できるセキュリティ モデルを使用できます。セキュリティ モデルとセキュリティ レベルの組み合せを 表 2-1 に示します。

 

表 2-1 SNMP のセキュリティ モデルおよびセキュリティ レベル

モデル
レベル
認証
暗号化
処理内容

v1

noAuthNoPriv

コミュニティ ストリング

なし

認証にコミュニティ ストリング照合を使用します。

v2c

noAuthNoPriv

コミュニティ ストリング

なし

認証にコミュニティ ストリング照合を使用します。

v3

noAuthNoPriv

ユーザ名

なし

認証にユーザ名照合を使用します。

v3

authNoPriv

MD5 または SHA

なし

HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいた認証を行います。

v3

authPriv

MD5 または SHA

DES

HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいた認証を行います。CBC-DES(DES-56)標準に基づいた認証に加えて、DES 56 ビットの暗号化も行います。

SNMPv3 オブジェクトには次の特性があります。

各ユーザは 1 つのグループに所属する。

グループは、1 組のユーザに対するアクセス ポリシーを定義する。

アクセス ポリシーには、SNMP オブジェクトが、読み取り、書き込み、および作成の目的でアクセスする。

グループは、所属するユーザが受信できる通知リストを決定する。

グループは、所属するユーザのセキュリティ モデルおよびセキュリティ レベルも定義する。

SNMP の既存の設定をチェックするには、次のコマンドを使用します。

show snmp group

show snmp user

ルータで SNMPv3 の server group パラメータおよび server users パラメータを設定するには、次の手順を実行します。

 

 
コマンド
説明

ステップ 1

> telnet router_name

設定するルータに Telnet 接続します。

ステップ 2

Router> enable

Router> enable_password

イネーブル モードに入り、有効なパスワードを入力します。

ステップ 3

Router# configure terminal

グローバル設定モードに入ります。

ステップ 4

Router(config)# snmp-server group [ groupname { v1 | v2c | v3 { auth | noauth | priv }}] [ read readview ] [ write writeview ] [ notify notifyview ] [ access access-list ]

snmp-server group コマンドは、新しい SNMP グループ、または SNMP ユーザを SNMP ビューにマッピングするテーブルを設定します。各グループは、特定のセキュリティ レベルに所属します。

例: snmp-server group v3auth v3 auth read v1default write v1default

ステップ 5

Router(config)# snmp-server user username [ groupname remote ip-address [ udp-port port ] { v1 | v2c | v3 [ encrypted ] [ auth { md5 | sha } auth-password [ priv des56 priv-password ]] [ access access-list ]

snmp-server user コマンドは、新しいユーザを SNMP グループに設定します。

例: snmp-server user user1 v3auth v3 auth md5 user1Pass

ステップ 6

Router(config)# Ctrl+Z

Privileged Exec モードに戻ります。

ステップ 7

Router# copy running startup

NVRAM のコンフィギュレーションに対する変更を保存します。

SLA ジッタ プローブ用にエッジ ルータ上の SA エージェントをイネーブルにする

(音声)ジッタ プロトコルを使用して、SLA データをネットワーク内のエッジ デバイスから収集する場合は、データを収集する各デバイスで SA エージェントをイネーブルにする必要があります。

この手順は、前述の通り、エッジ デバイス ルータで SNMP がすでにイネーブルになっており、SNMP パラメータが設定されていることを前提としています。

ジッタ プローブ用に、エッジ デバイス ルータで SA エージェントをイネーブルにするには、次の手順を実行します。

 

 
コマンド
説明

ステップ 1

> telnet router_name

設定するルータに Telnet 接続します。

ステップ 2

Router> enable

Router> enable_password

イネーブル モードに入り、有効なパスワードを入力します。

ステップ 3

Router# configure terminal

グローバル設定モードに入ります。

ステップ 4

Router(config)# rtr responder

SLA プローブのターゲット ルータで SA エージェントをイネーブルにします。

ステップ 5

Router(config)# Ctrl+Z

Privileged Exec モードに戻ります。

ステップ 6

Router# copy running startup

NVRAM のコンフィギュレーションに対する変更を保存します。

VPN Solutions Center での各種要素の設定

ここでは、VPN Solutions Center ワークステーションでセットアップ可能な要素やコンポーネントについて説明します。

VPN Solutions Center で TFTP をイネーブルにする

MPLS モードの VPN Solutions Center ソフトウェアは、デフォルトではルータ間のコンフィギュレーション ファイルの送受信に TGS_TELNET を使用するように設定されています。MPLS モードの代わりに、TFTP モードで TGS を使用するように VPN Solutions Center ソフトウェアを設定するには、次の説明に従って csm.properties ファイルを編集します。 csm.properties ファイルでこの値を変更すると、デフォルトのダウンロード メカニズムが、VPN Solutions Center のリポジトリに定義されているすべてのターゲットに対して設定されます。


) VPN コンソールで転送方式を設定すると、csm.properties ファイルの転送方式の設定が無効になります。方法については、「デフォルトの転送メカニズム」を参照してください。



ステップ 1 VPN Solutions Center ワークステーションで、 vpnadm 管理ユーザとしてログインします。

ステップ 2 /<installation_directory>/vpnadm/vpn/etc ディレクトリに移動します。

ステップ 3 テキスト エディタで csm.properties ファイルを開きます。

ステップ 4 csm.properties ファイルで、次の行を検索します。

netsys.gtl.transportMechanism = TGS_TELNET

ステップ 5 TGS_TELNET の値を次のように変更します。

netsys.gtl.transportMechanism = TGS_TFTP

ステップ 6 TFTP サーバの IP アドレスを指定するには、次の手順を実行します。

a. netsys.tgs.myTftpServer プロパティを検索します。

b. VPN Solutions Center ワークステーションの IP アドレスを指定します。

ステップ 7 変更内容を保存して、ファイルを閉じます。

ステップ 8 Watch Dog を実行している場合は、必ず Watch Dog を停止してから再起動し、変更をイネーブルにします。

ステップ 9 VPN Solutions Center を再起動します。


 

複数の TGS サーバを TFTP ホストとして使用する場合

複数の TGS サーバを TFTP ホストとして使用する場合は、各ホスト システムのそれぞれの Telnet Gateway Server で、 netsys.tgs.myTftpServer プロパティを、TGS を実行しているローカル ホストの IP アドレスに設定する必要があります。

次の場合には、必ずこの操作を実行してください。

デバイスの転送メカニズムが TGS_TFTP に設定されている場合。

オペレータが、Download コンソール(「Task Manager の使用方法」を参照)または Template Manager のいずれかで Download to Startup オプションを選択した場合。

また、リモート Telnet Gateway Server とローカル Telnet Gateway Server がシンボリック リンクされている場合には、これらのサーバが NFS のマウントされた同じディレクトリを直接指していないことを確認してください。TGS が実行されている各システムの /tftpboot が、各 TFTP ホストのローカル ディレクトリを指すことをお勧めします。

ローカル Solaris ホストを TFTP サーバとして設定する

ここでは、ローカル Solaris ホストを TFTP サーバとして設定する方法について説明します。VPNSC ネットワーク管理サブネットに 1 つまたはそれ以上の Telnet Gateway Server がある場合は、VPN Solutions Center ワークステーションと Telnet Gateway Server を TFTP ホストとして設定する必要があります。

ローカル Solaris ホストを TFTP サーバとして設定するには、次の手順を実行します。


ステップ 1 新しい端末ウィンドウをローカル ホスト マシンで開きます。

ステップ 2 root ユーザとしてログインします。

ステップ 3 etc/inetd.conf ファイルをテキスト エディタで開きます。

ステップ 4 このファイルで、次の行を検索します。

#tftp dgram udp wait root /usr/sbin/in.tftpd in.tftpd -s /tftpboot

ステップ 5 ステートメントを有効にするために、行の先頭にあるシャープ( # )を削除します。

ステップ 6 ステップ 4 のコマンド ラインをチェックして、 /tftpboot ディレクトリが指定されていることを確認します。このコマンド ラインにほかのディレクトリが指定されている場合は、 /tftpboot に変更します。

ステップ 7 変更内容を保存して、 inetd.conf ファイルを閉じます。

ステップ 8 user group 、および world に対する読み取りおよび書き込みアクセス権が、 /tftpboot ディレクトリに設定されていることを確認します。

ステップ 9 端末ウィンドウのコマンド ラインで次のコマンドを実行して、 inetd プロセスが動作しているかどうかを確認します。

ps -ef | grep inetd

このコマンドの出力は、次のとおりです。

root <pid> 1 0 <date> <time> /usr/sbin/inetd -s

pid には inetd プロセスのプロセス ID が入ります。

ステップ 10 このプロセスが動作している場合は、次のコマンドを使って SIGHUP(ハングアップ)シグナルを inetd デーモンに送信します。

kill -1 <pid>

inetd デーモン プロセスが動作していない場合には、inetd デーモンを起動します。

ステップ 11 端末ウィンドウを終了します。


 

リモート Telnet Gateway Server への接続設定

VPNSC ワークステーションに VPN Solutions Center ソフトウェアをインストールする場合、Telnet Gateway Server(TGS)もインストールされます。VPN Solutions Center は、ルータとのあらゆる通信、たとえば、コンフィギュレーション ファイルのアップロードやダウンロードに TGS を使用します(ポーラー サーバが処理する SNMP 通信は除く)。

サービス プロバイダーは、複数の Telnet Gateway Server を、VPN Solutions Center が常駐しているネットワークと同じネットワーク、またはリモート ネットワークにインストールできます。ただし、リモート ネットワークに TGS サーバをインストールするには、VPNSC ネットワークとリモート ネットワーク間の TIBCO イベント接続が設定されている必要があります。

複数の Telnet Gateway Server を、VPN Solutions Center ワークステーション(「VPNSC ネットワーク管理サブネット」と呼ばれる)に接続されている LAN にインストールする場合は特別な設定は不要です。ただし、リモート ネットワークに TGS をインストールして使用する場合は、VPN Solutions Center ワークステーションと各リモート ネットワークにある TGS マシンうちの 1 台に TIBCO rvrd ソフトウェアを適切に設定する必要があります。


) リモート ネットワーク内の複数のマシンで複数の Telnet Gateway Server が動作している場合でも、このネットワークで実行する必要があるのは TIBCO rvrd のインスタンス 1 つだけです。


セットアップ プロセスを開始する前に

VPN Solutions Center が現在動作している場合は、これを停止してからリモート TGS の設定手順に進んでください。


ステップ 1 「VPN Solutions Center ソフトウェアの停止」の説明に従って、VPN Solutions Center を停止します。

ステップ 2 TIBCO ソフトウェアがすでに動作しているかどうかをチェックします。

ps -A | grep rv

ステップ 3 TIBCO の rvd プロセスまたは rvrd プロセスが動作中の場合は、強制終了します。

ステップ 4 次の説明に従って、VPN Solutions Center ワークステーションとリモート TGS マシンの両方で、TIBCO 接続のセットアップ手順をすべて実行します。


 

リモート TGS ホストへの接続用に VPNSC ワークステーションを設定する

リモート ネットワークの TGS ホストに TIBCO イベント接続ができるように VPN Solutions Center ワークステーションをセットアップするには、次の手順を実行します。

この手順を完了してから、Watch Dog 、VPN Solutions Center ソフトウェア、VPN Solutions Center ワークステーションの TGS の順に起動してください。


) VPN Solutions Center ワークステーションでは、この手順を 1 度だけ実行します。リモート TGS サーバ マシンの追加が必要になった場合、VPN Solutions Center ワークステーションでこの手順を繰り返す必要はありません。



ステップ 1 VPN Solutions Center ワークステーションで、ディレクトリを /<installation_directory>/ vpnadm/vpn ディレクトリに変更します。

ステップ 2 次のコマンドを発行して、環境を取得します。

source vpnenv.csh

ステップ 3 TIBCO ソフトウェアがすでに動作しているかどうかをチェックします。

ps -A | grep rv

ステップ 4 rvd プロセスまたは rvrd プロセスが動作中の場合は、強制終了します。

ステップ 5 次のコマンドを発行します。

rvrd -store rvrd.store

ステップ 6 Netscape を起動して、次の URL にアクセスします。「 VPNSC_hostname 」には、VPN Solutions Center ワークステーションのホスト名が入ります。

http:\\ VPNSC_hostname :7580

TIB/Rendezvous のホーム ページが表示されます(図 2-2 を参照)。

図 2-2 TIBCO/Rendezvous のホーム ページ

 

ステップ 7 このページで、 routers リンクを選択します。

図 2-3 のダイアログボックスが表示されます。

図 2-3 VPN ホスト名の入力

 

ステップ 8 Add Router Name フィールドで、VPN Solutions Center ワークステーション名の後に「 -vpnsc 」を付けて、 VPNSC_host -vpnsc と入力します。

ステップ 9 Add をクリックします。

入力した値が Router Name カラムに表示されます。

ステップ 10 Local Networks カラムで、フィールドの現在のエントリを選択します。

図 2-4 に示すダイアログボックスが表示されます。

図 2-4 VPNSC ローカル ネットワーク情報の入力

 

ステップ 11 ローカル VPNSC ネットワークを次の値で指定します。

a. Local Network Name フィールドに、次の値を入力します。

vpnsc

b. Service フィールドに、この VPN Solutions Center のインストールで使用する TIBCO ポート番号を入力します。

c. Network Specification フィールドに、VPNSC ワークステーションの名前を入力します。

ステップ 12 VPNSC ネットワークのフィールドを指定したら、 Add Local Network をクリックします。

ページ下部の対応するセルに、入力した値が表示されます。

ステップ 13 現在のダイアログボックスで、 routers リンクを選択します。

ステップ 14 Neighbors カラムの現在のエントリをクリックします。

図 2-5 に示すダイアログボックスが表示されます。

図 2-5 VPNSC ネイバー情報の入力

 

ステップ 15 Accept Any Neighbor on Local Port オプションをクリックします。

ステップ 16 Local Port オプション フィールドに、次の値を入力します。

7555

ステップ 17 Submit をクリックします。

ステップ 18 現在のダイアログボックスで、 routers リンクを選択します。

ステップ 19 Local Networks カラムの現在のエントリをクリックします。

ダイアログボックスが更新されて、図 2-4 に示すような画面になります。「 vpnsc 」が Local Network Name カラムに表示されていることに注意してください。

ステップ 20 Local Network Name カラムで、 vpnsc エントリをクリックします。

図 2-6 のダイアログボックスが表示されます。

図 2-6 VPNSC ネイバー情報の入力

 

ステップ 21 Add Subject フィールドに、インポートする次のサブジェクトを入力します。

cisco.vpnsc.watchdog.heartbeat

ステップ 22 Add for Import をクリックします。

入力したインポート サブジェクトが、 Imported Subjects フィールドに表示されます。

VPN Solutions Center ワークステーションからリモート TGS ホストへの接続を設定する手順は、これで完了しました。


 

TIBCO イベント接続をリモート TGS ホストでイネーブルにする

リモート ネットワーク上の Telnet Gateway Server ホストと VPN Solutions Center ワークステーション間の TIBCO イベント接続をイネーブルにするには、次の手順を実行します。この手順では、TGS が Telnet Gateway Server ホストにインストールされていることを前提としています。


) この手順を完了してから、TGS を起動し、VPN Solutions Center ソフトウェアを起動する必要があります。


次の手順では、「 TGS_host 」は、TIBCO rvrd ソフトウェアを設定するマシンのホスト名です。


ステップ 1 リモート Telnet Gateway Server ホストで、ディレクトリを /<installation_directory>/ vpnadm/vpn ディレクトリに変更します。

ステップ 2 次のコマンドを発行して、環境を取得します。

source vpnenv.csh

ステップ 3 TIBCO ソフトウェアがすでに動作しているかどうかをチェックします。

ps -A | grep rv

ステップ 4 TIBCO rvd プロセスまたは rvrd プロセスが動作中の場合は、強制終了します。

ステップ 5 次のコマンドを発行します。

rvrd -store rvrd.store

ステップ 6 Netscape を起動して、次の URL にアクセスします。「 TGS_hostname 」には、インストールされている Telnet Gateway Server のホスト名を入れます。

http:\\ TGS_hostname :7580

TIB/Rendezvous のホーム ページが表示されます(図 2-7 を参照)。

図 2-7 TIBCO/Rendezvous のホーム ページ

 

ステップ 7 このページで、 routers リンクを選択します。

図 2-8 に示すダイアログボックスが表示されます。

図 2-8 TGS ホスト名の入力

 

ステップ 8 Add Router Name フィールドに、VPN Solutions Center ワークステーション名の後に「 -tgs 」を付けて、 TGS_host -tgs と入力します。

ステップ 9 Add をクリックします。

この時点で、入力した TGS ホスト名が、Router Name カラムに表示されます。

ステップ 10 Local Networks カラムで、フィールドの現在のエントリを選択します。

図 2-9 に示すダイアログボックスが表示されます。

図 2-9 TGS ローカル ネットワーク情報の入力

 

ステップ 11 ローカル TGS ネットワークを次の値で指定します。

a. Local Network Name フィールドに、次の値を入力します。

vpnsc

b. Service フィールドに、このインストール用に使用する TIBCO ポート番号を入力します。

ここで入力するポート番号は、リモート TGS ホストへ接続する VPNSC ワークステーションの設定で、ステップ 11-b で入力した TIBCO ポート番号と同一にします(図 2-4 を参照)。

c. Network Specification フィールドに、TGS ホストの名前を入力します。

ステップ 12 VPNSC ネットワークのフィールドを指定したら、 Add Local Network をクリックします。

ページ下部の対応するセルに、入力した値が表示されます。

ステップ 13 現在のダイアログボックスで、 routers リンクを選択します。

ステップ 14 Neighbors カラムに現在表示されているエントリをクリックします。

図 2-10 に示すダイアログボックスが表示されます。

図 2-10 Telnet Gateway Server ネイバー情報の入力

 

ステップ 15 TGS ネイバー情報を次の値で入力します。

a. Neighbor Name フィールドで、VPNSC ワークステーションの名前の後に -vpnsc を付けて、次のように入力します。

VPNSC_host -vpnsc

b. Hostname or IP Address フィールドに、VPNSC ワークステーションの名前を入力します。

c. Remote フィールドに、次の値を入力します。

7555

d. Local フィールドに、次の値を入力します。

7444

ステップ 16 Add Active [all] をクリックします。

ステップ 17 現在のダイアログボックスで、 routers リンクを選択します。

ステップ 18 Local Networks カラムに現在表示されているエントリをクリックします。

ステップ 19 Local Network Name カラムで、 vpnsc エントリをクリックします。

図 2-11 のダイアログボックスが表示されます。

図 2-11 エクスポート オブジェクト情報の入力

 

ステップ 20 Add Subject フィールドに、エクスポートする次のサブジェクトを入力します。

cisco.vpnsc.watchdog.heartbeat

ステップ 21 Add for Export をクリックします。

入力したエクスポート サブジェクトが、 Exported Subjects フィールドに表示されます。

リモート TGS ホストで VPNSC ワークステーションへの接続を設定する手順は、これで完了しました。

ステップ 22 「VPN Solutions Center ソフトウェアの起動」の説明に従って、VPN Solutions Center ソフトウェアを起動します。

ステップ 23 Cisco VPN Solutions Center Installation Guide (Release 2.2)』の第 4 章「Starting the Telnet Gateway Server Software and the Watch Dog」の説明に従って、TGS ソフトウェアを起動します。


 

TGS ホストに TFTP サーバ アドレスを指定する

VPNSC ネットワーク管理サブネットの TGS ホストが TFTP サーバでもある場合、この TGS ホストの csm.properties ファイルに該当するプロパティを設定する必要があります。


ステップ 1 ローカル TGS ホストで、 vpnadm 管理ユーザとしてログインします。

ステップ 2 /<installation_directory>/vpnadm/vpn/etc ディレクトリに移動します。

ステップ 3 テキスト エディタで csm.properties ファイルを開きます。

ステップ 4 csm.properties ファイルで、次の行を検索します。

netsys.tgs.myTftpServer=

ステップ 5 ローカル TGS ホストの IP アドレスを入力します。

ステップ 6 変更内容を保存して、ファイルを閉じます。

ステップ 7 Watch Dog を実行している場合は、必ず Watch Dog を停止してから再起動し、変更をイネーブルにします。

ステップ 8 VPN Solutions Center を再起動します。


 

VPN Solutions Center と Cisco IE2100 の使用

VPNSC ソフトウェアと IE2100 デバイスが正しく通信するために設定する必要のある主な手順には、次の 4 つがあります。

プロパティの修正

VPNSC マシンでの rvrd デーモンの設定

Cisco IE2100 デバイスでの rvrd デーモンの設定

Cisco IE2100 デバイスの追加設定手順

プロパティの修正

csm.properties ファイルには、Cisco IE2100 デバイスと通信するために修正する必要のある 2 つのプロパティがあります。次の手順の説明に従って、両方のプロパティを設定します。 csm.properties ファイルは、 /< install_dir >/vpnadm/vpn/etc ディレクトリにあります。 <install_dir> には、VPNSC ソフトウェアがインストールされているディレクトリが入ります。


ステップ 1 プロパティ netsys.Cdm.IE2100.address の値を、Cisco IE2100 デバイスの IP アドレスに設定します。

netsys.Cdm.IE2100.address=12.34.56.78
 

ステップ 2 プロパティ netsys.watchdog.startCdmServer の値を true に設定します(このプロパティのデフォルト値は false)。

netsys.watchdog.startCdmServer=true
 


 

VPNSC マシンでの rvrd デーモンの設定

VPN Solutions Center は、デフォルトで rvd を使用します。IE2100 の機能を使用するには、VPNSC システムで rvrd デーモンを開始する必要があります。VPNSC ホスト マシンで rvrd デーモンを設定および開始するには、次の手順を実行してください。


ステップ 1 vpnadm としてログインします。

su - vpnadm

または、リモートからログインしている場合は次のコマンドを入力します。

rlogin <VPNSC_hostname> -l vpnadm

ステップ 2 VPNSC がインストールされているディレクトリに移動します。

cd /<installation_directory>/vpnadm/vpn

ステップ 3 次のコマンドを発行して、利用しているシェルに必要な環境を取得します。

C シェル: % source vpnenv.csh

K シェル: % . vpnenv.sh

ステップ 4 TIBCO®/Rendezvous ソフトウェアがすでに動作しているかどうかをチェックします。

ps -A | grep rv -

ステップ 5 rvd プロセスまたは rvrd プロセスが動作中の場合は、強制終了します。

ステップ 6 次のコマンドを入力します。

rvrd -store rvrd.store

ステップ 7 Netscape を起動して、次の URL にアクセスします。< VPNSC_hostname> には、VPN Solutions Center ワークステーションのホスト名が入ります。

% http://<VPNSC_hostname>:7580

TIB/Rendezvous のホーム ページが表示されます(図 2-12 を参照)。

図 2-12 TIBCO/Rendezvous のホーム ページ

 

ステップ 8 このページで、 routers リンクを選択します。

図 2-13 のウィンドウが表示されます。

図 2-13 VPN ホスト名の入力

 

ステップ 9 Add Router Name フィールドで、VPN Solutions Center ワークステーションの名の後に「 -vpn 」を付けて、次のように入力します。

<VPNSC_host> -vpn .

サフィックス「vpn」を使用する必要はありません。これは一例です。どのようなサフィックスも使用できますが、必ず一意の名前を入力するようにしてください。

ステップ 10 Add をクリックします。

入力した値が、図 2-14 に示すように Router Name カラムに表示されます。

図 2-14 ルータ名の追加後

 

ステップ 11 Local Networks カラムで、下線がついているエントリをクリックします。

図 2-15 に示すウィンドウが表示されます。

図 2-15 VPNSC ローカル ネットワーク情報の入力前

 

ステップ 12 ローカル VPNSC ネットワークを次の値で指定します。

a. Local Network Name フィールドに、次の値を入力します。

vpnsc

b. Service フィールドに、この VPNSC のインストールに使用する TIBCO ポート番号を入力します。

c. Network Specification フィールドに、VPNSC ワークステーションの名前を入力します。

ステップ 13 VPNSC ネットワークのフィールドを指定したら、 Add Local Network をクリックします。

図 2-16 に示すように、入力した値がページ下部の対応するセルに表示されます。

図 2-16 VPNSC ローカル ネットワーク情報の入力後

 

ステップ 14 現在のウィンドウで、 Local Network Name カラムの vpnsc エントリをクリックします。

ステップ 15 Add Subject フィールドに、次のように入力します(図 2-17 を参照)。

cisco.cns.>

図 2-17 サブジェクトの追加

 

ステップ 16 Add for Import and Export をクリックします。

ステップ 17 再度 routers リンクを選択します。

ステップ 18 Neighbors カラムで、下線がついているエントリをクリックします。

図 2-18 に示すウィンドウが表示されます。

図 2-18 VPNSC ネイバー情報の入力前

 

ステップ 19 Neighbor Name カラムに、Cisco IE2100 デバイスに設定されている同じルータ名を入力します。

ステップ 20 Hostname or IP Address カラムに、Cisco IE2100 デバイスの IP アドレスを入力します。

ステップ 21 Remote フィールドに、次の値を入力します。

7555

ステップ 22 Local フィールドに、次の値を入力します。

7555

ステップ 23 Add Active をクリックします。

図 2-19 に示すダイアログボックスが表示されます。

図 2-19 VPNSC ネイバー情報の入力後

 


 

Cisco IE2100 デバイスでの rvrd デーモンの設定

Cisco IE2100 デバイスでの rvrd デーモンの設定手順は、前項の手順と似ています。


ステップ 1 すでに Netscape を閉じている場合は、Netscape を起動し、次の URL にアクセスします。< IE2100_hostname> には Cisco IE2100 デバイスのホスト名が入ります。

http://<IE2100_hostname>:7580

TIB/Rendezvous のホーム ページが表示されます(図 2-12を参照)。

ステップ 2 このページで、 routers リンクを選択します。

ステップ 3 Add Router Name フィールドに、IE2100 デバイスの名前を、デバイス名が一意になるようにサフィックスを付けて入力します。

例: <IE2100_host> -acme_inc

これは一例です。どのようなサフィックスも使用できますが、必ず一意の名前を入力するようにしてください。

ステップ 4 Add をクリックします。

入力した値が Router Name カラムに表示されます。

ステップ 5 Local Networks カラムで、下線がついているエントリをクリックします。

ステップ 6 ローカル VPNSC ネットワークを次の値で指定します。

a. Local Network Name フィールドに、次の値を入力します。

vpnsc

b. Service フィールドに、この VPNSC のインストールに使用する TIBCO ポート番号を入力します。

c. Network Specification フィールドに、IE2100 デバイス名を入力するか、空白のままにします。

ステップ 7 VPNSC ネットワークのフィールドを指定したら、 Add Local Network をクリックします。

ページ下部の対応するセルに、入力した値が表示されます。

ステップ 8 現在のウィンドウで、 Local Network Name カラムの vpnsc エントリをクリックします。

ステップ 9 Add Subject フィールドに、次のように入力します。

cisco.cns.>

ステップ 10 Add for Import and Export をクリックします。

ステップ 11 再度 routers リンクを選択します。

ステップ 12 Neighbors カラムで、下線がついているエントリをクリックします。

ステップ 13 Neighbor Name フィールドに、VPNSC ホスト マシン名を入力します。

ステップ 14 Hostname or IP Address カラムに、VPNSC ホスト マシンの IP アドレスを入力します。

ステップ 15 Remote フィールドに、次の値を入力します。

7555

ステップ 16 Local フィールドに、次の値を入力します。

7555

ステップ 17 Add Active をクリックします。

Neighbor Name にデバイスがハイパーリンクとして表示されていれば、接続が正しく確立されています。


 

Cisco IE2100 デバイスの追加設定手順

IE2100 機能の設定に使用するルータ(つまり、CNS 転送メカニズムまたは Cisco Router Inactive 形式での設定、あるいはその両方で使用するルータ)では、IOS image 12.2(8)T 以降を実行する必要があります。

実行コンフィギュレーション

さらに、ルータの running configuration では、次の 2 つの CNS コマンドを含める必要があります。

cns config partial <IE2100 IP address> 80

cns event <IE2100 IP address> 11011

これらのコマンドの代わりに、次のコマンドを使用できます。

cns event <IE2100 address> 11011 keepalive <seconds> <retries>
keepalive オプションは、 <retries> で指定された回数だけ再試行を行い、 < seconds > で指定されたインターバルでキープアライブ メッセージを送信することにより、IE2100 デバイスとルータが常時 TCP 接続されていることを確認します。

スタートアップ コンフィギュレーション

ルータの startup configuration では、次の 2 つの CNS コマンドを含める必要があります。

cns config initial <IE2100 address> 80

cns config initial コマンドは、ルータがネットワークで最初に起動するときにだけ表示されます。このコマンドを実行して、ルータが IE2100 デバイスで待機している初期コンフィギュレーションを取得および適用すると、このコマンドは cns config partial コマンドに変わります。このコマンドには、スタートアップ コンフィギュレーションで cns config initial を保持する no persist オプションがあります。このオプションを設定すると、ルータは起動するたびに、新しい設定かどうかを Cisco IE2100 に問い合せます。

cns event <IE2100 address> 11011 または cns event <IE2100 address> 11011 keepalive <seconds> <retries>

その他の CNS コマンドとそのオプションの詳細については、IE2100/CNS のマニュアルを参照してください。

フレーム リレーの LMI 形式の修正

Local Management Interface(LMI; ローカル管理インターフェイス)は、フレーム リレー管理メカニズムを備えた、ルータとフレーム リレー スイッチ間の信号方式の標準です。LMI 形式は、ネットワークで使用されている形式と一致している必要があります。LMI 形式の変更はグローバルな変更となり、あらゆるサービス要求に影響します(詳細については、次の「LMI 形式の混合セットを適用する」を参照してください)。

サービス プロバイダーまたはカスタマーがフレーム リレー ローカル LMI 形式を修正する必要がある場合は、 csm.properties ファイルで該当するプロパティを修正します。この方法で LMI 形式を変更すると、このフレーム リレーの修正は CE だけに適用されます。

LMI 形式は、次の 4 つのいずれかの値に設定できます。

 

LMI 値
説明

ansi

ANSI 標準 T1.617 に規定されている Annex D

cisco

シスコと他社が共同で規定した LMI 形式

none

デフォルト設定

q933a

ITU-T Q.933 Annex A

csm.properties ファイルの LMI 形式を修正するには、次の手順を実行します。


ステップ 1 VPN Solutions Center ワークステーションで、 vpnadm ユーザとしてログインします。

ステップ 2 /<installation_directory>/vpnadm/vpn/etc ディレクトリに移動します。

ステップ 3 テキスト エディタで csm.properties ファイルを開きます。

ステップ 4 csm.properties ファイルで、次の行を検索します。

netsys.watchdog.server.CVPIMServer.frameRelayLmiType = none

ステップ 5 none 値を適切な LMI 形式値に変更します。たとえば、LMI 形式を cisco に変更するには、行を次のように編集します。

netsys.watchdog.server.CVPIMServer.frameRelayLmiType = cisco

ステップ 6 変更内容を保存して、ファイルを閉じます。

ステップ 7 vpnadm ユーザからログアウト(exit)します。

ステップ 8 Watch Dog を実行している場合は、必ず Watch Dog を停止してから再起動し、変更をイネーブルにします。

ステップ 9 VPN Solutions Center を再起動します。


 

LMI 形式の混合セットを適用する

LMI 形式の変更はグローバルな変更で、すべてのアクティブなサービス要求に影響します。LMI 形式の混合セットを適用するには、次の手順を実行します。


ステップ 1 前項で説明したように、 csm.properties ファイルを修正して、必要な LMI 形式を設定します。

ステップ 2 VPN コンソールで、ステップ 1 で設定した LMI 値に関連付けられているサービス要求を展開します。

ステップ 3 次のサービス要求セットに対して、再度 csm.properties ファイルを修正し、必要な LMI 形式を設定します。

ステップ 4 VPN コンソールで、ステップ 3 で設定した LMI 値に関連付けられているサービス要求を展開します。


 

端末サーバ ポート用の Telnet セッションをイネーブルにする

少なくとも、端末サーバ ポートの数と同数の Telnet セッションを端末サーバ上でイネーブルにする必要があります。イネーブルになっていない場合は、端末サーバを通したルータすべてへの同時アクセスが、失敗する可能性があります。

端末サーバ アクセスに適当な数の Telnet セッションをイネーブルにするには、次の手順を実行します。

 

 
コマンド
説明

ステップ 1

> telnet terminal_server_name

端末サーバへの Telnet 接続

ステップ 2

Terminalserver> enable

Terminalserver> enable_password

イネーブル モードに入り、有効なパスワードを入力します。

ステップ 3

Terminalserver# configure terminal

グローバル設定モードに入ります。

ステップ 4

Terminalserver(config)# line vty 0 31

Telnet セッションの数を端末サーバ上の利用可能なポート数に設定します。この例では 32 の Telnet セッションを設定しています。

ステップ 5

Terminalserver(config)# Ctrl+Z

Privileged Exec モードに戻ります。

ステップ 6

Terminalserver# copy running startup

NVRAM のコンフィギュレーションに対する変更を保存します。

VPNSC でサポートされている時間帯

VPN Solutions Center は、VPN Solutions Center ソフトウェアがインストールされている Solaris ワークステーションの /usr/share/lib/zoneinfo ディレクトリにある時間帯だけをサポートします。このディレクトリの内容は、Solaris の各バージョンで異なる場合があります。

VPN Solutions Center では、特にサマータイムの変動などの時間帯の設定形式を変更できません。


) VPN Solutions Center では、カスタムの時間帯はサポートしていません。