Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
Cisco NAC Profiler Server コマンドライン リファレンス
Cisco NAC Profiler Server コマンドライン リファレンス
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco NAC Profiler Server コマンドライン リファレンス

概要

Service Profiler コマンド セット

Service Profiler コマンドに関する HA システムの考慮事項

Profiler Server データベース操作

データベース バックアップ

データベース バックアップ(バージョン 2.1.8以前)

Profiler Server データベース復元

スタンドアロン(HA 以外の)システムでのデータベース復元

HA システムでのデータベース復元

毎週のデータベース メンテナンス

Cisco NAC Profiler Server ソフトウェアのアップグレード

スタンドアロン システムのアップグレード

HA ペアのアップグレード

HA ペア動作

プライマリ アプライアンスの判別

HA ペア動作の確認

ハートビート プロセスと SLON プロセスのチェック

セカンダリのデータベース同期のチェック

動作可能なスタンドアロン Profiler Server への HA の追加

Profiler Server HA 設定の修復

Profiler Server での強制 HA フェールオーバー

HA の一時的なディセーブル

Profiler Server からの HA 設定の永久削除

Profiler Server の工場出荷時の状態への復帰

LINUX のビーコンおよび root アカウントの パスワードの変更

Cisco NAC Profiler システム設定でのステール ネットワーク デバイスの識別

概要

Cisco NAC Profiler の設定および管理に関するほとんどの作業は、Web ベースのユーザ インターフェイスで行われます。しかし、Profiler Server のコマンドラインで実行される機能もあります。この章では、Profiler Server で実行する必要があるいくつかのコマンドライン操作の概要を説明します。


) 次のコマンドライン作業を行う前に、「データベース バックアップ」で説明されているように現在のデータベースをバックアップすることを強くお勧めします。


Service Profiler コマンド セット

Cisco NAC Profiler Server コマンドラインは、Profiler Server の LINUX コマンドラインからシステム レベル機能をいくつか実行できるようにする「Service Profiler」コマンドセットです。Service Profiler コマンドは、root ユーザだけが使用できます。 表 15-1 では、Service Profiler コマンド セットで使用できるコマンドを説明します。

 

表 15-1 Cisco NAC Profiler:Service Profiler コマンド セット

コマンド
説明

service profiler status

現在の Profiler のバージョンとシステム上の Server モジュールの現在のステータスを表示します。Server の現在のステータスは次のいずれかです。

実行中

実行中でない

未インストール

service profiler start

システムにインストールされているすべての Profiler モジュールを開始します。

service profiler stop

システムにインストールされているすべての Profiler モジュールを停止します。

service profiler restart

インストールされているすべての Profiler モジュールを停止し、すぐに再起動します。

service profiler config

システムに対して Cisco NAC Profiler Server 起動スクリプトを再実行します。このコマンドは、システム起動時にサブスクリプトを 3 回繰り返し実行します。

ネットワーク設定(eth0 IP アドレス、マスク、デフォルト ゲートウェイ、およびネーム サーバ)

Cisco NAC Profiler システム設定(Profiler の動作モードなど)

Profiler Server システムの HA セットアップ スクリプト

既存の設定が検出されると、再設定するかどうかたずねられます。再設定しない場合は、既存の設定には変更を加えず、スクリプトは次の設定作業へと移動します。スクリプトが完了すると、システムが再起動されます。

(注) 再設定する場合は、現在の設定を表示せずに、新しい情報の入力を求められます。

service profiler debug

注意:システムはシスコ テクニカルサポートの指示があった場合だけデバッグ モードに設定し、デバッグ モードは限られた時間内で動作させる必要があります。

Server モジュールをデバッグ モードにし、Server.out ログ ファイルに詳細なロギングを出力できるようにします。デバッグ モードで動作中、ログ ファイルは短時間で非常にサイズが大きくなる可能性があるため、デバッグ モードはシスコ テクニカルサポートの指示があった場合だけ使用する必要があります。

(注) まずサービスを停止し(service profiler stop)、次にデバッグ モードでサービスを開始する(service profiler debug)のがこのコマンドの正しい使用方法です。通常、サービスは指定された時間デバッグ モードで実行され、再起動すると(service profiler restart)通常の動作に戻ります。デバッグ情報を含む(usr/beacon/logging にある)Server.out がオフライン分析のために収集されます。

Service Profiler コマンドに関する HA システムの考慮事項

HA ペアとして実装されている Cisco NAC Profiler Server には、Service Profiler コマンドを使用する場合に考慮すべき事項があります。HA ペアのセカンダリ システムでは、すべてのインストール済みモジュールのステータスは常に「実行中でない」になります。セカンダリ アプライアンスは通常この状態です。HA プロトコルはデータベース同期を維持し、プライマリ システムに障害が発生した場合は、フェールオーバーと連動してモジュールが開始されます。

さらに、[start] オプションは、HA ペアのセカンダリ アプライアンスでは使用できません。service profiler start を HA モードにあるセカンダリ状態のアプライアンスのコマンドラインに入力すると、次のメッセージが表示されます。

This system is in HA mode and will not be started
 

システムが HA モードで動作している間、ペアのセカンダリ メンバの Profiler サービスは HA プロトコルの制御にまかせ、コマンドラインで操作してはなりません。

Profiler Server データベース操作

Profiler Server は PostgreSQL データベース を利用して、すべてのシステム設定とエンドポイントのデータを保存します。PostgreSQL は、ANSI-SQL 92/99 規格に積極的に準拠しているエンタープライズクラスの強力なリレーショナル データベース システムです。

システム設定とエンドポイントのデータは 1 つのデータベースに保存されているため、Cisco NAC Profiler システムを再構築しなければならない場合に備えて、Profiler データベースのバックアップ コピーを作成し、それをシステム外のリポジトリに移動して、安全なシステムのバックアップと復元を実現しています。Cisco NAC Profiler システムで Server モジュールを実行しているアプライアンスに壊滅的な障害が発生した場合は、Profiler Server をメディアから復元し、Profiler Server データベースを最近成功したバックアップに復元して、システム全体を障害発生前の状態に復元することが復旧モデルになります。Server モジュールは、そのモジュールを実行しているアプライアンスのシステム時間で毎日午前 3 時に Profiler データベースを自動的にコピーします。これら毎日のバックアップ データは /backup ディレクトリに圧縮形式(.gz)で保存されています。この章の後半部分で説明しますが、.gz 圧縮形式は、バックアップされたデータベースをシステムに復元するときに、データベース復元スクリプトで要求される形式です。Server モジュールは、30 日を過ぎたバックアップ データベースがバックアップ ディレクトリから自動的に削除されるようバックアップ ディレクトリを維持します。


) Cisco NAC Profiler Server データベースのバックアップは、アプライアンスの外に移動し、バックアップのベスト プラクティスにしたがって他のシステム バックアップとともに保存することを強くお勧めします。


データベース バックアップ

システムで実行される自動バックアップの他に、Profiler データベースのバックアップ コピーをいつでも作成することもできます。リリース 2.1.8 以降では、Profiler GUI によりバックアップ コピーを作成し、システムの外に移動させることができます。[Utilities] タブにナビゲートし、[System Summary] を選択します。[System Summary] 下部に、[Display Server Log]、[Download DB Dump]、[Collect technical logs] という 3 つのボタンが表示されます。

これらのボタンが [System Summary] に表示されていない場合は、Profiler のバージョンは 2.1.8 よりも前です。Profiler Server データベースのバックアップ コピーを作成し、Profiler Server アプライアンスの外に移動するには、「データベース バックアップ(バージョン 2.1.8以前)」で説明している手順を参照してください。

機能、機能拡張、システム アップグレード手順の詳細については、『 Release Notes for Cisco NAC Profiler, Release 2.1.8 』を参照してください。

図 15-1 [DB Backup] ボタンを表示している [System Summary]

 

データベースのバックアップを開始するには、[Download DB] ボタンを選択して、ブラウザに [Download File] ダイアログを表示します。ここで、データベースのバックアップ コピーの保存先となるアプライアンス外の場所を指定できます。ファイルのパスを指定すると、データベースが圧縮ファイルに保存され、指定の場所にコピーされます。デフォルトでは、バックアップ コピーのファイル名は「beacondb.gz」です。

データベース バックアップ(バージョン 2.1.8以前)

2.1.8 以前のシステムでは、データベースのバックアップとアプライアンス外の場所へのコピーは手動で行う必要があります。次の手順を実行します。

1. Server モジュール(HA システムの場合は、HA ペア の VIP/Service アドレスである必要があります)をホストしているシステムに対して、ビーコン LINUX ユーザとして SSH セッションを作成します。

2. 次のコマンドを入力し、データベースのバックアップ コピーを作成します。

pg_dump | gzip > beacondb.gz
 

3. データベース バックアップ ファイル「beacondb.gz」が /home/beacon ディレクトリに作成されます。

4. 設定およびエンドポイントのデータを Cisco NAC Profiler システムに復元しなければならない場合に備えて、SCP を使用して、データベース バックアップを別のシステムにコピーし安全に保管します。

Profiler Server データベース復元

Profiler データベースのバックアップ コピーは、いつでも Profiler Server に復元できます。

データベースには、システム設定データとエンドポイント データの両方が入っているため、バックアップ作成後に行われたシステム設定の変更は、Profiler Server にデータベースが復元された後に失われます。

Profiler データベース復元手順は、Profiler Server がスタンドアロン モードか HA モードかにより異なります。データベースを Profiler システムに復元する前に、まずスタンドアロン システムか HA システムかを判断し、適切な手順に従って Profiler データベースを復元します。

「スタンドアロン(HA 以外の)システムでのデータベース復元」

「HA システムでのデータベース復元」

スタンドアロン(HA 以外の)システムでのデータベース復元

リリース 2.1.8 以降では、1 つのスクリプトを実行してスタンドアロン システムへ Profiler データベースを復元できます。次の手順に従って、データベースを 2.1.8 システムに復元します。

1. 復元するバックアップ ファイルを SCP 経由で Server モジュールを実行しているシステムの /backup ディレクトリにコピーします。

2. Server モジュールを実行しているシステムに対して SSH セッションを開始し、ディレクトリを /usr/beacon/scripts(cd /usr/beacon/scripts)に変更します。

3. 次のスクリプトを実行し、選択したデータベース バックアップをスタンドアロン システムに復元します。

./restoreDB.pl /backup/beacondb.gz

ここでの beacondb.gz はバックアップ ファイルのファイル名です。

4. GUI から、[Apply Changes]、[Update Modules] の順番に実行し、復元されたデータベースを使用してシステムを再起動します。

(上記の名前でも /usr/beacon/scripts ディレクトリに存在しないスクリプトで示された)2.1.8 以前のスタンドアロン システムへのデータベース復元については、次の手順に従ってデータベースを手動でドロップおよび作成し、それにバックアップ コピーを復元します。

1. 復元するバックアップ ファイルを SCP 経由で Server モジュールを実行しているシステムの /backup ディレクトリにコピーします。

2. Server モジュールをユーザ ビーコンとして実行しているシステムに対して SSH セッションを開始し、次のコマンドを指定した順番に実行します。

a. dropdb beacon

b. createdb beacon

c. gunzip -c /backup/beacondb.gz | psql

ここでの beacondb.gz はバックアップ ファイルのファイル名です。

3. GUI から、[Apply Changes]、[Update Modules] の順番に実行し、復元された Profiler データベースを使用してシステムを再起動します。

HA システムでのデータベース復元

リリース 2.1.8 には、データベース復元プロセスの自動化など、HA 機能に対するユーザビリティとメンテナンスに関する機能拡張がいくつか含まれています。


) HA Profiler Server のデータベースを復元する前に、Profiler Server をリリース 2.1.8 以降にアップグレードする必要があります。「Cisco NAC Profiler Server ソフトウェアのアップグレード」を参照してください。


Cisco NAC Profiler HA プロトコルには、データベースで維持されているシステム設定とエンドポイントのデータをペアの両方のメンバで同期させておく、データベース同期機能が含まれています。したがって、HA ペアに Profiler データベースを復元するプロセスでは、プライマリ システムに復元し、同期プロセスに依存してセカンダリ アプライアンス データベースを更新する必要があります。


) データベースをプライマリ システムに復元するには、この項で説明している復元プロセスを HA ペアの VIP/Service IP で実行する必要があります。


次の手順に従って、Profiler データベースを HA ペアに復元します。


ステップ 1 復元するバックアップ ファイルを SCP 経由でプライマリ システムの /backup ディレクトリにコピーし、HA ペアの VIP/Service IP アドレスにコピーします。

ステップ 2 VIP/Service IP アドレスに対して SSH セッションを開始し、ディレクトリを /usr/beacon/scripts(cd /usr/beacon/scripts)に変更します。

ステップ 3 次のスクリプトを実行し、選択されたデータベース バックアップを HA ペアのプライマリ アプライアンスに復元します。

./restoreDB-HA.pl /backup/beacondb.gz

ここでの beacondb.gz はバックアップ ファイルのファイル名です。

ステップ 4 VIP/Service IP アドレスの GUI から、[Apply Changes]、[Update Modules] の順番に実行し、復元されたデータベースを使用して HA システムを再起動します。


 

毎週のデータベース メンテナンス

Profiler Server は、システムの完全性を自動的に保つために、毎週必要なデータベース メンテナンスを行います。データベース メンテナンスでは、これらの機能を実行するため Server モジュールを一時的に停止し、再起動する必要があります。デフォルトでは、毎週のメンテナンスは Server モジュールを実行しているシステムのシステム クロックで日曜日の午前 2 時に自動的に行われます。このイベントは Server ログに記録されますが、通常の動作であり、心配する必要はありません。

Cisco NAC Profiler Server ソフトウェアのアップグレード

Cisco NAC Profiler ソフトウェアのアップデートは Cisco Software Download Support Web サイト http://www.cisco.com から入手できます。Cisco.com への登録が必要で、お客様は有効なメンテナンス契約がなければなりません。Cisco NAC Profiler Server のアップグレードは圧縮形式(.zip)で 1 つのファイルでリリースされます。

アップグレード パッケージとともに、MD5 チェックサムが実行され、ファイルの完全性を保ちます。アップグレード パッケージを使用する前に MD5 チェックサムを確認し、アップグレード パッケージが壊れていないことを確認します。

ソフトウェア アップグレード パッケージには、Profiler Server ソフトウェア、基本コンポーネント、および Profiler データベースをアップグレードするために必要なすべてのファイルが入っています。アップグレードは 1 つのスクリプトで行われ、アプライアンスの動作モードは自動的に検出され、それに従ってシステムがアップグレードされます。

Cisco NAC Profiler システムのアップグレードの詳細については、『 Release Notes for Cisco NAC Profiler, Release 2.1.8. 』を参照してください。

スタンドアロン システムのアップグレード

Profiler Server ソフトウェアのスタンドアロン Cisco NAC Profiler システムへのアップグレードはわかりやすいプロセスです。アップグレード パッケージ内蔵のアップグレード スクリプトにより、必要に応じて、インストールされているすべてのコンポーネントが自動的にアップグレードされます。次の手順に従って、スタンドアロン Profiler Server をアップグレードします。

1. シスコシステムズ サポート Web サイトから /home/beacon ディレクトリにダウンロードされたアップグレード パッケージの .zip ファイルを SCP します。

2. アップグレード中のシステムに対して SSH し、su - コマンドを使用して root ユーザに昇格させます。

3. ディレクトリを /home/beacon(cd /home/beacon)に変更し、アップグレード パッケージの MD5 チェックサムをサポート Web サイトのファイルに指定されたチェックサムに対して確認します。次のコマンドを使用して、ターゲット システムでファイルのチェックサムを生成します。

md5sum ProfilerUpgrade-xx.xx.xx-yy.zip
 

ファイルのチェックサムが計算され、ファイルで提供されたチェックサムに対して確認できるようアプライアンスの端末に表示されます。

4. アップグレード パッケージを解凍(ProfilerUpgrade-xx.xx.xx-yy.zip を解凍)します。これにより、アップグレードに必要なファイルが解凍され、beacon/home ディレクトリに ProfilerUpgrade-xx.xx.xx-yy という名前のサブディレクトリが作成されます。

5. ディレクトリを、アップグレード パッケージを解凍したときに作成された ProfilerUpgrade ディレクトリに変更します。

6. ディレクトリには upgrade.pl という名前のスクリプトが入っています。次のコマンドを入力して、アップグレード スクリプトを実行します。

./upgrade.pl
 

7. アップグレード プロセス中、インストール済みコンポーネントがアップグレードされるにつれてアップグレードの経過を表示するメッセージがいくつか端末に送信される場合があります。アップグレード スクリプトが無事完了すると、次のメッセージが表示されて、システムで稼動している Cisco NAC Profiler サービスが再起動されます。

To modify the configuration of the Profiler, user 'service profiler config'

システム プロンプトの回答が続きます。

8. service profiler status コマンドを入力して、システムが無事アップグレードされたかどうか確認します。出力には Cisco NAC Profiler システムの現在のバージョンが表示され、次の例のように、システムにインストールされたモジュールのステータスが「実行中」になっています。

[root@ProfilerHA1 ~]# service profiler status
 
Profiler Status
Version: Profiler-2.1.8-29
 
o Server Running
o Forwarder Not Installed
o NetMap Not Installed
o NetTrap Not Installed
o NetWatch Not Installed
o NetInquiry Not Installed
o NetRelay Not Installed

HA ペアのアップグレード

HA ペアのソフトウェアのアップグレードは、まずペアのセカンダリ アプライアンスで行い、次にプライマリ アプライアンスで行います。アップグレードのプロセスでは、プライマリに障害が発生した場合の動作と同様、アップグレード前にセカンダリだったシステムがプライマリの機能を引き継ぎます。


注意 Profiler Server HA ペアの Cisco NAC Profiler ソフトウェアのアップグレードは、1 回の操作でペアの両方のメンバに 順番に行う必要があります。ペアを最初のアプライアンスでアップグレードした状態のままにし、ペアの他のメンバのアップグレードを遅らせないでください。

HA ペアをアップグレード前の状態に戻したい場合は、ペアをフェールオーバーして、アップグレード前にプライマリだったメンバを強制的にその状態に戻す必要があります。「Profiler Server での強制 HA フェールオーバー」を参照してください。

次の手順に従って、HA ペアの Cisco NAC Profiler ソフトウェアをアップグレードします。

1. 「プライマリ アプライアンスの判別」で説明しているように、アップグレードする HA ペアの各アプライアンスが現在どの状態(プライマリ、セカンダリなど)にあるか判断します。セカンダリ アプライアンスの管理インターフェイス(eth0)IP アドレスをメモします。

2. シスコシステムズ サポート Web サイトからセカンダリ アプライアンスの /home/beacon ディレクトリにダウンロードされたアップグレード パッケージの .zip ファイルを SCP します。

3. アップグレード中のセカンダリ システムの IP アドレスを SSH し、su - コマンドを使用して root ユーザに昇格させます。

4. ディレクトリを /home/beacon(cd /home/beacon)に変更し、アップグレード パッケージの MD5 チェックサムをサポート Web サイトのファイルに指定されたチェックサムに対して確認します。次のコマンドを使用して、ターゲット システムでファイルのチェックサムを生成します。

md5sum ProfilerUpgrade-xx.xx.xx-yy.zip

ファイルのチェックサムが計算され、ファイルで提供されたチェックサムに対して確認できるようアプライアンスの端末に表示されます。

5. アップグレード パッケージを解凍(ProfilerUpgrade-xx.xx.xx-yy.zip を解凍)します。これにより、アップグレードに必要なファイルが解凍され、beacon/home ディレクトリに ProfilerUpgrade-xx.xx.xx-yy という名前のサブディレクトリが作成されます。

6. ディレクトリを、アップグレード パッケージを解凍したときに作成された ProfilerUpgrade ディレクトリに変更します。

7. ディレクトリには upgrade.pl という名前のスクリプトが入っています。次のコマンドを入力して、アップグレード スクリプトを実行します。

./upgrade.pl
 

8. アップグレード プロセス中、インストール済みコンポーネントがアップグレードされるにつれてアップグレードの経過を表示するメッセージがいくつか端末に送信される場合があります。アップグレード スクリプトが無事完了すると、次のメッセージが表示されて、システムで稼動している Cisco NAC Profiler サービスが再起動されます。

To modify the configuration of the Profiler, user 'service profiler config'

システム プロンプトの回答が続きます。

9. service profiler status コマンドを入力して、システムが無事アップグレードされたかどうか確認します。出力には Cisco NAC Profiler システムの現在のバージョンが表示され、システムにインストールされたモジュールのステータスが「実行中」になっています。

これで、セカンダリ アプライアンスのソフトウェアのアップグレードが完了しました。引き続き、アップグレード パッケージを HA ペアの他のアプライアンスにコピーし、アップグレード手順を始めるときにプライマリだったアプライアンスでアップグレード プロセスを実行します。

セカンダリ アプライアンスが無事アップグレードされると、HA ペアの両方のメンバのバージョンが新しくなっています。元のセカンダリがプライマリで、元のプライマリがセカンダリになっています。

HA ペアをアップグレード前の状態に戻したい場合(元プライマリで現在セカンダリをプライマリの状態に戻す)、「Profiler Server での強制 HA フェールオーバー」で説明する手順に従います。

HA ペア動作

Cisco NAC Profiler Server は HA 設定をサポートしています。HA プロトコルは、 第 4 章「設置および初期設定」 で説明している手順に従ってシステム起動時に設定でき、HA はこの項で説明している手順に従っていつでも動作可能なスタンドアロン システムに追加できます。HA システムで、いくつか操作を実行しなければならない場合があります。この項では、コマンドラインから HA Profiler Server を管理する方法を説明します。

プライマリ アプライアンスの判別

Cisco NAC Profiler プロセスを実行し、HA ペアでプライマリ アプライアンスとして稼動している HA ペアのメンバは常に 1 つだけです。プライマリ アプライアンスは、Cisco NAC Profiler HA ペアのマスター Profiler データベースを維持し、セカンダリ アプライアンスでデータベース同期を維持します。プライマリ アプライアンスは、HA ペアの VIP/Service IP を保持しています。どちらのアプライアンスが現在プライマリで、どちらがセカンダリか判断するには、次の手順に従って、ペアのどちらのアプライアンスが現在ペアの VIP/Service IP を保持しているか判断します。

1. ユーザ ビーコンとして HA ペアの VIP/Service IP に SSH します。

2. コマンド /sbin/ifconfig -a を発行し、HA ペアの VIP を現在利用しているアプライアンスのインターフェイス設定を表示します。アプライアンスでこのコマンドを実行した結果を、次に引用しています。

[beacon@BeaconHA1 ~]$ /sbin/ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:04:23:E2:AD:EE
inet addr:10.10.0.221 Bcast:10.10.0.255 Mask:255.255.255.0
inet6 addr: fe80::204:23ff:fee2:adee/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2188142 errors:0 dropped:0 overruns:0 frame:0
TX packets:942333 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:303102816 (289.0 MiB) TX bytes:105503829 (100.6 MiB)
Base address:0x3020 Memory:b8820000-b8840000
 
eth0:0 Link encap:Ethernet HWaddr 00:04:23:E2:AD:EE
inet addr:10.10.0.220 Bcast:10.10.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

3. 「eth0」という名前のインターフェイスは、現在ペアのプライマリとして稼動しているアプライアンスの管理インターフェイスに割り当てられた IP アドレスを示しています。eth0:0 仮想インターフェイスの存在は、このアプライアンスが現在 HA ペアの VIP/Service IP アドレスを保持していることを示しています。

4. 上記の手順 2 および 3 で決定したように、プライマリの eth0 インターフェイスの IP アドレスに対して SSH セッションをユーザ ビーコンとして確立します。

5. コマンド cd /usr/beacon/sql を入力します。

6. ./chk_status_master.sh を入力して、Check Master Status スクリプトを実行します。

7. HA ペアのプライマリ アプライアンスで、スクリプトの結果は次のようになっています。

is master

これは、アプライアンスが現在プライマリで、HA ペアのマスター Profiler Server データベースを維持していることを示しています。

HA ペア動作の確認

システムをフェールオーバーし、プロトコルが正常に動作していることを確認する前に、Cisco NAC Profiler HA プロトコルが正しく動作することを確認する必要があります。

この項では、HA プロトコルの動作、ハートビートとプロトコル(slon)動作およびデータベース同期を確認する方法について説明します。HA 開始側シーケンスが正しく完了すると、HA プロトコルはセカンダリ(スレーブ)システムの Profiler Server データベースを引き続きアップデートします。HA プロトコルがある Profiler Server HA ペアに対して正しく動作していることを確認する最良の方法は、データベース同期を確認することです。

ハートビート プロセスと SLON プロセスのチェック

HA プロセスが正しく動作しているか確認するには、まず、ペアの両方のメンバが正常な HA 動作に必要なハートビート プロセスと SLON プロセスを実行していることを確認します。次の手順に従って、これらのプロセスが HA ペアの両方のメンバを実行していることを確認します。

1. 該当するインターフェイス(eth0)IP アドレスに対して、プライマリとセカンダリ両方のアプライアンスを持つ SSH セッションを開始し、root アクセスに昇格させます。

2. ハートビート サービスのステータスを判断するために、両方のアプライアンスで次のコマンドを発行します。

service heartbeat status

このコマンドによって、HA ペアの現在のプライマリおよびセカンダリ メンバの両方で次のような結果が返されます。

heartbeat OK [pid 20960 et al] is running on beaconha1 [beaconha1]...

3. 次のコマンドを発行し、プライマリおよびセカンダリの両方で必須の slon プロセスが実行中であることを確認します。

ps aux | grep slon

slon プロセスが正常に実行中である場合は、このコマンドによって、HA ペアの両方のメンバで次のような結果が表示されます。

[root@BeaconHA1 ~]# ps aux | grep slon
root 4646 0.0 0.0 3880 676 pts/1 S+ 12:43 0:00 grep slon
beacon 20686 0.0 0.0 67468 932 ? Sl 07:47 0:00 /usr/bin/slon -d 0 -p /usr/beacon/working/slon.pid -s 1000 beacon_cluster dbname=beacon user=beacon password=beacon
beacon 21089 0.0 0.0 4840 904 ? S Dec26 0:00 /usr/bin/slon -d 0 -p /usr/beacon/working/slon.pid -s 1000 beacon_cluster dbname=beacon user=beacon password=beacon
[root@BeaconHA1 ~]#

前述の両方のチェック結果に満足な場合、次の手順に進み、セカンダリ アプライアンスのデータベース同期を確認します。HA ペアのいずれかのメンバで、ハートビート プロセスまたは slon プロセスのいずれかが上記のように動作していない場合、この章の後半部分の「HA 設定の修復」という項で説明しているプロセスに進みます。

セカンダリのデータベース同期のチェック

データベース同期が HA ペアで正しく行われているか確認するには、次の手順に従って、セカンダリ システムでデータベースが正しく作成され、定期的にアップデートされていることを確認します。

新たに設定した HA ペアでこの手順を行う場合、HA セットアップ プロセス完了後に数分間待ち、プロトコルにセカンダリで最初のデータベース同期を行うのに十分な時間があったことを確認することが大切です。次の手順では、最後に同期されるデータベース表のステータスがチェックされるため、新たに設定した HA ペアでこのチェックを行う前に、数分間待つことが大切です。

1. HA ペアのセカンダリ システムの eth0(管理)インターフェイスの IP アドレスを決定し、このシステムに対して、ビーコン ユーザとして SSH セッションを開始します。ペアのうちどちらのアプライアンスがセカンダリかわからない場合は、上記の手順に従って、どちらのアプライアンスが現在プライマリ システムであるかどうか判断します。

2. psql コマンドを入力し、PostgreSQL インタラクティブ ターミナルを開始します(必要に応じて、Profiler Server データベース パスワードを入力します)。


) PostgreSQL インタラクティブ ターミナル セッションは、データベース操作が完了した後に手動で閉じる必要があります。次に説明する手順が完了したら、\q コマンドを入力して、必ずインタラクティブ ターミナル セッションを閉じてください。


3. 呼び出された表「beacon_component」は、HA ペアのセカンダリ メンバで最後に同期します。HA ペアのセカンダリ メンバでこの表を問い合せ、インタラクティブ ターミナル プロンプトで次の SQL クエリーを使用して、表が存在し、定期的にアップデート中であることを確認します。

select name,status_time from beacon_component;
 

次に、Profiler Server HA ペアの動作可能なセカンダリ システムでこの手順を実行した場合の出力例を示します。

[beacon@BeaconHA2 sql]$ psql
 
Welcome to psql 8.1.8, the PostgreSQL interactive terminal.
Type: \copyright for distribution terms
\h for help with SQL commands
\? for help with psql commands
\g or terminate with semicolon to execute query
\q to quit
 
beacon=# select name, status_time from beacon_component;
 
name | status_time
--------------+----------------------------
Server | 2007-12-26 11:11:26.302466
BeaconHA2-ni | 2007-12-26 11:26:30.722751
BeaconHA2-fw | 2007-12-26 11:26:48.721669
BeaconHA2-nm | 2007-12-26 11:26:50.721551
BeaconHA1-nt | 2007-12-26 11:26:52.684777
BeaconHA1-fw | 2007-12-26 11:26:53.684616
BeaconHA1-nw | 2007-12-26 11:26:54.012347
BeaconHA1-nr | 2007-12-26 11:26:54.685568
BeaconHA1-nm | 2007-12-26 11:26:54.688583
BeaconHA1-ni | 2007-12-26 11:26:59.687283
BeaconHA2-nt | 2007-12-26 11:27:22.752656
BeaconHA2-nw | 2007-12-26 11:27:23.371504
BeaconHA2-nr | 2007-12-26 11:27:23.758521
(13 rows)

例で示すように、このコマンドをセカンダリ システムで実行すると、HA ペアの両方のメンバ上のすべてのコンポーネント モジュールと各モジュールについて処理された最新のステータス メッセージの時間が表示されます。この時間は、プライマリ システムのシステム時間に近いはずです。

クエリーの結果エラー メッセージ [Error:relation "beacon_component" does not exist] が表示される場合、ペアの HA プロトコルが正しく設定されておらず、データベース スキーマが正しくセットアップされていないことを示します。この章の後半部分で説明している「HA ペア設定の修復」の手順に従って、HA 設定を再度初期設定します。

4. 数分間待ち、再度クエリーを実行します。ステータス時間はクエリーのたびに増加します。これは HA プロセスが正常に機能しており、現在のプライマリ アプライアンスが故障した場合に、セカンダリ システムがすぐにプライマリ システムになることができることを示しています。

5. 確認が終わったら、インタラクティブ ターミナル コマンド プロンプトで /q コマンドを入力して、PostgreSQL インタラクティブ ターミナル セッションを終了してください(ターミナル セッションが無事終了すると、システム プロンプトは [beacon=#] から通常のプロンプト [beacon@Hostname sql]$ に変わります)。

この項で説明しているプロセスで HA プロトコルが正常に動作していることを確認できない場合、この章の後半部分にある「HA 設定の修復」という項の手順に従ってペアの HA 設定をリセットできます。この手順に従うと HA 設定が削除され、最初から再起動されて、通常の HA 動作が HA ペアに対して復元されます。

動作可能なスタンドアロン Profiler Server への HA の追加

動作可能な Profiler Server は、いつでも HA ピアを追加させることができます。最も一般的なシナリオでは、動作可能な Profiler Server は、セカンド アプライアンスを追加することで HA ペア動作に変換されます。一般的に、すでに稼動しているアプライアンスが HA ペアの最初のプライマリ メンバになり、まだ設定されていない新しいアプライアンスがセカンダリ アプライアンスとして追加され、最初にアプライアンスを起動したときに開始される起動スクリプトを使用して、そのロールに対して設定されます。

この手順は、特に HA ピアを動作可能なスタンドアロン システムに追加する場合に行います。HA ペアを新しくインストールする場合は、 第 4 章「設置および初期設定」 で説明している手順に従います。

HA ペアとして追加される Profiler Server アプライアンスが設定されており、HA ペアのメンバとして以前に使用されたことがある場合、まずそのアプライアンスを再イメージ処理して、すべての設定とデータがシステムから削除されていることを確認します。処理をする前に、アプライアンスの再イメージ処理方法と必要なソフトウェアについては、シスコシステムズ テクニカルサポートにご連絡ください。


) プライマリ システムのすべてのパスワード(LINUX、Profiler Server データベース、および Web UI 管理)がわかっていることを確認します。HA ペアのセカンダリ メンバを設定する場合、両方のシステムのすべてのパスワードが正確に一致する必要があります。


1. プロセスを開始する前に、次のパラメータが決定されており、すぐに使用できることを確認します。

使用する VIP/Service IP アドレス

HA ピアとして追加しているセカンダリ アプライアンスのホスト名

ローカル HA ネットワーク:2 つのアプライアンス間のハートビート ネットワーク(eth1 インターフェイス)に使用するプライベート ネットワーク IP アドレス(192.168.1 など)の最初の 3 つのオクテット

HA 認証キー:アプライアンスが認証に利用するテキスト文字列。両方のアプライアンスの関係を確立するために、HA 共有キーは、同一のものを入力する必要があります(大文字小文字が区別されます)。

HA 外部 PING ホスト:できれば HA ペアと同じサブネット上にあり、Profiler Server アプライアンスからの ICMP エコー要求に応答する他のネットワーク デバイスのホスト IP アドレス。Profiler Server アプライアンスは、ネットワーク インターフェイスの障害を検出する手段として、ネットワーク接続がまだ存在するか確認するために、このデバイスに定期的に ping を発行します。

2. 既存のアプライアンス(プライマリ)と HA ピアとして追加しているアプライアンスの eth1 インターフェイスを接続するクロスケーブルを設置します。残りの手順を開始する前に、NIC LED がアプライアンス間のリンクを示していることを確認します(両方のアプライアンスの.eth1 インターフェイスにある左側の LED が絶えずオレンジ色であるなど)。リンク表示が正しくない場合、ハートビート接続に使用されているケーブルに問題があることを示します。リンクが確立されていることを確認してから次に進みます。

3. まず、プライマリ アプライアンスを設定して、HA ペアの設定を開始します。プライマリ アプライアンスで SSH セッションまたはコンソール セッションを開始し、root ユーザに昇格させます。

4. cd /root/.BeaconSetup を入力し、次に ./SetUpHA を入力して、プライマリでアプライアンス起動スクリプトの HA 部分を開始し、アプライアンスがプライマリかどうかたずねられたら [yes] と回答します。上記 #1 で指定された各パラメータの入力を求められます。

5. HA ペアのセカンダリ メンバとして追加されている新しいアプライアンスの設定を行います。セカンダリ システムのすべてのパスワードがプライマリ システムのパスワード セットと同じように設定されていることを確認します。

6. 起動スクリプトの HA 固有部分を実行している間、これがプライマリかどうかをたずねられたら [no] と選択し、VIP、ローカル HA ネットワーク、および HA 認証キーなどの HA パラメータが、プライマリで上記の手順 #4 で設定されたパラメータと同様に設定されていることを確認します。

7. セカンダリの設定が完了したら数分間待ち、この章の「HA ペア動作の確認」という項で説明している手順に従って HA プロトコルの動作を確認します。確認が正常に終了したら、この章の「HA ペアの強制フェールオーバー」という項で説明しているように、現在のプライマリの障害をシミュレートすることで、フェールオーバーをテストできます。

Profiler Server HA 設定の修復

Profiler Server の HA サービスを削除し、再インストールしなければならない場合があります。HA 設定が最初に失敗する原因となるようなシナリオがいくつかあります。たとえば、一般的な例を 2 つ挙げると、ペアのメンバの eth1 インターフェイス間にハートビート ネットワークがなかったり、Profiler Server データベースのパスワードが同じでない場合です。前述の HA ペア動作確認手順やその他の方法により、HA プロトコルが正しく動作していないことがはっきりしたら、次の手順に従って、まずペアの両方のメンバ上の HA プロトコルを削除し、セカンダリから、両方のメンバの HA 設定を再度初期設定します。

1. まず、セカンダリ アプライアンスで SSH セッションまたはコンソール セッションを開始します。root ユーザに昇格させ、次のコマンドを入力して、ペアのセカンダリ メンバから HA プロトコルを削除します。

/root/.resetProfiler removeHA
 

2. プライマリ アプライアンスで SSH セッションまたはコンソール セッションを開始し、上記 #1 の同じコマンドを使用して、プライマリ アプライアンスから HA 設定を削除します。

3. リンクが示された状態で、クロスケーブルで、ハートビート ネットワークが両方のメンバの eth1 インターフェイス間で正しく設定されていることを確認します。すべての LINUX、データベース、および Web UI のパスワードが両方のアプライアンスで同じであることを確認します。

4. プロセスを進める前に、HA ペア固有の次のパラメータが確認済みで、すぐに使用できることを確認します。

使用する VIP/Service IP アドレス

HA ピアとして追加しているセカンダリ アプライアンスのホスト名

ローカル HA ネットワーク:2 つのアプライアンス間のハートビート ネットワーク(eth1 インターフェイス)に使用するプライベート ネットワーク IP アドレス(192.168.1 など)の最初の 3 つのオクテット

HA 認証キー:アプライアンスが認証に利用するテキスト文字列。両方のアプライアンスの関係を確立するために、HA 共有キーは、同一のものを入力する必要があります(大文字小文字が区別されます)。

HA 外部 PING ホスト:できれば HA ペアと同じサブネット上にあり、Profiler Server アプライアンスからの ICMP エコー要求に応答する他のネットワーク デバイスのホスト IP アドレス。Profiler Server アプライアンスは、ネットワーク インターフェイスの障害を検出する手段として、ネットワーク接続がまだ存在するか確認するために、このデバイスに定期的に ping を発行します。

5. まずプライマリから HA プロトコルを再設定します。root ユーザとして、プライマリで次のコマンドを発行します。

cd /root/.BeaconSetup
./SetUpHA
 

6. 上記の手順 4 で決定されたパラメータを利用して、プライマリ HA アプライアンスの HA セットアップ スクリプトを実行します。

7. セカンダリ アプライアンスの HA プロトコルを再設定します。root ユーザとして、セカンダリで次のコマンドを発行します。

cd /root/.BeaconSetup
./SetUpHA
 

8. 上記の手順 4 で決定されたパラメータを利用して、セカンダリ HA アプライアンスの HA セットアップ スクリプトを実行します。

9. セカンダリの設定が完了したら数分間待ち、この章の「HA ペア動作の確認」という項で説明している手順に従って HA プロトコルの動作を確認します。確認が正常に終了したら、この章の「HA ペアの強制フェールオーバー」という項で説明しているように、現在のプライマリの障害をシミュレートすることで、フェールオーバーをテストできます。

Profiler Server での強制 HA フェールオーバー

フェールオーバー機能が完全に機能していることを確認するため、Profiler Server HA ペアを強制的にフェールオーバーして、プライマリ メンバの作業をセカンダリに転送しなければならない場合があります。これは、たとえば HA システムがテスト中であったり、プライマリの作業を HA ペアのもう一方のアプライアンスに移す必要があると判断した場合に実施するのが望ましい機能です。

コンフィギュレーション ガイドで説明しているように、Cisco NAC Profiler HA プロトコルは、HA ペアとして実装されている Profiler Server を次の 2 つの潜在的な障害モードから保護する目的で作成されています。

1. ハートビートの損失で見られるように、現在のプライマリが完全に故障した状態。

2. プライマリによるネットワーク接続が失われ、セカンダリの方がネットワーク接続できると判断された状態。後者の障害モードは、HA 設定で指定された「ping host」を PING できないことにより検出されます。これはオプションであり、すべての実装で設定されているわけではありません。

HA ペアを強制的にフェールオーバーするには、どのアプライアンスが現在プライマリであるか判断し、そのアプライアンスのハートビート プロトコルを一時的にディセーブルにするのが望ましい方法です。フェールオーバー後、ハートビートが再設定され、HA ペアを通常の動作に戻すことができます。プライマリの作業は、最初にセカンダリ ロールにあったアプライアンスに残ります。

この手順を行うとき、HA ペアの初期設定後、または HA ペア内でフェールオーバーが発生した後のいずれかのタイミングで、システムをフェールバックする前に、データベース同期が完全に完了するまで十分時間をとることが重要です。このプロセスの所要時間はデータベースのサイズにもよりますが、ほとんどの場合、初期設定後または強制フェールオーバー後 15 ~ 30 分間経ってから、再度システムをフェールオーバーすることをお勧めします。システムが安定するまで十分な時間を与えず、繰り返し強制的に HA ペアをフェールオーバーすると、好ましくない動作が発生し、システム動作を安定させるため、HA プロトコルを削除し、再設定しなけばならなくなる場合があります。

次の手順に従って HA ペアを強制的にフェールオーバーします。

1. フェールオーバーする HA ペアの現在のプライマリ アプライアンスの eth0 インターフェイスにユーザ ビーコンとして SSH します。現在どのアプライアンスがプライマリかわからない場合は、この章の手順に従って、プライマリ アプライアンスを判断します。フェールオーバー中セッションがアクティブ状態を保つよう、SSH セッションは VIP ではなく eth0 インターフェイス IP に対して確立する必要があります。

2. ディレクトリを /usr/beacon/sql に変更し、./chk_status_master.sh を実行して、現在のシステムがプライマリにあることを確認します(「is master」が戻されます)。

3. su - でユーザを root に切り替えます。

4. 現在セカンダリで、フェールオーバーするとプライマリになる、ペアのもう一方のアプライアンスの eth0 インターフェイスに SSH します。

5. ディレクトリを /usr/beacon/sql に変更し、./chk_status_master.sh を実行して、実際システムが現在セカンダリにあることを確認します(「is slave」が戻されます)。

6. ペアをフェールオーバーする準備ができたら、現在のプライマリにある SSH セッションに戻り、次のコマンドを入力してプライマリからセカンダリへのハートビートを一時的に停止します。これで目的のフェールオーバーが行われます。

service heartbeat stop
 

7. 数秒間待ち、SSH セッションから以前のセカンダリへと戻ります。これは、現在のプライマリになっているはずです。./chk_status_master.sh を実行して、システムがプライマリになっていることを確認し、これが当てはまっていることを確認します(「is master」が戻されます)。

8. 以前はプライマリで現在はセカンダリのアプライアンスで、root で次のコマンドを実行し、再度ハートビートを起動します。

service heartbeat start
 

9. 終了してビーコン ユーザに戻り、./chk_status_master.sh を実行してシステムが現在セカンダリであることを確認します(「is slave」が戻されます)。これで、システムは正常にフェールオーバーされました。

この時点で、プライマリ作業のスワップ後、システムは HA モードで動作しているはずです。この章の前半部分で説明した手順に従って、HA プロトコルの動作を完全に確認できます。システムをフェールバックしたい場合は、この項の前半部分で説明したように、データベース同期のために十分時間をとった後に、上記の手順を繰り返してフェールバックできます。

HA の一時的なディセーブル

ハイ アベイラビリティ サービスは、アクティブな HA ペアで一時的にディセーブルにできます。このプロセスでフェールオーバーをディセーブルにできますが、ペアのメンバからは基本的な HA 設定を削除できません。HA を一時的にディセーブルにするには、次の手順を実行します。

1. 必要に応じて、この章で指定した手順に従って、ペアの現在のセカンダリ メンバを識別します。システムへ SSH セッションを確立し、root アクセスに昇格させます(su -)。

2. 次のコマンドを発行して、セカンダリの HA システムをディセーブルにします。

/root/.resetProfiler disableHA
 

3. 次のメッセージが表示され、確認を求められます。

[root@BeaconHA2 ~]# /root/.resetProfiler disableHA
This script will disable the HA system but not remove the base configuration.
 
If you wish to disable the HA system please type 'yes':

4. 「yes」と入力し、HA システムのディセーブルを続けます。HA サービスがセカンダリでディセーブルにされると、次のメッセージが表示されます。

Cleaning up DB synch files
Stopping the HA
 
Stopping heartbeat. This may take up to three minutes.
Stopping High-Availability services:
[ OK ]
 
HA disabled on this system.
HA *must* be disabled on the alternate host to prevent
the DB from caching all changes until the drive fills up.
 
'/root/.resetProfiler restartHA' will restart the HA.
 

ペアのもう一方のメンバでの HA のディセーブルに関するメッセージをメモします。HA サービスがディセーブルにされた後でも、プライマリが HA サービスを継続して実行し、セカンダリのデータベースがアップデートされ続けることがないよう、プライマリの HA もディセーブルにすることが大切です。ペアのメンバ間で正常に通信が行われないと、プライマリに不完全なデータベース同期試行がキャッシュされ、データベースのいくつかの表のサイズがすぐに大きくなってしまいます。これは、次に説明するように、プライマリの HA をディセーブルにすることで防ぐことができます。

5. この手順を繰り返して、プライマリの HA サービスをディセーブルにします。プライマリの eth0 IP アドレスに SSH し、root に昇格させて、プライマリで root/.resetProfiler disableHA スクリプトを実行します。「yes」と入力し、プライマリの HA サービスがシャットダウンされるのを確認します。

6. 既存の基本設定を使用して HA サービスを復元するには、ペアの HA をディセーブルにする前にプライマリだったシステムから復元します。root で次のコマンドを入力します。

/root/.resetProfiler restartHA

この結果、次のメッセージが表示されます。

[root@BeaconHA1 ~]# /root/.resetProfiler restartHA
 
This script will restart the HA system from the base configuration.
 
If you wish to restart the HA system please type 'yes':
 
Type 'yes' to continue and observe the following messages as the service restarts on the Primary member of the pair:
 
Restarting the HA
 
Stopping heartbeat. This may take more than three minutes.
Stopping High-Availability services:
[ OK ]
Starting High-Availability services:
2007/12/28_15:27:51 INFO: Resource is stopped
[ OK ]
 
HA *must* be running/restarted on the alternate host to prevent
the DB from caching all changes until the drive fills up.
[root@BeaconHA1 ~]#
 

7. セカンダリで同じ手順を繰り返し、HA ペアのもう一方のメンバの HA サービスを再起動し、セカンダリのサービスが正常に再起動されたことを確認します。

これで HA ペアは通常の動作に復元され、この章で説明している手順に従って HA の動作を確認できます。

Profiler Server からの HA 設定の永久削除

HA サービスを Profiler Server アプライアンスから永久に削除する必要がある場合は、次の手順に従って、現在 HA モードで動作しているアプライアンスから基本 HA 設定を完全に削除します。これは Profiler Server HA ペアを 1 つのアプライアンスである、スタンドアロン モードに戻したい場合に必要になる場合があります。

この手順が完了すると、最初にペアのプライマリだったアプライアンスは、HA の削除後に Cisco NAC Profiler システムのスタンドアロンとして動作するよう設定されています。ペアのセカンダリ メンバだったアプライアンスは、アプライアンスを再度使用する前に、再設定する必要があります。既存の設定とデータベースが完全に削除されていることを確認するため、できるだけアプライアンスを再イメージ処理する必要があります。Profiler Server アプライアンスの再イメージ処理については、シスコシステムズ サポートにご連絡ください。

1. アプライアンスの eth0 IP アドレスに SSH し、root アクセスに昇格させます。この手順をアクティブな HA ペアで実施している場合は、セカンダリ アプライアンスから実施することをお勧めします。

2. 次のスクリプトを実行し、HA 基本設定を永久に削除します。

/root/.resetProfiler removeHA
 

3. プライマリ アプライアンスで上記の手順を実行し、プライマリの基本 HA 設定を削除します。

4. service profiler restart コマンドでシステムを再起動します。再起動すると、ペアの以前のプライマリ メンバはスタンドアロン Profiler Server として動作しています。

5. すでに HA ペア設定にあったアプライアンスを接続しているネットワーク クロスケーブルを取り外します。

6. HA 設定の削除前にセカンダリだったアプライアンスを再利用する場合は、Cisco NAC Profiler システム ソフトウェアがそのアプライアンスに再インストールされており、すべての設定データとデータベース データが再設定前に削除されていることを確認することを強くお勧めします。

Profiler Server の工場出荷時の状態への復帰

あるシステムのすべての設定情報を削除し、「工場出荷時の」状態に戻したい場合があります。たとえば、設定に重大なエラーがあり、クリーンな設定を最初から行いたい場合、この手順で Profiler を停止、削除、交換し、設定の問題を解決するため起動スクリプトを再実行できます。


) この手順は、研究環境または実動環境で設定および使用されているシステムで使用する目的では作成されていません。設定および使用されているシステムを正しく戻すには、アプライアンスを再イメージ処理します。Profiler Server の再イメージ処理方法と必要なソフトウェアについては、シスコシステムズ テクニカルサポートにご連絡ください。両方の場合で、すべての設定パラメータとデータベース情報が削除されます。


次の手順により、設定プロセス中に Profiler Server を工場出荷時の状態に戻します。

1. 工場出荷時の状態に戻すシステムにコンソール セッションを開始し、root アクセスに昇格させます(アプライアンスの IP パラメータが変更されていない場合は、SSH を使用することもできます)。

2. 次のコマンドを入力し、工場出荷時スクリプトを起動します。

/root/.resetProfiler factory
 

3. スクリプトが起動されると、端末に次のメッセージが表示され、引き続きユーザによる入力を求められます。

This script will stop, remove, and replace the Profiler. Its intended use is to clean up an incorrectly configured installation. It should not be used on a system that has already been installed and used in a production network.
 
If you wish to reset the Profiler please type 'yes':
 

4. コロンの後に「yes」と入力し、Enter キーを押して次に進みます。

5. スクリプトが完了すると、コマンド プロンプトに戻ります。システムから完全にログアウトし、root で再度ログインします(root とビーコンの LINUX パスワードは、工場出荷時スクリプトでは変更されません)。root で再度ログインしたときに、端末に次のメッセージが表示され、アプライアンス起動スクリプトが起動します。

Welcome to the NAC Profiler Endpoint Profiler.
 
Hit any key to create the initial configuration (or ^c to exit):
 

6. Enter キーを押して、アプライアンスの設定を続けます。

LINUX のビーコンおよび root アカウントの パスワードの変更

Cisco NAC Profiler Server アプライアンスにはそれぞれ、アプライアンスのコマンドライン操作に使用する 2 つの LINUX アカウントがあります。

Profiler Server アプライアンスで使用する LINUX アカウントのパスワードは、次の手順で変更できます。

1. ターゲット アプライアンスに root ユーザとしてコンソール セッションまたは SSH セッションを開始し(SSH の場合は su - を使用して root に昇格)、次のコマンドを入力します。

passwd beacon:ビーコン パスワードの変更

passwd root:root パスワードの変更


) 新しく入力したパスワードに、辞書に載っている単語が含まれていると、より強力なパスワードを使用するよう警告が出されます。より強力なパスワードを入力するか、元のパスワードを再入力して、警告を無効にしてから、パスワードを変更します。


Cisco NAC Profiler システム設定でのステール ネットワーク デバイスの識別

NetMap モジュールの使用中に Cisco NAC Profiler システム設定に追加されたネットワーク デバイスは、Server モジュール設定で指定されたパラメータにしたがって SNMP 経由で定期的にポーリングされます。たとえば、Cisco NAC Profiler 設定を変更せずに SNMP コミュニティ ストリングがデバイスで変更されている場合など、ネットワーク デバイスがその割り当てられた NetMap モジュールにより到達不能になる場合があります。ネットワーク デバイスの Table([Configuration] タブから [Network Devices]、[List Network Devices] の順番に選択)に、設定にある各デバイスの「Last Scan」日時が表示されます。しかし大規模環境では、最近スキャンされたネットワーク デバイスを識別するのは難しい場合が多々あります。

Cisco NAC Profiler システムには、ポーリングできなかった期間が 3 日間を超えた構成にあるデバイスを検出するためのスクリプトがあります。Cisco NAC Profiler 設定のステール ネットワーク デバイスを検出するには、Profiler Server で次の手順を実行します。


) HA システムで、SSH セッションを Profiler Server ペアの VIP に開始して、プライマリで次を実行します。


1. システムの Server モジュール(HA ペアの VIP)を実行しているスタンドアロン Profiler Server の管理インターフェイス(eth0)に SSH します。

2. ディレクトリを /usr/beacon/scripts(cd usr/beacon/scripts)に変更します。

3. そのディレクトリに testDevices.pl というスクリプトがあります。Profiler Server データベース パスワードは、デフォルトの「profiler」から変更された場合、引数として受け取られます。

4. ./testDevices.pl [profilerdb pass] を入力してスクリプトを実行します。

コマンドラインに次のメッセージが表示されます。

DBI connect('dbname=beacon','beacon',...) failed: FATAL: password authentication failed for user "beacon"
at ./testDevices.pl line 17
Can't connect to db

この場合、指定されたパスワード(パスワードを引数として指定していない場合はデフォルト)は正しくありません。Profiler Server DB パスワードを決定し、スクリプトを再実行します。

5. ポーリングされていない期間が 3 日間を超えるすべてのデバイスが識別され、該当するネットワーク デバイスがない場合は出力はなく、コマンド プロンプトに戻ります。

6. ポーリングされていない期間が 3 日間を超えるネットワーク デバイスがある場合は、まず SNMP 経由でデバイスに接続しようとし、Profiler Server で直接デバイスに接続できるかどうか判断するためにデバイスを PING します。両方のテストで不合格だったデバイスについて、次のメッセージが表示されます。

Timeout: No Response from 10.50.0.1
BAD 10.50.0.1 NO PING