ネットワーク管理コンフィギュレーション ガイド、 Cisco IOS XE Release 3S
基本的なシステム管理の実行
基本的なシステム管理の実行
発行日;2012/02/01 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

基本的なシステム管理の実行

機能情報の検索

目次

基本的なシステム管理作業の一覧

システム名の設定

CLI プロンプトのカスタマイズ

コマンド エイリアスの作成と表示

マイナー サービスの制御

BOOTP サーバの制御

Finger プロトコルの制御

Telnet アドレスの非表示化

時刻サービスとカレンダー サービスの設定

時刻源の概要

Network Time Protocol

NTP の設定

ポーリング ベースの NTP アソシエーションの設定

ブロードキャスト ベースの NTP アソシエーションの設定

NTP アクセス グループの設定

NTP 認証の設定

特定のインターフェイス上の NTP サービスのディセーブル化

NTP パケットの送信元 IP アドレスの設定

正規の NTP サーバとしてのシステムの設定

時刻と日付の手動設定

時間帯の設定

サマー タイム(夏時間)の設定

ソフトウェア クロックの手動設定

時刻サービスとカレンダー サービスのモニタリング

アイドルな Telnet 接続の処理

負荷データの間隔の設定

TCP トランザクション数の制限

スイッチングおよびスケジューリング プラオリティの設定

システム バッファ サイズの変更

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

基本的なシステム管理の実行の機能情報

基本的なシステム管理の実行

この章では、Cisco IOS XE ソフトウェアの一般的なシステム機能(つまり、通常は特定のプロトコルに固有でない機能)を管理するために実行できる基本的な管理作業について説明します。

機能情報の検索

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「基本的なシステム管理の実行の機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

基本的なシステム管理作業の一覧

システムの一般的な機能をカスタマイズするには、次の項で任意の作業を実行します。この章のすべての作業は任意です。ただし、一部の作業(時刻サービスやカレンダー サービスの設定など)については、実行することを強く推奨します。

システム名の設定(推奨)

CLI プロンプトのカスタマイズ

コマンド エイリアスの作成と表示

マイナー サービスの制御(推奨)

Telnet アドレスの非表示化

時刻サービスとカレンダー サービスの設定(推奨)

アイドルな Telnet 接続の処理

負荷データの間隔の設定

TCP トランザクション数の制限

スイッチングおよびスケジューリング プラオリティの設定

システム バッファ サイズの変更

システム名の設定

最も基本的なシステム管理作業は、システム(ルータ、アクセス、サーバ、スイッチなど)への名前の割り当てです。システム名(ホスト名とも呼ばれます)は、ネットワーク内のシステムを識別するために使用します。システム名は CLI プロンプトに表示されます。名前を設定していない場合は、システムのデフォルト名である Router になります。デバイスの名前を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# hostname name

ホスト名を設定します。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

CLI プロンプトのカスタマイズ

デフォルトでは、CLI プロンプトは、システム名とそれに続く山カッコ(>)(EXEC モードの場合)またはポンド記号(#)(特権 EXEC モードの場合)で構成されます。ご使用のシステムの CLI プロンプトをカスタマイズするには、必要に応じてグローバル コンフィギュレーション モードで次のいずれかのコマンドを使用してください。

 

コマンド
目的

Router(config)# prompt string

CLI プロンプトをカスタマイズします。

Router(config)# no service prompt config

コンフィギュレーション プロンプト(config)を削除します。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

コマンド エイリアスの作成と表示

コマンド エイリアスを使用して、コマンドの代替構文を設定できます。よく使用するコマンドや複雑なコマンドのエイリアスを作成することもできます。たとえば、エイリアス save config copy running-config startup-config コマンドに割り当てると、タイプ量を減らすことができます。また、ユーザにとって save config コマンドの方が覚えやすいはずです。自分またはユーザ コミュニティのためにコマンド構文を調整する場合は、単語の置換または省略形を使用します。

コマンド エイリアスを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# alias mode alias-name alias-command-line

コマンド エイリアスを設定します。

システムに現在設定されているコマンド エイリアスのリスト、およびそれらのエイリアスの元のコマンド構文を表示するには、EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# show aliases [ mode ]

すべてのコマンド エイリアスと元のコマンド構文、または指定されたコマンド モードだけのエイリアスを表示します。

設定するすべてのエイリアスはシステム上だけでイネーブルになること、および元のコマンド構文は設定ファイル内に表示されることに注意してください。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

マイナー サービスの制御

マイナー サービスは、ルーティング デバイス上で稼動する「小さなサービス」であり、基本的なシステム テストおよび基本的なネットワーク機能の提供において役立ちます。マイナー サービスは、ネットワーク上の別のホストから接続テストを行う場合に便利です。

シスコのスモール サーバは、概念的にはデーモンと同じです。

TCP スモール サーバは、次のマイナー サービスを提供します。

echo:すべての入力内容をエコー バックします。このサービスをテストするには、リモート ホストから telnet a.b.c.d echo コマンドを発行します。

chargen:ASCII データのストリームを生成します。このサービスをテストするには、リモート ホストから telnet a.b.c.d chargen コマンドを発行します。

discard:入力内容をすべて廃棄します。このサービスをテストするには、リモート ホストから telnet a.b.c.d discard コマンドを発行します。

daytime:NTP が設定されている場合、または日付と時刻が手動で設定されている場合に、システムの日付と時刻を返します。このサービスをテストするには、リモート ホストから telnet a.b.c.d daytime コマンドを発行します。

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)スモール サーバは、次のマイナー サービスを提供します。

Echo:送信されたデータグラムのペイロードをエコーします。

chargen:送信されたデータグラムを廃棄し、CR+LF(復帰と改行)で終端された 72 文字の ASCII 文字列で応答します。

discard:送信されたデータグラムを破棄し、自動的に廃棄します。

TCP または UDP サービスをイネーブルにするには、必要に応じて、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# service tcp-small-servers

マイナー TCP サービスである echo、chargen、discard、および daytime をイネーブルにします。

Router(config)# service udp-small-servers

マイナー UDP サービスの echo、chargen、discard、および daytime をイネーブルにします。

マイナー サービスは誤使用の可能性があるため、これらのコマンドはデフォルトでディセーブルになっています。


注意 マイナー サービスをイネーブルにすると、特定のタイプのサービス拒絶攻撃(UDP 診断ポート攻撃など)が発生する可能性が生まれます。したがって、UDP、TCP、BOOTP または Finger サービスを提供するすべてのネットワーク デバイスをファイアウォールで保護するか、これらのサービスをディセーブルにしておく必要があります。UDP 診断ポート攻撃の防止については、Cisco.com で入手できるホワイト ペーパー『Defining Strategies to Protect Against UDP Diagnostic Port Denial of Service Attacks』を参照してください。

これらの基本サービスをディセーブルにすると、コンフィギュレーション ファイル内に service tcp-small-servers コマンドおよび service udp-small-servers コマンドの no 形式が表示されます。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

BOOTP サーバの制御

ルーティング デバイスの非同期回線 Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)サービスをイネーブルまたはディセーブルにできます。このスモール サーバは、デフォルトでイネーブルになっています。セキュリティ上の考慮事項により、このサービスを使用しない場合はディセーブルにしておく必要があります。お使いのプラットフォーム上で BOOTP サーバをディセーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# no ip bootp server

BOOTP サーバをディセーブルにします。

Dynamic Host Configuration Protocol(DHCP)はブートストラップ プロトコルに基づいているため、これらのサービスは、(インターネット標準および Request For Comments(RFC)により)「ウェルノウン」UDP サーバ ポート 67 を共有します。BOOTP の詳細については、RFC 951 を参照してください。BOOTP と DHCP の相互運用性は、RFC 1534 で規定されています。DHCP は、RFC 2131 で規定されています。DHCP サービス(DHCP リレーおよび DHCP サーバ)をディセーブルにするには、 no service dhcp コマンドを使用します。DHCP サービスをイネーブルにしたまま BOOTP サービスをディセーブルにするには、 ip dhcp bootp ignore コマンドを使用します。

Finger プロトコルの制御

Finger プロトコルを使用すると、ネットワーク全体のユーザは、現在特定のルーティング デバイスを使用しているユーザのリストを取得できます。表示される情報には、回線番号、接続名、アイドル時間。および端末の場所が含まれます。この情報は、Cisco IOS XE ソフトウェアの show users EXEC コマンドを使って確認できます。

シスコ デバイス上で Finger(ポート 79)要求への応答をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ip finger

システムが Finger 要求に応答できるようにするための Finger プロトコル サービスをイネーブルにします。

RFC 1288 に準拠するように finger プロトコルを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ip finger rfc-compliant

Finger 要求の処理時に「Return」または「/W」の入力を待つようにデバイスを設定します。

このコマンドの 2 つの形式の違いは次のとおりです。 ip finger コマンドが設定されている場合、ルータは、リモート ホストからの telnet a.b.c.d finger コマンドに対して、 show users コマンドの出力を即時に表示し、接続を閉じることによって応答します。 ip finger rfc-compliant コマンドを設定すると、ルータは、出力を表示する前に、入力を待ちます。その後、リモート ユーザは Return キーを押して show users コマンドの出力を表示したり、 /W を入力して show users wide コマンドの出力を表示したりできます。この情報が表示されたら、接続が閉じます。

Telnet アドレスの非表示化

Telnet セッションの確立を試行する間、アドレスを非表示にできます。Telnet アドレスを非表示にするようにルータを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ip telnet hidden { addresses | hostnames }

Telnet セッションが確立されたときに IP アドレスまたはホスト名を非表示にします。

非表示機能によって、アドレスの表示が抑制され、接続の試行時に通常表示されるその他のすべてのメッセージ(接続に失敗した場合の詳細なエラー メッセージなど)は引き続き表示されます。

Telnet 接続の試行中に表示される情報をカスタマイズするには、 busy-message ライン コンフィギュレーション コマンドを service hide-telnet-address コマンドとともに使用します。接続試行が失敗した場合、ルータではアドレスが抑制され、 busy-message コマンドで指定されたメッセージが表示されます。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

時刻サービスとカレンダー サービスの設定

すべてのCisco ルータには、一連の Time-of-Day サービスが用意されています。これらのサービスにより、ルータは、現在の時刻と日付を正確に追跡し、複数のデバイスを同じ時刻に同期させ、他のシステムに時刻サービスを提供できます。ここでは、時刻サービスとカレンダー サービスの概念および関連作業について説明します。

時刻源の概要

NTP の設定

時刻と日付の手動設定

時刻サービスとカレンダー サービスのモニタリング

時刻源の概要

システム上の時刻データのプライマリ ソースは、ソフトウェア クロックです。このクロックはシステムが起動した瞬間から稼動して、現在の日付と時刻を追跡します。ソフトウェア クロックは多数のソースから設定でき、さまざまなメカニズムを介して他のシステムに現在の時刻を配信するために使用できます。ハードウェア クロックが内蔵されたルータを初期化または再起動すると、ハードウェア クロックの時刻に基づいてソフトウェア クロックが初期設定されます。その後、ソフトウェア クロックは次のソースによって更新できます。

Network Time Protocol(NTP; ネットワーク タイム プロトコル)

手動設定(ハードウェア クロックを使用)

ソフトウェア クロックは動的に更新できるため、ハードウェア クロックよりも正確である可能性があります。

ソフトウェア クロックは次のサービスに時刻を提供できます。

アクセス リスト

NTP

ユーザの show コマンド

ロギング メッセージとデバッグ メッセージ

ソフトウェア クロックは、Greenwich Mean Time(GMT; グリニッジ標準時)とも呼ばれる Coordinated Universal Time(UTC; 世界標準時)に基づいて内部的に時刻を追跡します。ローカル時間帯に対して時刻が正しく表示されるように、地域の時間帯とサマー タイム(夏時間)に関する情報を設定できます。

ソフトウェア クロックは、時刻が「正規」であるかどうか(つまり、信頼できると見なされる時刻源によって設定されたかどうか)を追跡します。正規でない場合、時刻は表示のためだけに使用でき、再配信されません。

Network Time Protocol

Network Time Protocol(NTP; ネットワーク タイム プロトコル)は、マシンのネットワークで時間を同期化するよう設計されたプロトコルです。NTP は UDP 上で動作することから、NTP は IP 上で動作します。NTP バージョン 3 は、RFC 1305 に記載されています。

NTP ネットワークは通常、タイム サーバに接続されたラジオ クロック、アトミック クロックなど、信頼できる時刻源から時刻を取得します。その後、NTP はこの時刻をネットワークを介して配信します。NTP はきわめて効率的です。毎分 1 パケットだけで、2 台のマシンが相互に 1 ミリ秒以内の精度で同期します。

NTP では「層」(stratum)の概念を使用して、マシンが正規の時刻源からどれだけ離れているかを NTP の「ホップ数」で表します。「Stratum 1」タイム サーバには、通常、正規の時刻源(ラジオ クロックやアトミック クロック、または GPS などの時刻源)が直接接続されています。「Stratum 2」タイム サーバは、NTP を介して「Stratum 1」タイム サーバから時刻を受信し、後続のタイム サーバが順に時刻を受信します。

NTP では、時刻が正確でない可能性があるマシンとの同期を 2 つの方法で回避します。まず、NTP は、それ自身が同期されていないマシンには同期しません。次に、NTP は、複数のマシンによって報告された時刻を比較し、時刻が他と大きく異なるマシンには、下位の層であっても同期しません。この方法により、NTP サーバの自己編成型ツリーが効率的に構築されます。

シスコによる NTP の実装では、Stratum 1 サービスはサポートされません。つまり、ラジオ クロックやアトミック クロックには接続できません(ただし、一部のプラットフォームでは、GPS 時刻源デバイスを接続できます)。ネットワークのタイム サービスは、IP インターネットで利用できるパブリックな NTP サーバから取得することを推奨します。

ネットワークがインターネットから切り離されている場合、NTP のシスコ実装では、実際には他の手段で時刻が決定されていても、NTP を介して同期されているかのようにマシンの動作を設定できます。他のマシンは、そのマシンと NTP で同期できます。

多くの製造業者は、そのホスト システムに NTP ソフトウェアを含めているため、UNIX が稼動するシステム用に公開されているバージョンおよびその派生商品を使用できます。また、このソフトウェアにより、UNIX 派生サーバは、(その後、Cisco ルータに時刻情報を伝播する)アトミック クロックから時刻を直接取得することもできます。

NTP を実行しているマシン間の通信(「アソシエーション」)は、通常、スタティックに設定されています。つまり、各マシンには、アソシエーションの形成に関与するすべてのマシンの IP アドレスが割り当てられています。正確なタイムキーピングは、アソシエーションを持つマシンのペア間で NTP メッセージを交換することによって実現されます。

しかし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。この代替手段では、各マシンが単にブロードキャスト メッセージの送受信を行うように設定できるため、設定の複雑さが緩和されます。ただし、情報の流れが一方向に限定されるため、タイムキーピングの精度がわずかに低下します。

マシン上で維持される時刻はクリティカルなリソースであるため、NTP のセキュリティ機能を使用して、不正な時刻を誤って(または悪意を持って)設定できないように保護することを強く推奨します。これには、アクセス リスト ベースの制約方式と暗号化認証メカニズムの 2 つのメカニズムを使用できます。

複数の時刻源(VINES、ハードウェア クロック、手動設定)を使用できる場合、NTP は常により信頼できると見なされます。NTP 時刻は、他の方法で設定された時刻よりも優先されます。

NTP の設定

すべてのインターフェイス上で、NTP サービスはデフォルトでディセーブルになっています。ここでは、ネットワーキング デバイス上で実行できる任意の作業について説明します。

ポーリング ベースの NTP アソシエーションの設定

ブロードキャスト ベースの NTP アソシエーションの設定

NTP アクセス グループの設定

NTP 認証の設定

特定のインターフェイス上の NTP サービスのディセーブル化

NTP パケットの送信元 IP アドレスの設定

正規の NTP サーバとしてのシステムの設定

ポーリング ベースの NTP アソシエーションの設定

NTP を実行しているネットワーキング デバイスは、時刻を基準時刻源と同期する際にさまざまなアソシエーション モードで動作するように設定できます。ネットワーキング デバイスでネットワーク上の時刻情報を取得する方法としては、ホスト サービスのポーリングと NTP ブロードキャストのリスニングの 2 種類があります。ここでは、ポーリングベースのアソシエーション モードについて説明します。ブロードキャスト ベースの NTP アソシエーションについては、次のセクションで説明します。

最も一般的に使用される 2 つのポーリングベースのアソシエーション モードは次のとおりです。

クライアント モード

対称アクティブ モード

クライアント モードと対称アクティブ モードは、高レベルの時刻の精度と信頼性を提供するために NTP が必要になる場合に使用します。

クライアント モードで動作しているネットワーキング デバイスは、自身に割り当てられている時刻提供ホストをポーリングして現在の時刻を取得します。次に、ネットワーキング デバイスは、ポーリングしたすべてのタイム サーバの中から、同期するホストを選択します。この場合に確立される関係はクライアントとホストの関係であるため、ホストは、ローカル クライアント デバイスによって送信された時刻情報をキャプチャしたり、使用したりしません。このモードは、形式を問わず、他のローカル クライアントへの時間の同期を行う必要がないファイルサーバおよびワークステーション クライアントに最適です。ネットワーキング デバイスを同期させる時刻提供ホストを個別に指定し、クライアント モードで動作するようにネットワーキング デバイスを設定するには、 ntp server コマンドを使用します。

対称アクティブ モードで動作しているネットワーキング デバイスは、自身に割り当てられている時刻提供ホストをポーリングして現在の時刻を取得し、そのホストによるポーリングに応答します。これはピアツーピア関係であるため、ホストは通信先のローカル ネットワーキング デバイスの時間関連情報も保持します。このモードは、さまざまなネットワーク パスを介して相互接続される多数の冗長サーバが存在する場合に使用する必要があります。現在、インターネット上のほとんどの Stratum 1 および Stratum 2 サーバは、この形式のネットワーク設定を採用しています。ネットワーキング デバイスを同期させる必要がある時刻提供ホストを個別に指定し、対称アクティブ モードで動作するようにネットワーキング デバイスを設定するには、 ntp peer コマンドを使用します。

各ネットワーキング デバイスに設定する必要のある特定のモードは、主に計時デバイス(サーバまたはクライアント)に想定するロール、および Stratum 1 計時サーバへのプロキシミティによって決まります。

ネットワーキング デバイスは、クライアント モードでクライアントまたはホストとして動作する場合、または対称アクティブ モードでピアとして動作する場合にポーリングに関与します。通常、ポーリングによってメモリおよび CPU リソース(帯域幅など)が損なわれることはありませんが、システム上で進行または同時実行しているポーリングの数がきわめて多い場合には、システムのパフォーマンスに深刻な影響があったり、特定のネットワークのパフォーマンスが低下したりする可能性があります。過剰な数のポーリングがネットワーク上で進行することを防止するには、直接的なピアツーピア アソシエーションまたはクライアントからサーバへのアソシエーションを制限する必要があります。代わりに、NTP ブロードキャストを使用して、ローカライズされたネットワーク内で時刻情報を伝播することを検討します。

 

コマンド
目的

Router(config)# ntp peer ip-address [ normal-sync ] [ version number ] [ key keyid ] [ source interface ] [ prefer ]

別のシステムとのピア アソシエーションを形成します。

Router(config)# ntp server ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ]

別のシステムとのサーバ アソシエーションを形成します。

設定する必要があるのはアソシエーションの 1 つのシステムのみであることに注意してください。もう一方のシステムでは自動的にアソシエーションが確立されます。


注意 copy running-config startup-config コマンドを入力してコンフィギュレーションを NVRAM に保存すると、常に変化している補正係数を反映するために ntp clock-period コマンドが自動的に生成されます。ntp clock-period は、手動で使用しないでください。コンフィギュレーション ファイルを他のデバイスにコピーすると、このコマンドラインは削除されます。

ブロードキャスト ベースの NTP アソシエーションの設定


) Cisco ASR 1000 シリーズ集約サービス ルータの管理インターフェイス(GigabitEhternet0)では、ブロードキャスト ベースの NTP アソシエーションがサポートされません。


ブロードキャスト ベースの NTP アソシエーションは、時刻の精度および信頼性要件が適度であり、ネットワークがローカライズされ、クライアント数が多数の(20 を超える)場合に使用します。また、帯域幅、システム メモリ、または CPU リソースが制限されているネットワークにおいても、ブロードキャスト ベースの NTP アソシエーションの使用を推奨します。

ネットワーキング デバイスがブロードキャスト クライアント モードで動作している場合、ポーリングに関与しません。代わりに、ブロードキャスト タイム サーバによって転送される NTP ブロードキャスト パケットをリスンします。その結果、時刻情報の流れが一方向に限られるため、時刻の精度がわずかに低下する可能性があります。

ネットワークを通じて伝播される NTP ブロードキャスト パケットをリスンするようにネットワーキング デバイスを設定するには、 ntp broadcast client コマンドを使用します。ブロードキャスト クライアント モードが動作するためには、ブロードキャスト サーバとそのクライアントが同じサブネット上に存在する必要があります。また、 ntp broadcast コマンドを使用して、NTP ブロードキャスト パケットを送信しているタイム サーバを特定のデバイスのインターフェイス上でイネーブルにする必要もあります。

特定のインターフェイスが NTP ブロードキャストを送信するように設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ntp broadcast [ version number ]

指定されたインターフェイスが NTP ブロードキャスト パケットを送信するように設定します。

特定のインターフェイスが NTP ブロードキャストを受信するように設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ntp broadcast client

指定されたインターフェイスが NTP ブロードキャスト パケットを受信するように設定します。

デバイスと NTP ブロードキャスト サーバの間の推定ラウンドトリップ遅延を手動で設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ntp broadcastdelay microseconds

NTP ブロードキャストの推定ラウンドトリップ遅延を調整します。


注意 copy running-config startup-config コマンドを入力してコンフィギュレーションを NVRAM に保存すると、常に変化している補正係数を反映するために ntp clock-period コマンドが自動的に生成されます。ntp clock-period は、手動で使用しないでください。コンフィギュレーション ファイルを他のデバイスにコピーすると、このコマンドラインは削除されます。

NTP アクセス グループの設定

アクセス リスト ベースの制約方式を使用すると、ネットワーク全体、ネットワーク内のサブネット、またはサブネット内のホストへの特定のアクセス権限を付与または拒否できます。NTP アクセス グループを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ntp access-group { query-only | serve-only | serve | peer } access-list-number

アクセス グループを作成して、基本的な IP アクセス リストを適用します。

アクセス グループ オプションは、制限が最も緩いものから最も厳しいものに向かって、次の順序でスキャンされます。

1. peer :時刻要求と NTP 制御クエリーを許可し、システムがアクセス リストの基準を満たすアドレスを持つ別のシステムに同期することを許可します。

2. serve :時刻要求と NTP 制御クエリーを許可しますが、システムがアクセス リストの基準を満たすアドレスを持つ別のシステムに同期することを許可しません。

3. serve-only :アクセス リストの条件を満たすアドレスを持つシステムからの時刻要求に限り許可します。

4. query-only :アクセス リストの基準を満たすアドレスを持つ別のシステムからの NTP 制御クエリーだけを許可します。

送信元 IP アドレスが複数のアクセス タイプのアクセス リストに一致する場合は、最初のタイプが付与されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべてのデバイスに付与されます。アクセス グループが指定されている場合は、指定されたアクセス タイプだけが付与されます。

NTP 制御クエリーの詳細については、RFC 1305(NTP バージョン 3)を参照してください。

NTP 認証の設定

信頼できる形式のアクセス コントロールが必要な場合は、暗号化された NTP 認証方式を使用する必要があります。IP アドレスに基づくアクセス リスト ベースの制約方式とは異なり、暗号化認証方式では、認証キーと認証プロセスを使用して、ローカル ネットワーク上の指定されたピアまたはサーバによって送信された NTP 同期パケットが信頼できると見なされるかどうかを、一緒に伝送された時刻情報を受け入れる前に判断します。

認証プロセスは、NTP パケットが作成されるとすぐに開始されます。暗号チェックサム キーは、MD5 メッセージ ダイジェスト アルゴリズムを使用して生成され、受信側クライアントに送信される NTP 同期パケットに埋め込まれます。パケットがクライアントによって受信されると、暗号チェックサム キーが復号され、信頼できるキーのリストに対してチェックされます。一致するオーセンティケータ キーがパケットに含まれる場合、受信側クライアントは、パケットに含まれるタイムスタンプ情報を受け入れます。一致するオーセンティケータ キーが含まれていない NTP 同期パケットは無視されます。

NTP 認証で使用される暗号化および複合化プロセスでは、CPU に非常に大きな負荷がかかる場合があり、ネットワーク内で伝播される時刻の精度が大きく低下する可能性があることに注意してください。ネットワークの設定によってより包括的なアクセス コントロール モデルを許容できる場合は、代わりにアクセス リスト ベースのコントロール方式を使用することを検討してください。

NTP 認証が適切に設定されると、ネットワーク デバイスは、信頼できる時刻源と同期し、信頼できる時刻源だけに同期を提供します。ネットワーキング デバイスで暗号化された同期パケットの送受信をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# ntp authenticate

NTP 認証機能をイネーブルにします。

ステップ 2

Router(config)# ntp authentication-key number md5 value

認証キーを定義します。

キーごとに、キー番号、タイプ、および値を 1 つずつ指定します。現在、サポートされているキーのタイプは md5 のみです。

ステップ 3

Router(config)# ntp trusted-key key-number

信頼できる認証キーを定義します。

キーを信頼できる場合、このシステムは、このキーを NTP パケット内で使用する別のシステムに同期できます。

特定のインターフェイス上の NTP サービスのディセーブル化

すべてのインターフェイス上で、NTP サービスはデフォルトでディセーブルになっています。

任意の NTP コマンドを入力すると、NTP がグローバルにイネーブルになります。インターフェイス コンフィギュレーション モードで次のコマンドを使用して特定のインターフェイス上の NTP をオフにすることにより、特定のインターフェイスによる NTP パケットの受信を選択的に回避できます。

 

コマンド
目的

Router(config-if)# ntp disable

特定のインターフェイス上の NTP サービスをディセーブルにします。

NTP パケットの送信元 IP アドレスの設定

システムが NTP パケットを送信すると、通常送信元 IP アドレスは、その NTP パケットの送信元であるインターフェイスのアドレスに設定されます。すべての NTP パケットに対して特定の送信元 IP アドレスを使用する場合、グローバル コンフィギュレーション モードで次のコマンドを使用します。

すべての NTP パケットに対して特定の送信元 IP アドレスを使用する場合、このコマンドを使用します。

 

コマンド
目的

Router(config)# ntp source type number

指定されたインターフェイスの IP アドレスを、すべての NTP パケットの送信元 IP アドレスとして設定します。

指定されたインターフェイスの IP アドレスが、すべての宛先に送信されるすべての NTP パケットの送信元 IP アドレスとして使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、この章ですでに説明した ntp peer コマンドまたは ntp server コマンドで source パラメータを使用します。

正規の NTP サーバとしてのシステムの設定

システムを正規の NTP サーバにする場合は、グローバル コンフィギュレーション モードで次のコマンドを使用します。これは、システムが外部の時刻源と同期されていない場合でも同じです。

 

コマンド
目的

Router(config)# ntp master [ stratum ]

システムを正規の NTP サーバにします。


ntp master コマンドは、注意して使用してください。このコマンドを使用すると、有効な時刻源が簡単に上書きされてしまいます。低い層番号を設定する際には、特に注意する必要があります。ntp master コマンドを使用して同じネットワーク内に複数のマシンを設定すると、各マシンの時刻が一致しない場合にタイムキーピングが不安定になる可能性があります。


時刻と日付の手動設定

他の時刻源を使用できない場合は、システムの再起動後に現在の時刻と日付を手動で設定できます。設定した時刻は、次回システムを再起動するまで正確に維持されます。手動設定は、最後の手段としてのみ使用することを推奨します。

時刻サービスを設定するには、必要に応じて、次の項の作業を実行します。ルータを同期化できる外部ソースがある場合は、手動でソフトウェア クロックを設定する必要はありません。

時間帯の設定

サマー タイム(夏時間)の設定

ソフトウェア クロックの手動設定

時間帯の設定

Cisco IOS XE ソフトウェアで使用する時間帯を手動で設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# clock timezone zone hours-offset [ minutes-offset ]

時間帯を設定します。 zone 引数は、時間帯の名前です(通常は標準略語)。 hours-offset 引数は、 UTC との時間帯の時差(時間数)です。 minutes-offset 引数は、UTC との時間帯の時差(時間数)です。


ヒント clock timezone コマンドの minutes-offset 引数は、ローカル時間帯が UTC/GMT と 1 時間の何 % 異なるかによって表される場合に使用できます。たとえば、アトランティック カナダの一部の地域の時間帯(Atlantic Standard Time(AST; 大西洋標準時))は UTC -3.5 です。この場合、必要なコマンドは clock timezone AST -3 30 となります。


サマー タイム(夏時間)の設定

毎年、特定の週の特定の曜日に開始し、特定の週の特定の曜日に終了するサマー タイム(夏時間)を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]]

繰り返すサマー タイムの開始日と終了日を設定します。 offset 引数は、UTC との時間帯の時差(時間数)です。

地域のサマー タイムがこのパターンに従っていない場合は、グローバル コンフィギュレーション モードで次のコマンドのいずれかを使用して、次回のサマー タイム イベントの正確な日付と時刻を設定できます。

 

コマンド
目的

Router(config)# clock summer-time zone date month date year hh : mm month date year hh : mm [ offset ]

 

または

Router(config)# clock summer-time zone date date month year hh : mm date month year hh : mm [ offset ]

特定のサマー タイムの開始日と終了日を設定します。 offset 引数は、UTC との時間帯の時差(時間数)です。

ソフトウェア クロックの手動設定

一般に、NTP や VINES クロック ソースなどの有効な外部の時刻メカニズムによってシステムが同期されている場合や、ハードウェア クロックを内蔵したルータを使用する場合には、ソフトウェア クロックを設定する必要があります。他の時刻源を使用できない場合は、次のコマンドを使用してください。このコマンドで指定する時刻は、設定されている時間帯に対応します。ソフトウェア クロックを手動で設定するには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# clock set hh : mm : ss date month year

 

または

Router# clock set hh : mm : ss month date year

ソフトウェア クロックを設定します。

時刻サービスとカレンダー サービスのモニタリング

クロック サービスおよび NTP EXEC サービスをモニタするには、必要に応じて、EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# show clock [ detail ]

ソフトウェア クロックの現在の時刻を表示します。

Router# show ntp associations [ detail ]

NTP アソシエーションのステータスを表示します。

Router# show ntp status

NTP のステータスを表示します。

アイドルな Telnet 接続の処理

Telnet 接続がアイドル状態である場合に TCP ウィンドウを 0(ゼロ)に設定するように Cisco IOS XE ソフトウェアを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# service telnet-zeroidle

Telnet 接続がアイドル状態である場合に TCP ウィンドウを 0 に設定します。

通常、現在は使用中でない Telnet 接続に送信されたデータは、受け入れ後に廃棄されます。 service telnet-zero-idle がイネーブルになっている場合、セッションが中断状態になると(つまり、他の接続がアクティブになると)、TCP ウィンドウが 0 に設定されます。この処理により、リモート ホストは、接続が再開されるまでデータを送信できません。このコマンドは、ホストから送信されたすべてのメッセージがユーザに表示されることが重要であり、ユーザが複数のセッションを使用する可能性がある場合に使用します。ホストが最終的にタイムアウトし、ウィンドウの値が 0 の TCP ユーザがログアウトする場合は、このコマンドを使用しないでください。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

負荷データの間隔の設定

負荷統計情報の演算に使用されるデータ セット全体の期間を変更できます。ダイヤル バックアップなどは、この統計情報に基づいて決定されます。負荷間隔を小さくすると、平均統計情報がより短い期間で演算され、トラフィックのバーストによく反応します。

一連のデータを負荷統計情報の計算に使用する期間の長さを変更するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# load-interval seconds

データを負荷計算に使用する期間の長さを設定します。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

TCP トランザクション数の制限

標準の TCP 実装を使用してマシン間のキーストロークを送信する場合、TCP は入力されたキーストロークごとに 1 パケットを送信する傾向があります。これにより、帯域幅を使い果たし、大規模ネットワークにおける輻輳の一因となる可能性があります。

John Nagle のアルゴリズム(RFC 896)は、TCP の小さなパケットの問題を軽減するうえで役立ちます。接続の確立後に入力された最初の文字は単一のパケットで送信されますが、TCP では、受信者が直前のパケットを確認するまで、その後入力されたすべての文字が保持されます。次に、より大きな 2 番めのパケットが送信され、確認応答が返信されるまで、その後入力されたすべての文字が保存されます。その効果は、文字をより大きなチャンクに蓄積し、任意の接続のラウンドトリップ時間と一致する速度にネットワークへの伝送速度を調整することです。この方法は、通常すべての TCP ベース トラフィックに推奨されます。

デフォルトでは、Nagle アルゴリズムはイネーブルになっていません。Nagle アルゴリズムをイネーブルにして TCP 接続の数を減らすには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# service nagle

Nagle の低速パケット回避アルゴリズムをイネーブルにします。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

スイッチングおよびスケジューリング プラオリティの設定

ネットワーク サーバの正常な動作では、スイッチング動作に必要なだけ中央処理装置を使用することが許容されます。プロセッサがルーティング プロトコルを処理する時間を許容しない、異常に重い負荷がネットワーク上で実行されている場合には、状況に応じて、システム プロセス スケジューラにプライオリティを与える必要があります。これを実行するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# scheduler interval milliseconds

プライオリティが最も低いシステム プロセスを実行せずに経過できる最大時間を定義します。

ループ プロセスの特性を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# scheduler process-watchdog { hang | normal | reload | terminate }

ループ プロセスのアクションを設定します。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

システム バッファ サイズの変更

バッファ プールの初期設定および一時バッファの作成および破棄の制限値を調整できます。そのためには、必要に応じて、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# buffers {small | middle | big | verybig | large | huge | type number } { permanent | max-free | min-free | initial } number

システム バッファ サイズを調整します。

Router(config)# buffers huge size number

huge バッファのサイズを指定した値に動的に変更します。


注意 通常は、これらのパラメータを調整する必要はありません。必ず、テクニカル サポート担当者に相談してから調整してください。不適切な設定は、システムのパフォーマンスに悪影響を及ぼします。

通常のシステム運用においては、パブリック バッファ プールとインターフェイス バッファ プールの 2 つがあります。これらは、次のように動作します。

パブリック プール内のバッファは、要求に基づいて拡大および収縮します。一部のパブリック プールは一時的なものであり、必要に応じて作成および破棄されます。その他のパブリック プールは永続的に割り当てられているため、破棄できません。パブリック バッファ プールには、small、middle、big、large、very big、および huge のラベルが付けられています。

インターフェイス プールは静的です。つまり、すべて永続的です。インターフェイスごとに 1 つのインターフェイス プールが存在します。 buffers EXEC コマンドでは、 type および number 引数を使用してインターフェイス プールを調整できます。

サーバには、キューイング エレメントのプールが 1 つと、異なるサイズのパケット バッファのパブリック プールが 6 つあります。サーバは、プールごとに、未処理のバッファの数、フリー リスト上のバッファの数、およびフリー リストに許容される最大バッファ数を記録しています。システムのバッファ プールに関する統計情報を表示するには、必要に応じて、EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router> show buffers

すべてのパブリック プール情報を表示します。

Router> show buffers address hex-addr

特定のアドレスに対するバッファ情報を表示します。

Router> show buffers all [dump | header | packet]

すべてのパブリックおよびインターフェイス プール情報を表示します。

Router> show buffers assigned [dump | header | packet]

使用中のすべてのバッファのリストを表示します。

Router> show buffers failures [dump | header | packet]

バッファ割り当てエラーを表示します。

Router> show buffers free [dump | header | packet]

使用可能なバッファを表示します。

Router> show buffers old [dump | header | packet]

1 分よりも古いバッファを表示します。

Router> show buffers input-interface interface- t ype identifier

入力インターフェイスのバッファ情報を表示します。

Router> show buffers pool pool name

すべてのインターフェイス プール情報を表示します。

Cisco IOS XE コマンドの詳細については、「参考資料」を参照してください。

参考資料

ここでは、基本的なシステム管理に関する参考資料について説明します。

関連資料

関連項目
参照先

Cisco IOS XE コマンド

Cisco IOS XE コマンドについては、
http://tools.cisco.com/Support/CLILookup で Command Lookup Tool を使用するか、または『 Cisco IOS Master Command List, All Releases 』( http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html )にアクセスしてください。

規格

規格
タイトル

新しい規格または変更された規格はサポートされていません。また、既存の規格に対するサポートに変更はありません。

--

MIB

MIB
MIB リンク

新しい規格または変更された規格はサポートされていません。また、既存の規格に対するサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

基本的なシステム管理の実行の機能情報

表 1 に、このモジュールに記載されている機能および具体的な設定情報へのリンクを示します。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS XE ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS XE ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS XE ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 基本的なシステム管理の実行の機能情報

機能名
リリース
機能情報

Network Time Protocol(NTP; ネットワーク タイム プロトコル)

Cisco IOS XE Release 2.1

この機能に関する詳細については、次の各項を参照してください。

「時刻サービスとカレンダー サービスの設定」