Cisco SCE 2000 および SCE 1000 ソフトウェア コ ンフィギュレーション ガイド
管理インターフェイスとセキュリティの設定
管理インターフェイスとセキュリティの設定
発行日;2012/01/30 | 英語版ドキュメント(2011/06/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

管理インターフェイスとセキュリティの設定

概要

管理インターフェイスとセキュリティについて

管理ポートの設定

管理インターフェイス コンフィギュレーション モードの開始

管理ポートの物理パラメータの設定

管理インターフェイスの IP アドレスとサブネット マスクの設定

オプション

管理インターフェイスの IP アドレスとサブネット マスクの設定例

管理インターフェイスの速度パラメータとデュプレックス パラメータの設定

速度とデュプレックスのインターフェイス ステートの関係

管理インターフェイスの速度を設定するには

管理インターフェイスのデュプレックス動作を設定するには

アクティブな管理ポートの設定

オプション

アクティブな管理ポートの設定例

冗長管理インターフェイス接続の設定

冗長管理ポートについて

管理インターフェイスの冗長性を設定するには

フェールオーバー モードの設定

オプション

自動フェールオーバー モードをイネーブルにするには

自動フェールオーバー モードをディセーブルにするには

管理インターフェイスのセキュリティの設定

IP フラグメント フィルタリングの設定

オプション

IP フラグメント フィルタリングをイネーブルにするには

IP フラグメント フィルタリングをディセーブルにするには

許可済みと非許可の IP アドレス モニタリングの設定

オプション

管理インターフェイス IP フィルタリングのモニタリング

使用可能なインターフェイスの設定

TACACS+ の認証、認可、アカウンティングの設定

TACACS+ の認証、認可、アカウンティングについて

SCE プラットフォームの TACACS+ クライアントの設定

ユーザ データベースを管理するには

AAA ログイン認証の設定

AAA 権限レベル認可方式の設定

AAA アカウンティングの設定

TACACS+ サーバのモニタリング

TACACS+ ユーザのモニタリング

ACL の設定

オプション

ACL のエントリを追加するには

ACL を削除するには

グローバル ACL を定義するには

Telnet インターフェイスの設定

Telnet アクセスを防ぐには

Telnet インターフェイスに ACL を割り当てるには

Telnet タイムアウトを設定するには

SSH サーバの設定

SSH サーバについて

SSH サーバの管理

SSH サーバ ステータスをモニタリングするには

SNMP インターフェイスのイネーブル化

SNMP インターフェイスをイネーブルにするには

SNMP インターフェイスをディセーブルにするには

SNMP インターフェイスの設定と管理

SNMP インターフェイスについて

SNMP インターフェイス

SNMP プロトコル

セキュリティの考慮事項

CLI

MIB

SNMP による設定

SNMP コミュニティ ストリングの設定

コミュニティ ストリングを定義するには

コミュニティ ストリングを削除するには

設定されているコミュニティ ストリングを表示するには

SNMP 通知の設定

SNMP 通知について

SNMP ホストを定義するには

パスワードの管理

パスワードについて

パスワードの変更

パスワードを変更するには

パスワード変更の正常実行の確認

パスワードの暗号化

パスワードの暗号化をイネーブルにするには

パスワードの暗号化をディセーブルにするには

パスワードのリカバリ

SCOS バージョン 2.5.5 よりも前でパスワードを回復するには

SCOS バージョン 2.5.5 またはそれ以降でパスワードを回復するには

IP の設定

IP ルーティング テーブルの設定

デフォルト ゲートウェイを設定するには

IP ルーティング テーブルにエントリを追加するには

IP ルーティング テーブルの表示

IP アドバタイジング

IP アドバタイジングの設定

現在の IP アドバタイジングの設定を表示するには

管理インターフェイスの IP アドレスの設定

オプション

管理インターフェイスの IP アドレスの設定例

タイム クロックおよびタイム ゾーンの設定

システム時間を表示するには

システム時間の表示例

カレンダー時間を表示するには

カレンダー時間の表示例

システム クロックを設定するには

オプション

システム クロックの設定例

カレンダーを設定するには

オプション

カレンダーの設定例

タイム ゾーンを設定するには

オプション

タイム ゾーンの設定例

現在のタイム ゾーン設定を削除するには

サマータイムの設定

オプション

注意事項

繰り返しのサマータイムの遷移を定義するには

繰り返しなしのサマータイムの遷移を定義するには

サマータイムの遷移の設定を取り消すには

現在のサマータイムの設定を表示するには

SNTP の設定

SNTP マルチキャスト クライアントをイネーブルにするには

SNTP マルチキャスト クライアントをディセーブルにするには

SNTP ユニキャスト クライアントをイネーブルにするには

オプション

SNTP ユニキャスト クライアントのイネーブル化の例

SNTP ユニキャスト クライアントをディセーブルにするには

SNTP ユニキャスト クライアントをディセーブルにしてすべてのサーバを削除するには

SNTP サーバを削除するには

SNTP ユニキャストの更新間隔を定義するには

オプション

SNTP ユニキャストの更新間隔の定義例

SNTP 情報を表示するには

SNTP 情報の表示例

ドメイン ネーム サーバ(DNS)の設定

DNS 検索の設定

DNS 検索をイネーブルにするには

DNS 検索をディセーブルにするには

ネーム サーバの設定

オプション

ドメイン ネーム サーバを定義するには

ドメイン ネーム サーバを削除するには

すべてのドメイン ネーム サーバを削除するには

ホスト テーブルにホストを追加するには

オプション

ホスト テーブルにホストを追加する例とホスト テーブルからホストを削除する例

現在の DNS の設定を表示するには

現在の DNS 設定の表示例

管理ポートの物理パラメータの設定

管理インターフェイスの速度パラメータとデュプレックス パラメータの設定

管理インターフェイスのデュプレックス動作を設定するには

管理インターフェイスの速度を設定するには

管理インターフェイスのモニタリング

管理インターフェイスとセキュリティの設定

概要

ここでは、物理管理インターフェイス(ポート)と、SNMP、SSH、TACACS+ のなどのさまざまな管理インターフェイスを設定する方法について説明します。また、ユーザ、パスワード、IP 設定、クロックおよび時間帯、ドメイン名を設定する方法も説明します。

「管理インターフェイスとセキュリティについて」

「管理ポートの設定」

「管理インターフェイス コンフィギュレーション モードの開始」

「管理ポートの物理パラメータの設定」

「冗長管理インターフェイス接続の設定」

「管理インターフェイスのセキュリティの設定」

「使用可能なインターフェイスの設定」

「SNMP インターフェイスの設定と管理」

「パスワードの管理」

「IP の設定」

「タイム クロックおよびタイム ゾーンの設定」

「SNTP の設定」

「ドメイン ネーム サーバ(DNS)の設定」

「管理ポートの物理パラメータの設定」

管理インターフェイスとセキュリティについて

SCE プラットフォームには、2 つの RJ-45 管理(MNG)ポートが装備されています。これらのポートにより、リモート管理コンソールから SCE プラットフォームへの LAN 接続が可能になります。

2 つの管理ポートでは、冗長管理インターフェイスをサポートし、バックアップ管理リンクの可能性を提供します。

バックアップ管理リンクのレイヤ 1 セキュリティに加え、Service Control プラットフォームにより、さらに別の管理インターフェイス セキュリティ機能が提供されます。これは、多様なタイプのTCP/IP 攻撃をモニタリングする IP フィルタです。このフィルタは、攻撃と攻撃の終了の両方を定義するしきい値レートで設定できます。


) 2 つ目の管理ポートは、SNMP インターフェイスで、それに関連するすべてのオブジェクトに反映されます。


管理インターフェイスと管理インターフェイス セキュリティを設定するには、次のタスクを実行します。

次のように、管理ポートを設定します。

物理パラメータ

アクティブ ポートを指定する(冗長インストールではない場合)

冗長性(冗長インストールの場合)

管理インターフェイス セキュリティを設定します。

IP フラグメント フィルタリングをイネーブルにする

許可済みと非許可の IP アドレス モニタリングを設定する

管理ポートの設定

管理ポートを設定するには、次のタスクを実行します。

IP アドレスとサブネット マスクを設定します(ポートごとに 1 つの IP アドレスではなく、管理インターフェイスの 1 つの IP アドレスのみ)。

次の物理パラメータを設定します。

デュプレックス

速度

次の冗長管理インターフェイスの動作を設定します(任意)。

フェールオーバー モード

フェールオーバー モードがディセーブルの場合、アクティブ ポートを指定します(任意)。

冗長管理インターフェイスでシステムを設定するには、「冗長管理インターフェイス接続の設定」の「管理インターフェイスの冗長性を設定するには」を参照してください。


ステップ 1 必要な管理ポートを、LAN 経由でリモート管理コンソールに接続して、必要な管理ポートをケーブル接続します。

ステップ 2 自動フェールオーバー モードをディセーブルにします (「自動フェールオーバー モードをディセーブルにするには」を参照)。

ステップ 3 管理ポートの物理パラメータを設定します (「管理ポートの物理パラメータの設定」を参照)。


 

管理インターフェイス コンフィギュレーション モードの開始

管理インターフェイス コンフィギュレーション モードを開始する際、設定する管理ポートの数を示す必要があります。

0/1: Mng port 1

0/2: Mng port 2

次の管理インターフェイス コマンドは、管理インターフェイス コンフィギュレーション モードの開始時に指定されたポートにのみ適用されます。したがって、各ポートは別々に設定する必要があります。

speed

duplex

次の管理インターフェイス コマンドは、管理インターフェイス コンフィギュレーション モードの開始時に指定されたポートに関係なく、両方の管理ポートに適用されます。したがって、両方のポートが 1 つのコマンドで設定されます。

ip address

auto-fail-over


ステップ 1 configure と入力し、 Enter キーを押します。

グローバル コンフィギュレーション モードがイネーブルにされます。

コマンド プロンプトが SCE(config)# に変わります。

ステップ 2 interface Mng {0/1|0/2} と入力し、 Enter キーを押します。

管理インターフェイス コンフィギュレーション モードがイネーブルにされます。


 

管理ポートの物理パラメータの設定

このインターフェイスの伝送速度は 10 または 100 Mbps で、管理動作と RDR(トラフィック分析と管理動作の出力)の伝送用にこのインターフェイスが使用されます。

「管理インターフェイスの IP アドレスとサブネット マスクの設定」

「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定」

「アクティブな管理ポートの設定」

管理インターフェイスの IP アドレスとサブネット マスクの設定

「オプション」

「管理インターフェイスの IP アドレスとサブネット マスクの設定例」

ユーザは、管理インターフェイスの IP アドレスを設定する必要があります。

冗長管理ポートの場合で、両方の管理ポートが接続されている場合、この IP アドレスは、どちらのポートがアクティブであるかに関係なく、常に、現在アクティブな管理ポートの仮想 IP アドレスとして動作します。

オプション

次のオプションを使用できます。

IP アドレス : 管理インターフェイスの IP アドレス。

両方の管理ポートが接続されている場合、バックアップ管理リンクが使用可能で、この IP アドレスは、どちらの物理ポートが現在アクティブであるかに関係なく、常に、現在アクティブな管理ポートの仮想 IP アドレスとして動作します。

サブネット マスク : 管理インターフェイスのサブネット マスク。


ステップ 1 SCE(config if)# プロンプトで、 ip address ip-address subnet-mask と入力し、 Enter キーを押します。

新規の IP アドレスとサブネット マスクに定義された新規のサブネットに含まれないルーティング テーブルのエントリがあると、このコマンドが失敗する可能性があります。


) Telnet 経由で管理インターフェイスの IP アドレスを変更すると、Telnet 接続の損失が生じ、インターネットに再接続できなくなります。



) IP アドレスの変更後、SCE プラットフォームのすべての内外のコンポーネントで変更が有効になるよう、SCE プラットフォームをリロードする必要があります (「SCE プラットフォームのリブートとシャットダウン」を参照)。



 

管理インターフェイスの IP アドレスとサブネット マスクの設定例

次に、SCE プラットフォームの IP アドレスを 10.1.1.1 に設定し、サブネット マスクを 255.255.0.0 に設定する例を示します。

SCE(config if)#ip address 10.1.1.1 255.255.0.0

管理インターフェイスの速度パラメータとデュプレックス パラメータの設定

ここでは、管理インターフェイスの速度とデュプレックスを設定する方法を説明する手順の例を示します。

これらのパラメータは、両方、各ポートで別々に設定する必要があります。

「速度とデュプレックスのインターフェイス ステートの関係」

「管理インターフェイスの速度を設定するには」

「管理インターフェイスのデュプレックス動作を設定するには」

速度とデュプレックスのインターフェイス ステートの関係

表 5-1 に、インターフェイス ステート、速度、デュプレックスの間の関係を要約します。

 

表 5-1 速度とデュプレックスのインターフェイス ステートの関係

速度
デュプレックス
実際の FEI インターフェイス ステート

Auto

Auto

自動ネゴシエーション

Auto

Full

自動ネゴシエーション

Auto

Half

自動ネゴシエーション

10

Auto

自動ネゴシエーション(デュプレックスのみ)

10

Full

10 Mbps および全二重

10

Half

10 Mbps および半二重

100

Auto

自動ネゴシエーション(速度のみ)

100

Full

100 Mbps および全二重

100

Half

100 Mbps および半二重

管理インターフェイスの速度を設定するには

「オプション」

「管理インターフェイスの速度の設定例」

オプション

次のオプションを使用できます。

speed : 次のうち、現在選択されている管理ポートの Mbps 単位での速度(0/1 または 0/2)

10

100

auto (デフォルト): オートネゴシエーション(リンクで速度を強制的に実行しない)

デュプレックス パラメータが auto に設定されている場合、速度パラメータを変更しても影響はありません( 表 5-1 を参照)。


ステップ 1 SCE(config if)# プロンプトで、 speed 10|100|auto と入力し、 Enter キーを押します。

必要な速度オプションを指定します。


 

管理インターフェイスの速度の設定例

次に、このコマンドを使用して、管理ポートを 100 Mbps の速度に設定する例を示します。

SCE(config if)#speed 100

管理インターフェイスのデュプレックス動作を設定するには

「オプション」

「管理インターフェイスのデュプレックス動作の設定例」

オプション

次のオプションを使用できます。

duplex : 次のうち、現在選択されている管理ポートのデュプレックス動作(0/1 または 0/2)

full

half

auto(デフォルト): オートネゴシエーション(リンクでデュプレックスを強制的に実行しない)

速度パラメータが auto に設定されている場合、デュプレックス パラメータを変更しても影響はありません( 表 5-1 を参照)。


ステップ 1 SCE(config if)# プロンプトで、 duplex auto|full|half と入力し、 Enter キーを押します。

必要なデュプレックス オプションを指定します。


 

管理インターフェイスのデュプレックス動作の設定例

次に、このコマンドを使用して、管理ポートを半二重モードに設定する例を示します。

SCE(config if)#duplex half

アクティブな管理ポートの設定

「オプション」

「アクティブな管理ポートの設定例」

このコマンドは、現在アクティブな管理ポートを明示的に指定します。その用途は、管理インターフェイスが冗長インターフェイスとして設定されている(自動フェールオーバーがイネーブル)か、設定されていない(自動フェールオーバーがディセーブル)かによって、少し異なります。

自動フェールオーバーがイネーブルの場合(自動モード): 指定されたポートは、現在のアクティブ ポートになり、障害が発生していない場合、フェールオーバー アクションは実行されません。

自動フェールオーバーがディセーブルの場合(手動モード): 指定されたポートは、ケーブル接続された Mng ポートと対応している必要があり、これが唯一動作するポートですので、アクティブな管理ポートとして残っている必要があります。


) このコマンドは、Mng インターフェイス コンフィギュレーションコマンドである、このセクションの他のコマンドとは異なり、特権 EXEC コマンドです。Mng インターフェイス コンフィギュレーション モードの場合は、特権 EXEC モードに変更し、SCE# プロンプトを表示する必要があります。


オプション

次のオプションを使用できます。

slot-number/interface-number : アクティブ ポートとして指定されている管理ポートのインターフェイス番号(0/1 または 0/2)


ステップ 1 SCE# プロンプトで、 Interface Mng {0/1 | 0/2} active-port と入力し、 Enter キーを押します。

必要な MNG インターフェイスを指定します。


 

アクティブな管理ポートの設定例

次に、このコマンドを使用して、Mng ポート 2 を現在アクティブな管理ポートとして設定する例を示します。

SCE# Interface Mng 0/2 active-port

冗長管理インターフェイス接続の設定

「冗長管理ポートについて」

「管理インターフェイスの冗長性を設定するには」

「フェールオーバー モードの設定」

冗長管理ポートについて

SCE プラットフォームには、2 つの RJ-45 管理ポートが装備されています。これら 2 つのポートにより冗長管理インターフェイスを実現できるため、管理リンクのいずれかで障害が発生した場合でも、SCE プラットフォームへの管理アクセスが確保されます。アクティブな管理リンクで障害が発生した場合、スタンバイ ポートは、自動的に、新しいアクティブな管理ポートになります。

スイッチを介して両方のポートを管理コンソールに接続する必要があることに注意してください。この方法の場合、MNG ポートの IP アドレスは、現在アクティブである物理ポートに関わらず、常に同じになります。

重要事項

どの時点でも、1 つのポートのみがアクティブです。

同じ仮想 IP アドレスと MAC アドレスが、両方のポートに割り当てられます。

デフォルト:

ポート 1 は アクティブ

ポート 2 は スタンバイ

スタンバイ ポートは、ネットワークにパケットを送信せず、ネットワークからのパケットは廃棄されます。

アクティブなポートで問題が検出された場合、スタンバイ ポートは、自動的に、新しいアクティブなポートになります。

スタンバイ MNG ポートに切り替える場合のリンク問題は、リンクが 300 秒ダウン後に宣言されます。

リンクが回復する際、サービスは、デフォルトのアクティブ ポートには戻りません。現在アクティブな MNG ポートは、リンク障害によって他の MNG ポートに切り替えられるまで、アクティブのまま残ります。

管理インターフェイスの冗長性を設定するには


ステップ 1 両方の管理ポートを、LAN 経由およびスイッチ経由でリモート管理コンソールに接続し、両方の管理ポートをケーブル接続します。

スイッチを使用すると、MNG ポートの IP アドレスは、現在アクティブである物理ポートに関係なく、常に同じになります。

ステップ 2 自動フェールオーバー モードを設定します。

「フェールオーバー モードの設定」を参照してください。

ステップ 3 管理インターフェイスの IP アドレスを設定します。

現在アクティブである管理ポートに関係なく、同じ IP アドレスが常にアクティブな管理ポートに割り当てられます。

「管理インターフェイスの IP アドレスとサブネット マスクの設定」を参照してください。

ステップ 4 両方の管理ポートの速度とデュプレックスを設定します。

「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定」を参照してください。


 

フェールオーバー モードの設定

「オプション」

「自動フェールオーバー モードをイネーブルにするには」

「自動フェールオーバー モードをディセーブルにするには」

フェールオーバー モードをイネーブルにするには、ここで説明するコマンドを使用します。冗長管理インターフェイスをサポートするには、自動モードをイネーブルにする必要があります。現在アクティブな管理リンクで障害が検出された場合、このモードでは、バックアップ管理リンクに自動的に切り替えられます。

いずれかの管理ポートが管理インターフェイス コンフィギュレーション モードの場合で、1 つのコマンドで両方のポートに適用する場合、このパラメータを設定できます。

オプション

次のオプションを使用できます。

auto / no auto : 自動フェールオーバー モードをイネーブルまたはディセーブルにします。

デフォルト: auto(自動モード)

自動フェールオーバー モードをイネーブルにするには


ステップ 1 SCE(config if)# プロンプトで、 auto-fail-over と入力し、 Enter キーを押します。


 

自動フェールオーバー モードをディセーブルにするには


ステップ 1 SCE(config if)# プロンプトで、 no auto-fail-over と入力し、 Enter キーを押します。


 

管理インターフェイスのセキュリティの設定

「IP フラグメント フィルタリングの設定」

「許可済みと非許可の IP アドレス モニタリングの設定」

「管理インターフェイス IP フィルタリングのモニタリング」

グローバルなサービス障害に発展する可能性がある悪意のある管理条件に対処するために、SCE プラットフォームの機能として管理セキュリティが定義されます。管理ポートでの攻撃に対する回復には、次の機能が含まれます。

SCE プラットフォームは、フラッディング攻撃中には安定したままです。

TCP/IP スタック コントロール プロトコルの脆弱性が、最小限になります。

管理ポート上での、攻撃に関するレポート機能のアベイラビリティ。

2 つのパラレル セキュリティ メカニズムがあります。

自動セキュリティ メカイズム: 200 msec の間隔で TCP/IP スタック レートをモニタリングし、必要に応じ、デバイスからのレートを小さくします。

このメカニズムは常に機能し、ユーザは設定できません。

ユーザ設定のセキュリティ メカニズム: ユーザが設定した間隔で、次の 2 つの IP フィルタ経由で実行されます。

IP フラグメント フィルタ: すべての IP フラグメント パケットを廃棄します。

IP フィルタ モニタ: 許可済みと非許可の両方の IP アドレスについて、受信パケットと廃棄パケットのレートを測定します。

オプション

次のオプションを使用できます。

enable/disable : IP フラグメント フィルタリングをイネーブルまたはディセーブルにします。

デフォルト: disable

IP フラグメント フィルタリングをイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 ip filter fragment enable と入力し、 Enter キーを押します。


 

IP フラグメント フィルタリングをディセーブルにするには


ステップ 1 SCE(config)# プロンプトで、 ip filter fragment disable と入力し、 Enter キーを押します。


 

許可済みと非許可の IP アドレス モニタリングの設定

オプション

次のオプションを使用できます。

Ip permitted/ip not-permitted : 設定する制限が、許可済み IP アドレスに適用されるか、非許可 IP アドレスに適用されるかを、指定します。

いずれのキーワードも使用されない場合、設定する制限は、許可済み IP アドレスと非許可 IP アドレスの両方に適用されます。

low rate : 下限のしきい値。Mbps 単位でのレートは、攻撃が存在しなくなったことを示します。

デフォルト: 20

high rate : 上限のしきい値。Mbps 単位でのレートは、攻撃の存在を示します。

デフォルト: 20

burst size : しきい値レートに達したと見なすために検出される必要がある、秒単位での間隔の上下のレート。

デフォルト: 10


ステップ 1 SCE(config)# プロンプトで、 i p filter monitor {ip_permited|ip_not_permited} low_rate low_rate high_rate high_rate burst burst size と入力し、 Enter キーを押します。


 

管理インターフェイス IP フィルタリングのモニタリング

管理インターフェイス IP フィルタリングに関する次の情報を表示するには、ここで説明するコマンドを使用します。

IP フラグメント フィルタがイネーブルかディセーブルか

設定されている攻撃のしきい値(許可済みと非許可の IP アドレス)

設定されている攻撃の終了のしきい値(許可済みと非許可の IP アドレス)

秒単位でのバースト サイズ(許可済みと非許可の IP アドレス)


ステップ 1 SCE> プロンプトで、 show ip filter と入力し、 Enter キーを押します。


 

使用可能なインターフェイスの設定

SCE プラットフォームとシステムの外部コンポーネントの管理設計に基づいて、Telnet と SNMP(簡易ネットワーク管理プロトコル)のインターフェイスを設定できます。

「TACACS+ の認証、認可、アカウンティングの設定」

「ACL の設定」

「Telnet インターフェイスの設定」

「SSH サーバの設定」

「SNMP インターフェイスのイネーブル化」

TACACS+ の認証、認可、アカウンティング

TACACS+ は、ネットワーク要素にアクセスしようとしているユーザの、一元的な認証機能を提供するセキュリティ アプリケーションです。TACACS+ プロトコルの実装により、ユーザは、認証サーバで各ユーザを認証することによって、SCE プラットフォームを安全に管理できるよう、SCE プラットフォームの 1 つまたは複数の認証サーバを設定できます。次に、認証データベースを一元化し、SCE プラットフォームの管理をより簡単にします。

TACACS+ サービスでは、UNIX または Windows NT のワークステーションで通常実行される TACACS+ サーバにあるデータベースが管理されます。ネットワーク要素上で設定されている TACACS+ 機能を使用可能にするには、TACACS+ サーバにアクセスし、TACACS+ サーバを設定する必要があります。

TACACS+ プロトコルにより、ネットワーク要素と TACACS+ ACS との間の認証が行われます。また、キーが設定されている場合は、ネットワーク要素と TACACS+ との間のすべてのプロトコルのやり取りを暗号化することによって、機密保持を行うことができます。

TACACS+ プロトコルは、次の 3 つの機能を提供します。

ログイン認証

権限レベルの認可

アカウンティング

ログイン認証

SCE プラットフォームでは、CLI、Telnet、および SSH へのアクセスに、TACACS+ ASCII 認証メッセージが使用されます。

TACACS+ を使用すると、ユーザの認証に十分な情報をサーバで受信するまで、サーバとユーザの間では、任意通信を行えます。これは、通常、ユーザ名とパスワードの組み合わせのプロンプトを表示することによって行われます。

ログインとパスワードのプロンプトは、TACACS+ サーバによって表示されることがあります。または、TACACS+ サーバによってプロンプトが表示されない場合、ローカル プロンプトが使用されます。

情報にあるユーザ ログ(ユーザ名およびパスワード)は、認証の目的で、TACACS+ サーバに送信されることがあります。TACACS+ サーバにより、ユーザが認証されないことが示されると、ユーザに対して、ユーザ名とパスワードの入力を促すプロンプトが再表示されます (ユーザがコンソール ポートに接続されている場合を除き)失敗したログインが SCE プラットフォームのユーザ ログに記録され、Telnet セッションが強制終了された後で、ユーザに対し、ユーザ設定が可能な回数の入力を促すプロンプトが表示されます。

SCE プラットフォームでは、最後に、TACACS+ サーバから次の応答の 1 つを受信します。

ACCEPT: ユーザは認証され、サービスを開始できます。

REJECT: ユーザは、認証に失敗しました。ユーザは、今後のアクセスを拒否されるか、または、TACACS+ サーバによっては、ログイン シーケンスを再試行するプロンプトが表示されます。

ERROR: 認証中のいずれかの時点で、エラーが発生しました。これは、サーバと SCE プラットフォームの間での、サーバまたはネットワーク接続のいずれかの可能性があります。エラーの応答を受信した場合、SCE プラットフォームでは、ユーザの認証に代替の方法またはサーバの使用を試行します。

CONTINUE: ユーザに対し、追加の認証情報の入力を促すプロンプトが表示されます。

「AAA フォールバックおよびリカバリの通常のメカニズム」で説明しているように、サーバが使用できない場合、次の認証方法が試行されます。

アカウンティング

TACACS+ アカウンティングでは、次の機能がサポートされます。

実行される(有効な)各コマンドは、(ログインと終了のコマンドを含む)TACACS+ メカニズムを使用して記録されます。

コマンドは、正常実行の前と後の両方で記録されます。

各アカウンティング メッセージには、次の情報が含まれます。

ユーザ名

現在の時刻

実行されるアクション

コマンドの権限レベル

TACACS+ のアカウンティングは、SCE プラットフォームの dbg ログを使用した通常のローカル アカウンティングに加えて実行されます。

権限レベルの認可

正常なログイン後、ユーザには、デフォルト権限レベルの 0 が付与されます。ユーザには、限定的な数のコマンドを実行できる権限が付与されます。「enable」コマンドを実行することによって、権限レベルの変更が行われます。このコマンドにより、権限レベルの認可メカニズムが開始されます。

SCE プラットフォームでの権限レベルの認可は、「enable」コマンド認証要求の使用によって実行されます。ユーザが、「enable」コマンドを使用することによって、指定された権限レベルの認可を要求すると、SCE プラットフォームでは、要求された権限レベルを指定して TACACS+ サーバに認証要求を送信します。SCE プラットフォームでは、TACACS+ サーバによって次の操作が実行された後で、要求された権限レベルが付与されます。

enable 」コマンド パスワードを認証する

ユーザが、要求された権限レベルを開始するために十分な権限を付与されていることを確認する

ユーザ権限レベルが決定されると、ユーザは、付与されたレベルに従って、指定されたコマンドのセットへのアクセスが付与されます。

ログイン認証では、「AAA フォールバックおよびリカバリの通常のメカニズム」で説明しているように、サーバが使用できない場合、次の認証方法が試行されます。

AAA フォールバックおよびリカバリの通常のメカニズム

SCE プラットフォームでは、フォールバック メカニズムを使用して、エラーの場合のサービス アベイラビリティが維持されます。

SCE プラットフォームでは、フォールバック メカニズムを使用して、エラーの場合のサービス アベイラビリティが維持されます。

使用可能な AAA 方式は、次のとおりです。

TACACS+ : AAA は、TACACS+ サーバの使用によって実行され、認証、認可、アカウンティングを実行できます。

Local : AAA は、ローカル データベースの使用によって実行され、認証と認可を実行できます。

Enable : AAA は、ユーザが設定したパスワード使用によって実行され、認証と認可を実行できます。

None : 認証、認可、アカウンティングは実行されません。

現在の実装では、使用される方式の順序は設定できませんが、ユーザは、使用する方式を選択できます。現在の順序は、次のとおりです。

TACACS+

Local

Enable

None


) 重要: サーバが AAA フォルトに進む場合、AAA 方式の 1 つが復元されるまで、SCE プラットフォームにはアクセスできません。これを防ぐためには、最後の AAA 方式として「none」を使用することをお勧めします。SCE プラットフォームがアクセスできなくなった場合、シェル関数「AAA_MethodsReset」を使用すると、現在の AAA 方式の設定を削除し、使用する AAA 方式を「Enable」に設定できます。


TACACS+ の設定について

次に、TACACS+ を設定する手順を要約します。このセクションの残りの部分では、すべての手順を詳細に説明します。

1. リモート TACACS+ サーバを設定します。

このプロトコルのリモート サーバを設定します。次の注意事項に従ってください。

サーバとクライアントで使用される暗号キーを設定します。

最高のユーザ権限レベルと有効なパスワード(enable コマンドの実行時に使用されるパスワード)を、指定する必要があります。

設定には、常に、root ユーザを含め、権限レベルを 15 に設定する必要があります。

ビューア(権限レベル 5)とスーパーバイザ(権限レベル 10)のユーザ ID も、この時点で設定する必要があります。

1. サーバ構成の詳細は、使用する TACACS+ サーバの、該当するコンフィギュレーション ガイドを参照してください。

2. TACACS+ サーバとともに動作する SCE クライアントを設定します。

サーバのホスト名

ポート番号

共用の暗号キー(クライアントとサーバが通信するためには、設定されている暗号キーが、サーバ上に設定されている暗号キーと一致する必要があります)

3. (任意)使用される場合、ローカル データベースを設定します。

新しいユーザの追加

ローカル データベースと TACACS+ が両方とも設定されている場合、TACACS+ とローカル データベースの両方で、同じユーザを設定することを推奨します。これによって、ユーザは、TACACS+ サーバの障害の発生時に、SCE プラットフォームにアクセスできます。


) ログイン方式として TACACS+ が使用される場合、enable コマンドで TACACS+ ユーザ名が自動的に使用されます。したがって、TACACS+ とローカル データベースの両方で、同じユーザ名を設定することが重要です。これによって、enable コマンドにより、このユーザ名を認識できます。


パスワードの指定

権限レベルの定義

4. SCE プラットフォームで、認証方式を設定します。

ログイン認証方式

権限レベル認可方式

5. 設定を見直します。

show running-config 」コマンドを使用して、設定を参照します。

SCE プラットフォームの TACACS+ クライアントの設定

「新しい TACACS+ サーバ ホストを追加するには」

「TACACS+ サーバ ホストを削除するには」

「グローバル デフォルト キーを設定するには」

「グローバル デフォルト タイムアウトを設定するには」

ユーザは、TACACS+ プロトコルのリモート サーバを設定する必要があります。SCE プラットフォームの TACACS+ クライアントは、TACACS+ サーバと動作するよう設定する必要があります。次の情報を設定する必要があります。

TACACS+ サーバのホスト定義: 最大で 3 台のサーバがサポートされます。

サーバごとに、次の情報を設定できます。

ホスト名(必須)

ポート

暗号キー

タイムアウトの間隔

デフォルト暗号キー(任意): グローバルなデフォルト暗号キーを設定できます。このキーは、サーバ ホストが定義される際に、キーが明示的に設定されていない任意のサーバ ホストのキーとして、設定されます。

デフォルト暗号キーが設定されていない場合、キーがない状態のデフォルトが、キーが明示的に設定されていないサーバに割り当てられます。

デフォルト タイムアウト間隔(任意): グローバルなデフォルト タイムアウト間隔を定義できます。サーバ ホストが定義される際に、このタイムアウト間隔は、タイムアウト間隔が明示的に設定されていないサーバ ホストのタイムアウト間隔として定義されます。

デフォルト タイムアウト間隔が設定されていない場合、デフォルトの 5 秒が、タイムアウト間隔が明示的に設定されていないサーバに割り当てられます。

SCE プラットフォームの TACACS+ クライアントを設定する手順は、次のセクションで説明します。

「管理インターフェイス IP フィルタリングのモニタリング」

「TACACS+ サーバ ホストを削除するには」

「グローバル デフォルト キーを設定するには」

「グローバル デフォルト タイムアウトを設定するには」

新しい TACACS+ サーバ ホストを追加するには

SCE プラットフォームの TACACS+ クライアントで使用可能な新しい TACACS+ サーバ ホストを定義するには、ここで説明するコマンドを使用します。

Service Control ソリューションでは、最大で 3 台の TACACS+ サーバ ホストをサポートします。

オプション

次のオプションを使用できます。

host-name : サーバの名前

port number : TACACS+ ポート番号

デフォルト = 49

timeout interval : タイムアウトの前に、サーバ ホストからの応答をサーバが待つ秒数

デフォルト = 5 秒、またはユーザが定義したグローバルなデフォルト タイムアウト間隔(「グローバル デフォルト タイムアウトを定義するには」を参照)

key-string : 相互通信時に、サーバおよびクライアントで使用される暗号キー 指定されるキーが実際に TACACS+ サーバ ホストで設定されていることを確認してください。

デフォルト = キーがない、またはユーザが定義したグローバルなデフォルト キー(「グローバル デフォルト キーを定義するには」を参照)


ステップ 1 SCE (config)# プロンプトで、 TACACS-server host host-name [ port portnumber ] [ timeout timeout-interval ] [ key key-string ] と入力し、 Enter キーを押します。


 

TACACS+ サーバ ホストを削除するには

オプション

次のオプションを使用できます。

host-name : 削除されるサーバの名前


ステップ 1 SCE(config)# プロンプトで、 no TACACS-server host host-name と入力し、 Enter キーを押します。


 

グローバル デフォルト キーを設定するには

TACACS+ サーバ ホストのグローバル デフォルト キーを定義するには、ここで説明するコマンドを使用します。その TACACS+ サーバ ホストで異なるキーを明示的に設定することによって、特定の TACACS+ ホストのこのデフォルト キーを上書きできます。

「オプション」

「グローバル デフォルト キーを定義するには」

「グローバル デフォルト キーをクリアするには」

オプション

次のオプションを使用できます。

key-string : 相互通信時に、すべての TACACS+ サーバとクライアントで使用されるデフォルト暗号キー 指定されるキーが実際に TACACS+ サーバ ホストで設定されていることを確認してください。

デフォルト = 暗号なし

グローバル デフォルト キーを定義するには


ステップ 1 SCE(config)# プロンプトで、 TACACS-server key key-string と入力し、 Enter キーを押します。


 

グローバル デフォルト キーをクリアするには


ステップ 1 SCE(config)# プロンプトで、 no TACACS-server key と入力し、 Enter キーを押します。

グローバル デフォルト キーは、定義されません。各 TACACS+ サーバ ホストでは、定義されている特定のキーがある可能性があります。ただし、明示的に定義されているキーがないサーバ ホスト(グローバル デフォルト キーを使用)は、キーを使用しないように設定されています。


 

グローバル デフォルト タイムアウトを設定するには

TACACS+ サーバ ホストのグローバル デフォルトのタイムアウト間隔を定義するには、ここで説明するコマンドを使用します。その TACACS+ サーバ ホストで異なるタイムアウト間隔を明示的に設定することによって、特定の TACACS+ ホストのこのデフォルト タイムアウト間隔を上書きできます。

「オプション」

「グローバル デフォルト タイムアウトを定義するには」

「グローバル デフォルト タイムアウトをクリアするには」

オプション

次のオプションを使用できます。

timeout interval : タイムアウトの前に、サーバ ホストからの応答をサーバが待つデフォルトの秒数

デフォルト = 5 秒

グローバル デフォルト タイムアウトを定義するには


ステップ 1 SCE(config)# プロンプトで、 TACACS-server timeout timeout-interval と入力し、 Enter キーを押します。


 

グローバル デフォルト タイムアウトをクリアするには


ステップ 1 SCE(config)# プロンプトで、 no TACACS-server timeout と入力し、 Enter キーを押します。

グローバル デフォルトのタイムアウト間隔は、定義されません。各 TACACS+ サーバ ホストでは、定義されている特定のタイムアウト間隔がある可能性があります。ただし、明示的に定義されているタイムアウト間隔がないサーバ ホスト(グローバル デフォルト タイムアウト間隔を使用)は、5 秒のタイムアウト間隔で設定されています。


 

ユーザ データベースを管理するには

TACACS+ では、ローカル ユーザ データベースが管理されます。このローカル データベースには、最大 100 ユーザまでを設定できます。このローカル データベースには、すべてのユーザが使用する次の情報が含まれています。

ユーザ名

パスワード: 暗号形式または非暗号形式で使用可

権限レベル

ローカル ユーザ データベースを管理する手順は、次のセクションで説明します。

「ローカル データベースに新しいユーザを追加するには」

「ユーザ権限レベルの定義」

「権限レベルとパスワードを使用して新しいユーザを追加するには」

「ユーザを削除するには」

ローカル データベースに新しいユーザを追加するには

ローカル データベースに新しいユーザを追加するには、ここで説明するコマンドを使用します。最大 100 の ユーザ を定義できます。

「オプション」

「クリア テキスト パスワードでユーザを追加するには」

「パスワードなしでユーザを追加するには」

「クリア テキストで入力された MD5 暗号化パスワードでユーザを追加するには」

「MD5 暗号化文字列で入力された MD5 暗号化パスワードでユーザを追加するには」

オプション

パスワードは、ユーザ名で定義されます。いくつかのパスワード オプションがあります。

パスワードなし: nopassword キーワードを使用します。

パスワード: パスワードは、クリア テキスト形式でローカル リストに保存されます。

password パラメータを使用します。

暗号化パスワード: パスワードは、暗号化(MD5)形式でローカル リストを保存します。シークレット キーワードを使用します。

パスワードは、次のいずれかの方式で定義できます。

MD5 暗号化形式で保存された、クリア テキスト パスワードを指定します。

ユーザが MD5 形式で暗号化したシークレット パスワードとして保存された、MD5 暗号化文字列を指定します。

次のオプションを使用できます。

name : 追加するユーザの名前

password : クリア テキスト パスワード 次の 2 つのいずれかの形式でローカル リストに保存できます。

クリア テキストとして保存

シークレット キーワードが使用されている場合は、MD5 暗号化形式で保存

encrypted-secret : MD5 暗号化文字列パスワード

次のキーワードを使用できます。

nopassword : このユーザに関連付けられたパスワードはありません。

secret : パスワードは MD5 暗号化形式で保存されます。次のいずれかのキーワードを使用して、コマンドで入力したとおりにパスワードの形式を示します。

0 password オプションとともに使用して、MD5 暗号化形式で保存されるクリア テキスト パスワードを指定します。

5 encrypted-secret オプションとともに使用して、ユーザ定義の MD5 暗号化シークレット パスワードとして保存された MD5 暗号化文字列を指定します。

クリア テキスト パスワードでユーザを追加するには


ステップ 1 SCE(config)# プロンプトで、 username name password password と入力し、 Enter キーを押します。


 

パスワードなしでユーザを追加するには


ステップ 1 SCE(config)# プロンプトで、 username name nopassword と入力し、 Enter キーを押します。


 

クリア テキストで入力された MD5 暗号化パスワードでユーザを追加するには


ステップ 1 SCE(config)# プロンプトで、 username name secret 0 password と入力し、 Enter キーを押します。


 

MD5 暗号化文字列で入力された MD5 暗号化パスワードでユーザを追加するには


ステップ 1 SCE(config)# プロンプトで、 username name secret 5 encrypted-secret と入力し、 Enter キーを押します。


 

ユーザ権限レベルの定義

SCE プラットフォームでの権限レベルの認可は、「 enable 」コマンド認証要求の使用によって実行されます。ユーザが、「 enable 」コマンドを使用することによって、指定された権限レベルの認可を要求すると、SCE プラットフォームでは、要求された権限レベルを指定して TACACS+ サーバに認証要求を送信します。SCE プラットフォームでは、TACACS+ サーバによって「 enable 」コマンド パスワードが認証され、要求された権限レベルを開始するためにユーザが十分な権限が付与されていることを確認した後でのみ、要求された権限レベルが付与されます。

オプション

次のオプションを使用できます。

name : 権限レベルが設定されるユーザの名前。

level : 指定されたユーザに許可される権限レベル。CLI 認可レベルに対応するこれらのレベルは、 enable コマンドを介して入力されます。

0: User

10: Admin

15(デフォルト): Root


ステップ 1 SCE(config)# プロンプトで、 username name privilege level と入力し、 Enter キーを押します。


 

権限レベルとパスワードを使用して新しいユーザを追加するには

1 つのコマンドで、パスワードおよび権限レベルを含む新しいユーザを定義するには、ここで説明するコマンドを使用します。


) config ファイル(running config および startup config)では、このコマンドは 2 つの別々のコマンドとして表示されます。


「オプション」

「権限レベルとクリア テキスト パスワードでユーザを追加するには」

「権限レベルおよびクリア テキストで入力された MD5 暗号化パスワードでユーザを追加するには」

「権限レベルおよび MD5 暗号化文字列で入力された MD5 暗号化パスワードでユーザを追加するには」

オプション

次のオプションを使用できます。

name : 権限レベルが設定されるユーザの名前。

level : 指定されたユーザに許可される権限レベル。CLI 認可レベルに対応するこれらのレベルは、 enable コマンドを介して入力されます。

0: User

10: Admin

15(デフォルト): Root

password : クリア テキスト パスワード 次の 2 つのいずれかの形式でローカル リストに保存できます。

クリア テキストとして保存

シークレット キーワードが使用されている場合は、MD5 暗号化形式で保存

encrypted-secret : MD5 暗号化文字列パスワード

次のキーワードを使用できます。

secret : パスワードは MD5 暗号化形式で保存されます。次のいずれかのキーワードを使用して、コマンドで入力したとおりにパスワードの形式を示します。

0 password オプションとともに使用して、MD5 暗号化形式で保存されるクリア テキスト パスワードを指定します。

5 encrypted-secret オプションとともに使用して、ユーザ定義の MD5 暗号化シークレット パスワードとして保存された MD5 暗号化文字列を指定します。

権限レベルとクリア テキスト パスワードでユーザを追加するには


ステップ 1 SCE(config)# プロンプトで、 username name privilege level password password と入力し、 Enter キーを押します。


 

権限レベルおよびクリア テキストで入力された MD5 暗号化パスワードでユーザを追加するには


ステップ 1 SCE(config)# プロンプトで、 username name privilege level secret 0 password と入力し、 Enter キーを押します。


 

権限レベルおよび MD5 暗号化文字列で入力された MD5 暗号化パスワードでユーザを追加するには


ステップ 1 SCE(config)# プロンプトで、 username name privilege level secret 5 encrypted-secret と入力し、 Enter キーを押します。


 

ユーザを削除するには

オプション

次のオプションを使用できます。

name : 削除するユーザの名前


ステップ 1 SCE(config)# プロンプトで、 no username name と入力し、 Enter キーを押します。


 

AAA ログイン認証の設定

ログイン認証には、設定する 2 つの機能があります。

許可される最大の Telnet ログイン試行回数

ログイン時に使用される認証方式(「AAA フォールバックおよびリカバリの通常のメカニズム」を参照)

ログイン認証を設定する手順は、次のセクションで説明します。

「最大ログイン試行回数の設定」

「ログイン認証方式の設定」

最大ログイン試行回数の設定

セッションの強制終了前に許可されるログイン試行の最大回数を設定するには、ここで説明するコマンドを使用します。

オプション

次のオプションを使用できます。

number-of-attempts : Telnet セッションの強制終了前に許可されるログイン試行の最大回数。

これは、Telnet セッションにのみ該当します。再試行の回数は、ローカル コンソールから制限されます。

デフォルト = 3


ステップ 1 SCE(config)# プロンプトで、 a aa authentication attempts login number-of-attempts と入力し、 Enter キーを押します。


 

ログイン認証方式の設定

基本ログイン認証方式の障害の場合、使用する「backup」ログイン方式を設定できます(「AAA フォールバックおよびリカバリの通常のメカニズム」を参照)。

使用するログイン認証方式と、そのプリファレンスの順序を設定するには、ここで説明するコマンドを使用します。

「オプション」

「ログイン認証方式を指定するには」

「ログイン認証方式リストを削除するには」

オプション

次のオプションを使用できます。

method : 使用するログイン認証方式。最大 4 つの異なる方式を、使用する順序で指定できます。

group TACACS+ : TACACS+ 認証を使用します。

local : 認証に、ローカル ユーザ名データベースを使用します。

enable (デフォルト): 認証に、「 enable 」パスワードを使用します。

none : 認証は使用しません。

ログイン認証方式を指定するには


ステップ 1 SCE(config)# プロンプトで、 aaa authentication login default method1 [method2...] と入力し、 Enter キーを押します。

最大 4 つの方式をリストできます。前述の説明にある 4 つのすべての方式を指定できます。優先順位の順序でリスト表示します。


 

ログイン認証方式リストを削除するには


ステップ 1 SCE(config)# プロンプトで、 no aaa authentication login default と入力し、 Enter キーを押します。

ログイン認証方式リストが削除されると、デフォルトのログイン認証方式のみ(enable パスワード)が使用されます。TACACS+ 認証は使用されません。


 

AAA 権限レベル認可方式の設定

「オプション」

「AAA 権限レベル認可方式を設定するには」

「AAA 権限レベル認可方式リストを削除するには」

オプション

次のオプションを使用できます。

method : 使用するログイン認可方式。最大 4 つの異なる方式を、使用する順序で指定できます。

group TACACS+ : TACACS+ 認可を使用します。

local : 認可に、ローカル ユーザ名データベースを使用します。

enable (デフォルト): 認可に、「 enable 」パスワードを使用します。

none : 認可は使用しません。

AAA 権限レベル認可方式を設定するには


ステップ 1 SCE(config)# プロンプトで、 aaa authentication enable default method1 [method2...] と入力し、 Enter キーを押します。

最大 4 つの方式をリストできます。前述の説明にある 4 つのすべての方式を指定できます。優先順位の順序でリスト表示します。


 

AAA 権限レベル認可方式リストを削除するには


ステップ 1 SCE(config)# プロンプトで、 no aaa authentication enable default と入力し、 Enter キーを押します。

権限レベル認可方式リストが削除されると、デフォルトのログイン認証方式のみ(enable パスワード)が使用されます。TACACS+ 認証は使用されません。


 

AAA アカウンティングの設定

TACACS+ アカウンティングをイネーブルまたはディセーブルにするには、ここで説明するコマンドを使用します。

「オプション」

「AAA アカウンティングをイネーブルにするには」

「AAA アカウンティングをディセーブルにするには」

TACACS+ アカウンティングがイネーブルの場合、SCE プラットフォームでは、各コマンドの実行後に TACACS+ サーバにアカウンティング メッセージを送信します。アカウンティング メッセージは、ネットワーク管理者が使用する TACACS+ サーバに記録されます。

デフォルトでは、TACACS+ アカウンティングがディセーブルにされています。

オプション

次のオプションを使用できます。

level : TACACS+ アカウンティングをイネーブルにする権限レベル

AAA アカウンティングをイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 aaa authentication accounting commands level default stop-start group TACACS+ と入力し、 Enter キーを押します。

start-stop キーワード (必須)は、(コマンドが正常実行された場合に)CLI コマンドの実行の最初と最後でアカウンティング メッセージが送信されることを示します。


 

AAA アカウンティングをディセーブルにするには


ステップ 1 SCE(config)# プロンプトで、 aaa authentication accounting commands level default と入力し、 Enter キーを押します。


 

TACACS+ サーバのモニタリング

TACACS+ サーバの統計を表示するには、ここで説明するコマンドを使用します。

「TACACS+ サーバの統計を表示するには」

「TACACS+ サーバの統計、キー、タイムアウトを表示するには」

TACACS+ サーバの統計を表示するには


ステップ 1 SCE# プロンプトで、 show TACACS と入力し、 Enter キーを押します。


 

TACACS+ サーバの統計、キー、タイムアウトを表示するには


ステップ 1 SCE# プロンプトで、 show TACACS all と入力し、 Enter キーを押します。

ほとんどの表示コマンドはビューア レベルでアクセスできますが、「 all 」オプションは、管理者レベルでのみ使用できます。管理者レベルにアクセスするには、「 enable 10 」コマンドを使用します。


 

TACACS+ ユーザのモニタリング

ローカル データベースでユーザ(パスワードを含む)を表示するには、ここで説明するコマンドを使用します。


ステップ 1 SCE# プロンプトで、 show users と入力し、 Enter キーを押します。

ほとんどの表示コマンドはビューア レベルでアクセスできますが、このコマンドは、管理者レベルでのみ使用できます。管理者レベルにアクセスするには、「 enable 10 」コマンドを使用します。


 

ACL の設定

「オプション」

「ACL のエントリを追加するには」

「ACL を削除するには」

「グローバル ACL を定義するには」

SCE プラットフォームに Access Control List(ACL; アクセス制御リスト)を設定できます。ACL は、すべての管理インターフェイスの着信接続を許可または拒否するために使用されます。アクセス リストは、IP アドレスの範囲を定義する IP アドレスとオプションのワイルドカード「マスク」、および許可/拒否フィールドで構成されているエントリの順序付きリストです。

リスト内のエントリの順序は重要です。接続に一致する最初のエントリのデフォルト アクションが使用されます。アクセス リストのエントリが接続に一致しない場合、またはアクセス リストが空白である場合、デフォルト アクションは deny になります。

システム アクセスの設定は、2 段階で行われます。

1. アクセス リストの作成 (「ACL のエントリを追加するには」を参照)。

2. 管理インターフェイスへのアクセス リストの関連付け (「グローバル ACL を定義するには」および「Telnet インターフェイスに ACL を割り当てるには」を参照)。

アクセス リストの作成は、最初から最後までエントリごとに行われます。

システムがアクセス リストに IP アドレスがあるかどうかを確認する場合、システムはアクセス リストの各行(最初のエントリから開始して、順番に最後のエントリまで移動)を確認します。検出された最初の一致が(つまり、調べていた IP アドレスが、エントリによって定義された IP アドレス範囲内にあった場合)、一致したエントリの許可/拒否フラグに従って、結果を決定します。アクセス リストに一致するエントリがない場合は、アクセスが拒否されます。

最大 99 のアクセス リストを作成できます。次のレベルで、システム アクセスにアクセス リストを関連付けることができます。

グローバル(IP)レベル: ip access-class コマンドによってグローバル リストが定義されている場合、要求が来ると、まず SCE プラットフォームが、その IP アドレスのアクセスに対する許可があるかどうかを確認します。許可がない場合、SCE はこの要求に応答しません。特定の IP アドレスを拒否するように SCE プラットフォームを設定すると、Telnet、FTP、ICMP、および SNMP を含む IP ベースのプロトコルを使用したアドレスとの通信オプションが排除されます。基本的な IP インターフェイスは低いレベルのもので、インターフェイスに到達する前に IP パケットをブロックします。

インターフェイス レベル: アクセス リストで、各管理インターフェイス(Telnet、SNMP など)へのアクセスを制限できます。インターフェイス レベルのリストは、定義上、定義されたグローバル リストのサブセットとなっています。グローバル レベルでアクセスが拒否されると、IP はいずれかのインターフェイスを使用してアクセスすることができなくなります。アクセス リストが特定の管理インターフェイスに関連付けられると、そのインターフェイスはアクセス リストを確認し、管理インターフェイスにアクセスしようとする特定の外部 IP アドレスの許可があるかどうかを調べます。

SCE プラットフォームに必要な動作である場合は、同一のアクセス リストにいくつかの管理インターフェイスを設定できます。

ACL が管理インターフェイスまたはグローバル IP レベルに関連付けられていない場合は、すべての IP アドレスからのアクセスが許可されます。


) SCE プラットフォームは、アクセスが許可された IP アドレスから送信された ping コマンドだけに応答します。ping は ICMP プロトコルを使用するため、未認証のアドレスから送信された ping は、SCE プラットフォームからの応答を受信しません。


オプション

次のオプションを使用できます。

number : ACL に割り当てられる ID 番号。

ip-address : 許可または拒否されるインターフェイスの IP アドレス。x.x.x.x の形式で入力します。

ip-address/mask : このコマンドでは、x.x.x.x y.y.y.y 形式のアドレスの範囲を設定します。ここで、x.x.x.x は、範囲内のすべての IP アドレスに共通のプレフィクス ビットを示します。y.y.y.y は、無視するビットを示すワイルドカードビットのマスクです。この表記では、「0」が無視するビットです。

次のキーワードを使用できます。

permit : 指定された IP アドレスは、SCE プラットフォームへのアクセスを許可されます。

deny : 指定された IP アドレスは、SCE プラットフォームへのアクセスを拒否されます。

ACL のエントリを追加するには


ステップ 1 configure と入力し、 Enter キーを押します。

グローバル コンフィギュレーション モードがイネーブルにされます。

ステップ 2 必要な IP アドレスを入力します。

IP アドレス タイプを 1 つ設定するには

access-list number permit|deny ip-address と入力し、 Enter キーを押します。

複数の IP アドレスを設定するには

access-list number permit|deny ip-address/mask と入力し、 Enter キーを押します。

ACL に新規のエントリを追加する場合、エントリは常にリストの末尾に追加されます。


 

ACL へのエントリの追加例

次に、アクセス リスト番号 1 に 10.1.1.0 ~ 10.1.1.255 の範囲の IP アドレスだけにアクセスを許可するエントリを追加する例を示します。

SCE(config)#access-list 1 permit 10.1.1.0 0.0.0.255

ACL を削除するには

ACL とそのすべてのエントリを削除するには、ここで説明するコマンドを使用します。


ステップ 1 SCE(config)# プロンプトで、 no access-list number と入力し、 Enter キーを押します。

指定した ACL とそのすべてのエントリが削除されます。


 

グローバル ACL を定義するには

グローバル ACL では、SCE プラットフォームへのすべてのトラフィックが許可または拒否されます。


ステップ 1 SCE(config)# プロンプトで、 ip access-class number と入力し、 Enter キーを押します。

Telnet トラフィックなどのトラフィックの特定のタイプに対してではなく、SCE プラットフォームにアクセスしようとしているすべてのトラフィックに対して、指定された ACL が適用されます。


 

Telnet インターフェイスの設定

「Telnet アクセスを防ぐには」

「Telnet インターフェイスに ACL を割り当てるには」

「Telnet タイムアウトを設定するには」

ここでは、SCE プラットフォームの Telnet インターフェイスについて説明します。Telnet セッションは、SCE プラットフォームの CLI インターフェイスに接続する最も一般的な方法です。

Telnet インターフェイスに次のパラメータを設定できます。

インターフェイスのイネーブル化およびディセーブル化

着信接続を許可または拒否するための ACL の割り当て

Telnet セッションのタイムアウト(セッションにアクティビティが存在しない場合に、Telnet 接続を自動切断するまでに SCE プラットフォームが待機する時間)

Telnet インターフェイスに関連するコマンドは、次のとおりです。

access-class in

line vty

[no] access list

[no] service telnetd

[no] timeout

show line vty access-class in

show line vty timeout

Telnet アクセスを防ぐには

Telnet によってアクセスをすべてディセーブルにするには、ここで説明するコマンドを使用します。


ステップ 1 SCE(config)# プロンプトで、 no service telnetd と入力し、 Enter キーを押します。

現在の Telnet セッションは切断されていませんが、新規の Telnet セッションが許可されなくなります。


 

Telnet インターフェイスに ACL を割り当てるには


ステップ 1 SCE(config)# プロンプトで、 line vty 0 と入力し、 Enter キーを押します。

ライン コンフィギュレーション モードがイネーブルにされます。

ステップ 2 access-class acl-number と入力し、 Enter キーを押します。

acl-number は、既存アクセス リストの ID 番号です。


 

Telnet インターフェイスへの ACL の割り当て例

次に、ACL #1 を Telnet インターフェイスに割り当てる例を示します。

SCE#configure
SCE(config)#line vty 0
SCE(config-line)#access-class 1 in

Telnet タイムアウトを設定するには

SCE プラットフォームは、非アクティブの Telnet セッションのタイムアウトをサポートしています。

オプション

次のオプションを使用できます。

timeout : 非アクティブな Telnet セッションがタイムアウトになる前の分数

デフォルト: 30分


ステップ 1 SCE(config-line)# プロンプトで、 timeout timeout と入力し、 Enter キーを押します。


 

SSH サーバについて

「SSH サーバ」

「キーの管理」

SSH サーバ

標準 Telnet プロトコルの欠点は、インターネット上でパスワードとデータを暗号化せずに転送するため、セキュリティが万全ではない点です。セキュリティを懸念する場合には、Telnet ではなく Secure Shell(SSH; セキュア シェル)サーバの使用を推奨します。

SSH サーバは Telnet サーバに類似していますが、SSH サーバは、通信のプライバシーを保証することにより、安全でないネットワーク上で SSH クライアントとの通信を行うことができる暗号技術を使用しています。CLI コマンドは、SSH でも Telnet とまったく同じ方法で実行されます。

SSH サーバは、SSHv1 と SSHv2 の両方のプロトコルをサポートしています。SSHv1 サーバをディセーブルにでき、これで、SSHv2 のみが実行されます。

SSH サーバは、次の暗号方式をサポートしています。

aes256-ctr、aes192-ctr、aes128-ctr(RFC-4344 のセクション 4)

3des-cbc、blowfish-cbc、aes256-cbc、aes192-cbc、aes128-cbc、arcfour、cast128-cbc(RFC-4253 のセクション 6.3)

arcfour128、arcfour256(RFC-4345 のセクション 4)

rijndael-cbc@lysator.liu.se(OpenSSH 3.7.1p2 の規定による)

他の管理プロトコルと同様に、SSH に ACL を設定できます。SSH アクセスを特定の IP アドレスのセットに制限できます(「ACL の設定」を参照)。

キーの管理

各種のクライアントとの通信を行う場合、各 SSH サーバでは、キー(DSA2、RSA2、および RSA1)のセットを定義する必要があります。キー セットとは、パブリック キーとプライベート キーのペアです。サーバは不揮発性メモリにプライベート キーを置きながら、パブリック キーを公開し、SSH クライアントに伝送することはありません。キーは tffs0 ファイル システムに置かれます。これは、「enable」パスワードを認識できるユーザがプライベート キーとパブリック キーの両方にアクセスできることを意味します。SSH サーバの実装は、SCE プラットフォームの管理通信チャネルをモニタリングできる盗聴者に対する保護を提供していますが、「enable」パスワードの知識があるユーザに対する保護は提供していません。

特定の CLI コマンドを介して、ユーザがキーの管理を実行します。SSH サーバをイネーブルにする前に、最低 1 回、キーのセットを生成する必要があります。

暗号キーのサイズは、常に 2048 ビットです。

SSH サーバの管理

SSH サーバを管理するには、ここで説明するコマンドを使用します。実行内容は、次のとおりです。

SSH キー セットの生成

SSH サーバのイネーブル化/ディセーブル化

SSHv1 のイネーブル化/ディセーブル化 (SSHv1 をディセーブルにすると、SSHv2 のみを実行できます。)

SSH サーバに対する ACL の割り当て/削除

既存の SSH キーの削除

SSH キーのセットを生成するには

SSH サーバをイネーブルにする前に、SSH キーのセットを生成する必要があります。


ステップ 1 SCE(config)# プロンプトで、 ip ssh key generate と入力し、 Enter キーを押します。

新規の SSH キー セットが生成され、すぐに不揮発性メモリに保存されます (キー セットは、コンフィギュレーション ファイルには含まれません)。キーのサイズは、常に 2048 ビットです。


 

SSH サーバをイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 ip ssh と入力し、 Enter キーを押します。


 

SSH サーバをディセーブルにするには


ステップ 1 SCE(config)# プロンプトで、 no ip ssh と入力し、 Enter キーを押します。


 

SSHv2 のみを実行するには


ステップ 1 SCE(config)# プロンプトで、 ip ssh と入力し、 Enter キーを押します。

ステップ 2 SCE(config)# プロンプトで、 no ip ssh sshv1 と入力し、 Enter キーを押します。

SSHv1 を再度イネーブルにするには、 ip ssh SSHv1 コマンドを使用します。


 

SSH サーバに ACL を割り当てるには


ステップ 1 SCE(config)# プロンプトで、 ip ssh access-class acl-number と入力し、 Enter キーを押します。

指定した ACL が SSH サーバに割り当てられ、SSH サーバへのアクセスが ACL に定義された IP アドレスに制限されます。


 

SSH サーバから ACL の割り当てを削除するには


ステップ 1 SCE(config)# プロンプトで、 no ip ssh access-class と入力し、 Enter キーを押します。

ACL の割り当てが SSH サーバから削除され、すべての IP アドレスが SSH サーバにアクセスできるようになります。


 

既存の SSH キーを削除するには


ステップ 1 SCE(config)# プロンプトで、 ip ssh key remove と入力し、 Enter キーを押します。

既存の SSH キー セットが不揮発性メモリから削除されます。

SSH サーバは起動時にだけ不揮発性メモリからキーを読み取るため、SSH サーバが現在イネーブルにされている場合は、継続して動作します。ただし、SSH サーバがイネーブルにされていることをスタートアップ コンフィギュレーションが示す場合、キーが削除されていると、SCE プラットフォームが起動時に SSH サーバを起動できません。このような状況を回避するには、このコマンドの実行後、 リロード を使用して SCE プラットフォームが再起動される前に、次のいずれかを必ず実行してください。

新規のキー セットを生成する

SSH サーバをディセーブルにし、コンフィギュレーションを保存する


 

SSH サーバ ステータスをモニタリングするには

現在の SSH セッションを含む SSH サーバのステータスをモニタリングするには、ここで説明するコマンドを使用します。


ステップ 1 SCE> プロンプトで、 show ip ssh と入力し、 Enter キーを押します。

これは、ユーザ EXEC コマンドです。他のモードを終了して、ユーザ EXEC コマンドを開始していることを確認してください。


 

SNMP インターフェイスのイネーブル化

SNMP インターフェイスをイネーブルにするには、ここで説明するコマンドを使用します。SNMP パラメータ(ホスト、コミュニティ、コンタクト、ロケーション、トラップ宛先のホスト)の詳細については、「SNMP インターフェイスの設定と管理」を参照してください。

「SNMP インターフェイスをイネーブルにするには」

「SNMP インターフェイスをディセーブルにするには」

SNMP インターフェイスをイネーブルにするには

オプション

次のオプションを使用できます。

community-string : SNMP サーバにアクセスできるマネージャのコミュニティを特定するセキュリティ ストリング。


ステップ 1 SCE(config)# プロンプトで、 snmp-server community community-string と入力し、 Enter キーを押します。

SNMP アクセスを許可するには、最低 1 つコミュニティ ストリングを定義する必要があります。コミュニティ ストリングの詳細については、「SNMP コミュニティ ストリングの設定」を参照してください。


 

SNMP インターフェイスをディセーブルにするには


ステップ 1 SCE(config)# プロンプトで、 no snmp-server と入力し、 Enter キーを押します。


 

SNMP インターフェイスの設定と管理

「SNMP インターフェイスについて」

「SNMP コミュニティ ストリングの設定」

「SNMP 通知の設定」

SNMP インターフェイスについて

ここでは、SNMP エージェントのパラメータの設定方法について説明します。SNMP 通知およびサポートされる MIB の概要についても説明します。また、MIB をロードする必要がある順序についても説明します。

SNMP インターフェイス

SCE プラットフォームの OS(オペレーティング システム)には、次のシステムをサポートする SNMP(簡易ネットワーク管理プロトコル)エージェントが内蔵されています。

RFC 1213 標準(MIB-II)

RFC 2737 標準(ENTITY-MIB バージョン 2)

シスコ製エンタープライズ MIB

SNMP プロトコル

SNMP は、複雑なネットワークの管理用のプロトコル セットです。SNMP は、Protocol Data Unit(PDU; プロトコル データ ユニット)と呼ばれるメッセージをネットワークの別の部分に送信することによって機能します。エージェントと呼ばれる SNMP 準拠のデバイスは、MIB(管理情報ベース)にそのデバイスに関するデータを保存し、このデータを SNMP 要求者に戻します。

SCE プラットフォームは、オリジナルの SNMP プロトコル(別名、SNMPv1)、およびコミュニティベースの SNMPv2 と呼ばれる新規のバージョン(別名、SNMPv2C)をサポートしています。

SNMPv1 : RFC 1155 と RFC 1157 で定義されている正規のインターネット標準である SNMP の最初のバージョンです。SNMPv1 は、コミュニティベースの形式によるセキュリティを使用します。

SNMPv2c : プロトコル パケットのタイプ、トランスポート マッピング、および MIB 構造の要素の部分が SNMPv1 から改善されているものの、既存の SNMPv1 管理構造を使用している、改訂版のプロトコルです。RFC 1901、RFC 1905、および RFC 1906 で定義されています。

SNMP の SCE プラットフォーム実装は、RFC 1213 に記述されているすべての MIB II 変数をサポートし、RFC 1215 に記述されているガイドラインを使用して SNMP トラップを定義します。

SNMPv1 と SNMPv2C の仕様は、SCE プラットフォームでサポートされている次の基本操作を定義しています。 表 5-2 は、要求タイプとその説明のリストです。

 

表 5-2 要求タイプ

要求タイプ
説明
備考

Set-request

エージェントによって管理されている 1 つ以上のオブジェクトに新規のデータを書き込みます。

操作を設定すると、SCE プラットフォームの running-config にすぐに影響しますが、startup-config には影響しません。

Get-request

エージェントによって管理されている 1 つ以上のオブジェクトの値を要求します。

Get-next-request

エージェントによって管理されている次のオブジェクトの Object Identifier(OID; オブジェクト ID)と値を要求します。

Get-response

エージェントによって戻されたデータが含まれます。

Trap

エージェント システムでイベントまたはエラーが発生したことを示す非送信請求通知をエージェントからマネージャに送信します。

SNMPv1 または SNMPv2 スタイルのいずれかのトラップを送信するように、SCE プラットフォームを設定できます。

Get-bulk-request

1 つの要求/応答トランザクションで大量のオブジェクト情報を取得します。Get-bulk は、1 つの要求/応答によって実行されていますが、Get-next の要求/応答が繰り返し実行されているかのように動作します。

これは、新しく定義された SNMPv2c メッセージです。

セキュリティの考慮事項

デフォルトでは、SNMP エージェントの読み取りと書き込みの両方の操作がディセーブルにされています。イネーブルにすると、管理ポート上でのみ SNMP がサポートされます(帯域内管理はサポートされません)。

また、SCE プラットフォームは、マネージャのコミュニティによる読み書きまたは読み取り専用のアクセスをサポートしています。さらに、ACL(アクセス リスト)をコミュニティに関連付けて、制限されたマネージャ IP アドレスのセットに SNMP 管理を許可できます。

CLI

「SNMP を設定する CLI コマンド」

「SNMP をモニタリングする CLI コマンド」

SCE プラットフォームは、SNMP エージェントの操作を制御する CLI コマンドをサポートしています。Admin 許可レベルでは、すべての SNMP コマンドを使用できます。SNMP エージェントは、デフォルトでディセーブルにされており、明示的にディセーブルのコマンドが使用されている場合を除いて、任意の SNMP コンフィギュレーション コマンドによって、SNMP エージェントがイネーブルになります。

SNMP を設定する CLI コマンド

SNMP の設定に使用できる CLI コマンドのリストは、次のとおりです。これらは、グローバル コンフィギュレーション モード コマンドです。

snmp-server enable

no snmp-server

[no] snmp-server community [all]

no | default] snmp-server enable traps

[no] snmp-server host [all]

[no] snmp-server contact

[no] snmp-server location

SNMP をモニタリングする CLI コマンド

SNMP のモニタリングに使用できる CLI コマンドのリストは、次のとおりです。これらはビューア モード コマンドで、SNMP エージェントがイネーブルの場合に使用できます。

show snmp(SNMP エージェントがディセーブルにされている場合でも使用できます)

show snmp community

show snmp contact

show snmp enabled

show snmp host

show snmp location

show snmp mib

show snmp traps

MIB

「MIB データ オブジェクト」

「MIB-II について」

「ENTITY-MIB について」

「pcube エンタープライズ MIB について」

MIB(管理情報ベース)は、NMS によるモニタリングが可能なオブジェクトのデータベースです。SNMP は、MIB によって定義されたデバイスのモニタリングを SNMP ツールに許可する標準 MIB 形式を使用します。

SCE プラットフォームは、次の MIB をサポートしています。

次の標準 MIB

RFC 1213 に定義されている MIB-II(Management Information Base for Network Management of TCP/IP-based Internets)と、その拡張版の一部

ENTITY-MIB バージョン 2(RFC 2737 で定義)

独自の MIB: Cisco Service Control 製品としてシスコによって定義されている シスコ製エンタープライズ MIB「独自 MIB リファレンス」を参照)。

シスコ製エンタープライズ MIB(pcube)は、次のような異なる種類の MIB に分割できます。

独自の SCOS MIB: これらの MIB には、プラットフォーム固有の情報が含まれます。これらは、pcube サブツリーの汎用定義にも含まれています。

SE MIB と Dispatcher MIB の 2 つは、OS MIB の例です。

独自のアプリケーション MIB: これらの MIB には、アプリケーション固有の情報が含まれています。

現在、 Engage MIB という 1 つのアプリケーション MIB があります。

独自の共通 MIB: これらの MIB には、複数のシスコ プラットフォームで共通の機能が含まれています。

現在、 configuration copy MIB という 1 つの共通 MIB があります。

米国シスコシステムズ社 による P-cube 社の買収以降、既存の独自 MIB は、シスコ標準に準拠するよう更新の処理中です。SCOC バージョン 3.0.3 以降のすべての Pcube MIB は、SMICNG を使用してコンパイルされ、シスコ標準とスタイルに準拠しています。


) 「Pcube」と「SC」の指定は、互換性の目的で MIB に残されていますが、これらは、シスコ SCE 製品を意味します。


MIB データ オブジェクト

MIB を構成するデータ オブジェクトは、次の 2 つの方法で定義される場合があります。

OID(オブジェクト ID): エージェント データベースにある特定のデータ オブジェクトを説明する固有の文字列。

OID は、1.3.6.1.4.1.5655.4.1.10.1 など、ドット付きの形式で書き込まれます。

MIB 記述子: OID のために MIB に定義されている名前。これは、しばしば、明示的な OID の代わりに使用されます。

例:「ifTable」は、MIB-II インターフェイス テーブルの OID を表します。

MIB-II について

「MIB-II」

「IF-MIB」

MIB-II

SCE プラットフォームは、次のグループを含む MIB-II(RFC 1213)のすべてをサポートしています。

システム、インターフェイス(管理ポートおよび回線ポートの両方)、AT(管理ポート)、IP(管理ポート)、ICMP(管理ポート)

TCP(管理ポート)

UDP(管理ポート)

SNMP(管理ポート)

IF-MIB

MIB-II 標準は、数種類の MIB によって拡張されました。SCOS は、RFC-2233 に定義されている IF-MIB をサポートします。

IF-MIB では、次の 4 つのテーブルが定義されています。

 

iftable

MIB-II ifTable に対する更新

ifxtable

高容量インターフェイスのための、ifTable への追加

ifStackTable

インターフェイスのサブレイヤに関する情報が含まれているテーブル

ifRcvAddressTable

複数の受信アドレスをサポートするインターフェイス指すテーブル

次は、この MIB にあるそれぞれのオブジェクトの詳細です。

 

ifindex

インターフェイスは、ポートが先になるよう番号付けされます。

ifPhysAddress

管理インターフェイスでは、これは MAC アドレスです。

トラフィック インターフェイスでは、これはオール 0 アドレスです。

IfAdminStatus

このオブジェクトへの書き込み操作はサポートされていません。これは、Ethernet MIB RFC2665 セクション 3.2.7 によると、差し支えありません。

IfOutQLen

常に 0 に戻ります。

Under ifXTable: ifname

ifDescr と同じです。

ifpromiscuousmode

管理インターフェイスは「false」です。

トラフィック インターフェイスは「true」です。

ifRcvAddressTable

実装されていません。

iftesttable

RFC-2233 によって廃止予定のため、実装されていません。

ENTITY-MIB について

「ENTITY-MIB」

「entityPhysical グループ」

「entityGeneral グループ」

ENTITY-MIB

Entity-MIB には、MIB オブジェクトの次の 5 グループが含まれています。

entityPhysical グループ

entityLogical グループ

entityMapping グループ

entityGeneral グループ

entityNotifications グループ

SCOS では、他のグループが SCE プラットフォームに関係しないため、Entity-MIB の物理グループおよび一般グループのみが実装されます。

entityPhysical グループ

entityPhysical グループでは、単一エージェントによって管理される物理エンティティについて説明します。1 つのテーブル entPhysicalTable が含まれ、物理システム コンポーネントが指定されます。

次に、SCOS に実装されている、 entPhysicalTable にある特定オブジェクトの詳細を示します。

 

entPhysicalIndex (1)

1(SCE メイン ボード)

entPhysicalDescr (2)

製品カタログでの説明のように、製品 ID に対応した説明

entPhysicalVendorType (3)

cevChassisSCE2000 = {cevChassis 511} (1.3.6.1.4.1.9.12.3.1.3.511)

cevChassisSCE1000 = {cevChassis 512} (1.3.6.1.4.1.9.12.3.1.3.512)

entPhysicalContainedIn (4)

0(含まれない)

entPhysicalClass (5)

3(シャーシ)

entPhysicalParentRelPos (6)

1

entPhysicalName (7)

"Chassis"

entPhysicalHardwareRev (8)

EPROM で指定されているバージョン ID

entPhysicalFirmwareRev (9)

空の文字列

entPhysicalSoftwareRev (10)

「show version」で表示されるソフトウェア バージョン

entPhysicalSerialNum (11)

EPROM で指定されているシリアル番号

entPhysicalMfgName (12)

"Cisco Systems, inc."

entPhysicalModelName (13)

EPROM で指定されている製品 ID

entPhysicalAlias (14)

空の文字列

entPhysicalAssetID (15)

空の文字列

entPhysicalIsFRU (16)

2(偽)

entityGeneral グループ

entityGeneral グループには、他のオブジェクト グループに関連する一般的な情報が含まれています。entGeneral グループには、単一スカラ オブジェクトが含まれています。

次に、SCOS に実装されている、 entityGeneral にある特定オブジェクトの詳細を示します。

 

entLastChangeTime

sysUpTime。これは、Entity-MIB にあるエントリは、SCE プラットフォームで、ブート時の作成後には変更されません。

pcube エンタープライズ MIB について

「pcube エンタープライズ MIB」

「MIB ファイルのロード」

pcube エンタープライズ MIB

SCE 独自の pcube MIB を使用すると、外部管理システムは、SCE プラットフォームの動作ステータスとリソース利用率に関する一般情報を取得したり、帯域利用率とネットワーク統計情報のリアルタイム測定を抽出したり、クリティカル イベントとアラームの通知を受信したりできます。


) 次のオブジェクト IDは、シスコ製エンタープライズ MIB を表します。



1.3.6.1.4.1.5655、または iso.org.dod.internet.private.enterprise.pcube


pcube エンタープライズ MIB は、次の 4 つの主要グループに分かれます。

製品

モジュール

管理

ワークグループ

シスコ製エンタープライズのツリー構造は、 pcube.mib の名前が付いた MIB ファイルに定義されています。

シスコ製エンタープライズ MIB の詳細については、「独自 MIB リファレンス」を参照してください。

図 5-1 に、シスコ製エンタープライズ MIB について説明します。図の中で使用される表記は、次のとおりです。

コンポーネントを囲む点線の矢印は、そのコンポーネントが点線の下に示されている MIB ファイル内で記述されていることを表します。

影付きボックスは、コンポーネント自体の MIB ファイルでコンポーネントが説明されていることを示します。

図 5-1 シスコ製エンタープライズ MIB の構造

 

pcubeProducts サブツリー: Cisco Service Control 製品の OID が含まれます。

pcubeModules サブツリー: MIB モジュールを定義できるルート オブジェクト ID を指定します。

pcubeMgmt サブツリー: 複数製品に関連する pcube MIB のルート。

pcubeConfigCopyMIB : 実行設定の起動設定へのローカル コピーをサポートする Cisco Config-Copy-MIB のサブセット。

pcubeWorkgroups サブツリー: Cisco Service Control デバイスとサブデバイスの実 MIB が含まれます。

pcubeSeMIB : 次の 2 つのブランチが含まれます。

pcubeSeEvents : エンタープライズ固有の通知を送信するために使用される OID が含まれます。

pcubeSEObjs : 機能によってグループ分けされる SCE プラットフォームに属す OID が含まれます。

MIB ファイルのロード

Service Control 独自の MIB は、pcube MIB( pcube.mib )などの他の MIB と SNMPv2.mib に定義されている定義を使用します。そのため、MIB をロードする順序が重要になります。エラーを防ぐためには、MIB を正しい順序でロードする必要があります。

1. SNMPv2.my をロードします。

2. SNMP-FRAMEWORK-MIB.my をロードします。

3. PCUBE-SMI.my をロードします。

4. PCUBE-SE-MIB.my をロードします。


) SCOS によってサポートされる情報と独自の MIB ファイルは、www.cisco.com の「Cisco Service Routing Products」セクションからダウンロードできます。


SNMP による設定

SCE プラットフォームは、SNMP による設定が可能な限られた変数のセット(読み書き変数)をサポートしています。CLI と同様に SNMP を介して変数を設定すると、すぐに実行コンフィギュレーションに影響します。次のリブート用(スタートアップ コンフィギュレーション)にこのコンフィギュレーションを保存するには、シスコ製エンタープライズ MIB オブジェクトを使用して、CLI または SNMP 経由でこのコンフィギュレーションを明示的に指定する必要があります(「シスコ製エンタープライズ MIB の構造」を参照)。

SCE プラットフォームでは、このデータベースの変更が可能な複数のインターフェイスによって、1 つのコンフィギュレーション データベースが処理されることにも注意してください。そのため、CLI または SNMP を介して copy running-config startup-config コマンドを実行して、SNMP または CLI で行ったすべての変更内容を永続的に残します。

SNMP コミュニティ ストリングの設定

「コミュニティ ストリングを定義するには」

「コミュニティ ストリングを削除するには」

「設定されているコミュニティ ストリングを表示するには」

SNMP 管理をイネーブルにするには、SNMP コミュニティ ストリングを設定して、SNMP マネージャとエージェント間の関係を定義する必要があります。

SNMP 要求を受信すると、SNMP エージェントは、要求に含まれたコミュニティ ストリングとエージェントに設定されたコミュニティ ストリングを照らし合わせます。次の環境において、要求が有効になります。

要求に含まれたコミュニティ ストリングが読み取り専用コミュニティに一致する場合、SNMP の Get Get-next 、および Get-bulk の要求が有効です。

要求に含まれたコミュニティ ストリングがエージェントの読み書きコミュニティに一致する場合、SNMP の Get Get-next Get-bulk 、および Set の要求が有効です。

コミュニティ ストリングを定義するには

「オプション」

「コミュニティ ストリングの定義例」

オプション

次のオプションを使用できます。

community-string : SNMP サーバにアクセスできるマネージャのコミュニティを特定するセキュリティ ストリング。

acl-number : ACL が SNMP インターフェイスに割り当てられる場合の ID 番号。エージェントへのアクセスを取得するためにコミュニティ ストリングを使用することが許可された、SNMP マネージャの IP アドレスをリストする必要があります。

ACL が設定されていない場合、定義されたコミュニティ ストリングを使用して、すべての IP アドレスがエージェントにアクセスできます。ACL に関する詳細については、「ACL の設定」を参照してください。

次のキーワードを使用できます。

ro : 読み取り専用(デフォルトのアクセス機能)

rw : 読み取りと書き込み


ステップ 1 SCE(config)# プロンプトで、 snmp-server community community-string ro|rw acl-number と入力し、 Enter キーを押します。

必要に応じてコマンドを繰り返し、すべてのコミュニティ ストリングを定義します。


 

コミュニティ ストリングの定義例

次に、アクセス リスト番号が「1」で、読み取り専用権限を持つ「mycommunity」コミュニティ ストリングを設定する例を示します。

読み取り専用がデフォルトのため、明示的に定義する必要はありません。

SCE(config)#snmp-server community mycommunity 1

コミュニティ ストリングを削除するには


ステップ 1 SCE(config)# プロンプトで、 no snmp-server community community-string と入力し、 Enter キーを押します。


 

コミュニティ ストリングの削除例

次に、「mycommunity」コミュニティ ストリングを削除する例を示します。

SCE(config)#no snmp-server community mycommunity

設定されているコミュニティ ストリングを表示するには


ステップ 1 SCE> プロンプトで、 show snmp-server community community-string と入力し、 Enter キーを押します。


 

設定されているコミュニティ ストリングの表示例

次に、設定された SNMP コミュニティを表示する例を示します。

SCE>show snmp community
Community: public, Access Authorization: RO, Access List Index: 1
SCE>

SNMP 通知の設定

次の設定を行うには、ここで説明するコマンドを使用します。

SNMP 通知を受信する宛先(ホスト)

送信される通知のタイプ(トラップ)

SNMP 通知について

通知は、イベントが発生したときに、SCE プラットフォームに内蔵された SNMP エージェントが生成する非送信請求メッセージです。Network Management System(NMS; ネットワーク管理システム)がトラップ メッセージを受信すると、イベントの発生を記録したり、信号を無視したりなどの、適切なアクションを行うことができます。

デフォルトでは、SCE プラットフォームが SNMP 通知を送信するように設定されていません。SCE プラットフォームからの通知が送信される必要がある NMS を定義する必要があります (設定可能な通知のリストについては、以降で示す表の「設定可能な通知」を参照してください)。通知を誘発するイベントのいずれかが SCE プラットフォームで発生すると、必ず SNMP 通知が SCE プラットフォームからユーザが定義する IP アドレスのリストに送信されます。

SCE プラットフォームは、2 つの一般的なカテゴリの通知をサポートしています。

標準 SNMP 通知: RFC 1157 に定義されており、RFC 1215 に定義された表記法を使用しています。

独自の SNMP エンタープライズ通知: SCE の独自の MIB に定義されています。

ホストが通知を受信するように設定されると、デフォルトにより、SCE プラットフォームは、このホストに SCE プラットフォームがサポートしているすべての通知(AuthenticationFailure 通知以外)を送信します。SCE プラットフォームは、この通知に加えて、一部の SCE エンタープライズ通知の送信を明示的にイネーブルまたはディセーブルにするオプションを提供しています。

SNMPv1 または SNMPv2 スタイルの通知を生成するように SCE プラットフォームを設定できます。デフォルトでは、SCE プラットフォームは SNMPv1 通知を送信します。

以下は、次の内容を実行するサンプル手順です。

SNMP エージェントから通知を送信する必要がある送信先のホスト(NMS)を設定する

通知の受信からホスト(NMS)を除外または削除する

authentication-failure 通知を送信するよう SNMP エージェントをイネーブルにする

エンタープライズ通知を送信するよう SNMP エージェントをイネーブルにする

すべての通知をデフォルト設定にリセットする

SNMP ホストを定義するには

SCE プラットフォームから通知を受信するホストを定義するには、ここで説明するコマンドを使用します。

「オプション」

「ホスト(NMS)に通知を送信するように SCE プラットフォームを設定するには」

「ホストへの通知の送信を停止するように SCE プラットフォームを設定するには」

「SNMP トラップの設定方法」

オプション

次のオプションを使用できます。

ip-address : SNMP サーバ ホストの IP アドレス。

community-string : SNMP サーバにアクセスできるマネージャのコミュニティを特定するセキュリティ ストリング。

version : システムで実行中の SNMP バージョン。1 または 2c に設定できます。

デフォルト: 1(SNMPv1)

ホスト(NMS)に通知を送信するように SCE プラットフォームを設定するには


ステップ 1 SCE(config)# プロンプトで、 snmp-server host ip-address community-string と入力し、 Enter キーを押します。

バージョンが指定されない場合、SNMPv1 であると見なされます。

1 コマンドにつき 1 つのホストのみを指定できます。複数ホストを定義するには、各ホストにつき 1 つのコマンドを実行します。


 

複数のホストに通知を送信するように SCE プラットフォームを設定する例

次に、SNMPv1 通知をサーバ ホストに送信するように SCE プラットフォームを設定する例を示します。

SCE(config)#snmp-server host 10.10.10.10 mycommunity
SCE(config)#snmp-server host 20.20.20.20 mycommunity
SCE(config)#snmp-server host 30.30.30.30 mycommunity
SCE(config)#snmp-server host 40.40.40.40 mycommunity

ホストへの通知の送信を停止するように SCE プラットフォームを設定するには


ステップ 1 SCE(config)# プロンプトで、 no snmp-server host ip-address と入力し、 Enter キーを押します。


 

ホストへの通知の送信を停止するように SCE プラットフォームを設定する例

次に、「192.168.0.83」の IP アドレスを持つホストを削除する例を示します。

SCE(config)#no snmp-server host 192.168.0.83

SNMP トラップの設定方法

定義されているホストに送信する通知を設定するには、ここで説明するコマンドを使用します。

「オプション」

「SNMP サーバによる認証失敗通知の送信をイネーブルにするには」

「SNMP サーバによるすべてのエンタープライズ通知の送信をイネーブルにするには」

「SNMP サーバによる特定のエンタープライズ通知の送信をイネーブルにするには」

「すべての通知をデフォルトのステータスに戻すには」

オプション

次のオプションを使用できます。

snmp : すべてまたは特定の SNMP トラップをイネーブルにする必要があるか、ディセーブルにする必要があるかを指定する、オプションのパラメータ。

デフォルトでは、SNMP トラップはディセーブルにされています。

snmp trap name : 特定の SNMP トラップをイネーブルにする必要があるか、ディセーブルにする必要があるかを指定する、オプションのパラメータ。

このパラメータで、現在受け付けられる唯一の値は、 Authentication です。

enterprise : すべてまたは特定のエンタープライズ トラップをイネーブルにする必要があるか、ディセーブルにする必要があるかを指定する、オプションのパラメータ。

デフォルトでは、エンタープライズ トラップはディセーブルにされています。

enterprise trap name : 特定の SNMP トラップをイネーブルにする必要があるか、ディセーブルにする必要があるかを指定する、オプションのパラメータ。

値: attack、chassis、link-bypass、logger、operational-status、port-operational-status、pull-request-failure、RDR-formatter、session、SNTP、subscriber、system-reset、telnet、vas-traffic-forwarding

これらのパラメータは、次のように使用します。

1 つのタイプの全トラップをイネーブルまたはディセーブルにするには、 snmp または enterprise を指定します。

1 つの特定のトラップをイネーブルまたはディセーブルにするには、必要なトラップのトラップ名パラメータを追加して、 snmp または enterprise を指定します。

全トラップをイネーブルまたはディセーブルにするには、 snmp enterprise も指定しません。

SNMP サーバによる認証失敗通知の送信をイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 snmp-server enable traps snmp authentication と入力し、 Enter キーを押します。


 

SNMP サーバによるすべてのエンタープライズ通知の送信をイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 snmp-server enable traps enterprise と入力し、 Enter キーを押します。


 

SNMP サーバによる特定のエンタープライズ通知の送信をイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 snmp-server enable traps enterprise [attack|chassis|link-bypass|logger|operational-status|port-operational-status|pull-request-failure|RDR-formatter|session| SNTP|subscriber|system-reset|telnet|vas-traffic-forwarding] と入力し、 Enter キーを押します。

必要なエンタープライズ トラップ タイプが指定されます。


 

SNMP サーバによる特定のエンタープライズ通知の送信をイネーブルにする例

次に、logger エンタープライズ通知のみを送信するように SNMP サーバを設定する例を示します。

SCE(config)#snmp-server enable traps enterprise logger

すべての通知をデフォルトのステータスに戻すには


ステップ 1 SCE(config)# プロンプトで、 default snmp-server enable traps と入力し、 Enter キーを押します。

SCE プラットフォームによってサポートされるすべての通知が、デフォルトのステータスにリセットされます。


 

パスワードの管理

「パスワードについて」

「パスワードの変更」

「パスワードの暗号化」

「パスワードのリカバリ」

パスワードについて

シスコの CLI パスワードは、アクセス レベルの許可設定であり、個人のユーザ パスワードではありません。その例として、すべての Admin ユーザが同じパスワードでログインします。これは、システムが個人としてではなく、特定の権限でユーザを特定することを意味します。

未認証のユーザが SCE プラットフォームにアクセスしないようにするために、すべての許可レベルでパスワードが必要になります。初期インストール時にデフォルトのパスワードを変更し、システムを保護する目的で定期的にパスワードを変更することを推奨します。


) すべてのレベルのデフォルト パスワードは、「Cisco」です。


Telnet ユーザがログオンすると、Password: プロンプトだけが表示され、ロゴが表示されません。これは、パスワードを知らないユーザにシステム ID を明かさないことにより、セキュリティを強化しています。

パスワードの注意事項は、次のとおりです。

パスワードの長さは、4 ~ 100 文字にする必要があります。

パスワードには、表示可能なすべてのキーボード文字を入力できます。

パスワードの先頭に文字に入力する必要があります。

パスワードにはスペースを加えることができません。

パスワードでは、大文字と小文字が区別されます。

Admin またはそれ以上の許可レベルを持つユーザは、 show running-config コマンドまたは show startup-config コマンドを使用して、設定されたパスワードを表示できます。したがって、パスワードを完全に極秘にする場合は、「パスワードの暗号化をイネーブルにするには」に記述されているように、暗号化機能をアクティブにする必要があります。

パスワードを変更するには

パスワードを変更するには、 enable password コマンドを使用します。パスワードが変更されると、デフォルトのパスワードがそれ以降許可されなくなります。

オプション

次のオプションを使用できます。

レベル: パスワードが定義される認可レベルの番号。

認可レベルは、次のとおりです。

0: User

5: Viewer

10: Admin

15: Root

パスワード: 指定された認可レベルの新しいパスワード。


ステップ 1 SCE(config)# プロンプトで、 enable password level level password と入力し、 Enter キーを押します。

ネットワーク管理者は、安全な場所でパスワードを記録する必要があります。


 

パスワード変更の正常実行の確認


ステップ 1 パスワードを設定するのに使用した Telnet 接続を維持しながら、新規の Telnet 接続を開始します。

これは確認が失敗したときに、Admin 許可レベルでパスワードを再入力するために重要です。

ステップ 2 SCE# プロンプトで、 enable level と入力し、 Enter キーを押します。

パスワードを変更したばかりのレベルが指定されます。

ステップ 3 プロンプトで、新しいパスワードを入力し、 Enter キーを押します。

新しいパスワードを正常に入力した場合、適切なプロンプトが表示されます。

不正確なパスワードを入力した場合、パスワード プロンプトが再表示されます。

必要に応じてこの手順を繰り返し、別のパスワードもチェックします。

暗号化機能は、プラットフォーム コンフィギュレーション ファイルのパスワードが暗号化します。


 

パスワードの暗号化

「パスワードの暗号化をイネーブルにするには」

「パスワードの暗号化をディセーブルにするには」

暗号化機能がアクティブにされると、システムに入力されたパスワードは、コンフィギュレーション ファイルが次に保存されるときにスタートアップ コンフィギュレーション ファイルに暗号化されます。暗号化機能がオフにされると、前にスタートアップ コンフィギュレーション ファイルに暗号化されたパスワードが解読されなくなります。

デフォルトでは、パスワードの暗号化機能がディセーブルになっています。

パスワードの暗号化をイネーブルにするには


ステップ 1 sce(config)# プロンプトで、 service password encryption と入力し、 Enter キーを押します。


 

パスワードの暗号化をディセーブルにするには


ステップ 1 sce(config)# プロンプトで、 no service password encryption と入力し、 Enter キーを押します。

これによって、コンフィギュレーション ファイルから暗号化は削除されません。パスワードを暗号化されていないままスタートアップ コンフィギュレーション ファイルに保存する場合は、スタートアップ コンフィギュレーション ファイルに保存する必要があります。


 

パスワードのリカバリ

SCE プラットフォームの enable パスワードを回復する必要が生じた場合には、次の手順を使用します。使用する SCOS のバージョンによって、適切な手段を使用します。

バージョン 2.5.5

バージョン 2.5.5 またはそれ以降

SCOS バージョン 2.5.5 よりも前でパスワードを回復するには

パスワードの回復に使用される手順は、保存する必要があるユーザ設定パラメータがあるかどうかにより、異なります。

「パスワードを回復してデフォルト設定に戻すには」

「パスワードを回復して現在の設定を保存するには」

パスワードを回復してデフォルト設定に戻すには

SCOS バージョン 2.5.5 よりも前のバージョンを実行中の SCE プラットフォームでは、 config.txt ファイルを削除してリブートするだけで、パスワードを回復できます。


) この手順では、SCE プラットフォームの設定が、工場出荷時のデフォルトにリセットされます。したがって、この手順は、SCE プラットフォームの動作によって影響を受ける可能性があるトラフィックがないことを確認した後でのみ、実行する必要があります。



) この手順では、SCE プラットフォームの設定が、工場出荷時のデフォルトにリセットされます。したがって、現在のすべてのユーザの設定が失われます。ユーザ設定を失うことなくパスワードを回復するには、「パスワードを回復して現在の設定を保存するには」で説明している手順を使用します。



ステップ 1 シリアル端末を、9600 ボーで「AUX」ポートに接続します。

ステップ 2 Enter キーを押すと、プロンプトが表示されます。

SCE プラットフォームに接続します。

ステップ 3 rm "/tffs0/system/config.txt" と入力し、 Enter キーを押します。

未知のパスワードが含まれている設定ファイルが削除されます。

ステップ 4 reboot と入力し、 Enter キーを押します。

システムがリブートされ、デフォルト パスワードを含むデフォルト設定が復元されます。


) 未認可ユーザが、デフォルト パスワードを使用して SCE プラットフォームに接続することをブロックするため、このようなパスワードが必要になったすべてのレベルで、ただちに新しいパスワードを設定する必要があります。新しいパスワードを永続的に残すため、(CLI コマンド copy running-config startup-config を使用して)設定を保存する必要があります。



 

パスワードを回復して現在の設定を保存するには

短時間でできる簡単な方法として、 config.txt ファイルを削除し、SCE プラットフォームの設定を工場出荷時のデフォルトにリセットし、現在のすべてのユーザ設定を置き換えます。設定ファイルを保存するこの手順を使用して、現在の設定を失わずにパスワードを回復します。


) この手順では、現在の設定は保存されませんが、プロセスには、SCE プラットフォームの設定を、工場出荷時のデフォルトに一時的にリセットするプロセスが含まれます。したがって、この手順は、SCE プラットフォームの動作によって影響を受ける可能性があるトラフィックがないことを確認した後でのみ、実行する必要があります。



ステップ 1 シリアル端末を、9600 ボーで「AUX」ポートに接続します。

ステップ 2 Enter キーを押すと、プロンプトが表示されます。

SCE プラットフォームに接続します。

ステップ 3 cd system と入力し、 Enter キーを押します。

system ディレクトリが探されます。

ステップ 4 rename "config.txt" "config2.txt" と入力し、 Enter キーを押します。

リブート時に失われないよう、設定ファイルの名前が変更されます。

ステップ 5 reboot と入力し、 Enter キーを押します。

システムがリブートされ、パスワードがリセットされます。デフォルト設定が復元され、すべてのパスワードが Cisco になります。これによって、システムにアクセスできます。

(IP アドレス設定は、最後に設定されたとおりに残ります。)

ステップ 6 SCE プラットフォームに対する Telnet セッションを確立し、 admin 認可レベルをイネーブルにします。

デフォルト パスワード(Cisco)を使用します。

ステップ 7 SCE# プロンプトで、 copy /system/config2.txt ftp:// <user>:<ftp_password>@ip_address/<path>/config2.txt と入力し、 Enter キーを押します。

SCE プラットフォーム FTP クライアントを使用して、 /system/config2.txt ファイルがワークステーションにコピーされます。

ステップ 8 ワークステーションで、ファイルを開きます。 enable password で始まる行を探します。

パスワードが暗号化されていない場合は、パスワードを参照できますので、これを書き留めます。

パスワードが暗号化されている場合は、次の手順を実行します。

a. enable password で始まる行を削除して、ファイルを編集します。

a. ファイルを保存します。

a. SCE# プロンプトで、 copy ftp:// <user>:<ftp_password>@ip_address/<path>/config2.txt /system/config2.txt と入力し、 Enter キーを押します。

SCE プラットフォームの FTP クライアントを使用して、ワークステーションからのファイルが、SCE プラットフォームのディスク スペースにコピーで戻されます。

ステップ 9 SCE# プロンプトで、 rename /system/config2.txt /system/config.txt と入力し、 Enter キーを押します。

SCE プラットフォームの設定ファイルの名前が、元の名前 config.txt に変更されます。

ステップ 10 SCE# プロンプトで、 reload と入力し、 Enter キーを押します。

SCE プラットフォームがリブートされ、保存したユーザ設定ファイルが戻されます。

パスワードが暗号化されていなかった場合、設定ファイルは変更されなかったため、コピーされたファイルで参照したユーザ設定パスワードが戻されます。

パスワードが暗号化されていた場合、SCE プラットフォームにコピーして戻される前に、設定ファイルから暗号化される行が削除されたため、デフォルト パスワードの Cisco が残ります。

未認可ユーザが、デフォルト パスワードを使用して SCE プラットフォームに接続することをブロックするため、このようなパスワードが必要になったすべてのレベルで、ただちに新しいパスワードを設定する必要があります。新しいパスワードを永続的に残すため、(CLI コマンド copy running-config startup-config を使用して)設定を保存する必要があります。


 

SCOS バージョン 2.5.5 またはそれ以降でパスワードを回復するには

SCOS バージョン 2.5.5 またはそれ以降で、デフォルト パスワードを戻すコマンドを使用できます。ただし、デフォルト パスワードの設定は一時的にのみ使用できるようにすることに、注意することが重要です。セキュリティのためと、万が一のシステム リブートの場合に知らないパスワードが戻されないようにするため、新しいパスワードをただちに設定し、保存する必要があります。


) この手順は、ログイン パスワード以外の設定パラメータには、影響はありません。したがって、トラフィック コントロール中の実行は安全です。



ステップ 1 シリアル端末を、9600 ボーで「AUX」ポートに接続します。

ステップ 2 Enter キーを押すと、プロンプトが表示されます。

SCE プラットフォームに接続します。

ステップ 3 プロンプトで PSWD_ResetAll と入力し、 Enter キーを押します。

enable パスワードがリセットされます。

次のメッセージが表示されます。

All 'enable' passwords have been reset.

SCOS では、すべてのレベルでデフォルト パスワードが使用されます。これは、リブート後には残らない一時的な状態であることに、注意してください。パスワードを変更および保存せずに SCE プラットフォームをリブートすると、未知のパスワードが戻されます。

未認可ユーザが、デフォルト パスワードを使用して SCE プラットフォームに接続することをブロックするため、このようなパスワードが必要になったすべてのレベルで、ただちに新しいパスワードを設定する必要があります。新しいパスワードを永続的に残すため、(CLI コマンド copy running-config startup-config を使用して)設定を保存する必要があります。


 

IP の設定

「IP ルーティング テーブルの設定」

「IP アドバタイジング」

「管理インターフェイスの IP アドレスの設定」

IP ルーティング テーブルの設定

「デフォルト ゲートウェイを設定するには」

「IP ルーティング テーブルにエントリを追加するには」

「IP ルーティング テーブルの表示」

SCE プラットフォームは、帯域外 MNG ポートの IP パケットを処理するために、スタティック ルーティング テーブルを保持しています。パケットが送信されると、システムは、ルーティング テーブルで正しいルーティングを調べ、それに従ってパケットを転送します。パケットのルートを判別できない場合、SCE プラットフォームはデフォルト ゲートウェイにパケットを送信します。

SCE プラットフォームは、デフォルトのネクスト ホップ ルータとしてデフォルト ゲートウェイの設定をサポートしています。また、異なるサブネットに対して異なるネクスト ホップ ルータを提供するために、ルーティング テーブルの設定をサポートしています(最大設定数は、10 サブネット)。

次のセクションでは、CLI コマンドを使用して、各種のパラメータを設定する方法を示します。

IP ルーティング テーブルに関連するコマンドは、次のとおりです。

ip default-gateway

ip route prefix mask next-hop

no ip route all

no ip route prefix mask

show ip route

show ip route prefix

show ip route prefix mask

デフォルト ゲートウェイを設定するには

「オプション」

「デフォルト ゲートウェイの設定例」

オプション

次のオプションを使用できます。

ip-address: デフォルト ゲートウェイの IP アドレス


ステップ 1 SCE(config)# プロンプトで、 ip default-gateway ip-address と入力し、 Enter キーを押します。

特権 EXEC モードがイネーブルになります。

プロンプトが表示されたら、パスワードを入力します。


 

デフォルト ゲートウェイの設定例

次に、SCE プラットフォームのデフォルト ゲートウェイの IP を 10.1.1.1 に設定する例を示します。

SCE(config)#ip default-gateway 10.1.1.1

IP ルーティング テーブルにエントリを追加するには

「オプション」

「IP ルーティング テーブルにエントリを追加する例」

オプション

次のオプションを使用できます。

prefix : ドット付き表記の、ルーティング エントリの IP アドレス。

mask : ドット付き表記の、関連サブネット マスク。

next-hop : ドット付き表記の、ルートの次のホップの IP アドレス。

MNG インターフェイス サブネット内にある必要があります。


ステップ 1 SCE(config)# プロンプトで、 ip route prefix mask next-hop と入力し、 Enter キーを押します。

指定される IP ルーティング エントリが、ルーティング テーブルに追加されます。


 

IP ルーティング テーブルにエントリを追加する例

次に、ルータ 10.1.1.250 をサブネット 10.2.0.0 へのネクスト ホップとして設定する例を示します。

SCE(config)#ip route 10.2.0.0 255.255.0.0 10.1.1.250

IP ルーティング テーブルの表示

「IP ルーティング テーブル全体を表示するには」

「指定されたサブネットの IP ルーティング テーブルを表示するには」

IP ルーティング テーブル全体を表示するには


ステップ 1 SCE# プロンプトで、 show ip route と入力し、 Enter キーを押します。

ルーティング テーブルの全体とデフォルト ゲートウェイの宛先が表示されます。


 

IP ルーティング テーブルの表示例

次に、IP ルーティング テーブルを表示する例を示します。

SCE#show ip route
gateway of last resort is 10.1.1.1
| prefix | mask | next hop |
|-----------------|------------------|-----------------|
| 10.2.0.0 | 255.255.0.0 | 10.1.1.250 |
| 10.3.0.0 | 255.255.0.0 | 10.1.1.253 |
| 198.0.0.0 | 255.0.0.0 | 10.1.1.251 |
| 10.1.60.0 | 255.255.255.0 | 10.1.1.5 |

指定されたサブネットの IP ルーティング テーブルを表示するには

「オプション」

「指定されたサブネットの IP ルーティング テーブルを表示する例」

オプション

次のオプションを使用できます。

prefix : ドット付き表記の、ルーティング エントリの IP アドレス

mask : ドット付き表記の、関連サブネット マスク


ステップ 1 SCE# プロンプトで、 show ip route prefix mask と入力し、 Enter キーを押します。

指定されたサブネットの IP ルーティング テーブルが表示されます(プレフィクス/マスク)。


 

指定されたサブネットの IP ルーティング テーブルを表示する例

次に、指定されたサブネットの IP ルーティング テーブルを表示する例を示します。

SCE#show ip route 10.1.60.0 255.255.255.0
| prefix | mask | next hop |
|-----------------|-----------------|-----------------|
| 10.1.60.0 | 255.255.255.0 | 10.1.1.5 |
sce#

IP アドバタイジング

「IP アドバタイジングの設定」

「現在の IP アドバタイジングの設定を表示するには」

IP アドバタイジングは、設定された間隔で、設定されたアドレスに ping 要求を定期的に送信する動作です。これは、長期間にわたる非アクティブの状態においても、スイッチなどのアダプティブ ネットワーク要素のメモリ内で SCE プラットフォームの IP/MAC アドレスを維持します。

IP アドバタイジングに関連するコマンドは、次のとおりです。

[no] ip advertising

ip advertising destination

ip advertising interval

default ip advertising destination

default ip advertising interval

show ip advertising

show ip advertising destination

show ip advertising interval

IP アドバタイジングの設定

IP アドバタイジングを設定するには、まず IP アドバタイジングをイネーブルにする必要があります。次に、ping 要求が送信される宛先アドレスや ping 要求の頻度(間隔)を指定できます。宛先または間隔を明示的に設定しない場合は、デフォルト値であると見なされます。

オプション

IP アドバタイジング コマンドでは、次のオプションを使用できます。

interval : 秒単位での ping の間隔

デフォルト間隔は 300 秒

destination : ping 要求の宛先の IP アドレス

デフォルトの宛先は 127.0.0.1

IP アドバダイジングをイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 ip advertising と入力し、 Enter キーを押します。

IP アドバタイジングがイネーブルにされます。


 

IP アドバタイジングの宛先を設定するには


ステップ 1 SCE(config)# プロンプトで、 ip advertising destination destination と入力し、 Enter キーを押します。

IP アドバタイジング ping の宛先が設定されます。


 

IP アドバタイジングの間隔を設定するには


ステップ 1 SCE(config)# プロンプトで、 ip advertising interval interval と入力し、 Enter キーを押します。

IP アドバタイジング ping の頻度が設定されます。


 

IP アドバタイジングの設定例

次に、10.1.1.1 の宛先と 240 秒の間隔を指定して、IP アドバタイジングを設定する例を示します。

SCE(config)#ip advertising destination 10.1.1.1 interval 240

現在の IP アドバタイジングの設定を表示するには


ステップ 1 SCE> プロンプトで、 show ip advertising と入力し、 Enter キーを押します。

IP アドバタイジングのステータス(イネーブルまたはディセーブル)、設定された宛先、および設定された間隔が表示されます。


 

管理インターフェイスの IP アドレスの設定

「オプション」

「管理インターフェイスの IP アドレスの設定例」

ユーザは、管理インターフェイスの IP アドレスを設定する必要があります。冗長管理ポートの場合で、両方の管理ポートが接続されている場合、この IP アドレスは、どちらのポートがアクティブであるかに関係なく、常に、現在アクティブな管理ポートの仮想 IP アドレスとして動作します。


) Telnet 経由で管理インターフェイスの IP アドレスを変更すると、Telnet 接続の損失が生じ、インターネットに再接続できなくなります。



) IP アドレスの変更後、SCE プラットフォームのすべての内外のコンポーネントで変更が有効になるよう、SCE プラットフォームをリロードする必要があります(「SCE プラットフォームのリブートとシャットダウン」を参照)。


オプション

次のオプションを使用できます。

IP アドレス : 管理インターフェイスの IP アドレス。両方の管理ポートが接続されている場合、バックアップ管理リンクが使用可能で、この IP アドレスは、どちらの物理ポートが現在アクティブであるかに関係なく、常に、現在アクティブな管理ポートの仮想 IP アドレスとして動作します。

サブネット マスク : 管理インターフェイスのサブネット マスク。


ステップ 1 SCE プラットフォームを、管理コンソールに、直接、接続します。

設定された IP アドレスに依存していない SCE プラットフォームへの通信を確立します。

ステップ 2 SCE(config if)# プロンプトで、 ip address ip-address subnet-mask と入力し、 Enter キーを押します。

管理インターフェイスの新しい IP アドレスが設定されます。

新規の IP アドレスとサブネット マスクに定義された新規のサブネットに含まれないルーティング テーブルのエントリがあると、このコマンドが失敗する可能性があります。


 

管理インターフェイスの IP アドレスの設定例

次に、SCE プラットフォームの IP アドレスを 10.1.1.1 に設定し、サブネット マスクを 255.255.0.0 に設定する例を示します。

SCE(config if)#ip address 10.1.1.1 255.255.0.0

タイム クロックおよびタイム ゾーンの設定

「システム時間を表示するには」

「カレンダー時間を表示するには」

「システム クロックを設定するには」

「カレンダーを設定するには」

「タイム ゾーンを設定するには」

「現在のタイム ゾーン設定を削除するには」

「サマータイムの設定」

SCE プラットフォームには、設定可能な 3 つのタイプ(クロック、カレンダー、およびタイム ゾーン)の時間設定があります。クロックおよびカレンダーをローカル時間に同期化させ、タイム ゾーンを正確に設定することが重要です。SCE プラットフォームは、サマータイムを自動追跡しないので、時間が半年ごとに変わるたびに、タイム ゾーンを更新する必要があります。

SCE プラットフォームには、2 つのタイム ソースがあります。

カレンダーと呼ばれるリアルタイム クロック。SCE プラットフォームが起動していないときでも継続して時間を追跡します。SCE プラットフォームがリブートされると、システム クロックを設定するためにカレンダー時間が使用されます。カレンダーは、システム動作時の時間の追跡には使用されません。

システム クロック。通常の動作時に、すべてのタイム スタンプを作成します。システムがシャットダウンされると、このクロックは消去されます。システム起動時に、クロックが初期化され、カレンダーが示す時間を表示します。

クロックとカレンダーの読み取りコマンドを使用して、確実に両者を同期化すれば、どちらのクロックを先に設定するかどうかは、問題になりません。

タイム ゾーンの設定は、システムと他のタイム ゾーンによる他のシステムとの正常な通信を可能にするため、重要です。システムは、UTC(世界標準時)に基づいて設定されています。UTC は、他のメーカーのハードウェアとソフトウェアとの連携に使用される業界標準です。たとえば、太平洋標準時間は PST-10 のように記述されます。これは、タイム ゾーンの名前が PST で、UTC から 10 時間遅れていることを意味します。

時間の設定と表示を行う場合、常に設定されたローカル タイム ゾーンに従って、時間が入力されたり、表示されたりします。

システム時間を表示するには


ステップ 1 SCE(config)# プロンプトで、 show clock と入力し、 Enter キーを押します。


 

システム時間の表示例

次に、現在のシステム クロックを表示する例を示します。

SCE#show clock
12:50:03 UTC MON November 13 2001
sce#

カレンダー時間を表示するには


ステップ 1 SCE(config)# プロンプトで、 show calendar と入力し、 Enter キーを押します。


 

カレンダー時間の表示例

次に、現在のカレンダー時間を表示する例を示します。

SCE#show calendar
12:50:03 UTC MON May 11 2007
sce#

システム クロックを設定するには

「オプション」

「システム クロックの設定例」

オプション

次のオプションを使用できます。

time-date : 次の形式の、設定する時刻と日付

hh:mm:ss day month year


ステップ 1 SCE# プロンプトで、 clock set time-date と入力し、 Enter キーを押します。

システム クロックが、指定された時刻と日付に設定されます。


 

システム クロックの設定例

次に、2007 年 5 月 13 日午前 10 時 20 分にクロックを設定し、カレンダーを更新してから、時間を表示する例を示します。

SCE#clock set 10:20:00 13 may 2007
SCE#clock update-calendar
SCE#show clock
10:21:10 UTC THU May 13 2007

カレンダーを設定するには

カレンダーは、システムがシャットダウンされているときでも機能し続ける、システム クロックです。

「オプション」

「カレンダーの設定例」

オプション

次のオプションを使用できます。

time-date : 次の形式の、設定する時刻と日付

hh:mm:ss day month year


ステップ 1 SCE# プロンプトで、 calendar set time-date と入力し、 Enter キーを押します。

システム カレンダーが、指定された時刻と日付に設定されます。

このコマンドで指定した時間は、設定されたタイム ゾーンとの関係によって決まります。

ステップ 2 SCE# プロンプトで、 clock read-calendar と入力し、 Enter キーを押します。

システム クロックが、設定したばかりのカレンダー時間と同期されます。


 

カレンダーの設定例

次の例は、カレンダーが 2007 年 5 月 13 日の午前 10 時 20 分に設定されたことを示します。それから、クロックとカレンダー設定との同期がとられます。

SCE#calendar set 10:20:00 13 may 20017
SCE#clock read-calendar
SCE#show calendar
10:21:06 UTC THU May 13 2007

タイム ゾーンを設定するには

「オプション」

「タイム ゾーンの設定例」

オプション

次のオプションを使用できます。

zone : 表示されるタイム ゾーンの名前。

デフォルト = GMT

hours : UTC からの時間単位でのオフセット。これは、-23 ~ 23 の範囲の整数である必要があります。

デフォルト = 0

minutes : UTC からの分単位でのオフセット。これは、0 ~ 59 の範囲の整数である必要があります。オフセットが時間単位で測定されない場合に、分単位のオフセットを追加で指定するには、このパラメータを使用します。

デフォルト = 0


ステップ 1 SCE(config)# プロンプトで、 clock timezone zone hours minutes と入力し、 Enter キーを押します。

タイムゾーンが、時間単位と分単位で設定されたオフセットとともに、指定されたタイムゾーンに設定されます。


 

タイム ゾーンの設定例

次に、UTC より 10 時間遅れたオフセットによる太平洋標準時間にタイム ゾーンを設定する例を示します。

SCE(config)#clock timezone PST -10
SCE(config)#

現在のタイム ゾーン設定を削除するには


ステップ 1 SCE(config)# プロンプトで、 n o clock timezone と入力し、 Enter キーを押します。

タイムゾーン設定が削除され、タイムゾーンがデフォルト値(UTC)にリセットされます。


 

サマータイムの設定

指定された日付に、SCE プラットフォームが自動的にサマータイムに切り替わり、標準時間に戻るように設定できます。さらに、サマータイムが多様な場合は、必要に応じて、タイム ゾーン コードを設定できます (たとえば、米国東部では、標準時間が EST に指定され、サマータイムが EDT に指定されます)。

「オプション」

「注意事項」

「繰り返しのサマータイムの遷移を定義するには」

「繰り返しなしのサマータイムの遷移を定義するには」

「サマータイムの遷移の設定を取り消すには」

「現在のサマータイムの設定を表示するには」

オプション

特定の場所でサマータイムの開始日と終了日をどのように決めているかに応じて、サマータイムへの遷移時間、またはサマータイムからの遷移時間を 2 つの方法のいずれかに設定できます。

繰り返し: サマータイムが毎年、同じ日に開始し、終了する場合(例:米国)、 clock summer-time recurring コマンドを使用します。サマータイムの開始日と終了日を 1 回で設定でき、システムが毎年、切り替えを自動的に実行します。

繰り返しなし: サマータイムの開始と終了が毎年異なる場合(例:イスラエル)、 clock summer-time コマンドを使用します。この場合、その年に特有の遷移を毎年設定する必要があります (「年度」は、必ずカレンダーどおりの年度になるわけではありません。遷移日が秋に決められた場合は、その年の秋と来春の遷移を設定できます)。

さまざまな方法で、遷移日を定義できます。

具体的な日付: たとえば、2004 年 3 月 29 日。年度も含まれる具体的な日付は、繰り返しなしの設定に定義します。

特定の月の最初の曜日/最後の曜日: たとえば、3 月の最終日曜日。これは、繰り返しの設定に使用します。

特定の月の特定の週の曜日: たとえば、3 月の第 4 日曜日 (これは、月に 5 回、日曜日がある場合の最終日曜日とは異なります)。これは、繰り返しの設定に使用します。

次のオプションを使用できます。

zone : サマータイムのタイム ゾーン コード

week (繰り返しのみ): サマータイムが始まるある月の週(week1)およびサマータイムが終わるある月の週(week2)

day (繰り返しのみ): サマータイムが始まる曜日(day1)およびサマータイムが終わる曜日(day2)

date (繰り返しがない場合のみ): サマータイムが始まるある月の日付(date1)およびサマータイムが終わるある月の日付(date2)

month : サマータイムが始まる月(month1)およびサマータイムが終わる月(month2)

year (繰り返しがない場合のみ): サマータイムが始まる年(year1)およびサマータイムが終わる年(year2)

offset : 分単位での標準時間とサマータイムの誤差

デフォルト = 60 分

注意事項

サマータイムの遷移を設定する際の、一般的な注意事項は、次のとおりです。

サマータイムにタイム ゾーン コードを指定します。

繰り返し: 月の中から 1 日(週の番号|最初|最後/曜日/月)を指定します。

繰り返しなし: 具体的な日付(月/日/年)を指定します。

2 つの日付を定義します。

day1 はサマータイムの開始日

day2 はサマータイムの終了日

南半球では、サマータイムが秋に始まり、春に終わるため、month1 の前に month2 が来る必要があります。

遷移が行われる正確な時間(24 時間のクロック)を指定します。

サマータイムへの遷移時間: ローカル標準時間に従います。

サマータイムからの遷移時間: ローカル標準時間に従います。

clock summer-time recurring コマンドでは、デフォルト値が米国の遷移規則になります。

サマータイムの開始: 3 月の第 2 日曜日の午前 2:00

サマータイムの終了: 11 月の第 1 日曜日の午前 2:00

繰り返しのサマータイムの遷移を定義するには


ステップ 1 SCE(config)# プロンプトで、 clock summer-time zone recurring [week1 day1 month1 time1 week2 day2 month2 time2 [ offset ]] と入力し、 Enter キーを押します。

サマータイムが、毎年、特定の日に開始され、終了するよう、設定されます。


 

繰り返しのサマータイムの遷移を定義する例

次に、タイム ゾーンが以下のように「DST」に指定された場合の繰り返しのサマータイムを設定する例を示します。

サマータイムの開始: 3 月の最終日曜日の 0:00

サマータイムの終了: 11 月の第 4 土曜日の 23:59

オフセットは、1 時間(デフォルト)

SCE(config)# clock summer-time DST recurring last Sunday March 00:00 4 Saturday November 23:59

繰り返しなしのサマータイムの遷移を定義するには


ステップ 1 SCE(config)# プロンプトで、 clock summer-time zone [ date1 month1 year1 time1 date2 month2 year2 time2 [ offset ]] と入力し、 Enter キーを押します。

特権 EXEC モードがイネーブルになります。


 

繰り返しなしのサマータイムの遷移を定義する例

次に、タイム ゾーンが以下のように「DST」に指定された場合の繰り返しなしのサマータイムを設定する例を示します。

サマータイムの開始: 2004 年 4 月 16 日の 0:00

サマータイムの終了: 2004 年 10 月 23 日の 23:59

オフセットは、1 時間(デフォルト)

SCE(config)# clock summer-time DST April 16 2004 00:00 October 23 2004 23:59

サマータイムの遷移の設定を取り消すには


ステップ 1 SCE(config)# プロンプトで、 no clock summer-time と入力し、 Enter キーを押します。

サマータイムのすべての設定が削除されます。


 

現在のサマータイムの設定を表示するには


ステップ 1 SCE# プロンプトで、 show timezone と入力し、Enter キーを押します。

現在のタイム ゾーンとサマータイムの設定が表示されます。


 

SNTP の設定

「SNTP マルチキャスト クライアントをイネーブルにするには」

「SNTP マルチキャスト クライアントをディセーブルにするには」

「SNTP ユニキャスト クライアントをイネーブルにするには」

「SNTP ユニキャスト クライアントをディセーブルにするには」

「SNTP ユニキャストの更新間隔を定義するには」

「SNTP 情報を表示するには」

Simple Network Timing Protocol(SNTP)は、各種のネットワーク要素のクロック同期化問題に対する簡単な解決法です。SNTP は、ネットワーク経由でタイム ソースへのアクセスを提供します。この外部ソースに従って、システム クロックとカレンダーが設定されます。

SNTP クライアントには、2 つのオプションがあります。これらの機能は独立しており、システムはどちらか一方または両方を使用します。

マルチキャスト SNTP クライアント: SNTP ブロードキャストを待ち受け、これに従って、システム クロックを更新します。

ユニキャスト SNTP クライアント: 設定された SNTP サーバに定期的な要求を送信し、このサーバの応答に従って、システム クロックを更新します。


) 未認証の SNTP または NTP マルチキャスト サーバからのアクセスを防ぐために、IP アクセス制御リストを設定することを推奨します(「ACL の設定」を参照)。


SNTP の設定に関連するコマンドは、次のとおりです。

[no] sntp broadcast client

[no] sntp server address

no sntp server all

sntp update-interval

show sntp

SNTP マルチキャスト クライアントをイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 sntp broadcast client と入力し、 Enter キーを押します。

SNTP マルチキャスト クライアントがイネーブルになります。ブロードキャスト サーバからの時間の更新が受け入れられます。


 

SNTP マルチキャスト クライアントをディセーブルにするには


ステップ 1 SCE(config)# プロンプトで、 no sntp broadcast client と入力し、 Enter キーを押します。

SNTP マルチキャスト クライアントがディセーブルにされます。ブロードキャストの時間の更新は、受け入れられません。


 

SNTP ユニキャスト クライアントをイネーブルにするには

「オプション」

「SNTP ユニキャスト クライアントのイネーブル化の例」

オプション

次のオプションを使用できます。

ip-address : SNMP ユニキャスト サーバの IP アドレス


ステップ 1 SCE(config)# プロンプトで、 sntp server ip-address と入力し、 Enter キーを押します。

SNTP クライアントによるそのサーバのクエリーがイネーブルになるよう、SNTP ユニキャスト サーバが定義されます。


 

SNTP ユニキャスト クライアントのイネーブル化の例

次に、IP アドレスが 128.182.58.100 の SNTP サーバをイネーブルにする例を示します。

SCE(config)# sntp server 128.182.58.100

SNTP ユニキャスト クライアントをディセーブルにしてすべてのサーバを削除するには


ステップ 1 SCE(config)# プロンプトで、 no sntp server all と入力し、 Enter キーを押します。

すべての SNTP ユニキャスト サーバが削除され、ユニキャスト SNTP のクエリーの実行が防止されます。


 

SNTP サーバを削除するには

オプション

次のオプションを使用できます。

ip-address : SNMP ユニキャスト サーバの IP アドレス


ステップ 1 SCE(config)# プロンプトで、 no sntp server ip-address と入力し、Enter キーを押します。

指定した SNTP ユニキャスト サーバが削除されます。


 

SNTP ユニキャストの更新間隔を定義するには

「オプション」

「SNTP ユニキャストの更新間隔の定義例」

オプション

次のオプションを使用できます。

interval : 秒単位での更新間隔(64 ~ 1024)

デフォルト間隔は 900 秒


ステップ 1 SCE(config)# プロンプトで、 sntp update-interval interval と入力し、 Enter キーを押します。

定義された間隔でクエリーを実行するよう、SNTP ユニキャスト クライアントが設定されます。


 

SNTP ユニキャストの更新間隔の定義例

次に、SNTP の更新間隔を 100 秒に設定する例を示します。

SCE(config)# sntp update-interval 100

SNTP 情報を表示するには


ステップ 1 SCE> プロンプトで、 show sntp と入力し、 Enter キーを押します。

SNTP ユニキャスト クライアントと SNTP マルチキャスト クライアントの両方の設定が表示されます。


 

SNTP 情報の表示例

次に、このコマンドを使用する例を示します。

SCE# show sntp
SNTP broadcast client: disabled
last update time: not available
SNTP unicast client: enabled
SNTP unicast server: 128.182.58.100
last update time: Feb 10 2002, 14:06:41
update interval: 100 seconds

ドメイン ネーム サーバ(DNS)の設定

「DNS 検索の設定」

「ネーム サーバの設定」

「ホスト テーブルにホストを追加するには」

「現在の DNS の設定を表示するには」

ホスト名または IP アドレスを要求する CLI コマンドのパラメータとしてホスト名が与えられる場合、次の内容に従って、IP アドレスが名前に変換されます。

1. 名前がドット付き表記(x.x.x.x の形式)である場合、該当する IP アドレスに直接変換されます。

2. 名前にドット文字(.)が含まれない場合、システムは IP ホスト テーブルを調べます。テーブルに名前がある場合は、該当する IP アドレスにマッピングされます。 ip host コマンドを使用して、IP ホスト テーブルを設定できます。

3. 名前にドット(.)文字が含まれず、ドメイン名機能がイネーブルにされ( ip domain-lookup コマンドを参照)、デフォルトのドメイン名が指定されている場合( ip domain-name コマンドを参照)、デフォルトのドメイン名は、完全修飾ホスト名を形成するために所定の名前に追加されます。これは、IP アドレスに名前を変換する DNS クエリーの実行にも使用されます。

4. それ以外の場合は、ドメイン名機能がイネーブルにされると、名前が完全修飾されているものとして見なされ、IP アドレスに名前を変換する DNS クエリーの実行に使用されます。

DNS の設定に関連するコマンドは、次のとおりです。

ip name-server

ip domain-name

no ip domain-name

ip domain-lookup

show hosts

DNS 検索をイネーブルにするには


ステップ 1 SCE(config)# プロンプトで、 ip domain-lookup と入力し、 Enter キーを押します。

DNS 検索がイネーブルになります。


 

DNS 検索をディセーブルにするには


ステップ 1 SCE(config)# プロンプトで、 no ip domain-lookup と入力し、 Enter キーを押します。


 

オプション

次のオプションを使用できます。

server-ip-address : ドメイン ネーム サーバの IP アドレス。複数の DNS サーバ(server-ip-address1、server-ip-address2、server-ip-address3)を定義できます。

ドメイン ネーム サーバを定義するには

名前およびアドレス解決に複数のネーム サーバのアドレスを指定するには、ここで説明するコマンドを使用します。


ステップ 1 SCE(config)# プロンプトで、 ip name-server server-address1 [server-address2 [server-address3]] と入力し、 Enter キーを押します。

ドメイン ネーム サーバとして、指定されたアドレスが定義されます。


 

ドメイン ネーム サーバの定義例

次に、2 つのネーム サーバ(DNS)の IP アドレスを設定する例を示します。

SCE(config)#ip name-server 10.1.1.60 10.1.1.61

ドメイン ネーム サーバを削除するには


ステップ 1 SCE(config)# プロンプトで、 no ip name-server s erver-address1 [server-address2 [server-address3] と入力し、 Enter キーを押します。

指定したサーバが DNS リストから削除されます。


 

ドメイン ネーム サーバの削除例

次に、ネーム サーバ(DNS)の IP アドレスを削除する例を示します。

SCE(config)#no ip name-server 10.1.1.60 10.1.1.61

すべてのドメイン ネーム サーバを削除するには


ステップ 1 SCE(config)# プロンプトで、 no ip name-server と入力し、 Enter キーを押します。

設定されたすべての DNS サーバが削除されます。


 

オプション

次のオプションを使用できます。

hostname : ホストの名前

ip-address : ホストの IP アドレス


ステップ 1 SCE(config)# プロンプトで、 ip host hostname ip-address と入力し、 Enter キーを押します。

指定したホストが、ホスト テーブルに追加されます。


 

ホスト テーブルにホストを追加する例とホスト テーブルからホストを削除する例

次に、ホスト テーブルにホストを追加する例を示します。

SCE(config)#ip host PC85 10.1.1.61

次に、すべての IP マッピングとホスト名を同時に削除する例を示します。

SCE(config)#no ip host PC85

現在の DNS の設定を表示するには


ステップ 1 SCE# プロンプトで、 show hosts と入力し、 Enter キーを押します。

現在の DNS の設定が表示されます。


 

現在の DNS 設定の表示例

次に、現在の DNS 情報を表示する例を示します。

SCE#show hosts
Default domain is Cisco.com
Name/address lookup uses domain service
Name servers are 10.1.1.60, 10.1.1.61
Host Address
---- -------
PC85 10.1.1.61
sce#

管理ポートの物理パラメータの設定

このインターフェイスの伝送速度は 10 または 100 Mbps で、管理動作と RDR(トラフィック分析と管理動作の出力)の伝送用にこのインターフェイスが使用されます。

このインターフェイスを設定する手順は、次のセクションで説明します。

「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定」

「管理インターフェイスのモニタリング」

管理インターフェイスの速度パラメータとデュプレックス パラメータの設定

ここでは、管理インターフェイスの速度とデュプレックスを設定する方法を説明する手順の例を示します。

これらのパラメータは、両方、各ポートで別々に設定する必要があります。

「管理インターフェイスのデュプレックス動作を設定するには」

「管理インターフェイスの速度を設定するには」

管理インターフェイスのデュプレックス動作を設定するには

「オプション」

「管理インターフェイスのデュプレックス動作の設定例」

オプション

次のオプションを使用できます。

duplex : 次のうち、現在選択されている管理ポートのデュプレックス動作(0/1 または 0/2)

full

half

auto (デフォルト): オートネゴシエーション(リンクでデュプレックスを強制的に実行しない)

速度パラメータが auto に設定されている場合、 デュプレックス パラメータを変更しても影響はありません( 表 5-1 を参照)。


ステップ 1 SCE(config if)# プロンプトで、 duplex auto|full|half と入力し、 Enter キーを押します。

現在選択されているインターフェイスについて、デュプレックス動作が設定されます。


 

管理インターフェイスのデュプレックス動作の設定例

次に、このコマンドを使用して、両方の管理ポートを半二重モードに設定する例を示します。

SCE#config
SCE(config)#interface mng 0/1
SCE(config if)#duplex half
SCE(config if)#exit
SCE(config)#interface mng 0/2
SCE(config if)#duplex half

管理インターフェイスの速度を設定するには

「オプション」

「管理インターフェイスの速度の設定例」

オプション

次のオプションを使用できます。

speed : 次のうち、現在選択されている管理ポートの Mbps 単位での速度(0/1 または 0/2)

10

100

auto (デフォルト): オートネゴシエーション(リンクで速度を強制的に実行しない)

デュプレックス パラメータが auto に設定されている場合、 速度 パラメータを変更しても影響はありません( 表 5-1 を参照)。


ステップ 1 SCE(config if)# プロンプトで、 speed 10|100|auto と入力し、 Enter キーを押します。

現在選択されているインターフェイスについて、速度が設定されます。


 

管理インターフェイスの速度の設定例

次に、このコマンドを使用して、両方の管理ポートを半二重モードに設定する例を示します。

SCE#config
SCE(config)#interface mng 0/1
SCE(config if)#speed 100
SCE(config if)#exit
SCE(config)#interface mng 0/2
SCE(config if)#speed 100

管理インターフェイスのモニタリング

指定した管理インターフェイスに関する次の情報を表示するには、ここで説明するコマンドを使用します。速度とデュプレックスのパラメータは、選択されたインターフェイス(ポート)固有ですが、他のパラメータは両方のポートに適用され、コマンドによっていずれのインターフェイスに対して表示されます。

速度

デュプレックス

IP アドレス

アクティブ ポート


ステップ 1 SCE# プロンプトで、 show interface Mng {01 | 0/2} [auto-fail-over|duplex|ip address|speed] と入力し、 Enter キーを押します。

指定された管理インターフェイスの設定が表示されます。

オプションが指定されなかった場合、管理インターフェイスのすべての情報が表示されます。

表示された速度とデュプレックス モードは、コマンドで指定された管理インターフェイスに関するものです。