Cisco Service Control Engine (SCE) ソフトウェア コンフィギュレーション ガイド Release 3.1.5
管理インターフェイスとセキュリティ の設定
管理インターフェイスとセキュリティの設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

管理インターフェイスとセキュリティの設定

管理インターフェイスおよびセキュリティについて

管理ポートの設定方法

管理ポートの設定

管理インターフェイス コンフィギュレーション モードの開始方法

管理インターフェイス コンフィギュレーション モードについて

管理ポートの物理パラメータの設定方法

管理インターフェイスの IP アドレスとサブネット マスクの設定方法

管理インターフェイスの IP アドレスとサブネット マスクの設定

オプション

管理インターフェイスの IP アドレスとサブネット マスクの設定:例

管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法

速度とデュプレックスのインターフェイス ステートの関係

管理インターフェイスの速度の設定方法

管理インターフェイスのデュプレックス動作の設定方法

アクティブ管理ポートの指定方法

アクティブ管理ポートの指定

オプション

アクティブ管理ポートの指定:例

冗長管理インターフェイスの設定方法

冗長管理ポートについて

冗長管理ポートの設定方法

フェールオーバー モードの設定方法

フェールオーバー モードの設定

オプション

自動フェールオーバー モードのイネーブル化の方法

自動フェールオーバー モードのディセーブル化の方法

管理インターフェイス セキュリティの設定方法

管理インターフェイス セキュリティについて

IP フラグメント フィルタの設定方法

オプション

IP フラグメント フィルタのイネーブル化の方法

IP フラグメント フィルタのディセーブル化の方法

許可された IP アドレスと禁止された IP アドレスのモニタリングの設定方法

オプション

管理インターフェイス IP フィルタリングのモニタリング方法

管理インターフェイスの IP フィルタリングのモニタリング

使用可能なインターフェイスの設定方法

TACACS+ AAA の設定方法

TACACS+ AAA について

SCE プラットフォームの TACACS+ クライアントの設定方法

ユーザ データベースの管理方法

AAA ログイン認証の設定方法

AAA 権限レベル許可方式の設定方法

AAA アカウンティングの設定方法

TACACS+ サーバのモニタリング方法

TACACS+ ユーザのモニタリング方法

ACL の設定方法

ACL について

オプション

ACL へのエントリの追加方法

ACL の削除方法

グローバル ACL の定義方法

Telnet インターフェイスの設定方法

Telnet インターフェイスについて

Telnet アクセスの回避方法

Telnet インターフェイスへの ACL の割り当て方法

Telnet タイムアウトの設定方法

SSH サーバの設定方法

SSH サーバについて

SSH サーバの管理方法

SSH サーバ ステータスのモニタリング方法

SNMP インターフェイスのイネーブル化

SNMP インターフェイスのイネーブル化の方法

SNMP インターフェイスのディセーブル化の方法

SNMP インターフェイスの設定と管理方法

SNMP インターフェイスについて

SNMP インターフェイス

SNMP プロトコル

セキュリティの考慮事項

CLI について

MIB について

SNMP による設定

SNMP コミュニティ ストリングの設定方法

SNMP コミュニティ ストリングの設定

コミュニティ ストリングの定義方法

コミュニティ ストリングの削除方法

設定したコミュニティ ストリングの表示方法

SNMP 通知の設定方法

SNMP 通知について

SNMP ホストの定義方法

パスワードの管理方法

パスワードについて

パスワードの変更

パスワードの変更方法

正常に変更されたパスワードの確認

パスワードの暗号化

パスワードの暗号化について

パスワードの暗号化のイネーブル化の方法

パスワードの暗号化のディセーブル化の方法

パスワードの復旧

パスワードの復旧方法:2.5.5 より前の SCOS バージョン

パスワードの復旧方法:2.5.5 以降の SCOS バージョン

IP の設定

IP ルーティング テーブルの設定方法

IP ルーティング テーブルについて

デフォルト ゲートウェイの設定方法

IP ルーティング テーブルへのエントリの追加方法

IP ルーティング テーブルの表示方法

IP アドバタイジング

IP アドバタイジングについて

IP アドバタイジングの設定方法

現在の IP アドバタイジング設定の表示方法

管理インターフェイスの IP アドレスの設定方法

管理インターフェイスの IP アドレスについて

オプション

管理インターフェイスの IP アドレスの設定:例

タイム クロックおよびタイム ゾーンの設定方法

タイム クロックおよびタイム ゾーンについて

システム時間の表示方法

システム時間の表示:例

カレンダー時間の表示方法

カレンダー時間の表示:例

システム クロックの設定方法

オプション

システム クロックの設定:例

カレンダーの設定方法

オプション

カレンダーの設定:例

タイム ゾーンの設定方法

オプション

タイム ゾーンの設定:例

現在のタイム ゾーン設定を削除する方法

サマータイムの設定方法

オプション

注意事項

繰り返されるサマータイムの遷移を定義する方法

繰り返されないサマータイムの遷移を定義する方法

サマータイムの設定のキャンセル方法

現在のサマータイムの設定の表示方法

SNTP の設定方法

SNTP について

SNTP マルチキャスト クライアントのイネーブル化の方法

SNTP マルチキャスト クライアントのディセーブル化の方法

SNTP ユニキャスト クライアントのイネーブル化の方法

オプション

SNTP ユニキャスト クライアントのイネーブル化:例

SNTP ユニキャスト クライアントのディセーブル化の方法

SNTP ユニキャスト クライアントをディセーブルにして、すべてのサーバを削除する方法

1 つの SNTP サーバの削除方法

SNTP ユニキャストの更新間隔の定義方法

オプション

SNTP ユニキャストの更新間隔の定義:例

SNTP 情報の表示方法

SNTP 情報の表示:例

DNS 値の設定方法

DNS について

DNS lookup の設定方法

DNS lookup のイネーブル化の方法

DNS lookup のディセーブル化の方法

ネーム サーバの設定方法

オプション

DNS の定義方法

DNS の削除方法

すべての DNS の削除方法

ホストをホスト テーブルに追加する方法

オプション

削除するホストのホスト テーブルへの追加:例

現在の DNS 設定の表示方法

現在の DNS 設定値の表示:例

管理ポートの物理パラメータの設定方法

管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法

管理インターフェイスのデュプレックス動作の設定方法

管理インターフェイスの速度の設定方法

管理インターフェイスのモニタリング方法

管理インターフェイスとセキュリティの設定

この章では、物理的な管理インターフェイス(ポート)のほか、SNMP、SSH、および TACACS+ などの各種の管理インターフェイス アプリケーションを設定する方法について説明します。ユーザ、パスワード、IP の設定、クロックおよびタイム ゾーン、およびドメイン名の値の設定方法についても説明します。

「管理インターフェイスおよびセキュリティについて」

「管理ポートの設定方法」

「管理インターフェイス コンフィギュレーション モードの開始方法」

「管理ポートの物理パラメータの設定方法」

「冗長管理インターフェイスの設定方法」

「管理インターフェイス セキュリティの設定方法」

「使用可能なインターフェイスの設定方法」

「SNMP インターフェイスの設定と管理方法」

「パスワードの管理方法」

「IP の設定」

「タイム クロックおよびタイム ゾーンの設定方法」

「SNTP の設定方法」

「DNS 値の設定方法」

「管理ポートの物理パラメータの設定方法」

管理インターフェイスおよびセキュリティについて

Service Control Engine(SCE)プラットフォームには、2 つの RJ-45 管理(MNG)ポートが搭載されています。これらのポートを使用すると、LAN 経由でリモート管理コンソールから SCE プラットフォームへアクセスできます。

2 つの管理ポートが管理リンクのバックアップに備えて冗長管理インターフェイスをサポートしています。

このバックアップ管理リンクのレイヤ 1 セキュリティに加え、Service Control プラットフォームには、より高度な管理インターフェイス セキュリティ機能(さまざまな TCP/IP 攻撃をモニタリングする IP フィルタ)が用意されています。このフィルタは、攻撃の定義と攻撃終了の定義の両方のしきい値 レートを使用して設定できます。


) 2 つめの管理ポートは、SNMP(管理ネットワーク管理プロトコル)インターフェイス内でそのポートに関連するすべてのオブジェクトに反映されます。


管理インターフェイスと管理インターフェイスのセキュリティを設定するには、次の作業を実行します。

管理ポートを設定する

物理パラメータ

アクティブ ポートの指定(冗長インストールでない場合)

冗長性(冗長インストールの場合)

管理インターフェイス セキュリティを設定する

IP フラグメント フィルタのイネーブル化

許可された IP アドレスおよび禁止された IP アドレスのモニタリングの設定

管理ポートの設定方法

管理ポートの設定

管理ポートを設定するには、次の作業を実行します。

IP アドレスとサブネット マスクを設定する(ポートごとに 1 つの IP アドレスではなく、管理インターフェイスの 1 つの IP アドレスのみ設定。)

次の物理パラメータを設定する

デュプレックス

速度

冗長管理インターフェイスの動作を設定する(任意)

フェールオーバー モード

フェールオーバー モードがディセーブルの場合、アクティブ ポートを指定する(任意)

冗長管理インターフェイスでシステムを設定する場合、「冗長管理インターフェイスの設定方法」の「冗長管理ポートの設定」を参照してください。


ステップ 1 目的の管理ポートをケーブル接続し、LAN 経由でリモート管理コンソールに接続します。

ステップ 2 自動フェールオーバー モードをディセーブルにします(自動フェールオーバー モードのディセーブル化の方法 を参照)。

ステップ 3 管理ポートの物理パラメータを設定します(管理ポートの物理パラメータの設定方法 を参照)。


 

管理インターフェイス コンフィギュレーション モードの開始方法

interface Mng

管理インターフェイス コンフィギュレーション モードについて

管理インターフェイス コンフィギュレーション モードを開始する場合、設定する管理ポート数を指定する必要があります。

0/1 ― Mng ポート 1

0/2 ― Mng ポート 2

次の管理インターフェイス コマンドは、管理インターフェイス コンフィギュレーション モードを開始した場合にのみ適用できます。そのため、各ポートを個別に設定する必要があります。

速度

デュプレックス

次の管理インターフェイス コマンドは、管理インターフェイス コンフィギュレーション モードの開始時に指定したポートにかかわらず、両方の管理ポートに適用できます。そのため、両方のポートを 1 つのコマンドで設定します。

IP アドレス

自動フェールオーバー


ステップ 1 configure と入力して、 Enter キーを押します。

グローバル コンフィギュレーション モードをイネーブルにします。

コマンド プロンプトが SCE(config)# に変わります。

ステップ 2 interface Mng {0/1|0/2} と入力して、 Enter キーを押します。

管理インターフェイス コンフィギュレーション モードをイネーブルにします。

コマンド プロンプトが SCE(config if)# に変わります。


 

管理ポートの物理パラメータの設定方法

このインターフェイスの伝送速度は 10 または 100 Mbps で、管理動作と RDR(トラフィック分析と管理動作の出力)の伝送用に使用されます。

「管理インターフェイスの IP アドレスとサブネット マスクの設定方法」

「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法」

「アクティブ管理ポートの指定方法」

管理インターフェイスの IP アドレスとサブネット マスクの設定

ユーザは、管理インターフェイスの IP アドレスを定義する必要があります。

両方の管理ポートが接続されて冗長管理ポートが提供されている場合、この IP アドレスは、アクティブになっているポートに関わらず、現在のアクティブ管理ポートに対して常に仮想 IP アドレスとして機能します。

オプション

次のオプションを使用できます。

IP address ― 管理インターフェイスの IP アドレス

両方の管理ポートが接続されてバックアップ管理リンクが使用できる場合、この IP アドレスは、現在アクティブになっている物理ポートに関わらず、現在のアクティブ管理ポートに対して仮想 IP アドレスとして機能します。

subnet mask ― 管理インターフェイスのサブネット マスク

Telnet 経由で管理インターフェイスの IP アドレスを変更すると、Telnet 接続の損失が生じ、インターネットに再接続できなくなります。


ステップ 1 SCE(config if)# プロンプトで、ip address ip-address subnet-mask と入力し、 Enter キーを押します。

新規の IP アドレスとサブネット マスクに定義された新規のサブネットに含まれないルーティング テーブルのエントリがあると、このコマンドが失敗する可能性があります。


) Telnet 経由で管理インターフェイスの IP アドレスを変更すると、Telnet 接続の損失が生じ、インターネットに再接続できなくなります。



) IP アドレスの変更後、SCE プラットフォームのすべての内部コンポーネントと外部コンポーネントに変更内容が正常に反映されるように、SCE プラットフォームをリロードする必要があります( SCE プラットフォームのリブートおよびシャットダウン方法 を参照)。



 

管理インターフェイスの IP アドレスとサブネット マスクの設定:例

次に、SCE プラットフォームの IP アドレスを 10.1.1.1 に設定し、サブネット マスクを 255.255.0.0 に設定する例を示します。

SCE(config if)#ip address 10.1.1.1 255.255.0.0

管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法

ここでは、管理インターフェイスの速度とデュプレックスを設定する手順の例を示しながら説明します。

これらのパラメータは両方とも、各ポートに個別に設定する必要があります。

「速度とデュプレックスのインターフェイス ステートの関係」

「管理インターフェイスの速度の設定方法」

「管理インターフェイスのデュプレックス動作の設定方法」

速度とデュプレックスのインターフェイス ステートの関係

次の表に、速度とデュプレックスのインターフェイス ステートの関係をまとめています。

 

表5-1 速度とデュプレックスのインターフェイス ステートの関係

速度
デュプレックス
実際の FE インターフェイス ステート

auto

auto

自動ネゴシエーション

auto

full

自動ネゴシエーション

auto

half

自動ネゴシエーション

10

auto

自動ネゴシエーション(デュプレックスのみ)

10

full

10 Mbps および全二重

10

half

10 Mbps および半二重

100

auto

自動ネゴシエーション(速度のみ)

100

full

100 Mbps および全二重

100

half

100 Mbps および半二重

管理インターフェイスの速度の設定方法

「オプション」

「管理インターフェイスの速度の設定:例」

オプション

次のオプションを使用できます。

speed ― 現在選択した管理ポート(0/1 または 0/2)の速度(Mbps)

10

100

auto (デフォルト) ― 自動ネゴシエーション(リンク速度は指定しません)

duplex パラメータが auto に設定されている場合、speed パラメータの変更は効果がありません。


ステップ 1 SCE(config if)# プロンプトで、speed 10|100|auto と入力し、 Enter キーを押します。

必要な速度のオプションを指定します。


 

管理インターフェイスの速度の設定:例

次に、このコマンドを使用して、管理ポートを 100 Mbps の速度に設定する例を示します。

SCE(config if)#speed 100

管理インターフェイスのデュプレックス動作の設定方法

「オプション」

「管理インターフェイスのデュプレックス動作の設定:例」

オプション

次のオプションを使用できます。

duplex ― 現在選択した管理ポート(0/1 または 0/2)のデュプレックス動作

full

half

auto(デフォルト) ― 自動ネゴシエーション(リンクのデュプレックスは指定しません)

speed パラメータが auto に設定されている場合、duplex パラメータの変更は効果がありません。


ステップ 1 SCE(config if)# プロンプトで、duplex auto|full|half と入力し、 Enter キーを押します。

必要なデュプレックスのオプションを指定します。


 

管理インターフェイスのデュプレックス動作の設定:例

次に、このコマンドを使用して、管理ポートを半二重モードに設定する例を示します。

SCE(config if)#duplex half

アクティブ管理ポートの指定

このコマンドは、現在アクティブな管理ポートを明示的に指定します。管理インターフェイスが冗長インターフェイスとして設定されているかどうかによって(自動フェールオーバーがイネーブルまたはディセーブルになっている)、その使用方法は若干変わります。

自動フェールオーバーがイネーブル(自動モード) ― 指定したポートが現在のアクティブ ポートになります。そのため、障害が発生していない場合でも、フェールオーバー動作が強制的に実行されます。

自動フェールオーバーがディセーブル(手動モード) ― 指定したポートはケーブルで接続された Mng ポートである必要があります。そのポートが唯一機能するポートであるため、アクティブ管理ポートになる必要があります(もともとアクティブ管理ポートであればそのままの状態が続きます)。


) このコマンドは、このセクションの Mng インターフェイス コンフィギュレーション コマンドである他のコマンドとは異なり、特権 EXEC コマンドです。Mng インターフェイス コンフィギュレーション モードの場合は、特権 EXEC モードに変更し、SCE# プロンプトを表示する必要があります。


オプション

次のオプションを使用できます。

slot-number/interface-number ― アクティブ ポートとして指定する管理ポートのインターフェイス番号(0/1 または 0/2)。


ステップ 1 SCE# プロンプトで、Interface Mng {0/1 | 0/2} active-port と入力し、 Enter キーを押します。

必要な MNG インターフェイスを指定します。


 

アクティブ管理ポートの指定:例

次に、このコマンドを使用して Mng ポート 2 を現在のアクティブ管理ポートに設定する例を示します。

SCE# Interface Mng 0/2 active-port

冗長管理インターフェイスの設定方法

「冗長管理ポートについて」

「冗長管理ポートの設定方法」

「フェールオーバー モードの設定方法」

冗長管理ポートについて

SCE プラットフォームには、2 つの RJ-45 管理ポートが搭載されています。この 2 つの管理ポートは管理インターフェイスに冗長性をもたらすため、どちらか片方の管理リンクに障害が発生した場合でも、SCE プラットフォームへの管理アクセスを確保できます。アクティブ管理リンクで障害が検出された場合、スタンバイ ポートが自動的に新しいアクティブ管理ポートになります。

両方のポートはスイッチを経由して管理コンソールに接続されている必要があります。そのため、Mng ポートの IP アドレスは現在アクティブな物理ポートに関わらず常に同一です。

重要事項:

一度に 1 つのポートのみがアクティブになります。

同じ仮想 IP アドレスと MAC アドレスが両方のポートに割り当てられます。

デフォルト:

ポート 1 = アクティブ

ポート 2 = スタンバイ

スタンバイ ポートはネットワークにパケットを送信しません。また、ネットワークからこのポートへのパケットは破棄されます。

アクティブ ポートで問題が発生した場合、スタンバイ ポートが自動的に新しいアクティブ管理ポートになります。

スタンバイ Mng ポートに切り替わるリンク障害が発生した場合、そのリンクがダウンしてから 300 ミリ秒後に通知されます。

このリンクが回復した場合でも、サービスはデフォルトのアクティブ ポートに戻りません。現在アクティブな Mng ポートは、リンク障害によって他の Mng ポートに切り替わらないかぎりアクティブなまま残ります。

冗長管理ポートの設定方法


ステップ 1 両方の管理ポート(Mng 1 および Mng 2)をケーブルで接続し、2 つとも LAN または スイッチ経由でリモート管理コンソールに接続します。

スイッチを使用することで、現在アクティブな物理ポートに関わらず、Mng ポートの IP アドレスが常に同一になります。

ステップ 2 自動フェールオーバー モードを設定します。

「フェールオーバー モードの設定方法」を参照してください。

ステップ 3 管理インターフェイスの IP アドレスを設定します。

アクティブ管理ポートには、現在アクティブな物理ポートに関わらず常に同一のものが割り当てられます。

「管理インターフェイスの IP アドレスとサブネット マスクの設定方法」を参照してください。

ステップ 4 両方の管理ポートの速度とデュプレックスを設定します。

「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法」を参照してください。


 

フェールオーバー モードの設定

自動フェールオーバー モードをイネーブルにするには、次のコマンドを使用します。管理インターフェイスの冗長性がサポートされるように、自動モードがイネーブルになっている必要があります。このモードは、現在のアクティブ管理リンクで障害が検出された場合、自動的にバックアップ管理リンクに切り替わるモードです。

パラメータは、どちらかの管理ポートが管理インターフェイス コンフィギュレーション モードを開始しているときに設定できます。設定内容は 1 つのコマンドで両方のポートに適用されます。

オプション

次のオプションを使用できます。

auto/ no auto ― 自動フェールオーバーの切り替えモードをイネーブルまたはディセーブルにします。

デフォルト設定 ― auto(自動モード)

自動フェールオーバー モードのイネーブル化の方法


ステップ 1 SCE(config if)# プロンプトで、auto-fail-over と入力し、 Enter キーを押します。


 

自動フェールオーバー モードのディセーブル化の方法


ステップ 1 SCE(config if)# プロンプトで、auto-fail-over と入力し、 Enter キーを押します。


 

管理インターフェイス セキュリティの設定方法

「管理インターフェイス セキュリティについて」

「IP フラグメント フィルタの設定方法」

「許可された IP アドレスと禁止された IP アドレスのモニタリングの設定方法」

「管理インターフェイス IP フィルタリングのモニタリング方法」

管理インターフェイス セキュリティについて

管理セキュリティは、グローバルなサービス障害に陥る恐れのある不正な管理状態に対処するために SCE プラットフォームの機能として定義されます。管理ポートへの攻撃対処として、次の機能が用意されています。

フラッディング攻撃中、SCE プラットフォームへの影響はありません。

TCP/IP スタック制御プロトコルの脆弱性が軽減されます。

管理ポートへの攻撃に対する報告機能を使用できます。

並行する 2 つのセキュリティ メカニズムがあります。

自動セキュリティ メカニズム ― TCP/IP スタック レートを 200 ミリ秒ごとにモニタリングし、必要であればデバイスのレートを抑制します。

このメカニズムは常に機能し、ユーザ側で設定できません。

ユーザ設定のセキュリティ メカニズム ― ユーザ側で設定できる間隔で 2 つの IP フィルタを使用します。

IP フラグメント フィルタ ― すべての IP フラグメント パケットを破棄します。

IP フィルタ モニタリング ― 許可された IP アドレスと禁止された IP アドレスの両方で受信したパケットと破棄したパケットのレートを測定します。

オプション

次のオプションを使用できます。

enable/disable ― IP フラグメントのフィルタリングをイネーブルまたはディセーブルにします。

デフォルト設定 ― disable

IP フラグメント フィルタのイネーブル化の方法


ステップ 1 SCE(config)# プロンプトで、ip filter fragment enable と入力し、 Enter キーを押します。


 

IP フラグメント フィルタのディセーブル化の方法


ステップ 1 SCE(config)# プロンプトで、ip filter fragment disable と入力し、 Enter キーを押します。


 

許可された IP アドレスと禁止された IP アドレスのモニタリングの設定方法

オプション

次のオプションを使用できます。

Ip permitted/ip not-permitted ― 許可された IP アドレスまたは禁止された IP アドレスに設定した制限を適用するかどうかを指定します。

どちらのキーワードも使用しない場合、許可された IP アドレスと禁止された IP アドレスの両方に設定した制限が適用されます。

low rate ― 下限のしきい値。攻撃が存在しないことを示すレートを Mbps で表します。

デフォルト ― 20

high rate ― 上限のしきい値。攻撃が存在することを示すレートを Mbps で表します。

デフォルト ― 20

burst size ― 上限と下限のしきい値に達したとみなすために必要な待機時間を秒で表します。

デフォルト ― 10


ステップ 1 SCE(config)# プロンプトで、ip filter monitor {ip_permited|ip_not_permited} low_rate low_rate high_rate high_rate burst burst size と入力し、 Enter キーを押します。


 

管理インターフェイス IP フィルタリングのモニタリング方法

管理インターフェイスの IP フィルタリングのモニタリング

管理インターフェイスの IP フィルタリングの次の情報を表示するには、このコマンドを使用します。

IP フラグメント フィルタの設定(イネーブルまたはディセーブル)

設定された攻撃しきい値(許可された IP アドレスおよび禁止された IP アドレス)

設定された攻撃終了しきい値(許可された IP アドレスおよび禁止された IP アドレス)

バースト サイズ(秒)(許可された IP アドレスおよび禁止された IP アドレス)


ステップ 1 SCE> プロンプトで、show ip filter と入力し、 Enter キーを押します。


 

使用可能なインターフェイスの設定方法

SCE プラットフォームとシステムの外部コンポーネントの管理設計に基づいて、Telnet と SNMP のインターフェイスを設定できます。

「TACACS+ AAA の設定方法」

「ACL の設定方法」

「Telnet インターフェイスの設定方法」

「SSH サーバの設定方法」

「SNMP インターフェイスのイネーブル化」

TACACS+ AAA について

「TACACS+ AAA」

「ログイン認証」

「アカウンティング」

「権限レベル許可」

「一般的な AAA フォールバックと復旧メカニズム」

「TACACS+ の設定について」

TACACS+ AAA

Terminal Access Controller Access Control System Plus(TACACS+) はセキュリティ アプリケーションで、ネットワーク要素にアクセスしようとしているユーザの認証を中央集中的に管理します。TACACS+ プロトコルを実装することで、カスタマーは 1 つ以上の SCE プラットフォームの認証サーバを設定できます。これにより、認証サーバが各ユーザを認証する際に、SCE プラットフォームの管理にセキュリティが提供されます。TACACS+ は認証データベースを中央集中型にしているため、SCE プラットフォームの管理が容易になります。

TACACS+ サービスは、稼働している TACACS+ サーバのデータベース内(通常、UNIX または Windows NT ワークステーション)で管理されています。設定した TACACS+ 機能をネットワーク要素で使用する前に、TACACS+ サーバにアクセスし、これを設定する必要があります。

TACACS+ プロトコルは、ネットワーク要素と TACACS+ ACS との間で認証機能を提供します。また、キーが設定されている場合、ネットワーク要素と TACACS+ サーバ間ですべてのプロトコル交換を暗号化することで機密性も保障されます。

TACACS+ プロトコルは、次の 3 つの機能を提供します。

ログイン認証

権限レベル許可

アカウンティング

ログイン認証

SCE プラットフォームは、CLI、Telnet、および SSH アクセスに対して TACACS+ ASCII 認証メッセージを使用します。

TACACS+ を使用すると、サーバがユーザを認証するために十分な情報を受け取るまで、サーバとユーザ間で任意の対話を確立できます。これは、通常、ユーザ名とパスワードの組み合わせをプロンプトに入力することで実行されます。

ログインとパスワードのプロンプトは TACACS+ サーバによって与えられますが、TACACS+ サーバがプロンプトを提供しない場合、ローカルのプロンプトが使用されます。

ユーザのログイン情報(ユーザ名とパスワード)は、認証のため TACACS+ サーバに転送されます。TACACS+ サーバからユーザ認証失敗の通知があった場合、ユーザに再度ユーザ名とパスワードのプロンプトが表示されます。ユーザには、ユーザが設定した回数分プロンプトが繰り返し表示されます。ログインへの失敗は SCE プラットフォームのユーザ ログに記録されており、回数分プロンプトが表示されたあとは、(ユーザがコンソール ポートに接続していないかぎり)Telnet セッションが切断されます。

最終的に、SCE プラットフォームは TACACS+ サーバから次の応答のいずれかを受信します。

ACCEPT ― ユーザが認証され、サービスが開始されます。

REJECT ― ユーザ認証に失敗しました。TACACS+ サーバの設定に応じて、ユーザはそれ以上のアクセスが禁止される場合と、ログイン シーケンスを再度実行するためのプロンプトが表示される場合があります。

ERROR ― 認証中の特定の段階でエラーが発生しました。このエラーはサーバ側で発生しているか、またはサーバと SCE プラットフォーム間のネットワーク接続で発生しています。ERROR 応答を受信した場合、SCE プラットフォームは、ユーザ認証に代替方法または代替サーバを使用します。

CONTINUE ― ユーザは追加の認証情報を求められます。

サーバが使用できない場合、「一般的な AAA フォールバックと復旧メカニズム」で説明されているような次の認証方式が実行されます。

アカウンティング

TACACS+ アカウンティングは、次の機能をサポートします。

それぞれ実行されたコマンド(有効なコマンドである必要があります)は、TACACS+ アカウンティング メカニズムを使用して記録されます(login および exit コマンドを含む)。

コマンドは正常に実行された場合、その前後が記録されます。

各アカウンティング メッセージには、次の情報が含まれます。

ユーザ名

現在の時間

実行されたアクション

コマンドの権限レベル

TACACS+ アカウンティングは、通常のローカル アカウンティングに加え、SCE プラットフォームの dbg ログを使用します。

権限レベル許可

正常にログインしたあと、ユーザはデフォルトの権限レベル 0 を与えられます。このレベルでは、実行できるコマンドの数が制限されます。権限レベルを変更するには、「enable」コマンドを実行します。このコマンドは権限レベル許可のメカニズムを開始します。

SCE プラットフォームの権限レベル許可は、「enable」コマンド認証要求を使用して実行されます。ユーザが「enable」コマンドを使用して指定の権限レベルの許可を要求した場合、SCE プラットフォームは、その要求の権限レベルを指定する TACACS+ サーバに認証要求を送信します。SCE プラットフォームは、TACACS+ サーバが次の内容を実行したあとにのみ、要求の権限レベルを与えます。

enable 」コマンド パスワードを認証

ユーザが要求した権限レベルを開始するのに十分な権限を持っていることを証明

ユーザの権限レベルが決まると、ユーザはそれに応じた特定のコマンド群の使用を許可されます。

ログイン認証を使用していてサーバが使用できない場合、「一般的な AAA フォールバックと復旧メカニズム」で説明されているような次の認証方式が実行されます。

一般的な AAA フォールバックと復旧メカニズム

SCE プラットフォームは、エラーが発生してもサービスのアベイラビリティを維持するために、フォールバック メカニズムを使用します。

SCE プラットフォームは、エラーが発生してもサービスのアベイラビリティを維持するために、フォールバック メカニズムを使用します。

使用できる Authentication, Authorization and Accounting(AAA; 認証、認可、アカウンティング)方式は、次のとおりです。

TACACS+ ― AAA は TACACS+ サーバによって、認証、許可、およびアカウンティングが実行されます。

Local ― AAA はローカル データベースによって、認証および許可が実行されます。

Enable ― AAA はユーザ設定のパスワードによって、認証および許可が実行されます。

None ― 認証、許可、およびアカウンティングは実行されません。

現在の実装ではこれらの方式を使用する順番を設定することはできませんが、カスタマーはその使用順を選択できます。現在の順番は、次のとおりです。

TACACS+

Local

Enable

None


) 重要:サーバが AAA 障害に遭遇した場合、その AAA 方式のいずれかが回復するまで、SCE プラットフォームにアクセスできなくなります。これを回避するために、最後の AAA 方式として「none」を使用することを推奨します。SCE プラットフォームにアクセスできない場合、シェル機能「AAA_MethodsReset」を使用することで、現在の AAA 方式の設定を削除し、使用する AAA 方式に「Enable」を設定できます。


TACACS+ の設定について

次に、TACACS+ を設定する手順の概要を示します。詳細なすべてのステップについては、このセクションの他の部分で説明されています。

1. リモート TACACS+ サーバを設定します。

プロトコルに対してリモート サーバを設定します。次の注意事項を確認してください。

サーバとクライアントが使用する暗号化キーを設定します。

最大ユーザ権限レベルとイネーブル パスワード(イネーブル コマンドを実行する際に使用されるパスワード)を指定します。

設定には権限レベル 15 を持つルート ユーザが常に含まれている必要があります。

表示ユーザ(権限レベル 5)とスーパーユーザ(権限レベル 10)のユーザ ID も同時に設定する必要があります。

1. 詳細なサーバ設定のについては、使用する TACACS+ サーバで該当する設定マニュアルを参照してください。

2. TACACS+ サーバと連動する SCE クライアントを設定します。

サーバのホスト名

ポート番号

共有暗号化キー(クライアントとサーバ間の通信のために、設定した暗号化キーはサーバに設定した暗号化キーと対になる必要があります)

3. (任意)必要に応じてローカル データベースを設定します。

新規ユーザの追加

ローカル データベースと TACACS+ の両方を設定する場合、TACACS+ とローカル データベースの両方で同じユーザ名を設定することを推奨します。こうすることで、TACACS+ サーバに障害が発生しても、ユーザは SCE プラットフォームにアクセスできます。


) TACACS+ がログイン方法として使用されている場合、TACACS+ ユーザ名が自動的に enable コマンドで使用されます。そのため、enable コマンドがこのユーザ名を認識できるように、TACACS+ とローカル データベースの両方で同じユーザ名を設定することが重要です。


パスワードの指定

権限レベルの定義

4. SCE プラットフォームの認証方式を設定します。

ログイン認証方式

権限レベル許可方式

5. 設定を確認します。

show running-config コマンドを実行し、設定を表示します。

SCE プラットフォームの TACACS+ クライアントの設定方法

「SCE プラットフォームの TACACS+ クライアントの設定」

「TACACS+ サーバ ホストの新規追加方法」

「TACACS+ サーバ ホストの削除方法」

「グローバルなデフォルト キーの設定方法」

「グローバルなデフォルト タイムアウトの設定方法」

SCE プラットフォームの TACACS+ クライアントの設定

ユーザは、TACACS+ プロトコルのリモート サーバを設定する必要があります。その次に SCE プラットフォームの TACACS+ クライアントを設定し、TACACS+ サーバと連動させてください。次の情報を設定する必要があります。

TACACS+ サーバのホスト定義 ― 最大 3 つのサーバがサポートされます。

各サーバ ホストに、次の情報を設定できます。

ホスト名(必須)

ポート

暗号化キー

タイムアウト間隔

デフォルトの暗号化キー(任意) ― グローバルなデフォルトの暗号化キーを定義できます。このキーは、サーバ ホストが定義されておらず、キーが明示的に設定されていない場合に使用される、すべてのサーバ ホスト キーとして定義されます。

デフォルトの暗号化キーが設定されていない場合、キーが明示的に設定されていないすべてのサーバにデフォルトとして何もないキーが割り当てられます。

デフォルトのタイムアウト間隔(任意) ― グローバルなデフォルトのタイムアウト間隔を定義できます。このタイムアウト間隔は、サーバ ホストが定義されておらず、タイムアウト間隔が明示的に設定されていない場合に使用される、すべてのサーバ ホストのタイムアウト間隔として定義されます。

デフォルトのタイムアウト間隔が設定されていない場合、タイムアウト間隔が明示的に設定されていないすべてのサーバにデフォルト設定として 5 秒が割り当てられます。

SCE プラットフォームの TACACS+ クライアントを設定する手順は、次のセクションで説明されています。

「管理インターフェイス IP フィルタリングのモニタリング方法」

「TACACS+ サーバ ホストの削除方法」

「グローバルなデフォルト キーの設定方法」

「グローバルなデフォルト タイムアウトの設定方法」

TACACS+ サーバ ホストの新規追加方法

SCE プラットフォームの TACACS+ クライアントで使用できる新しい TACACS+ サーバ ホストを定義するには、このコマンドを使用します。

Service Control ソリューションは、最大 3 つの TACACS+ ホストをサポートします。

オプション

次のオプションを使用できます。

host-name ― サーバ名

port number ― TACACS+ ポート番号

デフォルト=49

timeout interval ― タイムアウトするまで、サーバがサーバ ホストからの応答を待機する時間を秒で示します。

デフォルトは、5 秒です。またはユーザが設定したグローバルなデフォルト タイムアウト間隔が設定されています(グローバルなデフォルト タイムアウトの定義方法を参照)。

key-string ― サーバとクライアントの通信時に互いが使用する暗号化キーを設定します。指定のキーが実際に TACACS+ サーバ ホストに設定されているかどうかを確認してください。

デフォルトではキーが指定されていません。またはユーザが設定したグローバルなデフォルト キーが設定されています(グローバルなデフォルト キーの定義方法を参照)。


ステップ 1 SCE(config)# プロンプトで、TACACS-server host host-name [port portnumber ] [timeout timeout-interval ] [key key-string ] と入力し、 Enter キーを押します。


 

TACACS+ サーバ ホストの削除方法

オプション

次のオプションを使用できます。

host-name ― 削除するサーバ名


ステップ 1 SCE(config)# プロンプトで、no TACACS-server host host-name と入力し、 Enter キーを押します。


 

グローバルなデフォルト キーの設定方法

グローバルなデフォルト キーを TACACS+ サーバ ホストに定義するには、このコマンドを使用します。特定の TACACS+ サーバ ホストに異なるキーが明示的に設定されていれば、その TACACS+ サーバ ホストでは、このデフォルト キーは使用されません(上書きされます)。

「オプション」

「グローバルなデフォルト キーの定義方法」

「グローバルなデフォルト キーのクリア方法」

オプション

次のオプションを使用できます。

key-string ― すべての TACACS+ サーバとクライアントの通信時に互いが使用するデフォルトの暗号化キーを設定します。指定のキーが実際に TACACS+ サーバ ホストに設定されているかどうかを確認してください。

デフォルトでは暗号化は設定されていません。

グローバルなデフォルト キーの定義方法


ステップ 1 SCE(config)# プロンプトで、TACACS-server key key-string と入力し、 Enter キーを押します。


 

グローバルなデフォルト キーのクリア方法


ステップ 1 SCE(config)# プロンプトで、no TACACS-server key と入力し、Enter キーを押します。

グローバルなデフォルト キーは定義されていない状態です。各 TACACS+ サーバ ホストには特定のキーが定義されている場合もありますが、明示的にキーが定義されていないサーバはすべて(グローバルなデフォルト キーを使用した場合)、キーの設定がなくなります。


 

グローバルなデフォルト タイムアウトの設定方法

グローバルなデフォルト タイムアウトを TACACS+ サーバ ホストに定義するには、このコマンドを使用します。特定の TACACS+ サーバ ホストに異なるタイムアウト間隔が明示的に設定されていれば、その TACACS+ サーバ ホストでは、このデフォルト タイムアウト間隔は使用されません(上書きされます)。

「オプション」

「グローバルなデフォルト タイムアウトの定義方法」

「グローバルなデフォルト タイムアウトのクリア方法」

オプション

次のオプションを使用できます。

timeout interval ― タイムアウトするまで、サーバがサーバ ホストからの応答を待機するデフォルトの時間を秒で示します。

デフォルト ― 5 秒

グローバルなデフォルト タイムアウトの定義方法


ステップ 1 SCE(config)# プロンプトで、TACACS-server timeout timeout-interval と入力し、 Enter キーを押します。


 

グローバルなデフォルト タイムアウトのクリア方法


ステップ 1 SCE(config)# プロンプトで、no TACACS-server timeout と入力し、 Enter キーを押します。

グローバルなデフォルト タイムアウト間隔は定義されていない状態です。各 TACACS+ サーバ ホストには特定のタイムアウト間隔が定義されている場合もありますが、明示的にタイムアウト間隔が定義されていないサーバはすべて(グローバルなデフォルト タイムアウト間隔を使用した場合)、5 秒のタイムアウト間隔になります。


 

ユーザ データベースの管理方法

TACACS+ は、ローカル ユーザ データベースを管理します。このローカル データベースには、最大 100 のユーザを設定できます。各ユーザには次のような情報が設定されています。

ユーザ名

パスワード ― 設定に暗号化が使用されている場合と使用されていない場合があります

権限レベル

ローカル ユーザ データベースを管理する手順は、次のセクションで説明されています。

「ローカル データベースに新しくユーザを追加する方法」

「ユーザの権限レベルの定義方法」

「権限レベルおよびパスワードでの新規ユーザの追加方法」

「ユーザの削除方法」

ローカル データベースに新しくユーザを追加する方法

ローカル データベースに新しくユーザを追加するには、これらのコマンドを使用します。最大 100 のユーザを定義できます。

「オプション」

「クリア テキスト パスワードでのユーザの追加方法」

「パスワードなしでのユーザの追加方法」

「クリア テキストで入力された MD5 暗号化パスワードでのユーザの追加方法」

「MD5 暗号化文字列で入力された MD5 暗号化パスワードでのユーザの追加方法」

オプション

パスワードはユーザ名で定義されます。パスワードには複数のオプションがあります。

パスワードなし ― nopassword キーワードを使用します。

パスワード ― パスワードはローカル リストにクリア テキスト形式で保存されます。

password パラメータを使用します。

暗号化パスワード ― パスワードはローカル リストに暗号化(MD5)されて保存されます。secret キーワードを使用します。

パスワードは次のいずれかの方式で定義できます。

MD5 暗号化形式で保存されるクリア テキスト パスワードを指定

ユーザの MD5 暗号化 secret パスワードとして保存される MD5 暗号化文字列を指定

次のオプションを使用できます。

name ― 追加するユーザ名。

password ― クリア テキスト パスワード。次のいずれかの形式でローカル リストに保存できます。

クリア テキスト

MD5 暗号化形式(secret キーワードが使用されている場合)

encrypted-secret ― MD5 暗号化文字列パスワード。

次のキーワードが使用できます。

nopassword ― このユーザに関連したパスワードはありません。

secret ― パスワードは MD5 暗号化形式で保存されます。コマンド入力時に次のいずれかのキーワードを使用して、パスワード形式を指定します。

0 password オプションと一緒に使用して、MD5 暗号化形式で保存されるクリア テキスト パスワードを指定します。

5 encrypted-secret オプションと一緒に使用して、ユーザの MD5 暗号化 secret パスワードとして保存される MD5 暗号化文字列を指定します。

クリア テキスト パスワードでのユーザの追加方法


ステップ 1 SCE(config)# プロンプトで、username name password password と入力し、 Enter キーを押します。


 

パスワードなしでのユーザの追加方法


ステップ 1 SCE(config)# プロンプトで、username name nopassword と入力し、 Enter キーを押します。


 

クリア テキストで入力された MD5 暗号化パスワードでのユーザの追加方法


ステップ 1 SCE(config)# プロンプトで、username name secret 0 password と入力し、 Enter キーを押します。


 

MD5 暗号化文字列で入力された MD5 暗号化パスワードでのユーザの追加方法


ステップ 1 SCE(config)# プロンプトで、username name secret 5 encrypted-secret と入力し、 Enter キーを押します。


 

ユーザの権限レベルの定義方法

「ユーザの権限レベルについて」

「オプション」

ユーザの権限レベルについて

SCE プラットフォームの権限レベル許可は、「 enable 」コマンド認証要求を使用して実行されます。ユーザが「 enable 」コマンドを使用して指定の権限レベルの許可を要求した場合、SCE プラットフォームは、その要求の権限レベルを指定する TACACS+ サーバに認証要求を送信します。TACACS+ サーバが「 enable 」コマンド パスワードを認証し、ユーザが要求した権限レベルを開始するために十分な権限を持っていることが証明された場合にのみ、SCE プラットフォームは要求された権限レベルを許可します。

オプション

次のオプションを使用できます。

name ― 権限レベルを設定するユーザ名。

level ― 特定のユーザに許可する権限レベル。これらのレベルは、 enable コマンドで入力される CLI 許可レベルに対応しています。

0 ― User

10 ― Admin

15(デフォルト設定) ― Root


ステップ 1 SCE(config)# プロンプトで、username name privilege level と入力し、 Enter キーを押します。


 

権限レベルおよびパスワードでの新規ユーザの追加方法

パスワードや権限レベルをはじめ、単一のコマンドで新しいユーザを定義するには、これらのコマンドを使用します。


) config ファイル(running config および startup config)では、このコマンドは 2 つの別々のコマンドとして表示されます。


「オプション」

「権限レベルとクリア テキスト パスワードでのユーザの追加方法」

「権限レベルおよびクリア テキストで入力された MD5 暗号化パスワードでのユーザの追加方法」

「権限レベルおよび MD5 暗号化文字列で入力された MD5 暗号化パスワードでのユーザの追加方法」

オプション

次のオプションを使用できます。

name ― 権限レベルを設定するユーザ名。

level ― 特定のユーザに許可する権限レベル。これらのレベルは、 enable コマンドで入力される CLI 許可レベルに対応しています。

0 ― User

10 ― Admin

15(デフォルト設定) ― Root

password ― クリア テキスト パスワード。次のいずれかの形式でローカル リストに保存できます。

クリア テキスト

MD5 暗号化形式(secret キーワードが使用されている場合)

encrypted-secret ― MD5 暗号化文字列パスワード。

次のキーワードが使用できます。

secret ― パスワードは MD5 暗号化形式で保存されます。コマンド入力時に次のいずれかのキーワードを使用して、パスワード形式を指定します。

0 password オプションと一緒に使用して、MD5 暗号化形式で保存されるクリア テキスト パスワードを指定します。

5 encrypted-secret オプションと一緒に使用して、ユーザの MD5 暗号化 secret パスワードとして保存される MD5 暗号化文字列を指定します。

権限レベルとクリア テキスト パスワードでのユーザの追加方法


ステップ 1 SCE(config)# プロンプトで、username name privilege level password password と入力し、 Enter キーを押します。


 

権限レベルおよびクリア テキストで入力された MD5 暗号化パスワードでのユーザの追加方法


ステップ 1 SCE(config)# プロンプトで、username name privilege level secret 0 password と入力し、 Enter キーを押します。


 

権限レベルおよび MD5 暗号化文字列で入力された MD5 暗号化パスワードでのユーザの追加方法


ステップ 1 SCE(config)# プロンプトで、username name privilege level secret 5 encrypted-secret と入力し、 Enter キーを押します。


 

ユーザの削除方法

オプション

次のオプションを使用できます。

name ― 削除するユーザ名。


ステップ 1 SCE(config)# プロンプトで、no username name と入力し、 Enter キーを押します。


 

AAA ログイン認証の設定方法

ログイン認証の設定には、2 つの機能があります。

許可する Telnet ログインの最大数

ログインとして使用する認証方式(「一般的な AAA フォールバックと復旧メカニズム」を参照)

ログイン認証を設定する手順は、次のセクションで説明されています。

「最大ログイン数の設定」

「ログイン認証方式の設定方法」

最大ログイン数の設定

セッションを切断するまでに許可する最大ログイン数を設定するには、このコマンドを使用します。

オプション

次のオプションを使用できます。

number-of-attempts ― Telnet セッションを切断するまでに許可する最大ログイン数

これは Telnet セッションにのみ関係します。ローカル コンソールからであれば、再試行数に制限はありません。

デフォルトは 3 に設定されています。


ステップ 1 SCE(config)# プロンプトで、aaa authentication attempts login number-of-attempts と入力し、 Enter キーを押します。


 

ログイン認証方式の設定方法

プライマリ ログイン認証方式が失敗したときに使用される「バックアップ」ログイン認証方式を設定できます(一般的な AAA フォールバックと復旧メカニズムを参照)。

使用するログイン認証方式とその順番を指定するには、このコマンドを使用します。

「オプション」

「ログイン認証方式の指定方法」

「ログイン認証方式リストの削除方法」

オプション

次のオプションを使用できます。

method ― 使用するログイン認証方式。最大 4 つの異なる方式を使用する順番で指定できます。

group TACACS+ ― TACACS+ 認証を使用します。

local ― 認証にローカル ユーザ名のデータベースを使用します。

enable (デフォルト) ― 認証に「 enable 」パスワードを使用します。

none ― 認証を使用しません。

ログイン認証方式の指定方法


ステップ 1 SCE(config)# プロンプトで、aaa authentication login default method1 [method2...] と入力し、 Enter キーを押します。

上記で説明した最大 4 つの方式を入力できます。プライオリティに従って順番に入力してください。


 

ログイン認証方式リストの削除方法


ステップ 1 SCE(config)# プロンプトで、no aaa authentication login default と入力し、 Enter キーを押します。

ログイン認証方式を削除した場合、デフォルトのログイン認証方式(enable パスワード)のみが使用されます。TACACS+ 認証は使用されません。


 

AAA 権限レベル許可方式の設定方法

「オプション」

「AAA 権限レベル許可方式の指定方法」

「AAA 権限レベル許可方式リストの削除方法」

オプション

次のオプションを使用できます。

method ― 使用するログイン許可方式。最大 4 つの異なる方式を使用する順番で指定できます。

group TACACS+ ― TACACS+ 許可を使用します。

local ― 許可にローカル ユーザ名のデータベースを使用します。

enable (デフォルト) ― 許可に「 enable 」パスワードを使用します。

none ― 許可を使用しません。

AAA 権限レベル許可方式の指定方法


ステップ 1 SCE(config)# プロンプトで、aaa authentication enable default method1 [method2...] と入力し、 Enter キーを押します。

上記で説明した最大 4 つの方式を入力できます。プライオリティに従って順番に入力してください。


 

AAA 権限レベル許可方式リストの削除方法


ステップ 1 SCE(config)# プロンプトで、no aaa authentication enable default と入力し、 Enter キーを押します。

権限レベル許可方式リストを削除した場合、デフォルトのログイン認証方式(enable パスワード)のみが使用されます。TACACS+ 認証は使用されません。


 

AAA アカウンティングの設定方法

TACACS+ アカウンティングをイネーブルまたはディセーブルにするには、このコマンドを使用します。

「AAA アカウンティングについて」

「オプション」

「AAA アカウンティングのイネーブル化の方法」

「AAA アカウンティングのディセーブル化の方法」

AAA アカウンティングについて

TACACS+ アカウンティングがイネーブルの場合、SCE プラットフォームは、各コマンドの実行後にアカウンティング メッセージを TACACS+ サーバに送信します。アカウンティング メッセージは、ネットワーク管理者が使用できるように TACACS+ サーバに記録されます。

デフォルトでは、TACACS+ アカウンティングがディセーブルに設定されています。

オプション

次のオプションを使用できます。

level ― TACACS+ アカウンティングをイネーブルにする権限レベル。

AAA アカウンティングのイネーブル化の方法


ステップ 1 SCE(config)# プロンプトで、aaa authentication accounting commands level default stop-start group TACACS+ と入力し、 Enter キーを押します。

start-stop キーワード(必須)は、CLI コマンド実行時の最初と最後にアカウンティング メッセージが送信されることを示します(コマンドが正常に実行された場合)。


 

AAA アカウンティングのディセーブル化の方法


ステップ 1 SCE(config)# プロンプトで、aaa authentication accounting commands level default と入力し、 Enter キーを押します。


 

TACACS+ サーバのモニタリング方法

TACACS+ サーバの統計情報を表示するには、これらのコマンドを使用します。

「TACACS+ サーバの統計情報の表示方法」

「TACACS+ サーバの統計情報、キー、およびタイムアウトの表示方法」

TACACS+ サーバの統計情報の表示方法


ステップ 1 SCE# プロンプトで、show TACACS と入力し、 Enter キーを押します。


 

TACACS+ サーバの統計情報、キー、およびタイムアウトの表示方法


ステップ 1 SCE# プロンプトで、show TACACS all と入力し、 Enter キーを押します。

多くの show コマンドは Viewer レベルのユーザでも使用できますが、「 all 」オプションに関しては Admin レベルでしか使用できないことに注意してください。Admin レベルにアクセスするには、「 enable 10 」コマンドを使用します。


 

TACACS+ ユーザのモニタリング方法

パスワードなど、ローカル データベースのユーザを表示するには、このコマンドを使用します。


ステップ 1 SCE# プロンプトで、show users と入力し、 Enter キーを押します。

多くの show コマンドは Viewer レベルのユーザでも使用できますが、このコマンドに関しては Admin レベルでしか使用できないことに注意してください。Admin レベルにアクセスするには、「 enable 10 」コマンドを使用します。


 

ACL について

SCE プラットフォームに Access Control List(ACL; アクセス コントロール リスト)を設定できます。ACL は、すべての管理インターフェイスの着信接続を許可または拒否するために使用されます。アクセス リストは、IP アドレスの範囲を定義する IP アドレスとオプションのワイルドカード「マスク」、および許可/拒否フィールドで構成されているエントリの順序付きリストです。

リスト内のエントリの順序は重要です。接続に一致する最初のエントリのデフォルト アクションが使用されます。アクセス リストのエントリが接続に一致しない場合、またはアクセス リストが空白である場合、デフォルト アクションは deny になります。

システム アクセスの設定は、2 段階で行われます。

1. アクセス リストの作成 (ACL へのエントリの追加方法)。

2. 管理インターフェイスへのアクセス リストの関連付け(グローバル ACL の定義方法およびTelnet インターフェイスへの ACL の割り当て方法を参照)。

アクセス リストの作成は、最初から最後までエントリごとに行われます。

システムがアクセス リストに IP アドレスがあるかどうかを確認する場合、システムはアクセス リストの各行(最初のエントリから開始して、順番に最後のエントリまで移動)を確認します。検出された最初の一致が(つまり、調べていた IP アドレスが、エントリによって定義された IP アドレス範囲内にあった場合)、一致したエントリの許可/拒否フラグに従って、結果を決定します。アクセス リストに一致するエントリがない場合は、アクセスが拒否されます。

最大 99 のアクセス リストを作成できます。次のレベルで、システム アクセスにアクセス リストを関連付けることができます。

グローバル(IP)レベル:ip access-class コマンドによってグローバル リストが定義されている場合、要求が来ると、まず SCE プラットフォームが、その IP アドレスのアクセスに対する許可があるかどうかを確認します。許可がない場合、SCE はこの要求に応答しません。特定の IP アドレスを拒否するように SCE プラットフォームを設定すると、Telnet、FTP(ファイル転送プロトコル)、Internet Control Message Protocol(ICMP)、および SNMP を含む IP ベースのプロトコルを使用したアドレスとの通信オプションが排除されます。基本的な IP インターフェイスは低いレベルのもので、インターフェイスに到達する前に IP パケットをブロックします。

インターフェイス レベル:アクセス リストで、各管理インターフェイス(Telnet、SNMP など)へのアクセスを制限できます。インターフェイス レベルのリストは、定義上、定義されたグローバル リストのサブセットとなっています。グローバル レベルでアクセスが拒否されると、IP はいずれかのインターフェイスを使用してアクセスすることができなくなります。アクセス リストが特定の管理インターフェイスに関連付けられると、そのインターフェイスはアクセス リストを確認し、管理インターフェイスにアクセスしようとする特定の外部 IP アドレスの許可があるかどうかを調べます。

SCE プラットフォームに必要な動作である場合は、同一のアクセス リストにいくつかの管理インターフェイスを設定できます。

ACL が管理インターフェイスまたはグローバル IP レベルに関連付けられていない場合は、すべての IP アドレスからのアクセスが許可されます。


) SCE プラットフォームは、アクセスが許可された IP アドレスから送信された ping コマンドだけに応答します。ping は ICMP プロトコルを使用するので、未認証のアドレスから送信された ping は、SCE プラットフォームからの応答を受信しません。


オプション

次のオプションを使用できます。

number ― ACL に割り当てられた ID 番号

ip-address ― 許可または拒否するインターフェイスの IP アドレス。x.x.x.x 形式で入力します。

ip-address/mask ― x.x.x.x y.y.y.y 形式のアドレスの範囲を設定します。ここで、x.x.x.x は、範囲内のすべての IP アドレスに共通のプレフィクス ビットを示します。y.y.y.y は、無視するビットを示すワイルドカードビットのマスクです。この表記では、[0] が無視するビットです。

次のキーワードが使用できます。

permit ― SCE プラットフォームへのアクセスを許可する指定の IP アドレス

deny ― SCE プラットフォームへのアクセスを拒否する指定の IP アドレス

ACL へのエントリの追加方法


ステップ 1 configure と入力して、 Enter キーを押します。

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2 必要な IP アドレスを入力します(複数可)。

IP アドレスを 1 つ設定するには、次のコマンドを使用します。

access-list number permit|deny ip-address (最後に Enter キーを押します)。

複数の IP アドレスを設定するには、次のコマンドを使用します。

access-list number permit|deny ip-address/mask (最後に Enter キーを押します)。

ACL に新規のエントリを追加する場合、エントリは常にリストの末尾に追加されます。


 

ACL へのエントリの追加:例

次に、アクセス リスト番号 1 に 10.1.1.0 ~ 10.1.1.255 の範囲の IP アドレスだけにアクセスを許可するエントリを追加する例を示します。

SCE(config)#access-list 1 permit 10.1.1.0 0.0.0.255

ACL の削除方法

すべてのエントリと一緒に ACL を削除するには、このコマンドを使用します。


ステップ 1 SCE(config)# プロンプトで、no access-list number と入力し、 Enter キーを押します。

すべてのエントリと一緒に指定した ACL を削除します。


 

グローバル ACL の定義方法

SCE プラットフォームへのすべてのトラフィックを許可または拒否するグローバル ACL


ステップ 1 SCE(config)# プロンプトで、ip access-class number と入力し、 Enter キーを押します。

Telnet トラフィックなどの特定のトラフィック タイプではなく、SCE プラットフォームにアクセスを試みているすべてのトラフィックに指定の ACL を適用します。


 

Telnet インターフェイスについて

ここでは、SCE プラットフォームの Telnet インターフェイスについて説明します。Telnet セッションは、SCE プラットフォームの CLI インターフェイスに接続する最も一般的な方法です。

Telnet インターフェイスには次のパラメータを設定できます。

インターフェイスのイネーブル化およびディセーブル化

着信接続を許可または拒否するための ACL の割り当て

Telnet セッションのタイムアウト(セッションにアクティビティが存在しない場合に、Telnet 接続を自動切断するまでに SCE プラットフォームが待機する時間)

Telnet インターフェイスに関連するコマンドは、次のとおりです。

access-class in

line vty

[no] access list

[no] service telnetd

[no] timeout

show line vty access-class in

show line vty timeout

Telnet アクセスの回避方法

Telnet からのアクセスを完全にディセーブルにするには、このコマンドを使用します。


ステップ 1 SCE(config)# プロンプトで、no service telnetd と入力し、 Enter キーを押します。

現在の Telnet セッションは切断されませんが、新規の Telnet セッションが許可されなくなります。


 

Telnet インターフェイスへの ACL の割り当て方法


ステップ 1 SCE(config)# プロンプトで、line vty 0 と入力し、 Enter キーを押します。

ライン コンフィギュレーション モードをイネーブルにします。

ステップ 2 access-class acl-number in と入力します。

acl-number は、既存のアクセス リストの ID 番号です。


 

Telnet インターフェイスへの ACL の割り当て:例

次に、Telnet インターフェイスに ACL #1 を割り当てる例を示します。

SCE#configure
SCE(config)#line vty 0
SCE(config-line)#access-class 1 in

Telnet タイムアウトの設定方法

SCE プラットフォームは、非アクティブの Telnet セッションのタイムアウトをサポートしています。

オプション

次のオプションを使用できます。

timeout ― 非アクティブの Telnet セッションがタイムアウトするまでの分単位の時間

デフォルト ― 30 分


ステップ 1 SCE(config)# プロンプトで、timeout timeout と入力し、 Enter キーを押します。


 

SSH サーバについて

「SSH サーバ」

「キーの管理」

SSH サーバ

標準 Telnet プロトコルの欠点は、インターネット上でパスワードとデータを暗号化せずに転送するため、セキュリティが万全ではない点です。セキュリティを懸念する場合には、Telnet ではなく Secure Shell(SSH; セキュア シェル)サーバの使用を推奨します。

SSH サーバは Telnet サーバに類似していますが、SSH サーバは、通信のプライバシを保証することにより、安全でないネットワーク上で SSH クライアントとの通信を行うことができる暗号技術を使用しています。CLI コマンドは、SSH でも Telnet とまったく同じ方法で実行されます。

SSH サーバは、SSH-1 と SSH-2 の両方のプロトコルをサポートしています。

他の管理プロトコルと同様に、SSH に ACL を設定できます。SSH アクセスを特定の IP アドレスのセットに制限できます(ACL の設定方法を参照)。

キーの管理

各種のクライアントとの通信を行う場合、各 SSH サーバは、キー(DSA2、RSA2、および RSA1)のセットを定義する必要があります。キー セットとは、パブリック キーとプライベート キーのペアです。サーバは不揮発性メモリにプライベート キーを置きながら、パブリック キーを発行し、SSH クライアントに伝送することはありません。キーは tffs0 ファイル システムに置かれます。これは、「enable」パスワードの知識があるユーザがプライベート キーとパブリック キーの両方にアクセスできることを意味します。SSH サーバの実装は、SCE プラットフォームの管理通信チャネルをモニタリングできる盗聴者に対する保護を提供していますが、「enable」パスワードの知識があるユーザに対する保護は提供していません。

特定の CLI コマンドを介して、ユーザがキーの管理を実行します。SSH サーバをイネーブルにする前に、最低 1 回、キーのセットを生成する必要があります。

暗号キーのサイズは、常に 2048 ビットです。

SSH サーバの管理方法

SSH サーバを管理するには、これらのコマンドを使用します。これらのコマンドを使用して、次の操作を実行できます。

SSH キー セットの生成

SSH サーバのイネーブル化およびディセーブル化

SSH サーバへの ACL の割り当ておよび割り当ての削除

既存の SSH キーの削除

SSH キー セットの生成方法

SSH サーバをイネーブルにする前に、SSH キーのセットを生成する必要があります。


ステップ 1 SCE(config)# プロンプトで、ip ssh key generate と入力し、 Enter キーを押します。

新規の SSH キー セットが生成され、ただちに不揮発性メモリに保存されます(キー セットは、コンフィギュレーション ファイルには含まれません)。キーのサイズは、常に 2048 ビットです。


 

SSH サーバのイネーブル化の方法


ステップ 1 SCE(config)# プロンプトで、ip ssh と入力し、 Enter キーを押します。


 

SSH サーバのディセーブル化の方法


ステップ 1 SCE(config)# プロンプトで、no ip ssh と入力し、 Enter キーを押します。


 

SSH サーバへの ACL の割り当て方法


ステップ 1 SCE(config)# プロンプトで、ip ssh access-class acl-number と入力し、 Enter キーを押します。

指定した ACL が SSH サーバに割り当てられ、SSH サーバへのアクセスが ACL に定義された IP アドレスに制限されます。


 

SSH サーバからの ACL 割り当ての削除方法


ステップ 1 SCE(config)# プロンプトで、no ip ssh access-class と入力し、 Enter キーを押します。

ACL の割り当てが SSH サーバから削除され、すべての IP アドレスが SSH サーバにアクセスできるようになります。


 

既存の SSH キーの削除方法


ステップ 1 SCE(config)# プロンプトで、ip ssh key remove と入力し、 Enter キーを押します。

既存の SSH キー セットを不揮発性メモリから削除します。

SSH サーバは起動時にだけ不揮発性メモリからキーを読み取るので、SSH サーバが現在イネーブルにされている場合は、継続して動作します。ただし、SSH サーバがイネーブルにされていることをスタートアップ コンフィギュレーションが示す場合、キーが削除されていると、SCE プラットフォームが起動時に SSH サーバを起動できません。このような状況を回避するには、このコマンドの実行後、 reload を使用して SCE プラットフォームが再起動される前に、次のいずれかを必ず実行してください。

新規のキー セットを生成する

SSH サーバをディセーブルにし、コンフィギュレーションを保存する


 

SSH サーバ ステータスのモニタリング方法

現在の SSH セッションを含む SSH サーバのステータスをモニタリングするには、このコマンドを使用します。


ステップ 1 SCE> プロンプトで、show ip ssh と入力し、 Enter キーを押します。

これは、ユーザ EXEC コマンドです。他のモードを終了することにより、ユーザ EXEC コマンドにいることを確認してください。


 

SNMP インターフェイスのイネーブル化

SNMP インターフェイスをイネーブルにするには、このコマンドを使用します。SNMP パラメータ(ホスト、コミュニティ、コンタクト、ロケーション、およびトラップ宛先のホストを含む)の設定と管理の詳細については、「SNMP インターフェイスの設定と管理方法」を参照してください。

「SNMP インターフェイスのイネーブル化の方法」

「SNMP インターフェイスのディセーブル化の方法」

SNMP インターフェイスのイネーブル化の方法

オプション

次のオプションを使用できます。

community-string ― SNMP サーバへのアクセスが許可された管理者のコミュニティを特定するセキュリティ ストリング


ステップ 1 SCE(config)# プロンプトで、snmp-server community community-string と入力し、 Enter キーを押します。

SNMP アクセスを許可するには、最低 1 つコミュニティ ストリングを定義する必要があります。コミュニティ ストリングの詳細については、「SNMP コミュニティ ストリングの設定方法」を参照してください。


 

SNMP インターフェイスのディセーブル化の方法


ステップ 1 SCE(config)# プロンプトで、no snmp-server と入力し、 Enter キーを押します。


 

SNMP インターフェイスの設定と管理方法

「SNMP インターフェイスについて」

「SNMP コミュニティ ストリングの設定方法」

「SNMP 通知の設定方法」

SNMP インターフェイスについて

ここでは、SNMP エージェントのパラメータの設定方法について説明します。また、SNMP 通知とそのサポート対象の MIB の簡単な概要や、MIB をロードする順序について説明します。

SNMP インターフェイス

SCE プラットフォームの OS(オペレーティング システム)には、次の MIB(管理情報ベース)をサポートする SNMP エージェントが用意されています。

RFC 1213 標準(MIB-II)

RFC 2737 標準(ENTITY-MIB バージョン 2)

pcube エンタープライズ MIB

SNMP プロトコル

SNMP は、複雑なネットワークの管理用のプロトコル セットです。SNMP は、Protocol Data Unit(PDU; プロトコル データ ユニット)と呼ばれるメッセージをネットワークの別の部分に送信することによって機能します。エージェントと呼ばれる SNMP 準拠のデバイスは、MIB にそのデバイスに関するデータを保存し、このデータを SNMP 要求者に戻します。

SCE プラットフォームは、オリジナルの SNMP プロトコル(別名、SNMPv1)、およびコミュニティベースの SNMPv2 と呼ばれる新規のバージョン(別名、SNMPv2C)をサポートしています。

SNMPv1 ― RFC 1155 と RFC 1157 で定義されている完全なインターネット標準である SNMP の最初のバージョンです。SNMPv1 は、コミュニティベースの形式によるセキュリティを使用します。

SNMPv2c ― プロトコル パケットのタイプ、トランスポート マッピング、および MIB 構造の要素の部分が SNMPv1 から改善されているものの、既存の SNMPv1 管理構造を使用している、改訂版のプロトコルです。RFC 1901、RFC 1905、および RFC 1906 で定義されています。

SNMP の SCE プラットフォーム実装は、RFC 1213 に記述されているすべての MIB II 変数をサポートし、RFC 1215 に記述されているガイドラインを使用して SNMP トラップを定義します。

SNMPv1 と SNMPv2C の仕様は、SCE プラットフォームでサポートされている次の基本操作を定義しています。

 

表5-2 要求タイプ

要求タイプ
説明
備考

Set-request

エージェントによって管理されている 1 つ以上のオブジェクトに新規のデータを書き込みます。

操作を設定すると、SCE プラットフォームの running-config にすぐに影響しますが、startup-config には影響しません。

Get-request

エージェントによって管理されている 1 つ以上のオブジェクトの値を要求します。

Get-next-request

エージェントによって管理されている次のオブジェクトの Object Identifier(OID;オブジェクト識別子)と値を要求します。

Get-response

エージェントによって戻されたデータが含まれます。

Trap

エージェント システムでイベントまたはエラーが発生したことを示す非送信請求通知をエージェントからマネージャに送信します。

SNMPv1 または SNMPv2 スタイルのいずれかのトラップを送信するように、SCE プラットフォームを設定できます。

Get-bulk-request

1 つの要求/応答トランザクションで大量のオブジェクト情報を取得します。Get-bulk は、1 つの要求/応答によって実行されていますが、Get-next の要求/応答が繰り返し実行されているかのように動作します。

これは、新しく定義された SNMPv2c メッセージです。

セキュリティの考慮事項

デフォルトでは、SNMP エージェントの読み取りと書き込みの両方の操作がディセーブルにされています。イネーブルにすると、管理ポート上でのみ SNMP がサポートされます(帯域内管理はサポートされません)。

また、SCE プラットフォームは、マネージャのコミュニティによる読み書きまたは読み取り専用のアクセスをサポートしています。さらに、ACL をコミュニティに関連付けて、制限されたマネージャ IP アドレスのセットに SNMP 管理を許可できます。

CLI について

「CLI」

「SNMP を設定するための CLI コマンド」

「SNMP をモニタリングするための CLI コマンド」

CLI

SCE プラットフォームは、SNMP エージェントの操作を制御する CLI コマンドをサポートしています。Admin 許可レベルでは、すべての SNMP コマンドを使用できます。SNMP エージェントは、デフォルトでディセーブルにされており、明示的にディセーブルのコマンドが使用されている場合を除いて、任意の SNMP コンフィギュレーション コマンドによって、SNMP エージェントがイネーブルになります。

SNMP を設定するための CLI コマンド

SNMP を設定する場合に使用できる CLI コマンドのリストは、次のとおりです。グローバル コンフィギュレーション モードのコマンドになります。

snmp-server enable

no snmp-server

[no] snmp-server community [all] [

no | default] snmp-server enable traps

[no] snmp-server host [all]

[no] snmp-server contact

[no] snmp-server location

SNMP をモニタリングするための CLI コマンド

SNMP をモニタリングする場合に使用できる CLI コマンドのリストは、次のとおりです。ビューア モードのコマンドになります。SNMP エージェントがイネーブルのときに使用できます。

show snmp(SNMP エージェントがディセーブルにされている場合でも使用できます)

show snmp community

show snmp contact

show snmp enabled

show snmp host

show snmp location

show snmp mib

show snmp traps

MIB について

「MIB」

「MIB データ オブジェクト」

「MIB-II について」

「ENTITY-MIB について」

「pcube エンタープライズ MIB について」

MIB

MIB は、NMS によるモニタリングが可能なオブジェクトのデータベースです。SNMP は、MIB によって定義された、デバイスのモニタリングを SNMP ツールに許可する標準 MIB 形式を使用します。

SCE プラットフォームは、次の MIB をサポートしています。

標準 MIB

RFC 1213 に定義されている MIB-II(Management Information Base for Network Management of TCP/IP-based Internets)とその拡張の一部。

ENTITY-MIB バージョン 2(RFC 2737 に定義)

独自 MIB ― Cisco Service Control 製品用にシスコで定義された pcube エンタープライズ MIB 付録 B「独自 MIB のリファレンス」 を参照)。

Pcube エンタープライズ MIB(pcube)は、異なる MIB の種類に分けられます。

独自 SCOS MIB ― これらの MIB には、プラットフォーム固有の情報が含まれています。また、pcube サブツリーの汎用定義も含まれています。

SE MIB および Dispatcher MIB は、OS MIB の 2 つの例です。

独自アプリケーション MIB ― これらの MIB には、アプリケーション固有の情報が含まれています。

現在、1 つのアプリケーション MIB があります ― Engage MIB。

独自共通 MIB ― これらの MIB には、1 つ以上のシスコ製のプラットフォームで共通する機能が含まれています。

現在、1 つの共通 MIB があります ― configuration copy MIB。

Cisco Systems, Inc が P-cube, Inc を買収したため、既存の独自 MIB をシスコ標準に準拠させるためにアップグレードしました。SCOS バージョン 3.0.3 以降のすべての Pcube MIB はシスコの標準とスタイルに準拠しており、SMICNG を使用してコンパイルされます。


) 整合性確保のために「Pcube」と「SC」の宛先は MIB に維持されていますが、これらは対応するシスコの SCE 製品を参照しています。


MIB データ オブジェクト

MIB を構成するデータ オブジェクトは、次の 2 つの方法で特定できます。

Object Identifier(OID; オブジェクト識別子) ― エージェント データベースで特定のデータ オブジェクトを示す一意の文字列。

OID は、1.3.6.1.4.1.5655.4.1.10.1 のようにドット区切りの形式で記述されます。

MIB 記述子 ― OID の MIB ファイルに定義された名前。明示的な OID の代わりに使用されることもあります。

たとえば、「ifTable」は MIB-II インターフェイス テーブルの OID を示します。

MIB-II について

「MIB-II」

「IF-MIB」

MIB-II

SCE プラットフォームは、次のグループを含む MIB-II(RFC 1213)のすべてをサポートしています。

システム インターフェイス(管理ポートおよび回線ポートの両方)AT(管理ポート)IP(管理ポート)ICMP(管理ポート)

TCP(管理ポート)

UDP(管理ポート)

SNMP(管理ポート)

IF-MIB

MIB-II 標準は、さまざまな MIB によって拡張されました。SCOS は RFC-2233 に定義されている IF-MIB をサポートします。

IF-MIB は、次の 4 つのテーブルを定義します。

 

iftable

MIB-II ifTable へのアップデート

ifxtable

ifTable への追加(大容量インターフェイス用)

ifStackTable

インターフェイスのサブレイヤに関する情報を持つテーブル

ifRcvAddressTable

複数の受信アドレスをサポートするインターフェイス用のテーブル

次に、この MIB 内の特定のオブジェクトの詳細を示します。

 

ifindex

ポートが最初にくるようなインターフェイスの番号付け。

ifPhysAddress

管理インターフェイスの場合、MAC アドレス。

トラフィック インターフェイスの場合、すべてゼロのアドレス。

IfAdminStatus

このオブジェクトに記述する操作はサポートされません。イーサネット MIB RFC2665 セクション 3.2.7 に準拠しているため、安全です。

IfOutQLen

常に 0 を返します。

Under ifXTable:ifname

ifDescr と同一

ifpromiscuousmode

管理インターフェイス ― 「false」

トラフィック インターフェイス ― 「true」

ifRcvAddressTable

実装されていません。

iftesttable

RFC-2233 で採用されなかったため、実装されていません。

ENTITY-MIB について

「ENTITY-MIB」

「entityPhysical グループ」

「entityGeneral グループ」

ENTITY-MIB

ENTITY-MIB には、MIB オブジェクトの 5 つのグループが含まれています。

entityPhysical group

entityLogical group

entityMapping group

entityGeneral group

entityNotifications group

SCOS は、ENTITY-MIB の物理グループと一般的なグループのみ実装します。それ以外のグループは SCE プラットフォームと関連がないため実装しません。

entityPhysical グループ

entityPhysical グループは、1 つのエージェントに管理される物理エンティティを示します。このグループには 1 つのテーブル( entPhysicalTabl )が含まれており、物理システム コンポーネントを識別します。

次に、SCOS に実装されている entPhysicalTable の特定のオブジェクトの詳細を示します。

 

entPhysicalIndex (1)

1(SCE のメインボード)

entPhysicalDescr (2)

製品カタログに使用されような製品 ID に対応する記述

entPhysicalVendorType (3)

cevChassisSCE2000 = {cevChassis 511} (1.3.6.1.4.1.9.12.3.1.3.511)

cevChassisSCE1000 = {cevChassis 512} (1.3.6.1.4.1.9.12.3.1.3.512)

entPhysicalContainedIn (4)

0(含まれません)

entPhysicalClass (5)

3(シャーシ)

entPhysicalParentRelPos (6)

1

entPhysicalName (7)

「シャーシ」

entPhysicalHardwareRev (8)

EPROM で識別されるバージョン ID

entPhysicalFirmwareRev (9)

空の文字列

entPhysicalSoftwareRev (10)

「show version」で表示されるソフトウェア バージョン

entPhysicalSerialNum (11)

EPROM で識別されるシリアル番号

entPhysicalMfgName (12)

「Cisco Systems, inc.」

entPhysicalModelName (13)

EPROM で識別される製品 ID

entPhysicalAlias (14)

空の文字列

entPhysicalAssetID (15)

空の文字列

entPhysicalIsFRU (16)

2(false)

entityGeneral グループ

entityGeneral グループには、他のオブジェクト グループに関する一般的な情報が含まれます。entGeneral グループには、1 つのスカラ オブジェクトが含まれます。

次に、SCOS に実装されている entityGeneral グループの特定のオブジェクトの詳細を示します。

 

entLastChangeTime

sysUpTime。ENTITY-MIB のエントリは、ブート時の作成後でも SCE プラットフォームで変更されないことを示します。

pcube エンタープライズ MIB について

「pcube エンタープライズ MIB」

「MIB ファイルのロード」

pcube エンタープライズ MIB

SCE 独自の pcube MIB を使用すると、外部管理システムは、SCE プラットフォームの動作ステータスとリソース利用率に関する一般情報を取得したり、帯域利用率とネットワーク統計情報のリアルタイム測定を抽出したり、クリティカル イベントとアラームの通知を受信したりできます。


) 次のオブジェクト ID は、pcube エンタープライズ MIB を表します。



1.3.6.1.4.1.5655、または iso.org.dod.internet.private.enterprise.pcube


pcube エンタープライズ MIB は、次の 4 つのメイン グループに分かれます。

製品

モジュール

管理

ワークグループ

pcube エンタープライズのツリー構造は、 pcube.mib の名前が付いた MIB ファイルに定義されています。

pcube エンタープライズ MIB の詳細については、 付録 B「独自 MIB のリファレンス」 を参照してください。

以下の図は pcube エンタープライズ MIB の構造を示します。図で使用される表記法:

ユニットを囲む点線の矢印は、線の下で指定された MIB ファイル内でコンポーネントが記述されていることを示します。

影付きボックスは、コンポーネントが独自 MIB ファイル内で記述されていることを示します。

図5-1

 

pcubeProducts サブツリー ― Cisco Service Control 製品の OID が含まれています。

pcubeModules サブツリー ― MIB モジュールを定義する元となるルート オブジェクト ID を提供します。

pcubeMgmt サブツリー ― 複数の製品に関連した pcube MIB のルート。

pcubeConfigCopyMIB ― running config から startup config へのローカル コピーをサポートするシスコ Config-Copy-MIB のサブセット。

pcubeWorkgroups サブツリー ― Cisco Service Control デバイスとサブデバイスの実 MIB が含まれています。

pcubeSeMIB ― 2 つの分岐があります。

pcubeSeEvents ― エンタープライズ独自の通知送信に使用される OID が含まれています。

pcubeSEObjs ― SCE プラットフォームに属する OID が含まれており、機能に応じてグループを分割します。

MIB ファイルのロード

Service Control 独自の MIB は、pcube MIB( pcube.mib )のような他の MIB に定義されている定義と、 SNMPv2.mib に定義されている定義を使用します。そのため、MIB をロードする順序が重要になります。エラーを防ぐためには、MIB を正しい順序でロードする必要があります。

1. SNMPv2.my をロードします。

2. SNMP-FRAMEWORK-MIB.my をロードします。

3. PCUBE-SMI.my をロードします。

4. PCUBE-SE-MIB.my をロードします。


) SCOS でサポートされている情報および独自の MIB ファイルは、次の URL からダウンロードできます。http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml(Cisco Service Routing Products セクションの下)


SNMP による設定

SCE プラットフォームは、SNMP による設定が可能な限られた変数のセット(読み書き変数)をサポートしています。CLI と同様に SNMP を介して変数を設定すると、すぐに実行コンフィギュレーションに影響します。次のリブート用(スタートアップ コンフィギュレーション)にこのコンフィギュレーションを保存するには、シスコ製エンタープライズ MIB オブジェクトを使用して、CLI または SNMP 経由でこのコンフィギュレーションを明示的に指定する必要があります(図5-1 を参照)。

SCE プラットフォームでは、このデータベースの変更が可能な複数のインターフェイスを利用して、1 つのコンフィギュレーション データベースを処理することにも注意してください。そのため、CLI または SNMP を介して copy running-config startup-config コマンドを実行し、SNMP または CLI で行ったすべての変更内容を永久に残します。

SNMP コミュニティ ストリングの設定

SNMP 管理をイネーブルにするには、SNMP コミュニティ ストリングを設定して、SNMP マネージャとエージェント間の関係を定義する必要があります。

SNMP 要求を受信すると、SNMP エージェントは、要求に含まれたコミュニティ ストリングとエージェントに設定されたコミュニティ ストリングを照らし合わせます。次の環境において、要求が有効になります。

要求に含まれたコミュニティ ストリングが読み取り専用コミュニティに一致する場合、SNMP の Get Get-next 、および Get-bulk の要求が有効です。

要求に含まれたコミュニティ ストリングがエージェントの読み書きコミュニティに一致する場合、SNMP の Get Get-next Get-bulk 、および Set の要求が有効です。

コミュニティ ストリングの定義方法

「オプション」

「コミュニティ ストリングの定義:例」

オプション

次のオプションを使用できます。

community-string ― SNMP サーバへのアクセスが許可された管理者のコミュニティを特定するセキュリティ ストリング

acl-number ― SNMP インターフェイスに ACL を割り当てる場合の ID 番号。エージェントへのアクセスを取得するためにコミュニティ ストリングを使用することが許可された、SNMP マネージャの IP アドレスが表示される必要があります。

ACL が指定されていない場合、定義されたコミュニティ ストリングを使用して、すべての IP アドレスがエージェントにアクセスできます。ACL の詳細については、「ACL の設定方法」を参照してください。

次のキーワードが使用できます。

ro ― 読み取り専用(デフォルトのアクセス)

rw ― 読み書き


ステップ 1 SCE(config)# プロンプトで、snmp-server community community-string ro|rw acl-number と入力し、 Enter キーを押します。

必要に応じてコマンドを繰り返し、すべてのコミュニティ ストリングを定義します。


 

コミュニティ ストリングの定義:例

次に、アクセス リスト番号が [1] で、読み取り専用権を持つ「mycommunity」コミュニティ ストリングを設定する例を示します。

読み取り専用はデフォルトなので、この場合、明示的に定義する必要はありません。

SCE(config)#snmp-server community mycommunity 1

コミュニティ ストリングの削除方法


ステップ 1 SCE(config)# プロンプトで、no snmp-server community community-string と入力し、 Enter キーを押します。


 

コミュニティ ストリングの削除:例

次に、「mycommunity」コミュニティ ストリングを削除する例を示します。

SCE(config)#no snmp-server community mycommunity

設定したコミュニティ ストリングの表示方法


ステップ 1 SCE> プロンプトで、show snmp-server community community-string と入力し、 Enter キーを押します。


 

設定したコミュニティ ストリングの表示:例

次に、設定した SNMP コミュニティを表示する例を示します。

SCE>show snmp community
Community: public, Access Authorization: RO, Access List Index: 1
SCE>

SNMP 通知の設定方法

SNMP 通知を設定するには、次のコマンドを使用します。

SNMP 通知を受信する宛先(ホスト)

送信される通知のタイプ(トラップ)

SNMP 通知について

通知は、イベントが発生したときに、SCE プラットフォームに内蔵された SNMP エージェントが生成する非送信請求メッセージです。Network Management System(NMS; ネットワーク管理システム)が通知メッセージを受信すると、イベントの発生を記録したり、信号を無視したり、適切なアクションを行うことができます。

デフォルトでは、SCE プラットフォームが SNMP 通知を送信するように設定されていません。SCE プラットフォームからの通知が送信される必要がある NMS を定義する必要があります(設定可能な通知のリストについては、以下の表の「設定可能な通知」を参照)。通知を誘発するイベントのいずれかが SCE プラットフォームで発生すると、必ず SNMP 通知が SCE プラットフォームからユーザが定義する IP アドレスのリストに送信されます。

SCE プラットフォームは、2 つの一般的なカテゴリの通知をサポートしています。

標準 SNMP 通知 ― RFC 1157 に定義されており、RFC 1215 に定義された表記法を使用しています。

独自の SCE エンタープライズ通知 ― SCE 独自の MIB に定義されています( 付録 B「独自 MIB のリファレンス」 「通知タイプ」を参照)。

ホストが通知を受信するように設定されると、デフォルトにより、SCE プラットフォームは、このホストに SCE プラットフォームがサポートしているすべての通知(AuthenticationFailure 通知以外)を送信します。SCE プラットフォームは、この通知に加えて、一部の SCE エンタープライズ通知の送信を明示的にイネーブルまたはディセーブルにするオプションを提供しています。

SNMPv1 または SNMPv2 スタイルの通知を生成するように SCE プラットフォームを設定できます。デフォルトでは、SCE プラットフォームは SNMPv1 通知を送信します。

次には、次の内容を実行するサンプル手順を示します。

SNMP エージェントが通知を送信するホスト(NMS)を設定

受信通知からホスト(NMS)を削除またはディセーブル化

AuthenticationFailure 通知を送信する SNMP エージェントのイネーブル化

エンタープライズ通知を送信する SNMP エージェントのイネーブル化

すべての通知をデフォルト設定にリセット

SNMP ホストの定義方法

SCE プラットフォームから通知を受信するホストを定義するには、このコマンドを使用します。

「オプション」

「ホスト(NMS)に通知を送信するように SCE プラットフォームを設定する方法」

「ホストに通知を送信しないように SCE プラットフォームを設定する方法」

「SNMP トラップの設定方法」

オプション

次のオプションを使用できます。

ip-address ― SNMP サーバ ホストの IP アドレス

community-string ― SNMP サーバへのアクセスが許可された管理者のコミュニティを特定するセキュリティ ストリング

version ― システムで実行されている SNMP バージョン。1 または 2c にすることができます。

デフォルト ― 1(SNMPv1)

ホスト(NMS)に通知を送信するように SCE プラットフォームを設定する方法


ステップ 1 SCE(config)# プロンプトで、snmp-server host ip-address community-string と入力し、 Enter キーを押します。

バージョンを指定しないと、SNMPv1 とみなされます。

1 つのコマンドに対して指定できるのは、1 つのホストだけです。複数のホストを定義するには、各ホストに対して 1 つのコマンドを実行します。


 

複数のホストに通知を送信するための SCE プラットフォームの設定:例

次に、SNMPv1 通知を複数のホストに送信するように SNMP プラットフォームを設定する例を示します。

SCE(config)#snmp-server host 10.10.10.10 mycommunity
SCE(config)#snmp-server host 20.20.20.20 mycommunity
SCE(config)#snmp-server host 30.30.30.30 mycommunity
SCE(config)#snmp-server host 40.40.40.40 mycommunity

ホストに通知を送信しないように SCE プラットフォームを設定する方法


ステップ 1 SCE(config)# プロンプトで、no snmp-server host ip-address と入力し、 Enter キーを押します。


 

ホストに通知を送信しないための SCE プラットフォームの設定:例

次に、「192.168.0.83」の IP アドレスを持つホストを削除する例を示します。

SCE(config)#no snmp-server host 192.168.0.83

SNMP トラップの設定方法

定義したホストに送信される通知を設定するには、このコマンドを使用します。

「オプション」

「SNMP サーバをイネーブルにして、認証失敗通知を送信する方法」

「SNMP サーバをイネーブルにして、すべてのエンタープライズ通知を送信する方法」

「SNMP サーバをイネーブルにして、特定のエンタープライズ通知を送信する方法」

「デフォルトの状態へのすべての通知の復旧方法」

オプション

次のオプションを使用できます。

snmp ― すべてまたは特定の snmp トラップをイネーブルまたはディセーブルに指定するオプション パラメータ

デフォルトでは、snmp トラップがディセーブルです。

snmp trap name ― 特定の snmp トラップをイネーブルまたはディセーブルに指定するオプション パラメータ

このパラメータで現在許可されている値は、 authentication だけです。

enterprise ― すべてまたは特定の enterprise トラップをイネーブルまたはディセーブルに指定するオプション パラメータ

デフォルトでは、enterprise トラップがイネーブルです。

enterprise trap name ― 特定の snmp トラップをイネーブルまたはディセーブルに指定するオプション パラメータ

値:attack、chassis、link-bypass、logger、operational-status、port-operational-status、pull-request-failure、RDR-formatter、session、SNTP、subscriber、system-reset、telnet、vas-traffic-forwarding

これらのパラメータを次のように使用します。

1 つのタイプのすべてのトラップをイネーブル/ディセーブルにする場合: snmp または enterprise だけを指定します。

1 つの特定のトラップをイネーブル/ディセーブルにする場合:必要なトラップを指定する追加のトラップ名のパラメータとともに snmp または enterprise を指定します。

すべてのトラップをイネーブル/ディセーブルにする場合: snmp および enterprise のいずれも指定しません。

SNMP サーバをイネーブルにして、認証失敗通知を送信する方法


ステップ 1 SCE(config)# プロンプトで、snmp-server enable traps snmp authentication と入力し、 Enter キーを押します。


 

SNMP サーバをイネーブルにして、すべてのエンタープライズ通知を送信する方法


ステップ 1 SCE(config)# プロンプトで、snmp-server enable traps enterprise と入力し、 Enter キーを押します。


 

SNMP サーバをイネーブルにして、特定のエンタープライズ通知を送信する方法


ステップ 1 SCE(config)# プロンプトで、snmp-server enable traps enterprise [attack|chassis|link-bypass|logger|operational-status|port-operational-status|pull-request-failure|RDR-formatter|session| SNTP|subscriber|system-reset|telnet|vas-traffic-forwarding] と入力し、 Enter キーを押します。

必要な enterprise トラップ タイプを指定します。


 

特定のエンタープライズ通知を送信するための SNMP サーバのイネーブル化:例

次に、logger エンタープライズ通知のみを送信するように SNMP サーバを設定する例を示します。

SCE(config)#snmp-server enable traps enterprise logger

デフォルトの状態へのすべての通知の復旧方法


ステップ 1 SCE(config)# プロンプトで、default snmp-server enable traps と入力し、 Enter キーを押します。

SCE プラットフォームがサポートしているすべての通知を、デフォルトの状態にリセットします。


 

パスワードの管理方法

「パスワードについて」

「パスワードの変更」

「パスワードの暗号化」

「パスワードの復旧」

パスワードについて

シスコの CLI パスワードは、アクセス レベルの許可設定であり、個人のユーザ パスワードではありません。その例として、すべての Admin ユーザが同じパスワードでログインします。これは、システムが個人としてではなく、特定の権限でユーザを特定することを意味します。

未認証のユーザが SCE プラットフォームにアクセスしないようにするために、すべての許可レベルでパスワードが必要になります。初期インストール時にデフォルトのパスワードを変更し、システムを保護する目的で定期的にパスワードを変更することを推奨します。


) すべてのレベルのデフォルト パスワードは、「Cisco」です。


Telnet ユーザがログオンすると、Password: プロンプトだけが表示され、ロゴは表示されません。これは、パスワードを知らないユーザにシステム ID を明かさないことにより、セキュリティを強化しています。

パスワードの注意事項は、次のとおりです。

パスワードの長さは、4~100 文字にする必要があります。

パスワードには、表示可能なすべてのキーボード文字を入力できます。

パスワードの先頭に文字を入力する必要があります。

パスワードにはスペースを加えることができません。

パスワードでは、大文字と小文字が区別されます。

Admin またはそれ以上の許可レベルを持つユーザは、 show running-config コマンドまたは show startup-config コマンドを使用して、設定されたパスワードを表示できます。したがって、パスワードを完全に極秘にする場合は、「パスワードの暗号化のイネーブル化の方法」に記述されているように、暗号化機能をアクティブにする必要があります。

パスワードの変更方法

パスワードを変更するには、 enable password コマンドを使用します。パスワードが変更されると、デフォルトのパスワードがそれ以降許可されなくなります。

オプション

次のオプションを使用できます。

level ― パスワードが定義される許可レベルの番号

許可レベルは、次のとおりです。

0: User

5: Viewer

10: Admin

15: Root

password ― 指定した許可レベルの新しいパスワード


ステップ 1 SCE(config)# プロンプトで、enable password level level password と入力し、 Enter キーを押します。

ネットワーク管理者は安全な場所でパスワードを記録する必要があります。


 

正常に変更されたパスワードの確認


ステップ 1 パスワードを設定するのに使用した Telnet 接続を維持しながら、新規の Telnet 接続を開始します。

これは確認が失敗したときに、Admin 許可レベルでパスワードを再入力するために重要です。

ステップ 2 SCE# プロンプトで、enable level と入力し、 Enter キーを押します。

パスワードを変更したレベルを指定します。

ステップ 3 プロンプトで、新規のパスワードを入力して、 Enter キーを押します。

新規のパスワードが正常に入力されると、該当するプロンプトが表示されます。

正しくないパスワードを入力すると、パスワードのプロンプトが再表示されます。

必要に応じてこれらの手順を繰り返し、他のパスワードを確認します。

暗号化機能は、プラットフォーム コンフィギュレーション ファイルのパスワードが暗号化します。


 

パスワードの暗号化について

暗号化機能がアクティブにされると、システムに入力されたパスワードは、コンフィギュレーション ファイルが次に保存されるときにスタートアップ コンフィギュレーション ファイルに暗号化されます。暗号化機能がオフにされると、前にスタートアップ コンフィギュレーション ファイルに暗号化されたパスワードが解読されなくなります。

デフォルトでは、パスワードの暗号化機能がディセーブルになっています。

パスワードの暗号化のイネーブル化の方法


ステップ 1 sce(config)# プロンプトで、service password encryption と入力し、 Enter キーを押します。


 

パスワードの暗号化のディセーブル化の方法


ステップ 1 sce(config)# プロンプトで、no service password encryption と入力し、 Enter キーを押します。

これは、コンフィギュレーション ファイルから暗号化を削除しません。パスワードを暗号化されていないままスタートアップ コンフィギュレーション ファイルに保存する場合は、スタートアップ コンフィギュレーション ファイルに保存する必要があります。


 

パスワードの復旧

SCE プラットフォームの enable パスワードを復旧させる必要がある場合、次の手順に従ってください。また、使用している SCOS のバージョンに応じて適切な手順を使用しているかも確認してください。

2.5.5 より前のバージョン

2.5.5 以降のバージョン

パスワードの復旧方法:2.5.5 より前の SCOS バージョン

パスワードを復旧する手順は、保存が必要なユーザ設定のパラメータがあるか否かに応じて変わります。

「パスワードの復旧方法:デフォルト設定に戻す場合」

「パスワードの復旧方法:現在の設定を保存する場合」

パスワードの復旧方法:デフォルト設定に戻す場合

実行している SCOS バージョンが 2.5.5 より前の SCE プラットフォームの場合、 config.txt ファイルを削除したあとリブートさせることでパスワードを簡単に復旧させることができます。


) この手順は、SCE プラットフォームの設定を工場出荷時の状態にリセットします。そのため、SCE プラットフォームの動作に影響を受けるトラフィックがないことを確認してからのみこの手順を実行してください。



) この手順は、SCE プラットフォームの設定を工場出荷時の状態にリセットします。そのため、現在のすべてのユーザ設定が削除されます。ユーザ設定を維持したままパスワードを復旧するには、「パスワードの復旧方法:現在の設定を保存する場合」の手順を使用してください。



ステップ 1 シリアル ターミナルを 9600 ボーで「AUX」ポートに接続します。

ステップ 2 Enter キーを押すと、プロンプトが表示されます。

SCE プラットフォームに接続します。

ステップ 3 rm "/tffs0/system/config.txt" と入力して、 Enter キーを押します。

未知のパスワードを含むコンフィギュレーション ファイルを削除します。

ステップ 4 reboot と入力して、 Enter キーを押します。

システムをリブートして、デフォルトのパスワードを含むデフォルト設定を復旧します。


) デフォルトのパスワードを使用して、禁止されているユーザが SCE プラットフォームへ接続することをブロックするために、パスワードが必要なすべてのレベルに新しいパスワードを即座に設定してください。また、以降から新しいパスワードを使用するために、設定を保存してください(copy running-config startup-config CLI コマンドを使用)。



 

パスワードの復旧方法:現在の設定を保存する場合

config.txt ファイルの削除はすばやく簡単に実行できますが、SCE プラットフォームの設定を工場出荷時の状態にリセットするため、現行のすべてのユーザ設定も変更してしまいます。この手順を使用するとコンフィギュレーション ファイルが保存されるため、現行の設定を失わずにパスワードを復旧できます。


) この手順は現在の設定を保存しますが、その内容には一時的に SCE プラットフォームの設定を工場出荷時にリセットする手順も含まれています。そのため、SCE プラットフォームの動作に影響を受けるトラフィックがないことを確認してからのみこの手順を実行してください。



ステップ 1 シリアル ターミナルを 9600 ボーで「AUX」ポートに接続します。

ステップ 2 Enter キーを押すと、プロンプトが表示されます。

SCE プラットフォームに接続します。

ステップ 3 cd system と入力して、 Enter キーを押します。

system ディレクトリに移行します。

ステップ 4 rename "config.txt" "config2.txt" と入力して、 Enter キーを押します。

コンフィギュレーション ファイルの名前を変更し、システムのリブート時に削除されないようにします。

ステップ 5 reboot と入力して、 Enter キーを押します。

システムをリブートしてパスワードをリセットします。デフォルトの設定が復旧します。すべてのパスワードは、 Cisco です。これでシステムにアクセスできるようになります。

(IP アドレスの設定は、最後に設定された内容のまま残ります)。

ステップ 6 SCE プラットフォームへの Telnet セッションを確立し、 admin 許可レベルをイネーブルにします。

デフォルトのパスワード(Cisco)を使用します。

ステップ 7 SCE# プロンプトで、copy /system/config2.txt ftp:// <user>:<ftp_password>@ip_address/<path> /config2.txt と入力し、 Enter キーを押します。

SCE プラッットフォームの FTP クライアントを使用して、 /system/config2.txt ファイルをワークステーションにコピーします。

ステップ 8 ワークステーションで、ファイルを開きます。 enable password で始まる行を探してください。

パスワードが暗号化されていない場合、そのパスワードを見ることができるため、そのままノートに書き写すことができます。

パスワードが暗号化されている場合、次の内容を実行します。

a. enable password で始まる行を削除して、ファイルを編集します。

b. ファイルを保存します。

c. SCE# プロンプトで、copy ftp:// <user>:<ftp_password>@ip_address/<path> /config2.txt /system/config2.txt と入力し、 Enter キーを押します。

SCE プラットフォームの FTP クライアントを使用して、ワークステーションのファイルを SCE プラットフォームのディスク スペースにコピーして戻します。

ステップ 9 SCE# プロンプトで、rename /system/config2.txt /system/config.txt と入力し、 Enter キーを押します。

SCE プラットフォームのコンフィギュレーション ファイルの名前を変更し、元の config.txt に戻します。

ステップ 10 SCE# プロンプトで、reload と入力し、 Enter キーを押します。

SCE プラットフォームをリブートし、保存したユーザ設定を復旧させます。

パスワードを暗号化していなかった場合、コンフィギュレーション ファイルは変更されていないため、コピーしたファイルで表示されていたユーザ設定のパスワードが復旧されます。

パスワードを暗号化していた場合、SCE プラットフォームにコピーを戻す前に、暗号化した行をコンフィギュレーション ファイルから削除したため、デフォルトのパスワード Cisco が適用されます。

デフォルトのパスワードを使用して、禁止されているユーザが SCE プラットフォームへ接続することをブロックするために、パスワードが必要なすべてのレベルに新しいパスワードを即座に設定してください。また、以降から新しいパスワードを使用するために、設定を保存してください( copy running-config startup-config CLI コマンドを使用)。


 

パスワードの復旧方法:2.5.5 以降の SCOS バージョン

SCOS バージョン 2.5.5 以降では、デフォルトのパスワードを復旧させるために特別なコマンドを使用できます。ただし、このデフォルトのパスワード設定は一時的なものであることに注意してください。セキュリティ上のため、また、システムをリブートすると未知のパスワードは復旧されないため、即座に新しいパスワードを設定して保存する必要があります。


) この手順はログイン パスワード以外の設定パラメータには影響しません。そのため、トラフィック制御中でも安心して実行できます。



ステップ 1 シリアル ターミナルを 9600 ボーで「AUX」ポートに接続します。

ステップ 2 Enter キーを押すと、プロンプトが表示されます。

SCE プラットフォームに接続します。

ステップ 3 プロンプトで、PSWD_ResetAll と入力し、 Enter キーを押します。

enable パスワードをリセットします。

次のメッセージが表示されます。

All 'enable' passwords have been reset.

これで、SCOS はすべてのレベルでデフォルトのパスワードを使用します。この状態は一時的なもので、リブート後は保存されないことに注意してください。パスワードを変更せずに、または保存せずに SCE プラットフォームをリブートすると、不明だったパスワードが復旧されます。

デフォルトのパスワードを使用して、禁止されているユーザが SCE プラットフォームへ接続することをブロックするために、パスワードが必要なすべてのレベルに新しいパスワードを即座に設定してください。また、以降から新しいパスワードを使用するために、設定を保存してください( copy running-config startup-config CLI コマンドを使用)。


 

IP の設定

「IP ルーティング テーブルの設定方法」

「IP アドバタイジング」

「管理インターフェイスの IP アドレスの設定方法」

IP ルーティング テーブルについて

SCE プラットフォームは、帯域外 MNG ポートの IP パケットを処理するために、スタティック ルーティング テーブルを保持しています。パケットが送信されると、システムは、ルーティング テーブルで正しいルーティングを調べ、それに従ってパケットを転送します。パケットのルートを判別できない場合、SCE プラットフォームはデフォルト ゲートウェイにパケットを送信します。

SCE プラットフォームは、デフォルトのネクスト ホップ ルータとしてデフォルト ゲートウェイの設定をサポートしています。また、異なるサブネットに対して異なるネクスト ホップ ルータを提供するために、ルーティング テーブルの設定をサポートしています(最大設定数は、10 サブネット)。

次のセクションでは、CLI コマンドを使用して、各種のパラメータを設定する方法を示します。

IP ルーティング テーブルに関連するコマンドは、次のとおりです。

ip default-gateway

ip route prefix mask next-hop

no ip route all

no ip route prefix mask

show ip route

show ip route prefix

show ip route prefix mask

デフォルト ゲートウェイの設定方法

「オプション」

「デフォルトのゲートウェイの設定:例」

オプション

次のオプションを使用できます。

ip-address ― デフォルト ゲートウェイの IP アドレス


ステップ 1 SCE(config)# プロンプトで、ip default-gateway ip-address と入力し、 Enter キーを押します。

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。


 

デフォルトのゲートウェイの設定:例

次に、SCE プラットフォームのデフォルト ゲートウェイの IP を 10.1.1.1 に設定する例を示します。

SCE(config)#ip default-gateway 10.1.1.1

IP ルーティング テーブルへのエントリの追加方法

「オプション」

「IP ルーティング テーブルへのエントリの追加方法:例」

オプション

次のオプションを使用できます。

prefix ― ルーティング エントリの IP アドレス(ドット表記)

mask ― 関連するサブネット マスク(ドット表記)

next-hop ― ルート内のネクスト ホップの IP アドレス(ドット表記)

MNG インターフェイス サブネット内である必要があります。


ステップ 1 SCE(config)# プロンプトで、ip route prefix mask next-hop と入力し、 Enter キーを押します。

指定した IP ルーティング エントリをルーティング テーブルに追加します。


 

IP ルーティング テーブルへのエントリの追加方法:例

次に、ルータ 10.1.1.250 をサブネット 10.2.0.0 へのネクスト ホップとして設定する例を示します。

SCE(config)#ip route 10.2.0.0 255.255.0.0 10.1.1.250

IP ルーティング テーブルの表示方法

「IP ルーティング テーブル全体の表示方法」

「指定したサブネットの IP ルーティング テーブルの表示方法」

IP ルーティング テーブル全体の表示方法


ステップ 1 SCE# プロンプトで、show ip route と入力し、 Enter キーを押します。

ルーティング テーブルの全体とデフォルト ゲートウェイの宛先を表示します。


 

IP ルーティング テーブル全体の表示:例

次に、ルーティング テーブルを表示する例を示します。

SCE#show ip route
gateway of last resort is 10.1.1.1
| prefix | mask | next hop |
|-----------------|------------------|-----------------|
| 10.2.0.0 | 255.255.0.0 | 10.1.1.250 |
| 10.3.0.0 | 255.255.0.0 | 10.1.1.253 |
| 198.0.0.0 | 255.0.0.0 | 10.1.1.251 |
| 10.1.60.0 | 255.255.255.0 | 10.1.1.5 |

指定したサブネットの IP ルーティング テーブルの表示方法

「オプション」

「指定したサブネットの IP ルーティング テーブルの表示:例」

オプション

次のオプションを使用できます。

prefix ― ルーティング エントリの IP アドレス(ドット表記)

mask ― 関連するサブネット マスク(ドット表記)


ステップ 1 SCE# プロンプトで、show ip route prefix mask と入力し、 Enter キーを押します。

指定したサブネット(プレフィクス/マスク)のルーティング テーブルを表示します。


 

指定したサブネットの IP ルーティング テーブルの表示:例

次に、指定したサブネットのルーティング テーブルを表示する例を示します。

SCE#show ip route 10.1.60.0 255.255.255.0
| prefix | mask | next hop |
|-----------------|-----------------|-----------------|
| 10.1.60.0 | 255.255.255.0 | 10.1.1.5 |
sce#

IP アドバタイジングについて

IP アドバタイジングは、設定された間隔で、設定されたアドレスに ping 要求を定期的に送信する動作です。これは、長期間にわたる非アクティブの状態においても、スイッチなどのアダプティブ ネットワーク要素のメモリ内で SCE プラットフォームの IP/MAC アドレスを維持します。

IP アドバタイジングに関連するコマンドは、次のとおりです。

[no] ip advertising

ip advertising destination

ip advertising interval

default ip advertising destination

default ip advertising interval

show ip advertising

show ip advertising destination

show ip advertising interval

IP アドバタイジングの設定方法

IP アドバタイジングを設定するには、まず IP アドバタイジングをイネーブルにする必要があります。次に、ping 要求が送信される宛先アドレスや ping 要求の頻度(間隔)を指定できます。宛先または間隔を明示的に設定しない場合は、デフォルト値であるとみなされます。

オプション

IP アドバタイジング コマンドで、次のオプションを使用できます。

interval ― ping 間の間隔(秒単位)

デフォルトの間隔 = 300 秒

destination ― ping 要求の宛先の IP アドレス

デフォルトの宛先 = 127.0.0.1

IP アドバタイジングのイネーブル化の方法


ステップ 1 SCE(config)# プロンプトで、ip advertising と入力し、 Enter キーを押します。

IP アドバタイジングをイネーブルにします。


 

IP アドバタイジングの宛先の設定方法


ステップ 1 SCE(config)# プロンプトで、ip advertising destination destination と入力し、 Enter キーを押します。

IP アドバタイジング ping の宛先を設定します。


 

IP アドバタイジング間隔の設定方法


ステップ 1 SCE(config)# プロンプトで、ip advertising interval interval と入力し、 Enter キーを押します。

IP アドバタイジング ping の頻度を設定します。


 

IP アドバタイジングの設定:例

次に、10.1.1.1 の宛先と 240 秒の間隔を指定して、IP アドバタイジングを設定する例を示します。

SCE(config)#ip advertising destination 10.1.1.1 interval 240

現在の IP アドバタイジング設定の表示方法


ステップ 1 SCE# プロンプトで、show ip advertising と入力し、 Enter キーを押します。

IP アドバタイジングのステータス(イネーブルまたはディセーブル)、設定された宛先、および設定された間隔を表示します。


 

管理インターフェイスの IP アドレスについて

ユーザは、管理インターフェイスの IP アドレスを定義する必要があります。両方の管理ポートが接続されて冗長管理ポートが提供されている場合、この IP アドレスは、アクティブになっているポートに関わらず、現在のアクティブ管理ポートに対して常に仮想 IP アドレスとして機能します。


) Telnet 経由で管理インターフェイスの IP アドレスを変更すると、Telnet 接続の損失が生じ、インターネットに再接続できなくなります。



) IP アドレスの変更後、SCE プラットフォームのすべての内部コンポーネントと外部コンポーネントに変更内容が正常に反映されるように、SCE プラットフォームをリロードする必要があります( SCE プラットフォームのリブートおよびシャットダウン方法を参照)。


オプション

次のオプションを使用できます。

ip-address ― 管理インターフェイスの IP アドレス。両方の管理ポートが接続されてバックアップ管理リンクが使用できる場合、この IP アドレスは、現在アクティブになっている物理ポートに関わらず、現在のアクティブ管理ポートに対して仮想 IP アドレスとして機能します。

subnet mask ― 管理インターフェイスのサブネット マスク。


ステップ 1 ローカル コンソールに SCE プラットフォームを直接接続します。

設定した IP アドレスに左右されない SCE プラットフォームとの接続を確立します。

ステップ 2 SCE(config if)# プロンプトで、ip address ip-address subnet-mask と入力し、 Enter キーを押します。

管理インターフェイスの新規の IP アドレスを設定します。

新規の IP アドレスとサブネット マスクに定義された新規のサブネットに含まれないルーティング テーブルのエントリがあると、このコマンドが失敗する可能性があります。


 

管理インターフェイスの IP アドレスの設定:例

次に、SCE プラットフォームの IP アドレスを 10.1.1.1 に設定し、サブネット マスクを 255.255.0.0 に設定する例を示します。

SCE(config if)#ip address 10.1.1.1 255.255.0.0

タイム クロックおよびタイム ゾーンの設定方法

「タイム クロックおよびタイム ゾーンについて」

「システム時間の表示方法」

「カレンダー時間の表示方法」

「システム クロックの設定方法」

「カレンダーの設定方法」

「タイム ゾーンの設定方法」

「現在のタイム ゾーン設定を削除する方法」

「サマータイムの設定方法」

タイム クロックおよびタイム ゾーンについて

SCE プラットフォームには、設定可能な 3 つのタイプ(クロック、カレンダー、およびタイム ゾーン)の時間設定があります。クロックおよびカレンダーをローカル時間に同期化させ、タイム ゾーンを正確に設定することが重要です。SCE プラットフォームは、サマータイムを自動追跡しないので、時間が半年ごとに変わるたびに、タイム ゾーンを更新する必要があります。

SCE プラットフォームには、2 つのタイム ソースがあります。

カレンダーと呼ばれるリアルタイム クロック。SCE プラットフォームが起動していないときでも継続して時間を追跡します。SCE プラットフォームがリブートされると、システム クロックを設定するためにカレンダー時間が使用されます。カレンダーは、システム動作時の時間の追跡には使用されません。

システム クロック。通常の動作時に、すべてのタイム スタンプを作成します。システムがシャットダウンされると、このクロックは消去されます。システム起動時に、クロックが初期化され、カレンダーが示す時間を表示します。

クロックとカレンダーの読み取りコマンドを使用して、確実に両者を同期化すれば、どちらのクロックを先に設定するかどうかは、問題になりません。

タイム ゾーンの設定は、システムと他のタイム ゾーンによる他のシステムとの正常な通信を可能にするため、重要です。システムは、Coordinated Universal Time(UTC; 世界標準時)に基づいて設定されています。UTC は、他のメーカーのハードウェアとソフトウェアとの連携に使用される業界標準です。たとえば、太平洋標準時間は PST-10 のように記述されます。これは、タイム ゾーンの名前が PST で、UTC から 10 時間遅れていることを意味します。

時間の設定と表示を行う場合、常に設定されたローカル タイム ゾーンに従って、時間が入力されたり、表示されたりします。

システム時間の表示方法


ステップ 1 SCE(config)# プロンプトで、show clock と入力し、 Enter キーを押します。


 

システム時間の表示:例

次の例は、現在のシステム クロックを表示します。

SCE#show clock
12:50:03 UTC MON November 13 2001
sce#

カレンダー時間の表示方法


ステップ 1 SCE(config)# プロンプトで、show calendar と入力し、 Enter キーを押します。


 

カレンダー時間の表示:例

次の例は、現在のシステム カレンダーを表示します。

SCE#show calendar
12:50:03 UTC MON May 11 2007
sce#

システム クロックの設定方法

「オプション」

「システム クロックの設定:例」

オプション

次のオプションを使用できます。

time-date ― 設定する日時。次の形式で設定します。

hh:mm:ss day month year


ステップ 1 SCE# プロンプトで、clock set time-date と入力し、 Enter キーを押します。

指定した日時にシステム クロックを設定します。


 

システム クロックの設定:例

次に、2007 年 5 月 13 日午前 10 時 20 分にクロックを設定し、カレンダーを更新してから、時間を表示する例を示します。

SCE#clock set 10:20:00 13 may 2007
SCE#clock update-calendar
SCE#show clock
10:21:10 UTC THU May 13 2007

カレンダーの設定方法

カレンダーは、システムのシャットダウン後も機能するシステム クロックです。

「オプション」

「カレンダーの設定:例」

オプション

次のオプションを使用できます。

time-date ― 設定する日時。次の形式で設定します。

hh:mm:ss day month year


ステップ 1 SCE# プロンプトで、calendar set time-date と入力し、 Enter キーを押します。

指定した日時にシステム カレンダーを設定します。

このコマンドで指定した時間は、設定されたタイム ゾーンとの関係によって決まります。

ステップ 2 SCE# プロンプトで、clock read-calendar と入力し、 Enter キーを押します。

設定したカレンダー時間にシステム クロックを同期させます。


 

カレンダーの設定:例

次に、カレンダーを 2007 年 5 月 13 日の午前 10 時 20 分に設定する例を示します。その後、クロックがカレンダー設定に同期されます。

SCE#calendar set 10:20:00 13 may 20017
SCE#clock read-calendar
SCE#show calendar
10:21:06 UTC THU May 13 2007

タイム ゾーンの設定方法

「オプション」

「タイム ゾーンの設定:例」

オプション

次のオプションを使用できます。

zone ― 表示するタイム ゾーンの名前

デフォルト = GMT

hours ― UTC からのオフセットの時間数。-23 ~ 23 の整数範囲にする必要があります。

デフォルト=0

minutes ― UTC からのオフセットの分数。0 ~ 59 の整数範囲にする必要があります。オフセットが時間だけで測定されない場合にさらにオフセットを分数で指定するには、このパラメータを使用します。

デフォルト=0


ステップ 1 SCE(config)# プロンプトで、clock timezone zone hours minutes と入力し、 Enter キーを押します。

指定したタイムゾーン名と設定したオフセット(時間と分数)で、タイムゾーンを設定します。


 

タイム ゾーンの設定:例

次に、UTC より 10 時間遅れたオフセットによる太平洋標準時間にタイム ゾーンを設定する例を示します。

SCE(config)#clock timezone PST -10
SCE(config)#

現在のタイム ゾーン設定を削除する方法


ステップ 1 SCE(config)# プロンプトで、no clock timezone と入力し、 Enter キーを押します。

タイムゾーンの設定を削除し、タイムゾーンをデフォルトの値(UTC)にリセットします。


 

サマータイムの設定方法

指定された日付に、SCE プラットフォームが自動的にサマータイムに切り替わり、標準時間に戻るように設定できます。さらに、サマータイムが多様な場合は、必要に応じて、タイム ゾーン コードを設定できます(たとえば、米国東部では、標準時間が EST に指定され、サマータイムが EDT に指定されます)。

「オプション」

「注意事項」

「繰り返されるサマータイムの遷移を定義する方法」

「繰り返されないサマータイムの遷移を定義する方法」

「サマータイムの設定のキャンセル方法」

「現在のサマータイムの設定の表示方法」

オプション

特定の場所でサマータイムの開始日と終了日をどのように決めているかに応じて、サマータイムへの遷移時間、またはサマータイムからの遷移時間を 2 つの方法のいずれかに設定できます。

繰り返し ― サマータイムが毎年、同じ日に開始し、終了する場合(例:米国)、 clock summer-time recurring コマンドを使用します。サマータイムの開始日と終了日を 1 回で設定でき、システムが毎年、切り替えを自動的に実行します。

繰り返しなし ― サマータイムの開始と終了が毎年異なる場合(例:イスラエル)、 clock summer-time コマンドを使用します。この場合、その年に特有の遷移を毎年設定する必要があります(「年度」は、必ずカレンダー通りの年度になるわけではありません。遷移日が秋に決められた場合は、その年の秋と来春の遷移を設定できます)。

さまざまな方法で、遷移日を定義できます。

具体的な日付 ― たとえば、2004 年 3 月 29 日。年度も含まれる具体的な日付は、繰り返しなしの設定に定義します。

特定の月の最初の曜日/最後の曜日 ― たとえば、3 月の最終日曜日。これは、繰り返しの設定に使用します。

特定の月の特定の週の曜日 ― たとえば、3 月の第 4 日曜日(これは、月に 5 回、日曜日がある場合の最終日曜日とは異なります)。これは、繰り返しの設定に使用します。

次のオプションを使用できます。

zone ― サマータイムのタイム ゾーン コード

week (繰り返しの場合のみ) ― サマータイムが開始し(week1)、終了する(week2)月の週

day (繰り返しの場合のみ) ― サマータイムが開始し(day1)、終了する(day2)週の曜日

date (繰り返しなしの場合のみ) ― サマータイムが開始し(date1)、終了する(date2)月の日付

month ― 開始し(month1)、終了する(month2)サマータイムの月

year (繰り返しなしの場合のみ) ― 開始し(year1)、終了する(year2)サマータイムの年

offset ― 標準時間とサマータイムの誤差(分単位)

デフォルト値は 60 分です。

注意事項

サマータイムの遷移を設定する際の一般的な注意事項は、次のとおりです。

サマータイムにタイム ゾーン コードを指定します。

繰り返し ― 月の中から 1 日(週の番号|最初|最後/曜日/月)を指定します。

繰り返しなし ― 具体的な日付(月/日/年)を指定します。

2 つの日付を定義します。

Day1 = サマータイムの開始日

Day2 = サマータイムの終了日

南半球では、サマータイムが秋に始まり、春に終わるので、month1 の前に month2 が来る必要があります。

遷移が行われる正確な時間(24 時間のクロック)を指定します。

サマータイムへの遷移時間 ― ローカル標準時間に従います。

サマータイムからの遷移時間 ― ローカル サマータイムに従います。

clock summer-time recurring コマンドでは、デフォルト値が米国の遷移規則になります。

サマータイムの開始 ― 3 月の第 2 日曜日の午前 2 時

サマータイムの終了 ― 11 月の第 1 日曜日の午前 2 時

繰り返されるサマータイムの遷移を定義する方法


ステップ 1 SCE(config)# プロンプトで、clock summer-time zone recurring [week1 day1 month1 time1 week2 day2 month2 time2 [ offset ]] と入力し、 Enter キーを押します。

毎年指定した日に開始および終了するサマータイムを設定します。


 

繰り返されるサマータイムの遷移の定義:例

次に、タイム ゾーンが次のように「DST」に指定された場合の繰り返しのサマータイムを設定する例を示します。

サマータイムの開始 ― 3 月の最終日曜日の 0:00

サマータイムの終了 ― 11 月の第 4 土曜日の 23:59

オフセットは、1 時間です(デフォルト)。

SCE(config)# clock summer-time DST recurring last Sunday March 00:00 4 Saturday November 23:59

繰り返されないサマータイムの遷移を定義する方法


ステップ 1 SCE(config)# プロンプトで、clock summer-time zone [ date1 month1 year1 time1 date2 month2 year2 time2 [ offset ]] と入力し、 Enter キーを押します。

特権 EXEC モードをイネーブルにします。


 

繰り返されないサマータイムの遷移の定義:例

次に、タイム ゾーンが次のように「DST」に指定された場合の繰り返しなしのサマータイムを設定する例を示します。

サマータイムの開始 ― 2004 年 4 月 16 日の 0:00

サマータイムの終了 ― 2004 年 10 月 23 日の 23:59

オフセットは、1 時間です(デフォルト)。

SCE(config)# clock summer-time DST April 16 2004 00:00 October 23 2004 23:59

サマータイムの設定のキャンセル方法


ステップ 1 SCE(config)# プロンプトで、no clock summer-time と入力し、 Enter キーを押します。

すべてのサマータイムの設定を削除します。


 

現在のサマータイムの設定の表示方法


ステップ 1 SCE# プロンプトで、show timezone と入力し、Enter キーを押します。

現在のタイム ゾーンとサマータイムの設定を表示します。


 

SNTP の設定方法

「SNTP について」

「SNTP マルチキャスト クライアントのイネーブル化の方法」

「SNTP マルチキャスト クライアントのディセーブル化の方法」

「SNTP ユニキャスト クライアントのイネーブル化の方法」

「SNTP ユニキャスト クライアントのディセーブル化の方法」

「SNTP ユニキャストの更新間隔の定義方法」

「SNTP 情報の表示方法」

SNTP について

Simple Network Timing Protocol(SNTP)は、各種のネットワーク要素のクロック同期化問題に対する簡単な解決法です。SNTP は、ネットワーク経由でタイム ソースへのアクセスを提供します。この外部ソースに従って、システム クロックとカレンダーが設定されます。

SNTP クライアントには、2 つのオプションがあります。これらの機能は独立しており、システムはどちらか一方または両方を使用します。

マルチキャスト SNTP クライアント ― SNTP ブロードキャストを待ち受け、これに従って、システム クロックを更新します。

ユニキャスト SNTP クライアント ― 設定された SNTP サーバに定期的な要求を送信し、このサーバの応答に従って、システム クロックを更新します。


) 未認証の SNTP または NTP マルチキャスト サーバからのアクセスを防ぐために、IP ACL を設定することを推奨します(ACL の設定方法を参照)。


SNTP の設定に関連するコマンドは、次のとおりです。

[no] sntp broadcast client

[no] sntp server address

no sntp server all

sntp update-interval

show sntp

SNTP マルチキャスト クライアントのイネーブル化の方法


ステップ 1 SCE(config)# プロンプトで、sntp broadcast client と入力し、 Enter キーを押します。

SNTP マルチキャスト クライアントをイネーブルにします。ブロードキャスト サーバからの時間の更新を受け入れます。


 

SNTP マルチキャスト クライアントのディセーブル化の方法


ステップ 1 SCE(config)# プロンプトで、no sntp broadcast client と入力し、 Enter キーを押します。

SNTP マルチキャスト クライアントをディセーブルにします。ブロードキャストの時間の更新を受け入れません。


 

SNTP ユニキャスト クライアントのイネーブル化の方法

「オプション」

「SNTP ユニキャスト クライアントのイネーブル化:例」

オプション

次のオプションを使用できます。

ip-address ― SNMP ユニキャスト サーバの IP アドレス


ステップ 1 SCE(config)# プロンプトで、sntp server ip-address と入力し、Enter キーを押します。

SNTP クライアントがサーバのクエリーを実行できるように、SNTP ユニキャスト サーバを定義します。


 

SNTP ユニキャスト クライアントのイネーブル化:例

次に、IP アドレスが 128.182.58.100 の SNTP サーバをイネーブルにする例を示します。

SCE(config)# sntp server 128.182.58.100

SNTP ユニキャスト クライアントをディセーブルにして、すべてのサーバを削除する方法


ステップ 1 SCE(config)# プロンプトで、no snmp server all と入力し、 Enter キーを押します。

すべての SNTP ユニキャスト サーバが削除され、ユニキャスト SNTP のクエリーを阻止します。


 

1 つの SNTP サーバの削除方法

オプション

次のオプションを使用できます。

ip-address ― SNMP ユニキャスト サーバの IP アドレス


ステップ 1 SCE(config)# プロンプトで、no sntp server ip-address と入力し、Enter キーを押します。

指定した SNTP ユニキャスト サーバを削除します。


 

SNTP ユニキャストの更新間隔の定義方法

「オプション」

「SNTP ユニキャストの更新間隔の定義:例」

オプション

次のオプションを使用できます。

interval ― 更新間の時間(秒単位)(64 ~ 1024)

デフォルトの間隔 = 900 秒


ステップ 1 SCE(config)# プロンプトで、sntp update-interval interval と入力し、 Enter キーを押します。

特権 EXEC モードをイネーブルにします。

SNTP ユニキャスト クライアントが、定義された間隔でサーバのクエリーを実行するように設定します。


 

SNTP ユニキャストの更新間隔の定義:例

次に、SNTP の更新間隔を 100 秒に設定する例を示します。

SCE(config)# sntp update-interval 100

SNTP 情報の表示方法


ステップ 1 SCE# プロンプトで、show sntp と入力し、 Enter キーを押します。

SNTP ユニキャスト クライアントと SNTP マルチキャスト クライアントの両方の設定を表示します。


 

SNTP 情報の表示:例

次に、このコマンドの使用方法を示します。

SCE# show sntp
SNTP broadcast client: disabled
last update time: not available
SNTP unicast client: enabled
SNTP unicast server: 128.182.58.100
last update time: Feb 10 2002, 14:06:41
update interval: 100 seconds

DNS 値の設定方法

「DNS について」

「DNS lookup の設定方法」

「ネーム サーバの設定方法」

「ホストをホスト テーブルに追加する方法」

「現在の DNS 設定の表示方法」

DNS について

ホスト名または IP アドレスを要求する CLI コマンドのパラメータとしてホスト名が与えられる場合、次の内容に従って、IP アドレスが名前に変換されます。

1. 名前がドット付き表記(x.x.x.x の形式)である場合、該当する IP アドレスに直接変換されます。

2. 名前にドット文字(.)が含まれない場合、システムは IP ホスト テーブルを調べます。テーブルに名前がある場合は、該当する IP アドレスにマッピングされます。 ip host コマンドを使用して、IP ホスト テーブルを設定できます。

3. 名前にドット(.)文字が含まれず、ドメイン名機能がイネーブルにされ( ip domain-lookup コマンドを参照)、デフォルトのドメイン名が指定されている場合( ip domain-name コマンドを参照)、デフォルトのドメイン名は、完全に記述したドメイン名を形成するために所定の名前に追加されます。これは、IP アドレスに名前を変換する Domain Name Server(DNS)クエリーの実行にも使用されます。

4. それ以外の場合は、ドメイン名機能がイネーブルにされると、名前が完全に記述されているものとしてみなされ、IP アドレスに名前を変換する DNS クエリーの実行に使用されます。

DNS の設定に関連するコマンドは、次のとおりです。

ip name-server

ip domain-name

no ip domain-name

ip domain-lookup

show hosts

DNS lookup のイネーブル化の方法


ステップ 1 SCE(config)# プロンプトで、ip domain-lookup と入力し、 Enter キーを押します。

DNS lookup をイネーブルにします。


 

DNS lookup のディセーブル化の方法


ステップ 1 SCE(config)# プロンプトで、no ip domain-lookup と入力し、 Enter キーを押します。


 

オプション

次のオプションを使用できます。

server-ip-address ― DNS の IP アドレス。1 つ以上の DNS サーバ(server-ip-address1、server-ip-address2、server-ip-address3)を定義できます。

DNS の定義方法

名前およびアドレス解決に 1 つ以上のネーム サーバのアドレスを指定するには、このコマンドを使用します。


ステップ 1 SCE(config)# プロンプトで、ip name-server server-address1 [server-address2 [server-address3]] と入力し、 Enter キーを押します。

指定したアドレスのサーバを DNS として定義します。


 

DNS の定義:例

次に、2 つのネーム サーバ(DNS)の IP アドレスを設定する例を示します。

SCE(config)#ip name-server 10.1.1.60 10.1.1.61

DNS の削除方法


ステップ 1 SCE(config)# プロンプトで、no ip name-server server-address1 [server-address2 [server-address3]] と入力し、 Enter キーを押します。

DNS リストから指定したサーバを削除します。


 

DNS の削除:例

次に、ネーム サーバ(DNS)の IP アドレスを削除する例を示します。

SCE(config)#no ip name-server 10.1.1.60 10.1.1.61

すべての DNS の削除方法


ステップ 1 SCE(config)# プロンプトで、no ip name-server と入力し、 Enter キーを押します。

設定したすべての DNS サーバを削除します。


 

ホストをホスト テーブルに追加する方法

「オプション」

「削除するホストのホスト テーブルへの追加:例」

オプション

次のオプションを使用できます。

hostname ― ホストの名前

ip-address ― ホストの IP アドレス


ステップ 1 SCE(config)# プロンプトで、ip host hostname ip-address と入力し、 Enter キーを押します。

指定したホストをホスト テーブルに追加します。


 

削除するホストのホスト テーブルへの追加:例

次に、ホスト テーブルにホストを追加する例を示します。

SCE(config)#ip host PC85 10.1.1.61

次に、すべての IP マッピングとホスト名を同時に削除する例を示します。

SCE(config)#no ip host PC85

現在の DNS 設定の表示方法


ステップ 1 SCE# プロンプトで、show hosts と入力し、 Enter キーを押します。

現在の DNS 設定値を表示します。


 

現在の DNS 設定値の表示:例

次に、現在の DNS 情報を表示する例を示します。

SCE#show hosts
Default domain is Cisco.com
Name/address lookup uses domain service
Name servers are 10.1.1.60, 10.1.1.61
Host Address
---- -------
PC85 10.1.1.61
sce#

管理ポートの物理パラメータの設定方法

このインターフェイスの伝送速度は 10 または 100 Mbps で、管理動作と RDR(トラフィック分析と管理動作の出力)の伝送用に使用されます。

このインターフェイスを設定する手順は、次のセクションで説明されています。

「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法」

「管理インターフェイスのモニタリング方法」

管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法

ここでは、管理インターフェイスの速度とデュプレックスを設定する手順の例を示しながら説明します。

これらのパラメータは両方とも、各ポートに個別に設定する必要があります。

「管理インターフェイスのデュプレックス動作の設定方法」

「管理インターフェイスの速度の設定方法」

管理インターフェイスのデュプレックス動作の設定方法

「オプション」

「管理インターフェイスのデュプレックス動作の設定:例」

オプション

次のオプションを使用できます。

duplex ― 現在選択した管理ポート(0/1 または 0/2)のデュプレックス動作

full

half

auto (デフォルト) ― 自動ネゴシエーション(リンクのデュプレックスは指定しません)

speed パラメータが auto に設定されている場合、 duplex パラメータの変更は効果がありません。


ステップ 1 SCE(config if)# プロンプトで、duplex auto|full|half と入力し、 Enter キーを押します。

現在選択している管理インターフェイスのデュプレックス動作が設定されます。


 

管理インターフェイスのデュプレックス動作の設定:例

次に、このコマンドを使用して、両方の管理ポートを半二重モードに設定する例を示します。

SCE#config
SCE(config)#interface mng 0/1
SCE(config if)#duplex half
SCE(config if)#exit
SCE(config)#interface mng 0/2
SCE(config if)#duplex half

管理インターフェイスの速度の設定方法

「オプション」

「管理インターフェイスの速度の設定:例」

オプション

次のオプションを使用できます。

speed ― 現在選択した管理ポート(0/1 または 0/2)の速度(Mbps)

10

100

auto (デフォルト) ― 自動ネゴシエーション(リンク速度は指定しません)

duplex パラメータが auto に設定されている場合、 speed パラメータの変更は効果がありません。


ステップ 1 SCE(config if)# プロンプトで、speed 10|100|auto と入力し、 Enter キーを押します。

現在選択している管理インターフェイスの速度が設定されます。


 

管理インターフェイスの速度の設定:例

次に、このコマンドを使用して、両方の管理ポートを半二重モードに設定する例を示します。

SCE#config
SCE(config)#interface mng 0/1
SCE(config if)#speed 100
SCE(config if)#exit
SCE(config)#interface mng 0/2
SCE(config if)#speed 100

管理インターフェイスのモニタリング方法

指定の管理インターフェイスの次の情報を表示するには、このコマンドを使用します。速度およびデュプレックス パラメータは選択したインターフェイス(ポート)に固有のものです。他のパラメータは両方のポートに適用されるため、片方のインターフェイスに 1 つのコマンドを入力することで表示できます。

速度

デュプレックス

IP アドレス

アクティブ ポート


ステップ 1 SCE# プロンプトで、show interface Mng {01 | 0/2} [auto-fail-over|duplex|ip address|speed] と入力し、Enter キーを押します。

指定した管理インターフェイスの設定を表示します。

オプションを指定しない場合、すべての管理インターフェイス情報が表示されます。

コマンドで指定された管理インターフェイスに対して、速度とデュプレックス モードが表示されます。