Cisco MDS 9000 ファミリー トラブルシューティング ガイド Release 3.x
FC-SP、ポート セキュリティ、および ファブリック バインディングのトラブ ルシューティング
FC-SP、ポート セキュリティ、およびファブリック バインディングのトラブルシューティング
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

FC-SP、ポート セキュリティ、およびファブリック バインディングのトラブルシューティング

FC-SP の概要

ポート セキュリティの概要

ファブリック バインディングの概要

ベスト プラクティス

FC-SP のベスト プラクティス

ポート セキュリティのベスト プラクティス

ファブリック バインディングのベスト プラクティス

ライセンスの要件

トラブルシューティングの初期チェックリスト

Fabric Manager の一般的なトラブルシューティング ツール

CLI の一般的なトラブルシューティング用コマンド

FC-SP の問題

スイッチまたはホストがファブリックからブロックされる

FC-SP 設定の Fabric Manager による確認

FC-SP 設定の CLI による確認

ローカル FC-SP データベースの Fabric Manager による確認

ローカル FC-SP データベースの CLI による確認

Cisco ACS の使用中に認証が失敗する

ポート セキュリティの問題

autolearn がディセーブルにされるとデバイスがスイッチにログインできない

autolearn がイネーブルにされるとデバイスがスイッチにログインできない

アクティブ ポート セキュリティ データベースの Fabric Manager による確認

アクティブ ポート セキュリティ データベースの CLI による確認

ポート セキュリティ違反の Fabric Manager による確認

ポート セキュリティ違反の CLI による確認

ポート セキュリティを有効にできない

不正なデバイスがファブリックにアクセスする

Fabric Manager による autolearn のディセーブル化

CLI による autolearn のディセーブル化

リブート後にポート セキュリティの設定が消失する

マージが失敗する

Fabric Manager 使用して autolearn でポート セキュリティを設定

CLI 使用して autolearn でポート セキュリティを設定

ファブリック バインディングの問題

スイッチがファブリックに接続できない

ファブリック バインディング違反の Fabric Manager による確認

ファブリック バインディング違反の CLI による確認

ファブリック バインディングを有効にできない

ファブリック バインディングのコンフィギュレーション データベースの Fabric Manager による確認

ファブリック バインディングのコンフィギュレーション データベースの CLI による確認

不正なスイッチがファブリックにアクセスする

リブート後にファブリック バインディングの設定が消失する

ファブリック バインディングの Fabric Manager による設定

ファブリック バインディングの CLI による設定

FC-SP、ポート セキュリティ、およびファブリック バインディングのトラブルシューティング

この章では、Cisco MDS 9000 ファミリ製品で Fibre Channel Security Protocol(FC-SP; ファイバ チャネル セキュリティ プロトコル)、ポート セキュリティ、およびファブリック バインディングのトラブルシューティングを行う手順について説明します。この章で説明する内容は、次のとおりです。

「FC-SP の概要」

「ポート セキュリティの概要」

「ファブリック バインディングの概要」

「ベスト プラクティス」

「ライセンスの要件」

「トラブルシューティングの初期チェックリスト」

「FC-SP の問題」

「ポート セキュリティの問題」

「ファブリック バインディングの問題」

FC-SP の概要

FC-SP 機能では、スイッチ間およびホストとスイッチ間で認証を実行して、企業全体のファブリックに関するセキュリティ問題を解決します。Diffie-Hellman(DH)Challenge Handshake Authentication Protocol(DHCHAP)は、Cisco MDS 9000 ファミリ スイッチとその他のデバイス間で認証を行う FC-SP プロトコルです。FC-SP は、ローカルでの認証、またはリモート AAA サーバを使用した認証を行うように設定できます。

ポート セキュリティの概要

通常、SAN 内のすべてのファイバ チャネル デバイスを任意の SAN スイッチ ポートに接続して、ゾーン メンバシップに基づいて SAN サービスにアクセスできます。ポート セキュリティ機能は、Cisco MDS 9000 ファミリ スイッチのポートへの不正アクセスを防止します。

不正なファイバ チャネル デバイス(Nx ポート)およびスイッチ(xE ポート)からのログイン要求は拒否されます。

侵入に関するすべての試みは、システム メッセージを通して SAN 管理者に報告されます。

ファブリック バインディングの概要

ファブリック バインディング機能を使用すると、ISL はファブリック バインディング設定で指定されたスイッチ間でのみイネーブルになります。ファブリック バインディングは VSAN 単位で設定します。

この機能を使用すると、不正なスイッチがファブリックに参加したり、現在のファブリック処理が中断されることがなくなります。Exchange Fabric Membership Data(EFMD)プロトコルが使用されて、許可スイッチ リストがファブリック内のすべてのスイッチで同一になります。

ドメイン ID は、FICON ベースのファブリック バインディングでは必須ですが、非 FICON ベースのファブリック バインディングでは省略可能です。非 FICON ベースのファブリック バインディングではドメイン ID を指定しないので、WWN が一致するスイッチはドメイン ID に関係なくログインができます。

ベスト プラクティス

ここでは、Cisco SAN-OS 製品の FC-SP、ポート セキュリティ、およびファブリック バインディングを実装する際のベスト プラクティスについて説明します。

FC-SP のベスト プラクティス

FC-SP に関しては、次のベスト プラクティスを使用してください。

ファブリック内にあるすべてのスイッチで、同じ DHCHAP ハッシュ アルゴリズムを設定してください。

ファブリック内にあるすべてのスイッチに同じ DHCHAP グループを設定してください。

ファブリックが 5 台以上のスイッチで構成されている場合は RADIUS または TACACS+ 認証を使用し、または Fabric Manager で FC-SP のローカル パスワード データベースを管理および配布してください。

FC-SP 認証に RADIUS または TACACS+ を使用する場合は、SHA1 ハッシュ アルゴリズムは使用しないでください。

クリア テキストのパスワードの使用は避けてください。

ファブリック内にあるすべてのスイッチの DHCHAP タイムアウト値を同じ値に設定してください。

リモート AAA サーバで認証を行っている場合は、DHCHAP タイムアウト値を設定するときに、AAA サーバのタイムアウト値について考慮してください。

ポート セキュリティのベスト プラクティス

ポート セキュリティに関しては、次のベスト プラクティスを使用してください。

ポート セキュリティを初めて有効にする際は、複雑な手動設定を避けるために autolearn(自動学習)をイネーブルにしてください。学習の完了後に、autolearn をディセーブルにし、アクティブ データベースをコンフィギュレーション データベースにコピーしてください。

CFS を使用して、ファブリック内にあるすべてのスイッチにポート セキュリティ データベースを配布してください。autolearn またはアクティベーション変更を行うごとに、CSF コミットを発行してください。

ファブリック内のすべてのスイッチで、ポート セキュリティをイネーブルにします。

ファブリック バインディングのベスト プラクティス

ファブリック バインディングに関しては、次のベスト プラクティスを使用してください。

すべての新しいスイッチに対してファブリック バインディング データベースを常に最新の状態に維持し、再起動時に ISL が隔離されるのを防止してください。

アクティベーションが完了したあとは、すべてのスイッチ上のコンフィギュレーション データベースにアクティブ データベースをコピーし、続いてすべてのスイッチ上のスタートアップ コンフィギュレーションに実行コンフィギュレーションをコピーしてください。

ライセンスの要件

表19-1 に、この章で説明されている各機能のライセンスの要件を示します。

 

表19-1 ライセンスの要件

機能
ライセンスの要件

FC-SP

各スイッチに ENTERPRISE_PKG

ポート セキュリティ

各スイッチに ENTERPRISE_PKG

ファブリック バインディング

各スイッチに ENTERPRISE_PKG または MAINFRAME_ PKG

トラブルシューティングの初期チェックリスト

FC-SP に関する問題のトラブルシューティングを開始するときは、次の事項について確認します。

 

チェックリスト
確認済み

ファブリック内のすべてのスイッチに ENTERPRISE_PKG ライセンスがインストールされていることを確認します。

 

FC-SP 対応の HBA が装着されていることを確認します。

 

RADIUS または TACACS+ サーバで認証を行っている場合は、ハッシュ アルゴリズムとして MD5 を設定していることを確認します。RADIUS および TACACS+ プロトコルでは、CHAP 認証に必ず MD5 を使用します。ハッシュ アルゴリズムとして SHA-1 を使用すると、これらの AAA プロトコルが DHCHAP 認証に対してイネーブルに設定されていても、RADIUS および TACACS+ を使用できないことがあります。

 

AAA サーバが正常に機能していることを確認します。

 

ポート セキュリティに関する問題のトラブルシューティングを開始するときは、次の事項について確認します。

 

チェックリスト
確認済み

すべてのスイッチに ENTERPRISE_PKG ライセンスがインストールされていることを確認します。

 

ポート セキュリティ機能が有効になっていること、およびポート セキュリティのアクティブ データベースにエンド デバイスが存在していることを確認します。

 

未認証のデバイス(ホストまたはスイッチ)がポートに接続されていないことを確認します(1 つの未認証 pWWN があると、ポートがアクティブにならず、そのポートの他のデバイスがブロックされます)。

 

ファブリック バインディングに関する問題のトラブルシューティングを開始するときは、次の事項について確認します。

 

チェックリスト
確認済み

すべてのスイッチに ENTERPRISE_PKG または MAINFRAME_PKG ライセンスがインストールされていることを確認します。

 

有効なファブリック バインディングがあることを確認します。

 

ファブリック内のすべてのスイッチで、ファブリック バインディング データベースが同じ設定になっていることを確認します。

 

Fabric Manager の一般的なトラブルシューティング ツール

FC-SP に関する問題のトラブルシューティングを Fabric Manager を使用して行う手順は、次のとおりです。

Switches > Security > FC-SP を選択

ポート セキュリティに関する問題のトラブルシューティングを Fabric Manager を使用して行う手順は、次のとおりです。

Fabricxx > VSANxx > Port Security を選択

ファブリック バインディングに関する問題のトラブルシューティングを Fabric Manager を使用して行う手順は、次のとおりです。

Fabricxx > VSANxx > Fabric Binding を選択

CLI の一般的なトラブルシューティング用コマンド

FC-SP に関する問題のトラブルシューティングでは、次の CLI コマンドを使用します。

show fcsp interface

show fcsp internal event-history errors

show fcsp dhchap

show fcsp dhchap database

ポート セキュリティに関する問題のトラブルシューティングでは、次の CLI コマンドを使用します。

show port-security status

show port-security database vsan

show port-security database active vsan

show port-security violations

show port-security internal global

show port-security internal info vsan

show port-security internal state-history vsan

show port-security internal commit-history vsan

show port-security internal merge-history vsan

ファブリック バインディングに関する問題のトラブルシューティングでは、次の CLI コマンドを使用します。

show fabric-binding status

show fabric-binding database vsan

show fabric-binding database active vsan

show fabric-binding violations

show fabric-binding internal global

show fabric-binding internal info

show fabric-binding internal event-history

show fabric-binding internal efmd event-history

FC-SP の問題

ここでは、FC-SP の問題について説明します。内容は、次のとおりです。

「スイッチまたはホストがファブリックからブロックされる」

スイッチまたはホストがファブリックからブロックされる

現象 スイッチまたはホストがファブリックからブロックされる。

 

表19-2 スイッチまたはホストがファブリックからブロックされる

現象
考えられる原因
解決方法

スイッチまたはホストがファブリックからブロックされる。

FC-SP がすべてのスイッチでイネーブルになっていない。

Fabric Manager で Switches > Security > FC-SP を選択し、command フィールドを enable に設定します。続いて Apply Changes をクリックし、FC-SP をイネーブルにします。

または、ファブリック内のすべてのスイッチで、fcsp enable CLI コマンドを実行します。

ローカル スイッチの FC-SP パスワードが、リモート パスワードと一致していない。

Fabric Manager で Switches > Security > FC-SP を選択し、続いて General/Password タブを選択して GenericPassword フィールドを設定します。

または、fcsp dhchap password CLI コマンドを使用して、ローカル スイッチのパスワードを設定します。

FC-SP の DHCHAP 設定が、リモートのスイッチまたはホストと一致していない。

詳細については、「FC-SP 設定の Fabric Manager による確認」および「FC-SP 設定の CLI による確認」を参照してください。

スイッチまたはホストが、認証データベースに存在しない。

スイッチやホストを、ローカルまたはリモートの FC-SP データベースに追加します。詳細については、「ローカル FC-SP データベースの Fabric Manager による確認」および「ローカル FC-SP データベースの CLI による確認」を参照してください。

ホストまたはスイッチが FC-SP に対応していない。

ホストやスイッチをアップグレードするか、または auto-active や auto-passive の DHCHAP モードを使用します。

Fabric Manager で Switches > Interfaces > FC logical を選択して FC-SP タブを選択し、Mode フィールドを autoActive または autoPassive に設定して Apply Changes をクリックします。

または、インターフェイス モードで fcsp auto-active CLI コマンドまたは fcsp auto-passive CLI コマンドを使用して、DHCHAP モードを設定します。

FC-SP 設定の Fabric Manager による確認

Fabric Manager を使用して FC-SP 設定を確認する手順は、次のとおりです。


ステップ 1 Switches > Security > FC-SP を選択し、続いて General/Password タブを選択して設定済みの DHCHAP タイムアウト値を表示します。

ステップ 2 Timeout フィールドを設定して、タイムアウト値を変更します。

ステップ 3 DH-CHAP HashList フィールドを設定して、DHCHAP ハッシュ アルゴリズムを変更します。

ステップ 4 DH-CHAP GroupList フィールドを設定して、DHCHAP グループの設定を変更します。


 

FC-SP 設定の CLI による確認

CLI を使用して FC-SP 設定を確認する手順は、次のとおりです。


ステップ 1 show fcsp コマンドを使用して、設定済みの DHCHAP タイムアウト値を表示します。

switch# show fcsp
fc-sp authentication TOV:30
 

ステップ 2 fcsp timeout コマンドを使用して、タイムアウト値を変更します。

switch(config)# fcsp timeout 60
 

ステップ 3 show fcsp dhchap コマンドを使用して、ハッシュ アルゴリズムおよびグループを表示します。

switch# show fcsp dhchap
Supported Hash algorithms (in order of preference):
DHCHAP_HASH_MD5
DHCHAP_HASH_SHA_1
 
Supported Diffie Hellman group ids (in order of preference):
DHCHAP_GROUP_1536
 

ステップ 4 fcsp dhchap hash コマンドを使用して、DHCHAP ハッシュ アルゴリズムを変更します。

switch(config)# fcsp dhchap hash MD5
 

ステップ 5 fcsp dhchap group コマンドを使用して、DHCHAP グループの設定を変更します。

switch(config)# fcsp dhchap group 2 3 4
 


 

ローカル FC-SP データベースの Fabric Manager による確認

Fabric Manager を使用してローカル FC-SP データベースを確認する手順は、次のとおりです。


ステップ 1 Switches > Security > FC-SP を選択し、続いて Local Passwords タブおよび Remote Password タブを選択して設定済みのスイッチとホストを表示します。

ステップ 2 Switches > FC Services > WWN Manager を選択して、スイッチの sWWN を特定します。

ステップ 3 Switches > Interfaces > FC Logical を選択し、続いて FLOGI タブを選択して FC-SP ローカル データベースに追加するホストの pWWN を特定します。

ステップ 4 Switches > Security > FC-SP を選択し、続いて Local Passwords タブを選択します。さらに、 Create Row をクリックして、ホストまたはスイッチをローカル データベースに追加します。

ステップ 5 WWN フィールドおよび password フィールドへの入力を行い、Create をクリックします。


 

ローカル FC-SP データベースの CLI による確認

CLI を使用してローカル FC-SP データベースを確認する手順は、次のとおりです。


ステップ 1 show fcsp dhchap database コマンドを使用して、設定済みのスイッチおよびホストを表示します。

switch# show fcsp dhchap database
DHCHAP Local Password:
Non-device specific password:********
Password for device with WWN:29:11:bb:cc:dd:33:11:22 is ********
Password for device with WWN:30:11:bb:cc:dd:33:11:22 is ********
 
Other Devices' Passwords:
Password for device with WWN:00:11:22:33:44:aa:bb:cc is ********

ステップ 2 FC-SP ローカル データベースに追加するスイッチ上で show wwn switch コマンドを使用して、sWWN を特定します。

MDS-9216# show wwn switch
Switch WWN is 20:00:00:05:30:00:54:de
 

ステップ 3 show flogi database interface コマンドを使用して、FC-SP ローカル データベースに追加するホストの pWWN を特定します。

switch# show flogi database interface fc1/7
--------------------------------------------------------------------------------------
Interface VSAN FCID PORT NAME NODE NAME
--------------------------------------------------------------------------------------
fc1/7 1 0xd10fee 20:00:00:33:8b:00:00:00 20:00:00:33:8b:00:00:00
 
Total number of flogi = 1
 

ステップ 4 fcsp dhchap devicename コマンドを使用して、ホストまたはスイッチをローカル データベースに追加します。

switch(config)# fcsp dhchap devicename 20:00:00:33:8b:00:00:00 password rtp9509
 


 

Cisco ACS の使用中に認証が失敗する

現象 Cisco ACS の使用中に認証が失敗する。

 

表19-3 Cisco ACS の使用中に認証が失敗する

現象
考えられる原因
解決方法

Cisco ACS の使用中に認証が失敗する。

sWWN が ACS エントリと一致していない。

sWWN および ACS エントリを確認します。Fabric Manager で Switches > FC Services > WWN Manager を選択して、スイッチの sWWN を特定します。

または show wwn switch CLI コマンドを使用します。

show fcsp asciiwwn sWWN CLI コマンドを使用して、sWWN の ASCII 相当部分を取得します。

Cisco ACS サーバ上で、User Setup を選択します。User List の User カラムで sWWN の ASCII 相当部分を探します。

ポート セキュリティの問題

ここでは、ポート セキュリティの問題について説明します。内容は、次のとおりです。

「autolearn がディセーブルにされるとデバイスがスイッチにログインできない」

「ポート セキュリティを有効にできない」

「不正なデバイスがファブリックにアクセスする」

「リブート後にポート セキュリティの設定が消失する」

「マージが失敗する」


) ポート セキュリティの設定に関する問題を修正したあとは、インターフェイスをディセーブルまたは再びイネーブルにする必要はありません。問題が解決した場合、ポート セキュリティが再び有効になると、ポートは自動的に up になります。


autolearn がディセーブルにされるとデバイスがスイッチにログインできない

現象 autolearn がディセーブルにされるとデバイスがスイッチにログインできない。

 

表19-4 autolearn がディセーブルにされるとデバイスがスイッチにログインできない

現象
考えられる原因
解決方法

autolearn がディセーブルにされるとデバイスがスイッチにログインできない。

デバイスの pWWN がポートで許可されていない。

手動で、デバイスを設定済みのポート セキュリティ データベースに追加します。詳細については、「アクティブ ポート セキュリティ データベースの Fabric Manager による確認」および「アクティブ ポート セキュリティ データベースの CLI による確認」を参照してください。

ポートがどのデバイス用にも設定されていない。

ポート セキュリティ データベースにあるポートへデバイスを追加するか、または autolearn を有効にします。詳細については、「Fabric Manager 使用して autolearn でポート セキュリティを設定」および「CLI 使用して autolearn でポート セキュリティを設定」を参照してください。

デバイスが他のポート用に設定されている。

手動で、デバイスを設定済みのポート セキュリティ データベースに追加します。詳細については、「アクティブ ポート セキュリティ データベースの Fabric Manager による確認」および「アクティブ ポート セキュリティ データベースの CLI による確認」を参照してください。

ポートのセキュリティ違反が原因で、ポートがシャットダウンされた。

ポート セキュリティ違反の原因になっているデバイスを取り外すか、またはデバイスをデータベースに追加します。詳細については、「ポート セキュリティ違反の Fabric Manager による確認」および「ポート セキュリティ違反の CLI による確認」を参照してください。

autolearn がイネーブルにされるとデバイスがスイッチにログインできない

現象 autolearn がイネーブルにされるとデバイスがスイッチにログインできない。

 

表19-5 autolearn がイネーブルにされるとデバイスがスイッチにログインできない

現象
考えられる原因
解決方法

autolearn がイネーブルにされるとデバイスがスイッチにログインできない。

デバイスが他のポート用に設定されている。

手動で、デバイスを設定済みのポート セキュリティ データベースから削除します。詳細については、「アクティブ ポート セキュリティ データベースの Fabric Manager による確認」および「アクティブ ポート セキュリティ データベースの CLI による確認」を参照してください。

ポートのセキュリティ違反が原因で、ポートがシャットダウンされた。

ポート セキュリティ違反の原因になっているデバイスを取り外すか、またはデバイスをデータベースに追加します。詳細については、「ポート セキュリティ違反の Fabric Manager による確認」および「ポート セキュリティ違反の CLI による確認」を参照してください。

アクティブ ポート セキュリティ データベースの Fabric Manager による確認

Fabric Manager を使用してアクティブ ポート セキュリティ データベースを確認する手順は、次のとおりです。


ステップ 1 Fabricxx > VSANxx> Port Security を選択し、続いて Active Database タブを選択してデータベース内のアクティブ エントリを表示します。

ステップ 2 Actions タブを選択して CopyToConfig チェックボックスをオンにし、Apply Changes をクリックしてアクティブ データベースをコンフィギュレーション データベースにコピーします。

ステップ 3 CFS がイネーブルになっている場合は CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 4 Config Database タブを選択し、続いて Add Row をクリックして新規のエントリをコンフィギュレーション データベースに追加します。

ステップ 5 WWNs フィールドおよび interface フィールドへの入力を行い、Create をクリックします。

ステップ 6 CFS がイネーブルになっている場合は CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 7 Actions タブを選択し、続いて Action ドロップダウン メニューから activate(TurnLearning off) を選択します。さらに、Apply Changes をクリックして、コンフィギュレーション データベースをアクティブ データベースにコピーし、ポート セキュリティを再び有効にします。

ステップ 8 CFS がイネーブルになっている場合は CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。


 

アクティブ ポート セキュリティ データベースの CLI による確認

CLI を使用してアクティブ ポート セキュリティ データベースを確認する手順は、次のとおりです。


ステップ 1 show port-security database active コマンドを使用して、データベース内のアクティブ エントリを表示します。

switch# show port-security database active
----------------------------------------------------------------------------------------
VSAN Logging-in Entity Logging-in Point (Interface) Learnt
----------------------------------------------------------------------------------------
3 21:00:00:e0:8b:06:d9:1d(pwwn) 20:0d:00:05:30:00:95:de(fc1/13) Yes
3 50:06:04:82:bc:01:c3:84(pwwn) 20:0c:00:05:30:00:95:de(fc1/12)
4 20:00:00:05:30:00:95:df(swwn) 20:0c:00:05:30:00:95:de(port-channel 128)
5 20:00:00:05:30:00:95:de(swwn) 20:01:00:05:30:00:95:de(fc1/1)
[Total 4 entries]
 

ステップ 2 port-security database copy コマンドを使用して、アクティブ データベースをコンフィギュレーション データベースにコピーします。これによって、学習されたエントリの消失を防ぐことができます。

switch# port-security database copy vsan 1

 

ステップ 3 port-security database コマンドを使用して、新規のエントリをコンフィギュレーション データベースに追加します。

switch(config)# port-security database vsan 3

switch(config-port-security)# pwwn 20:11:33:11:00:2a:4a:66 swwn 20:00:00:0c:85:90:3e:80 interface fc1/13

 

ステップ 4 port-security activate コマンドを使用して、コンフィギュレーション データベースをアクティブ データベースにコピーし、ポート セキュリティを再び有効にします。

switch(config)# port -security activate vsan 1

 

ステップ 5 CFS 配信がイネーブルになっている場合は、port-security commit コマンドを使用してこれらの変更を配信します。

witch(config)# port-security commit vsan 3

 


 

ポート セキュリティ違反の Fabric Manager による確認

Fabric Manager を使用してポート セキュリティ違反を確認する手順は、次のとおりです。


ステップ 1 Fabricxx > VSANxx > Port Security を選択し、続いて Violations タブを選択してシャットダウンされているインターフェイスを探します。

ステップ 2 オプションとして、次の手順に従ってデバイスをポート セキュリティ データベースに追加することもできます。

a. Fabricxx > VSANxx > Port Security を選択し、続いて Actions タブを選択します。

b. CopyActive to Config チェックボックスをオンにし、Apply Changes をクリックしてアクティブ データベースをコンフィギュレーション データベースにコピーします。これによって、学習されたエントリの消失を防ぐことができます。

c. CFS がイネーブルになっている場合は CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

d. Config Database タブを選択し、続いて Add Row をクリックして新規のエントリをコンフィギュレーション データベースに追加します。

e. WWNs フィールドおよび interface フィールドへの入力を行い、Create をクリックします。

f. CFS がイネーブルになっている場合は CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

g. Actions タブを選択し、続いて Action ドロップダウン メニューから activate(TurnLearning off) を選択します。さらに、Apply Changes をクリックして、コンフィギュレーション データベースをアクティブ データベースにコピーし、ポート セキュリティを再び有効にします。

h. CFS がイネーブルになっている場合は CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 3 オプションとして、デバイスをスイッチから取り外し、Switches > Interfaces > FC Physical を選択します。続いて、Admin Status ドロップダウン メニューから up を選択してポートをオンラインに戻します。Apply Changes をクリックします。


) インターフェイスをいったん down に設定してから up にすることによって、オンラインに戻すことが必要になる場合もあります。



 

ポート セキュリティ違反の CLI による確認

CLI を使用してポート セキュリティ違反を確認する手順は、次のとおりです。


ステップ 1 show port-security violations コマンドを使用して、シャットダウンされているインターフェイスを探します。

switch# show port-security violations
 
------------------------------------------------------------------------------------------
VSAN Interface Logging-in Entity Last-Time [Repeat count]
------------------------------------------------------------------------------------------
1 fc1/13 21:00:00:e0:8b:06:d9:1d(pwwn) Jul 9 08:32:20 2003 [20]
20:00:00:e0:8b:06:d9:1d(nwwn)
1 fc1/12 50:06:04:82:bc:01:c3:84(pwwn) Jul 9 08:32:20 2003 [1]
50:06:04:82:bc:01:c3:84(nwwn)
2 port-channel 1 20:00:00:05:30:00:95:de(swwn) Jul 9 08:32:40 2003 [1]
[Total 2 entries]
 

この例では、pWWN 21:00:00:e0:8b:06:d9:1d のポート セキュリティ違反が原因で、インターフェイス fc1/13 がシャットダウンされています。

ステップ 2 オプションとして、次の手順に従ってデバイスをポート セキュリティ データベースに追加することもできます。

a. port-security database copy コマンドを使用して、アクティブ データベースをコンフィギュレーション データベースにコピーします。これによって、学習されたエントリの消失を防ぐことができます。

switch# port-security database copy vsan 3
 

b. port-security database コマンドを使用して、新規のエントリをコンフィギュレーション データベースに追加します。

switch(config)# port-security database vsan 3
switch(config-port-security)# pwwn 20:11:33:11:00:2a:4a:66 swwn 20:00:00:0c:85:90:3e:80 interface fc1/13
 

c. port-security activate コマンドを使用して、コンフィギュレーション データベースをアクティブ データベースにコピーし、ポート セキュリティを再び有効にします。

switch(config)# port-security activate vsan 3
 

d. CFS 配信がイネーブルになっている場合は、port-security commit コマンドを使用してこれらの変更を配信します。

switch(config)# port-security commit vsan 3
 

e. インターフェイス モードで no shutdown コマンドを使用して、ポートをオンラインに戻します。

ステップ 3 オプションとして、デバイスをスイッチから取り外し、no shutdown コマンドを使用してポートをオンラインに戻すこともできます。


 

ポート セキュリティを有効にできない

現象 ポート セキュリティを有効にできない。

 

表19-6 ポート セキュリティを有効にできない

現象
考えられる原因
解決方法

ポート セキュリティを有効にできない。

autolearn がイネーブルになっている。

詳細については、「Fabric Manager による autolearn のディセーブル化」および「CLI による autolearn のディセーブル化」を参照してください。

コンフィギュレーション データベース内のエントリが矛盾している。

競合しているエントリを削除します。競合するエントリが有効にされると、それまでログインしていた既存のデバイスはログアウトします。詳細については、「アクティブ ポート セキュリティ データベースの Fabric Manager による確認」および「アクティブ ポート セキュリティ データベースの CLI による確認」を参照してください。

コンフィギュレーション データベースが空である。

Fabric Manager で Fabricxx > VSANxx > Port Security を選択し、続いて Actions タブを選択して
CopyActive to Config チェックボックスをオンにします。さらに、Apply Changes をクリックして、アクティブ データベースをコンフィギュレーション データベースにコピーします。

または port-security database copy CLI コマンドを使用します。

ポート チャネルのメンバに、ポート セキュリティ用に設定されていないものがある。

欠落しているメンバを追加します。すべてのメンバの sWWN が同じであることを確認する必要があります。

詳細については、「アクティブ ポート セキュリティ データベースの Fabric Manager による確認」および「アクティブ ポート セキュリティ データベースの CLI による確認」を参照してください。

不正なデバイスがファブリックにアクセスする

現象 不正なデバイスがファブリックにアクセスする。

 

表19-7 不正なデバイスがファブリックにアクセスする

現象
考えられる原因
解決方法

不正なデバイスがファブリックにアクセスする。

ポート セキュリティがディセーブルになっている。

詳細については、「Fabric Manager 使用して autolearn でポート セキュリティを設定」および「CLI 使用して autolearn でポート セキュリティを設定」を参照してください。

VSAN でポート セキュリティが有効になっていない。

autolearn がイネーブルになっている。

autolearn をディセーブルにします。詳細については、「Fabric Manager による autolearn のディセーブル化」および「CLI による autolearn のディセーブル化」を参照してください。

Fabric Manager による autolearn のディセーブル化

Fabric Manager を使用して autolearn をディセーブルする手順は、次のとおりです。


ステップ 1 Fabricxx > VSANxx > Port Security を選択し、続いて Actions タブを選択します。

ステップ 2 Action ドロップダウン メニューから activate(TurnLearning off) を選択し、続いて Apply Changes をクリックして、コンフィギュレーション データベースをアクティブ データベースにコピーし、ポート セキュリティを再び有効にします。

ステップ 3 CFS がイネーブルになっている場合は CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 4 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これによって、ポート セキュリティのコンフィギュレーション データベースは、ファブリック内にあるすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。


 

CLI による autolearn のディセーブル化

CLI を使用して autolearn をディセーブルする手順は、次のとおりです。


ステップ 1 no port-security auto-learn コマンドを使用して、autolearn をディセーブルにします。

switch# no port-security auto-learn vsan 2
 

ステップ 2 port-security database copy コマンドを使用して、アクティブ データベースをコンフィギュレーション データベースにコピーします。これによって、学習されたエントリの消失を防ぐことができます。

switch# port-security database copy vsan 2

 

ステップ 3 CFS 配信がイネーブルになっている場合は、port-security commit コマンドを使用してこれらの変更を配信します。

witch(config)# port-security commit vsan 2

 

ステップ 4 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これによって、ポート セキュリティのコンフィギュレーション データベースは、ファブリック内にあるすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。


 

リブート後にポート セキュリティの設定が消失する

現象 リブート後にポート セキュリティの設定が消失する。

 

表19-8 リブート後にポート セキュリティの設定が消失する

現象
考えられる原因
解決方法

リブート後にポート セキュリティの設定が消失する。

autolearn エントリがコンフィギュレーション データベースおよびスタートアップ コンフィギュレーションに保存されていない。

詳細については、「Fabric Manager による autolearn のディセーブル化」および「CLI による autolearn のディセーブル化」を参照してください。

マージが失敗する

現象 マージが失敗する。

 

表19-9 マージが失敗する

現象
考えられる原因
解決方法

マージが失敗する。

アクティベーションまたは autolearn の設定が個々のファブリックで異なっている。

autolearn をディセーブルにします。詳細については、「Fabric Manager による autolearn のディセーブル化」および「CLI による autolearn のディセーブル化」を参照してください。

結合されたポート セキュリティ データベースには、2,047 個以上のエントリが格納されている。

どちらか一方のファブリックでポート セキュリティ データベースをいったん削除し、ファブリックをマージしたあとでエントリを再学習します。詳細については、「Fabric Manager 使用して autolearn でポート セキュリティを設定」および「CLI 使用して autolearn でポート セキュリティを設定」を参照してください。

Fabric Manager 使用して autolearn でポート セキュリティを設定

Fabric Manager を使用して autolearn でポート セキュリティを設定にする手順は、次のとおりです。


ステップ 1 Fabricxx > VSANxx > Port Security を選択し、続いて Control タブを選択します。

ステップ 2 Command ドロップダウン メニューから enable を選択し、続いて Apply Changes をクリックします。

ステップ 3 CFS タブを選択し、続いて Admin ドロップダウン メニューから enable を選択します。さらに、Global ドロップダウン メニューから enable を選択して、CFS 配信をイネーブルにします。

ステップ 4 CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 5 Fabricxx > VSANxx > Port Security を選択し、続いて Actions タブを選択します。さらに、Actions ドロップダウン メニューから activate を選択します。

ステップ 6 AutoLearn チェックボックスをオンにし、Apply Changes をクリックして autolearn をイネーブルにします。

ステップ 7 CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 8 すべてのエントリの学習が完了した後、AutoLearn チェックボックスをオフにし、Apply Changes をクリックして autolearn をディセーブルにします。

ステップ 9 CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 10 CopyActive to Config チェックボックスをオンにし、Apply Changes をクリックしてアクティブ データベースをコンフィギュレーション データベースにコピーします。これによって、学習されたエントリの消失を防ぐことができます。

ステップ 11 CFS タブを選択し、続いて ConfigAction ドロップダウン メニューから commit を選択して、これらの変更をファブリック内のすべてのスイッチに配信します。

ステップ 12 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これによって、ポート セキュリティのコンフィギュレーション データベースは、ファブリック内にあるすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。


 

CLI 使用して autolearn でポート セキュリティを設定

CLI を使用して autolearn でポート セキュリティを設定にする手順は、次のとおりです。


ステップ 1 port-security enable コマンドを使用して、ポート セキュリティをイネーブルにします。

switch(config)# port-security enable
 

ステップ 2 port-security distribute コマンドを使用して CFS 配信をイネーブルにします。

switch(config)# port-security distribute
 

ステップ 3 port-security activate コマンドを使用して、ポート セキュリティを有効および autolearn をイネーブルにします。

switch(config)# port-security activate vsan 2
 

ステップ 4 CFS 配信がイネーブルになっている場合は、port-security commit コマンドを使用してこれらの変更を配信します。

witch(config)# port-security commit vsan 2

 

ステップ 5 すべてのエントリの学習が完了したあと、EXEC モードで no port-security auto-learn コマンドを使用して、autolearn をディセーブルにします。

switch# no port-security auto-learn vsan 2
 

ステップ 6 CFS 配信がイネーブルになっている場合は、port-security commit コマンドを使用してこれらの変更を配信します。

witch(config)# port-security commit vsan 2

 

ステップ 7 port-security database copy コマンドを使用して、アクティブ データベースをコンフィギュレーション データベースにコピーします。これによって、学習されたエントリの消失を防ぐことができます。

switch# port-security database copy vsan 2

 

ステップ 8 CFS 配信がイネーブルになっている場合は、port-security commit コマンドを使用してこれらの変更を配信します。

witch(config)# port-security commit vsan 2

 

ステップ 9 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これによって、ポート セキュリティのコンフィギュレーション データベースは、ファブリック内にあるすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。


 

ファブリック バインディングの問題

ここでは、ファブリック バインディングの問題について説明します。内容は、次のとおりです。

「スイッチがファブリックに接続できない」

「ファブリック バインディングを有効にできない」

「不正なスイッチがファブリックにアクセスする」

「リブート後にファブリック バインディングの設定が消失する」


) ファブリック バインディングの設定に関する問題を修正したあと、インターフェイスをディセーブルまたは再びイネーブルにする必要はありません。問題が解決した場合、ファブリック バインディングが再び有効になると、ポートは自動的にアップになります。


スイッチがファブリックに接続できない

現象 スイッチがファブリックに接続できない。

 

表19-10 スイッチがファブリックに接続できない

現象
考えられる原因
解決方法

スイッチがファブリックに接続できない。

ファブリック バインディングがローカル スイッチでアクティブになっていない(片方の ISL でのみアクティブ)。

ファブリック バインディングを有効にします。Fabricxx > VSANxx > Fabric Binding を選択し、続いて Actions タブを選択します。さらに、Action ドロップダウン メニューから activate を選択して Apply Changes をクリックし、コンフィギュレーション データベースをアクティブ データベースにコピーしてファブリック バインディングを有効にします。

または fabric-binding activate CLI コマンドを使用します。

sWWN がファブリック バインディング データベースに存在していない。

sWWN をファブリック バインディング データベースに追加します。詳細については、「ファブリック バインディング違反の Fabric Manager による確認」および「ファブリック バインディング違反の CLI による確認」を参照してください。

ファブリック バインディング データベースに、異なるドメイン ID が設定された sWWN がある。

非 FICON VSAN の場合は、そのドメイン ID をファブリック バインディング データベースから削除できます。

または、ファブリック バインディング データベース内でドメイン ID をアップデートします(FICON または非 FICON VSAN の場合)。

詳細については、「ファブリック バインディング違反の Fabric Manager による確認」および「ファブリック バインディング違反の CLI による確認」を参照してください。

ローカルのアクティブ ファブリック バインディング データベースが、他のスイッチと異なっている。

ファブリック バインディング データベースをアップデートし、再び有効にします。詳細については、「ファブリック バインディング違反の Fabric Manager による確認」および「ファブリック バインディング違反の CLI による確認」を参照してください。

ファブリック バインディング違反が原因で、スイッチがブロックされている。

ファブリック バインディング違反の原因になっているデバイスを取り外すか、またはデバイスをデータベースに追加します。詳細については、「ファブリック バインディング違反の Fabric Manager による確認」および「ファブリック バインディング違反の CLI による確認」を参照してください。

ファブリック バインディング違反の Fabric Manager による確認

Fabric Manager を使用してファブリック バインディング違反を確認する手順は、次のとおりです。


ステップ 1 Fabricxx > VSANxx > Fabric Binding を選択し、続いて Violations タブを選択してシャットダウンされているインターフェイスを探します。

ステップ 2 オプションとして、スイッチを取り外し、Switches > Interfaces > FC Physical 選択します。続いて、Admin Status ドロップダウン メニューから up を選択してポートをオンラインに戻します。Apply Changes をクリックします。


) インターフェイスをいったん down に設定してから up にすることによって、オンラインに戻すことが必要になる場合もあります。


ステップ 3 オプションとして、次の手順に従ってスイッチをファブリック バインディング データベースに追加することもできます。

a. Fabricxx > VSANxx > Fabric Binding を選択し、続いて Actions タブを選択します。

b. CopyActive to Config チェックボックスをオンにし、Apply Changes をクリックしてアクティブ データベースをコンフィギュレーション データベースにコピーします。これによって、学習されたエントリの消失を防ぐことができます。

c. Config Database タブを選択し、続いて Add Row をクリックして新規のエントリをコンフィギュレーション データベースに追加します。

d. WWNs フィールドおよび Domain ID フィールドへの入力を行い、Create をクリックします。

e. Actions タブを選択し、続いて Action ドロップダウン メニューから activate を選択します。さらに、Apply Changes をクリックして、コンフィギュレーション データベースをアクティブ データベースにコピーし、ファブリック バインディングを再び有効にします。


 

ファブリック バインディング違反の CLI による確認

CLI を使用してファブリック バインディング違反を確認する手順は、次のとおりです。


ステップ 1 show port-security violations コマンドを使用して、シャットダウンされているインターフェイスを探します。

switch# show fabric-binding violations
-------------------------------------------------------------------------------
VSAN Switch WWN [domain] Last-Time [Repeat count] Reason
-------------------------------------------------------------------------------
2 20:00:00:05:30:00:4a:1e [*] Nov 25 05:44:58 2003 [2] sWWN not found
3 20:00:00:05:30:00:4a:1e [0xeb] Nov 25 05:46:14 2003 [2] Domain mismatch
4 20:00:00:05:30:00:4a:1e [*] Nov 25 05:46:25 2003 [1] Database mismatch
 
 

VSAN 2 では、sWWN 自体がリスト内で発見されませんでした。VSAN 3 では、sWWN はリスト内で発見されましたが、ドメイン ID が一致していません。

ステップ 2 オプションとして、スイッチを取り外し、no shutdown コマンドを使用して ISL をオンラインに戻すこともできます。

ステップ 3 オプションとして、次の手順に従ってスイッチをファブリック バインディング データベースに追加することもできます。

a. fabric-binding database copy コマンドを使用して、アクティブ データベースをコンフィギュレーション データベースにコピーします。

switch# fabric-binding database copy vsan 3
 

b. fabric-binding database コマンドを使用して、新規のエントリをコンフィギュレーション データベースに追加します。

switch(config)# fabric-binding database vsan 3
switch(config-fabric-binding)# swwn 20:11:33:11:00:2a:4a:66
 

c. fabric-binding activate コマンドを使用して、コンフィギュレーション データベースをアクティブ データベースにコピーし、ファブリック バインディングを再び有効にします。

switch(config)# fabric-binding activate vsan 3
 

d. インターフェイス モードで no shutdown コマンドを使用して、ポートをオンラインに戻します。


 

ファブリック バインディングを有効にできない

現象 ファブリック バインディングを有効にできない。

 

表19-11 ファブリック バインディングを有効にできない

現象
考えられる原因
解決方法

ファブリック バインディングを有効にできない。

コンフィギュレーション データベース内のエントリが矛盾している。

競合しているエントリを削除します。詳細については、「ファブリック バインディングのコンフィギュレーション データベースの Fabric Manager による確認」および「ファブリック バインディングのコンフィギュレーション データベースの CLI による確認」を参照してください。

ファブリック バインディングのコンフィギュレーション データベースの Fabric Manager による確認

Fabric Manager を使用してファブリック バインディングのコンフィギュレーション データベースを確認する手順は、次のとおりです。


ステップ 1 Fabricxx > VSANxx > Fabric Binding を選択し、続いて Config Database タブを選択します。

ステップ 2 競合しているエントリを右クリックして Delete Row を選択し、このエントリを削除します。

ステップ 3 Fabricxx > VSANxx > Fabric Binding を選択し、続いて Actions タブを選択します。

ステップ 4 Action ドロップダウン メニューから activate を選択し、続いて Apply Changes をクリックして、コンフィギュレーション データベースをアクティブ データベースにコピーし、ファブリック バインディングを再び有効にします。


 

ファブリック バインディングのコンフィギュレーション データベースの CLI による確認

CLI を使用してファブリック バインディングのコンフィギュレーション データベースを確認する手順は、次のとおりです。


ステップ 1 show fabric-binding database active コマンドを使用して、データベース内のアクティブ エントリを表示します。

ステップ 2 fabric-binding database copy コマンドを使用して、アクティブ データベースをコンフィギュレーション データベースにコピーします。

switch# fabric-binding database copy vsan 1
 

ステップ 3 fabric-binding database コマンドを使用して、エントリをコンフィギュレーション データベースから削除します。

switch(config)# fabric-binding database vsan 3

switch(config-port-security)# no swwn 20:00:00:0c:85:90:3e:80

 

ステップ 4 fabric-binding activate コマンドを使用して、コンフィギュレーション データベースをアクティブ データベースにコピーし、ファブリック バインディングを再び有効にします。

switch(config)# fabric-binding activate vsan 1

 


 

不正なスイッチがファブリックにアクセスする

現象 不正なスイッチがファブリックにアクセスする。

 

表19-12 不正なスイッチがファブリックにアクセスする

現象
考えられる原因
解決方法

不正なスイッチがファブリックにアクセスする。

ISL の両端でファブリック バインディングがディセーブルになっている。

詳細については、「ファブリック バインディングの Fabric Manager による設定」および「ファブリック バインディングの CLI による設定」を参照してください。

リブート後にファブリック バインディングの設定が消失する

現象 リブート後にファブリック バインディングの設定が消失する。

 

表19-13 リブート後にファブリック バインディングの設定が消失する

現象
考えられる原因
解決方法

リブート後にファブリック バインディングの設定が消失する。

エントリがコンフィギュレーション データベースおよびスタートアップ コンフィギュレーションに保存されていない。

ファブリック バインディング データベースを保存します。詳細については、「ファブリック バインディングの Fabric Manager による設定」および「ファブリック バインディングの CLI による設定」を参照してください。

ファブリック バインディングの Fabric Manager による設定

Fabric Manager を使用してファブリック バインディングを設定する手順は、次のとおりです。


ステップ 1 Fabricxx > VSANxx > Fabric Binding を選択し、続いて Control タブを選択します。

ステップ 2 Command ドロップダウン メニューから enable を選択し、続いて Apply Changes をクリックします。

ステップ 3 Config Database タブを選択し、続いて Add Row をクリックして新規のエントリをコンフィギュレーション データベースに追加します。

ステップ 4 WWNs フィールドおよび Domain ID フィールドへの入力を行い、Create をクリックします。

ステップ 5 Actions タブを選択し、続いて Action ドロップダウン メニューから activate を選択します。さらに、Apply Changes をクリックして、コンフィギュレーション データベースをアクティブ データベースにコピーし、ファブリック バインディングを再び有効にします。

ステップ 6 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これによって、ポート セキュリティのコンフィギュレーション データベースは、ファブリック内にあるすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。


 

ファブリック バインディングの CLI による設定

CLI を使用してファブリック バインディングを設定する手順は、次のとおりです。


ステップ 1 fabric-binding enable コマンドを使用して、ファブリック バインディングをイネーブルにします。

switch(config)# fabric-binding enable
 

ステップ 2 fabric-binding database コマンドを使用して、新規のエントリをコンフィギュレーション データベースに追加します。

switch(config)# fabric-binding database vsan 3

switch(config-port-security)# swwn 20:00:00:0c:85:90:3e:80

 

ステップ 3 fabric-binding activate コマンドを使用して、ファブリック バインディングを有効にします。

switch(config)# fabric-binding activate vsan 2
 

ステップ 4 fabric-binding database copy コマンドを使用して、アクティブ データベースをコンフィギュレーション データベースにコピーします。

switch# fabric-binding database copy vsan 2

 

ステップ 5 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これによって、ファブリック バインディングのコンフィギュレーション データベースは、ファブリック内にあるすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。