Catalyst 6500 シリーズ スイッチ CSM-S インストレーション コンフィギュレーション ノート Software Release 2.1(1)
設定前の作業
設定前の作業
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

設定前の作業

設定の概要

オペレーティング システムのサポート

CSM-Sの設定準備

CLIの使用法

オンライン ヘルプの利用方法

設定の保存および復元

SLBモードの設定

モードのコマンド構文

モード間の切り替え

CSMモードとRPモードの相違

CSMモード

RPモード

モードの変更

CSMモードからRPモード

RPモードからCSMモード

設定の確認

新しいソフトウェア リリースへのアップグレード

スーパバイザ エンジン ブートフラッシュからのアップグレード

PCMCIAカードからのアップグレード

外部TFTPサーバからのアップグレード

失われたパスワードの回復

設定の概要

設定プロセスでは、スイッチがRoute Processor(RP;ルート プロセッサ)モードであることを前提とします。図3-1に、基本的なCSM-S設定プロセスの必須および任意の作業の概要を示します。図3-2に、設定プロセスのSSL部分の概要を示します。


) レイヤ4ロードバランシングの場合、ポリシーの設定は不要です。


ここでは、必須パラメータの設定方法について説明します。

「CSM-SコマンドおよびSSLSMコマンドの相違点」

「ソフトウェア バージョンの情報」

「設定の制約事項」

「失われたパスワードの回復」

「クライアント側VLANの設定」

「サーバ側VLANの設定」

「サーバ ファームの設定」

「実サーバの設定」

「仮想サーバの設定」

図3-1 CSM-Sの基本設定の概要

 

必須のロードバランシング パラメータをCSM-S上で設定すると、任意のパラメータを設定することができます。次の各項を参照してください。

「リダイレクト仮想サーバの設定」

「クライアントNATプールの設定」

「サーバ開始型接続の設定」

「TCPパラメータの設定」

図3-2 CSM-S SSLの設定概要

 

SSLパラメータの設定については、次の各項を参照してください。

「CSM-SコマンドおよびSSLSMコマンドの相違点」

「SSLドータカードの初期設定」

「クライアント側およびサーバ側動作に対するSSLの設定」

高度な設定と連動するには、第2章から第11章の次の項目を参照してください。

「シングル サブネット(ブリッジ)モードの設定」

「セキュア(ルータ)モードの設定」

「URLハッシュの設定」

「一般ヘッダー解析の設定」

「クライアント側およびサーバ側動作に対するSSLの設定」

「RHIの設定」

「フォールトトレランスの設定」

「連続(persistent)接続の設定」

「HSRPの設定」

「接続の冗長性の設定」

「実サーバのSNMPトラップの設定」

「ヘルス モニタリング用プローブの設定」

「帯域内ヘルス モニタリングの概要および設定」

「HTTP戻りコード チェックの概要および設定」

「CSM-SでのTCLスクリプトの使用」

「ステルス ファイアウォール ロードバランシングの設定」

「標準ファイアウォール ロードバランシングの設定」

「ファイアウォール用リバーススティッキの設定」

オペレーティング システムのサポート

CSM-Sは、Cisco IOSソフトウェアだけを稼働するスイッチでサポートされます。CSM-SはMSFC CLI(コマンドライン インターフェイス)経由で設定されるので、MSFC CLIにアクセスするために、最初にMSFCとのセッションを開始する必要があります。Cisco IOSソフトウェアが稼働するスイッチを使用する場合は、レイヤ2の設定(VLANおよびポート アソシエーションなど)はすべて、スーパバイザ エンジン上で実行されます。


) スイッチ上でCSM-Sを実行すると、設定されたVLAN(仮想LAN)がCSM-Sとスイッチのバックプレーンを接続するトランクまたはチャネルに自動的に追加されます。Catalystオペレーティング システムとCisco IOSソフトウェアの両方が稼働するスイッチでは、CSM-S VLANを手動でトランクまたはチャネルに追加する必要があります。


CSM-Sの設定準備

CSM-Sを設定する前に、次の作業を終えておく必要があります。

スイッチとモジュールのCisco IOSバージョンが一致していることを確認します。『 Catalyst 6500 Series Switch Content Switching Module Installation Guide 』を参照してください。

Server Load Balancing(SLB;サーバ ロードバランシング)を設定するには、次の情報を入手しておく必要があります。

導入先で使用するネットワーク トポロジー

実サーバのIPアドレス

Domain Name Server(DNS;ドメイン ネーム サーバ)で使用するCSM-S Virtual IP(VIP;仮想IP)用エントリ(名前を使用してDNSにアクセスする必要がある場合)

各仮想サーバのIPアドレス

先にCatalyst 6500シリーズ スイッチでVLANを設定してから、CSM-Sに対してVLANを設定する必要があります。スイッチとモジュールのVLAN IDは同じでなければなりません。詳細については、『 Catalyst 6500 Series Switch Software Configuration Guide 』を参照してください。

次に、VLANを設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# vlan 130
Router(config-vlan)# name CLIENT_VLAN
Router(config-vlan)# exit
Router(config)# vlan 150
Router(config-vlan)# name SERVER_VLAN
Router(config-vlan)# end
 

サーバまたはクライアントに接続する物理インターフェイスを、対応するVLAN内に組み込みます。

次に、物理インターフェイスをレイヤ2インターフェイスとして設定して、VLANに割り当てる例を示します。

Router>
Router> enable
Router# config
Router(config)# interface 3/1
Router(config-if)# switchport
Router(config-if)# switchport access vlan 150
Router(config-if)# no shutdown
Router(vlan)# exit
 

クライアント側またはサーバ側VLAN上のネクスト ホップ ルータでMSFCを使用する場合は、対応するレイヤ3 VLANインターフェイスを設定する必要があります。


注意 ポリシー ベース ルーティングまたは送信元Network Address Translation(NAT;ネットワーク アドレス変換)を使用し、CSM-Sをルータ モードとして設定しないかぎり、クライアント側とサーバ側の両方に対して、MSFCをルータとして同時に使用することはできません。このような状況が発生するのは、CSM-Sがロードバランスまたは転送する両方向のフローを確認する必要があるためです。ブリッジ(シングル サブネット)モードでCSM-Sを使用する場合は、クライアント側とサーバ側の両方に対して、MSFC上でレイヤ3 VLANインターフェイスを設定しないでください。CSM-Sをルータ モードで使用する場合は、戻りトラフィックがCSM-Sに送り返されるように、ポリシー ベース ルーティングまたは送信元NATを適切に設定しないかぎり、クライアント側とサーバ側の両方に対して、MSFC上でレイヤ3 VLANインターフェイスを設定しないでください。

次に、レイヤ3 VLANインターフェイスを設定する例を示します。

Router>
Router> enable
Router# config
Router(config)# interface vlan 130
Router(config-if)# ip address 10.10.1.10 255.255.255.0
Router(config-if)# no shutdown
Router(vlan)# exit
 

CLIの使用法

CSM-Sのソフトウェア インターフェイスはCisco IOS CLI(コマンドライン インターフェイス)です。Cisco IOS CLIおよびCisco IOSコマンド モードの詳細については、『Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide』のChapter 2を参照してください。


) プロンプトに入力できる文字数に制限があるため、プロンプトが切り捨てられる場合があります。たとえば、Router(config-slb-vlan-server)#はRouter(config-slb-vlan-serve)#のように表示されます。


オンライン ヘルプの利用方法

どのコマンド モードでも、疑問符(?)を入力すると、使用できるコマンドのリストが表示されます。

Router> ?
 

または

Router(config)# module CSM 5
Router(config-module-CSM)# ?
 

) オンライン ヘルプでは、コマンドで使用できるデフォルトのコンフィギュレーション値、および値の範囲が表示されます。


設定の保存および復元

設定の保存および復元については、『 Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide 』を参照してください。

SLBモードの設定

Catalyst 6500シリーズ スイッチのSLB機能は、2種類のモードで設定されます。RPモードおよびCSMモードです。スイッチの設定は、CSM-Sの動作に影響しません。CSM-Sはデフォルトで、RPモードで設定されます。RPモードを使用すると、同一シャーシで1つまたは複数のCSM-Sモジュールを設定し、同一スイッチでCisco IOS SLBを実行できます。


) RPモードはデフォルト モードで、推奨されているモードです。CSMモードは、下位互換性を維持するためにリリース2.1より前のCSMソフトウェア イメージでのみ使用されます。新たにCSMまたはCSM-Sイメージを搭載する場合は、RPモードを使用してください。


CSMモードの場合、設定できるCSM-Sは1つだけです。CSMモードをサポートしているのは、旧ソフトウェア リリースとの下位互換性を維持するためです。単一CSM-S設定では、同一スイッチでCisco IOS SLBを実行できません。

次に、モードについて説明します。

「モードのコマンド構文」

「モード間の切り替え」

「CSMモードとRPモードの相違」

「モードの変更」

モードのコマンド構文

スイッチにCSM-Sコンフィギュレーション コマンドを入力するには、その前に設定対象のCSM-Sを指定しなければなりません。設定するCSM-Sを指定するには、 module csm slot-number コマンドを使用します。 slot-number 値は、設定対象のCSM-Sが搭載されているシャーシ スロットです。

module csm コマンドによってCSM-Sコンフィギュレーション サブモードが開始されます。以後、入力したすべてのコンフィギュレーション コマンドは、指定したスロットのCSM-Sに適用されます。


) 特に明記していないかぎり、このマニュアルの例はすべて、このコマンドが入力済みで、設定対象のCSM-Sに対応するコンフィギュレーション モードがすでに開始されていることが前提です。


CSM-SモードおよびRPモードを設定するコマンドの構文は、次の点を除いて同じです。

CSMモードで設定する場合、上位レベルのコマンドごとに、プレフィクスとして ip slb を指定する必要があります。

CSMモードの設定とRPモードの設定では、プロンプトが異なります。

スロット5のCSM-Sに仮想サーバを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Router(config)# module csm 5

設定するCSM-Sの位置を指定します。

ステップ 2

Router(config-module-csm)# vserver VS1

仮想サーバを設定します。

次に、config-module-csmモードでのすべてのCSM-Sコマンドのリスト例を表示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# module csm 5
Router(config-module-csm)# ?
SLB CSM module config
arp configure a static ARP entry
capp configure Content Application Peering Protocol
default Set a command to its defaults
dfp configure Dynamic Feedback Protocol manager
exit exit SLB CSM module submode
ft configure CSM fault tolerance (ft) feature
map configure an SLB map
natpool configure client nat pool
no Negate a command or set its defaults
owner configure server owner
policy configure an SLB policy
probe configure an SLB probe
real configure module real server
script configure script files and tasks
serverfarm configure a SLB server farm
standby
static configure static NAT for server initiated connections
sticky configure a sticky group
variable configure an environment variable
vlan configure a vlan
vserver configure an SLB virtual server
xml-config settings for configuration via XML

モード間の切り替え

ip slb mode コマンドを使用してモードをCSMからRPに切り替えると、既存のCSM-S設定が新しい設定に移行します。既存のCSM-S設定がある場合は、スロット番号を要求されます。

Catalyst 6500シリーズ スイッチでは、RPモードの設定からCSMモードの設定に移行できます。Cisco IOS SLBの設定からCSM-Sの設定への移行は、手動に限って可能です。

CSMモードとRPモードの相違

CSMモードとRPモードは、CSM-SがCLIから設定される方法に影響するだけで、CSM-S自体の動作および機能に影響するわけではありません。CSM-Sと同一シャーシ内のCisco IOS SLBの場合と同様に、1つのシャーシ内の複数のCSM-Sモジュールを設定する場合は、RPモードである必要があります。

CSMモード

ip slb mode csm コマンド モードを使用して、1.xリリースのCSM-Sを設定することができます。このモードの場合、シャーシに設定できるCSM-Sは1つです(他のCSMまたはCisco IOS SLBを同一シャーシ内に設定できません)。

このモードでは、すべてのCSM-Sコンフィギュレーション コマンドは ip slb で始まります。

CSM-Sの show コマンドは、 show ip slb で始まります。

CSMソフトウェア2.1以降のリリースを使用している場合は、このモードは推奨できません。このモードは、Cisco IOS CLIで下位互換性の維持のためにオプションとして提供されているからです。

次に、シャーシ内の単一のCSM-Sの設定例を示します。

Cat6k# show running-config
Building configuration...
Current configuration : 5617 bytes
 
ip slb mode csm
ip slb vlan 110 server
ip address 10.10.110.1 255.255.255.0
 
ip slb vlan 111 client
ip address 10.10.111.2 255.255.255.0
gateway 10.10.111.1
 
ip slb probe HTTP_TEST http
request method get url /probe/http_probe.html
expect status 200
interval 5
failed 5
 
ip slb serverfarm WEBFARM
nat server
no nat client
real 10.10.110.10
inservice
real 10.10.110.20
inservice
probe HTTP_TEST
 
ip slb vserver HTTPVIP
virtual 10.10.111.100 tcp www
persistent rebalance
serverfarm WEBFARM
inservice
 

RPモード

Cisco IOS SLBが稼働するシャーシで複数のCSM-Sモジュールを設定するには、 ip slb mode rp コマンド モード(デフォルト)を使用します。このモードで設定できるのは、リリース2.1以降のCSM-Sだけです。

このモードでは、CSM-Sは次のコマンド サブモードから設定されます。

mod csm X
 

X は設定するCSM-Sのスロット番号です。

CSM-Sの show コマンドは、 show mod csm X で始まります。

CSMソフトウェア リリース2.1以降でCSM-Sを設定する場合は、RPモードが推奨されます。このモードでも、Cisco IOS SLBに適用されるすべてのコマンドは、シャーシのCSM-Sには適用されません。これらのコマンドは、 ip slb で始まります。

次に、シャーシ内の単一のCSM-Sの設定例を示します。

Cat6k# show running-config
Building configuration...
 
Current configuration : 5597 bytes
!---
 
module ContentSwitchingModule 5
vlan 110 server
ip address 10.10.110.1 255.255.255.0
 
vlan 111 client
ip address 10.10.111.2 255.255.255.0
gateway 10.10.111.1
 
probe HTTP_TEST http
request method get url /probe/http_probe.html
expect status 200
interval 5
failed 5
 
serverfarm WEBFARM
nat server
no nat client
real 10.10.110.10
inservice
real 10.10.110.20
inservice
probe HTTP_TEST
 
vserver HTTPVIP
virtual 10.10.111.100 tcp www
persistent rebalance
serverfarm WEBFARM
inservice
 

モードの変更

CSMの動作モードをCSMモードからRPモードに、またはRPモードからCSMモードに変更することができます。次に、モードの変更方法を示します。

CSMモードからRPモード

CSMモードからRPモードに変更する例を示します。これはCSM 1.xから2.1以降のリリースへの一般的な移行例で、モジュールのリセットは必要ありません。

Cat6k# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
 
Cat6k(config)# ip slb mode ?
csm SLB in Content Switching Module
rp SLB in IOS system
 
Cat6k(config)# ip slb mode rp
% The current SLB mode is CSM-SLB.
% You are selecting RP-SLB mode.
% All configuration for CSM-SLB will be moved to module submode.
% Confirm switch to RP-SLB mode? [no]: yes
% Enter slot number for CSM module configuration, 0 for none [5]: 5
% Please save the configuration.
Cat6k(config)# end
 
Cat6k# write
Building configuration...
[OK]
Cat6k#
 

RPモードからCSMモード

これはRPモードからCSMモードへの移行例で、モジュールのリセットが必要です。

Cat6k# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
 
Cat6k(config)# ip slb mode ?
csm SLB in Content Switching Module
rp SLB in IOS system
 
Cat6k(config)# ip slb mode csm
% The current SLB mode is RP-SLB.
% You are selecting CSM-SLB.
% All SLB configurations for RP will be ERASED.
% After execution of this command, you must
% write the configuration to memory and reload.
% CSM-SLB module configuration will be moved to ip slb submodes.
% Confirm switch to CSM-SLB mode? [no]: yes
% Enter slot number for CSM module configuration, 0 for none [5]: 5
% Please save the configuration and reload.
 
Cat6k(config)# end
Cat6k# write
Building configuration...
Cat6k# reload
Proceed with reload? [confirm] y
Verify Mode Operation

設定の確認

設定が適切に機能するかどうかを確認するには、RPモードで次のコマンドを使用します。

Cat6k# show ip slb mode
SLB configured mode = rp
 
Cat6k# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
 
Catk6-1(config)# ip slb ?
dfp configure Dynamic Feedback Protocol manager
entries initial and maximum SLB entries
firewallfarm configure an SLB firewall farm
mode configure SLB system mode
natpool define client nat pool
probe configure an SLB probe
serverfarm configure an SLB server farm
vserver configure an SLB virtual server
 

設定が適切に機能するかどうかを確認するには、Cisco IOS SLBモードで次のコマンドを使用します。

Cat6k(config)# module csm 5
Cat6k(config-module-csm)# ?
SLB CSM module config
default Set a command to its defaults
dfp configure Dynamic Feedback Protocol manager
exit exit SLB CSM module submode
ft configure CSM fault tolerance (ft) feature
map configure an SLB map
natpool configure client nat pool
no Negate a command or set its defaults
policy configure an SLB policy
probe configure an SLB probe
serverfarm configure an SLB server farm
static configure static NAT for server initiated connections
sticky configure a sticky group
vlan configure a vlan
vserver configure an SLB virtual server
 

シャーシ内の単一のCSM-S設定が適切に機能するかどうかを確認するには、CSMモードで次のコマンドを使用します。

Cat6k# show ip slb mode
SLB configured mode = csm
 
Catk6-1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
 
Cat6k(config)# ip slb ?
dfp configure Dynamic Feedback Protocol manager
ft configure CSM fault tolerance (ft) feature
map configure an SLB map
mode configure SLB system mode
natpool configure client nat pool
policy configure an SLB policy
probe configure an SLB probe
serverfarm configure an SLB server farm
static configure static NAT for server initiated connections
sticky configure a sticky group
vlan configure a vlan
vserver configure an SLB virtual server

新しいソフトウェア リリースへのアップグレード

ここでは、Content Switching Module with SSLをアップグレードする3種類の方法について説明します。

「スーパバイザ エンジン ブートフラッシュからのアップグレード」

「PCMCIAカードからのアップグレード」

「外部TFTPサーバからのアップグレード」


) 新しいソフトウェア リリースにアップグレードする場合は、CSM-SイメージをアップグレードしてからCisco IOSイメージをアップグレードする必要があります。そうしないと、スーパバイザ エンジンがCSM-Sを認識しません。スーパバイザ エンジンがCSM-Sを認識しない場合は、Cisco IOSイメージをダウングレードし、CSM-Sイメージをアップグレードしてから、Cisco IOSイメージをアップグレードする必要があります。



) CSM-Sのアップグレードの際に、CSMおよびSSLドータカード イメージの両方がアップグレードされます。CSM-S上でCSMイメージを使用、またはCSM上でCSM-Sイメージを使用することができません。


CSM-Sをアップグレードするには、アップグレードするCSM-Sモジュールとのセッションを開始する必要があります。アップグレード中は、スーパバイザ エンジンに接続されたコンソールにすべてのコマンドを入力します。コンフィギュレーション コマンドは、それぞれ異なるコマンドラインに入力してください。アップグレードを完了するには、 exit コマンドを入力して、スーパバイザ エンジン プロンプトに戻ります。「SLBモードの設定」を参照してください。


注意 アップグレードしているCSM-Sとのセッションを終了するには、exitコマンドを入力する必要があります。セッションを終了しないでCSM-SをCatalyst 6500シリーズ シャーシから取り外した場合は、CSM-Sにコンフィギュレーション コマンドを入力するために、Ctrl + ^を押して、xを入力し、プロンプトにdisconnectコマンドを入力する必要があります。

スーパバイザ エンジン ブートフラッシュからのアップグレード


) ブートフラッシュにイメージをロードする手順については、『Catalyst 6500 Series Supervisor Engine Flash PC Card Installation Note』を参照してください。


スーパバイザ エンジンのブートフラッシュからCSM-Sをアップグレードする手順は、次のとおりです。


ステップ 1 Trivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバをイネーブルにして、次のようにブートフラッシュからイメージを供給します。

Router>
Router> enable
Router# configure terminal
Router(config)# tftp-server sup-bootflash:c6slb-apc.revision-num.bin
Router(config)
 

ステップ 2 スーパバイザ エンジンとCSM-S間のセッションを確立します。

Router# session slot csm-slot-number processor 0
 

ステップ 3 スーパバイザ エンジンからCSM-Sにイメージをロードします。

CSM> upgrade 127.0.0.zz c6slb-apc.revision-num.bin
 

スーパバイザ エンジンがシャーシのスロット1に搭載されている場合、 zz は12です。
スーパバイザ エンジンがシャーシのスロット2に搭載されている場合、 zz は22です。


) スーパバイザ エンジンを搭載できるのは、シャーシのスロット1またはスロット2だけです。


ステップ 4 CSM-Sとのセッションを終了し、Cisco IOSプロンプトに戻ります。
CSM> exit

ステップ 5 CSM-Sの電源を切断して再投入するか、またはスーパバイザ エンジンのコンソールから次のコマンドを入力して、CSM-Sを再起動します。

Router(config)# hw-module module csm-slot-number reset
 


 

PCMCIAカードからのアップグレード


) このマニュアルでは全体を通して、PCMCIAカードの代わりにフラッシュPCカードという言葉を使用します。


スーパバイザ エンジンに装着された着脱式フラッシュPCカードからCSM-Sをアップグレードする手順は、次のとおりです。


ステップ 1 TFTPサーバをイネーブルにして、着脱式フラッシュPCカードからイメージを供給します。

Router>
Router> enable
Router# configure terminal
Router(config)# tftp-server slotx:c6slb-apc.revision-num.bin
 

x 値 = 0(フラッシュPCカードがスーパバイザ エンジンのPCMCIAスロット0に搭載されている場合)

ステップ 2 スーパバイザ エンジンとCSM-S間のセッションを確立します。

Router# session slot csm-slot-number processor 0
 

ステップ 3 スーパバイザ エンジンからCSM-Sにイメージをロードします。

CSM> upgrade slot0: c6slb-apc.revision-num.bin
 

) スーパバイザ エンジンを搭載できるのはシャーシのスロット1またはスロット2だけです。


ステップ 4 CSM-Sとのセッションを終了し、Cisco IOSプロンプトに戻ります。
CSM> exit

ステップ 5 CSM-Sの電源を切断して再投入するか、またはスーパバイザ エンジンのコンソールから次のコマンドを入力して、CSM-Sを再起動します。

Router# hw-module module csm-slot-number reset
 


 

外部TFTPサーバからのアップグレード

外部TFTPサーバからCSM-Sをアップグレードする手順は、次のとおりです。


ステップ 1 TFTP CSM-Sランタイム イメージ ダウンロード用のVLANをスーパバイザ エンジン上に作成します。


) 既存のVLANも使用できますが、確実にダウンロードするには、TFTP接続専用のVLANを作成する必要があります。


ステップ 2 TFTPサーバに接続するインターフェイスを設定します。

ステップ 3 インターフェイスをVLANに追加します。

ステップ 4 CSM-Sの vlan コマンドを入力します。

詳細については、 第4章「VLANの設定」 を参照してください。

ステップ 5 CSM-S用VLANにIPアドレスを追加します。

ステップ 6 show csm slot vlan detail コマンドを入力し、設定を確認します。

詳細については、 第4章「VLANの設定」 を参照してください。

ステップ 7 CSM-SからTFTPサーバに接続できるかどうかを確認します。

Router# ping module csm csm-slot-number TFTP-server-IP-address
 

ステップ 8 スーパバイザ エンジンとCSM-S間のセッションを確立します。

Router# session slot csm-slot-number processor 0
 

ステップ 9 イメージをアップグレードします。

CSM> upgrade TFTP-server-IP-address c6slb-apc.rev-number.bin
 

ステップ 10 CSM-Sとのセッションを終了し、Cisco IOSプロンプトに戻ります。

CSM> exit
 

ステップ 11 CSM-Sの電源を切断して再投入するか、またはスーパバイザ エンジンのコンソールから次のコマンドを入力して、CSM-Sを再起動します。

Router# hw-module module csm-slot-number reset
 


 

失われたパスワードの回復

CSM-S上のSSLのパスワードを回復する際は、システムに別のソフトウェア イメージをロードする必要がありません。パスワードを回復するには、CSM-S前面パネル上の証明書管理ポートから、特別のコマンドを使用します。セキュリティ上の理由から、パスワードの回復はこのポートを介してのみ行われます。

失われたSSLパスワードを回復する場合、次の条件が適用されます。

CSMおよびSSLドータカードの両方にコンソール接続を行える必要があります。

パスワードの回復処理中にSSLドータカードが再起動されると、SSLドータカード間のすべてのトラフィックが中断されます。

失われたパスワードを回復するには、次のプロンプトを使用します。

CSM> または VENUS (CSMコンソール用)

ssl-proxy# (SSLドータカード用)

SSLドータカード パスワードを回復する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

CSM> venus

Venus CLIをイネーブルにします。

ステップ 2

VENUS# set_ssl_password_recovery 1

SSLドータカードがパスワード回復モードで再起動するようにします。このモードでは、SSLドータカードに、イネーブル モードを開始するためのパスワードは必要ありません。

ステップ 3

ssl-proxy# enable

モジュール上でイネーブル モードを開始します。

ステップ 4

ssl-proxy# copy nvram:startup-config running-config

スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。

ステップ 5

ssl-proxy# configure terminal

コンフィギュレーション モードを開始します。

ステップ 6

ssl-proxy(config)# enable password password

パスワードをイネーブルにします。


) このパスワードは、SSLドータカードのイネーブル パスワードとして所有する新しいパスワードです。イネーブル パスワードが必要ない場合は、no enable passwordコマンドを入力することができます。


 

ステップ 7

ssl-proxy(config)# line vty start_line end_line

イネーブル パスワードをリセットする仮想端末の開始/停止コンソール回線番号を設定します。

ステップ 8

ssl-proxy(config-line)# login

ログインします。

ステップ 9

ssl-proxy(config-line)# password password

仮想端末に設定する新しいイネーブル パスワードを入力します。

ステップ 10

ssl-proxy(config-line)# end

セッションを終了します。


注意 セキュリティの理由から、パスワードの回復後はすべての秘密鍵が使用できなくなります。

次に、SSLドータカードの証明書管理コンソール ポートから、スロット4に搭載されたSSLドータカードの失われたパスワードを回復する例を示します。

CSM> venus
VENUS# set_ssl_password_recovery 4
ssl-proxy# enable
ssl-proxy# copy nvram:startup-config running-config
ssl-proxy# configure terminal
ssl-proxy(config)# enable password cisco

enable password ciscoコマンドを入力して、パスワードをciscoに設定します。


ssl-proxy(config)# line vty 0 4
ssl-proxy(config-line)# login
ssl-proxy(config-line)# password cisco
ssl-proxy(config-line)# end
 

SSLドータカードのコンソール ポートから、バックアップ イメージからの鍵をインポートするか、鍵を再生成します。

鍵の生成およびインポートについては、「鍵および証明書の設定」を参照してください。