Catalyst 6500 シリーズ スイッチ WebVPN サービス モジュール ソフトウェア コンフィギュレーション ガイド Software Release 1.2
初期設定
初期設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

初期設定

CLI の使用方法

Catalyst 6500 シリーズ スイッチの初期設定

スイッチ上での VLAN の設定

レイヤ 2 スイッチング用の LAN ポートの設定

対応 VLAN へ WebVPN サービス モジュール の追加

WebVPN サービス モジュール の初期設定

WebVPN サービス モジュール上でのインターフェイスの設定

デフォルト ルートの設定

管理者用の認証の設定

初期設定の確認

タイムゾーンの設定

パスワードを忘れた場合

初期設定

この章では、WebVPN サービス モジュール の初期設定の手順について説明します。内容は、次のとおりです。

「CLI の使用方法」

「Catalyst 6500 シリーズ スイッチの初期設定」

「WebVPN サービス モジュール の初期設定」

「初期設定の確認」

「タイムゾーンの設定」

「パスワードを忘れた場合」

CLI の使用方法

WebVPN サービス モジュール のソフトウェア インターフェイスは、Cisco IOS CLI(コマンドライン インターフェイス)です。Cisco IOS CLI および Cisco IOS コマンド モードの詳細については、『 Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide 』の第 2 章「Command-Line Interfaces」を参照してください。

スイッチが完全に信頼できる環境に設置されている場合を除き、モジュールのコンソール ポートに直接接続するか、Secure Shell(SSH)を使用した暗号化セッションにより、WebVPN サービス モジュール を設定することを推奨します。モジュール上での SSH 設定の詳細は、「管理者用の認証の設定」 を参照してください。


) 初回の WebVPN サービス モジュール 設定は、モジュールのコンソール ポートに直接接続して実行する必要があります。


Catalyst 6500 シリーズ スイッチの初期設定

ここでは、Catalyst 6500 シリーズ スイッチ上での次の作業の手順について説明します。

「スイッチ上での VLAN の設定」

「レイヤ 2 スイッチング用の LAN ポートの設定」

「対応 VLAN へ WebVPN サービス モジュール の追加」

スイッチ上での VLAN の設定

スイッチとモジュールの VLAN ID が一致している必要があります。詳細については、『 Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide 』の「Configuring VLANs」の章を参照してください。


) WebVPN ソフトウェアがサポートしているのは、標準範囲の VLAN(2 ~ 1005)だけです。WebVPN サービス モジュール には、標準範囲の VLAN だけを設定してください。


スイッチ上で VLAN を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# configure terminal

terminal オプションを選択して、コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# vlan vlan_ID

VLAN コンフィギュレーション モードを開始し、VLAN を追加します。有効範囲は、2 ~ 1001 です。


) 外部 VLAN は追加しないでください。


 

ステップ 3

Router(config-vlan)# end

VLAN データベースを更新し、イネーブル EXEC モードに戻ります。

次に、スイッチ上で VLAN を設定する例を示します。

Router> enable
Router# configure terminal
Router(config)# vlan 100
VLAN 100 added:
Name: VLAN100
 
Router(config-vlan)# end

レイヤ 2 スイッチング用の LAN ポートの設定

レイヤ 2 スイッチング用の LAN ポートを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 1 mod / port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport

LAN ポートをレイヤ 2 スイッチング用に設定します。


) LAN ポートをレイヤ 2 ポートとして設定するには、追加の switchport コマンドをキーワードで入力する前に、switchport コマンドを 1 回、キーワードを指定しないで入力する必要があります。


 

ステップ 3

Router(config-if)# switchport mode access

LAN ポートに永続的な非トランキング モードを設定し、リンクを非トランク リンクに変換するようにネゴシエートします。近接 LAN ポートが変更に同意しなくても、LAN ポートは非トランク ポートになります。

ステップ 4

Router(config-if)# switchport access vlan vlan_ID

インターフェイスがトランキングを停止した場合に使用するデフォルトの VLAN を設定します。

ステップ 5

Router(config-if)# no shutdown

インターフェイスをアクティブにします。

1.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、レイヤ 2 スイッチング用の LAN ポートを設定する例を示します。

Router(config)# interface gigabitethernet 1/1
Router(config-if)# switchport
Router(config-if)# switchport mode access
Router(config-if)# switchport access vlan 100
Router(config-if)# no shutdown
Router(config-if)# exit
 

対応 VLAN へ WebVPN サービス モジュール の追加

対応 VLAN に WebVPN サービス モジュール を追加するには、次の作業を行います。

 

コマンド
目的
Router (config)# webvpn module mod allowed-vlan vlan_ID

WebVPN サービス モジュール へのトランク上で許可する VLAN を設定します。


) 許可する VLAN の 1 つを管理 VLAN にする必要があります。


 

次に、スロット 3 に搭載した WebVPN サービス モジュール を、特定の VLAN に追加する例を示します。

Router>
Router> enable
Router# configure terminal
Router (config)# webvpn module 3 allowed-vlan 100
Router (config)# end

WebVPN サービス モジュール の初期設定


) 次に説明する WebVPN サービス モジュール の初期設定は、WebVPN サービス モジュール のコンソール ポートに直接接続する方法で行う必要があります。初期設定の完了後、モジュールへの SSH または Telnet 接続により、他のモジュール設定を行うことができます。


WebVPN サービス モジュール の初期設定では、次の作業を行います。

「WebVPN サービス モジュール上でのインターフェイスの設定」

「デフォルト ルートの設定」

「管理者用の認証の設定」

WebVPN サービス モジュール上でのインターフェイスの設定


) WebVPN0 インターフェイスはデフォルトでイネーブルに設定されているので、シャットダウンまたは他の設定を行わないでください。


WebVPN インターフェイスを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

webvpn(config)# interface webvpn interface-number.subinterface-number

設定するサブインターフェイスを選択します。

ステップ 2

webvpn(config-subif)# encap dot1q vlan_id

802.1Q を使用して、サブインターフェイスから指定した vlan-id に、カプセル化を使用せずに、イーサネット フレームを送信します。

ステップ 3

webvpn(config-subif)# ip address ip-address ip-address-mask

サブインターフェイス上に IP アドレスを設定します。

ステップ 4

webvpn(config-subif)# no shutdown

サブインターフェイス上で WebVPN アクセスをイネーブルにします。

次に、WebVPN インターフェイスを設定する例を示します。

webvpn(config)# interface webvpn 0.1
webvpn(config-subif)# encap dot1q 100
webvpn(config-subif)# ip address 10.10.1.10
webvpn(config-subif)# no shutdown
webvpn(config-subif)# exit
webvpn(config)#

デフォルト ルートの設定

デフォルト ルートを設定するには、次の作業を行います。

 

コマンド
目的
webvpn(config)# ip route prefix mask ip-address

デフォルト ルートを設定します。

次に、デフォルト ルートを設定する例を示します。

webvpn(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.100
webvpn(config)#
 

管理者用の認証の設定

Authentication、Authorization、Accounting(AAA;認証、許可、アカウンティング)を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

webvpn(config)# username username secret { 0 | 5 } password

指定した検索不能なユーザ名に対し、拡張パスワード セキュリティをイネーブルにします。

ステップ 2

webvpn(config)# enable password password

まだ指定していない場合、ローカル イネーブル パスワードを指定します。

ステップ 3

webvpn(config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

webvpn(config)# aaa authentication login default local

認証にローカル ユーザ名データベースを使用するモジュールを指定します。

ステップ 5

webvpn(config)# line vty line-number ending-line-number

設定する回線範囲を指定し、ライン コンフィギュレーション モードを開始します。

ステップ 6

webvpn(config-line)# transport input [ ssh | telnet | all ]

回線で使用するプロトコルを設定します。

次に、WebVPN サービス モジュール への SSH 接続に AAA を設定する例を示します。

webvpn(config)# username admin secret admin-pass
webvpn(config)# enable password enable-pass
webvpn(config)# aaa new-model
webvpn(config)# aaa authentication login default local
webvpn(config)# line vty 0 4
webvpn(config-line)# transport input ssh
webvpn(config-line)# end
webvpn#

初期設定の確認

次に、表示された VLAN 情報が VLAN 設定と一致しているかどうかを確認する例を示します。

Router# show webvpn mod 3 state
SSL-VPN module 3 data-port:2
 
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: 2-1001
Pruning VLANs Enabled: 2-1001
Vlans allowed on trunk:100
Vlans allowed and active in management domain: 6-8,10-13,17-18,24,30,80,170,172,255
Vlans in spanning tree forwarding state and not pruned:
6-8,10-13,17-18,24,30,80,170,172,255
Allowed-vlan : 2-1001
 

タイムゾーンの設定

設定した時刻とタイムゾーン情報は、スーパーバイザー エンジンから WebVPN サービス モジュール に送信されます。状況によっては、WebVPN サービス モジュール 上のタイムゾーン情報が正しく設定されないことがあります。

タイムゾーン情報を設定するには、次の作業を行います。

 

コマンド
目的
webvpn(config)# clock timezone zone hours-offset [ minutes-offset ]

表示するタイムゾーンを設定します。

次に、タイムゾーンを UTC(協定世界時)より 8 時間遅れの Pacific Standard Time(PST;太平洋標準時)に設定する例を示します。

webvpn(config)# clock timezone PST -8

パスワードを忘れた場合


) WebVPN サービス モジュール のパスワードを回復するには、スーパーバイザ エンジンにアクセスできる必要があります。スーパーバイザ エンジン上のイネーブル パスワードを回復する手順については、ご使用のソフトウェア プラットフォームのソフトウェア コンフィギュレーション ガイドを参照してください。



) パスワードの回復スクリプトを実行するには、WebVPN サービス モジュール が Application Partition(AP;アプリケーション パーティション)に置かれている必要があります。



注意 セキュリティ上、パスワードの回復後は、すべての秘密鍵が使用不可になります。

WebVPN サービス モジュール 上でパスワードを回復するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router> enable

イネーブル モードを開始します。

ステップ 2

Router# copy tftp: pclc# mod -fs:

指定したモジュールにスクリプトをダウンロードします。

ステップ 3

webvpn# copy system:startup-config nvram:running-config

スタートアップ コンフィギュレーションを実行コンフィギュレーションに保存します。

ステップ 4

webvpn(config)# enable password password

ローカル イネーブル パスワードを指定します。

ステップ 5

webvpn(config)# line vty starting-line-number ending-line-number

設定する回線範囲を指定し、ライン コンフィギュレーション モードを開始します。

ステップ 6

webvpn(config-line)# login

ログイン時のパスワード確認をイネーブルにします。

ステップ 7

webvpn(config-line)# password password

回線上にパスワードを指定します。

ステップ 8

webvpn(config-line)# end

ライン コンフィギュレーション モードを終了します。

ステップ 9

webvpn# copy system:running-config nvram:startup-config

設定を NVRAM に保存します。

ステップ 10

Router# hw-module module mod reset

モジュールをリセットします。

次に、スロット 4 に搭載した WebVPN サービス モジュール上で、パスワードを回復する例を示します。

スーパーバイザ エンジンから、次のコマンドを入力します。

Router> enable
Password:
Router# copy tftp: pclc#4-fs:
Address or name of remote host []? 10.1.1.100
Source filename []? images/c6svc-webvpn-pwr.1-1-1.bin
Destination filename [images/c6svc-webvnp-pwr.1-1-1.bin]?
Accessing tftp://10.1.1.100/images/c6svc-webvpn-pwr.1-1-1.bin...
Loading images/c6svc-webvnp-pwr.1-1-1.bin from 10.1.1.100(via Vlan999): !
[OK - 435 bytes]
 
435 bytes copied in 0.092 secs (4728 bytes/sec)
2003 Nov 10 21:53:25 %SYS-3-SUP_ERRMSGFROMPC:MP upgrade/Password Recovery started.
2003 Nov 10 21:53:25 %SYS-3-SUP_ERRMSGFROMPC:Uncompress of the file succeeded.
Continuing upgrade/recovery.
2003 Nov 10 21:53:25 %SYS-3-SUP_ERRMSGFROMPC:This file appears to be a
PasswordRecovery image. Continuing.
2003 Nov 10 21:53:25 %SYS-3-SUP_ERRMSGFROMPC:Extraction of password recovery image
succeeded.
2003 Nov 10 21:53:25 %SYS-3-SUP_ERRMSGFROMPC:Continuing with password recovery.
 
2003 Nov 10 21:55:03 %SYS-3-SUP_ERRMSGFROMPC:System in password recovery mode.
2003 Nov 10 21:55:03 %SYS-3-SUP_ERRMSGFROMPC:Please recover configuration and reset board.
 
Router#
 

WebVPN サービス モジュール のコンソール ポートから、次のコマンドを入力します。

webvpn# copy system:startup-config nvram:running-config
 
webvpn(config)# enable password cisco
webvpn(config)# line vty 0 4
webvpn(config-line)# login
webvpn(config-line)# password cisco
webvpn(config-line)# end
webvpn# copy system:running-config nvram:startup-config
 

スーパーバイザ エンジンから、次のコマンドを入力します。

Router# hw-module module 4 reset
 

WebVPN サービス モジュール のコンソール ポートから、バックアップしてある鍵をインポートするか、または鍵を再生成します。

鍵の生成およびインポートの詳細については、「鍵および証明書の設定」 を参照してください。