ネットワーク管理 コンフィギュレーション ガイド Cisco IOS Release 15.1S
基本的なシステム管理の実行
基本的なシステム管理の実行
発行日;2012/02/02 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

基本的なシステム管理の実行

基本的なシステム管理作業の一覧

システム名の設定

CLI プロンプトのカスタマイズ

コマンド エイリアスの作成と表示

マイナー サービスの制御

BOOTP サーバの制御

Finger プロトコルの制御

Telnet アドレスの非表示化

時刻サービスとカレンダー サービスの設定

時刻源の概要

ネットワーク タイム プロトコル

ネットワーク タイム プロトコルの使用に関する制約事項 

簡易ネットワーク タイム プロトコル

VINES 時刻サービス

ハードウェア クロック

NTP の設定

ポーリングベースの NTP アソシエーションの設定

ブロードキャストベースの NTP アソシエーションの設定

NTP アクセス グループの設定

NTP 認証の設定

特定のインターフェイス上の NTP サービスのディセーブル化

NTP パケットの送信元 IP アドレスの設定

正規の NTP サーバとしてのシステムの設定

ハードウェア クロックの更新

外部基準クロックの設定

SNTP の設定

VINES 時刻サービスの設定

時刻と日付の手動設定

時間帯の設定

サマー タイムの設定

ソフトウェア クロックの手動設定

ハードウェア クロックの使用

ハードウェア クロックの設定

ネットワークの時刻源としてのルータの設定

ハードウェア クロックからのソフトウェア クロックの設定

ソフトウェア クロックからのハードウェア クロックの設定

時刻サービスとカレンダー サービスのモニタリング

時間範囲の設定

時間範囲の定義

時間範囲の参照

EXEC の起動の遅延

アイドルな Telnet 接続の処理

負荷データの間隔の設定

TCP トランザクション数の制限

スイッチングおよびスケジューリング プラオリティの設定

システム バッファ サイズの変更

基本的なシステム管理の例

システム コンフィギュレーション ファイルの例

クロック、カレンダー、および NTP の設定例

バッファの変更例

基本的なシステム管理の実行

この章では、Cisco IOS ソフトウェアの一般的なシステム機能(つまり、通常は特定のプロトコルに固有でない機能)を管理するために実行できる基本的な管理作業について説明します。

このマニュアルは、Cisco IOS Release 12.2 に適用されます。

この章で説明する基本的なシステム管理コマンドの詳細については、 リリース 12.2 『 Cisco IOS Configuration Fundamentals Command Reference の「Cisco IOS System Management Commands」パートにある「Basic System Management Commands」を参照してください この章で出現するその他のコマンドのマニュアルを見つけるには、『 Cisco IOS Command Reference Master Index 』または検索オンラインを参照してください。

特定の機能のためのハードウェアまたはソフトウェア イメージのサポートを識別するには、Cisco.com で Feature Navigator を使用するか、特定のリリースのソフトウェア リリース ノートを参照してください。詳細については、「About Cisco IOS Software Documentation」の章の「 Identifying Platform Support for Cisco IOS Software Features 」の章を参照してください。

基本的なシステム管理作業の一覧

システムの一般的な機能をカスタマイズするには、次の項で任意の作業を実行します。この章のすべての作業は任意です。ただし、一部の作業(時刻サービスやカレンダー サービスの設定など)については、実行することを強くお勧めします。

「システム名の設定」(推奨)

「CLI プロンプトのカスタマイズ」

「コマンド エイリアスの作成と表示」

「マイナー サービスの制御」(推奨)

「Telnet アドレスの非表示化」

「時刻サービスとカレンダー サービスの設定」(推奨)

「EXEC の起動の遅延」

「アイドルな Telnet 接続の処理」

「負荷データの間隔の設定」

「TCP トランザクション数の制限」

「スイッチングおよびスケジューリング プラオリティの設定」

「システム バッファ サイズの変更」

「基本的なシステム管理の例」については、この章の最後を参照してください。

システム名の設定

最も基本的なシステム管理作業は、システム(ルータ、アクセス、サーバ、スイッチなど)への名前の割り当てです。システム名(ホスト名とも呼ばれます)は、ネットワーク内のシステムを一意に識別するために使用します。システム名は、Command-Line Interface(CLI; コマンドライン インターフェイス)プロンプトに表示されます。名前を設定していない場合は、システムのデフォルト名である Router になります。デバイスの名前を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# hostname name

ホスト名を設定します。

システム名の設定例については、この章の最後にあるシステム コンフィギュレーション ファイルの例を参照してください。

CLI プロンプトのカスタマイズ

デフォルトでは、CLI プロンプトは、システム名とそれに続く山カッコ(>)(ユーザ EXEC モードの場合)またはポンド記号(#)(特権 EXEC モードの場合)で構成されます。システムの CLI プロンプトをカスタマイズするには、必要に応じて、グローバル コンフィギュレーション モードで次のいずれかのコマンドを使用します。

 

コマンド
目的

Router(config)# prompt string

CLI プロンプトをカスタマイズします。

Router(config)# no service prompt config

CLI プロンプトの表示をディセーブルにします。

コマンド エイリアスの作成と表示

コマンド エイリアスを使用して、コマンドの代替構文を設定できます。よく使用するコマンドや複雑なコマンドのエイリアスを作成することもできます。たとえば、キーボードからの入力量を減らしたい場合や、覚えやすい save config コマンドをユーザが見つけた場合は、エイリアス save config copy running-config startup-config コマンドに割り当てることができます。自分またはユーザ コミュニティのためにコマンド構文を調整する場合は、単語の置換または省略形を使用します。

コマンド エイリアスを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# alias mode alias-name alias-command-line

コマンド エイリアスを設定します。

システムに現在設定されているコマンド エイリアスのリストおよびそれらのエイリアスの元のコマンド構文を表示するには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# show aliases [ mode ]

すべてのコマンド エイリアスと元のコマンド構文、または指定されたコマンド モードだけのエイリアスを表示します。

設定するすべてのエイリアスはシステム上だけでイネーブルになること、および元のコマンド構文は設定ファイル内に表示されることに注意してください。

マイナー サービスの制御

マイナー サービスは、ルーティング デバイス上で稼動する「小さなサービス」であり、基本的なシステム テストおよび基本的なネットワーク機能の提供において役立ちます。マイナー サービスは、ネットワーク上の別のホストから接続テストを行う場合に便利です。

シスコのスモール サーバは、概念的にはデーモンと同じです。

Cisco IOS ソフトウェアベースのデバイスによって提供されるスモール サーバには、Transmission Control Protocol(TCP)、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)、HyperText Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)、Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)、Finger などがあります。HTTP サーバについては、『 Cisco IOS Configuration Fundamentals Configuration Guide 』の 「Using the Cisco Web Browser User Interface」 の章を参照してください。

TCP スモール サーバは、次のマイナー サービスを提供します。

echo:すべての入力内容をエコー バックします。このサービスをテストするには、リモート ホストから telnet a.b.c.d echo コマンドを発行します。

chargen:ASCII データのストリームを生成します。このサービスをテストするには、リモート ホストから telnet a.b.c.d chargen コマンドを発行します。

discard:入力内容をすべて廃棄します。このサービスをテストするには、リモート ホストから telnet a.b.c.d discard コマンドを発行します。

daytime:Network Time Protocol(NTP; ネットワーク タイム プロトコル)が設定されている場合、または日付と時刻が手動で設定されている場合に、システムの日付と時刻を返します。このサービスをテストするには、リモート ホストから telnet a.b.c.d daytime コマンドを発行します。

UDP スモール サーバは、次のマイナー サービスを提供します。

echo:送信されたデータグラムのペイロードをエコーします。

chargen:送信されたデータグラムを廃棄し、CR+LF(復帰と改行)で終端された 72 文字の ASCII 文字列で応答します。

discard:送信されたデータグラムを破棄し、自動的に廃棄します。

TCP または UDP サービスをイネーブルにするには、必要に応じて、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# service tcp-small-servers

マイナー TCP サービスである echo、chargen、discard、および daytime をイネーブルにします。

Router(config)# service udp-small-servers

マイナー UDP サービスの echo、chargen、discard、および daytime をイネーブルにします。

マイナー サービスは誤使用の可能性があるため、これらのコマンドはデフォルトでディセーブルになっています。


注意 マイナー サービスをイネーブルにすると、特定のタイプの Denial-of-Service(DoS; サービス拒絶)攻撃(UDP 診断ポート攻撃など)が発生する可能性が生まれます。したがって、UDP、TCP、BOOTP または Finger サービスを提供するすべてのネットワーク デバイスをファイアウォールで保護するか、これらのサービスをディセーブルにしておく必要があります。UDP 診断ポート攻撃の防止については、Cisco.com で入手できる「Defining Strategies to Protect Against UDP Diagnostic Port Denial of Service Attacksというタイトルのホワイトペーパーを参照してください。

これらの基本サービスをディセーブルにすると、コンフィギュレーション ファイル内に service tcp-small-servers コマンドおよび service udp-small-servers コマンドの no 形式が表示されます。

BOOTP サーバの制御

ルーティング デバイスの非同期回線 BOOTP サービスをイネーブルまたはディセーブルにできます。このスモール サーバは、デフォルトでイネーブルになっています。セキュリティ上の考慮事項により、このサービスを使用しない場合はディセーブルにしておく必要があります。ご使用のプラットフォームで BOOTP サーバをディセーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# no ip bootp server

BOOTP サーバをディセーブルにします。

Dynamic Host Configuration Protocol(DHCP)はブートストラップ プロトコルに基づいているため、これらのサービスは、(インターネット標準および Request For Comments(RFC)により)「ウェルノウン」UDP サーバ ポート 67 を共有します。Cisco IOS ソフトウェアにおける DHCP コンフィギュレーションの詳細については、『 Cisco IOS IP Configuration Guide 』を参照してください。BOOTP の詳細については、RFC 951 を参照してください。BOOTP と DHCP の相互運用性は、RFC 1534 で定義されています。DHCP は、RFC 2131 で定義されています。

Finger プロトコルの制御

Finger プロトコルを使用すると、ネットワーク全体のユーザは、現在、特定のルーティング デバイスを使用しているユーザのリストを取得できます。表示される情報には、システムで稼動しているプロセス、回線番号、接続名、アイドル時間、終端位置などがあります。この情報は、Cisco IOS ソフトウェアの show users EXEC コマンドを通じて提供されます。

シスコ デバイス上で Finger(ポート 79)要求への応答をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ip finger

システムが finger 要求に応答できるようにする Finger プロトコル サービスをイネーブルにします。

RFC 1288 に準拠するように finger プロトコルを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ip finger rfc-compliant

Finger 要求の処理時に「戻り」または「/W」の入力を待つようにデバイスを設定します。

20 を超える同時ユーザを持つデバイスには、このコマンドの rfc-compliant 形式を設定しないでください(Cisco.com で警告 CSCds92731 を参照してください)。このコマンドの 2 つの形式の違いは次のとおりです。 ip finger コマンドが設定されている場合、ルータは、リモート ホストからの telnet a.b.c.d finger コマンドに対して、 show users コマンドの出力を即時に表示し、接続を閉じることによって応答します。 ip finger rfc-compliant コマンドを設定すると、ルータは、出力を表示する前に、入力を待ちます。その後、リモート ユーザは Return キーを押して show users コマンドの出力を表示したり、 /W を入力して show users wide コマンドの出力を表示したりできます。この情報が表示されたら、接続が閉じます。

Telnet アドレスの非表示化

Telnet セッションの確立を試行している間、アドレスを非表示にできます。Telnet アドレスを抑制するようにルータを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# service hide-telnet-address

Telnet セッションを確立している間、アドレスを非表示にします。

非表示機能により、アドレスの表示を抑制しながら、通常、接続の試行中に表示されるその他のすべてのメッセージ(接続が失敗した場合の詳細なエラー メッセージなど)を引き続き表示できます。

Telnet 接続の試行中に表示される情報をカスタマイズするには、 busy-message ライン コンフィギュレーション コマンドを service hide-telnet-address コマンドとともに使用します。接続の試行が失敗すると、ルータはアドレスを抑制し、 busy-message コマンドで指定されたメッセージを表示します。

時刻サービスとカレンダー サービスの設定

すべてのCisco ルータには、一連の Time-of-Day サービスが用意されています。これらのサービスにより、ルータは、現在の時刻と日付を正確に追跡し、複数のデバイスを同じ時刻に同期させ、他のシステムに時刻サービスを提供できます。ここでは、時刻サービスとカレンダー サービスの概念および関連作業について説明します。

「時刻源の概要」

「NTP の設定」

「SNTP の設定」

「VINES 時刻サービスの設定」

「時刻と日付の手動設定」

「ハードウェア クロックの使用」

「時刻サービスとカレンダー サービスのモニタリング」

「時間範囲の設定」

時刻源の概要

ほとんどの Cisco ルータには、バッテリ駆動式のハードウェア クロック(CLI コマンドでは「カレンダー」と呼びます)およびソフトウェア クロック(CLI コマンドでは「クロック」と呼びます)という 2 つのクロックがあります。この 2 つのクロックは個別に管理されています。

システム上の時刻データのプライマリ ソースは、ソフトウェア クロックです。このクロックはシステムが起動した瞬間から稼動して、現在の日付と時刻を追跡します。ソフトウェア クロックはさまざまなソースから設定できるだけでなく、さまざまなメカニズムを通じて現在の時刻を順に他のシステムに配信するために使用できます。ハードウェア クロックが内蔵されたルータを初期化または再起動すると、ハードウェア クロックの時刻に基づいてソフトウェア クロックが初期設定されます。その後、ソフトウェア クロックは次のソースによって更新できます。

手動設定(ハードウェア クロックを使用)

NTP

Simple Network Time Protocol(SNTP; 簡易ネットワーク タイム プロトコル)

Virtual Integrated Network Service(VINES)時刻サービス

ソフトウェア クロックは動的に更新できるため、ハードウェア クロックよりも正確である可能性があります。

ソフトウェア クロックは次のサービスに時刻を提供できます。

アクセス リスト

ロギング メッセージとデバッグ メッセージ

NTP

ハードウェア クロック

ユーザの show コマンド

VINES 時刻サービス


) SNTP を使用して設定した場合、ソフトウェア クロックは NTP または VINES 時刻サービスに時刻を提供できません。


ソフトウェア クロックは、Greenwich Mean Time(GMT; グリニッジ標準時)とも呼ばれる Coordinated Universal Time(UTC; 世界標準時)に基づいて内部的に時刻を追跡します。ローカル時間帯に対して時刻が正しく表示されるように、地域の時間帯とサマー タイムに関する情報を設定できます。

ソフトウェア クロックは、時刻が「正規」であるかどうか(つまり、信頼できると見なされる時刻源によって設定されたかどうか)を追跡します。正規でない場合、時刻は表示のためだけに使用でき、再配信されません。

ネットワーク タイム プロトコル

NTP は、ネットワーク接続されたマシンの時刻を同期させる目的で設計されたプロトコルです。NTP は、IP 上で動作する UDP 上で動作します。NTP バージョン 3 は、RFC 1305 に記載されています。

NTP ネットワークは通常、タイム サーバに接続されたラジオ クロック、アトミック クロックなど、信頼できる時刻源から時刻を取得します。その後、NTP はこの時刻をネットワークを介して配信します。NTP はきわめて効率的です。毎分 1 パケットだけで、2 台のマシンが相互に 1 ミリ秒以内の精度で同期します。

NTP では「層」(stratum)の概念を使用して、マシンが正規の時刻源からどれだけ離れているかを NTP の「ホップ数」で表します。「Stratum 1」タイム サーバには、通常、正規の時刻源(ラジオ クロックやアトミック クロック、または Global Positioning System(GPS; グローバル ポジショニング システム)などの時刻源)が直接接続されています。「Stratum 2」タイム サーバは、NTP を介して「Stratum 1」タイム サーバから時刻を受信し、後続のタイム サーバが順に時刻を受信します。

NTP は、次の 2 つの方法により、時刻が正確でない可能性があるマシンへの同期を回避します。まず、NTP は、それ自身が同期されていないマシンには同期しません。次に、NTP は、複数のマシンによって報告された時刻を比較し、時刻が他と大きく異なるマシンには、下位の層であっても同期しません。この方法により、NTP サーバの自己編成型ツリーが効率的に構築されます。

シスコによる NTP の実装では、Stratum 1 サービスはサポートされません。つまり、ラジオ クロックやアトミック クロックには接続できません(ただし、一部のプラットフォームでは、GPS 時刻源デバイスを接続できます)。ネットワークのタイム サービスは、IP インターネットで利用できるパブリックな NTP サーバから取得することを推奨します。

ネットワークがインターネットから切り離されている場合、シスコによる NTP の実装では、実際には他の方法で時刻を決定している場合でも、NTP を介して同期されているものとして動作するようにマシンを設定できます。その後、NTP を介して、そのマシンに他のマシンを同期させることができます。

多くの製造業者は、そのホスト システムに NTP ソフトウェアを含めているため、UNIX が稼動するシステム用に公開されているバージョンおよびその派生商品を使用できます。また、このソフトウェアにより、UNIX 派生サーバは、(その後、Cisco ルータに時刻情報を伝播する)アトミック クロックから時刻を直接取得することもできます。

NTP を実行しているマシン(「アソシエーション」と呼ばれます)間の通信は、通常、スタティックに設定されます。つまり、各マシンにすべてのマシンの IP アドレスが与えられ、それぞれがその情報を使用してアソシエーションを形成します。正確なタイムキーピングは、アソシエーションを持つマシンのペア間で NTP メッセージを交換することによって実現されます。

しかし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。この代替手段では、各マシンが単にブロードキャスト メッセージの送受信を行うように設定できるため、設定の複雑さが緩和されます。ただし、情報の流れが一方向に限定されるため、タイムキーピングの精度がわずかに低下します。

マシン上で維持される時刻はクリティカルなリソースであるため、NTP のセキュリティ機能を使用して、不正な時刻を誤って(または悪意を持って)設定できないように保護することを強くお勧めします。これには、アクセス リスト ベースの制約方式と暗号化認証メカニズムの 2 つのメカニズムを使用できます。

複数の時刻源(VINES、ハードウェア クロック、手動設定)を使用できる場合、NTP は常により信頼できると見なされます。NTP 時刻は、他の方法で設定された時刻よりも優先されます。

ネットワーク タイム プロトコルの使用に関する制約事項 

NTP パッケージには、認証されていないリモート攻撃者が DoS 状態を発生させる可能性がある脆弱性が含まれています。NTP バージョン 4.2.4p7 以前は脆弱です。

この脆弱性は、特定の不正メッセージの処理におけるエラーによるものです。認証されていないリモート攻撃者は、スプーフィングされた送信元 IP アドレスを使用して、悪意ある NTP パケットを脆弱なホストに送信する可能性があります。このパケットを処理するホストは、送信者に応答パケットを返信します。この処理により、2 つのホスト間でメッセージのループが開始される可能性があります。その結果、両方のホストは、過剰な CPU リソースを消費し、ログファイルへのメッセージの書き込みにディスク スペースを使い切り、ネットワーク帯域幅を消費します。これにより、影響を受けたホスト上で DoS 状態が発生する可能性があります。

詳細については、[ Network Time Protocol Package Remote Message Loop Denial of Service Vulnerability ] Web ページを参照してください。

NTPv4 をサポートしている Cisco IOS ソフトウェア リリースは影響を受けません。それ以外のバージョンの Cisco IOS および Cisco IOS XE ソフトウェアはすべて影響を受けます。

デバイスが NTP を使用するように設定されているかどうかを表示するには、 show running-config | include ntp コマンドを使用します。出力に次のいずれかのコマンドが返された場合、そのデバイスは DoS 攻撃に対して脆弱です。

ntp master

ntp peer

ntp server

ntp broadcast client

ntp multicast client

Cisco IOS ソフトウェア リリースの詳細については、『 White Paper: Cisco IOS Reference Guide 』を参照してください。

デバイス上で NTP をディセーブルにする以外に回避策はありません。この脆弱性を悪用できるのは、デバイス上の設定済み IP アドレスに宛てられたパケットだけです。中継トラフィックは、この脆弱性を悪用しません。

Cisco IOS Release 12.2(33)SXH7 よりも後のリリースでは、NTP モード 7 パケットは処理されません。NTP のデバッグがイネーブルになっている場合は、「NTP: Receive: dropping message: Received NTP private mode packet .7」というメッセージが表示されます。NTP モード 7 パケットを処理するには、 ntp allow mode private コマンドを設定します。このコマンドは、デフォルトでディセーブルになっています。


) NTP ピア認証は回避策ではなく、脆弱な設定です。


簡易ネットワーク タイム プロトコル

SNTP は、Cisco 1003、Cisco 1004、Cisco 1005、Cisco 1600、Cisco 1720、および Cisco 1750 ルータ上で使用されるクライアント専用の簡易版 NTP です。SNTP は、NTP サーバから時刻を受信できるだけで、時刻サービスを他のシステムに提供できません。

通常、SNTP は 100 ミリ秒以内の精度で時刻を提供しますが、NTP のような複雑なフィルタリングや統計メカニズムは提供しません。また、拡張アクセス リストを設定することによってある程度の保護を提供できますが、トラフィックを認証できません。SNTP クライアントは、不正な動作を行うサーバ対して NTP クライアントよりも脆弱であるため、強力な認証が必要とされない状況だけで使用する必要があります。

SNTP は、設定済みのサーバからパケットを要求して受け入れるように設定するか、任意の送信元から NTP ブロードキャスト パケットを受け入れるように設定できます。複数の送信元が NTP パケットを送信している場合、最適な層にあるサーバが選択されます(層については、ネットワーク タイム プロトコルを参照してください)。複数のサーバが同じ層にある場合は、ブロードキャスト サーバよりも、設定済みのサーバが優先されます。これらの両方を満たすサーバが複数ある場合は、時刻パケットを最初に送信したサーバが選択されます。SNTP が新しいサーバを選択するのは、現在選択しているサーバからのパケットの受信を停止している場合、または(上記の基準に従って)より適切なサーバが検出された場合だけです。

VINES 時刻サービス

Banyan VINES を設定すると、時刻サービスを使用できます。このプロトコルは、VINES の標準部分です。シスコの実装では、2 つの方法で VINES 時刻サービスを使用できます。最初の方法では、他の時刻源から時刻を認識すると、システムは VINES タイム サーバとして動作し、VINES を実行している他のマシンに時刻を提供できます。2 番目の方法では、他の形式の時刻サービスを使用できない場合に、システムは VINES 時刻サービスを使用してソフトウェア クロックを設定できます。


) Cisco IOS Release 12.2(13)T 以降のリリースでは、Cisco IOS ソフトウェアから Banyan VINES および Xerox Network Services(XNS)のサポートが削除されています。


ハードウェア クロック

一部のルータは、システムの再起動から電源停止に至る日付および時刻を追跡するバッテリ駆動式のハードウェア クロックを内蔵しています。システムの再起動時には、ハードウェア クロックを常に使用してソフトウェア クロックが初期化されます。


) CLI コマンド構文においては、ハードウェア クロックは「システム カレンダー」と呼ばれます。


他の時刻源を使用できない場合、ハードウェア クロックは正規の時刻源と見なされ、NTP または VINES 時刻サービスを通じて再配信されます。NTP が実行されている場合は、ハードウェア クロックを NTP から定期的に更新して、ハードウェア クロック固有のドリフトを補正できます。

NTP の設定

すべてのインターフェイス上で、NTP サービスはデフォルトでディセーブルになっています。ここでは、ネットワーキング デバイス上で実行できる任意の作業について説明します。

「ポーリングベースの NTP アソシエーションの設定」

「ブロードキャストベースの NTP アソシエーションの設定」

「NTP アクセス グループの設定」

「NTP 認証の設定」

「特定のインターフェイス上の NTP サービスのディセーブル化」

「NTP パケットの送信元 IP アドレスの設定」

「正規の NTP サーバとしてのシステムの設定」

「ハードウェア クロックの更新」

「外部基準クロックの設定」

ポーリングベースの NTP アソシエーションの設定

NTP を実行しているネットワーキング デバイスは、時刻を基準時刻源と同期する際にさまざまなアソシエーション モードで動作するように設定できます。ネットワーキング デバイスは、2 つの方法でネットワーク上の時刻情報を取得できます。それらは、ホスト サービスのポーリングと NTP ブロードキャストのリスニングです。ここでは、ポーリングベースのアソシエーション モードを中心に説明します。ブロードキャストベースの NTP アソシエーションについては、次のセクションで説明します。

最も一般的に使用される 2 つのポーリングベースのアソシエーション モードは次のとおりです。

クライアント モード

対称アクティブ モード

クライアント モードと対称アクティブ モードは、高レベルの時刻の精度と信頼性を提供するために NTP が必要になる場合に使用します。

クライアント モードで動作しているネットワーキング デバイスは、自身に割り当てられている時刻提供ホストをポーリングして現在の時刻を取得します。次に、ネットワーキング デバイスは、ポーリングしたすべてのタイム サーバの中から、同期するホストを選択します。この場合に確立される関係はクライアントとホストの関係であるため、ホストは、ローカル クライアント デバイスによって送信された時刻情報をキャプチャしたり、使用したりしません。このモードは、他のローカル クライアントにどのような形式の時刻同期も提供する必要がないファイル サーバおよびワークステーション クライアントに最適です。ネットワーキング デバイスを同期させる時刻提供ホストを個別に指定し、クライアント モードで動作するようにネットワーキング デバイスを設定するには、 ntp server コマンドを使用します。

対称アクティブ モードで動作しているネットワーキング デバイスは、自身に割り当てられている時刻提供ホストをポーリングして現在の時刻を取得し、そのホストによるポーリングに応答します。これはピアツーピアの関係であるため、ホストは、通信中のローカル ネットワーキング デバイスに関する時刻関連情報も維持します。このモードは、さまざまなネットワーク パスを経由で多数の冗長サーバが相互接続されている場合に使用します。インターネット上のほとんどの Stratum 1 および Stratum 2 サーバは、この形式のネットワーク設定を採用しています。ネットワーキング デバイスを同期させたい時刻提供ホストを個別に指定し、対称アクティブ モードで動作するようにネットワーキング デバイスを設定するには、 ntp peer コマンドを使用します。

各ネットワーキング デバイスを具体的にどのモードに設定するかは、主にタイムキーピング デバイス(サーバまたはクライアント)として担わせる役割および Stratum 1 タイムキーピング サーバへの近さによって異なります。

ネットワーキング デバイスは、クライアントまたはホストとして動作している場合(クライアント モード)またはピアとして動作している場合(対称アクティブ モード)にポーリングを行います。通常、ポーリングによってメモリおよび CPU リソース(帯域幅など)が損なわれることはありませんが、システム上で進行または同時実行しているポーリングの数がきわめて多い場合には、システムのパフォーマンスに深刻な影響があったり、特定のネットワークのパフォーマンスが低下したりする可能性があります。過剰な数のポーリングがネットワーク上で進行することを防止するには、直接的なピアツーピア アソシエーションまたはクライアントからサーバへのアソシエーションを制限する必要があります。代わりに、NTP ブロードキャストを使用して、ローカライズされたネットワーク内で時刻情報を伝播することを検討します。

NTP サーバとピアの関係を設定するには、次のコマンドを使用します。

 

コマンド
目的

Router(config)# ntp peer ip-address [ normal-sync ] [ version number ] [ key keyid ] [ source interface ] [ prefer ]

別のシステムとのピア アソシエーションを形成します。

Router(config)# ntp server ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ]

別のシステムとのサーバ アソシエーションを形成します。

アソシエーションの一端だけを設定することに注意してください。アソシエーションは、相手側のシステムによって自動的に確立されます。


注意 copy running-configuration startup-configuration コマンドを入力してコンフィギュレーションを NonVolatile Random-Access Memory(NVRAM; 不揮発性 RAM)に保存すると、常に変化している補正係数を反映するために ntp clock-period コマンドが自動的に生成されます。ntp clock-period を、受動で使用しないでください。コンフィギュレーション ファイルを他のデバイスにコピーすると、このコマンドラインは削除されます。

NTP サーバとピアの関係の設定例については、この章の最後にあるクロック、カレンダー、および NTP の設定例を参照してください。

ブロードキャストベースの NTP アソシエーションの設定

ブロードキャストベースの NTP アソシエーションは、時刻の精度および信頼性要件が適度であり、ネットワークがローカライズされ、クライアント数が 20 を超える場合に使用します。また、帯域幅、システム メモリ、または CPU リソースが制限されているネットワークにおいても、ブロードキャストベースの NTP アソシエーションの使用をお勧めします。

ブロードキャスト クライアント モードで動作しているネットワーキング デバイスは、ポーリングを行いません。代わりに、ブロードキャスト タイム サーバによって送信された NTP ブロードキャスト パケットをリスンします。その結果、時刻情報の流れが一方向に限られるため、時刻の精度がわずかに低下する可能性があります。

ネットワークを通じて伝播される NTP ブロードキャスト パケットをリスンするようにネットワーキング デバイスを設定するには、 ntp broadcast client コマンドを使用します。ブロードキャスト クライアント モードが動作するためには、ブロードキャスト サーバとそのクライアントが同じサブネット上に存在する必要があります。また、 ntp broadcast コマンドを使用して、NTP ブロードキャスト パケットを送信しているタイム サーバを特定のデバイスのインターフェイス上でイネーブルにする必要もあります。

特定のインターフェイスが NTP ブロードキャストを送信するように設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ntp broadcast [ version number ]

指定されたインターフェイスが NTP ブロードキャスト パケットを送信するように設定します。

特定のインターフェイスが NTP ブロードキャストを受信するように設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# ntp broadcast client

指定されたインターフェイスが NTP ブロードキャスト パケットを受信するように設定します。

デバイスと NTP ブロードキャスト サーバの間の推定ラウンドトリップ遅延を手動で設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ntp broadcastdelay microseconds

NTP ブロードキャストの推定ラウンドトリップ遅延を調整します。


注意 copy running-configuration startup-configuration コマンドを入力してコンフィギュレーションを NVRAM に保存すると、常に変化している補正係数を反映するために ntp clock-period コマンドが自動的に生成されます。ntp clock-period を、受動で使用しないでください。コンフィギュレーション ファイルを他のデバイスにコピーすると、このコマンドラインは削除されます。

ブロードキャストベースの NTP アソシエーションの設定例については、この章の最後にあるクロック、カレンダー、および NTP の設定例を参照してください。

NTP アクセス グループの設定

アクセス リスト ベースの制約方式を使用すると、ネットワーク全体、ネットワーク内のサブネット、またはサブネット内のホストへの特定のアクセス権限を付与または拒否できます。NTP アクセス グループを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ntp access-group { query-only | serve-only | serve | peer } access-list-number

アクセス グループを作成して、基本的な IP アクセス リストを適用します。

アクセス グループ オプションは、制限が最も緩いものから最も厳しいものに向かって、次の順序でスキャンされます。

1. peer :時刻要求と NTP 制御クエリーを許可し、システムがアクセス リストの基準を満たすアドレスを持つ別のシステムに同期することを許可します。

2. serve :時刻要求と NTP 制御クエリーを許可しますが、システムがアクセス リストの基準を満たすアドレスを持つ別のシステムに同期することを許可しません。

3. serve-only :アクセス リストの基準を満たすアドレスを持つ別のシステムからの時刻要求だけを許可します。

4. query-only :アクセス リストの基準を満たすアドレスを持つ別のシステムからの NTP 制御クエリーだけを許可します。

送信元 IP アドレスが複数のアクセス タイプのアクセス リストに一致する場合は、最初のタイプが付与されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべてのデバイスに付与されます。アクセス グループが指定されている場合は、指定されたアクセス タイプだけが付与されます。

NTP 制御クエリーの詳細については、RFC 1305(NTP バージョン 3)を参照してください。

NTP 認証の設定

信頼できる形式のアクセス コントロールが必要な場合は、暗号化された NTP 認証方式を使用する必要があります。IP アドレスに基づくアクセス リスト ベースの制約方式とは異なり、暗号化認証方式では、認証キーと認証プロセスを使用して、ローカル ネットワーク上の指定されたピアまたはサーバによって送信された NTP 同期パケットが信頼できると見なされるかどうかを、一緒に伝送された時刻情報を受け入れる前に判断します。

認証プロセスは、NTP パケットが作成されるとすぐに開始されます。暗号チェックサム キーは、Message-Digest Algorithm 5(MD5)を使用して生成され、受信側クライアントに送信される NTP 同期パケットに埋め込まれます。クライアントがパケットを受信すると、暗号チェックサム キーが復号化され、信頼キーのリストと照合されます。一致するオーセンティケータ キーがパケットに含まれる場合、受信側クライアントは、パケットに含まれるタイムスタンプ情報を受け入れます。一致するオーセンティケータ キーが含まれていない NTP 同期パケットは無視されます。

NTP 認証で使用される暗号化および複合化プロセスでは、CPU に非常に大きな負荷がかかる場合があり、ネットワーク内で伝播される時刻の精度が大きく低下する可能性があることに注意してください。ネットワークの設定によってより包括的なアクセス コントロール モデルを許容できる場合は、代わりにアクセス リスト ベースのコントロール方式を使用することを検討してください。

NTP 認証が適切に設定されると、ネットワーク デバイスは、信頼できる時刻源と同期し、信頼できる時刻源だけに同期を提供します。ネットワーキング デバイスで暗号化された同期パケットの送受信をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# ntp authenticate

NTP 認証機能をイネーブルにします。

ステップ 2

Router(config)# ntp authentication-key key-number md5 value

認証キーを定義します。

キーごとに、キー番号、タイプ、および値を 1 つずつ指定します。Cisco IOS Release 10.0 の時点でサポートされているキー タイプは md5 だけです。

ステップ 3

Router(config)# ntp trusted-key key-number

信頼できる認証キーを定義します。

キーを信頼できる場合、このシステムは、このキーを NTP パケット内で使用する別のシステムに同期できます。

ステップ 4

Router (config)# ntp server 172.16.0.6 key key-number

NTP タイム サーバによるソフトウェア クロックの同期を許可します。


) Release 12.0 よりも前の Cisco IOS ソフトウェアでは、show running-config コマンドを入力すると、NTP 認証キー md5 の値とともに cryptotype 値が表示されます。認証キーとともに表示されている cryptotype の文字列値をコピー & ペーストしないでください。認証エラーが発生します。


特定のインターフェイス上の NTP サービスのディセーブル化

すべてのインターフェイス上で、NTP サービスはデフォルトでディセーブルになっています。

任意の NTP コマンドを入力すると、NTP がグローバルにイネーブルになります。インターフェイス コンフィギュレーション モードで次のコマンドを使用して特定のインターフェイス上の NTP をオフにすることにより、特定のインターフェイスによる NTP パケットの受信を選択的に回避できます。

 

コマンド
目的

Router(config-if)# ntp disable

特定のインターフェイス上の NTP サービスをディセーブルにします。

NTP パケットの送信元 IP アドレスの設定

システムが NTP パケットを送信すると、通常、送信元 IP アドレスは、その NTP パケットの送信元であるインターフェイスのアドレスに設定されます。IP 送信元アドレスの取得元のインターフェイスを設定する場合は、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ntp source interface

IP 送信元アドレスの取得元のインターフェイスを設定します。

このインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、この章ですでに説明した ntp peer コマンドまたは ntp server コマンドで source パラメータを使用します。

正規の NTP サーバとしてのシステムの設定

システムを正規の NTP サーバにする場合は、グローバル コンフィギュレーション モードで次のコマンドを使用します。これは、システムが外部の時刻源と同期されていない場合でも同じです。

 

コマンド
目的

Router(config)# ntp master [ stratum ]

システムを正規の NTP サーバにします。


ntp master コマンドは、注意して使用してください。このコマンドを使用すると、有効な時刻源が簡単に上書きされてしまいます。低い層番号を設定する際には、特に注意する必要があります。ntp master コマンドを使用して同じネットワーク内に複数のマシンを設定すると、各マシンの時刻が一致しない場合にタイムキーピングが不安定になる可能性があります。


正規の NTP サーバの設定例については、この章の最後にあるクロック、カレンダー、および NTP の設定例を参照してください。

ハードウェア クロックの更新

ハードウェア クロック(システム カレンダー)を内蔵しているデバイスでは、ソフトウェア クロックから定期的に更新するようにハードウェア クロックを設定できます。これは、NTP を使用するすべてのデバイスに推奨される方法です。それは、ハードウェア クロックの時刻設定は時間とともにわずかにドリフトする可能性があり、(NTP を使用して設定する)ソフトウェア クロックの時刻と日付の方がハードウェア クロックよりも正確であるためです。

ルーティング デバイスが NTP 経由で外部の時刻源と同期されている場合に、ハードウェア クロックを NTP 時刻に同期させるときは、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# ntp update-calendar

ソフトウェア クロックから定期的にハードウェア クロックを更新するようにシステムを設定します。

カレンダーを更新するように NTP を設定する例については、この章の最後にあるクロック、カレンダー、および NTP の設定例を参照してください。

外部基準クロックの設定

シスコによる NTP の実装では Stratum 1 サービスはサポートされないため、ラジオ クロックやアトミック クロックには接続できません(ただし、一部のプラットフォームでは、GPS 時刻源デバイスを接続できます)。ただし、一部のシスコ デバイスでは、NTP によって時刻信号をネットワークに配信する目的で外部の GPS ベース時刻源デバイスを接続できます。

たとえば、Trimble Palisade NTP Synchronization Kit を Cisco 7200 シリーズ ルータの補助ポートに接続できます。また、一部のプラットフォームでは、Symmetricom(旧 Telecom-Solutions)製の GPS クロックの使用がサポートされます。このようなプラットフォーム上の refclock(基準クロック)ドライバには、ルーティング デバイスの補助ポート上で Ready To send(RTS)タイムスタンプ信号を受信するための機能が用意されています。

Cisco 7200 シリーズ ルータの補助ポートに接続された Trimble Palisade GPS 製品を NTP 基準クロックとして設定するには、グローバル コンフィギュレーション モードを開始して次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# line aux 0

補助ポート 0 のライン コンフィギュレーション モードを開始します。

ステップ 2

Router(config-line)# ntp refclock trimble pps none stratum 1

Trimble Palisade NTP Synchronization Kit を NTP 基準クロック ソースとして使用できるドライバをイネーブルにします(Cisco 7200 シリーズ ルータのみ)。

サポートされているルータまたはスイッチの補助ポートに接続された Symmetricom GPS 製品を NTP 基準クロックとして設定するには、グローバル コンフィギュレーション モードを開始して次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# line aux 0

補助ポート 0 のライン コンフィギュレーション モードを開始します。

ステップ 2

Router(config-line)# ntp refclock telecom-solutions pps cts stratum 1

Symmetricom GPS 製品を NTP 基準クロック ソースとして使用できるドライバをイネーブルにします。

NTP 同期のソースとして Pulse Per Second(PPS)信号を設定するには、ライン コンフィギュレーション モードで ntp refclock コマンドの次の形式を使用します。

 

コマンド
目的

Router(config-line)# ntp refclock pps { cts | ri } [ inverted ] [ pps-offset number ] [ stratum number ] [ timestamp-offset number ]

NTP 同期のソースとして PPS 信号を設定します。

外部基準クロックのステータスの確認

NTP コンポーネントのステータスを確認するには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# show ntp associations

NTP アソシエーションのステータスを表示します(GPS 基準クロックのステータスを含みます)。

Router# show ntp status

NTP のステータスを表示します。

Router# debug ntp refclock

デバッグを目的とした基準クロック動作の拡張モニタリングを許可します。

SNTP の設定

SNTP は、通常、Cisco 1000 シリーズ、1600 シリーズ、および 1700 シリーズ プラットフォームなど、NTP のサポートを提供しないプラットフォーム上でサポートされます。SNTP は、デフォルトでディセーブルになっています。SNTP をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドのいずれか(または両方)を使用します。

 

コマンド
目的

Router(config)# sntp server { address | hostname } [ version number ]

NTP サーバからの NTP パケットを要求するように SNTP を設定します。

Router(config)# sntp broadcast client

任意の NTP ブロードキャストからの NTP パケットを受け入れるように SNTP を設定します。

各 NTP サーバについて、 sntp server コマンドを 1 回入力します。NTP サーバは、ルータからの SNTP メッセージに応答するように設定する必要があります。

sntp server コマンドと sntp broadcast client コマンドの両方を入力した場合、層が同じであるとすると、ルータはブロードキャスト サーバからの時刻を受け入れますが、設定されたサーバからの時刻を優先します。SNTP に関する情報を表示するには、 show sntp EXEC コマンドを使用します。

VINES 時刻サービスの設定


Cisco IOS Release 12.2(13)T 以降では、Cisco IOS ソフトウェアから Banyan VINES および XNS のサポートが削除されています。次の VINES コマンドは、12.3 メインライン リリースなど、12.2(13)T から派生したリリースでは使用できません。


VINES 時刻サービスを使用して、ネットワーク上の他のデバイスにシステムの時刻と日付を配信するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# vines time use-system

システムのソフトウェア クロック時刻を他の VINES システムに配信します。

受信した VINES 時刻サービスからシステムのソフトウェア クロック時刻を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# vines time set-system

受信した VINES 時刻サービスからシステムのソフトウェア クロック時刻を設定します。

時刻と日付の手動設定

他の時刻源を使用できない場合は、システムの再起動後に現在の時刻と日付を手動で設定できます。設定した時刻は、次回システムを再起動するまで正確に維持されます。手動設定は、最後の手段としてのみ使用することを推奨します。

時刻サービスを設定するには、必要に応じて、次の項の作業を実行します。ルータが同期できる外部の時刻源がある場合は、ソフトウェア クロックを手動で設定できないことがあります。

「時間帯の設定」

「サマー タイムの設定」

「ソフトウェア クロックの手動設定」

「ハードウェア クロックの使用」

時間帯の設定

Cisco IOS ソフトウェアで使用する時間帯を手動で設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# clock timezone zone hours-offset [ minutes-offset ]

時間帯を設定します。 zone 引数は、時間帯の名前です(通常は標準略語)。 hours-offset 引数は、 UTC との時間帯の時差(時間数)です。 minutes-offset 引数は、UTC との時間帯の時差(時間数)です。


ヒント clock timezone コマンドの minutes-offset 引数は、ローカル時間帯が UTC/GMT と 1 時間の何 % 異なるかによって表される場合に使用できます。たとえば、アトランティック カナダの一部の地域の時間帯(Atlantic Standard Time(AST; 大西洋標準時))は UTC -3.5 です。この場合、必要なコマンドは clock timezone AST -3 30 となります。


時間帯の設定例については、この章の最後にあるクロック、カレンダー、および NTP の設定例を参照してください。

サマー タイムの設定

毎年、特定の週の特定の曜日に開始し、特定の週の特定の曜日に終了するサマー タイムを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]]

繰り返すサマー タイムの開始日と終了日を設定します。 offset 引数は、UTC との時間帯の時差(時間数)です。

地域のサマー タイムがこのパターンに従っていない場合は、グローバル コンフィギュレーション モードで次のコマンドのいずれかを使用して、次回のサマー タイム イベントの正確な日付と時刻を設定できます。

 

コマンド
目的

Router(config)# clock summer-time zone date month date year hh : mm month date year hh : mm [ offset ]

 

または

Router(config)# clock summer-time zone date date month year hh : mm date month year hh : mm [ offset ]

特定のサマー タイムの開始日と終了日を設定します。 offset 引数は、UTC との時間帯の時差(時間数)です。

サマー タイムの設定例については、この章の最後にあるクロック、カレンダー、および NTP の設定例を参照してください。

ソフトウェア クロックの手動設定

一般に、NTP や VINES クロック ソースなどの有効な外部の時刻メカニズムによってシステムが同期されている場合や、ハードウェア クロックを内蔵したルータを使用する場合には、ソフトウェア クロックを設定する必要があります。他の時刻源を使用できない場合は、次のコマンドを使用してください。このコマンドで指定する時刻は、設定されている時間帯に対応します。ソフトウェア クロックを手動で設定するには、特権 EXEC モードで次のコマンドのいずれかの形式を使用します。

 

コマンド
目的

Router# clock set hh : mm : ss date month year

 

または

Router# clock set hh : mm : ss month date year

ソフトウェア クロックを設定します。

ハードウェア クロックの使用

ほとんどのシスコ デバイスは、ソフトウェアベースのクロックに加えて、別個のハードウェアベースのクロックを内蔵しています。ハードウェア クロックは、デバイスの各再起動間で時刻および日付情報を維持できる充電式バックアップ バッテリを備えたチップです。

ネットワーク上の正規の時刻源からの最も正確な時刻のアップデートを維持するため、ソフトウェア クロックは、ネットワーク上の正規の時刻源から時刻のアップデートを受信する必要があります。ハードウェア クロックは、システムが稼動している間、ソフトウェア クロック から定期的に更新される必要があります。

システムにおけるハードウェア クロックの使用をカスタマイズするには、次の任意の作業のいずれかを実行します。

「ハードウェア クロックの設定」

「ネットワークの時刻源としてのルータの設定」

「ハードウェア クロックからのソフトウェア クロックの設定」

「ソフトウェア クロックからのハードウェア クロックの設定」

ハードウェア クロックの設定

ハードウェア クロック(システム カレンダー)は、ソフトウェア クロックとは別に時刻を維持しています。システムを再起動した場合や、電源を遮断した場合でも、ハードウェア クロックは動作し続けます。通常、ハードウェア クロックは、システムの初回のインストール時に 1 回だけ手動で設定する必要があります。

信頼できる外部時刻源にアクセスできる場合は、ハードウェア クロックを手動で設定しないでください。代わりに、NTP を使用して時刻同期を確立する必要があります。

外部時刻源にアクセスできない場合は、ユーザ EXEC モードで次のコマンドのいずれかの形式を使用してハードウェア クロックを設定します。

 

コマンド
目的

Router> calendar set hh : mm : ss day month year

または

Router> calendar set hh : mm : ss month day year

ハードウェア クロックを手動で設定します。

ネットワークの時刻源としてのルータの設定

デフォルトでは、ソフトウェア クロックで維持されている時刻は正規とは見なされないため、NTP または VINES 時刻サービスで再配信されません。ハードウェア クロックを正規として分類するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# clock calendar-valid

ネットワーク ピアを同期できる有効な時刻源としてルータが動作できるようにします。

ハードウェア クロックを正規にする例については、この章の最後にあるクロック、カレンダー、および NTP の設定例を参照してください。

ハードウェア クロックからのソフトウェア クロックの設定

ソフトウェア クロックに新しいハードウェア クロック設定を適用するには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# clock read-calendar

ハードウェア クロックからソフトウェア クロックを設定します。

ソフトウェア クロックからのハードウェア クロックの設定

ハードウェア クロックを新しいソフトウェア クロック設定で更新するには、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# clock update-calendar

ソフトウェア クロックからハードウェア クロックを設定します。

時刻サービスとカレンダー サービスのモニタリング

クロック サービス、カレンダー サービス、および NTP EXEC サービスを監視するには、必要に応じて、特権 EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router# show calendar

ハードウェア クロックの現在の時刻を表示します。

Router# show clock [ detail ]

ソフトウェア クロックの現在の時刻を表示します。

Router# show ntp associations [ detail ]

NTP アソシエーションのステータスを表示します。

Router# show ntp status

NTP のステータスを表示します。

Router# show sntp

SNTP に関する情報を表示します(Cisco 1003、Cisco 1004、Cisco 1005、Cisco 1600、Cisco 1720、または Cisco 1750 ルータのみ)。

時間範囲の設定

Cisco IOS ソフトウェアでは、時間に基づいた機能の実装が可能です。 time-range グローバル コンフィギュレーション コマンドを使用して、特定の日/曜日の時間を定義します。この時間を関数から参照することにより、関数そのものに時間的制約を設定することができます。

Cisco IOS Release 12.2 では、時間範囲を使用できる関数は IP および Internetwork Packet Exchange(IPX)拡張アクセス リストだけです。時間範囲を使用することにより、ネットワーク管理者は、アクセス リスト内の permit または deny 文が有効になる時期を定義できます。この機能が導入されるまで、アクセス リストの文は、いったん適用すると常に有効になったままでした。時間範囲は、名前付きアクセス リストと番号付きアクセス リストの両方から参照できます。

時間範囲の利点は次のとおりです。

ネットワーク管理者は、リソースへのユーザ アクセスを許可するどうかをより詳細に制御できます。この場合のリソースとは、アプリケーション(IP アドレスとマスクのペアおよびポート番号で識別)、ポリシー ルーティング、またはオンデマンド リンク(ダイヤラへの対象トラフィックとして識別)です。

ネットワーク管理者は、次の内容を含む時間ベースのセキュリティ ポリシーを設定できます。

Cisco IOS ファイアウォール フィーチャ セットまたはアクセス リストを使用した境界セキュリティ

Cisco Encryption Technology または IP Security Protocol(IPsec; IP セキュリティ プロトコル)使用したデータの機密性

ポリシーベース ルーティングおよび キューイング機能が拡張されています。

プロバイダーのアクセス レートが時間によって異なる場合、トラフィック コストを効果的に再ルーティングできます。

サービス プロバイダーは、特定の時間にネゴシエートされる Quality of Service(QoS; サービス品質)Service Level Agreement(SLA; サービス レベル契約)をサポートするために Committed Access Rate(CAR; 専用アクセス レート)を動的に変更できます。

ネットワーク管理者は、ロギング メッセージを制御できます。アクセス リスト エントリは、特定の時間のトラフィックはロギングできますが、常にロギングできません。このため、管理者は、ピーク時間中に生成される多数のログを分析することなく、単純にアクセスを拒否できます。

時間範囲の定義


) 時間範囲は、システムのソフトウェア クロックに依存します。時間範囲機能が意図したとおりに機能するためには、信頼できるクロック ソースが必要になります。NTP を使用してシステムのソフトウェア クロックを同期させることを推奨します。


時間範囲を定義するには、グローバル コンフィギュレーション モードを開始して次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# time-range time-range-name

設定する時間範囲に名前を割り当て、時間範囲コンフィギュレーション モードを開始します。

ステップ 2

Router(config-time-range)# absolute [ start time date] [ end time date]

 

または

Router(config-time-range)# periodic days-of-the-week hh : mm to [ days-of-the-week ] hh : mm

時間範囲が有効になる時期を指定します。これらのコマンドを組み合わせて使用します。 periodic 文は複数指定できます。 absolute 文は 1 つだけ指定できます。

異なる時刻に有効にする複数の項目がある場合は、上記の作業を繰り返します。たとえば、異なる時刻に有効にする複数の permit または deny 文をアクセス リストに含める場合に、上記の手順を繰り返してください。これらのコマンドの詳細については、 リリース 12.2 『 Cisco IOS Configuration Fundamentals Command Reference の「Cisco IOS System Management Commands パートにある「Basic System Management Commands」を参照してください。

時間範囲の参照

時間範囲を適用するには、時間範囲を実装できる機能で、名前を指定して時間範囲を参照します。時間範囲を参照できる Cisco IOS ソフトウェア機能は次のとおりです。

IP 拡張アクセス リスト

IP 拡張アクセスリストの作成と時間範囲の参照については、リリース 12.2 『 Cisco IOS IP Configuration Guide 』の「Configuring IP Services」の章を参照してください。

IPX 拡張アクセス リスト

IPX 拡張アクセスリストの作成と時間範囲の参照については、リリース 12.2 『 Cisco IOS AppleTalk and Novell IPX Configuration Guide 』 の「Configuring Novell IPX」の章を参照してください。

EXEC の起動の遅延

ノイズの多い回線での EXEC プロセスの起動を、回線がアイドルになるまで 3 秒間遅らせるには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# service exec-wait

EXEC の起動を遅らせます。

このコマンドは、ノイズの多い回線を使用している場合、または回線に接続されたモデムが Microcom Networking Protocol(MNP)または V.42 ネゴシエーションを無視するように設定されている場合に、MNP または V.42 モデムがダイヤルインされる可能性がある場合に役立ちます。このような状況では、ユーザがユーザ名またはパスワードを入力する前に、ノイズや MNP/V.42 パケットがユーザ名およびパスワードとして解釈され、認証エラーが発生する可能性があります。このコマンドは、非モデム回線や、ログインが設定されていない回線には役立ちません。

アイドルな Telnet 接続の処理

Telnet 接続がアイドル状態である場合に TCP ウィンドウを 0(ゼロ)に設定するように Cisco IOS ソフトウェアを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# service telnet-zero-idle

Telnet 接続がアイドル状態である場合に TCP ウィンドウを 0 に設定します。

通常、現在は使用中でない Telnet 接続に送信されたデータは、受け入れ後に廃棄されます。 service telnet-zero-idle コマンドがイネーブルになっている場合、セッションが中断状態になると(つまり、他の接続がアクティブになると)、TCP ウィンドウが 0 に設定されます。この処理により、リモート ホストは、接続が再開されるまでデータを送信できません。このコマンドは、ホストから送信されたすべてのメッセージがユーザに表示されることが重要であり、ユーザが複数のセッションを使用する可能性がある場合に使用します。ホストが最終的にタイムアウトし、ウィンドウの値が 0 の TCP ユーザがログアウトする場合は、このコマンドを使用しないでください。

負荷データの間隔の設定

一連のデータを負荷統計情報の計算に使用する期間を変更できます。ダイヤル バックアップなどの決定は、この統計情報に基づいて行われます。負荷間隔の値を減らすと、平均統計情報の計算期間が短くなり、トラフィックのバーストに対する応答性が高まります。

一連のデータを負荷統計情報の計算に使用する期間の長さを変更するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config-if)# load-interval seconds

データを負荷計算に使用する期間の長さを設定します。

TCP トランザクション数の制限

標準の TCP 実装を使用してマシン間のキーストロークを送信する場合、TCP は入力されたキーストロークごとに 1 パケットを送信する傾向があります。これにより、帯域幅を使い果たし、大規模ネットワークにおける輻輳の一因となる可能性があります。

John Nagle のアルゴリズム(RFC 896)は、TCP の小さなパケットの問題を軽減するうえで役立ちます。接続の確立後に入力された最初の文字は単一のパケットで送信されますが、TCP では、受信者が直前のパケットを確認するまで、その後入力されたすべての文字が保持されます。次に、より大きな 2 番目のパケットが送信され、確認応答が返信されるまで、その後入力されたすべての文字が保存されます。その効果は、文字をより大きなチャンクに蓄積し、任意の接続のラウンドトリップ時間と一致する速度にネットワークへの伝送速度を調整することです。この方法は、通常、すべての TCP ベース トラフィックに推奨されます。

デフォルトでは、Nagle アルゴリズムはイネーブルになっていません。Nagle アルゴリズムをイネーブルにして TCP 接続の数を減らすには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# service nagle

Nagle の低速パケット回避アルゴリズムをイネーブルにします。

スイッチングおよびスケジューリング プラオリティの設定

ネットワーク サーバの正常な動作では、スイッチング動作に必要なだけ中央処理装置を使用することが許容されます。プロセッサがルーティング プロトコルを処理する時間を許容しない、異常に重い負荷がネットワーク上で実行されている場合には、状況に応じて、システム プロセス スケジューラにプライオリティを与える必要があります。そのためには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# scheduler interval milliseconds

プライオリティが最も低いシステム プロセスを実行せずに経過できる最大時間を定義します。

Cisco 7200 シリーズおよび Cisco 7500 シリーズ ルータ上で CPU が高速スイッチングおよびプロセスレベル動作に費やす時間を変更するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# scheduler allocate network-microseconds process-microseconds

Cisco 7200 シリーズおよび Cisco 7500 シリーズ ルータに対して、CPU がプロセス タスクおよび高速スイッチングに費やすデフォルトの時間を変更します。


注意 scheduler allocate コマンドのデフォルト値を変更しないことを推奨します。

ループ プロセスの特性を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# scheduler process-watchdog { hang | normal | reload | terminate }

ループ プロセスのアクションを設定します。

システム バッファ サイズの変更

バッファ プールの初期設定および一時バッファの作成および破棄の制限値を調整できます。そのためには、必要に応じて、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# buffers { small | middle | big | verybig | large | huge | type number } { permanent | max-free | min-free | initial } number

システム バッファ サイズを調整します。

Router(config)# buffers huge size number

huge バッファのサイズを指定した値に動的に変更します。


注意 通常は、これらのパラメータを調整する必要はありません。必ず、テクニカル サポート担当者に相談してから調整してください。不適切な設定は、システムのパフォーマンスに悪影響を及ぼします。

通常のシステム運用においては、パブリック バッファ プールとインターフェイス バッファ プールの 2 つがあります。これらは、次のように動作します。

パブリック プール内のバッファは、要求に基づいて拡大および収縮します。一部のパブリック プールは一時的なものであり、必要に応じて作成および破棄されます。その他のパブリック プールは永続的に割り当てられているため、破棄できません。パブリック バッファ プールには、small、middle、big、large、very big、および huge のラベルが付けられています。

インターフェイス プールは静的です。つまり、すべて永続的です。インターフェイスごとに 1 つのインターフェイス プールが存在します。たとえば、Cisco 4000 1E 4T 構成には、1 つのイーサネット バッファ プールと 4 つのシリアル バッファ プールがあります。 buffers EXEC コマンドでは、 type および number 引数を使用してインターフェイス プールを調整できます。

詳細については、この章の最後にあるバッファの変更例を参照してください。

サーバには、キューイング エレメントのプールが 1 つと、異なるサイズのパケット バッファのパブリック プールが 6 つあります。サーバは、プールごとに、未処理のバッファの数、フリー リスト上のバッファの数、およびフリー リストに許容される最大バッファ数を記録しています。システムのバッファ プールに関する統計情報を表示するには、必要に応じて、ユーザ EXEC モードで次のコマンドを使用します。

 

コマンド
目的

Router> show buffers

すべてのパブリック プール情報を表示します。

Router> show buffers address hex-addr

特定のアドレスに対するバッファ情報を表示します。

Router> show buffers all [dump | header | packet]

すべてのパブリックおよびインターフェイス プール情報を表示します。

Router> show buffers assigned [dump | header | packet]

使用中のすべてのバッファのリストを表示します。

Router> show buffers failures [dump | header | packet]

バッファ割り当てエラーを表示します。

Router> show buffers free [dump | header | packet]

使用可能なバッファを表示します。

Router> show buffers old [dump | header | packet]

1 分よりも古いバッファを表示します。

Router> show buffers input-interface interface- t ype identifier

入力インターフェイスのバッファ情報を表示します。

Router> show buffers pool pool name

すべてのインターフェイス プール情報を表示します。

基本的なシステム管理の例

ここでは、次のシステム管理の例について説明します。

「システム コンフィギュレーション ファイルの例」

「クロック、カレンダー、および NTP の設定例」

「バッファの変更例」

システム コンフィギュレーション ファイルの例

次に、一般的なシステム コンフィギュレーション ファイルの例を示します。

! Define line password
line 0 4
password password1
login
!
! Define privileged-level password
enable-password password2
!
! Define a system hostname
hostname TIP
! Specify a configuration file to load at system startup
boot host host1-confg 192.168.1.111
boot host host2-confg 192.168.1.111
! Specify the system image to boot at startup
boot system sys1-system 192.168.13.111
boot system sys2-system 192.168.1.111
boot system rom
!
! Enable SNMP
snmp-server community snmp1
snmp-server enable traps snmp authentication
snmp-server host 192.168.1.27 public
snmp-server host 192.168.1.111 public
snmp-server host 192.168.2.63 public
!
! Define TACACS server hosts
tacacs-server host 192.168.1.27
tacacs-server host 192.168.13.33
tacacs-server host 192.168.1.33
!
! Define a message-of-the-day banner
banner motd ^C
Example.com welcomes you
 
Please call 1-800-555-0199 for a login account, or enter
your password at the prompt.
^C

クロック、カレンダー、および NTP の設定例

次の例では、ハードウェア クロックを内蔵したルータは、他の 2 つのシステムとのサーバ アソシエーションを確立し、ブロードキャスト NTP パケットを送信し、ハードウェア クロックを定期的に更新し、時刻を VINES に再配信します。

clock timezone PST -8
clock summer-time PDT recurring
ntp update-calendar
ntp server 192.168.13.57
ntp server 192.168.11.58
interface Ethernet 0/0
ntp broadcast
vines time use-system
 

次の例では、ハードウェア クロックを内蔵したルータは外部の時刻源を持たないため、ハードウェア クロックを正規の時刻源として使用し、NTP ブロードキャスト パケットを介して時刻を配信します。

clock timezone MET 2
clock calendar-valid
ntp master
interface fddi 0/0
ntp broadcast

バッファの変更例

次の例は、少なくとも 50 個の small バッファをフリー状態で保持するようにシステムに指示します。

Router> buffers small min-free 50
 

次の例は、200 個以下の middle バッファをフリー状態で保持するようにシステムに指示します。

Router> buffers middle max-free 200
 

次の例は、リロード後すぐに、1 個の large 一時バッファを余分に作成するようにシステムに指示します。

Router> buffers large initial 1
 

次の例は、1 個の永続的 huge バッファを作成するようにシステムに指示します。

Router> buffers huge permanent 1