この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Anomaly Guard Module(Guard モジュール)の一般的なケアや保守用の作業を行う方法について説明します。この章には、次の項があります。
Guard モジュールの設定ファイルを FTP サーバまたは SFTP サーバにエクスポートできます。Guard モジュールまたはゾーンの設定ファイル(running-config)をリモート サーバにエクスポートすると、次のことが可能になります。
• Guard モジュールの設定パラメータを別の Guard モジュールに実装する。
Guard モジュールの設定ファイルをエクスポートするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy [zone zone-name] running-config ftp server full-file-name [ login [ password ]]
• copy [zone zone-name] running-config sftp server full-file-name login
(注) copy reports コマンドを入力する前に、Guard モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続の鍵の設定」を参照してください。
表 12-1 で、 copy running-config ftp コマンドの引数について説明します。
user@GUARD# copy running-config ftp 10.0.0.191 run-conf.txt <user> <password>
Guard モジュールまたはゾーンの設定ファイルを FTP サーバからインポートし、新しく転送されたファイルに応じて Guard モジュールを再設定できます。次の目的で設定をインポートします。
• Guard モジュールの既存の設定ファイルに基づいて Guard モジュールを設定する。
ゾーンの設定は、Guard モジュールの設定の一部です。 copy ftp running-config コマンドを使用して、両方のタイプの設定ファイルを Guard モジュールにコピーし、それに応じて Guard モジュールを再設定します。
(注) 既存の設定が新しい設定で上書きされます。新しい設定を有効にするには、Guard モジュールをリロードする必要があります。
すべてのゾーンを非アクティブにしてからインポート プロセスを開始することをお勧めします。ゾーン設定をインポートする前に、Guard モジュールによってゾーンは非アクティブになります。
デフォルトでは、Guard モジュールは古いバージョンの自己保護設定を無視します。自己保護設定を古い設定で上書きしないでください。古い設定は現在の設定と互換性がない場合があります。
Guard モジュールの設定ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを入力します。
• copy ftp running-config server full-file-name [ login [ password ]]
• copy sftp running-config server full-file-name login
(注) copy reports コマンドを入力する前に、Guard モジュールが SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続の鍵の設定」を参照してください。
表 12-2 で、 copy ftp running-config コマンドの引数について説明します。
user@GUARD# copy ftp running-config 10.0.0.191 scannet-conf <user> <password>
古いバージョンからエクスポートした設定をインポートすると、Guard モジュールによって次のメッセージが表示されます。
• yes : 古い自己保護設定を無視します。Guard モジュールは次のように動作します。
–ゾーン、インターフェイス、サービス設定など、他の設定をすべてインポートする。
• no:古い自己保護設定をインポートできます。Guard モジュールによって次のメッセージが表示されます。
reload コマンドを使用すると、マシンをリブートすることなく Guard モジュールの設定をリロードできます。
次の変更内容を反映するには、Guard モジュールをリロードする必要があります。
デフォルトの動作では、Guard モジュールはすべてのゾーンを非アクティブの動作状態でロードします。そのため、リブート前のゾーンの動作状態に関係なく、Guard モジュールはリブート後にゾーン保護またはラーニング プロセスをイネーブルにしません。
リブート プロセス前にアクティブであったゾーンが Guard モジュールによって自動的にアクティブになるように、デフォルトの動作を変更するには、設定モードで次のコマンドを入力します。
Guard モジュールが動作するためには、次の 2 つのソフトウェア コンポーネントが必要です。
• Supervisor 2 エンジンまたは Supervisor 720 エンジンを使用する Cisco IOS イメージ
(注) バージョンをアップグレードするには、Supervisor Engine モジュールにログインする必要があります。
Supervisor 2 または Supervisor 720 を使用する IOS ソフトウェア イメージ
1 つ目のソフトウェア コンポーネントは、Catalyst 6500 Supervisor 2 エンジンまたは Supervisor 720 エンジン(スーパーバイザ)を使用する Cisco IOS イメージです。スーパーバイザ モジュール上のイメージは、Guard モジュールおよびそのプロセッサを認識して初期化します。Guard モジュールをサポートする Cisco IOS イメージを使用する必要があります。
Guard モジュール ソフトウェアは、プロセッサ制御複合体に統合された Compact Flash(CF; コンパクト フラッシュ)カードに常駐します。コンパクト フラッシュには、ソフトウェア イメージのパーティションが 2 つあります。それぞれには独自のオペレーティング システム(イメージ)が用意されています。
• メンテナンス パーティション(MP):基本モジュールの初期化およびドーター カードの制御の機能のために必要なソフトウェア(cf:1 と呼ばれる)
• アプリケーション パーティション(AP):Guard モジュール アプリケーションに付属するイメージ(cf:4 と呼ばれる)
コンパクト フラッシュ カード上の Guard モジュール ソフトウェアは、スーパーバイザ コンソールを使用してアップグレードできます。このアップグレード プロセスでは、最新バージョンの AP イメージや MP イメージを Cisco Software Center から FTP サーバまたは TFTP サーバにダウンロードし、コンパクト フラッシュ カードにインストールします。
標準のアップグレード手順には、スーパーバイザから Guard モジュールのコンパクト フラッシュにある AP および MP イメージをアップグレードする作業が含まれます。
Guard モジュールでは、次のアップグレード手順を使用できます。
• AP のアップグレード手順:アプリケーション イメージを使用可能な最新バージョンにアップグレードします。この手順は MP から実行し、モジュールをリセットする必要があります。「AP のアップグレード手順」を参照してください。
• MP のアップグレード手順:メンテナンス パーティションをアップグレードします。MP イメージは、アップグレードの必要がほとんどありません。この手順は、バージョン リリースに付属のリリース ノートで指示されている場合にのみ使用してください。「MP のアップグレード手順」を参照してください。
• インライン イメージのアップグレード手順:アプリケーション イメージまたはメンテナンス イメージをアップグレードします。この手順は MP から実行します。「インライン アップグレード手順」を参照してください。
この項では、AP および MP のバージョンをアップグレードする際のガイドラインを示します。
• AP および MP のバージョンをアップグレードするには、スーパーバイザにログインします。Guard モジュールのフラッシュ(CFE)をアップグレードするには、Guard モジュールにログインします。
• AP イメージと MP イメージの両方をアップグレードする場合は、MP イメージを先にアップグレードする必要があります。
• MP に切り替えるには、 hw-module module slot_number reset cf:1 コマンドを使用します。MP モードで操作する主な目的は、AP イメージをアップグレードすることです。
• AP に切り替えるには、 hw-module module slot_number reset cf:4 コマンドを使用します。AP が通常の動作モードです。
• show module コマンドを使用すると、実行しているパーティション イメージのソフトウェア バージョンを表示できます。AP イメージを実行している場合、 show module コマンドを使用すると AP イメージのバージョンが表示されます。AP イメージのバージョンの形式は、 4.0(0.12) のようになります。MP イメージを実行している場合は、MP イメージのバージョンが表示されます。MP イメージのバージョンの形式は、 4.0(0.0)m のようになります。
• MP イメージ ファイル名の形式は、MPUpgrade-4.0.0.0.bin です。
• AP イメージ ファイル名の形式は、AGM-APUpgrade-4.0.0.12.bin です。
• MP は Guard モジュールと同じネットワーク設定を使用します。Guard モジュールのイメージをアップグレードする前に、ネットワークの設定を行う必要があります。詳細については、 第2章「スーパーバイザ エンジンへの Guard モジュールの設定」 および 第3章「Guard モジュールの初期化」 を参照してください。
• AP をアップグレードするときに、Guard モジュールは自己保護設定を新しい設定で更新します。自己保護設定を古い設定で上書きしないでください。古い設定は現在の設定と互換性がない場合があります。
(注) スーパーバイザで logging console コマンドをグローバルに設定して、アップグレード手順の詳細な出力を表示することを強くお勧めします。コンソールではなく Telnet セッションから接続している場合、コンソール メッセージを表示するには terminal monitor コマンドを使用します。
アプリケーション イメージをアップグレードするには、次の手順を実行します。
ステップ 1 アップグレード プロセスを開始する前に、 copy running-config コマンドを使用して Guard モジュールの設定をバックアップします。詳細については、「設定のエクスポート」を参照してください。
ステップ 2 アプリケーション イメージを使用可能な最新バージョンにアップグレードするには、まず、次の場所にある Cisco.com の Software Center でイメージを見つけます。
http://www.cisco.com/public/sw-center/
FTP または TFTP にアクセス可能なディレクトリにソフトウェア イメージをコピーします。
ステップ 3 Guard モジュールをリセットし、MP イメージをロードします(この処理には約 3 分かかります)。すでに MP イメージを実行している場合は、このステップを省略します。
slot_number 引数は、モジュールをシャーシに装着するためのスロットの番号です。
ステップ 4 MP がブートされ、Guard モジュールのステータスが OK であることを確認します。次のコマンドを入力します。
ステップ 5 AP イメージをコンパクト フラッシュにインストールします。この処理には数分かかる場合があります。次のコマンドを入力します。
path/filename 引数には、FTP の場所とイメージ ファイルの名前を指定します。FTP サーバが匿名ユーザを許可しない場合は、ftp-url の値に
ftp://user@host/absolute-path/filename という構文を使用します。パスワードを要求されたら入力します。
また、FTP サーバから目的のバージョンをダウンロードすることもできます。
アプリケーション イメージのダウンロードの所要時間は、接続の速度によって異なりますが、最大で約 30 分です。
You can now reset the module
ステップ 6 Guard モジュールを AP にリセットします。次のコマンドを入力します。
ステップ 7 コピーした AP イメージが show module コマンドの出力に表示されることを確認します。次のコマンドを入力します。
(注) 新しいバージョンで Common Firmware Environment(CFE)のアップデートが必要になることがあります。詳細については、各バージョン リリースに付属のリリース ノートを参照してください。CFE が適合していない場合、AP イメージのアップグレードの後でユーザが最初に Guard モジュールへのセッションを確立すると、Guard モジュールは次のメッセージを表示します。
詳細については、「新しいフラッシュ バージョンの焼き付け」を参照してください。
次の例は、AP イメージをアップグレードする方法を示しています。
Sup# hw-module module 8 reset cf:1
Device BOOT variable for reset = <cf:1>
Warning:Device list is not verified. <<< このメッセージは、情報提供用です。
Proceed with reload of module? [confirm]
Sup# copy tftp:images/ap/AGM-APUpgrade-4.0.0.x.bin pclc#8-fs:
Address or name of remote host [10.56.36.2]?
Source filename [images/ap/AGM-APUpgrade-4.0.0.x.bin]?
Destination filename [AGM-APUpgrade-4.0.0.x.bin]?
19:50:06: %SVCLC-SP-5-STRRECVD: mod 8: <Application upgrade has started>
19:50:06: %SVCLC-SP-5-STRRECVD: mod 8: <Do not reset the module till upgrade completes!!>
19:59:58: %SVCLC-SP-5-STRRECVD: mod 8: <Application upgrade has succeeded>
19:59:58: %SVCLC-SP-5-STRRECVD: mod 8: <You can now reset the module>
Sup# hw-module module 8 reset cf:4 <<<<< Guard モジュールを AP へリセット
Device BOOT variable for reset = <cf:4>
Proceed with reload of module? [confirm]
%OIR-SP-6-INSCARD:Card inserted in slot 8, interfaces are now online
MP イメージは、アップグレードの必要がほとんどありません。MP イメージをアップデートするようバージョン リリースに付属のリリース ノートで指示されている場合、次の手順を実行します。
ステップ 1 イメージを使用可能な最新バージョンにアップグレードするには、まず、次の場所にある Cisco.com の Software Center でイメージを見つけます。
http://www.cisco.com/public/sw-center/
FTP または TFTP にアクセス可能なディレクトリにソフトウェア イメージをコピーします。
ステップ 2 Guard モジュールをリセットし、MP イメージをロードします(この処理には約 3 分かかります)。すでに MP イメージを実行している場合は、このステップを省略します。
slot_number 引数は、モジュールをシャーシに装着するためのスロットの番号です。
ステップ 3 MP がブートされ、Guard モジュールのステータスが OK であることを確認します。次のコマンドを入力します。
ステップ 4 MP イメージをコンパクト フラッシュにコピーします。Guard モジュールが MP または AP にリセットされているときに、MP イメージをコピーできます。
copy tftp:// path / filename pclc# slot_number -fs:
path/filename 引数には、FTP の場所とイメージ ファイルの名前を指定します。
FTP サーバが匿名ユーザを許可しない場合は、ftp-url の値に ftp://user@host/absolute-path/filename という構文を使用します。パスワードを要求されたら入力します。
アプリケーション イメージのダウンロードの所要時間は、接続の速度によって異なりますが、最大で約 30 分です。
You can now reset the module
また、FTP サーバから目的のバージョンをダウンロードすることもできます。
MP コマンドの詳細については、「MP 関連のコマンド」を参照してください。
ステップ 5 コピーした MP イメージが show module コマンドの出力に表示されることを確認します。
ステップ 6 Guard モジュールを AP にリセットします。次のコマンドを入力します。
次の例は、MP イメージをアップグレードする方法を示しています。
4.0
(0.0)m Other
インライン イメージのアップグレード手順は、AP イメージおよび MP イメージをアップグレードする代替の方法です。
ステップ 1 アップグレード プロセスを開始する前に、 copy running-config コマンドを使用して Guard モジュールの設定をバックアップします。詳細については、「設定のエクスポート」を参照してください。
ステップ 2 イメージを使用可能な最新バージョンにアップグレードするには、まず、次の場所にある Cisco.com の Software Center でイメージを見つけます。
http://www.cisco.com/public/sw-center/
FTP にアクセス可能なディレクトリにソフトウェア イメージをコピーします。
MP コマンドの詳細については、「新しいフラッシュ バージョンの焼き付け」を参照してください。
ステップ 3 コンソール ポートまたは Telnet セッションを介してスーパーバイザにログインします。
ステップ 4 Guard モジュールをメンテナンス イメージで実行している場合は、ステップ 6 に進みます。Guard モジュールをメンテナンス イメージで実行していない場合は、スーパーバイザで次のコマンドを入力します。
slot_number 引数は、モジュールをシャーシに装着するためのスロットの番号です。
ステップ 5 Guard モジュールがオンラインに戻ったら、Guard モジュールとのコンソール セッションを確立し、ルート アカウントにログインします。アカウントのデフォルト パスワードは cisco です。
ステップ 6 イメージをアップグレードします。次のコマンドを入力します。
path/filename 引数には、FTP の場所とイメージ ファイルの名前を指定します。
FTP サーバが匿名ユーザを許可しない場合は、ftp-url の値に
ftp://user@host/absolute-path/filename という構文を使用します。パスワードを要求されたら入力します。
AP イメージをアップグレードするには、AP イメージのファイル名を入力します。MP イメージをアップグレードするには、MP イメージのファイル名を入力します。詳細については、「アップグレード時の注意事項」を参照してください。
Application image upgrade complete.You can boot the image now.
ステップ 7 アップグレードが完了したら、Guard モジュールからログアウトします。 exit コマンドを使用します。
ステップ 8 Guard モジュールを AP イメージにリセットします。次のコマンドを入力します。
(注) 新しいバージョンで Common Firmware Environment(CFE)のアップデートが必要になることがあります。詳細については、各バージョン リリースに付属のリリース ノートを参照してください。CFE が適合していない場合、AP イメージのアップグレードの後でユーザが最初に Guard モジュールへのセッションを確立すると、Guard モジュールは次のメッセージを表示します。
詳細については、「新しいフラッシュ バージョンの焼き付け」を参照してください。
ステップ 9 Guard モジュールがリブートしたら、ソフトウェア バージョンを確認します。show version コマンドを使用します。
次の例は、Guard モジュールのアプリケーション ソフトウェアをアップグレードする方法を示しています。
現在の Common Firmware Environment(CFE)とソフトウェア バージョンが適合していない場合にだけ、新しいフラッシュ バージョンを焼き付けることができます。不適合は、Guard ソフトウェアをアップデートするときに発生する場合があります。
CFE との不適合が検出された場合、ソフトウェア バージョンのアップグレード後に Guard モジュールとの最初のセッションを確立するときに、Guard モジュールは次のメッセージを表示します(X は古いフラッシュ バージョンを示し、Y は新しいフラッシュ バージョンを示します)。
新しいフラッシュ バージョンを焼き付けるには、次の手順を実行します。
CFE と Guard モジュールのソフトウェア バージョンが適合している場合に新しいフラッシュを焼き付けようとすると、操作が失敗します。
ステップ 2 Guard モジュールをリロードします。次のコマンドを入力します。
新しいフラッシュ バージョンを焼き付けた後、reload コマンドを発行する必要があります。Guard は、reload コマンドを実行した後でないと完全に機能しません。
管理者は Guard モジュールを MP からブートすることができます。Guard モジュールを管理および診断するため、インターフェイスのセットを MP で使用できます。MP の主要な特徴の 1 つは、新しい AP イメージをインストールする機能を提供することです。
MP からブートするには、hw_module module reset コマンドを使用します。次に、 session slot コマンドを使用して MP にログインします。
表 12-3 は MP コマンドを要約したものです。
この項では、忘失したパスワードを復旧する方法について説明します。
ステップ 1 Guard モジュールを MP にリセットします。スーパーバイザで次のコマンドを入力します。
slot_number 引数は、モジュールをシャーシに装着するためのスロットの番号です。
ステップ 2 Guard モジュールがオンラインに戻ったら、Guard モジュールとのセッションを確立し、ルート アカウントにログインします。
ステップ 3 Guard モジュールに設定されたすべてのパスワードを消去します。次のコマンドを入力します。
ステップ 4 Guard モジュールを AP にリセットします。次のコマンドを入力します。
ステップ 5 Guard モジュールに設定されたユーザに、新しいパスワードを設定します。「パスワードの変更」を参照してください。Guard モジュールのユーザのリストを表示するには、 show running-config コマンドを使用します。
ヒント show running-config コマンド出力の表示を Guard モジュールのユーザのリストだけが含まれるように絞り込むには、show running-config | include username コマンドを使用します。
状況に応じて、Guard モジュールの設定を工場出荷時のデフォルト設定に復元することができます。これは、Guard モジュールに存在する不要な設定を取り除く場合に役立ちます。Guard モジュールを設定した結果、その設定内容が非常に複雑になった場合や、あるいは Guard モジュールをあるネットワークから別のネットワークに移動する場合などが考えられます。Guard モジュールを工場出荷時のデフォルト設定にリセットし、新しい Guard モジュールとして設定することができます。
工場出荷時のデフォルト設定にリセットする前に、 copy running-config コマンドを使用して Guard モジュールの設定をバックアップしておくことをお勧めします。「設定のエクスポート」を参照してください。
管理インターフェイスの設定(eth1)は、Guard モジュールをリロードするまで使用できます。
Guard モジュールを工場出荷時のデフォルト設定にリセットするには、設定モードで次のコマンドを入力します。