この章では、物理的な管理インターフェイス(ポート)のほか、SNMP、SSH、および TACACS+ などの各種の管理インターフェイス アプリケーションを設定する方法について説明します。ユーザ、パスワード、IP の設定、クロックおよびタイム ゾーン、およびドメイン名の値の設定方法についても説明します。
• 「管理インターフェイス コンフィギュレーション モードの開始方法」
• 「IP の設定」
Service Control Engine(SCE)プラットフォームには、2 つの RJ-45 管理(MNG)ポートが搭載されています。これらのポートを使用すると、LAN 経由でリモート管理コンソールから SCE プラットフォームへアクセスできます。
2 つの管理ポートが管理リンクのバックアップに備えて冗長管理インターフェイスをサポートしています。
このバックアップ管理リンクのレイヤ 1 セキュリティに加え、Service Control プラットフォームには、より高度な管理インターフェイス セキュリティ機能(さまざまな TCP/IP 攻撃をモニタリングする IP フィルタ)が用意されています。このフィルタは、攻撃の定義と攻撃終了の定義の両方のしきい値 レートを使用して設定できます。
(注) 2 つめの管理ポートは、SNMP(管理ネットワーク管理プロトコル)インターフェイス内でそのポートに関連するすべてのオブジェクトに反映されます。
• IP アドレスとサブネット マスクを設定する(ポートごとに 1 つの IP アドレスではなく、管理インターフェイスの 1 つの IP アドレスのみ設定。)
• フェールオーバー モードがディセーブルの場合、アクティブ ポートを指定する(任意)
冗長管理インターフェイスでシステムを設定する場合、「冗長管理インターフェイスの設定方法」の「冗長管理ポートの設定」を参照してください。
1. 希望の管理ポートをケーブルで接続し、LAN 経由でリモート管理コンソールにそれを接続します。
2. 自動フェールオーバー モードをディセーブルにします(自動フェールオーバー モードのディセーブル化の方法 を参照)。
3. 管理ポートの物理パラメータを設定します(管理ポートの物理パラメータの設定方法 を参照)。
ステップ 1 希望の管理ポートをケーブル接続し、LAN 経由でリモート管理コンソールに接続します。
ステップ 2 自動フェールオーバー モードをディセーブルにします(自動フェールオーバー モードのディセーブル化の方法 を参照)。
ステップ 3 管理ポートの物理パラメータを設定します(管理ポートの物理パラメータの設定方法 を参照)。
• 「管理インターフェイス コンフィギュレーション モードについて」
管理インターフェイス コンフィギュレーション モードを開始する場合、設定する管理ポート数を指定する必要があります。
次の管理インターフェイス コマンドは、管理インターフェイス コンフィギュレーション モードを開始した場合にのみ適用できます。そのため、各ポートを個別に設定する必要があります。
次の管理インターフェイス コマンドは、管理インターフェイス コンフィギュレーション モードの開始時に指定したポートにかかわらず、両方の管理ポートに適用できます。そのため、両方のポートを 1 つのコマンドで設定します。
ステップ 1
configure
を入力して、Enter キーを押します。
グローバル コンフィギュレーション モードをイネーブルにします。
コマンド プロンプトが SCE(config)# に変わります。
ステップ 2
interface Mng {0/1|0/2}
を入力して、Enter キーを押します。
管理インターフェイス コンフィギュレーション モードをイネーブルにします。
コマンド プロンプトが SCE(config if)# に変わります。
このインターフェイスの伝送速度は 10 または 100 Mbpsで、管理動作と Raw Data Record(RDR)(トラフィック分析と管理動作の出力)の伝送用に使用されます。
• 「管理インターフェイスの IP アドレスとサブネット マスクの設定方法」
• 「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法」
• 「管理インターフェイスの IP アドレスとサブネット マスクの設定」
• 「オプション」
ユーザは、管理インターフェイスの IP アドレスを定義する必要があります。
両方の管理ポートが接続されて冗長管理ポートが提供されている場合、この IP アドレスは、アクティブになっているポートに関わらず、現在のアクティブ管理ポートに対して常に仮想 IP アドレスとして機能します。
• IP address -- 管理インターフェイスの IP アドレス。
両方の管理ポートが接続されてバックアップ管理リンクが使用できる場合、この IP アドレスは、現在アクティブになっている物理ポートに関わらず、現在のアクティブ管理ポートに対して仮想 IP アドレスとして機能します。
• subnet mask -- 管理インターフェイスのサブネット マスク。
Telnet 経由で管理インターフェイスの IP アドレスを変更すると、Telnet 接続の損失が生じ、インターネットに再接続できなくなります。
ステップ 1 SCE(config if)# プロンプトで、
ip address
ip-address subnet-mask と入力し、Enter キーを押します。
新規の IP アドレスとサブネット マスクに定義された新規のサブネットに含まれないルーティング テーブルのエントリがあると、このコマンドが失敗する可能性があります。
(注) Telnet 経由で管理インターフェイスの IP アドレスを変更すると、Telnet 接続の損失が生じ、インターネットに再接続できなくなります。
(注) IP アドレスの変更後、SCE プラットフォームのすべての内部コンポーネントと外部コンポーネントに変更内容が正常に反映されるように、SCE プラットフォームをリロードする必要があります( SCE プラットフォームのリブートおよびシャットダウン方法 を参照)。
次に、SCE プラットフォームの IP アドレスを 10.1.1.1 に設定し、サブネット マスクを 255.255.0.0 に設定する例を示します。
ここでは、管理インターフェイスの速度とデュプレックスを設定する手順の例を示しながら説明します。
これらのパラメータは両方とも、各ポートに個別に設定する必要があります。
次の表に、速度とデュプレックスのインターフェイス ステートの関係をまとめています。
|
|
|
---|---|---|
• 「オプション」
• speed -- 現在選択した管理ポート(0/1 または 0/2)の速度(Mbps)
– auto (デフォルト) -- 自動ネゴシエーション(リンク速度は指定しません)
duplex パラメータが auto に設定されている場合、speed パラメータの変更は効果がありません。
ステップ 1 SCE(config if)# プロンプトで、
speed
10|100|auto と入力し、Enter キーを押します。
次に、このコマンドを使用して、管理ポートを 100 Mbps の速度に設定する例を示します。
• 「オプション」
• duplex -- 現在選択した管理ポート(0/1 または 0/2)のデュプレックス動作
–auto(デフォルト) -- 自動ネゴシエーション(リンクのデュプレックスは指定しません)
speed パラメータが auto に設定されている場合、duplex パラメータの変更は効果がありません。
ステップ 1 SCE(config if)# プロンプトで、
duplex
auto|full|half と入力し、Enter キーを押します。
次に、このコマンドを使用して、管理ポートを半二重モードに設定する例を示します。
• 「オプション」
このコマンドは、現在アクティブな管理ポートを明示的に指定します。管理インターフェイスが冗長インターフェイスとして設定されているかどうかによって(自動フェールオーバーがイネーブルまたはディセーブルになっている)、その使用方法は若干変わります。
• 自動フェールオーバーがイネーブル(自動モード) -- 指定したポートが現在のアクティブ ポートになります。そのため、障害が発生していない場合でも、フェールオーバー動作が強制的に実行されます。
• 自動フェールオーバーがディセーブル(手動モード) -- 指定したポートはケーブルで接続された Mng ポートである必要があります。そのポートが唯一機能するポートであるため、アクティブ管理ポートになる必要があります(もともとアクティブ管理ポートであればそのままの状態が続きます)。
(注) このコマンドは、このセクションの Mng インターフェイス コンフィギュレーション コマンドである他のコマンドとは異なり、特権 EXEC コマンドです。Mng インターフェイス コンフィギュレーション モードの場合は、特権 EXEC モードに変更し、SCE# プロンプトを表示する必要があります。
• slot-number/interface-number -- アクティブ ポートとして指定する管理ポートのインターフェイス番号(0/1 または 0/2)。
ステップ 1 SCE# プロンプトで、
Interface Mng {0/1 | 0/2} active-port
と入力し、Enter キーを押します。
次に、このコマンドを使用して Mng ポート 2 を現在のアクティブ管理ポートに設定する例を示します。
SCE プラットフォームには、2 つの RJ-45 管理ポートが搭載されています。この 2 つの管理ポートは管理インターフェイスに冗長性をもたらすため、どちらか片方の管理リンクに障害が発生した場合でも、SCE プラットフォームへの管理アクセスを確保できます。アクティブ管理リンクで障害が検出された場合、スタンバイ ポートが自動的に新しいアクティブ管理ポートになります。
両方のポートはスイッチを経由して管理コンソールに接続されている必要があります。そのため、Mng ポートの IP アドレスは現在アクティブな物理ポートに関わらず常に同一です。
• 同じ仮想 IP アドレスと MAC アドレスが両方のポートに割り当てられます。
• スタンバイ ポートはネットワークにパケットを送信しません。また、ネットワークからこのポートへのパケットは破棄されます。
• アクティブ ポートで問題が発生した場合、スタンバイ ポートが自動的に新しいアクティブ管理ポートになります。
• スタンバイ Mng ポートに切り替わるリンク障害が発生した場合、そのリンクがダウンしてから 300 ミリ秒後に通知されます。
• このリンクが回復した場合でも、サービスはデフォルトのアクティブ ポートに戻りません。現在アクティブな Mng ポートは、リンク障害によって他の Mng ポートに切り替わらないかぎりアクティブなまま残ります。
1. 両方の管理ポート(Mng 1 および Mng 2)をケーブル接続し、2 つとも LAN または スイッチ経由でリモート管理コンソールに接続します。
ステップ 1 両方の管理ポート(Mng 1 および Mng 2)をケーブルで接続し、2 つとも LAN または スイッチ経由でリモート管理コンソールに接続します。
スイッチを使用することで、現在アクティブな物理ポートに関わらず、Mng ポートの IP アドレスが常に同一になります。
「フェールオーバー モードの設定方法」を参照してください。
ステップ 3 管理インターフェイスの IP アドレスを設定します。
アクティブ管理ポートには、現在アクティブな物理ポートに関わらず常に同一のものが割り当てられます。
「管理インターフェイスの IP アドレスとサブネット マスクの設定方法」を参照してください。
ステップ 4 両方の管理ポートの速度とデュプレックスを設定します。
「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法」を参照してください。
• 「オプション」
自動フェールオーバー モードをイネーブルにするには、次のコマンドを使用します。管理インターフェイスの冗長性がサポートされるように、自動モードがイネーブルになっている必要があります。このモードは、現在のアクティブ管理リンクで障害が検出された場合、自動的にバックアップ管理リンクに切り替わるモードです。
パラメータは、どちらかの管理ポートが管理インターフェイス コンフィギュレーション モードを開始しているときに設定できます。設定内容は 1 つのコマンドで両方のポートに適用されます。
ステップ 1 SCE(config if)# プロンプトで、
auto-fail-over
と入力し、Enter キーを押します。
ステップ 1 SCE(config if)# プロンプトで、
no auto-fail-over
と入力し、Enter キーを押します。
• 「許可された IP アドレスと禁止された IP アドレスのモニタリングの設定方法」
• 「管理インターフェイス IP フィルタリングのモニタリング方法」
管理セキュリティは、グローバルなサービス障害に陥る恐れのある不正な管理状態に対処するために SCE プラットフォームの機能として定義されます。管理ポートへの攻撃対処として、次の機能が用意されています。
• フラッディング攻撃中、SCE プラットフォームへの影響はありません。
• TCP/IP スタック制御プロトコルの脆弱性が軽減されます。
• 自動セキュリティ メカニズム -- TCP/IP スタック レートを 200 ミリ秒ごとにモニタリングし、必要であればデバイスのレートを抑制します。
• ユーザ設定のセキュリティ メカニズム -- ユーザ側で設定できる間隔で 2 つの IP フィルタを使用します。
–IP フラグメント フィルタ -- すべての IP フラグメント パケットを破棄します。
–IP フィルタ モニタリング -- 許可された IP アドレスと禁止された IP アドレスの両方で受信したパケットと破棄したパケットのレートを測定します。
• 「オプション」
ステップ 1 SCE(config)# プロンプトで、
ip filter fragment enable
と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
ip filter fragment disable
と入力し、Enter キーを押します。
• Ip permitted/ip not-permitted -- 許可された IP アドレスまたは禁止された IP アドレスに設定した制限を適用するかどうかを指定します。
どちらのキーワードも使用しない場合、許可された IP アドレスと禁止された IP アドレスの両方に設定した制限が適用されます。
• low rate -- 下限のしきい値。攻撃が存在しないことを示すレートを Mbps で表します。
• high rate -- 上限のしきい値。攻撃が存在することを示すレートを Mbps で表します。
• burst size -- 上限と下限のしきい値に達したとみなすために必要な待機時間を秒で表します。
ステップ 1 SCE(config)# プロンプトで、
ip filter monitor {ip_permited|ip_not_permited} low_rate
low_rate high_rate
high_rate burst
burst size と入力し、Enter キーを押します。
管理インターフェイスの IP フィルタリングの次の情報を表示するには、このコマンドを使用します。
• IP フラグメント フィルタの設定(イネーブルまたはディセーブル)
• 設定された攻撃しきい値(許可された IP アドレスおよび禁止された IP アドレス)
• 設定された攻撃終了しきい値(許可された IP アドレスおよび禁止された IP アドレス)
• バースト サイズ(秒)(許可された IP アドレスおよび禁止された IP アドレス)
ステップ 1 SCE> プロンプトで、
show ip filter
と入力し、Enter キーを押します。
SCE プラットフォームとシステムの外部コンポーネントの管理設計に基づいて、Telnet と SNMP のインターフェイスを設定できます。
• 「ログイン認証」
Terminal Access Controller Access Control System Plus(TACACS+) はセキュリティ アプリケーションで、ネットワーク要素にアクセスしようとしているユーザの認証を中央集中的に管理します。TACACS+ プロトコルを実装することで、カスタマーは 1 つ以上の SCE プラットフォームの認証サーバを設定できます。これにより、認証サーバが各ユーザを認証する際に、SCE プラットフォームの管理にセキュリティが提供されます。TACACS+ は認証データベースを中央集中型にしているため、SCE プラットフォームの管理が容易になります。
TACACS+ サービスは、稼働している TACACS+ サーバのデータベース内(通常、UNIX または Windows NT ワークステーション)で管理されています。設定した TACACS+ 機能をネットワーク要素で使用する前に、TACACS+ サーバにアクセスし、これを設定する必要があります。
TACACS+ プロトコルは、ネットワーク要素と TACACS+ ACS との間で認証機能を提供します。また、キーが設定されている場合、ネットワーク要素と TACACS+ サーバ間ですべてのプロトコル交換を暗号化することで機密性も保障されます。
TACACS+ プロトコルは、次の 3 つの機能を提供します。
SCE プラットフォームは、CLI、Telnet、および SSH アクセスに対して TACACS+ ASCII 認証メッセージを使用します。
TACACS+ を使用すると、サーバがユーザを認証するために十分な情報を受け取るまで、サーバとユーザ間で任意の対話を確立できます。これは、通常、ユーザ名とパスワードの組み合わせをプロンプトに入力することで実行されます。
ログインとパスワードのプロンプトは TACACS+ サーバによって与えられますが、TACACS+ サーバがプロンプトを提供しない場合、ローカルのプロンプトが使用されます。
ユーザのログイン情報(ユーザ名とパスワード)は、認証のため TACACS+ サーバに転送されます。TACACS+ サーバからユーザ認証失敗の通知があった場合、ユーザに再度ユーザ名とパスワードのプロンプトが表示されます。ユーザには、ユーザが設定した回数分プロンプトが繰り返し表示されます。ログインへの失敗は SCE プラットフォームのユーザ ログに記録されており、回数分プロンプトが表示されたあとは、(ユーザがコンソール ポートに接続していないかぎり)Telnet セッションが切断されます。
最終的に、SCE プラットフォームは TACACS+ サーバから次の応答のいずれかを受信します。
• ACCEPT -- ユーザが認証され、サービスが開始されます。
• REJECT -- ユーザ認証に失敗しました。TACACS+ サーバの設定に応じて、ユーザはそれ以上のアクセスが禁止される場合と、ログイン シーケンスを再度実行するためのプロンプトが表示される場合があります。
• ERROR -- 認証中の特定の段階でエラーが発生しました。このエラーはサーバ側で発生しているか、またはサーバと SCE プラットフォーム間のネットワーク接続で発生しています。ERROR 応答を受信した場合、SCE プラットフォームは、ユーザ認証に代替方法または代替サーバを使用します。
• CONTINUE -- ユーザは追加の認証情報を求められます。
サーバが使用できない場合、「一般的な AAA フォールバックと復旧メカニズム」で説明されているような次の認証方式が実行されます。
TACACS+ アカウンティングは、次の機能をサポートします。
• それぞれ実行されたコマンド(有効なコマンドである必要があります)は、TACACS+ アカウンティング メカニズムを使用して記録されます(login および exit コマンドを含む)。
• コマンドは正常に実行された場合、その前後が記録されます。
• 各アカウンティング メッセージには、次の情報が含まれます。
TACACS+ アカウンティングは、通常のローカル アカウンティングに加え、SCE プラットフォームの dbg ログを使用します。
正常にログインしたあと、ユーザはデフォルトの権限レベル 0 を与えられます。このレベルでは、実行できるコマンドの数が制限されます。権限レベルを変更するには、「enable」コマンドを実行します。このコマンドは権限レベル許可のメカニズムを開始します。
SCE プラットフォームの権限レベル許可は、「enable」コマンド認証要求を使用して実行されます。ユーザが「enable」コマンドを使用して指定の権限レベルの許可を要求した場合、SCE プラットフォームは、その要求の権限レベルを指定する TACACS+ サーバに認証要求を送信します。SCE プラットフォームは、TACACS+ サーバが次の内容を実行したあとにのみ、要求の権限レベルを与えます。
• ユーザが要求した権限レベルを開始するのに十分な権限を持っていることを証明
ユーザの権限レベルが決まると、ユーザはそれに応じた特定のコマンド群の使用を許可されます。
ログイン認証を使用していてサーバが使用できない場合、「一般的な AAA フォールバックと復旧メカニズム」で説明されているような次の認証方式が実行されます。
SCE プラットフォームは、エラーが発生してもサービスのアベイラビリティを維持するために、フォールバック メカニズムを使用します。
SCE プラットフォームは、エラーが発生してもサービスのアベイラビリティを維持するために、フォールバック メカニズムを使用します。
使用できる Authentication, Authorization and Accounting(AAA; 認証、認可、アカウンティング)方式は、次のとおりです。
• TACACS+ -- AAA は TACACS+ サーバによって、認証、許可、およびアカウンティングが実行されます。
• Local -- AAA はローカル データベースによって、認証および許可が実行されます。
• Enable -- AAA はユーザ設定のパスワードによって、認証および許可が実行されます。
• None -- 認証、許可、およびアカウンティングは実行されません。
現在の実装ではこれらの方式を使用する順番を設定することはできませんが、カスタマーはその使用順を選択できます。現在の順番は、次のとおりです。
(注) 重要:サーバが AAA 障害に遭遇した場合、その AAA 方式のいずれかが回復するまで、SCE プラットフォームにアクセスできなくなります。これを回避するために、最後の AAA 方式として「none」を使用することを推奨します。SCE プラットフォームにアクセスできない場合、シェル機能「AAA_MethodsReset」を使用することで、現在の AAA 方式の設定を削除し、使用する AAA 方式に「Enable」を設定できます。
次に、TACACS+ を設定する手順の概要を示します。詳細なすべてのステップについては、このセクションの他の部分で説明されています。
プロトコルに対してリモート サーバを設定します。次の注意事項を確認してください。
–最大ユーザ権限レベルとイネーブル パスワード(イネーブル コマンドを実行する際に使用されるパスワード)を指定します。
–設定には権限レベル 15 を持つルート ユーザが常に含まれている必要があります。
–表示ユーザ(権限レベル 5)とスーパーユーザ(権限レベル 10)のユーザ ID も同時に設定する必要があります。
1. 詳細なサーバ設定のについては、使用する TACACS+ サーバで該当する設定マニュアルを参照してください。
2. TACACS+ サーバと連動する SCE クライアントを設定します。
–共有暗号化キー(クライアントとサーバ間の通信のために、設定した暗号化キーはサーバに設定した暗号化キーと対になる必要があります)
3. (任意)必要に応じてローカル データベースを設定します。
ローカル データベースと TACACS+ の両方を設定する場合、TACACS+ とローカル データベースの両方で同じユーザ名を設定することを推奨します。こうすることで、TACACS+ サーバに障害が発生しても、ユーザは SCE プラットフォームにアクセスできます。
(注) TACACS+ がログイン方法として使用されている場合、TACACS+ ユーザ名が自動的に enable コマンドで使用されます。そのため、enable コマンドがこのユーザ名を認識できるように、TACACS+ とローカル データベースの両方で同じユーザ名を設定することが重要です。
• 「SCE プラットフォームの TACACS+ クライアントの設定」
SCE プラットフォームの TACACS+ クライアントの設定
ユーザは、TACACS+ プロトコルのリモート サーバを設定する必要があります。その次に SCE プラットフォームの TACACS+ クライアントを設定し、TACACS+ サーバと連動させてください。次の情報を設定する必要があります。
• TACACS+ サーバのホスト定義 -- 最大 3 つのサーバがサポートされます。
• デフォルトの暗号化キー(任意) -- グローバルなデフォルトの暗号化キーを定義できます。このキーは、サーバ ホストが定義されておらず、キーが明示的に設定されていない場合に使用される、すべてのサーバ ホスト キーとして定義されます。
デフォルトの暗号化キーが設定されていない場合、キーが明示的に設定されていないすべてのサーバにデフォルトとして何もないキーが割り当てられます。
• デフォルトのタイムアウト間隔(任意) -- グローバルなデフォルトのタイムアウト間隔を定義できます。このタイムアウト間隔は、サーバ ホストが定義されておらず、タイムアウト間隔が明示的に設定されていない場合に使用される、すべてのサーバ ホストのタイムアウト間隔として定義されます。
デフォルトのタイムアウト間隔が設定されていない場合、タイムアウト間隔が明示的に設定されていないすべてのサーバにデフォルト設定として 5 秒が割り当てられます。
SCE プラットフォームの TACACS+ クライアントを設定する手順は、次のセクションで説明されています。
• 「管理インターフェイス IP フィルタリングのモニタリング方法」
SCE プラットフォームの TACACS+ クライアントで使用できる新しい TACACS+ サーバ ホストを定義するには、このコマンドを使用します。
Service Control ソリューションは、最大 3 つの TACACS+ ホストをサポートします。
• port number -- TACACS+ ポート番号
• timeout interval -- タイムアウトするまで、サーバがサーバ ホストからの応答を待機する時間を秒で示します。
–デフォルトは、5 秒です。またはユーザが設定したグローバルなデフォルト タイムアウト間隔が設定されています(グローバルなデフォルト タイムアウトの定義方法を参照)。
• key-string -- サーバとクライアントの通信時に互いが使用する暗号化キーを設定します。指定のキーが実際に TACACS+ サーバ ホストに設定されているかどうかを確認してください。
–デフォルトではキーが指定されていません。またはユーザが設定したグローバルなデフォルト キーが設定されています(グローバルなデフォルト キーの定義方法を参照)。
ステップ 1 SCE(config)# プロンプトで、
TACACS-server host
host-name [port
portnumber ] [timeout
timeout-interval ] [key
key-string ]
と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
no TACACS-server host
host-name と入力し、Enter キーを押します。
グローバルなデフォルト キーを TACACS+ サーバ ホストに定義するには、このコマンドを使用します。特定の TACACS+ サーバ ホストに異なるキーが明示的に設定されていれば、その TACACS+ サーバ ホストでは、このデフォルト キーは使用されません(上書きされます)。
• 「オプション」
• key-string -- すべての TACACS+ サーバとクライアントの通信時に互いが使用するデフォルトの暗号化キーを設定します。指定のキーが実際に TACACS+ サーバ ホストに設定されているかどうかを確認してください。
ステップ 1 SCE(config)# プロンプトで、
TACACS-server key
key-string と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
no TACACS-server key
と入力し、Enter キーを押します。
グローバルなデフォルト キーは定義されていない状態です。各 TACACS+ サーバ ホストには特定のキーが定義されている場合もありますが、明示的にキーが定義されていないサーバはすべて(グローバルなデフォルト キーを使用した場合)、キーの設定がなくなります。
グローバルなデフォルト タイムアウトを TACACS+ サーバ ホストに定義するには、このコマンドを使用します。特定の TACACS+ サーバ ホストに異なるタイムアウト間隔が明示的に設定されていれば、その TACACS+ サーバ ホストでは、このデフォルト タイムアウト間隔は使用されません(上書きされます)。
• 「オプション」
• timeout interval -- タイムアウトするまで、サーバがサーバ ホストからの応答を待機するデフォルトの時間を秒で示します。
ステップ 1 SCE(config)# プロンプトで、
TACACS-server timeout
timeout-interval と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
no TACACS-server timeout
と入力し、Enter キーを押します。
グローバルなデフォルト タイムアウト間隔は定義されていない状態です。各 TACACS+ サーバ ホストには特定のタイムアウト間隔が定義されている場合もありますが、明示的にタイムアウト間隔が定義されていないサーバはすべて(グローバルなデフォルト タイムアウト間隔を使用した場合)、5 秒のタイムアウト間隔になります。
TACACS+ は、ローカル ユーザ データベースを管理します。このローカル データベースには、最大 100 のユーザを設定できます。各ユーザには次のような情報が設定されています。
• パスワード -- 設定に暗号化が使用されている場合と使用されていない場合があります
ローカル ユーザ データベースを管理する手順は、次のセクションで説明されています。
ローカル データベースに新しくユーザを追加するには、これらのコマンドを使用します。最大 100 のユーザを定義できます。
• 「オプション」
• 「クリア テキストで入力された MD5 暗号化パスワードでのユーザの追加方法」
• 「MD5 暗号化文字列で入力された MD5 暗号化パスワードでのユーザの追加方法」
パスワードはユーザ名で定義されます。パスワードには複数のオプションがあります。
• パスワードなし -- nopassword キーワードを使用します。
• パスワード -- パスワードはローカル リストにクリア テキスト形式で保存されます。
• 暗号化パスワード -- パスワードはローカル リストに暗号化(MD5)されて保存されます。secret キーワードを使用します。
–MD5 暗号化形式で保存されるクリア テキスト パスワードを指定
–ユーザの MD5 暗号化 secret パスワードとして保存される MD5 暗号化文字列を指定
• password -- クリア テキスト パスワード。次のいずれかの形式でローカル リストに保存できます。
–MD5 暗号化形式(secret キーワードが使用されている場合)
• encrypted-secret -- MD5 暗号化文字列パスワード。
• nopassword -- このユーザに関連したパスワードはありません。
• secret -- パスワードは MD5 暗号化形式で保存されます。コマンド入力時に次のいずれかのキーワードを使用して、パスワード形式を指定します。
– 0 -- password オプションと一緒に使用して、MD5 暗号化形式で保存されるクリア テキスト パスワードを指定します。
– 5 -- encrypted-secret オプションと一緒に使用して、ユーザの MD5 暗号化 secret パスワードとして保存される MD5 暗号化文字列を指定します。
ステップ 1 SCE(config)# プロンプトで、
username
name password
password と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
username
name nopassword
と入力し、Enter キーを押します。
クリア テキストで入力された MD5 暗号化パスワードでのユーザの追加方法
ステップ 1 SCE(config)# プロンプトで、
username
name secret 0
password と入力し、Enter キーを押します。
MD5 暗号化文字列で入力された MD5 暗号化パスワードでのユーザの追加方法
ステップ 1 SCE(config)# プロンプトで、
username
name secret 5
encrypted-secret と入力し、Enter キーを押します。
• 「オプション」
SCE プラットフォームの権限レベル許可は、「 enable 」コマンド認証要求を使用して実行されます。ユーザが「 enable 」コマンドを使用して指定の権限レベルの許可を要求した場合、SCE プラットフォームは、その要求の権限レベルを指定する TACACS+ サーバに認証要求を送信します。TACACS+ サーバが「 enable 」コマンド パスワードを認証し、ユーザが要求した権限レベルを開始するために十分な権限を持っていることが証明された場合にのみ、SCE プラットフォームは要求された権限レベルを許可します。
• level -- 特定のユーザに許可する権限レベル。これらのレベルは、 enable コマンドで入力される CLI 許可レベルに対応しています。
ステップ 1 SCE(config)# プロンプトで、
username
name privilege
level と入力し、Enter キーを押します。
パスワードや権限レベルをはじめ、単一のコマンドで新しいユーザを定義するには、これらのコマンドを使用します。
(注) config ファイル(running config および startup config)では、このコマンドは 2 つの別々のコマンドとして表示されます。
• 「オプション」
• 「権限レベルとクリア テキスト パスワードでのユーザの追加方法」
• 「権限レベルおよびクリア テキストで入力された MD5 暗号化パスワードでのユーザの追加方法」
• 「権限レベルおよび MD5 暗号化文字列で入力された MD5 暗号化パスワードでのユーザの追加方法」
• level -- 特定のユーザに許可する権限レベル。これらのレベルは、 enable コマンドで入力される CLI 許可レベルに対応しています。
• password -- クリア テキスト パスワード。次のいずれかの形式でローカル リストに保存できます。
–MD5 暗号化形式(secret キーワードが使用されている場合)
• encrypted-secret -- MD5 暗号化文字列パスワード。
• secret -- パスワードは MD5 暗号化形式で保存されます。コマンド入力時に次のいずれかのキーワードを使用して、パスワード形式を指定します。
– 0 -- password オプションと一緒に使用して、MD5 暗号化形式で保存されるクリア テキスト パスワードを指定します。
– 5 -- encrypted-secret オプションと一緒に使用して、ユーザの MD5 暗号化 secret パスワードとして保存される MD5 暗号化文字列を指定します。
権限レベルとクリア テキスト パスワードでのユーザの追加方法
ステップ 1 SCE(config)# プロンプトで、
username
name privilege
level password
password と入力し、Enter キーを押します。
権限レベルおよびクリア テキストで入力された MD5 暗号化パスワードでのユーザの追加方法
ステップ 1 SCE(config)# プロンプトで、
username
name privilege
level secret 0
password と入力し、Enter キーを押します。
権限レベルおよび MD5 暗号化文字列で入力された MD5 暗号化パスワードでのユーザの追加方法
ステップ 1 SCE(config)# プロンプトで、
username
name privilege
level secret 5
encrypted-secret と入力し、Enter キーを押します。
• 「オプション」
ステップ 1 SCE(config)# プロンプトで、
no username
name と入力し、Enter キーを押します。
• ログインとして使用する認証方式(「一般的な AAA フォールバックと復旧メカニズム」を参照)
ログイン認証を設定する手順は、次のセクションで説明されています。
セッションを切断するまでに許可する最大ログイン数を設定するには、このコマンドを使用します。
• 「オプション」
• number-of-attempts -- Telnet セッションを切断するまでに許可する最大ログイン数
これは Telnet セッションにのみ関係します。ローカル コンソールからであれば、再試行数に制限はありません。
ステップ 1 SCE(config)# プロンプトで、
aaa authentication attempts login
number-of-attempts と入力し、Enter キーを押します。
プライマリ ログイン認証方式が失敗したときに使用される「バックアップ」ログイン認証方式を設定できます(一般的な AAA フォールバックと復旧メカニズムを参照)。
使用するログイン認証方式とその順番を指定するには、このコマンドを使用します。
• 「オプション」
• method -- 使用するログイン認証方式。最大 4 つの異なる方式を使用する順番で指定できます。
– group TACACS+ -- TACACS+ 認証を使用します。
– local -- 認証にローカル ユーザ名のデータベースを使用します。
– enable (デフォルト) -- 認証に「 enable 」パスワードを使用します。
ステップ 1 SCE(config)# プロンプトで、
aaa authentication login default
method1 [method2...] と入力し、Enter キーを押します。
上記で説明した最大 4 つの方式を入力できます。プライオリティに従って順番に入力してください。
ステップ 1 SCE(config)# プロンプトで、
no aaa authentication login default
と入力し、Enter キーを押します。
ログイン認証方式を削除した場合、デフォルトのログイン認証方式(enable パスワード)のみが使用されます。TACACS+ 認証は使用されません。
• 「オプション」
• method -- 使用するログイン許可方式。最大 4 つの異なる方式を使用する順番で指定できます。
– group TACACS+ -- TACACS+ 許可を使用します。
– local -- 許可にローカル ユーザ名のデータベースを使用します。
– enable (デフォルト) -- 許可に「 enable 」パスワードを使用します。
ステップ 1 SCE(config)# プロンプトで、
aaa authentication enable default
method1 [method2...] と入力し、Enter キーを押します。
上記で説明した最大 4 つの方式を入力できます。プライオリティに従って順番に入力してください。
ステップ 1 SCE(config)# プロンプトで、
no aaa authentication enable default
と入力し、Enter キーを押します。
権限レベル許可方式リストを削除した場合、デフォルトのログイン認証方式(enable パスワード)のみが使用されます。TACACS+ 認証は使用されません。
TACACS+ アカウンティングをイネーブルまたはディセーブルにするには、このコマンドを使用します。
• 「オプション」
TACACS+ アカウンティングがイネーブルの場合、SCE プラットフォームは、各コマンドの実行後にアカウンティング メッセージを TACACS+ サーバに送信します。アカウンティング メッセージは、ネットワーク管理者が使用できるように TACACS+ サーバに記録されます。
デフォルトでは、TACACS+ アカウンティングがディセーブルに設定されています。
• level -- TACACS+ アカウンティングをイネーブルにする権限レベル。
ステップ 1 SCE(config)# プロンプトで、
aaa authentication accounting commands
level default stop-start group TACACS+
と入力し、Enter キーを押します。
start-stop キーワード(必須)は、CLI コマンド実行時の最初と最後にアカウンティング メッセージが送信されることを示します(コマンドが正常に実行された場合)。
ステップ 1 SCE(config)# プロンプトで、
aaa authentication accounting commands
level default
と入力し、Enter キーを押します。
TACACS+ サーバの統計情報を表示するには、これらのコマンドを使用します。
• 「TACACS+ サーバの統計情報、キー、およびタイムアウトの表示方法」
ステップ 1 SCE# プロンプトで、
show TACACS
と入力し、Enter キーを押します。
TACACS+ サーバの統計情報、キー、およびタイムアウトの表示方法
ステップ 1 SCE# プロンプトで、
show TACACS all
と入力し、Enter キーを押します。
多くの show コマンドは Viewer レベルのユーザでも使用できますが、「 all 」オプションに関しては Admin レベルでしか使用できないことに注意してください。Admin レベルにアクセスするには、「 enable 10 」コマンドを使用します。
パスワードなど、ローカル データベースのユーザを表示するには、このコマンドを使用します。
ステップ 1 SCE# プロンプトで、
show users
と入力し、Enter キーを押します。
多くの show コマンドは Viewer レベルのユーザでも使用できますが、このコマンドに関しては Admin レベルでしか使用できないことに注意してください。Admin レベルにアクセスするには、「 enable 10 」コマンドを使用します。
• 「オプション」
SCE プラットフォームに Access Control List(ACL; アクセス コントロール リスト)を設定できます。ACL は、すべての管理インターフェイスの着信接続を許可または拒否するために使用されます。アクセス リストは、IP アドレスの範囲を定義する IP アドレスとオプションのワイルドカード「マスク」、および許可/拒否フィールドで構成されているエントリの順序付きリストです。
リスト内のエントリの順序は重要です。接続に一致する最初のエントリのデフォルト アクションが使用されます。アクセス リストのエントリが接続に一致しない場合、またはアクセス リストが空白である場合、デフォルト アクションは deny になります。
1. アクセス リストの作成(ACL へのエントリの追加方法)
2. 管理インターフェイスへのアクセス リストの関連付け(グローバル ACL の定義方法およびTelnet インターフェイスへの ACL の割り当て方法を参照)。
アクセス リストの作成は、最初から最後までエントリごとに行われます。
システムがアクセス リストに IP アドレスがあるかどうかを確認する場合、システムはアクセス リストの各行(最初のエントリから開始して、順番に最後のエントリまで移動)を確認します。検出された最初の一致が(つまり、調べていた IP アドレスが、エントリによって定義された IP アドレス範囲内にあった場合)、一致したエントリの許可/拒否フラグに従って、結果を決定します。アクセス リストに一致するエントリがない場合は、アクセスが拒否されます。
最大 99 のアクセス リストを作成できます。次のレベルで、システム アクセスにアクセス リストを関連付けることができます。
• グローバル(IP)レベル。ip access-class コマンドによってグローバル リストが定義されている場合、要求が来ると、まず SCE プラットフォームが、その IP アドレスのアクセスに対する許可があるかどうかを確認します。許可がない場合、SCE はこの要求に応答しません。特定の IP アドレスを拒否するように SCE プラットフォームを設定すると、Telnet、FTP(ファイル転送プロトコル)、Internet Control Message Protocol(ICMP)、および SNMP を含む IP ベースのプロトコルを使用したアドレスとの通信オプションが排除されます。基本的な IP インターフェイスは低いレベルのもので、インターフェイスに到達する前に IP パケットをブロックします。
• インターフェイス レベル。アクセス リストで、各管理インターフェイス(Telnet、SNMP など)へのアクセスを制限できます。インターフェイス レベルのリストは、定義上、定義されたグローバル リストのサブセットとなっています。グローバル レベルでアクセスが拒否されると、IP はいずれかのインターフェイスを使用してアクセスすることができなくなります。アクセス リストが特定の管理インターフェイスに関連付けられると、そのインターフェイスはアクセス リストを確認し、管理インターフェイスにアクセスしようとする特定の外部 IP アドレスの許可があるかどうかを調べます。
SCE プラットフォームに必要な動作である場合は、同一のアクセス リストにいくつかの管理インターフェイスを設定できます。
ACL が管理インターフェイスまたはグローバル IP レベルに関連付けられていない場合は、すべての IP アドレスからのアクセスが許可されます。
(注) SCE プラットフォームは、アクセスが許可された IP アドレスから送信された ping コマンドだけに応答します。ping は ICMP プロトコルを使用するので、未認証のアドレスから送信された ping は、SCE プラットフォームからの応答を受信しません。
• number -- ACL に割り当てられた ID 番号
• ip-address -- 許可または拒否するインターフェイスの IP アドレス。x.x.x.x 形式で入力します。
• ip-address/mask -- x.x.x.x y.y.y.y 形式のアドレスの範囲を設定します。ここで、x.x.x.x は、範囲内のすべての IP アドレスに共通のプレフィクス ビットを示します。y.y.y.y は、無視するビットを示すワイルドカードビットのマスクです。この表記では、[0] が無視するビットです。
ステップ 1
configure
を入力して、Enter キーを押します。
グローバル コンフィギュレーション モードをイネーブルにします。
ステップ 2 必要な IP アドレスを入力します(複数可)。
• IP アドレスを 1 つ設定するには、次のコマンドを使用します。
access-list
number permit|deny ip-address (最後に、Enter キーを押します)。
• 複数の IP アドレスを設定するには、次のコマンドを使用します。
access-list number
permit|deny ip-address/mask (最後に、Enter キーを押します)。
ACL に新規のエントリを追加する場合、エントリは常にリストの末尾に追加されます。
次に、アクセス リスト番号 1 に 10.1.1.0 ~ 10.1.1.255 の範囲の IP アドレスだけにアクセスを許可するエントリを追加する例を示します。
すべてのエントリと一緒に ACL を削除するには、このコマンドを使用します。
ステップ 1 SCE(config)# プロンプトで、
no access-list
number と入力し、Enter キーを押します。
SCE プラットフォームへのすべてのトラフィックを許可または拒否するグローバル ACL
ステップ 1 SCE(config)# プロンプトで、
ip access-class
number と入力し、Enter キーを押します。
Telnet トラフィックなどの特定のトラフィック タイプではなく、SCE プラットフォームにアクセスを試みているすべてのトラフィックに指定の ACL を適用します。
ここでは、SCE プラットフォームの Telnet インターフェイスについて説明します。Telnet セッションは、SCE プラットフォームの CLI インターフェイスに接続する最も一般的な方法です。
Telnet インターフェイスには次のパラメータを設定できます。
• Telnet セッションのタイムアウト(セッションにアクティビティが存在しない場合に、Telnet 接続を自動切断するまでに SCE プラットフォームが待機する時間)
Telnet インターフェイスに関連するコマンドは、次のとおりです。
Telnet からのアクセスを完全にディセーブルにするには、このコマンドを使用します。
ステップ 1 SCE(config)# プロンプトで、
no service telnetd
と入力し、Enter キーを押します。
現在の Telnet セッションは切断されませんが、新規の Telnet セッションが許可されなくなります。
• 「Telnet インターフェイスへの ACL の割り当て:例」
ステップ 1 SCE(config)# プロンプトで、
line vty 0
と入力し、Enter キーを押します。
ライン コンフィギュレーション モードをイネーブルにします。
ステップ 2
access-class
acl-number in
を入力します。
acl-number は、既存のアクセス リストの ID 番号です。
次に、Telnet インターフェイスに ACL #1 を割り当てる例を示します。
SCE プラットフォームは、非アクティブの Telnet セッションのタイムアウトをサポートしています。
• 「オプション」
• timeout -- 非アクティブの Telnet セッションがタイムアウトするまでの分単位の時間
ステップ 1 SCE(config)# プロンプトで、
timeout
timeout と入力し、Enter キーを押します。
• 「キーの管理」
標準 Telnet プロトコルの欠点は、インターネット上でパスワードとデータを暗号化せずに転送するため、セキュリティが万全ではない点です。セキュリティを懸念する場合には、Telnet ではなく Secure Shell(SSH; セキュア シェル)サーバの使用を推奨します。
SSH サーバはTelnet サーバに類似していますが、SSH サーバは、通信のプライバシを保証することにより、安全でないネットワーク上で SSH クライアントとの通信を行うことができる暗号技術を使用しています。CLI コマンドは、SSH でも Telnet とまったく同じ方法で実行されます。
SSH サーバは、SSH-1 とSSH-2 の両方のプロトコルをサポートしています。
他の管理プロトコルと同様に、SSH に ACL を設定できます。SSH アクセスを特定の IP アドレスのセットに制限できます(ACL の設定方法を参照)。
各種のクライアントとの通信を行う場合、各 SSH サーバは、キー(DSA2、RSA2、および RSA1)のセットを定義する必要があります。キー セットとは、パブリック キーとプライベート キーのペアです。サーバは不揮発性メモリにプライベート キーを置きながら、パブリック キーを発行し、SSH クライアントに伝送することはありません。キーは tffs0 ファイル システムに置かれます。これは、「enable」パスワードの知識があるユーザがプライベート キーとパブリック キーの両方にアクセスできることを意味します。SSH サーバの実装は、SCE プラットフォームの管理通信チャネルをモニタリングできる盗聴者に対する保護を提供していますが、「enable」パスワードの知識があるユーザに対する保護は提供していません。
特定の CLI コマンドを介して、ユーザがキーの管理を実行します。SSH サーバをイネーブルにする前に、最低 1 回、キーのセットを生成する必要があります。
SSH サーバを管理するには、これらのコマンドを使用します。次のセクションで、これらのコマンドについて説明します。
SSH サーバをイネーブルにする前に、SSH キーのセットを生成する必要があります。
ステップ 1 SCE(config)# プロンプトで、
ip ssh key generate
と入力し、Enter キーを押します。
新規の SSH キー セットが生成され、ただちに不揮発性メモリに保存されます(キー セットは、コンフィギュレーション ファイルには含まれません)。キーのサイズは、常に 2048 ビットです。
ステップ 1 SCE(config)# プロンプトで、
ip ssh
と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
no ip ssh
と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
ip ssh access-class
acl-number と入力し、Enter キーを押します。
指定した ACL が SSH サーバに割り当てられ、SSH サーバへのアクセスが ACL に定義された IP アドレスに制限されます。
ステップ 1 SCE(config)# プロンプトで、
no ip ssh access-class
と入力し、Enter キーを押します。
ACL の割り当てが SSH サーバから削除され、すべての IP アドレスが SSH サーバにアクセスできるようになります。
ステップ 1 SCE(config)# プロンプトで、
ip ssh key remove
と入力し、Enter キーを押します。
既存の SSH キー セットを不揮発性メモリから削除します。
SSH サーバは起動時にだけ不揮発性メモリからキーを読み取るので、SSH サーバが現在イネーブルにされている場合は、継続して動作します。ただし、SSH サーバがイネーブルにされていることをスタートアップ コンフィギュレーションが示す場合、キーが削除されていると、SCE プラットフォームが起動時に SSH サーバを起動できません。このような状況を回避するには、このコマンドの実行後、 reload を使用して SCE プラットフォームが再起動される前に、次のいずれかを必ず実行してください。
• SSH サーバをディセーブルにし、コンフィギュレーションを保存する
現在の SSH セッションを含む SSH サーバのステータスをモニタリングするには、このコマンドを使用します。
ステップ 1 SCE> プロンプトで、
show ip ssh
と入力し、Enter キーを押します。
これは、ユーザ EXEC コマンドです。他のモードを終了することにより、ユーザ EXEC コマンドにいることを確認してください。
SNMP インターフェイスをイネーブルにするには、このコマンドを使用します。SNMP パラメータ(ホスト、コミュニティ、コンタクト、ロケーション、およびトラップ宛先のホストを含む)の設定と管理の詳細については、「SNMP インターフェイスの設定と管理方法」を参照してください。
• 「オプション」
• community-string -- SNMP サーバへのアクセスが許可された管理者のコミュニティを特定するセキュリティ ストリング
ステップ 1 SCE(config)# プロンプトで、
snmp-server community
community-string と入力し、Enter キーを押します。
SNMP アクセスを許可するには、最低 1 つコミュニティ ストリングを定義する必要があります。コミュニティ ストリングの詳細については、「SNMP コミュニティ ストリングの設定方法」を参照してください。
ステップ 1 SCE(config)# プロンプトで、
no snmp-server
と入力し、Enter キーを押します。
ここでは、SNMP エージェントのパラメータの設定方法について説明します。また、SNMP 通知とそのサポート対象の MIB の簡単な概要や、MIB をロードする順序について説明します。
SCE プラットフォームの OS(オペレーティング システム)には、次の MIB(管理情報ベース)をサポートする SNMP エージェントが用意されています。
SNMP は、複雑なネットワークの管理用のプロトコル セットです。SNMP は、Protocol Data Unit(PDU; プロトコル データ ユニット)と呼ばれるメッセージをネットワークの別の部分に送信することによって機能します。エージェントと呼ばれる SNMP 準拠のデバイスは、MIB にそのデバイスに関するデータを保存し、このデータを SNMP 要求者に戻します。
SCE プラットフォームは、オリジナルの SNMP プロトコル(別名、SNMPv1)、およびコミュニティベースの SNMPv2 と呼ばれる新規のバージョン(別名、SNMPv2C)をサポートしています。
• SNMPv1 -- RFC 1155 と RFC 1157 で定義されている完全なインターネット標準である SNMP の最初のバージョンです。SNMPv1 は、コミュニティベースの形式によるセキュリティを使用します。
• SNMPv2c -- プロトコル パケットのタイプ、トランスポート マッピング、および MIB 構造の要素の部分が SNMPv1 から改善されているものの、既存の SNMPv1 管理構造を使用している、改訂版のプロトコルです。RFC 1901、RFC 1905、および RFC 1906 で定義されています。
SNMP の SCE プラットフォーム実装は、RFC 1213 に記述されているすべての MIB II 変数をサポートし、RFC 1215 に記述されているガイドラインを使用して SNMP トラップを定義します。
SNMPv1 と SNMPv2C の仕様は、SCE プラットフォームでサポートされている次の基本操作を定義しています。
デフォルトでは、SNMP エージェントの読み取りと書き込みの両方の操作がディセーブルにされています。イネーブルにすると、管理ポート上でのみ SNMP がサポートされます(帯域内管理はサポートされません)。
また、SCE プラットフォームは、マネージャのコミュニティによる読み書きまたは読み取り専用のアクセスをサポートしています。さらに、ACL をコミュニティに関連付けて、制限されたマネージャ IP アドレスのセットに SNMP 管理を許可できます。
• 「CLI」
• 「SNMP をモニタリングするための CLI コマンド」
SCE プラットフォームは、SNMP エージェントの操作を制御する CLI コマンドをサポートしています。Admin 許可レベルでは、すべての SNMP コマンドを使用できます。SNMP エージェントは、デフォルトでディセーブルにされており、明示的にディセーブルのコマンドが使用されている場合を除いて、任意の SNMP コンフィギュレーション コマンドによって、SNMP エージェントがイネーブルになります。
SNMP を設定する場合に使用できる CLI コマンドのリストは、次のとおりです。グローバル コンフィギュレーション モードのコマンドになります。
• [no] snmp-server community [all] [
• no | default] snmp-server enable traps
SNMP をモニタリングする場合に使用できる CLI コマンドのリストは、次のとおりです。ビューア モードのコマンドになります。SNMP エージェントがイネーブルのときに使用できます。
• 「MIB」
MIB は、NMS によるモニタリングが可能なオブジェクトのデータベースです。SNMP は、MIB によって定義された、デバイスのモニタリングを SNMP ツールに許可する標準 MIB 形式を使用します。
SCE プラットフォームは、次の MIB をサポートしています。
–RFC 1213 に定義されている MIB-II(Management Information Base for Network Management of TCP/IP-based Internets)とその拡張の一部。
–ENTITY-MIB バージョン2(RFC 2737 に定義)
• 独自 MIB -- Cisco Service Control 製品用にシスコで定義された pcube エンタープライズ MIB ( 付録B「独自 MIB のリファレンス」 を参照)。
Pcube エンタープライズ MIB(pcube)は、異なる MIB の種類に分けられます。
–独自 SCOS MIB -- これらの MIB には、プラットフォーム固有の情報が含まれています。また、pcube サブツリーの汎用定義も含まれています。
SE MIB および Dispatcher MIB は、OS MIB の 2 つの例です。
–独自アプリケーション MIB -- これらの MIB には、アプリケーション固有の情報が含まれています。
現在、1 つのアプリケーション MIB があります -- Engage MIB。
–独自共通 MIB -- これらの MIB には、1 以上のシスコ製のプラットフォームで共通する機能が含まれています。
現在、1 つの共通 MIB があります -- configuration copy MIB。
Cisco Systems, Inc が P-cube, Inc を買収したため、既存の独自 MIB をシスコ標準に準拠させるためにアップグレードしました。SCOS バージョン 3.0.3 以降のすべての Pcube MIB はシスコの標準とスタイルに準拠しており、SMICNG を使用してコンパイルされます。
(注) 整合性確保のために「Pcube」と「SC」の宛先は MIB に維持されていますが、これらは対応するシスコの SCE 製品を参照しています。
MIB を構成するデータ オブジェクトは、次の 2 つの方法で特定できます。
• Object Identifier(OID; オブジェクト識別子) -- エージェント データベースで特定のデータ オブジェクトを示す一意の文字列。
OID は、1.3.6.1.4.1.5655.4.1.10.1 のようにドット区切りの形式で記述されます。
• MIB 記述子 -- OID の MIB ファイルに定義された名前。明示的な OID の代わりに使用されることもあります。
たとえば、「ifTable」は MIB-II インターフェイス テーブルの OID を示します。
• 「MIB-II」
• 「IF-MIB」
SCE プラットフォームは、次のグループを含む MIB-II(RFC 1213)のすべてをサポートしています。
• システム インターフェイス(管理ポートおよび回線ポートの両方)AT(管理ポート)IP(管理ポート)ICMP(管理ポート)
MIB-II 標準は、さまざまな MIB によって拡張されました。SCOS は RFC-2233 に定義されている IF-MIB をサポートします。
次に、この MIB 内の特定のオブジェクトの詳細を示します。
このオブジェクトに記述する操作はサポートされません。イーサネット MIB RFC2665 セクション 3.2.7 に準拠しているため、安全です。 |
|
ENTITY-MIB には、MIB オブジェクトの 5 つのグループが含まれています。
SCOS は、ENTITY-MIB の物理グループと一般的なグループのみ実装します。それ以外のグループは SCE プラットフォームと関連がないため実装しません。
entityPhysical グループは、1 つのエージェントに管理される物理エンティティを示します。このグループには 1 つのテーブル( entPhysicalTabl )が含まれており、物理システム コンポーネントを識別します。
次に、SCOS に実装されている entPhysicalTable の特定のオブジェクトの詳細を示します。
cevChassisSCE2000 = {cevChassis 511} (1.3.6.1.4.1.9.12.3.1.3.511) cevChassisSCE1000 = {cevChassis 512} (1.3.6.1.4.1.9.12.3.1.3.512) |
|
entityGeneral グループには、他のオブジェクト グループに関する一般的な情報が含まれます。entGeneral グループには、1 つのスカラ オブジェクトが含まれます。
次に、SCOS に実装されている entityGeneral グループの特定のオブジェクトの詳細を示します。
sysUpTime。ENTITY-MIB のエントリは、ブート時の作成後でも SCE プラットフォームで変更されないことを示します。 |
SCE 独自の pcube MIB を使用すると、外部管理システムは、SCE プラットフォームの動作ステータスとリソース利用率に関する一般情報を取得したり、帯域利用率とネットワーク統計情報のリアルタイム測定を抽出したり、クリティカル イベントとアラームの通知を受信したりできます。
(注) 次のオブジェクト ID は、pcube Enterprise MIB を表します。
(注) 1.3.6.1.4.1.5655、または iso.org.dod.internet.private.enterprise.pcube
pcube エンタープライズ MIB は、次の 4 つのメイン グループに分かれます。
pcube エンタープライズのツリー構造は、 pcube.mib の名前が付いた MIB ファイルに定義されています。
pcube エンタープライズ MIB の詳細については、 付録B「独自 MIB のリファレンス」 を参照してください。
以下の図は pcube エンタープライズ MIB の構造を示します。図で使用される表記法:
• ユニットを囲む点線の矢印は、線の下で指定された MIB ファイル内でコンポーネントが記述されていることを示します。
• 影付きボックスは、コンポーネントが独自 MIB ファイル内で記述されていることを示します。
• pcubeProducts サブツリー -- Cisco Service Control 製品の OID が含まれています。
• pcubeModules サブツリー -- MIB モジュールを定義する元となるルート オブジェクト ID を提供します。
• pcubeMgmt サブツリー -- 複数の製品に関連した pcube MIB のルート。
– pcubeConfigCopyMIB -- running config から startup config へのローカル コピーをサポートするシスコ Config-Copy-MIB のサブセット。
• pcubeWorkgroups サブツリー -- Cisco Service Control デバイスとサブデバイスの実 MIB が含まれています。
– pcubeSeEvents -- エンタープライズ独自の通知送信に使用される OID が含まれています。
– pcubeSEObjs -- SCE プラットフォームに属する OID が含まれており、機能に応じてグループを分割します。
Service Control 独自の MIB は、pcube MIB( pcube.mib )のような他の MIB に定義されている定義と、 SNMPv2.mib に定義されている定義を使用します。そのため、MIB をロードする順序が重要になります。エラーを防ぐためには、MIB を正しい順序でロードする必要があります。
2. SNMP-FRAMEWORK-MIB.my をロードします。
(注) SCOS でサポートされている情報および独自の MIB ファイルは、次の URL からダウンロードできます。http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml(Cisco Service Routing Products セクションの下)
SCE プラットフォームは、SNMP による設定が可能な限られた変数のセット(読み書き変数)をサポートしています。CLI と同様に SNMP を介して変数を設定すると、すぐに実行コンフィギュレーションに影響します。次のリブート用(スタートアップ コンフィギュレーション)にこのコンフィギュレーションを保存するには、シスコ製エンタープライズ MIB オブジェクトを使用して、CLI または SNMP 経由でこのコンフィギュレーションを明示的に指定する必要があります( を参照)。
SCE プラットフォームでは、このデータベースの変更が可能な複数のインターフェイスを使用して、1 つのコンフィギュレーション データベースを処理することにも注意してください。そのため、CLI または SNMP を介して copy running-config startup-config コマンドを実行し、SNMP または CLI で行ったすべての変更内容を永久に残します。
SNMP 管理をイネーブルにするには、SNMP コミュニティ ストリングを設定して、SNMP マネージャとエージェント間の関係を定義する必要があります。
SNMP 要求を受信すると、SNMP エージェントは、要求に含まれたコミュニティ ストリングとエージェントに設定されたコミュニティ ストリングを照らし合わせます。次の環境において、要求が有効になります。
• 要求に含まれたコミュニティ ストリングが読み取り専用コミュニティに一致する場合、SNMP の Get 、 Get-next 、および Get-bulk の要求が有効です。
• 要求に含まれたコミュニティ ストリングがエージェントの読み書きコミュニティに一致する場合、SNMP の Get 、 Get-next 、 Get-bulk 、および Set の要求が有効です。
• 「オプション」
• community-string -- SNMP サーバへのアクセスが許可された管理者のコミュニティを特定するセキュリティ ストリング
• acl-number -- SNMP インターフェイスに ACL を割り当てる場合の ID 番号。エージェントへのアクセスを取得するためにコミュニティ ストリングを使用することが許可された、SNMP マネージャの IP アドレスが表示される必要があります。
ACL が指定されていない場合、定義されたコミュニティ ストリングを使用して、すべての IP アドレスがエージェントにアクセスできます。ACL の詳細については、「ACL の設定方法」を参照してください。
ステップ 1 SCE(config)# プロンプトで、
snmp-server community
community-string ro|rw acl-number と入力し、Enter キーを押します。
必要に応じてコマンドを繰り返し、すべてのコミュニティ ストリングを定義します。
次に、アクセス リスト番号が [1] で、読み取り専用権を持つ「mycommunity」コミュニティ ストリングを設定する例を示します。
読み取り専用はデフォルトなので、この場合、明示的に定義する必要はありません。
ステップ 1 SCE(config)# プロンプトで、
no snmp-server community
community-string と入力し、Enter キーを押します。
次に、「mycommunity」コミュニティ ストリングを削除する例を示します。
ステップ 1 SCE>プロンプトで、
show snmp-server community
community-string と入力し、Enter キーを押します。
次に、設定した SNMP コミュニティを表示する例を示します。
通知は、イベントが発生したときに、SCE プラットフォームに内蔵された SNMP エージェントが生成する非送信請求メッセージです。Network Management System(NMS; ネットワーク管理システム)が通知メッセージを受信すると、イベントの発生を記録したり、信号を無視したり、適切なアクションを行うことができます。
デフォルトでは、SCE プラットフォームが SNMP 通知を送信するように設定されていません。SCE プラットフォームからの通知が送信される必要がある NMS を定義する必要があります(設定可能な通知のリストについては、以下の表の「設定可能な通知」を参照)。通知を誘発するイベントのいずれかが SCE プラットフォームで発生すると、必ず SNMP 通知が SCE プラットフォームからユーザが定義する IP アドレスのリストに送信されます。
SCE プラットフォームは、2 つの一般的なカテゴリの通知をサポートしています。
• 標準 SNMP 通知 -- RFC 1157 に定義されており、RFC 1215 に定義された表記法を使用しています。
• 独自の SCE エンタープライズ通知 -- SCE 独自の MIB に定義されています( 付録B「通知タイプ」 を参照)。
ホストが通知を受信するように設定されると、デフォルトにより、SCE プラットフォームは、このホストに SCE プラットフォームがサポートしているすべての通知(AuthenticationFailure 通知以外)を送信します。SCE プラットフォームは、この通知に加えて、一部の SCE エンタープライズ通知の送信を明示的にイネーブルまたはディセーブルにするオプションを提供しています。
SNMPv1 または SNMPv2 スタイルの通知を生成するように SCE プラットフォームを設定できます。デフォルトでは、SCE プラットフォームは SNMPv1 通知送信します。
• SNMP エージェントが通知を送信するホスト(NMS)を設定
• AuthenticationFailure通知を送信する SNMP エージェントのイネーブル化
SCE プラットフォームから通知を受信するホストを定義するには、このコマンドを使用します。
• 「オプション」
• 「ホスト(NMS)に通知を送信するように SCE プラットフォームを設定する方法」
• 「ホストに通知を送信しないように SCE プラットフォームを設定する方法」
• ip-address -- SNMP サーバ ホストの IP アドレス
• community-string -- SNMP サーバへのアクセスが許可された管理者のコミュニティを特定するセキュリティ ストリング
• version -- システムで実行されている SNMP バージョン。1 または 2c にすることができます。
ホスト(NMS)に通知を送信するように SCE プラットフォームを設定する方法
• 「複数のホストに通知を送信するための SCE プラットフォームの設定:例」
ステップ 1 SCE(config)# プロンプトで、
snmp-server host
ip-address community-string と入力し、Enter キーを押します。
1 つのコマンドに対して指定できるのは、1 つのホストだけです。複数のホストを定義するには、各ホストに対して 1 つのコマンドを実行します。
複数のホストに通知を送信するための SCE プラットフォームの設定:例
次に、SNMPv1 通知を複数のホストに送信するように SNMP プラットフォームを設定する例を示します。
ホストに通知を送信しないように SCE プラットフォームを設定する方法
• 「ホストに通知を送信しないための SCE プラットフォームの設定:例」
ステップ 1 SCE(config)# プロンプトで、
no snmp-server host
ip-address と入力し、Enter キーを押します。
ホストに通知を送信しないための SCE プラットフォームの設定:例
次に、「192.168.0.83」の IP アドレスを持つホストを削除する例を示します。
定義したホストに送信される通知を設定するには、このコマンドを使用します。
• 「オプション」
• 「SNMP サーバをイネーブルにして、認証失敗通知を送信する方法」
• 「SNMP サーバをイネーブルにして、すべてのエンタープライズ通知を送信する方法」
• 「SNMP サーバをイネーブルにして、特定のエンタープライズ通知を送信する方法」
• snmp -- すべてまたは特定の snmp トラップをイネーブルまたはディセーブルに指定するオプション パラメータ
snmp trap name -- 特定の snmp トラップをイネーブルまたはディセーブルに指定するオプション パラメータ
このパラメータで現在許可されている値は、 authentication だけです。
• enterprise -- すべてまたは特定の enterprise トラップをイネーブルまたはディセーブルに指定するオプション パラメータ
デフォルトでは、enterprise トラップがイネーブルです。
• enterprise trap name -- 特定の snmp トラップをイネーブルまたはディセーブルに指定するオプション パラメータ
値:attack、chassis、link-bypass、logger、operational-status、port-operational-status、pull-request-failure、RDR-formatter、session、SNTP、subscriber、system-reset、telnet、vas-traffic-forwarding
• 1 つのタイプのすべてのトラップをイネーブル/ディセーブルにする場合: snmp または enterprise だけを指定します。
• 1 つの特定のトラップをイネーブル/ディセーブルにする場合:必要なトラップを指定する追加のトラップ名のパラメータとともに snmp または enterprise を指定します。
• すべてのトラップをイネーブル/ディセーブルにする場合: snmp および enterprise のいずれも指定しません。
SNMP サーバをイネーブルにして、認証失敗通知を送信する方法
ステップ 1 SCE(config)# プロンプトで、
snmp-server enable traps snmp authentication
と入力し、Enter キーを押します。
SNMP サーバをイネーブルにして、すべてのエンタープライズ通知を送信する方法
ステップ 1 SCE(config)# プロンプトで、
snmp-server enable traps enterprise
と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
snmp-server enable traps enterprise
[attack|chassis|link-bypass|logger|operational-status|port-operational-status|pull-request-failure|RDR-formatter|session| SNTP|subscriber|system-reset|telnet|vas-traffic-forwarding] と入力し、Enter キーを押します。
必要な enterprise トラップ タイプを指定します。
特定のエンタープライズ通知を送信するための SNMP サーバのイネーブル化:例
次に、logger エンタープライズ通知のみを送信するように SNMP サーバを設定する例を示します。
ステップ 1 SCE(config)# プロンプトで、
default snmp-server enable traps
と入力し、Enter キーを押します。
SCE プラットフォームがサポートしているすべての通知を、デフォルトの状態にリセットします。
シスコの CLI パスワードは、アクセス レベルの許可設定であり、個人のユーザ パスワードではありません。その例として、すべての Admin ユーザが同じパスワードでログインします。これは、システムが個人としてではなく、特定の権限でユーザを特定することを意味します。
未認証のユーザが SCE プラットフォームにアクセスしないようにするために、すべての許可レベルでパスワードが必要になります。初期インストール時にデフォルトのパスワードを変更し、システムを保護する目的で定期的にパスワードを変更することを推奨します。
(注) すべてのレベルのデフォルト パスワードは、「Cisco」です。
Telnet ユーザがログオンすると、Password: プロンプトだけが表示され、ロゴは表示されません。これは、パスワードを知らないユーザにシステム ID を明かさないことにより、セキュリティを強化しています。
• パスワードの長さは、4~100 文字にする必要があります。
• パスワードには、表示可能なすべてのキーボード文字を入力できます。
Admin またはそれ以上の許可レベルを持つユーザは、 show running-config コマンドまたは show startup-config コマンドを使用して、設定されたパスワードを表示できます。したがって、パスワードを完全に極秘にする場合は、「パスワードの暗号化のイネーブル化の方法」に記述されているように、暗号化機能をアクティブにする必要があります。
パスワードを変更するには、 enable password コマンドを使用します。パスワードが変更されると、デフォルトのパスワードがそれ以降許可されなくなります。
• level -- パスワードが定義される許可レベルの番号
• password -- 指定した許可レベルの新しいパスワード
ステップ 1 SCE(config)# プロンプトで、
enable password level
level password と入力し、Enter キーを押します。
ネットワーク管理者は安全な場所でパスワードを記録する必要があります。
ステップ 1 パスワードを設定するのに使用した Telnet 接続を維持しながら、新規の Telnet 接続を開始します。
これは確認が失敗したときに、Admin 許可レベルでパスワードを再入力するために重要です。
ステップ 2 SCE# プロンプトで、
enable
level と入力し、Enter キーを押します。
ステップ 3 プロンプトで、新規のパスワードを入力して、Enter キーを押します。
新規のパスワードが正常に入力されると、該当するプロンプトが表示されます。
正しくないパスワードを入力すると、パスワードのプロンプトが再表示されます。
ステップ 4 必要に応じてこれらの手順を繰り返し、他のパスワードを確認します。
暗号化機能は、プラットフォーム コンフィギュレーション ファイルのパスワードが暗号化します。
暗号化機能がアクティブにされると、システムに入力されたパスワードは、コンフィギュレーション ファイルが次に保存されるときにスタートアップ コンフィギュレーション ファイルに暗号化されます。暗号化機能がオフにされると、前にスタートアップ コンフィギュレーション ファイルに暗号化されたパスワードが解読されなくなります。
ステップ 1 sce(config)# プロンプトで、
service password encryption
と入力し、Enter キーを押します。
ステップ 1 sce(config)# プロンプトで、
no service password encryption
と入力し、Enter キーを押します。
これは、コンフィギュレーション ファイルから暗号化を削除しません。パスワードを暗号化されていないままスタートアップ コンフィギュレーション ファイルに保存する場合は、スタートアップ コンフィギュレーション ファイルに保存する必要があります。
SCE プラットフォームの enable パスワードを復旧させる必要がある場合、次の手順に従ってください。また、使用している SCOS のバージョンに応じて適切な手順を使用しているかも確認してください。
パスワードを復旧する手順は、保存が必要なユーザ設定のパラメータがあるか否かに応じて変わります。
実行している SCOS バージョンが 2.5.5 より前の SCE プラットフォームの場合、 config.txt ファイルを削除したあとリブートさせることでパスワードを簡単に復旧させることができます。
(注) この手順は、SCE プラットフォームの設定を工場出荷時の状態にリセットします。そのため、SCE プラットフォームの動作に影響を受けるトラフィックがないことを確認してからのみこの手順を実行してください。
(注) この手順は、SCE プラットフォームの設定を工場出荷時の状態にリセットします。そのため、現在のすべてのユーザ設定が削除されます。ユーザ設定を維持したままパスワードを復旧するには、「パスワードの復旧方法:現在の設定を保存する場合」の手順を使用してください。
1. シリアル ターミナルを 9600 ボーで「AUX」ポートに接続します。
ステップ 1 シリアル ターミナルを 9600 ボーで「AUX」ポートに接続します。
ステップ 2 Enter キーを押すと、プロンプトが表示されます。
ステップ 3
rm "/tffs0/system/config.txt"
を入力して、Enter キーを押します。
未知のパスワードを含むコンフィギュレーション ファイルを削除します。
ステップ 4
reboot
を入力して、Enter キーを押します。
システムをリブートして、デフォルトのパスワードを含むデフォルト設定を復旧します。
(注) デフォルトのパスワードを使用して、禁止されているユーザが SCE プラットフォームへ接続することをブロックするために、パスワードが必要なすべてのレベルに新しいパスワードを即座に設定してください。また、以降から新しいパスワードを使用するために、設定を保存してください(copy running-config startup-config CLI コマンドを使用)。
config.txt ファイルの削除はすばやく簡単に実行できますが、SCE プラットフォームの設定を工場出荷時の状態にリセットするため、現行のすべてのユーザ設定も変更してしまいます。この手順を使用するとコンフィギュレーション ファイルが保存されるため、現行の設定を失わずにパスワードを復旧できます。
(注) この手順は現在の設定を保存しますが、その内容には一時的に SCE プラットフォームの設定を工場出荷時にリセットする手順も含まれています。そのため、SCE プラットフォームの動作に影響を受けるトラフィックがないことを確認してからのみこの手順を実行してください。
1. シリアル ターミナルを 9600 ボーで「AUX」ポートに接続します。
3.
cd system
を入力して、Enter キーを押します。
4.
rename "config.txt" "config2.txt"
を入力して、Enter キーを押します。
5.
reboot
を入力して、Enter キーを押します。
6. SCE プラットフォームへの Telnet セッションを確立し、 admin 許可レベルをイネーブルにします。
7. SCE# プロンプトで、
copy /system/config2.txt ftp://
<user>:<ftp_password>@ip_address/<path> /config2.txt
と入力し、Enter キーを押します。
8. ワークステーションで、ファイルを開きます。 enable password で始まる行を探してください。
9. SCE# プロンプトで、
rename /system/config2.txt /system/config.txt
と入力し、Enter キーを押します。
ステップ 1 シリアル ターミナルを 9600 ボーで「AUX」ポートに接続します。
ステップ 2 Enter キーを押すと、プロンプトが表示されます。
ステップ 3
cd system
と入力して、Enter キーを押します。
ステップ 4
rename "config.txt" "config2.txt"
を入力して、Enter キーを押します。
コンフィギュレーション ファイルの名前を変更し、システムのリブート時に削除されないようにします。
ステップ 5
reboot
を入力して、Enter キーを押します。
システムをリブートしてパスワードをリセットします。デフォルトの設定が復旧します。すべてのパスワードは、 Cisco です。これでシステムにアクセスできるようになります。
(IP アドレスの設定は、最後に設定された内容のまま残ります)。
ステップ 6 SCE プラットフォームへの Telnet セッションを確立し、 admin 許可レベルをイネーブルにします。
ステップ 7 SCE# プロンプトで、
copy /system/config2.txt ftp://
<user>:<ftp_password>@ip_address/<path> /config2.txt
と入力し、Enter キーを押します。
SCE プラッットフォームの FTP クライアントを使用して、 /system/config2.txt ファイルをワークステーションにコピーします。
ステップ 8 ワークステーションで、ファイルを開きます。 enable password で始まる行を探してください。
パスワードが暗号化されていない場合、そのパスワードを見ることができるため、そのままノートに書き写すことができます。
a. enable password で始まる行を削除して、ファイルを編集します。
c. SCE# プロンプトで、
copy ftp://
<user>:<ftp_password>@ip_address/<path> /config2.txt /system/config2.txt
と入力し、Enter キーを押します。
SCE プラットフォームの FTP クライアントを使用して、ワークステーションのファイルを SCE プラットフォームのディスク スペースにコピーして戻します。
ステップ 9 SCE# プロンプトで、
rename /system/config2.txt /system/config.txt
と入力し、Enter キーを押します。
SCE プラットフォームのコンフィギュレーション ファイルの名前を変更し、元の config.txt に戻します。
ステップ 10 SCE# プロンプトで、
reload
と入力し、Enter キーを押します。
SCE プラットフォームをリブートし、保存したユーザ設定を復旧させます。
• パスワードを暗号化していなかった場合、コンフィギュレーション ファイルは変更されていないため、コピーしたファイルで表示されていたユーザ設定のパスワードが復旧されます。
• パスワードを暗号化していた場合、SCE プラットフォームにコピーを戻す前に、暗号化した行をコンフィギュレーション ファイルから削除したため、デフォルトのパスワード Cisco が適用されます。
デフォルトのパスワードを使用して、禁止されているユーザが SCE プラットフォームへ接続することをブロックするために、パスワードが必要なすべてのレベルに新しいパスワードを即座に設定してください。また、以降から新しいパスワードを使用するために、設定を保存してください( copy running-config startup-config CLI コマンドを使用)。
SCOS バージョン 2.5.5 以降では、デフォルトのパスワードを復旧させるために特別なコマンドを使用できます。ただし、このデフォルトのパスワード設定は一時的なものであることに注意してください。セキュリティ上のため、また、システムをリブートすると未知のパスワードは復旧されないため、即座に新しいパスワードを設定して保存する必要があります。
(注) この手順はログイン パスワード以外の設定パラメータには影響しません。そのため、トラフィック制御中でも安心して実行できます。
ステップ 1 シリアル ターミナルを 9600 ボーで「AUX」ポートに接続します。
ステップ 2 Enter キーを押すと、プロンプトが表示されます。
ステップ 3 プロンプトで、
PSWD_ResetAll
と入力し、Enter キーを押します。
これで、SCOS はすべてのレベルでデフォルトのパスワードを使用します。この状態は一時的なもので、リブート後は保存されないことに注意してください。パスワードを変更せずに、または保存せずに SCE プラットフォームをリブートすると、不明だったパスワードが復旧されます。
デフォルトのパスワードを使用して、禁止されているユーザが SCE プラットフォームへ接続することをブロックするために、パスワードが必要なすべてのレベルに新しいパスワードを即座に設定してください。また、以降から新しいパスワードを使用するために、設定を保存してください( copy running-config startup-config CLI コマンドを使用)。
SCE プラットフォームは、帯域外 MNG ポートの IP パケットを処理するために、スタティック ルーティング テーブルを保持しています。パケットが送信されると、システムは、ルーティング テーブルで正しいルーティングを調べ、それに従ってパケットを転送します。パケットのルートを判別できない場合、SCE プラットフォームはデフォルト ゲートウェイにパケットを送信します。
SCE プラットフォームは、デフォルトのネクスト ホップ ルータとしてデフォルト ゲートウェイの設定をサポートしています。また、異なるサブネットに対して異なるネクスト ホップ ルータを提供するために、ルーティング テーブルの設定をサポートしています(最大設定数は、10 サブネット)。
次のセクションでは、CLI コマンドを使用して、各種のパラメータを設定する方法を示します。
IP ルーティング テーブルに関連するコマンドは、次のとおりです。
• 「オプション」
• ip-address -- デフォルト ゲートウェイの IP アドレス
ステップ 1 SCE(config)# プロンプトで、
ip default-gateway
ip-address と入力し、Enter キーを押します。
次に、SCE プラットフォームのデフォルト ゲートウェイの IP を 10.1.1.1 に設定する例を示します。
• 「オプション」
• 「IP ルーティング テーブルへのエントリの追加方法:例」
• prefix -- ルーティング エントリの IP アドレス(ドット表記)
• mask -- 関連するサブネット マスク(ドット表記)
• next-hop -- ルート内のネクスト ホップの IP アドレス(ドット表記)
MNG インターフェイス サブネット内である必要があります。
ステップ 1 SCE(config)# プロンプトで、
ip route
prefixmasknext-hop と入力し、Enter キーを押します。
指定した IP ルーティング エントリをルーティング テーブルに追加します。
次に、ルータ 10.1.1.250 をサブネット 10.2.0.0 へのネクスト ホップとして設定する例を示します。
• 「指定したサブネットの IP ルーティング テーブルの表示方法」
ステップ 1 SCE# プロンプトで、
show ip route
と入力し、Enter キーを押します。
ルーティング テーブルの全体とデフォルト ゲートウェイの宛先を表示します。
指定したサブネットの IP ルーティング テーブルの表示方法
• 「オプション」
• 「指定したサブネットの IP ルーティング テーブルの表示: 例」
• prefix -- ルーティング エントリの IP アドレス(ドット表記)
• mask -- 関連するサブネット マスク(ドット表記)
ステップ 1 SCE# プロンプトで、
show ip route
prefixmask と入力し、Enter キーを押します。
指定したサブネット(プレフィクス/マスク)のルーティング テーブルを表示します。
指定したサブネットの IP ルーティング テーブルの表示: 例
次に、指定したサブネットのルーティング テーブルを表示する例を示します。
IP アドバタイジングは、設定された間隔で、設定されたアドレスに ping 要求を定期的に送信する動作です。これは、長期間にわたる非アクティブの状態においても、スイッチなどのアダプティブ ネットワーク要素のメモリ内で SCE プラットフォームの IP/MAC アドレスを維持します。
IP アドバタイジングに関連するコマンドは、次のとおりです。
• default ip advertising destination
• default ip advertising interval
IP アドバタイジングを設定するには、まず IP アドバタイジングをイネーブルにする必要があります。次に、ping 要求が送信される宛先アドレスや ping 要求の頻度(間隔)を指定できます。宛先または間隔を明示的に設定しない場合は、デフォルト値であるとみなされます。
• 「オプション」
IP アドバタイジング コマンドで、次のオプションを使用できます。
• destination -- ping 要求の宛先の IP アドレス
ステップ 1 SCE(config)# プロンプトで、
ip advertising
と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
ip advertising destination
destination と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
ip advertising interval
interval と入力し、Enter キーを押します。
次に、10.1.1.1 の宛先と 240 秒の間隔を指定して、IP アドバタイジングを設定する例を示します。
ステップ 1 SCE# プロンプトで、
show ip advertising
と入力し、Enter キーを押します。
IP アドバタイジングのステータス(イネーブルまたはディセーブル)、設定された宛先、および設定された間隔を表示します。
• 「オプション」
ユーザは、管理インターフェイスの IP アドレスを定義する必要があります。両方の管理ポートが接続されて冗長管理ポートが提供されている場合、この IP アドレスは、アクティブになっているポートに関わらず、現在のアクティブ管理ポートに対して常に仮想 IP アドレスとして機能します。
(注) Telnet 経由で管理インターフェイスの IP アドレスを変更すると、Telnet 接続の損失が生じ、インターネットに再接続できなくなります。
(注) IP アドレスの変更後、SCE プラットフォームのすべての内部コンポーネントと外部コンポーネントに変更内容が正常に反映されるように、SCE プラットフォームをリロードする必要があります( SCE プラットフォームのリブートおよびシャットダウン方法を参照)。
• ip-address -- 管理インターフェイスの IP アドレス。両方の管理ポートが接続されてバックアップ管理リンクが使用できる場合、この IP アドレスは、現在アクティブになっている物理ポートに関わらず、現在のアクティブ管理ポートに対して仮想 IP アドレスとして機能します。
1. ローカル コンソールに SCE プラットフォームを直接接続します。
2. SCE(config if)# プロンプトで、
ip address
ip-addresssubnet-mask と入力し、Enter キーを押します。
ステップ 1 ローカル コンソールに SCE プラットフォームを直接接続します。
設定した IP アドレスに左右されない SCE プラットフォームとの接続を確立します。
ステップ 2 SCE(config if)# プロンプトで、
ip address
ip-addresssubnet-mask と入力し、Enter キーを押します。
新規の IP アドレスとサブネット マスクに定義された新規のサブネットに含まれないルーティング テーブルのエントリがあると、このコマンドが失敗する可能性があります。
次に、SCE プラットフォームの IP アドレスを 10.1.1.1 に設定し、サブネット マスクを 255.255.0.0 に設定する例を示します。
SCE プラットフォームには、設定可能な 3 つのタイプ(クロック、カレンダー、およびタイム ゾーン)の時間設定があります。クロックおよびカレンダーをローカル時間に同期化させ、タイム ゾーンを正確に設定することが重要です。SCE プラットフォームは、サマータイムを自動追跡しないので、時間が半年ごとに変わるたびに、タイム ゾーンを更新する必要があります。
SCE プラットフォームには、2 つのタイム ソースがあります。
• カレンダーと呼ばれるリアルタイム クロック。SCE プラットフォームが起動していないときでも継続して時間を追跡します。SCE プラットフォームがリブートされると、システム クロックを設定するためにカレンダー時間が使用されます。カレンダーは、システム動作時の時間の追跡には使用されません。
• システム クロック。通常の動作時に、すべてのタイム スタンプを作成します。システムがシャットダウンされると、このクロックは消去されます。システム起動時に、クロックが初期化され、カレンダーが示す時間を表示します。
クロックとカレンダーの読み取りコマンドを使用して、確実に両者を同期化すれば、どちらのクロックを先に設定するかどうかは、問題になりません。
タイム ゾーンの設定は、システムと他のタイム ゾーンによる他のシステムとの正常な通信を可能にするため、重要です。システムは、Coordinated Universal Time(UTC; 世界標準時)に基づいて設定されています。UTC は、他のメーカーのハードウェアとソフトウェアとの連携に使用される業界標準です。たとえば、太平洋標準時間は PST-10 のように記述されます。これは、タイム ゾーンの名前が PST で、UTC から 10 時間遅れていることを意味します。
ステップ 1 SCE(config)# プロンプトで、
show clock
と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
show calendar
と入力し、Enter キーを押します。
• 「オプション」
• time-date -- 設定する日時。次の形式で設定します。
ステップ 1 SCE# プロンプトで、
clock set
time-date と入力し、Enter キーを押します。
次に、2007 年 5 月 13 日午前 10 時 20 分にクロックを設定し、カレンダーを更新してから、時間を表示する例を示します。
カレンダーは、システムのシャットダウン後も機能するシステム クロックです。
• 「オプション」
1. SCE# プロンプトで、
calendar set
time-date と入力し、Enter キーを押します。
2. SCE(config)# プロンプトで、
clock read-calendar
と入力し、Enter キーを押します。
ステップ 1 SCE# プロンプトで、
calendar set
time-date と入力し、Enter キーを押します。
このコマンドで指定した時間は、設定されたタイム ゾーンとの関係によって決まります。
ステップ 2 SCE# プロンプトで、
clock read-calendar
と入力し、Enter キーを押します。
次に、カレンダーを 2007 年 5 月 13 日の午前 10 時 20 分に設定する例を示します。その後、クロックがカレンダー設定に同期されます。
• 「オプション」
• hours -- UTC からのオフセットの時間数。-23 ~ 23 の整数範囲にする必要があります。
• minutes -- UTC からのオフセットの分数。0 ~ 59 の整数範囲にする必要があります。オフセットが時間だけで測定されない場合にさらにオフセットを分数で指定するには、このパラメータを使用します。
ステップ 1 SCE(config)# プロンプトで、
clock timezone
zonehoursminutes と入力し、Enter キーを押します。
指定したタイムゾーン名と設定したオフセット(時間と分数)で、タイムゾーンを設定します。
次に、UTC より 10 時間遅れたオフセットによる太平洋標準時間にタイム ゾーンを設定する例を示します。
ステップ 1 SCE(config)# プロンプトで、
no clock timezone
と入力し、Enter キーを押します。
タイムゾーンの設定を削除し、タイムゾーンをデフォルトの値(UTC)にリセットします。
指定された日付に、SCE プラットフォームが自動的にサマータイムに切り替わり、標準時間に戻るように設定できます。さらに、サマータイムが多様な場合は、必要に応じて、タイム ゾーン コードを設定できます(たとえば、米国東部では、標準時間が EST に指定され、サマータイムが EDT に指定されます)。
• 「オプション」
• 「注意事項」
特定の場所でサマータイムの開始日と終了日をどのように決めているかに応じて、サマータイムへの遷移時間、またはサマータイムからの遷移時間を 2 つの方法のいずれかに設定できます。
• 繰り返し -- サマータイムが毎年、同じ日に開始し、終了する場合(例:米国)、 clock summer-time recurring コマンドを使用します。サマータイムの開始日と終了日を 1 回で設定でき、システムが毎年、切り替えを自動的に実行します。
• 繰り返しなし -- サマータイムの開始と終了が毎年異なる場合(例:イスラエル)、
clock summer-time コマンドを使用します。この場合、その年に特有の遷移を毎年設定する必要があります(「年度」は、必ずカレンダー通りの年度になるわけではありません。遷移日が秋に決められた場合は、その年の秋と来春の遷移を設定できます)。
• 具体的な日付 -- たとえば、2004 年 3 月 29 日。年度も含まれる具体的な日付は、繰り返しなしの設定に定義します。
• 特定の月の最初の曜日/最後の曜日 -- たとえば、3 月の最終日曜日。これは、繰り返しの設定に使用します。
• 特定の月の特定の週の曜日 -- たとえば、3 月の第 4 日曜日(これは、月に 5 回、日曜日がある場合の最終日曜日とは異なります)。これは、繰り返しの設定に使用します。
• week (繰り返しの場合のみ) -- サマータイムが開始し(week1)、終了する(week2)月の週
• day (繰り返しの場合のみ) -- サマータイムが開始し(day1)、終了する(day2)週の曜日
• date (繰り返しなしの場合のみ) -- サマータイムが開始し(date1)、終了する(date2)月の日付
• month -- 開始し(month1)、終了する(month2)サマータイムの月
• year (繰り返しなしの場合のみ) -- 開始し(year1)、終了する(year2)サマータイムの年
サマータイムの遷移を設定する際の一般的な注意事項は、次のとおりです。
• 繰り返し -- 月の中から1日(週の番号|最初|最後/曜日/月)を指定します。
• 繰り返しなし -- 具体的な日付(月/日/年)を指定します。
• 南半球では、サマータイムが秋に始まり、春に終わるので、month1 の前に month2 が来る必要があります。
• 遷移が行われる正確な時間(24 時間のクロック)を指定します。
–サマータイムへの遷移時間 -- ローカル標準時間に従います。
–サマータイムからの遷移時間 -- ローカル サマータイムに従います。
• clock summer-time recurring コマンドでは、デフォルト値が米国の遷移規則になります。
ステップ 1 SCE(config)# プロンプトで、
clock summer-time
zone recurring
[week1 day1 month1 time1 week2 day2 month2 time2[ offset]] と入力し、Enter キーを押します。
毎年指定した日に開始および終了するサマータイムを設定します。
次に、タイム ゾーンが次のように「DST」に指定された場合の繰り返しのサマータイムを設定する例を示します。
• サマータイムの開始 -- 3 月の最終日曜日の 0:00
• サマータイムの終了 -- 11 月の第 4 土曜日の 23:59
ステップ 1 SCE(config)# プロンプトで、
clock summer-time
zone [date1 month1 year1 time1 date2 month2 year2 time2 [offset]] と入力し、Enter キーを押します。
次に、タイム ゾーンが次のように「DST」に指定された場合の繰り返しなしのサマータイムを設定する例を示します。
• サマータイムの開始 -- 2004 年 4 月 16 日の 0:00
• サマータイムの終了 -- 2004 年 10 月 23 日の 23:59
ステップ 1 SCE(config)# プロンプトで、
no clock summer-time
と入力し、Enter キーを押します。
ステップ 1 SCE# プロンプトで、
show timezone
と入力し、Enter キーを押します。
• 「SNTP マルチキャスト クライアントのイネーブル化の方法」
• 「SNTP マルチキャスト クライアントのディセーブル化の方法」
• 「SNTP ユニキャスト クライアントのイネーブル化の方法」
• 「SNTP ユニキャスト クライアントのディセーブル化の方法」
Simple Network Timing Protocol(SNTP)は、各種のネットワーク要素のクロック同期化問題に対する簡単な解決法です。SNTP は、ネットワーク経由でタイム ソースへのアクセスを提供します。この外部ソースに従って、システム クロックとカレンダーが設定されます。
SNTP クライアントには、2 つのオプションがあります。これらの機能は独立しており、システムはどちらか一方または両方を使用します。
• マルチキャスト SNTP クライアント -- SNTP ブロードキャストを待ち受け、これに従って、システム クロックを更新します。
• ユニキャスト SNTP クライアント -- 設定されたSNTP サーバに定期的な要求を送信し、このサーバの応答に従って、システム クロックを更新します。
(注) 未認証の SNTP または NTP マルチキャスト サーバからのアクセスを防ぐために、IP ACL を設定することを推奨します(ACL の設定方法を参照)。
ステップ 1 SCE(config)# プロンプトで、
sntp broadcast client
と入力し、Enter キーを押します。
SNTP マルチキャスト クライアントをイネーブルにします。ブロードキャスト サーバからの時間の更新を受け入れます。
ステップ 1 SCE(config)# プロンプトで、
no sntp broadcast client
と入力し、Enter キーを押します。
SNTP マルチキャスト クライアントをディセーブルにします。ブロードキャストの時間の更新を受け入れません。
• 「オプション」
• ip-address -- SNMP ユニキャスト サーバの IP アドレス
ステップ 1 SCE(config)# プロンプトで、
sntp server
ip-address と入力し、Enter キーを押します。
SNTP クライアントがサーバのクエリーを実行できるように、SNTP ユニキャスト サーバを定義します。
次に、IP アドレスが 128.182.58.100 の SNTP サーバをイネーブルにする例を示します。
ステップ 1 SCE(config)# プロンプトで、
no sntp server all
と入力し、Enter キーを押します。
すべての SNTP ユニキャスト サーバが削除され、ユニキャスト SNTP のクエリーを阻止します。
• ip-address -- SNMP ユニキャスト サーバの IP アドレス
ステップ 1 SCE(config)# プロンプトで、
no sntp server
ip-address と入力し、Enter キーを押します。
• 「オプション」
• interval -- 更新間の時間(秒単位)(64 ~ 1024)
ステップ 1 SCE(config)# プロンプトで、
sntp update-interval
interval と入力し、Enter キーを押します。
• SNTP ユニキャスト クライアントが、定義された間隔でサーバのクエリーを実行するように設定します。
次に、SNTP の更新間隔を 100 秒に設定する例を示します。
ステップ 1 SCE# プロンプトで、
show sntp
と入力し、Enter キーを押します。
SNTP ユニキャスト クライアントと SNTP マルチキャスト クライアントの両方の設定を表示します。
ホスト名または IP アドレスを要求する CLI コマンドのパラメータとしてホスト名が与えられる場合、次の内容に従って、IP アドレスが名前に変換されます。
1. 名前がドット付き表記(x.x.x.xの形式)である場合、該当する IP アドレスに直接変換されます。
2. 名前にドット文字(.)が含まれない場合、システムは IP ホスト テーブルを調べます。テーブルに名前がある場合は、該当する IP アドレスにマッピングされます。 ip host コマンドを使用して、IP ホスト テーブルを設定できます。
3. 名前にドット(.)文字が含まれず、ドメイン名機能がイネーブルにされ( ip domain-lookup コマンドを参照)、デフォルトのドメイン名が指定されている場合( ip domain-name コマンドを参照)、デフォルトのドメイン名は、完全に記述したドメイン名を形成するために所定の名前に追加されます。これは、IP アドレスに名前を変換する Domain Name Server(DNS)クエリーの実行にも使用されます。
4. それ以外の場合は、ドメイン名機能がイネーブルにされると、名前が完全に記述されているものとしてみなされ、IP アドレスに名前を変換する DNS クエリーの実行に使用されます。
ステップ 1 SCE(config)# プロンプトで、
ip domain-lookup
と入力し、Enter キーを押します。
ステップ 1 SCE(config)# プロンプトで、
no ip domain-lookup
と入力し、Enter キーを押します。
• 「オプション」
• server-ip-address -- DNS の IP アドレス。1 つ以上の DNS サーバ(server-ip-address1、server-ip-address2、server-ip-address3)を定義できます。
名前およびアドレス解決に 1 つ以上のネーム サーバのアドレスを指定するには、このコマンドを使用します。
ステップ 1 SCE(config)# プロンプトで、
ip name-server
server-address1 [server-address2 [server-address3]] と入力し、Enter キーを押します。
次に、2 つのネーム サーバ(DNS)の IP アドレスを設定する例を示します。
ステップ 1 SCE(config)# プロンプトで、
no ip name-server
server-address1 [server-address2 [server-address3]] と入力し、Enter キーを押します。
次に、ネーム サーバ(DNS)の IP アドレスを削除する例を示します。
ステップ 1 SCE(config)# プロンプトで、
no ip name-server
と入力し、Enter キーを押します。
• 「オプション」
ステップ 1 SCE(config)# プロンプトで、
ip host
hostname ip-address と入力し、Enter キーを押します。
次に、すべての IP マッピングとホスト名を同時に削除する例を示します。
ステップ 1 SCE# プロンプトで、
show hosts
と入力し、Enter キーを押します。
このインターフェイスの伝送速度は 10 または 100 Mbpsで、管理動作と RDR(トラフィック分析と管理動作の出力)の伝送用に使用されます。
このインターフェイスを設定する手順は、次のセクションで説明されています。
• 「管理インターフェイスの速度パラメータとデュプレックス パラメータの設定方法」
ここでは、管理インターフェイスの速度とデュプレックスを設定する手順の例を示しながら説明します。
• 「オプション」
• duplex -- 現在選択した管理ポート(0/1 または 0/2)のデュプレックス動作
– auto (デフォルト) -- 自動ネゴシエーション(リンクのデュプレックスは指定しません)
speed パラメータが auto に設定されている場合、 duplex パラメータの変更は効果がありません。
ステップ 1 SCE(config if)# プロンプトで、
duplex
auto|full|half と入力し、Enter キーを押します。
現在選択している管理インターフェイスのデュプレックス動作が設定されます。
次に、このコマンドを使用して、両方の管理ポートを半二重モードに設定する例を示します。
• 「オプション」
• speed -- 現在選択した管理ポート(0/1 または 0/2)の速度(Mbps)
– auto (デフォルト) -- 自動ネゴシエーション(リンク速度は指定しません)
duplex パラメータが auto に設定されている場合、 speed パラメータの変更は効果がありません。
ステップ 1 SCE(config if)# プロンプトで、
speed
10|100|auto と入力し、Enter キーを押します。
次に、このコマンドを使用して、両方の管理ポートを半二重モードに設定する例を示します。
指定の管理インターフェイスの次の情報を表示するには、このコマンドを使用します。速度およびデュプレックス パラメータは選択したインターフェイス(ポート)に固有のものです。他のパラメータは両方のポートに適用されるため、片方のインターフェイスに 1 つのコマンドを入力することで表示できます。
ステップ 1 SCE# プロンプトで、
show interface Mng {01 | 0/2}
[auto-fail-over|duplex|ip address|speed] と入力し、Enter キーを押します。
• オプションを指定しない場合、すべての管理インターフェイス情報が表示されます。
• コマンドで指定された管理インターフェイスに対して、速度とデュプレックス モードが表示されます。