この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Content Switching Module with SSL(CSM-S)の設定を始める前の必要事項について説明します。
• 「設定の概要」
設定プロセスでは、スイッチがRoute Processor(RP;ルート プロセッサ)モードであることを前提とします。図3-1に、基本的なCSM-S設定プロセスの必須および任意の作業の概要を示します。図3-2に、設定プロセスのSSL部分の概要を示します。
(注) レイヤ4ロードバランシングの場合、ポリシーの設定は不要です。
必須のロードバランシング パラメータをCSM-S上で設定すると、任意のパラメータを設定することができます。次の各項を参照してください。
SSLパラメータの設定については、次の各項を参照してください。
• 「クライアント側およびサーバ側動作に対するSSLの設定」
高度な設定と連動するには、第2章から第11章の次の項目を参照してください。
• 「クライアント側およびサーバ側動作に対するSSLの設定」
• 「RHIの設定」
CSM-Sは、Cisco IOSソフトウェアだけを稼働するスイッチでサポートされます。CSM-SはMSFC CLI(コマンドライン インターフェイス)経由で設定されるので、MSFC CLIにアクセスするために、最初にMSFCとのセッションを開始する必要があります。Cisco IOSソフトウェアが稼働するスイッチを使用する場合は、レイヤ2の設定(VLANおよびポート アソシエーションなど)はすべて、スーパバイザ エンジン上で実行されます。
(注) スイッチ上でCSM-Sを実行すると、設定されたVLAN(仮想LAN)がCSM-Sとスイッチのバックプレーンを接続するトランクまたはチャネルに自動的に追加されます。Catalystオペレーティング システムとCisco IOSソフトウェアの両方が稼働するスイッチでは、CSM-S VLANを手動でトランクまたはチャネルに追加する必要があります。
CSM-Sを設定する前に、次の作業を終えておく必要があります。
• スイッチとモジュールのCisco IOSバージョンが一致していることを確認します。『 Catalyst 6500 Series Switch Content Switching Module Installation Guide 』を参照してください。
• Server Load Balancing(SLB;サーバ ロードバランシング)を設定するには、次の情報を入手しておく必要があります。
–Domain Name Server(DNS;ドメイン ネーム サーバ)で使用するCSM-S Virtual IP(VIP;仮想IP)用エントリ(名前を使用してDNSにアクセスする必要がある場合)
• 先にCatalyst 6500シリーズ スイッチでVLANを設定してから、CSM-Sに対してVLANを設定する必要があります。スイッチとモジュールのVLAN IDは同じでなければなりません。詳細については、『 Catalyst 6500 Series Switch Software Configuration Guide 』を参照してください。
• サーバまたはクライアントに接続する物理インターフェイスを、対応するVLAN内に組み込みます。
次に、物理インターフェイスをレイヤ2インターフェイスとして設定して、VLANに割り当てる例を示します。
• クライアント側またはサーバ側VLAN上のネクスト ホップ ルータでMSFCを使用する場合は、対応するレイヤ3 VLANインターフェイスを設定する必要があります。
次に、レイヤ3 VLANインターフェイスを設定する例を示します。
CSM-Sのソフトウェア インターフェイスはCisco IOS CLI(コマンドライン インターフェイス)です。Cisco IOS CLIおよびCisco IOSコマンド モードの詳細については、『Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide』のChapter 2を参照してください。
(注) プロンプトに入力できる文字数に制限があるため、プロンプトが切り捨てられる場合があります。たとえば、Router(config-slb-vlan-server)#はRouter(config-slb-vlan-serve)#のように表示されます。
どのコマンド モードでも、疑問符(?)を入力すると、使用できるコマンドのリストが表示されます。
(注) オンライン ヘルプでは、コマンドで使用できるデフォルトのコンフィギュレーション値、および値の範囲が表示されます。
設定の保存および復元については、『 Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide 』を参照してください。
Catalyst 6500シリーズ スイッチのSLB機能は、2種類のモードで設定されます。RPモードおよびCSMモードです。スイッチの設定は、CSM-Sの動作に影響しません。CSM-Sはデフォルトで、RPモードで設定されます。RPモードを使用すると、同一シャーシで1つまたは複数のCSM-Sモジュールを設定し、同一スイッチでCisco IOS SLBを実行できます。
(注) RPモードはデフォルト モードで、推奨されているモードです。CSMモードは、下位互換性を維持するためにリリース2.1より前のCSMソフトウェア イメージでのみ使用されます。新たにCSMまたはCSM-Sイメージを搭載する場合は、RPモードを使用してください。
CSMモードの場合、設定できるCSM-Sは1つだけです。CSMモードをサポートしているのは、旧ソフトウェア リリースとの下位互換性を維持するためです。単一CSM-S設定では、同一スイッチでCisco IOS SLBを実行できません。
• 「モードの変更」
スイッチにCSM-Sコンフィギュレーション コマンドを入力するには、その前に設定対象のCSM-Sを指定しなければなりません。設定するCSM-Sを指定するには、 module csm slot-number コマンドを使用します。 slot-number 値は、設定対象のCSM-Sが搭載されているシャーシ スロットです。
module csm コマンドによってCSM-Sコンフィギュレーション サブモードが開始されます。以後、入力したすべてのコンフィギュレーション コマンドは、指定したスロットのCSM-Sに適用されます。
(注) 特に明記していないかぎり、このマニュアルの例はすべて、このコマンドが入力済みで、設定対象のCSM-Sに対応するコンフィギュレーション モードがすでに開始されていることが前提です。
CSM-SモードおよびRPモードを設定するコマンドの構文は、次の点を除いて同じです。
• CSMモードで設定する場合、上位レベルのコマンドごとに、プレフィクスとして ip slb を指定する必要があります。
• CSMモードの設定とRPモードの設定では、プロンプトが異なります。
スロット5のCSM-Sに仮想サーバを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
次に、config-module-csmモードでのすべてのCSM-Sコマンドのリスト例を表示します。
ip slb mode コマンドを使用してモードをCSMからRPに切り替えると、既存のCSM-S設定が新しい設定に移行します。既存のCSM-S設定がある場合は、スロット番号を要求されます。
Catalyst 6500シリーズ スイッチでは、RPモードの設定からCSMモードの設定に移行できます。Cisco IOS SLBの設定からCSM-Sの設定への移行は、手動に限って可能です。
CSMモードとRPモードは、CSM-SがCLIから設定される方法に影響するだけで、CSM-S自体の動作および機能に影響するわけではありません。CSM-Sと同一シャーシ内のCisco IOS SLBの場合と同様に、1つのシャーシ内の複数のCSM-Sモジュールを設定する場合は、RPモードである必要があります。
ip slb mode csm コマンド モードを使用して、1.xリリースのCSM-Sを設定することができます。このモードの場合、シャーシに設定できるCSM-Sは1つです(他のCSMまたはCisco IOS SLBを同一シャーシ内に設定できません)。
このモードでは、すべてのCSM-Sコンフィギュレーション コマンドは ip slb で始まります。
CSM-Sの show コマンドは、 show ip slb で始まります。
CSMソフトウェア2.1以降のリリースを使用している場合は、このモードは推奨できません。このモードは、Cisco IOS CLIで下位互換性の維持のためにオプションとして提供されているからです。
Cisco IOS SLBが稼働するシャーシで複数のCSM-Sモジュールを設定するには、 ip slb mode rp コマンド モード(デフォルト)を使用します。このモードで設定できるのは、リリース2.1以降のCSM-Sだけです。
このモードでは、CSM-Sは次のコマンド サブモードから設定されます。
CSM-Sの show コマンドは、 show mod csm X で始まります。
CSMソフトウェア リリース2.1以降でCSM-Sを設定する場合は、RPモードが推奨されます。このモードでも、Cisco IOS SLBに適用されるすべてのコマンドは、シャーシのCSM-Sには適用されません。これらのコマンドは、 ip slb で始まります。
CSMの動作モードをCSMモードからRPモードに、またはRPモードからCSMモードに変更することができます。次に、モードの変更方法を示します。
CSMモードからRPモードに変更する例を示します。これはCSM 1.xから2.1以降のリリースへの一般的な移行例で、モジュールのリセットは必要ありません。
これはRPモードからCSMモードへの移行例で、モジュールのリセットが必要です。
設定が適切に機能するかどうかを確認するには、RPモードで次のコマンドを使用します。
設定が適切に機能するかどうかを確認するには、Cisco IOS SLBモードで次のコマンドを使用します。
シャーシ内の単一のCSM-S設定が適切に機能するかどうかを確認するには、CSMモードで次のコマンドを使用します。
ここでは、Content Switching Module with SSLをアップグレードする3種類の方法について説明します。
• 「スーパバイザ エンジン ブートフラッシュからのアップグレード」
(注) 新しいソフトウェア リリースにアップグレードする場合は、CSM-SイメージをアップグレードしてからCisco IOSイメージをアップグレードする必要があります。そうしないと、スーパバイザ エンジンがCSM-Sを認識しません。スーパバイザ エンジンがCSM-Sを認識しない場合は、Cisco IOSイメージをダウングレードし、CSM-Sイメージをアップグレードしてから、Cisco IOSイメージをアップグレードする必要があります。
(注) CSM-Sのアップグレードの際に、CSMおよびSSLドータカード イメージの両方がアップグレードされます。CSM-S上でCSMイメージを使用、またはCSM上でCSM-Sイメージを使用することができません。
CSM-Sをアップグレードするには、アップグレードするCSM-Sモジュールとのセッションを開始する必要があります。アップグレード中は、スーパバイザ エンジンに接続されたコンソールにすべてのコマンドを入力します。コンフィギュレーション コマンドは、それぞれ異なるコマンドラインに入力してください。アップグレードを完了するには、 exit コマンドを入力して、スーパバイザ エンジン プロンプトに戻ります。「SLBモードの設定」を参照してください。
(注) ブートフラッシュにイメージをロードする手順については、『Catalyst 6500 Series Supervisor Engine Flash PC Card Installation Note』を参照してください。
スーパバイザ エンジンのブートフラッシュからCSM-Sをアップグレードする手順は、次のとおりです。
ステップ 1 Trivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバをイネーブルにして、次のようにブートフラッシュからイメージを供給します。
ステップ 2 スーパバイザ エンジンとCSM-S間のセッションを確立します。
ステップ 3 スーパバイザ エンジンからCSM-Sにイメージをロードします。
スーパバイザ エンジンがシャーシのスロット1に搭載されている場合、 zz は12です。
スーパバイザ エンジンがシャーシのスロット2に搭載されている場合、 zz は22です。
(注) スーパバイザ エンジンを搭載できるのは、シャーシのスロット1またはスロット2だけです。
ステップ 4 CSM-Sとのセッションを終了し、Cisco IOSプロンプトに戻ります。
CSM> exit
ステップ 5 CSM-Sの電源を切断して再投入するか、またはスーパバイザ エンジンのコンソールから次のコマンドを入力して、CSM-Sを再起動します。
(注) このマニュアルでは全体を通して、PCMCIAカードの代わりにフラッシュPCカードという言葉を使用します。
スーパバイザ エンジンに装着された着脱式フラッシュPCカードからCSM-Sをアップグレードする手順は、次のとおりです。
ステップ 1 TFTPサーバをイネーブルにして、着脱式フラッシュPCカードからイメージを供給します。
x 値 = 0(フラッシュPCカードがスーパバイザ エンジンのPCMCIAスロット0に搭載されている場合)
ステップ 2 スーパバイザ エンジンとCSM-S間のセッションを確立します。
ステップ 3 スーパバイザ エンジンからCSM-Sにイメージをロードします。
(注) スーパバイザ エンジンを搭載できるのはシャーシのスロット1またはスロット2だけです。
ステップ 4 CSM-Sとのセッションを終了し、Cisco IOSプロンプトに戻ります。
CSM> exit
ステップ 5 CSM-Sの電源を切断して再投入するか、またはスーパバイザ エンジンのコンソールから次のコマンドを入力して、CSM-Sを再起動します。
外部TFTPサーバからCSM-Sをアップグレードする手順は、次のとおりです。
ステップ 1 TFTP CSM-Sランタイム イメージ ダウンロード用のVLANをスーパバイザ エンジン上に作成します。
(注) 既存のVLANも使用できますが、確実にダウンロードするには、TFTP接続専用のVLANを作成する必要があります。
ステップ 2 TFTPサーバに接続するインターフェイスを設定します。
ステップ 4 CSM-Sの vlan コマンドを入力します。
詳細については、 第4章「VLANの設定」 を参照してください。
ステップ 5 CSM-S用VLANにIPアドレスを追加します。
ステップ 6 show csm slot vlan detail コマンドを入力し、設定を確認します。
詳細については、 第4章「VLANの設定」 を参照してください。
ステップ 7 CSM-SからTFTPサーバに接続できるかどうかを確認します。
ステップ 8 スーパバイザ エンジンとCSM-S間のセッションを確立します。
ステップ 10 CSM-Sとのセッションを終了し、Cisco IOSプロンプトに戻ります。
ステップ 11 CSM-Sの電源を切断して再投入するか、またはスーパバイザ エンジンのコンソールから次のコマンドを入力して、CSM-Sを再起動します。
CSM-S上のSSLのパスワードを回復する際は、システムに別のソフトウェア イメージをロードする必要がありません。パスワードを回復するには、CSM-S前面パネル上の証明書管理ポートから、特別のコマンドを使用します。セキュリティ上の理由から、パスワードの回復はこのポートを介してのみ行われます。
失われたSSLパスワードを回復する場合、次の条件が適用されます。
• CSMおよびSSLドータカードの両方にコンソール接続を行える必要があります。
• パスワードの回復処理中にSSLドータカードが再起動されると、SSLドータカード間のすべてのトラフィックが中断されます。
• 失われたパスワードを回復するには、次のプロンプトを使用します。
SSLドータカード パスワードを回復する手順は、次のとおりです。
次に、SSLドータカードの証明書管理コンソール ポートから、スロット4に搭載されたSSLドータカードの失われたパスワードを回復する例を示します。
(注) enable password ciscoコマンドを入力して、パスワードをciscoに設定します。
SSLドータカードのコンソール ポートから、バックアップ イメージからの鍵をインポートするか、鍵を再生成します。
鍵の生成およびインポートについては、「鍵および証明書の設定」を参照してください。