Cisco Intersight のドメイン ポリシーを使用すると、ポート設定、ネットワーク制御設定、VLAN と VSAN の設定など、UCS ファブリック インターコネクトのさまざまなパラメータを設定できます。ドメイン ポリシーは、任意の数のドメイン プロファイルに割り当てることで、構成基準を提供できます。Cisco Intersight のドメイン ポリシーは、アプリケーションに固有の新機能です。ドメイン プロファイルを使用したポリシーベースの構成は Cisco Intersight Essentials の機能であり、Cisco UCS B シリーズ M5 および M6 サーバ、Cisco UCS C シリーズ M5、M6、M7 および M8 サーバ、および UCS ドメイン内の Cisco UCS X シリーズ M6 、M7 および M8 サーバでサポートされます。

Cisco Intersight のドメイン ポリシー作成ウィザードには 2 つのページがあります。

• [全般（General）]：組織を選択し、ポリシーの名前を入力できます。オプションで、ポリシーの識別に役立つ短い説明とタグ情報を含められます。タグは key：value 形式である必要があります。たとえば、Org:IT または Site:APJ などです。

• [ポリシーの詳細（Policy Details）]：ポリシーの詳細ページには、UCS ドメイン ポリシーに適用可能なプロパティがあります。

Cisco Intersight で設定できるドメイン ポリシーは次のとおりです。

• [ポート ポリシー（Port Policy）]：ファブリック インターコネクトのポートとポート ロールを設定します。各ファブリック インターコネクトには、ポートの集合が固定ポート モジュール内に存在します。ポートまたはポート チャネルをイネーブルまたはディセーブルにできます。

  ポート ポリシーはスイッチ モデルに関連付けられます。ネットワーク設定の制限は、スイッチ モデルによっても異なります。

• Cisco UCS 6400、6500、および 6600 シリーズ ファブリック インターコネクトでサポートされるポートおよびポートチャネルの最大数は次のとおりです：

  • イーサネット アップリンク、Fibre Channel over Ethernet（FCoE）アップリンク ポート チャネル、およびアプライアンス ポート チャネル（組み合わせ）：12

  • ポート チャネルあたりのイーサネット アップリンク ポート：16

  • FC アップリンク ポートチャネル：4

  • ポート チャネルごとの FCoE アップリンク ポート：16

  • イーサネット アップリンクおよび FCoE アップリンク ポート（複合）：31

  • サーバー ポート：Cisco UCS 6454 では 54 ポート、Cisco UCS 64108 ファブリック インターコネクトでは 108 ポート、そしてCisco UCS 6664 ファブリック インターコネクトでは 64 ポート

  Cisco UCS ファブリック インターコネクト 9108 100G でサポートされるポートおよびポート チャネルの最大数は次のとおりです。

  • イーサネット アップリンク、Fibre Channel over Ethernet（FCoE）アップリンク、イーサネット アップリンク ポート チャネル、FCoE アップリンク ポート チャネル、およびアプライアンス ポート チャネル（組み合わせ）：8

  • ポート チャネルあたりのイーサネット アップリンク ポート：8

  • FC アップリンク ポートチャネル：4

  • FC アップリンク数：8

  • SAN ポートあたりの FC アップリンク：8

  • ポート チャネルごとの FCoE アップリンク ポート：8

  • イーサネット アップリンクおよび FCoE アップリンク ポート（組み合わせ）：8

• [イーサネット ネットワーク制御ポリシー（Ethernet Network Control Policy）]：アプライアンス ポート、アプライアンス ポート チャネル、または vNICS のネットワーク制御構成を行います。

• [イーサネット ネットワーク グループ ポリシー（Ethernet Network Group Policy）：イーサネット アップリンク ポート、イーサネット アップリンク ポート チャネル、アプライアンス ポート、またはアプライアンス ポート チャネルの許可 VLAN およびネイティブ VLAN を構成します。

  （注）	イーサネット ネットワーク グループ ポリシーがポート ポリシーのイーサネット アップリンク ポートまたはイーサネット アップリンク ポート チャンネルに割り当てられている場合、イーサネット ネットワーク グループ ポリシー全体の指定されたイーサネット ネットワーク グループ ポリシーは、他のアップリンク インターフェイスで指定された VLAN セットと同一であるか、または分離されている必要があります。 VLAN が VLAN ポリシーで定義されており、[アップリンクでの 自動許可（Auto Allow on Uplinks）] が無効になっていることを確認します。

  ポート ポリシーのイーサネット アップリンク ポートおよびイーサネット アップリンク ポート チャネルに複数のイーサネット ネットワーク グループ ポリシー（ENGP）を追加できます。詳細については、「UCS ドメイン ポリシーの構成」を参照してください。

• [VLAN 設定ポリシー（VLAN Configuration Policy）]：特定の外部 LAN への接続を生成します。

• [VSAN 設定ポリシー（VSAN Configuration Policy）]：ファイバ チャネル ファブリックを 1 つ以上のゾーンに分割します。各ゾーンでは、VSAN で相互通信できるファイバ チャネル イニシエータとファイバ チャネル ターゲットのセットが定義されます。

• [NTP ポリシー（NTP Policy）]：NTP サービスを有効にして、Cisco Intersight によって管理される UCS システムが NTP サーバの時刻と同期するように設定します。NTP サービスを有効化するには、NTP サーバとして動作する 1 ～ 4 台のサーバの IP/DNS アドレスを指定する必要があります。NTP サービスを有効にすると、Cisco Intersight によりエンドポイント側で NTP の詳細が設定されます。詳細については、「NTP ポリシーの作成」を参照してください。

• [ネットワーク接続ポリシー（Network Connectivity Policy）]：エンドポイントから DNS サーバ上のリソース レコードを追加または更新するために使用される DNS ドメイン設定と、エンドポイント上の IPv4 および IPv6 用の DNS サーバ設定を指定します。

• [システム QoS ポリシー（System QoS Policy）]：個々の vNIC にシステム クラスを割り当てることで、接続されたネットワークの重要性に基づいてネットワーク トラフィックの優先順位付けを実施します。Intersight は、DCE（Data Center Ethernet）を使用して、Cisco UCS ドメイン内のすべてのトラフィックを処理します。イーサネットに対するこの業界標準の機能拡張では、イーサネットの帯域幅が 8 つの仮想レーンに分割されています。内部システムと管理トラフィック用に 2 つの仮想レーンが予約されています。それ以外の 6 つの仮想レーンの Quality of Service（QoS）を設定できます。Cisco UCS ドメイン全体にわたり、これら 6 つの仮想レーンで DCE 帯域幅がどのように割り当てられるかは、システム クラスによって決定されます。

  各システム クラスは特定のタイプのトラフィック用に帯域幅の特定のセグメントを予約します。これにより、過度に使用されるシステムでも、ある程度のトラフィック管理が提供されます。たとえば、[ファイバ チャネル優先度（Fibre Channel Priority）] システム クラスを設定して、FCoE トラフィックに割り当てる DCE 帯域幅の割合を決定することができます。構成のセットアップでは、システム クラスの各入力を検証して、重複または無効なエントリを防止します。

  次のリストは、設定可能なシステム クラスをまとめたものです。

  • Platinum、Gold、Silver、および Bronze：これらは、サービスプロファイルの QoS ポリシーに含めることができる設定可能なシステム クラスのセットです。各システム クラスはトラフィック レーンを 1 つ管理します。これらのシステム クラスのプロパティはすべて、カスタム 設定やポリシーを割り当てるために使用できます。

  • ベスト エフォート（Best Effort）：基本的なイーサネット トラフィックのために予約されたレーンに対する QoS を設定するシステム クラスです。このシステム クラスのプロパティの中にはあらかじめ設定されていて、変更できないものもあります。たとえば、このクラスには、必要に応じて、データ パケットのドロップを許可するドロップ ポリシーがあります。このシステム クラスをディセーブルにはできません。

  • ファイバ チャネル（Fibre Channel）：これは、Fibre Channel over Ethernet トラフィックのために予約されたレーンでの Quality of Service を設定するシステム クラスです。このシステム クラスのプロパティの中にはあらかじめ設定されていて、変更できないものもあります。たとえば、このクラスには、データ パケットが絶対にドロップされないことを保証するドロップなしポリシーがあります。このシステム クラスをディセーブルにはできません。

• マルチキャスト ポリシー（Multicast Policy）：インターネット グループ管理プロトコル（IGMP）のスヌーピングおよび IGMP クエリアの設定に使用されます。IGMP スヌーピングは、特定のマルチキャスト伝送に含まれるべき VLAN のホストを動的に決定します。

  1 つ以上の VLAN に関連付けることができるマルチキャスト ポリシーを作成、変更、削除できます。マルチキャスト ポリシーが変更されると、そのマルチキャスト ポリシーに関連付けられたすべての VLAN が再処理され変更が適用されます。デフォルトでは、IGMP スヌーピングが有効になり、IGMP クエリアが無効になります。IGMP クエリアをイネーブルにすると、ローカルおよびピア IGMP スヌーピングクエリアインターフェイスの IPv4 アドレスを設定できます。

• [Simple Network Management Protocol（SNMP）ポリシー（Simple Network Management Protocol (SNMP) Policy）]：管理対象デバイスから SNMP トラップを利用して障害およびアラート情報を送信するための SNMP を設定します。管理対象デバイスに設定されている既存の SNMP ユーザまたは SNMP トラップは削除され、このポリシーで設定するユーザまたはトラップに置き換えられます。

• [Syslog ポリシー（Syslog Policy）]：エンドポイントのローカル ロギングとリモート ロギング（最小シビラティ（重大度））を設定できます。このポリシーは、ローカルファイルおよびリモート syslog サーバに syslog メッセージを保存するための設定サポートも提供します。

• [スイッチ制御ポリシー（Switch Control Policy）]：次を含むファブリック インターコネクト（FI）の複数のネットワーク操作の構成および管理を有効にします。

  • [ポート数の最適化（Port Count Optimization）]：VLAN ポート数の最適化が有効になっている場合は、仮想ポート（VP）グループがファブリック インターコネクト（FI）で設定され、VLAN ポート数の最適化が無効になっている場合は、設定された VP グループが FI から削除されます。

  • [MAC エージングタイム（MAC Aging Time）]：MAC アドレステーブルエントリの MAC エージングタイムを設定できます。MAC エージングタイムは、MAC エントリが期限切れになり、MAC アドレステーブルからエントリを廃棄するまでの時間を指定します。

  • [リンク制御グローバル設定（Link Control Global Settings）]：メッセージ間隔時間の設定を秒単位で有効にし、err-disabled 状態のポートの回復アクションをリセットできます。

• [フロー制御ポリシー（Flow Control Policy）]：ポートおよびポート チャネルのプライオリティフロー制御の設定を有効にします。

• [リンク制御ポリシー（Link Control Policy）]：ポートのリンク制御管理状態と設定（通常またはアグレッシブ）モードを有効にします。

• [リンク集役ポリシー（Link Aggregation Policy）] リンク集約プロパティを設定できます。リンク集約は、複数のネットワーク接続を並列に組み合わせて、スループットを向上させ、冗長性を実現します。

• [LDAP ポリシー（LDAP Policy）]：LDAP 構成の設定とエンドポイントの設定を指定します。エンドポイントでは、ネットワーク内のディレクトリ情報の保存と維持のために LDAP がサポートされています。LDAP ポリシーは、LDAP サーバの構成設定、DNS パラメータ（DNS SRV 要求に使用されるドメイン名を取得するオプションを含む）、バインド方式、検索パラメータ、およびグループ認証設定を決定します。LDAP ポリシーにより、複数の LDAP グループを作成して LDAP サーバ データベースに追加することもできます。

• 証明書管理ポリシー（Certificate Management Policy）：外部証明書の証明書の詳細を指定し、ポリシーをドメイン プロファイルに添付できます。Cisco Intersight は現在、Intersight 管理モードのファブリック インターコネクトのルート CA 証明書をサポートしています。

• MACSec ポリシー（MACSec Policy）：Media Access Control Security（MACsec）である IEEE 802.1AE 標準 と MACsec Key Agreement（MKA）プロトコルは、イーサネット リンク上でセキュアな通信を提供します。MKAプロトコルは、 IEEE 802.1x-2010 に定義されているように、 MACsecピアを検出し、 MACsecで使用されるキーをネゴシエートします。Advanced Encryption Standard（AES）機能により、マスター キーを使用して NXOS に MACsec キーをセキュアに保存できるようになります。

  MACsec 機能には次のようなメリットがあります。

  • ラインレート暗号化機能を提供します。

  • レイヤ 2 で強力な暗号化を提供することで、データの機密性を確保します。

  • 完全性チェックを行い、転送中のデータの変更を防止します。

  • リプレイ保護を提供します。

  MACsec ポリシーは、データ暗号化およびその他の関連属性の暗号スイートを設定します。

ポート ポリシーは、イーサネットまたはファイバチャネルトラフィックを伝送するユニファイドポート、ポートの役割、速度などのポートパラメータの設定に使用されます。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [ポート（Port）] を選択して、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを構成し、[次へ（Next）] をクリックします。

   プロパティ	説明
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   ファブリック インターコネクト モデル	次の FI モデルの 1 つを選択します。 Cisco UCS 64108 ファブリック インターコネクト Cisco UCS 6454 ファブリック インターコネクト Cisco UCS 6536 ファブリック インターコネクト Cisco UCS ファブリック インターコネクト 9108 100G Cisco UCS 6664 ファブリック インターコネクト （注）     FI モデルは、さまざまなネットワーク設定機能をポリシーに提供します。ポリシーが作成されると、スイッチモデルは変更できません。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	説明
   ユニファイド ポート デフォルトでは、未設定のすべてのポートはイーサネット ポートです。青いスライダーを使用して、ファイバー チャネル ポートの範囲を選択します。選択したファイバー チャネル ポートが青色で強調表示されます。
   ファイバ チャネル（FC）	ファイバチャネル用に選択されたポート範囲を表示します。 （注）     Cisco UCS 6454 ファブリック インターコネクトの有効な FC ポート範囲：[ポート 1 ～ 16（Port 1-16）] Cisco UCS 64108 ファブリック インターコネクトの有効な FC ポート範囲：[ポート 1 ～ 16（Port 1-16）] Cisco UCS 6536 ファブリック インターコネクトの有効な FC ポート範囲：[ポート 33 ～ 36（Port 33-36）] Cisco UCS 9108 100G ファブリック インターコネクトの有効な FC ポート範囲：[ポート 1 ～ 2（Port 1-2）] Cisco UCS 6664 ファブリック インターコネクトの有効な FC ポート範囲：[ポート 25 ～ 40（Port 25-40）]
   イーサネット	イーサネット用に選択されたポート範囲を表示します。

6. [ブレイクアウト オプション] ページで、ファイバー チャネルまたはイーサネットのブレイクアウト ポートを構成します。

   （注）

   ブレークアウトポートを設定するためにサポートされるインフラストラクチャファームウェアバージョンは 4.2(2a) 以降です。 イーサネット グラフィック画像内の有効なポートをクリックするか、画像の下にある表でポート番号を選択して、ブレイクアウトするポートを選択します。 以下は、さまざまな Cisco UCS ファブリック インターコネクトのブレイクアウト ポート範囲です。 Cisco UCS 64108 ファブリック インターコネクト、有効なブレイクアウト ポート範囲は 97 ～ 108 Cisco UCS 6454 ファブリック インターコネクト、有効なブレークアウトポート範囲は 49 ～ 54 Cisco UCS 6536 ファブリック インターコネクト、有効なブレイクアウト ポートの範囲は 1 ～ 36 Cisco UCS 9108 100G ファブリック インターコネクト、有効なブレイクアウト ポート範囲は 1 ～ 8 （注）     Cisco UCS 6664 ファブリック インターコネクトは、ブレークアウトポートをサポートしません。 [構成（Configure）] をクリックします。 ポップアップ ウィンドウが表示されます。ブレークアウト ポートに設定できる管理速度が表示されます。 イーサネット ブレークアウト ポートは、ブレークアウトなし、4x10G の管理速度、4x25G の管理速度の 3 つのオプションで構成できます。 目的の速度を選択します （注）     イーサネット ブレークアウトを構成し、FI のリブートを必要とせずにブレークアウト速度を切り替えることができます。 [設定（Set）] をクリックします。 [次へ（Next）] をクリックして [ポートの ロール（Port Roles）] ページに移動するか、 [ファイバチャネル）] タブに移動してFCブレークアウトアウト ポートを構成します。 Fibre Channel ファイバチャネルポートは、 UCS-FI-6536、UCS-FI-6664、および UCSX-S9108-100G ファブリック インターコネクトにのみ適用されます。 グラフィック画像内の有効なポートをクリックするか、画像の下にある表でポート番号を選択して、ブレイクアウトするポートを選択します。 [構成（Configure）] をクリックします。 ポップアップ ウィンドウが表示されます。ブレークアウト ポートに設定できる管理速度が表示されます。 FC ブレークアウト ポートは、4x8G、4x16G、および 4x32G の 3 つの異なる管理速度で構成できます。 目的の速度を選択します （注）     FC ブレークアウト速度を変更しても、FI をリブートする必要はありません。 イーサネット ブレイクアウトから FC ブレイクアウトへの切り替え、またはその逆の切り替え、またはイーサネット ポートから FC ブレイクアウト ポートへの切り替え、またはその逆の切り替えには、毎回 FI のリブートが必要です。 [設定（Set）] をクリックします。 [次へ（Next）] をクリックします。

7. [ポートロール（Port Roles）] ページでは、ポートロールを設定するか、ポートチャネルまたはピングループを作成します。

   ポート ロール グラフィック イメージで、またはグラフィック画像の下にある表で選択して、ポート ロール用に構成する必要があるポートを選択します。
   選択したポート	選択したポート番号を示します。
   名前	ユーザが決定したポート名。
   タイプ（Type）	タイプはイーサネットまたは FC. です。 （注）     FC は Cisco UCS 6400 シリーズ FI には適用されません。
   [設定（Configure）] をクリックします。
   [ロール（Role）]	ポートロールタイプを選択します。 イーサネット ポートのロールは次のとおりです。 Unconfigured：デフォルト サーバ（Server） トラフィックはすべて、I/O モジュールを経由して、ファブリック インターコネクトのサーバ ポートへ進みます。 （注）     Cisco UCS 6664 ファブリックインターコネクトの場合、許可されるサーバポートの最大数は、64 です。 Cisco UCS ファブリック インターコネクト 9108 100G の場合、サーバー ロールはポートロール構成には使用できません。 Cisco UCS 6536 ファブリック インターコネクトの場合、サーバー ロールは 10G ブレークアウト ポートではサポートされていません。 Cisco UCS 6454 ファブリックインターコネクトの場合、許可されるサーバポートの最大数は、54 です。 Cisco UCS 64108 ファブリックインターコネクトの場合、許可されるサーバポートの最大数は、108 です。 サーバー ポート構成は、Cisco UCS 6454 ファブリック インターコネクトのポート 49 ～ 54 および Cisco UCS 64108 ファブリック インターコネクトのポート 97 ～ 108 でブレークアウト ポートを構成した後にのみ、直接接続 Cisco UCS C シリーズ サーバーを検出するためにサポートされます。 Cisco UCS 6454 ファブリック インターコネクトの場合はポート 49 ～ 54、Cisco UCS 64108 ファブリック インターコネクトの場合はポート 97 ～ 108 にブレークアウト ポートを設定した後、シャーシ、シャーシに接続されたブレード サーバ、または FEX に接続されたラック サーバの検出はサポートされません。 イーサネットアップリンク：イーサネットトラフィックはユニファイドアップリンクポートを通過します。 （注）     許可されるイーサネットアップリンクポートと FCoE アップリンクポートの最大数は 31 です。 アプライアンス：トラフィックがアップリンクポートを通過することなく、ネットワークファイルシステムがファブリックインターコネクトに直接接続できるようにします。 FCoE アップリンク： ファイバチャネル over イーサネット （FCoE）アップリンクポートでは、イーサネットとファイバチャネルトラフィックの両方を同じ物理イーサネットリンク上でフローできます。 FC ポートのロールは次のとおりです。 FC アップリンク：FC トラフィックは FC アップリンク ポートを通過します。FC ポートのロールを FC アップリンク ポートとして指定するには、ポートの VSAN スコープが、VSAN 構成ポリシーでストレージおよびアップリンクとして、またはアップリンクとして作成されている必要があります。 [FC ストレージ（FC Storage）] — FC ポートはストレージ ポートとして機能します。FC ポートのロールを FC ストレージ ポートとして指定するには、ポートの VSAN スコープが、VSAN 構成ポリシーでストレージおよびアップリンクとして、または ストレージとして作成されている必要があります。さらに、FC がスイッチング モードになっている必要があります。 [未構成（Unconfigured）] — 未構成は、ポートのデフォルトのロールです。
   管理速度	管理ポートの速度です。次のオプションがあります。 1 Gbps 10 Gbps 25 Gbps 40 Gbps 100 Gbps （注）     ブレークアウト ポートのどのロールに対しても、[自動（Auto）] または [ブレークアウト速度（Breakout speed）] のように管理速度を選択することができます。 Cisco UCS 6536 ファブリック インターコネクトの場合、サーバ ポートでは 25G/40G/100G 接続のみがサポートされます。 Cisco UCS ファブリック インターコネクト 9108 100G の場合、1 Gbps の速度はポート 7 および 8 でのみ使用できます。 （注）     25 Gbps の管理速度が選択されている場合、[25 Gbps 銅線ケーブル ネゴシエーションを有効にする（Enable 25GBPS Copper Cable Negotiation）] は、3 メートルを超える銅ケーブルに対して自動的に有効になります。 25 Gbps 銅線ケーブル ネゴシエーションを有効にします。 アプライアンス、イーサネット アップリンク、FCoE アップリンク ポート ロールでのみサポートされます。 ブレークアウト ポートをサポートしていません。 ファームウェア バージョン 4.2(1a) 以降をサポートします。 [自動（Auto）] に設定された FEC 構成のみをサポートします。
   FEC	イーサネット チャネルのポートの前方誤り訂正構成は次の通りです。 この設定は、次のいずれかになります。 Auto (Auto-FEC) Cl91（CL91-RS-FEC）：25 Gbps および 100 Gbps 管理速度でのアプライアンス、イーサネット アップリンク、および FCoE アップリンク ロールでサポートされます。 Cl74（CL74- FC-FEC）：25 Gbps 管理速度でのサーバ ポート ロールとアプライアンス、イーサネット アップリンク、および FCoE アップリンク ロールでサポートされます。 rs-cons16（CONS16-RS-FEC）：25 Gbps 管理速度でアプライアンス、イーサネット アップ リンク、および FCoE アップリンク ロールでサポートされます。 rs-ieee（IEEE-RS-FEC）：25 Gbps 管理速度でアプライアンス、イーサネット アップリンク、および FCoE アップリンク ロールでサポートされます。 [オフ（Off）]：このオプションを使用して、FEC を無効にできます。これは、管理速度（自動、25 Gbps、および 100 Gbps）でサポートされます。 （注）     最新のデバイス コネクタのファームウェア バージョンが FI で実行されていない場合、rs-cons16、rs-ieee、または Off オプションを選択すると、ドメイン プロファイルのデプロイメントが失敗します。 前方誤り訂正(FEC)をオフにすると、データ損失の増加、エラー率の上昇、データ伝送の中断の可能性があります。
   優先順位	それはシステム QoS クラスの名前です。。トラフィックをルーティングし、QoS を保証するアプライアンス ポートのプライオリティを選択します。
   モード	アプライアンス ポートで設定されるポート モードを選択します。ポート モードは、Trunk または Access です。
   自動ネゴシエーション	このオプションは、サーバー ポートの役割にのみ適用されます。 サーバー ポートが 100G 速度のトランシーバに接続されている場合、自動ネゴシエーションは N9K-C93180YC-FX3 FEX ではサポートされません。ポートが N9K-C93180YC-FX3 に接続されている場合は、自動ネゴシエーション オプションを無効にする必要があります。
   [接続されているデバイスの種類とデバイス番号（Connected Device Type and Device Number）]	このオプションは、サーバー ポートの役割にのみ適用されます。 各ポートまたは一連のポートのデバイス タイプとデバイス番号を選択します。 デフォルトでは、このオプションは無効になっています。 有効にするには： ポートを選択し、[構成（Configure）] をクリックします。 [手動シャーシ/サーバー番号付（Manual Chassis/Server Numbering）]けボタンをオンにします。 各ポートの[接続デバイス タイプ（Connected Device Type）]と[デバイス番号（Device Number）]を指定できるテーブルが表示されます。 （注）     [自動入力番号付け（Auto-Fill Numbering）]を有効にして、好みに応じて各ポートの[接続デバイス タイプ（Connected Device Type）]、[開始デバイス番号（Starting Device Number）]、および[デバイスごとのポート（Ports per Device）]を編集できます。 [保存] をクリックして、[ポート ロール] リスト ビューに [接続されたデバイス タイプ] 列と [デバイス番号] 列を表示します。 （注）     選択した [デバイス番号（Device Number）] が他のポートの他のサーバー/シャーシにすでに割り当てられている場合、次に使用可能な番号が検出されたサーバーに割り当てられます。このアクションにより、ポート ポリシーの展開が失敗することはありません。 ポート ポリシーの変更は FEX には適用されません。
   イーサネット ネットワーク グループ	イーサネット アップリンクまたはイーサネット アプライアンス ポート チャネルに接続するイーサネット ネットワーク グループ ポリシーを選択します。イーサネット ネットワーク グループ ポリシーは、許可された VLAN とネイティブ VLAN を指定します。 （注）     イーサネット ネットワーク グループ ポリシーは、イーサネット アップリンクおよびアプライアンス ロールを持つポート チャネルに適用されます。 分離 VLAN を構成するためのイーサネット ネットワーク グループを作成するには、グループが完全に分離していることを確認します。VLAN の部分的なオーバーラップは許可されません。 QinQ を含むイーサネット ネットワーク グループ ポリシーをアップリンク ポートに適用することはできません。 アップリンク ポートおよびアップリンク ポート チャネルに複数のイーサネット ネットワーク グループ ポリシー（ENGP）を追加できます。イーサネット ネットワーク グループ ポリシーの最大数は、共有ポリシーを含む 50 個に制限されます。 （注）     ネイティブ VLAN は、すべてのイーサネット ネットワーク グループ ポリシー上で同じであり、1 つのイーサネット ネットワーク グループ ポリシーでのみ設定する必要があります。
   イーサネットネットワーク制御	アプライアンスポートにアタッチするイーサネットネットワーク制御ポリシーを選択します。イーサネットネットワーク制御ポリシーでは、CDP の有効化または無効化、MAC 登録モードの指定、アップリンク障害時のアクション、MAC セキュリティの詳細および LLDP の詳細を指定できます。 （注）     イーサネットネットワーク制御ポリシーは、アプライアンスロールを持つポートにのみ適用されます。
   Flow Control	イーサネット アップロード ポートにアタッチするフロー制御ポリシーを選択します。
   リンク制御	イーサネット アップリンクまたは FCoE アップリンク ポートにアタッチするリンク制御ポリシーを選択します。
   MACsec Policy	アプライアンス ポートにアタッチするイーサネット ネットワーク制御ポリシーを選択します。
   VSAN ID	VSAN 構成ポリシーで指定されている FC ポートの VSAN ID です。
   [ユーザ ラベル（User Label）]	設定されたポートにはユーザー ラベルを割り当てることができます。また、FI インベントリ ビューのポートで使用可能な [ユーザー ラベルの設定（Set User Label）] アクションを使用して割り当てることもできます。これらのラベルにより、デバイス ID、ネットワーク トレース、トラブルシューティング、およびインターフェイス管理が強化されます。設定されると、ラベルはポートの説明の一部として NXOS に保存されます。これには、ポートのロールとカスタム ユーザー ラベルの両方が含まれます。この機能を使用すると、 SNMP ユーザーは詳細なポート情報にアクセスでき、トラブルシューティングに役立ちます。 ユーザー ラベルは、1～128 文字の英数字で指定する必要があり、次の特殊文字を使用できます: ! # $ % & * + , ( ) [ ] { } | / . ? @ _ : ; . 同じユーザー ラベルを複数のポートに割り当てることができます。 一度にポートに割り当てることができるユーザーラベルは 1 つだけです。 ユーザー ラベルは、無効になっているポートにも割り当てることができます。 ポートをリセットしても、ユーザー ラベルは削除されません。 ラベル セット ポート アクションは、角カッコ <> で囲まれています。 ポート ポリシーを通じて設定されたラベルがポートの説明の横に追加され、その後にポート アクションによって設定されたラベルが続きます。 NXOS でのポートの説明形式： 説明：Role: label-set-through-port-policy<label-set-through-port-action> 例：Server: Port-Role-Server-FLM19389KT8<Port-Operation-Rack-FLM19389KT8> ユーザー ラベルは、他の機能に影響を与えることなく、設定、変更、およびクリアできます。
   ポートチャネル [ポートチャネルの作成（Create Port Channel）] をクリックして、選択したポートのロールを選択します。 未設定のロールを持つFCまたはイーサネットポートは、ポートチャネルの作成に使用できます。 グラフィックイメージ内のポートをクリックするか、テーブル内の目的のポートの横にあるボックスをクリックして、設定するポートを選択します。
   [ロール（Role）]	ポートチャネルのロールタイプ。ロールタイプは次のいずれかになります。 イーサネットアップリンクポートチャネル FC アップリンクポートチャネル FCoE アップリンクポートチャネル アプライアンス ポートチャネル （注）     許可されているポートの最大数： イーサネット アップリンク ポート チャネル、FCoE アップリンク ポート チャネル、およびアプライアンス ポート チャネル（組み合わせ）は 12。 FC アップリンク ポート チャネルは 4。 ポート チャネルあたりのイーサネットポートは 16。 ポート チャネルごとの FCoE アップリンク ポートは 16。 どのポート チャネルに対しても、通常のポートとブレイクアウト ポートを組み合わせることはできません。たとえば、メンバーが 1/96 および 1/97/1 のアップリンク ポート チャネル ID 100 は許可されません。 Cisco UCS 6536 ファブリック インターコネクトの速度が 100G のポートが N9K-C93180YC-FX3 に接続されている場合、ポート ロールを割り当てるときに自動ネゴシエーションを無効にする必要があります。 FC アップリンク ポート チャネルの場合、ポート速度が異なるポート チャネルは許可されません。たとえば、FC アップリンク ポート チャネル ID 101、メンバー 1/33、ポート速度 8Gbps、および 1/34、ポート速度 16Gbps は許可されません。
   [Port Channel ID]	このスイッチに対してローカルなポートチャネルの固有識別子。
   管理速度	イーサネット アップリンク ポート チャネル、FCoE アップリンク ポート チャネル、およびアプライアンス ポート チャネルの管理ポートチャネル速度オプションは次のとおりです。 1 Gbps 10 Gbps 25 Gbps 40 Gbps 100 Gbps FC アップリンクおよび FC アップリンクポートチャネルの管理ポートチャネル速度オプションは次のとおりです。 8 Gbps 16 Gbps 32 Gbps 64 Gbps 管理速度は、イーサネットアップリンク ポート チャネル、FCoE アップリンク ポート チャネル、およびイーサネット ブレークアウト ポートのアプライアンス ポート チャネル ロールの [自動（Auto）] または [ブレークアウト（Breakout）] 速度として選択できます。 （注）     64 Gbps FC速度は Cisco UCS 6664 ファブリック インターコネクトでのみサポートされます。このモデルでは、8 Gbps FC速度は廃止た。
   FEC	前方誤り訂正（FEC）構成は、イーサネット アップリンク、FCoE アップリンク、およびアプライアンス ポート チャネルに適用できます。 ポート チャネルで設定された FEC は個々のポート メンバーに適用されます。 ポートの前方誤り訂正構成は次の通りです。 Auto (AUTO-FEC) Cl91（CL91-RS-FEC）：アプライアンス ポート チャネル、イーサネット アップリンク ポート チャネル、および FCoE アップリンク ポート チャネルのロールでサポート（25 Gbps および 100 Gbps 管理速度）。 Cl74（CL74- FC-FEC）：25 Gbps 管理速度でのアプライアンス ポート チャネル、イーサネットアップリンク ポート チャネル、および FCoE アップリンク ポート チャネルのロールでサポートされます。 rs-cons16（CONS16-RS-FEC）：25 Gbps 管理速度でのアプライアンス ポート チャネル、イーサネット アップリンク ポート チャネル、および FCoE アップリンク ポート チャネルのロールでサポートされます。 rs-ieee（IEEE-RS-FEC）：25 Gbps 管理速度でのアプライアンス ポート チャネル、イーサネット アップリンク ポート チャネル、および FCoE アップリンク ポート チャネルのロールでサポートされます。 [オフ（Off）]：このオプションを使用して、FEC を無効にできます。これは、管理速度（自動、25 Gbps、および 100 Gbps）でサポートされます。 （注）     前方誤り訂正（FEC）をオフにすると、データ損失の増加、エラー率の上昇、データ伝送の中断の可能性があります。 最新のデバイス コネクタのファームウェアバージョンが FI で実行されていない場合、rs-cons16、rs-ieee、または Off オプションを選択すると、ドメインプロファイルのデプロイメントが失敗します。
   優先順位	トラフィックをルーティングし、QoS を保証するためのポートチャネルのプライオリティを選択します。
   モード	アプライアンス ポート チャネルのポート チャネル モードを選択。ポートチャネルモードは、Trunk または Access です。
   イーサネット ネットワーク グループ	イーサネット アップリンクまたはアプライアンス ポート チャネルに接続するイーサネット ネットワーク グループ ポリシーを選択します。イーサネット ネットワーク グループ ポリシーは、許可された VLAN とネイティブ VLAN を指定します。 （注）     イーサネット ネットワーク グループ ポリシーは、イーサネット アップリンクおよびアプライアンス ロールを持つポート チャネルに適用されます。 分離 VLAN を構成するためのイーサネット ネットワーク グループを作成するには、グループが完全に分離していることを確認します。VLAN の部分的なオーバーラップは許可されません。
   イーサネットネットワーク制御	アプライアンスポートチャネルにアタッチするイーサネットネットワーク制御ポリシーを選択します。イーサネットネットワーク制御ポリシーでは、CDP の有効化または無効化、MAC 登録モードの指定、アップリンク障害時のアクション、MAC セキュリティの詳細および LLDP の詳細を指定できます。 （注）     イーサネット ネットワーク制御ポリシーは、アプライアンス ロールを持つポート チャネルにのみ適用されます。
   フロー制御ポリシー	アプライアンス ポート チャネルにアタッチするイーサネット ネットワーク制御ポリシーを選択します。
   リンク集約ポリシー	アプライアンス ポート チャネル、FCoE アップリンク ポート チャネル、またはイーサネット アップリンク ポート チャネルにアタッチするリンク集約ポリシーを選択します。
   リンク制御ポリシー	FCoE アップリンク ポートチャネルまたはイーサネット アップリンク ポート チャネルにアタッチするリンク制御ポリシーを選択します。
   MACsec Policy	イーサネット アップリンク ポート チャネルにアタッチされる MACsec ポリシーを選択します。 （注）     Cisco UCS 6664 ファブリック インターコネクトでは、ポート 49 ～ 64 のみがMACSecurity（MACsec）をサポートします。MACsec ポリシーをアタッチするオプションは、ポート 49 ～ 64 を選択した場合にのみ使用できます。
   [VSAN ID]	VSAN 構成ポリシーで指定されている FC ポートの VSAN ID です。
   [ポート チャネル （Port Channel）]	選択有効ポート チャネルの範囲は 1 ～ 256 です。
   [ユーザ ラベル（User Label）]	設定されたポート チャネルにユーザー ラベルを割り当てることができます。また、FI インベントリ ビューのポート チャネルで使用可能な [ユーザー ラベルの設定（Set User Label）] アクションを使用して割り当てることもできます。これらのラベルにより、デバイス ID、ネットワーク トレース、トラブルシューティング、およびインターフェイス管理が強化されます。設定されると、ラベルはポートの説明の一部として NXOS に保存されます。これには、ポートのロールとカスタム ユーザー ラベルの両方が含まれます。この機能を使用すると、 SNMP ユーザーは詳細なポート情報にアクセスでき、トラブルシューティングに役立ちます。 ユーザー ラベルは、1～128 文字の英数字で指定する必要があり、次の特殊文字を使用できます: ! # $ % & * + , ( ) [ ] { } | / . ? @ _ : ; . 同じユーザー ラベルを複数のポート チャネルに割り当てることができます。 一度に 1 つのポート チャネルに割り当てることができるユーザー ラベルは 1 つだけです。 ユーザー ラベルは、無効になっているポート チャネルにも割り当てることができます。 ポート チャネルをリセットしても、ユーザー ラベルは削除されません。 ユーザー ラベルは、ファブリックおよびサーバーポートチャネルでは設定できません。 ポート アクションで設定されたラベルは、角カッコ <> で囲まれています。 ポート ポリシーを通じて設定されたラベルがポートの説明の横に追加され、その後にポート アクションによって設定されたラベルが続きます。 NXOS でのポートの説明形式： 説明：Role: label-set-through-port-policy<label-set-through-port-action> 例：Server: Port-Role-Server-FLM19389KT8<Port-Operation-Rack-FLM19389KT8> ユーザー ラベルは、他の機能に影響を与えることなく、設定、変更、およびクリアできます。
   ピン グループ ピン グループを使用して、サーバー上の vNIC/vHBA から、イーサネット/FC トラフィックをファブリック インターコネクトのアップリンク イーサネット/FC ポートにピン接続します。このピン接続を使用して、サーバからのトラフィックの分散を管理できます。FI がスイッチング モード (イーサネットおよび FC) の場合、静的ピン接続はサポートされません。 サーバーにピン接続を構成するには、LAN/SAN 接続ポリシーに LAN/SAN ピン グループを含める必要があります。 [ピン グループの作成（Create Pin Group）] をクリックして、LAN および SAN データ トラフィックを流すことができる FI のポート/ポート チャネルを指定します。
   ピングループタイプ	ピンされたポート/ポート チャネルにフローする必要があるデータ トラフィックのタイプ。タイプは次のとおりです。 LAN SAN
   ピングループ名	ピン グループの名前。この名前は、ピン グループが作成されると、LAN/SAN 接続ポリシーの作成ページに表示されます。
   インターフェイス タイプ	ファブリック インターコネクトのインターフェイスのタイプ。 Port ポート チャネル
   Port Selection	使用可能な表から、データ トラフィック フローにピンする必要があるポートとブレークアウト ポートを選択できます。 デフォルトでは有効。

8. [保存（Save）] をクリックします。

イーサネット ネットワーク グループ ポリシーを使用すると、UCS サーバ上の VLAN の設定を管理できます。これらの設定には、許可される VLAN の定義、ネイティブ VLAN の指定、QinQ VLAN の指定が含まれます。

（注）

イーサネット ネットワーク グループがポート ポリシーに割り当てられている場合、指定された VLAN セットは、他のアップリンク インターフェイスで指定された VLAN セットと同一であるか、または分離されている必要があります。VLAN が VLAN ポリシーで定義されていること、および [アップリンクでの自動許可（Auto Allow on Uplinks）] が無効になっていることを確認します。 イーサネット網グループは分離レイヤ 2 構成にのみ使用する必要があり、イーサネット網グループ内のVLANで VLAN構成ポリシー セクションで [アップリンクでの自動許可（Auto Allow on Uplinks）] が有効になっている場合は失敗します。

このポリシーは、VIC QinQ トンネリングもサポートします。QinQ（802.1Q-in-802.1Q）トンネルにより、ネットワーク内の異なる VLAN を分離および分離できます。QinQ VLAN を設定するには、特定のポート、ポート チャネル、または vNIC の VLAN 設定の一部として、目的の VLAN ID を指定できます。これにより、単一の VLAN トランクを介した複数の VLAN の伝送が可能になります。

1. アカウント管理者またはサーバーまたはドメイン管理者のロールで Cisco Intersight にログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [イーサネット ネットワーク グループ（Ethernet Network Group）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[説明（Description）]
   [vNIC 上で QinQ（802.1Q-in-802.1Q）トンネリングを有効にする（Enable QinQ (802.1Q-in-802.1Q) Tunneling on the vNIC）]	このチェックボックスをオンにして、VIC QinQ（802.1Qin802.1Q）トンネリングを有効にします。この機能により、QinQ トンネリングの構成が有効になり、単一の VLAN 内の複数の VLAN のカプセル化が容易になります。サポートされる VLAN IDの範囲は 1 ～ 4093 で、ネットワーク トラフィックの効果的な管理と分離を可能にします。
   QinQ VLAN	[QinQVLANs] ドロップダウン リストから、次の 2 つのオプションのいずれかを選択して、イーサネット ネットワーク グループ ポリシーに QinQ VLAN ID を追加します。 手動設定 ポリシーから （注）     [QinQ VLAN] オプションは、[vNIC 上で QinQ（802.1Q-in-802.1Q）トンネリングを有効にする（Enable QinQ (802.1Q-in-802.1Q) Tunneling on the vNIC）] チェックボックスがオンになっている場合にのみ使用できます。
   [手動入力（Enter Manually）]	カンマ区切りの VLAN ID と VLAN ID 範囲のリストを指定することで、許可された VLAN を指定できます。 たとえば、VLAN ID 10、20、30 ～ 40 を入力して VLAN 10、20、30 ～ 40 の範囲を許可できます。
   [ポリシーから（From Policy）]	既存の VLAN ポリシーから VLAN ID をインポートすることで、許可された VLAN を指定できます。 （注）     [ポリシーの選択（Select Policy）] ページで [新規作成（Create New）] をクリックして新しい VLAN ポリシーを作成し、後でそこから VLAN ID をインポートできます。
   [ネイティブ VLAN （Native VLAN）] （オプション）	[ネイティブ VLAN （Native VLAN）]ドロップダウン リストから、次の 2 つのオプションのいずれかを選択して、イーサネット ネットワーク グループ ポリシーに QinQ ネイティブ VLAN を追加します。 手動設定 ポリシーから （注）     ネイティブ VLAN の設定はオプションの構成です。ネイティブ VLAN を含めずにイーサネット ネットワーク グループ ポリシーを作成できます。 ネイティブ VLAN 設定を変更すると、ポート フラップが発生し、約 20 ～ 40 秒間、接続が短時間中断されます。 ネイティブ VLAN が変更されるとこのポート フラップが発生します。ただし、ポート フラップがこの短期間を超えて続く場合は、Cisco TAC に連絡して、さらにトラブルシューティングとサポートを依頼することを推奨します。
   [VLAN の追加（Add VLAN）]	[VLAN の追加（Add VLAN）] ドロップダウン リストから、次の 3 つのオプションのいずれかを選択して、イーサネット ネットワーク グループ ポリシーに VLAN ID を追加します。 手動設定 ポリシーから CSV ファイルから （注）     [VLAN の追加（Add VLAN）] オプションは、[vNIC 上で QinQ（802.1Q-in-802.1Q）トンネリングを有効にする（Enable QinQ (802.1Q-in-802.1Q) Tunneling on the vNIC）] チェックボックスがオフになっている場合にのみ使用できます。
   [手動入力（Enter Manually）]	カンマ区切りの VLAN ID と VLAN ID 範囲のリストを指定することで、許可された QinQ VLAN を指定できます。値は 1 ～ 4093 の間である必要があります。
   [ポリシーから（From Policy）]	VLAN ポリシーから VLAN ID をインポートすることで、許可された Q-in-Q VLAN を指定できます。
   [CSV ファイルから（From CSV File）]	ローカル マシンの CSV ファイルから VLAN ID をインポートすることで、許可された VLAN を指定できます。 テーブルの列ヘッダーには、 [許可 VLAN（Allowed VLAN）] または [VLAN]ラベルが付いている場合があります。列の各セルには、許可された VLAN 識別子（ID）のリストを含める必要があります。これらの ID は、次の 2 つの形式で指定できます： [個別の値（Individual values）]：カンマ（,）で区切られた個別の ID（例：14,15,21-64）。 [範囲（Range）]:ハイフン（-）は、連続するシリーズ内の許容される最小 ID と最大 ID を区切ります（例: 2-13）。範囲は 1～4093 である必要があります。
   [VLAN 識別子範囲の表示（Show VLAN ID Ranges）]	許可されているすべての VLAN 識別子範囲を表示するには、[VLAN ID 範囲の表示（Show VLAN ID Ranges）] オプションを切り替えます。
   [ネイティブ VLAN（Native VLAN）] （オプション）	ネイティブ VLAN を構成するには、希望する VLAN ID の横にある省略記号（[…]）アイコンをクリックし、[ネイティブ VLAN の設定（Set Native VLAN）] を選択します。ネイティブ VLAN を削除するには、その横にある省略記号（[…]）アイコンをクリックし、[ネイティブ VLAN の設定解除（ Unset Native VLAN）] を選択します。 （注）     ネイティブ VLAN の設定はオプションの構成です。ネイティブ VLAN を含めずにイーサネット ネットワーク グループ ポリシーを作成できます。 ネイティブ VLAN がすでに割り当てられている場合、変更すると、プロファイルの展開中にネットワークが短時間中断する可能性があります。 ネイティブ VLAN 設定を変更すると、ポート フラップが発生し、約 20 ～ 40 秒間、接続が短時間中断されます。 ネイティブ VLAN が変更されるとこのポート フラップが発生します。ただし、ポート フラップがこの短い期間を超えて続く場合は、Cisco TAC に連絡して、さらにトラブルシューティングとサポートを依頼することを推奨します。

   （注）	サーバーを隔離ホストまたはコミュニティ ホストにするには、許可 VLAN とネイティブ VLAN の両方で隔離 VLAN またはコミュニティ VLAN の ID を指定します。

6. [作成（Create）] をクリックします。

UCS ドメインのネットワーク制御設定を設定するイーサネットネットワーク制御ポリシー。このポリシーは、ポート ポリシーで定義されたアプライアンス ポート、および FI 接続された UCS サーバ上の LAN 接続ポリシーで定義された vNIC にのみ適用されます。

1. アカウント管理者またはサーバー管理者ロールで Cisco Intersight にログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [イーサネット ネットワーク コントロール（Ethernet Network Control）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [CDP の有効化（Enable DNS）]	インターフェイスの Cisco Discovery Protocol（CDP）を有効にします。
   [MAC 登録モード（MAC Register Mode）]	スイッチに登録する必要がある MAC アドレスを決定します。次のように指定します。 [ネイティブ VLAN のみ（Only Native VLAN）]：MAC アドレスはネイティブ VLAN のみに追加されます。デフォルトではこのオプションが設定され、port+VLAN のカウントが最大になります。 [すべてのホスト VLAN（All Host VLANS）]：MAC アドレスは関連付けられたすべての VLAN に追加されます。トランキングを使用するよう設定されているが、無差別モードで実行されていない VLAN の場合、このオプションを選択します。
   [アップリンク障害時の動作（Action on Uplink Fail）]	スイッチがエンドホスト モードのとき、使用可能なアップリンク ポートがないと、インターフェイスがどのように動作するか決定します。 [リンク ダウン（Link Down）]：スイッチ上でアップリンク接続が失われたときに vNIC の動作状態をダウンに変更します。vNIC のファブリック フェールオーバーが有効になります。これがデフォルトのオプションです。 [警告（Warning）]：使用可能なアップリンク ポートがない場合であっても、サーバ間の接続を維持します。スイッチ上でアップリンク接続が失われたときのファブリック フェールオーバーは無効になります。
   [MAC セキュリティ（MAC Security）] [構築（Forge）]	パケットがサーバからスイッチに送信される場合に、構築された MAC アドレスが許可されるか、または拒否されるかを決定します。次のように指定します。 [許可（Allow）]：すべてのサーバ パケットは、そのパケットと関連付けられている MAC アドレスとは無関係に、スイッチで受け入れられます。これがデフォルトのオプションです。 [拒否（Deny）]：最初のパケットがファブリック インターコネクトに送信された後、それ以降のすべてのパケットは、それと同じ MAC アドレスを使用する必要があります。そうでなかった場合、スイッチによりメッセージなしで拒否されます。実質的に、このオプションによって、関連する vNIC のポート セキュリティが有効になります。
   [LLDP]	インターフェイスが LLDP パケットを送受信できるかどうかを決定します。 インターフェイス上での LLDP パケットの伝送を有効にするには、[伝送を有効化（Enable Transmit）] をクリックします。 インターフェイス上での LLDP パケットの受信を有効にするには、[受信を有効化（Enable Receive）] をクリックします。

6. [作成（Create）] をクリックします。

VLAN ポリシーによって特定の外部 LAN への接続が生成されます。VLAN は、ブロードキャスト トラフィックを含む、その外部 LAN へのトラフィックを切り離します。VLAN ポリシーを使用して、VLAN およびプライベート VLAN を作成できます。

（注）	それぞれの VLAN がマルチキャスト ポリシーに関連付けられていることを確かめてください。既存の VLAN を編集し、マルチキャスト ポリシーに関連付けることができます。マルチキャスト ポリシーをプライベート VLAN に関連付けることはできません。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [VLAN] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、[VLAN の追加（Add VLAN）] をクリックし、次のポリシーの詳細を設定します。

   （注）	イーサネット ネットワーク ポリシーごとに許可される VLAN の最大数は 3000 です。

   プロパティ	[基本情報（Essential Information）]
   VLANの追加	VLAN の追加をクリックして、VLAN とプライベート VLAN を追加します。
   [名前/プレフィックス（Name/Prefix）]	単一の VLAN の場合、VLAN 名を指定します。VLAN の範囲の場合、各 VLAN 名に使用されるプレフィックスを指定します。
   [VLAN ID]	VLAN ID 番号または 2 ～ 4093 の番号の範囲を入力します。ハイフンを使用してIDの範囲を入力することができ、複数のIDまたはID範囲をカンマで区切って入力できます。有効なVLAN IDまたはID範囲として、たとえば50、200、2000～2100を指定できます。3915～4042、4043～4047、4094、および4095のVLANは使用できません。該当するIDはシステム使用のために予約されているためです。 VLAN ID に割り当てる名前によって抽象化層が追加されることで、ネームド VLAN を使用するサービス プロファイルに関連付けされたすべてのサーバを一括してアップデートできるようになります。
   [アップリンクでの自動許可（Auto Allow on Uplinks）]	このファブリック インターコネクトの全アップリンク ポートおよびポート チャネルでこの VLAN を許可するかどうかを決定するために使用されます。 有効にすると、すべてのアップリンクでこの VLAN が自動的に許可されます。 分離レイヤ 2 VLAN 構成で無効を指定する必要があります。 （注）     デフォルトの VLAN-1を分離レイヤ 2 VLAN として構成することはできません。
   マルチキャストポリシー	[ポリシーの選択（Select Policy）] をクリックし、VLAN に関連付ける必要があるマルチキャストポリシーを選択します。 すべての VLAN で使用可能な新しいマルチキャスト ポリシーを作成するには、[新規作成（Create New）] をクリックします。 （注）     プライベート VLAN のマルチキャスト ポリシーは追加できません。
   [VLAN 共有を有効にする（Enable VLAN Sharing）]	プライベート VLAN の作成を[有効（Enable）]にします。
   [共有タイプ（Sharing Type）]	共有タイプは次のとおりです。 [プライマリ（Primary）] : プライベート VLAN のプライマリ VLAN。セカンダリ VLAN はプライマリ VLAN にマッピングされます。 （注）     隔離 VLAN またはコミュニティ VLAN を作成する前に、プライマリ VLAN を作成する必要があります。 [隔離（Primary）]：セカンダリ VLAN の 2 つの共有タイプの 1 つ。特定のプライマリ VLAN の下でマップできる隔離 VLAN は 1 つだけです。 [コミュニティ（Community）] : セカンダリ VLAN の共有タイプの 1 つ。プライマリ VLAN には複数のコミュニティ VLAN をマップできます。
   プライマリ VLAN ID	コミュニティまたは隔離 VLAN がマッピングされるプライマリ VLAN。 （注）     セカンダリ VLAN がプライマリ VLAN にマッピングされている場合、プライマリ VLAN を変更または削除することはできません。
   ネイティブVLAN IDの設定	ネイティブ VLAN を構成するには、 [ネイティブ VLAN ID の設定（設定 Native VLAN ID）] チェック ボックスを選択。 （注）     ネイティブ VLAN 設定を変更すると、ポート フラップが発生し、約 20 ～ 40 秒間、接続が短時間中断されます。 ネイティブ VLAN が変更されるとこのポート フラップが発生します。ただし、ポート フラップがこの短期間を超えて続く場合は、Cisco TAC に連絡して、さらにトラブルシューティングとサポートを依頼することを推奨します。
   [VLAN ID]	VLAN ID を入力します。 （注）     [VLAN ID] は、 [設定 Native VLAN ID] が選択されている場合にのみ表示されます。

   （注）	ドメイン プロファイルの VLAN 構成が変更された場合、サーバー プロファイルの対応する変更は、サーバー プロファイルが再展開された後にのみ有効になります。

6. [作成（Create）] をクリックします。

VSAN ポリシーを使用すると、同じ SAN ファブリックに物理的に接続されているデバイスを分離する Virtual SAN（VSAN）を作成できます。VSAN により、ファイバ チャネル ファブリックのセキュリティと安定性が向上し、共通の物理インフラストラクチャ上に複数の論理 SAN を作成できます。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [VSAN] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   Description（オプション）	簡単な説明を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。

5. [ポリシーの詳細（Policy Details）] ページで、次の手順を実行します。

   • [トランキングモード（Trunking Mode）] をクリックして、ファイバチャネルアップリンクトランキングを有効または無効にします。

     ファブリック インターコネクト上の名前付き VSAN でトランキングを有効ににした場合、そのファブリック インターコネクトのすべてのファイバ チャネル アップリンク ポートで、Cisco UCS ドメインのすべての名前付き VSAN が許可されます。ファブリック インターコネクトがファイバ チャネル エンドホスト モード用に設定されている場合、ファイバ チャネル アップリンクのトランキングを有効にすると、ID が 3840～4079 の範囲にあるすべての VSAN が動作不能になります。

   • [VSAN の追加（Add VSAN）] をクリックし、次のポリシーの詳細を設定します。

     プロパティ	[基本情報（Essential Information）]
     [名前（Name）]	ユーザが VSAN コンフィギュレーションに付けた名前。
     VSAN の範囲	VSAN の範囲です。VSAN がストレージおよびアップリンク VSAN、ストレージ VSAN、またはアップリンク VSAN のいずれであるかを示します。 VSAN の範囲は次のとおりです。 ストレージとアップリンク ストレージ アップリンク （注）     VSAN の FC ゾーン ポリシーを作成する場合、VSAN スコープはストレージである必要があります。
     [VSAN ID]	スイッチ上の VSAN の一意の識別子。VSAN ID は 1 ～ 4093 の範囲で指定できます
     [FCoE VLAN ID]	ファイバ チャネル接続に使用される VLAN に割り当てられた固有識別情報。 VSAN 設定に関連付けられている FCOE VLAN の ID は、2 ～ 4093 である必要があります。3915〜4042、4043～4047、4094、4095のVLAN IDは、システム使用のために予約されています。 デフォルトでは、VLAN 4048 はスイッチの VSAN-1 にマッピングされます。VSAN ポリシーで FCoE に VLAN 4048 を使用しようとすると、エラーが発生します。この場合、VSAN ポリシーで別の FCOE VLAN ID を使用するように VSAN-1 を明示的に設定する必要があります。

6. [作成（Create）] をクリックします。

NTP ポリシーは、Cisco Intersight によって管理される UCS システムが NTP サーバの時刻と同期するように設定するために、NTP サービスを有効にします。NTP サービスを有効化するには、NTP サーバとして動作する 1 ～ 4 台のサーバの IP/DNS アドレスを指定する必要があります。NTP サービスを有効にすると、Cisco Intersight によりエンドポイント側で NTP の詳細が設定されます。

1. アカウント管理者またはサーバーまたはドメイン管理者のロールで Cisco Intersight にログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [NTP] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [Enable NTP]	NTP ポリシー設定をイネーブルにします。
   NTP サーバ （NTP Servers）	NTP サーバの IP アドレスまたはホスト名のコレクション。
   [タイム ゾーン（Time Zone）]	エンドポイントのタイムゾーンを選択できるタイムゾーンのコレクション。 このプロパティは、スイッチおよび Cisco IMC（スタンドアロン）サーバに適用されます。

   NTP の設定にホスト名を使用する場合は、ネットワーク接続ポリシーで DNS サーバ情報を設定する必要があります。

6. [作成（Create）] をクリックします。

ネットワーク接続ポリシーを使用すると、IPv4 アドレスと IPv6 アドレスを設定して割り当てることができます。

[ダイナミック DNS（Dynamic DNS）]

ダイナミック DNS（DDNS）は、 DNS サーバのリソース レコードを追加または更新するために使用されます。DDNS オプションを有効にすると、DDNS サービスは現在のホスト名、ドメイン名、および管理 IP アドレスを記録し、DNS サーバのリソース レコードを更新します。

1. アカウント管理者またはサーバー管理者またはドメイン管理者のロールで Cisco Intersight にログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [ネットワーク 接続（Network Connectivity）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   Description（オプション）	簡単な説明を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。

5. [ポリシーの詳細（Policy Details）] ページで、次のプロパティを設定します。

   [共通プロパティ（Common Properties）]

   プロパティ	[基本情報（Essential Information）]
   [ダイナミック DNS の有効化]（Enable Dynamic DNS）	ダイナミック DNS を有効化します。 このプロパティは、ファブリック インターコネクトには適用されません。
   [ダイナミック DNS 更新ドメイン（Dynamic DNS Update Domain）]	ダイナミック DNS ドメインを指定します。このドメインは、メイン ドメインまたはサブ ドメインのどちらにもできます。 このプロパティは、ファブリックインターコネクトには適用されません。

   IPv4 のプロパティ

   プロパティ	[基本情報（Essential Information）]
   DHCP から IPv4 DNS サーバアドレスを取得	IPv4 アドレスが Dynamic Host Configuration Protocol（DHCP）から取得されるか、または特定の DNS サーバのセットから取得されるか。 [有効（Enabled）]：Intersight は DHCP を使用します [無効（Disabled）]：Intersight は IPv4 DNS サーバの設定済みセットを使用します。 このプロパティは、ファブリック インターコネクトには適用されません。
   [優先 IPv4 DNS サーバ（Preferred IPv4 DNS Server）]	プライマリ DNS サーバの IP アドレス。このプロパティは、[IPv4 DNS サーバアドレスを DHCP から取得（Get IPv4 DNS Server Addresses from DHCP）] が無効になっている場合にのみ表示されます。
   [代替 IPv4 DNS サーバ（Alternate IPv4 DNS Server）]	セカンダリ DNS サーバの IP アドレス。このプロパティは、[IPv4 DNS サーバ アドレスを DHCP から取得（Get IPv4 DNS Server Addresses from DHCP）] が無効になっている場合にのみ表示されます。

   プロパティ	[基本情報（Essential Information）]
   [IPv6 の有効化（Enable IPv6）]	IPv6 を有効にするかどうかを指定します。IPv6 プロパティは、このプロパティが有効になっている場合にのみ設定できます。

   [IPv6 のプロパティ（IPv6 Properties）]

   プロパティ	[基本情報（Essential Information）]
   DHCP から IPv6 DNS サーバアドレスを取得	IPv6 アドレスが Dynamic Host Configuration Protocol（DHCP）から取得されるか、または特定の DNS サーバのセットから取得されるか。 [有効（Enabled）]：Intersight は DHCP を使用します [無効（Disabled）]：Intersight は IPv6 DNS サーバの設定済みセットを使用します。 このプロパティは、ファブリック インターコネクトには適用されません。
   [優先 IPv6 DNS サーバ（Preferred IPv4 DNS Server）]	プライマリ DNS サーバの IP アドレス。このプロパティは、[IPv6 DNS サーバアドレスを DHCP から取得（Get IPv4 DNS Server Addresses from DHCP）] が無効になっている場合にのみ表示されます。
   [代替 IPv6 DNS サーバ（Alternate IPv4 DNS Server）]	セカンダリ DNS サーバの IP アドレス。このプロパティは、[IPv6 DNS サーバアドレスを DHCP から取得（Get IPv4 DNS Server Addresses from DHCP）] が無効になっている場合にのみ表示されます。

6. [作成（Create）] をクリックします。

SNMP ポリシーでは、管理対象デバイスから SNMP トラップを利用して障害およびアラート情報を送信するための SNMP 設定を設定します。このポリシーは、SNMPv1、SNMPv2（v2c を含む）、SNMPv3 などの SNMP バージョンをサポートします。管理対象デバイスに設定されている既存の SNMP ユーザまたは SNMP トラップは削除され、このポリシーで設定するユーザまたはトラップに置き換えられます。

SNMP ポリシーを使用すると、SNMP を有効または無効にしたり、アクセスおよびコミュニティ ストリングを指定したり、データの取得に使用する SNMP ユーザの詳細を指定したりできます。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [SNTP] を選択して、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key-value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   [説明（Description）]（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [SNMP の有効化（Enable DNS）]	エンドポイントでの SNMP ポリシーの状態を表示します。エンドポイントから指定ホストに SNMP トラップを送信するには、このオプションを有効にします。
   [アクセス コミュニティ ストリング（Access Community String）]	SNMPv1、SNMPv2 コミュニティストリング、または SNMPv3 ユーザ名を入力します。フィールドには 18 文字まで入力できます。
   [トラップ コミュニティ ストリング（Trap Community String）]	他のデバイスに SNMP トラップを送信する際に使用する SNMP コミュニティ グループの名前を入力します。 （注）     このフィールドは、SNMPv2c トラップホストまたは宛先にのみ適用されます。
   [システム連絡先（System Contact）]	SNMP の実装担当者の連絡先。電子メール アドレスまたは名前と電話番号など、最大 64 文字の文字列を入力します。
   [システムの場所（System Location）]	SNMP エージェント（サーバ）が動作するホストの場所。
   [SNMP ユーザ（SNMP Users）]
   [名前（Name）]	SNMPv3 ユーザ名を入力します。このフィールドは 1～31 文字で指定する必要があります。
   [セキュリティ レベル（Security Level）]	エージェントとマネージャーの間での通信で使用するセキュリティ メカニズムを選択します。 AuthPriv AuthNoPriv
   [認証タイプ（Auth Type）]	ユーザの許可プロトコルとして [SHA] を選択します。 （注）     MD5 認証プロトコルはサポートされていません。
   [認証パスワード（Auth Password）]	ユーザの認証パスワードを入力します。
   [認証パスワードの確認（Auth Password Confirmation）]	ユーザの認証パスワードを確認のため入力します。
   [プライバシータイプ（Privacy Type）]	ユーザのプライバシープロトコルとして [AES] を選択します。 （注）     [DES] プライバシータイプは、セキュリティ標準を満たすために廃止されました。
   [プライバシー パスワード（Privacy Password）]	ユーザのプライバシー パスワードを入力します。
   [プライバシーパスワードの確認（Privacy Password Confirmation）]	ユーザのプライバシー パスワードを確認のため入力します。
   [SNMP トラップの宛先（SNMP Trap Destinations）]
   [有効化（Enable）]	SNMP ポリシーを使用するには、このオプションを有効にします。
   [SNMP バージョン（SNMP Version）]	トラップの SNMP バージョンとして [V2] または [V3] を選択します。
   [ユーザ（User）]	トラップの SNMP ユーザを選択します。最大 15 のトラップ ユーザを定義できます。 （注）     このフィールドは SNMPv3 にのみ適用されます。
   [トラップ タイプ（Trap Type）]	宛先にトラップが送信されたとき、どのタイプであれば通知を受信するかを選択します: [トラップ（Trap）] [情報（Inform）]
   [宛先アドレス（Destination Address）]	SNMP トラップ情報の送信先アドレスを指定します。最大 10 のトラップ宛先を定義できます。
   [ポート（Port）]	入力のサーバーがトラップの宛先と通信するために使用するポート番号を入力します。値の範囲は 1 ～ 65535 です。デフォルトは 162 です。

6. [作成（Create）] をクリックします。

システム Quality of Service (QoS) ポリシーは、発信トラフィックにシステム クラスを割り当てます。このシステムクラスにより、そのトラフィックの QoS が決定されます。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [システム QoS（System QoS）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   Platinum Gold Silver Bronze	このオプションを使用すると、ファブリックインターコネクトに関連付けられた QoS クラスを設定し、そのクラスを QoS ポリシーに割り当てることができます。 （注）     デフォルトでは、Best Effort または Fibre Channel システム クラスがイネーブルになっています。
   CoS	0 ～ 6 の整数を入力して、サービス クラス（CoS）を設定します。0 は最低プライオリティを表し、6 は最高プライオリティを表します。QoS ポリシーを削除する際や、割り当てられたシステム クラスが無効な際に、システム クラスをトラフィックのデフォルト システム クラスにする必要がある場合を除き、この値を 0 に設定することは避けるよう推奨します。
   重み付け	1 ～ 10 の整数。整数を入力すると、[重み付け（Weight）] フィールドの説明に従って、このプライオリティ レベルに割り当てられるネットワーク帯域幅の割合が決定されます。
   パケット ドロップを許可する	送信中にこのシステムクラスのパケットドロップを許可するように選択できます。 このフィールドは、[Best Effort] クラスの場合はつねににオンで、パケットのドロップが許可されます。[Fibre Channel] の場合はつねにオフで、パケットのドロップは許可されません。
   [MTU]	チャネルの最大伝送単位（MTU）です。1500 ～ 9216 の範囲の整数を入力します。この値は最大パケット サイズに対応します。

6. [作成（Create）] をクリックします。

Syslog ポリシーでは、エンドポイントからのロギング レベルとして、記録する最小シビラティ（重大度）を定義します。ポリシーはまた、sisylog メッセージを保存するターゲットの場所と、リモート ロギング サーバのホスト名または IP アドレス、ポート情報、および通信プロトコルを定義します。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [Syslog] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   ローカルロギング（Local Logging）
   [報告する最小シビラティ（重大度）（Minimum Severity to Report）]	リモート ログで報告する最低のシビラティ（重大度）レベルを選択します。シビラティ（重大度）は次のとおりです。 0 緊急 1 アラート 2 重大 3 エラー 4 警告 5 通知 6 情報 7 デバッグ
   [リモートロギング：Syslog サーバ 1 および Syslog サーバ 2（Remote Logging - Syslog Server 1 and Syslog Server 2）]
   [有効化（Enable）]	Syslog ポリシーを有効または無効にするには、このオプションを選択します。
   [ホスト名/IP アドレス（Hostname/IP Address）]	Cisco IMC ログを保存する Syslog サーバのホスト名または IP アドレスを入力します。リモート システムのアドレスとして IPv4 または IPv6 アドレスまたはドメイン名を設定できます。 （注）     リモート ロギング アドレスとして IPv4 と IPv6 の両方がある場合は、コマンドライン インターフェイス（CLI）を使用して、ファブリック インター コネクトでの IPv4 と IPv6 を設定します。
   [報告する最小シビラティ（重大度）（Minimum Severity to Report）]	リモート ログで報告する最低のシビラティ（重大度）レベルを選択します。シビラティ（重大度）は次のとおりです。 0 緊急 1 アラート 2 重大 3 エラー 4 警告 5 通知 6 情報 7 デバッグ

6. [作成（Create）] をクリックします。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [スイッチ制御（Switch Control）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key-value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   [説明（Description）]（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   スイッチング モード
   イーサネット	イーサネット切り替えモードを指定します。切り替えモードは、エンド ホストまたはスイッチのいずれかです。 エンド ホスト モードでは、ファブリック インターコネクトは、複数のリンクを持つエンド ホストとしてアップストリーム デバイスに表示されます。このモードでは、スイッチはスパニング ツリー プロトコルを実行せず、一連のトラフィック転送ルールに従ってループを回避します。 スイッチ モードでは、スイッチはループを回避するためにスパニング ツリー プロトコルを実行し、ブロードキャストおよびマルチキャスト パケットは従来の方法で処理されます。
   FC	FC 切り替えモードを指定します。切り替えモードは、エンド ホストまたはスイッチのいずれかです。 エンドホストモードを使用すると、ファブリック インターコネクトは、vHBA を介して接続されているすべてのサーバー（ホスト）に代わって、接続されているファイバ チャネル ネットワークに対するエンドホストとして動作することができます。これは、vHBA をファイバ チャネル アップリンク ポートにピン接続することにより実現されます（動的なピン接続または固定のピン接続のいずれか）。これにより、ファイバ チャネルポートはファブリックの残りの部分に対してサーバー ポート（N ポート）となります。エンドホスト モードの場合、ファブリック インターコネクトは、アップリンク ポートがトラフィックを相互に転送するのを拒否することでループを回避します。 スイッチ モードは従来のファイバ チャネル スイッチング モードです。スイッチ モードを使用して、ファブリック インターコネクトをストレージ デバイスに直接接続することができます。ファイバ チャネル スイッチ モードの有効化は、SAN が存在しない（たとえば、ストレージに直接接続された 1 つの Cisco UCS システム）POD モデル、または SAN が存在する（アップストリーム MDS を使用）ポッド モデルで役に立ちます。
   VLAN ポート数
   VLAN ポート数最適化の有効化	VLN ポート数の最適化を有効にします。このオプションは、デフォルトで無効です。 （注）     IMM の Cisco UCS 6400 シリーズおよび 6500 シリーズ FI で VLAN ポート数の最適化が有効になっている PV 数は 108000 です。 VLAN ポート数の最適化は、Cisco UCS ファブリック インターコネクト 9108 100G では常に有効です。
   システム予約済み VLAN
   予約済み VLAN 開始 ID	予約済み VLAN 範囲の開始 ID を指定するには、このオプションを選択します。デフォルトでは、開始 ID は 3915 です。開始 ID + 127 の VLAN ID は、VLAN または VSAN ポリシーの構成に使用できません。たとえば、VLAN 開始 ID が 3912 に変更される場合、予約済み VLAN 範囲は 3912-4039 です。予約済み VLAN 範囲は、ユーザー定義の VLAN または VSAN ポリシーには使用できません。 （注）     始める前に： 新しい予約済み VLAN 範囲内の既存の VLAN をすべて削除します。 VLAN または VSAN ポリシーで使用されている予約済み VLAN ブロックに、VLAN または FCoE VLAN がないことを確認します。つまり、ファブリック インターコネクト A と B の両方の VLAN および VSAN ポリシーが、予約済みの VLAN 範囲と競合しないようにします。 予約済み VLAN 開始 ID が変更された場合、新しい範囲に含まれていない古い範囲の VLAN は、新しいスイッチ制御ポリシーが展開された後に VLAN および VSAN ポリシーに使用できます。 デフォルトの予約済み VLAN 範囲は 3916 ～ 4095 です。このシステム予約済み VLAN 範囲は変更できますが、VLAN 1002 ～ 1005 は内部使用のためにブロックされており、システム予約済み範囲の一部として使用できないことに注意してください。 （注）     変更を有効にするために、ファブリック インターコネクトが再起動します。複数の変更が加えられた場合でも、再起動は 1 回だけ発生します。 デバイスの要求解除では、以前に構成された予約済み VLAN は削除されません。その後の要求では、ユーザーが新しい範囲を使用する場合は、スイッチ コントロール ポリシーを介して予約済み VLAN を構成する必要があります。
   予約済み VLAN 終了 ID	予約済み VLAN 範囲の終了 ID。システムは、指定された VLAN 開始 ID から 128 の予約済み VLAN をブロックします。デフォルトでは、終了 ID は 4042 です。この ID は、VLAN ポリシーの構成には使用できません。
   MAC アドレステーブルのエージングタイム
   Default	このオプションでは、エンド-ホスト モードのデフォルトの MAC アドレスエージング時間を 14,500 秒 に設定します。
   Custom	ユーザがスイッチの MAC アドレスエージングタイムを設定できるようにするには、このオプションを選択します。 スイッチモデル UCS-FI-6454 以降のバージョンの場合、有効な時間範囲は 120〜918000 秒です。ユーザが時間範囲を定義すると、スイッチは定義された時間を 5 の倍数にリセットします。
   なし	MAC アドレスエージングプロセスを無効にするには、このオプションを選択します。このオプションは、MAC エントリが期限切れにならず、MAC アドレステーブルから破棄されないようにします。
   エージングタイム (秒)	MAC アドレスのエージングタイムを秒単位で定義します。このフィールドは、[カスタム（Custom）] オプションを選択した場合にのみ有効になります。
   単一方向リンク検出（UDLD）グローバル設定
   メッセージの間隔	アドバタイズメント モードで、双方向に設定されているポートで、UDLD プローブ メッセージ間隔（秒）を定義します。 （注）     有効なメッセージ間隔の時間の範囲は 7〜90 秒です。
   リカバリアクション	errdisable のポートを回復するには、[Reset] を選択します。 （注）     デフォルトでは [なし（None）] オプションが選択されています。
   ファブリック ポート チャネル vHBA
   ファブリック ポート チャネルの vHBA リセットの有効化	仮想ホスト バス アダプタ（vHBA）は、仮想マシンを論理的にファブリック インターコネクト上の仮想インターフェイスに接続し、仮想マシンがそのインターフェイスによってトラフィックを送受信できるようにします。これは現在、ファイバ チャネル モード (エンドホスト モード/スイッチ モード) を使用して実現されています。 ファブリック インターコネクトと I/O モジュール（IOM）間のメンバー リンクの追加または削除を伴うポート チャネル操作です。このような操作を行うと、I/O の一時停止が長くなったり、仮想マシンからそのターゲットへの接続が切断されたりする可能性があり、vHBA リセットのサポートが必要になります。 ファブリック ポートチャネル vHBA リセットが有効に設定されている場合、Cisco UCS IOM ポート チャネル メンバーシップが変更されると、ファブリック インターコネクトは、その Cisco UCS IOM を介して構成された各 vHBA に登録済み状態変更通知（Registered State Change Notification、RSCN）パケットを送信します。RSCN は、仮想インターフェイス カード (VIC) または VIC ドライバがファブリック ポートチャネル vHBA をリセットし、接続を復元できるようにします。 デフォルトでは、ファブリック ポートチャネルの vHBA リセットは無効に設定されています。 無効（デフォルト）の場合、vHBA のリセットは、ファブリック ポート チャネルのすべてのメンバーがダウンしている場合にのみ実行されます。 （注）     この機能は、Cisco Intersight インフラストラクチャ ファームウェア バージョン 4.1(3e) 以降でサポートされています。 ESX NFNIC ドライバ バージョン 5.0.0.37 以降または 4.0.0.87 以降は、この RSCN を処理します。 Linux FNIC ドライバ バージョン 2.0.0.85 以降は、この RSCN を処理します。

6. [作成（Create）] をクリックします。

   .

（注）	[ポリシーの詳細（Policy Details）] ページで、既存のすべてのスイッチ制御ポリシーのリンク制御グローバル設定フィールドの値が空白として表示されます。これらのポリシーは、ポリシーの編集/更新時に正しい値を表示します。 ファブリック インターコネクトの切り替えモードを変更すると、ファブリック インターコネクトはリブートします。

ポートごとにプライオリティ フロー制御を構成して、システム QoS ポリシーおよびイーサネット QoS ポリシーによって定義された CoS の no-drop 動作を有効にします。自動およびオンの優先順位では、受信および送信リンク レベルのフロー制御はオフになります。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [フロー制御（Flow Control）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	基本情報（Essential Information）
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ		基本情報（Essential Information）
   プライオリティフロー制御モード
   Auto		Auto はプライオリティフローを送受信します。このフィールドは、デフォルトでイネーブルにされています。
   オン（On）		ローカルポートでプライオリティ制御フローをイネーブルにします。 （注）     送信方向と受信方向を同時に有効にすることはできません。
   [オフ（Off）]		ローカル ポートでプライオリティ制御フローを有効にします。 （注）     [送信方向（Send）] と [受信方向（Receive）] を同時に有効にすることができます。
   		送信 有効にすると、リンク レベル フロー制御は送信方向に構成されます。
   		[受信（Receive）] 有効にすると、リンク レベル フロー制御は受信方向に構成されます。

   （注）	優先順位フロー制御が自動、オン モードの場合、フロー制御を有効にすることはできず、オプションはリストされません。フロー制御を有効にするには、優先フロー制御をオフ モードに設定する必要があります。

   （注）	フロー制御は、フロー制御対応デバイスに接続されているインターフェイスでのみ有効にする必要があります。次のインターフェイス タイプがサポートされています。 イーサネット アップリンク ポートおよびポート チャネル

6. [作成（Create）] をクリックします。

このポリシーは、リンク集約プロパティの設定に使用できます。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [リンク アグリゲーション（Link Aggregation）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	基本情報（Essential Information）
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	基本情報（Essential Information）
   [個別に一時停止）Suspend Individual）]
   [いいえ（False）]	[いいえ（False）] を選択して、ピアポートからの PDU の受信を続行します。
   [はい（True）]	ピアポートから PDU を受信していないポートを一時停止するには、[はい（True）] を選択します。
   [ACP レート（LACP Rate）]
   [標準（Normal）]	ポートは 30 秒ごとに 1 PDU を受信します。このタイムアウトは 90 秒です。
   [高速（Fast）]	ポートはピア ポートから 1 秒ごとに 1 PDU を受信します。このタイムアウトは 3 秒です。

   （注）	リンク集約は、リンク集約対応デバイスに接続されているインターフェイスでのみ有効にする必要があります。次のインターフェイス タイプがサポートされています。 イーサネット アップリンク ポート チャネル FCoE アップリンク ポート チャネル

6. [作成（Create）] をクリックします。

このポリシーは、ポートのリンク制御管理状態と構成（通常またはアグレッシブ）モードの構成を有効にします。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [リンク制御（Link Control）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	基本情報（Essential Information）
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	基本情報（Essential Information）
   [リンク制御の管理状態（Link Control Administrative State）] 管理者が設定および管理を行うポートのリンク制御状態。
   [リンク制御モード（Link Control Mode）]
   [標準（Normal）]	光ファイバ接続上のインターフェイスの誤った接続による単方向リンクを検出します。
   [アグレッシブ（Aggressive）]	光ファイバ リンク上のインターフェイスの誤った接続による単方向リンクに加え、光ファイバ リンクおよびツイストペア リンク上の一方向トラフィックによる単方向リンクも検出します。 [UDLD 管理状態（Administrative State）] が無効の場合、ポリシーを [アグレッシブ（Aggressive）] モードに設定できません。 [UDLD モード（UDLD Mode）]（（[通常（normal）] または [アグレッシブ（aggressive）]）を構成する場合、必ず単方向リンクの両側に同じモードを構成してください。

   （注）	リンク制御ポリシーは、リンク制御対応デバイスに接続されているインターフェイスでのみ有効にする必要があります。次のインターフェイス タイプがサポートされています。 イーサネット アップリンク ポート FCoE アップリンク ポート イーサネット アップリンク ポート チャネル FCoE アップリンク ポート チャネル

6. [作成（Create）] をクリックします。

マルチキャストポリシーは、Internet Group Management Protocol（IGMP）のスヌーピングおよび IGMP クエリアの設定に使用されます。

（注）	それぞれの VLAN がマルチキャスト ポリシーに関連付けられていることを確かめてください。既存の VLAN を編集し、マルチキャスト ポリシーに関連付けることができます。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [マルチキャスト（Multicast）] を選択し、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[基本情報（Essential Information）]
   [スヌーピングの状態（Snooping State）]	IGMP スヌーピングが、どのインターフェイスがホスト、またはマルチキャスト トラフィックの受信で重要な他のデバイスに接続されているかを検出するため、VLAN 内の IGMP プロトコル メッセージを調べるかどうかを決定します。次のいずれかになります。 [有効（Enabled）]：IGMP スヌーピングは、このポリシーに関連付けられた VLAN に使用されます。 [無効（Disabled）]：IGMP スヌーピングは、関連付けられた VLAN に使用されません。
   [クエリアの状態（Querier State）]	IGMP スヌーピング クエリアが、IP マルチキャスト トラフィックを受信する必要のあるホストからの IGMP レポート メッセージをトリガーするために、IGMP クエリーを定期的に送信するかどうかを決定します。次のいずれかになります。 [有効（Enabled）]：IGMP クエリーは定期的に送信されます。 [無効（Disabled）]：IGMP クエリーは送信されません。これがデフォルトのオプションです。
   クエリアの IP アドレス	IGMP スヌーピング クエリア インターフェイスの IPv4 アドレス。 このフィールドは、[クエリアの状態（Querier State）] が有効な場合にのみ表示されます。
   [クエリアの IP アドレスのピア（Querier IP Address Peer）]	（オプション）ピア IGMP スヌーピング クエリア インターフェイスの IPv4 アドレス。このピア IP アドレスは FI-B に割り当てられます。 このフィールドは、[クエリアの状態（Querier State）] が有効な場合にのみ表示されます。

6. [作成（Create）] をクリックします。

LDAP ポリシーを作成および構成するには、 『UCS サーバー ポリシーを構成（Configuring UCS Server Policies）』の「作成と LDAP ポリシー（Creating and LDAP Policy」セクションを参照してください。

証明書管理ポリシーを作成および構成するには、 『UCS サーバー ポリシーを構成（Configuring UCS Server Policies）』の「作成と LDAP ポリシー（Creating and LDAP Policy）」セクションを参照してください。

MACsec 機能を使用して、ネットワーク セキュリティを強化するためにデータ アップリンクのトラフィックを暗号化できます。

MACsec ポリシーでは、暗号化に使用する暗号スイートと、暗号化、データ完全性、リプレイ保護、および MKA プロトコルに関連する属性について記述します。

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [MACsec] を選択して、[スタート（Start）] をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	[説明（Description）]
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシーの名前を入力します。 （注）     管理対象オブジェクト ID（Moid）がポリシー名にプレフィックスとして追加されます。
   [タグの設定（Set Tags）]（オプション）	key-value 形式でタグを入力します
   [説明（Description）]（オプション）	簡単な説明を入力します。

5. [ポリシーの詳細（Policy Details）] ページで、次のパラメータを設定します。

   プロパティ	[説明（Description）]
   暗号スイート	MACsec 暗号化に使用される暗号スイート。 デフォルト値は GCM-AES-XPN-256 です。
   キーサーバープライオリティ	キー サーバーは、ピア デバイス間の MACsec Key Agreement（MKA）メッセージ交換中にキー サーバー優先順位値を比較することによって選択されます。有効な値の範囲は 0 ～ 255 です。値が小さいほど、キー サーバーとして選択される可能性が高くなります。 デフォルト値は 16 です。
   機密性オフセット	MACsec 機密性オフセットで、フレームヘッダーから始まるバイト数を指定します。MACsec、フレーム内のオフセット後のバイトのみが暗号化されます。 デフォルト値は CONF-OFFSET-0 です。
   SAK期限切れ時間	SAK（secure association key）リキーを強制する時間（秒単位）。設定時の有効な範囲は 60 ～ 2592000 秒です。設定されていない場合、SAK リキー間隔はパケット番号（PN）の枯渇に基づいて決定されます。
   Security Policy	セキュリティ ポリシーは、特定のインターフェイスを通過するネットワーク トラフィックに対するMACsec強制のレベルを指定します。 Should-secureMKA（MACsec key agreement）セッションが保護されるまで、暗号化されていないトラフィックのフローを許可します。MKA セッションが保護された後、ポリシーが切り替えられ、暗号化されたトラフィックのフローのみが許可されます。 セキュリティで保護する必要がある場合、 MACsecで暗号化されたトラフィックだけがフローします。MKA セッションが保護されなくなるまで、トラフィックはドロップされます。 デフォルト値は [セキュリティで保護する必要がある（Before-secure）] です。
   リプレイ ウィンドウ サイズ	リプレイ保護ウィンドウのサイズを定義します。リプレイアタックと見なされずに、アウトオブオーダーで受信できるパケットの数を決定します。 デフォルト値は 148809600 です。
   ICVインジケータを含める	送信された MACsec キー合意プロトコルデータユニット（PDU）の一部として、オプションの完全性チェック値（ICV）インジケータを含めるように設定します。
   EAPoL 設定
   MAC アドレス	MACsec Key Agreement（MKA）プロトコル データ ユニット（PDU）の Extensible 認証プロトコル over LAN（EAPoL）で使用する MAC アドレス。EAPoL MAC アドレスをすべてゼロ(0000.0000.0000)にすることはできません。 デフォルト値は 0180.C200.0003 です。
   イーサネット タイプ	MACsec Key Agreement（MKA）プロトコルデータユニット（PDU）の Extensible 認証プロトコル over LAN（EAPoL）フレームで使用する Ethertype。範囲は 0x600 ～ 0xffff です。 デフォルト値は 0x888e です。
   MACsec プライマリ キーチェーン 暗号化と復号のセキュリティキーのデフォルトセットを管理するためのプライマリ キー チェーン。
   プライマリ キー チェーン名	MACsec キー チェーンは、 MACsec キーのセットを保持します。これは必須フィールドです。 （注）     管理対象オブジェクトID (Moid)がプライマリキーチェーン名にプレフィックスとして追加されます。
   プライマリ キーチェーンの詳細を追加するには、 [キーの追加（Add Key）] をクリックします。
   ID	これは、MACSec MKA セッションを確立するために使用される接続アソシエーション キー名（CKN）です。長さは 2 ～ 64 文字の偶数桁の16 進数文字を含む。たとえば、「10」、「2000」、「ABCD1234」、「ABCD1233」などです。
   暗号化アルゴリズム	Advanced 暗号化 標準規格 （AES ）で暗号ベースのメッセージ認証コード（CMAC）モードの動作を採用する暗号化アルゴリズム。 デフォルト値は AES_256_CMAC です。
   秘密キー	これは、セキュリティ アソシエーション キー（SAK）の導出に使用されるキー オクテット列（接続アソシエーション キー（CAK））です。SAK は、データ パケットの暗号化と復号化に使用されます。 オクテット文字列の有効なサイズと形式は、選択した暗号化アルゴリズムと暗号化タイプ（この場合はタイプ 6）によって決まります。 有効な 16 進文字列の例： 128 ビット キー（16 バイト、32 桁の 16 進文字）： A1B2C3D4E5F67890AABBCCDDEEFF0011 1234567890ABCDEF1234567890ABCDEF FFEEDDCCBBAA99887766554433221100 256 ビットキー（32 バイト、64 桁の 16 進数文字）： A1B2C3D4E5F67890AABBCCDDEEFF00112233445566778899AABBCCDDEEFF0001 1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF FFEEDDCCBBAA99887766554433221100FFEEDDCCBBAA99887766554433221100 秘密キーの作成の詳細な手順については、この表の下にある 「タイプ 6 暗号化キーの作成」 セクションを参照してください。
   秘密の確認	[シークレット] フィールドに入力した文字列を繰り返します。
   常にアクティブ	オンにすると、キーは無期限になります。オフにした場合、開始時間と終了時間を指定できます。
   Timezone	キーのライフタイム設定に使用されるタイムゾーン。
   Start Time	キーがアクティブになる日時です。
   終了（End）
   日時	[使用しない（Never）]に設定されている場合、指定された開始時間の後、キーは無期限にアクティブのままになることを示します。 このパラメータが この日付に設定されている場合は、 終了時刻 を指定する必要があります。
   終了時刻	キーが非アクティブになる日時。
   [+] をクリックして、別のキーを追加します。 最大 64 個のキーを追加できます。順序は、[キーの詳細（Key Details）] セクションの右上にある上矢印と下矢印を使用して変更できます。
   Macsec ファールバック キーチェーン
   フォールバック キーチェーンの設定	キー/キー ID のミスマッチまたはキーの期限切れによる MACsec セッションの失敗後に使用するフォールバック キーチェーンを指定します。これはオプションのフィールドです。 このボタンをオンにして、フォールバック キーチェーンとキーのセットを追加します。
   フォールバック キーチェーン名	フォールバック キーチェーンの名前。 （注）     管理対象オブジェクト ID（Moid）がフォールバック キーチェーン名にプレフィックスとして追加されます。
   [キーの追加（Add Key）] をクリックして、プライマリ キー セットと同様のキーを追加します。

6. [作成（Create）] をクリックします。

ドメイン プロファイルで MACsec 設定を有効にするには、 MACsec ポリシーを作成した後、次の手順を実行します。

1. ポート ポリシーの作成または変更時に、イーサネット アップリンク ポートおよびイーサネット アップリンク ポート チャネルにMACsec ポリシーを適用します。

2. スイッチ制御ポリシーの作成または変更時に、 AES暗号化キー構成を有効にし、秘密キーを設定します。

3. ドメイン プロファイルにポリシーをアタッチします。

4. ドメイン プロファイルを展開します。

（注）	スイッチ制御ポリシーから AES プライマリキーを削除する前に、イーサネット インターフェイスからすべての MACsec 設定が削除されていることを確認します。そうしないと、 MACsec 設定で正しく機能するように AES プライマリキーをスイッチ制御ポリシーで設定する必要があるため、ドメイン プロファイルの展開が失敗します。

MACsec の状態は、[ファブリック インターコネクト（Fabric Interconnects）] > [特定の FI（FI）] > [インベントリ（Inventory）] > [ポートおよびポート チャネル（Ports and Port Channels）] ページに移動して、ファブリック インターコネクトで確認できます。[MACsec State] 列には、MKA セッションがMACsec で保護されている場合は [保護済み（Secured）] 、セッションが非アクティブの場合は [ダウン（Down）] と表示されます。

MACsecセッションが [ダウン（Down）] 状態に移行すると、アラームがトリガーされ、[アラーム（Alarms）] ページに表示されます。

ファブリック インターコネクトの AuditD ポリシーでは、 Linux監査フレームワーク（auditd）を利用して、ユニファイド コンピューティング システム（UCS）環境内のユーザー アクティビティ、設定変更、および運用コマンドのロギングを行うことができます。これにより、管理者は、システム イベントを監視し、アカウンタビリティを向上させ、規則遵守要件をサポートできます。トラブルシューティング、変更追跡、セキュリティ監査をサポートする、アクティビティ監視に対する一貫したポリシー主導型のアプローチを提供します。

（注）

事前設定された監査ルールのみがサポートされます。 監査ログは、構成された syslog サーバへ送信されます。監査ログが確実にキャプチャされるようにするには、AuditD ログレベルと syslog サーバのログ レベルの両方を 6（情報）または 7（デバッグ）に設定します。 AuditD ログ レベルと Syslog ログ レベルが同じ値に設定されていない場合、AuditD ログは Syslog サーバに転送されません。ログはファブリック インターコネクト上でローカルに使用できますが、集中型の Syslog ビューには表示されません。完全なログの可視性を確保するには、両方のログ レベルを同じ値（6 または 7 を推奨）に構成します。

AuditD ポリシーのファームウェア要件

[AuditD ポリシーの作成（Creating an AuditD Policy）]

AuditD ポリシーを作成するには、次の手順を実行します：

1. Cisco Intersight にアカウント管理者またはドメイン管理者ロールでログインします。

2. [構成（Configure）] > [ポリシー（Policies）] を選択し、[ポリシーの作成（Create Policy）] を選択します。

3. [UCSドメインの > 監査 （UCS Domain Audit）] を選択し、[開始（Start）]をクリックします。

4. [全般（General）] ページで、次のパラメータを設定します。

   プロパティ	説明
   [組織（Organization）]	組織を選択します。
   [名前（Name）]	ポリシー名を入力します。
   [タグの設定（Set Tags）]（オプション）	key:value 形式でタグを入力しますたとえば、Org: IT または Site: APJ などです。
   Description（オプション）	簡単な説明を入力します。

5. [次へ（Next）] をクリックします。

6. [ポリシーの詳細（Policy Details）] ページで AuditD ポリシー詳細を追加するには、次のパラメータを構成します：

   プロパティ	説明
   [有効化（Enable）]	デフォルトで有効になっているこのオプションは、ファブリック インターコネクトで監査ロギング サービスをアクティブにします。 （注）     デフォルトでは、このオプションはポリシーで有効になっていますが、ファブリック インターコネクトではデフォルトで有効になっていません。AuditD ポリシーを作成して適用すると、ファブリック インターコネクトで有効になります。 監査ロギングを無効にするには、有効オプションを切り替えます。
   [報告する最小シビラティ（重大度）（Minimum Severity to Report）]	監査ログに表示するシビラティ レベルを選択。シビラティ レベルは、緊急事態などの最も重大なイベントからデバッグ メッセージまでの範囲となります。これにより、重要度に基づいて監査ログ エントリに優先順位付けを付けたり、フィルタリングしたりできます。 シビラティ レベル： 0 緊急 1 アラート 2 重大 3 エラー 4 警告 5 通知 6 情報 7 デバッグ シビラティ レベルとコードの詳細については、「AuditD ポリシーのシビラティ コード」を参照してください。

7. [作成（Create）] をクリックします。

[AuditD ポリシーのシビラティ コード（Severity Codes for AuditD Policy）]

次の表に、Intersight メッセージのシビラティ コードとその説明を示します。シビラティ コードを使用して、syslog メッセージをモニタリングするためのフィルタを作成できます。

ファブリック インターコネクト上の監査ポリシー構成の確認

UCS ドメイン プロファイルを展開した後、次の NX-OS コマンドを使用して、監査ポリシーの構成を確認し、ファブリック インターコネクト上でローカルに監査関連のログを確認できます。

例

UCS-FI-A# show running-config audit
UCS-FI-A# show logging level audit
UCS-FI-A# show tech-support audit

これらのコマンドは、AuditD ポリシーが正しく構成されていることを確認し、ローカル ファブリック インターコネクトで直接監査ログを確認できるようにします。