コンフィグレーションガイド Vol.1 AX86R-S001-40 AX8600R ソフトウェアマニュアル Ver. 12.6 対応

コンフィグレーションガイド Vol.1 AX86R-S001-40 AX8600R ソフトウェアマニュアル Ver. 12.6 対応
AX8600R ソフトウェアマニュアル
コンフィグレーションガイド Vol.1
Ver. 12.6 対応
AX86R-S001-40
■ 対象製品
このマニュアルは AX8600R を対象に記載しています。
■ 輸出時の注意
本製品を輸出される場合には,外国為替及び外国貿易法の規制ならびに米国の輸出管理規則など外国の輸出関連法規をご確認の
うえ,必要な手続きをお取りください。なお,不明な場合は,弊社担当営業にお問い合わせください。
■ 商標一覧
Cisco は,米国 Cisco Systems, Inc. の米国および他の国々における登録商標です。
Ethernet は,富士ゼロックス株式会社の登録商標です。
IPX は,Novell,Inc.の商標です。
Python(R)は,Python Software Foundation の登録商標です。
sFlow は,米国およびその他の国における米国 InMon Corp. の登録商標です。
UNIX は,The Open Group の米国ならびに他の国における登録商標です。
イーサネットは,富士ゼロックス株式会社の登録商標です。
そのほかの記載の会社名,製品名は,それぞれの会社の商標もしくは登録商標です。
■ マニュアルはよく読み,保管してください。
製品を使用する前に,安全上の説明をよく読み,十分理解してください。
このマニュアルは,いつでも参照できるよう,手近な所に保管してください。
■ ご注意
このマニュアルの内容については,改良のため,予告なく変更する場合があります。
■ 発行
2016年 3月 (第5版) AX86R−S001−40
■ 著作権
All Rights Reserved, Copyright(C), 2012, 2016, ALAXALA Networks, Corp.
変更内容
【Ver. 12.6 対応版】
表 変更内容
章・節・項・タイトル
追加・変更内容
2.2.1 ハードウェア
• PRU-2A の記述を追加しました。
3.2 収容条件
• 「3.2.1 テーブルエントリ数」に PRU-2A の記述を追加しました。
• 「3.2.3 リンクアグリゲーション」にロードバランスグループごとのポー
ト振り分け使用時の収容条件を追加しました。
• 「3.2.8 IP インタフェースと IP パケット中継」のループバックインタ
フェース関連の値を変更しました。
• 「3.2.10 マルチキャストルーティング」の「(3) IGMP/MLD 関連の収
容条件」で,IPv4 マルチキャストの IGMP/MLD PIM-SSM 連携機能の
設定数(送信元アドレスとグループアドレスのペア数)を変更しました。
また,マルチキャストチャネル参加制限機能についての記述を追加しま
した。
11.3.8 内蔵フラッシュメモリの未使用容量
監視
• 本項を追加しました。
11.6.2 ソフトウェア障害検出時の動作
• 本項を追加しました。
17.2.3 VLAN Tag
• 「(3) TPID」を追加しました。
17.3.7 VLAN Tag の TPID 値の設定
• 「(2) ポート単位の TPID 値の設定」を追加しました。
18.1.5 フレーム送信時のポート振り分け
• 「(3) ロードバランスグループごとのポート振り分け」を追加しました。
18.2.5 振り分け方法の設定
• 「(3) ロードバランスグループごとのポート振り分け」を追加しました。
なお,単なる誤字・脱字などはお断りなく訂正しました。
【Ver. 12.4 対応 Rev.1 版】
表 変更内容
項目
収容条件
追加・変更内容
• 「レイヤ 2 スイッチング」に IGMP/MLD snooping の記述を追加しまし
た。
• 「ユニキャストルーティング」で経路フィルタ ip prefix-list および ipv6
prefix-list のコンフィグレーションの最大設定数を変更しました。
• 「マルチキャストルーティング」で,マルチキャスト送信者の数の最大数
を変更しました。また,IGMP および MLD でのグループアドレス当たり
の送信元アドレス数の最大数を変更しました。
高機能スクリプトの仕様
• イベント起動スクリプトの記述を追加しました。
スクリプトの起動
• イベント起動スクリプトの記述を追加しました。
スクリプト起動契機の取得
• 本項を追加しました。
VLAN インタフェースの MAC アドレス
• 本項を追加しました。
【Ver. 12.4 対応版】
表 変更内容
項目
追加・変更内容
装置構成
• AX8608R の記述を追加しました。
搭載条件
• AX8608R の記述を追加しました。
収容条件
• 「テーブルエントリ数」にハードウェアプロファイル router-1s および配
分パターン ipv4-ipv6-uni の記述を追加しました。
• 「経路配分パターン」にハードウェアプロファイル router-1s および配分
パターン ipv4-ipv6-uni の記述を追加しました。
• 「リンクアグリゲーション」に AX8608R の記述を追加しました。
• 「レイヤ 2 スイッチング」を追加しました。
• 「フィルタ・QoS」にハードウェアプロファイル router-1s の記述を追加
しました。
• 「L2 ループ検知」を追加しました。
• 「IP インタフェースと IP パケット中継」に VLAN インタフェースの記述
を追加しました。
• 「BFD」を追加しました。
ハードウェアプロファイルの設定
• 本項を追加しました。
BCU 初期導入ソフトウェアからのアップ
デートの解説
• 本節を追加しました。
BCU 初期導入ソフトウェアからのアップ
デートのオペレーション
• 本節を追加しました。
オプションライセンスの解説
• 本節を追加しました。
リンクトラップの送信制御
• VLAN インタフェースのサポートに伴って記述を変更しました。
高機能スクリプト
• 本章を追加しました。
VLAN Tag
• VLAN の記述を追加しました。
本装置の MAC アドレス
• VLAN インタフェース,スパニングツリー,および Ring Protocol の記
述を追加しました。
IP インタフェース
• VLAN インタフェースのサポートに伴って記述を変更しました。
【Ver. 12.2 対応版】
表 変更内容
項目
収容条件
追加・変更内容
• 「テーブルエントリ数」の「(4) ハードウェアプロファイルと配分パター
ンの関係」のフロー系テーブルエントリ数を変更しました。
はじめに
■ 対象製品およびソフトウェアバージョン
このマニュアルは AX8600R のソフトウェア Ver. 12.6 の機能について記載しています。
操作を行う前にこのマニュアルをよく読み,書かれている指示や注意を十分に理解してください。また,このマ
ニュアルは必要なときにすぐ参照できるよう使いやすい場所に保管してください。
■ このマニュアルの訂正について
このマニュアルに記載の内容は,ソフトウェアと共に提供する「リリースノート」および「マニュアル訂正資料」
で訂正する場合があります。
■ 対象読者
本装置を利用したネットワークシステムを構築し,運用するシステム管理者の方を対象としています。
また,次に示す知識を理解していることを前提としています。
• ネットワークシステム管理の基礎的な知識
■ このマニュアルの URL
このマニュアルの内容は下記 URL に掲載しております。
http://www.alaxala.com/
■ マニュアルの読書手順
本装置の導入,セットアップ,日常運用までの作業フローに従って,それぞれの場合に参照するマニュアルを次に
示します。
I
はじめに
■ このマニュアルでの表記
AC
ACK
ARP
AS
AUX
AXRP
BCU
BEQ
BFD
BGP
BGP4
BGP4+
bit/s
BOOTP
BPDU
C-Tag
II
Alternating Current
ACKnowledge
Address Resolution Protocol
Autonomous System
Auxiliary
Autonomous eXtensible Ring Protocol
Basic Control Unit
Best Effort Queueing
Bidirectional Forwarding Detection
Border Gateway Protocol
Border Gateway Protocol - version 4
Multiprotocol Extensions for Border Gateway Protocol - version 4
bits per second
*bpsと表記する場合もあります。
Bootstrap Protocol
Bridge Protocol Data Unit
Customer Tag
はじめに
CC
CCM
CFM
CFP
CIDR
CoS
CRC
CSMA/CD
CSW
DA
DC
DCE
DHCP
DHCPv6
DNS
DR
DSAP
DSCP
DTE
E-mail
EAP
EAPOL
EFM
ETH-AIS
ETH-LCK
FAN
FCS
FE
GSRP
HMAC
IANA
ICMP
ICMPv6
ID
IEEE
IETF
IGMP
IP
IPv4
IPv6
IPX
ISO
ISP
L2LD
LAN
LCD
LED
LLC
LLDP
LLQ
LSA
MA
MAC
MC
MD5
MDI
MDI-X
MEG
MEP
MIB
MIP
MLD
MP
MRU
MSTP
MTU
NAK
NAS
NBMA
NDP
NIF
NLA ID
NSAP
NSR
Continuity Check
Continuity Check Message
Connectivity Fault Management
C Form-factor Pluggable
Classless Inter-Domain Routing
Class of Service
Cyclic Redundancy Check
Carrier Sense Multiple Access with Collision Detection
Crossbar SWitch
Destination Address
Direct Current
Data Circuit terminating Equipment
Dynamic Host Configuration Protocol
Dynamic Host Configuration Protocol for IPv6
Domain Name System
Designated Router
Destination Service Access Point
Differentiated Services Code Point
Data Terminal Equipment
Electronic mail
Extensible Authentication Protocol
EAP Over LAN
Ethernet in the First Mile
Ethernet Alarm Indicator Signal
Ethernet Locked Signal
Fan Unit
Frame Check Sequence
Forwarding Engine
Gigabit Switch Redundancy Protocol
Keyed-Hashing for Message Authentication
Internet Assigned Numbers Authority
Internet Control Message Protocol
Internet Control Message Protocol version 6
Identifier
Institute of Electrical and Electronics Engineers, Inc.
the Internet Engineering Task Force
Internet Group Management Protocol
Internet Protocol
Internet Protocol version 4
Internet Protocol version 6
Internetwork Packet Exchange
International Organization for Standardization
Internet Service Provider
Layer 2 Loop Detection
Local Area Network
Liquid Crystal Display
Light Emitting Diode
Logical Link Control
Link Layer Discovery Protocol
Low Latency Queueing
Link State Advertisement
Maintenance Association
Media Access Control
Memory Card
Message Digest 5
Medium Dependent Interface
Medium Dependent Interface crossover
Maintenance Entity Group
Maintenance association End Point/Maintenance entity group End Point
Management Information Base
Maintenance domain Intermediate Point
Multicast Listener Discovery
Maintenance Point
Maximum Receive Unit
Multiple Spanning Tree Protocol
Maximum Transfer Unit
Not AcKnowledge
Network Access Server
Non-Broadcast Multiple-Access
Neighbor Discovery Protocol
Network Interface
Next-Level Aggregation Identifier
Network Service Access Point
NonStop Routing
III
はじめに
NSSA
NTP
OAM
OSPF
OUI
PA
packet/s
PAD
PC
PDU
PID
PIM
PIM-SM
PIM-SSM
PQ
PRU
PS
PSINPUT
PSU
QoS
RA
RADIUS
RDI
RFC
RIP
RIPng
RMON
RPF
RR
RQ
S-Tag
SA
SD
SFD
SFP
SFP+
SFU
SMTP
SNAP
SNMP
SNPA
SOP
SPF
SSAP
SSW
STP
TA
TACACS+
TCP/IP
TLV
TOS
TPID
TTL
UDLD
UDP
URL
uRPF
VLAN
VPN
VRF
VRRP
WAN
WFQ
WWW
Not So Stubby Area
Network Time Protocol
Operations,Administration,and Maintenance
Open Shortest Path First
Organizationally Unique Identifier
Protocol Accelerator
packets per second
*ppsと表記する場合もあります。
PADding
Personal Computer
Protocol Data Unit
Protocol IDentifier
Protocol Independent Multicast
Protocol Independent Multicast-Sparse Mode
Protocol Independent Multicast-Source Specific Multicast
Priority Queueing
Packet Routing Unit
Power Supply
Power Supply Input
Packet Switching Unit
Quality of Service
Router Advertisement
Remote Authentication Dial In User Service
Remote Defect Indication
Request For Comments
Routing Information Protocol
Routing Information Protocol next generation
Remote Network Monitoring MIB
Reverse Path Forwarding
Round Robin
ReQuest
Service Tag
Source Address
Secure Digital
Start Frame Delimiter
Small Form factor Pluggable
Small Form factor Pluggable Plus
Switch Fabric Unit
Simple Mail Transfer Protocol
Sub-Network Access Protocol
Simple Network Management Protocol
Subnetwork Point of Attachment
System Operational Panel
Shortest Path First
Source Service Access Point
Sub-crossbar SWitch
Spanning Tree Protocol
Terminal Adapter
Terminal Access Controller Access Control System Plus
Transmission Control Protocol/Internet Protocol
Type, Length, and Value
Type Of Service
Tag Protocol Identifier
Time To Live
Uni-Directional Link Detection
User Datagram Protocol
Uniform Resource Locator
unicast Reverse Path Forwarding
Virtual LAN
Virtual Private Network
Virtual Routing and Forwarding/Virtual Routing and Forwarding Instance
Virtual Router Redundancy Protocol
Wide Area Network
Weighted Fair Queueing
World-Wide Web
■ KB(キロバイト)などの単位表記について
1KB(キロバイト),1MB(メガバイト),1GB(ギガバイト),1TB(テラバイト)はそれぞれ 1024 バイト,
10242 バイト,10243 バイト,10244 バイトです。
IV
目次
第 1 編 本装置の概要と収容条件
1
2
3
本装置の概要
1
1.1 本装置の概要
2
1.2 本装置の特長
3
装置構成
7
2.1 本装置のモデル
8
2.1.1 装置の外観
8
2.2 装置の構成要素
12
2.2.1 ハードウェア
12
2.2.2 ソフトウェア
14
収容条件
15
3.1 搭載条件
16
3.1.1 最大収容ポート数
16
3.1.2 最大搭載数
16
3.1.3 PRU と NIF の搭載
17
3.2 収容条件
18
3.2.1 テーブルエントリ数
18
3.2.2 経路配分パターン
22
3.2.3 リンクアグリゲーション
23
3.2.4 レイヤ 2 スイッチング
24
3.2.5 フィルタ・QoS
27
3.2.6 L2 ループ検知
29
3.2.7 ネットワークの管理
30
3.2.8 IP インタフェースと IP パケット中継
31
3.2.9 ユニキャストルーティング
37
3.2.10 マルチキャストルーティング
42
3.2.11 BFD
47
i
目次
第 2 編 運用管理
4
装置起動とログイン
49
4.1 運用端末による管理
50
4.1.1 運用端末の接続形態
50
4.1.2 運用端末
51
4.1.3 運用管理機能の概要
53
4.2 装置起動
5
4.2.1 起動から停止までの概略
54
4.2.2 装置の起動
54
4.2.3 装置の停止
55
4.3 ログイン・ログアウト
56
コマンド操作
57
5.1 コマンド入力モード
58
5.1.1 運用コマンド一覧
58
5.1.2 コマンド入力モード
58
5.2 CLI での操作
60
5.2.1 補完機能
60
5.2.2 ヘルプ機能
60
5.2.3 入力エラーメッセージ
60
5.2.4 コマンド短縮実行
61
5.2.5 ヒストリ機能
62
5.2.6 パイプ機能
63
5.2.7 リダイレクト
63
5.2.8 ページング
64
5.2.9 CLI 設定のカスタマイズ
64
5.3 CLI の注意事項
6
ii
54
65
5.3.1 ログイン後に運用端末がダウンした場合
65
5.3.2 CLI の特殊キー操作時にログアウトした場合
65
5.3.3 待機系のファイルにアクセスする場合
65
コンフィグレーション
67
6.1 コンフィグレーションの概要
68
6.1.1 起動時のコンフィグレーション
68
6.1.2 運用中のコンフィグレーション
69
6.1.3 ランニングコンフィグレーションの編集の流れ
69
6.1.4 コンフィグレーション入力時のモード遷移
71
6.1.5 初期導入時のコンフィグレーションについて
72
目次
6.1.6 コンフィグレーション・運用コマンド一覧
6.2 コンフィグレーションの編集方法
75
6.2.1 コンフィグレーションの編集開始
75
6.2.2 コンフィグレーションの表示・確認
75
6.2.3 コンフィグレーションのコミットモードの設定
77
6.2.4 コンフィグレーションの追加・変更・削除
78
6.2.5 ランニングコンフィグレーションへの反映
79
6.2.6 コンフィグレーションのファイルへの保存
80
6.2.7 コンフィグレーションのファイルからの反映
82
6.2.8 コンフィグレーションの編集終了
83
6.2.9 コンフィグレーションの編集時の注意事項
84
6.3 テンプレートの操作
85
6.3.1 テンプレートの概要
85
6.3.2 テンプレートの作成
86
6.3.3 テンプレートの編集
88
6.3.4 テンプレートの反映
90
6.3.5 テンプレートパラメータの使用方法
91
6.3.6 特記事項
94
6.4 コンフィグレーションの操作
7
72
96
6.4.1 コンフィグレーションのバックアップ
96
6.4.2 バックアップコンフィグレーションファイルの本装置への反映
96
6.4.3 ftp コマンドを使用したファイル転送
97
6.4.4 MC を使用したファイル転送
98
リモート運用端末から本装置へのログイン
101
7.1 解説
102
7.1.1 マネージメントポート接続
102
7.1.2 通信用ポート接続
102
7.1.3 ダイアルアップ IP 接続
102
7.2 コンフィグレーション
106
7.2.1 コンフィグレーションコマンド一覧
106
7.2.2 マネージメントポートの設定
107
7.2.3 本装置への IP アドレスの設定
108
7.2.4 telnet によるログインを許可する
108
7.2.5 ftp によるログインを許可する
109
7.2.6 VRF での telnet によるログインを許可する
109
7.2.7 VRF での ftp によるログインを許可する
110
7.3 オペレーション
111
7.3.1 運用コマンド一覧
111
7.3.2 リモート運用端末と本装置との通信の確認
112
iii
目次
8
ログインセキュリティと RADIUS/TACACS+
113
8.1 ログインセキュリティの設定
114
8.1.1 コンフィグレーション・運用コマンド一覧
114
8.1.2 ログイン制御の概要
115
8.1.3 ログインユーザの作成および削除
115
8.1.4 ログインユーザのパスワードの設定および変更
117
8.1.5 装置管理者モード変更のパスワードの設定および変更
117
8.1.6 リモート運用端末からのログインの許可
118
8.1.7 同時にログインできるユーザ数の設定
119
8.1.8 リモート運用端末からのログインを許可する IP アドレスの設定
119
8.1.9 ログインバナーの設定
120
8.1.10 VRF でのリモート運用端末からのログインの許可
121
8.1.11 VRF でのリモート運用端末からのログインを許可する IP アドレスの設定
122
8.2 RADIUS/TACACS+の解説
8.2.1 RADIUS/TACACS+の概要
124
8.2.2 RADIUS/TACACS+の適用機能および範囲
125
8.2.3 RADIUS/TACACS+を使用した認証
130
8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認
134
8.2.5 RADIUS/TACACS+を使用したアカウンティング
145
8.2.6 RADIUS/TACACS+との接続
147
8.3 RADIUS/TACACS+のコンフィグレーション
9
148
8.3.1 コンフィグレーションコマンド一覧
148
8.3.2 RADIUS サーバによる認証の設定
148
8.3.3 TACACS+サーバによる認証の設定
149
8.3.4 RADIUS/TACACS+/ローカルによるコマンド承認の設定
150
8.3.5 RADIUS/TACACS+によるログイン・ログアウトアカウンティングの設定
152
8.3.6 TACACS+サーバによるコマンドアカウンティングの設定
153
時刻の設定と NTP/SNTP
155
9.1 解説
156
9.1.1 概要
156
9.1.2 時刻の設定と NTP/SNTP に関する注意事項
156
9.2 時刻の設定
157
9.2.1 コンフィグレーションコマンド・運用コマンド一覧
157
9.2.2 システムクロックの設定
157
9.2.3 サマータイムの設定
157
9.3 NTP のコンフィグレーション
iv
124
160
9.3.1 コンフィグレーションコマンド一覧
160
9.3.2 NTP によるタイムサーバと時刻同期の設定
160
目次
9.3.3 NTP サーバとの時刻同期の設定
161
9.3.4 NTP 認証の設定
161
9.3.5 VRF での NTP による時刻同期の設定
162
9.4 SNTP のコンフィグレーション
9.4.1 コンフィグレーションコマンド一覧
163
9.4.2 SNTP によるタイムサーバと時刻同期の設定
163
9.4.3 SNTP 認証の設定
164
9.4.4 VRF での SNTP による時刻同期の設定
164
9.5 オペレーション
10
165
9.5.1 運用コマンド一覧
165
9.5.2 時刻および NTP/SNTP の状態の確認
165
ホスト名と DNS
167
10.1 解説
168
10.1.1 概要
168
10.1.2 ホスト名と DNS に関する注意事項
168
10.2 コンフィグレーション
11
163
169
10.2.1 コンフィグレーションコマンド一覧
169
10.2.2 ホスト名の設定
169
10.2.3 DNS の設定
169
装置の管理
171
11.1 システム操作パネル
172
11.1.1 スタートアップメッセージ
172
11.1.2 メニュー構造
174
11.1.3 ポート情報の表示
175
11.1.4 CPU 使用率の表示
176
11.1.5 メモリ使用率の表示
177
11.1.6 バージョンの表示
178
11.1.7 温度情報の表示
182
11.1.8 ボードの交換
183
11.1.9 装置の停止
186
11.1.10 障害の表示
186
11.2 装置のリソース設定
189
11.2.1 コンフィグレーション・運用コマンド一覧
189
11.2.2 ハードウェアプロファイルの設定
189
11.2.3 テーブルエントリの配分パターンの設定
189
11.3 装置の確認
11.3.1 コンフィグレーション・運用コマンド一覧
191
191
v
目次
11.3.2 ソフトウェアバージョンの確認
192
11.3.3 装置の状態確認
193
11.3.4 内蔵フラッシュメモリの確認
196
11.3.5 MC の確認
197
11.3.6 温度監視
197
11.3.7 ファンユニットの監視
199
11.3.8 内蔵フラッシュメモリの未使用容量監視
200
11.4 SFU/PRU/NIF の管理
11.4.1 コンフィグレーション・運用コマンド一覧
201
11.4.2 ボードの disable 設定
201
11.4.3 PRU の起動優先度の設定
202
11.4.4 SFU の状態確認
202
11.4.5 PRU の状態確認
202
11.4.6 NIF の状態確認
203
11.4.7 NIF 交換時のコンフィグレーション
203
11.5 運用情報のバックアップ・リストア
205
11.5.2 BCU 二重化時の手順
205
11.5.3 BCU 一重化時の手順
206
207
11.6.1 障害の種別と復旧内容
207
11.6.2 ソフトウェア障害検出時の動作
208
11.6.3 コンフィグレーション・運用コマンド一覧
208
11.6.4 系切替条件の設定
209
ソフトウェアの管理
211
12.1 ソフトウェアアップデートの解説
212
12.1.1 概要
212
12.1.2 ソフトウェアアップデートの対象
212
12.1.3 更新・反映の契機
212
12.1.4 無停止ソフトウェアアップデート
213
12.1.5 ソフトウェアアップデートに関する注意事項
214
12.2 ソフトウェアアップデートのオペレーション
216
12.2.1 運用コマンド一覧
216
12.2.2 アップデートファイルの準備
216
12.2.3 アップデートコマンドの実行
216
12.2.4 SFU・PRU・NIF のアップデート
217
12.2.5 アップデート後の確認
218
12.2.6 アップデート操作時の注意事項
218
12.3 BCU 初期導入ソフトウェアからのアップデートの解説
vi
205
11.5.1 運用コマンド一覧
11.6 障害時の復旧
12
201
219
目次
12.3.1 概要
219
12.3.2 BCU 初期導入ソフトウェアからのアップデートの対象
219
12.3.3 BCU 初期導入ソフトウェアからのアップデートの手順
220
12.3.4 BCU 初期導入ソフトウェアからのアップデートに関する注意事項
220
12.4 BCU 初期導入ソフトウェアからのアップデートのオペレーション
13
221
12.4.1 運用コマンド一覧
221
12.4.2 アップデートファイルの準備
221
12.4.3 アップデートコマンドの実行
221
12.4.4 アップデート後の確認
223
12.5 オプションライセンスの解説
224
12.5.1 概要
224
12.5.2 オプションライセンスを含むコンフィグレーションの操作
224
12.5.3 装置交換時のオプションライセンス再設定
225
12.5.4 オプションライセンスに関する注意事項
225
装置の冗長化
227
13.1 BCU 二重化の解説
228
13.1.1 概要
228
13.1.2 動作
228
13.1.3 ユーザの設定情報および利用情報の同期
229
13.1.4 系切替
229
13.1.5 BCU 二重化構成使用時の注意事項
231
13.2 BCU 二重化のオペレーション
233
13.2.1 運用コマンド一覧
233
13.2.2 待機系 BCU の状態確認
233
13.2.3 BCU の再起動
233
13.2.4 BCU の交換
233
13.2.5 ユーザの設定情報および利用情報の同期の実施
234
13.2.6 系切替の実施
234
13.3 SFU 冗長化の解説
235
13.3.1 冗長化時の装置構成
235
13.3.2 冗長構成の運用方法
235
13.3.3 障害発生時の SFU 動作
235
13.4 SFU 冗長化のオペレーション
237
13.4.1 運用コマンド一覧
237
13.4.2 SFU の状態確認
237
13.5 電源機構(PS)冗長化の解説
238
13.5.1 概要
238
13.5.2 電源ユニット冗長
238
13.5.3 給電系統冗長
238
vii
目次
13.5.4 供給電力の管理
13.6 電源機構(PS)冗長化のコンフィグレーション
242
13.6.2 電源ユニット冗長の設定
242
13.6.3 給電系統冗長の設定
242
243
13.7.2 PS の状態確認
243
13.7.3 供給電力の確認
244
システムメッセージの出力とログの管理
245
14.1 解説
246
14.1.1 メッセージの出力
246
14.1.2 ログの保存
246
247
14.2.1 コンフィグレーションコマンド一覧
247
14.2.2 運用ログの最小保存件数の設定
247
14.2.3 syslog 出力の設定
248
14.2.4 E-mail 出力の設定
248
14.2.5 メッセージの出力制御
248
14.3 オペレーション
251
14.3.1 運用コマンド一覧
251
14.3.2 ログの参照と削除
251
SNMP
253
15.1 解説
254
15.1.1 SNMP 概説
254
15.1.2 MIB 概説
257
15.1.3 SNMPv1,SNMPv2C オペレーション
259
15.1.4 SNMPv3 オペレーション
264
15.1.5 トラップ
268
15.1.6 インフォーム
269
15.1.7 SNMP で使用する IP アドレス
270
15.1.8 RMON MIB
271
15.1.9 SNMP マネージャとの接続時の注意事項
272
15.2 コンフィグレーション
viii
243
13.7.1 運用コマンド一覧
14.2 コンフィグレーション
15
242
13.6.1 コンフィグレーションコマンド一覧
13.7 電源機構(PS)冗長化のオペレーション
14
239
274
15.2.1 コンフィグレーションコマンド一覧
274
15.2.2 SNMPv1,SNMPv2C による MIB アクセス許可の設定
274
15.2.3 SNMPv3 による MIB アクセス許可の設定
275
目次
15.2.4 SNMPv1,SNMPv2C によるトラップ送信の設定
275
15.2.5 SNMPv3 によるトラップ送信の設定
276
15.2.6 SNMPv2C によるインフォーム送信の設定
276
15.2.7 リンクトラップの送信制御
277
15.2.8 RMON イーサネットヒストリグループの制御情報の設定
278
15.2.9 RMON による特定 MIB 値の閾値チェック
278
15.2.10 SNMPv1,SNMPv2C による VRF からの MIB アクセス許可の設定
279
15.2.11 SNMPv3 による VRF からの MIB アクセス許可の設定
279
15.2.12 SNMPv1,SNMPv2C による VRF へのトラップ送信の設定
280
15.2.13 SNMPv3 による VRF へのトラップ送信の設定
280
15.2.14 SNMPv2C による VRF へのインフォーム送信の設定
281
15.3 オペレーション
16
282
15.3.1 運用コマンド一覧
282
15.3.2 SNMP マネージャとの通信の確認
282
高機能スクリプト
285
16.1 解説
286
16.1.1 概要
286
16.1.2 高機能スクリプトの適用例
288
16.1.3 高機能スクリプトの仕様
289
16.1.4 スクリプト使用時の注意事項
290
16.2 スクリプトの作成と実行
292
16.2.1 コンフィグレーション・運用コマンド一覧
292
16.2.2 スクリプトの実行の流れ
293
16.2.3 スクリプトファイルの作成
293
16.2.4 スクリプトファイルの正常性確認
294
16.2.5 スクリプトファイルのインストール
295
16.2.6 スクリプトの起動
296
16.3 本装置の Python サポート内容
299
16.3.1 標準 Python との差分および制限
299
16.3.2 標準ライブラリ
299
16.4 Python 拡張ライブラリの使用方法
302
16.4.1 指定コマンド実行の設定
302
16.4.2 システムメッセージ出力の設定
306
16.4.3 イベント監視機能の設定
307
16.4.4 スクリプト起動契機の取得
310
ix
目次
第 3 編 ネットワークインタフェース
17
イーサネット
313
17.1 接続インタフェースの解説
314
17.1.1 概要
314
17.1.2 10BASE-T/100BASE-TX/1000BASE-T
315
17.1.3 1000BASE-X
318
17.1.4 10GBASE-R
320
17.1.5 100GBASE-R
320
17.2 イーサネット共通の解説
17.2.1 フローコントロール
322
17.2.2 フレームフォーマット
324
17.2.3 VLAN Tag
327
17.2.4 ジャンボフレーム
329
17.3 コンフィグレーション
330
17.3.2 イーサネットインタフェースの設定
330
17.3.3 複数インタフェースの一括設定
331
17.3.4 速度と全二重/半二重の設定
332
17.3.5 自動 MDI/MDIX 機能の設定
333
17.3.6 フローコントロールの設定
333
17.3.7 VLAN Tag の TPID 値の設定
334
17.3.8 ジャンボフレームの設定
334
17.3.9 リンクダウン検出タイマの設定
335
17.3.10 リンクアップ検出タイマの設定
336
17.3.11 フレーム送受信エラー通知の設定
336
338
17.4.1 運用コマンド一覧
338
17.4.2 イーサネットの動作状態の確認
338
リンクアグリゲーション
339
18.1 リンクアグリゲーション基本機能の解説
340
18.1.1 概要
340
18.1.2 リンクアグリゲーションの構成
340
18.1.3 サポート仕様
341
18.1.4 チャネルグループの MAC アドレス
342
18.1.5 フレーム送信時のポート振り分け
342
18.1.6 リンクアグリゲーション使用時の注意事項
344
18.2 リンクアグリゲーション基本機能のコンフィグレーション
x
330
17.3.1 コンフィグレーションコマンド一覧
17.4 オペレーション
18
322
345
目次
18.2.1 コンフィグレーションコマンド一覧
345
18.2.2 ポートチャネルインタフェースの設定
345
18.2.3 スタティックリンクアグリゲーションの設定
346
18.2.4 LACP リンクアグリゲーションの設定
346
18.2.5 振り分け方法の設定
347
18.2.6 チャネルグループの削除
349
18.2.7 チャネルグループをスイッチポートで使用する場合のポイント
349
18.3 リンクアグリゲーション拡張機能の解説
18.3.1 スタンバイリンク機能
351
18.3.2 離脱ポート数制限機能
352
18.3.3 異速度混在モード
353
18.3.4 切り戻し抑止機能
353
18.4 リンクアグリゲーション拡張機能のコンフィグレーション
356
18.4.1 コンフィグレーションコマンド一覧
356
18.4.2 スタンバイリンク機能の設定
356
18.4.3 離脱ポート数制限機能の設定
357
18.4.4 異速度混在モードの設定
357
18.4.5 切り戻し抑止機能の設定
357
18.5 リンクアグリゲーションのオペレーション
19
351
359
18.5.1 運用コマンド一覧
359
18.5.2 リンクアグリゲーションの状態の確認
359
IP インタフェースとサブインタフェース
361
19.1 解説
362
19.1.1 概要
362
19.1.2 サブインタフェース
362
19.1.3 ネットワーク構成例
363
19.1.4 IP インタフェース動作仕様
364
19.2 コンフィグレーション
369
19.2.1 コンフィグレーションコマンド一覧
369
19.2.2 IP インタフェースの設定
369
19.2.3 IP インタフェースの削除
371
19.2.4 VLAN インタフェースの MAC アドレス
373
19.2.5 サブインタフェースのシャットダウン
374
19.3 オペレーション
375
19.3.1 運用コマンド一覧
375
19.3.2 IP インタフェースの状態および統計情報の確認
375
xi
目次
付録
377
付録 A 準拠規格
付録 A.1 TELNET/FTP
378
付録 A.2 RADIUS/TACACS+
378
付録 A.3 NTP
378
付録 A.4 SNTP
378
付録 A.5 DNS
378
付録 A.6 SYSLOG
379
付録 A.7 SNMP
379
付録 A.8 イーサネット
381
付録 A.9 リンクアグリゲーション
382
付録 B 謝辞(Acknowledgments)
383
索引
xii
378
387
第 1 編 本装置の概要と収容条件
1
本装置の概要
この章では,本装置の特長について説明します。
1
1 本装置の概要
1.1 本装置の概要
NGN(Next Generation Network)を始めとする通信キャリアの商用ネットワークは,IP 電話,インター
ネット接続,企業の業務通信,携帯通信など,社会活動に欠かせない通信サービスを提供する社会インフラ
としてますます重要な位置を占めてきています。特に,近年は一部の通信サービスのトラフィック量増大が
顕著で,ネットワークはより大容量化/高速化されていく傾向にあります。
また,こうしたネットワークに流れる通信データには,企業の利益を左右するミッションクリティカルな重
要データや個人視聴のストリーミング動画など,社会的優先度の異なる多種多様なものが混在しています。
そのため,情報漏えいや不正アクセスに対するセキュリティの確保,ネットワークの処理能力を超えないよ
うにする適切なトラフィック制御など,高次元のネットワーク管理制御性が求められています。
本装置は,ミッションクリティカルな IT インフラ実現に不可欠な信頼性・可用性・拡張性の高い通信ネッ
トワーク基盤を柔軟に構築するルータ製品です。
製品コンセプト
本装置は,弊社が目指す「ギャランティード・ネットワーク」を実現するために開発してきたキャリア
グレード技術を継承しつつ,通信キャリアネットワークに必要とされる大容量/高速性と高密度収容能
力を備えた製品です。
本装置は次の機能を実現します。
• 100 ギガビットイーサネットやリンクアグリゲーションを用意し,トラフィック増大に対して余裕
を持ったネットワークを実現
• 大規模ネットワークで使用される OSPF,BGP4 などのルーティングプロトコルや,先進の IPv6,
マルチキャストなどを装備し,多様で柔軟なネットワークを実現
• ハードウェアの装置内冗長やさまざまなネットワーク冗長機能をサポートし,高信頼・高可用なネッ
トワークを実現
• 装置のシステム容量をスケーラブルに増量できる分散エンジン方式を採用,また,分散エンジンに
最大 4 種のネットワークインタフェースカードを搭載できるマイクロラインカード構造によって無
駄のない増設を実現
• 通信キャリアネットワークで扱われるさまざまなトラフィック(企業の業務データ,IP 電話データ,
テレビ会議,ストリーミング動画など)を,その優先度に応じて QoS 技術などで保護するギャラン
ティ型ネットワークを実現
• 高機能フィルタリングなどのセキュリティ機能で,安全なネットワークを実現
2
1 本装置の概要
1.2 本装置の特長
(1) 高性能アーキテクチャ
●100 ギガビットイーサネット対応
• 100 ギガビットイーサネットをノンブロッキング中継
●大容量化に適したスイッチファブリック方式,分散エンジン方式を採用
(2) コンパクト・高効率収容
●前面吸気・背面排気のエアフロー
• コンパクトな筐体に前面吸気・背面排気のエアフロー方式を採用
• 局舎/サーバルームのスペース効率や冷却効率の向上に貢献
●低速回線と高速回線を効率収容
• 既存設備で使用されている 1 ギガビットイーサネットと,今後の増設や大容量化のための 10 ギガ
ビットイーサネットなど,異なるインタフェースを効率良く混載して収容できるマイクロライン
カード構造を採用
• 1/4 スロットサイズのネットワークインタフェースカード単位で増設できるため,混載による無駄
が少なく,段階的な容量増設の際にも設備投資効率を改善
(3) ミッションクリティカル対応のネットワークを実現する高信頼性
●高い装置品質
• 厳選した部品と厳しい設計・検査基準による装置の高い信頼性
• 通信キャリア/ISP で実績あるソフトウェアを継承した安定したルーティング処理
●FT アーキテクチャによる単体装置としての高信頼化
• 装置内の電源,CPU 部,パケットフォワーディング部を冗長化することによって,フォールト・ト
レラント・ネットワーク(FTN:Fault Tolerant Network)を構築
●多様な冗長ネットワーク構築
• 高速な経路切り替え
リンクアグリゲーション(IEEE 準拠),ホットスタンバイ(VRRP),スタティックポーリング※な
ど
• BFD による高速な障害検知
• ロードバランス
OSPF イコールコストマルチパスなどによる IP レベルの均等トラフィック分散
• リングプロトコル
多様なリングネットワーク構成に対応した Autonomous Extensible Ring Protocol を実装
注※
指定経路上の可達性をポーリングによって確認し,動的にスタティックルーティングと連動して経
路を切り替えるための監視機能
●ソフトウェアの高負荷防止機構を実装
• ソフトウェアで処理するパケットに対するレートリミット,優先制御によって,DoS 攻撃などから
ソフトウェアを保護し,ルーティング処理などで安定した動作を実現
3
1 本装置の概要
(4) ハードウェアによる強力な QoS で通信品質を保証
●ハードウェアによる高性能な QoS 処理
●きめ細かなパラメータ(L2/L3/L4 ヘッダ)指定で,高い精度の QoS 制御が可能
●多様な QoS 制御機能
• IP-QoS(Diff-Serv,帯域制御,優先制御,廃棄制御など)
(5) 実績あるルーティング機能とレイヤ 2 中継機能をサポート
●安定した高機能ルーティング
• 実績あるルーティングソフトウェアを継承
• 豊富な L2/L3 制御プロトコルによって,多様で柔軟な信頼性の高いネットワークを実現可能
(スタティック,RIP,RIPng,OSPF,OSPFv3,BGP4,BGP4+,PIM-SM/PIM-SSM,IGMP,
MLD,VRF 対応,STP,RING など)
●スケーラブルなルーティング機能
• IPv4/IPv6 デュアルスタックでフルルートに対応
• 大規模 L2/L3 ネットワークに対応した高速な経路制御処理
• VRF などによる多数のルーティングセッションにも対応可能
●レイヤ 2 中継機能
• ポート VLAN,タグ VLAN 機能を実装
• スパニングツリー(IEEE 802.1D),高速スパニングツリー(IEEE 802.1w),PVST+,マルチプ
ルスパニングツリー(IEEE 802.1s)を実装
(6) 強固なセキュリティ機能
●高性能できめ細かなパケットフィルタリングが可能
• ハードウェアによる高性能なフィルタリング処理
• フィルタリング条件に L2/L3/L4 ヘッダの指定が可能
●uRPF をサポート
• ルーティングテーブルを利用して不正な送信元を検出,廃棄する uRPF をサポート
●装置ユーザのアカウント制御
• RADIUS/TACACS+による装置へのログインパスワード認証
• ユーザごとに実行できるコマンドを制限可能
(7) 優れたネットワーク管理,保守・運用
●IPv4/IPv6 デュアルスタックや IPv6 環境に対応したネットワーク管理(SNMP over IPv6)など充実し
た機能
●基本的な MIB-II に加え,IPv6 MIB,RMON などの豊富な MIB をサポート
●ポートミラーリングによって,トラフィックの監視,解析が可能(受信側および送信側ポートの両方で可
能)
●sFlow や sFlow-MIB によるトラフィック特性の分析が可能
4
1 本装置の概要
●オンライン保守
ボード・電源・ファンの増設および交換をコマンドレスで実施可能。また,無停止ソフトウェアアップ
デートに対応。
●SD メモリカード採用
コンフィグレーションのバックアップや障害情報採取が容易に実行可能。
●全イーサネットポート,コンソールポート,メモリカードスロットを前面に配置
●システム操作パネル採用
コンソール端末を使用しないで各種情報を表示し,動作指示が可能。
●イーサネット網の保守管理機能の CFM(Connectivity Fault Management),LLDP(Link Layer
Discovery Protocol)をサポート
●高度なコンフィグレーション管理
• テンプレート機能,マージ機能,ロールバック機能,手動コミットモードなどの充実したコンフィ
グレーション管理機能をサポート
●運用管理を効率化/省力化する運用支援スクリプト機能
• 装置にスクリプト言語の実行環境を搭載することで,装置オペレーションのカスタマイズや自動化
が可能
(8) 省電力対応
●アーキテクチャ設計,部品選択の段階で低消費電力を志向
• 導入後の TCO(Total Cost of Ownership)の削減に寄与
●消費電力情報の可視化
• 消費電力を運用コマンドで表示
5
2
装置構成
この章では,本装置の外観や構成要素などについて説明します。
7
2 装置構成
2.1 本装置のモデル
AX8600R シリーズには,次に示すモデルがあります。
• AX8608R
• AX8616R
• AX8632R
AX8600R シリーズは,基本制御機構(BCU),スイッチファブリック機構(SFU),パケットルーティン
グ機構(PRU),ネットワークインタフェース機構(NIF),電源機構(PS),電源入力機構(PSINPUT),
筐体,ファンユニット(FAN)などから構成されています。
AX8608R は BCU,PS を冗長化し,PRU を 2 スロット,NIF を 8 スロット収容可能なモデルです。
AX8608R では,SFU を使用しません。
AX8616R は BCU,SFU,PS を冗長化し,PRU を 4 スロット,NIF を 16 スロット収容可能なモデルで
す。
AX8632R は BCU,SFU,PS を冗長化し,PRU を 8 スロット,NIF を 32 スロット収容可能なモデルで
す。
AX8608R は,電源を ON にしたまま BCU,PRU,NIF,PS,FAN を交換できます。さらに,BCU,PS
は冗長化すると,通信無停止で交換できます。
AX8616R および AX8632R は,電源を ON にしたまま BCU,SFU,PRU,NIF,PS,FAN を交換でき
ます。さらに,BCU,SFU,PS は冗長化すると,通信無停止で交換できます。
2.1.1 装置の外観
各モデルの装置外観図を次に示します。
8
2 装置構成
(1) AX8608R
図 2‒1 AX8608R モデル
9
2 装置構成
(2) AX8616R
図 2‒2 AX8616R モデル
10
2 装置構成
(3) AX8632R
図 2‒3 AX8632R モデル
11
2 装置構成
2.2 装置の構成要素
2.2.1 ハードウェア
本装置は,PS,PSINPUT,FAN,BCU,SFU(AX8608R では不要),PRU および NIF で構成されてい
ます。ハードウェアの構成を次に示します。
図 2‒4 AX8608R のハードウェアの構成
図 2‒5 AX8616R および AX8632R のハードウェアの構成
(1) PS(電源機構)と PSINPUT(電源入力機構)
PS と PSINPUT は,外部供給電源から本装置内で使用する直流電源を生成します。PS は電源部,
PSINPUT は電源入力部です。それぞれ AC 電源と DC 電源があります。
12
2 装置構成
表 2‒1 PS 機器一覧
略称
PS-A21
概略仕様
AC 電源
AC100V/200V 系
PS-D21
DC 電源
DC-48V 系
表 2‒2 PSINPUT 機器一覧
略称
PSIN-A21
概略仕様
AC 電源入力部
AC100V/200V 系
PSINPUT1,3,5 用
PSIN-A22
AC 電源入力部
AC100V/200V 系
PSINPUT2,4,6 用
PSIN-D21
DC 電源入力部
DC-48V 系
PSINPUT1,3,5 用
PSIN-D22
DC 電源入力部
DC-48V 系
PSINPUT2,4,6 用
(2) FAN
FAN は装置内部を冷却するファンユニットです。
表 2‒3 ファンユニット一覧
略称
概略仕様
FAN-21
AX8616R 用ファンユニット
FAN-22
AX8608R/AX8616R/AX8632R 用ファンユニット
(3) BCU(基本制御機構)
BCU は装置の共通部分で,装置全体の管理やルーティングプロトコルなどの処理をします。
表 2‒4 BCU 機器一覧
略称
BCU-1R
概略仕様
基本制御部
メモリ 16GB
13
2 装置構成
(4) SFU(スイッチファブリック機構)
SFU は PRU と PRU の間で,高速でパケットを送受信します。なお,AX8608R は,2 枚の PRU を直結
して PRU 間でパケットを送受信する構造のため,SFU は搭載不要です。
表 2‒5 SFU 機器一覧
略称
概略仕様
SFU-M1
AX8616R 用スイッチファブリック部
SFU-L1
AX8632R 用スイッチファブリック部
(5) PRU(パケットルーティング機構)
PRU は,ハードウェアによるルーティング,フィルタリング,QoS 制御などで,高速な IP フォワーディ
ングと QoS を実現します。また,PRU の種別によって実装される FE(フォワーディングエンジン)の数
が異なります。
表 2‒6 PRU 機器一覧
略称
FE 数
概略仕様
PRU-1A
1
パケットルーティングプロセッサ 1A
PRU-2A
2
パケットルーティングプロセッサ 2A
(6) NIF(ネットワークインタフェース機構)
NIF は各種メディア対応のインタフェース制御部で,複数の種類があり,物理レイヤを処理します。
表 2‒7 NIF 機器一覧
略称
概略仕様
サイズ
NL1G-12T
10/100/1000Mbit/s イーサネット 12 回線
シングルハーフ
NL1G-12S
1Gbit/s イーサネット 12 回線 SFP
シングルハーフ
NLXG-6RS
10Gbit/s イーサネット 6 回線 SFP+
シングルハーフ
NMCG-1C
100Gbit/s イーサネット 1 回線 CFP
シングルフル
2.2.2 ソフトウェア
本装置のソフトウェアを次の表に示します。
表 2‒8 ソフトウェア一覧
略称
OS-RE
機能概要
イーサネット,レイヤ 2 スイッチング,IPv4/IPv6 パケット中継,ユニキャストルーティング,マル
チキャストルーティング,フィルタ,QoS,ネットワーク管理機能,運用管理機能,ほか
(暗号機能を含む)
14
3
収容条件
この章では,収容条件について説明します。
15
3 収容条件
3.1 搭載条件
3.1.1 最大収容ポート数
各モデルの最大収容可能ポート数を次の表に示します。
表 3‒1 最大収容可能ポート数
イーサネット
モデル名
100GBASE-R
10GBASE-R
1000BASE-X
10/100/1000BASE-T
AX8608R
4
48
96
96
AX8616R
8
96
192
192
AX8632R
16
192
384
384
3.1.2 最大搭載数
(1) 機器搭載数
各モデルへのオプション機器を含めた最大機器搭載数を次の表に示します。
表 3‒2 最大機器搭載数
機器
AX8608R
AX8616R
AX8632R
BCU
2
2
2
SFU
−
4
4
PRU
2
4
8
NIF(シングルフル)※
4
8
16
NIF(シングルハーフ)※
8
16
32
FAN
3
6
9
PS/PSINPUT(AC 電源)
2
4
6
PS/PSINPUT(DC 電源)
2
4
6
1/BCU
1/BCU
1/BCU
MC(SD タイプ)
(凡例)−:該当なし
注※
単一種別の NIF を搭載した場合の最大搭載数です。
(2) NIF 最大搭載数
NIF 種別によって最大搭載数が異なります。NIF 種別ごとの装置当たりの最大搭載数を次に示します。な
お,ここで示す値は単一種別の NIF を搭載した場合の最大搭載数です。
16
3 収容条件
表 3‒3 NIF 種別ごとの装置当たりの最大搭載数
NIF 種別
サイズ
AX8608R
AX8616R
AX8632R
NL1G-12T
シングルハーフ
8
16
32
NL1G-12S
シングルハーフ
8
16
32
NLXG-6RS
シングルハーフ
8
16
32
NMCG-1C
シングルフル
4
8
16
3.1.3 PRU と NIF の搭載
PRU に NIF を搭載するためのスロットがあり,1 枚の PRU にシングルハーフサイズ NIF を最大 4 枚,シ
ングルフルサイズ NIF を最大 2 枚搭載できます。また,1 枚の PRU にシングルフルサイズ NIF とシング
ルハーフサイズ NIF を混載できます。PRU と NIF の搭載イメージを次の図に示します。
図 3‒1 PRU と NIF の搭載イメージ
NIF の搭載構成を次の図に示します。
図 3‒2 NIF の搭載構成
17
3 収容条件
3.2 収容条件
3.2.1 テーブルエントリ数
(1) 概要
本項で使用するテーブルエントリ数とは,経路数やフィルタ・QoS フローのエントリ数を意味します。
本装置では,ネットワーク構成に合わせて適切なテーブルエントリ数の配分パターンを選べます。配分パ
ターンはコンフィグレーションコマンドによって変更できます。
エントリの配分パターンは経路系,フロー系をそれぞれ用意しています。経路系テーブルエントリおよびフ
ロー系テーブルエントリの内容を次の表に示します。
表 3‒4 経路系テーブルエントリおよびフロー系テーブルエントリの内容
項目
内容
経路系テーブルエントリ
IPv4 ユニキャスト経路
IPv4 マルチキャスト経路
IPv6 ユニキャスト経路
IPv6 マルチキャスト経路
MAC アドレステーブル
ARP
NDP
フロー系テーブルエントリ
フィルタエントリ
QoS フローエントリ
(2) ハードウェアプロファイル
本装置では,各種テーブルエントリをどのように使用して装置を運用するかをハードウェアプロファイルで
指定します。使用するハードウェアプロファイルはコンフィグレーションコマンドで設定します。ハード
ウェアプロファイルの種類と,対応する BCU および PRU を次の表に示します。
表 3‒5 ハードウェアプロファイルの種類
ハードウェアプロファイル
router-1
対応 BCU
BCU-1R
対応 PRU
PRU-1A
PRU-2A
router-1s
BCU-1R
PRU-1A
PRU-2A
(3) 配分パターン
配分パターンを次に示します。
表 3‒6 経路系テーブルエントリの配分パターン
パターン名
default※
18
意味
全エントリ混在
3 収容条件
パターン名
意味
ipv4-uni
IPv4 ユニキャスト優先(IPv4 ユニキャスト主体,マルチキャストおよび IPv6 なし)
ipv6-uni
IPv6 ユニキャスト優先(IPv6 ユニキャスト主体,マルチキャストなし)
ipv4-ipv6-uni
IPv4 ユニキャストおよび IPv6 ユニキャスト優先(マルチキャストなし)
注※ デフォルトのパターン
表 3‒7 フロー系テーブルエントリの配分パターン
パターン名称
意味
default※
フィルタ,QoS 均等
filter
フィルタ重視
filter-only
フィルタ専用
qos
QoS フロー重視
qos-only
QoS フロー専用
注※ デフォルトのパターン
(4) ハードウェアプロファイルと配分パターンの関係
ハードウェアプロファイルごとの経路系テーブルエントリ数とフロー系テーブルエントリ数を次に示しま
す。VRF 機能使用時の最大エントリ数は,全 VRF のエントリ数の合計です。
ここの表で記載している IPv4 ユニキャスト経路数には,次の情報が含まれます。
• RIP,OSPF,BGP4,スタティックを合わせたアクティブ経路
• 他 VRF(グローバルネットワークを含む)からインポートされた,アクティブ状態のエクストラネット
経路
• インタフェースに設定した IPv4 アドレス数×2:直結経路のホスト経路,サブネット経路
• ARP エントリ数
• ループバックインタフェースを使用する場合は,ループバックインタフェースごとに 1 経路が加算され
ます。
• RIP バージョン 2 を使用する場合は 1 経路が加算されます。
VRF で RIP バージョン 2 を使用する場合は,VRF ごとに 1 経路が加算されます。
• OSPF を使用する場合は 2 経路が加算されます。
VRF で OSPF を使用する場合は,VRF ごとに 2 経路が加算されます。
• VRRP でアクセプトモードを設定して,マスタ状態になっている場合は 1 経路が加算されます。
• ここに示した以外に 4 経路を装置固定情報として使用します。
VRF を使用する場合は,VRF ごとに 1 経路を装置固定情報として使用します。
ここの表で記載している IPv6 ユニキャスト経路数には,次の情報が含まれます。
• RIPng,OSPFv3,BGP4+,スタティックを合わせたアクティブ経路
• 他 VRF(グローバルネットワークを含む)からインポートされた,アクティブ状態のエクストラネット
経路
19
3 収容条件
• インタフェースに設定した IPv6 アドレス数×2 + IPv6 リンクローカルアドレス数:直結経路のホスト
経路(グローバルおよびリンクローカル),サブネット経路(グローバル)
• NDP エントリ数
• ループバックインタフェースを使用する場合は,ループバックインタフェースごとに 1 経路が加算され
ます。
• VRRP でアクセプトモードを設定して,マスタ状態になっている場合は 1 経路が加算されます。
• ここに示した以外に 1 経路を装置固定情報として使用します。
VRF を使用する場合は,VRF ごとに 1 経路を装置固定情報として使用します。
(a) router-1
ハードウェアプロファイル router-1 の経路系テーブルエントリ数を次の表に示します。
表 3‒8 router-1 の経路系テーブルエントリ数(1/2)
IPv4 ユニキャスト
経路
IPv4 マルチキャスト
経路
IPv6 ユニキャスト
経路
IPv6 マルチキャスト
経路
default
1015808
8000
425984
8000
ipv4-uni
1998848
0
0
0
ipv6-uni
32768
0
983040
0
884736
0
557056
0
パターン名
ipv4-ipv6-uni
表 3‒9 router-1 の経路系テーブルエントリ数(2/2)
パターン名
MAC アドレステーブル
ARP
NDP
ARP と NDP の合計
default
0
120000
120000
240000
ipv4-uni
0
120000
0
120000
ipv6-uni
0
32000
120000
120000
ipv4-ipv6-uni
0
120000
120000
120000
ハードウェアプロファイル router-1 のフロー系テーブルエントリ数を次の表に示します。フロー検出モー
ドについては,「コンフィグレーションガイド Vol.2 9.1.3 フロー検出モード」または「コンフィグレー
ションガイド Vol.2 11.1.3 フロー検出モード」を参照してください。
表 3‒10 router-1 のフロー系テーブルエントリ数(PRU 当たり)
フロー検出モード
エントリ数重視モード
パターン名
フィルタ
QoS フロー
受信側ポリサー
送信側ポリサー
default
64000
64000
64000
64000
filter
96000
32000
128000
−
32000
96000
−
128000
32000
32000
filter-only
qos
qos-only
検出条件数重視モード
20
default
3 収容条件
フロー検出モード
パターン名
フィルタ
QoS フロー
filter
48000
16000
filter-only
64000
−
qos
16000
48000
−
64000
qos-only
受信側ポリサー
送信側ポリサー
(凡例)−:該当なし
(b) router-1s
ハードウェアプロファイル router-1s の経路系テーブルエントリ数を次の表に示します。
表 3‒11 router-1s の経路系テーブルエントリ数(1/2)
パターン名
IPv4 ユニキャスト
経路
IPv4 マルチキャスト
経路
IPv6 ユニキャスト
経路
IPv6 マルチキャスト
経路
1015808
8000
163840
8000
default
表 3‒12 router-1s の経路系テーブルエントリ数(2/2)
パターン名
default
MAC アドレステーブル
ARP
NDP
ARP と NDP の合計
245760
120000
120000
240000
ハードウェアプロファイル router-1s のフロー系テーブルエントリ数を次の表に示します。フロー検出
モードについては,
「コンフィグレーションガイド Vol.2 9.1.3 フロー検出モード」または「コンフィグ
レーションガイド Vol.2 11.1.3 フロー検出モード」を参照してください。
表 3‒13 router-1s のフロー系テーブルエントリ数(PRU 当たり)
フロー検出モード
エントリ数重視モード
パターン名
フィルタ
QoS フロー
受信側ポリサー
送信側ポリサー
default
64000
64000
64000
64000
filter
96000
32000
128000
−
32000
96000
−
128000
default
32000
32000
filter
48000
16000
filter-only
64000
−
qos
16000
48000
−
64000
filter-only
qos
qos-only
検出条件数重視モード
qos-only
(凡例)−:該当なし
21
3 収容条件
3.2.2 経路配分パターン
ハードウェアプロファイルごとの経路配分パターンに応じた収容条件を次に示します。
(1) ハードウェアプロファイル router-1 の経路配分パターン
表 3‒14 router-1 の経路配分パターン(1/2)
IPv4 マルチキャス
ト
IPv4 ユニキャスト
経路配分パ
ターン
MAC
アド
レス
数
最大経路エントリ数
プロトコル別最大経路エントリ数
アクティ
ブ/非ア
クティブ
の合計
アクティ
ブ
RIP
+OSPF
PIM-SM/PIM-SSM
BGP
スタ
ティッ
ク
(S,G)マ
ルチ
キャス
ト経路
情報数
インタ
フェー
ス数
IPv4 イ
ンタ
フェー
ス数
default
0
4063232
1015808
100000
4063232
262144
8000
4095
16380
ipv4-uni
0
7995392
1998848
100000
7995392
262144
−
−
16380
ipv6-uni
0
131072
32768
30000
131072
32768
−
−
16380
ipv4-ipv6-uni
0
3538944
884736
100000
3538944
262144
−
−
16380
表 3‒15 router-1 の経路配分パターン(2/2)
IPv6 ユニキャスト
経路配分パター
ン
最大経路エントリ数
プロトコル別最大経路エントリ数
アクティ
ブ/非ア
クティブ
の合計
アクティ
ブ
RIPng
+OSPFv3
1703936
425984
ipv4-uni
−
ipv6-uni
ipv4-ipv6-uni
default
PIM-SM/PIM-SSM
IPv6 イ
ンタ
フェース
数
BGP4+
スタ
ティック
(S,G)マ
ルチキャ
スト経路
情報数
インタ
フェース
数
100000
1703936
262144
8000
4095
16380
−
−
−
−
−
−
16380
3932160
983040
100000
3932160
262144
−
−
16380
2228224
557056
100000
2228224
262144
−
−
16380
(凡例)−:該当なし
22
IPv6 マルチキャスト
3 収容条件
(2) ハードウェアプロファイル router-1s の経路配分パターン
表 3‒16 router-1s の経路配分パターン(1/2)
IPv4 マルチキャス
ト
IPv4 ユニキャスト
経路配分パ
ターン
MAC ア
ドレス
数
default
245760
最大経路エントリ数
プロトコル別最大経路エントリ数
アクティ
ブ/非ア
クティブ
の合計
アクティ
ブ
RIP
+OSPF
4063232
1015808
100000
PIM-SM/PIM-SSM
BGP
スタ
ティッ
ク
(S,G)マ
ルチ
キャス
ト経路
情報数
インタ
フェー
ス数
4063232
262144
8000
4095
IPv4 イ
ンタ
フェー
ス数
16380
表 3‒17 router-1s の経路配分パターン(2/2)
IPv6 ユニキャスト
経路配分パター
ン
default
最大経路エントリ数
IPv6 マルチキャスト
プロトコル別最大経路エントリ数
アクティ
ブ/非ア
クティブ
の合計
アクティ
ブ
RIPng
+OSPFv3
655360
163840
100000
PIM-SM/PIM-SSM
BGP4+
スタ
ティック
(S,G)マ
ルチキャ
スト経路
情報数
インタ
フェース
数
655360
163840
8000
4095
IPv6 イ
ンタ
フェース
数
16380
3.2.3 リンクアグリゲーション
コンフィグレーションによって設定できるリンクアグリゲーションの収容条件を次の表に示します。
表 3‒18 リンクアグリゲーションの収容条件
モデル
装置当たりの最大チャネルグループ数
チャネルグループ当たりの最大ポート数
AX8608R
96
16
AX8616R
192
16
AX8632R
384
16
ロードバランスグループごとのポート振り分け使用時の収容条件を次の表に示します。
表 3‒19 リンクアグリゲーションの収容条件(ロードバランスグループごとのポート振り分け使用時)
装置当たりの最大チャネルグ
ループ数
チャネルグループ当たりの最
大ポート数
ロードバランスグループ数
AX8608R
96
4
512
AX8616R
192
4
512
AX8632R
384
4
512
モデル
23
3 収容条件
3.2.4 レイヤ 2 スイッチング
(1) MAC アドレステーブル
レイヤ 2 スイッチ機能では,複数の機能で MAC アドレステーブルを使用します。例えば,MAC アドレス
学習機能では,接続された端末の MAC アドレスをダイナミックに学習して MAC アドレステーブルへ登
録します。MAC アドレステーブルの最大エントリ数については,
「3.2.1 テーブルエントリ数」を参照し
てください。
MAC アドレステーブルを使用する機能と,その機能による MAC アドレステーブルの使用量を次の表に示
します。
表 3‒20 MAC アドレステーブルを使用する機能
機能名
使用量
MAC アドレス学習機能
学習したアドレスごとに 1 エントリ※
ARP/NDP 学習機能
IGMP/MLD snooping
• IGMP snooping を有効にした VLAN ごとに 3 エントリ
• MLD snooping を有効にした VLAN ごとに 4 エントリ
• 学習した MAC アドレスごとに 1 エントリ
注※
MAC アドレスと,対応する ARP または NDP を学習した場合は,合わせて 1 エントリとなります。
MAC アドレステーブルのエントリ数が最大エントリ数に達すると新たなエントリを登録できなくなるた
め,収容条件内で運用してください。なお,運用中は運用コマンド show pru resouces で MAC アドレス
テーブルの使用状況を確認できます。
(2) MAC アドレス学習
MAC アドレス学習数の収容条件は,
「3.2.1 テーブルエントリ数」で示した MAC アドレステーブルの最
大エントリ数となります。
(3) VLAN
コンフィグレーションで設定できる VLAN 数および Tag 変換情報エントリ数を次の表に示します。
表 3‒21 VLAN の収容条件
項目
収容条件
VLAN 数(装置当たり)
4095
VLAN 数(ポート当たり)
4095
VLAN ポート数※1
Tag 変換情報エントリ数(装置当たり)※2
100000
65536
注※1
VLAN ポート数が収容条件を超えた場合,システムメッセージを出力します。収容条件を超えて設定した VLAN
ポートは使用できません。
ポートチャネルインタフェースに設定する場合,チャネルグループ一つを VLAN ポート数一つとして計算します。
24
3 収容条件
注※2
Tag 変換情報エントリをポートチャネルインタフェースに設定する場合,Tag 変換情報エントリ数は該当するチャネ
ルグループのポート数で計算します。
(4) スパニングツリー
スパニングツリーの収容条件を種類ごとに次の表に示します。
なお,スパニングツリーの VLAN ポート数は,スパニングツリーが動作する VLAN に所属するポート数
の延べ数です。チャネルグループの場合,チャネルグループ当たりの物理ポート数を数えます。ただし,次
のポートは,VLAN ポート数に含めません。
• BPDU ガード機能を設定しているが,BPDU フィルタ機能を設定していないポート
• PortFast 機能と BPDU フィルタ機能を設定しているアクセスポート
• シャットダウン状態の VLAN の VLAN ポート
• VLAN トンネリングを設定しているポート
表 3‒22 PVST+の収容条件
項目
対象 VLAN 数
収容条件
250
VLAN ポート数
1000
表 3‒23 シングルスパニングツリーの収容条件
項目
対象 VLAN 数
VLAN ポート数
収容条件
4095
シングルスパニングツリーだけ使用時
PVST+併用時※
10000
5000
注※
PVST+併用時,PVST+の VLAN ポート数とシングルスパニングツリーの VLAN ポート数との合計が最大値となり
ます。
表 3‒24 マルチプルスパニングツリーの収容条件
項目
MST インスタンス数
MST インスタンスごとの対象 VLAN 数※
VLAN ポート数
収容条件
16
200
10000
注※
MST インスタンス 0 は除きます。MST インスタンス 0 の対象 VLAN 数は 4095 となります。なお,運用中は運用
コマンド show spanning-tree port-count で対象 VLAN 数と VLAN ポート数を確認できます。
(5) Ring Protocol
Ring Protocol の収容条件を次の表に示します。
25
3 収容条件
表 3‒25 Ring Protocol の収容条件
項目
リング当たり
装置当たり
リング数
−
32
VLAN マッピング数
−
128
VLAN グループ数
2
64
4094※1
4094※1
2
64
VLAN グループの VLAN 数
リングポート数※2
(凡例)−:該当なし
注※1
制御 VLAN 用に VLAN を一つ消費するため,VLAN グループに使用できる VLAN 最大数は 4094 となります。
注※2
チャネルグループの場合は,チャネルグループ単位で 1 ポートと数えます。
(6) IGMP/MLD snooping
IGMP snooping の収容条件を次の表に示します。IGMP snooping で学習したマルチキャスト MAC ア
ドレスは,MAC アドレステーブルに登録します。登録できるマルチキャスト MAC アドレス数を次の表に
示します。
表 3‒26 IGMP snooping の収容条件
最大数
マルチキャストとの
併用※1
併用する
設定 VLAN 数※2
256
登録エントリ数
4000
マルチキャスト
受信者数
256/VLAN
32768/装置
併用しない
256
8000
256/VLAN
32768/装置
注※1
IPv4 マルチキャストまたは IPv6 マルチキャストとの併用になります。
注※2
IGMP snooping が動作するポート数(IGMP snooping を設定している VLAN に収容されるポートの総和)は装置
全体で最大 4096 です。例えば,それぞれ 10 ポート収容している 128 個の VLAN で IGMP snooping を動作させ
る場合,IGMP snooping 動作ポート数は 1280 となります。
MLD snooping の収容条件を次の表に示します。MLD snooping で学習したマルチキャスト MAC アド
レスは,MAC アドレステーブルに登録します。登録できるマルチキャスト MAC アドレス数を次の表に示
します。
26
3 収容条件
表 3‒27 MLD snooping の収容条件
最大数
マルチキャストとの
併用※1
併用する
設定 VLAN 数※2
256
マルチキャスト
登録エントリ数
受信者数
4000
256/VLAN
32768/装置
併用しない
256
8000
256/VLAN
32768/装置
注※1
IPv4 マルチキャストまたは IPv6 マルチキャストとの併用になります。
注※2
MLD snooping が動作するポート数(MLD snooping を設定している VLAN に収容されるポートの総和)は装置
全体で最大 4096 です。例えば,それぞれ 10 ポート収容している 128 個の VLAN で MLD snooping を動作させる
場合,MLD snooping 動作ポート数は 1280 となります。
3.2.5 フィルタ・QoS
(1) フィルタ・QoS フロー
フィルタおよび QoS フローの収容条件を示します。ここでのエントリ数とは,コンフィグレーション
(access-list,qos-flow-list)で設定したリストを装置内部で使用する形式(エントリ)に変換したあとの
数です。
(a) フィルタ・QoS フローエントリ数
ハードウェアプロファイルごとのフィルタおよび QoS フローの最大エントリ数を次に示します。
表 3‒28 router-1 でのフィルタ・QoS フローエントリ数
モデル
フィルタの最大エントリ数
QoS フローの最大エントリ数
PRU 当たり
装置当たり
PRU 当たり
装置当たり
AX8608R
128000
256000
128000
256000
AX8616R
128000
512000
128000
512000
AX8632R
128000
1024000
128000
1024000
表 3‒29 router-1s でのフィルタ・QoS フローエントリ数
モデル
フィルタの最大エントリ数
QoS フローの最大エントリ数
PRU 当たり
装置当たり
PRU 当たり
装置当たり
AX8608R
128000
256000
128000
256000
AX8616R
128000
512000
128000
512000
AX8632R
128000
1024000
128000
1024000
27
3 収容条件
フロー制御はコンフィグレーションで設定しますが,リストに設定するフロー検出条件パラメータによって
使用するエントリ数が異なります。複数エントリを使用するフロー検出条件のパラメータを次の表に示し
ます。
表 3‒30 複数エントリを使用するフロー検出条件
複数エントリを使用する
使用エントリ数算出例
フロー検出条件のパラメータ
宛先 IPv4 アドレス,送信元 IPv4 アドレス,
宛先 IPv6 アドレスを範囲指定
指定された IP アドレスがいくつのサブネットに区切られるかに
よってエントリ数が決定。
例えば,宛先 IPv4 アドレスに 192.168.0.1-192.168.0.4 と指定し
た場合,次の三つのサブネットに区切られるため,3 エントリとな
ります。
• 192.168.0.1/32
• 192.168.0.2/31
• 192.168.0.4/32
宛先ポート番号を範囲指定,送信元ポート番
号を範囲指定
指定された値が最大 16 ビットのマスクで区切ったときにいくつに
分けられるかによってエントリ数が決定。
例えば,宛先ポート番号に 135-140 と指定した場合,次の三つの領
域に区切られるため,3 エントリとなります。
• 135/16:0000 0000 1000 0111(2 進表記)
• 136/14:0000 0000 1000 10xx(2 進表記)
• 140/16:0000 0000 1000 1100(2 進表記)
TCP セッション維持(ack フラグが ON,ま
たは rst フラグが ON のパケット検出)
2 エントリ使用します。
IP レングスの上限値または下限値を指定
指定された IP レングスが最大 16 ビットのマスクで区切ったときに
いくつに分けられるかによってエントリ数が決定。
例えば,上限値を 10 と指定した場合,0-10 の範囲で次の三つの領
域に区切られるため,3 エントリとなります。
• 0-7/13:0000 0000 0000 0xxx(2 進表記)
• 8-9/15:0000 0000 0000 100x(2 進表記)
• 10/16:0000 0000 0000 1010(2 進表記)
1 リストに上記のフロー検出条件を複数指定した場合,おのおののフロー検出条件で使用するエントリ数を
掛け合わせた値が,1 リストで使用するエントリ数となります。
1 リストに上記のフロー検出条件を一つ指定した場合は,指定したフロー検出条件で使用するエントリ数が
1 リストで使用するエントリ数となります。
二つ以上指定した場合は,おのおののフロー検出条件で使用するエントリ数を掛け合わせた値が,1 リスト
で使用するエントリ数となります。
上記のフロー検出条件を指定していない場合は,1 リストで使用するエントリ数は 1 エントリとなります。
(b) ポリサーのエントリ数
ポリサーエントリを指定した QoS フローをインタフェースに適用すると,ポリサーのエントリを消費しま
す。ハードウェアプロファイルごとのポリサーの最大エントリ数を次に示します。
28
3 収容条件
表 3‒31 router-1 でのポリサーの最大エントリ数
モデル
受信側の最大エントリ数
送信側の最大エントリ数
PRU 当たり
装置当たり
PRU 当たり
装置当たり
AX8608R
64000
256000
64000
256000
AX8616R
64000
256000
64000
256000
AX8632R
64000
512000
64000
512000
表 3‒32 router-1s でのポリサーの最大エントリ数
モデル
受信側の最大エントリ数
送信側の最大エントリ数
PRU 当たり
装置当たり
PRU 当たり
装置当たり
AX8608R
64000
128000
64000
128000
AX8616R
64000
256000
64000
256000
AX8632R
64000
512000
64000
512000
ポリサーエントリに指定した帯域監視機能の内容によって,1 ポリサーエントリで使用するエントリ数が異
なります。1 ポリサーエントリで使用するポリサーのエントリ数を次の表に示します。
表 3‒33 1 ポリサーエントリで使用するポリサーのエントリ数
1 ポリサーエントリに指定した帯域監視機能
使用エントリ数
最大帯域監視だけ
1
最低帯域監視だけ
1
最大帯域監視と最低帯域監視の両方
2
3.2.6 L2 ループ検知
L2 ループ検知の L2 ループ検知フレーム送信レートおよびネットワーク全体で動作できる装置台数を次の
表に示します。
表 3‒34 L2 ループ検知の収容条件
項目
L2 ループ検知フレームの送信レー
ト(装置当たり)※1
収容条件
スパニングツリー,Ring Protocol のどちらかを
使用している場合
90pps(推奨値)※2
スパニングツリー,Ring Protocol のどちらも使
用していない場合
600pps(最大値)※3
ネットワーク全体で動作できる装置数
64 台
• L2 ループ検知フレーム送信レート算出式
L2 ループ検知フレームの送信レート(pps)= L2 ループ検知フレーム送信対象の VLAN ポート数÷送信間隔(秒)
なお,チャネルグループの場合,VLAN ポート数はチャネルグループ単位で 1 ポートと数えます。
29
3 収容条件
注※1
送信レートは上記の条件式に従って,自動的に 600pps 以内で変動します。
注※2
スパニングツリー,Ring Protocol のどちらかを使用している場合は,90pps 以下に設定してください。90pps より
大きい場合,スパニングツリー,Ring Protocol の正常動作を保障できません。
注※3
600pps を超えるフレームは送信しません。送信できなかったフレームに該当するポートや VLAN ではループ障害
を検知できなくなります。必ず 600pps 以下に設定してください。
3.2.7 ネットワークの管理
(1) CFM
CFM を使用できるハードウェアプロファイルを次の表に示します。
表 3‒35 CFM のサポート状況
ハードウェアプロファイル
サポート
router-1
○
router-1s
×
(凡例) ○:サポート ×:未サポート
CFM のドメイン,MA,MEP,CFM ポート総数,およびリモート MEP 総数の収容条件を次の表に示しま
す。
表 3‒36 ドメイン・MA・MEP・CFM ポート総数・リモート MEP 総数の収容条件
モデル
ドメイン数
AX8600R シリー
ズ共通
8/装置
MA 数
16380/装置
MEP 数
16380/装置
CFM ポート総数
リモート MEP 総数
※1※2
※2※3
16380/装置
49152/装置
注※1
CFM ポート総数とは,CFM のフレームを送信するインタフェースの総数です。CFM ポート総数は運
用コマンド show cfm summary で確認できます。
また,MEP を設定していない MA も CFM ポート総数に含みます。
注※2
CFM ポート総数およびリモート MEP 総数は,CCM 送信間隔がデフォルト値のときの収容条件です。
CCM 送信間隔を変更すると,CFM ポート総数およびリモート MEP 総数の収容条件が変わります。
CCM 送信間隔による CFM ポート総数およびリモート MEP 総数の収容条件を次の表に示します。
表 3‒37 CCM 送信間隔による収容条件
モデル
AX8600R シリーズ共通
30
CCM 送信間隔の最小値
CFM ポート総数
リモート MEP 総数
1 分以上
16380
49152
10 秒
4096
12288
1秒
1024
1024
3 収容条件
注※3
リモート MEP 総数とは,自装置以外の MEP の総数です。MEP からの CCM 受信性能に影響します。
リモート MEP 総数は運用コマンド show cfm remote-mep で確認できます。
MEP を設定できる物理ポートおよびチャネルグループの収容条件を次の表に示します。
表 3‒38 MEP を設定できる物理ポートおよびチャネルグループの収容条件
MEP を設定できる物理ポートおよびチャネルグループの総数※
モデル
AX8600R シリーズ共通
全ポート
注※
MEP は同一ポートに対して複数設定できます。チャネルグループの場合は,チャネルグループ単位で 1 ポートと数
えます。
CFM のデータベースの収容条件を次の表に示します。ここで示す値は,IEEE802.1ag と ITU-T Y.1731
を合計した数です。
表 3‒39 CFM のデータベース収容条件
モデル
AX8600R シリーズ共通
MEP CCM データベースエントリ数
49152
Linktrace データベースエントリ数※
2048
注※
1 ルート当たり 256 装置の情報を保持する場合は,最大で 8 ルート分を保持します(2048÷256 装置= 8 ルート)。
3.2.8 IP インタフェースと IP パケット中継
(1) IP インタフェース数
IPv4 アドレスおよび IPv6 アドレスを設定したインタフェースを IP インタフェースと呼びます。本装置
では,次のインタフェースに IP アドレスを設定できます。
• イーサネットインタフェース
• イーサネットサブインタフェース
• ポートチャネルインタフェース
• ポートチャネルサブインタフェース
• VLAN インタフェース
• マネージメントポート
• シリアル接続ポート(AUX)
• ループバックインタフェース
本装置で使用できる最大 IP インタフェース数を次の表に示します。なお,IPv4 アドレスと IPv6 アドレス
を同一のインタフェースで使用することも,個別に使用することもできます。
表 3‒40 最大 IP インタフェース数
IP インタフェース種別
イーサネットインタフェース
IP インタフェース数
16380※1
31
3 収容条件
IP インタフェース種別
IP インタフェース数
イーサネットサブインタフェース
ポートチャネルインタフェース
ポートチャネルサブインタフェース
VLAN インタフェース
マネージメントポート
1
シリアル接続ポート(AUX)※2
1
ループバックインタフェース※3
1537
注※1
イーサネットインタフェース,イーサネットサブインタフェース,ポートチャネルインタフェース,ポートチャネル
サブインタフェース,および VLAN インタフェースの合計数です。ただし,イーサネットサブインタフェース,ポー
トチャネルインタフェース,ポートチャネルサブインタフェース,および VLAN インタフェースの合計数は 16000
となります。
注※2
IPv4 アドレスだけを使用できます。
注※3
グローバルネットワークおよび VRF ごとに一つ使用できます。それ以外に,グローバルネットワークおよび任意の
VRF に 512 個使用できます。
(2) マルチホームの最大サブネット数
マルチホーム接続では一つのインタフェースに対して,複数の IPv4 アドレスまたは IPv6 アドレスを設定
できます。
(a) IPv4 の場合
IPv4 でのマルチホームの最大サブネット数を次の表に示します。ここで示す値は,コンフィグレーション
で一つのインタフェースに設定できるアドレス数です。
表 3‒41 マルチホームの最大サブネット数(IPv4 の場合)
IP インタフェース種別
32
マルチホームのサブネット数
イーサネットインタフェース
256
イーサネットサブインタフェース
256
ポートチャネルインタフェース
256
ポートチャネルサブインタフェース
256
VLAN インタフェース
256
マネージメントポート
1
シリアル接続ポート(AUX)
1
ループバックインタフェース
1
3 収容条件
(b) IPv6 の場合
IPv6 でのマルチホームの最大サブネット数を次の表に示します。ここで示す値は,コンフィグレーション
で一つのインタフェースに設定できるアドレス数です。
表 3‒42 マルチホームの最大サブネット数(IPv6 の場合)
IP インタフェース種別
マルチホームのサブネット数
イーサネットインタフェース
7
イーサネットサブインタフェース
7
ポートチャネルインタフェース
7
ポートチャネルサブインタフェース
7
VLAN インタフェース
7
マネージメントポート
7
ループバックインタフェース
1
(3) IP アドレス最大設定数
(a) IPv4 アドレス
コンフィグレーションで装置に設定できる IPv4 アドレスの最大数を次の表に示します。
表 3‒43 コンフィグレーションで装置に設定できる IPv4 アドレスの最大数
IP インタフェース種別
イーサネットインタフェース
IPv4 アドレス数
16672※
イーサネットサブインタフェース
ポートチャネルインタフェース
ポートチャネルサブインタフェース
VLAN インタフェース
マネージメントポート
1
シリアル接続ポート(AUX)
1
ループバックインタフェース
1537
注※
イーサネットインタフェース,イーサネットサブインタフェース,ポートチャネルインタフェース,ポートチャネル
サブインタフェース,および VLAN インタフェースの合計数です。ただし,イーサネットサブインタフェース,ポー
トチャネルインタフェース,ポートチャネルサブインタフェース,および VLAN インタフェースの合計数は 16000
となります。
(b) IPv6 アドレス
コンフィグレーションで装置に設定できる IPv6 アドレスの最大数を次の表に示します。なお,ここで示す
値にはコンフィグレーションで設定した IPv6 リンクローカルアドレスの数も含みます。
33
3 収容条件
表 3‒44 コンフィグレーションで装置に設定できる IPv6 アドレスの最大数
IP インタフェース種別
IPv6 アドレス数
イーサネットインタフェース
16672※
イーサネットサブインタフェース
ポートチャネルインタフェース
ポートチャネルサブインタフェース
VLAN インタフェース
マネージメントポート
7
ループバックインタフェース
1537
注※
イーサネットインタフェース,イーサネットサブインタフェース,ポートチャネルインタフェース,ポートチャネル
サブインタフェース,および VLAN インタフェースの合計数です。ただし,イーサネットサブインタフェース,ポー
トチャネルインタフェース,ポートチャネルサブインタフェース,および VLAN インタフェースの合計数は 16000
となります。
一つのインタフェースには必ず一つの IPv6 リンクローカルアドレスが設定されます。コンフィグレー
ションでインタフェースに IPv6 グローバルアドレスを設定した場合,インタフェースには自動で IPv6 リ
ンクローカルアドレスが設定されます。また,ループバックインタフェースにはリンクローカルアドレスの
ほかに,VRF ごとに自動でアドレス「::1/128」が一つ設定されます。そのため,実際に装置に設定される
IPv6 アドレスの最大数は次の表に示す値となります。
表 3‒45 装置に設定される IPv6 アドレスの最大数
IP インタフェース種別
イーサネットインタフェース
コンフィグレーションで設定する
自動で設定される
IPv6 アドレス数
IPv6 アドレス数
16672※
16380※
33052※
7
1
8
1537
2562
4099
合計数
イーサネットサブインタフェース
ポートチャネルインタフェース
ポートチャネルサブインタフェース
VLAN インタフェース
マネージメントポート
ループバックインタフェース
注※
イーサネットインタフェース,イーサネットサブインタフェース,ポートチャネルインタフェース,ポートチャネル
サブインタフェース,および VLAN インタフェースの合計数です。
(4) 最大相手装置数
本装置が接続する,通信できる最大相手装置数を示します。
34
3 収容条件
(a) ARP エントリ数
IPv4 の場合,ARP によって,送信するパケットの宛先アドレスに対応するハードウェアアドレスを決定し
ます。最大相手装置数は ARP エントリ数によって決まります。ARP エントリは,コンフィグレーションコ
マンドを使用することで,スタティックにエントリ登録できます。コンフィグレーションで設定できるスタ
ティック ARP エントリの最大数を次の表に示します。
表 3‒46 スタティック ARP の収容条件
項目
スタティック ARP エントリ数
収容条件
65535
本装置でサポートする ARP エントリの最大数については,「3.2.1 テーブルエントリ数」を参照してくだ
さい。なお,ARP エントリの最大数は,スタティック ARP のエントリ数を含みます。
(b) NDP エントリ数
IPv6 の場合,NDP でのアドレス解決によって,送信するパケットの宛先アドレスに対応するハードウェ
アアドレスを決定します。最大相手装置数は NDP エントリ数によって決まります。NDP エントリは,コ
ンフィグレーションコマンドを使用することで,スタティックにエントリ登録できます。コンフィグレー
ションで設定できるスタティック NDP エントリの最大数を次の表に示します。
表 3‒47 スタティック NDP の収容条件
項目
スタティック NDP エントリ数
収容条件
65535
本装置でサポートする NDP エントリの最大数については,
「3.2.1 テーブルエントリ数」を参照してくだ
さい。なお,NDP エントリの最大数は,スタティック NDP のエントリ数を含みます。
(c) RA の最大インタフェース数
RA ではルータから通知される IPv6 アドレス情報を基に端末でアドレスを生成します。本装置の最大イン
タフェース数および最大プレフィックス数を次の表に示します。
表 3‒48 RA の収容条件
項目
最大インタフェース数
最大プレフィックス数
収容条件
16380
インタフェース当たり
装置当たり
7
32760
(5) VRF
設定できる VRF 数を次の表に示します。VRF 数にグローバルネットワークは含みません。
表 3‒49 VRF の収容条件
項目
VRF 数
収容条件
1024
35
3 収容条件
(6) ポリシーベースルーティング
ポリシーベースルーティングの収容条件を次の表に示します。
表 3‒50 装置当たりのポリシーベースルーティングのエントリ数
項目
エントリ数
ポリシーベースルーティングを指定したアクセスリスト
のエントリ数
「3.2.5 フィルタ・QoS (1) フィルタ・QoS フロー (a) フィルタ・QoS フローエントリ数」に示す,ハー
ドウェアプロファイルごとの「フィルタの最大エントリ
数」に含む※1
IPv4 ポリシーベースルーティングリスト数
4096※2
IPv6 ポリシーベースルーティングリスト数
4096※2
1 ポリシーベースルーティングリスト当たりの最大ネクス
トホップ数
8
注※1
エントリ数の算出方法は,「3.2.5 フィルタ・QoS」を参照してください。
注※2
複数のアクセスリストで同一のポリシーベースルーティングリストを指定できます。その場合,使用するポリシー
ベースルーティングリスト数は 1 リストと計算します。
(7) DHCP/BOOTP リレーエージェント
DHCP/BOOTP リレーエージェントの収容条件を次の表に示します。
表 3‒51 DHCP/BOOTP リレーエージェントの収容条件
項目
収容条件
クライアント接続インタフェース数
16379
クライアント数
65516
アドレス割り当て数
65516
サーバ数
4096
サーバ数(グローバルネットワーク当たり)
16
サーバ数(VRF 当たり)
16
サーバ数(インタフェース当たり)
16
(8) DHCPv6 リレーエージェント
DHCPv6 リレーエージェントの収容条件を次の表に示します。
表 3‒52 DHCPv6 リレーエージェントの収容条件
項目
クライアント接続インタフェース数
クライアント数
36
収容条件
16379
131032
3 収容条件
項目
収容条件
アドレス割り当て数(IA_NA,IA_TA,IA_PD の合計)
131032
サーバ数
4096
サーバ数(グローバルネットワーク当たり)
4096
サーバ数(インタフェース当たり)
16
スタティック経路自動生成数
131032
(9) VRRP
VRRP の収容条件を次の表に示します。
表 3‒53 VRRP の収容条件
項目
仮想ルータ最大数※
収容条件
インタフェース当たり
255
装置当たり
255
注※ IPv4/IPv6 の仮想ルータの合計数です。
表 3‒54 VRRP の収容条件(グループ切替機能使用時)
項目
仮想ルータ最大数※
収容条件
インタフェース当たり
255
装置当たり
16380
最大グループ数
255
1 グループ当たりの最大フォロー仮想ルータ数
16379
注※ IPv4/IPv6 の仮想ルータの合計数は 255 までです。ただし,グループ切替機能を利用し,フォロー仮想ルータを
作成することで,最大 16380 の仮想ルータが動作できます。
3.2.9 ユニキャストルーティング
(1) 最大隣接ルータ数
最大隣接ルータ数の定義を次の表に示します。
表 3‒55 最大隣接ルータ数の定義
ルーティングプロトコル別
最大隣接ルータ数の定義
スタティックルーティング
ネクストホップアドレスの数
RIP,RIPng
本装置の RIP または RIPng が動作するネットワーク上の RIP または
RIPng ルータ数
OSPF,OSPFv3
本装置が OSPF または OSPFv3 指定ルータ(DR,BDR)になるネット
ワークの場合,そのネットワーク上のそのほかすべての OSPF または
OSPFv3 ルータ数。本装置が OSPF または OSPFv3 指定ルータになら
37
3 収容条件
ルーティングプロトコル別
最大隣接ルータ数の定義
ないネットワークの場合,そのネットワーク上の指定ルータ(DR,
BDR)数。
BGP4,BGP4+
BGP4 または BGP4+ピア数
最大隣接ルータ数を次の表に示します。
表 3‒56 最大隣接ルータ数
ルーティングプロトコル
最大隣接ルータ数
スタティックルーティング(IPv4,IPv6 の合計)
32760※
RIP
200
RIPng
200
OSPF
250
OSPFv3
125
BGP4
500
BGP4+
500
RIP,RIPng,OSPF,OSPFv3,BGP4,BGP4+の合計
512
注※ 動的監視機能を使用する隣接ルータは,ポーリング間隔によって数が制限されます。詳細を次の表に示します。
表 3‒57 スタティックの動的監視機能を使用できる最大隣接ルータ数
ポーリング周期
動的監視機能を使用できる最大隣接ルータ数
1秒
240
5秒
1200
(2) 経路エントリ数と最大隣接ルータ数の関係
最大経路エントリ数と最大隣接ルータ数の関係を次の表に示します。
表 3‒58 経路エントリ数と最大隣接ルータ数の関係
ルーティングプロトコル
RIP
RIPng
OSPF※3※4
38
経路エントリ数※1
最大隣接ルータ数※2
2000
100
10000
20
2000
100
10000
20
1000
250
5000
50
10000
25
3 収容条件
経路エントリ数※1
最大隣接ルータ数※2
100000
3
1000
125
5000
25
10000
12
100000
3
BGP4
※6
500
BGP4+
※6
500
ルーティングプロトコル
OSPFv3※3※5
注※1
経路エントリ数は代替経路を含みます。
注※2
各ルーティングプロトコル(RIP,RIPng,OSPF,OSPFv3,BGP4,BGP4+)を併用して使用する場合の最大隣
接ルータ数は,それぞれ 1/n(n:使用ルーティングプロトコル数)です。例えば,BGP4,BGP4+を使用しない
で,OSPF(1000 経路)と OSPFv3(1000 経路)を併用して使用する場合の最大隣接ルータ数は 1/2 となり,
OSPF では 125,OSPFv3 では 62 となります。
注※3
OSPF/OSPFv3 の最大経路エントリ数は LSA 数を意味します。
注※4
VRF で OSPF を使用している場合,装置全体の最大隣接ルータ数は 250 ですが,各 VRF で保持している LSA 数×
各 VRF の隣接ルータ数の総計が 25 万を超えないようにしてください。
注※5
VRF で OSPFv3 を使用している場合,装置全体の最大隣接ルータ数は 125 ですが,各 VRF で保持している LSA 数
×各 VRF の隣接ルータ数の総計が 12 万 5 千を超えないようにしてください。
注※6
「3.2.2 経路配分パターン」を参照してください。
(3) 本装置で設定できるコンフィグレーションの最大数
ルーティングプロトコルについて,設定できるコンフィグレーションの最大数を次の表に示します。
なお,この表で示す値はコンフィグレーションで設定できる最大数です。運用する際は本章にある収容条件
をすべて満たすようにしてください。
表 3‒59 コンフィグレーションの最大設定数
分類
コンフィグレーション
最大数の定義
コマンド
最大
設定数
IPv4 集約経路
ip summary-address
設定行数
1024
IPv6 集約経路
ipv6 summary-address
設定行数
1024
IPv4 スタティック
ip route
設定行数
262144
IPv6 スタティック
ipv6 route
設定行数
262144
RIP
network
設定行数
256
39
3 収容条件
分類
コンフィグレーション
最大数の定義
コマンド
最大
設定数
ip rip authentication key
設定行数
512
area range
設定行数
1024
area virtual-link
authentication-key,messagedigest-key パラメータを設定した
512
各設定行数の総計
512
network
設定行数
512
router ospf
設定行数
256
area range
設定行数
1024
ipv6 router ospf
設定行数
128
BGP4
network
設定行数
1024
BGP4+
network
設定行数
1024
経路フィルタ
distribute-list in(RIP)
各設定行数の総計
2048
各設定行数の総計
2048
各設定行数の総計
2048
各設定行数の総計
2048
各設定行数の総計
1024
各設定行数の総計
2048
設定<id>の種類数
1024
設定行数
4096
OSPF
行数の総計
ip ospf authentication-key
ip ospf message-digest-key
OSPFv3
distribute-list out(RIP)
redistribute(RIP)
distribute-list in(OSPF)
distribute-list out(OSPF)
redistribute(OSPF)
distribute-list in(BGP4)
distribute-list out(BGP4)
redistribute(BGP4)
distribute-list in(RIPng)
distribute-list out(RIPng)
redistribute(RIPng)
distribute-list in(OSPFv3)
distribute-list out(OSPFv3)
redistribute(OSPFv3)
distribute-list in(BGP4+)
distribute-list out(BGP4+)
redistribute(BGP4+)
ip as-path access-list
ip community-list
40
設定<id>の種類数
512
standard 指定の設定行数
1024
expanded 指定の設定行数
1024
3 収容条件
分類
コンフィグレーション
最大数の定義
コマンド
ip prefix-list
設定<id>の種類数
設定行数
ipv6 prefix-list
設定<id>の種類数
設定行数
neighbor in(BGP4)
最大
設定数
2048
80000
2048
80000
<ipv4 address>の設定行数の総計
1024
<peer group>の設定行数の総計
1024
<ipv6 address>の設定行数の総計
1024
<peer group>の設定行数の総計
1024
設定<id>の種類数
1024
設定<id>と<seq>の組み合わせ
種類数
4096
match as-path
各設定行で指定したパラメータの
総計
4096
match community
各設定行で指定したパラメータの
総計
4096
match interface
各設定行で指定したパラメータの
総計
2048
match ip address
各設定行で指定したパラメータの
総計
4096
各設定行で指定したパラメータの
総計
2048
match ipv6 route-source
match origin
設定行数
2048
match protocol
各設定行で指定したパラメータの
総計
4096
match route-type
設定行数
2048
match tag
各設定行で指定したパラメータの
総計
2048
match vrf
各設定行で指定したパラメータの
総計
4096
set as-path prepend count
どれか一つが設定された routemap の,<id>と<seq>の組み合わ
せ種類数
4096
neighbor out(BGP4)
neighbor in(BGP4+)
neighbor out(BGP4+)
route-map
match ipv6 address
match ip route-source
set distance
set local-preference
set metric
set metric-type
set origin
set tag
41
3 収容条件
コンフィグレーション
分類
最大
最大数の定義
コマンド
設定数
set community
各設定行で指定したパラメータの
総計
2048
set community-delete
各設定行で指定したパラメータの
総計
2048
3.2.10 マルチキャストルーティング
IPv4 マルチキャストおよび IPv6 マルチキャストの収容条件を次に示します。複数の VRF で IPv4 マルチ
キャストまたは IPv6 マルチキャストを使用する場合,グローバルネットワークとすべての VRF の合計を
本収容条件内に収めてください。
(1) マルチキャストの収容条件
IPv4 マルチキャストおよび IPv6 マルチキャストの収容条件を次の表に示します。
表 3‒60 マルチキャストの収容条件
項目
最大数
IPv4 マルチキャスト
IPv6 マルチキャスト
PIM-SM および PIM-SSM マルチキャストインタ
フェース数
512/装置※1
512/装置
IGMP および MLD 動作インタフェース数
4095/装置※1
4095/装置
マルチキャスト送信者の数
PIM-SM 使用時
PIM-SM 使用時
256/グループ
PIM-SSM 使用時
512/グループ※2
4000/装置
すべてのマルチキャスト中継エントリの下流イン
タフェースの合計※3
256/グループ
PIM-SSM 使用時
512/グループ※2
4000/装置
router-1
560000/装置
router-1s
280000/装置
PIM-SM または PIM-SSM のマルチキャスト経路
情報数((S,G)マルチキャスト経路情報および(*,G)
マルチキャスト経路情報の合計)
• S:送信元アドレス
• G:グループアドレス
PIM-SM または PIM-SSM のマルチキャスト中継
エントリ数※5(マルチキャスト中継エントリおよび
ネガティブキャッシュエントリの合計)
router-1
8000/装置※4
router-1s
8000/装置※4
router-1
8000/装置
router-1s
8000/装置
IGMP および MLD のマルチキャストグループ参加
数※6※7
42
256/インタフェース
router-1
8000/装置
router-1s
8000/装置
router-1
8000/装置
router-1s
8000/装置
256/インタフェース
3 収容条件
項目
IGMP および MLD でのグループアドレス当たりの
送信元アドレス数
最大数
IPv4 マルチキャスト
IPv6 マルチキャスト
32768/装置
32768/装置
PIM-SM 使用時
PIM-SM 使用時
256/グループ
PIM-SSM 使用時
512/グループ※2
256/グループ
PIM-SSM 使用時
512/グループ※2
注※1
PIM Join/Prune メッセージの送信間隔によって,インタフェース数が変わります。「表 3‒61 PIM Join/Prune
メッセージの送信間隔に対する IPv4 マルチキャストインタフェース数」に示す範囲内で使用してください。
注※2
PIM-SSM だけを使用している場合の収容条件です。PIM-SM および PIM-SSM を併用している場合は,256/グ
ループになります。
注※3
すべてのマルチキャスト中継エントリの下流インタフェースの合計は,IPv4 マルチキャストと IPv6 マルチキャスト
の合計です。
注※4
PIM Join/Prune メッセージの送信間隔によって,マルチキャスト経路情報数が変わります。「表 3‒62 PIM Join/
Prune メッセージの送信間隔に対する IPv4 マルチキャスト経路情報数」に示す範囲内で使用してください。
注※5
マルチキャスト中継エントリとは,
「3.2.1 テーブルエントリ数」に示す IPv4 マルチキャスト経路および IPv6 マル
チキャスト経路を指します。
注※6
マルチキャストグループ参加数は,IGMP Report メッセージおよび MLD Report メッセージの最大受信数を示しま
す。
注※7
装置当たりのマルチキャストグループ参加数とは,すべてのインタフェースで参加しているマルチキャストグループ
数の合計です。
表 3‒61 PIM Join/Prune メッセージの送信間隔に対する IPv4 マルチキャストインタフェース数
PIM Join/Prune メッセージの送信間隔※
IPv4 マルチキャストインタフェース数
30 秒以上
4095/装置
20〜29 秒
2047/装置
19 秒以下
255/装置
注※
各インタフェースに設定している PIM Join/Prune メッセージの送信間隔のうち,最小の値が対象となります。
表 3‒62 PIM Join/Prune メッセージの送信間隔に対する IPv4 マルチキャスト経路情報数
PIM Join/Prune メッセージの送信間隔※
IPv4 マルチキャスト経路情報数
10 秒以上
8000/装置
4〜9 秒
4000/装置
43
3 収容条件
PIM Join/Prune メッセージの送信間隔※
IPv4 マルチキャスト経路情報数
3 秒以下
1500/装置
注※
各インタフェースに設定している PIM Join/Prune メッセージの送信間隔のうち,最小の値が対象となります。
(2) PIM-SM 関連の収容条件
本装置で使用する PIM-SM 関連の収容条件を次の表に示します。
表 3‒63 PIM-SM 関連の収容条件
最大数
項目
隣接ルータ数
IPv4 マルチキャスト
IPv6 マルチキャスト
256/インタフェース
256/インタフェース
512/装置
512/装置
ランデブーポイント候補数
2/グループアドレス
2/グループアドレス
1 装置当たりランデブーポイントで設定できるグ
128/ネットワーク(VPN)
128/ネットワーク(VPN)
ループアドレス数※
512/装置
512/装置
1 ネットワーク(VPN)当たりランデブーポイント
に設定できるグループアドレス数
128/ネットワーク(VPN)
128/ネットワーク(VPN)
512/装置
512/装置
ブートストラップルータ候補数
512/装置
512/装置
静的ランデブーポイントルータアドレス数
16/ネットワーク(VPN)
16/ネットワーク(VPN)
512/装置
512/装置
−
128/インタフェース
マルチキャストサーバ仮想接続機能の設定数
256/装置
(凡例)−:該当なし
注※
グループアドレスを指定しないでランデブーポイントを設定した場合,デフォルトのグループアドレス(IPv4 では
224.0.0.0/4,IPv6 では ff00::/8)が設定されます。なお,グローバルネットワークおよび VRF でランデブーポイ
ントを設定する場合,デフォルトのグループアドレスも 1 グループアドレスとして使用します。
(3) IGMP/MLD 関連の収容条件
本装置で使用する IGMP および MLD 関連の収容条件を次の表に示します。
表 3‒64 IGMP/MLD 関連の収容条件
項目
静的グループ参加数※1
IGMP/MLD PIM-SSM 連携機能の設定数(送信元
アドレスとグループアドレスのペア数)※2
44
最大数
IPv4 マルチキャスト
IPv6 マルチキャスト
256/インタフェース
256/インタフェース
4000/装置
4000/装置
2048/装置
1024/装置
3 収容条件
最大数
項目
IPv4 マルチキャスト
IPv6 マルチキャスト
IGMPv3 および MLDv2 で 1Report メッセージ当
たり処理できる Record 情報
32Record/メッセージ
32Record/メッセージ
32 ソース/Record
32 ソース/Record
IGMPv3 および MLDv2 で 1Report メッセージ当
256 ソース/メッセージ
256 ソース/メッセージ
−
8/インタフェース
−
2048/装置
マルチキャストチャネルリストに設定するマルチ
キャストチャネル数
−
32/マルチキャストチャネ
ルリスト
帯域容量を設定したマルチキャストチャネルリス
ト数
−
2048/装置
帯域容量を設定したマルチキャストチャネル数
−
2048/装置
マルチキャストチャネル受信者数※6
−
65536/装置
たり処理できるソース数※3
インタフェースに設定するマルチキャストチャネ
ルリスト数※4
マルチキャストチャネルリストに設定するアクセ
スリスト数※5
400/インタフェース
(凡例)−:該当なし
注※1
静的グループ参加数とは,各マルチキャストインタフェースで静的参加するマルチキャストグループの合計です。複
数のインタフェースで同一マルチキャストグループに静的参加した場合,静的グループ参加数は一つではなく,静的
参加したインタフェースの数になります。
注※2
マルチキャストで使用するインタフェース数およびマルチキャストグループ参加数の合計によって,設定できる数が
変わります。「表 3‒65 使用インタフェース数に対する IGMP/MLD PIM-SSM 連携機能の設定数」および「表 3‒
66 マルチキャストグループ参加数の合計に対する IGMP/MLD PIM-SSM 連携機能の設定数」に示す範囲内で使用
してください。
なお,マルチキャストグループ参加数の合計は動的グループ参加数および静的グループ参加数の合計です。異なるイ
ンタフェースで同一のグループアドレスに参加している場合,マルチキャストグループ参加数は一つではなく,参加
しているインタフェースの数になります。
注※3
一つの IGMPv3 Report メッセージまたは MLDv2 Report メッセージの各 Record に格納されるソース数の合計で
す。ソース情報のない Record も 1 ソースとして数えます。
なお,IGMP/MLD PIM-SSM 連携機能を設定している場合は,その設定によって生成されるソース数も本収容条件
の対象となります。
注※4
マルチキャストチャネルフィルタ機能,マルチキャストチャネル数制限機能,および帯域管理機能それぞれでの最大
設定数です。
注※5
マルチキャストチャネルフィルタ機能,マルチキャストチャネル数制限機能,および帯域管理機能で使用する,マル
チキャストチャネルリストに設定するアクセスリストの数です。マルチキャストチャネルフィルタ機能,マルチキャ
ストチャネル数制限機能,および帯域管理機能で一つのアクセスリストを使用する場合,1 として数えます。
注※6
ホストトラッキング機能使用時のマルチキャストチャネルの総受信者数です。
45
3 収容条件
表 3‒65 使用インタフェース数に対する IGMP/MLD PIM-SSM 連携機能の設定数
使用インタフェース数
IGMP/MLD PIM-SSM 連携機能設定数
256
1024 以上
512
512
1024
256
4095
64
表 3‒66 マルチキャストグループ参加数の合計に対する IGMP/MLD PIM-SSM 連携機能の設定数
マルチキャストグループ参加数の合計
IGMP/MLD PIM-SSM 連携機能設定数
64
1024 以上
128
512
256
256
512
128
1024
64
2048
32
4096
16
8192
8
(4) VRF 関連の収容条件
VRF でマルチキャストルーティング機能を使用する場合の収容条件を次の表に示します。
表 3‒67 VRF 関連の収容条件
項目
最大数
IPv4 マルチキャスト
IPv6 マルチキャスト
マルチキャストを設定できる VRF 数
512/装置
512/装置
マルチキャストエクストラネットのマルチキャス
1024/装置
1024/装置
512/装置
512/装置
トフィルタ数※
マルチキャストエクストラネットで使用する
route-map 数
注※
すべての route-map で指定したアクセスリスト内のグループアドレスの合計です。
(5) マルチキャストパケットの送信者に関する注意
マルチキャストパケットの送信者の中には,マルチキャストパケットをバーストトラフィックとして送信す
る特性を持つものがあります。この特性を持つ送信者から受信したマルチキャストパケットを,マルチキャ
スト配信する場合には注意が必要です。
46
3 収容条件
マルチキャスト受信者の回線を収容するネットワークインタフェース機構(NIF)の種類によって,マルチ
キャストが動作できるインタフェース数が異なります。マルチキャスト送信できるインタフェース数を次
の表に示します。なお,IPv4 マルチキャストと IPv6 マルチキャストを同時に使用する場合は,合計のイ
ンタフェース数となります。
表 3‒68 マルチキャスト送信できるインタフェース数
マルチキャスト送信できるインタフェース数(推奨値※)
NIF 略称
NL1G-12T
ポート当たり 64 インタフェース
NL1G-12S
ポート当たり 64 インタフェース
NLXG-6RS
ポート当たり 64 インタフェース
NMCG-1C
ポート当たり 1024 インタフェース
注※
推奨値は,送信者がマルチキャストパケットを 8 バーストで送信する特性(8 パケット分のマルチキャストパケット
をいったん蓄積したあとに,ネットワークに対して連続で送信する特性)を持っていることを想定しています。バー
スト数が大きくなるとマルチキャストパケットを一部廃棄することがあるので,マルチキャストを設定するインタ
フェース数を少なくする必要があります。
3.2.11 BFD
BFD の収容条件を次の表に示します。
表 3‒69 BFD の収容条件
項目
BFD セッション数※
収容条件
10000
注※
使用できるセッション数は,BFD と連携する機能およびプロトコルの収容条件の総計です。
BFD セッション数と BFD パケットの最小送受信間隔に関する収容条件を次の表に示します。装置に設定
される BFD セッション数に合わせて,各 BFD セッションの最小送受信間隔が下限値を下回らないように
設計してください。
表 3‒70 最小送受信間隔の収容条件
BFD セッション数
最小送受信間隔の下限値(単位:ms)
1〜1000
10
1001〜5000
50
5001〜10000
100
47
第 2 編 運用管理
4
装置起動とログイン
この章では,装置を運用するために必要な運用端末と運用管理の概要,装置の
起動と停止,およびログインとログアウトについて説明します。
49
4 装置起動とログイン
4.1 運用端末による管理
本装置の運用にはコンソールまたはリモート運用端末が必要です。コンソールは RS232C に接続する端
末,リモート運用端末は IP ネットワーク経由で接続する端末です。また,本装置は IP ネットワーク経由で
SNMP マネージャによるネットワーク管理にも対応しています。コンソールやリモート運用端末など本装
置の運用管理を行う端末を運用端末と呼びます。
4.1.1 運用端末の接続形態
コンソールは本装置のシリアル接続ポート(CONSOLE)に接続します。また,本装置のシリアル接続ポー
ト(AUX)に接続することもできます。コンソールの接続形態を次の図に示します。
図 4‒1 コンソールの接続形態
リモート運用端末は,次に示す三つの接続形態がとれます。
• マネージメントポート接続する形態
• 通信ポートが接続する IP ネットワークから接続する形態
• シリアル接続ポート(AUX)にダイアルアップ IP 接続する形態
リモート運用端末の接続形態を次の図に示します。
図 4‒2 リモート運用端末の接続形態
50
4 装置起動とログイン
(1) シリアル接続ポート(CONSOLE)
シリアル接続ポート(CONSOLE)にコンソールを接続します。コンフィグレーションを設定していなく
ても本ポートを介してログインできるので,初期導入時には本ポートからログインして,初期設定ができま
す。
(2) シリアル接続ポート(AUX)
シリアル接続ポート(AUX)にコンソールを接続します。コンフィグレーションを設定していなくても本
ポートを介してログインできるので,初期導入時には本ポートからログインして,初期設定ができます。な
お,シリアル接続ポート(AUX)から接続した場合,Rom,Boot 状態は表示されません。
(3) マネージメントポート
マネージメントポートを介して,遠隔のリモート運用端末からの本装置に対するログインや SNMP マネー
ジャによるネットワーク管理ができます。このポートを介して telnet や ftp によって本装置へログインす
るためには,本装置のコンフィグレーションで IP アドレスおよびリモートアクセスの設定をする必要があ
ります。
(4) 通信用ポート
マネージメントポートと同様の運用ができます。
(5) シリアル接続ポート(AUX)にダイアルアップ IP 接続
リモート運用端末をマネージメントポート接続した場合と同様の運用ができます。本装置やモデムの設定
については,「7.1.3 ダイアルアップ IP 接続」を参照してください。
4.1.2 運用端末
コンソールとリモート運用端末の運用管理での適用範囲の違いを次の表に示します。
表 4‒1 コンソールとリモート運用端末の運用管理での適用範囲の違い
運用機能
コンソール
リモート運用端末
遠隔からのログイン
不可
可
本装置から運用端末へのログイン
不可
可
アクセス制御
なし
あり
コマンド入力
可
可
ファイル転送方式
なし
ftp
IP 通信
不可
IPv4 および IPv6
SNMP マネージャ接続
不可
可
コンフィグレーション設定
不要
必要
51
4 装置起動とログイン
(1) コンソール
コンソールは RS232C に接続する端末で,一般的な通信端末,通信ソフトウェアが使用できます。コンソー
ルが本装置と通信できるように,次の標準 VT-100 設定値(本装置のデフォルト設定値)が通信ソフトウェ
アに設定されていることを確認してください。
• 通信速度:9600bit/s
• データ長:8 ビット
• パリティビット:なし
• ストップビット:1 ビット
• フロー制御:なし
シリアル接続ポート(CONSOLE)接続の場合に,通信速度を 9600bit/s 以外(1200/2400/4800/
19200bit/s)で設定して使用したい場合は,コンフィグレーションコマンド speed で本装置側の通信速度
設定を変更してください。ただし,実際に設定が反映されるのはコンソールからいったんログアウトしたあ
とになります。
なお,シリアル接続ポート(AUX)接続の場合は,通信速度は 9600bit/s 固定です。
図 4‒3 コンソール接続時の通信速度の設定例
(config)# line console 0
(config-line)# speed 19200
!
注意事項
コンソールを使用する場合は次の点に注意してください。
• 本装置ではコンソール端末からログインする際に,自動的に VT-100 の制御文字を使用して画面サイズを取
得・設定します。VT-100 に対応していないコンソール端末では,不正な文字列が表示されたり,最初の CLI
プロンプトがずれて表示されたりして,画面サイズが取得・設定できません。
また,ログインと同時にキー入力した場合,VT-100 の制御文字の表示結果が正常に取得できないため同様
の現象となるので注意してください。この場合は,再度ログインし直してください。
• 通信速度の設定が反映されるのは,ログアウトしたあとになります。コンソールからいったんログアウトし
たあとで,使用している通信端末や通信ソフトウェアの通信速度の設定を変更してください。変更するまで
は文字列が不正な表示になります(「login」プロンプトなど)。
• 通信速度を 9600bit/s 以外に設定して運用している場合,装置を起動(再起動)するとコンフィグレーショ
ンが装置に反映されるまでの間,不正な文字列が表示されます。
(2) リモート運用端末
本装置に IP ネットワーク経由で接続してコマンド操作を行う端末が,リモート運用端末です。telnet プロ
トコルのクライアント機能がある端末はリモート運用端末として使用できます。
!
注意事項
本装置の telnet サーバは,改行コードとして[CR]を認識します。一部のクライアント端末では,改行コードとし
て[CR]および[LF]を送信します。これらの端末から接続した場合,空行が表示されたり,
(y/n)確認時にキー入
力ができなかったりするなどの現象がおこります。このような場合は,各クライアント端末の設定を確認してく
ださい。
52
4 装置起動とログイン
4.1.3 運用管理機能の概要
本装置はセットアップ作業が終了し,装置の電源 ON で運用に入ります。本装置と接続した運用端末では,
運用コマンドやコンフィグレーションコマンドを実行し,装置の状態を調べたり,接続ネットワークの変更
に伴うコンフィグレーションの変更を実施したりできます。本装置で実施する運用管理の種類を次の表に
示します。
表 4‒2 運用管理の種類
運用機能
概要
コマンド入力機能
コマンドラインによる入力を受け付けます。
ログイン制御機能
不正アクセス防止,パスワードチェックを行います。
コンフィグレーション編集機能
運用のためのコンフィグレーションを設定します。
ネットワークコマンド機能
リモート操作コマンドなどをサポートします。
ログ・統計情報
過去に発生した障害情報および回線使用率などの統計情報を表示し
ます。
LED および障害部位の表示
LED によって本装置の状態を表示します。
MIB 情報収集
SNMP マネージャによるネットワーク管理を行います。
装置保守機能
装置を保守するための状態表示,装置とネットワークの障害を切り
分けるための回線診断などのコマンドを持ちます。
MC 保守機能
MC のフォーマットなどを行います。
53
4 装置起動とログイン
4.2 装置起動
この節では,装置の起動と停止について説明します。
4.2.1 起動から停止までの概略
本装置の起動から停止までの概略フローを次の図に示します。ハードウェアセットアップの内容について
は,「ハードウェア取扱説明書」を参照してください。
図 4‒4 起動から停止までの概略フロー
4.2.2 装置の起動
本装置の起動,再起動の方法を次の表に示します。
表 4‒3 起動,再起動の方法
起動の種類
内容
電源 ON による起動
本装置の電源 OFF からの立ち上げです。
本体の電源スイッチを ON にし
ます。
リセットによる再起動
障害発生などによって本装置をリセットしたい場合に
行います。
本体のリセットスイッチを押し
ます。
再起動に掛かる時間はボードごとに異なります。
54
操作方法
4 装置起動とログイン
起動の種類
内容
操作方法
コマンドによる再起動
障害発生などによって本装置をリセットしたい場合に
行います。
reload コマンドを実行します。
デフォルトリスタート
パスワードを忘れてログインできない場合や,コマンド
承認の設定ミスなどでコンソールからコマンドが実行
できなくなった場合に行います。
本体のリセットスイッチを 5 秒
以上押します。
デフォルトリスタート中はパスワードによるログイン
認証,装置管理者モードへの変更(enable コマンド)
時の認証,RADIUS/TACACS+認証,およびコマンド
承認を行いません。また,コンフィグレーションにユー
ザアカウント"operator"の設定がなくても,ユーザ
"operator"でログインできます。※セキュリティレベ
ルが低下するため,デフォルトリスタートによる起動を
行う場合は十分に注意してください。
なお,コンフィグレーションはデフォルトリスタートに
よって変更されません。
デフォルトリスタート中に設定したパスワードは,装置
再起動後に有効になります。
デフォルトリスタートを実行する場合は,システム操作
パネルから装置を停止したあとで実行してください。
システム操作パネルから装置を停止する方法は,
「11.1.9 装置の停止」を参照してください。
なお,BCU を二重化構成で運用している場合は,両系
の BCU に対してデフォルトリスタートを実行してく
ださい。実行するときは,運用系,待機系の順で実施し
てください。
注※
コンフィグレーションにユーザアカウント"operator"の設定がない状態でユーザ"operator"を使用してログインする
場合,次に示す共通のユーザ情報でログイン処理をします。
・ユーザ名:remote_user
・ホームディレクトリ:/usr/home/share
本装置を起動,再起動したときに STATUS ランプが赤点灯となった場合は,「トラブルシューティングガ
イド」を参照してください。また,LED ランプ表示内容の詳細は,
「ハードウェア取扱説明書」を参照して
ください。
本装置は,ソフトウェアイメージを k.img という名称で書き込んだ MC をスロットに挿入して起動した場
合,MC から起動します。MC から装置を起動した場合,コンフィグレーションは工場出荷時の初期状態と
なり,設定しても保存できません。通常運用時は MC から起動しないでください。
4.2.3 装置の停止
本装置の電源を OFF にする場合は,アクセス中のファイルが壊れるおそれがあるので,本装置にログイン
しているユーザがいない状態で行ってください。運用コマンド reload stop で装置を停止させたあとに電
源を OFF にすることを推奨します。
55
4 装置起動とログイン
4.3 ログイン・ログアウト
この節では,ログインとログアウトについて説明します。
(1) ログイン
装置が起動すると,ログイン画面を表示します。この画面でユーザ名とパスワードを入力してください。正
しく認証された場合は,コマンドプロンプトを表示します。また,認証に失敗した場合は"Login incorrect"
のメッセージを表示し,ログインできません。ログイン画面を次の図に示します。
なお,初期導入時には,ユーザ名 operator,パスワードなしでログインできます。
図 4‒5 ログイン画面
login: operator
Password: *******
<-1
Copyright (c) 20XX ALAXALA Networks Corporation. All rights reserved.
>
<-2
1. パスワードが設定されていない,またはデフォルトリスタートによる起動の場合は表示しません。
また,パスワードの入力文字は表示しません。
2. コマンドプロンプトを表示します。ただし,デフォルトリスタートによる起動の場合は,コマンドプロ
ンプト表示の前に次のワーニングメッセージを表示します。
**************************************************************************
* WARNING!
*
* A default restart was performed on the device.
*
* The security level of the device has been lowered.
*
**************************************************************************
(2) ログアウト
CLI での操作を終了してログアウトしたい場合は,logout コマンドまたは exit コマンドを実行してくださ
い。ログアウト画面を次の図に示します。
図 4‒6 ログアウト画面
> logout
login:
(3) 自動ログアウト
一定時間(デフォルト:60 分)内にキーの入力がなかった場合,自動的にログアウトします。なお,自動
ログアウト時間はコンフィグレーションコマンド username,または運用コマンド set exec-timeout で変
更できます。
56
5
コマンド操作
この章では,本装置でのコマンドの指定方法について説明します。
57
5 コマンド操作
5.1 コマンド入力モード
5.1.1 運用コマンド一覧
コマンド入力モードの切り換えおよびユーティリティに関する運用コマンド一覧を次の表に示します。
表 5‒1 運用コマンド一覧
コマンド名
説明
enable
コマンド入力モードを一般ユーザモードから装置管理者モードに変更します。
disable
コマンド入力モードを装置管理者モードから一般ユーザモードに変更します。
quit
現在のコマンド入力モードを終了します。
exit
現在のコマンド入力モードを終了します。
logout
装置からログアウトします。
configure (configure terminal)
コマンド入力モードを装置管理者モードからコンフィグレーションモードに
変更して,コンフィグレーションの編集を開始します。
diff※
指定した二つのファイル同士を比較して,相違点を表示します。
grep※
指定したファイルを検索して,指定したパターンを含む行を出力します。
more※
指定したファイルの内容を一画面分だけ表示します。
less※
指定したファイルの内容を一画面分だけ表示します。
tail※
指定したファイルの指定された位置以降を出力します。
hexdump※
ヘキサダンプを表示します。
注※
「運用コマンドレファレンス Vol.1 9. ユーティリティ」を参照してください。
5.1.2 コマンド入力モード
本装置でコンフィグレーションを変更したり,または装置の状態を参照したりする場合,適切なコマンド入
力モードに遷移して,コンフィグレーションコマンドや運用コマンドを入力する必要があります。また,
CLI プロンプトでコマンド入力モードを識別できます。
コマンド入力モードとプロンプトの対応を次の表に示します。
表 5‒2 コマンド入力モードとプロンプトの対応
コマンド入力モード
一般ユーザモード
装置管理者モード
コンフィグレーションモード
58
実行可能なコマンド
運用コマンド(configure コマンドなど,一部のコマンドは
装置管理者モードでだけ実行できます)
コンフィグレーションコマンド※
プロンプト
>
#
(config)#
5 コマンド操作
注※
コンフィグレーションの編集中に運用コマンドを実行したい場合,quit コマンドや exit コマンドによっ
てコマンド入力モードを装置管理者モードに切り替えなくても,運用コマンドの先頭に「$」を付けた
形式で入力することで実行できます。
<例>
コンフィグレーションモードで運用コマンド show ip arp を実行する場合
(config)# $show ip arp
モード遷移の概要を次の図に示します。
図 5‒1 モード遷移の概要
また,CLI プロンプトとして,次に示す場合でも,その状態を意味する文字がプロンプトの先頭に表示され
ます。
1. コンフィグレーションコマンド hostname でホスト名称を設定している場合,ホスト名称の先頭から
20 文字目までがプロンプトに反映されます。
2. コンフィグレーションを編集してその内容をスタートアップコンフィグレーションに保存していない
場合,およびスタートアップコンフィグレーションを変更して編集中のコンフィグレーションと差分が
発生した場合,プロンプトの先頭に「!」が付きます。
1.〜2.のプロンプト表示例を次の図に示します。
図 5‒2 プロンプト表示例
> enable
# configure
(config)# hostname "OFFICE1"
!OFFICE1(config)# save
OFFICE1(config)# quit
OFFICE1# quit
OFFICE1>
59
5 コマンド操作
5.2 CLI での操作
5.2.1 補完機能
コマンドライン上で[Tab]キーを入力すると,コマンド入力時のコマンド名称やファイル名の入力を少な
くすることができ,コマンド入力が簡単になります。補完機能を使用したコマンド入力の簡略化を次の図に
示します。
図 5‒3 補完機能を使用したコマンド入力の簡略化
(config)# in[Tab]
(config)# interface
また,[Tab]キーを入力すると使用できるパラメータやファイル名の一覧が表示されます。補完機能を使
用したパラメータやファイル名の表示例を次の図に示します。
図 5‒4 補完機能を使用したパラメータやファイル名の表示例
(config)# interface [Tab]
async
loopback
gigabitethernet
mgmt
hundredgigabitethernet null
(config)# interface
port-channel
range
tengigabitethernet
5.2.2 ヘルプ機能
コマンドライン上で「?」を入力すると,指定できるコマンドまたはパラメータを検索できます。また,コ
マンドやパラメータの意味を知ることができます。次の図に「?」入力時の表示例を示します。
図 5‒5 「?」入力時の表示例
> show port ?
<port list>
statistics
transceiver
<cr>
> show port
<nif no.>/<port no.> ex."1/2", "2/1-5", "3/1,4/1", "*/*"
Display the statistics information list of ports
Display the transceiver information list of ports
なお,パラメータの入力途中でスペース文字を入れないで「?」を入力した場合は,補完機能が実行されま
す。また,コマンドパラメータで?文字を使用する場合は,[Ctrl]+[V]キーを入力したあと「?」を入
力してください。
5.2.3 入力エラーメッセージ
コンフィグレーションコマンドまたは運用コマンドを不正に入力した場合,エラー位置を「^」で指摘して,
次行にエラーメッセージを表示します。[Tab]キー入力時と「?」入力時も同様となります。
「^」の指摘個所とエラーメッセージの説明によって,コマンドまたはパラメータを見直して再入力してくだ
さい。入力エラーメッセージの表示例を次に示します。
図 5‒6 範囲外の数値を入力した場合の表示例
> show nif 33
show nif 33
^
% The value at the ^ marker is outside the valid range.
> show nif 33
60
5 コマンド操作
図 5‒7 パラメータが不足している場合の表示例
> show ip
show ip
^
% The command at the ^ marker is invalid.
>
入力エラーメッセージ一覧を次の表に示します。
表 5‒3 入力エラーメッセージ一覧
メッセージ
% '<word>' is invalid in this location.
説明
不正な文字'<word>'が入力されています。
<word>:不正な文字
% The combination with the already-entered
parameter at the ^ marker is invalid.
「^」の個所で入力済みのパラメータが入力されています。
% The command at the ^ marker is invalid.
「^」の個所でコマンドを実行するのに必要なパラメータが不
足しています。
% The command is too long.
一度に入力できる文字数を超えています。
% The command or parameter at the ^ marker
is invalid.
「^」の個所で不正なコマンドまたはパラメータが入力されて
います。
% The format at the ^ marker is invalid.
「^」の個所で入力形式が不正なパラメータが入力されていま
す。
% The IP address format at the ^ marker is
invalid.
「^」の個所で不正な IPv4 アドレスまたは IPv6 アドレスが
入力されています。
% The name at the ^ marker is invalid.
「^」の個所で不正な名称が入力されています。
% The parameter at the ^ marker is too long.
「^」の個所で桁数の制限以上のパラメータが入力されていま
す。
% The value at the ^ marker is invalid.
「^」の個所で不正な数値が入力されています。
% The value at the ^ marker is outside the valid
range.
「^」の個所で範囲外の数値が入力されています。
5.2.4 コマンド短縮実行
コマンドまたはパラメータを短縮して入力して,入力された文字が一意のコマンドまたはパラメータとして
特定できる場合,コマンドを実行します。短縮入力のコマンド実行例を次の図に示します。
図 5‒8 短縮入力のコマンド実行例(show netstat interface の短縮入力)
> sh nets in [Enter]
Date 20XX/07/19 12:00:00 UTC
Name
Mtu
Network
Address
Eth1/2
1500 192.168/24 192.168.0.60
>
Ipkts Ierrs
3896
2
Opkts Oerrs Colls
2602
0
0
なお,短縮実行できるコンフィグレーションコマンドはコンフィグレーションのモードによって異なりま
す。
コンフィグレーションコマンド show
コンフィグレーションの各モードで短縮実行できます。
61
5 コマンド操作
コンフィグレーションコマンド commit,end,quit,exit,rollback,save,status,top
グローバルコンフィグレーションモード,または template コマンド実行後に移行するサブモード(第
二階層)でだけ短縮実行できます。ほかのモードで短縮実行すると入力エラーになります。
コンフィグレーションコマンド end-template
template コマンド実行後に移行するサブモード(第二階層)でだけ短縮実行できます。ほかのモード
で短縮実行すると入力エラーになります。
コンフィグレーションコマンド delete,insert,replace
template コマンド実行後に移行するサブモード(第二階層)以降のモードで短縮実行できます。ほか
のモードで短縮実行すると入力エラーになります。
上記以外の各モードのコンフィグレーションコマンド
各モードで一意に特定できたコマンドを短縮実行できます。
また,*を含むパラメータを指定した場合は,それ以降のパラメータについて短縮実行できません。
5.2.5 ヒストリ機能
ヒストリ機能を使用すると,過去に入力したコマンドを簡単な操作で再実行したり,過去に入力したコマン
ドの一部を変更して再実行したりできます。ヒストリ機能を使用した例を次の図に示します。
図 5‒9 ヒストリ機能を使用したコマンド入力の簡略化
> ping 192.168.0.1 numeric count 1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=31 time=1.329 ms
<-1
--- 192.168.0.1 PING Statistics --1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max = 1.329/1.329/1.329 ms
>
<-2
<-3
> ping 192.168.0.1 numeric count 1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=31 time=1.225 ms
--- 192.168.0.1 PING Statistics --1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max = 1.225/1.225/1.225 ms
>
<-4
> ping 192.168.0.2 numeric count 1
<-5
PING 192.168.0.2 (192.168.0.2): 56 data bytes
--- 192.168.0.2 PING Statistics --1 packets transmitted, 0 packets received, 100.0% packet loss
>
1. 192.168.0.1 に対して ping コマンドを実行します。
2.[↑]キーを入力することで前に入力したコマンドを呼び出せます。
この例の場合,[↑]キーを1回押すと「ping 192.168.0.1 numeric count 1」が表示されるので,
[Enter]キーの入力だけで同じコマンドを再度実行できます。
3. 192.168.0.1 に対して ping コマンドを実行します。
4.[↑]キーを入力することで前に入力したコマンドを呼び出し,
[←]キーおよび[Backspace]キーを
使ってコマンド文字列を編集できます。
この例の場合,[↑]キーを1回押すと「ping 192.168.0.1 numeric count 1」が表示されるので,IP
アドレスの「1」の部分を「2」に変更して[Enter]キーを入力しています。
5. 192.168.0.2 に対して ping コマンドを実行します。
62
5 コマンド操作
ヒストリ機能に次の表に示す文字列を使用した場合,コマンド実行前に過去に実行したコマンド文字列へ変
換したあとでコマンドを実行します。なお,コンフィグレーションコマンドでは,コマンド文字列変換はサ
ポートしていません。
表 5‒4 ヒストリのコマンド文字列変換で使用できる文字一覧
指定
説明
!!
直前に実行したコマンドへ変換して実行します。
!n
ヒストリ番号 n※のコマンドへ変換して実行します。
!-n
n回前のコマンドへ変換して実行します。
!str
文字列 str で始まる過去に実行した最新のコマンドへ変換して実行します。
^str1^str2
直前に実行したコマンドの文字列 str1 を str2 に置換して実行します。
注※
運用コマンド show history で表示される配列番号のこと。
また,過去に実行したコマンドを呼び出して,コマンド文字列を編集したり,
[Backspace]キーや[Ctrl]
+[C]キーで消去したりしたあと,再度コマンドを呼び出すと,該当コマンドのヒストリを編集したり消
去したりできます。
注意
通信ソフトウェアによって方向キー([↑],
[↓],
[←],
[→])を入力してもコマンドが呼び出されな
い場合があります。その場合は,通信ソフトウェアのマニュアルなどで設定を確認してください。
5.2.6 パイプ機能
パイプ機能を利用すると,コマンドの実行結果を別のコマンドに引き継げます。実行結果を引き継ぐコマン
ドに grep コマンドを使うと,コマンドの実行結果をよりわかりやすくできます。「図 5‒10 show
sessions コマンド実行結果」に show sessions コマンドの実行結果を,
「図 5‒11 show sessions コマン
ド実行結果を grep コマンドでフィルタリング」に show sessions コマンドの実行結果を grep コマンドで
フィルタリングした結果を示します。
図 5‒10 show sessions コマンド実行結果
> show sessions
Date 20XX/01/07 12:00:00
operator console ----operator aux
----operator ttyp0
----operator ttyp1
admin
UTC
0
1
2
3
Jan
Jan
Jan
Jan
6
6
6
6
14:16
14:16 (ppp0:200.10.10.1)
14:16 (192.168.3.7)
14:16 (192.168.3.7)
図 5‒11 show sessions コマンド実行結果を grep コマンドでフィルタリング
> show sessions | grep admin
operator ttyp1
admin 3
Jan
>
6 14:16 (192.168.3.7)
5.2.7 リダイレクト
リダイレクト機能を利用すると,コマンドの実行結果をファイルに出力できます。show ip interface コマ
ンドの実行結果をファイルに出力する例を次の図に示します。
63
5 コマンド操作
図 5‒12 show ip interface コマンド実行結果をファイルに出力
> show ip interface > show_interface.log
>
5.2.8 ページング
ページングが有効な場合,コマンドの実行によって出力される結果が一画面にすべて表示しきれないとき
に,ユーザのキー入力を契機として一画面ごとに区切って表示します。ただし,リダイレクトがあるときに
はページングをしません。なお,コンフィグレーションコマンド username,または運用コマンド set
terminal pager でページングを有効にしたり無効にしたりできます。
5.2.9 CLI 設定のカスタマイズ
自動ログアウト機能や CLI 機能の一部は,CLI 環境情報としてユーザごとに動作をカスタマイズできます。
カスタマイズできる CLI 機能と CLI 環境情報を次の表に示します。
表 5‒5 カスタマイズできる CLI 機能と CLI 環境情報
機能
自動ログアウト
カスタマイズ内容と初期導入時のデフォルト設定
自動ログアウトするまでの時間を設定できます。
初期導入時のデフォルト設定は,60 分です。
ページング
ページングするかどうかを設定できます。
初期導入時のデフォルト設定は,ページングをします。
ヘルプ機能
ヘルプメッセージで表示するコマンドの一覧を設定できます。
初期導入時のデフォルト設定は,運用コマンドのヘルプメッセージを表示する際に,入力
できるすべての運用コマンドの一覧を表示します。
これらの CLI 環境情報は,ユーザごとに,コンフィグレーションコマンド username で設定できます。ま
たは,次に示す運用コマンドで一時的に該当セッションでの動作を変更できます。
• set exec-timeout
• set terminal pager
• set terminal help
コンフィグレーションコマンドで設定した場合,一度ログアウトして再度ログインすると設定値が有効とな
ります。運用コマンドで一時的に動作を変更した場合は,設定状態を表示できないため,各機能の動作状態
で確認してください。
64
5 コマンド操作
5.3 CLI の注意事項
5.3.1 ログイン後に運用端末がダウンした場合
ログイン後に運用端末がダウンした場合,本装置内ではログインしたままの状態になっていることがありま
す。この場合,自動ログアウトを待つか,再度ログインし直して,ログインしたままの状態になっている
ユーザを運用コマンド killuser で削除してください。
5.3.2 CLI の特殊キー操作時にログアウトした場合
[Ctrl]+[C]キー,[Ctrl]+[Z]キー,[Ctrl]+[¥]キーのどれかを押した場合に,ごくまれにロ
グアウトする場合があります。その場合は,再度ログインしてください。
5.3.3 待機系のファイルにアクセスする場合
/standby ディレクトリ配下のファイルにアクセスする場合は,次の点に注意してください。
• 補完機能は使用できません。
• 運用コマンド cd で,/standby 配下のディレクトリに移動しないでください。
• 運用系のファイルにアクセスする場合に比べて,アクセスに時間が掛かります。
65
6
コンフィグレーション
本装置には,ネットワークの運用環境に合わせて,構成および動作条件などの
コンフィグレーションを設定しておく必要があります。この章では,コンフィ
グレーションを設定するのに必要なことについて説明します。
67
6 コンフィグレーション
6.1 コンフィグレーションの概要
運用開始時または運用中,ネットワークの運用環境に合わせて,本装置に接続するネットワークの構成およ
び動作条件などのコンフィグレーションを設定する必要があります。
6.1.1 起動時のコンフィグレーション
本装置の電源を入れると,装置内メモリ上のスタートアップコンフィグレーションファイルが読み出され
て,設定されたコンフィグレーションに従って運用を開始します。運用に使用されているコンフィグレー
ションをランニングコンフィグレーションと呼びます。
なお,スタートアップコンフィグレーションは,直接編集できません。コンフィグレーションを編集したあ
とに save コマンドまたは commit コマンドを使用することで,スタートアップコンフィグレーションが更
新されます。
本装置では,編集したコンフィグレーションをランニングコンフィグレーションに反映する方法が 2 とお
りあり,コミットモードの設定によって選択できます。モードごとの反映方法を次に示します。
(1) 逐次コミットモード
編集した内容をすぐにランニングコンフィグレーションに反映します。起動時および運用中のコンフィグ
レーションの概要を次の図に示します。
図 6‒1 起動時および運用中のコンフィグレーションの概要(逐次コミットモード)
1. 本装置を起動すると,装置内メモリのスタートアップコンフィグレーションが読み出されて,ランニン
グコンフィグレーションとしてロードされます。
ランニングコンフィグレーションの内容で運用を開始します。
2. コンフィグレーションを編集します。編集内容は,すぐにランニングコンフィグレーションに反映され
ます。
3. save コマンドを実行すると,変更されたランニングコンフィグレーションがスタートアップコンフィグ
レーションに保存されます。
(2) 手動コミットモード
編集した内容をすぐにランニングコンフィグレーションに反映しません。commit コマンドを実行すると,
編集した内容を一括でランニングコンフィグレーションに反映して,スタートアップコンフィグレーション
に保存します。起動時および運用中のコンフィグレーションの概要を次の図に示します。
68
6 コンフィグレーション
図 6‒2 起動時および運用中のコンフィグレーションの概要(手動コミットモード)
1. 本装置を起動すると,装置内メモリのスタートアップコンフィグレーションが読み出されて,ランニン
グコンフィグレーションとしてロードされます。
ランニングコンフィグレーションの内容で運用を開始します。
2. コンフィグレーションを編集します。編集内容は,すぐにランニングコンフィグレーションに反映され
ません。
3. commit コマンドを実行すると,編集したコンフィグレーションがランニングコンフィグレーションに
反映されて,スタートアップコンフィグレーションに保存されます。
6.1.2 運用中のコンフィグレーション
運用中にコンフィグレーションを編集すると,コミットモードが逐次コミットモードの場合,編集した内容
をすぐにランニングコンフィグレーションに反映します。save コマンドを実行すると,編集したコンフィ
グレーションを装置内メモリにあるスタートアップコンフィグレーションに保存します。手動コミット
モードの場合,編集した内容をすぐにランニングコンフィグレーションに反映しません。commit コマンド
を実行することで,編集した内容を一括でランニングコンフィグレーションに反映して,スタートアップコ
ンフィグレーションに保存します。
編集した内容を保存しないで装置を再起動すると,編集した内容が失われるので注意してください。
6.1.3 ランニングコンフィグレーションの編集の流れ
初期導入時やネットワーク構成を変更する場合は,ランニングコンフィグレーションを編集します。なお,
初期導入時のランニングコンフィグレーションはコンソールから編集する必要があります。
(1) 逐次コミットモードでの流れ
逐次コミットモードでのランニングコンフィグレーションの編集の流れを次の図に示します。なお,
configure コマンドでの編集開始後に,status コマンドでコミットモードが逐次コミットモードであること
を確認してください。
69
6 コンフィグレーション
図 6‒3 ランニングコンフィグレーションの編集の流れ(逐次コミットモード)
(2) 手動コミットモードでの流れ
手動コミットモードでのランニングコンフィグレーションの編集の流れを次の図に示します。なお,
configure コマンドでの編集開始後に,status コマンドでコミットモードが手動コミットモードであること
を確認してください。
70
6 コンフィグレーション
図 6‒4 ランニングコンフィグレーションの編集の流れ(手動コミットモード)
6.1.4 コンフィグレーション入力時のモード遷移
コンフィグレーションは,実行できるコンフィグレーションモードで編集します。サブモードのコンフィグ
レーションを編集する場合は,グローバルコンフィグレーションモードでサブモードに移行するためのコマ
ンドを実行してモードを移行した上で,コンフィグレーションコマンドを実行する必要があります。コン
フィグレーション入力時のモード遷移の概要を次の図に示します。
71
6 コンフィグレーション
図 6‒5 コンフィグレーション入力時のモード遷移の概要
6.1.5 初期導入時のコンフィグレーションについて
本装置は初期導入時に次のコンフィグレーションを自動生成します。
• 物理インタフェース
装置に搭載されている NIF に合わせて,NIF の搭載位置,種別を基に各物理インタフェースのコンフィ
グレーションを生成します。物理インタフェースは,デフォルトでシャットダウン状態となります。
• デフォルトアカウント
初期導入時に操作できるユーザとして,デフォルトアカウントのコンフィグレーションを生成します。
• ハードウェアプロファイル
装置に搭載されている BCU または PRU に合わせて,ハードウェアプロファイルのコンフィグレー
ションを生成します。
• フィルタ・QoS のフロー検出モード
装置に搭載されている BCU または PRU に合わせて,フィルタ・QoS のフロー検出モードのコンフィ
グレーションを生成します。
• テーブルエントリの配分パターン
装置に搭載されている BCU または PRU に合わせて,経路系テーブルエントリとフロー系テーブルエ
ントリの配分パターンのコンフィグレーションを生成します。
6.1.6 コンフィグレーション・運用コマンド一覧
コンフィグレーションの設定,編集および操作に関するコンフィグレーションコマンド一覧を次の表に示し
ます。
表 6‒1 コンフィグレーションコマンド一覧
コマンド名
apply-template
72
説明
テンプレートに設定したコンフィグレーションコマンドを編集中のコンフィグ
レーションに反映します。
6 コンフィグレーション
コマンド名
説明
commit
編集したコンフィグレーションの内容を,ランニングコンフィグレーションに反
映して,スタートアップコンフィグレーションに保存します。
configuration commit-mode
コンフィグレーションのコミットモードを設定します。
delete
テンプレートに設定したコンフィグレーションコマンドを削除します。
end
コンフィグレーションモードを終了して装置管理者モードに戻ります。
end-template
template モードを終了してグローバルコンフィグレーションモードに戻りま
す。
insert
テンプレートの任意の位置にコンフィグレーションコマンドを挿入します。本
コマンド実行後,insert モードに移行します。
load
指定したコンフィグレーションファイルを編集中のコンフィグレーションに反
映します。指定したファイルの内容によって設定,変更,および削除ができま
す。
quit (exit)
モードを一つ戻ります。グローバルコンフィグレーションモードで編集中の場
合は,コンフィグレーションモードを終了して装置管理者モードに戻ります。
replace
テンプレートに設定したコンフィグレーションコマンドを上書きします。本コ
マンド実行後,replace モードに移行します。
rollback
編集中のコンフィグレーションの内容を,指定のコンフィグレーションの内容に
戻します。
save
編集したコンフィグレーションの内容を,をスタートアップコンフィグレーショ
ンファイルまたはバックアップコンフィグレーションファイルに保存します。
show
編集中のコンフィグレーションを表示します。
status
編集中のコンフィグレーションの状態を表示します。
template
コンフィグレーションコマンドのテンプレートを作成します。
top
サブモードからグローバルコンフィグレーションモードに戻ります。
コンフィグレーションの編集および操作に関する運用コマンド一覧を次の表に示します。
表 6‒2 運用コマンド一覧
コマンド名
説明
show running-config
ランニングコンフィグレーションを表示します。
show startup-config
スタートアップコンフィグレーションを表示します。
copy
コンフィグレーションをコピーします。
erase configuration
コンフィグレーションの内容を初期導入時のものに戻します。
show file
ローカルまたはリモートサーバ上のファイルの内容と行数を表示します。
cd
現在のディレクトリ位置を移動します。
pwd
カレントディレクトリのパス名を表示します。
ls
ファイルおよびディレクトリを表示します。
73
6 コンフィグレーション
コマンド名
74
説明
dir
復元可能な形式で削除された本装置用のファイルの一覧を表示します。
cat
指定されたファイルの内容を表示します。
cp
ファイルをコピーします。
mkdir
新しいディレクトリを作成します。
mv
ファイルの移動およびファイル名の変更をします。
rm
指定したファイルを削除します。
rmdir
指定したディレクトリを削除します。
delete
本装置用のファイルを復元可能な形式で削除します。
undelete
復元可能な形式で削除された本装置用のファイルを復元します。
squeeze
復元可能な形式で削除された本装置用の deleted ファイルを完全に消去します。
6 コンフィグレーション
6.2 コンフィグレーションの編集方法
6.2.1 コンフィグレーションの編集開始
コンフィグレーションを編集する場合は,enable コマンドを実行して装置管理者モードに移行してくださ
い。装置管理者モードで,configure コマンドまたは configure terminal コマンドを入力すると,プロン
プトが「(config)#」になり,コンフィグレーションが編集できるようになります。コンフィグレーション
の編集開始例を次の図に示します。
図 6‒6 コンフィグレーションの編集開始例
> enable
# configure
(config)#
<-1
<-2
1. enable コマンドで装置管理者モードに移行します。
2. コンフィグレーションの編集を開始します。
6.2.2 コンフィグレーションの表示・確認
(1) スタートアップコンフィグレーション,ランニングコンフィグレーションの表示・確認
装置管理者モードで運用コマンド show running-config および show startup-config を使用すると,ラン
ニングコンフィグレーションおよびスタートアップコンフィグレーションを表示・確認できます。ランニン
グコンフィグレーションの表示例を次の図に示します。
図 6‒7 ランニングコンフィグレーションの表示例
OFFICE01# show running-config
#default configuration file for XXXXXX-XX
!
hostname "OFFICE01"
!
interface gigabitethernet 1/1
shutdown
!
interface gigabitethernet 1/2
shutdown
!
OFFICE01#
<-1
1. ランニングコンフィグレーションを表示します。
(2) 編集中のコンフィグレーションの表示・確認
コンフィグレーションモードで show コマンドを使用すると,編集中のコンフィグレーションを表示・確
認できます。コンフィグレーションの表示例を「図 6‒8 編集中のコンフィグレーションの内容をすべて表
示」〜「図 6‒11 インタフェースモードで指定のインタフェース情報を表示」に示します。
図 6‒8 編集中のコンフィグレーションの内容をすべて表示
OFFICE01(config)# show
<-1
#default configuration file for XXXXXX-XX
!
hostname "OFFICE01"
!
interface gigabitethernet 1/1
shutdown
!
interface gigabitethernet 1/2
shutdown
75
6 コンフィグレーション
!
OFFICE01(config)#
1. パラメータを指定しない場合は,編集中のコンフィグレーションの内容をすべて表示します。
図 6‒9 設定済みのすべてのインタフェース情報を表示
OFFICE01(config)# show interface gigabitethernet
interface gigabitethernet 1/1
shutdown
!
interface gigabitethernet 1/2
shutdown
!
OFFICE01(config)#
<-1
1. 編集中のコンフィグレーションのうち,設定済みのすべてのインタフェースを表示します。
図 6‒10 指定のインタフェース情報を表示
OFFICE01(config)# show interface gigabitethernet 1/1
interface gigabitethernet 1/1
shutdown
!
OFFICE01(config)#
<-1
1. 編集中のコンフィグレーションのうち,ギガビットイーサネットのインタフェース 1/1 を表示します。
図 6‒11 インタフェースモードで指定のインタフェース情報を表示
OFFICE01(config)# interface gigabitethernet 1/1
OFFICE01(config-if)# show
interface gigabitethernet 1/1
shutdown
!
OFFICE01(config-if)#
<-1
1. 編集中のコンフィグレーションのうち,ギガビットイーサネットのインタフェース 1/1 を表示します。
(3) 編集中のコンフィグレーションとランニングコンフィグレーションとの差分の確認
コミットモードが手動コミットモードの場合,コンフィグレーションを編集すると,ランニングコンフィグ
レーションとの間に差分が発生します。編集中のコンフィグレーションとランニングコンフィグレーショ
ンとの差分の確認例を次の図に示します。
図 6‒12 編集中のコンフィグレーションとランニングコンフィグレーションとの差分の確認例
OFFICE01(config)# show > edit-config
<-1
OFFICE01(config)# quit
The changes to the configuration have not been saved.
Do you want to exit configure mode without saving the changes? (y/n): y
OFFICE01# show running-config > running-config
<-2
OFFICE01# diff running-config edit-config
<-3
1c1
< #Last modified by operator at Fri Nov 16 12:00:00 20XX UTC with version XX.XX
--> #Last modified by operator at Fri Nov 16 12:00:01 20XX UTC with version XX.XX
8a9
>
speed 1000
1. 編集中のコンフィグレーションの内容をすべてファイルに出力します。
2. ランニングコンフィグレーションの内容をすべてファイルに出力します。
3. 編集中のコンフィグレーションとランニングコンフィグレーションとの差分を出力します。ランニン
グコンフィグレーションからの変更内容を確認できます。
76
6 コンフィグレーション
6.2.3 コンフィグレーションのコミットモードの設定
(1) コミットモードの確認
コンフィグレーションを編集する前に,コンフィグレーションのコミットモードを確認します。コミット
モードの確認例を次の図に示します。
図 6‒13 コミットモードの確認例
# configure
(config)# status
File name
Commit mode
Last modified time
Buffer
Login user
(config)#
<-1
running-config
Auto commit
<-2
Thu Oct 11 12:00:00 20XX UTC by operator (not modified)
Total
XXXXXXXXXX Bytes
Available XXXXXXXXXX Bytes (XXXX%)
Fragments XX Bytes (XXXX%)
: USER operator LOGIN Fri Oct 12 12:00:00 20XX UTC edit
:
:
:
:
1. コンフィグレーションモードで status コマンドを実行します。
2. 編集中のコンフィグレーションの情報が表示されるので,「Commit mode」の内容を確認します。
「Auto commit」と表示される場合,現在のコミットモードは逐次コミットモードです。「Manual
commit」と表示される場合,現在のコミットモードは手動コミットモードです。
(2) コミットモードの設定
コンフィグレーションのコミットモードを設定します。コミットモードを逐次コミットモードから手動コ
ミットモードへ変更する場合の設定例を次の図に示します。
図 6‒14 逐次コミットモードから手動コミットモードへの設定例
(config)# configuration commit-mode manual
!(config)#
<-1
1. 手動コミットモードを設定します。手動コミットモードの設定はすぐにランニングコンフィグレー
ションに反映されるため,設定した時点で,手動コミットモードに移行します。
コミットモードを手動コミットモードから逐次コミットモードへ変更する場合の設定例を次の図に示しま
す。
図 6‒15 手動コミットモードから逐次コミットモードへの設定例
(config)# no configuration commit-mode
!(config)# commit
A commit of the configuration finished successfully.
(config)#
<-1
<-2
1. 手動コミットモードの設定を削除します。
2. 1.の内容を,commit コマンドでランニングコンフィグレーションに反映して,スタートアップコンフィ
グレーションに保存します。commit コマンドの実行が完了した時点で,逐次コミットモードに移行し
ます。
77
6 コンフィグレーション
6.2.4 コンフィグレーションの追加・変更・削除
(1) コンフィグレーションコマンドの入力
コンフィグレーションコマンドを使用して,コンフィグレーションを編集します。また,コンフィグレー
ションのコマンド単位での削除は,コンフィグレーションコマンドの先頭に「no」を指定することで実現
できます。コンフィグレーションの編集例を次の図に示します。
図 6‒16 コンフィグレーションの編集例
(config)# interface gigabitethernet 1/1
(config-if)# description "PORT001"
(config-if)# exit
(config)#
(config)# interface gigabitethernet 1/1
(config-if)# no description
(config-if)# exit
(config)#
<-1
<-2
<-3
<-4
1. ギガビットイーサネットのインタフェース 1/1 にモードを移行します。
2. 補足説明を設定します。
3. ギガビットイーサネットのインタフェース 1/1 にモードを移行します。
4. 補足説明を削除します。
機能の抑止を設定するコマンドでは,コンフィグレーションコマンドの先頭に「no」を指定して設定して,
機能の抑止を解除する場合に「no」を外したコンフィグレーションコマンドを入力します。機能の抑止お
よび解除の編集例を次の図に示します。
図 6‒17 機能の抑止および解除の編集例
(config)#
(config)#
(config)#
(config)#
no
ip
ip
ip
ip domain lookup
domain name router.example.com
name-server 192.0.2.1
domain lookup
<-1
<-2
<-3
<-4
1. DNS リゾルバ機能を無効にします。
2. ドメイン名を router.example.com に設定します。
3. ネームサーバを 192.0.2.1 に設定します。
4. DNS リゾルバ機能を有効にします。
(2) 入力コマンドのチェック
コンフィグレーションコマンドを入力すると,入力されたコンフィグレーションに誤りがないかすぐに
チェックされます。エラーがない場合は次の図に示すようにプロンプトが表示されて,コマンドの入力待ち
になります。なお,入力したコマンドが反映される契機はコンフィグレーションのコミットモードによって
異なります。
図 6‒18 正常入力時の出力
(config)# interface gigabitethernet 1/1
(config-if)# description "PORT001"
(config-if)#
エラーがある場合は次の図に示すように,入力したコマンドの行の下にエラーの内容を示したエラーメッ
セージが表示されます。この場合,入力したコンフィグレーションは反映されないので,入力の誤りを正し
てから再度入力してください。
78
6 コンフィグレーション
図 6‒19 異常入力時のエラーメッセージ出力
(config)# interface tengigabitethernet 1/1
(config-if)# description
description
^
% The command at the ^ maker is invalid.
(config-if)#
6.2.5 ランニングコンフィグレーションへの反映
(1) 逐次コミットモード
コンフィグレーションのコミットモードが逐次コミットモードの場合,コンフィグレーションの編集内容を
すぐにランニングコンフィグレーションに反映します。逐次コミットモードでのランニングコンフィグ
レーションへの反映例を次の図に示します。
図 6‒20 ランニングコンフィグレーションへの反映例(逐次コミットモード)
(config)# interface gigabitethernet 1/1
(config-if)# description "PORT001"
!(config-if)# exit
!(config)#
<-1
1. コンフィグレーションを編集します。コマンドの実行が完了した時点で,ランニングコンフィグレー
ションに反映します。
(2) 手動コミットモード
コンフィグレーションのコミットモードが手動コミットモードの場合,commit コマンドを実行すること
で,コンフィグレーションの編集内容を一括でランニングコンフィグレーションに反映して,スタートアッ
プコンフィグレーションに保存します。手動コミットモードでのランニングコンフィグレーションへの反
映例を次の図に示します。
図 6‒21 ランニングコンフィグレーションへの反映例(手動コミットモード)
(config)# interface gigabitethernet 1/1
(config-if)# description "PORT001"
!(config-if)# exit
!(config)# commit
A commit of the configuration finished successfully.
(config)#
<-1
<-2
1. コンフィグレーションを編集します。コマンドの実行が完了した時点では,ランニングコンフィグレー
ションに反映しません。
2. commit コマンドを実行します。編集内容を一括でランニングコンフィグレーションに反映して,ス
タートアップコンフィグレーションに保存します。
コンフィグレーションを編集したあと,編集内容を破棄して指定したコンフィグレーションの内容に戻す場
合は,rollback コマンドを使用します。コンフィグレーションの編集内容を戻す例を次の図に示します。
図 6‒22 コンフィグレーションの編集内容を戻す例
(config)# interface gigabitethernet 1/1
(config-if)# description "PORT001"
<-1
!(config-if)# exit
!(config)# rollback running
<-2
The configuration being edited will be discarded.
Do you want to roll back the configuration? (y/n): y
A rollback of the configuration finished successfully.
(config)#
79
6 コンフィグレーション
1. コンフィグレーションを編集します。コマンドの実行が完了した時点では,ランニングコンフィグレー
ションに反映しません。
2. rollback コマンドを実行します。編集中のコンフィグレーションの内容が,指定したコンフィグレー
ション(この例ではランニングコンフィグレーション)の内容に戻ります。
6.2.6 コンフィグレーションのファイルへの保存
(1) スタートアップコンフィグレーションファイルへの保存
save コマンドまたは commit コマンドを使用すると,編集したコンフィグレーションをスタートアップコ
ンフィグレーションファイルに保存できます。
逐次コミットモードでのコンフィグレーションの保存例を次の図に示します。
図 6‒23 コンフィグレーションの保存例(逐次コミットモード)
# configure
(config)#
:
:
:
!(config)# save
(config)#
<-1
<-2
<-3
1. コンフィグレーションの編集を開始します。
2. コンフィグレーションを編集します。
3. スタートアップコンフィグレーションファイルに保存します。
手動コミットモードでのコンフィグレーションの保存例を次の図に示します。
図 6‒24 コンフィグレーションの保存例(手動コミットモード)
# configure
<-1
(config)#
:
:
<-2
:
!(config)# commit
<-3
A commit of the configuration finished successfully.
(config)#
1. コンフィグレーションの編集を開始します。
2. コンフィグレーションを編集します。
3. commit コマンドを実行します。編集内容を一括でランニングコンフィグレーションに反映して,ス
タートアップコンフィグレーションに保存します。
(2) グローバルコンフィグレーションモードでのコンフィグレーションファイルへの部分保
存
save コマンドで subset パラメータにコマンド名を指定すると,編集中のコンフィグレーションのうち,指
定したコマンド名のコンフィグレーションをファイルに保存します。指定したコマンド名のコンフィグ
レーションをファイルに保存する例を次の図に示します。
図 6‒25 指定したコマンド名のコンフィグレーションをファイルに保存する例
(config)# show
:
:
:
80
<-1
6 コンフィグレーション
interface gigabitethernet 1/1
description "PORT001"
!
interface gigabitethernet 1/2
description " PORT002"
!
:
:
:
(config)# save /usr/home/operator/tmp.cnf subset interface gigabitethernet
<-2
Do you want to save the configuration in the file /usr/home/operator/tmp.cnf? (y/n): y
(config)# exit
#cat /usr/home/operator/tmp.cnf
<-3
interface gigabitethernet 1/1
description "PORT001"
!
interface gigabitethernet 1/2
description "PORT002"
!
:
:
:
# configure
(config)# save /usr/home/operator/tmp2.cnf subset interface gigabitethernet 1/1
<-4
Do you want to save the configuration in the file /usr/home/operator/tmp2.cnf? (y/n): y
(config)# exit
# cat /usr/home/operator/tmp2.cnf
<-5
interface gigabitethernet 1/1
description "PORT001"
!
#
1. 編集中のコンフィグレーションを確認します。
2. 編集中のコンフィグレーションのうち,設定済みのすべてのギガビットイーサネットのインタフェース
のコンフィグレーションを/usr/home/operator/tmp.cnf に保存します。
3. 保存したファイルの内容を表示します。
4. 編集中のコンフィグレーションのうち,設定済みのギガビットイーサネットのインタフェース 1/1 のコ
ンフィグレーションを/usr/home/operator/tmp2.cnf に保存します。
5. 保存したファイルの内容を表示します。
(3) サブモードでのコンフィグレーションファイルへの部分保存
サブモードでファイル名と subset パラメータを指定して save コマンドを実行すると,編集中のコンフィ
グレーションのうち,該当するモード以下のコンフィグレーションをファイルに保存します。サブモードで
の save コマンド実行例を次の図に示します。
図 6‒26 サブモードでの save コマンド実行例
(config)# interface gigabitethernet 1/1
(config-if)# show
<-1
interface gigabitethernet 1/1
description "PORT001"
!
(config-if)# save /usr/home/operator/tmp.cnf subset
<-2
Do you want to save the configuration in the file /usr/home/operator/tmp.cnf? (y/n): y
(config)# exit
#cat /usr/home/operator/tmp.cnf
<-3
interface gigabitethernet 1/1
description "PORT001"
!
#
1. ギガビットイーサネットのインタフェース 1/1 のコンフィグレーションを確認します。
81
6 コンフィグレーション
2. ギガビットイーサネットのインタフェース 1/1 のコンフィグレーションを/usr/home/operator/
tmp.cnf に保存します。
3. 保存したファイルの内容を表示します。
6.2.7 コンフィグレーションのファイルからの反映
load コマンドを使用すると,指定したコンフィグレーションファイルの内容を編集中のコンフィグレー
ションへ反映できます。指定したコンフィグレーションファイルを編集中のコンフィグレーションにマー
ジする例を次に示します。
図 6‒27 コンフィグレーションファイルをマージ(追加)する例
(config)# show
<-1
:
:
:
interface gigabitethernet 1/1
!
:
:
:
(config)# exit
# cat /usr/home/operator/tmp.cnf
<-2
interface gigabitethernet 1/1
shutdown
description "PORT001"
speed 1000
no shutdown
!
# configure
(config)# load merge /usr/home/operator/tmp.cnf
<-3
Do you want to apply the specified configuration file to the configuration being edited? (y/
n): y
!(config)# show
<-4
:
:
:
interface gigabitethernet 1/1
description "PORT001"
speed 1000
!
!(config)#
1. 編集中のコンフィグレーションを確認します。
2. マージするコンフィグレーションファイル/usr/home/operator/tmp.cnf を確認します(コンフィグ
レーションを追加する指定をします)。
3. /usr/home/operator/tmp.cnf を編集中のコンフィグレーションにマージ(追加)します。
4. マージが完了した編集中のコンフィグレーションを確認します。
図 6‒28 コンフィグレーションファイルをマージ(削除)する例
# show running-config
:
:
:
interface gigabitethernet 1/1
description "PORT001"
speed 1000
:
:
:
# cat /usr/home/operator/tmp2.cnf
interface gigabitethernet 1/1
shutdown
no description
82
<-1
<-2
6 コンフィグレーション
no speed
no shutdown
!
# configure
(config)# load merge /usr/home/operator/tmp2.cnf <-3
Do you want to apply the specified configuration file to the configuration being edited? (y/
n): y
!(config)# show
<-4
:
:
:
interface gigabitethernet 1/1
!
:
:
:
!(config)#
1. 編集中のコンフィグレーションを確認します。
2. マージするコンフィグレーションファイル/usr/home/operator/tmp2.cnf を確認します(コンフィグ
レーションを削除する指定をします)。
3. /usr/home/operator/tmp2.cnf を編集中のコンフィグレーションにマージ(削除)します。
4. マージが完了した編集中のコンフィグレーションを確認します。
6.2.8 コンフィグレーションの編集終了
(1) 編集内容を保存して編集終了
save コマンドまたは commit コマンドで編集内容をスタートアップコンフィグレーションファイルへ保
存したあと,グローバルコンフィグレーションモードで quit コマンドまたは exit コマンドを実行します。
逐次コミットモードでのコンフィグレーションの編集終了例を次の図に示します。
図 6‒29 コンフィグレーションの編集終了例(逐次コミットモード)
!(config)# save
(config)# quit
<-1
1. 編集を終了します。
手動コミットモードでのコンフィグレーションの編集終了例を次の図に示します。
図 6‒30 コンフィグレーションの編集終了例(手動コミットモード)
!(config)# commit
A commit of the configuration finished successfully.
(config)# quit
<-1
1. 編集を終了します。
(2) 編集内容を保存しないで編集終了
コンフィグレーションを編集したあと,save コマンドまたは commit コマンドを実行しないで,編集終了
の quit コマンドまたは exit コマンドを実行すると確認のメッセージが表示されます。スタートアップコ
ンフィグレーションファイルに保存しないでコンフィグレーションモードを終了する場合は「y」を入力し
てください。「y」以外が入力されるとコンフィグレーションモードを終了できません。編集内容を保存し
ない場合のコンフィグレーションの編集終了例を次の図に示します。
図 6‒31 編集内容を保存しない場合のコンフィグレーションの編集終了例
# configure
(config)#
<-1
83
6 コンフィグレーション
:
:
<-2
:
!(config)# quit
The changes to the configuration have not been saved.
Do you want to exit configure mode without saving the changes? (y/n): y
<-3
!#
1. コンフィグレーションの編集を開始します。
2. コンフィグレーションを編集します。
3. 確認メッセージが表示されます。
6.2.9 コンフィグレーションの編集時の注意事項
(1) 設定できるコンフィグレーションのコマンド数に関する注意事項
設定されたコンフィグレーションはメモリに保持されるため,設定できるコンフィグレーションのコマンド
数はメモリ量によって決まります。設定するコンフィグレーションに比べてメモリ量が少なかったり,制限
を超えるようなコンフィグレーションを編集したりした場合は,「The maximum number of entries are
already configured. Configuration memory is insufficient. (entry = <エントリ名>)」または「The
maximum number of entries are already configured. (failed entry = <エントリ名>)」のメッセージ
が表示されます。このような場合,むだなコンフィグレーションが設定されていないか確認してください。
(2) コンフィグレーションをコピー&ペーストで入力する際の注意事項
コンフィグレーションをコピー&ペーストで入力する場合,一行に入力できる文字数は 1000 文字,一度に
入力できる文字数は 4000 文字未満(スペース,改行を含む)です。4000 文字以上を一度にペーストする
と正しくコンフィグレーションを設定できない状態になるので注意してください。
4000 文字を超えるコンフィグレーションを設定する場合は,一行を 1000 文字,一度のペーストを 4000
文字未満で複数回にわけてコピー&ペーストをしてください。
84
6 コンフィグレーション
6.3 テンプレートの操作
テンプレートを使用したコンフィグレーションの編集方法について説明します。
6.3.1 テンプレートの概要
(1) テンプレートの概要
テンプレート機能の特徴は次のとおりです。
• 繰り返し実行する一連のコンフィグレーションコマンドを登録して,テンプレートとして作成できま
す。作成後もコンフィグレーションコマンドを削除,挿入,および修正して,テンプレートを再編集で
きます。また,作成したテンプレートを繰り返し装置に反映できます。
• テンプレートに登録するコンフィグレーションコマンドの任意入力のパラメータを,置換できる文字列
(以降,テンプレートパラメータと呼びます)として設定できます。テンプレートを装置に反映すると
きに,テンプレートパラメータを置換する文字列を指定できます。
• テンプレートに登録したコンフィグレーションコマンドは,入力した順で装置に設定できます。例え
ば,インタフェース情報を変更するときに,一時的にインタフェースを停止して設定を変更したあとイ
ンタフェースを再開する,という一連の手順をテンプレート内で再現できます。
テンプレート機能では,まず,コンフィグレーションコマンドを登録したテンプレートを作成します。次
に,テンプレートに登録した内容を編集中のコンフィグレーションに反映します。これらの処理は,スクリ
プトを作成して,それを実行することに似ています。
テンプレートの作成例を次の図に示します。
図 6‒32 テンプレートの作成例
(config)# template EtherDEF $PORT
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)# shutdown
(config-if-TPL)# speed 1000
(config-if-TPL)# no shutdown
(config-if-TPL)# exit
(config-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
end-template
!
(config-TPL)# end-template
(config)#
ここではテンプレート名を「EtherDEF」としています。template モードで入力したコンフィグレーショ
ンコマンドが,テンプレート「EtherDEF」に登録されます。なお,テンプレートを作成した時点では,登
録したコンフィグレーションコマンドは編集中のコンフィグレーションに反映されません。テンプレート
の内容を編集中のコンフィグレーションに反映するには,apply-template コマンドを使用します。テンプ
レートの反映例を次の図に示します。
図 6‒33 テンプレートの反映例
(config)#
interface
!
(config)#
(config)#
interface
show interface gigabitethernet 1/1
gigabitethernet 1/1
<-1
apply-template EtherDEF 1/1
show interface gigabitethernet 1/1
gigabitethernet 1/1
<-2
<-3
85
6 コンフィグレーション
speed 1000
!
(config)#
1. ギガビットイーサネットのインタフェース 1/1 のコンフィグレーションを確認します。
2. テンプレート「EtherDEF」をギガビットイーサネットのインタフェース 1/1 に反映します。
3. ギガビットイーサネットのインタフェース 1/1 のコンフィグレーションを確認すると,テンプレート
「EtherDEF」の内容が反映されています。
(2) テンプレートの位置づけ
テンプレートは,コンフィグレーションの一部として位置づけられ,コンフィグレーションの中に設定され
ます。コンフィグレーションの構造を次の図に示します。
図 6‒34 コンフィグレーションの構造
(config)# show
:
:
:
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
end-template
!
(config)#
┐
│
│
│<-1
│
│
┘
1. この部分がテンプレートです。
6.3.2 テンプレートの作成
(1) テンプレートの作成および終了
テンプレートを作成する場合は,グローバルコンフィグレーションモードで template コマンドを使用しま
す。template コマンドを実行するとテンプレートを編集するモード(template モードと呼びます)に移行
して,テンプレートにコンフィグレーションコマンドを登録できるようになります。このとき,プロンプト
には template モードを示す「-TPL」が付きます。テンプレートの作成例を次の図に示します。
図 6‒35 テンプレートの作成例
(config)# template EtherDEF $PORT
(config-TPL)# show
template EtherDEF $PORT
end-template
!
(config-TPL)#
テンプレートの編集を終了する場合は,次の表に示すコマンドのどれかを使用します。
表 6‒3 テンプレートの編集終了コマンド
コマンド名
86
説明
end
template モードを終了して,装置管理者モードに移行します。
end-template
template モードを終了して,グローバルコンフィグレーションモードに移行します。
quit (exit)
config-TPL モードの場合,template モードを終了してグローバルコンフィグレーション
モードに移行します。config-TPL モード以外の場合,一つ上の階層に移行します。
6 コンフィグレーション
コマンド名
top
説明
template モードを終了して,グローバルコンフィグレーションモードに移行します。
テンプレートには end-template コマンドが自動で登録されるため,end-template コマンド以外のコマン
ドで template モードを終了した場合でも,テンプレートには end-template コマンドが登録されます。テ
ンプレートの編集終了例を次の図に示します。
図 6‒36 テンプレートの編集終了例
(config-TPL)# end-template
(config)#
(2) テンプレートへの登録方法
テンプレートには,コンフィグレーションを設定するコンフィグレーションコマンドとコンフィグレーショ
ンを削除するコンフィグレーションコマンドを登録できます。テンプレートへの登録例を次の図に示しま
す。
図 6‒37 テンプレートへの登録例
(config)# template EtherDEF $PORT
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)# shutdown
(config-if-TPL)# speed 1000
(config-if-TPL)# no shutdown
(config-if-TPL)# exit
(config-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
end-template
!
(config-TPL)#
<-1
<-1
<-1
<-2
1. コンフィグレーションを設定するコンフィグレーションコマンドをテンプレートに登録します。
2. コンフィグレーションを削除するコンフィグレーションコマンドをテンプレートに登録します。
テンプレートには通常のコンフィグレーション編集時と同様のモードがあり,同様にモード遷移します。こ
のとき,すべてのモードでプロンプトに template モードを示す「-TPL」が付きます。テンプレートのモー
ド遷移例を次の図に示します。
図 6‒38 テンプレートのモード遷移例
(config)# interface gigabitethernet 1/1
(config-if)#
(config-if)# exit
(config)# template EtherDEF $PORT
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)#
<-1
<-1
<-2
<-2
1. 通常のコンフィグレーション編集時のモード遷移です。
2. テンプレート編集時のモード遷移です。通常のコンフィグレーション編集時と同様にモード遷移しま
す。プロンプトには template モードを示す「-TPL」が付きます。
template モードでは,コンフィグレーションコマンドは入力した順にテンプレートに登録されます。コマ
ンドの入力順がテンプレートの登録順となる例を次の図に示します。
87
6 コンフィグレーション
図 6‒39 コマンドの入力順がテンプレートの登録順となる例
(config)# template EtherDEF $PORT
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)# shutdown
(config-if-TPL)# speed 1000
(config-if-TPL)# no shutdown
(config-if-TPL)# exit
(config-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
end-template
!
(config-TPL)#
<-1
<-1
<-1
<-1
<-2
<-3
<-3
<-3
<-3
1. テンプレートにコンフィグレーションコマンドを登録します。
2. show コマンドでテンプレートの登録内容を確認します。
3. 入力した順にコンフィグレーションコマンドが登録されています。
6.3.3 テンプレートの編集
(1) テンプレートのコマンド再登録(上書き)
テンプレートに登録済みのコマンドとパラメータまで同じコンフィグレーションコマンドを入力した場合,
登録済みのコマンドを上書きします。該当するコマンドの既存の登録順が変更になることもありません。
登録済みのコマンドとパラメータの一部が異なるコンフィグレーションコマンドを入力した場合は,別のコ
マンドとして登録されます。
入力したコマンドがモード遷移するコマンドの場合は,該当するモードに遷移します。また,モード遷移後
に入力したコマンドは,そのモード内の最後に新規コマンドとして登録されます。
モードの遷移を伴うコマンドの再登録例を次の図に示します。
図 6‒40 コマンドの再登録例
(config-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
end-template
!
(config-TPL)#
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)# speed auto
(config-if-TPL)# exit
(config-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
speed auto
end-template
!
(config-TPL)#
<-1
<-2
<-3
1. テンプレートに登録済みのギガビットイーサネットのインタフェース$PORT にモードを遷移します。
88
6 コンフィグレーション
2. テンプレートに登録済みのコマンド(speed コマンド)とパラメータが異なるコンフィグレーションコ
マンドを入力します。
3. ギガビットイーサネットのインタフェース$PORT の最後に,新規コマンドとして登録されます(登録
済みの「speed 1000」に上書きされません)。
(2) テンプレートのコマンド削除
テンプレートに登録済みのコンフィグレーションコマンドを削除する場合は delete コマンドを使用しま
す。delete コマンドの使用例を次の図に示します。
図 6‒41 delete コマンドの使用例
(config-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
end-template
!
(config-TPL)#
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)# delete speed 1000
(config-if-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
no shutdown
end-template
!
(config-if-TPL)#
<-1
<-2
<-3
1. 削除するコマンドのモードに移行します。
2. delete コマンドを使用して,削除するコマンドを入力します。
3.「speed 1000」が削除されました。
(3) テンプレートのコマンド挿入
テンプレートの任意の位置にコンフィグレーションコマンドを挿入する場合は insert コマンドを使用しま
す。insert コマンドの使用例を次の図に示します。
図 6‒42 insert コマンドの使用例
(config-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
no shutdown
end-template
!
(config-TPL)#
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)# insert speed 1000
(config-if-TPL-INS)# no shutdown
(config-if-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
end-template
!
(config-if-TPL)#
<-1
<-2
<-3
<-4
<-5
1. この位置にコマンドを挿入します。
89
6 コンフィグレーション
2. コマンドを挿入するモードに移行します。
3. insert コマンドを使用して,挿入するコマンドを入力します。
4. プロンプトの後ろに「-INS」が付きます。ここで,挿入する位置にある「no shutdown」を入力しま
す。
5.「no shutdown」の前に「speed 1000」が挿入されました。
(4) テンプレートのコマンド修正
テンプレートに登録済みのコンフィグレーションコマンドやパラメータを修正する場合は replace コマン
ドを使用します。replace コマンドの使用例を次の図に示します。
図 6‒43 replace コマンドの使用例
(config-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed 1000
no shutdown
end-template
!
(config-TPL)#
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)# replace speed auto
(config-if-TPL-REP)# speed 1000
(config-if-TPL)# show
template EtherDEF $PORT
interface gigabitethernet $PORT
shutdown
speed auto
no shutdown
end-template
!
(config-if-TPL)#
<-1
<-2
<-3
<-4
<-5
1. speed コマンドのパラメータを 1000 から auto に変更します。
2. 変更するコマンドのモードに移行します。
3. replace コマンドを使用して,変更後のコマンドを入力します。
4. プロンプトの後ろに「-REP」が付きます。ここで,変更前のコマンドを入力します。
5. パラメータが変更されました。
6.3.4 テンプレートの反映
テンプレートに登録されたコンフィグレーションコマンドを編集中のコンフィグレーションに反映する場
合は,グローバルコンフィグレーションモードから apply-template コマンドを実行します。
apply-template コマンドを実行すると,テンプレートに登録されているコンフィグレーションコマンドを
最初の行から 1 行ずつ設定したことになります。そのため,設定する順序が決まっているコンフィグレー
ションは,正しい順序でテンプレートに登録してください。テンプレートから編集中のコンフィグレーショ
ンへの反映例を次の図に示します。
90
6 コンフィグレーション
図 6‒44 テンプレートから編集中のコンフィグレーションへの反映例
テンプレートの先頭から順に編集中のコンフィグレーションへ反映されるため,この図の「コマンドの実行
イメージ」に示す順でコンフィグレーションコマンドを設定したことになります。
6.3.5 テンプレートパラメータの使用方法
(1) テンプレートパラメータの概要
テンプレートに登録するコンフィグレーションコマンドの任意入力のパラメータを,テンプレートパラメー
タとしてテンプレートに設定できます。テンプレートパラメータは置換できる文字列です。テンプレート
にコンフィグレーションコマンドを登録するときにパラメータの一部をテンプレートパラメータとして設
定しておくと,apply-template コマンドでテンプレートを編集中のコンフィグレーションに反映するとき
に,テンプレートパラメータへ数値や文字列を指定できます。
テンプレートパラメータの書式は,ドル($)と 31 文字以内の文字列です。例えば,「$PORT」と設定し
ます。
テンプレートパラメータは,コンフィグレーションコマンドの任意入力のパラメータ(<>で囲まれたパラ
メータ)に対して使用できます。テンプレートで使用するすべてのテンプレートパラメータは,テンプレー
トの新規作成時に設定してください。また,使用するテンプレートパラメータを変更する場合は,template
コマンドの change-parameter パラメータを使用してください。
テンプレートに登録するコンフィグレーションコマンドに使用できるのは,template コマンドで設定した
テンプレートパラメータだけです。テンプレート作成時のテンプレートパラメータの使用例を次の図に示
します。
図 6‒45 テンプレート作成時のテンプレートパラメータの使用例
(config)# template EtherDEF $PORT $MTU
(config-TPL)# interface gigabitethernet $PORT
(config-if-TPL)# shutdown
(config-if-TPL)# mtu $MTU
(config-if-TPL)# no shutdown
(config-if-TPL)# exit
(config-TPL)# show
template EtherDEF $PORT $MTU
<-1
<-2
<-2
91
6 コンフィグレーション
interface gigabitethernet $PORT
shutdown
mtu $MTU
no shutdown
end-template
!
(config-TPL)#
1. テンプレートの新規作成時にテンプレートパラメータを設定します。
2. 1 で設定したテンプレートパラメータを,コマンドのパラメータとして使用できます(1 で設定してい
ないテンプレートパラメータは使用できません)。
テンプレートに設定したテンプレートパラメータには,apply-template コマンド実行時に入力した値が指
定されます。テンプレートパラメータの指定例を次の図に示します。
図 6‒46 テンプレートパラメータの指定例
この図では,テンプレートで「$PORT」と「$MTU」の順に二つのテンプレートパラメータを使用してい
ます。apply-template コマンド実行時に 1/1,8192 の順で入力すると,
「$PORT」に 1/1,
「$MTU」に
8192 が指定された状態で編集中のコンフィグレーションへ反映されます。
任意入力のパラメータをテンプレートパラメータとして扱うと,次のことができるようになります。
• 一つのテンプレートを繰り返し使用できます。例えば,インタフェースに設定するテンプレートを作成
する場合,
「<nif no.>/<port no.>」をテンプレートパラメータとして設定すると,任意のイーサネッ
トインタフェースに適用できるテンプレートになります。
• 設定するテンプレートパラメータの形式を「$<parameter>#<index>」にすると,同じコンフィグ
レーションコマンドを複数の個所に登録できます。
• 複数指定を設定できないパラメータをテンプレートパラメータにすると,外部のスクリプト機能などを
使用してテンプレートパラメータに連続した値(例えば,192.0.2.1,192.0.2.2,…)を指定できるよ
うになります。
(2) 同一コンフィグレーションコマンドの登録
テンプレートに同じコンフィグレーションコマンドを登録する場合は,テンプレートパラメータを
「$<parameter>#<index>」の形式で指定します。こうすると同じコマンドでも<index>が異なるため,
別のコマンドとして登録できます。なお,apply-template コマンド実行時には
「$<parameter>#<index>」の「$<parameter>」部分だけが編集中のコンフィグレーションに反映され
ます。「$<parameter>#<index>」を使用したテンプレート例を次の図に示します。
92
6 コンフィグレーション
図 6‒47 「$<parameter>#<index>」を使用したテンプレート例
(config)# show template
template LacpSet $PORT $LA_ID
interface range gigabitethernet $PORT#1
shutdown
channel-group $LA_ID mode active
lacp system-priority 100
interface port-channel $LA_ID
channel-group lacp system-priority 50
interface range gigabitethernet $PORT#2
no shutdown
end-template
!
(config)#
<-1
<-1
1.「$PORT#1」
「$PORT#2」は,apply-template コマンドでコンフィグレーションに反映するときは入
力した値が「$PORT」に指定されるため,同じコマンドです。しかし,テンプレート上は表記が異な
るため,複数の個所に登録できます。
このテンプレートを使用した編集中のコンフィグレーションへの反映例を次の図に示します。
図 6‒48 「$<parameter>#<index>」を使用したテンプレートの反映例
(config)# apply-template LacpSet 1/1 10
(config)# show
:
:
:
lacp system-priority 100
!
interface port-channel 10
channel-group lacp system-priority 50
!
interface gigabitethernet 1/1
channel-group 10 mode active
!
(config)#
この図では,次の順番でコンフィグレーションに反映されます。
1. interface gigabitethernet 1/1
2. shutdown
3. channel-group 10 mode active
4. exit
5. lacp system-priority 100
6. interface port-channel 10
7. channel-group lacp system-priority 50
8. interface gigabitethernet 1/1
9. no shutdown
10. !
(3) テンプレートパラメータの変更
テンプレートで使用できるテンプレートパラメータを追加,変更,および削除する場合,template コマン
ドの change-parameter パラメータを使用します。change-parameter パラメータを使用すると,
template コマンドで設定されたテンプレートパラメータが上書きされます。テンプレートパラメータの変
更例を次の図に示します。
93
6 コンフィグレーション
図 6‒49 テンプレートパラメータの変更例
(config)# show EtherDEF
template EtherDEF $PORT
:
:
:
(config)# template EtherDEF change-parameter $PORT $MTU
(config-TPL)# show
template EtherDEF $PORT $MTU
:
:
:
(config-TPL)#
<-1
<-2
1. template コマンドの change-parameter パラメータを使用して,「$PORT $MTU」と変更します。
2. 使用できるテンプレートパラメータに「$MTU」が追加されました。
6.3.6 特記事項
(1) パラメータに複数指定を設定できるコマンド
パラメータに複数指定を設定できるコンフィグレーションコマンドをテンプレートに登録する場合,ユーザ
が入力したパラメータの内容をそのままテンプレートに登録します。例えば,インタフェースを複数指定し
てコマンドを入力すると,テンプレートには入力した内容がそのまま登録されます。なお,テンプレートを
apply-template コマンドで反映したときに,インタフェースごとに分割されます。インタフェースの複数
指定を使用したテンプレート例を次の図に示します。
図 6‒50 インタフェースの複数指定を使用したテンプレート例
(config)# show template
template EtherDEF
interface range gigabitethernet 1/1-2
shutdown
speed 1000
no shutdown
end-template
!
(config)#
<-1
1. テンプレートには入力されたコマンドやパラメータがそのまま登録されます。
このテンプレートを使用した編集中のコンフィグレーションへの反映例を次の図に示します。
図 6‒51 インタフェースの複数指定を使用したテンプレートの反映例
(config)# apply-template EtherDEF
(config)# show interface range gigabitethernet 1/1-2
interface gigabitethernet 1/1
speed 1000
!
interface gigabitethernet 1/2
speed 1000
!
<-1
<-2
<-2
1. テンプレートを反映します。
2. コンフィグレーションにはインタフェースごとに分割して反映されています。
(2) 特殊なパラメータのテンプレートパラメータ使用方法
特殊なパラメータに対する,template モードでのテンプレートパラメータの設定例および applytemplate コマンド実行時のテンプレートパラメータの指定例を次の表に示します。
94
6 コンフィグレーション
表 6‒4 特殊なパラメータに対するテンプレートパラメータの設定例と指定例
テンプレートパラメータ
パラメータ
設定例
指定例
<nif no.>/<port no.>
interface gigabitethernet $PORT
$PORT:1/1
<interface id list>
monitor session 1 source interface add
gigabitethernet $PORTS
$PORTS:1/1-2
monitor session 1 source interface add
gigabitethernet $PORTS1, gigabitethernet
$PORTS2
$PORTS1:1/1-2
interface range gigabitethernet $PORTS
$PORTS:1/1-2
interface range gigabitethernet
$PORTS1,gigabitethernet $PORTS2
$PORTS1:1/1-2
インタフェース複数指定
サブインタフェース指定
interface gigabitethernet $PORT.$SUB_INDEX
$PORTS2:2/5
$PORTS2:2/5
$PORT:1/1
$SUB_INDEX:1
interface port-channel $LA_ID.$SUB_INDEX
$LA_ID:1
$SUB_INDEX:1
(3) 特殊なコマンド
設定した内容がエンコードされるコンフィグレーションコマンドをテンプレートに登録した場合,通常のコ
ンフィグレーションの設定と同様にエンコードした内容がテンプレートに登録されます。banner コマン
ドのテンプレート登録例を次の図に示します。
図 6‒52 banner コマンドのテンプレート登録例
(config)# template set_banner
(config-TPL)# banner login plain-text
<-1
--- Press CTRL+D or only '.' line to end --Warning!!! Warning!!! Warning!!!
This is our system. You should not login.
Please close connection.
<-2
.
(config-TPL)# show
template set_banner
banner login encode
"V2FybmluZyEhISBXYXJuaW5nISEhIFdhcm5pbmchISEKVGhpcyBpcyBvdXIgc3lzdGVtLiBZb3Ugc2hvdWxkIG5vdCBsb2
dpbi4KUGxlYXNlIGNsb3NlIGNvbm5lY3Rpb24uCg=="
<-3
!
(config-TPL)#
1. banner コマンドをテンプレートに登録します。
2. ログインメッセージを入力します。
3. テンプレートにはエンコードされた内容が登録されます。
95
6 コンフィグレーション
6.4 コンフィグレーションの操作
コンフィグレーションのバックアップ,ファイル転送などの操作について説明します。
6.4.1 コンフィグレーションのバックアップ
運用コマンド copy を使用すると,コンフィグレーションをリモートサーバや本装置上にバックアップでき
ます。ただし,本装置にバックアップ用のコンフィグレーションファイルを格納する場合,スタートアップ
コンフィグレーションファイルの格納ディレクトリ(/config)は指定できません。バックアップ用のコン
フィグレーションファイルはログインユーザのホームディレクトリに作成してください。
バックアップできるコンフィグレーションは,スタートアップコンフィグレーションとランニングコンフィ
グレーションの 2 種類です。運用中にコンフィグレーションを編集して保存していない場合は,スタート
アップコンフィグレーションをバックアップしても,バックアップしたコンフィグレーションファイルの内
容はランニングコンフィグレーションおよび編集中のコンフィグレーションと異なります。それぞれの
バックアップ例を次に示します。
図 6‒53 スタートアップコンフィグレーションのバックアップ例
> enable
# copy startup-config ftp://staff@[2001:db8::1]/backup.cnf
Are you sure you want to copy the configuration file to ftp://staff@[2001:db8::1]/backup.cnf?
(y/n): y
Authentication for 2001:db8::1.
User: staff
Password: xxx
transferring...
<-1
Data transfer succeeded.
#
1. リモートサーバ上のユーザ staff のパスワードを入力します。
図 6‒54 ランニングコンフィグレーションのバックアップ例
> enable
# copy running-config ftp://staff@[2001:db8::1]/backup.cnf
Are you sure you want to copy the configuration file to ftp://staff@[2001:db8::1]/backup.cnf?
(y/n): y
Authentication for 2001:db8::1.
User: staff
Password: xxx
transferring...
<-1
Data transfer succeeded.
#
1. リモートサーバ上のユーザ staff のパスワードを入力します。
6.4.2 バックアップコンフィグレーションファイルの本装置への反映
バックアップコンフィグレーションファイルをスタートアップコンフィグレーションに反映する場合は,運
用コマンド copy を使用します。反映例を次に示します。
図 6‒55 スタートアップコンフィグレーションへの反映例
> enable
# copy ftp://staff@[2001:db8::1]/backup.cnf startup-config
User account information is set in the configuration file.
The home directory of any deleted users will be deleted.
Are you sure you want to copy the configuration file to startup-config? (y/n): y
96
6 コンフィグレーション
Authentication for 2001:db8::1.
User: staff
Password: xxx
transferring...
<-1
Data transfer succeeded.
#
1. リモートサーバ上のユーザ staff のパスワードを入力します。
6.4.3 ftp コマンドを使用したファイル転送
リモート運用端末との間でファイル転送をするときは ftp コマンドを使用します。
(1) バックアップコンフィグレーションファイルを本装置に転送する場合
バックアップコンフィグレーションファイルを格納するディレクトリ(/usr/home/operator)にバック
アップコンフィグレーションファイルを転送後,運用コマンド copy を使用してスタートアップコンフィグ
レーションにコピーします。ftp コマンドを使用してバックアップコンフィグレーションファイルを本装
置に転送する例を次の図に示します。
図 6‒56 バックアップコンフィグレーションファイルの本装置へのファイル転送例(ftp コマンド)
> cd /usr/home/operator
> ftp 192.0.2.1
Connect to 192.0.2.1.
220 FTP server (Version wn-2.4(4) Wed Jan 1 12:00:00 JST 20XX) ready.
Name (192.0.2.1:operator): test
331 Password required for test.
Password:xxxxxx
230 User test logged in.
Remote system type UNIX.
Using binary mode to transfer files.
ftp> get backup.cnf
<-1
local: backup.cnf remote: backup.cnf
200 PORT command successful.
150 Opening BINARY mode data connection for backup.cnf (12,345 bytes)
226 Transfer complete.
ftp> bye
221 Goodby
> enable
# copy /usr/home/operator/backup.cnf startup-config
<-2
User account information is set in the configuration file.
The home directory of any deleted users will be deleted.
Are you sure you want to copy the configuration file to startup-config? (y/n): y
<-3
#
1. バックアップコンフィグレーションファイルを転送します。
2. backup.cnf のバックアップコンフィグレーションファイルをスタートアップコンフィグレーションに
コピーします。
3. 入れ替えてよいかどうかの確認です。
(2) バックアップコンフィグレーションファイルをリモート運用端末へ転送する場合
本装置に格納したバックアップコンフィグレーションファイルをリモート運用端末へ転送する例を次の図
に示します。
図 6‒57 バックアップコンフィグレーションファイルのリモート運用端末へのファイル転送例
> cd /usr/home/operator
> enable
# copy running-config backup.cnf
<-1
97
6 コンフィグレーション
Are you sure you want to copy the configuration file to /usr/home/operator/backup.cnf? (y/n): y
# exit
> ftp 192.0.2.1
Connect to 192.0.2.1.
220 FTP server (Version wn-2.4(4) Fri Jan 1 12:00:00 JST 20XX) ready.
Name (192.0.2.1:operator): test
331 Password required for test.
Password:xxxxxx
230 User test logged in.
Remote system type UNIX.
Using binary mode to transfer files.
ftp> put backup.cnf
<-2
local: backup.cnf remote: backup.cnf
200 PORT command successful.
150 Opening BINARY mode data connection for backup.cnf (12,345 bytes)
226 Transfer complete.
ftp> bye
221 Goodby
>
1. ランニングコンフィグレーションをバックアップコンフィグレーションファイルにコピーします。
2. バックアップコンフィグレーションファイルを転送します。
6.4.4 MC を使用したファイル転送
MC にファイル転送をするときは cp コマンドを使用します。
(1) バックアップコンフィグレーションファイルを本装置に転送する場合
バックアップコンフィグレーションファイルを格納するディレクトリ(/usr/home/operator)にバック
アップコンフィグレーションファイルを MC から転送後,運用コマンド copy を使用してスタートアップ
コンフィグレーションにコピーします。cp コマンドを使用してバックアップコンフィグレーションファイ
ルを本装置に転送する例を次の図に示します。
図 6‒58 バックアップコンフィグレーションファイルの MC から本装置へのファイル転送例(cp コマン
ド)
> cd /usr/home/operator
> cp mc-file backup.cnf backup.cnf
<-1
> enable
# copy /usr/home/operator/backup.cnf startup-config
<-2
User account information is set in the configuration file.
The home directory of any deleted users will be deleted.
Are you sure you want to copy the configuration file to startup-config? (y/n): y
<-3
#
1. バックアップコンフィグレーションファイルを MC から転送します。
2. backup.cnf のバックアップコンフィグレーションファイルをスタートアップコンフィグレーションに
コピーします。
3. 入れ替えてよいかどうかの確認です。
(2) バックアップコンフィグレーションファイルを MC に転送する場合
本装置に格納したバックアップコンフィグレーションファイルを MC に転送する例を次の図に示します。
図 6‒59 バックアップコンフィグレーションファイルの MC へのファイル転送例
> cd /usr/home/operator
> enable
# copy running-config backup.cnf
<-1
Are you sure you want to copy the configuration file to /usr/home/operator/backup.cnf? (y/n): y
# exit
98
6 コンフィグレーション
> cp backup.cnf mc-file backup.cnf
>
<-2
1. ランニングコンフィグレーションをバックアップコンフィグレーションファイルにコピーします。
2. バックアップコンフィグレーションファイルを MC へ転送します。
99
7
リモート運用端末から本装置への
ログイン
この章では,リモート運用端末から本装置へのリモートアクセスについて説明
します。
101
7 リモート運用端末から本装置へのログイン
7.1 解説
7.1.1 マネージメントポート接続
マネージメントポートについて説明します。
(1) マネージメントポート機能仕様
マネージメントポートはリモート運用端末を接続するためのインタフェースを提供します。マネージメン
トポートの機能仕様を次の表に示します。
表 7‒1 マネージメントポートの機能仕様
機能概要
仕様
インタフェース種別
10BASE-T,100BASE-TX および 1000BASE-T
オートネゴシエーション
サポート
自動 MDI/MDIX 機能
サポート
MAC および LLC 副層制御フレーム
Ethernet V2 形式
対象プロトコル
IPv4/IPv6
(2) マネージメントポート使用時の注意事項
マネージメントポートは,リモート運用を主目的としたインタフェースです。マネージメントポートから
NIF を経由して通信できますが,お勧めしません。
7.1.2 通信用ポート接続
通信用ポートを経由してリモート運用端末から本装置へログインするには,本装置で IP アドレスなどの設
定が必要です。ただし,初期導入時には,IP アドレスなどが設定されていません。そのため,コンソール
からログインして,コンフィグレーションを設定する必要があります。
図 7‒1 リモート運用端末からの本装置へのログイン
7.1.3 ダイアルアップ IP 接続
本装置のシリアル接続ポート(AUX)にダイアルアップ IP 接続でリモート運用端末を接続する手順を次に
示します。
102
7 リモート運用端末から本装置へのログイン
(1) 本装置の設定
(a) モデムの準備
あらかじめモデムが自動着信するように設定します。モデムやモデムと AT 互換機を接続するためのスト
レートケーブルを用意してください。また,本装置ではモデムを設定できないので,PC などに接続して設
定してください。
モデムに付属の説明書を参照して,AT コマンドを使用して次の表に示す設定をしてください。拡張 AT コ
マンドを持つモデムでは,例で示したコマンドと異なるコマンドを使用する場合があります。
表 7‒2 モデムの設定
指定例
設定項目
設定内容
(Hayes 互換 AT コマ
ンドの場合)
CD 信号状態
CD 信号は通常オフで,相手モデムのキャリアを受信するとオンにし
ます。
AT&C1
DTR 信号状態
DTR 信号がオンからオフに変わるとモデムを初期化します。
AT&D3
コマンドエコー
入力したコマンドを DTE に出力しません。
ATE0
フロー制御
DTE と DCE 間のフロー制御を設定します。
AT&K3
• RTS/CTS フロー制御有効
• XON/XOFF フロー制御無効
リザルトコード
リザルトコードを DTE に出力しません。
ATQ1
自動着信
自動着信するまでの呼び出し回数を設定します。
ATS0=2
リセット時の設定
モデム内の不揮発性メモリから設定を読み出します。
AT&Y0
設定の保存
設定をモデム内の不揮発性メモリに保存します。
AT&W0
コマンドを DTE に出力しないようにコマンドエコーを設定すると,コマンドを入力しても文字は表示され
ません。設定が完了したらモデムに設定内容を保存します。設定保存後に設定内容を表示して確認します。
(例)Hayes 互換 AT コマンドでモデムを自動着信に設定する場合
AT&F&C1&D3E0&K3Q1S0=2&W0&Y0&V
シリアル接続(モデム)の場合は,通信ソフトウェアのダイアル機能を使用してダイアルします。ダイアル
機能については通信ソフトウェアの説明を参照してください。端末から AT コマンドを使用してダイアル
接続できます。ダイアル機能を持たない通信ソフトウェアを使用する場合などは AT コマンドでダイアル
してください。AT コマンドのダイアル方法についてはモデムのマニュアルを参照してください。
(例)Hayes 互換 AT コマンドでダイアルする場合
• 公衆回線を使用してトーンで 123-4567 へダイアルする。
AT&FE0&S1S0=0S2=255TD123-4567
• 構内交換機を使用してトーンで 123-4567 へダイアルする。
AT&FX3E0&S1S0=0S2=255TD123-4567
• 構内交換機を使用してトーンで 0 をダイアルして,数秒待ってから 123-4567 へダイアルする。
AT&FX3E0&S1S0=0S2=255TD0,123-4567
103
7 リモート運用端末から本装置へのログイン
設定したモデムを本装置の AUX ポートに接続します。
(b) コンフィグレーション設定
本装置で使用する IP アドレスと,リモート運用端末で使用する IP アドレスを設定します。設定するインタ
フェースは async です。
本装置で使用する IP アドレスが 10.0.0.1,リモート運用端末で使用する IP アドレスが 10.0.0.2 の場合,
次の図のようにコマンドを実行します。
図 7‒2 async に関するコンフィグレーション設定例
(config)# interface async 1
(config-if)# ip address 10.0.0.1 255.255.255.0
(config-if)# peer default ip address 10.0.0.2
(2) リモート運用端末の設定
(a) モデムの準備
本装置にダイアルアップ IP 接続する運用端末でモデムを使用するための設定方法は,モデムのマニュアル
を参照してください。
(b) 接続ソフトの設定
本装置にダイアルアップ IP 接続する運用端末にダイアルアップ IP 接続用のソフトをインストールして,次
の表のように設定します。
表 7‒3 ダイアルアップ IP 接続設定内容
設定項目
設定内容
サーバの種類
PPP
インターネットプロトコル(TCP/IP)
TCP/IP
IP アドレス
IP アドレスを自動的に取得する
DNS サーバのアドレス
DNS サーバのアドレスを自動的に取得する
認証方式
PAP/パスワードを暗号化しない
電話番号
本装置に接続するモデムで使用する電話番号
(c) 認証に使用するユーザ名とパスワード
ダイアルアップ IP 接続の認証に使用するユーザ名とパスワードは,本装置のログインに使用するユーザ名
とパスワードを使用します。なお,パスワードなしのユーザ名で認証を行うと,入力したパスワードは無視
されます。
(3) 回線接続とログイン
(a) 回線接続
接続ソフトからダイアルします。
104
7 リモート運用端末から本装置へのログイン
(b) 接続確認
ダイアルアップ IP 接続を行うと IP アドレスが割り当てられます。ping コマンドなどで宛先アドレスへの
通信可否を確認できます。
ダイアルアップ IP 接続が正しく行われている場合に本装置上で show sessions コマンドを使用すると,
ユーザが aux ポートからログインしているように表示され,運用端末で使用している IP アドレスも表示さ
れます。
図 7‒3 show sessions コマンド実行例
> show sessions
Date 20XX/01/07 12:00:00 UTC
gilbert console ----- 0
Jan 6 14:16
aux
----- 1
Jan 6 14:16 (ppp0:10.0.0.1)
john
<-1
1.「aux」であることを確認します。また,運用端末に割り当てられた IP アドレス(10.0.0.1)が表示さ
れます。
(c) ログイン
リモート運用端末(リモートログイン)が使用できます。
(4) 回線切断
ダイアルアップ IP 接続は次の要因で切断されます。
• 運用端末からの切断要求
• 他ログインユーザからの killuser コマンドによるユーザ※の強制ログアウト
• 回線障害
• コンフィグレーションコマンド interface async の関連コマンドの変更および削除
注※
ここでは AUX ポートからログインしているユーザを指します。
[注意事項]
ダイアルアップ IP 接続が切断された場合,すぐには再接続できないことがあります。その場合,300
秒程度の間隔を空けてから再接続してください。
105
7 リモート運用端末から本装置へのログイン
7.2 コンフィグレーション
7.2.1 コンフィグレーションコマンド一覧
マネージメントポートのコンフィグレーションコマンド一覧を次の表に示します。
表 7‒4 コンフィグレーションコマンド一覧
コマンド名
説明
description
補足説明を設定します。
duplex
マネージメントポートの duplex を設定します。
interface mgmt
マネージメントポートのコンフィグレーションを指定します。
shutdown
マネージメントポートをシャットダウン状態にします。
speed
マネージメントポートの回線速度を設定します。
ip address※1
マネージメントポートの IPv4 アドレスを指定します。
ipv6 address※2
マネージメントポートの IPv6 アドレスを指定します。
ipv6 enable※2
マネージメントポートの IPv6 機能を有効にします。このコマンドによって,リンクローカル
アドレスが自動生成されます。
注※1
「コンフィグレーションコマンドレファレンス Vol.3 2. IPv4・ARP・ICMP」を参照してください。
注※2
「コンフィグレーションコマンドレファレンス Vol.3 3. IPv6・NDP・ICMPv6」を参照してください。
運用端末の接続とリモート操作に関するコンフィグレーションコマンド一覧を次の表に示します。
表 7‒5 コンフィグレーションコマンド一覧
コマンド名
説明
ftp-server
リモート運用端末から ftp プロトコルを使用したアクセスを許可します。
line console
コンソール(RS232C)のパラメータを設定します。
line vty
装置への telnet リモートアクセスを許可します。
speed
コンソール(RS232C)の通信速度を設定します。
transport input
リモート運用端末から各種プロトコルを使用したアクセスを規制します。
IPv4/IPv6 インタフェースの設定に関するコンフィグレーションコマンドについては,「コンフィグレー
ションガイド Vol.3 2. IP・ARP・ICMP の設定と運用」または「コンフィグレーションガイド Vol.3 4. IPv6・NDP・ICMPv6 の設定と運用」を参照してください。
106
7 リモート運用端末から本装置へのログイン
7.2.2 マネージメントポートの設定
(1) マネージメントポートのシャットダウン
[設定のポイント]
マネージメントポートのコンフィグレーションでは,複数のコマンドでコンフィグレーションを設定す
ることがあります。そのとき,コンフィグレーションの設定が完了していない状態でマネージメント
ポートがリンクアップ状態になると期待した通信ができません。したがって,最初にマネージメント
ポートをシャットダウンしてから,コンフィグレーションの設定が完了したあとにマネージメントポー
トのシャットダウンを解除することを推奨します。
[コマンドによる設定]
1. (config)# interface mgmt 0
マネージメントポートの設定を指定します。
2. (config-if)# shutdown
マネージメントポートをシャットダウンします。
3. (config-if)# *****
マネージメントポートに対するコンフィグレーションを設定します。
4. (config-if)# no shutdown
マネージメントポートのシャットダウンを解除します。
[関連事項]
運用コマンド inactivate でマネージメントポートの運用を停止することもできます。ただし,
inactivate コマンドで inactive 状態とした場合は,装置を再起動するとマネージメントポートが
active 状態になります。マネージメントポートをシャットダウンした場合は,装置を再起動してもマ
ネージメントポートは disable 状態のままです。マネージメントポートを active 状態にするにはコン
フィグレーションで no shutdown を設定して,シャットダウンを解除する必要があります。
(2) IPv4 アドレスの設定
[設定のポイント]
マネージメントポートに IPv4 アドレスを設定します。IPv4 アドレスを設定するには,インタフェース
のコンフィグレーションモードに移行する必要があります。
[コマンドによる設定]
1. (config)# interface mgmt 0
マネージメントポートのコンフィグレーションモードに移行します。
2. (config-if)# ip address 192.168.1.1 255.255.255.0
マネージメントポートに IPv4 アドレス 192.168.1.1,サブネットマスク 255.255.255.0 を設定しま
す。
(3) IPv6 アドレスの設定
[設定のポイント]
マネージメントポートに IPv6 アドレスを設定します。ipv6 enable コマンドを設定して,IPv6 機能を
有効にする必要があります。ipv6 enable コマンドの設定がない場合,IPv6 設定は無効になります。
[コマンドによる設定]
107
7 リモート運用端末から本装置へのログイン
1. (config)# interface mgmt 0
マネージメントポートのコンフィグレーションモードに移行します。
2. (config-if)# ipv6 enable
マネージメントポートに IPv6 アドレス使用可を設定します。
3. (config-if)# ipv6 address 2001:db8::1/64
マネージメントポートに IPv6 アドレス 2001:db8::1,プレフィックス長 64 を設定します。
7.2.3 本装置への IP アドレスの設定
[設定のポイント]
リモート運用端末から本装置へアクセスするためには,あらかじめ,接続するインタフェースに対して
IP アドレスを設定しておく必要があります。
図 7‒4 リモート運用端末との接続例
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/1
ポート 1/1 のコンフィグレーションモードに移行します。
2. (config-if)# ip address 192.168.1.1 255.255.255.0
(config-if)# exit
ポート 1/1 のイーサネットインタフェースに IPv4 アドレス 192.168.1.1,サブネットマスク
255.255.255.0 を設定します。
7.2.4 telnet によるログインを許可する
[設定のポイント]
あらかじめ,IP アドレスを設定しておく必要があります。
リモート運用端末から本装置に telnet プロトコルによるリモートログインを許可するには,コンフィグ
レーションコマンド line vty を設定します。
このコンフィグレーションが設定されていない場合,コンソールからだけ本装置にログインできます。
[コマンドによる設定]
1. (config)# line vty 0 2
(config-line)#
リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可します。また,装置
に同時にリモートログインできるユーザ数を最大 3 に設定します。
108
7 リモート運用端末から本装置へのログイン
7.2.5 ftp によるログインを許可する
[設定のポイント]
あらかじめ,IP アドレスを設定しておく必要があります。
リモート運用端末から本装置に ftp プロトコルによるリモートアクセスを許可するには,コンフィグ
レーションコマンド ftp-server を設定します。なお,本装置に対して同時に ftp プロトコルでリモート
アクセスできるユーザ数は最大 16 です。
このコンフィグレーションが設定されていない場合,ftp プロトコルを使用した本装置へのアクセスは
できません。
[コマンドによる設定]
1. (config)# ftp-server
リモート運用端末から本装置への ftp プロトコルによるリモートアクセスを許可します。
7.2.6 VRF での telnet によるログインを許可する
(1) グローバルネットワークを含む全 VRF から telnet によるログインを許可する場合
[設定のポイント]
全 VRF からのアクセスを許可するには,コンフィグレーションコマンド transport input の vrf all パ
ラメータを設定します。この vrf all パラメータが設定されていない場合,グローバルネットワークから
のアクセスだけを許可します。
[コマンドによる設定]
1. (config)# line vty 0 2
(config-line)#
リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可します。また,装置
に同時にリモートログインできるユーザ数を最大 3 に設定します。
2. (config-line)# transport input vrf all telnet
(config-line)#
グローバルネットワークを含む全 VRF で,リモート運用端末から本装置への telnet プロトコルによる
リモートアクセスを許可します。
(2) 指定 VRF から telnet によるログインを許可する場合
[設定のポイント]
指定 VRF からのアクセスを許可するには,コンフィグレーションコマンド transport input の vrf パラ
メータで VRF ID を設定します。この vrf パラメータが設定されていない場合,グローバルネットワー
クからのアクセスだけを許可します。
[コマンドによる設定]
1. (config)# line vty 0 2
(config-line)#
リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可します。また,装置
に同時にリモートログインできるユーザ数を最大 3 に設定します。
2. (config-line)# transport input vrf 2 telnet
109
7 リモート運用端末から本装置へのログイン
(config-line)#
VRF 2 で,リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可します。
なお,グローバルネットワークは含みません。
7.2.7 VRF での ftp によるログインを許可する
(1) グローバルネットワークを含む全 VRF から ftp によるログインを許可する場合
[設定のポイント]
全 VRF からのアクセスを許可するには,コンフィグレーションコマンド ftp-server の vrf all パラメー
タを設定します。この vrf all パラメータが設定されていない場合,グローバルネットワークからのアク
セスだけを許可します。
[コマンドによる設定]
1. (config)# ftp-server vrf all
グローバルネットワークを含む全 VRF で,リモート運用端末から本装置への ftp プロトコルによるリ
モートアクセスを許可します。
(2) 指定 VRF から ftp によるログインを許可する場合
[設定のポイント]
指定 VRF からのアクセスを許可するには,コンフィグレーションコマンド ftp-server の vrf パラメー
タで VRF ID を設定します。この vrf パラメータが設定されていない場合,グローバルネットワークか
らのアクセスだけを許可します。
[コマンドによる設定]
1. (config)# ftp-server vrf 2
VRF 2 で,リモート運用端末から本装置への ftp プロトコルによるリモートアクセスを許可します。な
お,グローバルネットワークは含みません。
110
7 リモート運用端末から本装置へのログイン
7.3 オペレーション
7.3.1 運用コマンド一覧
マネージメントポートで使用する運用コマンド一覧を次の表に示します。
表 7‒6 運用コマンド一覧
コマンド名
説明
show ip interface※1
IPv4 インタフェースの状態を表示します。
show ip arp※1
ARP エントリ情報を表示します。
clear arp-cache※1
ダイナミック ARP 情報を削除します。
clear ip duplicate-address※1
Address Conflict Detection によって重複が検出されたアドレスの通信の抑
止状態を解除します。
ping※1
IPv4 エコーテストを行います。
show ipv6 interface※2
IPv6 インタフェースの状態を表示します。
show ipv6 neighbors※2
NDP 情報を表示します。
clear ipv6 neighbors※2
ダイナミック NDP 情報をクリアします。
clear ipv6 duplicate-address※2
Duplicate Address Detection によって重複が検出されたアドレスの通信の
抑止状態を解除します。
ping ipv6※2
ICMP6 エコーテストを行います。
注※1
「運用コマンドレファレンス Vol.3 2. IPv4・ARP・ICMP」を参照してください。
注※2
「運用コマンドレファレンス Vol.3 3. IPv6・NDP・ICMPv6」を参照してください。
運用端末の接続とリモート操作に関する運用コマンド一覧を次の表に示します。
表 7‒7 運用コマンド一覧
コマンド名
説明
set exec-timeout
自動ログアウトが実行されるまでの時間を設定します。
set terminal help
ヘルプメッセージで表示するコマンドの一覧を設定します。
set terminal pager
ページングの実施/未実施を設定します。
show history
過去に実行した運用コマンドの履歴を表示します(コンフィグレーションコマンドの履
歴は表示しません)。
telnet
指定された IP アドレスのリモート運用端末と仮想端末と接続します。
ftp
本装置と TCP/IP で接続されているリモート端末との間でファイル転送をします。
tftp
本装置と接続されているリモート端末との間で UDP でファイル転送をします。
111
7 リモート運用端末から本装置へのログイン
7.3.2 リモート運用端末と本装置との通信の確認
本装置とリモート運用端末との通信は,運用コマンド ping や ping ipv6 などを使用して確認できます。詳
細は,
「コンフィグレーションガイド Vol.3 2. IP・ARP・ICMP の設定と運用」または「コンフィグレー
ションガイド Vol.3 4. IPv6・NDP・ICMPv6 の設定と運用」を参照してください。
112
8
ログインセキュリティと RADIUS/
TACACS+
この章では,本装置のログイン制御,ログインセキュリティ,アカウンティン
グ,および RADIUS/TACACS+について説明します。
113
8 ログインセキュリティと RADIUS/TACACS+
8.1 ログインセキュリティの設定
8.1.1 コンフィグレーション・運用コマンド一覧
ログインセキュリティに関するコンフィグレーションコマンド一覧を次の表に示します。
表 8‒1 コンフィグレーションコマンド一覧
コマンド名
説明
aaa authentication enable
装置管理者モードへの変更(enable コマンド)時に使用する認証方式を指定
します。
aaa authentication enable
attribute-user-per-method
装置管理者モードへの変更(enable コマンド)時の認証に使用するユーザ名
属性を変更します。
aaa authentication enable endby-reject
装置管理者モードへの変更(enable コマンド)時の認証で,否認された場合
に認証を終了します。
aaa authentication login
リモートログイン時に使用する認証方式を指定します。
aaa authentication login console
コンソール(RS232C)および AUX からのログイン時に aaa authentication
login コマンドで指定した認証方式を使用します。
aaa authentication login end-byreject
ログイン時の認証で,否認された場合に認証を終了します。
aaa authorization commands
RADIUS サーバまたは TACACS+サーバによるコマンド承認をする場合に
指定します。
aaa authorization commands
console
コンソール(RS232C)および AUX からのログインの場合に aaa
authorization commands コマンドで指定したコマンド承認を行います。
banner
ユーザのログイン前およびログイン後に表示するメッセージを設定します。
commands exec
ローカル(コンフィグレーション)によるコマンド承認で使用するコマンド
リストに,コマンド文字列を追加します。
enable password
装置管理者モードへの変更(enable コマンド)時に使用するパスワードを設
定します。
ip access-group
本装置へリモートログインを許可または拒否するリモート運用端末の IPv4
アドレスを指定したアクセスリストを設定します。
ipv6 access-class
本装置へリモートログインを許可または拒否するリモート運用端末の IPv6
アドレスを指定したアクセスリストを設定します。
parser view
ローカル(コンフィグレーション)によるコマンド承認で使用するコマンド
リストを生成します。
username
本装置へログインするユーザアカウントを作成して,パスワードを設定しま
す。指定ユーザに,ローカル(コンフィグレーション)によるコマンド承認
で使用するコマンドリストまたはコマンドクラスを設定します。
ログインセキュリティに関する運用コマンド一覧を次の表に示します。
114
8 ログインセキュリティと RADIUS/TACACS+
表 8‒2 運用コマンド一覧
コマンド名
説明
show users
コンフィグレーションコマンド username で設定したユーザアカウントを表
示します。
make hidden-password
コンフィグレーションコマンド username,enable password に設定する
ハッシュ化パスワード文字列を作成します。
show sessions (who)
本装置にログインしているユーザを表示します。
show whoami (who am i)
本装置にログインしているユーザの中で,このコマンドを実行したログイン
ユーザだけを表示します。
killuser
ログイン中のユーザを強制的にログアウトさせます。
8.1.2 ログイン制御の概要
本装置にはローカルログイン(シリアル接続)と IPv4 および IPv6 ネットワーク経由のリモートログイン
機能(telnet)があります。
本装置ではログイン時およびログイン中に次に示す制御をしています。
1. ログイン時に不正アクセスを防止するため,ユーザ ID によるコマンドの使用範囲の制限やパスワード
によるチェックを設けています。
2. 複数の運用端末から同時にログインできます。
3. 本装置にログインできるリモートユーザ数は最大 16 ユーザです。なお,コンフィグレーションコマン
ド line vty でログインできるユーザ数を制限できます。
4. 本装置にアクセスできる IPv4 および IPv6 アドレスをコンフィグレーションコマンド ip access-list
standard,ipv6 access-list,ip access-group,ipv6 access-class で制限できます。
5. 本装置にアクセスできるプロトコル(telnet,ftp)をコンフィグレーションコマンド transport input
や ftp-server で制限できます。
6. VRF で本装置にアクセスできる IPv4 および IPv6 アドレスをコンフィグレーションコマンド ip
access-list standard,ipv6 access-list,ip access-group,ipv6 access-class で制限できます。
7. VRF で本装置にアクセスできるプロトコル(telnet,ftp)をコンフィグレーションコマンド transport
input や ftp-server で制限できます。
8. コマンド実行結果はログインした端末だけに表示します。システムメッセージはログインしているす
べての運用端末に表示されます。
9. 入力したコマンドとその応答メッセージおよびシステムメッセージを運用ログとして収集します。運
用ログは運用コマンド show logging で参照できます。
10. キー入力が最大 60 分間ない場合は自動的にログアウトします。
11. 運用コマンド killuser を使用してユーザを強制ログアウトできます。
8.1.3 ログインユーザの作成および削除
コンフィグレーションコマンド username を使用して,本装置にログインできるユーザを作成してくださ
い。ログインユーザの作成例を次の図に示します。
115
8 ログインセキュリティと RADIUS/TACACS+
図 8‒1 ユーザ newuser を作成(パスワードを入力)
(config)# username newuser password input
New password:********
Retype new password:********
(config)#
<-1
<-2
1. パスワードを入力します(実際には入力文字は表示されません)。
2. 確認のため,再度パスワードを入力します(実際には入力文字は表示されません)。
入力したパスワードは,自動的にハッシュ化されてコンフィグレーションに設定されます。パスワードを入
力しないで[Enter]キーを押した場合は,パスワードなしのログインユーザになります。
ログインユーザ作成時に,運用コマンド make hidden-password で作成したハッシュ化パスワードを指定
することもできます。ハッシュ化パスワードを指定したログインユーザの作成例を次の図に示します。
図 8‒2 ユーザ newstaff を作成(ハッシュ化パスワードを指定)
> make hidden-password
Input password:********
Retype password:********
<-1
<-2
<-3
A password was created. Set it in the configuration.
"$6$pRo7aJE ... 3ewCiDAwB1"
> enable
# configure
(config)# username newstaff password hidden "$6$pRo7aJE ... 3ewCiDAwB1"
(config)#
<-4
<-5
1. 運用コマンド make hidden-password を実行します。
2. パスワードを入力します(実際には入力文字は表示されません)。
3. 確認のため,再度パスワードを入力します(実際には入力文字は表示されません)。
4. ハッシュ化パスワード文字列が作成されます。
5. make hidden-password コマンドで作成したハッシュ化パスワード文字列を指定します。
hidden 以降に""を指定した場合は,パスワードなしのログインユーザになります。
なお,作成したログインユーザは運用コマンド show users で確認できます。
使用しなくなったログインユーザはコンフィグレーションから削除してください。ログインユーザの削除
例を次の図に示します。
図 8‒3 ユーザ newuser を削除
(config)# no username newuser
Do you want to delete the user account newuser? (y/n): y
(config)#
<-1
1. y を入力すると,指定したログインユーザを削除します。
初期導入時に設定されているログインユーザ「username operator 100 password hidden ""」を運用中
のログインユーザとして使用しない場合,セキュリティの低下を防ぐため,新しいログインユーザを作成し
たあとで削除することをお勧めします。
ログインユーザを削除するとホームディレクトリも削除されるため,残したいファイルはあらかじめ/usr/
home/share へ保存するか,外部にバックアップをしてください。ただし,/usr/home/share 内のファイ
ルはすべてのユーザが読み込みおよび書き込みができるため,ファイルの管理に注意してください。
116
8 ログインセキュリティと RADIUS/TACACS+
また,コンフィグレーションコマンド aaa authentication login で,RADIUS/TACACS+を使用したロ
グイン認証ができます。コンフィグレーションの設定例については,
「8.3.2 RADIUS サーバによる認証
の設定」および「8.3.3 TACACS+サーバによる認証の設定」を参照してください。
8.1.4 ログインユーザのパスワードの設定および変更
コンフィグレーションコマンド username を使用して,ログインユーザのパスワードを設定および変更し
てください。パスワードの設定例を次の図に示します。
図 8‒4 ユーザ newuser のパスワード設定および変更(パスワードを入力)
(config)# username newuser password input
New password:********
Retype new password:********
(config)#
<-1
<-2
1. パスワードを入力します(実際には入力文字は表示されません)。
2. 確認のため,再度パスワードを入力します(実際には入力文字は表示されません)。
入力したパスワードは,自動的にハッシュ化されてコンフィグレーションに設定されます。パスワードを入
力しないで[Enter]キーを押した場合は,パスワードなしのログインユーザになります。
パスワードの設定および変更時に,運用コマンド make hidden-password で作成したハッシュ化パスワー
ドを指定することもできます。ハッシュ化パスワードを指定したパスワードの設定例を次の図に示します。
図 8‒5 ユーザ newstaff のパスワード設定および変更(ハッシュ化パスワードを指定)
> make hidden-password
Input password:********
Retype password:********
A password was created. Set it in the configuration.
"$6$pRo7aJE ... 3ewCiDAwB1"
> enable
# configure
(config)# username newstaff password hidden "$6$pRo7aJE ... 3ewCiDAwB1"
(config)#
<-1
<-2
<-3
<-4
<-5
1. 運用コマンド make hidden-password を実行します。
2. パスワードを入力します(実際には入力文字は表示されません)。
3. 確認のため,再度パスワードを入力します(実際には入力文字は表示されません)。
4. ハッシュ化パスワード文字列が作成されます。
5. make hidden-password コマンドで作成したハッシュ化パスワード文字列を指定します。
hidden 以降に""を指定した場合は,パスワードなしのログインユーザになります。
8.1.5 装置管理者モード変更のパスワードの設定および変更
コンフィグレーションコマンドを実行するためには enable コマンドで装置管理者モードに変更する必要
があります。初期導入時に enable コマンドを実行した場合,パスワードは設定されていないので認証なし
で装置管理者モードに変更します。
しかし,通常運用中にすべてのユーザがパスワード認証なしで装置管理者モードに変更できるのはセキュリ
ティ上お勧めできないため,コンフィグレーションコマンド enable password を使用して装置管理者モー
ド変更のパスワードを設定および変更してください。パスワードの設定例を次の図に示します。
117
8 ログインセキュリティと RADIUS/TACACS+
図 8‒6 装置管理者モード変更のパスワード設定および変更(パスワードを入力)
(config)# enable password input
New password:********
Retype new password:********
(config)#
<-1
<-2
1. パスワードを入力します(実際には入力文字は表示されません)。
2. 確認のため,再度パスワードを入力します(実際には入力文字は表示されません)。
入力したパスワードは,自動的にハッシュ化されてコンフィグレーションに設定されます。パスワードを入
力しないで[Enter]キーを押した場合は,パスワードなしになります。
パスワードの設定および変更時に,運用コマンド make hidden-password で作成したハッシュ化パスワー
ドを指定することもできます。ハッシュ化パスワードを指定したパスワードの設定例を次の図に示します。
図 8‒7 装置管理者モード変更のパスワード設定および変更(ハッシュ化パスワードを指定)
> make hidden-password
Input password:********
Retype password:********
A password was created. Set it in the configuration.
"$6$pRo7aJE ... 3ewCiDAwB1"
> enable
# configure
(config)# enable password hidden "$6$pRo7aJE ... 3ewCiDAwB1"
(config)#
<-1
<-2
<-3
<-4
<-5
1. 運用コマンド make hidden-password を実行します。
2. パスワードを入力します(実際には入力文字は表示されません)。
3. 確認のため,再度パスワードを入力します(実際には入力文字は表示されません)。
4. ハッシュ化パスワード文字列が作成されます。
5. make hidden-password コマンドで作成したハッシュ化パスワード文字列を指定します。
また,コンフィグレーションコマンド aaa authentication enable で,RADIUS/TACACS+を使用した
認証ができます。コンフィグレーションの設定例については,
「8.3.2 RADIUS サーバによる認証の設定」
および「8.3.3 TACACS+サーバによる認証の設定」を参照してください。
8.1.6 リモート運用端末からのログインの許可
コンフィグレーションコマンド line vty を設定することで,リモート運用端末から本装置へログインでき
るようになります。このコンフィグレーションが設定されていない場合,コンソールからだけ本装置にログ
インできます。リモート運用端末からのログインを許可する設定例を次の図に示します。
図 8‒8 リモート運用端末からのログインを許可する設定例
(config)# line vty 0 2
(config-line)#
また,リモート運用端末から ftp プロトコルを使用して本装置にアクセスする場合には,コンフィグレー
ションコマンド ftp-server を設定する必要があります。本設定を実施しない場合,ftp プロトコルを使用し
た本装置へのアクセスはできません。
図 8‒9 ftp プロトコルによるアクセス許可の設定例
(config)# ftp-server
(config)#
118
8 ログインセキュリティと RADIUS/TACACS+
8.1.7 同時にログインできるユーザ数の設定
コンフィグレーションコマンド line vty を設定することで,リモート運用端末から本装置へログインでき
るようになります。line vty コマンドの<num>パラメータで,リモートログインできるユーザ数が制限さ
れます。なお,この設定に関係なく,コンソールからは常にログインできます。2 人まで同時にログインを
許可する設定例を次の図に示します。
図 8‒10 同時にログインできるユーザ数の設定例
(config)# line vty 0 1
(config-line)#
同時ログインに関する動作概要を次に示します。
• 複数ユーザが同時にログインすると,ログインしているユーザ数が制限数以下でもログインできない場
合があります。
• 同時にログインできるユーザ数を変更しても,すでにログインしているユーザのセッションが切れるこ
とはありません。
8.1.8 リモート運用端末からのログインを許可する IP アドレスの設定
リモート運用端末から本装置へのログインを許可する IP アドレスを設定することで,ログインを制限でき
ます。なお,設定後はリモート運用端末から本装置へのログインの可否を確認してください。
[設定のポイント]
特定のリモート運用端末からだけ,本装置へのアクセスを許可する場合は,コンフィグレーションコマ
ンド ip access-list standard,ipv6 access-list,ip access-group,ipv6 access-class であらかじめ
アクセスを許可する端末の IP アドレスを登録しておく必要があります。アクセスを許可する IPv4 ア
ドレスとサブネットマスク,または IPv6 アドレスとプレフィックスは,合わせて最大 128 個の登録が
できます。このコンフィグレーションを実施していない場合,すべてのリモート運用端末から本装置へ
のアクセスが可能となります。なお,アクセスを許可していない(コンフィグレーションで登録してい
ない)端末からのアクセスがあった場合,すでにログインしているそのほかの端末には,アクセスが
あったことを示すシステムメッセージ(メッセージ種別:ACCESS,メッセージ識別子:06000001)
が表示されます。アクセスを許可する IP アドレスを変更しても,すでにログインしているユーザの
セッションは切れません。
[コマンドによる設定](IPv4 の場合)
1. (config)# ip access-list standard REMOTE
(config-std-nacl)# permit 192.168.0.0 0.0.0.255
(config-std-nacl)# exit
ネットワーク(192.168.0.0/24)からだけログインを許可するアクセスリスト情報 REMOTE を設定
します。
2. (config)# line vty 0 2
(config-line)# ip access-group REMOTE in
(config-line)#
line モードに遷移し,アクセスリスト情報 REMOTE を適用し,ネットワーク(192.168.0.0/24)に
あるリモート運用端末からだけログインを許可します。
[コマンドによる設定](IPv6 の場合)
1. (config)# ipv6 access-list REMOTE6
119
8 ログインセキュリティと RADIUS/TACACS+
(config-ipv6-nacl)# permit ipv6 2001:db8:811:ff01::/64 any
(config-ipv6-nacl)# exit
ネットワーク(2001:db8:811:ff01::/64)からだけログインを許可するアクセスリスト情報 REMOTE6
を設定します。
2. (config)# line vty 0 2
(config-line)# ipv6 access-class REMOTE6 in
(config-line)#
line モードに遷移し,アクセスリスト情報 REMOTE6 を適用し,ネットワーク
(2001:db8:811:ff01::/64)にあるリモート運用端末からだけログインを許可します。
8.1.9 ログインバナーの設定
コンフィグレーションコマンド banner でログインバナーを設定すると,console から,またはリモート運
用端末の telnet や ftp クライアントなどから本装置に接続したとき,ログインする前やログインしたあと
にメッセージを表示できます。
[設定のポイント]
リモート運用端末の telnet や ftp クライアントからネットワークを経由して本装置の telnet や ftp
サーバへ接続するとき,ログインする前に次のメッセージを表示させます。
###################################################
Only Administrators can connect.
The Administrator's phone number is xxx-xxxx-xxxx.
###################################################
[コマンドによる設定]
1. (config)# banner login plain-text
--- Press CTRL+D or only '.' line to end --###################################################
Only Administrators can connect.
The Administrator's phone number is xxx-xxxx-xxxx.
###################################################
.
ログイン前メッセージのスクリーンイメージを入力します。
入力が終わったら,ピリオド(.)だけの行(または[Ctrl]+[D]キー)を入力します。
2. (config)# show banner
banner login encode
"IyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjCk9ubHkgQWRtaW5pc3RyYX
RvcnMgY2FuIGNvbm5lY3QuClRoZSBBZG1pbmlzdHJhdG9yJ3MgcGhvbmUgbnVtYmVyIGlzIHh4eC14eHh4LXh4eHguC
iMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIwo="
入力されたメッセージは自動的にエンコードされて設定されます。
3. (config)# show banner login plain-text
###################################################
Only Administrators can connect.
The Administrator's phone number is xxx-xxxx-xxxx.
###################################################
(config)#
120
8 ログインセキュリティと RADIUS/TACACS+
show の際に plain- text パラメータを指定すると,テキスト形式で確認できます。
設定が完了したら,リモート運用端末の telnet または ftp クライアントから本装置へ接続します。接続後,
クライアントにメッセージが表示されます。
図 8‒11 リモート運用端末から本装置へ接続した例(telnet で接続した場合)
> telnet 10.10.10.10
Trying 10.10.10.10...
Connected to 10.10.10.10.
Escape character is '^]'.
###################################################
Only Administrators can connect.
The Administrator's phone number is xxx-xxxx-xxxx.
###################################################
login:
図 8‒12 リモート運用端末から本装置へ接続した例(ftp で接続した場合)
> ftp 10.10.10.10
Connected to 10.10.10.10.
220###################################################
Only Administrators can connect.
The Administrator's phone number is xxx-xxxx-xxxx.
###################################################
220 10.10.10.10 FTP server ready.
Name (10.10.10.10:staff):
8.1.10 VRF でのリモート運用端末からのログインの許可
コンフィグレーションコマンド line vty を設定することで,リモート運用端末から本装置にログインでき
るようになります。さらに,コンフィグレーションコマンド transport input の vrf パラメータを設定し
て,VRF からのアクセスを許可します。この vrf パラメータが設定されていない場合,グローバルネット
ワークからのアクセスだけを許可します。
グローバルネットワークを含む全 VRF で,リモート運用端末から本装置への telnet プロトコルによるリ
モートアクセスを許可する設定例を次の図に示します。
図 8‒13 グローバルネットワークを含む全 VRF でリモート運用端末からのログインを許可する設定例
(config)# line vty 0 2
(config-line)# transport input vrf all telnet
(config-line)#
指定 VRF で,リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可する設定
例を次の図に示します。なお,グローバルネットワークは含みません。
図 8‒14 VRF 2 でリモート運用端末からのログインを許可する設定例
(config)# line vty 0 2
(config-line)# transport input vrf 2 telnet
(config-line)#
また,リモート運用端末から ftp プロトコルを使用して本装置にアクセスする場合には,コンフィグレー
ションコマンド ftp-server を設定する必要があります。VRF からのアクセスを許可する場合は,vrf パラ
メータを設定します。この vrf パラメータが設定されていない場合,グローバルネットワークからのアクセ
スだけを許可します。
グローバルネットワークを含む全 VRF で,リモート運用端末から本装置への ftp プロトコルによるリモー
トアクセスを許可する設定例を次の図に示します。
121
8 ログインセキュリティと RADIUS/TACACS+
図 8‒15 グローバルネットワークを含む全 VRF でリモート運用端末から ftp プロトコルによるアクセス
を許可する設定例
(config)# ftp-server vrf all
(config)#
指定 VRF で,リモート運用端末から本装置への ftp プロトコルによるリモートアクセスを許可する設定例
を次の図に示します。なお,グローバルネットワークは含みません。
図 8‒16 VRF 2 でリモート運用端末から ftp プロトコルによるアクセスを許可する設定例
(config)# ftp-server vrf 2
(config)#
8.1.11 VRF でのリモート運用端末からのログインを許可する IP アド
レスの設定
リモート運用端末から本装置へのログインを許可する IP アドレスをアクセスリストに設定することで,ロ
グインを制限できます。
アクセスリストは,グローバルネットワークや VRF に対して個別に設定しますが,同一のアクセスリスト
を,グローバルネットワークを含むすべての VRF に適用する設定もできます。また,これらを組み合わせ
て設定できますが,複数のアクセスリストを使用する場合は,最後のアクセスリストだけ暗黙の廃棄が適用
されます。
なお,アクセス元の VRF に対してアクセスリストがどのように適用される(アクセスリストの適用範囲)
かは,アクセス元とアクセスリストの設定個所との関係によって変わります。例として,グローバルネット
ワーク,VRF 10 および VRF 20 から本装置にアクセスする場合,アクセスリストが設定されている個所
によって,どのアクセスリストが適用されるかを次の表に示します(括弧内が,どのアクセスリストが適用
されるかを示しています)。
表 8‒3 アクセスリストの適用範囲
アクセスリスト設定個所
アクセス元 VRF
グローバルネットワーク
VRF 10
• global
(global)
−
• global
(global)
(VRF 10)
(global)※
(VRF 10)※
VRF 20
−
−
• VRF 10
• global
• VRF 10
• VRF ALL
適用後
(VRF ALL)
(VRF ALL)
適用後
(VRF ALL)
(凡例)
−:アクセスリストは適用されない。したがって,アクセス制限されない。
global:グローバルネットワーク
VRF 10:VRF 10
VRF ALL:グローバルネットワークを含む全 VRF
注※
個別に設定したアクセスリストは,VRF ALL に設定したアクセスリストよりも優先して適用されます。また,アク
セスリストを複数使用しているため,個別に設定したアクセスリストの暗黙の廃棄は無視されます。そのため,個別
に設定したアクセスリストに一致しない場合は,VRF ALL に設定したアクセスリストが適用されます。VRF ALL
に設定したアクセスリストに一致しない場合は,暗黙の廃棄によって制限されます。
122
8 ログインセキュリティと RADIUS/TACACS+
なお,設定後はリモート運用端末から本装置へのログインの可否を確認してください。
[設定のポイント]
特定のリモート運用端末からだけ本装置へのアクセスを許可する場合は,アクセスリストを使用しま
す。コンフィグレーションコマンド ip access-list standard,ipv6 access-list,ip access-group,
ipv6 access-class で,あらかじめアクセスを許可する端末の IP アドレスを登録しておく必要がありま
す。アクセスを許可する IPv4 アドレスとサブネットマスク,または IPv6 アドレスとプレフィックス
は,合わせて最大 128 個の登録ができます。このコンフィグレーションを設定していない場合,すべて
のリモート運用端末から本装置へのアクセスが可能となります。なお,アクセスを許可していない(コ
ンフィグレーションで登録していない)端末からのアクセスがあった場合,すでにログインしているそ
のほかの端末には,アクセスがあったことを示すシステムメッセージ(メッセージ種別:ACCESS,
メッセージ識別子:06000001)が表示されます。
設定例を次に示します。まず,グローバルネットワークを含む全 VRF でのリモート運用端末からのロ
グインを制限します。次に,グローバルネットワークと指定 VRF だけ個別にログインを許可します。
これによって,特定のネットワークからだけログインを許可します。
[コマンドによる設定]
1. (config)# ip access-list standard REMOTE_VRFALL
(config-std-nacl)# deny any
(config-std-nacl)# exit
グローバルネットワークを含む全 VRF で,ログインを制限するアクセスリスト REMOTE_VRFALL を
設定します。
2. (config)# ip access-list standard REMOTE_GLOBAL
(config-std-nacl)# permit 192.168.0.0 0.0.0.255
(config-std-nacl)# exit
グローバルネットワークで,ネットワーク(192.168.0.0/24)からだけログインを許可するアクセスリ
スト REMOTE_GLOBAL を設定します。
3. (config)# ip access-list standard REMOTE_VRF10
(config-std-nacl)# permit 10.10.10.0 0.0.0.255
(config-std-nacl)# exit
VRF 10 で,ネットワーク(10.10.10.0/24)からだけログインを許可するアクセスリスト
REMOTE_VRF10 を設定します。
4. (config)# line vty 0 2
(config-line)# ip access-group REMOTE_VRFALL vrf all in
(config-line)# ip access-group REMOTE_GLOBAL in
(config-line)# ip access-group REMOTE_VRF10 vrf 10 in
(config-line)#
line モードに遷移し,グローバルネットワークを含む全 VRF にアクセスリスト REMOTE_VRFALL
を,グローバルネットワークにアクセスリスト REMOTE_GLOBAL を,VRF10 にアクセスリスト
REMOTE_VRF10 を適用します。
グローバルネットワークでは,ネットワーク(192.168.0.0/24)にあるリモート運用端末からだけログ
インを許可します。
VRF10 では,ネットワーク(10.10.10.0/24)にあるリモート運用端末からだけログインを許可しま
す。
また,その他の VRF ではログインを制限します。
123
8 ログインセキュリティと RADIUS/TACACS+
8.2 RADIUS/TACACS+の解説
8.2.1 RADIUS/TACACS+の概要
RADIUS (Remote Authentication Dial In User Service),TACACS+(Terminal Access Controller
Access Control System Plus)とは,NAS(Network Access Server)に対して認証,承認,およびアカ
ウンティングを提供するプロトコルです。NAS は RADIUS/TACACS+のクライアントとして動作する
リモートアクセスサーバ,ルータなどの装置のことです。NAS は構築されている RADIUS/TACACS
+サーバに対してユーザ認証,コマンド承認,およびアカウンティングなどのサービスを要求します。
RADIUS/TACACS+サーバはその要求に対して,サーバ上に構築された管理情報データベースに基づいて
要求に対する応答を返します。本装置は NAS の機能をサポートします。
RADIUS/TACACS+を使用すると一つの RADIUS/TACACS+サーバだけで,複数 NAS でのユーザパス
ワードなどの認証情報や,コマンド承認情報やアカウンティング情報を一元管理できるようになります。本
装置では,RADIUS/TACACS+サーバに対してユーザ認証,コマンド承認,およびアカウンティングを要
求できます。
RADIUS/TACACS+認証の流れを次に示します。
図 8‒17 RADIUS/TACACS+認証の流れ
1. リモート運用端末からユーザ X が本装置に telnet を実行します。
2. 本装置はコンフィグレーションで指定した RADIUS/TACACS+サーバに対して認証を要求します。
3. RADIUS/TACACS+サーバはユーザデータベースに基づいてユーザ X を認証して,本装置にユーザ X
を認証したことを通知します。
4. 本装置は RADIUS/TACACS+認証に基づいて,ユーザ X のリモート運用端末からの telnet を許可し
ます。
本装置はコンフィグレーションでコマンド承認を設定した場合,RADIUS/TACACS+サーバに設定されて
いるコマンドリストに従って,ユーザが実行する運用コマンドを許可または制限します。
124
8 ログインセキュリティと RADIUS/TACACS+
8.2.2 RADIUS/TACACS+の適用機能および範囲
本装置では RADIUS/TACACS+を,運用端末からのログイン認証と装置管理者モードへの変更(enable
コマンド)時の認証,コマンド承認,およびアカウンティングに使用します。RADIUS/TACACS+機能の
サポート範囲を次に示します。
(1) RADIUS/TACACS+の適用範囲
RADIUS/TACACS+認証を適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)
• 本装置への ftp(IPv4/IPv6)
• コンソール(RS232C)および AUX からのログイン
• 装置管理者モードへの変更(enable コマンド)
RADIUS/TACACS+コマンド承認を適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)
• コンソール(RS232C)および AUX からのログイン
RADIUS/TACACS+アカウンティングを適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)によるログイン・ログアウト
• 本装置への ftp(IPv4/IPv6)によるログイン・ログアウト
• コンソール(RS232C)および AUX からのログイン・ログアウト
• CLI でのコマンド入力(TACACS+だけサポート)
• システム操作パネルでのコマンド入力(TACACS+だけサポート)
(2) RADIUS のサポート範囲
RADIUS サーバに対して,本装置がサポートする NAS 機能を次の表に示します。
表 8‒4 RADIUS のサポート範囲
分類
内容
文書全体
NAS に関する記述だけを対象にします。
パケットタイプ
ログイン認証,装置管理者モードへの変更(enable コマンド)時の認証,コマンド承認
で使用する次のタイプ
• Access-Request(送信)
• Access-Accept(受信)
• Access-Reject(受信)
アカウンティングで使用する次のタイプ
• Accounting-Request(送信)
• Accounting-Response(受信)
属性
ログイン認証と装置管理者モードへの変更(enable コマンド)時の認証で使用する次の
属性
• User-Name
125
8 ログインセキュリティと RADIUS/TACACS+
分類
内容
• User-Password
• Service-Type
• NAS-IP-Address
• NAS-IPv6-Address
• NAS-Identifier
• Reply-Message
コマンド承認で使用する次の属性
• Class
• Vendor-Specific(Vendor-ID=21839)
アカウンティングで使用する次の属性
• User-Name
• NAS-IP-Address
• NAS-IPv6-Address
• NAS-Port
• NAS-Port-Type
• Service-Type
• Calling-Station-Id
• Acct-Status-Type
• Acct-Delay-Time
• Acct-Session-Id
• Acct-Authentic
• Acct-Session-Time
(a) 使用する RADIUS 属性の内容
使用する RADIUS 属性の内容を次の表に示します。
RADIUS サーバを利用してコマンド承認する場合は,認証時に下の表に示すような Class や VendorSpecific を返すようにあらかじめ RADIUS サーバを設定しておく必要があります。RADIUS サーバには,
ベンダー固有属性を登録(dictionary ファイルなどに設定)してください。コマンド承認の属性詳細につ
いては,「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照してください。
表 8‒5 使用する RADIUS 属性の内容
属性名
User-Name
属性値
1
パケットタイプ
内容
Access-Request
認証するユーザの名前。
Accounting-Request
ログイン認証の場合は,ログインユーザ名を送
信します。
装置管理者モードへの変更(enable コマンド)
時の認証の場合は,「表 8‒10 設定するユーザ
名属性」に従ってユーザ名を送信します。
User-Password
126
2
Access-Request
認証ユーザのパスワード。送信時には暗号化さ
れます。
8 ログインセキュリティと RADIUS/TACACS+
属性名
Service-Type
属性値
6
パケットタイプ
Access-Request
Accounting-Request
NAS-IP-Address
4
Access-Request
Accounting-Request
NAS-IPv6-Address
95
Access-Request
Accounting-Request
NAS-Identifier
32
Access-Request
Accounting-Request
Reply-Message
18
Access-Accept
Access-Reject
内容
Login(値=1)。Administrative(値=6,ただ
しパケットタイプが Access-Request の場合だ
け使用)。Access-Accept および AccessReject に添付された場合は無視します。
本装置の IP アドレス。ローカルアドレスが設
定されている場合はローカルアドレス,ローカ
ルアドレスが設定されていない場合は送信イン
タフェースの IP アドレスになります。
本装置の IPv6 アドレス。ローカルアドレスが
設定されている場合はローカルアドレス,ロー
カルアドレスが設定されていない場合は送信イ
ンタフェースの IPv6 アドレスになります。た
だし,IPv6 リンクローカルアドレスで通信する
場合は,ローカルアドレス設定の有無にかかわ
らず送信インタフェースの IPv6 リンクローカ
ルアドレスになります。
本装置の装置名。装置名が設定されていない場
合は添付されません。
サーバからのメッセージ。添付されている場合
は,運用ログとして出力されます。
Accounting-Response
Class
25
Access-Accept
ログインクラス。コマンド承認で適用します。
Vendor-Specific
26
Access-Accept
ログインリスト。コマンド承認で適用します。
5
Accounting-Request
ユーザが接続されている NAS のポート番号を
指します。本装置では,tty ポート番号を格納し
ます。ただし,ftp の場合は 100 を格納します。
NAS-Port-Type
61
Accounting-Request
NAS に接続した方法を指します。本装置では,
telnet/ftp は Virtual(5),コンソール/AUX は
Async(0)を格納します。
Calling-Station-Id
31
Accounting-Request
利用者の識別 ID を指します。本装置では,
telnet/ftp はクライアントの IPv4/IPv6 アドレ
ス,コンソールは“console”,AUX は“aux”
を格納します。
Acct-Status-Type
40
Accounting-Request
Accounting-Request がどのタイミングで送信
されたかを指します。本装置では,ユーザのロ
グイン時に Start(1),ログアウト時に Stop(2)
を格納します。
Acct-Delay-Time
41
Accounting-Request
送信する必要のあるイベント発生から
Accounting-Request を送信するまでにかかっ
た時間(秒)を格納します。
Acct-Session-Id
44
Accounting-Request
セッションを識別するための文字列を指しま
す。本装置では,セッションのプロセス ID を格
納します。
NAS-Port
127
8 ログインセキュリティと RADIUS/TACACS+
属性名
属性値
パケットタイプ
内容
Acct-Authentic
45
Accounting-Request
ユーザがどのように認証されたかを指します。
本装置では,RADIUS(1),Local(2),Remote
(3)の 3 種類を格納します。
Acct-Session-Time
46
Accounting-Request
(Acct-Status-Type が
Stop の場合だけ)
ユーザがサービスを利用した時間(秒)を指し
ます。本装置では,ユーザがログイン後ログア
ウトするまでの時間(秒)を格納します。
• Access-Request パケット
本装置が送信するパケットには,この表で示す以外の属性は添付しません。
• Access-Accept,Access-Reject,Accounting-Response パケット
この表で示す以外の属性が添付されていた場合,本装置ではそれらの属性を無視します。
(3) TACACS+のサポート範囲
TACACS+サーバに対して,本装置がサポートする NAS 機能を次の表に示します。
表 8‒6 TACACS+のサポート範囲
分類
内容
パケットタイプ
ログイン認証と装置管理者モードへの変更(enable コマンド)時の認証で
使用する次のタイプ
• Authentication Start(送信)
• Authentication Reply(受信)
• Authentication Continue(送信)
コマンド承認で使用する次のタイプ
• Authorization Request(送信)
• Authorization Response(受信)
アカウンティングで使用する次のタイプ
• Accounting Request(送信)
• Accounting Reply(受信)
ログイン認証
属性
• User
• Password
装置管理者モードへの変
更(enable コマンド)時
• priv-lvl
の認証
コマンド承認
service
• taclogin
属性
• class
• allow-commands
• deny-commands
アカウンティング
flag
• TAC_PLUS_ACCT_FLAG_START
• TAC_PLUS_ACCT_FLAG_STOP
属性
• task_id
• start_time
128
8 ログインセキュリティと RADIUS/TACACS+
分類
内容
• stop_time
• elapsed_time
• timezone
• service
• priv-lvl
• cmd
(a) 使用する TACACS+属性の内容
使用する TACACS+属性の内容を次の表に示します。
TACACS+サーバを利用してコマンド承認する場合は,認証時に class または allow-commands や denycommands 属性とサービスを返すように TACACS+サーバ側で設定します。コマンド承認の属性詳細に
ついては,「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」に示します。
表 8‒7 使用する TACACS+属性の内容
service
-
属性
User
説明
認証するユーザの名前。
ログイン認証の場合は,ログインユーザ名を送信します。
装置管理者モードへの変更(enable コマンド)時の認証の場合は,「表 8‒
10 設定するユーザ名属性」に従ってユーザ名を送信します。
Password
認証ユーザのパスワード。送信時には暗号化されます。
priv-lvl
認証するユーザの特権レベル。
ログイン認証の場合,1 を使用します。装置管理者モードへの変更(enable
コマンド)時の認証の場合,15 を使用します。
taclogin
class
コマンドクラス
allow-commands
許可コマンドリスト
deny-commands
制限コマンドリスト
(凡例)−:該当なし
アカウンティング時に使用する TACACS+ flag を次の表に示します。
表 8‒8 TACACS+アカウンティング flag 一覧
flag
TAC_PLUS_ACCT_FLAG_START
内容
アカウンティング START パケットを示します。ただし,aaa コン
フィグレーションで送信契機に stop-only を指定している場合は,
アカウンティング START パケットは送信しません。
TAC_PLUS_ACCT_FLAG_STOP
アカウンティング STOP パケットを示します。ただし,aaa コン
フィグレーションで送信契機に stop-only を指定している場合は,
このアカウンティング STOP パケットだけを送信します。
アカウンティング時に使用する TACACS+属性(Attribute-Value)の内容を次の表に示します。
129
8 ログインセキュリティと RADIUS/TACACS+
表 8‒9 TACACS+アカウンティング Attribute-Value 一覧
Attribute
Value
task_id
イベントごとに割り当てられる ID です。本装置ではアカウンティングイベントのプロセス
ID を格納します。
start_time
イベントを開始した時刻です。本装置ではアカウンティングイベントが開始された時刻を格
納します。この属性は次のイベントで格納されます。
• 送信契機 start-stop 指定時のログイン時,コマンド実行前
• 送信契機 stop-only 指定時のコマンド実行前
stop_time
イベントを終了した時刻です。本装置ではアカウンティングイベントが終了した時刻を格納
します。この属性は次のイベントで格納されます。
• 送信契機 start-stop 指定時のログアウト時,コマンド実行後
• 送信契機 stop-only 指定時のログアウト時
elapsed_time
イベント開始からの経過時間(秒)です。本装置ではアカウンティングイベントの開始から終
了までの時間(秒)を格納します。この属性は次のイベントで格納されます。
• 送信契機 start-stop 指定時のログアウト時,コマンド実行後
• 送信契機 stop-only 指定時のログアウト時
timezone
タイムゾーン文字列を格納します。
service
文字列“shell”を格納します。
priv-lvl
コマンドアカウンティング設定時に,入力されたコマンドが運用コマンドの場合は 1,コンフィ
グレーションコマンドの場合は 15 を格納します。
cmd
コマンドアカウンティング設定時に,入力されたコマンド文字列(最大 250 文字)を格納しま
す。
8.2.3 RADIUS/TACACS+を使用した認証
RADIUS/TACACS+を使用した認証方法について説明します。
(1) 認証サービスの選択
ログイン認証および装置管理者モードへの変更(enable コマンド)時の認証に使用するサービスは複数指
定できます。指定できるサービスは RADIUS,TACACS+,ならびにコンフィグレーションコマンド
username および enable password による本装置単体でのログインセキュリティ機能です。
これらの認証方式は単独でも同時でも指定できます。同時に指定された場合に先に指定された方式で認証
に失敗したときの認証サービスの選択動作を,次に示す end-by-reject を設定するコンフィグレーションコ
マンドで変更できます。
ログイン認証の場合
aaa authentication login end-by-reject
装置管理者モードへの変更(enable コマンド)時の認証の場合
aaa authentication enable end-by-reject
130
8 ログインセキュリティと RADIUS/TACACS+
(a) end-by-reject 未設定時
end-by-reject 未設定時の認証サービスの選択について説明します。end-by-reject 未設定時は,先に指定
された方式で認証に失敗した場合に,その失敗の理由に関係なく,次に指定された方式で認証できます。
例として,コンフィグレーションで認証方式に RADIUS,TACACS+,単体でのログインセキュリティの
順番で指定し,それぞれの認証結果が RADIUS サーバ通信不可,TACACS+サーバ認証否認,ログインセ
キュリティ機能認証成功となる場合の認証方式シーケンスを次の図に示します。
図 8‒18 認証方式シーケンス(end-by-reject 未設定時)
この図で端末からユーザが本装置に telnet を実行すると,RADIUS サーバに対し本装置から RADIUS 認
証を要求します。RADIUS サーバとの通信不可によって RADIUS サーバでの認証に失敗すると,次に
TACACS+サーバに対し本装置から TACACS+認証を要求します。TACACS+認証否認によって
TACACS+サーバでの認証に失敗すると,次に本装置のログインセキュリティ機能での認証を実行します。
ここで認証に成功し,ユーザは本装置へのログインに成功します。
(b) end-by-reject 設定時
end-by-reject 設定時の認証サービスの選択について説明します。end-by-reject 設定時は,先に指定され
た方式で認証否認された場合に,次に指定された方式で認証を行いません。否認された時点で認証を終了
し,一連の認証が失敗となります。通信不可などの異常によって認証が失敗した場合だけ,次に指定された
方式で認証できます。
例として,コンフィグレーションで認証方式に RADIUS,TACACS+,単体でのログインセキュリティの
順番で指定し,それぞれの認証結果が RADIUS サーバ通信不可,TACACS+サーバ認証否認となる場合の
認証方式シーケンスを次の図に示します。
131
8 ログインセキュリティと RADIUS/TACACS+
図 8‒19 認証方式シーケンス(end-by-reject 設定時)
この図で端末からユーザが本装置に telnet を実行すると,RADIUS サーバに対し本装置から RADIUS 認
証を要求します。RADIUS サーバとの通信不可によって RADIUS サーバでの認証に失敗すると,次に
TACACS+サーバに対し本装置から TACACS+認証を要求します。TACACS+認証否認によって
TACACS+サーバでの認証に失敗すると,この時点で一連の認証が失敗となり,認証を終了します。次に
指定されている本装置のログインセキュリティ機能での認証を実行しません。その結果,ユーザは本装置へ
のログインに失敗します。
(2) RADIUS/TACACS+サーバの選択
RADIUS サーバ,TACACS+サーバはそれぞれ最大四つ指定できます。一つのサーバと通信できなくて認
証サービスが受けられない場合は,順次これらのサーバへの接続を試行します。
また,RADIUS サーバ,TACACS+サーバをホスト名で指定したときに,複数のアドレスが解決できた場
合は,優先順序に従ってアドレスを一つだけ決定して,RADIUS サーバ,TACACS+サーバと通信しま
す。
優先順序についての詳細は,「10.1 解説」を参照してください。
注意
DNS サーバを使用してホスト名を解決する場合,DNS サーバとの通信に時間が掛かることがありま
す。このため,RADIUS サーバ,TACACS+サーバは IP アドレスで指定することをお勧めします。
RADIUS/TACACS+サーバと通信不可を判断するタイムアウト時間を設定できます。デフォルト値は 5
秒です。また,各 RADIUS サーバでタイムアウトした場合は,再接続を試行します。この再試行回数も設
定でき,デフォルト値は 3 回です。このため,ログイン方式として RADIUS が使用できないと判断するま
での最大時間は,タイムアウト時間×リトライ回数×RADIUS サーバ設定数になります。なお,各
TACACS+サーバでタイムアウトした場合は,再接続を試行しません。このため,ログイン方式として
TACACS+が使用できないと判断するまでの最大時間は,タイムアウト時間×TACACS+サーバ設定数に
なります。RADIUS サーバ選択のシーケンスを次の図に示します。
132
8 ログインセキュリティと RADIUS/TACACS+
図 8‒20 RADIUS サーバ選択のシーケンス
この図でリモート運用端末からユーザが本装置に telnet を実行すると,RADIUS サーバ 1 に対して本装置
から RADIUS 認証を要求します。RADIUS サーバ 1 と通信できなかった場合は,続いて RADIUS サーバ
2 に対して RADIUS 認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。
TACACS+サーバ選択のシーケンスを次の図に示します。
図 8‒21 TACACS+サーバ選択のシーケンス
この図でリモート運用端末からユーザが本装置に telnet を実行すると,TACACS+サーバ 1 に対して本装
置から TACACS+認証を要求します。TACACS+サーバ 1 と通信できなかった場合は,続いて TACACS
+サーバ 2 に対して TACACS+認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに
成功します。
(3) RADIUS/TACACS+サーバへの登録情報
(a) ログイン認証を使用する場合
RADIUS/TACACS+サーバにユーザ名およびパスワードを登録します。RADIUS/TACACS+サーバへ
登録するユーザ名には次に示す 2 種類があります。
• 本装置にコンフィグレーションコマンド username を使用して登録済みのユーザ名
本装置に登録されたユーザ情報を使用してログイン処理を行います。
• 本装置に未登録のユーザ名
次に示す共通のユーザ情報でログイン処理を行います。
• ユーザ名:remote_user
• ホームディレクトリ:/usr/home/share
133
8 ログインセキュリティと RADIUS/TACACS+
本装置に未登録のユーザ名でログインした場合の注意点を示します。
• ファイルの管理
ファイルを作成した場合,すべて remote_user 管理となって,別のユーザでも作成したファイルの読み
込みおよび書き込みができます。重要なファイルは ftp などで外部に保管するなど,ファイルの管理に
注意してください。
(b) 装置管理者モードへの変更(enable コマンド)時の認証を使用する場合
装置管理者モードへの変更(enable コマンド)用に,次のユーザ情報を登録してください。
• ユーザ名
本装置ではユーザ名属性として,次の表に示すユーザ名をサーバに送信します。送信するユーザ名はコ
ンフィグレーションコマンドで変更できます。対応するユーザ名をサーバに登録してください。
表 8‒10 設定するユーザ名属性
コマンド名
ユーザ名
RADIUS 認証
TACACS+認証
設定なし
admin
admin
aaa authentication enable attribute-user-per-method
$enab15$
ログインユーザ名
• 特権レベル
特権レベルは 15 で固定です。
ただし,使用するサーバによっては,送信したユーザ名属性に関係なく特定のユーザ名(例えば,
$enab15$)を使用する場合や,特権レベルの登録が不要な場合などがあります。詳細は,使用するサーバ
のマニュアルを確認してください。
8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認
RADIUS/TACACS+/ローカル(コンフィグレーション)を使用したコマンド承認方法について説明しま
す。
(1) コマンド承認の概要
RADIUS サーバ,TACACS+サーバ,またはローカルパスワードによる認証の上ログインしたユーザに対
して,使用できる運用コマンドの種類を制限できます。これをコマンド承認と呼びます。使用できる運用コ
マンドは,RADIUS サーバまたは TACACS+サーバから取得する,コマンドクラスおよびコマンドリス
ト,またはコンフィグレーションで設定したコマンドクラスおよびコマンドリストに従って制御されます。
また,制限した運用コマンドは,CLI の補完機能で補完候補として表示しません。なお,<option>や<Host
Name>などの,<>で囲まれたパラメータ部分の値や文字列を含んだ運用コマンドを,許可するコマンド
リストに指定した場合は,<>部分は補完候補として表示しません。
134
8 ログインセキュリティと RADIUS/TACACS+
図 8‒22 RADIUS/TACACS+サーバによるログイン認証,コマンド承認
図 8‒23 ローカルによるログイン認証,コマンド承認
本装置の aaa コンフィグレーションでコマンド承認を設定すると,RADIUS/TACACS+指定時は,ログ
イン認証と同時に,サーバからコマンドリストを取得します。ローカル指定時は,ログイン認証と同時に,
コンフィグレーションで設定されたコマンドリストを使用します。本装置ではこれらのコマンドリストに
従ってログイン後の運用コマンドを許可または制限します。
図 8‒24 RADIUS/TACACS+サーバによるコマンド承認のシーケンス
135
8 ログインセキュリティと RADIUS/TACACS+
図 8‒25 ローカルコマンド承認のシーケンス
「図 8‒24 RADIUS/TACACS+サーバによるコマンド承認のシーケンス」で端末からユーザが本装置に
telnet を実行すると,RADIUS/TACACS+サーバに対し本装置から認証,コマンド承認を要求します。認
証成功時に RADIUS/TACACS+サーバからコマンドリストを取得し,ユーザは本装置にログインします。
「図 8‒25 ローカルコマンド承認のシーケンス」で端末からユーザが本装置に telnet を実行すると,ロー
カル認証を行います。認証成功時にコンフィグレーションからコマンドリストを取得し,ユーザは本装置に
ログインします。
ログイン後,ユーザは本装置で運用コマンド show interfaces などを実行できますが,運用コマンド reload
はコマンドリストによって制限されているために実行できません。
!
注意事項
RADIUS/TACACS+サーバのコマンドリストの設定を変更した場合またはコンフィグレーションのコマンドリ
ストを変更した場合は,次回のログイン認証後から反映されます。
(2) RADIUS/TACACS+/ローカルコマンド承認設定手順
RADIUS/TACACS+によるコマンド承認を使用するためには,次の手順で RADIUS/TACACS+サーバ
や本装置を設定します。
1. コマンド制限のポリシーを決める。
各ユーザに対して,運用コマンドの中で,制限または許可するコマンドのポリシーを決めます。
2. コマンドリストを指定する。
コマンドクラス以外に,許可/制限コマンドリストとして,許可コマンドと制限コマンドをそれぞれ指
定できます。
3. RADIUS/TACACS+サーバを設定する。
決定したコマンド制限ポリシーを基に,RADIUS または TACACS+のリモート認証サーバに,コマン
ド制限のための設定をします。
4. 本装置のリモート認証を設定する。
136
8 ログインセキュリティと RADIUS/TACACS+
本装置で RADIUS または TACACS+サーバのコンフィグレーションと aaa コンフィグレーションを
設定します。
5. コマンド承認の動作を確認する。
RADIUS/TACACS+を使用したリモート運用端末から本装置へログインして,確認します。
ローカルコマンド承認を使用するためには,次の手順で本装置を設定します。
1. コマンド制限のポリシーを決める。
各ユーザに対して,運用コマンドの中で,制限または許可するコマンドのポリシーを決めます。
2. コマンドリストを作成する。
コマンドクラス以外に,コマンドリストとして許可コマンドと制限コマンドをそれぞれ指定できます。
決定したコマンド制限ポリシーを基に,コマンドリストのコンフィグレーションを設定します。
なお,コマンドクラスだけを使用する場合は作成不要です。
3. ユーザにコマンドクラスまたはコマンドリストを割り当てる。
各ユーザに対して,コマンドクラスまたはコマンドリストを割り当てる username コンフィグレーショ
ンを設定します。
その後に,aaa コンフィグレーションを設定します。
4. コマンド承認の動作を確認する。
本装置へローカル認証でログインして確認します。
(3) コマンド制限のポリシー決定
各ユーザに対して,運用コマンドの中で,制限または許可するコマンドのポリシーを決めます。ここでは,
各ユーザがログインしたときに,あるコマンド群は許可して,それ以外のコマンドは制限するなどを決めま
す。ポリシーは,「(5) RADIUS/TACACS+/ローカルコマンド承認の設定」で設定します。
コマンド制限または許可の対象となるのは,運用コマンドです。マニュアル未掲載のデバッグコマンド(ps
コマンドなど)は対象外で,常に制限されます(許可が必要な場合は,次に説明するコマンドクラスで root
を指定してコマンド無制限クラスとしてください)。なお,logout,exit,quit,disable,set terminal,
show whoami,who am i コマンドに関しては常に許可されます。
本装置には,あらかじめ「コマンドクラス」として,次に示すポリシーが設定されています。規定のコマン
ドクラスを選択することで,そのクラスに応じてコマンドを制限できます。
表 8‒11 コマンドクラス一覧
コマンドクラス
root
全コマンド無制限クラス
allcommand
許可コマンド
すべてのコマンド
すべての運用コマンド"all"
なし(マニュアル未掲載のデ
バッグコマンドは不可)
制限以外の運用コマンド
"config, copy, erase
configuration"
制限以外の運用コマンド
"enable"
コンフィグレーション変更制限クラス(コンフィ
グレーションコマンド指定も制限します)
noenable
なし
(マニュアル未掲載のデバッ
グコマンドを含む)
運用コマンド無制限クラス
noconfig
制限コマンド
装置管理者モードコマンド制限クラス
137
8 ログインセキュリティと RADIUS/TACACS+
また,コマンドクラス以外に,許可コマンドリストと制限コマンドリストをそれぞれ指定することもできま
す。
(4) コマンドリストの指定方法について
コマンドクラス以外に,許可/制限コマンドリストとして,許可コマンドと制限コマンドをそれぞれ指定で
きます。コマンドを指定する場合は,各コマンドリストに設定対象のコマンド文字列をスペースも意識して
指定します。複数指定する場合はコンマ(,)で区切って並べます。なお,ローカルコマンド承認では,コ
マンド文字列をコンフィグレーションコマンド commands exec で一つずつ設定します。本装置では,そ
の設定されたコマンド文字列をコンマ(,)で連結したものをコマンドリストとして使用します。
コマンドリストで指定されたコマンド文字列と,ユーザが入力したコマンドの先頭部分とが,合致するかど
うかを判定します(前方一致)。なお,特別な文字列として,all を指定できます。all は運用コマンドすべ
てを意味します。
判定時に,許可コマンドリストと制限コマンドリストの両方に合致した場合は,合致したコマンド文字数が
多い方の動作を採用します(ただし,all 指定は文字数を 1 とします)。その際,許可コマンドリストと制限
コマンドリストに同じコマンド文字列が指定されていた場合は,許可として判定されます。
また,コマンドクラスと許可/制限コマンドリストを同時に指定した場合は,コマンドクラスごとに規定さ
れているコマンドリスト(「表 8‒11 コマンドクラス一覧」中の" "で囲まれているコマンドリストに対応)
と許可/制限コマンドリストを合わせて判定を行います。なお,コマンドクラスに root を指定した場合,
許可/制限コマンドクラスの設定は無効となり,マニュアル未掲載のデバッグコマンド(ps コマンドなど)
を含むすべてのコマンドが実行できるようになります。
例 1〜7 にある各コマンドリストを設定した場合,本装置でどのようなコマンドが許可/制限されるかを示
します。
(例 1)
許可コマンドリストだけを設定した場合,設定されたコマンドだけが実行を許可されます。
表 8‒12 コマンドリスト例 1
コマンドリスト
許可コマンドリスト="show ,ping"
制限コマンドリスト 設定なし
指定コマンド
判定
show ip arp
許可
ping ipv6 ::1
許可
reload
制限
(例 2)
許可コマンドリストと制限コマンドリストの両方に合致した場合は,合致したコマンド文字数が多い方
の動作とします(ただし,all 指定は文字数 1 とします)。
表 8‒13 コマンドリスト例 2
コマンドリスト
許可コマンドリスト="show ,ping ipv6"
制限コマンドリスト="show ip,ping"
138
指定コマンド
判定
show system
許可
show ipv6 neighbors
制限
ping ipv6 ::1
許可
ping 10.10.10.10
制限
8 ログインセキュリティと RADIUS/TACACS+
(例 3)
許可コマンドリストと制限コマンドリストの両方を設定し,両方に合致しない場合は,許可として判定
されます。
表 8‒14 コマンドリスト例 3
コマンドリスト
許可コマンドリスト="show"
制限コマンドリスト="reload"
指定コマンド
判定
ping 10.10.10.10
許可
reload
制限
(例 4)
許可コマンドリストと制限コマンドリストに同じコマンド文字列が指定されている場合は,許可として
判定されます。
表 8‒15 コマンドリスト例 4
コマンドリスト
許可コマンドリスト="show"
制限コマンドリスト="show,ping"
指定コマンド
判定
show system
許可
ping ipv6 ::1
制限
(例 5)
コマンドリストをまったく設定しなかった場合は,logout などのコマンド以外はすべて制限されます。
表 8‒16 コマンドリスト例 5
コマンドリスト
許可コマンドリスト 設定なし
制限コマンドリスト 設定なし
指定コマンド
判定
すべて
制限
logout,exit,quit,disable,set
terminal,show whoami,who am i
許可
(例 6)
クラスとして root を指定した場合は,従来どおりすべてのコマンドが実行可能となります。なお,コ
マンドクラスに root を指定した場合,許可/制限コマンドクラスの制限は無効となり,マニュアル未
掲載のデバッグコマンド(ps コマンドなど)を含むすべてのコマンドが実行可能となります。
表 8‒17 コマンドリスト例 6
コマンドリスト
コマンドクラス="root"
指定コマンド
判定
すべて(マニュアル未掲載のデバッグコマ
ンドを含む)
許可
(例 7)
制限コマンドリストだけを設定した場合は,リストに合致しない運用コマンドはすべて許可となりま
す。
表 8‒18 コマンドリスト例 7
コマンドリスト
許可コマンドリスト 設定なし
制限コマンドリスト= "reload"
指定コマンド
判定
reload 以外の運用コマンドすべて
許可
reload
制限
139
8 ログインセキュリティと RADIUS/TACACS+
本マニュアルでは,例として次表のようなポリシーでコマンド制限を行います。
表 8‒19 コマンド制限のポリシー例
ユーザ名
コマンドクラス
許可コマンド
制限コマンド
staff
allcommand
運用コマンドすべて
なし
guest
なし
制限以外の運用コマンドすべて許可
reload …※
inactivate …※
enable …※
test
なし
許可以外,すべて制限
show ip …※
(show ipv6 …は制限)
注※ …は任意のパラメータを意味します(show ip …は show ip arp など)。
(5) RADIUS/TACACS+/ローカルコマンド承認の設定
(a) コマンド承認の設定
「表 8‒19 コマンド制限のポリシー例」で決定したコマンド制限ポリシーを基に,RADIUS または
TACACS+のリモート認証サーバでは,通常のログイン認証の設定以外に,以下の属性値を使用したコマ
ンド制限のための設定をします。
なお,サーバ側でコマンド承認を設定していない場合,ユーザが認証されログインできても logout,exit,
quit,disable,set terminal,show whoami,who am i 以外のすべてのコマンドが制限され,コマンド
を実行できなくなりますので注意してください。その場合は,コンソールからログインしてください。
また,コンフィグレーションコマンド aaa authorization commands console によってコンソールもコマ
ンド承認の対象となっている場合は,デフォルトリスタート後,ログインしてください。
● RADIUS サーバを使用する場合
RADIUS サーバを利用してコマンド制限する場合は,認証時に以下のような属性を返すようにサーバで設
定します。
表 8‒20 RADIUS 設定属性一覧
属性
25 Class
ベンダー固有属性
−
値
クラス
次の文字列のどれか一つを指定します。
root,allcommand,noconfig,noenable
26 VendorSpecific
ALAXALA-AllowCommands
Vendor-Id: 21839
Vendor type: 101
許可コマンドリスト
許可するコマンドの前方一致文字列をコンマ(,)で区切っ
て指定します。空白も区別します。
運用コマンドすべては"all"を指定します。
許可コマンドリストだけ設定した場合は,許可コマンドリス
ト以外のコマンドはすべて制限となります。
(例:ALAXALA-Allow-Commands="show ,ping ,telnet
")
ALAXALA-DenyCommands
140
制限コマンドリスト
8 ログインセキュリティと RADIUS/TACACS+
属性
ベンダー固有属性
Vendor type: 102
値
制限するコマンドの前方一致文字列をコンマ(,)で区切っ
て指定します。空白も区別します。
運用コマンドすべては"all"を指定します。
制限コマンドリストだけ設定した場合は,制限コマンドリス
ト以外はすべて許可となります。
(例:ALAXALA-Deny-Commands="enable,reload,
inactivate")
(凡例)−:該当なし
RADIUS サーバには,上記のベンダー固有属性を登録(dictionary ファイルなどに設定)してください。
図 8‒26 RADIUS サーバでのベンダー固有属性の dictionary ファイル登録例
VENDOR
ATTRIBUTE
ATTRIBUTE
ALAXALA
ALAXALA-Allow-Commands
ALAXALA-Deny-Commands
21839
101
102
string
string
ALAXALA
ALAXALA
「表 8‒19 コマンド制限のポリシー例」で決定したポリシーを一般的な RADIUS サーバに設定する場合,
以下のような設定例になります。
図 8‒27 RADIUS サーバ設定例
staff
Password = "******"
Class = "allcommand"
<-1
guest
Password = "******"
Alaxala-Deny-Commands = "enable,reload,inactivate"
<-2
test
Password = "******"
Alaxala-Allow-Commands = "show ip "
<-3
注 ******の部分には各ユーザのパスワードを設定します。
1. クラス"allcommand"で運用コマンドすべてを許可します。
2. enable,reload,および inactivate で始まるコマンドを制限します。
allow-commands が指定されていないため,ほかのコマンドは許可となります。
3. 空白の有無が意味を持ちます。
"show ip "の後ろに空白があるため,show ip arp などのコマンドは許可されますが,show ipv6
neighbors などのコマンドは許可されません。
ほかのコマンドはすべて制限となります。
注意
• 本装置では Class エントリを複数受信した場合,1 個目の Class を認識し 2 個目以降の Class エン
トリは無効となります。
図 8‒28 複数 Class エントリ設定例
Class = "noenable"
<-1
Class = "allcommand"
1. 本装置では一つ目の noenable だけ有効となります。
141
8 ログインセキュリティと RADIUS/TACACS+
• 本装置では Class エントリに複数のクラス名を記述した場合,1 個目のクラス名を認識し 2 個目以
降のクラス名は無効となります。例えば,class="noenable,allcommand"と記述した場合,
noenable だけが有効になります。
• ALAXALA-Deny-Commands, ALAXALA-Allow-Commands のそれぞれで同一属性のエントリ
を複数受信した場合,一つの属性につきコンマ(,)と空白も含み 1024 文字までを認識し,1025
文字以降は受信しても無効となります。なお,次の例のように同一属性を複数エントリに記述し,
本装置で 2 個目以降のエントリを受信した場合にはエントリの先頭に自動的にコンマ(,)を設定し
ます。
図 8‒29 複数 Deny-Commands エントリ設定例
ALAXALA-Deny-Commands = "inactivate,reload"
<-1
ALAXALA-Deny-Commands = "activate,test,............"
<-1
1. 本装置では下線の部分を合計 1024 文字まで認識します。
上記の Deny-Commands を受信した場合は,下記のように 2 個目のエントリの先頭である
activate コマンドの前にコンマ(,)が自動的に設定されます。
Deny-Commands = "inactivate,reload,activate,test,........."
● TACACS+サーバを使用する場合
TACACS+サーバを使用してコマンド制限をする場合は,TACACS+サーバで承認の設定として以下のよ
うな属性−値のペアを設定します。
表 8‒21 TACACS+設定属性一覧
service
taclogin
属性
class
値
コマンドクラス
次の文字列のどれかを指定
root,allcommand,noconfig,noenable
allow-commands
許可コマンドリスト
許可するコマンドの前方一致文字列をコンマ(,)で区切って指定します。空
白も区別します。
運用コマンドすべては"all"を指定します。
許可コマンドリストだけ設定した場合は,許可コマンドリスト以外のコマンド
はすべて制限となります。
(例:allow-commands="show ,ping ,telnet ")
deny-commands
制限コマンドリスト
制限するコマンドの前方一致文字列をコンマ(,)で区切って指定します。空
白も区別します。
運用コマンドすべては"all"を指定します。制限コマンドリストだけ設定した
場合は,制限コマンドリスト以外はすべて許可となります。
(例:deny-commands="enable,reload,inactivate")
「表 8‒19 コマンド制限のポリシー例」で決定したポリシーを一般的な TACACS+サーバに設定する場
合,次のような設定ファイルイメージになります。
図 8‒30 TACACS+サーバの設定例
user=staff {
login = cleartext "******"
service = taclogin {
class = "allcommand"
142
<-1
8 ログインセキュリティと RADIUS/TACACS+
}
}
user=guest {
login = cleartext "******"
service = taclogin {
deny-commands = "enable,reload,inactivate"
}
user=test {
login = cleartext "******"
service = taclogin {
allow-commands = "show ip "
}
<-2
<-3
注 ******の部分には各ユーザのパスワードを設定します。
1. service 名は taclogin と設定します。
クラス"allcommand"で運用コマンドすべてを許可します。
2. enable,reload,および inactivate で始まるコマンドを制限します。
allow-commands が指定されていないため,ほかのコマンドは許可となります。
3. 空白の有無が意味を持ちます。
"show ip "の後ろに空白があるため,show ip arp などのコマンドは許可されますが,show ipv6
neighbors などのコマンドは許可されません。
ほかのコマンドはすべて制限となります。
注意
• 本装置では class エントリに複数のクラス名を記述した場合,1 個目のクラス名を認識し 2 個目以降
のクラス名は無効となります。例えば,class="noenable,allcommand"と記述した場合,noenable
だけが有効になります。
• deny-commands,allow-commands のそれぞれで,一つの属性につきコンマ(,)と空白も含み
1024 文字までを認識し,1025 文字以降は受信しても無効となります。
● ローカルコマンド承認を使用する場合
「表 8‒19 コマンド制限のポリシー例」で決定したポリシーをローカルコマンド承認で設定する場合,次
のようなコンフィグレーションの設定になります。
図 8‒31 コンフィグレーションの設定例
username guest 100 password hidden "$6$IV8Zku9 ... yHwVYBogw0"
username guest view guest_view
username staff 101 password hidden "$6$sInO64g ... o1jy7xbHj."
username staff view-class allcommand
username test 102 password hidden "$6$ijRqkU2j ... 8qdMXxFk0"
username test view test_view
!
parser view guest_view
commands exec exclude all "enable"
commands exec exclude all "inactivate"
commands exec exclude all "reload"
!
parser view test_view
commands exec include all "show ip "
!
aaa authentication login default local
aaa authorization commands default local
<-1
<-2
<-2
<-2
<-3
1. ユーザ"staff"に対し,クラス"allcommand"で運用コマンドすべてを許可します。
143
8 ログインセキュリティと RADIUS/TACACS+
2. enable,inactivate,および reload で始まるコマンドを制限します。
commands exec include が指定されていないため,ほかのコマンドは許可となります。
3. 空白の有無が意味を持ちます。
"show ip "の後ろに空白があるため,show ip arp などのコマンドは許可されますが,show ipv6
neighbors などのコマンドは許可されません。
ほかのコマンドはすべて制限となります。
(b) ログインしての確認
設定が完了したあと,RADIUS/TACACS+/ローカルを使用したリモート運用端末から本装置へのログイ
ンを行います。ログイン後,show whoami コマンドでコマンドリストが設定されていること,コマンド
を実行して制限または許可していることを確認してください。
図 8‒32 staff がログイン後の確認例
> show whoami
Date 20XX/01/07 12:00:00 UTC
staff ttyp0
----- 2
Jan
6 14:17 (10.10.10.10)
Home-directory: /usr/home/staff
Authentication: TACACS+ (Server 192.168.10.1)
Class: allcommand
Allow: "all"
Deny : ----Command-list: ---->
> show clock
Wed Jan 7 12:00:10 UTC 20XX
> /bin/date
The command is not authorized by the RADIUS/TACACS+ server or the configuration.
>
図 8‒33 guest がログイン後の確認例
>show whoami
Date 20XX/01/07 12:00:00 UTC
guest ttyp0
----- 2
Jan
6 14:17 (10.10.10.20)
Home-directory: /usr/home/guest
Authentication: RADIUS (Server 192.168.10.1)
Class: ----Command-list:
Allow: ----Deny : "enable,reload,inactivate"
>
> show clock
Wed Jan 7 12:00:10 UTC 20XX
> reload
The command is not authorized by the RADIUS/TACACS+ server or the configuration.
>
図 8‒34 test がログイン後の確認例
>show whoami
Date 20XX/01/07 12:00:00 UTC
test ttyp0
----- 2
Jan
6 14:17 (10.10.10.30)
Home-directory: /usr/home/test
Authentication: LOCAL
Class: ----Command-list:
Allow: "show ip "
Deny : ---->
> show ip arp
<-1
> show ipv6 neighbors
The command is not authorized by the RADIUS/TACACS+ server or the configuration.
>
144
8 ログインセキュリティと RADIUS/TACACS+
1. コマンドが実行されます。
8.2.5 RADIUS/TACACS+を使用したアカウンティング
RADIUS/TACACS+を使用したアカウンティング方法について説明します。
(1) アカウンティングの指定
本装置の RADIUS/TACACS+コンフィグレーションと aaa accounting コンフィグレーションのアカウ
ンティングを設定すると,運用端末から本装置へのログイン・ログアウト時に RADIUS または TACACS
+サーバへアカウンティング情報を送信します。また,本装置へのコマンド入力時に TACACS+サーバへ
アカウンティング情報を送信します。
アカウンティングの設定は,ログインとログアウトのイベントを送信するログインアカウンティング指定
と,コマンド入力のイベントを送信するコマンドアカウンティング指定があります。コマンドアカウンティ
ングは TACACS+だけでサポートしています。
それぞれのアカウンティングに対して,アカウンティング START と STOP を両方送信するモード(startstop)と STOP だけを送信するモード(stop-only)を選択できます。さらに,コマンドアカウンティング
に対しては,入力したコマンドをすべて送信するモードとコンフィグレーションだけを送信するモードを選
択できます。また,設定された各 RADIUS/TACACS+サーバに対して,通常はどこかのサーバでアカウ
ンティングが成功するまで順に送信しますが,成功したかどうかにかかわらずすべてのサーバへ順に送信す
るモード(broadcast)も選択できます。
(2) アカウンティングの流れ
ログインアカウンティングとコマンドアカウンティングの両方を START-STOP 送信モードで TACACS
+サーバへ送信する設定をした場合のシーケンスを次の図に示します。
図 8‒35 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングの STARTSTOP 送信モード時)
145
8 ログインセキュリティと RADIUS/TACACS+
この図で運用端末から本装置にログインが成功すると,本装置から TACACS+サーバに対しユーザ情報や
時刻などのアカウンティング情報を送信します。また,コマンドの入力前後にも本装置から TACACS
+サーバに対し入力したコマンド情報などのアカウンティング情報を送信します。最後に,ログアウト時に
は,ログインしていた時間などの情報を送信します。
ログインアカウンティングは START-STOP 送信モードのままで,コマンドアカウンティングだけを
STOP-ONLY 送信モードして TACACS+サーバへ送信する設定をした場合のシーケンスを次の図に示し
ます。
図 8‒36 TACACS+アカウンティングのシーケンス(ログインアカウンティング START-STOP,コマン
ドアカウンティング STOP-ONLY 送信モード時)
「図 8‒35 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングの STARTSTOP 送信モード時)」の例と比べると,ログイン・ログアウトでのアカウンティング動作は同じですが,
コマンドアカウンティングで STOP-ONLY を指定している場合,コマンドの入力前にだけ本装置から
TACACS+サーバに対し入力したコマンド情報などのアカウンティング情報を送信します。
(3) アカウンティングの注意事項
RADIUS/TACACS+コンフィグレーション,aaa accounting コンフィグレーションのアカウンティング
の設定や interface loopback コンフィグレーションで IPv4 装置アドレスを変更した場合は,送受信途中
や未送信のアカウンティングイベントと統計情報はクリアされ,新しい設定で動作します。
多数のユーザが,コマンドを連続して入力したり,ログイン・ログアウトを繰り返したりした場合,アカウ
ンティングイベントが大量に発生するため,一部のイベントでアカウンティングできないことがあります。
アカウンティングイベントの大量な発生による本装置・サーバ・ネットワークへの負担を避けるためにも,
コマンドアカウンティングは STOP-ONLY で設定することをお勧めします。また,正常に通信できない
RADIUS/TACACS+サーバは指定しないでください。
運用コマンド clear accounting でアカウンティング統計情報をクリアする場合,clear accounting コマン
ドの入力時点で各サーバへの送受信途中のアカウンティングイベントがあるときは,そのイベントの送受信
終了後に,各サーバへの送受信統計のカウントを開始します。
146
8 ログインセキュリティと RADIUS/TACACS+
DNS サーバを使用してホスト名を解決する場合,DNS サーバとの通信に時間が掛かることがあります。
このため,RADIUS サーバおよび TACACS+サーバは IP アドレスで指定することをお勧めします。
8.2.6 RADIUS/TACACS+との接続
(1) RADIUS サーバとの接続
(a) RADIUS サーバでの本装置の識別
RADIUS プロトコルでは NAS を識別するキーとして,要求パケットの発信元 IP アドレスを使用するよう
規定されています。本装置では要求パケットの発信元 IP アドレスに次に示すアドレスを使用します。
• コンフィグレーションコマンド interface loopback 0 のローカルアドレスが設定されている場合は,
ローカルアドレスを発信元 IP アドレスとして使用します。
• ローカルアドレスが設定されていない場合は,送信インタフェースの IP アドレスを使用します。
このため,ローカルアドレスが設定されている場合は,RADIUS サーバに本装置を登録するためにローカ
ルアドレスで指定した IP アドレスを使用する必要があります。これによって,RADIUS サーバと通信する
インタフェースが特定できない場合は,ローカルアドレスを設定することで RADIUS サーバを確実に識別
できる本装置の情報を登録できるようになります。
(b) RADIUS サーバのメッセージ
RADIUS サーバは応答に Reply-Message 属性を添付して要求元にメッセージを送付する場合がありま
す。本装置では,RADIUS サーバからの Reply-Message 属性の内容を運用ログに出力します。RADIUS
サーバとの認証に失敗する場合は,運用ログを参照してください。
(c) RADIUS サーバのポート番号
RADIUS の認証サービスのポート番号は,RFC2865 で 1812 と規定されています。本装置では特に指定
しないかぎり,RADIUS サーバへの要求に 1812 のポート番号を使用します。しかし,一部の RADIUS
サーバで 1812 ではなく初期の実装時に使用されていた 1645 のポート番号を使用している場合がありま
す。このときはコンフィグレーション radius-server host の auth-port パラメータで 1645 を指定してく
ださい。なお,auth-port パラメータでは 1〜65535 の任意の値が指定できますので,RADIUS サーバが
任意のポート番号で待ち受けできる場合にも対応できます。
(2) TACACS+サーバとの接続
(a) TACACS+サーバの設定
• 本装置と TACACS+サーバを接続する場合は,Service と属性名などに注意してください。TACACS
+サーバの属性については,
「8.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照
してください。
• コンフィグレーションコマンド interface loopback 0 のローカルアドレスが設定されている場合は,
ローカルアドレスを発信元 IP アドレスとして使用します。
147
8 ログインセキュリティと RADIUS/TACACS+
8.3 RADIUS/TACACS+のコンフィグレーション
8.3.1 コンフィグレーションコマンド一覧
RADIUS/TACACS+,アカウンティングに関するコンフィグレーションコマンド一覧を次の表に示しま
す。
表 8‒22 コンフィグレーションコマンド一覧(RADIUS)
コマンド名
説明
radius-server host
認証,承認,アカウンティングに使用する RADIUS サーバを設定します。
radius-server key
認証,承認,アカウンティングに使用する RADIUS サーバ鍵を設定します。
radius-server retransmit
認証,承認,アカウンティングに使用する RADIUS サーバへの再送回数を設
定します。
radius-server timeout
認証,承認,アカウンティングに使用する RADIUS サーバの応答タイムアウ
ト値を設定します。
表 8‒23 コンフィグレーションコマンド一覧(TACACS+)
コマンド名
説明
tacacs-server host
認証,承認,アカウンティングに使用する TACACS+サーバを設定します。
tacacs-server key
認証,承認,アカウンティングに使用する TACACS+サーバの共有秘密鍵を
設定します。
tacacs-server timeout
認証,承認,アカウンティングに使用する TACACS+サーバの応答タイムア
ウト値を設定します。
表 8‒24 コンフィグレーションコマンド一覧(アカウンティング)
コマンド名
説明
aaa accounting commands
コマンドアカウンティングを行うときに設定します。
aaa accounting exec
ログイン・ログアウトアカウンティングを行うときに設定します。
8.3.2 RADIUS サーバによる認証の設定
(1) ログイン認証の設定例
[設定のポイント]
RADIUS サーバ,およびローカル認証を行う設定例を示します。RADIUS サーバとの通信不可などの
異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認証
に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
あらかじめ,通常のリモートアクセスに必要な設定を行っておく必要があります。
[コマンドによる設定]
1. (config)# aaa authentication login default group radius local
ログイン時に使用する認証方式を RADIUS 認証,ローカル認証の順に設定します。
148
8 ログインセキュリティと RADIUS/TACACS+
2. (config)# aaa authentication login end-by-reject
RADIUS 認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないように
設定します。
3. (config)# radius-server host 192.168.10.1 key "039fkllf84kxm3"
RADIUS 認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
(2) 装置管理者モードへの変更(enable コマンド)時の認証の設定例
[設定のポイント]
RADIUS サーバ,およびローカル認証を行う設定例を示します。RADIUS サーバとの通信不可などの
異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認証
に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
また,RADIUS 認証時のユーザ名属性として$enab15$を送信するように設定します。
[コマンドによる設定]
1. (config)# aaa authentication enable default group radius enable
装置管理者モードへの変更(enable コマンド)時に使用する認証方式を RADIUS 認証,ローカル認証
の順に設定します。
2. (config)# aaa authentication enable end-by-reject
RADIUS 認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないように
設定します。
3. (config)# aaa authentication enable attribute-user-per-method
RADIUS 認証時のユーザ名属性として$enab15$を送信するように設定します。
4. (config)# radius-server host 192.168.10.1 key "039fkllf84kxm3"
RADIUS 認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
8.3.3 TACACS+サーバによる認証の設定
(1) ログイン認証の設定例
[設定のポイント]
TACACS+サーバおよびローカル認証を行う設定例を示します。TACACS+サーバとの通信不可など
の異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認
証に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
あらかじめ,通常のリモートアクセスに必要な設定を行っておく必要があります。
[コマンドによる設定]
1. (config)# aaa authentication login default group tacacs+ local
ログイン時に使用する認証方式を TACACS+認証,ローカル認証の順に設定します。
2. (config)# aaa authentication login end-by-reject
TACACS+認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないよう
に設定します。
3. (config)# tacacs-server host 192.168.10.1 key "4h8dlir9r-w2"
TACACS+認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
149
8 ログインセキュリティと RADIUS/TACACS+
(2) 装置管理者モードへの変更(enable コマンド)時の認証の設定例
[設定のポイント]
TACACS+サーバおよびローカル認証を行う設定例を示します。TACACS+サーバとの通信不可など
の異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認
証に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
また,TACACS+認証時のユーザ名属性としてログインユーザ名を送信するように設定します。
[コマンドによる設定]
1. (config)# aaa authentication enable default group tacacs+ enable
装置管理者モードへの変更(enable コマンド)時に使用する認証方式を TACACS+認証,ローカル認
証の順に設定します。
2. (config)# aaa authentication enable end-by-reject
TACACS+認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないよう
に設定します。
3. (config)# aaa authentication enable attribute-user-per-method
TACACS+認証時のユーザ名属性としてログインユーザ名を送信するように設定します。
4. (config)# tacacs-server host 192.168.10.1 key "4h8dlir9r-w2"
TACACS+認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
8.3.4 RADIUS/TACACS+/ローカルによるコマンド承認の設定
(1) RADIUS サーバによるコマンド承認の設定例
[設定のポイント]
RADIUS サーバによるコマンド承認を行う設定例を示します。
あらかじめ,RADIUS 認証を使用する設定を行ってください。
[コマンドによる設定]
1. (config)# aaa authentication login default group radius local
(config)# radius-server host 192.168.10.1 key "RaD#001"
あらかじめ,RADIUS サーバによる認証の設定を行います。
2. (config)# aaa authorization commands default group radius
RADIUS サーバを使用して,コマンド承認を行います。
[注意事項]
本設定後にユーザが RADIUS 認証されてログインしたとき,RADIUS サーバ側でコマンド承認の設定
がされていなかった場合は,コマンドがすべて制限されて実行できなくなります。設定ミスなどでコマ
ンドの実行ができない場合は,コンソールからログインして修正してください。なお,コンフィグレー
ションコマンド aaa authorization commands console によってコンソールもコマンド承認の対象と
なっている場合は,デフォルトリスタート後,ログインして修正してください。
(2) TACACS+サーバによるコマンド承認の設定例
[設定のポイント]
TACACS+サーバによるコマンド承認を行う設定例を示します。
150
8 ログインセキュリティと RADIUS/TACACS+
あらかじめ,TACACS+認証を使用する設定を行ってください。
[コマンドによる設定]
1. (config)# aaa authentication login default group tacacs+ local
(config)# tacacs-server host 192.168.10.1 key "TaC#001"
あらかじめ,TACACS+サーバによる認証の設定を行います。
2. (config)# aaa authorization commands default group tacacs+
TACACS+サーバを使用して,コマンド承認を行います。
[注意事項]
本設定後にユーザが TACACS+認証されてログインしたとき,TACACS+サーバ側でコマンド承認の
設定がされていなかった場合は,コマンドがすべて制限されて実行できなくなります。設定ミスなどで
コマンドの実行ができない場合は,コンソールからログインして修正してください。なお,コンフィグ
レーションコマンド aaa authorization commands console によってコンソールもコマンド承認の対
象となっている場合は,デフォルトリスタート後,ログインして修正してください。
(3) ローカルコマンド承認の設定例
[設定のポイント]
ローカルコマンド承認を行う設定例を示します。
あらかじめ,ユーザ名とそれに対応したコマンドクラス(username view-class)またはコマンドリス
ト(username view・parser view・commands exec)の設定を行ってください。
また,ローカルパスワード認証を使用する設定を行ってください。
[コマンドによる設定]
1. (config)# parser view Local_001
(config-view)# commands exec include all "show"
(config-view)# commands exec exclude all "reload"
コマンドリストを使用する場合は,あらかじめコマンドリストの設定を行います。
なお,コマンドクラスだけを使用する場合は,コマンドリストの設定は必要ありません。
2. (config)# username user001 view Local_001
(config)# username user001 view-class noenable
指定ユーザにコマンドクラスまたはコマンドリストの設定を行います。
なお,コマンドクラスとコマンドリストを同時に設定することもできます。
3. (config)# aaa authentication login default local
ローカルパスワードによる認証の設定を行います。
4. (config)# aaa authorization commands default local
ローカル認証を使用して,コマンド承認を行います。
[注意事項]
ローカルコマンド承認を設定すると,ローカル認証でログインしたすべてのユーザに適用されますの
で,設定に漏れがないようご注意ください。
コマンドクラスまたはコマンドリストの設定がされていないユーザは,コマンドがすべて制限されて実
行できなくなります。
151
8 ログインセキュリティと RADIUS/TACACS+
設定誤りなどでコマンドの実行ができない場合は,コンソールからログインして修正してください。な
お,コンフィグレーションコマンド aaa authorization commands console によってコンソールもコ
マンド承認の対象となっている場合は,デフォルトリスタート後,ログインして修正してください。
8.3.5 RADIUS/TACACS+によるログイン・ログアウトアカウンティン
グの設定
(1) RADIUS サーバによるログイン・ログアウトアカウンティングの設定例
[設定のポイント]
RADIUS サーバによるログイン・ログアウトアカウンティングを行う設定例を示します。あらかじめ,
アカウンティング送信先となる RADIUS サーバホスト側の設定を行ってください。
[コマンドによる設定]
1. (config)# radius-server host 192.168.10.1 key "RaD#001"
あらかじめ,RADIUS サーバの設定を行います。
2. (config)# aaa accounting exec default start-stop group radius
ログイン・ログアウトアカウンティングの設定を行います。
[注意事項]
radius-server コンフィグレーションの設定がされていない状態で aaa accounting exec を設定した
場合,ユーザがログイン・ログアウトしたときにシステムメッセージ(メッセージ種別:ACCESS,
メッセージ識別子:27000013)が表示されます。使用する radius-server コンフィグレーションを設
定してください。
(2) TACACS+サーバによるログイン・ログアウトアカウンティングの設定例
[設定のポイント]
TACACS+サーバによるログイン・ログアウトアカウンティングを行う設定例を示します。あらかじ
め,アカウンティング送信先となる TACACS+サーバホスト側の設定を行ってください。
[コマンドによる設定]
1. (config)# tacacs-server host 192.168.10.1 key "TaC#001"
あらかじめ,TACACS+サーバの設定を行います。
2. (config)# aaa accounting exec default start-stop group tacacs+
ログイン・ログアウトアカウンティングの設定を行います。
[注意事項]
tacacs-server コンフィグレーションの設定がされていない状態で aaa accounting exec を設定した
場合,ユーザがログイン・ログアウトしたときにシステムメッセージ(メッセージ種別:ACCESS,
メッセージ識別子:27000013)が表示されます。使用する tacacs-server コンフィグレーションを設
定してください。
152
8 ログインセキュリティと RADIUS/TACACS+
8.3.6 TACACS+サーバによるコマンドアカウンティングの設定
(1) TACACS+サーバによるコマンドアカウンティングの設定例
[設定のポイント]
TACACS+サーバによるコマンドアカウンティングを行う設定例を示します。
あらかじめ,アカウンティング送信先となる TACACS+サーバホスト側の設定を行ってください。
[コマンドによる設定]
1. (config)# tacacs-server host 192.168.10.1 key "TaC#001"
TACACS+サーバの設定を行います。
2. (config)# aaa accounting commands 0-15 default start-stop group tacacs+
コマンドアカウンティングを設定します。
[注意事項]
tacacs-server コンフィグレーションの設定がされていない状態で aaa accounting commands を設
定した場合,ユーザがコマンドを実行したときにシステムメッセージ(メッセージ種別:ACCESS,
メッセージ識別子:27000013)が表示されます。使用する tacacs-server コンフィグレーションを設
定してください。
153
9
時刻の設定と NTP/SNTP
この章では,時刻の設定と NTP/SNTP について説明します。
155
9 時刻の設定と NTP/SNTP
9.1 解説
9.1.1 概要
時刻は,本装置の初期導入時に設定してください。時刻は,本装置のログ情報や各種ファイルの作成時刻な
どに付与される情報です。運用開始時には正確な時刻を本装置に設定してください。運用コマンド set
clock で時刻を設定できます。
また,このほかに,NTP または SNTP を使用して,ネットワーク上の NTP サーバまたは SNTP サーバと
時刻を同期できます。本装置での NTP と SNTP の特徴は次のとおりです。
NTP の特徴
• 複数の NTP サーバを参照して,高い精度で時刻を同期できます。
• 過去の同期情報から時刻の精度を計算して,自動で時刻を補正できます。
• シンメトリック・アクティブ/パッシブモードを構成して,複数の NTP サーバ間で時刻を補正でき
ます。
SNTP の特徴
• IPv6 を使用した時刻の同期をサポートしています。
• NTP のような時刻情報の計算がなく,設計がシンプルです。
• 最大 4096 の SNTP クライアントからの時刻情報の問い合わせに対応できます。
本装置が NTP または SNTP のクライアント機能を使用している場合に,NTP サーバまたは SNTP サーバ
と同期できます。また,本装置が NTP または SNTP のサーバ機能を使用している場合に,NTP クライア
ントまたは SNTP クライアントから同期できます。
なお,本装置は NTP モード 6 およびモード 7 のパケットには応答しません。
9.1.2 時刻の設定と NTP/SNTP に関する注意事項
• 時刻が変更された場合,運用コマンド show cpu で表示される CPU 使用率の統計情報は 0 クリアされ
ます。
• サマータイムの設定は過去の時刻をさかのぼって有効となります。
• NTP と SNTP は同時に設定できません。
156
9 時刻の設定と NTP/SNTP
9.2 時刻の設定
9.2.1 コンフィグレーションコマンド・運用コマンド一覧
時刻設定のコンフィグレーションコマンド一覧を次の表に示します。
表 9‒1 コンフィグレーションコマンド一覧
コマンド名
説明
clock summer-time
サマータイムを設定します。
clock timezone
タイムゾーンを設定します。
時刻設定の運用コマンド一覧を次の表に示します。
表 9‒2 運用コマンド一覧
コマンド名
set clock
説明
ローカルタイムの日付,時刻を設定,表示します。
9.2.2 システムクロックの設定
タイムゾーンが JST,UTC からのオフセットが+9 の日本時間を設定する例を次に示します。
[設定のポイント]
時刻を設定する場合は,あらかじめコンフィグレーションコマンド clock timezone でタイムゾーンを
設定する必要があります。
[コマンドによる設定]
1. (config)# clock timezone JST +9
日本時間として,タイムゾーンに JST,UTC からのオフセットを+9 に設定します。
2. (config)# save
(config)# exit
コミットモードが逐次コミットモードの場合は,save コマンドでスタートアップコンフィグレーション
に保存します。手動コミットモードの場合は,commit コマンドでランニングコンフィグレーションに
反映したあと,スタートアップコンフィグレーションに保存してください。
そのあと,コンフィグレーションモードから装置管理者モードに移行します。
3. # set clock 1303221530
Fri Mar 22 15:30:00 JST 2013
JST での時間を 2013 年 3 月 22 日 15 時 30 分に設定します。
9.2.3 サマータイムの設定
タイムゾーンとして,標準時だけでなく,サマータイムも設定できます。サマータイムの設定では,サマー
タイムの適用期間と標準時からの時間差を指定できます。サマータイムへ切り替わる時刻は,コンフィグ
レーションコマンド clock timezone で指定された標準時を基準とします。
157
9 時刻の設定と NTP/SNTP
例えば,アメリカ東部標準時(EST)のタイムゾーンにアメリカ東部夏時間(EDT)を適用する場合,ア
メリカ東部夏時間の適用期間である 3 月第 2 日曜日午前 2 時から 11 月第 1 日曜日午前 2 時までを 1 時間
差のサマータイムとして設定します。この場合,アメリカ東部標準時の 3 月第 2 日曜日午前 2 時にサマー
タイム開始として,時刻を 1 時間進めます。また,アメリカ東部夏時間の 11 月第 1 日曜日午前 2 時にサ
マータイム終了として,時刻を 1 時間戻します。サマータイムの適用例を次の図に示します。
図 9‒1 サマータイムの適用例
なお,サマータイムを設定するとき,適用期間の開始および終了を週で指定します。そのため,実際の適用
開始日および終了日は,指定月の最初の曜日によって決定します。例えば,最初の曜日が水曜で 30 日まで
ある場合,週と日付の対応は次のようになります。
図 9‒2 週と日付の対応(最初の曜日が水曜の場合)
この例では,第 1 週が 1 日〜7 日,第 2 週が 8 日〜14 日,第 3 週が 15 日〜21 日,第 4 週が 22 日〜28
日,第 5 週が 29 日〜30 日となります。第 5 週を設定したときにその曜日が第 4 週までしか存在しない場
合,第 4 週の指定した曜日でサマータイムが開始または終了します。
[設定のポイント]
サマータイムを設定する場合は,コンフィグレーションコマンド clock summer-time でタイムゾーン
からのオフセットを設定する必要があります。
[コマンドによる設定]
158
9 時刻の設定と NTP/SNTP
1. (config)# clock timezone EST -5
アメリカ東部標準時として,タイムゾーンに EST,UTC からのオフセットを-5 に設定します。
2. (config)# clock summer-time EDT recurring 3 2 sun 0200 11 1 sun 0200 offset 60
アメリカ東部夏時間として,3 月第 2 日曜日午前 2 時から 11 月第 1 日曜日午前 2 時までの期間に
EDT を設定します。サマータイム適用期間中は,EST から 60 分時刻を先に進めます。
3. (config)# save
(config)# exit
コミットモードが逐次コミットモードの場合は,save コマンドでスタートアップコンフィグレーション
に保存します。手動コミットモードの場合は,commit コマンドでランニングコンフィグレーションに
反映したあと,スタートアップコンフィグレーションに保存してください。
そのあと,コンフィグレーションモードから装置管理者モードに移行します。
4. # show clock
Fri Mar 22 15:30:00 EDT 2013
時刻を表示します。2013 年 3 月 22 日はサマータイム適用期間内のため,EST より時刻が 1 時間進み
ます。また,タイムゾーン名も EDT となります。
159
9 時刻の設定と NTP/SNTP
9.3 NTP のコンフィグレーション
9.3.1 コンフィグレーションコマンド一覧
NTP のコンフィグレーションコマンド一覧を次の表に示します。
表 9‒3 コンフィグレーションコマンド一覧
コマンド名
説明
ntp access-group
アクセスグループを作成して,IPv4 アドレスフィルタによって NTP サービスへの
アクセスを許可または制限できます。
ntp authenticate
NTP 認証機能を有効にします。
ntp authentication-key
認証鍵を設定します。
ntp broadcast
インタフェースごとにブロードキャストで NTP パケットを送信して,ほかの装置が
本装置に同期するように設定します。
ntp broadcast client
接続したサブネット上の装置からの NTP ブロードキャストメッセージを受け付け
るための設定をします。
ntp broadcastdelay
NTP ブロードキャストサーバと本装置間で予測される遅延時間を指定します。
ntp master
ローカルタイムサーバの設定を指定します。
ntp peer
NTP サーバに,シンメトリック・アクティブ/パッシブモードを構成します。
ntp server
NTP サーバをクライアントモードに設定して,クライアントサーバモードを構成し
ます。
ntp trusted-key
ほかの装置と同期する場合に,セキュリティ目的の認証をするように鍵番号を設定し
ます。
9.3.2 NTP によるタイムサーバと時刻同期の設定
NTP を使用して,本装置の時刻をタイムサーバの時刻に同期させます。
図 9‒3 NTP 構成図(タイムサーバへの時刻の同期)
[設定のポイント]
タイムサーバを複数設定した場合,本装置の同期先には ntp server コマンドで prefer パラメータを指
定されたタイムサーバが選択されます。また,prefer パラメータが指定されなかった場合は,タイム
160
9 時刻の設定と NTP/SNTP
サーバの stratum 値が最も小さいタイムサーバが選択され,すべての stratum 値が同じ場合の同期先は
任意となります。
[コマンドによる設定]
1. (config)# ntp server 192.168.1.100
IPv4 アドレス 192.168.1.100 のタイムサーバに本装置を同期させます。
9.3.3 NTP サーバとの時刻同期の設定
NTP を使用して,本装置の時刻と NTP サーバの時刻をお互いに調整しながら,同期させます。
図 9‒4 NTP 構成図(NTP サーバとの時刻の同期)
[設定のポイント]
複数の NTP サーバと本装置を同期する場合には,ntp peer コマンドを使用して複数設定する必要があ
ります。
NTP サーバを複数設定した場合,本装置の同期先には ntp peer コマンドで prefer パラメータを指定
された NTP サーバが選択されます。また,prefer パラメータが指定されなかった場合は,NTP サーバ
の stratum 値が最も小さい NTP サーバが選択され,すべての stratum 値が同じ場合の同期先は任意と
なります。
[コマンドによる設定]
1. (config)# ntp peer 192.168.1.2
IPv4 アドレス 192.168.1.2 の NTP サーバとの間を peer 関係として設定します。
9.3.4 NTP 認証の設定
[設定のポイント]
NTP でほかの装置と時刻を同期する場合に,セキュリティ目的の認証をします。
[コマンドによる設定]
1. (config)# ntp authenticate
NTP 認証機能を有効にします。
2. (config)# ntp authentication-key 1 md5 NtP#001
NTP 認証鍵として,鍵番号 1 に「NtP#001」を設定します。
3. (config)# ntp trusted-key 1
161
9 時刻の設定と NTP/SNTP
NTP 認証に使用する鍵番号 1 を指定します。
9.3.5 VRF での NTP による時刻同期の設定
NTP を使用して,VRF に存在する NTP サーバや NTP クライアントに対して時刻を同期させる設定をし
ます。
[設定のポイント]
NTP を使用して,本装置の時刻を任意の VRF に存在する NTP サーバに同期させます。また,本装置
の時刻が NTP サーバに同期している場合,グローバルネットワークを含む全 VRF に存在する複数の
NTP クライアントに本装置の時刻を配布できます。
同期の対象にする NTP サーバと NTP クライアントの VRF が異なる場合,NTP クライアントに対し
て,本装置の参照先ホストをローカルタイムサーバとして通知します。
[コマンドによる設定]
1. (config)# ntp server vrf 10 192.168.1.100
VRF 10 に存在する IPv4 アドレス 192.168.1.100 の NTP サーバに,本装置の時刻を同期させます。
構成はクライアントサーバモードです。
2. (config)# ntp peer vrf 10 192.168.1.100
VRF 10 に存在する IPv4 アドレス 192.168.1.100 の NTP サーバと本装置の時刻を同期させます。構
成はシンメトリック・アクティブ/パッシブモードです。
3. (config)# ntp broadcast client
NTP ブロードキャストメッセージで本装置の時刻を同期させます。グローバルネットワークを含む全
VRF 上のサブネットを対象にして,NTP サーバからの NTP ブロードキャストメッセージを受信しま
す。
4. (config)# interface gigabitethernet 1/3
(config-if)# vrf forwarding 20
(config-if)# ip address 192.168.10.1 255.255.255.0
(config-if)# ntp broadcast
VRF が指定されたインタフェースに対して NTP ブロードキャストの設定をします。本装置の時刻が
NTP サーバに同期すると,VRF 20,IPv4 アドレス 192.168.10.0,サブネットマスク 255.255.255.0
のネットワークに NTP ブロードキャストパケットを送信します。
162
9 時刻の設定と NTP/SNTP
9.4 SNTP のコンフィグレーション
9.4.1 コンフィグレーションコマンド一覧
SNTP のコンフィグレーションコマンド一覧を次の表に示します。
表 9‒4 コンフィグレーションコマンド一覧
コマンド名
説明
sntp access-group
アクセスグループを作成して,アドレスフィルタによって SNTP サービスへ
のアクセスを許可または制限できます。
sntp authenticate
SNTP 認証機能を有効にします。
sntp authentication-key
認証鍵を設定します。
sntp broadcast
インタフェースごとにブロードキャストまたはマルチキャストで SNTP パ
ケットを送信して,ほかの装置が本装置に同期するように設定します。
sntp broadcast client
接続したサブネット上の装置からの SNTP ブロードキャストメッセージまた
はマルチキャストメッセージを受け付けるための設定をします。
sntp broadcastdelay
SNTP ブロードキャストサーバまたは SNTP マルチキャストサーバと本装置
間で予測される遅延時間を指定します。
sntp broadcast send-interval
SNTP クライアントへブロードキャストまたはマルチキャストで時刻情報を
配布するための送信間隔を設定します。
sntp client interval
SNTP サーバへ時刻情報を要求する間隔を設定します。
sntp master
ローカルタイムサーバの設定を指定します。
sntp server
SNTP サーバをクライアントモードに設定して,クライアントサーバモード
を構成します。
sntp trusted-key
ほかの装置と同期する場合に,セキュリティ目的の認証をするように鍵番号
を設定します。
9.4.2 SNTP によるタイムサーバと時刻同期の設定
SNTP を使用して,本装置の時刻をタイムサーバの時刻に同期させます。
図 9‒5 SNTP 構成図(タイムサーバへの時刻の同期)
163
9 時刻の設定と NTP/SNTP
[コマンドによる設定]
1. (config)# sntp server 192.168.1.100
IPv4 アドレス 192.168.1.100 のタイムサーバに本装置を同期させます。
9.4.3 SNTP 認証の設定
[設定のポイント]
SNTP でほかの装置と時刻を同期する場合に,セキュリティ目的の認証をします。
[コマンドによる設定]
1. (config)# sntp authenticate
SNTP 認証機能を有効にします。
2. (config)# sntp authentication-key 1 md5 SntP#001
SNTP 認証鍵として,鍵番号 1 に「SntP#001」を設定します。
3. (config)# sntp trusted-key 1
SNTP 認証に使用する鍵番号 1 を指定します。
9.4.4 VRF での SNTP による時刻同期の設定
SNTP を使用して,VRF に存在する SNTP サーバや SNTP クライアントに対して時刻を同期させる設定
をします。
[設定のポイント]
SNTP を使用して,本装置の時刻を任意の VRF に存在する SNTP サーバに同期させます。また,本装
置の時刻が SNTP サーバに同期している場合,グローバルネットワークを含む全 VRF に存在する複数
の SNTP クライアントに本装置の時刻を配布できます。
同期の対象にする SNTP サーバと SNTP クライアントの VRF が異なる場合,SNTP クライアントに対
して,本装置の参照先ホストをローカルタイムサーバとして通知します。
[コマンドによる設定]
1. (config)# sntp server vrf 10 192.168.1.100
VRF 10 に存在する IPv4 アドレス 192.168.1.100 の SNTP サーバに,本装置の時刻を同期させます。
構成はクライアントサーバモードです。
2. (config)# sntp broadcast client
SNTP ブロードキャストメッセージで本装置の時刻を同期させます。グローバルネットワークを含む
全 VRF 上のサブネットを対象にして,SNTP サーバからの SNTP ブロードキャストメッセージを受信
します。
3. (config)# interface gigabitethernet 1/4
(config-if)# vrf forwarding 20
(config-if)# ip address 192.168.10.1 255.255.255.0
(config-if)# sntp broadcast ip
VRF が指定されたインタフェースに対して SNTP ブロードキャストの設定をします。本装置の時刻が
SNTP サーバに同期すると,VRF 20,IPv4 アドレス 192.168.10.0,サブネットマスク 255.255.255.0
のネットワークに SNTP ブロードキャストパケットを送信します。
164
9 時刻の設定と NTP/SNTP
9.5 オペレーション
9.5.1 運用コマンド一覧
時刻の設定と NTP/SNTP の運用コマンド一覧を次の表に示します。
表 9‒5 運用コマンド一覧
コマンド名
説明
show clock
現在設定されている日付,時刻を表示します。
show ntp associations
接続されている NTP サーバの動作状態を表示します。
restart ntp
ローカル NTP サーバを再起動します。
set clock sntp
SNTP サーバと手動で時刻を同期します。
show sntp status
接続されている SNTP サーバの動作状態を表示します。
restart sntp
ローカル SNTP サーバを再起動します。
9.5.2 時刻および NTP/SNTP の状態の確認
(1) 時刻の確認
本装置に設定されている時刻情報は,show clock コマンドで確認できます。次の図に例を示します。
図 9‒6 時刻の確認
> show clock
Wed Mar 22 15:30:00 UTC 20XX
>
(2) NTP の動作状態の確認
NTP を使用して,ネットワーク上の NTP サーバと時刻を同期している場合,show ntp associations コ
マンドで現在同期している NTP サーバとの動作状態を確認できます。次の図に例を示します。
図 9‒7 NTP サーバの動作状態の確認
> show ntp associations
Date 20XX/05/01 12:00:00 UTC
remote
refid
st t when poll reach
delay
offset
disp
==============================================================================
*timesvr
192.168.1.100
3 u
1
64 377
0.89
-2.827
0.27
>
(3) SNTP の動作状態の確認
SNTP を使用して,ネットワーク上の SNTP サーバと時刻を同期している場合,show sntp status コマン
ドで現在同期している SNTP サーバとの動作状態を確認できます。次の図に例を示します。
図 9‒8 SNTP サーバの動作状態の確認
> show sntp status
Date 20XX/05/01 12:00:00 UTC
Last SNTP Status
Current server: 192.168.1.100 VRF 30
Status:synchronize
Mode : Unicast, Lapsed time : 14(s), Offset : 1(s)
165
9 時刻の設定と NTP/SNTP
Poll interval: 16
Configured SNTP Status
SNTP server 2001:db8::1 priority
SNTP server 2001:db5::100 VRF 10
*SNTP server 192.168.1.100 VRF 30
SNTP broadcast 192.168.2.255 VRF
>
166
50
priority 20
priority 10
20
10
ホスト名と DNS
この章では,ホスト名と DNS の解説と操作方法について説明します。
167
10 ホスト名と DNS
10.1 解説
10.1.1 概要
本装置では,ネットワーク上の装置を識別するためにホスト名情報を設定できます。設定したホスト名情報
は,本装置のログ情報などのコンフィグレーションを設定するときにネットワーク上のほかの装置を指定す
る名称として使用できます。本装置で使用するホスト名情報は次に示す方法で設定できます。
• コンフィグレーションコマンド ip host または ipv6 host で個別に指定する方法
• DNS リゾルバ機能を使用してネットワーク上の DNS サーバに問い合わせる方法
コンフィグレーションコマンド ip host または ipv6 host を使用して設定する場合は,使用するホスト名ご
とに IP アドレスとの対応を明示的に設定する必要があります。DNS リゾルバを使用する場合は,ネット
ワーク上の DNS サーバで管理されている名称を問い合わせて参照するため,本装置で参照するホスト名ご
とに IP アドレスを設定する必要がなくなります。
コンフィグレーションコマンド ip host または ipv6 host と,DNS リゾルバ機能の両方が設定されている
場合,ip host または ipv6 host で設定されているホスト名が優先されます。ip host および ipv6 host を
使用して IPv4 と IPv6 で同じホスト名を設定した場合,IPv4 が優先されます。DNS リゾルバ機能で IPv4
と IPv6 が設定されたホスト名を問い合わせた場合,IPv6 が優先されます。
本装置の DNS リゾルバ機能は RFC1034 および RFC1035 に準拠しています。
10.1.2 ホスト名と DNS に関する注意事項
本装置で DNS サーバの IP アドレスが正しく設定されていない場合,または DNS サーバで逆引き(IP ア
ドレスからホスト名を検索)ができない場合,DNS サーバとの通信や逆引きができないことを検知するま
でに時間が掛かります。この場合,本装置に telnet でリモート接続するときにログインプロンプトが表示
されるまでの時間が長くなるなど,運用に影響を与えることがあります。
DNS サーバとの接続は,運用コマンド nslookup で確認できます。なお,逆引き機能は,コンフィグレー
ションコマンド no ip domain reverse-lookup で無効にできます。
168
10 ホスト名と DNS
10.2 コンフィグレーション
10.2.1 コンフィグレーションコマンド一覧
ホスト名・DNS に関するコンフィグレーションコマンド一覧を次の表に示します。
表 10‒1 コンフィグレーションコマンド一覧
コマンド名
説明
ip domain lookup
DNS リゾルバ機能を無効化または有効化します。
ip domain name
DNS リゾルバで使用するドメイン名を設定します。
ip host
IPv4 アドレスに付与するホスト名情報を設定します。
ip name-server
DNS リゾルバが参照するネームサーバを設定します。
ipv6 host
IPv6 アドレスに付与するホスト名情報を設定します。
10.2.2 ホスト名の設定
(1) IPv4 アドレスに付与するホスト名の設定
[設定のポイント]
IPv4 アドレスに付与するホスト名を設定します。
[コマンドによる設定]
1. (config)# ip host WORKPC1 192.168.0.1
IPv4 アドレス 192.168.0.1 の装置にホスト名 WORKPC1 を設定します。
(2) IPv6 アドレスに付与するホスト名の設定
[設定のポイント]
IPv6 アドレスに付与するホスト名を設定します。
[コマンドによる設定]
1. (config)# ipv6 host WORKPC2 2001:db8:10::100
IPv6 アドレス 2001:db8:10::100 の装置にホスト名 WORKPC2 を設定します。
10.2.3 DNS の設定
(1) DNS リゾルバの設定
[設定のポイント]
DNS リゾルバで使用するドメイン名および DNS リゾルバが参照するネームサーバを設定します。
DNS リゾルバ機能はデフォルトで有効なため,ネームサーバが設定された時点から機能します。なお,
ネームサーバへは設定した順番で問い合わせます。
[コマンドによる設定]
169
10 ホスト名と DNS
1. (config)# ip domain name router.example.com
ドメイン名を router.example.com に設定します。
2. (config)# ip name-server 192.168.0.1
ネームサーバとして 192.168.0.1 を設定します。ホスト名情報を参照する場合,最初にこのネームサー
バへ問い合わせます。
3. (config)# ip name-server 2001:db8::1
ネームサーバとして 2001:db8::1 を設定します。192.168.0.1 のネームサーバへ問い合わせができな
い場合,このネームサーバへ問い合わせます。
4. (config)# ip name-server 192.168.0.2
ネームサーバとして 192.168.0.2 を設定します。192.168.0.1 および 2001:db8::1 のネームサーバへ
問い合わせができない場合,このネームサーバへ問い合わせます。
(2) DNS リゾルバ機能の無効化
[設定のポイント]
DNS リゾルバ機能を無効にします。
[コマンドによる設定]
1. (config)# no ip domain lookup
DNS リゾルバ機能を無効にします。
170
11
装置の管理
この章では,本装置の管理全般について説明します。
171
11 装置の管理
11.1 システム操作パネル
システム操作パネルは BCU に実装されていて,装置情報や動作指示,障害情報を表示できます。
システム操作パネルは,
[BACK]キー(
),
[ENTR]キー(■),
[FWRD]キー(
)の三つの操
作キーと 16 桁×2 行の LCD を持ちます。システム操作パネルは,装置に発生した障害情報を表示する機
能のほかに,システム操作パネルのキーを操作して階層構造のメニューをたどることで,装置情報や動作指
示,障害情報を表示できます。
システム操作パネルの基本操作は,
[BACK]キーおよび[FWRD]キーで項目を選択して,
[ENTR]キー
で決定します。例えば,ボードの inactivate 処理をしたい場合には,<Main Menu>で「Action」を選択
して[ENTR]キーを押して,続いて<ACTION>で「INACT」を選択して[ENTR]キーを押します。
システム操作パネルのキーを操作すると,ディスプレイを点灯します。また,障害情報が表示されるときは
自動でディスプレイを点灯します。障害情報が表示されていない場合に 60 秒間キーを操作しないと,ディ
スプレイを消灯します。
11.1.1 スタートアップメッセージ
(1) POST メッセージ
本装置は,起動時に BCU で自己診断テスト(ハードウェアの診断)を実施します。このとき,LCD に装
置の初期診断の経過を示す POST(Power On Self Test)メッセージを表示します。
図 11‒1 POST メッセージの表示例
表 11‒1 POST メッセージの表示内容
表示位置
上段
下段
表示内容
POST コード
(空行)
(2) BOOT メッセージ
BCU で自己診断テストが完了すると,装置を起動します。このとき,LCD に装置の起動状態を示すメッ
セージを表示します。
図 11‒2 BOOT メッセージの表示例
172
11 装置の管理
表 11‒2 BOOT メッセージの表示内容
表示位置
上段
表示内容
BOOT 状態メッセージ
下段
(空行)
(3) 停止メッセージ
起動時の初期診断で異常を検出したり BCU 障害が発生したりした場合,およびユーザがコマンドで BCU
を停止した場合,LCD に装置の停止状態を示すメッセージを表示します。
図 11‒3 停止メッセージの表示例
表 11‒3 停止メッセージの表示内容
表示位置
表示内容
上段
停止状態メッセージ(前半)
下段
停止状態メッセージ(後半)
表示されないこともあります。
(4) アイドル状態
装置の起動が完了すると,LCD に装置の型名とソフトウェアバージョンを表示します。この状態をアイド
ル状態といいます。
図 11‒4 アイドル状態の表示例
表 11‒4 アイドル状態の表示内容
表示位置
表示内容
上段
装置の型名
下段
ソフトウェアバージョン
コンフィグレーションコマンド hostname で識別名称が設定されている場合,装置の型名とソフトウェア
バージョンを 5 秒間表示したあと,LCD の下段に装置の識別名称を表示します。
図 11‒5 装置の識別名称の表示例
173
11 装置の管理
表 11‒5 装置の識別名称の表示内容
表示位置
上段
表示内容
(空行)
下段
装置の識別名称
17 文字以上の場合は,左に 1 文字ずつスクロールしながら表示します。最後まで表示する
と,先頭から表示を繰り返します。
11.1.2 メニュー構造
<Main Menu>以下のメニュー構造を次の図に示します。
上位のメニューに戻るには,
[BACK]キーおよび[FWRD]キーで「↑」を選択して[ENTR]キーを押
してください。<Main Menu>へ戻るには,[BACK]キーおよび[FWRD]キーで「×」を選択して
[ENTR]キーを押してください。また,キーを操作しないで一定時間が経過しても,<Main Menu>へ戻
ります。
<Main Menu>を表示してから 30 秒間キーを操作しないと,アイドル状態の表示になります。
図 11‒6 メニュー構造
注※ 待機系 BCU では操作できません。
なお,待機系 BCU で操作できないメニューを選択した場合,“not supported on standby system”と 3
秒間表示したあと,自動的に<Main Menu>へ戻ります。
174
11 装置の管理
図 11‒7 待機系 BCU で操作できないメニューを選択した場合の表示
11.1.3 ポート情報の表示
ポートの情報表示では,選択したポート番号のインタフェースの状態を表示します。<INFORMATION>
で「Port」を選択して[ENTR]キーを押すと,NIF 番号選択画面を表示します。
Active 状態の NIF がない場合,
“No Active NIF”と 3 秒間表示したあと,自動的に<Main Menu>へ戻
ります。
図 11‒8 Active 状態の NIF がない場合の表示
(1) NIF 番号選択
表示するポートの NIF 番号を選択する画面で[FWRD]キーを押すと,選択できる NIF 番号を昇順に表
示します。NIF が active 状態でない場合,その NIF 番号の表示はスキップします。[BACK]キーでは
[FWRD]キーと逆の順序で NIF 番号を表示します。情報を表示したい NIF 番号を選択して[ENTR]キー
で決定すると,ポート情報を表示します。
図 11‒9 NIF 番号選択の表示例
(2) ポート情報表示
ポート情報の表示では,物理インタフェースの状態を表示します。
[FWRD]キーを押すと,次のポートの
情報を表示します。
[BACK]キーでは,逆順となります。Active 状態の NIF が複数ある場合は,
[FWRD]
キーおよび[BACK]キーで NIF をまたいでポート情報を表示することもできます。
[ENTR]キーを押すと<Main Menu>へ戻ります。また,30 秒間キーを操作しないと自動的に<Main
Menu>へ戻ります。
図 11‒10 ポート情報の表示例
175
11 装置の管理
表 11‒6 ポート情報の表示内容
分類
ポート位置
名称
<nif no.>/<port no.>
意味
<nif no.>:NIF 番号
<port no.>:ポート番号
ポート状態
active up
運用中(正常動作中)
active down
運用中(回線障害発生中)
initialize
初期化中またはネゴシエーション確立待ち
fault
障害中
inactive
次の要因による運用停止状態
• 運用コマンド
• ネットワーク監視またはネットワーク管理の機能が動作
した
詳細は,運用コマンド show interfaces の表示項目「ポート
状態」を参照してください。
disable
コンフィグレーションコマンドによる運用停止状態
standby
リンクアグリゲーションのスタンバイリンク機能による運用
待機状態
suspend
次の要因でポートの起動を抑止している状態
• SFU の運用枚数不足
• PRU 初期化中
• NIF が運用系として稼働中以外
unused
未使用(コンフィグレーション未設定)
mismatch
搭載されている NIF とコンフィグレーションが不一致
回線速度
回線速度については,運用コマンド show port の表示項目「Speed」を参照してくださ
い。
全二重/半二重
全二重/半二重については,運用コマンド show port の表示項目「Duplex」を参照して
ください。
11.1.4 CPU 使用率の表示
BCU-CPU,PA,および PRU-CPU の CPU 使用率を表示します。<INFORMATION>で「CPU」を選
択して[ENTR]キーを押すと,CPU の使用率を表示します。
(1) CPU 種別選択
CPU 使用率の表示中に[FWRD]キーを押すと,CPU 種別を BCU-CPU,PA,PRU-CPU(PRU 番号)
の順に表示します。[BACK]キーでは[FWRD]キーと逆の順序で CPU 種別を表示します。
(2) CPU 使用率
CPU 使用率を 2%刻みの横棒グラフで表示します。表示は 5 秒ごとに最新の状況に更新します。
176
11 装置の管理
[ENTR]キーを押すと<Main Menu>へ戻ります。また,1 時間キーを操作しないと自動的に<Main
Menu>へ戻ります。
図 11‒11 CPU 使用率の表示例
表 11‒7 CPU 使用率の表示内容
表示項目
BCU CPU ave.
表示内容
BCU-CPU の CPU 使用率を 1 秒間で集計した平均値(%)
自系の情報を表示します。
PA ave.
PA の CPU 使用率を 1 秒間で集計した平均値(%)
自系の情報を表示します。
PRU<pru no.> CPU ave.
PRU-CPU の CPU 使用率を 1 秒間で集計した平均値(%)
<pru no.>:PRU 番号
CPU 使用率の表示時に,PRU の起動が完了していない場合や CPU 使用率の最初の計測がまだ完了してい
ない場合には,下段に「Initialize」を表示します。また,PRU の動作状態が運用中以外の場合には,下段
に PRU の動作状態を表示します。
CPU 使用率を取得できなかった場合,数値を表示しません。次回の更新契機で再取得します。
図 11‒12 CPU 使用率取得失敗時の表示
11.1.5 メモリ使用率の表示
BCU-CPU,PA,および PRU-CPU のメモリ使用率を表示します。<INFORMATION>で「Memory」
を選択して[ENTR]キーを押すと,メモリの使用率を表示します。
(1) CPU 種別選択
メモリ使用率の表示中に[FWRD]キーを押すと,CPU 種別を BCU-CPU,PA,PRU-CPU(PRU 番
号)の順に表示します。[BACK]キーでは[FWRD]キーと逆の順序で CPU 種別を表示します。
(2) メモリ使用率
メモリ使用率を 2%刻みの横棒グラフで表示します。表示は 5 秒ごとに最新の状況に更新します。BCUCPU および PRU-CPU のメモリ使用率の表示では,CPU 種別(上段)はスクロールして表示します。
[ENTR]キーを押すと<Main Menu>へ戻ります。また,1 時間キーを操作しないと自動的に<Main
Menu>へ戻ります。
177
11 装置の管理
図 11‒13 メモリ使用率の表示例
表 11‒8 メモリ使用率の表示内容
表示項目
BCU memory usage
表示内容
BCU-CPU の実装メモリの使用率(%)
自系の情報を表示します。
PA memory usage
PA の実装メモリの使用率(%)
自系の情報を表示します。
PRU<pru no.> memory usage
PRU-CPU の実装メモリの使用率(%)
<pru no.>:PRU 番号
メモリ使用率の表示時に,PRU の動作状態が運用中以外の場合には,下段に PRU の動作状態を表示しま
す。
11.1.6 バージョンの表示
本装置に組み込まれているソフトウェアと搭載されているボードの情報(型名,シリアル情報,および稼働
時間)を表示します。<INFORMATION>で「Ver」を選択して[ENTR]キーを押すと,バージョンを
表示します。
(1) 表示対象選択
バージョン表示中に[FWRD]キーを押すと,次の順で表示対象を表示します。
[BACK]キーでは[FWRD]
キーと逆の順序で表示対象を表示します。
1. モデル
2. ソフトウェア
3. BCU(BCU 番号)
4. SFU(SFU 番号)
5. PRU(PRU 番号)
6. NIF(NIF 番号)
7. 電源機構(電源機構のスロット番号)
8. ファンユニット(ファンユニットのスロット番号)
待機系 BCU では,4.SFU〜8.ファンユニットの表示をスキップします。
(2) バージョン表示
表示対象を選択すると,最初に型名表示をします。この状態で[ENTR]キーを押すと,表示をシリアル情
報表示,稼働時間表示の順に切り替えます。型名,シリアル情報,または稼働時間を表示しているときに
[FWRD]キーを押すと,次の表示対象の型名表示に切り替わります。
[BACK]キーでは[FWRD]キー
と逆の順序で表示します。
178
11 装置の管理
稼働時間表示(表示対象がモデルとソフトウェアの場合はシリアル情報表示)のときに[ENTR]キーを押
すと,<Main Menu>へ戻ります。また,30 秒間キーを操作しないと自動的に<Main Menu>へ戻りま
す。
表 11‒9 バージョン表示の表示項目一覧
表示対象
型名表示
シリアル情報表示
稼働時間表示
モデル
装置の型名
装置のシリアル情報
−
ソフトウェア
ソフトウェア型名
ソフトウェアバージョン
−
ボード
BCU の型名
BCU のシリアル情報
BCU の稼働時間
SFU の型名
SFU のシリアル情報
SFU の稼働時間
PRU の型名
PRU のシリアル情報
PRU の稼働時間
NIF の型名
NIF のシリアル情報
NIF の稼働時間
電源機構
電源機構の型名
電源機構のシリアル情報
電源機構の稼働時間
ファンユニット
ファンユニットの型名
ファンユニットのシリアル情報
ファンユニットの稼働時間
(凡例)−:該当なし
(a) 型名表示
図 11‒14 モデルの表示例
表 11‒10 モデルの表示内容
表示位置
上段
表示内容
「MODEL」固定
下段
装置の型名
図 11‒15 ソフトウェア型名の表示例
表 11‒11 ソフトウェア型名の表示内容
表示位置
表示内容
上段
ソフトウェア略称
下段
ソフトウェア型名
自系の情報を表示します。
179
11 装置の管理
図 11‒16 ボード型名の表示例(NIF)
表 11‒12 ボード型名の表示内容
表示位置
上段
表示内容
[ボードの搭載スロット番号]+ボード略称
下段にボードの動作状態が表示されているときは,ボード略称は表示されません。
下段
ボード型名※
注※ ボード/電源機構/ファンユニットの動作状態によって,型名表示で表示する内容が異なります。動作状態ごとの型
名表示条件を次の表に示します。
表 11‒13 ボード/電源機構/ファンユニットの動作状態ごとの型名表示条件
ボード/電源機構/ファンユニットの
BCU
SFU
PRU
NIF
電源機構
ファンユニット
active
○
○
○
○
○
○
standby
○
−
−
−
−
−
initialize
○
○
○
○
−
−
disable(ボードが搭載)
−
○
○
○
−
−
disable(ボードが未搭載)
−
×
×
×
−
−
inactive
○
○
○
○
−
−
notconnect
×
×
×
×
×
×
fault
○
○
○
○
○※
○※
power shortage
−
−
○
○
−
−
notsupport
×
×
×
×
×
×
connect
−
−
−
−
×
−
unknown
−
×
×
×
−
−
動作状態
(凡例) ○:ボード型名を表示 ×:ボード/電源機構/ファンユニットの動作状態を表示 −:該当なし
注※ ハードウェア障害のときは,型名および略称が取得できないことがあります。
(b) シリアル情報表示
図 11‒17 ソフトウェアバージョンの表示例
180
11 装置の管理
表 11‒14 ソフトウェアバージョンの表示内容
表示位置
表示内容
上段
ソフトウェア略称
下段
ソフトウェアバージョン
自系の情報を表示します。
図 11‒18 シリアル情報の表示例
表 11‒15 シリアル情報の表示内容
表示位置
上段
表示内容
「SI」固定
下段
シリアル情報※
左に 1 文字ずつスクロールしながら表示します。最後まで表示すると,先頭から表示を繰
り返します。
注※ ボード/電源機構/ファンユニットの動作状態によって,シリアル情報表示で表示する内容が異なります。動作状態
ごとのシリアル情報表示条件を次の表に示します。
表 11‒16 ボード/電源機構/ファンユニットの動作状態ごとのシリアル情報表示条件
ボード/電源機構/ファンユニットの
BCU
SFU
PRU
NIF
電源機構
ファンユニット
active
○
○
○
○
○
○
standby
○
−
−
−
−
−
initialize
○
○
○
○
−
−
disable(ボードが搭載)
−
○
○
○
−
−
disable(ボードが未搭載)
−
×
×
×
−
−
inactive
○
○
○
○
−
−
notconnect
×
×
×
×
×
×
fault
○
○
○
○
○※
○※
power shortage
−
−
○
○
−
−
notsupport
○
○
○
○
○
○
connect
−
−
−
−
×
−
unknown
−
×
×
×
−
−
動作状態
(凡例) ○:シリアル情報を表示 ×:ボード/電源機構/ファンユニットの動作状態を表示 −:該当なし
注※ ハードウェア障害のときは,シリアル情報が取得できないことがあります。
181
11 装置の管理
(c) 稼働時間表示
稼働時間表示では,稼働時間の合計である「Runtime Total」と,入気温度が高温注意状態での稼働時間の
合計である「Runtime Caution」を,5 秒ごとに切り替えて表示します。
図 11‒19 稼働時間の表示例
表 11‒17 稼働時間の表示内容
表示位置
上段
表示内容
「Runtime Total」:稼働時間の累計
「Runtime Caution」
:入気温度が高温注意状態での稼働時間の累計
下段
上段が意味する稼働時間(days:日数,hours:時間)※
注※ ボード/電源機構/ファンユニットの動作状態によって,稼働時間表示で表示する内容が異なります。動作状態ごと
の稼働時間表示条件を次の表に示します。
表 11‒18 ボード/電源機構/ファンユニットの動作状態ごとの稼働時間表示条件
ボード/電源機構/ファンユニットの
BCU
SFU
PRU
NIF
電源機構
ファンユニット
active
○
○
○
○
○
○
standby
○
−
−
−
−
−
initialize
○
×
×
×
−
−
disable(ボードが搭載)
−
×
×
×
−
−
disable(ボードが未搭載)
−
×
×
×
−
−
inactive
×
×
×
×
−
−
notconnect
×
×
×
×
×
×
fault
×
×
×
×
×
×
power shortage
−
−
×
×
−
−
notsupport
×
×
×
×
×
×
connect
−
−
−
−
×
−
unknown
−
×
×
×
−
−
動作状態
(凡例) ○:稼働時間を表示 ×:ボード/電源機構/ファンユニットの動作状態を表示 −:該当なし
11.1.7 温度情報の表示
BCU の入気温度情報を表示します。<INFORMATION>で「Temp」を選択して[ENTR]キーを押す
と,温度情報を表示します。
182
11 装置の管理
(1) 温度表示
BCU の入気温度(摂氏)および温度のステータスを表示します。[FWRD]キーおよび[BACK]キーを
押しても,表示内容は変わりません。
[ENTR]キーを押すと<Main Menu>へ戻ります。また,30 秒間キーを操作しないと自動的に<Main
Menu>へ戻ります。
図 11‒20 温度情報の表示例
表 11‒19 温度情報の表示内容
表示位置
上段
下段
表示内容
「Temp」固定
温度のステータス※
• Normal:正常
• Caution:高温注意または低温注意
• Critical:高温警告
• Fault:高温停止
自系の情報を表示します。
BCU 入気温度(摂氏)
注※ 温度のステータスについては,「11.3.6 温度監視」を参照してください。
11.1.8 ボードの交換
電源を ON にしたまま,システム操作パネルからボードの交換を指示できます。交換できるボードは,次
のとおりです。
• 待機系 BCU
• SFU
• PRU
• NIF
電源を ON にしたまま,各ボードを交換する手順の概略を次に示します。
1. システム操作パネルから「INACT」を選択および実行して,ボードを inactive 状態にする
2. 1.で inactive 状態にしたボードの取り外し
3. 交換用ボードの取り付け
4. システム操作パネルから「ACT」を選択および実行して,ボードを active 状態にする
ボード交換の詳細な手順は,「ハードウェア取扱説明書」を参照してください。
183
11 装置の管理
(1) inactivate/activate 対象ボードの選択
ボードを inactive 状態にする場合
<ACTION>で「INACT」を選択して[ENTR]キーを押すと,inactive 状態にするボードの選択画
面を表示します。
ボードを active 状態にする場合
<ACTION>で「ACT」を選択して[ENTR]キーを押すと,active 状態にするボードの選択画面を
表示します。
(2) ほかの情報表示の抑制
ボードの交換の動作を指示している間は,障害情報は表示しません。
(3) inactivate の操作
図 11‒21 inactivate の操作手順
184
11 装置の管理
(4) activate の操作
図 11‒22 activate の操作手順
(5) inactivate/activate 対象ボードが存在しない場合の表示
<ACTION>で「INACT」を選択したときに inactivate できるボードが存在しない場合,“No Active
Board”と 3 秒間表示したあと,自動的に<Main Menu>へ戻ります。
図 11‒23 inactivate 対象のボードが存在しない場合の表示
<ACTION>で「ACT」を選択したときに activate できるボードが存在しない場合,“No Inactive
Board”と 3 秒間表示したあと,自動的に<Main Menu>へ戻ります。
図 11‒24 activate 対象のボードが存在しない場合の表示
185
11 装置の管理
11.1.9 装置の停止
システム操作パネルから装置の停止を指示できます。システム操作パネルから装置を停止した場合,装置を
再度起動するには,電源スイッチを一度 OFF にしてから ON にしてください。
<ACTION>で「SHUTDOWN」を選択して[ENTR]キーを押すと,装置の停止の確認画面を表示しま
す。
(1) ほかの情報表示の抑制
装置の停止の動作を指示している間は,障害情報は表示しません。
(2) 装置の停止の操作
図 11‒25 装置の停止の操作手順
11.1.10 障害の表示
装置内で故障が発生した場合,および装置内で故障が発生中に<Main Menu>から「Alarm」を選択した
場合,故障部位または機能の切り分けを行うためにシステム操作パネルに障害を表示します。BCU 上の
SYSTEM1 LED が赤点灯している場合は,装置障害が発生していることを示す障害表示をします。また,
SYSTEM1 LED が緑点滅している場合は,装置の部分障害が発生していることを示す障害表示をします。
障害表示では,出力されたシステムメッセージのうち,対処が必要な障害(イベントレベルが S1〜S4)を
表示します。このとき,イベントレベルの数値が小さい障害を優先的に表示します。
障害個所がすべて回復すると,障害表示は自動的に消えて SYSTEM1 LED が緑点灯に戻ります。
(1) 障害表示
障害が発生すると,ディスプレイを点灯してイベントレベルとともにメッセージ種別とメッセージ識別子を
表示します。[ENTR]キーを押すと,その障害のメッセージテキストを表示します。再度[ENTR]キー
を押すと,<Main Menu>を表示します。メッセージテキストは,画面左側に移動しながら繰り返し表示
されます。
186
11 装置の管理
図 11‒26 障害の表示例(NIF でハードウェア障害を検出した例)
表 11‒20 メッセージ識別子の表示内容
表示位置
上段
表示内容
[Sx]:イベントレベル(x:イベントレベルの数値)
メッセージ種別
下段
メッセージ識別子
表 11‒21 メッセージテキストの表示内容
表示位置
上段
表示内容
[Sx]:イベントレベル(x:イベントレベルの数値)
メッセージ種別の詳細情報
下段
メッセージテキスト
17 文字以上の場合は,左に 1 文字ずつスクロールしながら表示します。最後まで表示す
ると,先頭から表示を繰り返します。
(2) 障害表示中のメニューの表示
障害表示中,装置情報の表示や動作指示をするために<Main Menu>を表示するには,メッセージ識別子
表示の場合は[ENTR]キーを 2 回,メッセージテキスト表示の場合は[ENTR]キーを 1 回押します。
次の場合,メニュー表示から障害表示へ戻ります。
• 動作指示以外の状態で,障害が発生した場合
• <Main Menu>で 10 秒間経った状態で,障害が回復していない場合
• <Main Menu>から「Alarm」が選択された場合
(3) ほかの情報表示との関係
ほかの情報を表示している場合でも,障害が発生すると障害を優先して表示します。ただし,動作指示をし
ている場合は,障害が発生しても障害を表示しません。動作指示が終了したあと,障害を表示します。
(4) 多重障害時の障害表示
障害が一つだけ発生している場合はイベントレベルを[]で囲んで表示しますが,多重障害が発生している
場合は,イベントレベルを[[]]で囲んで表示します。
多重障害時には,
[FWRD]キーまたは[BACK]キーを押すごとに,表示モードを維持しながらイベント
レベルの数値が小さい順(同一の場合は障害発生順)に切り替えて表示します。例えば,メッセージ識別子
を表示している場合はほかのメッセージ識別子を表示して,メッセージテキストを表示している場合はほか
のメッセージテキストを表示します。表示中の障害表示が発生している障害の中でイベントレベルの数値
187
11 装置の管理
が最も小さい障害(同一の場合は最古の障害)ではない場合は,表示してから 30 秒後にイベントレベルの
数値が最も小さい最古の障害表示に戻ります。
図 11‒27 多重障害時の障害表示
(5) 障害未発生時の表示
<Main Menu>で「Alarm」を選択したときに障害が発生していない場合,
“No Error”と 3 秒間表示した
あと,自動的に<Main Menu>へ戻ります。
図 11‒28 障害未発生時の表示
188
11 装置の管理
11.2 装置のリソース設定
本装置では,装置の運用を開始する時に,どのハードウェアプロファイルで装置を運用するかを指定しま
す。
経路系テーブルエントリやフロー系テーブルエントリは,使用するハードウェアプロファイルと,それぞれ
で指定した配分パターンによってエントリ数が決定します。このように,ハードウェアプロファイルは本装
置の基本的な動作条件を設定するものであるため,必ず運用を開始する前に設定してください。
11.2.1 コンフィグレーション・運用コマンド一覧
装置のリソース設定に関するコンフィグレーションコマンド一覧を次の表に示します。
表 11‒22 コンフィグレーションコマンド一覧
コマンド名
説明
flow-table allocation
装置のフロー系テーブルエントリ数の配分パターンを設定します。
forwarding-table allocation
装置の経路系テーブルエントリ数の配分パターンを設定します。
hardware profile
ハードウェアプロファイルを設定します。
装置のリソース設定に関する運用コマンド一覧を次の表に示します。
表 11‒23 運用コマンド一覧
コマンド名
説明
show system
装置の運用状態および装置のハードウェアプロファイルを表示します。
show pru resources
PRU の運用状態およびリソース使用状況を表示します。
11.2.2 ハードウェアプロファイルの設定
本装置では,各種テーブルエントリをどのように使用して装置を運用するかをハードウェアプロファイルで
指定します。
なお,コンフィグレーションの設定内容と稼働状態は,運用コマンド show system で確認できます。
[設定のポイント]
ハードウェアプロファイルの初期状態は router-1 です。設定したハードウェアプロファイルを反映す
るために,装置を再起動してください。
[コマンドによる設定]
1. (config)# hardware profile router-1s
グローバルコンフィグレーションモードで,ハードウェアプロファイルを router-1s に設定します。
11.2.3 テーブルエントリの配分パターンの設定
本装置ではテーブルエントリの配分パターンに経路系テーブルエントリとフロー系テーブルエントリがあ
り,それぞれコンフィグレーションコマンド forwarding-table allocation とコンフィグレーションコマン
ド flow-table allocation で指定できます。
189
11 装置の管理
なお,各配分パターンと各テーブルのエントリ数に関する情報は,運用コマンド show pru resources で確
認できます。
(1) 経路系テーブルエントリの設定
[設定のポイント]
経路系テーブルエントリの初期状態は default です。設定した経路系テーブルエントリの配分パターン
を反映するために,すべての PRU を再起動してください。
[コマンドによる設定]
1. (config)# forwarding-table allocation ipv4-uni
グローバルコンフィグレーションモードで,経路系テーブルエントリの配分パターンを IPv4 ユニキャ
スト優先に設定します。
(2) フロー系テーブルエントリの設定
[設定のポイント]
フロー系テーブルエントリの初期状態は default です。設定したフロー系テーブルエントリの配分パ
ターンを反映するために,すべての PRU を再起動してください。
[コマンドによる設定]
1. (config)# flow-table allocation filter
グローバルコンフィグレーションモードで,フロー系テーブルエントリの配分パターンをフィルタ重視
に設定します。
190
11 装置の管理
11.3 装置の確認
11.3.1 コンフィグレーション・運用コマンド一覧
装置の確認に関するコンフィグレーションコマンド一覧および運用コマンド一覧を次の表に示します。
表 11‒24 コンフィグレーションコマンド一覧(識別名称の設定)
コマンド名
説明
hostname
本装置の識別名称を設定します。
表 11‒25 コンフィグレーションコマンド一覧(装置の動作設定)
コマンド名
説明
system fan mode
ファンの運転モードを設定します。
system flash-monitor
内蔵フラッシュメモリのユーザ領域の未使用容量を監視して,警告および回
復のシステムメッセージを出力します。
system high-temperature-action
BCU の入気温度が動作保証範囲を超えた場合の BCU の動作モードを設定
します。
system temperature-warninglevel
装置の入気温度が指定温度以上になった場合に,温度を警告するシステム
メッセージを出力します。また,装置の入気温度が指定温度以上になったあ
とで指定温度から 3℃以上下がった場合に,温度の回復を示すシステムメッ
セージを出力します。
system temperature-warninglevel average
装置の平均入気温度が指定温度以上になった場合にシステムメッセージを出
力します。
表 11‒26 運用コマンド一覧(ソフトウェアバージョンと装置の状態確認)
コマンド名
説明
show version
バージョン情報や搭載されているボードの情報を表示します。
show system
装置の運用状態を表示します。
show environment
装置の環境情報を表示します。
reload
装置を再起動して,そのときにログを採取します。通常動作時は BCU のメモリダンプを
採取します。
show tech-support
テクニカルサポートで必要となるハードウェアおよびソフトウェアの状態に関する情報を
表示します。
show power
装置の経過時間および各ボードの消費電力,累計消費電力量を表示します。
表 11‒27 運用コマンド一覧(内蔵フラッシュメモリと MC の確認)
コマンド名
説明
show mc※
MC の使用状態を表示します。
format mc※
MC を本装置用のフォーマットで初期化します。
191
11 装置の管理
コマンド名
show flash※
説明
装置内蔵フラッシュメモリの使用状態を表示します。
注※
「運用コマンドレファレンス Vol.1 12. MC と装置内メモリの確認」を参照してください。
表 11‒28 運用コマンド一覧(リソース情報とダンプ情報の確認)
コマンド名
説明
show cpu※1
CPU 使用率を表示します。
show processes※1
装置で現在実行中のプロセスの情報を表示します。
show memory※1
装置の物理メモリの実装量,使用量,および空き容量を表示します。
df※1
ディスクの空き領域を表示します。
du※1
ディレクトリ内のファイル容量を表示します。
erase dumpfile※2
ダンプファイル格納ディレクトリ上のダンプファイル,またはコアファイル格納ディレク
トリ上のコアファイルを消去します。
show dumpfile※2
ダンプファイル格納ディレクトリ上のダンプファイル,またはコアファイル格納ディレク
トリ上のコアファイルの一覧を表示します。
注※1
「運用コマンドレファレンス Vol.1 13. リソース情報」を参照してください。
注※2
「運用コマンドレファレンス Vol.1 14. ダンプ情報」を参照してください。
11.3.2 ソフトウェアバージョンの確認
運用コマンド show version でバージョン情報や搭載されているボードの情報を確認できます。バージョ
ン情報は現在運用しているソフトウェアバージョンを表示しますが,ソフトウェアを入れ替えたあと運用に
反映していないときは,()内にインストールバージョンを表示します。次の図に例を示します。
図 11‒29 ソフトウェアバージョンの確認
> show version software
Date 20XX/04/01 02:54:45 UTC
BCU1: AX-P8600-R2, OS-RE, Ver.12.4.E
BCU-CPU:
Ver.12.4.E
BCU-CPU Boot ROM: Ver.1.1.0
PA:
Ver.12.4.E
PA Boot ROM:
Ver.2.1.15
HDC:
Ver.2.22
HDC2:
Ver.4.0
BCU2: notconnect
SFU1: HDC:
Ver.2.1
SFU2: notconnect
SFU3: notconnect
SFU4: notconnect
PRU1: PRU-CPU:
Ver.12.4.E
PRU-CPU Boot ROM: Ver.2.1.7
HDC:
Ver.2.38
HDC2:
Ver.0.9
PRU2: notconnect
PRU3: notconnect
PRU4: notconnect
NIF1: HDC:
Ver.2.0
NIF2: notconnect
192
11 装置の管理
:
NIF16: notconnect
>
11.3.3 装置の状態確認
(1) 運用状態の確認
運用コマンド show system で次の情報を確認できます。
• 装置の情報
• ファン,電源機構,および各ボード(BCU/SFU/PRU/NIF)の情報
次の図に例を示します。
図 11‒30 運用状態の確認
> show system
Date 20XX/04/01 01:52:01 UTC
System: AX8616R, OS-RE, Ver.12.6, [9896.21]
Elapsed time: 2 days 04:30
Name: System
Contact: Contact
Location: Location
Chassis MAC address: 0012.e286.5300
BCU redundancy status: duplex
FAN control mode: 1 (normal)
Temperature warning level: current = 45, average = 45
High temperature action: stop
Power redundancy mode: 2 (Power Supply + Input Source)
Hardware profile
Configuration: router-1
Current: router-1
Failure action (software): unicast switchover
multicast switchover
System MTU: 1518
Hardware information
FAN1: active
Elapsed time: 2 days 04:30
Lamp: STATUS LED = green
FAN2: active
Elapsed time: 2 days 04:30
Lamp: STATUS LED = green
FAN3: active
Elapsed time: 2 days 04:30
Lamp: STATUS LED = green
FAN4: active
Elapsed time: 2 days 04:30
Lamp: STATUS LED = green
FAN5: active
Elapsed time: 2 days 04:30
Lamp: STATUS LED = green
FAN6: active
Elapsed time: 2 days 04:30
Lamp: STATUS LED = green
PS1: active
Elapsed time: 2 days 04:30
PS2: active
Elapsed time: 2 days 04:30
PS3: active
Elapsed time: 2 days 04:30
PS4: active
Elapsed time: 2 days 04:30
BCU1: active
Elapsed time: 2 days 04:30
Boot device: primary
BCU-CPU: active
Boot: 20XX/03/29 09:10:46 UTC, power on, fatal error restart 0 time
Board: clock 2.0GHz, memory 16,068,212KB
193
11 装置の管理
>
PA: active
Boot: 20XX/03/29 09:10:46 UTC, power on, fatal error restart 0 time
Board: clock 1.1GHz, memory 2,097,152KB
Lamp: STATUS LED = green, ACTIVE LED = green
SYSTEM1 LED = green, SYSTEM2 LED = light off
System operation panel: no error
Management port: active up
10BASE-T half(auto), 0012.e286.5301
Temperature: normal (32 degree C)
Flash: enabled, 6,153,286KB
MC: notconnect
BCU2: standby
Elapsed time: 2 days 04:30
Boot device: primary
BCU-CPU: active
Boot: 20XX/03/29 09:10:53 UTC, power on, fatal error restart 0 time
Board: clock 2.0GHz, memory 16,068,212KB
PA: active
Boot: 20XX/03/29 09:10:53 UTC, power on, fatal error restart 0 time
Board: clock 1.1GHz, memory 2,097,152KB
Lamp: STATUS LED = green, ACTIVE LED = green
SYSTEM1 LED = green, SYSTEM2 LED = light off
System operation panel: no error
Management port: unused
Temperature: normal (32 degree C)
Flash: enabled, 6,153,286KB
MC: notconnect
SFU1: active, fatal error restart 0 time
Elapsed time: 2 days 04:34
Lamp: STATUS LED = green, ACTIVE LED = green
SFU2: notconnect
SFU3: notconnect
SFU4: notconnect
PRU1: active, fatal error restart 0 time
Elapsed time: 2 days 04:30
Boot: 20XX/03/29 09:20:26 UTC
Board: clock 0.8GHz, memory 3,760,820KB
Lamp: STATUS LED = green
Forwarding database management
Forwarding-table allocation
Configuration: default
Current: default
Flow database management
Flow-table allocation
Configuration: default
Current: default
Flow detection mode
Configuration: quantity-oriented
Current: quantity-oriented
PRU2: notconnect
PRU3: notconnect
PRU4: notconnect
NIF1: active, fatal error restart 0 time
Elapsed time: 2 days 04:34
Lamp: STATUS LED = green
NIF2: notconnect
:
NIF16: notconnect
(2) 環境状態の確認
運用コマンド show environment で次の情報を確認できます。
• ファンの情報
• 電源機構の情報
• 電力使用情報
• BCU の入気温度
• 各ボード(BCU/SFU/PRU/NIF)の温度状態
194
11 装置の管理
• 各ボード(BCU/SFU/PRU/NIF)の稼働時間情報
次の図に例を示します。
図 11‒31 環境状態の確認
> show environment
Date 20XX/03/27 06:16:38 UTC
FAN environment
FAN1: active, Speed
FAN2: active, Speed
FAN3: fault
FAN4: active, Speed
FAN5: active, Speed
FAN6: active, Speed
Mode: 1 (normal)
= 2600
= 2600
= 2600
= 2600
= high
Power environment
Input voltage: AC200-240V
Power redundancy mode: 2 (Power Supply + Input Source)
Power supply redundancy status
Power supply: active = 4, required = 1 (Redundant)
Input source: active = 2(from A) 2(from B), required = 1 (Redundant)
PS1: active
PS2: active
PS3: active
PS4: active
Power usage
Total power capacity:
Input source A:
Input source B:
Total power allocated:
Total power available for additional boards:
Power available (Power supply unit redundant case):
Power available (Input source redundant case)
Input source A:
Input source B:
10168.00
5084.00
5084.00
1477.00
8691.00
6149.00
W
W
W
W
W
W
3607.00 W
3607.00 W
Inlet temperature
BCU1: normal (36 degree C)
BCU2: normal (36 degree C)
Board temperature
BCU1: normal
BCU2: normal
SFU1: normal
SFU2: notconnect
SFU3: notconnect
SFU4: notconnect
PRU1: normal
PRU2: notconnect
PRU3: notconnect
PRU4: notconnect
NIF1: normal
NIF2: notconnect
:
NIF16: notconnect
Accumulated running time
total
BCU1
2 days 16
BCU2
2 days 16
SFU1
2 days 16
SFU2
notconnect
SFU3
notconnect
SFU4
notconnect
PRU1
2 days 16
PRU2
notconnect
PRU3
notconnect
PRU4
notconnect
NIF1
2 days 16
hours
hours
hours
caution
1 day
1 hour
1 day
1 hour
1 day
1 hour
critical
0 days
0 hours
0 days
0 hours
0 days
0 hours
hours
1 day
1 hour
0 days
0 hours
hours
1 day
1 hour
0 days
0 hours
195
11 装置の管理
>
NIF2
:
NIF16
PS1
PS2
PS3
PS4
FAN1
FAN2
:
FAN6
notconnect
notconnect
2 days 16
2 days 16
2 days 16
2 days 16
2 days 16
2 days 16
hours
hours
hours
hours
hours
hours
1
1
1
1
1
1
2 days 16 hours
day
day
day
day
day
day
1 day
1
1
1
1
1
1
hour
hour
hour
hour
hour
hour
1 hour
0
0
0
0
0
0
days
days
days
days
days
days
0 days
0
0
0
0
0
0
hours
hours
hours
hours
hours
hours
0 hours
(3) 温度履歴情報の確認
運用コマンド show environment の temperature-logging パラメータで入気温度履歴情報を最大で 2 年
分確認できます。temperature-logging パラメータを指定すると,6 時間ごとに記録した平均入気温度を表
示します。次の図に例を示します。
図 11‒32 温度履歴情報の確認
> show environment temperature-logging
Date 20XX/04/01 01:44:40 UTC
BCU1
Date
0:00 6:00 12:00 18:00
20XX/04/01
32.9
20XX/03/31
33.0 33.0 33.0 33.0
20XX/03/30
33.0 33.0 33.0 33.0
20XX/03/29
- 33.7 33.0
BCU2
Date
20XX/04/01
20XX/03/31
20XX/03/30
20XX/03/29
>
0:00
32.9
33.0
33.0
-
6:00 12:00 18:00
33.0
33.0
-
33.0
33.0
33.7
33.0
33.0
33.0
11.3.4 内蔵フラッシュメモリの確認
運用コマンド show flash で内蔵フラッシュメモリの使用状況を確認できます。次の図に例を示します。
図 11‒33 内蔵フラッシュメモリの確認
> show flash
Date 20XX/04/01 07:09:21 UTC
Warning threshold : 1000MB
Recovery threshold: 1256MB
Flash monitor event level: S6
BCU1 Flash: enabled
area
used
user
185,394KB
config
1,682KB
dump0
2,816KB
dump1
998KB
log
11KB
total
190,901KB
BCU2 Flash: enabled
area
used
user
185,394KB
config
1,682KB
dump0
2,816KB
dump1
998KB
log
11KB
total
190,901KB
>
196
free
2,832,550KB
1,601,538KB
326,416KB
1,064,674KB
137,207KB
5,962,385KB
total
3,017,944KB
1,603,220KB
329,232KB
1,065,672KB
137,218KB
6,153,286KB
free
2,832,550KB
1,601,538KB
326,416KB
1,064,674KB
137,207KB
5,962,385KB
total
3,017,944KB
1,603,220KB
329,232KB
1,065,672KB
137,218KB
6,153,286KB
11 装置の管理
11.3.5 MC の確認
運用コマンド show mc で MC の使用状況を確認できます。次の図に例を示します。
図 11‒34 MC の確認
> show mc
Date 20XX/04/01 07:20:11 UTC
BCU1 MC: enabled
CID: 00c7000910d06b224734304653415001
used:
189,792KB
free:
3,680,928KB
total:
3,870,720KB
BCU2 MC: ------->
11.3.6 温度監視
(1) 入気温度の監視
本装置では,運用系および待機系でそれぞれ入気温度を監視します。入気温度が低温や高温になると,シス
テムメッセージを出力したり SNMP 通知を送信したりします。入気温度が高温停止レベルになると,装置
を停止します。
なお,入気温度は履歴情報として最大 2 年分参照できます。
(2) 入気温度の監視レベルと動作
入気温度の監視レベルと動作を次の表に示します。
表 11‒29 監視レベルと動作
入気温度
監視レベル
運用環境レベル
2℃以下に下降
低温注意
caution
5℃以上に上昇
低温注意回復
normal
40℃以下に下降
高温注意回復
normal
43℃以上に上昇
高温注意
caution
50℃以下に下降
高温警告回復
caution
53℃以上に上昇
高温警告
critical
65℃以上に上昇
高温停止
fault
システムの動作
運用を継続します。運用環境レベルが変化した
場合にシステムメッセージを出力,および
SNMP 通知を送信します。
BCU を停止します。※
注※ コンフィグレーションコマンド system high-temperature-action で,BCU を停止しないように設定できます。
高温停止レベルで BCU を停止する場合の動作を次に示します。
BCU が一重化の場合
システムメッセージを出力,および SNMP 通知を送信して装置を停止します。停止した BCU は自動回
復しません。
BCU が二重化で,運用系 BCU(例えば,BCU1)が高温停止レベルとなった場合
システムメッセージを出力,および SNMP 通知を送信して BCU1 を停止します。系切替をして BCU2
が運用系となり,一重化で運用します。停止した BCU1 は自動回復しません。
197
11 装置の管理
BCU が二重化で,待機系 BCU(例えば,BCU2)が高温停止レベルとなった場合
システムメッセージを出力,および SNMP 通知を送信して BCU2 を停止して,一重化で運用します。
停止した BCU2 は自動回復しません。
運用環境レベルと温度値について次の図に示します。
図 11‒35 運用環境レベルと温度値
(3) 任意の入気温度による警告および回復通知
(a) 入気温度監視
コンフィグレーションコマンド system temperature-warning-level を設定すると,装置の入気温度が指
定した温度以上になった場合に温度を警告するシステムメッセージを出力します。また,装置の入気温度が
指定した温度以上になったあとで指定した温度から 3℃以上下回った場合,温度の回復を示すシステムメッ
セージを出力します。ただし,温度を警告するシステムメッセージを出力するのは,温度の回復を示すシス
テムメッセージを出力したあとです。
(b) 平均入気温度監視
コンフィグレーションコマンド system temperature-warning-level average を設定すると,装置の指定
日数当たりの平均入気温度が指定した温度以上になった場合,毎日 12:00 に温度を警告するシステムメッ
セージを出力します。
(4) 入気温度状態の確認
入気温度の状態は運用コマンド show environment で表示される「Inlet Temperature」の項目で確認で
きます。また,入気温度に関する履歴情報は,運用コマンド show environment の temperature-logging
パラメータで最大 2 年分を確認できます。
(5) ボードの温度監視
本装置では入気温度の監視とは別に,各ボードの温度を監視します。監視対象のボードは BCU,SFU,
PRU,および NIF です。
運用が継続できないほどボードが高温になった場合は,該当するボードを停止します。停止したボードは温
度が下がっても自動回復しません。ボードの温度状態の監視レベルと動作を次の表に示します。
表 11‒30 監視レベルと動作
監視レベル
198
運用環境レベル
高温警告回復
normal
高温警告検出
critical
高温停止
fault
システムの動作
該当するボードの運用を継続します。
システムメッセージを出力,および SNMP 通知を送信して,該当するボー
ドを停止します。
11 装置の管理
(6) ボードの温度状態の確認
各ボードの温度状態は運用コマンド show environment で表示される「Board Temperature」の項目で
確認できます。
11.3.7 ファンユニットの監視
(1) ファンユニット状態の監視
ファンユニットの内部には複数の個別ファンがあり,装置は複数のファンユニットを搭載できます。
運用中にファンユニットが故障(個別ファンの故障,ファンユニットの障害や抜去など)すると,ファンユ
ニット障害のシステムメッセージを出力および SNMP 通知を送信します。このとき,ファンユニットを高
速回転にしたり,ファンユニット回転数の下限を引き上げて一定以上の回転数にしたりして,装置の動作を
継続します。装置種別ごとのファンユニット故障時の動作を次の表に示します。
表 11‒31 装置種別ごとのファンユニット故障時の動作
装置種別
FAN1 の故障
FAN3 の故障
それ以外の故障
AX8608R
• 回転数下限引き上げ
• 回転数下限引き上げ
• 回転数下限引き上げ
AX8616R
• FAN4 を高速回転
• FAN6 を高速回転
• 回転数下限引き上げ
• 回転数下限引き上げ
• 回転数下限引き上げ
• FAN4 を高速回転
• FAN6 を高速回転
• 回転数下限引き上げ
• 回転数下限引き上げ
AX8632R
• 回転数下限引き上げ
ファンユニット故障時の動作例を次の図に示します。
図 11‒36 ファンユニット故障時の動作例(AX8632R で FAN1 のファンユニットが故障した場合)
故障したファンユニットは,装置を運用したまま抜去および交換できます。故障したファンユニットを交換
して正常動作すると,ファンユニット障害の回復を示すシステムメッセージを出力および SNMP 通知を送
信します。同時に,ファンユニットの高速回転および回転数下限引き上げを解除します。
ファンユニットを高速回転にした場合および高速回転を解除した場合,該当するファンユニットごとにシス
テムメッセージを出力します。
199
11 装置の管理
(2) ファンユニット状態の確認
各ファンユニットのファン動作状態と回転スピードは,運用コマンド show environment で表示される
「Fan environment」の項目で確認できます。
11.3.8 内蔵フラッシュメモリの未使用容量監視
コンフィグレーションコマンド system flash-monitor を設定すると,内蔵フラッシュメモリのユーザ領域
の未使用容量を監視して,次の契機でシステムメッセージを出力します。
• 未使用容量がコンフィグレーションで設定した閾値未満になると,任意のイベントレベルの警告のシス
テムメッセージを出力
• 警告のシステムメッセージの出力後,未使用容量がコンフィグレーションで設定した閾値以上になる
と,回復のシステムメッセージを出力
本機能によって待機系 BCU で出力したシステムメッセージは,運用系 BCU でも出力します。
200
11 装置の管理
11.4 SFU/PRU/NIF の管理
11.4.1 コンフィグレーション・運用コマンド一覧
SFU/PRU/NIF の管理に関するコンフィグレーションコマンド一覧を次の表に示します。
表 11‒32 コンフィグレーションコマンド一覧
コマンド名
説明
power enable※
disable 状態のボードを active 状態にします。また,no power enable を設定すると
ボードの電力を OFF にします。
system pru priority※
装置起動時に起動する PRU の優先度を設定します。
注※
「コンフィグレーションコマンドレファレンス Vol.1 10. SFU/PRU/NIF の管理」を参照してください。
SFU/PRU/NIF の管理に関する運用コマンド一覧を次の表に示します。
表 11‒33 運用コマンド一覧
コマンド名
説明
show system
SFU および PRU の状態を表示します。
show nif※
NIF の運用状態を表示します。
clear counters nif※
NIF の統計情報カウンタをクリアします。
activate sfu※
inactive 状態の SFU を active 状態にします。
inactivate sfu※
active 状態の SFU を inactive 状態にします。また,SFU の電力を OFF にします。
reload sfu※
SFU を再起動します。
activate pru※
inactive 状態の PRU を active 状態にします。
inactivate pru※
active 状態の PRU を inactive 状態にします。また,PRU の電力を OFF にします。
reload pru※
PRU を再起動します。
activate nif※
inactive 状態の NIF を active 状態にします。
inactivate nif※
active 状態の NIF を inactive 状態にします。また,NIF の電力を OFF にします。
reload nif※
NIF を再起動します。
注※
「運用コマンドレファレンス Vol.1 11. SFU/PRU/NIF の管理」を参照してください。
11.4.2 ボードの disable 設定
コンフィグレーションコマンド power enable で未使用の SFU,PRU および NIF を disable 状態にしま
す。本設定をしたボードの電力は OFF になります。次に示す例では,SFU を disable 状態にします。
201
11 装置の管理
[設定のポイント]
コンフィグレーションコマンドで設定することで,装置の再起動後もこの状態を継続します。
[コマンドによる設定]
1. (config)# no power enable sfu 1
コンフィグレーションモードで,SFU1 を disable 状態にします。
11.4.3 PRU の起動優先度の設定
装置起動時に電力が不足している場合は,一部の PRU だけ起動します。その場合に起動する PRU の優先
度を 1〜255 の間で設定します。設定した値が小さいほど優先度は高くなります。なお,優先度のデフォル
ト値は 128 です。
装置起動時には優先度が高い順に PRU を起動します。優先度が同じ場合は,PRU 番号の小さい PRU を優
先して起動します。なお,装置起動時に電力が不足していない場合は,本優先度は適用されないで,すべて
の PRU が起動します。次に示す例では,PRU 番号 1 のボードを高優先,PRU 番号 4 のボードを低優先と
して設定します。
[設定のポイント]
装置起動時に起動する PRU を明確にするために,各 PRU に異なる優先度を設定してください。
本設定値は装置起動時にだけ適用されます。そのため,初期導入時に設定することをお勧めします。
[コマンドによる設定]
1. (config)# system pru 1 priority 1
(config)# system pru 4 priority 255
PRU1 の優先度を 1,PRU4 の優先度を 255 に設定します。
11.4.4 SFU の状態確認
運用コマンド show system で SFU の動作状態と更新状態を確認できます。該当する SFU のアップデー
トを実施している場合,更新状態を表示します。次の図に例を示します。
図 11‒37 SFU の状態確認
> show system
Date 20XX/12/10 15:11:20 UTC
System: AX8632R, OS-RE, Ver.12.1, [123.1]
:
:
SFU1 : active (restart required), fatal error restart 0 time
Elapsed time : 2 days 2:30
Lamp : STATUS LED = green , ACTIVE LED = light off
SFU2 : notconnect
:
SFU4 : active, fatal error restart 0 time
Elapsed time : 2 days 2:30
Lamp : STATUS LED = green , ACTIVE LED = light off
>
11.4.5 PRU の状態確認
運用コマンド show system で PRU の動作状態と更新状態を確認できます。該当する PRU のアップデー
トを実施している場合,更新状態を表示します。次の図に例を示します。
202
11 装置の管理
図 11‒38 PRU の状態確認
> show system
Date 20XX/12/10 15:11:20 UTC
System: AX8632R, OS-RE, Ver.12.1, [123.1]
:
:
PRU1 : active (restart required), fatal error restart 0 time
:
PRU2 : notconnect
:
PRU8 : active, fatal error restart 0 time
:
>
11.4.6 NIF の状態確認
運用コマンド show nif で NIF の動作状態と更新状態を確認できます。該当する NIF のアップデートを実
施している場合,更新状態を表示します。次の図に例を示します。
図 11‒39 NIF の状態確認
>show nif 1
Date 20XX/04/01 12:00:00 UTC
NIF1: active(restart required) 12-port 10BASE-T/100BASE-TX/1000BASE-T
Average:103Mbps/24Gbps Peak:150Mbps at 08:10:30
Port1: active up 1000BASE-T full(auto) 0012.e240.0a04
Bandwidth:1000000kbps Average out:20Mbps Average in:10Mbps
description: test lab area network
Port2: active up 1000BASE-T full(auto) 0012.e240.0a05
Bandwidth:1000000kbps Average out:0Mbps Average in:0Mbps
description: computer management floor network
Port3: active up 1000BASE-T full(auto) 0012.e240.0a06
Bandwidth:1000000kbps Average out:2Mbps Average in:1Mbps
:
:
>
retry:0
11.4.7 NIF 交換時のコンフィグレーション
ポートのコンフィグレーションが存在しない場合,NIF を取り付けると,その NIF に対応するポートのコ
ンフィグレーションが自動で生成されます。しかし,ポートのコンフィグレーションが存在する場合,異な
るイーサネット種別(10BASE-T/100BASE-TX/1000BASE-T,1000BASE-X,10GBASE-R,
100GBASE-R)を収容する NIF へ交換すると,交換後の NIF に対応するポートのコンフィグレーション
が自動で生成されません。その結果,コンフィグレーションと搭載している NIF のイーサネット種別が不
一致になるため,該当のポートはリンクアップしません。
交換後の NIF に対応するポートのコンフィグレーションが自動で生成されないときは,交換前のポートの
コンフィグレーションを削除してください。交換前のコンフィグレーションを削除したポートは,交換後の
NIF に対応するコンフィグレーションが自動で生成されます。
NIF 交換時のポートのコンフィグレーションの自動生成と削除例を次に示します。この例では,NIF を
NLXG-6RS から NL1G-12T に交換します。
1. NIF(NLXG-6RS)を取り外します。
2. コンフィグレーションを確認します。
(config)#
interface
!
interface
!
interface
!
show
tengigabitethernet 1/1
tengigabitethernet 1/2
tengigabitethernet 1/3
203
11 装置の管理
interface tengigabitethernet 1/4
!
interface tengigabitethernet 1/5
!
interface tengigabitethernet 1/6
!
NIF を取り外しても,対応するポートのコンフィグレーションは削除されません。
3. NIF(NL1G-12T)を取り付けます。
4. コンフィグレーションを確認します。
(config)# show
interface tengigabitethernet 1/1
!
:
:
!
interface
!
interface
!
interface
!
interface
!
interface
!
interface
!
interface
!
tengigabitethernet 1/6
gigabitethernet 1/7
gigabitethernet 1/8
gigabitethernet 1/9
gigabitethernet 1/10
gigabitethernet 1/11
gigabitethernet 1/12
ポート 1/1〜1/6 は交換前の 10 ギガビットイーサネットインタフェースのコンフィグレーションが存
在するため,交換後の NIF に対応するコンフィグレーションが自動で生成されません。
ポート 1/7〜1/12 は,交換後の NIF に対応するギガビットイーサネットインタフェースのコンフィグ
レーションが自動で生成されます。
5. ポート 1/1 のコンフィグレーションを削除します。
(config)# no interface tengigabitethernet 1/1
6. コンフィグレーションを確認します。
(config)# show
interface gigabitethernet 1/1
!
interface tengigabitethernet 1/2
!
:
:
!
interface tengigabitethernet 1/6
!
interface gigabitethernet 1/7
!
:
:
ポート 1/1 は交換前のコンフィグレーションを削除したため,交換後の NIF に対応するコンフィグ
レーションが自動で生成されます。
204
11 装置の管理
11.5 運用情報のバックアップ・リストア
装置障害または交換時の運用情報の復旧手順を示します。
BCU を二重化している場合には,「11.5.2 BCU 二重化時の手順」を実施してください。BCU が一重化
の場合に確実かつ簡単に行うためには「11.5.3 BCU 一重化時の手順」を実施してください。すべてを手
作業で復旧することもできますが,取り扱う情報が複数にわたるため管理が複雑になり,また,完全に復旧
できないため,お勧めしません。
11.5.1 運用コマンド一覧
バックアップ・リストアに使用する運用コマンド一覧を次の表に示します。
表 11‒34 運用コマンド一覧
コマンド名
説明
backup
稼働中のソフトウェアおよび装置の情報を MC またはリモートの ftp サーバに保存します。
restore
MC およびリモートの ftp サーバに保存している装置情報を本装置に復旧します。
11.5.2 BCU 二重化時の手順
交換した BCU が待機系で立ち上がっている状態で,次のコマンドによってソフトウェアバージョンおよび
設定ファイルを待機系と同期させます。
• update software コマンド
ソフトウェアバージョンを同期させます。
• synchronize コマンド
その他の設定ファイルを同期させます。本コマンドで同期する対象にはコンフィグレーションを含み
ます。
二重化運用時の管理情報の同期処理については,「13.1.3 ユーザの設定情報および利用情報の同期」を参
照してください。
なお,BCU 二重化時に運用系および待機系の両系 BCU を同時に交換した場合には,restore コマンドを使
用して次の手順で復旧します。
1. restore コマンド実行時に系切替が発生しないよう,inactivate bcu standby コマンドで待機系を
inactive 状態にします。
2. 運用系で restore コマンドを実行します。これによって運用系が再起動します。
3. activate bcu standby コマンドで待機系を active 状態にします。
4. update software コマンドおよび synchronize コマンドで運用系と待機系を同期させます。
205
11 装置の管理
11.5.3 BCU 一重化時の手順
(1) 情報のバックアップ
装置が正常に稼働しているときに,backup コマンドを使用してバックアップを作成しておきます。
backup コマンドは,装置の稼働に必要な次の情報を一つのファイルにまとめて,MC または外部の FTP
サーバに保存します。
次に示す情報に変更があった場合,backup コマンドによるバックアップの作成をお勧めします。
• ソフトウェアを稼働中のバージョンにアップデートするためのファイル
• startup-config
なお,backup コマンドでは次に示す情報は保存されないので注意してください。
• 運用ログおよび統計ログ
• 装置内に保存されているダンプファイルなどの障害情報
• ユーザアカウントごとに設けられるホームディレクトリにユーザが作成および保存したファイル
(2) 情報のリストア
backup コマンドで作成されたバックアップファイルから情報を復旧する場合,restore コマンドを使用し
ます。
restore コマンドを実行すると,バックアップファイル内に保存されているソフトウェアアップデート用
ファイルを使用して装置のソフトウェアをアップデートします。このアップデート作業後,装置は自動的に
再起動します。再起動後,復旧された環境になります。
206
11 装置の管理
11.6 障害時の復旧
本装置では運用中に障害が発生した場合は自動的に復旧処理をします。障害の種別に応じて復旧処理を局
所化して,復旧処理による影響範囲を狭めることによって,正常運用部分が中断しないようにします。
11.6.1 障害の種別と復旧内容
障害発生時,障害の内容によって復旧内容が異なります。障害の種別と復旧内容を次の表に示します。
表 11‒35 障害の種別と復旧内容
障害の種別
装置の対応
復旧内容
影響範囲
ポートで検出した障害
無限回自動復旧します。
該当するポートを再初期
化します。
該当するポートを経由す
る通信が中断されます。
NIF 障害
3 回まで自動復旧します。
該当する NIF を再初期
化します。
該当する NIF が収容する
全ポートを経由する通信
が中断されます。
該当する PRU を再初期
化します。
該当する PRU が収容する
全 NIF を経由する通信が
中断されます。
該当する SFU を再初期
化します。
SFU を冗長化している場
合は通信を維持できます。
※1
自動復旧の回数が 3 回
のときに障害が発生する
と停止します。ただし,装
置起動後 1 時間ごとに自
動復旧の回数を初期化し
ます。
PRU 障害
3 回まで自動復旧します。
※1
自動復旧の回数が 3 回
のときに障害が発生する
と停止します。ただし,装
置起動後 1 時間ごとに自
動復旧の回数を初期化し
ます。
SFU 障害
3 回まで自動復旧します。
※1
自動復旧の回数が 3 回
のときに障害が発生する
と停止します。ただし,装
置起動後 1 時間ごとに自
動復旧の回数を初期化し
ます。
BCU 障害
該当する BCU を再初期
化します。
装置内の全ポートを経由
する通信が中断されます。
BCU を二重化構成にし
ている場合は系切替によ
る復旧処理をします。
BCU を二重化構成にして
いる場合は通信を維持で
きます。
停止します。※2
停止した BCU は自動復
旧しません。
装置内の全ポートを経由
する通信が中断されます。
障害を検出した電源機構
の給電を停止します。
障害を検出した電源機構
は自動復旧しません。
電源機構を冗長化してい
る場合,運用を継続しま
す。
6 回まで自動復旧します。
※1
自動復旧の回数が 6 回
のときに障害が発生する
と停止します。ただし,復
旧後 1 時間以上運用する
と,自動復旧の回数を初期
化します。
入気温度障害
電源機構障害(PS)
該当する SFU 以外に運用
系 SFU がない場合,全
NIF を経由する通信が中
断されます。
障害を検出した BCU を
電源機構が複数搭載され
ている場合,残りの電源機
207
11 装置の管理
障害の種別
装置の対応
復旧内容
構からの給電で運用を継
続します。
ファンユニット障害
FAN1 のファンユニット
で障害を検出すると,
FAN4 のファンユニット
が高速回転します。
FAN3 のファンユニット
で障害を検出すると,
FAN6 のファンユニット
が高速回転します。
影響範囲
電源機構を冗長化してい
ない場合,装置の運用に必
要な電力が供給されなく
なると正常に運用できま
せん。
障害を検出したファンユ
ニットは自動復旧しませ
ん。
通信に影響はありません。
ただし,装置内の温度が上
昇するおそれがあります。
障害を検出したファンユ
ニットを交換すると,高
速回転を解除します。
注※1
障害内容によっては自動復旧しないで,該当するボードを停止します。
注※2
コンフィグレーションコマンド system high-temperature-action で BCU を停止しない設定をしている場合,BCU
を停止しません。
11.6.2 ソフトウェア障害検出時の動作
(1) 概要
BCU 上の特定のソフトウェアに障害が発生した場合,そのソフトウェアを再起動するのと同時に BCU を
系切替できます。こうすると,BCU を系切替しないで,障害が発生したソフトウェアの再起動だけでサー
ビスを復旧する場合と比べて,サービス停止時間を短縮できることがあります。対象となるソフトウェア
は,コンフィグレーションコマンド failure-action software で設定します。
なお,本機能を設定していても,待機系 BCU が搭載されていないなど系切替ができない場合,または本機
能による系切替が連続で発生した場合には,システムメッセージを出力して系切替を抑止します。
(2) ソフトウェア障害検出時の動作に関する注意事項
• コンフィグレーションコマンド failure-action software で unicast パラメータを設定している場合,
core-file パラメータを指定して運用コマンド restart unicast を実行すると,BCU の系切替が発生しま
す。
• コンフィグレーションコマンド failure-action software で multicast パラメータを設定している場合,
core-file パラメータを指定して運用コマンド restart ipv4-multicast または restart ipv6-multicast を
実行すると,BCU の系切替が発生します。
• コンフィグレーションコマンドの実行中,またはコンフィグレーションを操作する運用コマンドの実行
中に系切替が発生した場合は,系切替後にコマンドを再実行してください。
また,コンフィグレーションの編集中に系切替が発生した場合,BCU 間のコンフィグレーションが不
一致になることがあります。その場合は出力されたシステムメッセージの対応手順に従って,待機系
BCU を再起動してください。
11.6.3 コンフィグレーション・運用コマンド一覧
ソフトウェア障害検出時の動作に関するコンフィグレーションコマンド一覧を次の表に示します。
208
11 装置の管理
表 11‒36 コンフィグレーションコマンド一覧
コマンド名
説明
failure-action software
ソフトウェア障害が発生したときの動作を指定します。
ソフトウェア障害検出時の動作に関する運用コマンド一覧を次の表に示します。
表 11‒37 運用コマンド一覧
コマンド名
show system
説明
ソフトウェア障害が発生したときの動作設定を表示します。
11.6.4 系切替条件の設定
[設定のポイント]
指定した機能に関係するプログラムで障害が発生したときに,BCU を系切替する設定をします。
[コマンドによる設定]
1. (config)# failure-action software unicast switchover
グローバルコンフィグレーションモードで,ユニキャストルーティング機能に関係するソフトウェアで
障害が発生したときに,系切替するように設定します。
209
12
ソフトウェアの管理
この章では,ソフトウェアの管理について説明します。
211
12 ソフトウェアの管理
12.1 ソフトウェアアップデートの解説
12.1.1 概要
ソフトウェアアップデートとは,ソフトウェアのバージョンを運用中のバージョンとは異なるバージョンに
変更することです。装置の各ボードのソフトウェアを更新する処理と,更新したソフトウェアを装置の動作
状態に反映する処理から成ります。バージョンアップ,バージョンダウンのどちらもできます。
PC などのリモート運用端末または MC からアップデートファイルを本装置に転送して運用コマンド
update software を実行すると,ソフトウェアをアップデートできます。また,ボードの起動時および系
切替時には,SFU,PRU,NIF のソフトウェアを自動で運用系 BCU と同じバージョンにアップデートし
ます。アップデート時,コンフィグレーションはそのまま引き継がれます。
運用コマンド update software によるソフトウェアアップデートの概要を次の図に示します。
図 12‒1 ソフトウェアアップデートの概要
12.1.2 ソフトウェアアップデートの対象
ソフトウェアアップデートでは,装置の各ボードのソフトウェアおよびハードウェア制御に関するソフト
ウェア(HDC:Hardware dependent code)を更新します。なお,各ボードにインストール済みのソフ
トウェアのバージョンとアップデートに使用するソフトウェアのバージョンが同じ場合は,アップデートし
ません。
ソフトウェアアップデートの対象を次の表に示します。
表 12‒1 ソフトウェアアップデートの対象
ボード
アップデート対象
BCU
ソフトウェア,HDC
SFU
HDC
PRU
ソフトウェア,HDC
NIF
HDC
12.1.3 更新・反映の契機
ソフトウェアは,次に示す二つの契機でアップデートします。
• 運用コマンド update software の実行時
212
12 ソフトウェアの管理
• ボードの起動時
アップデートの契機によって,ソフトウェアの更新および反映のタイミングが異なります。ここでは,各
アップデート契機での更新および反映のタイミングについて説明します。
なお,運用コマンド show version を使用して動作中のバージョンとインストール済みのバージョンを比較
すると,ソフトウェアの更新および反映状態を確認できます。
(1) 運用コマンド update software の実行時
BCU 一重化構成の場合
BCU のソフトウェアを更新したあと,装置を自動で再起動して新しいソフトウェアを反映します。同
時に,各ボードで新しいソフトウェアを更新および反映します。なお,update software コマンド実行
時に自動で再起動させないことも指定できます。
BCU 二重化構成の場合
BCU のソフトウェアを更新したあと,BCU を自動で再起動して新しいソフトウェアを反映します。な
お,update software コマンド実行時に自動で再起動させないことも指定できます。
運用系 BCU を対象とした場合,SFU,PRU,および NIF のソフトウェアも更新します。更新したソ
フトウェアを反映するには,運用コマンド reload で各ボードを再起動してください。
ソフトウェアの反映契機については,「12.2 ソフトウェアアップデートのオペレーション」を参照のこ
と。
(2) ボードの起動時
各ボードの起動を契機とした SFU,PRU,または NIF のアップデートでは,自動でソフトウェアを更新お
よび反映します。そのため,起動したボードは運用系 BCU と同じバージョンのソフトウェアで動作しま
す。
12.1.4 無停止ソフトウェアアップデート
無停止ソフトウェアアップデートは,冗長構成のときに通信を中断しないでソフトウェアをアップデートす
る機能です。ルーティングテーブルなどを保持し続け,順に更新することでアップデート作業中の通信を維
持します。各ボードでの動作を次に示します。
BCU
二重化構成で系切替をしながらアップデートすることで,通信を維持したままソフトウェアおよび
HDC を更新できます。
SFU
冗長構成で順番に SFU を再起動することで,通信を維持したまま HDC を更新できます。
PRU
複数の PRU にわたるリンクアグリゲーションを使用して順番に PRU を再起動することで,通信を維持
したままソフトウェアおよび HDC を更新できます。
NIF
複数の NIF にわたるリンクアグリゲーションを使用して順番に NIF を再起動することで,通信を維持
したまま HDC を更新できます。
ソフトウェアのバージョンアップおよびバージョンダウン共に通信無停止でアップデートができます。
無停止ソフトウェアアップデートをするための条件を次の表に示します。
213
12 ソフトウェアの管理
表 12‒2 無停止ソフトウェアアップデートの適用条件
項目
装置構成
適用条件
BCU を二重化していること。
SFU を冗長化していること。
複数の PRU にわたるリンクアグリゲーションを使用していること。
バージョンダウンの場合,アップデート後のソフトウェアバージョンで未サポートの
ハードウェア(PRU,NIF など)を使用していないこと。
サポート機能
通信無停止の系切替をサポートしている機能を使用していること。
詳細は,「13.1.4 系切替 (1) 通信無停止対応機能一覧」を参照してください。
バージョンダウンの場合,アップデート後のソフトウェアで未サポートの機能を使用
していないこと。
ソフトウェアバージョン
アップデート前,アップデート後どちらも Ver. 12.1 以降であること。
アップデート前に,運用系 BCU と待機系 BCU が同じバージョンのソフトウェアで
動作していること。
コンフィグレーション
ランニングコンフィグレーションおよび編集中のコンフィグレーションが,スタート
アップコンフィグレーションと一致していること。
運用系 BCU と待機系 BCU のスタートアップコンフィグレーションが一致してい
ること。
12.1.5 ソフトウェアアップデートに関する注意事項
(1) 電源に関する注意事項
ソフトウェアアップデートの実行中は,電源を OFF にしないでください。
(2) SFU に関する注意事項
無停止ソフトウェアアップデートをする場合は,SFU が 1 枚停止しても装置が必要とする性能を維持でき
る数の SFU を搭載することをお勧めします。
SFU の HDC を更新するときは,SFU を順番に再起動する必要があります。このとき,搭載する PRU お
よび NIF の構成と SFU の枚数によって,SFU の再起動中に装置が必要とする性能を下回ることがあるた
めです。
(3) コンフィグレーションに関する注意事項
内蔵フラッシュメモリに保存されているコンフィグレーションは,ソフトウェアアップデート後にも引き継
がれます。保存されているコンフィグレーションの設定数が多いと,コンフィグレーションの引き継ぎに時
間が掛かることがあります。
なお,引き継いだコンフィグレーションの中に,バージョンダウンなどによって未サポートになるコンフィ
グレーションがあった場合は,該当するコンフィグレーションを削除して運用します。
(4) ボード交換に関する注意事項
アップデート後のソフトウェアバージョンからサポートするボードを搭載する場合は,サポートするソフト
ウェアバージョンへアップデートしたあとで該当するボードを搭載してください。また,アップデート後の
214
12 ソフトウェアの管理
ソフトウェアバージョンで未サポートとなるボードがある場合は,該当するボードを抜去したあとでアップ
デートしてください。
215
12 ソフトウェアの管理
12.2 ソフトウェアアップデートのオペレーション
12.2.1 運用コマンド一覧
ソフトウェアの管理に関する運用コマンド一覧を次の表に示します。
表 12‒3 運用コマンド一覧
コマンド名
update software
説明
指定したソフトウェアにアップデートします。
12.2.2 アップデートファイルの準備
1. コンフィグレーションをオンラインで編集したあと保存していない場合は,アップデートの前にコン
フィグレーションコマンド save または commit を実行して,コンフィグレーションを保存してくださ
い。
コンフィグレーションを保存しないと,アップデート終了後の BCU 再起動によって編集前のコンフィ
グレーションに戻ります。
2. show flash コマンドを実行してください。
BCU1 および BCU2 の内蔵フラッシュメモリのユーザ領域(user)に,次に示す値以上の未使用容量
(free)があることを確認します。
アップデートファイルのサイズ−「/usr/var/update/k.img」のサイズ+ 10MB
3. アップデートファイルを本装置に転送して,k.img という名前でディレクトリ(/usr/var/update)に
置いてください。
ファイルの転送には,FTP を使用する方法と MC を使用する方法があります。FTP を使用する場合は,
バイナリモードで転送してください。
4. ls -l /usr/var/update コマンドを実行してください。
k.img のファイルサイズが,取得元のファイルサイズと等しいことを確認します。確認が終了したら,
「12.2.3 アップデートコマンドの実行」に進んでください。
12.2.3 アップデートコマンドの実行
BCU 一重化構成と BCU 二重化構成で手順が異なります。
(1) 一重化構成でのアップデート
1. cd /usr/var/update コマンドを実行してください。
2. update software k.img active コマンドを実行してください。
インストールされるソフトウェアのバージョンと,アップデート対象が表示されます。
BCU がアップデート対象の場合
ソフトウェアを更新したあと装置が自動で再起動します。再起動したら再度ログインして,
「12.2.5 アップデート後の確認」に進んでください。
BCU がアップデート対象ではない場合
SFU,PRU または NIF を手動で再起動する必要があります。
「12.2.4 SFU・PRU・NIF のアップ
デート」に進んでください。
216
12 ソフトウェアの管理
(2) 二重化構成でのアップデート
1. cd /usr/var/update コマンドを実行してください。
2. update software k.img standby コマンドを実行してください。
インストールされるソフトウェアのバージョンと,アップデート対象が表示されます。
BCU がアップデート対象の場合
ソフトウェアを更新したあと待機系 BCU が自動で再起動します。再起動したら,手順 3.に進んで
ください。
BCU がアップデート対象ではない場合
update software k.img active コマンドを実行してください。
インストールされるソフトウェアのバージョンと,アップデート対象が表示されます。ソフトウェ
アを更新したあと,手順 9.に進んでください。
3. show version コマンドを実行してください。
待機系 BCU がアップデート後のソフトウェアで動作していることを確認します。
4. show system コマンドを実行してください。
「Hardware information」欄で,待機系 BCU の動作状態を確認します。
動作状態に「configuration discord」が表示されている場合
update software k.img active コマンドを実行してください。
インストールされるソフトウェアのバージョンと,アップデート対象が表示されます。ソフトウェ
アを更新したあと運用系 BCU が自動で再起動するため,系切替が発生します。系切替したら再度ロ
グインして,手順 9.に進んでください。
動作状態に「configuration discord」が表示されていない場合
手順 5.に進んでください。
5. redundancy force-switchover コマンドを実行してください。
手動で系切替します。系切替したら,新運用系 BCU へ再度ログインしてください。
6. cd /usr/var/update コマンドを実行してください。
7. show system コマンドを実行してください。
「Hardware information」欄で,待機系 BCU の動作状態に「configuration discord」が表示されて
いないことを確認します。
8. update software k.img standby コマンドを実行してください。
ソフトウェアを更新したあと待機系 BCU が自動で再起動します。
9. show system コマンドを実行してください。
「Hardware information」欄で,待機系 BCU の動作状態が「standby」であることを確認します。確
認が終了したら,「12.2.4 SFU・PRU・NIF のアップデート」に進んでください。
12.2.4 SFU・PRU・NIF のアップデート
1. すべての SFU および PRU に対して reload コマンドを実行してください。
すべての SFU,PRU,および NIF を再起動します。このとき,無停止ソフトウェアアップデートの適
用条件を満たしていれば,ボードを 1 枚ずつ再起動することで通信を中断しないでソフトウェアを反映
できます。再起動したら,「12.2.5 アップデート後の確認」に進んでください。
217
12 ソフトウェアの管理
12.2.5 アップデート後の確認
BCU 一重化構成と BCU 二重化構成で手順が異なります。
(1) 一重化構成での確認
1. show version コマンドを実行してください。
BCU のバージョンが期待したバージョンと同一であることを確認します。
(2) 二重化構成での確認
BCU 二重化構成では,これまでのアップデート手順によって,運用系 BCU と待機系 BCU が入れ替わっ
ていることがあるため注意してください。
1. show version コマンドを実行してください。
運用系 BCU のバージョンが期待したバージョンと同一であることを確認します。
2. show system コマンドを実行してください。
「Hardware information」欄で,待機系 BCU の動作状態に次の表示がないことを確認してください。
• configuration discord
• software version discord
12.2.6 アップデート操作時の注意事項
(1) k.img ファイルの削除時の注意事項
手順で指示があるときにだけ,k.img ファイルを削除してください。それ以外で削除すると,異常終了時に
ファイルを復旧できなくなります。
(2) update software コマンド実行時の注意事項
update software コマンドは複数のユーザで同時に実行できません。実行した場合,メッセージ「Update
is undergoing now.」を表示し,異常終了します。
複数のユーザで同時に実行しなくても update software コマンドが異常終了した場合は,このメッセージ
が表示され,再実行できないことがあります。例えば,通信ソフトの終了による強制ログアウトなどで異常
終了したときです。再実行できない場合は,"rm /tmp/ppupdate.exec"コマンドを実行したあと,再度
update software コマンドを実行してください。
218
12 ソフトウェアの管理
12.3 BCU 初期導入ソフトウェアからのアップデート
の解説
12.3.1 概要
BCU 初期導入ソフトウェアでは,BCU 以外のボードを起動しません。そのため,BCU を使用する前に,
運用するバージョンのソフトウェアに更新する必要があります。以降,BCU 初期導入ソフトウェアを運用
するソフトウェアに更新することを,BCU 初期導入ソフトウェアからのアップデートといいます。
BCU 初期導入ソフトウェアからのアップデートをするには,PC などのリモート運用端末または MC から
運用するソフトウェアのファイルを本装置に転送して,ソフトウェアを更新する運用コマンドを実行しま
す。BCU 初期導入ソフトウェアからのアップデートで使用するソフトウェアは,ソフトウェアアップデー
トで使用するソフトウェアと同じものです。また,ソフトウェア更新後もコンフィグレーションはそのまま
引き継がれます。
BCU 初期導入ソフトウェアからのアップデートの概要を次の図に示します。
図 12‒2 BCU 初期導入ソフトウェアからのアップデートの概要
12.3.2 BCU 初期導入ソフトウェアからのアップデートの対象
BCU 初期導入ソフトウェアからのアップデートでは,各ボードのソフトウェアおよびハードウェア制御に
関するソフトウェア(HDC:Hardware dependent code)を更新します。
BCU 初期導入ソフトウェアからのアップデートの対象を次の表に示します。
表 12‒4 BCU 初期導入ソフトウェアからのアップデートの対象
ボード
アップデート対象
BCU
ソフトウェア,HDC
SFU
HDC
PRU
ソフトウェア,HDC
NIF
HDC
なお,BCU 初期導入ソフトウェアからのアップデートでは,BCU だけを更新対象としてソフトウェアを
更新します。ソフトウェア更新後の装置再起動時に,SFU,PRU,および NIF のソフトウェアを,更新し
たソフトウェアと同じバージョンのソフトウェアに自動で更新します。
219
12 ソフトウェアの管理
12.3.3 BCU 初期導入ソフトウェアからのアップデートの手順
運用コマンド update software または restore で,ソフトウェアを更新できます。restore コマンドを使用
する場合には,あらかじめ運用コマンド backup で,ソフトウェアを含むバックアップを作成しておく必
要があります。
BCU 初期導入ソフトウェアからのアップデートは,BCU 一重化構成と BCU 二重化構成で手順が異なりま
す。構成に合った手順で,ソフトウェアを更新してください。
(1) BCU 一重化構成の場合
BCU 初期導入ソフトウェアからのアップデートでソフトウェアを更新したあと,装置を自動で再起動して
新しいソフトウェアを反映します。再起動時に,BCU 以外の各ボードのソフトウェアも自動で更新および
反映します。
(2) BCU 二重化構成の場合
先に待機系 BCU のソフトウェアを更新してから,運用系 BCU のソフトウェアを更新します。その後,装
置を再起動して新しいソフトウェアを反映します。再起動時に,BCU 以外の各ボードのソフトウェアも自
動で更新および反映します。
12.3.4 BCU 初期導入ソフトウェアからのアップデートに関する注意
事項
(1) 電源に関する注意事項
BCU 初期導入ソフトウェアからのアップデートの実行中は,電源を OFF にしないでください。
(2) BCU 以外の各ボードに関する注意事項
BCU 初期導入ソフトウェアでは,BCU 以外のボードを起動しません。そのため,運用コマンド show
system を実行すると,これらのボードに対して notsupport と表示されることがあります。
この状態で,待機系 BCU のソフトウェアを更新して系切替した場合,旧運用系 BCU で notsupport と表
示されていたボードは新運用系 BCU でも notsupport のままとなります。その場合は,装置を再起動して
各ボードを起動してください。
(3) コンフィグレーションに関する注意事項
内蔵フラッシュメモリに保存されているコンフィグレーションは,ソフトウェア更新後にも引き継がれま
す。保存されているコンフィグレーションの設定数が多いと,コンフィグレーションの引き継ぎに時間が掛
かることがあります。
220
12 ソフトウェアの管理
12.4 BCU 初期導入ソフトウェアからのアップデート
のオペレーション
ここでは,update software コマンドを使用したオペレーションについて説明します。restore コマンドに
ついては,
「11.5 運用情報のバックアップ・リストア」を参照してください。
12.4.1 運用コマンド一覧
BCU 初期導入ソフトウェアからのアップデートに関する運用コマンド一覧を次の表に示します。
表 12‒5 運用コマンド一覧
コマンド名
説明
update software
指定したソフトウェアを更新します。
restore
MC およびリモートの ftp サーバに保存している装置情報を本装置に復旧します。
12.4.2 アップデートファイルの準備
1. show flash コマンドを実行してください。
BCU1 および BCU2 の内蔵フラッシュメモリのユーザ領域(user)に,次に示す値以上の未使用容量
(free)があることを確認します。
アップデートファイルのサイズ−「/usr/var/update/k.img」のサイズ+ 10MB
2. アップデートファイルを本装置に転送して,k.img という名前でディレクトリ(/usr/var/update)に
置いてください。
ファイルの転送には,FTP を使用する方法と MC を使用する方法があります。FTP を使用する場合は,
マネージメントポート経由で接続して,バイナリモードで転送してください。
なお,FTP を使用するための設定については,
「7.2.3 本装置への IP アドレスの設定」および「7.2.5 ftp によるログインを許可する」を参照してください。
3. ls -l /usr/var/update コマンドを実行してください。
k.img のファイルサイズが,取得元のファイルサイズと等しいことを確認します。
4. show system コマンドを実行してください。
ソフトウェア更新対象の BCU の動作状態が,「active」または「standby」であることを確認します。
なお,待機系 BCU の動作状態に次の内容が表示されることがありますが,運用系 BCU と待機系 BCU
でコンフィグレーションまたはバージョンが異なるために表示されるもので,異常ではありません。
• configuration discord
• software version discord
12.4.3 アップデートコマンドの実行
BCU 一重化構成と BCU 二重化構成で手順が異なります。
(1) 一重化構成でのアップデート
1. cd /usr/var/update コマンドを実行してください。
2. enable コマンドを実行してください。
221
12 ソフトウェアの管理
装置管理者モードに移行します。
3. update software k.img active コマンドを実行してください。
更新されるソフトウェアのバージョンと,更新後のソフトウェアのバージョンが表示されて,ソフト
ウェアを更新します。更新したあと,装置が再起動します。
装置の再起動時に更新後のソフトウェアと各ボードのソフトウェアのバージョンが異なる場合,各ボー
ドのソフトウェアを自動で更新および反映します。その場合には,各ボードが自動で再起動します。
再起動したら再度ログインして,「12.4.4 アップデート後の確認」に進んでください。
(2) 二重化構成でのアップデート
1. cd /usr/var/update コマンドを実行してください。
2. enable コマンドを実行してください。
装置管理者モードに移行します。
3. update software no-reload k.img standby コマンドを実行してください。
待機系 BCU のソフトウェアを更新します。更新されるソフトウェアのバージョンと,更新後のソフト
ウェアのバージョンが表示されます。
更新したあと,待機系 BCU は自動で再起動しません。コマンドが正常に終了したことを確認して,次
に進んでください。
4. show version コマンドを実行してください。
待機系 BCU のソフトウェアが更新されていることを確認します。待機系 BCU のソフトウェア型名の
括弧内に表示されているバージョンが,更新後のソフトウェアのバージョンであることを確認してくだ
さい。
# show version
Date 20XX/XX/XX 00:00:00 UTC
:
BCUX: AX-F8600-XXX [XXXXXX, XXXXXXXXXXXXXXXXXXXXXXX]
AX-P8600-X0, BOOT-OS-X, Ver.1.1 (Ver.12.4)
:
5. update software no-reload k.img active コマンドを実行してください。
運用系 BCU のソフトウェアを更新します。更新されるソフトウェアのバージョンと,更新後のソフト
ウェアのバージョンが表示されます。
更新したあと,運用系 BCU は自動で再起動しません。コマンドが正常に終了したことを確認して,次
に進んでください。
6. show version コマンドを実行してください。
運用系 BCU のソフトウェアが更新されていることを確認します。運用系 BCU のソフトウェア型名の
括弧内に表示されているバージョンが,更新後のソフトウェアのバージョンであることを確認してくだ
さい。
# show version
Date 20XX/XX/XX 00:00:00 UTC
:
BCUX: AX-F8600-XXX [XXXXXX, XXXXXXXXXXXXXXXXXXXXXXX]
AX-P8600-X0, BOOT-OS-X, Ver.1.1 (Ver.12.4)
:
7. reload no-dump-image コマンドを実行してください。
装置を再起動します。
装置の再起動時に更新後のソフトウェアと各ボードのソフトウェアのバージョンが異なる場合,各ボー
ドのソフトウェアを自動で更新および反映します。その場合には,各ボードが自動で再起動します。
再起動したら再度ログインして,「12.4.4 アップデート後の確認」に進んでください。
222
12 ソフトウェアの管理
12.4.4 アップデート後の確認
BCU 一重化構成と BCU 二重化構成で手順が異なります。
(1) 一重化構成での確認
1. show version コマンドを実行してください。
BCU のバージョンが期待したバージョンと同一であることを確認します。
(2) 二重化構成での確認
BCU 二重化構成では,これまでのアップデート手順によって,運用系 BCU と待機系 BCU が入れ替わっ
ていることがあるため注意してください。
1. show version コマンドを実行してください。
運用系 BCU のバージョンが期待したバージョンと同一であることを確認します。
2. show system コマンドを実行してください。
• 「Hardware information」欄で,待機系 BCU の動作状態に「software version discord」が表示
されていないことを確認します。
• 「Hardware information」欄で,待機系 BCU の動作状態に「configuration discord」が表示され
ている場合,コンフィグレーションコマンド save を実行してください。
223
12 ソフトウェアの管理
12.5 オプションライセンスの解説
12.5.1 概要
オプションライセンスとは,装置に含まれる付加機能を使用するために必要なライセンスです。付加機能ご
とにオプションライセンスを提供します。オプションライセンスが設定されていない場合,付加機能を使用
できません。
オプションライセンスは,ライセンスキーを記述した「オプションライセンス使用許諾契約書兼ライセンス
シート」または「ソフトウェア使用条件書」で提供します。なお,オプションライセンスは次のルールに従
います。
• 装置に対応したオプションライセンスが必要です。
• 一つのオプションライセンスは,同一装置内でだけ設定できます。
• ある機能のオプションライセンスを設定済みの状態で,異なる機能のオプションライセンスを追加で設
定できます。
12.5.2 オプションライセンスを含むコンフィグレーションの操作
オプションライセンスの設定情報は,装置のコンフィグレーションに保存されます。コンフィグレーション
の操作ごとのオプションライセンスの扱いは次のとおりです。
(1) コンフィグレーションのコピー
運用コマンド copy の実行時,コピー元がコンフィグレーションファイルでコピー先がスタートアップコン
フィグレーションの場合,コピー元に設定されているオプションライセンスは無視されて,ランニングコン
フィグレーションに設定されているオプションライセンスがスタートアップコンフィグレーションに設定
されます。コピー元のコンフィグレーションファイルにオプションライセンスを必要とする機能のコン
フィグレーションコマンドが設定されている場合は,コンフィグレーションコマンド license を使用して該
当するオプションライセンスをランニングコンフィグレーションに設定してから,copy コマンドを実行し
てください。
(2) 初期導入時のコンフィグレーションに戻す
運用コマンド erase configuration では,指定しないかぎりオプションライセンスを削除しません。
license パラメータを指定すると,オプションライセンスを削除します。
(3) テンプレート
テンプレートには,コンフィグレーションコマンド license を登録できません。
オプションライセンスを必要とする機能のコンフィグレーションコマンドが登録されているテンプレート
を反映する場合は,あらかじめ該当するオプションライセンスを設定しておいてください。また,オプショ
ンライセンスを必要とする機能のコンフィグレーションコマンドを登録,修正,または削除してテンプレー
トを編集する場合も,あらかじめ該当するオプションライセンスを設定しておいてください。
(4) マージ
コンフィグレーションコマンド load の実行時,マージ元のコンフィグレーションファイルに設定されてい
るオプションライセンスは無視されます。マージ元のコンフィグレーションファイルにオプションライセ
ンスを必要とする機能のコンフィグレーションコマンドが設定されている場合は,コンフィグレーションコ
224
12 ソフトウェアの管理
マンド license を使用して該当するオプションライセンスをランニングコンフィグレーションに設定して
から,load コマンドを実行してください。
12.5.3 装置交換時のオプションライセンス再設定
装置を交換した場合,オプションライセンスを再設定するには,次に示す操作のうちどれかが必要です。
• コンフィグレーションコマンドによるオプションライセンスの再設定
• あらかじめ作成しておいたバックアップファイルからの運用情報の復旧(一重化構成で BCU を交換し
た場合)
• コンフィグレーションの同期(二重化構成で BCU を 1 枚だけ交換した場合)
• あらかじめ作成しておいたバックアップファイルからの運用情報の復旧と,コンフィグレーションの同
期(二重化構成で BCU を 2 枚交換した場合)
バックアップファイルの作成には運用コマンド backup を使用します。また,復旧には運用コマンド
restore を使用します。
なお,ソフトウェアのバージョンアップ時は,オプションライセンスの再設定は不要です。
12.5.4 オプションライセンスに関する注意事項
オプションライセンスが設定されている場合,コマンド入力で,該当する機能のコマンド名を補完します。
ただし,オプションライセンスを設定した直後は補完できません。補完できるようにするには,いったん装
置からログアウトしたあと,再度ログインしてください。
225
13
装置の冗長化
この章では,本装置での冗長構成について説明します。
227
13 装置の冗長化
13.1 BCU 二重化の解説
13.1.1 概要
(1) 装置構成
基本制御機構(BCU)を二重化する場合,BCU を 2 枚搭載します。2 枚のボードがそれぞれ運用系 BCU,
待機系 BCU として動作します。BCU を二重化することで,障害に対する信頼性を高められます。運用系
BCU に障害が発生した場合は運用系 BCU と待機系 BCU を切り替えて,待機系 BCU が新運用系 BCU と
なって運用を始めます。
(2) 二重化を構成する条件
BCU を二重化で運用するための条件を次に示します。すべての条件を満たすと,系切替ができます。
• 運用系 BCU が正常に起動している
• 待機系 BCU が正常に起動している
• 両系 BCU のコンフィグレーションが同期できている
どれかの条件を満たせない場合,システムメッセージを出力して警告します。条件を満たすためにはシステ
ムメッセージの記載に従って対応してください。
13.1.2 動作
本装置では,BCU の搭載枚数が 1 枚の場合,一重化構成で動作します。
BCU の搭載枚数が 2 枚の場合,一方は待機系 BCU として起動します。その後,二重化を構成するための
条件を満たすと,システムメッセージ(メッセージ種別:BCU,メッセージ識別子:01101006)を表示
して二重化構成での運用を開始します。
BCU の搭載枚数が 2 枚でも待機系 BCU の起動が完了するまで,一重化構成で動作します。一重化から二
重化へ,または二重化から一重化へ構成が変化しても,通信への影響はありません。一重化から二重化で運
用開始するまでの流れを次の図に示します。
図 13‒1 二重化構成での運用開始時の動作
1. 運用系 BCU だけで一重化運用
2. 待機系 BCU の起動が完了
3. 運用系 BCU と待機系 BCU のコンフィグレーションの同期が完了
4. 運用系 BCU は二重化で運用が開始されたことをシステムメッセージで表示
5. 待機系 BCU は二重化で運用が開始されたことをシステムメッセージで表示
228
13 装置の冗長化
BCU を 2 枚搭載してから装置の電源を入れて起動する場合,BCU1 が運用系として動作して,BCU2 は
待機系として運用を開始します。
13.1.3 ユーザの設定情報および利用情報の同期
運用系 BCU と待機系 BCU の間で同期するユーザの設定情報および利用情報を次の表に示します。同期
した情報は待機系 BCU の動作にも適用されて,系切替後も矛盾が発生することなく運用できます。
表 13‒1 運用中に同期するユーザの設定情報および利用情報
ユーザの設定情報および利用情報
同期する契機
ランニングコンフィグレーションおよび編集
中のコンフィグレーション
• 二重化運用開始時
スタートアップコンフィグレーション
• 次のコマンドによるスタートアップコンフィグレーション更新
時
• コンフィグレーション変更時
・コンフィグレーションコマンド save
・コンフィグレーションコマンド commit
・運用コマンド copy
・運用コマンド erase configuration
• 運用コマンド synchronize 実行時
ホームディレクトリ下で作成したファイル
• 運用コマンド synchronize 実行時(userfile パラメータ指定時
だけ)
13.1.4 系切替
本装置は BCU を二重化構成で運用している場合,運用コマンド redundancy force-switchover の実行や
運用系 BCU の障害などによって運用系 BCU が切り替わります。
コマンドで系切替をすると,コマンドを実行した系は系切替後に待機系 BCU として動作します。系切替の
準備ができていない場合などは,コマンドによる系切替が抑止されます。
二重化構成の状態は運用コマンド show system で確認できます。起動が完了しない,または系切替の準備
ができていない場合は,次の方法で対応してください。
• 運用コマンド show logging を使用して,システムメッセージに従って対応する
• 「トラブルシューティングガイド」に従って対応する
なお,系切替をすると,リモート接続しているユーザはすべてログアウトします。このとき,リモート接続
しているユーザが実行中のコマンドは終了するため,切り替え後にログインして再実行してください。
(1) 通信無停止対応機能一覧
通信無停止機能をサポートする機能を次の表に示します。通信無停止機能をサポートしている機能は,系切
替時でも各機能が停止しないで動作するため,系切替後も通信を維持できます。通信無停止機能を未サポー
トの機能は系切替後再学習をするため,ネットワーク情報が再構築されるまでの間通信が中断します。
229
13 装置の冗長化
表 13‒2 系切替時の通信無停止機能サポート状況
分類
機能
本装置へのアクセス
telnet,ftp
×
ネットワークインタフェース
全 NIF 共通
○
マネージメントポート
×
スタティック
○
LACP
○
スタンバイリンク リンクダウンモード
○
スタンバイリンク 非リンクダウンモード
○
異速度混在モード
○
MAC アドレス学習
○
ポート VLAN
○
Tag 変換
○
PVST+
×
シングルスパニングツリー
×
マルチプルスパニングツリー
×
Ring Protocol
Ring Protocol
×
IGMP/MLD snooping
IGMP/MLD snooping
○
フィルタ・QoS
フィルタ・QoS
○
L2 ループ検知
L2 ループ検知
×
IEEE802.3ah OAM
UDLD
×
ループ検出
×
CFM
CFM
○
LLDP
LLDP
×
IP パケット中継
IPv4,ARP
○
IPv6,NDP
○
リンクアグリゲーション
MAC アドレス学習・VLAN
スパニングツリー
ポリシーベースルーティング
ユニキャストルーティングプロトコル
230
サポート
○※1
DHCP/BOOTP リレーエージェント
○
DHCPv6 リレーエージェント
○
VRRP
×
スタティックルーティング
○
RIP,RIP2,RIPng
×
13 装置の冗長化
分類
IPv4 マルチキャストルーティングプロトコル
IPv6 マルチキャストルーティングプロトコル
ネットワーク経路監視機能
機能
サポート
OSPF,OSPFv3
○※2
BGP4,BGP4+
○※2
PIM-SM
○※3
PIM-SSM
○※3
PIM-SM
×
PIM-SSM
○※3
BFD
○
(凡例)○:サポート ×:未サポート
注※1
系切替後のネクストホップの選択抑止中は,系切替前に選択していたネクストホップに中継することで通信を継続し
ます。
注※2
ユニキャストルーティング高可用機能を使用した場合です。
注※3
無停止マルチキャスト中継機能を使用した場合です。ただし,マルチキャストエクストラネットのマルチキャスト中
継エントリは対象外です。
(2) コンフィグレーション不一致時の動作
BCU の増設や交換時など,運用系 BCU と待機系 BCU でコンフィグレーションに差分が発生する場合が
あります。この状態で系が切り替わると,運用中のハードウェア設定と新運用系 BCU のコンフィグレー
ションが異なり動作が矛盾するおそれがあります。
このため,本装置では運用系 BCU と待機系 BCU 間のコンフィグレーションで不一致を検出すると,シス
テムメッセージを出力します。また,起動時のコンフィグレーションに差分がある場合も同様に,システム
メッセージを出力します。コンフィグレーションの同期によって不一致が解消すると,一致した旨のシステ
ムメッセージを出力します。なお,コンフィグレーションの同期処理中は,一時的にコンフィグレーション
の編集が抑止されます。
13.1.5 BCU 二重化構成使用時の注意事項
(1) ログインに関する注意事項
運用端末の接続形態によって,次のようにログインできる系が異なります。
• シリアル接続ポート
運用系 BCU および待機系 BCU のそれぞれにコンソールを接続してログインできます。
• マネージメントポート
運用系 BCU のマネージメントポートを使用してログインできます。待機系 BCU のマネージメント
ポートからはログインできません。
• 通信用ポート
リモート運用端末から通信用ポートを経由してログインする場合は,運用系 BCU にログインします。
待機系 BCU にはログインできません。
231
13 装置の冗長化
• シリアル接続ポート(AUX)にダイアルアップ IP 接続
リモート運用端末からダイアルアップ IP 接続してログインする場合は,運用系 BCU および待機系
BCU にログインできます。
(2) 系切替時の注意事項
系切替時,次のどちらかのシステムメッセージが出力されるまでの間,運用コマンドでの表示情報および
MIB で取得する情報に系切替後の状態が反映されないことがあります。
• メッセージ種別:BCU,メッセージ識別子:0110100d
• メッセージ種別:BCU,メッセージ識別子:0110100e
232
13 装置の冗長化
13.2 BCU 二重化のオペレーション
13.2.1 運用コマンド一覧
BCU 二重化に関する運用コマンド一覧を次の表に示します。
表 13‒3 運用コマンド一覧
コマンド名
説明
inactivate bcu standby
待機系 BCU を停止します。
activate bcu standby
待機系 BCU を起動します。
redundancy force-switchover
運用系 BCU と待機系 BCU を切り替えます。
synchronize
待機系 BCU のユーザの設定情報および利用情報を,運用系 BCU の内容に
同期します。
show system※1
BCU の運用状態を表示します。
reload※1
BCU を再起動します。
show logging※2
運用系 BCU または待機系 BCU の運用ログを表示します。
注※1
「運用コマンドレファレンス Vol.1 10. 装置とソフトウェアの管理」を参照してください。
注※2
「運用コマンドレファレンス Vol.1 16. ログの管理」を参照してください。
13.2.2 待機系 BCU の状態確認
show system コマンドで待機系 BCU の状態を確認できます。また,show logging コマンドの standby
パラメータを指定すると,待機系 BCU の運用ログを表示できます。ただし,障害などによって待機系 BCU
が起動できない場合は運用ログを表示できません。
13.2.3 BCU の再起動
reload コマンドで standby パラメータを指定すると,待機系 BCU を再起動できます。また,active パラ
メータを指定すると運用系 BCU を再起動できます。この場合,系切替をして新待機系 BCU となった
BCU が再起動します。
すべてのパラメータを省略した場合は,装置が再起動します。
13.2.4 BCU の交換
二重化運用中に待機系 BCU を交換することで,装置の運用を停止しないで BCU を交換できます。交換対
象となる待機系 BCU を inactivate bcu standby コマンドで停止してから交換してください。運用系
BCU を交換する場合は,あらかじめ redundancy force-switchover コマンドで系切替をしてから交換し
てください。交換作業完了後,activate bcu standby コマンドを実行すると待機系 BCU を起動します。
233
13 装置の冗長化
13.2.5 ユーザの設定情報および利用情報の同期の実施
運用中に「表 13‒1 運用中に同期するユーザの設定情報および利用情報」で示す情報が両系間で不一致に
なった場合,同期する契機を確認して情報を一致させてください。
13.2.6 系切替の実施
二重化構成で運用している場合,運用系 BCU から redundancy force-switchover コマンドを実行すると
運用系 BCU を切り替えられます。
234
13 装置の冗長化
13.3 SFU 冗長化の解説
13.3.1 冗長化時の装置構成
スイッチファブリック機構(SFU)を冗長化する場合,SFU を 2 枚以上搭載します。SFU の冗長化では,
すべての SFU が運用系として稼働します。冗長構成時に SFU に障害が発生した場合,運用系として稼働
しているほかの SFU を使用して通信を継続します。なお,SFU を 3 枚以上搭載することでパケット転送性
能を最大にできます。
BCU-SFU-PRU-NIF 間の冗長構成でのインタフェースを次の図に示します。運用系 SFU はそれぞれ独立
したインタフェースで PRU と接続して,パケットを転送します。
図 13‒2 BCU-SFU-PRU-NIF 間の冗長構成でのインタフェース
13.3.2 冗長構成の運用方法
すべての SFU が運用系として稼働します。3 枚以上の SFU を運用系にすると,パケット転送性能を最大に
します。4 枚の SFU を運用系にした場合,障害発生時にパケット転送性能を維持します。
13.3.3 障害発生時の SFU 動作
冗長構成時に SFU に障害が発生した場合,ほかの正常な SFU を使用して通信を継続します。障害発生時
の動作例を次に示します。
障害発生前
動作状態が稼働中の SFU が 4 枚で動作しています。障害発生前の動作を次の図に示します。
235
13 装置の冗長化
図 13‒3 障害発生前の動作
障害発生後
SFU1 に障害が発生した場合,障害が発生していない SFU で動作し続けます。障害発生後の動作を次
の図に示します。
図 13‒4 障害発生後の動作
236
13 装置の冗長化
13.4 SFU 冗長化のオペレーション
13.4.1 運用コマンド一覧
SFU 冗長化に関する運用コマンド一覧を次の表に示します。
表 13‒4 運用コマンド一覧
コマンド名
show system※
説明
SFU の動作状態を表示します。
注※
「運用コマンドレファレンス Vol.1 10. 装置とソフトウェアの管理」を参照してください。
13.4.2 SFU の状態確認
show system コマンドで SFU の動作状態を確認できます。次の図に例を示します。
図 13‒5 SFU の動作状態の確認
> show system
Date 20XX/12/10 15:11:20 UTC
System: AX8632R, OS-RE, Ver.12.1, [123.1]
:
:
SFU1 : active (restart required), fatal error restart 0 time
Elapsed time : 2 days 2:30
Lamp : STATUS LED = green , ACTIVE LED = light off
SFU2 : notconnect
:
SFU4 : active, fatal error restart 0 time
Elapsed time : 2 days 2:30
Lamp : STATUS LED = green , ACTIVE LED = light off
:
>
237
13 装置の冗長化
13.5 電源機構(PS)冗長化の解説
13.5.1 概要
本装置は予備の PS を搭載することで,PS を冗長化できます。PS を冗長化すると,一部の PS で障害が発
生して電力供給が停止しても,自動的に残りの PS で電力の負荷バランスをとることで電力を安定供給でき
ます。また,障害となった PS は装置を運用したままで交換できます。
本装置は PS の冗長化方式として,電源ユニット冗長と給電系統冗長をサポートしています。
PS 障害などによって PS が冗長構成でなくなった場合,コンフィグレーションコマンド power
redundancy-mode を設定しているとシステムメッセージを出力および SNMP 通知を送信します。冗長
構成で運用を継続したい場合は,PS を交換または増設してください。PS の交換,増設,および移設作業に
ついては,「ハードウェア取扱説明書」を参照して,注意事項を遵守してください。
13.5.2 電源ユニット冗長
装置の運用に必要な PS の個数に対して,予備の PS を 1 個以上搭載して運用する方式です。一部の PS が
故障しても残りの PS で給電を継続します。なお,故障した PS の搭載位置に関係なく,必要な個数以上の
PS が動作していれば運用を継続できます。電源ユニット冗長の構成例を次の図に示します。
図 13‒6 電源ユニット冗長の構成例
6 個の PS を搭載していて運用に必要な PS が 3 個の場合,3 個の PS に障害が発生しても運用を継続できま
す。
PS に障害が発生して PS が冗長構成でなくなったり,障害から回復して冗長構成になったりした場合には,
システムメッセージを出力および SNMP 通知を送信します。
13.5.3 給電系統冗長
装置の運用に必要な PS の個数と同数の予備を搭載して,PS を二つのグループに分けて外部給電系統に接
続して運用する方式です。電源ユニット冗長と同様に,運用に必要な個数の PS と予備の PS が動作してい
れば,一部の PS が故障しても残りの PS で給電を継続します。また,一方の外部給電系統からの給電が停
止しても,もう一方の外部給電系統から装置への給電を継続します。給電系統冗長の構成例を次の図に示し
ます。
238
13 装置の冗長化
図 13‒7 給電系統冗長の構成例
外部給電系統には 2 系統あり,それぞれの系統に接続できる PS は搭載位置が決まっています。給電系統冗
長での PS の搭載位置を次の表に示します。
表 13‒5 給電系統冗長での PS の搭載位置
モデル
給電系統 A
給電系統 B
AX8608R
PS1
PS2
AX8616R
PS1,PS3
PS2,PS4
AX8632R
PS1,PS3,PS5
PS2,PS4,PS6
PS に障害が発生して PS が冗長構成でなくなったり,障害から回復して冗長構成になったりした場合には,
システムメッセージを出力および SNMP 通知を送信します。また,一方の外部給電系統に障害が発生して
給電系統が冗長構成でなくなったり,障害から回復して冗長構成になったりした場合にも,システムメッ
セージを出力および SNMP 通知を送信します。
13.5.4 供給電力の管理
本装置では PS や,PRU および NIF の搭載状態に応じて供給電力を管理します。供給電力の管理に関する
用語を次に示します。
表 13‒6 供給電力の管理に関する用語
用語
意味
装置の供給可能電力
装置に搭載されて,正常に給電している PS の供給電力の総和。
給電系統 A の供給可能電力
給電系統 A に搭載されて,正常に給電している PS の供給電力の総和。
給電系統 B の供給可能電力
給電系統 B に搭載されて,正常に給電している PS の供給電力の総和。
装置の所要電力
装置の運用に必要な電力。起動していない PRU および NIF の必要電力
は含まれません。
装置の余剰電力
電源ユニット冗長および給電系統冗長が不要なときに,本装置で余分に使
用できる電力(「装置の供給可能電力」から「装置の所要電力」を除いた
電力)。
239
13 装置の冗長化
用語
意味
マイナスになる場合は,「装置の供給可能電力」が不足しています。
電源ユニット冗長時の装置の余剰電力
電源ユニット冗長を確保した上で,本装置で余分に使用できる電力(「装
置の余剰電力」から PS1 個分の供給電力を除いた電力)。
マイナスになる場合は,電源ユニット冗長ができていません。
給電系統 A の余剰電力
給電系統 A で余分に使用できる電力(「給電系統 A の供給可能電力」から
「装置の所要電力」を除いた電力)。
マイナスになる場合は,給電系統 A で給電系統冗長ができていません。
給電系統 B の余剰電力
給電系統 B で余分に使用できる電力(「給電系統 B の供給可能電力」から
「装置の所要電力」を除いた電力)。
マイナスになる場合は,給電系統 B で給電系統冗長ができていません。
図 13‒8 供給電力の管理(PS を 6 個搭載した例)
本装置では次のように動作して供給電力を管理します。
(1) 装置起動時
PRU または NIF を起動させると装置の余剰電力が不足する場合は,システムメッセージを出力および
SNMP 通知を送信して PRU または NIF の起動を抑止します。このとき,PRU のスロット単位で抑止しま
す。起動抑止されたボードは電力不足による運用停止状態となります。
(2) PRU/NIF のボード増設時
PRU または NIF を起動させると装置の余剰電力が不足する場合は,システムメッセージを出力および
SNMP 通知を送信して該当するボードの起動を抑止します。起動抑止されたボードは電力不足による運用
停止状態となります。
(3) PS 障害発生時
PS に障害が発生した場合は,PS ごとに PS 障害のシステムメッセージを出力および SNMP 通知を送信し
ます。
240
13 装置の冗長化
PS の障害発生によって装置の余剰電力がマイナスになった場合は,システムメッセージを出力および
SNMP 通知を送信して運用を継続します。ただし,PS の数が運用に必要な個数を下回ったときは運用を継
続できないおそれがあります。
電源ユニット冗長時の装置の余剰電力がマイナスになって PS 冗長でなくなった場合は,システムメッセー
ジを出力および SNMP 通知を送信します。また,給電系統冗長を構成している状態で,給電系統 A の余剰
電力または給電系統 B の余剰電力がマイナスとなって PS 冗長でなくなった場合にも,システムメッセージ
を出力および SNMP 通知を送信します。
(4) PS 障害回復時
PS が障害から回復した場合は,PS ごとに PS 障害回復のシステムメッセージを出力および SNMP 通知を
送信します。
PS の障害回復によって装置の余剰電力が 0 以上になって供給電力不足が解消されても,電力不足による運
用停止状態となっている PRU および NIF は自動で起動しません。
電源ユニット冗長時の装置の余剰電力が 0 以上になって PS 冗長になった場合は,システムメッセージを出
力および SNMP 通知を送信します。また,給電系統冗長を構成している状態で,給電系統 A の余剰電力ま
たは給電系統 B の余剰電力が 0 以上になって PS 冗長になった場合にも,システムメッセージを出力および
SNMP 通知を送信します。
241
13 装置の冗長化
13.6 電源機構(PS)冗長化のコンフィグレーション
13.6.1 コンフィグレーションコマンド一覧
電源機構(PS)冗長化に関するコンフィグレーションコマンド一覧を次の表に示します。
表 13‒7 コンフィグレーションコマンド一覧
コマンド名
power redundancy-mode
説明
電源冗長の監視モードを設定します。
指定された電源冗長の監視モードに従って,PS が冗長構成になった場合,または
冗長構成でなくなった場合にシステムメッセージを表示します。
13.6.2 電源ユニット冗長の設定
電源ユニット冗長の構成で使用する場合,電源ユニットが冗長構成になったときや,冗長構成でなくなった
ときに,システムメッセージを出力および SNMP 通知を送信できます。
[設定のポイント]
電源ユニット冗長のシステムメッセージを表示させるには,power redundancy-mode コマンドで電
源冗長の監視モードとして電源ユニット冗長を指定する必要があります。
[コマンドによる設定]
1. (config)# power redundancy-mode 1
電源冗長の監視モードとして,電源ユニット冗長を設定します。
13.6.3 給電系統冗長の設定
給電系統冗長の構成で使用する場合,本装置は電源ユニット冗長による PS の冗長化の確認に加えて,給電
系統の冗長化を確認します。給電系統が冗長構成になった場合や,冗長構成でなくなった場合に,システム
メッセージを出力および SNMP 通知を送信できます。
[設定のポイント]
給電系統冗長のシステムメッセージを表示させるには,power redundancy-mode コマンドで電源冗
長の監視モードとして給電系統冗長を指定する必要があります。
[コマンドによる設定]
1. (config)# power redundancy-mode 2
電源冗長の監視モードとして,電源ユニット冗長かつ給電系統冗長を設定します。
242
13 装置の冗長化
13.7 電源機構(PS)冗長化のオペレーション
13.7.1 運用コマンド一覧
電源機構(PS)冗長化に関する運用コマンド一覧を次の表に示します。
表 13‒8 運用コマンド一覧
コマンド名
説明
show system※
装置の運用状態を表示します。
show environment※
装置の環境情報を表示します。
注※
「運用コマンドレファレンス Vol.1 10. 装置とソフトウェアの管理」を参照してください。
13.7.2 PS の状態確認
show environment コマンドで表示される「Power environment」の項目で,PS 種別,冗長構成,およ
び各 PS の状態を確認できます。
図 13‒9 PS の状態確認
> show environment
:
Power environment
Input voltage: AC200-240V
Power redundancy mode: 2 (Power Supply + Input Source)
Power supply redundancy status
Power supply: active = 4, required = 1 (Redundant)
Input source: active = 2(from A) 2(from B), required = 1 (Redundant)
PS1: active
PS2: active
PS3: active
PS4: active
:
確認できる内容を表示項目ごとに説明します。
Power redundancy mode
コンフィグレーションで設定した電源冗長の監視モードが表示されます。
モードが表示されていない場合は,コンフィグレーションが設定されていません。そのため,PS が冗
長構成になったときや冗長構成でなくなったときに,システムメッセージを出力したり,SNMP 通知を
送信したりしません。
Power supply
装置に給電している PS 数および装置の運用に必要な PS 数を含めた,電源ユニット冗長の状態が表示
されます。
装置に給電している PS 数が装置の運用に必要な PS 数以下のときは,電源ユニット冗長になっていま
せん。電源ユニット冗長で運用したい場合は,PS を交換するか,PS を増設してください。
例1
装置の運用に必要な PS 数が 2,装置に給電している PS 数が 3 の場合(電源ユニット冗長である)
Power supply : active = 3
required = 2 (Redundant)
例2
装置の運用に必要な PS 数が 2,装置に給電している PS 数が 2 の場合(電源ユニット冗長でない)
243
13 装置の冗長化
Power supply : active = 2
required = 2 (Non-Redundant)
Input source
給電系統 A に給電している PS 数,給電系統 B に給電している PS 数,および装置の運用に必要な PS
数を含めた,給電系統冗長の状態が表示されます。
給電系統 A または給電系統 B に給電している PS 数が装置の運用に必要な PS 数未満のときは,給電系
統冗長になっていません。給電系統冗長で運用したい場合は,PS を交換するか,PS を増設してくださ
い。
例1
装置を運用するために各給電系統で必要な PS 数が 2,給電系統 A に給電している PS 数が 3,給電
系統 B に給電している PS 数が 2 の場合(給電系統冗長である)
Input source : active = 3(from A), 2(from B) required = 2 (Redundant)
例2
装置を運用するために各給電系統で必要な PS 数が 2,給電系統 A に給電している PS 数が 3,給電
系統 B に給電している PS 数が 1 の場合(給電系統冗長でない)
Input source : active = 3(from A), 1(from B) required = 2 (Non-Redundant)
PS<ps no.>
各 PS の状態が表示されます。
13.7.3 供給電力の確認
show environment コマンドで表示される「Power usage」の項目で,装置の供給可能電力,所要電力,
および余剰電力を確認できます。
図 13‒10 電力状況の確認
> show environment
:
Power usage
Total power capacity:
Input source A:
Input source B:
Total power allocated:
Total power available for additional boards:
Power available (Power supply unit redundant case):
Power available (Input source redundant case)
Input source A:
Input source B:
:
244
10168.00
5084.00
5084.00
1477.00
8691.00
6149.00
W
W
W
W
W
W
3607.00 W
3607.00 W
14
システムメッセージの出力とログ
の管理
この章では,システムメッセージの出力とログの管理ついて説明します。
245
14 システムメッセージの出力とログの管理
14.1 解説
14.1.1 メッセージの出力
本装置では動作情報や障害情報などをシステムメッセージとして通知します。
システムメッセージ,運用コマンド応答メッセージ,およびコンフィグレーションエラーメッセージは運用
端末に出力するほか,syslog インタフェースや E-mail 送信機能を使用してネットワーク上の他装置に送信
できます。また,システムメッセージは SNMP 通知の機能を使用して,SNMP マネージャに送信できま
す。これらの機能を使用することで,多数の装置を管理する場合にログの一元管理ができるようになりま
す。なお,SNMP 通知によって送信されるシステムメッセージの情報をシステムメッセージトラップと呼
びます。
各宛先および運用端末への出力対象は,宛先ごとに適切な条件で指定できます。
syslog 送信では,系切替が発生してから最大 100 件のメッセージを保持します。このとき,送信先の
syslog サーバを IP アドレスで指定している場合は指定した syslog サーバに対する通信経路が回復したあ
と,ホスト名で指定している場合は系切替から 7 分経過したあと,保持したメッセージを送信します。系
切替から 7 分経過しても送信先の syslog サーバへの通信経路が回復していないときは,保持したメッセー
ジを廃棄します。
なお,本装置では他装置からの syslog メッセージを受信する機能はサポートしていません。また,本装置
で生成した syslog メッセージでは,RFC3164 で定義されている HEADER 部の HOSTNAME 欄は未設定
です。
14.1.2 ログの保存
システムメッセージ,運用コマンド応答メッセージ,およびコンフィグレーションエラーメッセージは,運
用ログおよび統計ログとして装置内に保存されます。これらの情報で装置の運用状態や障害の発生状況を
管理できます。なお,運用ログの保存件数はメッセージ種別ごとに設定できます。運用ログと統計ログの特
徴を次に示します。
運用ログ
運用中に発生した事象(イベント)を発生順に記録した情報で,システムメッセージと同様の内容が格
納されます。次に示す情報が運用ログとして格納されます。
• 運用コマンドの応答メッセージ
• コンフィグレーションエラーメッセージ
• システムメッセージ
統計ログ
装置内で発生した障害や警告についてのシステムメッセージをメッセージ識別子ごとに分類して,同事
象が最初に発生した日時および最後に発生した日時と累積回数をまとめた情報です。
管理者は,運用コマンドでこれらの情報を参照できます。
運用ログと統計ログは,BCU の再起動または停止を契機として,自動的に内蔵フラッシュメモリへ保存さ
れます。しかし,障害による BCU の再起動または停止の場合は,運用ログと統計ログが保存されないこと
があります。そのため,syslog メッセージを送信することを推奨します。
246
14 システムメッセージの出力とログの管理
14.2 コンフィグレーション
14.2.1 コンフィグレーションコマンド一覧
システムメッセージの出力とログの管理のコンフィグレーションコマンド一覧を次の表に示します。
表 14‒1 コンフィグレーションコマンド一覧
コマンド名
説明
logging email
E-mail 送信先の E-mail アドレスを設定します。
logging email-filter
E-mail 送信時の送信条件をメッセージ種別リストおよびイベントレベルで設定しま
す。
logging email-from
E-mail 送信元の E-mail アドレスを設定します。
logging email-interval
E-mail の送信間隔を設定します。
logging email-server
SMTP サーバの情報を設定します。
logging save-count
運用ログの最小保存件数をメッセージ種別ごとに設定します。
logging syslog-facility
syslog 送信データのヘッダ部に付ける facility を設定します。
logging syslog-filter
syslog 送信時の送信条件をメッセージ種別リストおよびイベントレベルで設定しま
す。
logging syslog-host
送信先の syslog サーバを設定します。
logging syslog-severity
syslog 送信データのヘッダ部に付ける severity を設定します。
message-list
メッセージ種別リストを生成します。
message-type
出力条件として制御するメッセージ種別を設定します。
username※1
logging-console パラメータで,システムメッセージの画面出力条件をメッセージ種
別リストおよびイベントレベルで設定します。
snmp-server traps※2
system_msg_trap_message_list および system_msg_trap_event_level パラメー
タで,システムメッセージトラップ送信時の送信条件をメッセージ種別リストおよび
イベントレベルで設定します。
注※1
「コンフィグレーションコマンドレファレンス Vol.1 6. ログインセキュリティと RADIUS/
TACACS+」を参照してください。
注※2
「コンフィグレーションコマンドレファレンス Vol.1 13. SNMP」を参照してください。
14.2.2 運用ログの最小保存件数の設定
[設定のポイント]
本装置ではメッセージ種別ごとに装置内に保存するログ件数の最小値を設定できます。本設定を使用
すると,ログの保存量が保存領域を超えた場合でも設定した数のログを保護できます。なお,ログの保
存領域に空きがある場合は,設定値以上のログが保存されます。
247
14 システムメッセージの出力とログの管理
[コマンドによる設定]
1. (config)# logging save-count BCU 3000
メッセージ種別 BCU の運用ログを 3000 件保存します。
14.2.3 syslog 出力の設定
[設定のポイント]
syslog 出力機能を使用して,ユーザ入力コマンドおよびメッセージを syslog サーバに送信できます。
[コマンドによる設定]
1. (config)# logging syslog-host 192.0.2.1
送信先の syslog サーバとして IPv4 アドレス 192.0.2.1 を指定します。
2. (config)# logging syslog-host 2001:db8:1:1::1
送信先の syslog サーバとして IPv6 アドレス 2001:db8:1:1::1 を指定します。
3. (config)# logging syslog-host 192.0.2.1 vrf 2
送信先の syslog サーバとして IPv4 アドレス 192.0.2.1,VRF ID 2 を指定します。
14.2.4 E-mail 出力の設定
[設定のポイント]
E-mail 送信機能を使用して,採取したログ情報をリモートホスト,PC などに送信できます。
[コマンドによる設定]
1. (config)# logging email system@example.com
送信先の E-mail アドレスとして system@example.com を指定します。
2. (config)# logging email-server 192.0.2.1
E-mail 送信時に使用する SMTP サーバのアドレスとして 192.0.2.1 を指定します。
14.2.5 メッセージの出力制御
本装置では,運用端末のコンソール画面や syslog サーバなど,出力先に応じてメッセージの出力条件を設
定できます。
(1) メッセージ種別リストの作成例
[設定のポイント]
出力対象および出力抑止対象とするメッセージ種別を設定したメッセージ種別リストを作成します。
各出力条件を設定するとき,出力抑止対象を設定したメッセージ種別リストを出力条件として設定する
と,指定したメッセージ種別以外が出力対象になります。また,イベントレベルの指定を省略するとイ
ベントレベルの数値が 6 以下のメッセージが,メッセージ種別リストの指定を省略するとすべてのメッ
セージ種別が出力対象となります。
[コマンドによる設定]
1. (config)# message-list MSG_LIST
メッセージ種別リスト(MSG_LIST)を作成します。
248
14 システムメッセージの出力とログの管理
2. (config-msg-list)# message-type include BCU
(config-msg-list)# exit
メッセージ種別 BCU を出力対象に設定します。
3. (config)# message-list SAMPLE_LIST
メッセージ種別リスト(SAMPLE_LIST)を作成します。
4. (config-msg-list)# message-type exclude BCU
(config-msg-list)# exit
メッセージ種別 BCU を出力抑止対象に設定します。
(2) 運用端末に出力する条件の設定例
[設定のポイント]
運用端末に出力する条件の設定には,username コマンドの logging-console パラメータを使用しま
す。
[コマンドによる設定]
1. (config)# username default_user logging-console message-list MSG_LIST event-level 4
ログイン中のすべてのユーザの運用端末に出力する条件として,メッセージ種別リスト(MSG_LIST)
とイベントレベルの数値 4 以下を設定します。
(3) syslog サーバに送信する条件の設定例
[設定のポイント]
syslog サーバに送信する条件の設定には,logging syslog-filter コマンドを使用します。
[コマンドによる設定]
1. (config)# logging syslog-filter message-list MSG_LIST
syslog サーバへの送信条件としてメッセージ種別リスト(MSG_LIST)を設定します。
(4) E-mail サーバに送信する条件の設定例
[設定のポイント]
E-mail サーバに送信する条件の設定には,logging email-filter コマンドを使用します。
[コマンドによる設定]
1. (config)# logging email-filter event-level 4
E-mail サーバへの送信条件としてイベントレベルの数値 4 以下を設定します。
(5) SNMP サーバに送信する条件の設定例
[設定のポイント]
SNMP サーバに送信する条件の設定には,snmp-server traps コマンドの
system_msg_trap_message_list パラメータおよび system_msg_trap_event_level パラメータを使用
します。
[コマンドによる設定]
249
14 システムメッセージの出力とログの管理
1. (config)# snmp-server traps system_msg_trap_message_list SAMPLE_LIST
system_msg_trap_event_level 4
SNMP サーバへの送信条件としてメッセージ種別リスト(SAMPLE_LIST)とイベントレベルの数値 4
以下を設定します。
250
14 システムメッセージの出力とログの管理
14.3 オペレーション
14.3.1 運用コマンド一覧
システムメッセージの出力とログの管理の運用コマンド一覧を次の表に示します。
表 14‒2 運用コマンド一覧
コマンド名
説明
show logging
本装置で収集しているログと収集するログの最小保存件数を表示します。
clear logging
本装置で収集しているログをクリアします。
14.3.2 ログの参照と削除
(1) ログの参照
show logging コマンドで運用ログおよび統計ログを参照できます。コマンドの実行結果を次の図に示し
ます。
図 14‒1 show logging コマンドの実行結果
> show logging
Date 20XX/11/07 15:54:12 UTC
System information
AX8616R, OS-RE, Ver.12.1, BCU1(active)
Logging information
20XX/11/07 15:54:12 UTC 1-1(A) S6 KEY operator(tty00): > show logging
20XX/11/07 15:53:45 UTC 1-1(A) S6 BCU 01101001 00 023902000000 Initialization is complete.
20XX/11/07 15:49:34 UTC 1-1(A) S3 PS 01202020 00 0aec02000000 The power supply is insufficient.
show logging コマンドで message-type パラメータや event-level パラメータを指定すると,運用ログを
フィルタリングして出力できます。コマンドの実行結果を次に示します。
図 14‒2 show logging コマンド(message-type パラメータ指定時)の実行結果
> show logging message-type BCU
Date 20XX/11/07 15:54:12 UTC
System information
AX8616R, OS-RE, Ver.12.1, BCU1(active)
Logging information
20XX/11/07 15:53:45 UTC 1-1(A) S6 BCU 01101001 00 023902000000 Initialization is complete.
図 14‒3 show logging コマンド(event-level パラメータ指定時)の実行結果
> show logging event-level 4
Date 20XX/11/07 15:54:12 UTC
System information
AX8616R, OS-RE, Ver.12.1, BCU1(active)
Logging information
20XX/11/07 15:49:34 UTC 1-1(A) S3 PS 01202020 00 0aec02000000 The power supply is insufficient.
(2) ログの削除
clear logging コマンドで運用ログおよび統計ログを削除できます。
(3) BCU 二重化時のログの参照と削除
BCU 二重化時にログを参照または削除する場合,standby パラメータの有無によって対象となる系が異な
ります。
251
14 システムメッセージの出力とログの管理
show logging コマンドで standby パラメータを指定した場合の参照対象を次の図に示します。なお,待
機系 BCU から運用系 BCU のログは削除できません。
図 14‒4 BCU 二重化時のログの参照
(4) 運用ログの保存件数の確認
show logging コマンドで save-count パラメータを指定すると,設定した運用ログの保存件数を確認でき
ます。
252
15
SNMP
この章では本装置の SNMP エージェント機能についてサポート仕様を中心
に説明します。
253
15 SNMP
15.1 解説
15.1.1 SNMP 概説
(1) ネットワーク管理
ネットワークシステムの稼働環境や性能を維持するためには,高度なネットワーク管理が必要です。SNMP
(simple network management protocol)は業界標準のネットワーク管理プロトコルです。SNMP をサ
ポートしているネットワーク機器で構成されたマルチベンダーネットワークを管理できます。管理情報を
収集して管理するサーバを SNMP マネージャ,管理される側のネットワーク機器を SNMP エージェントと
いいます。ネットワーク管理の概要を次の図に示します。
図 15‒1 ネットワーク管理の概要
(2) SNMP エージェント機能
本装置の SNMP エージェントは,ネットワーク上の装置内部に組み込まれたプログラムです。装置内の情
報を SNMP マネージャに提供する機能があります。装置内にある各種情報を MIB(Management
Information Base)と呼びます。SNMP マネージャは,装置の情報を取り出して編集・加工し,ネット
ワーク管理を行うための各種情報をネットワーク管理者に提供するソフトウェアです。MIB 取得の例を次
の図に示します。
図 15‒2 MIB 取得の例
254
15 SNMP
本装置の運用コマンドには MIB 情報を表示するための SNMP コマンドがあります。このコマンドは,自
装置およびリモート装置の SNMP エージェントの MIB を表示します。
本装置では,SNMPv1(RFC1157),SNMPv2C(RFC1901),および SNMPv3(RFC3410)をサポー
トしています。SNMP マネージャを使用してネットワーク管理を行う場合は,SNMPv1,SNMPv2C,ま
たは SNMPv3 プロトコルで使用してください。なお,SNMPv1,SNMPv2C,SNMPv3 をそれぞれ同時
に使用することもできます。
また,SNMP エージェントはトラップ(Trap)やインフォーム(Inform)と呼ばれるイベント通知(主に
障害発生の情報など)機能があります。以降,トラップおよびインフォームを SNMP 通知と呼びます。
SNMP マネージャは,SNMP 通知を受信することで定期的に装置の状態変化を監視しなくても変化を知る
ことができます。ただし,トラップは UDP を使用しているため,装置から SNMP マネージャに対するト
ラップの到達確認ができません。そのため,ネットワークの輻輳などによって,トラップがマネージャに到
達しない場合があります。トラップの例を次の図に示します。
図 15‒3 トラップの例
インフォームもトラップと同じ UDP によるイベント通知ですが,トラップとは異なって SNMP マネー
ジャからの応答を要求します。そのため,応答の有無でインフォームの到達を確認できます。これによっ
て,ネットワークの輻輳などに対してもインフォームの再送で対応できます。
本装置の SNMP プロトコルは IPv6 に対応しています。コンフィグレーションに設定した SNMP マネー
ジャの IP アドレスによって,IPv4 または IPv6 アドレスが設定されている SNMP マネージャからの MIB
要求や,SNMP マネージャへの SNMP 通知を送信できます。IPv4/IPv6 SNMP マネージャからの MIB 要
求と応答の例を次の図に示します。
図 15‒4 IPv4/IPv6 SNMP マネージャからの MIB 要求と応答の例
255
15 SNMP
(3) SNMPv3
SNMPv3 は SNMPv2C までの全機能に加えて,管理セキュリティ機能が大幅に強化されています。ネット
ワーク上を流れる SNMP パケットを認証・暗号化することによって,SNMPv2C でのコミュニティ名と
SNMP マネージャの IP アドレスの組み合わせによるセキュリティ機能では実現できなかった,盗聴,なり
すまし,改ざん,再送などのネットワーク上の危険から SNMP パケットを守ることができます。
(a) SNMP エンティティ
SNMPv3 では,SNMP マネージャおよび SNMP エージェントを「SNMP エンティティ」と総称します。
本装置の SNMPv3 は,SNMP エージェントに相当する SNMP エンティティをサポートしています。
(b) SNMP エンジン
SNMP エンジンは認証,および暗号化したメッセージ送受信と管理オブジェクトへのアクセス制御のため
のサービスを提供します。SNMP エンティティとは 1 対 1 の関係です。SNMP エンジンは,同一管理ドメ
イン内でユニークな SNMP エンジン ID によって識別されます。
(c) ユーザ認証とプライバシー機能
SNMPv1,SNMPv2C でのコミュニティ名による認証に対して,SNMPv3 ではユーザ認証を行います。ま
た,SNMPv1,SNMPv2C にはなかったプライバシー機能(暗号化,復号化)も SNMPv3 でサポートさ
れています。ユーザ認証とプライバシー機能は,ユーザ単位に設定できます。
本装置では,ユーザ認証プロトコルとして次の二つプロトコルをサポートしています。
• HMAC-MD5-96(メッセージダイジェストアルゴリズムを使用した認証プロトコル。128 ビットのダ
イジェストのうち,最初の 96 ビットを使用する。秘密鍵は 16 オクテット)
• HMAC-SHA-96(SHA メッセージダイジェストアルゴリズムを使用した認証プロトコル。160 ビット
の SHA ダイジェストのうち,最初の 96 ビットを使用する。秘密鍵は 20 オクテット)
プライバシープロトコルとして次のプロトコルをサポートしています。
• CBC-DES(Cipher Block Chaining - Data Encryption Standard。共通鍵暗号アルゴリズムである
DES(56 ビット鍵)を,CBC モードで強力にした暗号化プロトコル)
(d) MIB ビューによるアクセス制御
SNMPv3 では,ユーザ単位に,アクセスできる MIB オブジェクトの集合を設定できます。この MIB オブ
ジェクトの集合を MIB ビューと呼びます。MIB ビューは,MIB のオブジェクト ID のツリーを表すビュー
サブツリーを集約することによって表現されます。集約する際には,ビューサブツリーごとに included
(MIB ビューに含む),または excluded(MIB ビューから除外する)を選択できます。MIB ビューは,ユー
ザ単位に,Read ビュー,Write ビュー,Notify ビューとして設定できます。
次に,MIB ビューの例を示します。MIB ビューは,
「図 15‒5 MIB ビューの例」に示すような MIB ツリー
の一部である MIB サブツリーをまとめて設定します。オブジェクト ID 1.1.2.1.2 は,サブツリー 1.1.2.1
に含まれるので,MIB ビュー A でアクセスできます。しかし,オブジェクト ID 1.2.1 は,どちらのサブツ
リーにも含まれないので,アクセスできません。また,オブジェクト ID 1.1.2.1.2.1.4 は,サブツリー
1.1.2.1.2.1 がビュー A から除外されているためアクセスできません。
256
15 SNMP
図 15‒5 MIB ビューの例
15.1.2 MIB 概説
装置が管理し,SNMP マネージャに提供する MIB は,RFC で規定されたものと,装置の開発ベンダーが
独自に用意する情報の 2 種類があります。
RFC で規定された MIB を標準 MIB と呼びます。標準 MIB は規格化されているため提供情報の内容の差
はあまりありません。装置の開発ベンダーが独自に用意する MIB をプライベート MIB と呼び,装置によっ
て内容が異なります。ただし,MIB のオペレーション(情報の採取・設定など)は,標準 MIB,プライベー
ト MIB で共通です。オペレーションは,装置と目的の MIB 情報を指定するだけです。装置は IP アドレス
で,MIB 情報はオブジェクト ID で指定します。
(1) MIB 構造
MIB の構造はツリー構造になっています。MIB はツリー構造のため,各ノードを識別するために番号を付
けて表す決まりになっています。root から各ノードの数字を順番にたどって番号を付けることで個々の
MIB 情報を一意に識別できます。この番号列をオブジェクト ID と呼びます。オブジェクト ID は root か
ら下位のオブジェクトグループ番号をドットで区切って表現します。例えば,sysDescr という MIB をオブ
ジェクト ID で示すと 1.3.6.1.2.1.1.1 になります。MIB ツリーの構造例を次の図に示します。
257
15 SNMP
図 15‒6 MIB ツリーの構造例
(2) MIB オブジェクトの表し方
オブジェクト ID は数字とドット(.)(例:1.3.6.1.2.1.1.1)で表現します。しかし,数字の羅列ではわか
りにくいため,マネージャによっては,sysDescr というニーモニックで指定できるものもあります。ニー
モニックで指定する場合,SNMP マネージャがどの MIB のニーモニックを使えるか確認してから使用して
ください。また,本装置の SNMP コマンドで使用できるニーモニックについては,snmp lookup コマン
ドを実行することで確認できます。
(3) インデックス
MIB を指定するときのオブジェクト ID を使用しますが,一つの MIB に一つの情報だけある場合と一つの
MIB に複数の情報がある場合があります。MIB を特定するためにはインデックス(INDEX)を使用しま
す。インデックスは,オブジェクト ID の後ろに数字を付けて表し,何番目の情報かなどを示すために使用
します。
一つの MIB に一つの情報だけがある場合,MIB のオブジェクト ID に".0"を付けて表します。一つの MIB
に複数の情報がある場合,MIB のオブジェクト ID の後ろに数字を付けて何番目の情報であるか表します。
例えば,インタフェースのタイプを示す MIB に ifType(1.3.6.1.2.1.2.2.1.2)があります。本装置には複
数のインタフェースがあります。特定のインタフェースのタイプを調べるには,"2 番目のインタフェース
のタイプ"というように具体的に指定する必要があります。MIB で指定するときは,2 番目を示すインデッ
クス.2 を MIB の最後に付けて ifType.2(1.3.6.1.2.1.2.2.1.2.2)と表します。
インデックスの表し方は,各 MIB によって異なります。RFC などの MIB の定義で,
INDEX{ xxxxx,yyyyy,zzzzzz }となっている MIB のエントリは,xxxxx と yyyyy と zzzzzz をインデック
スに持ちます。それぞれの MIB について,どのようなインデックスを取るか確認して MIB のオペレーショ
ンを行ってください。
258
15 SNMP
(4) 本装置のサポート MIB
本装置では,装置の状態,インタフェースの統計情報,装置の機器情報など,管理に必要な MIB を提供し
ています。なお,プライベート MIB の定義(ASN.1)ファイルは,ソフトウェアとともに提供します。
各 MIB の詳細については,「MIB レファレンス」を参照してください。
15.1.3 SNMPv1,SNMPv2C オペレーション
管理データ(MIB:management information base)の収集や設定を行うため,SNMP では次に示す 4 種
類のオペレーションがあります。
• GetRequest :指定した MIB の情報を取り出します。
• GetNextRequest:指定した次の MIB の情報を取り出します。
• GetBulkRequest:GetNextRequest の拡張版です。
• SetRequest :指定した MIB に値を設定します。
各オペレーションは SNMP マネージャから装置(SNMP エージェント)に対して行われます。各オペレー
ションについて説明します。
(1) GetRequest オペレーション
GetRequest オペレーションは,SNMP マネージャから装置(エージェント機能)に対して MIB の情報を
取り出すときに使用します。このオペレーションでは,一つまたは複数 MIB を指定できます。
装置が該当する MIB を保持している場合,GetResponse オペレーションで MIB 情報を応答します。該当
する MIB を保持していない場合は,GetResponse オペレーションで noSuchName を応答します。
GetRequest オペレーションを次の図に示します。
図 15‒7 GetRequest オペレーション
SNMPv2C では,装置が該当する MIB を保持していない場合は,GetResponse オペレーションで MIB 値
に noSuchObject を応答します。SNMPv2C の場合の GetRequest オペレーションを次の図に示します。
259
15 SNMP
図 15‒8 GetRequest オペレーション(SNMPv2C)
(2) GetNextRequest オペレーション
GetNextRequest オペレーションは,GetRequest オペレーションに似たオペレーションです。
GetRequest オペレーションは,指定した MIB の読み出しに使用しますが,GetNextRequest オペレー
ションは,指定した MIB の次の MIB を取り出すときに使用します。このオペレーションも一つまたは複数
の MIB を指定できます。
装置が指定した次の MIB を保持している場合は,GetResponse オペレーションで MIB を応答します。指
定した MIB が最後の場合は,GetResponse で noSuchName を応答します。GetNextRequest オペレー
ションを次の図に示します。
図 15‒9 GetNextRequest オペレーション
SNMPv2C の場合,指定した MIB が最後の場合は GetResponse で MIB 値に endOfMibView を応答し
ます。SNMPv2C の場合の GetNextRequest オペレーションを次の図に示します。
図 15‒10 GetNextRequest オペレーション(SNMPv2C)
260
15 SNMP
(3) GetBulkRequest オペレーション
GetBulkRequest オペレーションは,GetNextRequest オペレーションを拡張したオペレーションです。
このオペレーションでは繰り返し回数を設定し,指定した MIB の次の項目から指定した繰り返し回数個分
の MIB を取得できます。このオペレーションも,一つまたは複数の MIB を指定できます。
装置が,指定した MIB の次の項目から指定した繰り返し回数個分の MIB を保持している場合は,
GetResponse オペレーションで MIB を応答します。指定した MIB が最後の場合,または繰り返し数に達
する前に最後の MIB になった場合,GetResponse オペレーションで MIB 値に endOfMibView を応答し
ます。GetBulkRequest オペレーションを次の図に示します。
図 15‒11 GetBulkRequest オペレーション
(4) SetRequest オペレーション
SetRequest オペレーションは,SNMP マネージャから装置(エージェント機能)に対して行うオペレー
ションという点で GetRequest,GetNextRequest,GetBulkRequest オペレーションと似ていますが,値
の設定方法が異なります。
SetRequest オペレーションでは,設定する値と MIB を指定します。値を設定すると,GetResponse オペ
レーションで MIB と設定値を応答します。SetRequest オペレーションを次の図に示します。
図 15‒12 SetRequest オペレーション
(a) MIB を設定できない場合の応答
MIB を設定できないケースは,次に示す 3 とおりです。
• MIB が読み出し専用の場合(読み出し専用コミュニティに属するマネージャの場合も含む)
261
15 SNMP
• 設定値が正しくない場合
• 装置の状態によって設定できない場合
各ケースによって,応答が異なります。MIB が読み出し専用の場合,noSuchName の GetResponse 応答
をします。SNMPv2C の場合,MIB が読み出し専用のときは notWritable の GetResponse 応答をしま
す。MIB が読み出し専用の場合の SetRequest オペレーションを次の図に示します。
図 15‒13 MIB 変数が読み出し専用の場合の SetRequest オペレーション
設定値のタイプが正しくない場合,badValue の GetResponse 応答をします。SNMPv2C の場合,設定
値のタイプが正しくないときは wrongType の GetResponse 応答をします。設定値のタイプが正しくな
い場合の SetRequest オペレーションを次の図に示します。
図 15‒14 設定値のタイプが正しくない場合の SetRequest オペレーション例
装置の状態によって設定できない場合,genError を応答します。例えば,装置内で値を設定しようとした
ときに,装置内部で設定タイムアウトを検出した場合などがこれに当てはまります。装置の状態によって設
定できない場合の SetRequest オペレーションを次の図に示します。
262
15 SNMP
図 15‒15 装置の状態によって設定できない場合の SetRequest オペレーション
(5) コミュニティによるオペレーション制限
SNMPv1 および SNMPv2C では,オペレーションを実行する SNMP マネージャを限定するため,コミュ
ニティという概念があります。コミュニティはオペレーションを実行する SNMP マネージャと SNMP
エージェントを一つのグループとして割り当てる名称です。MIB に対してオペレーションする場合は,
SNMP マネージャと SNMP エージェントは,同一のグループ(コミュニティ)に属する必要があります。
コミュニティによるオペレーションを次の図に示します。
図 15‒16 コミュニティによるオペレーション
装置 A はコミュニティ(public)およびコミュニティ(localnetwork)に属しています。コミュニティ
(othernetwork)には属していません。この場合,装置 A はコミュニティ(public)およびコミュニティ
(localnetwork)の SNMP マネージャ A,B から MIB のオペレーションを受け付けますが,コミュニティ
(othernetwork)の SNMP マネージャ C からのオペレーションは受け付けません。
(6) IP アドレスによるオペレーション制限
本装置では,セキュリティを考慮し,アクセスリストを使用することでコミュニティと SNMP マネージャ
の IP アドレスの組み合わせが合わないときは MIB のオペレーションを受け付けないようにできます。本
装置で SNMPv1 および SNMPv2C を使用するときは,コミュニティをコンフィグレーションコマンドで
登録する必要があります。なお,コミュニティは文字列で設定します。また,一般的にコミュニティ名称
は,public を使用している場合が多いです。
263
15 SNMP
(7) SNMP オペレーションのエラーステータスコード
オペレーションでエラーが発生した場合,SNMP エージェントはエラーステータスにエラーコードを設定
し,何番目の MIB 情報でエラーが発生したかをエラー位置番号に設定した GetResponse オペレーション
の応答を返します。オペレーションの結果が正常なら,エラーステータスにエラーなしのコードを設定し,
MIB 情報内にオペレーションした MIB 情報を設定した GetResponse オペレーションの応答を返します。
エラーステータスコードを次の表に示します。
表 15‒1 エラーステータスコード
エラーステータス
コード
内容
noError
0
エラーはありません。
tooBig
1
データサイズが大きく PDU に値を設定できません。
noSuchName
2
指定 MIB がない,または書き込みできませんでした。
badValue
3
設定値が不正です。
readOnly
4
書き込みできませんでした(本装置では,応答することはありません)。
genError
5
その他のエラーが発生しました。
noAccess
6
アクセスできない MIB に対して set を行おうとしました。
wrongType
7
MIB で必要なタイプと異なるタイプが指定されました。
wrongLength
8
MIB で必要なデータ長と異なる長さが指定されました。
wrongEncoding
9
ASN.1 符号が不正でした。
wrongValue
10
MIB 値が不正でした。
noCreation
11
該当する MIB が存在しません。
inconsistentValue
12
現在何か理由があって値が設定できません。
resourceUnavailable
13
値の設定のためにリソースが必要ですが,リソースが利用できません。
commitFailed
14
値の更新に失敗しました。
undoFailed
15
値の更新に失敗したときに,更新された値を元に戻すのに失敗しました。
notWritable
17
セットできません。
inconsistentName
18
該当する MIB が存在しないため,現在は作成できません。
15.1.4 SNMPv3 オペレーション
管理データ(MIB:management information base)の収集や設定を行うため,SNMP では次に示す 4 種
類のオペレーションがあります。
• GetRequest :指定した MIB の情報を取り出します。
• GetNextRequest:指定した次の MIB の情報を取り出します。
• GetBulkRequest:GetNextRequest の拡張版です。
• SetRequest :指定した MIB に値を設定します。
264
15 SNMP
各オペレーションは SNMP マネージャから装置(SNMP エージェント)に対して行われます。各オペレー
ションについて説明します。
(1) GetRequest オペレーション
GetRequest オペレーションは,SNMP マネージャから装置(エージェント機能)に対して MIB の情報を
取り出すときに使用します。このオペレーションでは,一つまたは複数の MIB を指定できます。装置が該
当する MIB を保持している場合,Response オペレーションで MIB 情報を応答します。
GetRequest オペレーションを次の図に示します。
図 15‒17 GetRequest オペレーション
(2) GetNextRequest オペレーション
GetNextRequest オペレーションは,GetRequest オペレーションに似たオペレーションです。
GetRequest オペレーションが指定した MIB の読み出しに使用するのに対し,GetNextRequest オペレー
ションは指定した MIB の次の MIB を取り出すときに使用します。このオペレーションも一つまたは複数
の MIB を指定できます。
GetNextRequest オペレーションを次の図に示します。
図 15‒18 GetNextRequest オペレーション
(3) GetBulkRequest オペレーション
GetBulkRequest オペレーションは,GetNextRequest オペレーションを拡張したオペレーションです。
このオペレーションでは繰り返し回数を設定し,指定した MIB の次の項目から指定した繰り返し回数個分
の MIB を取得できます。このオペレーションも,一つまたは複数の MIB を指定できます。
GetBulkRequest オペレーションを次の図に示します。
265
15 SNMP
図 15‒19 GetBulkRequest オペレーション
(4) SetRequest オペレーション
SetRequest オペレーションは,SNMP マネージャから装置(エージェント機能)に対して行うオペレー
ションという点で GetRequest,GetNextRequest,GetBulkRequest オペレーションと似ていますが,値
の設定方法が異なります。
SetRequest オペレーションでは,設定する値と MIB を指定します。値を設定すると,Response オペレー
ションで MIB と設定値を応答します。
SetRequest オペレーションを次の図に示します。
図 15‒20 SetRequest オペレーション
(a) MIB を設定できない場合の応答
MIB を設定できないケースは,次に示す 3 とおりです。
• MIB が読み出し専用の場合
• 設定値が正しくない場合
• 装置の状態によって設定できない場合
各ケースによって,応答が異なります。MIB が読み出し専用のときは notWritable の Response 応答をし
ます。MIB が読み出し専用の場合の SetRequest オペレーションを次の図に示します。
図 15‒21 MIB 変数が読み出し専用の場合の SetRequest オペレーション
設定値のタイプが正しくないときは wrongType の Response 応答をします。設定値のタイプが正しくな
い場合の SetRequest オペレーションを次の図に示します。
266
15 SNMP
図 15‒22 設定値のタイプが正しくない場合の SetRequest オペレーション例
装置の状態によって設定できない場合,genError を応答します。例えば,装置内で値を設定しようとした
ときに,装置内部で設定タイムアウトを検出した場合などがこれに当てはまります。装置の状態によって設
定できない場合の SetRequest オペレーションを次の図に示します。
図 15‒23 装置の状態によって設定できない場合の SetRequest オペレーション
(5) SNMPv3 でのオペレーション制限
SNMPv1 および SNMPv2C ではコミュニティと SNMP マネージャの IP アドレスの組み合わせによって
確認が行われるのに対し,SNMPv3 ではユーザ認証と MIB ビューによって MIB のオペレーションを制限
します。本装置で SNMPv3 を使用するときは,SNMP セキュリティユーザ,MIB ビューおよびセキュリ
ティグループをコンフィグレーションコマンドで登録する必要があります。また,トラップを送信するに
は,SNMP セキュリティユーザ,MIB ビュー,セキュリティグループ,およびトラップ送信 SNMP マネー
ジャをコンフィグレーションコマンドで登録する必要があります。
(6) SNMPv3 オペレーションのエラーステータスコード
オペレーションの結果エラーが発生した場合,SNMP エージェントはエラーステータスにエラーコードを
設定し,何番目の MIB 情報でエラーが発生したかをエラー位置番号に設定した Response オペレーション
の応答を返します。オペレーションの結果が正常であれば,エラーステータスにエラーなしのコードを設定
し,MIB 情報内にオペレーションした MIB 情報を設定した Response オペレーションの応答を返します。
エラーステータスコードを次の表に示します。
表 15‒2 エラーステータスコード
エラーステータス
コード
内容
noError
0
エラーはありません。
tooBig
1
データサイズが大きく PDU に値を設定できません。
noSuchName
2
指定 MIB がない,または書き込みできませんでした。
badValue
3
設定値が不正です。
readOnly
4
書き込みできませんでした(本装置では,応答することはありません)。
genError
5
その他のエラーが発生しました。
267
15 SNMP
エラーステータス
コード
内容
noAccess
6
アクセスできない MIB に対して set を行おうとしました。
wrongType
7
MIB で必要なタイプと異なるタイプが指定されました。
wrongLength
8
MIB で必要なデータ長と異なる長さが指定されました。
wrongEncoding
9
ASN.1 符号が不正でした。
wrongValue
10
MIB 値が不正でした。
noCreation
11
該当する MIB が存在しません。
inconsistentValue
12
現在何か理由があって値が設定できません。
resourceUnavailable
13
値の設定のためにリソースが必要ですが,リソースが利用できません。
commitFailed
14
値の更新に失敗しました。
undoFailed
15
値の更新に失敗したときに,更新された値を元に戻すのに失敗しました。
authorizationError
16
認証に失敗しました。
notWritable
17
セットできません。
inconsistentName
18
該当する MIB が存在しないため,現在は作成できません。
15.1.5 トラップ
(1) トラップ概説
SNMP エージェントはトラップ(Trap)と呼ばれるイベント通知(主に障害発生の情報やログ情報など)
機能があります。トラップは重要なイベントを SNMP エージェントから SNMP マネージャに非同期に通
知する機能です。SNMP マネージャは,トラップを受信することで装置の状態変化を検知できます。この
通知を基に,装置内の MIB を取得して,さらに詳細な情報を得ることができます。
なお,トラップは UDP を使用しているため,装置から SNMP マネージャに対するトラップの到達が確認
できません。そのため,ネットワークの輻輳などによってトラップがマネージャに到達しない場合がありま
す。トラップの例を次の図に示します。
図 15‒24 トラップの例
(2) トラップフォーマット(SNMPv1)
トラップフレームには,どの IP アドレスの装置で,いつ,何が発生したかを示す情報を含みます。トラッ
プフォーマット(SNMPv1)を次に示します。
268
15 SNMP
図 15‒25 トラップフォーマット(SNMPv1)
図中の表記
説明
装置 ID
装置の識別 ID(通常 MIB-II の sysObjectID の値が設定される)
エージェントアドレス
トラップが発生した装置の IP アドレス
トラップ番号
トラップの種別を示す識別番号
拡張トラップ番号
トラップ番号の補足をするための番号
発生時刻
トラップが発生した時間(装置が起動してからの経過時間)
関連 MIB 情報
このトラップに関連する MIB 情報
(3) トラップフォーマット(SNMPv2C,SNMPv3)
トラップフレームには,いつ,何が発生したかを示す情報を含みます。トラップフォーマット(SNMPv2C,
SNMPv3)を次に示します。
図 15‒26 トラップフォーマット(SNMPv2C,SNMPv3)
図中の表記
説明
リクエスト ID
メッセージ識別子。リクエストごとに異なる。
エラーステータス
発生したエラーを示す値
エラーインデックス
関連 MIB 情報でのエラー位置
関連 MIB 情報
このトラップに関連する MIB 情報
15.1.6 インフォーム
(1) インフォーム概説
SNMP エージェントはインフォーム(Inform)と呼ばれるイベント通知(主に障害発生の情報やログ情報
など)機能があります。インフォームはインフォームリクエストを送信して,重要なイベントを SNMP エー
ジェントから SNMP マネージャに通知する機能です。SNMP マネージャは,インフォームリクエストを受
信することで装置の状態変化を検知できます。この通知を基に,装置内の MIB を取得して,さらに詳細な
情報を得ることができます。
269
15 SNMP
インフォームは SNMPv2C だけのサポートとなります。また,SNMP マネージャもインフォームに対応し
ている必要があります。
なお,インフォームもトラップと同じ UDP によるイベント通知ですが,トラップとは異なって SNMP マ
ネージャからの応答を要求します。そのため,応答の有無でインフォームリクエストの到達を確認できま
す。これによって,ネットワークの輻輳などに対してもインフォームリクエストの再送で対応できます。イ
ンフォームの例を次の図に示します。
図 15‒27 インフォームの例
(2) インフォームリクエストフォーマット
インフォームリクエストフレームには,いつ,何が発生したかを示す情報を含みます。インフォームリクエ
ストフォーマットを次に示します。
図 15‒28 インフォームリクエストフォーマット
図中の表記
説明
リクエスト ID
メッセージ識別子。リクエストごとに異なる。
エラーステータス
発生したエラーを示す値
エラーインデックス
関連 MIB 情報でのエラー位置
関連 MIB 情報
このインフォームリクエストに関連する MIB 情報
15.1.7 SNMP で使用する IP アドレス
本装置から SNMP パケットを送信するときに IP ヘッダに付ける IP アドレスは,オペレーションによって
異なります。SNMP で使用する IP アドレスを次の表に示します。
表 15‒3 SNMP で使用する IP アドレス
オペレーション
• GetResponse
• Response
270
送信元 IP アドレス
宛先 IP アドレス
GetResponse および Response の元になる
オペレーション(GetRequest,
GetResponse および Response の元にな
るオペレーション(GetRequest,
15 SNMP
オペレーション
• トラップ
• インフォーム
送信元 IP アドレス
宛先 IP アドレス
GetNextRequest,GetBulkRequest,
SetRequest)受信時の宛先 IP アドレス
GetNextRequest,GetBulkRequest,
SetRequest)受信時の送信元 IP アドレス
次の順で決定します。
宛先 SNMP マネージャの IP アドレス
1. 送信元インタフェースを設定した場合,
設定したループバックインタフェースの
IP アドレス
2. ループバックインタフェースに IP アド
レスを設定した場合,ループバックイン
タフェースの IP アドレス
ただし,コンフィグレーションコマンド
no system-source-address が設定され
たループバックインタフェースは対象外
とします。
3. 上記以外の場合,送信インタフェースの
IP アドレス
15.1.8 RMON MIB
RMON(Remote Network Monitoring)とは,イーサネット統計情報を提供する機能,収集した統計情
報の閾値チェックを行ってイベントを発生させる機能,パケットをキャプチャする機能などを持ちます。こ
の RMON は RFC2819 で規定されています。
RMON MIB のうち,statistics,history,alarm,event の各グループについて概要を説明します。
(1) statistics グループ
監視対象のサブネットワークについての,基本的な統計情報を収集します。例えば,サブネットワーク中の
総パケット数,ブロードキャストパケットのような各種類ごとのパケット数,CRC エラー,コリジョンエ
ラーなどのエラー数などです。statistics グループを使うと,サブネットワークのトラフィック状況や回線
状態などの統計情報を取得できます。
(2) history グループ
statistics グループで収集する情報とほぼ同じ統計情報をサンプリングして,来歴情報として保持できます。
history グループには historyControlTable という制御テーブルと,etherHistoryTable というデータテー
ブルがあります。historyControlTable はサンプリング間隔や来歴記録数を設定するための MIB です。
etherHistoryTable は,サンプリングした統計情報の来歴記録の MIB です。history グループは,一定期
間の統計情報を装置内で保持しています。このため,SNMP マネージャなどが定期的にポーリングして統
計情報を収集するのと比較して,ネットワークに負荷を掛けることが少なく,連続した一定期間の統計情報
を取得できます。
(3) alarm グループ
監視対象とする MIB のチェック間隔,閾値などを設定して,その MIB が閾値に達したときにログを記録し
たり,SNMP マネージャに SNMP 通知を送信したりすることを指定する MIB です。この alarm グループ
を使用するときは,event グループも設定する必要があります。
271
15 SNMP
alarm グループによる MIB 監視には,MIB 値の差分(変動)と閾値を比較する delta 方式と,MIB 値と
閾値を直接比較する absolute 方式があります。
delta 方式による閾値チェックでは,例えば,CPU 使用率の変動が 50%以上あったときに,ログを収集し
たり,SNMP マネージャに SNMP 通知を送信したりできます。absolute 方式による閾値チェックでは,
例えば,CPU の使用率が 80%に達したときに,ログを収集したり,SNMP マネージャに SNMP 通知を送
信したりできます。
(4) event グループ
event グループには alarm グループで設定した MIB の閾値を超えたときの動作を指定する eventTable
グループ MIB と,閾値を超えたときにログを記録する logTable グループ MIB があります。
eventTable グループ MIB は,閾値に達したときにログを記録するのか,SNMP マネージャに SNMP 通
知を送信するのか,またはその両方するか何もしないかを設定するための MIB です。
logTable グループ MIB は,eventTable グループ MIB でログの記録を指定したときに,装置内にログを
記録します。装置内のログのエントリ数は決まっているので,エントリをオーバーした場合,新しいログ情
報の追加によって,古いログ情報が消去されていきます。定期的に SNMP マネージャに記録を退避しない
と,前のログが消されてしまうおそれがありますので注意してください。
15.1.9 SNMP マネージャとの接続時の注意事項
(1) MIB 情報収集周期のチューニング
SNMP マネージャは,ネットワーク上の新しい装置を検出したり,トラフィック状況を監視したりするた
め,SNMP エージェントサポート機器から定期的に MIB を取得します。この定期的な MIB 取得の間隔が
短いと,ネットワーク機器やネットワークに負荷が掛かります。また,装置の状態や構成などによって,
MIB 取得時にマネージャ側でタイムアウトが発生するおそれがあります。特に,次に示すケースでは応答
タイムアウトの発生するおそれが高まります。
• 接続 SNMP マネージャ数が多い場合
本装置に SNMP マネージャが多数接続され,MIB 情報の収集が集中した場合。
• SNMP イベントが同時に多数発生している場合
本装置から大量に SNMP 通知が送信されるような状態のときに,MIB を取得した場合や,本装置から
送信された SNMP 通知に基づいて,並行して MIB を取得した場合。
応答タイムアウトが頻発する場合は,SNMP マネージャのポーリング周期や応答監視タイマ値をチューニ
ングしてください。代表的な SNMP マネージャのチューニングパラメータには,次の三つがあります。
• ポーリング周期
• 応答監視タイマ
• 応答監視タイムアウト時のリトライ回数
(2) SNMP オペレーションメッセージの最大長
SNMP オペレーションのメッセージには最大長があります。各 Request のメッセージが最大長を超えた
場合,メッセージは廃棄されます。ただし,GetBulkRequest オペレーションの場合,指定した繰り返し回
数個分の MIB 値を取得するか,最大メッセージサイズまで MIB を取得してから,GetResponse または
Response を応答します。
SNMP オペレーションのメッセージフォーマット,およびメッセージの最大長を次に示します。
272
15 SNMP
図 15‒29 SNMPv1,SNMPv2C オペレーションのメッセージフォーマット
図 15‒30 SNMPv3 オペレーションのメッセージフォーマット
表 15‒4 SNMP オペレーションメッセージの最大長(オクテット)
オペレーション
• GetRequest
• SNMPv1
• GetNextRequest
• SNMPv2C
• GetBulkRequest※
Request の最大長
GetResponse または Response の
最大長
2048
4096
• SNMPv3
2048
65507
• SNMPv2C
2048
2048
2048
2048
• SNMPv3
• SetRequest
• SNMPv1
• SNMPv2C
• SNMPv3
注※
指定した MIB や繰り返し回数によって,指定した繰り返し回数個分の MIB を取得できないことがあります。次の
MIB を例として,取得最大数の目安を示します。
・ifTable:87
・ifXTable:89
・axIfStatsTable:68
なお,本装置と SNMP マネージャとの間の最小 MTU の値によっては,SNMP オペレーションのメッセー
ジがこの最大長を超えていない場合でも,フラグメント化してファイアウォールやフィルタを通過できない
おそれがあります。SNMP オペレーションのメッセージサイズに関係なく,フラグメント化しない程度の
パケットサイズにすることを推奨します。
273
15 SNMP
15.2 コンフィグレーション
15.2.1 コンフィグレーションコマンド一覧
SNMP/RMON に関するコンフィグレーションコマンド一覧を次の表に示します。
表 15‒5 コンフィグレーションコマンド一覧
コマンド名
説明
rmon alarm
RMON アラームグループの制御情報を設定します。
rmon collection history
RMON イーサネットの統計来歴の制御情報を設定します。
rmon event
RMON イベントグループの制御情報を設定します。
snmp-server community
SNMP コミュニティに対するアクセスリストを設定します。
snmp-server contact
本装置の連絡先などを設定します。本設定は RFC3418 の sysContact に対応し
ます。
snmp-server engineID local
SNMP エンジン ID 情報を設定します。
snmp-server group
SNMP セキュリティグループ情報を設定します。
snmp-server host
SNMP 通知を送信する宛先のネットワーク管理装置(SNMP マネージャ)を登録
します。
snmp-server informs
インフォームの再送条件を設定します。
snmp-server location
本装置を設置する場所の名称を設定します。本設定は RFC3418 の sysLocation
に対応します。
snmp-server traps
SNMP 通知の送信契機を設定します。
snmp-server user
SNMP セキュリティユーザ情報を設定します。
snmp-server view
MIB ビュー情報を設定します。
snmp trap link-status
イーサネットインタフェースがリンクアップまたはリンクダウンした場合,サブイ
ンタフェースまたは VLAN インタフェースがアップまたはダウンした場合の,
SNMP 通知(linkDown および linkUp)の送信を制御します。
15.2.2 SNMPv1,SNMPv2C による MIB アクセス許可の設定
[設定のポイント]
SNMP マネージャから本装置の MIB へのアクセスを許可する設定をします。
[コマンドによる設定]
1. (config)# ip access-list standard LIST1
(config-std-nacl)# permit 10.1.1.1 0.0.0.0
IP アドレス 10.1.1.1 からのアクセスを許可するアクセスリストを設定します。
2. (config)# snmp-server community "NETWORK" ro LIST1
SNMP マネージャのコミュニティに対する MIB アクセスモードおよび適用するアクセスリストを設定
します。
274
15 SNMP
• コミュニティ名:NETWORK
• アクセスリスト名:LIST1
• アクセスモード:read only
15.2.3 SNMPv3 による MIB アクセス許可の設定
[設定のポイント]
SNMPv3 で MIB にアクセスするために,アクセスを許可する MIB オブジェクトの集合を MIB ビュー
として設定し,ユーザ認証とプライバシー機能の情報を SNMP セキュリティユーザとして設定します。
また,MIB ビューと SNMP セキュリティユーザを関連づけるために,SNMP セキュリティグループを
設定します。
[コマンドによる設定]
1. (config)# snmp-server view "READ_VIEW" 1.3.6.1 included
(config)# snmp-server view "READ_VIEW" 1.3.6.1.6.3 excluded
(config)# snmp-server view "WRITE_VIEW" 1.3.6.1.2.1.1 included
MIB ビューを設定します。
• ビュー名 READ_VIEW に internet グループ MIB(サブツリー:1.3.6.1)を登録します。
• ビュー名 READ_VIEW から snmpModules グループ MIB(サブツリー:1.3.6.1.6.3)を対象外に
します。
• ビュー名 WRITE_VIEW に system グループ MIB(サブツリー:1.3.6.1.2.1.1)を登録します。
2. (config)# snmp-server user "ADMIN" "ADMIN_GROUP" v3 auth md5 "ABC*_1234" priv des "XYZ/
+6789"
SNMP セキュリティユーザを設定します。
• SNMP セキュリティユーザ名:ADMIN
• SNMP セキュリティグループ名:ADMIN_GROUP
• 認証プロトコル:HMAC-MD5
• 認証パスワード:ABC*_1234
• 暗号化プロトコル:CBC-DES
• 暗号化パスワード:XYZ/+6789
3. (config)# snmp-server group "ADMIN_GROUP" v3 priv read "READ_VIEW" write "WRITE_VIEW"
SNMP セキュリティグループを設定します。
• SNMP セキュリティグループ名:ADMIN_GROUP
• セキュリティレベル:認証あり,暗号化あり
• Read ビュー名:READ_VIEW
• Write ビュー名:WRITE_VIEW
15.2.4 SNMPv1,SNMPv2C によるトラップ送信の設定
[設定のポイント]
トラップを送信する宛先の SNMP マネージャを登録します。
[コマンドによる設定]
275
15 SNMP
1. (config)# snmp-server host 10.1.1.1 traps "NETWORK" version 1 snmp
SNMP マネージャに標準トラップを送信する設定をします。
• コミュニティ名:NETWORK
• SNMP マネージャの IP アドレス:10.1.1.1
• 送信するトラップ:coldStart,warmStart,linkDown,linkUp,authenticationFailure
15.2.5 SNMPv3 によるトラップ送信の設定
[設定のポイント]
MIB ビューと SNMP セキュリティユーザを設定の上,SNMP セキュリティグループを設定し,さらに
SNMP トラップモードを設定します。
[コマンドによる設定]
1. (config)# snmp-server view "ALL_TRAP_VIEW" * included
MIB ビューを設定します。
• ビュー名 ALL_TRAP_VIEW に全サブツリーを登録します。
2. (config)# snmp-server user "ADMIN" "ADMIN_GROUP" v3 auth md5 "ABC*_1234" priv des "XYZ/
+6789"
SNMP セキュリティユーザを設定します。
• SNMP セキュリティユーザ名:ADMIN
• SNMP セキュリティグループ名:ADMIN_GROUP
• 認証プロトコル:HMAC-MD5
• 認証パスワード:ABC*_1234
• 暗号化プロトコル:DES
• 暗号化パスワード:XYZ/+6789
3. (config)# snmp-server group "ADMIN_GROUP" v3 priv notify "ALL_TRAP_VIEW"
SNMP セキュリティグループを設定します。
• SNMP セキュリティグループ名:ADMIN_GROUP
• セキュリティレベル:認証あり,暗号化あり
• Notify ビュー名:ALL_TRAP_VIEW
4. (config)# snmp-server host 10.1.1.1 traps "ADMIN" version 3 priv snmp
SNMPv3 によって SNMP マネージャに標準トラップを送信する設定をします。
• SNMP マネージャの IP アドレス:10.1.1.1
• SNMP セキュリティユーザ名:ADMIN
• セキュリティレベル:認証あり,暗号化あり
• 送信するトラップ:coldStart,warmStart,linkDown,linkUp,authenticationFailure
15.2.6 SNMPv2C によるインフォーム送信の設定
[設定のポイント]
インフォームを送信する宛先の SNMP マネージャを登録します。
276
15 SNMP
[コマンドによる設定]
1. (config)# snmp-server host 10.1.1.1 informs "NETWORK" version 2c snmp
SNMP マネージャに標準のインフォームを送信する設定をします。
• コミュニティ名:NETWORK
• SNMP マネージャの IP アドレス:10.1.1.1
• 送信するインフォーム:coldStart,warmStart,linkDown,linkUp,authenticationFailure
15.2.7 リンクトラップの送信制御
次の契機で送信する SNMP 通知(linkDown および linkUp)をリンクトラップと呼びます。
• イーサネットインタフェースがリンクアップまたはリンクダウンしたとき
• サブインタフェースがアップまたはダウンしたとき
• VLAN インタフェースがアップまたはダウンしたとき
本装置では,コンフィグレーションによって,インタフェースごとにリンクトラップの送信を制御できま
す。例えば,サーバと接続するイーサネットインタフェースのように重要度の高いインタフェースだけ
SNMP 通知を送信して,そのほかのイーサネットインタフェースのリンクトラップの送信を抑止すること
で,本装置,ネットワーク,および SNMP マネージャの不要な処理を削減できます。
なお,インタフェース種別によって送信のデフォルト動作が異なります。イーサネットインタフェースで
は,デフォルト動作として SNMP 通知を送信します。サブインタフェースおよび VLAN インタフェース
では,デフォルト動作として SNMP 通知を送信しません。
[設定のポイント]
リンクトラップの設定内容はネットワーク全体の運用方針に従って決定します。
図 15‒31 リンクトラップの構成図
ここでは,ポート 1/1 は SNMP 通知を送信するので,コンフィグレーションの設定は必要ありません。
ポート 1/12 は SNMP 通知を送信しないように設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/12
(config-if)# no snmp trap link-status
リンクアップおよびリンクダウン時に SNMP 通知を送信しません。
277
15 SNMP
2. (config-if)# exit
15.2.8 RMON イーサネットヒストリグループの制御情報の設定
[設定のポイント]
RMON イーサネットの統計来歴の制御情報を設定します。本コマンドでは最大 32 エントリの設定が
できます。あらかじめ SNMP マネージャを登録しておく必要があります。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/5
ギガビット・イーサネットインタフェース 1/5 のコンフィグレーションモードに移行します。
2. (config-if)# rmon collection history controlEntry 33 owner "NET-MANAGER" buckets 10
統計来歴の制御情報の情報識別番号,設定者の識別情報,および統計情報を格納する来歴エントリ数を
設定します。
• 情報識別番号:33
• 来歴情報の取得エントリ:10 エントリ
• 設定者の識別情報:NET-MANAGER
15.2.9 RMON による特定 MIB 値の閾値チェック
[設定のポイント]
特定の MIB の値に対して定期的に閾値チェックを行い,閾値を超えたら SNMP マネージャにイベント
を通知するように設定します。
イベント実行方法に trap を指定する場合は,あらかじめ SNMP トラップモードの設定が必要です。
[コマンドによる設定]
1. (config)# rmon event 3 log trap public
アラームが発生したときに実行するイベントを設定します。
• 情報識別番号:3
• イベント実行方法:log,trap
• SNMP 通知先コミュニティ名:public
2. (config)# rmon alarm 12 "ifOutDiscards.1" 256111 delta rising-threshold 400000 risingevent-index 3 falling-threshold 100 falling-event-index 3 owner "NET-MANAGER"
RMON アラームグループの制御情報を次の条件で設定します。
• RMON アラームグループの制御情報識別番号:12
• 閾値チェックを行う MIB のオブジェクト識別子:ifOutDiscards.1
• 閾値チェックを行う時間間隔:256111 秒
• 閾値チェック方式:差分値チェック(delta)
• 上方閾値の値:400000
• 上方閾値を超えたときのイベント方法の識別番号:3
• 下方閾値の値:100
• 下方閾値を超えたときのイベント方法の識別番号:3
278
15 SNMP
• コンフィグレーション設定者の識別情報:NET-MANAGER
15.2.10 SNMPv1,SNMPv2C による VRF からの MIB アクセス許可の
設定
[設定のポイント]
VRF に存在する SNMP マネージャから本装置の MIB へのアクセスを許可する設定をします。
[コマンドによる設定]
1. (config)# ip access-list standard LIST2
(config-std-nacl)# permit 10.1.1.1 0.0.0.0
IP アドレス 10.1.1.1 からのアクセスを許可するアクセスリストを設定します。
2. (config)# snmp-server community "NETWORK" ro LIST2 vrf 2
SNMP マネージャのコミュニティに対する MIB アクセスモードおよび適用するアクセスリストを設定
します。
• コミュニティ名:NETWORK
• アクセスリスト名:LIST2
• アクセスモード:read only
• VRF ID:2
15.2.11 SNMPv3 による VRF からの MIB アクセス許可の設定
[設定のポイント]
SNMPv3 で MIB にアクセスするために,アクセスを許可する MIB オブジェクトの集合を MIB ビュー
として設定し,ユーザ認証とプライバシー機能の情報,およびアクセスを許可する VRF ID を SNMP
セキュリティユーザとして設定します。また,MIB ビューと SNMP セキュリティユーザを関連づける
ために,SNMP セキュリティグループを設定します。
[コマンドによる設定]
1. (config)# snmp-server view "READ_VIEW" 1.3.6.1 included
(config)# snmp-server view "READ_VIEW" 1.3.6.1.6.3 excluded
(config)# snmp-server view "WRITE_VIEW" 1.3.6.1.2.1.1 included
MIB ビューを設定します。
• ビュー名 READ_VIEW に internet グループ MIB(サブツリー:1.3.6.1)を登録します。
• ビュー名 READ_VIEW から snmpModules グループ MIB(サブツリー:1.3.6.1.6.3)を対象外に
します。
• ビュー名 WRITE_VIEW に system グループ MIB(サブツリー:1.3.6.1.2.1.1)を登録します。
2. (config)# snmp-server user "ADMIN" "ADMIN_GROUP" v3 auth md5 "ABC*_1234" priv des "XYZ/
+6789" vrf 2
SNMP セキュリティユーザを設定します。
• SNMP セキュリティユーザ名:ADMIN
• SNMP セキュリティグループ名:ADMIN_GROUP
• 認証プロトコル:HMAC-MD5
279
15 SNMP
• 認証パスワード:ABC*_1234
• 暗号化プロトコル:CBC-DES
• 暗号化パスワード:XYZ/+6789
• VRF ID:2
3. (config)# snmp-server group "ADMIN_GROUP" v3 priv read "READ_VIEW" write "WRITE_VIEW"
SNMP セキュリティグループを設定します。
• SNMP セキュリティグループ名:ADMIN_GROUP
• セキュリティレベル:認証あり,暗号化あり
• Read ビュー名:READ_VIEW
• Write ビュー名:WRITE_VIEW
15.2.12 SNMPv1,SNMPv2C による VRF へのトラップ送信の設定
[設定のポイント]
VRF に存在する SNMP マネージャに対して,トラップを送信する設定をします。
[コマンドによる設定]
1. (config)# snmp-server host 10.1.1.1 vrf 2 traps "NETWORK" version 1 snmp
SNMP マネージャに標準トラップを送信する設定をします。
• コミュニティ名:NETWORK
• SNMP マネージャの IP アドレス:10.1.1.1
• 送信するトラップ:coldStart,warmStart,linkDown,linkUp,authenticationFailure
• VRF ID:2
15.2.13 SNMPv3 による VRF へのトラップ送信の設定
[設定のポイント]
MIB ビューと SNMP セキュリティユーザを設定の上,SNMP セキュリティグループを設定し,さらに
SNMP トラップモードを設定します。SNMP セキュリティユーザで登録する VRF ID と SNMP ト
ラップモードで設定する VRF ID は,同一である必要があります。
[コマンドによる設定]
1. (config)# snmp-server view "ALL_TRAP_VIEW" * included
MIB ビューを設定します。
• ビュー名 ALL_TRAP_VIEW に全サブツリーを登録します。
2. (config)# snmp-server user "ADMIN" "ADMIN_GROUP" v3 auth md5 "ABC*_1234" priv des "XYZ/
+6789" vrf 2
SNMP セキュリティユーザを設定します。
• SNMP セキュリティユーザ名:ADMIN
• SNMP セキュリティグループ名:ADMIN_GROUP
• 認証プロトコル:HMAC-MD5
• 認証パスワード:ABC*_1234
280
15 SNMP
• 暗号化プロトコル:DES
• 暗号化パスワード:XYZ/+6789
• VRF ID:2
3. (config)# snmp-server group "ADMIN_GROUP" v3 priv notify "ALL_TRAP_VIEW"
SNMP セキュリティグループを設定します。
• SNMP セキュリティグループ名:ADMIN_GROUP
• セキュリティレベル:認証あり,暗号化あり
• Notify ビュー名:ALL_TRAP_VIEW
4. (config)# snmp-server host 10.1.1.1 vrf 2 traps "ADMIN" version 3 priv snmp
SNMPv3 によって SNMP マネージャに標準トラップを送信する設定をします。
• SNMP マネージャの IP アドレス:10.1.1.1
• SNMP セキュリティユーザ名:ADMIN
• セキュリティレベル:認証あり,暗号化あり
• 送信するトラップ:coldStart,warmStart,linkDown,linkUp,authenticationFailure
• VRF ID:2
15.2.14 SNMPv2C による VRF へのインフォーム送信の設定
[設定のポイント]
VRF に存在する SNMP マネージャに対して,インフォームを送信する設定をします。
[コマンドによる設定]
1. (config)# snmp-server host 10.1.1.1 vrf 2 informs "NETWORK" version 2c snmp
SNMP マネージャに標準のインフォームを送信する設定をします。
• コミュニティ名:NETWORK
• SNMP マネージャの IP アドレス:10.1.1.1
• 送信するインフォーム:coldStart,warmStart,linkDown,linkUp,authenticationFailure
• VRF ID:2
281
15 SNMP
15.3 オペレーション
15.3.1 運用コマンド一覧
SNMP/RMON に関する運用コマンド一覧を次の表に示します。
表 15‒6 運用コマンド一覧
コマンド名
説明
show snmp
SNMP 情報を表示します。
show snmp pending
送信を保留中のインフォームリクエストを表示します。
snmp lookup
サポート MIB オブジェクト名称およびオブジェクト ID を表示します。
snmp get
指定した MIB の値を表示します。
snmp getnext
指定した次の MIB の値を表示します。
snmp walk
指定した MIB ツリーを表示します。
snmp getif
interface グループの MIB 情報を表示します。
snmp getroute
ipRouteTable(IP ルーティングテーブル)を表示します。
snmp getarp
ipNetToMediaTable(IP アドレス変換テーブル)を表示します。
snmp getforward
ipForwardTable(IP フォワーディングテーブル)を表示します。
snmp rget
指定したリモート装置の MIB の値を表示します。
snmp rgetnext
指定したリモート装置の次の MIB の値を表示します。
snmp rwalk
指定したリモート装置の MIB ツリーを表示します。
snmp rgetroute
指定したリモート装置の ipRouteTable(IP ルーティングテーブル)を表示します。
snmp rgetarp
指定したリモート装置の ipNetToMediaTable(IP アドレス変換テーブル)を表示しま
す。
15.3.2 SNMP マネージャとの通信の確認
本装置に SNMP エージェント機能を設定して SNMP プロトコルによるネットワーク管理を行う場合,次
のことを確認してください。
• ネットワーク上の SNMP マネージャから本装置に対して MIB を取得できること
• 本装置からネットワーク上の SNMP マネージャへ SNMP 通知が送信されていること,さらに,イン
フォームの場合は応答を受信できること
show snmp コマンドで SNMP マネージャとの通信状態を確認できます。
図 15‒32 show snmp コマンドの実行結果
> show snmp
Date 20XX/03/18 13:34:17 UTC
Contact: snmp@example.com
Location: Japan
SNMP packets input : 149346
Get-request PDUs
: 1992
282
(get:186696 set:0)
15 SNMP
Get-next PDUs
: 147354
Get-bulk PDUs
: 0
Set-request PDUs
: 0
Response PDUs
: 0
(with error 0)
Error PDUs
: 0
Bad SNMP version errors: 0
Unknown community name : 0
Illegal operation
: 0
Encoding errors
: 0
SNMP packets output : 149475
Trap PDUs
: 125
Inform-request PDUs : 4
Response PDUs
: 149346
No errors
:
Too big errors
:
No such name errors
:
Bad values errors
:
General errors
:
Timeouts
: 1
Drops
: 0
(with error 499)
148847
0
499
0
0
[TRAP]
Host: 192.168.0.65, sent:3
Host: 192.168.0.210, sent:61
[INFORM]
Timeout(sec)
: 30
Retry
: 3
Pending informs
: 2/25 (current/max)
Host: 192.168.0.1
sent
:2
retries:1
response:0
pending:2
Host: 2001:db8::10
sent
:1
retries:0
response:0
pending:1
failed:0
dropped:0
failed:0
dropped:0
SNMP マネージャから MIB が取得できない場合は,「SNMP packets input」の項目で,「Error PDUs」
の値が増加していないこと,および PDU を受信できていることを確認してください。
「Error PDUs」の値
が増加しているときは,コンフィグレーションの内容を確認してください。PDU を受信できていないとき
は,ネットワークの設定が正しいか,また,SNMP マネージャまでの経路上で障害が発生していないかを
確認してください。
SNMP マネージャで SNMP 通知が受信できない場合は,「[TRAP]」と「[INFORM]」の項目で,SNMP
マネージャの IP アドレスが「Host」として設定されていることを確認してください。設定されていないと
きは,コンフィグレーションコマンド snmp-server host を実行して,SNMP マネージャに関する情報を
設定してください。
なお,これらの方法で解決できない場合は「トラブルシューティングガイド」を参照してください。また,
本装置から取得できる MIB および SNMP 通知については「MIB レファレンス」を参照してください。
283
16
高機能スクリプト
この章では,高機能スクリプトの使用方法について説明します。
285
16 高機能スクリプト
16.1 解説
16.1.1 概要
高機能スクリプトとは,本装置のコンフィグレーションやオペレーションを,装置内でプログラミングでき
るようにする機能です。本機能は,次のような用途に適用できます。
• オペレーションの自動化
例えば,システムメッセージの出力を契機として,コマンドを自動で実行できます。
• 運用機能のカスタマイズ
例えば,ユーザが作成したシステムメッセージを出力できます。
高機能スクリプトを構成する主要機能,およびそれぞれの関連性を次の図に示します。
図 16‒1 高機能スクリプトを構成する主要機能
(1) スクリプト言語実行機能
スクリプトは,本装置のコンフィグレーションやオペレーションの手順をプログラミングしたものです。ス
クリプト言語実行機能とは,作成したスクリプトを実行する機能です。
なお,本装置では,スクリプト言語に Python を使用します。Python は次に示す特徴を持つ言語です。
• 可読性が高い
コードブロックをインデントでそろえるなど,記述方法を統一することで,高い可読性を持ちます。
• デバッグやプロトタイピングが容易
Python で作成したスクリプトはインタプリタ方式で 1 行ずつ実行できるため,デバッグやプロトタイ
ピングが容易です。
• ライブラリ提供機能の再利用が容易
Python では,メール送信や本装置の管理機能など,よく使用する機能をまとめてライブラリという形
で提供します。ライブラリで提供される機能は,スクリプトからライブラリを参照するだけで実行でき
ます。これを利用することで,手軽にオペレーションをカスタマイズできます。
(2) スクリプトアクション機能
スクリプトアクション機能とは,本装置へのコマンド実行などのアクションをスクリプトから実行する機能
です。次に示すようなアクションがあります。
286
16 高機能スクリプト
• Python 本体とともに配布される標準ライブラリを使用した,メール送信やファイルアクセスなど利便
性の高い多数のアクション
• 本装置固有の拡張ライブラリを使用した,コマンド実行やシステムメッセージ出力などのアクション
• ユーザが作成したライブラリを使用した,独自のアクション
このうち,本装置固有の拡張ライブラリで実行できるスクリプトアクションを次の表に示します。
表 16‒1 本装置固有の拡張ライブラリのスクリプトアクション一覧
アクション
説明
コマンド実行
スクリプトで指定したコマンドを実行します。
システムメッセージ出力
指定した任意の文字列をシステムメッセージとして出力します。
(3) イベント監視機能
イベント監視機能とは,装置やネットワークの状態などを監視する機能です。監視対象の状態変化(イベン
ト)を契機として,次に示すスクリプトやアプレットに通知します。通知先は,監視イベントの登録方法に
よって異なります。
• 実行中のスクリプトにイベントを通知
監視イベントの登録と検出には,本装置が提供する拡張ライブラリを使用します。
• アプレットにイベントを通知
監視イベントの登録には,アプレット機能が提供するコンフィグレーションを使用します。
監視イベントの一覧を次の表に示します。
表 16‒2 監視イベントの一覧
監視イベント
説明
システムメッセージ監視
出力されたシステムメッセージを監視します。
タイマ監視
タイマを使用して,決められた時間を監視します。
タイマでは,次の 2 種類の形式で時間を指定できます。
• 時間間隔を指定(interval タイマ)
• 時刻を指定(cron タイマ)
(4) アプレット機能
アプレット機能とは,イベント監視機能と連携して,イベント発生を契機として事前に登録したアクション
を実行する機能です。
監視イベントおよびアクションは,コンフィグレーションで登録します。なお,サポートしているアクショ
ンは,スクリプトファイルの起動(イベント起動スクリプト)だけです。
(5) 高機能スクリプトの使用方法
高機能スクリプトを使用する場合,まず本装置のコンフィグレーションやオペレーションをスクリプトとし
て作成します。このとき,スクリプトアクション機能,イベント監視機能,およびアプレット機能を自由に
組み合わせて作成できます。
287
16 高機能スクリプト
作成したスクリプトをスクリプト言語実行機能で実行すると,スクリプトに記載した各処理が実行されま
す。このように,高機能スクリプトを使用すると,本装置のコンフィグレーションやオペレーションをプロ
グラミングして実行できるようになります。
16.1.2 高機能スクリプトの適用例
(1) 異常検出
スクリプトを使用して,異常(警告)検出時にオペレータへの通知と解析情報の自動収集をする例を次の図
に示します。この図ではシステムメッセージを監視して,レベル S1 または S2 のシステムメッセージ出力
を検出したら,スクリプトからメール送信と運用コマンドを実行します。
図 16‒2 システムメッセージ監視によるメール送信および運用コマンド実行
1. システムメッセージ監視イベントを登録して,イベントの発生を待ちます。
2. レベル S1 または S2 のシステムメッセージ出力を検出したら,イベントを通知します。
3. イベントを受信します。
4. イベントを受信したスクリプトは,Python の標準ライブラリを使用してオペレータにメールを送信し
ます。
5. 関連する運用コマンドを実行して,事象発生時の解析情報を収集します。
(2) 定期的なコマンド実行
スクリプトを使用して,定期的にコマンドを実行する例を次の図に示します。この図ではタイマ監視をし
て,コンフィグレーションコマンドおよび運用コマンドを実行したあと,システムメッセージを出力しま
す。
図 16‒3 タイマ監視によるコマンド実行およびシステムメッセージ出力
事前に,午前 5 時に発生するタイマ監視イベントと,イベント発生時に起動するスクリプトファイルを,
コンフィグレーションで登録しておきます。
1. 午前 5 時になるとイベントが発生して,スクリプトが起動します。
288
16 高機能スクリプト
2. コンフィグレーションコマンドを実行します。
3. コンフィグレーションの反映結果が確認できる運用コマンドを実行します。
4. 3.の運用コマンドの出力結果を文字列解析して,正常性を確認します。
5. コンフィグレーションの反映結果を格納したシステムメッセージを出力して,オペレータへ通知しま
す。
16.1.3 高機能スクリプトの仕様
(1) スクリプトの分類
スクリプトは起動方法によって次の 3 種類に分けられます。
表 16‒3 起動方法によるスクリプト種別
スクリプト種別
説明
コマンドスクリプト
運用コマンド python を実行して,スクリプトを起動します。
常駐スクリプト
常駐プログラムとしてスクリプトを起動します。
運用コマンド install script でインストールしたファイルを,コンフィグレーションコ
マンド resident-script で指定することで起動します。
イベント起動スクリプト
監視イベントの検出を契機としてスクリプトを起動します。
運用コマンド install script でファイルをインストールしたあと,監視イベントと起動
対象のファイルの関連づけをアプレット機能のコンフィグレーションコマンドで指定
します。
(2) スクリプトの標準入出力
スクリプトの標準入出力に対するサポートを次の表に示します。
表 16‒4 スクリプトの標準入出力に対するサポート
スクリプト種別
標準入力
標準出力
標準エラー出力
コマンドスクリプト
○
○
○
常駐スクリプト
×
×
○※
イベント起動スクリプト
×
×
○※
(凡例) ○:サポートする ×:サポートしない
注※
運用コマンド dump script-user-program で確認できます。
(3) スクリプト専用ユーザ
常駐スクリプトおよびイベント起動スクリプトは,スクリプト専用ユーザの権限で動作します。スクリプト
専用ユーザについて次の表に示します。
表 16‒5 スクリプト専用ユーザ
項目
ユーザ名
ユーザ情報
script
289
16 高機能スクリプト
項目
ホームディレクトリ
ユーザ情報
/opt/script
(4) アクセス権限
本装置で実行するスクリプトでは,本装置上のディレクトリおよびファイルへアクセスできます。スクリプ
トでアクセスできるディレクトリおよびファイルの範囲を次の表に示します。
表 16‒6 アクセスできるディレクトリおよびファイルの範囲
アクセス種別
説明
コマンドスクリプト
コマンドスクリプトを起動したユーザ権限に従います。
常駐スクリプト
スクリプト専用ユーザの権限に従います。
イベント起動スクリプト
(5) 同時に実行できるスクリプト数
本装置では複数回スクリプトを起動させることで,同時に複数のスクリプトを実行できます。同時に実行で
きるスクリプト数を次の表に示します。
表 16‒7 同時に実行できるスクリプト数
スクリプト種別
同時に実行できる上限数
コマンドスクリプト
4
常駐スクリプト
4
イベント起動スクリプト
4
(6) 系切替時の動作
系切替時のスクリプトの動作について次の表に示します。
表 16‒8 系切替時のスクリプトの動作
スクリプト種別
新運用系
コマンドスクリプト
スクリプトは自動で実行されません。
常駐スクリプト
新しく常駐スクリプトを起動します。
イベント起動スクリプト
新運用系で新たにイベントを検出すると
起動します。
新待機系
運用系で実行中だったスクリプトは強制終
了します。
16.1.4 スクリプト使用時の注意事項
(1) 使用する作業ディレクトリについて
頻繁にファイルへアクセスする場合は,RAM ディスク(メモリ)上にある次の作業ディレクトリを使用し
てください。
290
16 高機能スクリプト
表 16‒9 作業ディレクトリ
ディレクトリ名
/opt/script※
容量
16MB
注※
BCU を再起動すると,配下のファイルは削除されます。
(2) 動作検証について
スクリプトを使用した運用に当たっては,実環境での使用を想定して,事前に CPU やメモリなど装置のリ
ソースの利用状況に留意した動作検証をしてください。
291
16 高機能スクリプト
16.2 スクリプトの作成と実行
16.2.1 コンフィグレーション・運用コマンド一覧
高機能スクリプトのコンフィグレーションコマンド一覧を次の表に示します。
表 16‒10 コンフィグレーションコマンド一覧
コマンド名
説明
aaa authorization commands script
スクリプトによるコマンド実行時のコマンド承認動作を設定します。
action
アプレット機能による監視イベント検出時のアクション(イベント起動
スクリプト)を指定します。
disable
アプレット機能の動作を抑止します。
event manager applet
アプレット機能に関する動作情報を指定します。
event sysmsg
アプレット機能によるシステムメッセージ監視の監視条件を指定しま
す。
event timer
アプレット機能によるタイマ監視の監視条件を指定します。
priority
アプレットの実行優先度を指定します。
resident-script
常駐スクリプトの起動情報を指定します。
高機能スクリプトの運用コマンド一覧を次の表に示します。
表 16‒11 運用コマンド一覧
コマンド名
説明
python
Python を実行します。
stop python
起動中のスクリプトを停止します。
pyflakes
スクリプトファイルの文法チェックをします。
install script
作成したスクリプトファイルを本装置にインストールします。
uninstall script
本装置にインストールされているスクリプトファイルを削除します。
show script installed-file
本装置にインストールされているスクリプトファイルの情報を表示します。
show script running-state
スクリプトの起動情報を表示します。
show event manager history
監視イベントの発生履歴を表示します。
show event manager monitor
監視イベント情報を表示します。
clear event manager
イベント管理に関連する統計情報と発生履歴をクリアします。
restart script-manager
スクリプト管理プログラムを再起動します。
スクリプト管理プログラムは,コマンドスクリプトおよび常駐スクリプトの起動
情報を管理します。
restart event-manager
292
イベント管理プログラムを再起動します。
16 高機能スクリプト
コマンド名
説明
イベント管理プログラムは,スクリプトから登録されたイベントを監視および検
出します。
dump script-user-program
常駐スクリプトおよびイベント起動スクリプトで出力される標準エラーを取得
します。
dump script-manager
スクリプト管理プログラムで採取している制御情報をファイルへ出力します。
dump event-manager
イベント管理プログラムで採取している制御情報をファイルへ出力します。
16.2.2 スクリプトの実行の流れ
本装置でスクリプトを実行する流れについて次の図に示します。
図 16‒4 スクリプト実行の流れ
1. 外部 PC でスクリプトを作成します。
2. 作成したスクリプトを,本装置に転送します。
3. 本装置内の機能を使用して,スクリプトの正常性を確認します。
4. スクリプトに異常がある場合,外部 PC でスクリプトを修正します。
5. スクリプトに異常がない場合,スクリプトを本装置にインストールします。
6. インストールしたスクリプトを実行します。
16.2.3 スクリプトファイルの作成
スクリプトファイルは,PC などの外部装置で作成してから,ftp などを使用して本装置に転送してくださ
い。作成および転送時の注意事項を次に示します。
• 文字コードは UTF-8(BOM なし)を使用してください。
• 本装置へ ftp で転送するときは,スクリプトファイルの形式に合わせたモードを使用してください。
テキストのスクリプトファイル(拡張子が.py)の場合
アスキーモードで転送してください。
コンパイル済みのスクリプトファイル(拡張子が.pyc または.pyo)の場合
バイナリモードで転送してください。
293
16 高機能スクリプト
16.2.4 スクリプトファイルの正常性確認
作成したスクリプトファイルの正常性を確認する方法を次の表に示します。
表 16‒12 スクリプトファイルの正常性を確認する方法
確認方法
運用コマンド pyflakes
説明
PyPI(Python ライブラリの公開サイト)に公開されている,
「pyflakes(pyflakes3k)」と呼ばれる文法チェッカーを利用して確
認します。
pdb モジュール
Python の標準ライブラリとして提供されているデバッガを利用し
て確認します。ブレークポイントの設定や,ステップ実行ができま
す。
運用コマンド dump script-user-program
常駐スクリプトで出力される標準エラーを取得して確認します。
(1) 運用コマンド pyflakes による確認
運用コマンド pyflakes を実行すると,指定したファイルに対して pyflakes(pyflakes3k)による文法チェッ
クをします。pyflakes コマンドを使用して,sample.py ファイルの文法チェックをする例を次の図に示し
ます。
図 16‒5 pyflakes コマンドの実行例
> pyflakes sample.py
sample.py:4: invalid syntax
for cnt in range(10)
^
>
<-1
1. for 文の末尾に異常があることを示しています。
(2) pdb モジュールを使用した確認
運用コマンド python で pdb モジュールを使用すると,指定したファイルをデバッグするためのデバッガ
コマンドが使用できます。pdb モジュールを使用して,sample.py ファイルの正常性を確認する例を次の
図に示します。
図 16‒6 pdb モジュールの使用例
# python -m pdb sample.py
<-1
> /usr/home/share/sample.py(1)<module>()
-> import os
(Pdb) b 4
<-2
Breakpoint 1 at /usr/home/share/sample.py:4
(Pdb) r
<-3
> /usr/home/share/sample.py(4)<module>()
-> for cnt in range(10):
(Pdb) s
<-4
> /usr/home/share/sample.py(5)<module>()
-> if(cnt == 9):
(Pdb) cl
<-5
Clear all breaks? y
Deleted breakpoint 1 at /usr/home/share/sample.py:4
(Pdb) r
--Return-> /usr/home/share/sample.py(7)<module>()->None
-> sys.exit()
(Pdb) q
<-6
#
1. -m オプションで pdb モジュールを使用して,sample.py スクリプトを実行します。
294
16 高機能スクリプト
2. デバッガコマンド b(reak)で,sample.py の 4 行目にブレークポイントを作成します。
3. デバッガコマンド r(un)で,スクリプトを実行します。
4. ブレークポイントで処理が停止したため,デバッガコマンド s(tep)でスクリプトをステップ実行しま
す。
5. デバッガコマンド cl(ear)で,ブレークポイントを削除します。
6. デバッガコマンド q(uit)で,デバッガを終了します。
(3) 運用コマンド dump script-user-program による確認
運用コマンド dump script-user-program を実行すると,常駐スクリプトで出力される標準エラーを取得
できます。ただし,標準出力は取得できません。常駐スクリプトの標準エラー出力を確認する例を次の図に
示します。
図 16‒7 常駐スクリプトの標準エラー出力例
# dump script-user-program
<-1
# cd /usr/var/scriptManager
<-2
# gzip -d smd_script_user.gz
<-3
# cat smd_script_user
<-4
[resident tag 1 info]
**** 20XX/03/19 17:52:36 UTC ****
Script start filename=/usr/var/script/script.file/sample1.py pid=128
**** 20XX/03/19 17:52:36 UTC ****
File "/usr/var/script/script.file/sample1.py", line 1
print a
^
SyntaxError: invalid syntax
**** 20XX/03/19 17:52:36 UTC ****
Script end filename=/usr/var/script/script.file/sample1.py pid=128
:
:
:
#
1. 標準エラーをファイル(smd_script_user.gz)へ出力します。このファイルは,/usr/var/
scriptManager/の配下に作成されます。
2. /usr/var/scriptManager/の配下に移動します。
3. smd_script_user.gz を解凍します。
4. 解凍したファイルを表示します。
16.2.5 スクリプトファイルのインストール
スクリプトファイルをインストールします。常駐スクリプトおよびイベント起動スクリプトは,インストー
ルしたスクリプトファイルを起動します。また,インストールしたスクリプトファイルは,Python モ
ジュールとしてインポートできます。
インストールできるスクリプトファイルには,次の条件があります。
• インストールできるスクリプトファイルの拡張子は,次のどれかです。
• .py
• .pyc
• .pyo
295
16 高機能スクリプト
• インストール済みのスクリプトファイルと,拡張子だけが異なるスクリプトファイルは,インストール
できません。
スクリプトファイルのインストールでの上限値を次の表に示します。
表 16‒13 スクリプトファイルのインストールでの上限値
項目
上限値
インストールできるファイル数
100
合計ファイルサイズ
4MB
1 ファイルのサイズ
512KB
スクリプトファイルのインストールには,運用コマンド install script を使用します。install script コマン
ドを使用して sample.py ファイルをインストールする例を次の図に示します。
図 16‒8 スクリプトファイルのインストール
# install script sample.py
# show script installed-file
Date 20XX/01/15 20:32:35 UTC
Total: 1 files, 100 bytes
<-1
<-2
name: sample.py
size: 100 bytes
MD5: 12f58123c2b0f4286cf6d607656207c3
#
1. sample.py ファイルを本装置にインストールします。
2. 本装置にインストールされているスクリプトファイルを確認します。
16.2.6 スクリプトの起動
作成したスクリプトを,コマンドスクリプト,常駐スクリプト,またはイベント起動スクリプトとして起動
します。
(1) コマンドスクリプトの起動
スクリプトファイル名を指定して運用コマンド python を実行すると,コマンドスクリプトが起動します。
図 16‒9 python コマンドの実行例(スクリプトの起動)
# python sample.py
<-1
1. sample.py ファイルを起動します。
また,次の図に示すように,インストールしたスクリプトをモジュールとして起動できます。
図 16‒10 python コマンドの実行例(モジュールの起動)
# install script sample.py
# python -m sample
<-1
<-2
1. sample.py ファイルを本装置にインストールします。
2. sample.py ファイルをモジュールとして起動します。モジュールとして起動する場合は,拡張子を省略
します。
296
16 高機能スクリプト
(2) 常駐スクリプトの起動
常駐スクリプトを起動するには,次の二つの設定が必要です。
• 本装置へのスクリプトファイルのインストール
• スクリプトファイルの常駐スクリプト登録
両登録の完了を契機として,常駐スクリプトが起動します。常駐スクリプトの設定例を次の図に示します。
図 16‒11 常駐スクリプトの設定例
# install script sample.py
# configure
(config)# resident-script 1 python sample.py
(config)#
<-1
<-2
1. sample.py ファイルを本装置にインストールします。
2. sample.py ファイルを常駐スクリプトのスクリプト ID 1 に登録します。登録を契機として,
sample.py が起動します。
(3) イベント起動スクリプトの起動
イベント起動スクリプトを起動するには,次の三つの設定が必要です。
• 本装置へのスクリプトファイルのインストール
• 監視イベントの登録
• イベント検出時に起動するスクリプトファイル名の登録
これらの登録後,監視イベントの検出を契機として,イベント起動スクリプトが起動します。
監視イベントをタイマ監視とする場合の,イベント起動スクリプトの設定例を次の図に示します。
図 16‒12 イベント起動スクリプトの設定例(タイマ監視)
# install script sample.py
# configure
(config)# event manager applet INTERVAL100s
(config-applet)# event timer interval 100
(config-applet)# action 1 python sample.py
(config-applet)#
<-1
<-2
<-3
<-4
1. sample.py ファイルを本装置にインストールします。
2. アプレット名が INTERVAL100s のアプレットを作成して,アプレットのコンフィグレーションモード
に移行します。
3. 100 秒周期でイベントを発生させる,タイマ監視を登録します。
4. sample.py ファイルをアクションのシーケンス番号 1 に登録します。登録を契機として,100 秒周期で
sample.py が起動します。
監視イベントをシステムメッセージ監視とする場合の,イベント起動スクリプトの設定例を次の図に示しま
す。
図 16‒13 イベント起動スクリプトの設定例(システムメッセージ監視)
# install script sample.py
# configure
(config)# event manager applet PORT_UP
(config-applet)# event sysmsg message-id 25010001
(config-applet)# action 1 python sample.py
(config-applet)#
<-1
<-2
<-3
<-4
297
16 高機能スクリプト
20XX/02/05 19:00:18 UTC 1-1(A) S6 PORT PORT:1/1 25010001 01 000000000000 The port status is Up.
<-5
(config-applet)#
1. sample.py ファイルを本装置にインストールします。
2. アプレット名が PORT_UP のアプレットを作成して,アプレットのコンフィグレーションモードに移
行します。
3. メッセージ識別子が 25010001 のシステムメッセージ出力を監視する,システムメッセージ監視を登録
します。
4. sample.py ファイルをアクションのシーケンス番号 1 に登録します。
5. 監視条件(メッセージ識別子 25010001)に該当するシステムメッセージの出力を契機として,
sample.py が起動します。
(4) 起動スクリプトの PID 確認
起動したスクリプトには,OS によって PID(Process ID)と呼ばれる識別子が割り当てられます。同じ
スクリプトを複数起動した場合でも,それぞれを区別するために異なる PID が割り当てられます。
各スクリプトに割り当てられた PID は,運用コマンド show script running-state で確認できます。複数
の端末から同じスクリプトを起動した場合の PID 表示例を次の図に示します。
図 16‒14 起動スクリプトの PID 確認
# show script running-state
Date 20XX/02/05 18:17:40 UTC
<-1
[operation command]
command line args: python sample.py
PID: 2213
start time: 20XX/02/05 18:17:24 UTC
<-2
command line args: python sample.py
PID: 1968
start time: 20XX/02/05 18:17:26 UTC
[applet]
applet name: INTERVAL100s
action sequence: 1
command line args: python sample.py
PID: 11700
start time: 20XX/02/05 18:17:38 UTC
<-3
[resident]
script id: 1
command line args: python sample.py
state: Running
PID: 1977
start time: 20XX/02/05 18:17:29 UTC
#
<-4
1. 現在起動中のスクリプトを表示します。
2. コマンドスクリプトとして起動しているスクリプトが確認できます。
この例では,PID が 2213 と 1968 のスクリプトが起動中であることを確認できます。
3. イベント起動スクリプトとして起動しているスクリプトが確認できます。
この例では,PID が 11700 のスクリプトが起動中であることを確認できます。
4. 常駐スクリプトとして起動しているスクリプトが確認できます。
この例では,PID が 1977 のスクリプトが起動中であることを確認できます。
298
16 高機能スクリプト
16.3 本装置の Python サポート内容
本装置に実装する Python は,バージョン 3.2.3 です。オリジナルの Python 言語や標準ライブラリの仕様
については,Python Software Foundation が公開しているドキュメントや一般書籍などを参照してくだ
さい。この節では,本装置がサポートする内容について説明します。
16.3.1 標準 Python との差分および制限
本装置の Python サポート内容と,標準 Python との差分および制限を次に示します。
(1) python コマンド
本装置の運用コマンド python のコマンドラインオプションについて,標準 Python 3.2.3 との差異を次に
示します。
• -B オプションは未サポートです。
• -O(OO)オプションは未サポートです。
• -u オプションは未サポートです。
• スクリプトファイルの起動時に適用できるパラメータ数は,最大 32 です。
• スクリプトファイルの起動時に適用できる一つのパラメータの文字数は,最大 63 文字です。
• 指定できる総文字数は,空白文字を含めて最大 1000 文字です。
• スクリプトファイルの起動時に適用できるパラメータには,次の表に示す特殊文字を設定できません。
表 16‒14 設定できない特殊文字
文字の名称
文字
ダブルクォート
"
シングルクォート
'
セミコロン
;
バックスラッシュ
¥
逆シングルクォート
`
(2) __pycache__制限
本装置では,Python からスクリプトをインポートしても,ディレクトリ__pycache__を作成しません。
(3) ポートの使用制限
Python を使用して特定のポートをバインドする場合は,IPv4 または IPv6 に関係なく,TCP,UDP のど
ちらもポート番号 49155〜49166 を使用してください。
16.3.2 標準ライブラリ
標準ライブラリのサポート内容を次に示します。
299
16 高機能スクリプト
(1) サポートライブラリ一覧
本装置が提供する Python の標準ライブラリ一覧を次の表に示します。
表 16‒15 標準ライブラリ一覧
モジュール名
300
__future__
_dummy_thread
_thread
abc
aifc
argparse
array
ast
asynchat
asyncore
atexit
audioop
base64
bdb
binascii
binhex
bisect
builtins
cProfile
calendar
cgi
cmath
cmd
code
codecs
collections
colorsys
compileall
concurrent
configparser
contextlib
copy
copyreg
csv
datetime
dbm
decimal
difflib
dis
distutils
doctest
dummy_threading
email
encodings
errno
fcntl
filecmp
fnmatch
fractions
ftplib
functools
gc
getopt
getpass
gettext
glob
hashlib
heapq
hmac
html
imaplib
imghdr
imp
importlib
inspect
io
itertools
json
keyword
lib2to3
linecache
locale
logging
macpath
mailbox
marshal
math
mimetypes
mmap
modulefinder
netrc
nntplib
numbers
operator
optparse
os
parser
pdb
pickle
pickletools
pipes
pkgutil
platform
plistlib
poplib
posixpath
pprint
profile
pstats
pty
pwd
py_compile
pyclbr
pydoc
queue
quopri
random
re
rlcompleter
runpy
sched
select
shelve
shlex
shutil
signal
site
smtpd
smtplib
sndhdr
socket
stat
string
stringprep
struct
sunau
symtable
sys
sysconfig
tabnanny
tarfile
telnetlib
tempfile
test
textwrap
threading
time
timeit
token
tokenize
16 高機能スクリプト
モジュール名
trace
traceback
tty
types
unicodedata
unittest
urllib
uu
uuid
warnings
wave
weakref
webbrowser
xdrlib
xml
xmlrpc
zipfile
zipimport
zlib
---
(2) os モジュール制限
os モジュールが提供する一部の関数には,次に示す制限があります。
• os.kill 制限
本装置では,Python の os.kill()および os.killpg()を使用して,スクリプト以外にシグナルを送信できま
せん。
• os.fork 制限
本装置では,Python の os.fork()および os.forkpty()によって,サブプロセスを作成できません。
• os.system 制限
本装置では,Python の os.system()によるプログラムの実行について,動作を保証しません。プログラ
ムを実行する場合は commandline モジュールを使用してください。
(3) ユーザ制限
標準ライブラリにはスーパーユーザでだけ実行できるライブラリがありますが,本装置ではスーパーユーザ
での実行をサポートしません。
301
16 高機能スクリプト
16.4 Python 拡張ライブラリの使用方法
本装置は実装する Python に加えて,本装置へのオペレーションを制御するための拡張ライブラリを提供し
ます。この節では,拡張ライブラリの使用方法について説明します。提供するモジュールのメソッドや関数
の詳細は,「運用コマンドレファレンス Vol.1 19. Python 拡張ライブラリ」を参照してください。
16.4.1 指定コマンド実行の設定
ここでは,commandline モジュールを使用して,指定したコマンドを実行する方法を説明します。
commandline モジュールには,コンフィグレーションコマンドおよび運用コマンドをスクリプトから実行
する CommandLine クラスがあります。CommandLine クラスのメソッド一覧を次の表に示します。
表 16‒16 CommandLine クラスのメソッド一覧
メソッド名
説明
exec
引数に指定したコマンドを実行します。
exit
該当インスタンスによるコマンド実行を終了します。
set_default_timeout
該当インスタンスによるコマンド実行時のデフォルトタイムアウト時間を設定します。
(1) スクリプトファイルおよび実行結果の例
(a) さまざまなコマンドを実行する例
さまざまなコマンドを実行するスクリプトファイルの例を次に示します。
図 16‒15 スクリプトファイル(sample1.py)記載例
# sample1.py
# -*- coding: utf-8 -*import extlib.commandline
obj = extlib.commandline.CommandLine()
# ユーザ応答なしコマンド(ls)
print("ls start")
dict_ret = obj.exec("ls")
if dict_ret['result'] == extlib.commandline.OK:
print(dict_ret['strings'])
else:
print("timeout.")
# デフォルトタイムアウトの指定
obj.set_default_timeout(180)
# ユーザ応答ありコマンド(file1,file2の削除)
print("rm start")
dict_ret = obj.exec("rm -i file1 file2", ("?","y"), ("?", "y"))
if dict_ret['result'] == extlib.commandline.OK:
print(dict_ret['strings'])
else:
print("timeout.")
# コマンド応答タイムアウト時間指定(pingを3秒間実行)
print("ping start")
dict_ret = obj.exec("ping 192.0.2.1", 3)
if dict_ret['result'] == extlib.commandline.TIMEOUT:
print(dict_ret['strings'])
obj.exit()
1. モジュールをインポートします。
302
<-1
<-2
<-3
<-4
<-5
<-6
<-7
<-8
<-9
<-10
16 高機能スクリプト
2. CommandLine クラスのインスタンスを生成します。
3. exec メソッドで,実行するコマンド(ユーザ応答なし)を指定します。
4. コマンドの実行結果を出力します。
5. コマンド応答のデフォルトタイムアウト時間を指定します。
6. exec メソッドで,実行するコマンド(ユーザ応答あり)を指定します。
7. コマンドの実行結果を出力します。
8. exec メソッドで,実行するコマンドとコマンド応答のタイムアウト時間を指定します。
9. コマンドの実行結果を出力します。
10. コマンド実行状態を終了します。
スクリプトファイル sample1.py の実行結果を次に示します。exec メソッドで指定した運用コマンド ls,
rm,および ping が,正しく実行されています。
図 16‒16 スクリプト(sample1.py)実行結果
# python sample1.py
ls start
file1 file2
rm start
remove 'file1'? remove 'file2'?
ping start
PING 192.0.2.1 (192.0.2.1): 56 data
64 bytes from 192.0.2.1: icmp_seq=0
64 bytes from 192.0.2.1: icmp_seq=1
64 bytes from 192.0.2.1: icmp_seq=2
64 bytes from 192.0.2.1: icmp_seq=3
bytes
ttl=63
ttl=63
ttl=63
ttl=63
time=0.377
time=0.545
time=1.349
time=0.578
ms
ms
ms
ms
----192.0.2.1 PING Statistics---4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.377/0.858/1.385/0.445 ms
#
(b) スクリプト実行中にエラーが発生する例
コマンド応答のタイムアウト時間に,不正な値を指定した例を次に示します。
図 16‒17 スクリプトファイル(sample2.py)記載例
# sample2.py
# -*- coding: utf-8 -*import extlib.commandline
obj = extlib.commandline.CommandLine()
<-1
<-2
# コマンド応答タイムアウト時間指定(時間に負数を指定)
print("ping start")
dict_ret = obj.exec("ping 192.0.2.1", -3)
print(dict_ret['strings'])
<-3
<-4
obj.exit()
<-5
1. モジュールをインポートします。
2. CommandLine クラスのインスタンスを生成します。
3. exec メソッドで,実行するコマンドとコマンド応答のタイムアウト時間(負数)を指定します。
4. コマンドの実行結果を出力します。
5. コマンド実行状態を終了します。
303
16 高機能スクリプト
スクリプトファイル sample2.py の実行結果を次に示します。タイムアウト時間に指定した値が正しくな
いため,エラーになります。
図 16‒18 スクリプト(sample2.py)実行結果
# python sample2.py
ping start
Traceback (most recent call last):
File "sample2.py", line 7, in <module>
dict_ret = obj.exec("ping 192.0.2.1", -3)
File "/usr/local/lib/python3.2/site-packages/extlib/commandline.py", line 741, in exec
CNST.ERR_TIMER_INVALID))
ValueError: The timer value is invalid.
#
(c) コマンド実行失敗の例外が発生する例
exec メソッドでコマンド実行失敗の例外が発生したときに,インスタンスを再生成する例を次に示します。
図 16‒19 スクリプトファイル(sample3.py)記載例
# sample3.py
# -*- coding: utf-8 -*import extlib.commandline
obj = extlib.commandline.CommandLine()
<-1
<-2
retry_cnt = 0
# ユーザ応答なしコマンド(ls)
print("ls start")
while retry_cnt < 3:
try:
dict_ret = obj.exec("ls")
if dict_ret['result'] == extlib.commandline.OK:
print(dict_ret['strings'])
print("success!!")
else:
print("timeout.")
break
except extlib.commandline.ExecuteCommandError:
obj.exit()
obj = extlib.commandline.CommandLine()
print("Regenerate the instance")
retry_cnt = retry_cnt + 1
obj.exit()
<-3
<-4
<-5
<-6
<-7
<-8
1. モジュールをインポートします。
2. CommandLine クラスのインスタンスを生成します。
3. exec メソッドで,実行するコマンド(ユーザ応答なし)を指定します。
4. コマンドの実行結果を出力します。
5. exec メソッドでのコマンド実行失敗の例外を捕捉します。
6. コマンド実行状態をいったん終了します。
7. CommandLine クラスのインスタンスを再生成します。
8. コマンド実行状態を終了します。
スクリプトファイル sample3.py の実行結果を次に示します。例外が発生しても,インスタンスを再生成し
たため,運用コマンド ls が正しく実行されています。
図 16‒20 スクリプト(sample3.py)実行結果
# python sample3.py
ls start
Regenerate the instance
304
16 高機能スクリプト
file1 file2
success!!
#
(2) インスタンス生成
CommandLine クラスのインスタンスは,一つのプロセスに対して複数生成できません。インスタンスを
再生成するときは,先に,既存のインスタンスに対して exit メソッドを呼び出してください。
(3) exec メソッドでのコマンド実行
commandline モジュールの exec メソッドを使用してコマンドを実行する場合,スクリプト専用ユーザ
(ユーザ名 script)によって該当コマンドが実行されます。exec メソッドを使用したコマンド実行について
次の表に示します。
表 16‒17 exec メソッドを使用したコマンド実行
項目
説明
初期コマンド入力モード
一般ユーザモード
無効コマンド
スクリプト専用ユーザでは,次に示す運用コマンドの実行による設定変更は無効とな
ります。
• set exec-timeout
• set terminal pager
また,スクリプト専用ユーザに対する次のコンフィグレーションコマンドは,パラ
メータエラー(illegal name エラー)となります。
• username コマンドの logging-console パラメータ
• username コマンドの exec-timeout パラメータ
• username コマンドの terminal-pager パラメータ
(4) コマンド承認
本装置にコマンド承認を設定している場合,スクリプトから実行するコマンドにもコマンド承認が適用され
ます。
スクリプトから実行するコマンドは,コンフィグレーションコマンド aaa authorization commands
script の username パラメータで指定したユーザ名の権限で承認されます。なお,bypass パラメータを指
定すると,コマンド承認をしないで無条件にコマンドを実行できます。
コマンド承認についての特記事項を次に示します。
• aaa authorization commands script コマンドだけを設定しても,コマンド承認はしません。aaa
authorization commands コマンドをあわせて設定してください。ただし,RADIUS サーバによるコ
マンド承認はサポートしないため,TACACS+サーバまたはローカルによるコマンド承認の設定が必要
です。
• コンソール(RS232C)および AUX で接続した運用端末からスクリプトを起動してコマンドを実行し
た場合のコマンド承認は,aaa authorization commands console コマンドの設定に従います。
aaa authorization commands console コマンドの設定がある場合
コマンド承認の対象となります。ただし,bypass パラメータが設定されている場合は,コマンド承
認をしないですべてのコマンドが実行できます。
305
16 高機能スクリプト
aaa authorization commands console コマンドの設定がない場合
コマンド承認をしません。すべてのコマンドが実行できます。
• aaa authorization commands コマンドの設定があり,コマンド承認情報(コマンドクラスまたはコ
マンドリスト)を取得できなかった場合は,logout,exit,quit,disable,end,set terminal,show
whoami,および who am i 以外のすべてのコマンドが実行できません。コマンド承認情報を取得でき
ない例を次に示します。
• aaa authorization commands script コマンドの設定がない
• 指定したユーザ名が,TACACS+サーバまたはローカルに存在しない
• TACACS+サーバにアクセスできない
• コマンド承認情報(コマンドクラスまたはコマンドリスト)は,CommandLine クラスのインスタンス
生成時に取得します。
• コマンド承認を設定している場合,Python 標準ライブラリの os.system()などによるプログラムの起動
についても,起動制限の対象となります。プログラムを起動できるのは,次に示す場合だけです。
• aaa authorization commands コマンドの設定がない場合
• aaa authorization commands コマンドの設定があり,aaa authorization commands script コ
マンドの bypass パラメータの設定がある場合
• aaa authorization commands コマンドの設定があり,aaa authorization commands console
コマンドの設定がなく,コンソール(RS232C)または AUX で接続した運用端末から起動したスク
リプトでプログラムを起動する場合
16.4.2 システムメッセージ出力の設定
ここでは,sysmsg モジュールを使用して,指定した文字列をシステムメッセージとして出力する方法を説
明します。
sysmsg モジュールの関数一覧を次の表に示します。
表 16‒18 sysmsg モジュールの関数一覧
関数名
send
説明
システムメッセージを出力します。
(1) スクリプトファイルおよび実行結果の例
システムメッセージを出力するスクリプトファイルの例を次に示します。
図 16‒21 スクリプトファイル(test1.py)記載例
# test1.py
# -*- coding: utf-8 -*import sys
import extlib.sysmsg
try:
extlib.sysmsg.send(3, 0xfedc, 0xba9876543210,"Script Start!!")
print("send success.")
except extlib.sysmsg.MsgSendError:
print("send failed.")
sys.exit()
1. モジュールをインポートします。
2. 出力するシステムメッセージを,次のように指定します。
306
<-1
<-2
<-3
16 高機能スクリプト
• イベントレベル S3
• メッセージ識別子 3e03fedc
• 付加情報 ba9876543210
• メッセージテキスト“Script Start!!”
3. システムメッセージ出力失敗の例外を捕捉します。
スクリプトファイル test1.py の実行結果およびシステムメッセージの出力例を次に示します。
図 16‒22 スクリプト(test1.py)実行結果
# python test1.py
send success.
#
図 16‒23 システムメッセージ出力例
20XX/10/15 13:25:45 UTC 1-1(A) S3 SCRIPT 3e03fedc 00 ba9876543210 Script Start!!
16.4.3 イベント監視機能の設定
ここでは,eventmonitor モジュールを使用して,イベントを登録,削除,および受信する方法を説明しま
す。
eventmonitor モジュールは,装置やネットワークの状態などの監視と連携して,監視対象の状態変化(イ
ベント)を起動中のスクリプトに通知する機能をサポートします。イベント監視機能に関連する関数一覧を
次の表に示します。
表 16‒19 イベント監視機能に関連する関数一覧
機能種別
イベント登録
関数名
説明
regist_sysmsg
監視するシステムメッセージを登録します。
regist_cron_timer
cron タイマを登録します。
regist_interval_timer
interval タイマを登録します。
イベント削除
event_delete
登録したイベントを削除します。
イベント受信
event_receive
イベントが発生したときにイベントを受信します。
(1) スクリプトファイルの例
(a) システムメッセージをイベントとして監視する例
システムメッセージをイベントとして監視する,イベントの登録例を次に示します。
図 16‒24 スクリプト記載例 1
import sys
import extlib.eventmonitor
<-1
try:
event_sysmsg=extlib.eventmonitor.regist_sysmsg(event_level=3,
message_id=0xabcd1234,message_text="(Error|error)")
except Exception as e:
print('ERROR!! regist_sysmsg()',e)
sys.exit()
<-2
<-3
while 1:
dict = extlib.eventmonitor.event_receive(extlib.eventmonitor.BLOCK_ON, 0)
<-4
307
16 高機能スクリプト
if dict['event_id']== event_sysmsg:
print('EVENT OCCURRED!!')
<-5
1. モジュールをインポートします。
2. イベントを登録します。次の条件を満たすシステムメッセージの出力を監視します。
• イベントレベル S3
• メッセージ識別子 abcd1234
• メッセージテキストに文字列“Error”または“error”を含む
3. イベントが登録されたかどうか確認します。登録に失敗した場合,ログを出力して終了します。
4. イベント受信関数を呼び出します。
5. 戻り値を参照して,意図した値かどうか確認します。
(b) cron タイマによってイベントを監視する例
cron タイマによってイベントを監視する,イベントの登録例を次に示します。
図 16‒25 スクリプト記載例 2
import sys
import extlib.eventmonitor
try:
event_cron_timer = extlib.eventmonitor.regist_cron_timer('0 23 * * *')
except Exception as e:
print('ERROR!! regist_cron_timer ()',e)
sys.exit()
while 1:
dict = extlib.eventmonitor.event_receive(extlib.eventmonitor.BLOCK_ON, 0)
if dict['event_id']== event_cron_timer:
print('EVENT OCCURRED!!')
<-1
<-2
<-3
<-4
<-5
1. モジュールをインポートします。
2. 毎日 23 時に発生するイベントを登録します。
3. イベントが登録されたかどうか確認します。登録に失敗した場合,ログを出力して終了します。
4. イベント受信関数を呼び出します。
5. 戻り値を参照して,意図した値かどうか確認します。
(c) interval タイマによってイベントを監視する例
interval タイマによってイベントを監視する,イベントの登録例を次に示します。
図 16‒26 スクリプト記載例 3
import sys
import extlib.eventmonitor
try:
event_interval_timer = extlib.eventmonitor.regist_interval_timer(1800)
except Exception as e:
print('ERROR!! regist_interval_timer()',e)
sys.exit()
while 1:
dict = extlib.eventmonitor.event_receive(extlib.eventmonitor.BLOCK_ON, 0)
if dict['event_id']== event_interval_timer:
print('EVENT OCCURRED!!')
308
<-1
<-2
<-3
<-4
<-5
16 高機能スクリプト
1. モジュールをインポートします。
2. 1800 秒ごとに発生するイベントを登録します。
3. イベントが登録されたかどうか確認します。登録に失敗した場合,ログを出力して終了します。
4. イベント受信関数を呼び出します。
5. 戻り値を参照して,意図した値かどうか確認します。
(d) 登録したイベントを削除する例
登録したイベントを削除する例を次に示します。
図 16‒27 スクリプト記載例 4
import sys
import extlib.eventmonitor
try:
event_cron_timer = extlib.eventmonitor.regist_cron_timer('0 23 * * *')
except Exception as e:
print('ERROR!! regist_cron_timer ()',e)
sys.exit()
try:
result_dict = extlib.eventmonitor.event_delete(event_cron_timer)
print('EVENT DELETE!!')
except:
print('ERROR!! event_delete()')
<-1
<-2
<-3
<-4
<-5
1. モジュールをインポートします。
2. イベントを登録します。
3. イベントが登録されたかどうか確認します。登録に失敗した場合,ログを出力して終了します。
4. 登録したイベントの監視イベント ID を指定して,監視を停止します。
5. 停止に失敗した場合,ログを出力します。
(e) イベントを受信する例
イベントを受信する例を次に示します。
図 16‒28 スクリプト記載例 5
import sys
import extlib.eventmonitor
try:
<-1
event_cron_timer = extlib.eventmonitor.regist_cron_timer('0 23 * * *')
except Exception as e:
print('ERROR!! event_cron_timer()',e)
sys.exit()
<-2
<-3
dict = extlib.eventmonitor.event_receive(extlib.eventmonitor.BLOCK_ON , 0)
<-4
if dict['event_id']== event_cron_timer:
print('EVENT OCCURRED!! ')
<-5
1. モジュールをインポートします。
2. イベントを登録します。
3. イベントが登録されたかどうか確認します。登録に失敗した場合,ログを出力して終了します。
4. イベント受信関数を呼び出します。受信タイムアウトなしのブロッキングモードで受信します。
5. 戻り値を参照して,意図した値かどうか確認します。
309
16 高機能スクリプト
(2) 通知情報の廃棄
監視イベントの発生頻度が高い場合,イベント発生通知がスクリプトに通知される前に廃棄されることがあ
ります。イベント発生通知の流れを次の図に示します。図中の 1.および 2.の通知受信キューが満杯になる
と,廃棄が発生します。
図 16‒29 イベント発生通知の流れ
1. キューあふれ閾値は,優先度ごとに 1024 メッセージ
2. キューあふれ閾値は,スクリプトごとに 1024 メッセージ
なお,廃棄の発生有無は,運用コマンド show event manager monitor で表示されるイベント廃棄回数
(discard)で確認できます。
16.4.4 スクリプト起動契機の取得
ここでは,eventmonitor モジュールの get_exec_trigger()関数を使用して,動作中のスクリプトから,自
身が起動した要因(イベント起動スクリプトの場合は発生イベント)を取得する方法を説明します。
(1) スクリプトファイルの例
イベント起動スクリプトの起動要因(発生イベント)を取得するスクリプトファイルの例を次に示します。
図 16‒30 スクリプトファイル記載例
import sys
import extlib.eventmonitor
dict = extlib.eventmonitor.get_exec_trigger ()
if dict['type'] == extlib.eventmonitor.APPLET :
# アプレット
if dict['applet']['type'] == extlib.eventmonitor.TIMER_EVT :
# タイマイベント
<-1
<-2
<-3
<-4
if dict['applet']['condition'][extlib.eventmonitor.TIMER_TYPE] == \
extlib.eventmonitor.CRON :
310
16 高機能スクリプト
# cronタイマ
# cron監視条件の文字列を表示
print("[condition]",file=sys.stderr)
print(dict['applet']['condition'][extlib.eventmonitor.CRON],file=sys.stderr)
elif dict['applet']['condition'][extlib.eventmonitor.TIMER_TYPE] == \
extlib.eventmonitor.INTERVAL :
# intervalタイマ
# interval監視条件の文字列を表示
print("[condition]",file=sys.stderr)
print(dict['applet']['condition'][extlib.eventmonitor.INTERVAL],
file=sys.stderr)
elif dict['applet']['type'] == extlib.eventmonitor.SYSMSG_EVT :
# システムメッセージイベント
<-5
## システムメッセージ監視条件の表示
print("[condition]",file=sys.stderr)
## イベントレベル
print("SYSMSG_EVENT_LEVEL:" + str(dict['applet']['condition']
[extlib.eventmonitor.SYSMSG_EVENT_LEVEL]),file=sys.stderr)
## イベント発生要因のシステムメッセージを表示
print("[trigger system message]",file=sys.stderr)
## 発生時刻
print("SYSMSG_TIME:" + dict['applet']['trigger']
[extlib.eventmonitor.SYSMSG_TIME],file=sys.stderr)
## メッセージ識別子
print("SYSMSG_MSG_ID:" + str(hex(dict['applet']['trigger']
[extlib.eventmonitor.SYSMSG_MSG_ID])),file=sys.stderr)
sys.exit()
1. モジュールをインポートします。
2. 起動要因(発生イベント)を取得する関数を呼び出します。
3. スクリプトの起動要因がアプレット機能(イベント起動スクリプト)かどうか判定します。
4. 起動要因がタイマ監視の場合の監視条件を取得します。
5. 起動要因がシステムメッセージ監視の場合の監視条件,および起動要因となったシステムメッセージの
情報を取得します。
311
第 3 編 ネットワークインタフェース
17
イーサネット
この章では,本装置のイーサネットについて説明します。
313
17 イーサネット
17.1 接続インタフェースの解説
17.1.1 概要
本装置を使用した代表的なイーサネットの構成例を次の図に示します。各ビル間,サーバ間を 100GBASER で接続することによって,10BASE-T/100BASE-TX/1000BASE-T,1000BASE-X および 10GBASER よりもサーバ間のパフォーマンスが向上します。
図 17‒1 イーサネットの構成例
本装置は次に示すインタフェースをサポートしています。
• 10BASE-T/100BASE-TX/1000BASE-T のツイストペアケーブル(UTP)を使用したインタフェー
ス
• 1000BASE-X の光ファイバを使用したインタフェース
• 10GBASE-R の光ファイバを使用したインタフェース
314
17 イーサネット
• 100GBASE-R の光ファイバを使用したインタフェース
接続インタフェースごとの接続モードとサポート機能を次の表に示します。
表 17‒1 接続インタフェースごとの接続モードとサポート機能
接続インタフェース
10BASE-T
接続モード
サポート機能
• 半二重固定
• フローコントロール
• 全二重固定
• 自動 MDI/MDIX 機
• 半二重または全二重のオートネゴシエーション
100BASE-TX
1000BASE-T
能
• 半二重固定
• フローコントロール
• 全二重固定
• 半二重または全二重のオートネゴシエーション
• 自動 MDI/MDIX 機
能
• 全二重のオートネゴシエーション
• フローコントロール
• ジャンボフレーム
• 自動 MDI/MDIX 機
能
• ジャンボフレーム
1000BASE-X
10GBASE-R
• 全二重固定
• フローコントロール
• 全二重のオートネゴシエーション
• ジャンボフレーム
• 全二重固定
• フローコントロール
• ジャンボフレーム
100GBASE-R
• 全二重固定
• フローコントロール
• ジャンボフレーム
17.1.2 10BASE-T/100BASE-TX/1000BASE-T
10BASE-T/100BASE-TX/1000BASE-T のツイストペアケーブル(UTP)を使用したインタフェース
について説明します。
(1) 接続インタフェース
10BASE-T/100BASE-TX/1000BASE-T ではオートネゴシエーション(自動認識機能)と固定接続機能
をサポートしています。接続方法と対応するインタフェースについて次の表に示します。
表 17‒2 接続方法と対応するインタフェース
接続方法
接続インタフェース
オートネゴシエーション
10BASE-T,100BASE-TX,1000BASE-T(全二重)
固定接続
10BASE-T,100BASE-TX
コンフィグレーションでは次のモードを指定できます。接続するネットワークに合わせて設定してくださ
い。本装置のデフォルト値は,オートネゴシエーションになります。
• オートネゴシエーション
• 100BASE-TX 全二重固定
315
17 イーサネット
• 100BASE-TX 半二重固定
• 10BASE-T 全二重固定
• 10BASE-T 半二重固定
オートネゴシエーションは,伝送速度,全二重/半二重,およびフローコントロールについて,対向装置間
でやりとりをして接続動作を決定する機能です。本装置では,ネゴシエーションで解決できなかった場合,
リンク接続されるまで接続動作を繰り返します。
(2) 接続仕様
本装置のコンフィグレーションでの指定値と相手装置の伝送速度および,全二重および半二重モードの接続
仕様を次の表に示します。
10BASE-T および 100BASE-TX は,相手装置によってオートネゴシエーションでは接続できない場合が
あるため,できるだけ相手装置のインタフェースに合わせた固定設定にしてください。
1000BASE-T は,全二重のオートネゴシエーションだけの接続となります。
表 17‒3 伝送速度および,全二重および半二重モードごとの接続仕様
相手装置
設定
固定
本装置の設定
固定
オート
インタフェー
ス
10BASE-T
10BASE-T
100BASE-TX
100BASE-TX
半二重
全二重
半二重
全二重
10BASE-T
10BASE-T
×
×
×
半二重
半二重
10BASE-T
×
全二重
100BASE-TX
10BASE-T
×
×
×
100BASE-TX
×
100BASE-TX
全二重
×
×
半二重
×
×
×
全二重
1000BASE-T
10BASE-T
半二重
半二重
100BASE-TX
ネゴシエーショ
ン
半二重
100BASE-TX
×
全二重
×
×
×
×
×
×
×
×
×
×
×
×
×
10BASE-T
半二重
1000BASE-T
全二重
316
オート
10BASE-T
10BASE-T
ネゴシ
エーショ
ン
半二重
半二重
10BASE-T
×
半二重
×
×
×
全二重
10BASE-T
全二重
10BASE-T
10BASE-T
全二重および
半二重
半二重
100BASE-TX
×
×
×
×
10BASE-T
全二重
×
100BASE-TX
×
100BASE-TX
17 イーサネット
相手装置
設定
インタフェー
ス
本装置の設定
固定
10BASE-T
10BASE-T
100BASE-TX
100BASE-TX
半二重
全二重
半二重
全二重
半二重
100BASE-TX
オート
半二重
×
×
×
半二重
×
全二重
100BASE-TX
ネゴシエーショ
ン
100BASE-TX
全二重
×
×
全二重および
半二重
100BASE-TX
×
半二重
10BASE-T/
10BASE-T
100BASE-TX
半二重
×
100BASE-TX
100BASE-TX
全二重
×
半二重
100BASE-TX
全二重
全二重および
半二重
1000BASE-T
×
×
×
×
×
×
×
×
×
1000BASE-T
半二重
1000BASE-T
全二重
1000BASE-T
全二重
×
×
×
×
全二重および
半二重
1000BASE-T
全二重
10BASE-T/
10BASE-T
100BASETX/
半二重
×
100BASE-TX
×
半二重
1000BASE-T
全二重
1000BASE-T
全二重および
半二重
(凡例) ×:接続できない
(3) 自動 MDI/MDIX 機能
自動 MDI/MDIX 機能は,MDI と MDI-X を自動的に切り替える機能です。これによって,クロスケーブ
ルまたはストレートケーブルどちらでも通信できるようになります。オートネゴシエーション時だけサ
ポートします。半二重および全二重固定時は MDI となります。MDI/MDI-X のピンマッピングを次の表
に示します。
表 17‒4 MDI/MDI-X のピンマッピング
MDI
RJ45
MDI-X
Pin No.
1000BASE-T
100BASE-TX
10BASE-T
1000BASE-T
100BASE-TX
10BASE-T
1
BI_DA +
TD +
TD +
BI_DB +
RD +
RD +
2
BI_DA−
TD−
TD−
BI_DB−
RD−
RD−
317
17 イーサネット
MDI
RJ45
MDI-X
Pin No.
1000BASE-T
100BASE-TX
10BASE-T
1000BASE-T
100BASE-TX
10BASE-T
3
BI_DB +
RD +
RD +
BI_DA +
TD +
TD +
4
BI_DC +
Unused
Unused
BI_DD +
Unused
Unused
5
BI_DC−
Unused
Unused
BI_DD−
Unused
Unused
6
BI_DB−
RD−
RD−
BI_DA−
TD−
TD−
7
BI_DD +
Unused
Unused
BI_DC +
Unused
Unused
8
BI_DD−
Unused
Unused
BI_DC−
Unused
Unused
注1
10BASE-T と 100BASE-TX では,送信(TD)と受信(RD)信号は別々の信号線を使用しています。
注2
1000BASE-T では,8 ピンすべてを送信と受信が同時双方向(bi-direction)通信するため,信号名表記が異なりま
す。(BI_Dx:双方向データ信号)
(4) 10BASE-T/100BASE-TX/1000BASE-T 用 SFP
本装置では,専用の SFP を使用することで,1000BASE-X(SFP)ポートで 10BASE-T/100BASE-TX/
1000BASE-T の接続ができます。通信機能については,10BASE-T/100BASE-TX/1000BASE-T ポート
と,SFP による接続で違いはありません。
(5) 接続時の注意事項
• 伝送速度,および全二重/半二重が相手装置と不一致の場合,接続できないので注意してください。
不一致の状態で通信すると,以降の通信が停止することがあります。この場合,該当ポートに対して運
用コマンド inactivate および activate を実行してください。
• 使用するケーブルについては,「ハードウェア取扱説明書」を参照してください。
• 全二重インタフェースはコリジョン検出とループバック機能をしないことによって実現しています。
このため,10BASE-T または 100BASE-TX を全二重インタフェース設定で使用する場合,相手接続
ポートは必ず全二重インタフェースに設定して接続してください。
17.1.3 1000BASE-X
1000BASE-X の光ファイバを使用したインタフェースについて説明します。
(1) 接続インタフェース
1000BASE-SX,1000BASE-SX2,1000BASE-LX,1000BASE-LH,および 1000BASE-BX をサポート
しています。回線速度は 1000Mbit/s 全二重固定です。
1000BASE-SX
短距離間を接続するために使用します(マルチモード,最大 550m)。
1000BASE-SX2
マルチモード光ファイバを使用して 2km の伝送距離を実現します(マルチモード,最大 2km)。
1000BASE-LX
中距離間を接続するために使用します(シングルモード,最大 5km/マルチモード,最大 550m)。
318
17 イーサネット
1000BASE-LH
長距離間を接続するために使用します(シングルモード,最大 70km)。
1000BASE-BX
送受信で異なる波長の光を使用するため,アップ側とダウン側で 1 対となるトランシーバを使用しま
す。
本装置では,IEEE802.3ah で規定されている 1000BASE-BX10-D/1000BASE-BX10-U と,独自規格
の 1000BASE-BX40-D/1000BASE-BX40-U をサポートします。
1000BASE-BX10-D/1000BASE-BX10-U
中距離間を接続するために使用します(シングルモード,最大 10km)。
1000BASE-BX40-D/1000BASE-BX40-U
長距離間を接続するために使用します(シングルモード,最大 40km)。
コンフィグレーションでは次のモードを指定できます。接続するネットワークに合わせて設定してくださ
い。本装置のデフォルト値は,オートネゴシエーションになります。
• オートネゴシエーション
• 1000BASE-X 全二重固定
オートネゴシエーションは,全二重およびフローコントロールについて,対向装置間でやりとりをして接続
動作を決定する機能です。本装置では,ネゴシエーションで解決できなかった場合,リンク接続されるまで
接続動作を繰り返します。
(2) 接続仕様
本装置のコンフィグレーションでの指定値と相手装置の伝送速度および,全二重および半二重モードの接続
仕様を次の表に示します。なお,1000BASE-X の物理仕様については,
「ハードウェア取扱説明書」を参照
してください。
表 17‒5 伝送速度および,全二重および半二重モードごとの接続仕様
相手装置
設定
固定
本装置の設定
固定
オートネゴシエーション
1000BASE 全二重
1000BASE 全二重
×
×
1000BASE
1000BASE
×
全二重
全二重
1000BASE
×
×
×
1000BASE
インタフェース
1000BASE
半二重
オートネゴシエー
ション
半二重
1000BASE
全二重
全二重
(凡例) ×:接続できない
(3) 接続時の注意事項
• 相手装置をオートネゴシエーションまたは全二重固定に設定してください。
319
17 イーサネット
• 「ハードウェア取扱説明書」に示すトランシーバ以外を使用した場合の動作は保証できません。
17.1.4 10GBASE-R
10GBASE-R の光ファイバを使用したインタフェースについて説明します。
(1) 接続インタフェース
10GBASE-SR,10GBASE-LR,10GBASE-ER,および 10GBASE-ZR をサポートしています。回線速度
は 10Gbit/s 全二重固定です。
10GBASE-SR
短距離間を接続するために使用します(マルチモード,伝送距離:最大 300m※)。
注※
伝送距離は使用するケーブルによって異なります。ケーブルごとの伝送距離は,
「ハードウェア取扱
説明書」を参照してください。
10GBASE-LR
中距離間を接続するために使用します(シングルモード,伝送距離:最大 10km)。
10GBASE-ER
長距離間を接続するために使用します(シングルモード,伝送距離:最大 40km)。
10GBASE-ZR
長距離間を接続するために使用します(シングルモード,伝送距離:最大 80km)。
(2) 接続仕様
本装置の物理仕様については,「ハードウェア取扱説明書」を参照してください。
(3) 接続時の注意事項
• 「ハードウェア取扱説明書」に示すトランシーバ以外を使用した場合の動作は保証できません。
• 10GBASE-ZR は IEEE802.3ae 規格にないベンダー独自仕様のため,他ベンダーの装置と接続した場
合の動作は保証できません。
17.1.5 100GBASE-R
100GBASE-R の光ファイバを使用したインタフェースについて説明します。
(1) 接続インタフェース
100GBASE-LR4 をサポートしています。回線速度は 100Gbit/s で,全二重固定です。
100GBASE-LR4
中距離間を接続するために使用します(シングルモード,伝送距離:最大 10km)。
(2) 接続仕様
本装置の物理仕様については,「ハードウェア取扱説明書」を参照してください。
320
17 イーサネット
(3) 接続時の注意事項
• 「ハードウェア取扱説明書」に示すトランシーバ以外を使用した場合の動作は保証できません。
321
17 イーサネット
17.2 イーサネット共通の解説
17.2.1 フローコントロール
フローコントロールは,装置内の受信バッファ枯渇でフレームを廃棄しないように,ポーズパケットで相手
装置にフレームの送信を一時的に停止指示する機能です。自装置がポーズパケットを受信すると送信規制
をします。この機能は全二重だけサポートします。
(1) フローコントロールの設定と動作
本装置では受信バッファの使用状況を監視して,相手装置の送信規制をする場合にポーズパケットを送信し
ます。相手装置は,ポーズパケットを受信して送信規制できる必要があります。相手装置からのポーズパ
ケットを受信したとき,本装置が送信規制するかどうかは設定に従います。
フローコントロールは,コンフィグレーションコマンド flowcontrol で設定します。送信と受信でそれぞ
れ,次に示すモードから選択できます。
• 有効
• 無効
• ネゴシエーション結果によって動作を決定
なお,本装置と相手装置の設定を送信と受信が一致するように合わせてください。
本装置のポーズパケット送信の設定と相手装置の設定を組み合わせたときのフローコントロール動作を,次
の表に示します。
表 17‒6 ポーズパケットの送信設定とフローコントロール動作
本装置の
ポーズパケット送信
(send パラメータ)
相手装置の
フローコントロール動作
ポーズパケット受信
on
有効
相手装置が送信規制をする
off
無効
相手装置が送信規制をしない
desired
Desired
相手装置が送信規制をする
(凡例) Desired:ネゴシエーション結果によって動作を決定するモード
本装置のポーズパケット受信の設定と相手装置の設定を組み合わせたときのフローコントロール動作を,次
の表に示します。
表 17‒7 ポーズパケットの受信設定とフローコントロール動作
本装置の
ポーズパケット受信
(receive パラメータ)
322
相手装置の
ポーズパケット送信
フローコントロール動作
on
有効
本装置が送信規制をする
off
無効
本装置が送信規制をしない
desired
Desired
本装置が送信規制をする
17 イーサネット
(凡例) Desired:ネゴシエーション結果によって動作を決定するモード
本装置の設定が off で相手装置が Desired の場合,および本装置の設定が desired の場合は,オートネゴシ
エーション使用時のフローコントロール動作はネゴシエーション結果に従います。
(2) オートネゴシエーション使用時のフローコントロール動作
本装置では,オートネゴシエーションに対応したインタフェースでオートネゴシエーション使用時に,相手
装置とポーズパケットを送受信するかどうかを折衝できます。オートネゴシエーション使用時のフローコ
ントロール動作を次の表に示します。
表 17‒8 オートネゴシエーション時のフローコントロール動作
本装置
本装置のオートネゴシ
エーション結果
相手装置
(パラメータ)
フローコントロール動
作
ポーズパ
ケット送信
ポーズパ
ケット受信
ポーズパ
ケット送信
ポーズパ
ケット受信
ポーズパ
ケット送信
ポーズパ
ケット受信
本装置の
送信規制
相手装置の
送信規制
on
desired
有効
有効
on
on
する
する
無効
on
off
しない
しない
Desired
on
on
する
する
有効
on
on
しない
する
無効
on
off
しない
しない
Desired
on
on
する
する
有効
on
on
する
する
無効
on
off
しない
しない
Desired
on
on
する
する
有効
on
on
する
する
無効
off
on
する
しない
Desired
on
on
する
する
有効
on
on
しない
する
無効
off
off
しない
しない
Desired
on
on
する
する
有効
on
on
する
する
無効
off
on
する
しない
Desired
on
on
する
する
有効
on
on
する
する
無効
off
on
する
しない
Desired
on
on
する
する
有効
on
on
しない
する
無効
Desired
off
有効
無効
Desired
desired
on
有効
無効
323
17 イーサネット
本装置
ポーズパ
ケット送信
ポーズパ
ケット受信
本装置のオートネゴシ
エーション結果
相手装置
(パラメータ)
ポーズパ
ケット送信
ポーズパ
ケット受信
ポーズパ
ケット送信
ポーズパ
ケット受信
本装置の
送信規制
相手装置の
送信規制
無効
off
on
しない
しない
Desired
on
on
する
する
有効
on
on
する
する
無効
off
on
しない
しない
Desired
on
on
する
する
有効
off
off
しない
しない
無効
off
off
しない
しない
Desired
off
off
しない
しない
有効
on
off
しない
する
無効
off
off
しない
しない
Desired
on
off
しない
する
有効
off
off
しない
しない
無効
off
off
しない
しない
Desired
off
off
しない
しない
有効
on
on
する
する
無効
off
off
しない
しない
Desired
on
on
する
する
有効
on
on
しない
する
無効
off
off
しない
しない
Desired
on
on
する
する
有効
on
on
する
する
無効
off
off
しない
しない
Desired
on
on
する
する
Desired
off
有効
無効
Desired
desired
有効
無効
Desired
(凡例)
Desired:ネゴシエーション結果によって動作を決定するモード
on:ポーズパケットを送信する
off:ポーズパケットを送信しない
17.2.2 フレームフォーマット
フレームフォーマットを次の図に示します。
324
フローコントロール動
作
17 イーサネット
図 17‒2 フレームフォーマット
注※
DATA および PAD の最大長は,Ethernet V2 形式フレームだけ 9582 です。IEEE802.3 形式フレー
ムおよびその他の形式のフレームでは 1500 です。
(1) MAC 副層フレームフォーマット
(a) Preamble および SFD
64 ビット長の 2 進数で「1010...1011(最初の 62 ビットは 10 繰り返し,最後の 2 ビットは 11)」のデー
タです。送信時にフレームの先頭に付加します。この 64 ビットパターンのないフレームは受信できませ
ん。
(b) DA および SA
48 ビット形式をサポートします。16 ビット形式およびローカルアドレスはサポートしていません。
(c) TYPE/LENGTH
TYPE/LENGTH フィールドの意味を次の表に示します。
表 17‒9 TYPE/LENGTH フィールドの意味
TYPE/LENGTH 値
フィールドの意味
0x0000〜0x05DC
IEEE802.3 CSMA/CD のフレーム長
0x05DD〜
Ethernet V2 のフレームタイプ
(d) FCS
32 ビットの CRC 演算を使用します。
(2) LLC 副層フレームフォーマット
IEEE802.2 の LLC タイプ 1 をサポートしています。Ethernet V2 では LLC 副層はありません。
325
17 イーサネット
(a) DSAP
LLC 情報部の宛先のサービスアクセス点を示します。
(b) SSAP
LLC 情報部を発信した特定のサービスアクセス点を示します。
(c) CONTROL
情報転送形式,監視形式,および非番号制御形式の三つの形式を示します。
(d) OUI
SNAP 情報部を発信した組織コードフィールドを示します。
(e) PID
SNAP 情報部を発信したイーサネットタイプフィールドを示します。
(3) LLC の扱い
IEEE802.2 の LLC タイプ 1 をサポートしています。また,次に示す条件に合致したフレームだけを中継の
対象にします。それ以外のフレームは,廃棄します。
(a) CONTROL フィールド
CONTROL フィールドの値と送受信サポート内容を次の表に示します。
表 17‒10 CONTROL フィールドの値と送受信サポート内容
種別
コード
コマンド
(16 進数)
レスポンス
備考
XID
BF または
AF
受信サポート
送信サポート
IEEE802.2 の仕様に従って,XID レスポンスを返
送します。ただし,XID レスポンスの情報部は
129.1.0(IEEE802.2 の規定による ClassI を示す
値)とします。
TEST
F3 または
E3
受信サポート
送信サポート
IEEE802.2 の仕様に従って,TEST レスポンスを
返送します。
この XID フレームおよび TEST フレームに対するレスポンスについて,次の表に示します。
表 17‒11 XID フレームおよび TEST フレームに対するレスポンス
MAC ヘッダの DA
ブロードキャストまたはマルチキャスト
フレーム種別
XID および TEST
DSAP
AA(SNAP)
応答
返す
42(BPDU)
00(null)
FF(global)
個別アドレスで自局アドレス
XID および TEST
上記以外
返さない
AA(SNAP)
返す
42(BPDU)
326
17 イーサネット
MAC ヘッダの DA
フレーム種別
DSAP
応答
00(null)
FF(global)
個別アドレスで他局アドレス
XID および TEST
上記以外
返さない
すべてのアドレス
返さない
(4) 受信フレームの廃棄条件
次に示すどれかの条件によって受信したフレームを廃棄します。
• フレーム長がオクテットの整数倍ではない
• 受信フレーム長(DA〜FCS)が 64 オクテット未満,または 1523 オクテット以上
ただし,ジャンボフレーム選択時は,指定したフレームサイズを超えた場合
• FCS エラー
• 接続インタフェースが半二重の場合は,受信中に衝突が発生したフレーム
(5) パッドの扱い
送信フレーム長が 64 オクテット未満の場合,MAC 副層で FCS の直前にパッドを付加します。パッドの値
は不定です。
17.2.3 VLAN Tag
(1) 概要
IEEE802.1Q 規定による VLAN Tag(イーサネットフレーム中に Tag と呼ばれる識別子を挿入する方法)
を使用して,VLAN ID,および QoS のプライオリティを識別できます。
VLAN Tag は,VLAN のトランクポート,およびイーサネットサブインタフェースまたはポートチャネル
サブインタフェースに VLAN Tag の VLAN ID を割り当てて,VLAN ID ごとに異なるインタフェースと
して使用します。
(2) プロトコル仕様
VLAN Tag はイーサネットフレームに Tag と呼ばれる識別子を埋め込むことで,VLAN 情報(VLAN
ID)を離れたセグメントへ伝えられます。
Tagged フレームのフォーマットを次の図に示します。VLAN Tag を挿入するイーサネットフレームの
フォーマットには,Ethernet V2 フォーマットと IEEE802.3 フォーマットの 2 種類があります。
327
17 イーサネット
図 17‒3 Tagged フレームのフォーマット
VLAN Tag のフィールドの説明を次の表に示します。
表 17‒12 VLAN Tag のフィールド
フィールド
説明
本装置での扱い
IEEE802.1Q VLAN Tag が続くことを示
す EtherType 値を示します。
装置またはポートごとに任意の値を設定で
きます。
User Priority
IEEE802.1D のプライオリティを示しま
す。
コンフィグレーションで 8 段階のプライ
オリティレベルを選択できます。VLAN
ID = 0 を受信した場合は,User Priority
を識別します。
CF
MAC ヘッダ内の MAC アドレスが標準
フォーマットに従っているかどうかを示し
ます。
IEEE802.1Q で規定の標準(0)かどうか
の識別はしません。
TPID
(Tag Protocol ID)
(Canonical Format)
• 自発パケットは常に標準(0)です。
• レイヤ 2 中継する Tag の CF ビットを
引き継ぎます。
VLAN ID
328
VLAN ID を示します。
ユーザが使用できる VLAN ID は 1〜
4095 です。VLAN ID = 0 を受信した場
合は,Untagged フレームと同様の扱いに
なります。VLAN ID = 0 は送信しませ
ん。
17 イーサネット
(3) TPID
VLAN Tag の TPID(Tag Protocol IDentifier)値は,装置のデフォルトでは 0x8100 を使用します。コ
ンフィグレーションコマンド dot1q ethertype で任意の TPID 値を装置に,コンフィグレーションコマン
ド dot1q-ethertype で任意の TPID 値をポート単位に設定できます。装置およびポート単位の両方を設定
した場合は,ポート単位の TPID 値が優先されます。
コンフィグレーションコマンドの設定(装置とポート単位の組み合わせ)と,該当ポートでの受信許容
TPID 値および送信 TPID 値の対応を次の表に示します。
表 17‒13 コンフィグレーションコマンドの設定と該当ポートでの TPID 値の対応
コマンドの設定
装置
ポートのフレーム送受信の TPID 値
ポート単位
受信許容 TPID 値
送信 TPID 値
設定なし
設定なし
0x8100
0x8100
任意の値
設定なし
装置の任意の値,0x8100
装置の任意の値
設定なし
任意の値
ポート単位の任意の値,0x8100
ポート単位の任意の値
任意の値
任意の値
ポート単位の任意の値,0x8100
ポート単位の任意の値
TPID 値はフレーム上で,Untagged フレームの EtherType と同じ位置を使用します。そのため,IPv4 の
EtherType である 0x0800 など,EtherType として使用している値を設定するとネットワークが正しく構
築できないおそれがあります。TPID 値には EtherType 値として使用していない値を設定してください。
17.2.4 ジャンボフレーム
ジャンボフレームは,フレームフォーマットの MAC ヘッダから DATA が 1518 オクテットを超えるフ
レームを中継するための機能です。コンフィグレーションコマンド ip mtu の MTU 長を合わせて変更す
ることで,IP パケットをフラグメント化するサイズを大きくすることもできます。
本装置では,Ethernet V2 形式フレームだけをサポートします。IEEE802.3 形式フレームはサポートして
いません。ジャンボフレームのサポート機能を次の表に示します。
表 17‒14 ジャンボフレームサポート機能
項目
フレーム形式
Ethernet V2
IEEE802.3
1519〜9596
×
受信機能
○
×
送信機能
○
×
フレーム長
備考
MAC ヘッダから DATA の長さ。FCS は含みません。
(オクテット)
IEEE802.3 フレームは,LENGTH フィールド値が 0x05DD
(1501 オクテット)以上の場合に廃棄します。
IEEE802.3 フレームは送信しません。
(凡例) ○:サポート ×:未サポート
なお,10BASE-T/100BASE-TX/1000BASE-T では,100BASE-TX(全二重),1000BASE-T(全二
重)だけをサポートします。
329
17 イーサネット
17.3 コンフィグレーション
17.3.1 コンフィグレーションコマンド一覧
イーサネットのコンフィグレーションコマンド一覧を次の表に示します。
表 17‒15 コンフィグレーションコマンド一覧
コマンド名
説明
bandwidth
帯域幅を設定します。
description
補足説明を設定します。
dot1q ethertype
本装置が付ける VLAN Tag の TPID 値を設定します。
dot1q-ethertype
ポートが付ける VLAN Tag の TPID 値を設定します。
duplex
全二重/半二重を設定します。
flowcontrol
フローコントロールを設定します。
frame-error-notice
フレーム受信エラーおよびフレーム送信エラー発生時のエラーの通知条
件を設定します。
interface gigabitethernet
10BASE-T/100BASE-TX/1000BASE-T/1000BASE-X のコンフィグ
レーションを指定します。
interface hundredgigabitethernet
100GBASE-R のコンフィグレーションを指定します。
interface tengigabitethernet
10GBASE-R のコンフィグレーションを指定します。
link debounce
リンクダウン検出時間を設定します。
link up-debounce
リンクアップ検出時間を設定します。
mdix auto
自動 MDI/MDIX 機能を設定します。
mtu
イーサネットの最大フレーム長を設定します。
shutdown
イーサネットをシャットダウンします。
speed
速度を設定します。
system mtu
イーサネットの最大フレーム長の装置としての値を設定します。
17.3.2 イーサネットインタフェースの設定
イーサネットインタフェースは,接続するインタフェースに対応するコマンドで該当するモードに移行して
から,コンフィグレーションを設定します。接続インタフェースとモード移行コマンドの対応を次の表に示
します。
表 17‒16 接続インタフェースとモード移行コマンドの対応
接続インタフェース
330
モード移行コマンド
10BASE-T,100BASE-TX,1000BASE-T,1000BASE-X
interface gigabitethernet
10GBASE-R
interface tengigabitethernet
17 イーサネット
接続インタフェース
100GBASE-R
モード移行コマンド
interface hundredgigabitethernet
(1) インタフェースに対するコンフィグレーションの設定
[設定のポイント]
イーサネットのコンフィグレーションでは,複数のコマンドでコンフィグレーションを設定することが
あります。そのとき,コンフィグレーションの設定が完了していない状態でイーサネットがリンクアッ
プ状態になると期待した通信ができません。したがって,最初にイーサネットをシャットダウンしてか
ら,コンフィグレーションの設定が完了したあとにイーサネットのシャットダウンを解除することを推
奨します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10
イーサネットインタフェース 1/10 のコンフィグレーションモードに移行します。
2. (config-if)# shutdown
イーサネットインタフェースをシャットダウンします。
3. (config-if)# *****
イーサネットインタフェースに対するコンフィグレーションを設定します。
4. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
(2) インタフェースのシャットダウン
イーサネットをシャットダウンするには,該当するイーサネットインタフェースのコンフィグレーション
モードに移行して,shutdown コマンドを実行します。使用しないポートはシャットダウンしておいてくだ
さい。また,この設定によってポートの電力を OFF にします。
なお,運用コマンド inactivate でイーサネットの運用を停止することもできます。ただし,inactivate コ
マンドで inactive 状態とした場合は,装置を再起動するとイーサネットが active 状態になります。イーサ
ネットをシャットダウンした場合は,装置を再起動してもイーサネットは disable 状態のままとなり,
active 状態にするためにはコンフィグレーションで no shutdown を設定してシャットダウンを解除する
必要があります。
17.3.3 複数インタフェースの一括設定
[設定のポイント]
イーサネットのコンフィグレーションでは,複数のインタフェースに同じ情報を設定することがありま
す。このような場合,複数のインタフェースを range 指定すると,情報を一括して設定できます。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/1-4, gigabitethernet 1/7-12, tengigabitethernet
3/1
ギガビットイーサネットのインタフェース 1/1 から 1/4,1/7 から 1/12,および 10 ギガビットイー
サネットのインタフェース 3/1 のコンフィグレーションモードに移行します。
2. (config-if-range)# *****
331
17 イーサネット
複数のインタフェースに同じコンフィグレーションを一括して設定します。
17.3.4 速度と全二重/半二重の設定
本装置の 10BASE-T/100BASE-TX/1000BASE-T ポートおよび 1000BASE-X ポートは,デフォルトで
はオートネゴシエーションを使用します。オートネゴシエーションを使用しない場合は,回線速度と全二重
/半二重を設定します。
なお,回線速度と全二重/半二重が正しい組み合わせで設定されていない場合は,オートネゴシエーション
で相手装置と接続します。
(1) 回線速度と全二重/半二重を固定して相手装置と接続する場合
[設定のポイント]
オートネゴシエーションを使用しない場合は,回線速度と全二重/半二重を指定して,固定設定で接続
します。
ここでは,1000BASE-X ポートで,1000Mbit/s 全二重固定で相手装置と接続する場合の設定例を示し
ます。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/1
(config-if)# shutdown
(config-if)# speed 1000
(config-if)# duplex full
イーサネットインタフェースをシャットダウンして,相手装置と 1000Mbit/s 全二重固定で接続する設
定をします。
2. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
(2) オートネゴシエーションに対応していない相手装置と接続する場合
[設定のポイント]
10BASE-T および 100BASE-TX では,相手装置によってはオートネゴシエーションで接続できない場
合があります。その場合は,相手装置に合わせて回線速度と全二重/半二重を指定して,固定設定で接
続します。
ここでは,10BASE-T/100BASE-TX/1000BASE-T ポートで,10BASE-T 半二重固定で相手装置と接
続する場合の設定例を示します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10
(config-if)# shutdown
(config-if)# speed 10
(config-if)# duplex half
イーサネットインタフェースをシャットダウンして,相手装置と 10BASE-T 半二重固定で接続する設
定をします。
2. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
332
17 イーサネット
(3) オートネゴシエーションでも特定の速度を使用して相手装置と接続する場合
[設定のポイント]
本装置は,オートネゴシエーションで接続する場合でも,回線速度を設定できます。オートネゴシエー
ションに加えて回線速度を設定した場合,相手装置とオートネゴシエーションで接続しても,設定され
た回線速度にならないときはリンクがアップしません。そのため,10BASE-T/100BASE-TX/
1000BASE-T ポート使用時に意図しない回線速度で接続されることを防止できます。
ここでは,10BASE-T/100BASE-TX/1000BASE-T ポートで,オートネゴシエーションを使用して
も,回線速度は 1000Mbit/s だけで相手装置と接続する場合の設定例を示します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10
(config-if)# shutdown
(config-if)# speed auto 1000
イーサネットインタフェースをシャットダウンして,相手装置との接続にオートネゴシエーションを使
用しても,回線速度は 1000Mbit/s だけで接続する設定をします。
2. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
17.3.5 自動 MDI/MDIX 機能の設定
本装置の 10BASE-T/100BASE-TX/1000BASE-T ポートは,自動 MDI/MDIX 機能をサポートしていま
す。そのため,オートネゴシエーション時に,ケーブルのストレートまたはクロスに合わせて自動的に MDI
設定が切り替わり通信できます。また,自動 MDI/MDIX 機能を無効にすることで,MDI 設定を MDI に
固定できます。
[設定のポイント]
MDI 設定を MDI に固定する場合は,固定したいインタフェースで自動 MDI/MDIX 機能を無効にし
ます。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/24
イーサネットインタフェース 1/24 のコンフィグレーションモードに移行します。
2. (config-if)# no mdix auto
(config-if)# exit
自動 MDI/MDIX 機能を無効にして,MDI 設定を MDI に固定します。
17.3.6 フローコントロールの設定
[設定のポイント]
フローコントロールの設定内容は,相手装置と矛盾しないように決定してください。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10
(config-if)# shutdown
(config-if)# flowcontrol send on
333
17 イーサネット
(config-if)# flowcontrol receive on
イーサネットインタフェースをシャットダウンして,相手装置とのポーズパケット送受信を有効にしま
す。
2. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
17.3.7 VLAN Tag の TPID 値の設定
(1) 装置の TPID 値の設定
[設定のポイント]
装置の TPID 値を 0x9100 に設定します。全ポートで VLAN Tag を 0x9100 として動作します。
[コマンドによる設定]
1. (config)# dot1q ethertype 9100
グローバルコンフィグレーションモードで装置の TPID 値を 0x9100 に設定します。
(2) ポート単位の TPID 値の設定
[設定のポイント]
イーサネットインタフェース 1/1 の TPID 値を 0xa100 に設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/1
イーサネットインタフェース 1/1 のコンフィグレーションモードに移行します。
2. (config-if)# dot1q-ethertype a100
イーサネットインタフェース 1/1 の TPID 値を 0xa100 に設定します。
17.3.8 ジャンボフレームの設定
イーサネットインタフェースの最大フレーム長(MAC ヘッダから DATA まで)は規格上 1518 オクテッ
トです。本装置は,ジャンボフレームを使用して最大フレーム長を拡張して,一度に転送するデータ量を大
きくすることでスループットを向上できます。
ジャンボフレームを使用するポートでは最大フレーム長を設定します。ポートの最大フレーム長の設定値
は,ネットワークおよび相手装置と合わせて決定します。
(1) ポート単位の最大フレーム長の設定
[設定のポイント]
ポート 1/10 のポートの最大フレーム長を 8192 オクテットに設定します。この設定によって,8192
オクテットまでのジャンボフレームを送受信できるようになります。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10
(config-if)# shutdown
(config-if)# mtu 8192
334
17 イーサネット
イーサネットインタフェースをシャットダウンして,ポートの最大フレーム長を 8192 オクテットに設
定します。
2. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
[注意事項]
コンフィグレーションでポートの最大フレーム長を設定していても,10BASE-T または 100BASE-TX
半二重で接続する場合(オートネゴシエーションの結果が 10BASE-T または 100BASE-TX 半二重に
なった場合も含みます)は,ポートの最大フレーム長は 1518 オクテットになります。
(2) 全ポート共通の最大フレーム長の設定
[設定のポイント]
本装置の全イーサネットインタフェースでポートの最大フレーム長を 4096 オクテットに設定します。
この設定によって,4096 オクテットまでのジャンボフレームを送受信できるようになります。
[コマンドによる設定]
1. (config)# system mtu 4096
装置の全ポートで,ポートの最大フレーム長を 4096 オクテットに設定します。
[注意事項]
コンフィグレーションでポートの最大フレーム長を設定していても,10BASE-T または 100BASE-TX
半二重で接続する場合(オートネゴシエーションの結果が 10BASE-T または 100BASE-TX 半二重に
なった場合も含みます)は,ポートの最大フレーム長は 1518 オクテットになります。
17.3.9 リンクダウン検出タイマの設定
リンク障害を検出してからリンクダウンするまでのリンクダウン検出時間が短い場合,相手装置によっては
リンクが不安定になることがあります。このような場合,リンクダウン検出タイマを設定すると,リンクが
不安定になることを防げます。
[設定のポイント]
リンクダウン検出時間は,リンクが不安定にならない範囲でできるだけ短い値にします。リンクダウン
検出時間を設定しなくてもリンクが不安定にならない場合は,リンクダウン検出時間を設定しないでく
ださい。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10
イーサネットインタフェース 1/10 のコンフィグレーションモードに移行します。
2. (config-if)# link debounce time 5000
リンクダウン検出タイマを 5000 ミリ秒に設定します。
[注意事項]
リンクダウン検出時間を設定すると,リンクが不安定になることを防げますが,障害が発生した場合に
リンクダウンするまでの時間が長くなります。リンク障害を検出してからリンクダウンするまでの時
間を短くしたい場合は,リンクダウン検出タイマを設定しないでください。
335
17 イーサネット
17.3.10 リンクアップ検出タイマの設定
リンク障害回復を検出してからリンクアップするまでのリンクアップ検出時間が短い場合,相手装置によっ
てはネットワーク状態が不安定になることがあります。このような場合,リンクアップ検出タイマを設定す
ると,ネットワーク状態が不安定になることを防げます。
[設定のポイント]
リンクアップ検出時間は,ネットワーク状態が不安定にならない範囲でできるだけ短い値にします。リ
ンクアップ検出時間を設定しなくてもネットワーク状態が不安定にならない場合は,リンクアップ検出
時間を設定しないでください。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10
イーサネットインタフェース 1/10 のコンフィグレーションモードに移行します。
2. (config-if)# link up-debounce time 5000
リンクアップ検出タイマを 5000 ミリ秒に設定します。
[注意事項]
リンクアップ検出タイマを長く設定すると,リンク障害回復から通信できるまでの時間が長くなりま
す。リンク障害回復から通信できるまでの時間を短くしたい場合は,リンクアップ検出タイマを設定し
ないでください。
17.3.11 フレーム送受信エラー通知の設定
軽度のエラーが発生してフレームの受信または送信に失敗した場合,本装置はフレームが廃棄された原因を
統計情報として採取します。30 秒間に発生したエラーの回数とエラーの発生する割合が閾値を超えた場合
は,エラーについて,ログで通知し,プライベートの SNMP 通知を送信します。
本装置では,閾値とエラーが発生した場合の通知について設定できます。設定がない場合,30 秒間に 15
回エラーが発生したときに最初の 1 回だけログを表示します。
(1) エラーフレーム数を閾値にしての通知
[設定のポイント]
エラーの通知条件のうち,エラーの発生回数(エラーフレーム数)の閾値を本装置に設定する場合は,
frame-error-notice コマンドで error-frames パラメータを設定します。
[コマンドによる設定]
1. (config)# frame-error-notice error-frames 50
エラーの発生回数(エラーフレーム数)の閾値を 50 回に設定します。
(2) エラーレートを閾値にしての通知
[設定のポイント]
エラーの通知条件のうち,エラーの発生割合(エラーレート)の閾値を本装置に設定する場合は,frameerror-notice コマンドで error-rate パラメータを設定します。
[コマンドによる設定]
1. (config)# frame-error-notice error-rate 20
336
17 イーサネット
エラーの発生割合の閾値を 20%に設定します。
(3) 通知時のログ表示設定
[設定のポイント]
エラーの通知条件のうち,エラーが発生したときのログの表示を設定する場合は,frame-error-notice
コマンドで onetime-display または everytime-display パラメータを設定します。ログを表示しない
ようにする場合は,off を設定します。この設定は,プライベートの SNMP 通知には関係しません。
[コマンドによる設定]
1. (config)# frame-error-notice everytime-display
エラーが発生するたびにログを表示します。
(4) 条件の組み合わせ設定
すでにエラーが発生するたびにログを表示することを設定していて,さらにエラーの発生回数(エラーフ
レーム数)の閾値を設定する場合の設定例を示します。
[設定のポイント]
エラーの通知条件を複数組み合わせて設定する場合は,frame-error-notice コマンドで,複数の条件を
同時に設定します。frame-error-notice コマンド入力前に設定していた通知条件は無効となりますの
で,引き続き同じ通知条件を設定する場合は,frame-error-notice コマンドで再度設定し直してくださ
い。
[コマンドによる設定]
1. (config)# frame-error-notice error-frames 50 everytime-display
エラーの発生回数(エラーフレーム数)の閾値を 50 回に設定して,エラーが発生するたびにログを表
示します。
[注意事項]
プライベートの SNMP 通知を使用する場合は,snmp-server host コマンドでフレーム受信エラー発生
時の SNMP 通知とフレーム送信エラー発生時の SNMP 通知を送信するように設定してください。
337
17 イーサネット
17.4 オペレーション
17.4.1 運用コマンド一覧
イーサネットの運用コマンド一覧を次の表に示します。
表 17‒17 運用コマンド一覧
コマンド名
説明
show interfaces
イーサネットの情報を表示します。
clear counters
イーサネットの統計情報カウンタをクリアします。
show port
イーサネットの情報を一覧で表示します。
activate
inactive 状態のイーサネットを active 状態にします。
inactivate
active 状態のイーサネットを inactive 状態にします。
17.4.2 イーサネットの動作状態の確認
show port コマンドを実行すると,本装置に搭載している NIF のイーサネットの状態を確認できます。使
用するイーサネットの Status の表示が up になっていることを確認します。コマンドの実行結果を次の図
に示します。
図 17‒4 show port コマンドの実行結果
> show port
Date 20XX/04/01 12:00:00 UTC
Port Counts: 12
Port Status
Speed
1/1 up
1000BASE-SX
1/2 up
1000BASE-SX
1/3 dis
1000BASE-SX
1/4 inact
1000BASE-SX
:
:
338
Duplex
full(auto)
full
full(auto)
full(auto)
FCtl
off
on
-
FrLen
1518
1518
-
Description
server 100
server 101
server 102
-
18
リンクアグリゲーション
この章では,リンクアグリゲーションの解説と操作方法について説明します。
339
18 リンクアグリゲーション
18.1 リンクアグリゲーション基本機能の解説
18.1.1 概要
リンクアグリゲーションは,隣接装置との間を複数のイーサネットポートで接続して,それらを束ねて一つ
のポートとして扱う機能です。この束ねた一つのポートをチャネルグループと呼びます。リンクアグリ
ゲーションによって接続装置間の帯域の拡大や冗長性を確保できます。
18.1.2 リンクアグリゲーションの構成
(1) ポートの追加および削除
チャネルグループを構成するポートは,コンフィグレーションで設定します。コンフィグレーションによる
ポートの設定を追加,コンフィグレーションによるポートの削除を削除と呼びます。
• 追加(add):チャネルグループ内にポートを追加します。
• 削除(remove):チャネルグループ内のポートを削除します。
(2) ポートの集約および離脱
ポートをチャネルグループとして動作させることを集約,チャネルグループとしての動作からポートを除外
することを離脱と呼びます。
• 集約(attach):チャネルグループ内のポートを通信可能にします。
• 離脱(detach):チャネルグループ内のポートを通信停止にします。
(3) チャネルグループの UP および DOWN
チャネルグループ内のポートが一つでも集約されると,チャネルグループは UP となります。UP になると
チャネルグループを使用して通信できます。
チャネルグループ内のポートがすべて離脱すると,チャネルグループは DOWN となります。DOWN に
なるとチャネルグループを使用した通信が停止します。
(4) 切り替えおよび切り戻し
フレーム送信ポートは集約しているポートから選択します。フレーム送信ポートが障害などによって変更
となる動作を切り替え,障害から復旧してフレーム送信ポートが元のポートに戻る動作を切り戻しと呼びま
す。
(5) 構成例
リンクアグリゲーションの構成例を次の図に示します。この例では四つのポートを集約しています。集約
しているポートのうちの一つが障害となった場合には,チャネルグループから離脱して,残りのポートで
チャネルグループとして通信を継続します。
340
18 リンクアグリゲーション
図 18‒1 リンクアグリゲーションの構成例
1. 4 ポートを集約しています。フレームはポート 1/1 から送信します。
2. ポート 1/1 に障害が発生したため,チャネルグループから離脱します。また,フレーム送信ポートを切
り替えます。
3. 離脱したポート 1/1 を除いた 3 ポートを集約しています。フレームはポート 4/1 から送信します。
4. ポート 1/1 が障害から復旧したため,チャネルグループに集約します。また,フレーム送信ポートを切
り戻します。
18.1.3 サポート仕様
(1) リンクアグリゲーションのモード
本装置のリンクアグリゲーションは,モードとして LACP およびスタティックの 2 種類をサポートします。
• LACP リンクアグリゲーション
IEEE 準拠の LACP を利用したリンクアグリゲーションです。LACP によるネゴシエーションが成功
した場合にチャネルグループとしての運用を開始します。LACP によって,隣接装置との整合性確認や
リンクの正常性確認ができます。
• スタティックリンクアグリゲーション
コンフィグレーションによるスタティックなリンクアグリゲーションです。LACP は動作させません。
チャネルグループとして追加したポートがリンクアップした時点で運用を開始します。
(2) リンクアグリゲーションのサポート仕様
リンクアグリゲーションのサポート仕様を次の表に示します。
表 18‒1 リンクアグリゲーションのサポート仕様
項目
リンクアグリゲーションの
モード
サポート仕様
• LACP
• スタティック
341
18 リンクアグリゲーション
項目
回線速度
サポート仕様
• デフォルト時(異速度混在モード未設定)
チャネルグループを構成するポートのうち,最速かつ同一速度のポートを集約し
ます。
• 異速度混在モード時
チャネルグループを構成するすべてのポートを同時に集約します。
Duplex モード
• LACP リンクアグリゲーション
全二重で動作しているポートを集約します。
• スタティックリンクアグリゲーション
全二重または半二重で動作しているポートを集約します。チャネルグループ内
で Duplex モードの混在を許容します。
18.1.4 チャネルグループの MAC アドレス
本装置は,チャネルグループの MAC アドレスとして,チャネルグループごとにユニークな MAC アドレ
スを使用します。
LACP リンクアグリゲーションでは,装置 MAC アドレスを装置識別子として使用します。
18.1.5 フレーム送信時のポート振り分け
フレームを送信するとき,送信するフレームごとにポートを選択してトラフィックを各ポートへ分散させる
ことで複数のポートを効率的に利用します。ポートの振り分け方法には次に示す 3 種類があり,コンフィ
グレーションによってチャネルグループごとに指定できます。
• フレーム内情報によるポート振り分け
• VLAN Tag ごとのポート振り分け
• ロードバランスグループごとのポート振り分け
(1) フレーム内情報によるポート振り分け
フレーム内の情報を基にポートを選択して送信します。レイヤ 2 中継時,IP レイヤ中継時,および自発送
信時の参照情報をそれぞれの表に示します。
表 18‒2 レイヤ 2 中継時の参照情報
分類
IP のフレーム
参照情報
• 宛先 MAC アドレス
• 送信元 MAC アドレス
• 宛先 IP アドレス
• 送信元 IP アドレス
その他のフレーム
• 宛先 MAC アドレス
• 送信元 MAC アドレス
342
18 リンクアグリゲーション
表 18‒3 IP レイヤ中継時の参照情報
分類
参照情報
IP のフレーム
• 宛先 IP アドレス
• 送信元 IP アドレス
その他のフレーム
−
(凡例)−:該当しない
表 18‒4 自発送信時の参照情報
分類
IP のフレーム
参照情報
• 宛先 IP アドレス
• 送信元 IP アドレス
その他のフレーム
• 宛先 MAC アドレス
• 送信元 MAC アドレス
(2) VLAN Tag ごとのポート振り分け
送信するフレームの VLAN Tag ごとにポートを選択して送信します。VLAN Tag ごとのポート振り分け
動作を次の表に示します。
表 18‒5 VLAN Tag ごとのポート振り分け動作
動作分類
レイヤ 2 中継
情報元
フレームを送信する VLAN Tag ごとに振り分け
IP レイヤ中継
自発送信
送信する VLAN Tag ごとに振り分け
(3) ロードバランスグループごとのポート振り分け
(a) 概要
ポートチャネルインタフェースまたはポートチャネルサブインタフェースをロードバランスグループと呼
ばれる単位でグループ化して,フレームの送信先をポート単位で振り分けます。フレーム送信ポートとして
最初に選択する第 1 優先ポート,次に選択する第 2 優先ポートをコンフィグレーションで指定します。本
機能は,VLAN に所属しないポートだけに設定できます。
(b) 振り分け先の決定方法
第 1 優先ポートと第 2 優先ポートの状態(集約または離脱)によって,振り分け先のポートを選択します。
第 1 優先ポートおよび第 2 優先ポート以外では,VLAN Tag ごとのポート振り分けに従ってポートを選択
します。第 1 優先ポートと第 2 優先ポートの状態による振り分け先一覧を次の表に示します。
表 18‒6 第 1 優先ポートと第 2 優先ポートの状態(集約または離脱)による振り分け先一覧
ポートの状態
第 1 優先ポートが集約
振り分け先
第 1 優先ポートを選択
343
18 リンクアグリゲーション
ポートの状態
第 1 優先ポートが離脱
振り分け先
第 2 優先ポートを選択
第 2 優先ポートが集約
その他のポートが集約
第 1 優先ポートが離脱
VLAN Tag ごとのポート振り分けに従ってポートを選択
第 2 優先ポートが離脱
その他のポートが集約
18.1.6 リンクアグリゲーション使用時の注意事項
(1) リンクアグリゲーションが不可能な構成
リンクアグリゲーション構成時には,装置間での設定が一致している必要があります。リンクアグリゲー
ションが不可能な構成例を次に示します。
図 18‒2 装置間でモードが異なる構成
この図のように装置間でモードが異なる構成にすると,LACP のネゴシエーションが成立しないで通信断
状態になります。
図 18‒3 装置間でチャネルグループがポイント−マルチポイントである構成
この図のように装置間でチャネルグループがポイント−マルチポイントである構成にすると,本装置 A か
ら送信したフレームが装置 B を経由して戻るループ構成となるなど,正常に動作しません。
(2) リンクアグリゲーションの設定手順
リンクアグリゲーションはリンクダウン状態で設定して,「(1) リンクアグリゲーションが不可能な構成」
のような構成になっていないことを確認したあとで,ポートをリンクアップさせることをお勧めします。
344
18 リンクアグリゲーション
18.2 リンクアグリゲーション基本機能のコンフィグ
レーション
18.2.1 コンフィグレーションコマンド一覧
リンクアグリゲーション基本機能のコンフィグレーションコマンド一覧を次の表に示します。
表 18‒7 コンフィグレーションコマンド一覧
コマンド名
説明
channel-group lacp system-priority
チャネルグループごとに LACP システム優先度を設定します。
channel-group load-balance
フレーム送信時のポート振り分け方法を指定します。
channel-group load-balance-group
ポートチャネルインタフェースまたはポートチャネルサブインタ
フェースをロードバランスグループに追加します。
channel-group load-balance-group name
ロードバランスグループ名称を指定します。
channel-group load-balance-group priority
ロードバランスグループごとのフレーム送信ポートの優先度を指
定します。
channel-group mode
ポートをチャネルグループへ追加します。また,チャネルグルー
プのモードを設定します。
channel-group periodic-timer
対向装置の LACPDU の送信間隔を設定します。
description
チャネルグループの補足説明を設定します。
interface port-channel
ポートチャネルインタフェースまたはポートチャネルサブインタ
フェースを設定します。
lacp port-priority
LACP のポート優先度を設定します。
lacp system-priority
LACP システム優先度のデフォルト値を設定します。
shutdown
チャネルグループの通信を停止します。
18.2.2 ポートチャネルインタフェースの設定
ポートチャネルインタフェースでは,チャネルグループ上で動作する機能を設定します。
ポートチャネルインタフェースは,コンフィグレーションコマンドで設定するか,コンフィグレーション
モードで channel-group mode コマンドを設定すると自動で生成されます。
(1) チャネルグループ上で動作する機能の設定
[設定のポイント]
ポートチャネルインタフェースでは,IP アドレスなどチャネルグループ上で動作する機能を設定しま
す。ここでは,ポートチャネルインタフェースを設定する例を示します。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/1-2
(config-if-range)# channel-group 10 mode on
345
18 リンクアグリゲーション
(config-if-range)# exit
ポート 1/1,1/2 をスタティックモードのチャネルグループ 10 に追加します。チャネルグループ 10 の
ポートチャネルインタフェースが自動生成されます。
2. (config)# interface port-channel 10
チャネルグループ 10 のコンフィグレーションモードに移行します。
3. (config-if)# ip address 192.0.2.1 255.255.255.0
ポートチャネルに IP アドレスを設定します。
(2) ポートチャネルインタフェースの shutdown
[設定のポイント]
ポートチャネルを shutdown に設定すると,チャネルグループに追加されているすべてのポートの通信
を停止します。リンクアップしているポートは,リンクアップしたまま通信停止状態になります。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/1-2
(config-if-range)# channel-group 10 mode on
(config-if-range)# exit
ポート 1/1,1/2 をスタティックモードのチャネルグループ 10 に追加します。
2. (config)# interface port-channel 10
(config-if)# shutdown
コンフィグレーションモードに移行して shutdown を設定します。ポート 1/1,1/2 の通信が停止し
て,チャネルグループ 10 は停止状態になります。
18.2.3 スタティックリンクアグリゲーションの設定
[設定のポイント]
スタティックリンクアグリゲーションは,コンフィグレーションモードで channel-group mode コマ
ンドを使用してチャネルグループ番号と「on」のモードを設定します。スタティックリンクアグリゲー
ションは channel-group mode コマンドを設定すると動作を開始します。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/1-2
ポート 1/1,1/2 のコンフィグレーションモードに移行します。
2. (config-if-range)# channel-group 10 mode on
ポート 1/1,1/2 を,スタティックモードのチャネルグループ 10 に追加します。
18.2.4 LACP リンクアグリゲーションの設定
(1) チャネルグループの設定
[設定のポイント]
LACP リンクアグリゲーションは,コンフィグレーションモードで channel-group mode コマンドを
使用してチャネルグループ番号と「active」または「passive」のモードを設定します。
[コマンドによる設定]
346
18 リンクアグリゲーション
1. (config)# interface range gigabitethernet 1/1-2
ポート 1/1,1/2 のコンフィグレーションモードに移行します。
2. (config-if-range)# channel-group 10 mode active
ポート 1/1,1/2 を LACP モードのチャネルグループ 10 に追加します。LACP は active モードとし
て対向装置に関係なく LACPDU の送信を開始します。passive を指定した場合は,対向装置からの
LACPDU を受信したときだけ LACPDU の送信を開始します。
(2) LACPDU 送信間隔の設定
[設定のポイント]
対向装置が本装置に向けて送信する LACPDU の間隔を設定します。本装置は本パラメータで設定し
た間隔で LACPDU を受信します。
LACPDU の送信間隔は long(30 秒),short(1 秒)のどちらかを選択します。デフォルトは long(30
秒)で動作します。送信間隔を short(1 秒)に変更した場合,リンクダウンを伴わない障害を検知し
やすくなり,障害時に通信が途絶える時間を短く抑えられます。
[コマンドによる設定]
1. (config)# interface port-channel 10
(config-if)# channel-group periodic-timer short
チャネルグループ 10 の LACPDU 送信間隔を short(1 秒)に設定します。
[注意事項]
LACPDU 送信間隔を short(1 秒)に設定すると,障害を検知しやすくなる一方で,LACPDU トラ
フィックが増加するためリンクアグリゲーションプログラムの負荷が増加します。本パラメータを
short(1 秒)にするとタイムアウトのメッセージや一時的な通信断が頻発する場合は,デフォルトの
long(30 秒)に戻すかスタティックモードを使用してください。
18.2.5 振り分け方法の設定
フレーム送信時のポート振り分け方法を設定します。
(1) フレーム内情報によるポート振り分け
[設定のポイント]
チャネルグループにフレーム内情報によるポート振り分けを設定します。
[コマンドによる設定]
1. (config)# interface port-channel 10
(config-if)# channel-group load-balance frame
チャネルグループ 10 の振り分け方法を,フレーム内情報によるポート振り分けに設定します。
(2) VLAN Tag ごとのポート振り分け
[設定のポイント]
チャネルグループに VLAN Tag ごとのポート振り分けを設定します。
[コマンドによる設定]
1. (config)# interface port-channel 10
347
18 リンクアグリゲーション
(config-if)# channel-group load-balance vlan
チャネルグループ 10 の振り分け方法を,VLAN Tag ごとのポート振り分けに設定します。
(3) ロードバランスグループごとのポート振り分け
[設定のポイント]
フレーム送信時の振り分け方法をロードバランスグループごとに設定して,関連のコンフィグレーショ
ンを設定するとロードバランスグループごとのポート振り分けができます。
ロードバランスグループ関連のコンフィグレーションに第 1 優先ポートおよび第 2 優先ポートのどち
らも指定がない場合,VLAN Tag ごとのポート振り分けで動作します。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/1, gigabitethernet 2/1, gigabitethernet 3/1,
gigabitethernet 4/1
(config-if-range)# channel-group 10 mode on
(config-if-range)# exit
ポート 1/1,2/1,3/1,4/1 をスタティックモードのチャネルグループ 10 に追加します。
2. (config)# interface port-channel 10
(config-if)# channel-group load-balance load-balance-group
(config-if)# exit
チャネルグループ 10 の振り分け方法を,ロードバランスグループごとのポート振り分けに設定します。
3. (config)# channel-group load-balance-group name LBG100
ロードバランスグループ名称を LBG100 として設定します。
4. (config)# interface port-channel 10.100
(config-subif)# encapsulation dot1q 100
(config-subif)# ip address 192.0.2.100 255.255.255.0
ポートチャネルサブインタフェース 10.100 で使用する VLAN Tag 100,IP アドレス 192.0.2.100 を
設定します。
5. (config-subif)# channel-group load-balance-group LBG100
(config-subif)# exit
ポートチャネルサブインタフェース 10.100 にロードバランスグループ LBG100 を設定します。
6. (config)# interface gigabitethernet 1/1
(config-if)# channel-group load-balance-group LBG100 priority primary
(config-if)# exit
チャネルグループ 10 に所属しているポート 1/1 をロードバランスグループ LBG100 の第 1 優先ポー
トとして設定します。
7. (config)# interface gigabitethernet 2/1
(config-if)# channel-group load-balance-group LBG100 priority secondary
(config-if)# exit
チャネルグループ 10 に所属しているポート 2/1 をロードバランスグループ LBG100 の第 2 優先ポー
トとして設定します。
348
18 リンクアグリゲーション
18.2.6 チャネルグループの削除
チャネルグループのポートやチャネルグループ全体を削除する場合は,削除する対象のポートをあらかじめ
コンフィグレーションモードで shutdown に設定しておく必要があります。
(1) チャネルグループ内のポートの削除
[設定のポイント]
ポートをチャネルグループから削除します。削除したポートはチャネルグループとは別のポートとし
て動作します。
チャネルグループ内のすべてのポートを削除しても,interface port-channel の設定は自動で削除され
ません。チャネルグループ全体の削除については,「(2) チャネルグループ全体の削除」を参照してく
ださい。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/1
(config-if)# shutdown
ポート 1/1 をチャネルグループから削除するために,事前に shutdown にしてリンクダウンさせます。
2. (config-if)# no channel-group
チャネルグループからポート 1/1 を削除します。
(2) チャネルグループ全体の削除
[設定のポイント]
チャネルグループ全体を削除します。削除したチャネルグループに追加されていたポートはそれぞれ
個別のポートとして動作します。
チャネルグループは interface port-channel を削除することによって,全体が削除されます。この削除
によって,追加していた各ポートから channel-group mode コマンドの設定が自動で削除されます。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/1-2
(config-if-range)# shutdown
(config-if-range)# exit
チャネルグループ全体を削除するために,削除したいチャネルグループに追加されているポートをすべ
て shutdown に設定してリンクダウンさせます。
2. (config)# no interface port-channel 10
チャネルグループ 10 を削除します。ポート 1/1,1/2 に設定されている channel-group mode コマン
ドの設定も自動で削除されます。
18.2.7 チャネルグループをスイッチポートで使用する場合のポイント
(1) ポートチャネルインタフェースとイーサネットインタフェースの関係
ポートチャネルインタフェースでは,チャネルグループ上で動作する機能を設定します。それらの機能は,
イーサネットインタフェースのコンフィグレーションモードでも設定できます。
349
18 リンクアグリゲーション
このような機能を設定するコマンドには,ポートチャネルインタフェースとイーサネットインタフェースで
関連があります。ポートチャネルインタフェースとイーサネットインタフェースで一致している必要があ
る,ポートチャネルインタフェースの関連コマンドを次の表に示します。
表 18‒8 ポートチャネルインタフェースの関連コマンド
機能
VLAN
関連コマンド
switchport access
switchport mode(access パラメータ以外)
switchport trunk
スパニングツリー
spanning-tree bpdufilter
spanning-tree bpduguard
spanning-tree cost
spanning-tree guard
spanning-tree link-type
spanning-tree mst cost
spanning-tree mst port-priority
spanning-tree port-priority
spanning-tree portfast
spanning-tree single cost
spanning-tree single port-priority
spanning-tree vlan cost
spanning-tree vlan port-priority
L2 ループ検知
loop-detection
(2) チャネルグループ設定時の推奨手順
関連コマンドを設定するときは,ポートチャネルインタフェースを指定して設定してください。
ポートチャネルインタフェースに関連コマンドを設定すると,channel-group mode コマンドが設定され
ているイーサネットインタフェースにも同じ設定が反映されます。
(3) 関連コマンド設定時の制限事項
• ポートチャネルインタフェースを設定していない状態でイーサネットインタフェースに channelgroup mode コマンドを設定すると,自動でポートチャネルインタフェースを生成します。このとき,
イーサネットインタフェースに関連コマンドが設定されていると,channel-group mode コマンドを設
定できません。
• イーサネットインタフェースに channel-group mode コマンドを設定する場合,ポートチャネルイン
タフェースとイーサネットインタフェースに設定されている関連コマンドが一致していないと,
channel-group mode コマンドを設定できません。
350
18 リンクアグリゲーション
18.3 リンクアグリゲーション拡張機能の解説
18.3.1 スタンバイリンク機能
(1) 解説
チャネルグループ内にあらかじめ待機用のポートを用意しておき,運用中のポートで障害が発生したときに
待機用のポートに切り替えることによって,グループとして運用するポート数を維持する機能です。この機
能を使用すると,障害時に帯域の減少を防げます。
スタンバイリンク機能は,スタティックリンクアグリゲーションだけで使用できます。
(2) スタンバイリンクの選択方法
コンフィグレーションでチャネルグループとして運用する最大ポート数を設定します。グループに所属す
るポートのうち,設定した最大ポート数を超えた分のポートが待機用ポートになります。
待機用ポートは,まずコンフィグレーションで設定するポート優先度,次に NIF 番号およびポート番号の
順で,選択優先度の高い順に決定されます。つまり,ポート優先度が同じ場合は,NIF 番号,ポート番号
の順に判断します。待機用ポートの決定基準を,選択優先度の高い順に次に示します。
1. ポート優先度
優先度の値の大きいポートから待機用ポートとして選択されます。
2. NIF 番号
NIF 番号の大きい順に待機用ポートとして選択されます。
3. ポート番号
ポート番号の大きい順に待機用ポートとして選択されます。
スタンバイリンク機能の構成例を次の図に示します。この例では,グループに所属するポート数を 4,運用
する最大ポート数を 3 としています。
図 18‒4 スタンバイリンク機能の構成例
1. 4 ポートのチャネルグループに対して,3 ポートの使用を設定します。
2. リンク障害が発生しました。
3. スタンバイリンクを使用して,帯域減なしでリンクアグリゲーションを運用します。
4. リンク障害が復旧しました。
351
18 リンクアグリゲーション
(3) スタンバイリンクのモード
スタンバイリンク機能には,次に示す二つのモードがあります。
• リンクダウンモード
スタンバイリンクをリンクダウン状態にします。この機能は本装置だけに設定してください。スタン
バイリンク機能をサポートしていない対向装置も待機用ポートにできます。
• 非リンクダウンモード
スタンバイリンクをリンクダウン状態にしないで,送信だけを停止します。リンクアップ状態のため,
待機用ポートでも障害を監視できます。また,待機用ポートは送信だけを停止して,受信は行います。
スタンバイリンク機能をサポートしていない対向装置とも接続できます。
(4) スタンバイリンクの各モードでのチャネルグループ状態
リンクダウンモードを使用している場合,集約ポートが一つの状態でそのポートで障害が発生すると,待機
用ポートに切り替わるときにチャネルグループがいったん DOWN になります。非リンクダウンモードの
場合,DOWN にならないで待機用ポートを使用します。
集約ポートが一つの状態とは,次に示すどちらかの状態です。
• コンフィグレーションコマンド max-active-port で 1 を設定している状態。
• 異速度混在モードを未設定で,最高速のポートが一つだけ,そのほかのポートが一つ以上ある状態。
18.3.2 離脱ポート数制限機能
(1) 解説
離脱ポート数制限機能とは,離脱ポート数がコンフィグレーションの最大離脱ポート数を超えた場合に,
チャネルグループ全体を障害と見なして該当チャネルグループを DOWN にする機能です。
離脱ポート数制限機能は,LACP リンクアグリゲーションだけで使用できます。この機能は,本装置だけ
に設定することを推奨します。
(2) 離脱ポート数制限機能での LACP システム優先度
離脱ポート数制限機能使用時は,本装置の LACP システム優先度を対向装置より高くすることを推奨しま
す。どちらの装置が高い優先度を持つかは,まずコンフィグレーションで設定する LACP システム優先度,
次に LACP システム ID の MAC アドレスの順で判断されます。すなわち,LACP システム優先度が同じ
場合は,LACP システム ID の MAC アドレスで判断します。なお,本装置では LACP システム ID の
MAC アドレスに装置 MAC アドレスを使用します。
離脱ポート数制限機能を動作させる装置の決定基準を,選択優先度の高い順に次に示します。
1. LACP システム優先度
LACP システム優先度の値が小さい装置が優先されます。
2. LACP システム ID の MAC アドレス
MAC アドレスの小さい装置が優先されます。
352
18 リンクアグリゲーション
18.3.3 異速度混在モード
(1) 解説
異なる速度のポートを一つのチャネルグループで同時に使用するモードです。通常は同じ速度のポートで
チャネルグループを構成しますが,異なる速度のポートで構成することでチャネルグループの構成を容易に
変更できます。
なお,フレーム送信時のポート振り分けには回線速度は反映しません。例えば,異速度混在モードで 1Gbit/
s のポートと 10Gbit/s のポートを使用していても,その速度の差はフレーム振り分けには反映しません。
通常の運用時は同じ速度のポートで運用することをお勧めします。
(2) チャネルグループの構成変更例
本機能によって,チャネルグループで利用する回線速度を変更(ネットワーク構成の変更)するときに,
チャネルグループを DOWN にしないで構成を変更できます。
異速度混在モードを利用したチャネルグループの速度移行について,手順の具体例を次に示します。この手
順で示すコンフィグレーションは,本装置と対向装置それぞれで設定してください。
1. 従来状態で運用(1Gbit/s の 2 ポートとします)
2. 異速度混在モードを設定
3. チャネルグループに 10Gbit/s の 2 ポートを追加
4. 手順 3 で追加した 10Gbit/s の 2 ポートをリンクアップ
5. 従来の 1Gbit/s の 2 ポートにコンフィグレーションコマンド shutdown を設定
6. 従来の 1Gbit/s の 2 ポートをチャネルグループから削除
7. 異速度混在モードを削除
8. 10Gbit/s の 2 ポートに移行完了
18.3.4 切り戻し抑止機能
(1) 解説
切り戻し抑止機能とは,チャネルグループに集約しているポートが障害などで離脱したあと,障害から復旧
した場合に切り戻しを抑止する機能です。
切り戻し抑止中のポートを集約するには,運用コマンド clear channel-group non-revertive を実行しま
す。運用コマンドで切り戻し抑止中のポートを集約するため,運用に影響が少ないタイミングでオペレータ
が意図的に切り戻しできます。切り戻し抑止機能の概要を次の図に示します。
353
18 リンクアグリゲーション
図 18‒5 切り戻し抑止機能の概要
1. 4 ポートを集約しています。フレームはポート 1/1 から送信します。
2. ポート 1/1 に障害が発生したため,チャネルグループから離脱します。また,フレーム送信ポートを切
り替えます。
3. 離脱したポート 1/1 を除いた 3 ポートを集約しています。フレームはポート 4/1 から送信します。
4. ポート 1/1 が障害から復旧します。
5. ポート 1/1 は切り戻し抑止中のポートです。フレームはポート 4/1 から送信します(変更しません)。
6. 運用コマンド clear channel-group non-revertive を実行して,ポート 1/1 をチャネルグループに集約
します。また,フレーム送信ポートを切り戻します。
(2) 切り戻し抑止機能の遅延時間
チャネルグループとして追加したポートをすべて集約するため,チャネルグループが DOWN から UP に
遷移するときは切り戻し抑止機能が動作しません。チャネルグループが UP になってから切り戻し抑止機
能が動作するまでの遅延時間を,コンフィグレーションコマンド non-revertive で設定できます。遅延時間
が満了するまでの間,切り戻し抑止機能は無効となります。
遅延時間が満了するまでの間に系切替が発生すると,遅延時間を更新します。スタティックリンクアグリ
ゲーションでは,運用系 BCU で遅延時間が満了している場合でも,待機系 BCU の起動から遅延時間分経
過するまでの間に系切替が発生すると,遅延時間を再更新します。そのため,再び遅延時間が満了するま
で,切り戻し抑止機能は無効となります。
(3) 切り戻し抑止機能動作時の障害について
集約ポートがなくなったときに切り戻し抑止ポートがある場合,切り戻し抑止ポートを自動で集約します。
(4) 切り戻し抑止機能の設定について
切り戻し抑止機能は,本装置だけに設定してください。また,LACP リンクアグリゲーションで切り戻し
抑止機能を使用する場合は,本装置の LACP システム優先度を対向装置より高くすることを推奨します。
(5) 異なる速度のポートで構成するリンクアグリゲーションでの動作
集約しているポートよりも高速な回線を追加する場合,これまで集約していたポートは離脱します。また,
追加したポートは切り戻し抑止機能によって集約しません。このため,集約しているポートがなくなって,
354
18 リンクアグリゲーション
チャネルグループが DOWN します。そのあと,「(3) 切り戻し抑止機能動作時の障害について」に従っ
て追加したポートを集約すると,チャネルグループが UP します。
切り戻し抑止機能を優先する場合は,異速度混在モードを使用してください。
(6) スタンバイリンク機能との併用
スタティックリンクアグリゲーションでスタンバイリンク機能を使用している場合,切り戻し抑止中のポー
トに対して運用コマンド clear channel-group non-revertive を実行すると,該当ポートは次のどちらか
になります。
• スタンバイポートになる
• チャネルグループに集約される
355
18 リンクアグリゲーション
18.4 リンクアグリゲーション拡張機能のコンフィグ
レーション
18.4.1 コンフィグレーションコマンド一覧
リンクアグリゲーション拡張機能のコンフィグレーションコマンド一覧を次の表に示します。
表 18‒9 コンフィグレーションコマンド一覧
コマンド名
説明
channel-group lacp system-priority
システム優先度をチャネルグループごとに設定します。離脱ポート
数制限機能で集約条件を判定する装置を決定します。
channel-group max-active-port
スタンバイリンク機能を設定し,最大ポート数を指定します。
channel-group max-detach-port
離脱ポート数制限機能を設定します。
channel-group multi-speed
異速度混在モードを設定します。
channel-group non-revertive
チャネルグループに切り戻し抑止機能を設定します。
lacp port-priority
ポート優先度を設定します。スタンバイリンクを選択するために使
用します。
lacp system-priority
システム優先度のデフォルト値を設定します。離脱ポート数制限機
能で集約条件を判定する装置を決定します。
18.4.2 スタンバイリンク機能の設定
[設定のポイント]
チャネルグループにスタンバイリンク機能を設定して,同時に最大ポート数を設定します。また,リン
クダウンモード,非リンクダウンモードのどちらかを設定します。
待機用ポートはポート優先度によって設定し,優先度が低いポートからスタンバイリンクに選択しま
す。ポート優先度は値が小さいほど高い優先度になります。
スタンバイリンク機能は,スタティックリンクアグリゲーションだけで使用できます。
[コマンドによる設定]
1. (config)# interface port-channel 10
チャネルグループ 10 のコンフィグレーションモードに移行します。
2. (config-if)# channel-group max-active-port 3
チャネルグループ 10 にスタンバイリンク機能を設定して,最大ポート数を 3 に設定します。チャネル
グループ 10 はリンクダウンモードで動作します。
3. (config-if)# exit
グローバルコンフィグレーションモードに戻ります。
4. (config)# interface port-channel 20
(config-if)# channel-group max-active-port 1 no-link-down
(config-if)# exit
356
18 リンクアグリゲーション
チャネルグループ 20 のコンフィグレーションモードに移行して,スタンバイリンク機能を設定します。
最大ポート数を 1 として,非リンクダウンモードを設定します。
5. (config)# interface gigabitethernet 1/1
(config-if)# channel-group 20 mode on
(config-if)# lacp port-priority 300
チャネルグループ 20 にポート 1/1 を追加して,ポート優先度を 300 に設定します。ポート優先度は値
が小さいほど優先度が高く,ポート優先度のデフォルト値の 128 よりもスタンバイリンクに選択されや
すくなります。
18.4.3 離脱ポート数制限機能の設定
[設定のポイント]
チャネルグループに離脱ポート数制限機能を設定します。本コマンドではチャネルグループから離脱
することを許容する最大ポート数を指定します。15 を指定した場合は離脱ポート数制限機能を設定し
ない場合と同じです。
離脱ポート数制限機能は,LACP リンクアグリゲーションだけで使用できます。この機能は本装置だけ
に設定して,対向装置よりも本装置の LACP システム優先度を高くすることを推奨します。
[コマンドによる設定]
1. (config)# interface port-channel 10
チャネルグループ 10 のコンフィグレーションモードに移行します。
2. (config-if)# channel-group max-detach-port 0
チャネルグループ 10 に離脱ポート数制限機能を設定します。離脱を許容する最大ポート数を 0 とし
て,障害などによって 1 ポートでも離脱した場合にチャネルグループ全体を障害と見なします。
3. (config-if)# channel-group lacp system-priority 100
チャネルグループ 10 の LACP システム優先度を 100 に設定します。
18.4.4 異速度混在モードの設定
[設定のポイント]
チャネルグループに異速度混在モードを設定します。本機能を設定すると,回線速度は離脱条件ではな
くなります。
[コマンドによる設定]
1. (config)# interface port-channel 10
チャネルグループ 10 のコンフィグレーションモードに移行します。
2. (config-if)# channel-group multi-speed
チャネルグループ 10 に異速度混在モードを設定します。
18.4.5 切り戻し抑止機能の設定
[設定のポイント]
チャネルグループに切り戻し抑止機能を設定します。本機能を設定すると,チャネルグループに集約し
ているポートが障害などで離脱したあと,障害から復旧したときに自動で集約することを抑止します。
[コマンドによる設定]
357
18 リンクアグリゲーション
1. (config)# interface port-channel 10
チャネルグループ 10 のコンフィグレーションモードに移行します。
2. (config-if)# channel-group non-revertive
チャネルグループ 10 に切り戻し抑止機能を設定します。
358
18 リンクアグリゲーション
18.5 リンクアグリゲーションのオペレーション
18.5.1 運用コマンド一覧
リンクアグリゲーションの運用コマンド一覧を次の表に示します。
表 18‒10 運用コマンド一覧
コマンド名
説明
show channel-group
リンクアグリゲーションの情報を表示します。
show channel-group statistics
リンクアグリゲーションの統計情報を表示します。
clear channel-group statistics lacp
LACPDU の送受信統計情報をクリアします。
clear channel-group non-revertive
リンクアグリゲーションの切り戻し抑止状態を解除します。
restart lacp
リンクアグリゲーションプログラムを再起動します。
dump protocols lacp
リンクアグリゲーションプログラムで採取している詳細イベントト
レース情報および制御テーブル情報をファイルへ出力します。
18.5.2 リンクアグリゲーションの状態の確認
(1) リンクアグリゲーションの接続状態の確認
リンクアグリゲーションの情報を show channel-group コマンドで表示します。CH Status でチャネル
グループの接続状態を確認できます。また,設定が正しいことを各項目で確認してください。
show channel-group コマンドの実行結果を次の図に示します。
図 18‒6 show channel-group コマンドの実行結果
> show channel-group
Date 20XX/04/01 12:00:00 UTC
ChGr:1
Mode:LACP
CH Status:Up
Elapsed Time:10:10:39
Multi Speed:Off
Load Balance:frame
Non Revertive:On
Max Active Port:16
Max Detach Port:15
Description:4 ports aggregated.
MAC address:0012.e2ac.8301
Periodic Timer:Short
Actor information
System Priority:1
MAC:0012.e212.ff02
Partner information
System Priority:10000
MAC:0012.e2f0.69be
Port(4)
:1/1-4
Up Port(3)
:1/1-3
Down Port(1)
:1/4
>
Bandwidth:3000000kbps
KEY:1
KEY:10
(2) 各ポートの運用状態の確認
show channel-group detail コマンドで各ポートの詳細な状態を表示します。ポートの通信状態を Status
で確認してください。Status が Down 状態のときは Reason で理由を確認できます。
show channel-group detail コマンドの実行結果を次の図に示します。
359
18 リンクアグリゲーション
図 18‒7 show channel-group detail コマンドの実行結果
> show channel-group detail
Date 20XX/04/01 12:00:00 UTC
ChGr:1
Mode:LACP
CH Status:Up
Elapsed Time:10:10:39
Bandwidth:3000000kbps
Multi Speed:Off
Load Balance:frame
Non Revertive:On
Max Active Port:16
Max Detach Port:15
Description:4 ports aggregated.
MAC address:0012.e2ac.8301
Periodic Timer:Short
Actor information
System Priority:1
MAC:0012.e212.ff02
KEY:1
Partner information
System Priority:10000
MAC:0012.e2f0.69be
KEY:10
Port:1/1
Status:Up
Reason:Speed:1G
Duplex:Full
LACP Activity:Active
Actor Priority:128
Partner Priority:100
Port:1/2
Status:Up
Reason:Speed:1G
Duplex:Full
LACP Activity:Active
Actor Priority:128
Partner Priority:100
Port:1/3
Status:Up
Reason:Speed:1G
Duplex:Full
LACP Activity:Active
Actor Priority:128
Partner Priority:100
Port:1/4
Status:Down
Reason:Non Revertive
Speed:1G
Duplex:Full
LACP Activity:Active
Actor Priority:128
Partner Priority:100
>
(3) 切り戻し抑止状態の確認と解除
切り戻し抑止状態は clear channel-group non-revertive コマンドで解除します。切り戻し抑止状態の確
認と解除例を次に示します。
1. show channel-group detail コマンドで,ポート 1/4 が切り戻し抑止状態であることを確認します。
> show channel-group detail
:
:
Port:1/4
Status:Down
Reason:Non Revertive
Speed:1G
Duplex:Full
LACP Activity:Active
Actor Priority:128
Partner Priority:100
:
:
>
2. clear channel-group non-revertive コマンドで,ポート 1/4 の切り戻し抑止状態を解除します。
> clear channel-group non-revertive port 1/4
Are you sure you want to make the channel-group revertive? (y/n) :y
>
3. show channel-group detail コマンドで,ポート 1/4 が集約されていることを確認します。
> show channel-group detail
:
:
Port:1/4
Status:Up
Reason:Speed:1G
Duplex:Full
LACP Activity:Active
Actor Priority:128
Partner Priority:100
:
:
>
360
19
IP インタフェースとサブインタ
フェース
この章では,インタフェースに IP アドレスを設定して通信する方法について
説明します。
361
19 IP インタフェースとサブインタフェース
19.1 解説
19.1.1 概要
IPv4 アドレスまたは IPv6 アドレスを設定したインタフェースを IP インタフェースと呼びます。インタ
フェースには,IPv4 アドレスもしくは IPv6 アドレスの一方,または両方を設定できます。
IP アドレスを設定できるインタフェースの種類を,次の表に示します。
表 19‒1 IP アドレスを設定できるインタフェースの種類
インタフェースの種類
説明
イーサネットインタフェース
イーサネットインタフェースに直接 IP アドレスを設定します。1 ポートを
一つのインタフェースとして使用できます。
イーサネットサブインタフェース
イーサネットインタフェースにインデックスを割り当てて,VLAN Tag の
VLAN ID を設定します。これによって,VLAN Tag ごとに異なるインタ
フェースとして使用できます。サブインタフェースに IP アドレスを設定し
ます。
ポートチャネルインタフェース
ポートチャネルインタフェースに直接 IP アドレスを設定します。チャネル
グループの 1 グループを一つのインタフェースとして使用できます。
ポートチャネルサブインタフェース
ポートチャネルインタフェースにインデックスを割り当てて,VLAN Tag の
VLAN ID を設定します。これによって,VLAN Tag ごとに異なるインタ
フェースとして使用できます。サブインタフェースに IP アドレスを設定し
ます。
VLAN インタフェース
VLAN インタフェースに直接 IP アドレスを設定します。一つの VLAN ID
を一つのインタフェースとして使用できます。
マネージメントポート
リモート運用端末を接続するためのツイストペアケーブル(UTP)を使用し
たインタフェースです。直接 IP アドレスを設定します。
シリアル接続ポート(AUX)
リモート運用端末を接続するためのシリアル接続ポート(AUX)を使用した
インタフェースです。直接 IP アドレスを設定します。
ループバックインタフェース
装置本体を示す特殊なインタフェースです。IP アドレスを設定します。
Null インタフェース
物理回線に依存しないパケット廃棄用の仮想的なインタフェースです。IP ア
ドレスは指定できません。
なお,このマニュアルでは,IP インタフェースを単に,インタフェースと表現することがあります。
19.1.2 サブインタフェース
サブインタフェースは,イーサネットサブインタフェースとポートチャネルサブインタフェースの総称で
す。サブインタフェースは元となるイーサネットのポート番号またはポートチャネルのチャネルグループ
番号に,サブインタフェースインデックス(サブインタフェースを識別するための番号)をピリオド(.)
でつないで表します。
例:1/1.5
サブインタフェースとして,VLAN Tag を使用するインタフェースおよび VLAN Tag を使用しないイン
タフェースのどちらも設定できます。
362
19 IP インタフェースとサブインタフェース
19.1.3 ネットワーク構成例
IP インタフェースを使用するネットワーク構成例を次の図に示します。
図 19‒1 IP インタフェースを使用するネットワーク構成例
[本装置の設定]
• ネットワーク A のサーバとの接続
ポートチャネルインタフェースを設定します。
• ネットワーク B の L2 スイッチ 1 との接続
イーサネットポートに一つのサブインタフェースを設定して,VLAN ID=10 を設定します。
• ネットワーク C およびネットワーク D の L2 スイッチ 2 との接続
イーサネットポートに二つのサブインタフェースを設定して,それぞれ VLAN ID=20 および 21 を
設定します。
上記の各インタフェースに IP アドレスを指定して,それぞれ IP インタフェースに設定します。
[通信内容]図中の通信の流れの番号に対応
1. ネットワーク A とネットワーク D 間のレイヤ 3 中継(異なるサブネット間中継)
ネットワーク A のサーバとは,Untagged フレームを送受信します。
ネットワーク D の L2 スイッチ 2 とは,Tagged フレーム(VLAN ID=21)を送受信します。
2. ネットワーク B とネットワーク C 間のレイヤ 3 中継(異なるサブネット間中継)
ネットワーク B の L2 スイッチ 1 とは,Tagged フレーム(VLAN ID=10)を送受信します。
ネットワーク C の L2 スイッチ 2 とは,Tagged フレーム(VLAN ID=20)を送受信します。
363
19 IP インタフェースとサブインタフェース
19.1.4 IP インタフェース動作仕様
(1) IP インタフェースのサポート仕様
IP インタフェースでは,インタフェースの種類ごとに,設定できるコンフィグレーションコマンドやコン
フィグレーションで適用される値が異なります。コンフィグレーションとインタフェース種別の対応を次
の表に示します。
表 19‒2 コンフィグレーションとインタフェース種別の対応
インタフェースの種類(設定単位)
イーサ
ネットイ
ンタ
フェース
ポート
チャネル
インタ
フェース
サブイン
タフェー
ス
VLAN イ
ンタ
フェース
description
○
○
○
○
各インタフェースに設定できます。
mtu(ポート)
○
−
−
−
ポートの最大フレーム長が,ポートチャ
ネルインタフェース,サブインタフェー
コマンド名
説明
ス,および VLAN インタフェースに適
用されます。
ip mtu
○
○
○
○
ip mtu コマンドを設定した場合,ポート
単位で設定したポートの最大フレーム
長と本コマンドの length パラメータ値
を比較して,小さい方の値が該当するイ
ンタフェースの IP MTU 長として適用
されます。
dot1qethertype
○
−
−
−
ポートに設定した TPID 値が,サブイン
タフェースおよび VLAN インタフェー
スに適用されます。
shutdown
○
○
○
○
各インタフェースに設定できます。
snmp trap
link-status
○
−
○
○
サブインタフェースおよび VLAN イン
タフェースのデフォルトは,SNMP 通知
を送信しません。
(凡例)○:設定できる −:設定できない
(設定単位)
イーサネットインタフェース:ポート単位
ポートチャネルインタフェース:チャネルグループ単位
サブインタフェース:サブインタフェース単位
VLAN インタフェース:VLAN 単位
(2) IP インタフェースで使用する MAC アドレス
IP インタフェースで使用する MAC アドレスは,インタフェースの種類によって異なります。IP インタ
フェースの種類ごとの MAC アドレスを次の表に示します。
364
19 IP インタフェースとサブインタフェース
表 19‒3 IP インタフェースの種類ごとの MAC アドレス
IP インタフェースの種類
使用する MAC アドレス
イーサネットインタフェース
装置 MAC アドレス
イーサネットサブインタフェース
装置 MAC アドレス
ポートチャネルインタフェース
装置 MAC アドレス
ポートチャネルサブインタフェース
装置 MAC アドレス
VLAN インタフェース
装置 MAC アドレスまたは VLAN ごと MAC アドレス
マネージメントポート
マネージメントポートの MAC アドレス
シリアル接続ポート(AUX)
−
ループバックインタフェース
−
Null インタフェース
−
(凡例)−:MAC アドレスを使用しない
装置 MAC アドレスは,装置を識別するために本装置が一つ持っている MAC アドレスです。運用コマン
ド show system で装置 MAC アドレスを確認できます。
VLAN インタフェースで使用する VLAN ごと MAC アドレスは,コンフィグレーションコマンド vlanmac-prefix および vlan-mac で設定します。vlan-mac-prefix コマンドでは,生成する MAC アドレスの
上位 32bit までのプレフィックスを指定します。さらに,vlan-mac コマンドで,VLAN インタフェース
で VLAN ごと MAC アドレスを使用することを設定します。このとき,下位 16bit に VLAN ID ごとの一
意の値を使用して MAC アドレスを生成しますが,コンフィグレーションコマンド vlan-mac-suffix vlanid を設定すると,下位 16bit に VLAN ID の値を使用して MAC アドレスを生成します。
(3) IP インタフェースで使用する MTU
IP インタフェースでは,次の情報のうち,最小の値がインタフェースの IP MTU 値になります。
• 装置単位で設定する全ポート共通の最大フレーム長−18
• ポート単位で設定するポートの最大フレーム長−18
• インタフェース単位で設定する IP MTU 情報
インタフェースの IP MTU 値決定マトリクスを次の表に示します。
表 19‒4 インタフェースの IP MTU 値決定マトリクス
全ポート共通の
ポートの
最大フレーム長
最大フレーム長
設定あり
設定あり
IP MTU 情報
設定あり
IP MTU 値
次の情報を比較して,小さい方の値
• ポートの最大フレーム長で指定したポート内の最小値
−18
• IP MTU 情報の設定値
設定あり
設定なし
設定あり
次の情報を比較して,小さい方の値
• 全ポート共通の最大フレーム長の設定値−18
365
19 IP インタフェースとサブインタフェース
全ポート共通の
ポートの
最大フレーム長
最大フレーム長
IP MTU 情報
IP MTU 値
• IP MTU 情報の設定値
設定あり
設定あり
設定なし
次の情報を比較して,小さい方の値
• ポートの最大フレーム長で指定したポート内の最小値
−18
• 9216
設定あり
設定なし
設定なし
次の情報を比較して,小さい方の値
• 全ポート共通の最大フレーム長の設定値−18
• 9216
設定なし
設定あり
設定あり
次の情報を比較して,小さい方の値
• ポートの最大フレーム長で指定したポート内の最小値
−18
• IP MTU 情報の設定値
設定なし
設定なし
設定あり
次の情報を比較して,小さい方の値
• IP MTU 情報の設定値
• 1500
設定なし
設定あり
設定なし
次の情報を比較して,小さい方の値
• ポートの最大フレーム長で指定したポート内の最小値
−18
• 9216
設定なし
設定なし
設定なし
1500
注1
回線種別が 10BASE-T(全二重および半二重)または 100BASE-TX(半二重)の場合は,設定内容に関係なく,IP
MTU の最大値は 1500 です。
注2
最大フレーム長は,FCS を除いた Ethernet V2 形式フレームの最大長です。
(a) インタフェースとポートが 1 対 1 に対応する場合の IP MTU 値
イーサネットインタフェースやイーサネットサブインタフェースに IP アドレスを設定したインタフェース
の IP MTU 値は次のように決定します。
図 19‒2 インタフェースとポートが 1 対 1 に対応する場合の IP MTU 値の例
366
19 IP インタフェースとサブインタフェース
● IP MTU 情報を設定しない場合の各インタフェースの IP MTU 値
IP MTU の決定値
サブインタフェース A:2000
サブインタフェース B:2000
インタフェース 2:2000
インタフェース 3:3000
● IP MTU 情報を設定した場合の各インタフェースの IP MTU 値
設定する IP MTU 長
サブインタフェース A:1000
サブインタフェース B:3000
インタフェース 2:2500
インタフェース 3:2500
IP MTU の決定値
サブインタフェース A:1000
サブインタフェース B:2000
インタフェース 2:2000
インタフェース 3:2500
(b) インタフェースとポートが 1 対 n に対応する場合の IP MTU 値
ポートチャネルインタフェースや VLAN インタフェースのように,複数のポートが対応するインタフェー
スの IP MTU 値は次のように決定します。
図 19‒3 ポートチャネルインタフェースの IP MTU 値の例
● IP MTU 情報を設定しない場合の各インタフェースの IP MTU 値
IP MTU の決定値
ポートチャネル 10:2000
ポートチャネル 20:2500
● IP MTU 情報を設定した場合の各インタフェースの IP MTU 値
設定する IP MTU 長
ポートチャネル 10:1000
367
19 IP インタフェースとサブインタフェース
ポートチャネル 20:3000
IP MTU の決定値
ポートチャネル 10:1000
ポートチャネル 20:2500
図 19‒4 VLAN インタフェースの IP MTU 値の例
● IP MTU 情報を設定しない場合の各インタフェースの IP MTU 値
IP MTU の決定値
VLAN 100:1600
VLAN 200:1900
368
19 IP インタフェースとサブインタフェース
19.2 コンフィグレーション
19.2.1 コンフィグレーションコマンド一覧
IP インタフェースとサブインタフェースのコンフィグレーションコマンド一覧を次の表に示します。
表 19‒5 コンフィグレーションコマンド一覧
コマンド名
説明
description
サブインタフェースの補足説明を設定します。
encapsulation dot1q
サブインタフェースに VLAN Tag の VLAN ID を設定します。
shutdown
サブインタフェースをシャットダウンに設定します。
interface gigabitethernet※1
10BASE-T/100BASE-TX/1000BASE-T/1000BASE-X のイーサネッ
トインタフェースまたはイーサネットサブインタフェースを設定します。
interface hundredgigabitethernet※1
100GBASE-R のイーサネットインタフェースまたはイーサネットサブイ
ンタフェースを設定します。
interface tengigabitethernet※1
10GBASE-R のイーサネットインタフェースまたはイーサネットサブイ
ンタフェースを設定します。
interface port-channel※2
ポートチャネルインタフェースまたはポートチャネルサブインタフェー
スを設定します。
interface vlan※3
VLAN インタフェースを設定します。
vlan-mac※3
VLAN ごと MAC アドレスを使用することを設定します。
vlan-mac-prefix※3
VLAN ごと MAC アドレスのプレフィックスを設定します。
vlan-mac-suffix vlan-id※3
VLAN ごと MAC アドレスのサフィックスを設定します。
ip address※4
インタフェースの IPv4 アドレスを設定します。
注※1
「コンフィグレーションコマンドレファレンス Vol.1 15. イーサネット」を参照してください。
注※2
「コンフィグレーションコマンドレファレンス Vol.1 16. リンクアグリゲーション」を参照してください。
注※3
「コンフィグレーションコマンドレファレンス Vol.2 3. VLAN」を参照してください。
注※4
「コンフィグレーションコマンドレファレンス Vol.3 2. IPv4・ARP・ICMP」を参照してください。
19.2.2 IP インタフェースの設定
(1) イーサネットインタフェースの設定
[設定のポイント]
イーサネットのコンフィグレーションモードで IP アドレスを設定します。
[コマンドによる設定]
369
19 IP インタフェースとサブインタフェース
1. (config)# interface gigabitethernet 1/10
イーサネットインタフェース 1/10 のコンフィグレーションモードに移行します。
2. (config-if)# ip address 192.0.2.1 255.255.255.0
イーサネットインタフェース 1/10 に IP アドレスを設定します。
(2) イーサネットサブインタフェースの設定
[設定のポイント]
イーサネットサブインタフェースのコンフィグレーションモードで VLAN Tag の VLAN ID と IP ア
ドレスを設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10.5
イーサネットサブインタフェース 1/10.5 のコンフィグレーションモードに移行します。
2. (config-subif)# encapsulation dot1q 100
イーサネットサブインタフェース 1/10.5 に VLAN Tag の VLAN ID として 100 を設定します。
3. (config-subif)# ip address 192.0.2.1 255.255.255.0
イーサネットサブインタフェース 1/10.5 に IP アドレスを設定します。
(3) ポートチャネルインタフェースの設定
[設定のポイント]
ポートチャネルのコンフィグレーションモードで IP アドレスを設定します。
[コマンドによる設定]
1. (config)# interface port-channel 10
ポートチャネルインタフェース 10 のコンフィグレーションモードに移行します。
2. (config-if)# ip address 192.0.2.1 255.255.255.0
ポートチャネルインタフェースに IP アドレスを設定します。
(4) ポートチャネルサブインタフェースの設定
[設定のポイント]
ポートチャネルサブインタフェースのコンフィグレーションモードで VLAN Tag の VLAN ID と IP
アドレスを設定します。
[コマンドによる設定]
1. (config)# interface port-channel 10.110
ポートチャネルサブインタフェース 10.110 のコンフィグレーションモードに移行します。
2. (config-subif)# encapsulation dot1q 100
ポートチャネルサブインタフェース 10.110 に VLAN Tag の VLAN ID として 100 を設定します。
3. (config-subif)# ip address 192.0.2.1 255.255.255.0
ポートチャネルサブインタフェース 10.110 に IP アドレスを設定します。
370
19 IP インタフェースとサブインタフェース
(5) VLAN インタフェースの設定
[設定のポイント]
VLAN インタフェースのコンフィグレーションモードで IP アドレスを設定します。
[コマンドによる設定]
1. (config)# interface vlan 10
VLAN インタフェース 10 のコンフィグレーションモードに移行します。指定した VLAN ID が未設
定の VLAN ID の場合,自動でポート VLAN を作成して vlan コマンドが設定されます。
2. (config-if)# ip address 192.168.1.1 255.255.255.0
VLAN 10 に IP アドレスを設定します。
19.2.3 IP インタフェースの削除
(1) イーサネットインタフェースの削除
[設定のポイント]
イーサネットインタフェースから IP アドレスを削除します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/1
イーサネットインタフェース 1/1 のコンフィグレーションモードに移行します。
2. (config-if)# no ip address 192.0.2.1
イーサネットインタフェース 1/1 から IP アドレスの設定を削除します。
(2) イーサネットサブインタフェースの削除
[設定のポイント]
イーサネットサブインタフェースを削除する場合,IP アドレスと VLAN Tag の設定を削除してから,
イーサネットサブインタフェースを削除します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/1.5
イーサネットサブインタフェース 1/1.5 のコンフィグレーションモードに移行します。
2. (config-subif)# no ip address 192.0.2.1
イーサネットサブインタフェース 1/1.5 から IP アドレスの設定を削除します。
3. (config-subif)# no encapsulation dot1q
(config-subif)# exit
イーサネットサブインタフェース 1/1.5 から VLAN Tag の設定を削除して,グローバルコンフィグ
レーションモードに戻ります。
4. (config)# no interface gigabitethernet 1/1.5
イーサネットサブインタフェース 1/1.5 を削除します。
371
19 IP インタフェースとサブインタフェース
(3) ポートチャネルインタフェースの削除
[設定のポイント]
ポートチャネルインタフェースから IP アドレスを削除します。
[コマンドによる設定]
1. (config)# interface port-channel 10
ポートチャネルインタフェース 10 のコンフィグレーションモードに移行します。
2. (config-if)# no ip address 192.0.2.1
ポートチャネルインタフェース 10 から IP アドレスの設定を削除します。
(4) ポートチャネルサブインタフェースの削除
[設定のポイント]
ポートチャネルサブインタフェースを削除する場合,IP アドレスと VLAN Tag の設定を削除してか
ら,ポートチャネルサブインタフェースを削除します。
[コマンドによる設定]
1. (config)# interface port-channel 3.5
ポートチャネルサブインタフェース 3.5 のコンフィグレーションモードに移行します。
2. (config-subif)# no ip address 192.0.2.1
ポートチャネルサブインタフェース 3.5 から IP アドレスの設定を削除します。
3. (config-subif)# no encapsulation dot1q
(config-subif)# exit
ポートチャネルサブインタフェース 3.5 から VLAN Tag の設定を削除して,グローバルコンフィグ
レーションモードに戻ります。
4. (config)# no interface port-channel 3.5
ポートチャネルサブインタフェース 3.5 を削除します。
(5) VLAN インタフェースの削除
[設定のポイント]
VLAN インタフェースを削除する場合,IP アドレスの設定を削除してから,VLAN インタフェースを
削除します。
[コマンドによる設定]
1. (config)# interface vlan 10
VLAN インタフェース 10 のコンフィグレーションモードに移行します。
2. (config-if)# no ip address 192.168.1.1
(config-if)# exit
VLAN 10 から IP アドレスの設定を削除して,グローバルコンフィグレーションモードに戻ります。
3. (config)# no interface vlan 10
VLAN インタフェース 10 を削除します。VLAN インタフェース 10 を削除すると,ポート VLAN 10
も削除されます。
372
19 IP インタフェースとサブインタフェース
19.2.4 VLAN インタフェースの MAC アドレス
VLAN を IP インタフェースとして使用する場合,VLAN インタフェースごとに MAC アドレスを付けら
れます。MAC アドレスは vlan-mac-prefix コマンドおよび vlan-mac コマンドで設定します。また,
MAC アドレスの下位 16bit に VLAN ID の値を使用する場合は,vlan-mac-suffix vlan-id コマンドを設
定します。
MAC アドレスの値は,IPv4 の場合は運用コマンド show ip interface,IPv6 の場合は運用コマンド show
ipv6 interface で確認できます。
(1) VLAN ごと MAC アドレスのプレフィックスの設定
[設定のポイント]
VLAN ごと MAC アドレスは,vlan-mac-prefix コマンドで上位 32bit までのプレフィックスを指定
し,かつ VLAN インタフェースごとに vlan-mac コマンドで VLAN ごと MAC アドレスを使用するこ
とを設定します。
[コマンドによる設定]
1. (config)# vlan-mac-prefix 0012.e200.0000 ffff.ffff.0000
VLAN ごと MAC アドレスに使用するプレフィックス(上位 32bit)を指定します。マスクは 32bit で
指定する場合 ffff.ffff.0000 です。
2. (config)# interface vlan 10
VLAN インタフェース 10 のコンフィグレーションモードに移行します。
3. (config-if)# vlan-mac
VLAN インタフェース 10 で VLAN ごと MAC アドレスを使用することを設定します。
[注意事項]
VLAN ごと MAC アドレスの設定で,VLAN インタフェースの MAC アドレスが変更になります。
MAC アドレスを変更した VLAN の IP インタフェースはいったんダウンし,通信が停止します。その
後,IP インタフェースはアップし,通信が再開します。
(2) VLAN ごと MAC アドレスのサフィックスの設定
[設定のポイント]
生成する VLAN ごと MAC アドレスの下位 16bit に,VLAN ID の値を使用することを設定します。
vlan-mac-suffix vlan-id コマンドの設定後,設定を装置に反映させるために,コンフィグレーションを
保存してから装置を再起動してください。
本設定は,装置の運用開始時に実施してください。運用開始後に設定する場合は,装置のコンフィグ
レーションをいったん工場出荷時の初期状態に戻してから設定してください。
[コマンドによる設定]
1. (config)# vlan-mac-prefix 0012.e200.0000 ffff.ffff.0000
VLAN ごと MAC アドレスに使用するプレフィックス(上位 32bit)を指定します。
2. (config)# vlan-mac-suffix vlan-id
VLAN ごと MAC アドレスの下位 16bit に VLAN ID の値を使用することを設定します。このコマン
ドの設定後,コンフィグレーションを保存してから装置を再起動してください。
3. (config)# interface vlan 10
373
19 IP インタフェースとサブインタフェース
VLAN インタフェース 10 のコンフィグレーションモードに移行します。
4. (config-if)# vlan-mac
VLAN インタフェース 10 で VLAN ごと MAC アドレスを使用することを設定します。
[注意事項]
サフィックスの設定を変更して装置を再起動するとき,コンフィグレーションの設定量に応じて,装置
の起動に通常よりも長い時間が掛かることがあります。初期導入時のコンフィグレーションに戻した
状態で,サフィックスを設定してください。
19.2.5 サブインタフェースのシャットダウン
[設定のポイント]
サブインタフェースはイーサネットおよびポートチャネルと同じようにシャットダウンに設定できま
す。サブインタフェース単位で設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/10.5
イーサネットサブインタフェース 1/10.5 のコンフィグレーションモードに移行します。
2. (config-subif)# shutdown
イーサネットサブインタフェース 1/10.5 をシャットダウンします。
3. (config-subif)# *****
イーサネットサブインタフェース 1/10.5 に対するコンフィグレーションを設定します。
4. (config-subif)# no shutdown
イーサネットサブインタフェース 1/10.5 のシャットダウンを解除します。
[関連事項]
運用コマンド inactivate でサブインタフェースの運用を停止することもできます。ただし,inactivate
コマンドで inactive 状態とした場合は,装置を再起動するとサブインタフェースが active 状態になり
ます。サブインタフェースをシャットダウンした場合は,装置を再起動してもサブインタフェースは
disable 状態のままです。サブインタフェースを active 状態にするにはコンフィグレーションで no
shutdown を設定して,シャットダウンを解除する必要があります。
374
19 IP インタフェースとサブインタフェース
19.3 オペレーション
19.3.1 運用コマンド一覧
IP インタフェースとサブインタフェースの運用コマンド一覧を次の表に示します。
表 19‒6 運用コマンド一覧
コマンド名
説明
activate
inactive 状態のサブインタフェースを active 状態にします。
inactivate
active 状態のサブインタフェースを inactive 状態にします。
show interfaces summary
サブインタフェースの状態を表示します。
show ip-dual interface※1
IPv4 と IPv6 の IP インタフェースの状態および統計情報を表示します。
show ip interface※1
IPv4 の IP インタフェースの状態および統計情報を表示します。
clear ip interface statistics※1
IPv4 の IP インタフェースの統計情報をクリアします
show ipv6 interface※2
IPv6 の IP インタフェースの状態および統計情報を表示します。
clear ipv6 interface statistics※2
IPv6 の IP インタフェースの統計情報をクリアします。
注※1
「運用コマンドレファレンス Vol.3 2. IPv4・ARP・ICMP」を参照してください。
注※2
「運用コマンドレファレンス Vol.3 3. IPv6・NDP・ICMPv6」を参照してください。
19.3.2 IP インタフェースの状態および統計情報の確認
show ip-dual interface コマンドで IP インタフェースの状態と統計情報を確認できます。イーサネット
サブインタフェースを指定した show ip-dual interface コマンドの実行結果を次の図に示します。
図 19‒5 show ip-dual interface コマンドの実行結果
>show ip-dual interface gigabitethernet 1/2.5 detail
Date 20XX/01/01 12:00:00 UTC
Eth1/2.5
VRF: 10
Status: UP,MULTICAST,BROADCAST
mtu: 1500
MAC address: 0012.e286.5300
IPv4: 192.0.2.1/24 broadcast 192.0.2.255 PRIMARY,SUBNETBROD
IPv4: 192.0.2.10/24 broadcast 192.0.2.255 VRRP
IPv6: 2001:db8:100::1/64
IPv6: fe80::212:e2ff:fe86:5300%Eth1/2.5/64
IPv4 uRPF: Strict Mode VRRP: Enable
Multicast Routing: Disable
IPv6 uRPF: Strict Mode VRRP: Disable Multicast Routing: Disable
Time-since-last-status-change: 30,00:10:00
Last down at: 20XX/01/01 11:00:00 UTC
VLAN ID: 100
Description: subnetwork100
Detail status: Disable
[Out octets/packets counter]
IPv4 Out All octets
:
20000
IPv6 Out All octets
:
60000
IPv4 Out All packets
:
250
IPv6 Out All packets
:
750
IPv4 Out Discards packets
:
130
IPv6 Out Discards packets
:
290
IPv4 Out Discards(BCU-CPU) packets:
4
375
19 IP インタフェースとサブインタフェース
IPv6 Out Discards(BCU-CPU) packets:
[In octets/packets counter]
IPv4 In All octets
:
IPv6 In All octets
:
IPv4 In All packets
:
IPv6 In All packets
:
IPv4 In Error packets
:
IPv6 In Error packets
:
IPv4 In Discards packets
:
IPv6 In Discards packets
:
IPv4 In NoRoutes packets
:
IPv6 In NoRoutes packets
:
IPv4 In Error(BCU-CPU) packets
:
IPv6 In Error(BCU-CPU) packets
:
IPv4 In Discards(BCU-CPU) packets :
IPv6 In Discards(BCU-CPU) packets :
376
6
28000
36000
350
450
50
75
15
20
30
40
25
35
2
3
付録
377
付録 A 準拠規格
付録 A 準拠規格
付録 A.1 TELNET/FTP
表 A‒1 TELNET/FTP の準拠規格および勧告
規格番号(発行年月)
規格名
RFC854(1983 年 5 月)
TELNET PROTOCOL SPECIFICATION
RFC855(1983 年 5 月)
TELNET OPTION SPECIFICATIONS
RFC959(1985 年 10 月)
FILE TRANSFER PROTOCOL (FTP)
付録 A.2 RADIUS/TACACS+
表 A‒2 RADIUS/TACACS+の準拠規格および勧告
規格番号(発行年月)
規格名
RFC2865(2000 年 6 月)
Remote Authentication Dial In User Service(RADIUS)
RFC2866(2000 年 6 月)
RADIUS Accounting
RFC3162(2001 年 8 月)
RADIUS and IPv6
draft-grant-tacacs-02
The TACACS+ Protocol Version 1.78
(1997 年 1 月)
付録 A.3 NTP
表 A‒3 NTP の準拠規格および勧告
規格番号(発行年月)
RFC1305(1992 年 3 月)
規格名
Network Time Protocol (Version 3) Specification,
Implementation and Analysis
付録 A.4 SNTP
表 A‒4 SNTP の準拠規格および勧告
規格番号(発行年月)
RFC5905(2010 年 6 月)
規格名
Network Time Protocol Version 4: Protocol and Algorithms
Specification
付録 A.5 DNS
表 A‒5 DNS リゾルバの準拠規格および勧告
規格番号(発行年月)
RFC1034(1987 年 3 月)
378
規格名
Domain names - concepts and facilities
付録 A 準拠規格
規格番号(発行年月)
RFC1035(1987 年 3 月)
規格名
Domain names - implementation and specification
付録 A.6 SYSLOG
表 A‒6 SYSLOG の準拠規格および勧告
規格番号(発行年月)
規格名
RFC3164(2001 年 8 月)
The BSD syslog Protocol
RFC5424(2009 年 3 月)
The Syslog Protocol
付録 A.7 SNMP
表 A‒7 SNMP の準拠規格および勧告
規格番号(発行年月)
規格名
RFC1155(1990 年 5 月)
Structure and Identification of Management Information for
TCP/IP-based Internets
RFC1157(1990 年 5 月)
A Simple Network Management Protocol (SNMP)
RFC1901(1996 年 1 月)
Introduction to Community-based SNMPv2
RFC1902(1996 年 1 月)
Structure of Management Information for Version 2 of the
Simple Network Management Protocol (SNMPv2)
RFC1903(1996 年 1 月)
Textual Conventions for Version 2 of the Simple Network
Management Protocol (SNMPv2)
RFC1904(1996 年 1 月)
Conformance Statements for Version 2 of the Simple
Network Management Protocol (SNMPv2)
RFC1905(1996 年 1 月)
Protocol Operations for Version 2 of the Simple Network
Management Protocol (SNMPv2)
RFC1906(1996 年 1 月)
Transport Mappings for Version 2 of the Simple Network
Management Protocol (SNMPv2)
RFC1907(1996 年 1 月)
Management Information Base for Version 2 of the Simple
Network Management Protocol (SNMPv2)
RFC1908(1996 年 1 月)
Coexistence between Version 1 and Version 2 of the
Internet-standard Network Management Framework
RFC2578(1999 年 4 月)
Structure of Management Information Version 2 (SMIv2)
RFC2579(1999 年 4 月)
Textual Conventions for SMIv2
RFC2580(1999 年 4 月)
Conformance Statements for SMIv2
RFC3410(2002 年 12 月)
Introduction and Applicability Statements for Internet
Standard Management Framework
RFC3411(2002 年 12 月)
An Architecture for Describing Simple Network
Management Protocol (SNMP) Management Frameworks
379
付録 A 準拠規格
規格番号(発行年月)
規格名
RFC3412(2002 年 12 月)
Message Processing and Dispatching for the Simple Network
Management Protocol (SNMP)
RFC3413(2002 年 12 月)
Simple Network Management Protocol (SNMP) Applications
RFC3414(2002 年 12 月)
User-based Security Model (USM) for version 3 of the
Simple Network Management Protocol (SNMPv3)
RFC3415(2002 年 12 月)
View-based Access Control Model (VACM) for the Simple
Network Management Protocol (SNMP)
RFC3416(2002 年 12 月)
Version 2 of the Protocol Operations for the Simple
Network Management Protocol (SNMP)
RFC3417(2002 年 12 月)
Transport Mappings for the Simple Network Management
Protocol (SNMP)
RFC3584(2003 年 8 月)
Coexistence between Version 1, Version 2, and Version 3 of
the Internet- standard Network Management Framework
表 A‒8 MIB の準拠規格および勧告
規格番号(発行年月)
380
規格名
IEEE8023-LAG-MIB(2000 年 3 月)
Aggregation of Multiple Link Segments
RFC1158(1990 年 5 月)
Management Information Base for Network Management of
TCP/IP-based internets: MIB-II
RFC1213(1991 年 3 月)
Management Information Base for Network Management of
TCP/IP-based internets: MIB-II
RFC1215(1991 年 3 月)
A Convention for Defining Traps for use with the SNMP
RFC1354(1992 年 7 月)
IP Forwarding Table MIB
RFC1643(1994 年 7 月)
Definitions of Managed Objects for the Ethernet-like
Interface Types
RFC1657(1994 年 7 月)
Definitions of Managed Objects for the Fourth Version of
the Border Gateway Protocol (BGP-4) using SMIv2
RFC2452(1998 年 12 月)
IP Version 6 Management Information Base for the
Transmission Control Protocol
RFC2454(1998 年 12 月)
IP Version 6 Management Information Base for the User
Datagram Protocol
RFC2465(1998 年 12 月)
Management Information Base for IP Version 6: Textual
Conventions and General Group
RFC2466(1998 年 12 月)
Management Information Base for IP Version 6: ICMPv6
Group
RFC2787(2000 年 3 月)
Definitions of Managed Objects for the Virtual Router
Redundancy Protocol
RFC2819(2000 年 5 月)
Remote Network Monitoring Management Information Base
付録 A 準拠規格
規格番号(発行年月)
規格名
RFC2863(2000 年 6 月)
The Interfaces Group MIB
RFC2934(2000 年 10 月)
Protocol Independent Multicast MIB for IPv4
RFC3411(2002 年 12 月)
An Architecture for Describing Simple Network
Management Protocol (SNMP) Management Frameworks
RFC3412(2002 年 12 月)
Message Processing and Dispatching for the Simple Network
Management Protocol (SNMP)
RFC3413(2002 年 12 月)
Simple Network Management Protocol (SNMP) Applications
RFC3414(2002 年 12 月)
User-based Security Model (USM) for version 3 of the
Simple Network Management Protocol (SNMPv3)
RFC3415(2002 年 12 月)
View-based Access Control Model (VACM) for the Simple
Network Management Protocol (SNMP)
RFC3418(2002 年 12 月)
Management Information Base (MIB) for the Simple
Network Management Protocol (SNMP)
RFC3635(2003 年 9 月)
Definitions of Managed Objects for the Ethernet-like
Interface Types
RFC4022(2005 年 3 月)
Management Information Base for the Transmission Control
Protocol (TCP)
RFC4113(2005 年 6 月)
Management Information Base for the User Datagram
Protocol (UDP)
RFC4188(2005 年 9 月)
Definitions of Managed Objects for Bridges
RFC4293(2006 年 4 月)
Management Information Base for the Internet Protocol (IP)
RFC4363(2006 年 1 月)
Definitions of Managed Objects for Bridges with Traffic
Classes, Multicast Filtering, and Virtual LAN Extensions
RFC4750(2006 年 12 月)
OSPF Version 2 Management Information Base
RFC5132(2007 年 12 月)※
IP Multicast MIB
RFC5643(2009 年 8 月)
Management Information Base for OSPFv3
draft-ietf-vrrp-unified-mib-04
(2005 年 9 月)
Definitions of Managed Objects for the VRRP over IPv4 and
IPv6
draft-ietf-bfd-mib-13
BFD Management Information Base
(2013 年 6 月)
注※ この規格は IPv4 関連部だけ準拠しています。
付録 A.8 イーサネット
表 A‒9 イーサネットインタフェースの準拠規格および勧告
種別
10BASE-T,
規格
IEEE Std 802.3x-1997
規格名
Specification for 802.3x Full Duplex Operation
381
付録 A 準拠規格
種別
100BASE-TX,
規格
規格名
IEEE Std 802.2, 1998
Edition
IEEE Standard for Information Technology Telecommunications andInformation Exchange Between
Systems - Local and Metropolitan Area Networks - Specific
Requirements - Part 2: Logical Link Control
100GBASE-R
IEEE Std 802.3 2008
Edition
Carrier sense multiple access with collision detection
(CSMA/CD) access method and physical layer
Specifications
100GBASE-R
IEEE Std 802.3ba
2010
Media Access Control (MAC) Parameters, Physical Layer,
and Management Parameters for 40Gb/s and 100Gb/s
Operation
1000BASE-T,
1000BASE-X,
10GBASE-R,
付録 A.9 リンクアグリゲーション
表 A‒10 リンクアグリゲーションの準拠規格および勧告
規格
IEEE802.1AX
(IEEE Std 802.1AX-2008)
382
規格名
Aggregation of Multiple Link Segments
付録 B 謝辞(Acknowledgments)
付録 B 謝辞(Acknowledgments)
This product includes software developed at the Information Technology Division, US Naval
Research Laboratory.
This product includes software developed by Adam Glass and Charles M. Hannum.
This product includes software developed by Adam Glass.
This product includes software developed by Berkeley Software Design, Inc.
This product includes software developed by Brini.
This product includes software developed by Bruce M. Simpson.
This product includes software developed by Charles D. Cranor and Washington University.
This product includes software developed by Charles D. Cranor, Washington University, the
University of California, Berkeley and its contributors.
This product includes software developed by Charles M. Hannum.
This product includes software developed by Christopher G. Demetriou for the NetBSD Project.
This product includes software developed by Christopher G. Demetriou.
This product includes software developed by Christos Zoulas.
This product includes software developed by Chuck Silvers.
This product includes software developed by Computing Services at Carnegie Mellon University
(http://www.cmu.edu/computing/).
This product includes software developed by Darrin B. Jewell
This product includes software developed by Eduardo Horvath.
This product includes software developed by Emmanuel Dreyfus
This product includes software developed by Frank van der Linden for the NetBSD Project.
This product includes software developed by Gordon W. Ross
This product includes software developed by Gordon W. Ross and Leo Weppelman.
This product includes software developed by Internet Initiative Japan Inc.
This product includes software developed by Jason L. Wright
This product includes software developed by Jason R. Thope for And Communications, http://
www.and.com/
This product includes software developed by John Polstra.
This product includes software developed by Jonathan Stone and Jason R. Thorpe for the
NetBSD Project.
383
付録 B 謝辞(Acknowledgments)
This product includes software developed by Jonathan Stone for the NetBSD Project.
This product includes software developed by Kenneth Stailey.
This product includes software developed by Leo Weppelman.
This product includes software developed by Manuel Bouyer.
This product includes software developed by Mats O Jansson.
This product includes software developed by Michael Graff.
This product includes software developed by Michael Shalayeff.
This product includes software developed by Niels Provos.
This product includes software developed by Paul Mackerras <paulus@samba.org>.
This product includes software developed by Pedro Roque Marques <pedro_m@yahoo.com>
This product includes software developed by Rolf Grossmann.
This product includes software developed by Ross Harvey for the NetBSD Project.
This product includes software developed by Softweyr LLC, the University of California,
Berkeley, and its contributors.
This product includes software developed by Terrence R. Lambert.
This product includes software developed by TooLs GmbH.
This product includes software developed by WIDE Project and its contributors.
This product includes software developed by Winning Strategies, Inc.
This product includes software developed by Yen Yen Lim and North Dakota State University
This product includes software developed by Zembu Labs, Inc.
This product includes software developed by the Alice Group.
This product includes software developed by the Charles D. Cranor, Washington University,
University of California, Berkeley and its contributors.
This product includes software developed by the Computer Systems Engineering Group at
Lawrence Berkeley Laboratory.
This product includes software developed by the NetBSD Foundation, Inc. and its contributors.
This product includes software developed by the SMCC Technology Development Group at Sun
Microsystems, Inc.
This product includes software developed by the University of California, Berkeley and its
contributors.
This product includes software developed by the University of California, Lawrence Berkeley
Laboratories.
384
付録 B 謝辞(Acknowledgments)
This product includes software developed by the University of California, Lawrence Berkeley
Laboratory and its contributors.
This product includes software developed by the University of California, Lawrence Berkeley
Laboratory.
This product includes software developed for the NetBSD Project by Jason R. Thorpe.
This product includes software developed for the NetBSD Project by Perry E. Metzger.
This product includes software developed for the NetBSD Project by Frank van der Linden
This product includes software developed for the NetBSD Project by John M. Vinopal.
This product includes software developed for the NetBSD Project by Wasabi Systems, Inc.
This product includes software developed for the NetBSD Project. See http://www.NetBSD.org/
for information about NetBSD.
This product includes software written by Tim Hudson (tjh@cryptsoft.com)
385
索引
A
L
absolute 方式〔MIB 監視〕
alarm グループ 271
272
LLC 副層フレームフォーマット
M
B
BCU 初期導入ソフトウェアからのアップデート 219
BCU 初期導入ソフトウェアからのアップデートに関
する運用コマンド一覧 221
BCU 二重化に関する運用コマンド一覧
233
C
CLI 環境情報 64
CLI 設定のカスタマイズ
160
RADIUS
124
RADIUS/TACACS+に関するコンフィグレーション
コマンド一覧 148
272
G
GetBulkRequest オペレーション
GetNextRequest オペレーション
259
261
260
H
history グループ
MIB オブジェクトの表し方 258
MIB 概説 257
MIB 構造 257
MIB 取得の例 254
MIB を設定できない場合の応答 261
R
272
GetRequest オペレーション
325
317
NTP のコンフィグレーションコマンド一覧
E
event グループ
MAC 副層フレームフォーマット
MDI/MDI-X のピンマッピング
N
64
D
delta 方式〔MIB 監視〕
325
271
I
Inform 269
IPv4/IPv6 SNMP マネージャからの MIB 要求と応答
の例 255
IP アドレスによるオペレーション制限 263
IP アドレスの設定〔本装置〕 108
IP インタフェース 361
IP インタフェースとサブインタフェースの運用コマ
ンド一覧 375
IP インタフェースとサブインタフェースのコンフィ
グレーションコマンド一覧 369
RADIUS/TACACS+の解説 124
RADIUS/TACACS+の概要 124
RADIUS/TACACS+の適用機能および範囲
RADIUS のサポート範囲 125
RMON MIB 271
125
S
SetRequest オペレーション 261
SFU/PRU/NIF の管理 201
SFU/PRU/NIF の管理に関する運用コマンド一覧
201
SFU/PRU/NIF の管理に関するコンフィグレーショ
ンコマンド一覧 201
SFU 冗長化に関する運用コマンド一覧 237
SNMP 253
SNMP/RMON に関する運用コマンド一覧 282
SNMP/RMON に関するコンフィグレーションコマ
ンド一覧 274
SNMPv1,SNMPv2C オペレーション 259
SNMPv3 オペレーション 264
SNMPv3 でのオペレーション制限 267
SNMPv3 による MIB アクセス許可の設定 275
SNMP エージェント 254
SNMP エンジン 256
387
索引
SNMP エンティティ 256
SNMP オペレーションのエラーステータスコード
264
SNMP 概説 254
SNMP で使用する IP アドレス 270
SNMP マネージャとの接続時の注意事項 272
SNTP のコンフィグレーションコマンド一覧 163
statistics グループ 271
TACACS+ 124
template モード 86
Trap 268
TYPE/LENGTH フィールドの意味
さ
サブインタフェース
361
時刻設定のコンフィグレーションコマンド一覧
時刻の設定と NTP/SNTP 155
325
い
イーサネット 313
イーサネットの運用コマンド一覧
338
イーサネットのコンフィグレーションコマンド一覧
330
インデックス 258
インフォーム 269
インフォーム概説 269
インフォームリクエストフォーマット 270
う
運用端末の接続とリモート操作に関する運用コマンド
一覧 111
運用端末の接続とリモート操作に関するコンフィグ
レーションコマンド一覧 106
運用ログ 246
え
264
こ
高機能スクリプト 285
高機能スクリプトの運用コマンド一覧
292
高機能スクリプトのコンフィグレーションコマンド一
覧 292
コマンド操作 57
コマンド入力モードの切り換えおよびユーティリティ
に関する運用コマンド一覧 58
コミュニティによるオペレーション 263
コミュニティによるオペレーション制限 263
コンソールの接続形態 50
コンフィグレーション 67
388
コンフィグレーションの編集および操作に関する運用
コマンド一覧 73
し
T
エラーステータスコード
コンフィグレーションの設定,編集および操作に関す
るコンフィグレーションコマンド一覧 72
157
時刻の設定と NTP/SNTP の運用コマンド一覧 165
時刻の設定の運用コマンド一覧 157
システム操作パネル 172
システムメッセージの出力とログの管理 245
システムメッセージの出力とログの管理の運用コマン
ド一覧 251
システムメッセージの出力とログの管理のコンフィグ
レーションコマンド一覧 247
自動 MDI/MDIX 機能 317
ジャンボフレーム 329
収容条件 15
受信フレームの廃棄条件 327
す
スタートアップメッセージ
172
せ
接続インタフェースごとの接続モードとサポート機能
315
接続インタフェース〔1000BASE-X〕 318
接続インタフェース〔100GBASE-R〕 320
接続インタフェース〔10BASE-T/100BASE-TX/
1000BASE-T〕 315
接続インタフェース〔10GBASE-R〕 320
接続時の注意事項〔1000BASE-X〕 319
接続時の注意事項〔100GBASE-R〕 321
接続時の注意事項〔10BASE-T/100BASE-TX/
1000BASE-T〕 318
接続時の注意事項〔10GBASE-R〕 320
接続仕様〔1000BASE-X〕 319
接続仕様〔100GBASE-R〕 320
接続仕様〔10BASE-T/100BASE-TX/1000BASE-T〕
316
接続仕様〔10GBASE-R〕 320
索引
そ
は
装置管理者モード変更のパスワードの設定および変更
117
装置起動とログイン 49
バックアップ・リストアに使用する運用コマンド一覧
205
パッドの扱い 327
装置構成 7
装置の確認に関する運用コマンド一覧 191
装置の確認に関するコンフィグレーションコマンド一
覧 191
装置の管理 171
装置の冗長化 227
装置のリソース設定に関する運用コマンド一覧 189
装置のリソース設定に関するコンフィグレーションコ
マンド一覧 189
ソフトウェア障害検出時の動作に関する運用コマンド
一覧 209
ソフトウェア障害検出時の動作に関するコンフィグ
レーションコマンド一覧 208
ソフトウェアの管理 211
ソフトウェアの管理に関する運用コマンド一覧 216
て
電源機構(PS)冗長化に関する運用コマンド一覧 243
電源機構(PS)冗長化に関するコンフィグレーション
コマンド一覧 242
伝送速度および,全二重および半二重モードごとの接
続仕様〔1000BASE-X〕 319
伝送速度および,全二重および半二重モードごとの接
続仕様〔10BASE-T/100BASE-TX/1000BASE-T〕
316
テンプレート 85
テンプレートパラメータ 85
と
標準 MIB
257
ふ
プライベート MIB 257
フレームフォーマット 325
ほ
ポーズパケットの受信設定とフローコントロール動作
322
ポーズパケットの送信設定とフローコントロール動作
322
ホスト名と DNS 167
ホスト名・DNS に関するコンフィグレーションコマン
ド一覧 169
本装置の概要 1
本装置のサポート MIB 259
ま
マネージメントポートで使用する運用コマンド一覧
111
マネージメントポートのコンフィグレーションコマン
ド一覧 106
め
メッセージの出力
統計ログ 246
同時にログインできるユーザ数の設定
119
トラップ 268
トラップ概説 268
トラップの例 255
トラップフォーマット(SNMPv1) 268
トラップフォーマット(SNMPv2C,SNMPv3) 269
に
認証方式シーケンス(end-by-reject 設定時) 132
認証方式シーケンス(end-by-reject 未設定時) 131
ね
ネットワーク管理
ひ
254
246
ゆ
ユーザ認証とプライバシー機能
256
り
リモート運用端末 52
リモート運用端末からのログインを許可する IP アド
レスの設定 119
リモート運用端末から本装置へのログイン 101
リモート運用端末と本装置との通信の確認 112
リモート運用端末の接続形態 50
リンクアグリゲーション 339
リンクアグリゲーション拡張機能のコンフィグレー
ションコマンド一覧 356
389
索引
リンクアグリゲーション基本機能のコンフィグレー
ションコマンド一覧 345
リンクアグリゲーションの運用コマンド一覧
359
ろ
ログイン制御の概要 115
ログインセキュリティと RADIUS/TACACS+
113
ログインセキュリティに関する運用コマンド一覧 114
ログインセキュリティに関するコンフィグレーション
コマンド一覧 114
ログインユーザの作成および削除 115
ログインユーザのパスワードの設定および変更 117
ログの保存 246
390
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Related manuals

Download PDF

advertising