ファブリックの初期化とスイッチの検出

この章は、次の内容で構成されています。

ファブリックの初期化

ファブリックの初期化について

スイッチを APIC で管理されるように追加し、GUI、CLI、または API を使用して手順を検証することによってファブリックを構築できます。


(注)  


ファブリックを構築するには、アウトオブバンド ネットワーク経由で APIC クラスタを事前に作成する必要があります。


ファブリック トポロジ (例)

ファブリック トポロジの例は次のとおりです。

  • 2 つのスパイン スイッチ(spine1、spine2)

  • 2 つのリーフ スイッチ(leaf1、leaf2)

  • APIC の 3 つのインスタンス(APIC1、APIC2、APIC3)

次の図は、ファブリック トポロジの例を示します。

図 1. ファブリック トポロジ例


接続:ファブリック トポロジ

ファブリック トポロジの接続の詳細例は次のとおりです。

名前 Connection Details

leaf1

eth1/1 = apic1(eth2/1)

eth1/2 = apic2(eth2/1)

eth1/3 = apic3(eth2/1)

eth1/49 = spine1(eth5/1)

eth1/50 = spine2(eth5/2)

leaf2

eth1/1 = apic1(eth 2/2)

eth1/2 = apic2(eth 2/2)

eth1/3 = apic3(eth 2/2)

eth1/49 = spine2(eth5/1)

eth1/50 = spine1(eth5/2)

spine1

eth5/1 = leaf1(eth1/49)

eth5/2 = leaf2(eth1/50)

spine2

eth5/1 = leaf2(eth1/49)

eth5/2 = leaf1(eth1/50)

マルチ階層ファブリック トポロジ (例)

3 階層コア集約アクセス アーキテクチャは、データ センター ネットワーク トポロジで共通です。Cisco APIC リリース 4.1(1) 時点で、コア集約アクセス アーキテクチャに対応するマルチ階層 ACI ファブリック トポロジを作成するため、ラックスペースや配線などコストが高いコンポーネントのアップグレードの必要性を軽減できます。階層 2 リーフ レイヤーを追加することで、このトポロジが可能になります。階層 2 リーフ レイヤーは、ダウンリンク ポート上のホストまたはサーバへの接続、およびアップリンク ポート上のリーフ レイヤー (集約) への接続をサポートします。

マルチ階層トポロジでは、リーフ スイッチには最初にスパイン スイッチへのアップリンク接続と、階層 2 リーフ スイッチへのダウンリンク接続があります。トポロジ全体を ACI ファブリックにするには、階層 2 リーフ ファブリック ポートに接続されているリーフ スイッチ上のすべてのポートが、ファブリック ポートとして設定されている必要があります (まだデフォルトのファブリック ポートを使用していない場合)。APIC が階層 2 リーフ スイッチを検出した後、階層 2 リーフ上のダウンリンク ポートをファブリック ポートに変更し、中間レイヤ リーフ上のアップリンク ポートに接続できます。


(注)  


デフォルトのファブリック ポートを使用してリーフ スイッチを階層 2 リーフに接続していない場合、リーフ ポートをダウンリンクからアップリンクに変換する必要があります (リーフ スイッチのリロードが必要です)。ポート接続の変更についての詳細は、『Cisco APIC 階層 2 ネットワーキング設定ガイド』の「アクセス インターフェイス」の章を参照してください。


次の図は、マルチ階層ファブリック トポロジの例を示します。

図 2. マルチ階層ファブリック トポロジ例

上の図のトポロジがリーフ集約レイヤに接続している Cisco APIC および L3Out/EPG を示しており、階層 2 リーフ アクセス レイヤは APIC および L3Out/EPG への接続もサポートしています。


(注)  


EX で終わるモデル番号の Cisco Nexus 9000 シリーズ スイッチは、階層 2 リーフ スイッチが接続されている場合、階層 2 リーフ スイッチおよびリーフ スイッチとしてサポートされます。次の表を参照してください。

リモート リーフ スイッチに接続されている階層 2 リーフ スイッチはサポートされていません。


表 1. マルチ階層アーキテクチャでサポートされているスイッチおよびポート速度

スイッチ

サポートされている最大ダウンリンク ポート* (階層 2 リーフ)

サポートされている最大ファブリック ポート (階層 2 リーフ)

サポートされている最大ファブリック ポート (階層 1 リーフ)

Nexus 93180YC-EX

48x1/10/25 Gbps

4x40/100 Gbps

48 x 10/25-Gbps

6 x 40/100-Gbps

48 x 10/25-Gbps

6 x 40/100-Gbps

Nexus 93108TC-EX

48x100M/1/10G BASE-T

4x40/100-Gpbs

6 x 40/100-Gbps

6 x 40/100-Gbps

N9K-9348GC-FXP* *

48 x 100M/1G BASE-T

4 x 10/25-Gbps

2 x 40/100-Gbps

4 x 10/25-Gbps

2 x 40/100-Gbps

N9K-93180YC-FX

48 x 1/10/25-Gbps

4x40/100 Gbps

48 x 10/25-Gbps

6 x 40/100-Gbps

48 x 10/25-Gbps

6 x 40/100-Gbps

N9K-93108TC-FX

48 x 100M/1/10G BASE-T

4x40/100 Gbps

6 x 40/100-Gbps

6 x 40/100-Gbps

N9K-93240YC-FX2

48x1/10/25 Gbps

10x40/100 Gbps

48x1/10/25 Gbps

12x40/100 Gbps

48x10/25-Gbps ファイバ ポート

12x40/100 Gbps

N9K-C9336C-FX2

34 x 40/100-Gbps

36 x 40/100-Gbps

36 x 40/100-Gbps

N9K-C93216TC-FX2* * *

96 x 10G BASE-T

10 x 40/100-Gbps

12 x 40/100-Gbps

12 x 40/100-Gbps

N9K-C93360YC-FX2* * *

96 x 10/25 Gbps

10 x 40/100-Gbps

52 x 10/25Gbps

12 x 40/100Gbps

52 x 10/25Gbps

12 x 40/100Gbps

N9K-C9364C-GX

62 x 40/100-Gbps

62 x 40/100-Gbps

62 x 40/100-Gbps

* 最後 2 個の元のファブリック ポートは、ダウンリンク ポートとして使用できません。

** 階層 2 リーフに多くの帯域幅が必要ない場合、ファイバ ポートが少なくても階層 1 として使用できます。銅ポートはファブリック ポートとして使用できません。

*** Cisco APIC リリース 4.1(1) 以降でサポートされます。

外部ロータブル サブネットの交換

次の手順では、これらの設定を行った後、サブネットまたは TEP テーブルの情報を変更する必要がある場合に、外部ロータブル サブネットを変更する方法について説明します。


(注)  


複数のサブネットを使用した外部ロータブル サブネット設定の変更はサポートされていません。


手順


ステップ 1

外部ロータブル サブネットを最初に設定したエリアに移動します。

  1. メニュー バーで、[ファブリック(Fabric)] > [インベントリ(Inventory)] をクリックします。

  2. [ナビゲーション (Navigation)] ウィンドウで、[ポッド ファブリック セットアップ ポリシー (Pod Fabric Setup Policy)] をクリックします。

  3. [ファブリック セットアップ ポリシー(Fabric Setup Policy)] パネルで、外部ロータブル サブネットを最初に設定したポッドをダブルクリックします。

    このポッドの [ポッド向けファブリック セットアップ ポリシー(Fabric Setup Policy for a POD)] ページが表示されます。

  4. APIC ソフトウェアのリリースに応じて、サブネットまたは TEP テーブルの情報を検索します。

    • 4.2(3) よりも前のリリースでは、ロータブル サブネット テーブルを検索します。

    • 4.2(3) の場合のみ、外部サブネット テーブルを見つけます。

    • 4.2(4) 以降では、外部 TEP テーブルを見つけます。

ステップ 2

テーブルで削除する外部ロータブル サブネットを検索し、そのサブネットの状態がアクティブまたは非アクティブに設定されているかどうかを確認します。

状態がアクティブに設定されている場合は、状態を非アクティブに変更します。

  1. 削除する既存の外部ロータブル サブネットのサブネットまたは TEP テーブルのエントリをダブルクリックします。

  2. サブネットの状態を非アクティブに変更し、[更新(Update)] をクリックします。

ステップ 3

既存の外部ロータブル サブネットを削除します。

  1. 削除する既存の外部ロータブル サブネットのサブネットまたは TE Pテーブルのエントリをクリックします。

  2. テーブルの上部にあるゴミ箱アイコンをクリックし、ポップアップ確認ウィンドウで [はい(Yes)] をクリックして、外部ロータブル サブネットを削除します。

ステップ 4

30 秒以上待ってから、新しい外部ロータブル サブネットを設定します。

  1. サブネットまたは TEP テーブルで [+] をクリックして、新しい外部ロータブル サブネットを設定します。

  2. 必要に応じて IP アドレスと予約アドレスを入力し、状態をアクティブまたは非アクティブに設定します。

    • IP アドレスは、ロータブル IP スペースとして設定するサブネット プレフィックスです。

    • 予約アドレスは、スパイン スイッチおよびリモート リーフ スイッチに動的に割り当ててはいけないサブネット内のアドレスの数です。カウントは常にサブネットの最初の IP から始まり、順番に増加します。このプールからユニキャスト TEP を割り当てる場合は、予約する必要があります。

  3. [更新(Update)] をクリックして、新しい外部ロータブル サブネットをサブネットまたは TEP テーブルに追加します。

  4. Fabric Setup Policy パネルで、Submit をクリックします。

ステップ 5

新しいロータブル IP アドレスが正常に設定されていることを確認します。

CLI を使用して APIC コントローラにログインし、次のコマンドを入力します。

apic1# avread | grep routableAddress

以下のような出力が表示されます。

routableAddress   14.3.0.228              14.3.0.229              14.3.1.228

ステップ 6

スパイン スイッチで作成された NAT エントリを確認します。

CLI を使用してスパイン スイッチにログインし、次のコマンドを入力します。

spine1# show nattable

以下のような出力が表示されます。


-----NAT TABLE---------
Private Ip  Routable Ip
----------  -----------
10.0.0.2    14.3.0.229 

10.0.0.1    14.3.0.228 

10.0.0.3    14.3.1.228 

スイッチの検出

APIC によるスイッチ検出

APIC は、ACI ファブリックの一部であるすべてのスイッチに対する自動プロビジョニングおよび管理の中心となるポイントです。単一のデータセンターには、複数の ACI ファブリックを組み込むことができます。各データセンターは、自身の APIC クラスタとファブリックの一部である Cisco Nexus 9000 シリーズ スイッチを持つことができます。スイッチが単一の APIC クラスタによってのみ管理されるようにするには、各スイッチがファブリックを管理するその特定の APIC クラスタに登録される必要があります。

APIC は、現在管理している任意のスイッチに直接接続されている新規スイッチを検出します。クラスタ内の各 APIC インスタンスは、直接接続されているリーフ スイッチのみを最初に検出します。リーフ スイッチが APIC で登録されると、APIC はリーフ スイッチに直接接続されているすべてのスパイン スイッチを検出します。各スパイン スイッチが登録されると、その APIC はそのスパイン スイッチに接続されているすべてのリーフ スイッチを検出します。このカスケード化された検出により、APIC は簡単なわずかな手順でファブリック トポロジ全体を検出することができます。

APIC クラスタによるスイッチ登録


(注)  


スイッチを登録する前に、ファブリック内のすべてのスイッチが物理的に接続され、適切な設定で起動されていることを確認します。シャーシの設置については、http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/products-installation-guides-list.htmlを参照してください。


スイッチが APIC で登録されると、そのスイッチは APIC で管理されるファブリック インベントリの一部となります。アプリケーション セントリック インフラストラクチャ ファブリック(ACI ファブリック)を使用すると、APIC はインフラストラクチャ内のスイッチのプロビジョニング、管理、およびモニタリングのシングル ポイントとなります。


(注)  


インフラストラクチャの IP アドレス範囲は、インバンドおよびアウトオブバンドのネットワーク用の ACI ファブリックで使用する他の IP アドレスと重複してはなりません。


スイッチ ロールの考慮事項

  • デフォルトのファブリック リンクは、別のスイッチからの最初のスイッチ検出に使用する必要があります。

  • デフォルトのスパイン スイッチが Cisco Application Policy Infrastructure ControllerAPIC)に直接接続されている場合、スイッチは自動的にリーフ スイッチに変換されます。

  • リーフ スイッチの場合、ポートが Cisco APIC に登録された後、ポートをダウンリンクまたはファブリック リンクに変換するようにポート プロファイルを設定できます。詳細については、 『Cisco APIC レイヤ 2 ネットワーキング設定ガイド 』を参照してください:

    https://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html#Configuration_Guides

次の表に、ロールを変更できるスイッチのデフォルト ロールを示します。

表 2. デフォルト ロール

スイッチ製品 ID

デフォルト ロール

ロール変更をサポートする最初のリリース1

N9K-C93600CD-GX

リーフ

5.2(1)

N9K-C9364C-GX

リーフ

5.1(3)

N9K-C9316D-GX

スパイン

5.1(4)

1指定されたスイッチのロール変更をサポートする最初のリリースを指定します。そのスイッチのロール変更は、以降のすべてのリリースでサポートされます。

GUI を使用した未登録スイッチの登録


(注)  


インフラストラクチャの IP アドレス範囲は、インバンドおよびアウトオブバンドのネットワーク用の ACI ファブリックで使用する他の IP アドレスと重複してはなりません。


始める前に

ファブリック内のすべてのスイッチが物理的に接続され、起動されていることを確認します。

手順


ステップ 1

メニュー バーで、 [Fabric] > [Inventory] を選択します。

ステップ 2

[Navigation] ペインで、[Fabric Membership] を選択します。

ステップ 3

[作業(Work)] ペインで、[登録保留中のノード(Nodes Pending Registration)] タブをクリックします。

[登録保留中のノード (Nodes Pending Registration)] タブ表のスイッチには、次の条件が存在する可能性があります。

  • 新しく検出され、未登録のノードに、0 のノード ID があり、IP アドレスがありません。

  • 手動で入力し(Cisco Application Policy Infrastructure ControllerAPIC))未登録のスイッチは、ネットワークに物理的に接続されるまで、元のステータスは [未検出 (Undiscovered)] になります。接続されると、ステータスが [検出済み (Discovered)] になります。

ステップ 4

[登録保留中のノード (Nodes Pending Registration)] 表で、0 の ID を持つスイッチまたは登録するシリアル番号を持つ新しく接続されたスイッチを検索します。

ステップ 5

(任意) ノードに関する詳細情報を表示するには、そのノードの行をダブルクリックします。

ACI-mode スイッチのリリースや LLDP ネイバーに関する情報など、さまざまなノード プロパティを示すダイアログが表示されます。

ステップ 6

そのスイッチ行を右クリックして、[登録(Register)] を選択し、次のアクションを実行します。

  1. 表示されているシリアル番号を確認し、どのスイッチを追加するか決定します。

  2. 次の設定を実行または編集します。

    フィールド

    設定

    ポッド ID

    ノードが存在するポッドの ID。

    ノード ID(Node ID)

    100 以上の数字。最初の 100 ID は、Cisco APIC アプライアンス ノードのために予約されています。

    (注)  

     

    リーフ ノードとスパイン ノードには異なる数字をつけることをお勧めします。たとえば、100 の範囲の番号スパイン (例:101、102) と 200 の範囲の番号リーフ (例:201、202)。

    ノード ID が割り当てられた後は、更新できません。ノードが [登録済みノード (Registered Nodes)] タブ表に追加された後、表の行を右クリックし、[ノードとラック名の編集 (Edit Node and Rack Name)] を選択してノードを更新できます。

    RL TEP プール

    nノードのトンネル エンドポイント (TEP) プール ID。

    ノード名

    leaf1 または spine3 などのノード名。

    ロール(Role)

    割り当てられたノードの役割。次のオプションがあります。

    • spine

    • leaf

    • virtualleaf

    • virtualspine

    • リモート リーフ

    • -2-leaf

    ノードにデフォルト ロール以外のロールを選択する場合、ロール変更のための登録中にノードは自動的に再起動します。

    ラック名

    ノードがインストールされているラック名。[デフォルト (Default)] を選択するか、[ラックの作成(Create Rack)] を選択して、名前と説明を追加します。

  3. [Register] をクリックします。

Cisco APIC は IP アドレスをノードに割り当て、ノードが [登録済みノード(Registered Nodes(] タブ表に追加されます。次に適切な場合、ノードに接続されている他のノードが検出され、[登録保留中のノード (Nodes Pending Registration)] タブ表に表示されます。

ステップ 7

引き続き [登録保留中のノード (Nodes Pending Registration)] タブ表をモニタします。ノードが表示されたら、これらの手順を繰り返して、インストールされているノードが登録されるまで新しいノードをそれぞれ登録します。


GUI を使用したディスカバリ前のスイッチの追加

これらの手順に従いスイッチがネットワークに物理的に接続される前に、スイッチの説明を追加できます。

始める前に

スイッチのシリアル番号を把握するようにしてください。

手順


ステップ 1

メニュー バーで、 [Fabric] > [Inventory] を選択します。

ステップ 2

[Navigation] ペインで、[Fabric Membership] を選択します。

ステップ 3

[登録済みノード (Registered Nodes)] または [登録保留中のノード (Nodes Pending Registration)] 作業ウィンドウで、[アクション (Actions)] アイコンをクリックし、[ファブリック ノード番号の作成 (Create Fabric Node Member)] をクリックします。

[ファブリック ノード番号の作成 (Create Fabric Node Member)] ダイアログが表示されます。

ステップ 4

次を設定します。

フィールド

設定

ポッド ID

ノードが存在するポッドを特定します。

シリアル番号(Serial Number)

必須:新しいスイッチのシリアル番号を入力します。

ノード ID(Node ID)

必須:100 以上の数字を入力します。最初の 100 ID は、Cisco Application Policy Infrastructure ControllerAPIC)アプライアンス ノードのために予約されています。

(注)  

 

リーフ ノードとスパイン ノードには異なる数字をつけることをお勧めします。たとえば、100 の範囲の番号リーフ ノード(例:101、102)と 200 の範囲の番号スパイン ノード(例:201、202)。

ノード ID が割り当てられた後は、更新できません。ノードが [登録済みノード (Registered Nodes)] タブ表に追加された後、表の行を右クリックし、[ノードとラック名の編集 (Edit Node and Rack Name)] を選択してノードを更新できます。

Switch Name

leaf1 または spine3 などのノード名。

ノード タイプ(Node Type)

ノードのタイプ(ロール)を選択します。次のオプションがあります。

  • leaf

    必要に応じて、次のボックスのいずれかをオンにします。

    • Is Remote:ノードがリモート リーフ スイッチであることを指定します。

    • Is Virtual:ノードが仮想であることを指定します。

    • Tier-2 Leaf:作成されるファブリック ノード メンバー(リーフ スイッチ)は、多層アーキテクチャの Tier-2 リーフ スイッチの特性を引き継ぎます。

  • spine

    必要に応じて、次のボックスのいずれかをオンにします。

    • Is Virtual:ノードが仮想であることを指定します。

  • unknown

ノードにデフォルト ロール以外のロールを選択する場合、ロール変更のための登録中にノードは自動的に再起動します。

VPC ペア

これはオプションです。ノードが vPC ペアの一部である場合は、このノードとペアリングするノードの ID を選択します。

vPC ドメイン ID

vPC ペアの vPC ドメイン ID を入力します。範囲は 1 ~ 1000 です。このフィールドは、VPC ペアの値を入力した場合にのみ表示され、その場合は必須です。

Cisco APIC は新しいノードを [登録保留中のノード (Nodes Pending Registration)] タブの表に追加します。

次のタスク

物理スイッチをネットワークに接続します。接続されると、Cisco APIC は物理スイッチのシリアル番号と新しいエントリに一致します。新しいスイッチの [ステータス (Status)]([未検出 (Undiscovered)] から[検出済み (Discovered)] に変更されるまで、[登録保留中のノード (Nodes Pending Registration)] をモニタします。Follow the steps in the GUI を使用した未登録スイッチの登録 セクションの手順に従い、ファブリックの初期化と新しいスイッチのディスカバリ プロセスを完了します。

APIC からのスイッチ検出の検証とスイッチ管理

スイッチが APIC で登録された後、APIC はファブリック トポロジ ディスカバリを自動的に実行し、ネットワーク全体のビューを取得し、ファブリック トポロジ内のすべてのスイッチを管理します。

各スイッチは、個々にアクセスせずに、APIC から設定、モニタ、およびアップグレードできます。

GUI を使用した登録スイッチの検証

手順


ステップ 1

メニュー バーで、[ファブリック (Fabric)] > [インベントリ (Inventory)] > [ファブリック メンバーシップ (Fabric Membership)] に移動します。

ステップ 2

[ファブリック メンバーシップ (Fabric Membership)] 作業ペインで、[登録済みノード (Registered Nodes)] タブをクリックします。

ファブリック内のスイッチがノード ID とともに [登録済みノード (Registered Nodes)] タブに表示されます。表に、登録されているすべてのスイッチが割り当てられた IP アドレスとともに表示されます。

ファブリック トポロジの検証

すべてのスイッチが APIC クラスタに登録された後、APIC はファブリック内のすべてのリンクおよび接続を自動的に検出し、その結果トポロジ全体を検出します。

GUI を使用したファブリック トポロジの検証

手順


ステップ 1

メニュー バーで、[ファブリック (Fabric)] > [インベントリ (Inventory)] > [ポッド番号 (Pod number)] に移動します。

ステップ 2

[Work] ペインで、[Topology] タブをクリックします。

表示された図は、すべての接続されたスイッチ、APIC インスタンスおよびリンクを示します。

ステップ 3

(任意) ヘルス、ステータス、インベントリ情報を表示するには、コンポーネント上にカーソルを移動します。

ステップ 4

(任意) リーフ スイッチまたはスパイン スイッチのポートレベルの接続を表示するには、トポロジ図のアイコンをダブルクリックします。

ステップ 5

(任意) トポロジ図を更新するには、[作業] ペインの左上隅にある アイコンをクリックします。


VM 管理でのアンマネージド スイッチの接続

VM コントローラ(vCenter など)で管理されているホストはレイヤ 2 スイッチを介してリーフ ポートに接続できます。必要な唯一の前提条件は、レイヤ 2 スイッチを管理アドレスで設定することです。この管理アドレスは、スイッチに接続されているポート上で Link Layer Discovery Protocol(LLDP)によってアドバタイズされる必要があります。レイヤ 2 スイッチは、APIC によって自動的に検出され、管理アドレスで識別されます。APIC で管理されていないスイッチを表示するには、[ファブリック (Fabric)] > [インベントリ (Inventory)] > [ファブリック メンバーシップ (Fabric Membership)] に移動し、[管理されていないファブリック ノード (Unmanaged Fabric Nodes)] タブをクリックします。

スイッチ検出の問題のトラブルシューティング

ACI モード スイッチ ソフトウェアには、包括的なリーフおよびスパイン スイッチの検出検証プログラムが含まれています。スイッチが検出モードでスタックした場合には、検証プログラムをスイッチの CLI コマンドで起動してください。

検証プログラムは、次のテストを実行します。

  1. システム状態:topSystem 管理対象オブジェクト (MO) の状態を確認します。

    1. 状態が「サービス停止中(out-of-service)」の場合、スケジュールされたアップグレードがないかどうかを確認します。

    2. 状態が「ブートスクリプトのダウンロード中(downloading bootscript)」の場合、ブートスクリプトのダウンロードに失敗しています。失敗が報告されます。スイッチが L3out スパインの場合、プログラムはさらにブートストラップ ダウンロードの状態をチェックし、障害があれば報告します。

  2. DHCP ステータス:TEP IP、ノード ID、dhcpResp MO から割り当てられた名前などの DHCP ステータスと情報を確認します。

  3. AV の詳細:APIC が登録されているかどうか、および APIC に有効な IP アドレスがあるかどうかを確認します。

  4. IP 到達可能性:iping コマンドを使用して、アドレス割り当て元 APIC への IP 到達可能性を確認します。この状態を再テストするには、show discoveryissues apicipaddress コマンドを使用します。

  5. インフラ VLAN の受信:lldpInst MO にインフラ VLAN の詳細が存在するかどうかを確認します。このスイッチが APIC のないポッドに属している場合、インフラ VLAN の詳細は存在しないため、テスト結果のこのセクションは無視できます。

  6. LLDP 隣接関係:LLDP 隣接関係の存在と、ワイヤリングの不一致の問題をチェックします。LLDP の問題により、インフラ VLAN の不一致、シャーシ ID の不一致、フロント エンド ポートへの接続がないなどの障害レポートが生成される可能性があります。

  7. スイッチ バージョン:スイッチの実行中のファームウェア バージョンを報告します。APIC のバージョンも報告します(利用可能な場合)。

  8. FPGA/BIOS:スイッチの FPGA/BIOS バージョンの不一致をチェックします。

  9. SSL 検証:acidiag verifyssl -sserialNumber コマンドを使用して、SSL 証明書の詳細の有効性を確認します。

  10. ポリシーのダウンロード:pconsBootStrap MO をチェックして、APIC (PM シャード) への登録が完了しているかどうか、およびすべてのポリシーが正常にダウンロードされたかどうかを確認します。

  11. 時間:スイッチの現在の時刻を報告します。

  12. ハードウェア ステータス:eqptCh、eqptFan、eqptPsu、eqptFtおよび eqptLC MO からモジュール、電源、およびファンのステータスを確認します。

テストの手動実行

スイッチ検出検証プログラムを実行するには、スパインまたはリーフ スイッチの CLI コンソールにログインし、次のコマンドを実行します。

show discoveryissues [apic ipaddress]

テストの成功例

次の例は、テストが成功した場合のスイッチ検出検証プログラムの出力を示しています。


spine1# show discoveryissues

Checking the platform type................SPINE!
Check01 - System state - in-service                [ok]
Check02 - DHCP status                [ok]
    TEP IP: 10.0.40.65 Node Id: 106 Name: spine1
Check03 - AV details check                [ok]
Check04 - IP rechability to apic                [ok]
    Ping from switch to 10.0.0.1 passed
Check05 - infra VLAN received                [ok]
    infra vLAN:1093
Check06 - LLDP Adjacency                [ok]
    Found adjacency with LEAF
Check07 - Switch version                [ok]
    version: n9000-14.2(0.167)  and apic version: 5.0(0.25)
Check08 - FPGA/BIOS out of sync test                [ok]
Check09 - SSL check                [check]
    SSL certificate details are valid
Check10 - Downloading policies                [ok]
Check11 - Checking time                [ok]
    2019-08-21 17:15:45
Check12 - Checking modules, power and fans                [ok]

テストの失敗例

次の例は、検出機能に問題があるスイッチのスイッチ検出検証プログラムの出力を示しています。


spine1# show discoveryissues

Checking the platform type................SPINE!
Check01 - System state - out-of-service                [FAIL]
    Upgrade status is notscheduled
    Node upgrade is notscheduled state
Check02 - DHCP status                [FAIL]
    ERROR: discover not being sent by switch
    Ignore this, if the IP is already known by switch
    ERROR: node Id not configured
    ERROR: Ip not assigned by dhcp server
    ERROR: Address assigner's IP not populated
    TEP IP: unknown Node Id: unknown Name: unknown
Check03 - AV details check                [ok]
Check04 - IP reachability to apic                [FAIL]
    please rerun the CLI with argument apic Ip
    (show discoveryissues apic <ip>) to check its reachability from switch
Check05 - infra VLAN received                [FAIL]
    Please ignore if this switch is part of a pod with no apic
Check06 - LLDP Adjacency                [FAIL]
    Error: spine not connected to any leaf
Check07 - Switch version                [ok]
    version: n9000-14.2(0.146)  and apic version: unknown
Check08 - FPGA/BIOS out of sync test                [ok]
Check09 - SSL check                [ok]
    SSL certificate details are valid
Check10 - Downloading policies                [FAIL]
    Registration to all PM shards is not complete
    Policy download is not complete
    Pcons booststrap is in triggered state
Check11 - Checking time                [ok]
    2019-07-17 19:26:29
Check12 - Checking modules, power and fans                [FAIL]
    Line card state is testing

GUI を使用してスイッチ インベントリを検索する

このセクションでは、Cisco APIC GUI を使用してスイッチのモデルとシリアル番号を検索する方法について説明します。

始める前に

Cisco APIC GUI にアクセスできる必要があります。

手順


ステップ 1

メニュー バーで [ファブリック(Fabric)] > [インベントリ(Inventory)] を選択します。

ステップ 2

ナビゲーション ペインで [ポッド(Pod)] アイコンをクリックします。

ナビゲーション ペインにスイッチ アイコンが表示されます。

ステップ 3

ナビゲーション ペインでスイッチ アイコンをクリックします。

作業ウィンドウの上部にタブのリストが表示されます。

ステップ 4

[General] タブをクリックします。

作業ペインにスイッチ情報が表示されます。

スイッチ検出の問題のトラブルシューティング

ACI モード スイッチ ソフトウェアには、包括的なリーフおよびスパイン スイッチの検出検証プログラムが含まれています。スイッチが検出モードでスタックした場合には、検証プログラムをスイッチの CLI コマンドで起動してください。

検証プログラムは、次のテストを実行します。

  1. システム状態:topSystem 管理対象オブジェクト (MO) の状態を確認します。

    1. 状態が「サービス停止中(out-of-service)」の場合、スケジュールされたアップグレードがないかどうかを確認します。

    2. 状態が「ブートスクリプトのダウンロード中(downloading bootscript)」の場合、ブートスクリプトのダウンロードに失敗しています。失敗が報告されます。スイッチが L3out スパインの場合、プログラムはさらにブートストラップ ダウンロードの状態をチェックし、障害があれば報告します。

  2. DHCP ステータス:TEP IP、ノード ID、dhcpResp MO から割り当てられた名前などの DHCP ステータスと情報を確認します。

  3. AV の詳細:APIC が登録されているかどうか、および APIC に有効な IP アドレスがあるかどうかを確認します。

  4. IP 到達可能性:iping コマンドを使用して、アドレス割り当て元 APIC への IP 到達可能性を確認します。この状態を再テストするには、show discoveryissues apicipaddress コマンドを使用します。

  5. インフラ VLAN の受信:lldpInst MO にインフラ VLAN の詳細が存在するかどうかを確認します。このスイッチが APIC のないポッドに属している場合、インフラ VLAN の詳細は存在しないため、テスト結果のこのセクションは無視できます。

  6. LLDP 隣接関係:LLDP 隣接関係の存在と、ワイヤリングの不一致の問題をチェックします。LLDP の問題により、インフラ VLAN の不一致、シャーシ ID の不一致、フロント エンド ポートへの接続がないなどの障害レポートが生成される可能性があります。

  7. スイッチ バージョン:スイッチの実行中のファームウェア バージョンを報告します。APIC のバージョンも報告します(利用可能な場合)。

  8. FPGA/BIOS:スイッチの FPGA/BIOS バージョンの不一致をチェックします。

  9. SSL 検証:acidiag verifyssl -sserialNumber コマンドを使用して、SSL 証明書の詳細の有効性を確認します。

  10. ポリシーのダウンロード:pconsBootStrap MO をチェックして、APIC (PM シャード) への登録が完了しているかどうか、およびすべてのポリシーが正常にダウンロードされたかどうかを確認します。

  11. 時間:スイッチの現在の時刻を報告します。

  12. ハードウェア ステータス:eqptCh、eqptFan、eqptPsu、eqptFtおよび eqptLC MO からモジュール、電源、およびファンのステータスを確認します。

テストの手動実行

スイッチ検出検証プログラムを実行するには、スパインまたはリーフ スイッチの CLI コンソールにログインし、次のコマンドを実行します。

show discoveryissues [apic ipaddress]

テストの成功例

次の例は、テストが成功した場合のスイッチ検出検証プログラムの出力を示しています。


spine1# show discoveryissues

Checking the platform type................SPINE!
Check01 - System state - in-service                [ok]
Check02 - DHCP status                [ok]
    TEP IP: 10.0.40.65 Node Id: 106 Name: spine1
Check03 - AV details check                [ok]
Check04 - IP rechability to apic                [ok]
    Ping from switch to 10.0.0.1 passed
Check05 - infra VLAN received                [ok]
    infra vLAN:1093
Check06 - LLDP Adjacency                [ok]
    Found adjacency with LEAF
Check07 - Switch version                [ok]
    version: n9000-14.2(0.167)  and apic version: 5.0(0.25)
Check08 - FPGA/BIOS out of sync test                [ok]
Check09 - SSL check                [check]
    SSL certificate details are valid
Check10 - Downloading policies                [ok]
Check11 - Checking time                [ok]
    2019-08-21 17:15:45
Check12 - Checking modules, power and fans                [ok]

テストの失敗例

次の例は、検出機能に問題があるスイッチのスイッチ検出検証プログラムの出力を示しています。


spine1# show discoveryissues

Checking the platform type................SPINE!
Check01 - System state - out-of-service                [FAIL]
    Upgrade status is notscheduled
    Node upgrade is notscheduled state
Check02 - DHCP status                [FAIL]
    ERROR: discover not being sent by switch
    Ignore this, if the IP is already known by switch
    ERROR: node Id not configured
    ERROR: Ip not assigned by dhcp server
    ERROR: Address assigner's IP not populated
    TEP IP: unknown Node Id: unknown Name: unknown
Check03 - AV details check                [ok]
Check04 - IP reachability to apic                [FAIL]
    please rerun the CLI with argument apic Ip
    (show discoveryissues apic <ip>) to check its reachability from switch
Check05 - infra VLAN received                [FAIL]
    Please ignore if this switch is part of a pod with no apic
Check06 - LLDP Adjacency                [FAIL]
    Error: spine not connected to any leaf
Check07 - Switch version                [ok]
    version: n9000-14.2(0.146)  and apic version: unknown
Check08 - FPGA/BIOS out of sync test                [ok]
Check09 - SSL check                [ok]
    SSL certificate details are valid
Check10 - Downloading policies                [FAIL]
    Registration to all PM shards is not complete
    Policy download is not complete
    Pcons booststrap is in triggered state
Check11 - Checking time                [ok]
    2019-07-17 19:26:29
Check12 - Checking modules, power and fans                [FAIL]
    Line card state is testing

メンテナンス モード

メンテナンス モード

メンテナンス モードを使用する際に理解に役立つ用語を紹介します。

  • メンテナンス モード:デバッグ目的でユーザー トラフィックからスイッチを分離するために使用されます。ファブリック インベントリ ファブリック メンバーシップにある APIC GUI の [ファブリック メンバーシップ(Fabric Membership)]ページの > [メンテナンス(GIR)(Maintenance(GIR))] フィールドを有効にすることで、スイッチをメンテナンス モード > にできます(スイッチを右クリックして [メンテナンス(GIR)Maintenance(GIR)] を選択します)。

    スイッチをメンテナンス モードにすると、そのスイッチは動作可能な ACI ファブリック インフラストラクチャの一部とは見なされず、通常の APIC 通信は受け入れられません。

メンテナンス モード使用してスイッチを正常に取り出し、そのスイッチをネットワークから分離して、デバッグ操作を実行することができます。スイッチは、最小限のトラフィックの中断だけで、通常の転送パスから取り外されます。

正常に削除、外部のすべてのプロトコルが適切に電源を切るファブリック プロトコル (IS-IS) を除くと、スイッチは、ネットワークから切り離します。メンテナンス モード時に、最大メトリックは IS-IS 内でアドバタイズ、 Cisco Application Centric Infrastructure ( Cisco ACI ) ファブリックおよびそのため、メンテナンス モードがスパイン スイッチからのトラフィックをひく点されません。さらに、スイッチの前面パネルのすべてのインターフェイスが、スイッチ ファブリック インターフェイスを除いてシャット ダウンされます。デバッグ操作後にスイッチを完全動作(通常)モードに戻すには、スイッチをリコミッショニングさせる必要があります。この操作により、スイッチのステートレス リロードがトリガーされます。

グレースフルの挿入で、スイッチは自動的にデコミッショニング、再起動、およびリコミッショニングされます。リコミッショニングが完了したら、外部のすべてのプロトコルを復元し、IS-IS で最大のメトリックは 10 分後にリセットされます。

次のプロトコルがサポートされています。

  • Border Gateway Protocol(BGP)

  • Enhanced Interior Gateway Routing Protocol(EIGRP)

  • Intermediate System-to-Intermediate System(IS-IS)

  • Open Shortest Path First(OSPF)

  • リンク集約制御プロトコル(LACP)

プロトコルに依存しないマルチキャスト (PIM) はサポートされていません。

特記事項

  • 境界リーフ スイッチに静的ルートがあり、メンテナンス モードがある場合、境界リーフ スイッチからのルートは ACI ファブリックにあるルーティング テーブルから削除されない可能性があり、ルーティングの問題が発生します。

    この問題を回避するには、次のいずれかを実行します。

    • その他の境界リーフ スイッチで同じ管理ディスタンスを持つ同じ静的ルートを設定するか、

    • 静的ルートの次のホップへの到達性を追跡するため IP SLA または BFD を使用します

  • イーサネット ポート モジュールでは、インターフェイスを増殖停止、スイッチは、メンテナンス モードでは、通知に関連します。その結果、リモート スイッチを再起動するか、またはこの時間中にファブリック リンクかを調べますは、ファブリック リンクはありません確立した後で、スイッチがリブート手動でない限り (を使用して、 acidiag タッチ クリーン コマンド)、廃棄、および recommissioned。

  • スイッチがメンテナンス モード中の場合、スイッチの CLI「show」コマンドでは、前面パネル ポートがアップ状態であり、BGP プロトコルがアップ状態かつ実行中であることを示します。インターフェイスは実際にシャットダウンされ、BGP のその他すべての隣接関係がダウンしますが、表示されているアクティブ状態でデバッグが可能です。

  • マルチポッド/マルチサイトの場合、ノードをファブリックに戻すときのトラフィックの中断を最小限に抑えるために、 再配布されるルートの IS-IS メトリックを 63 未満に設定する必要があります。再配布されるルートの IS-IS メトリックを設定するには、[ファブリック(Fabric) ] > [ ファブリック ポリシー(Fabric Policies)] > [ポッド ポリシー(Pod Policies)] > [IS-IS ポリシー(IS-IS Policy)]を選択します 。

  • 既存の登場させには、すべてのレイヤ 3 トラフィック迂回がサポートされています。LACP でレイヤ 2 のすべてのトラフィックは、冗長ノードを迂回も。ノードは、メンテナンス モードに入ります、されるとすぐに、ノードで実行されている LACP は、不要になった集約できるようにポート チャネルの一部としてネイバーを通知します。すべてのトラフィックは vPC ピア ノードを迂回します。 


  • メンテナンス モードでは、次の操作は許可されません。

    • アップグレード:ネットワークを新しいバージョンにアップグレードすること

    • ステートフル リロード:GIR ノードまたはその接続されたピアの再起動

    • ステートレス リロード:GIR ノードまたはその接続されたピアのクリーン設定または電源再投入による再起動

    • リンク操作:GIR ノードまたはそのピアノードでのシャットダウン/非シャットダウンまたは光ファイバの OIR(オンラインでの挿入または取り外し)

    • 構成変更:設定変更(クリーン構成、インポート、スナップショット ロールバックなど)

    • ハードウェアの変更:ハードウェアの変更(FRU または RMA の追加、交換、削除など)

GUI を使用してスイッチをメンテナンス モードに移行する

GUI を使用してスイッチをメンテナンス モードに移行するには、次の手順を使用します。スイッチがメンテナンス モードに移行していても、アウトオブバンド管理インターフェイスは以前動作しており、アクセスが可能です。

手順


ステップ 1

メニュー バーで、 [Fabric] > [Inventory] を選択します。

ステップ 2

ナビゲーション ウィンドウで、Fabric Membership をクリックします。

ステップ 3

作業ウィンドウで、 [アクション(Actions)] > [メンテナンス(Maintenance (GIR)) をクリックします。

ステップ 4

[OK] をクリックします。

安全に移行したスイッチでは、Debug Mode というメッセージが Status コラムに表示されます。


GUI を使用してスイッチを挿入し、動作モードにする

GUI を使用してスイッチを挿入し、動作モードにするには、次の手順に従います。

手順


ステップ 1

メニュー バーで、 Fabric > Inventory を選択します。

ステップ 2

ナビゲーション ウィンドウで、Fabric Membership をクリックします。

ステップ 3

作業ペインの [登録済みノード (Registered Nodes)] テーブルで、操作モードに対して挿入するスイッチの行を右クリックして、[コミッション (Commision)] を選択します。

ステップ 4

[はい(Yes)] をクリックします。


Cisco NX-OS から Cisco ACI POAP への自動変換

Cisco NX-OSからCisco ACI POAPへの自動変換について

5.2(3) リリースより、Cisco NX-OS から Cisco Application Centric InfrastructureACI)Power On Auto Provisioning(POAP)への自動変換によって、最初にネットワークに展開されたノードでソフトウェア イメージをアップグレードし、スイッチ上に構成ファイルをインストールするプロセスを自動化できます。POAP 自動変換機能を備えた Cisco NX-OSノードが起動し、スタートアップ構成が見つからない場合、ノードは POAP モードに入り、すべてのポートで DHCP ディスカバリを開始します。ノードは DHCP サーバーを見つけ、インターフェイス IP アドレス、ゲートウェイ、DNS サーバー IP アドレスを使用して自らをブートストラップします。また、TFTP サーバの IP アドレスを取得し、構成スクリプトをダウンロードします。このスクリプトはノード上で有効化され、適切なソフトウェアイメージと構成ファイルをダウンロードしてインストールします。このプロセスは、Cisco NX-OSノードをスタンドアロンモードからCisco ACI -mode に変換します。

Cisco NX-OS ノードを POAP を使用するCisco ACIノードに自動変換するには、自動変換が必要な Cisco NX-OS ノードに接続されているCisco ACIスイッチノードのインターフェイスを指定する必要があります。Cisco ACIスイッチで指定されたインターフェイスにより、POAP の処理が有効になり、Cisco NX-OS ノードが自動変換用の DHCP サーバとしてCisco Application Policy Infrastructure ControllerAPIC)を使用できるようになります。Cisco ACIスイッチノードはすでにCisco ACIファブリックに登録されており、アクティブである必要があります。つまり、ノードはCisco APICクラスタから到達可能である必要があります。この自動変換は、ファブリックに新しいスイッチを追加するとき、または既存のCisco ACIスイッチを置き換えるときに使用できます。

Cisco NX-OS から Cisco ACI POAP への自動変換の注意事項と制限事項

Cisco NX-OS を使用してCisco Application Centric InfrastructureACI)電源投入時自動プロビジョニング(POAP)自動変換を行う場合は、次の注意事項と制約事項が適用されます。

  • 変換中の Cisco NX-OS ノードは、管理を含むすべてのインターフェイスで検出パケットの送信を開始するため、Cisco Application Policy Infrastructure ControllerAPIC)のサーバを除くすべての外部 DHCP サーバは、POAP 検出パケットをインターセプトし、変換を中断します。

  • Cisco NX-OS から Cisco ACIPOAPへの自動変換は、変換対象の NX-OS デバイスが Cisco APIC クラスタに到達可能な既存の Cisco ACIスイッチ ノードに接続されている場合にサポートされます。このため、次のシナリオはサポートされていません。

    • APIC 1 から最初の Cisco ACI スイッチを検出する場合。

    • Cisco APIC がリーフ ノードにシングル ホーム接続されているときに Cisco ACIリーフ ノードを交換する場合。

    • IPN デバイスのみを介して Cisco APIC クラスタに到達する Cisco ACI スイッチを追加または交換する場合。つまり、Cisco NX-OS ノードを新しいリモート リーフ ノードとして追加する場合、Cisco NX-OS ノードを新しいポッドの最初のスパイン ノードとして追加する場合、リモート リーフ ノードを置き換える場合、または Cisco ACI マルチポッド セットアップでスパイン ノードをポッド内の唯一のスパイン ノードで置き換える場合です。このシナリオは、IPN デバイスで必要な構成を備えた Cisco APIC 5.2(4) リリースからサポートされています。

  • モジュラー スパイン ノード スーパーバイザの交換はサポートされていません。

  • POAP は、製品 ID(PID)に -EX、-FX、-GX、またはそれ以降のサフィックスを持つスイッチ、および Cisco N9K-C9364C および N9K-C9332C スイッチをサポートします。

  • スパインまたはリーフ ノードを自動変換した後、show system reset-reason CLI コマンドは変換に関する情報を表示しません。出力には次の情報のみが表示されます。

    reset-requested-by-cli-command-reload
  • Cisco ACI スイッチと Cisco NX-OS スイッチの間には光ケーブルを使用する必要があります。この場合、銅ケーブルは使用できません。

  • 自動変換に使用する必要がある Cisco ACI スイッチ イメージは、Cisco APICクラスタのファームウェア リポジトリに存在する必要があります。[Admin] > [Firmware] > [Images] に移動して、GUI を使用してイメージが存在することを確認できます。

GUI を使用した POAP 自動変換を使用した Cisco NX-OS ノードから ACI への変換

次の手順では、既存の Cisco NX-OS ノードをスタンドアロンモードから電源投入時自動プロビジョニング(POAP)自動変換を使用するCisco ACIモードに変換します。このプロセスでは、ノードは解放されません。

始める前に

ターゲットCisco ACIファームウェアバージョンを使用して、スイッチ検出時の自動ファームウェア更新を有効にしておく必要があります。詳細については、『Cisco APIC Getting Started Guide』を参照してください。

手順


ステップ 1

メニュー バーで、 [Fabric] > [Inventory] を選択します。

ステップ 2

[Navigation] ペインで、[Fabric Membership] を選択します。

ステップ 3

作業ペインで、[登録済みノード (Registered Nodes)] タブをクリックします。

ステップ 4

(任意) 既存のCisco ACIスイッチノードをNX-OSを実行している新しいスイッチと交換する場合は、交換するノードを右クリックし、通常の交換シナリオと同様に[コントローラから削除(Remove From Controller)]を選択します。

ステップ 5

テーブルの右上にあるアクションメニューで、 [Add with NXOS to ACI Conversion] を選択します。

交換シナリオでは、交換するスイッチノードが停止または非アクティブになっている場合は、ノードを右クリックして [Replace with NXOS to ACI Conversion] を選択することもできます。これにより、ステップ 4 の[コントローラからの削除(Remove From Controller)]とステップ 5 の [NXOSからACIへの変換(Add with NXOS to ACI Conversion)] が同時に実行されます。

ステップ 6

ダイアログで、次のようにフィールドを入力します。

  • ノードID:変換するノードに接続されているノードのIDを選択します。ゴミ箱をクリックしてノードを削除するか、 + をクリックして別のノードを追加できます。少なくとも 1 つのノードを指定してください。追加のノードを設定するときにGUIでさらにスペースが必要な場合は、[インターフェイスの非表示(Hide Interfaces)]をクリックしてインターフェイス情報を非表示にできます。

  • インターフェイス ID :変換するノードに接続されているノードのインターフェイスのIDを選択します。ゴミ箱をクリックしてインターフェイスを削除するか、 + をクリックして別のインターフェイスを追加できます。POAP自動変換のPOAPを処理するように、各ノードで 1 つのインターフェイスのみを設定します。

ステップ 7

[送信(Submit)] をクリックします。`

ステップ 8

[登録保留中のノード( Nodes Pending Registration )] タブを選択します。

ノードがこのタブに現れた後のノード登録手順は、通常の Cisco ACI スイッチの場合と同じです。

ステップ 9

(任意) スイッチが登録され、アクティブステータスのファブリックに参加した後、ステップ 6 で設定したインターフェイスの POAP 自動変換設定を削除できます。変換が完了したら、接続されているノードからPOAP設定を削除してください。

  1. [登録済みノード(Registered Nodes)]タブを選択します。

  2. POAP 設定を削除するノードの行をダブルクリックします。

  3. ダイアログで、[ NXOS変換ポリシー(NXOS Conversion Policy )]タブを選択します。

  4. 削除したいパス名を選択し、削除アイコン(ゴミ箱)をクリックします。


Cisco Nexus 9000 スイッチの安全な消去

Cisco Nexus 9000 スイッチの安全な消去について

Cisco Nexus 9000 スイッチは、永続的なストレージを利用して、システム ソフトウェア イメージ、スイッチ構成、ソフトウェア ログ、および動作履歴を維持します。これらの各エリアには、ネットワーク アーキテクチャや設計の詳細など、ユーザ固有の情報と、潜在的な攻撃者からの目標ベクトルが含まれている可能性があります。安全な消去機能を使用すると、この情報を包括的に消去できます。これは、返品許可(RMA)を使用してスイッチを返品するとき、スイッチをアップグレードまたは交換するとき、または寿命に達したシステムを廃止するときに実行できます。

セキュア消去は、Cisco APIC リリース 6.0(x) からサポートされています。ファブリック内のすべてのリーフおよびスパイン スイッチは、APIC リリース 6.0(x) 以降である必要があります。

この機能は、次のストレージ デバイスのユーザ データを消去します。

  • SSD

  • EMMC

  • MTD


  • CMOS

  • NVRAM


(注)  


すべてのスイッチ モデルにこれらすべてのストレージ デバイスがあるわけではありません。


GUI を使用した Cisco Nexus 9000 スイッチのユーザー データの安全な消去

GUI を使用して Cisco Nexus 9000 スイッチのユーザー データを安全に消去するには、次の手順に従います。

手順


ステップ 1

メニュー バーで、 [Fabric] > [Inventory] を選択します。

ステップ 2

[Navigation] ペインで、[Fabric Membership] を選択します。

ステップ 3

[作業(Work)] ペインで、安全に消去するスイッチ(ノード)を右クリックし、[デコミッション(Decommission)] を選択します。

ステップ 4

[デコミッション(Decommission)] ダイアログで、[デコミッションと安全な削除(Decommission & Secure Remove)] を選択します。

ステップ 5

[OK] をクリックします。


デコミッション プロセスには、スイッチと SSD のタイプに応じて 2 ~ 8 時間かかります。このプロセスにより、スイッチが安全に消去され、スイッチ設定が Cisco Application Policy Infrastructure ControllerAPIC )から削除されます。安全な消去プロセスでは、ブートフラッシュから NX-OS イメージは削除されません。スイッチを手動で再登録するまで、スイッチはファブリックに参加できません。

安全な消去操作が完了すると、スイッチが再起動します。IP アドレスに到達できないため、スイッチに接続するには、端末コンソールを使用する必要があります。

GUI を使用して Cisco Nexus 9000 モジュラ スイッチ ラインカードのモジュールからユーザー データを安全に消去する

GUI を使用して Cisco Nexus 9000 モジュラ スイッチ ラインカードのモジュールからユーザー データを安全に消去するには、次の手順に従います。

手順


ステップ 1

メニュー バーで、 [Fabric] > [Inventory] を選択します。

ステップ 2

[ナビゲーション(Navigation pane)] ペインで、[pod_id] > [node_id] > [シャーシ(Chassis)] > [ライン モジュール(Line Modules)] > [slot_id] を選択します。

ステップ 3

スロット ID を右クリックし、[無効化(Disable)] を選択します。

ステップ 4

[無効化(Disable)] ダイアログで、[安全な消去(Secure Erase)] をクリックします。


デコミッション プロセスには、スイッチと SSD のタイプに応じて 30 分 ~ 2 時間かかります。このプロセスにより、スイッチのモジュールからデータが安全に消去され、モジュールの設定が Cisco Application Policy Infrastructure ControllerAPIC)から削除されます。このプロセスでは、ブートフラッシュから NX-OS イメージは削除されません。

安全な消去操作が完了すると、モジュールはパワーダウン状態になります。IP アドレスに到達できないため、スイッチに接続するには、端末コンソールを使用する必要があります。

スイッチの CLI を使用して Cisco Nexus 9000 スイッチからユーザー データを安全に消去する

スイッチの CLI を使用して Cisco Nexus 9000 スイッチからユーザー データを安全に消去するには、次の手順を使用します。この手順では、Cisco Application Policy Infrastructure ControllerAPIC)の CLI を使用することはできません。

始める前に

CLI を使用して安全な消去操作を実行する前に、スイッチをデコミッションするか、スイッチをファブリックから物理的に切断します。スイッチをデコミッションしないか、スイッチをファブリックから物理的に切断しないと、安全な消去プロセスが完了した後に、Cisco APIC から構成がスイッチに再度プッシュされます。

手順


ステップ 1

スイッチの CLI にログインします。

ステップ 2

仮想シェルに入ります。

leaf1# vsh

ステップ 3

ターミナルのセッション タイムアウトを無効化します。

leaf1# terminal session-timeout 0

タイムアウトを無効にしないと、安全な消去が完了してステータスを提示できるようになる前に、VSH セッションがタイムアウトして終了する可能性があります。

ステップ 4

スイッチを工場出荷時の設定にリセットします。これにより、スイッチからデータが安全に消去されます。

leaf1# factory-reset [preserve-image] [module module_number]
  • preserve-image : スイッチのブートフラッシュに NX-OS イメージを保持するには、このフラグを指定します。このフラグを指定しなかった場合、NX-OS イメージも消去され、スイッチはローダー プロンプトで起動します。

  • module module_numberモジュラ スイッチ ラインカードおよびファブリック モジュールの場合、安全な消去を実行するモジュールの番号を指定する必要があります。


非モジュラ スイッチの場合、スイッチと SSD のタイプに応じて、デコミッション プロセスには 2 ~ 8 時間かかります。このプロセスにより、スイッチが安全に消去され、スイッチ設定が Cisco Application Policy Infrastructure ControllerAPIC )から削除されます。安全な消去プロセスでは、ブートフラッシュから NX-OS イメージは削除されません。スイッチを手動で再登録するまで、スイッチはファブリックに参加できません。

安全な消去操作が完了すると、スイッチが再起動します。IP アドレスに到達できないため、スイッチに接続するには、端末コンソールを使用する必要があります。

モジュラ スイッチ ラインカードまたはファブリック モジュールの場合、デコミッション プロセスには、スイッチと SSD のタイプに応じて 30 分から 2 時間かかります。このプロセスにより、スイッチのモジュールからデータが安全に消去され、モジュールの構成が Cisco APIC から削除されます。このプロセスでは、ブートフラッシュから NX-OS イメージは削除されません。

安全な消去操作が完了すると、モジュールはパワーダウン状態になります。IP アドレスに到達できないため、スイッチに接続するには、端末コンソールを使用する必要があります。