Cisco Fabric Manager セキュリティ コンフィギュ レーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月15日
章のタイトル: ファブリック バインディングの設定
ファブリック バインディングの設定
この章では、Cisco MDS 9000 ファミリのディレクタおよびスイッチに組み込まれているファブリック バインディング機能について説明します。この章の内容は、次のとおりです。
ファブリック バインディングの概要
ファブリック バインディング機能では、ファブリック バインディング設定で指定したスイッチ間だけで Inter-Switch Link(ISL; スイッチ間リンク)をイネーブルにできます。ファブリック バインディングは Virtual Storage Area Network(VSAN; 仮想ストレージ エリア ネットワーク)単位で設定します。
この機能を使用すると、不正なスイッチがファブリックに参加したり、現在のファブリック処理が中断されたりすることがなくなります。Exchange Fabric Membership Data(EFMD)プロトコルにより、ファブリック内の全スイッチで、許可されたスイッチのリストが同一になります。
•
「ポート セキュリティとファブリック バインディングの比較」
ライセンスの要件
ファブリック バインディングを使用するには、スイッチ上に MAINFRAME_PKG ライセンスまたは ENTERPRISE_PKG ライセンスのどちらかをインストールする必要があります。
ライセンス機能のサポートとインストールの詳細については、『Cisco MDS 9000 Family NX-OS Licensing Guide』を参照してください。
ポート セキュリティとファブリック バインディングの比較
ポート セキュリティとファブリック バインディングは、相互に補完するように設定できる 2 つの独立した機能です。 表 10-1 に、2 つの機能の比較を示します。
xE ポートのポート レベル チェックは、次のように実行されます。
• スイッチのログインは、特定の VSAN に対して、ポート セキュリティ バインディングとファブリック バインディングの両方を使用します。
• バインディング チェックは、ポート VSAN 上で次のように実行されます。
– ポート VSAN 上での E ポート セキュリティ バインディング チェック
– 許可された各 VSAN での TE ポート セキュリティ バインディング チェック
ポート セキュリティはファブリック バインディングを補完する関係にありますが、これらの機能は互いに独立していて、個別にイネーブルまたはディセーブルにできます。
ファブリック バインディングの実行
ファブリック バインディングを実行するには、スイッチ WWN(sWWN)を設定して、各スイッチに xE ポート接続を指定します。ファブリック バインディング ポリシーは、ポートがアクティブになるたびに、およびポートを起動しようとした場合に実行されます。Fibre Connection(FICON)VSAN でファブリック バインディング機能を実行するには、すべての sWWN をスイッチに接続し、永続的ドメイン ID をファブリック バインディング アクティブ データベースに格納する必要があります。ファイバ チャネル VSAN では、sWWN だけが必要で、ドメイン ID はオプションです。
(注) ファブリック バインディングを使用するファイバ チャネル VSAN の全スイッチで、Cisco MDS SAN-OS Release 3.0(1) および NX-OS Release 4.1(1b) 以降を実行している必要があります。
ファブリック バインディングの設定
ファブリック内の各スイッチにファブリック バインディングを設定する手順は、次のとおりです。
ステップ 2 ファブリックにアクセス可能なデバイスに、sWWN のリスト、および対応するドメイン ID を設定します。
ステップ 3 ファブリック バインディング データベースをアクティブにします。
ステップ 4 ファブリック バインディング アクティブ データベースを、ファブリック バインディング コンフィギュレーション データベースにコピーします。
ステップ 5 ファブリック バインディング設定を保存します。
ステップ 6 ファブリック バインディング設定を確認します。
ファブリック バインディングのイネーブル化
ファブリック バインディングに参加させるファブリック内の各スイッチで、ファブリック バインディング機能をイネーブルにする必要があります。デフォルトでは、この機能は Cisco MDS 9000 ファミリのすべてのスイッチでディセーブルになっています。ファブリック バインディング機能の設定および確認コマンドを使用できるのは、スイッチ上でファブリック バインディングがイネーブルに設定されている場合だけです。この設定をディセーブルにすると、関連するすべてのコンフィギュレーションが自動的に廃棄されます。
スイッチ WWN リストの設定
ユーザ指定のファブリック バインディング リストには、ファブリック内のスイッチ WWN(sWWN)のリストが含まれています。sWWN がファブリックへの参加を試みたとき、その sWWN がリストに含まれていない場合、またはその sWWN が許可リストで指定されたドメイン ID と異なるドメイン ID を使用していた場合には、その VSAN 内でスイッチとファブリック間の ISL が自動的に隔離され、スイッチのファブリックへの参加は拒否されます。
sWWN とともに永続的ドメイン ID を指定できます。FICON VSAN では、ドメイン ID 許可が必要です。FICON VSAN では、ドメインがスタティックに設定されているので、エンド デバイスにより、ファブリック内のすべてのスイッチでドメイン ID の変更が拒否されます。ファイバ チャネル VSAN の場合には、ドメイン ID 許可は不要です。
ファブリック バインディングのアクティブ化
ファブリック バインディング機能では、コンフィギュレーション データベース(config-database)およびアクティブ データベースが保持されます。コンフィギュレーション データベースは、実行された設定を収集する読み書きデータベースです。これらの設定を実行するには、データベースをアクティブにする必要があります。データベースがアクティブになると、アクティブ データベースにコンフィギュレーション データベースの内容が上書きされます。アクティブ データベースは、ログインを試みる各スイッチをチェックする読み取り専用データベースです。
デフォルトでは、ファブリック バインディング機能は非アクティブです。設定したデータベース内の既存のエントリがファブリックの現在の状態と矛盾していると、スイッチ上のファブリック バインディング データベースをアクティブにできません。たとえば、ログイン済みのスイッチの 1 つが、コンフィギュレーション データベースによってログインを拒否されている場合などです。これらの状態は、強制的に上書きすることができます。
(注) データベースをアクティブにすると、現在のアクティブ データベースに違反するログイン済みのスイッチはログアウトされ、ファブリック バインディング制限によって以前にログインを拒否されたすべてのスイッチが、再初期化されます。
ファブリック バインディング設定の保存
ファブリック バインディング設定を保存すると、コンフィギュレーション データベースが実行コンフィギュレーションに保存されます。
デフォルト設定値
表 10-2 に、ファブリック バインディング機能のデフォルト設定を示します。
|
|
|
|---|---|
フィードバック