Cisco Nexus 5000 シリーズ スイッチ Fabric Manager ソフトウェア コンフィギュレーション ガイド

ファイバ チャネル機能との DHCHAP の互換性

ここでは、DHCHAP 機能および既存の Cisco NX-OS 機能の設定の影響について説明します。

• SAN ポート チャネル インターフェイス ― SAN ポート チャネルに属しているポートに対して DHCHAP がイネーブルの場合、DHCHAP 認証はポート チャネル レベルでなく、物理インターフェイス レベルで実行されます。

• ポート セキュリティまたはファブリック バインディング ― ファブリック バインディング ポリシーは、DHCHAP によって認証される ID に基づいて実行されます。

• VSAN（仮想 SAN） ― DHCHAP 認証は VSAN 単位では実行されません。

DHCHAP イネーブル化の概要

デフォルトでは、DHCHAP 機能はすべての Nexus 5000 シリーズ スイッチでディセーブルです。

ファブリック認証用の設定コマンドおよび確認コマンドにアクセスするには、DHCHAP 機能をイネーブルにする必要があります。この機能をディセーブルにすると、関連するすべてのコンフィギュレーションが自動的に廃棄されます。

DHCHAP のイネーブル化

Fabric Manager を使用して Cisco MDS スイッチの DHCHAP をイネーブルにする手順は、次のとおりです。

ステップ 1 Switches を展開し、Security を展開して、FC-SP を選択します。

Information ペインに FC-SP（DHCHAP）の設定が表示されます（図23-2 を参照）。

図23-2 FC-SP の設定

デフォルトは、Control タブです。ファブリック内の全スイッチの FC-SP イネーブル ステートが表示されます。

ステップ 2 Command ドロップダウン リストで、FC-SP をイネーブルするすべてのスイッチについて、enable を選択します。

ステップ 3 Apply Changes アイコンをクリックし、選択したスイッチ上で FC-SP および DHCHAP をイネーブルにします。

DHCHAP 認証モードの概要

各インターフェイスの DHCHAP 認証ステータスは、設定された DHCHAP ポート モードによって異なります。

スイッチ内で DHCHAP 機能がイネーブルの場合には、各ファイバ チャネル インターフェイスまたは FCIP インターフェイスを 4 つの DHCHAP ポート モードのいずれかに設定できます。

• on ― 接続元デバイスが DHCHAP 認証をサポートしている場合、スイッチ初期化中に認証シーケンスが実行されます。接続元デバイスが DHCHAP 認証をサポートしていない場合には、リンクが分離状態になります。

• auto-active ― 接続元デバイスが DHCHAP 認証をサポートしている場合、スイッチ初期化中に認証シーケンスが実行されます。接続元デバイスが DHCHAP 認証をサポートしていない場合には、認証シーケンスの残りが継続されます。

• auto-passive（デフォルト） ― スイッチは DHCHAP 認証を開始しませんが、接続元デバイスが DHCHAP 認証を開始した場合には、DHCHAP 認証に参加します。

• off ― スイッチは DHCHAP 認証をサポートしません。このモードのポートに認証メッセージが送信された場合、開始元スイッチにエラー メッセージが戻されます。

（注） DHCHAP ポート モードを off モード以外のモードに変更すると、再認証が実行されます。

表23-1 に、さまざまなモードに設定した 2 台のシスコ スイッチ間での認証について説明します。

DHCHAP モードの設定

Fabric Manager を使用して特定のインターフェイスに DHCHAP モードを設定する手順は、次のとおりです。

ステップ 1 Physical Attributes ペインで、Switches> Interfaces を展開して、FC Physical を選択します。

Information ペインにインターフェイス設定が表示されます。

ステップ 2 FC-SP タブを選択します。

Information ペインに FC-SP（DHCHAP）の設定が表示されます（図23-3 を参照）。

図23-3 FC-SP（DHCHAP）インターフェイス モード

ステップ 3 Mode ドロップダウン リストで、FC-SP をサポートする各インターフェイスについて、DHCP authentication mode を選択します。

ステップ 4 Apply Changes アイコンをクリックして、DHCHAP ポート モードの設定を保存します。

DHCHAP ハッシュ アルゴリズムの概要

Cisco SAN スイッチは、DHCHAP 認証用のデフォルト ハッシュ アルゴリズム プライオリティ リスト（MD5 のあとに SHA-1）をサポートしています。

ヒント ハッシュ アルゴリズムの設定を変更する場合には、ファブリック内のすべてのスイッチに対してグローバルに変更します。

DHCHAP ハッシュ アルゴリズムの設定

Fabric Manager を使用してハッシュ アルゴリズムを設定する手順は、次のとおりです。

ステップ 1 Switches > Security を選択し、FC-SP を選択します。

ステップ 2 General/Password タブを選択します。

各スイッチの DHCHAP 一般設定モードが表示されます（図23-4 を参照）。

図23-4 General/Password タブ

ステップ 3 ファブリック内の各スイッチの DHCHAP HashList を変更します。

ステップ 4 Apply Changes アイコンをクリックして、更新したハッシュ アルゴリズム プライオリティ リストを保存します。

DHCHAP グループ設定の概要

すべての Nexus 5000 シリーズ スイッチは、標準で指定されたすべての DHCHAP グループをサポートします。これらのグループは、0（DH 交換を実行しないヌル DH グループ）、1、2、3、または 4 です。

ヒント DH グループの設定を変更する場合には、ファブリック内の全スイッチに対してグローバルに変更してください。

DHCHAP グループの設定

Fabric Manager を使用して DH グループ設定を変更する手順は、次のとおりです。

ステップ 1 Switches > Security を展開し、FC-SP を選択します。

ステップ 2 General/Password タブを選択します。

ステップ 3 ファブリック内の各スイッチの DHCHAP GroupList を変更します。

ステップ 4 Apply Changes アイコンをクリックして、更新したハッシュ アルゴリズム プライオリティ リストを保存します。

DHCHAP パスワードの概要

DHCHAP 認証を方向ごとに実行するには、接続されたデバイス間の共有シークレット パスワードが必要です。このパスワードを使用するには、DHCHAP に参加するファブリック内のすべてのスイッチで、次の 3 つの設定のいずれかを使用してパスワードを管理します。

• 設定 1 ― ファブリック内のすべてのスイッチに同じパスワードを使用します。これは、最も単純な設定です。新しいスイッチを追加する場合、このファブリック内では同じパスワードを使用してそのスイッチを認証することになります。したがって、ファブリック内のいずれかのスイッチに外部から不正アクセスを試みる場合、これは最も脆弱な設定です。

• 設定 2 ― ファブリック内のスイッチごとに異なるパスワードを使用して、このパスワード リストを維持します。新しいスイッチを追加する場合には、新規パスワード リストを作成して、この新規リストを使用してすべてのスイッチを更新します。いずれかのスイッチにアクセスすると、このファブリック内のすべてのスイッチに関するパスワード リストが生成されます。

• 設定 3 ― ファブリック内のスイッチごとに異なるパスワードを使用します。新規スイッチを追加する場合は、ファブリック内の各スイッチに対応する複数の新規パスワードを生成して、各スイッチに設定する必要があります。いずれかのスイッチが被害にあっても、他のスイッチのパスワードは引き続き保護されます。この設定では、ユーザ側で大量のパスワード メンテナンス作業が必要になります。

（注） すべてのパスワードは 64 個の英数字に制限され、変更可能ですが、削除はできません。

ヒント 6 台以上のスイッチを含むファブリックでは、RADIUS または TACACS+ の使用を推奨します。ローカル パスワード データベースを使用する必要がある場合には、設定 3 を使用し、Cisco MDS 9000 ファミリ Fabric Manager を使用して、パスワード データベースを管理します。

ローカル スイッチの DHCHAP パスワードの設定

Fabric Manager を使用してローカル スイッチに DHCHAP パスワードを設定する手順は、次のとおりです。

ステップ 1 Switches > Security を展開し、FC-SP を選択します。

Information ペインに、FC-SP の設定が表示されます。

ステップ 2 Local Passwords タブを選択します。

ステップ 3 Create Row アイコンをクリックして、新しいローカル パスワードを作成します。

Create Local Passwords ダイアログボックスが表示されます。

ステップ 4 （任意）同じローカル パスワードを設定するスイッチをチェックします。

ステップ 5 スイッチの WNN を選択し、Password フィールドにパスワードを入力します。

ステップ 6 Create をクリックして、更新したパスワードを保存します。

リモート デバイスのパスワード設定の概要

ファブリック内の他のデバイスのパスワードを、ローカル認証データベースに設定できます。他のデバイスは、スイッチ WWN またはデバイス WWN と呼ばれるデバイス名によって識別されます。パスワードは 64 文字に制限され、クリア テキスト（0）または暗号化テキスト（7）で指定できます。

（注） スイッチ WWN は物理スイッチを識別します。スイッチ WWN はスイッチを認証する場合に使用され、VSAN ノードの WWN とは異なります。

リモート デバイスの DHCHAP パスワードの設定

Fabric Manager を使用して、ファブリック内の別のスイッチのリモート DHCHAP パスワードをローカルで設定する手順は、次のとおりです。

ステップ 1 ISL を右クリックし、ドロップダウン リストから Enable FC-SP を選択します。

Enable FC-SP ダイアログボックスが表示されます（図23-5 を参照）。

図23-5 Enable FC-SP ダイアログボックス

ステップ 2 Apply をクリックして、更新したパスワードを保存します。

DHCHAP タイムアウト値の概要

DHCHAP プロトコルの交換中に、Nexus 5000 シリーズ スイッチが待機中の DHCHAP メッセージを指定インターバル内に受信しなかった場合、認証は失敗したとみなされます。このインターバルは 20（認証が実行されない）～ 1000 秒です。デフォルトは 30 秒です。

タイムアウト値を変更する場合には、次の要因について考慮してください。

• 既存の RADIUS および TACACS+ タイムアウト値。

• ファブリック内の全スイッチに同じ値を設定する必要があります。

DHCHAP タイムアウト値の設定

Fabric Manager を使用して DHCHAP タイムアウト値を設定する手順は、次のとおりです。

ステップ 1 Switches > Security を展開し、FC-SP を選択します。

Information ペインに、FC-SP の設定が表示されます。

ステップ 2 General/Password タブを選択します。

各スイッチの DHCHAP 一般設定モードが表示されます（図23-6 を参照）。

図23-6 General/Password タブ

ステップ 3 ファブリック内の各スイッチの DHCHAP タイムアウト値を変更します。

ステップ 4 Apply Changes アイコンをクリックして、更新した情報を保存します。

DHCHAP AAA 認証の設定

AAA 認証を設定して、RADIUS または TACACS+ サーバ グループを使用できます。AAA 認証を設定しない場合、デフォルトでローカル認証が使用されます。

AAA 認証を設定するには、『 Cisco Nexus 5000 Series CLI Configuration Guide 』を参照してください。

ISL 上での FC-SP のイネーブル化

Fabric Manager には、ISL のどちらかの側のスイッチ上で FC-SP をイネーブルにする、Enable FC-SP と呼ばれる ISL ポップアップ メニューがあります。FC-SP 一般パスワードを入力し、関連ポートの FC-SP インターフェイス モードを ON に設定します。この機能を設定するには、ISL を右クリックして、Enable FC-SP をクリックします。