- はじめに
- 製品概要
- Cisco Fabric Manager の インストール
- Fabric Manager Server
- Fabric Manager の認証
- Fabric Manager Client
- Device Manager
- CFS の使用
- イーサネット インターフェイスの設定
- 仮想インターフェイスの設定
- ファイバ チャネル インターフェイスの 設定
- ドメイン パラメータの設定
- N ポート バーチャライゼーションの 設定
- VSAN トランキングの設定
- SAN ポート チャネルの設定
- VSAN の設定と管理
- ゾーンの設定と管理
- Distributing Device Alias Service
- ファイバ チャネル ルーティング サービス およびプロトコルの 設定
- FLOGI、ネーム サーバ、FDMI、および RSCN データベースの管理
- SPAN の設定
- SCSI ターゲットの検出
- 高度な機能および概念
- FC-SP および DHCHAP の設定
- ポート セキュリティの設定
- ファブリック バインディングの設定
- FCS の設定
- ポート トラッキングの設定
- ネットワーク モニタリング
- Performance Manager
- Nexus 5000 管理ソフトウェアの FAQ
- ファブリックのトラブルシューティング
- 索引
Cisco Nexus 5000 シリーズ スイッチ Fabric Manager ソフトウェア コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: ポート セキュリティの設定
ポート セキュリティの設定
Nexus 5000 シリーズ スイッチは、侵入に関する試みを拒否し、管理者にこれらの侵入を報告するポート セキュリティを提供します。
(注) ポート セキュリティは、仮想ファイバ チャネル ポートおよび物理ファイバ チャネル ポートでサポートされています。
•
「自動学習」
ポート セキュリティの概要
通常、SAN 内のすべてのファイバ チャネル デバイスを任意の SAN スイッチ ポートに接続して、ゾーン メンバシップに基づいて SAN サービスにアクセスできます。ポート セキュリティ機能は、次の方式を使用して Nexus 5000 シリーズ スイッチのスイッチ ポートへの不正アクセスを防止します。
• 不正なファイバ チャネル デバイス(N ポート)およびスイッチ(xE ポート)からのログイン要求は拒否されます。
• 侵入に関するすべての試みは、システム メッセージを通して SAN 管理者に報告されます。
• 設定配信は CFS インフラストラクチャを使用し、CFS 対応スイッチに制限されています。配布はデフォルトでディセーブルです。
• ポート セキュリティ ポリシーを設定するには、ストレージ プロトコル サービス ライセンスが必要です。
ポート セキュリティの実行
ポート セキュリティを実行するには、デバイスまたはスイッチに、それぞれを接続するポート インターフェイスを設定し、設定をアクティブにします。
• デバイスごとに N ポート接続を指定するには、Port World Wide Name(pWWN)または Node World Wide Name(nWWN)を使用します。
• スイッチごとに xE ポート接続を指定するには、Switch World Wide Name(sWWN)を使用します。
N ポートおよび xE ポートをそれぞれ設定して、単一ポートまたはポート範囲に限定することができます。
ポート セキュリティ ポリシーは、ポートがアクティブになるごとに、およびポートの起動時に適用されます。
ポート セキュリティ機能は 2 つのデータベースを使用して、設定変更を受け入れて、実装します。
• コンフィギュレーション データベース ― 設定の変更はすべて、コンフィギュレーション データベースに保存されます。
• アクティブ データベース ― ファブリックで現在実行されているデータベースです。ポート セキュリティ機能を実行するには、スイッチに接続しているすべてのデバイスを、ポート セキュリティ アクティブ データベースに登録する必要があります。ソフトウェアはこのアクティブ データベースを使用して、認証を行います。
自動学習の概要
指定した期間にわたって、スイッチがポート セキュリティ設定を自動学習(auto-learn)するように設定できます。この機能を使用すると、任意の Nexus 5000 シリーズ スイッチで、接続先のデバイスおよびスイッチについて自動的に学習できます。ポート セキュリティ機能を最初にアクティブにするときに、この機能を使用すると、各ポートを手動で設定する面倒な作業が軽減されます。自動学習は、VSAN 単位で設定する必要があります。この機能をイネーブルにすると、ポート アクセスを設定していない場合でも、スイッチに接続可能なデバイスおよびスイッチが自動学習されます。
自動学習をイネーブルにすると、スイッチにログインしていないデバイスまたはインターフェイスに関する学習だけが実行されます。自動学習がイネーブルのときにポートをシャットダウンすると、そのポート上で学習されたエントリは消去されます。
学習によって、設定済みのポート セキュリティ ポリシーが上書きされることはありません。たとえば、インターフェイスが特定の pWWN を許可するように設定されている場合、自動学習によって、そのインターフェイスに他の pWWN を許可する新しいエントリが追加されることはありません。自動学習モードであっても、他のすべての pWWN はブロックされます。
シャットダウン状態のポートについては、エントリは学習されません。
ポート セキュリティ機能をアクティブにすると、自動学習も自動的にイネーブルになります。
(注) ポート セキュリティをアクティブにする前に自動学習をイネーブルにした場合、自動学習をディセーブルにしないと、ポート セキュリティをアクティブにできません。
ポート セキュリティのアクティブ化
デフォルトでは、Nexus 5000 シリーズ スイッチでポート セキュリティ機能は非アクティブです。
ポート セキュリティ機能をアクティブにすると、次の処理が行われます。
–この時点から、スイッチにログインしていないデバイスまたはインターフェイスに限り、自動学習が実行されます。
–自動学習をディセーブルにするまでは、データベースをアクティブにできません。
• すでにログインしているすべてのデバイスが学習され、アクティブ データベースに追加されます。
• 設定済みデータベースのすべてのエントリが、アクティブ データベースにコピーされます。
データベースをアクティブにすると、以降のデバイスのログインは、自動学習されたエントリを除き、アクティブ化されたポートによってバインドされた WWN ペアの対象になります。自動学習されたエントリをアクティブにするには、自動学習をディセーブルにする必要があります。
ポート セキュリティ機能をアクティブにすると、自動学習も自動的にイネーブルになります。ポート セキュリティ機能をアクティブにして、自動学習をディセーブルにすることもできます。
ヒント ログインが拒否されてシャットダウンしたポートは、以降でログインが許可されるようにデータベースを設定しても、自動的には起動しません。そのポートをオンラインに戻すには、no shutdown CLI コマンドを明示的に入力する必要があります。
ポート セキュリティの設定
ポート セキュリティを設定する手順は、使用する機能によって異なります。CFS 配信を使用している場合には、自動学習の動作が異なります。
• 「自動学習と CFS 配信を使用するポート セキュリティの設定」
• 「自動学習を使用し、CFS 配信を使用しないポート セキュリティの設定」
• 「手動データベース設定によるポート セキュリティの設定」
自動学習と CFS 配信を使用するポート セキュリティの設定
自動学習および CFS 配信を使用してポート セキュリティを設定する手順は、次のとおりです。
「ポート セキュリティのイネーブル化」を参照してください。
「配信のイネーブル化」を参照してください。
ステップ 3 各 VSAN でポート セキュリティをアクティブにします。
この操作によって、デフォルトで自動学習が有効になります。「ポート セキュリティのアクティブ化」を参照してください。
ステップ 4 CFS 確定を発行して、この設定をファブリック内のすべてのスイッチにコピーします。
「変更のコミット」を参照してください。すべてのスイッチでポート セキュリティがアクティブになり、自動学習が有効になります。
ステップ 5 すべてのスイッチおよびホストが自動学習されるまで待機します。
ステップ 6 各 VSAN で自動学習をディセーブルにします。
「自動学習のディセーブル化」を参照してください。
ステップ 7 CFS 確定を発行して、この設定をファブリック内のすべてのスイッチにコピーします。
「変更のコミット」を参照してください。すべてのスイッチから自動学習されたエントリが、すべてのスイッチに配信されるスタティックなアクティブ データベースに組み込まれます。
ステップ 8 アクティブ データベースを、各 VSAN のコンフィギュレーション データベースにコピーします。
「ポート セキュリティ データベースのコピー」を参照してください。
ステップ 9 CFS 確定を発行して、この設定をファブリック内のすべてのスイッチにコピーします。
「変更のコミット」を参照してください。これにより、ファブリック内のすべてのスイッチで、コンフィギュレーション データベースが同一になります。
ステップ 10 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。
このステップにより、ポート セキュリティ コンフィギュレーション データベースが、ファブリック内のすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。
自動学習を使用し、CFS 配信を使用しないポート セキュリティの設定
自動学習を使用し、CFS 配信を使用しないポート セキュリティを設定する手順は、次のとおりです。
「ポート セキュリティのイネーブル化」を参照してください。
ステップ 2 各 VSAN のポート セキュリティをアクティブにし、デフォルトで自動学習を有効にします。
「ポート セキュリティのアクティブ化」を参照してください。
ステップ 3 すべてのスイッチおよびホストが自動学習されるまで待機します。
ステップ 4 各 VSAN で自動学習をディセーブルにします。
「自動学習のディセーブル化」を参照してください。
ステップ 5 アクティブ データベースを、各 VSAN のコンフィギュレーション データベースにコピーします。
「ポート セキュリティ データベースのコピー」を参照してください。
ステップ 6 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これにより、ポート セキュリティ コンフィギュレーション データベースがスタートアップ コンフィギュレーションに保存されます。
ステップ 7 ファブリック内のすべてのスイッチについて、ステップ 1 ~ 6 を繰り返します。
手動データベース設定によるポート セキュリティの設定
ポート セキュリティを設定し、ポート セキュリティ データベースを手動設定する手順は、次のとおりです。
「ポート セキュリティのイネーブル化」を参照してください。
ステップ 2 各 VSAN のコンフィギュレーション データベースに、すべてのポート セキュリティ エントリを手動で設定します。
「手動データベース設定によるポート セキュリティの設定」を参照してください。
ステップ 3 各 VSAN でポート セキュリティをアクティブにします。デフォルトで、自動学習が有効になります。
「自動学習のディセーブル化」を参照してください。
ステップ 4 各 VSAN で自動学習をディセーブルにします。
「自動学習のディセーブル化」を参照してください。
ステップ 5 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これにより、ポート セキュリティ コンフィギュレーション データベースがスタートアップ コンフィギュレーションに保存されます。
ステップ 6 ファブリック内のすべてのスイッチについて、ステップ 1 ~ 5 を繰り返します。
ポート セキュリティのイネーブル化
デフォルトでは、Nexus 5000 シリーズ スイッチでポート セキュリティ機能はディセーブルです。
Fabric Manager を使用してポート セキュリティをイネーブルにする手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます(図24-1 を参照)。
図24-2 のような情報が表示されます。
ステップ 3 Global カラムの各エントリをクリックし、 enable を選択して、VSAN 内のすべての参加スイッチ上の CFS をイネーブルにします。
ステップ 4 Apply Changes をクリックし、ポート セキュリティ機能の CFS 配布をイネーブルにします。
選択した VSAN 内の全スイッチのポート セキュリティ イネーブル ステートが表示されます(図24-3 を参照)。
ステップ 6 VSAN 内の各スイッチについて、Status カラムで enable を選択します。
ステップ 7 CFS タブをクリックし、VSAN 内のすべての参加スイッチについて、Command カラムで commit を選択します。
ステップ 8 Apply Changes をクリックして、VSAN 内の全スイッチに、イネーブルにしたポート セキュリティを配信します。
ポート セキュリティのアクティブ化
• 「コンフィギュレーション データベースへのアクティブ データベースのコピー」
ポート セキュリティのアクティブ化
Fabric Manager を使用してポート セキュリティをアクティブにする手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます。
ステップ 3 Activation の下の Action カラムで、ポート セキュリティをアクティブにするスイッチまたは VSAN を選択します。ドロップダウン リストに、次のオプションが表示されます。
• activate ― 有効なポート セキュリティ設定をアクティブにします。
• activate(TurnLearningOff) ― 有効なポート セキュリティ設定をアクティブにし、自動学習をオフにします。
• forceActivate ― 強制的にアクティブにします。
• forceActivate(TurnLearningOff) ― 強制的にアクティブにし、自動学習をオフにします。
• deactivate ― 現在アクティブであるすべてのポート セキュリティ設定を非アクティブにします。
ステップ 4 スイッチに適用する Action フィールドを設定します。
ステップ 5 自動学習をディセーブルにするには、VSAN の各スイッチの AutoLearn チェックボックスをオフにします。
ステップ 6 CFS タブをクリックし、VSAN 内のすべての参加スイッチについて、Command カラムを commit に設定します。
ステップ 7 Fabric Manager の Apply Changes をクリックして、変更を保存します。
データベースのアクティブ化の拒否
次の場合は、データベースをアクティブ化しようとしても、拒否されます。
• 存在しないエントリや矛盾するエントリがコンフィギュレーション データベースに存在するが、アクティブ データベースにはない場合。
• アクティブ化する前に、自動学習機能がイネーブルに設定されていた場合。この状態でデータベースを再アクティブ化するには、自動学習をディセーブルにします。
• 各ポート チャネル メンバーに正確なセキュリティが設定されていない場合。
• 設定済みデータベースが空で、アクティブ データベースが空でない場合。
上記のような矛盾が 1 つまたは複数発生し、データベースのアクティブ化が拒否された場合でも、ポート セキュリティを強制的にアクティブ化すれば、処理を続行できます。
ポート セキュリティの強制的なアクティブ化
ポート セキュリティのアクティブ化要求が拒否された場合、アクティブ化を強制的に実行できます。
(注) アクティブ化を強制すると、アクティブ データベースに違反している既存のデバイスがログアウトします。
Fabric Manager を使用してポート セキュリティ データベースを強制的にアクティブ化する手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます。
ステップ 3 Activation の下の Action カラムで、ポート セキュリティをアクティブにするスイッチまたは VSAN を選択し、 forceactivate オプションを選択します。
ステップ 4 スイッチに適用する Action フィールドを選択します。
ステップ 5 CFS タブをクリックし、VSAN 内のすべての参加スイッチについて、Command カラムで commit を選択します。
ステップ 6 Fabric Manager の Apply Changes をクリックして、変更を保存します。
データベースの再アクティブ化
ヒント 自動学習がイネーブルで、データベースをアクティブ化できない場合、処理を継続できません。
Fabric Manager を使用してポート セキュリティ データベースを再アクティブ化する手順は、次のとおりです。
ステップ 2 コンフィギュレーション データベースにアクティブ データベースをコピーします。
ヒント アクティブ データベースが空の場合には、この手順を実行できません。
ステップ 3 必要に応じて、コンフィギュレーション データベースを変更します。
コンフィギュレーション データベースへのアクティブ データベースのコピー
Fabric Manager を使用して、アクティブ データベースをコンフィギュレーション データベースにコピーする手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます。
ステップ 3 データベースをコピーするスイッチの横にある、CopyActive ToConfig チェックボックスをオンにします。
セキュリティ設定がアクティブになると、アクティブ データベースがコンフィギュレーション データベースにコピーされます。
ステップ 4 セキュリティ設定をアクティブにしたときにデータベースをコピーしない場合には、CopyActive ToConfig チェックボックスをオフにします。
ステップ 5 CFS タブをクリックし、VSAN 内のすべての参加スイッチについて、Command カラムで commit を選択します。
ステップ 6 これらの変更を保存する場合は Apply Changes をクリックします。保存されていない変更を廃棄する場合は Undo Changesを クリックします。
アクティブなポート セキュリティ設定の表示
Fabric Manager を使用してアクティブなポート セキュリティ設定を表示する手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます。
ステップ 2 Active Database タブをクリックします。
その VSAN のアクティブなポート セキュリティ設定が表示されます。
ポート セキュリティ統計情報の表示
Fabric Manager を使用してポート セキュリティ統計情報を表示する手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます。
その VSAN のポート セキュリティ統計情報が表示されます。
ポート セキュリティ違反の表示
ポート違反とは、不正なログイン試行のことです(たとえば、不正なファイバ チャネル デバイスからログイン要求があった場合)。Fabric Manager を使用すると、これらの試行に関するリストを VSAN 単位で表示できます。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます。
自動学習
• 「許可の例」
自動学習のイネーブル化の概要
自動学習の設定の状態は、ポート セキュリティ機能の状態によって異なります。
• ポート セキュリティ機能が非アクティブである場合、自動学習はデフォルトでディセーブルになります。
• ポート セキュリティ機能がアクティブである場合、自動学習はデフォルトでイネーブルになります(このオプションを明示的にディセーブルにしていない場合)。
ヒント VSAN 上の自動学習がイネーブルである場合、force オプションを使用しないと、その VSAN のデータベースをアクティブ化できません。
自動学習のイネーブル化
Fabric Manager を使用して自動学習をイネーブルにする手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます(図24-4 を参照)。
ステップ 3 Activation の下の Action カラムで、ポート セキュリティをアクティブにするスイッチまたは VSAN を選択します。ドロップダウン リストに、次のオプションが表示されます。
• activate ― 有効なポート セキュリティ設定をアクティブにします。
• activate(TurnLearningOff) ― 有効なポート セキュリティ設定をアクティブにし、自動学習をオフにします。
• forceActivate ― 強制的にアクティブにします。
• forceActivate(TurnLearningOff) ― 強制的にアクティブにし、自動学習をオフにします。
• deactivate ― 現在アクティブであるすべてのポート セキュリティ設定を非アクティブにします。
ステップ 4 そのスイッチに適用する、いずれかのポート セキュリティ オプションを選択します。
ステップ 5 自動学習をイネーブルにするには、VSAN の各スイッチの AutoLearn チェックボックスをオンにします。
ステップ 6 Apply Changes アイコンをクリックして、これらの変更を保存します。
自動学習のディセーブル化
Fabric Manager を使用して自動学習をディセーブルにする手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます(図24-4を参照)。
ステップ 3 自動学習をディセーブルにするには、スイッチの横にある AutoLearn チェックボックスをオフにします。
ステップ 4 Apply Changes アイコンをクリックして、これらの変更を保存します。
自動学習デバイスの許可
表24-1 に、デバイス要求に対して接続が許可される条件を示します。
|
|
|
|
|
|---|---|---|---|
許可の例
ポート セキュリティ機能がアクティブで、アクティブ データベースに次の条件が指定されているものとします。
• pWWN(P1)には、インターフェイス fc2/1(F1)からアクセスできる
• pWWN(P2)には、インターフェイス fc2/2(F1)からアクセスできる
• nWWN(N1)には、インターフェイス fc2/2(F2)からアクセスできる
• インターフェイス vfc3/1(F3)からは、任意の WWN にアクセスできる
• nWWN(N3)には、任意のインターフェイスからアクセスできる
• pWWN(P3)には、インターフェイス fc2/4(F4)からアクセスできる
• sWWN(S1)には、インターフェイス fc3/1 ~ 3(F10 ~ F13)からアクセスできる
• pWWN(P10)には、インターフェイス vfc4/1(F11)からアクセスできる
表24-2 に、このアクティブ データベースに対するポート セキュリティ許可の結果を示します。ここに示す条件は、 表24-1 の条件に基づいています。
|
|
|
|
|
|---|---|---|---|
ポート セキュリティの手動設定
Nexus 5000 シリーズ スイッチにポート セキュリティを設定する手順は、次のとおりです。
ステップ 1 保護する必要があるポートの WWN を識別します。
「許可済みのポート ペアの追加」を参照してください。
ステップ 2 許可された nWWN または pWWN に対して fWWN を保護します。
ステップ 3 ポート セキュリティ データベースをアクティブにします。
WWN の識別の注意事項
ポート セキュリティを手動で設定する場合は、次の点に注意してください。
• インターフェイスまたは fWWN でスイッチ ポートを識別します。
• N ポートが SAN スイッチ ポート F にログインできる場合、その N ポートは指定された F ポートを通してのみログインできます。
• N ポートの nWWN が F ポート WWN にバインドされている場合、N ポートのすべての pWWN は暗黙的に F ポートとペアになります。
• TE ポート チェックは、VSAN トランク ポートの許可 VSAN リスト内の VSAN ごとに実行されます。
• 同じ SAN ポート チャネル内のすべてのポート チャネル xE ポートに、同じ WWN セットを設定する必要があります。
• E ポートのセキュリティは、E ポートのポート VSAN に実装されます。この場合、sWWN を使用して許可チェックを保護します。
• アクティブ化されたコンフィギュレーション データベースは、アクティブ データベースに影響を与えることなく変更できます。
• 実行コンフィギュレーションを保存すると、コンフィギュレーション データベース、およびアクティブ データベース内のアクティブ化されたエントリが保存されます。アクティブ データベース内の学習済みエントリは保存されません。
許可済みのポート ペアの追加
バインドする必要がある WWN を識別したら、これらのペアをポート セキュリティ データベースに追加します。
ヒント リモート スイッチのバインドは、ローカル スイッチで指定できます。リモート インターフェイスを指定する場合、fWWN または sWWN インターフェイスの組み合わせを使用できます。
Fabric Manager を使用して、許可済みのポート ペアをポート セキュリティに追加する手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
ステップ 2 Config Database タブをクリックします。
ステップ 3 Create Row をクリックして、許可済みのポート ペアを追加します。
Create Port Security ダイアログボックスが表示されます(図24-5 を参照)。
図24-5 Create Port Security ダイアログボックス
ステップ 4 リストから、ポート セキュリティ設定を作成するデバイスをダブルクリックします。
ステップ 5 リストから、デバイスをバインドするポートをダブルクリックします。
ステップ 6 Create をクリックして、ポート セキュリティ設定を作成します。
ステップ 7 Apply Changes アイコンをクリックして、これらの変更を保存します。
ポート セキュリティ設定の削除
スイッチ上の既存のデータベースからポート セキュリティ設定を削除する手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
ステップ 2 Config Databaseタブをクリックします。
ステップ 5 行を削除するには、Yes をクリックします。行を削除しないで確認ダイアログボックスを閉じるには、No をクリックします。
ステップ 6 Apply Changes アイコンをクリックして、これらの変更を保存します。
ポート セキュリティ設定の配信
ポート セキュリティ機能は、Cisco Fabric Services(CFS)インフラストラクチャを使用して効率的なデータベース管理を実行し、VSAN 内のファブリック全体に単一の設定を提供して、ファブリック全体でポート セキュリティ ポリシーを施行します( 第 7 章「CFS の使用」 を参照)。
配信のイネーブル化
配信モードで実行されたすべての設定は、(一時的な)保留データベースに保管されます。設定を変更するには、保留データベースの変更を設定にコミットするか、廃棄する必要があります。この処理の実行中は、ファブリックはロックされた状態になります。保留データベースの変更は、変更をコミットするまでは、設定に反映されません。
(注) CFS 配信がイネーブルの場合、CFS コミットが実行されるまでは、ポートのアクティブ化または非アクティブ化および自動学習のイネーブル化またはディセーブル化は有効になりません。適正な設定を保持するには、必ず、CFS コミットに関するいずれかの処理を行ってください。「アクティブ化および自動学習の設定の配信」を参照してください。
ヒント ポート セキュリティのアクティブ化後、および自動学習のイネーブル化後に、コミットを実行することを推奨します。
Fabric Manager を使用して配信をイネーブルにする手順は、次のとおりです。
ステップ 1 VSAN を展開し、Logical Domains ペインで Port Security を選択します。
Information ペインに、その VSAN のポート セキュリティ設定が表示されます(図24-4 を参照)。
ステップ 3 Command カラムで、ドロップダウン リストから enable または disable を選択します。
ステップ 4 Apply Changes アイコンをクリックして、変更を保存します。
ファブリックのロック
既存設定の変更を開始すると、保留データベースが作成され、VSAN 内の機能がロックされます。ファブリックがロックされると、次のような状況になります。
変更のコミット
設定に変更をコミットすると、保留データベースの設定が、他のスイッチに配信されます。コミットが正常に実行されると、ファブリック全体に設定の変更が適用され、ロックが解除されます。
アクティブ化および自動学習の設定の配信
配信モードでのアクティブ化および自動学習の設定は、保留データベースの変更をコミットするときに実行される動作として認識されます。
学習されたエントリは一時的なもので、ログインが許可されるかどうかには影響しません。したがって、学習されたエントリは配信には含まれません。学習をディセーブルにして保留データベースの変更をコミットすると、学習されたエントリがアクティブ データベース内のスタティックなエントリになり、ファブリック内のすべてのスイッチに配信されます。コミット実行後は、すべてのスイッチのアクティブ データベースが同一になるので、学習をディセーブルにできます。
変更をコミットする場合、保留データベースに複数のアクティブ化および自動学習の設定が含まれていると、アクティブ化と自動学習の変更が統合され、処理結果が変更されることがあります( 表24-3 を参照)。
|
|
|
|
|
|---|---|---|---|
| コンフィギュレーション データベースに A と B が存在し、アクティブ化は実行されていない状態で、デバイス C と D がログインしている。 |
アクティブ データベース = {A、B、C 1 、D*} |
||
| コンフィギュレーション データベースに A と B が存在し、アクティブ化は実行されていない状態で、デバイス C と D がログインしている。 |
|||
| アクティブ データベース = {A、B}、デバイス C と D がログアウト。自動学習をディセーブルにしたアクティブ化と同等。 |
ヒント 各処理の最後にコミットを実行することを推奨します。つまり、ポート セキュリティのアクティブ化のあと、および自動学習のイネーブル化のあとです。
データベース マージの注意事項
データベースのマージとは、コンフィギュレーション データベースと、アクティブ データベース内のスタティック(学習されていない)エントリの統合を意味します。詳細については、「CFS マージのサポート」を参照してください。
2 つのファブリック間でデータベースをマージする場合には、次の事項に注意してください。
• 両方のファブリックのアクティブ化および自動学習が同じ状態であることを確認してください。
• 両方のデータベースの各 VSAN のコンフィギュレーションの合計数が、2000 を超えていないことを確認してください。
データベースの相互作用
データベースのシナリオ
図24-6 の各シナリオは、ポート セキュリティ設定に基づくアクティブ データベースとコンフィギュレーション データベースのステータスを示しています。
ポート セキュリティ データベースのコピー
ヒント 自動学習をディセーブルにしてから、アクティブ データベースをコンフィギュレーション データベースにコピーすることを推奨します。これにより、コンフィギュレーション データベースとアクティブ データベースを完全に同期化できます。配信がイネーブルの場合には、このコマンドにより、コンフィギュレーション データベースの一時的なコピーが作成されます(同時にファブリックがロックされます)。ファブリックがロックされた場合、すべてのスイッチのコンフィギュレーション データベースに変更をコミットする必要があります。
Fabric Manager を使用して、アクティブ データベースをコンフィギュレーション データベースにコピーする手順は、次のとおりです。
ステップ 1 Fabric を展開し、 VSAN を展開して、Logical Domains ペインで Port Security を選択します。
すべてのコンフィギュレーション データベースが表示されます。
ステップ 3 適切なコンフィギュレーション データベースを選択し、 Copy Active to Config チェックボックスをオンにします。
ステップ 4 Apply Changes アイコンをクリックして変更を保存します。
Fabric Manager を使用して、アクティブ データベースとコンフィギュレーション データベース間の差分を表示する手順は、次のとおりです。
ステップ 1 Fabric を展開し、 VSAN を展開して、Logical Domains ペインで Port Security を選択します。
Information ペインに、ポート セキュリティ情報が表示されます。
ステップ 2 Database Differences タブをクリックします。
すべてのコンフィギュレーション データベースが表示されます。
ステップ 3 適切なコンフィギュレーション データベースを選択します。 Active または Config オプションを選択して、選択したデータベースとアクティブ/コンフィギュレーション データベース間の差分を比較します。
ステップ 4 Apply Changes アイコンをクリックして変更を保存します。
ポート セキュリティ データベースの削除
ヒント 配信がイネーブルの場合、削除を実行すると、データベースのコピーが作成されます。データベースを実際に削除するには、明示的な削除が必要です。
Fabric Manager を使用してポート セキュリティ データベースを削除する手順は、次のとおりです。
ステップ 1 Fabric を展開し、 VSAN を展開して、Logical Domains ペインで Port Security を選択します。
Information ペインに、ポート セキュリティ情報が表示されます。
ステップ 2 Config Database タブをクリックします。
すべてのコンフィギュレーション データベースが表示されます。
ステップ 3 適切なコンフィギュレーション データベースを選択し、 Delete Row ボタンをクリックします。
ステップ 4 コンフィギュレーション データベースを削除する場合は、 Yes をクリックします。
ポート セキュリティ データベースのクリア
Fabric Manager を使用して、指定した VSAN に関するすべての既存の統計情報をポート セキュリティ データベースからクリアする手順は、次のとおりです。
ステップ 1 Fabric を展開し、 VSAN を展開して、Logical Domains ペインで Port Security を選択します。
Information ペインに、ポート セキュリティ情報が表示されます(図24-4を参照)。
すべてのコンフィギュレーション データベースが表示されます。
ステップ 3 適切なコンフィギュレーション データベースを選択し、 Clear オプションを選択します。
ステップ 4 Apply Changes アイコンをクリックして変更を保存します。
Fabric Manager を使用して、VSAN 内の指定したインターフェイスについて、すべての学習済みエントリをアクティブ データベースからクリアする手順は、次のとおりです。
ステップ 1 Fabric を展開し、 VSAN を展開して、Logical Domains ペインで Port Security を選択します。
Information ペインに、ポート セキュリティ情報が表示されます。
すべてのコンフィギュレーション データベースが表示されます。
ステップ 3 適切なコンフィギュレーション データベースを選択し、 AutoLearn オプションを選択します。
ステップ 4 Apply Changes アイコンをクリックして変更を保存します。
(注) Statistics タブおよび AutoLearn オプションで情報をクリアできるのは、ロックが適用されないローカル スイッチだけです。また、学習済みエントリはスイッチのローカル情報になるだけで、配信には含まれません。
デフォルト設定
表24-4 に、スイッチのすべてのポート セキュリティ機能のデフォルト設定を示します。
|
|
|
|---|---|
|
(注) 配信をイネーブルにすると、スイッチのすべての VSAN 上でイネーブルになります。 |
フィードバック