スイッチ
次の表で、[スイッチ(Switches)] ウィンドウに表示されるフィールドについて説明します。
フィールド |
説明 |
---|---|
スイッチ名 |
スイッチの名前を指定します。 |
[IPアドレス(IP Address)] |
スイッチの IP アドレスを指定します。 |
Fabric Name(ファブリック名) |
スイッチに関連付けられているファブリック名を指定します。 |
ステータス | スイッチのステータスを指定します。 |
ヘルス(Health) |
スイッチの正常性ステータスを指定します。正常性ステータスは次のとおりです。
|
Ports |
スイッチのポートの合計数を指定します。 |
使用済みポート |
スイッチで使用されるポートの合計数を指定します。 |
モデル |
スイッチ モデルを指定します。 |
シリアル番号(Serial Number) |
スイッチのシリアル番号を指定します。 |
リリース | スイッチのリリース番号を指定します。 |
稼働時間 |
スイッチアップ時間の詳細を指定します。 |
次の表に、[アクション(Actions)] メニューのドロップダウンリストで、[LAN] > [スイッチ(Switch)] > [スイッチ(Switch)] に表示されるアクションメニューを示します。
アクション項目 |
説明 |
---|---|
Device Manager |
必要なスイッチのデバイスマネージャにログインできます。[デバイスマネージャ(Device Manager)] ログインウィンドウが表示され、ログイン情報を入力してログインします。 Cisco MDS 9000 Device Manager の説明と使用方法については、デバイスマネージャのヘルプを参照してください。 |
テクニカル サポート |
ログの収集を開始できます。詳細については、テクニカル サポートを参照してください。 |
CLI の実行 |
複数のスイッチで複数の CLI コマンドを実行し、各スイッチの出力を zip 形式のテキストファイルとして収集できます。詳細については、CLI の実行を参照してください。 |
Device Manager
デバイス マネージャ をクリックして Cisco MDS 9000 Device Manager の説明と使用方法を表示してください。
(注) |
[スイッチの概要(Switch Overview)] 画面で別のタブに移動すると、Device Manger セッションが終了します。 |
テクニカル サポート
[アクション(Actions)] ドロップダウンリストから、[テクニカルサポート(Tech Support)] を選択してログ収集を開始します。ウィンドウが表示されます。
-
[セッションタイムアウト(Session timeout)] フィールドに時間を分単位で入力します。デフォルトの時間は 20 分です。
-
[コマンド(Command)] テキストフィールドにコマンドを入力し、[実行(Run)] をクリックします。
-
[データが正常に送信され、テクニカルサポートが開始されました(Data submitted successfully, tech support starting)] という確認ウィンドウが表示され、[確認(Confirm)] をクリックしてステータスが [完了(Completed)] に変わります。
-
レポートをダウンロードするには、[テクニカルサポートのダウンロード(Download Tech Support)] をクリックします。
CLI の実行
リリース 12.0.2f 以降 、Cisco NDFC SAN コントローラを使用すると、スイッチで CLI コマンドを実行できます。各スイッチの .zip ファイル内の CLI コマンドからの出力を収集できます。
スイッチで CLI コマンドを実行するには、次の手順を実行します。
-
Cisco NDFC UI で、[SAN] > [スイッチ(Switches)] > [スイッチ(Switches)] を選択します。
-
CLI コマンドを実行するスイッチを選択します。
複数のスイッチを選択して、一連の CLI コマンドを同時に実行できます。
-
[アクション(Actions)] ドロップダウンリストから、[CLI の実行(Execute CLI)] を選択します。
[スイッチ CLI の実行(Execute Switch CLI)] 画面が表示されます。
-
[設定(Configure)] タブで、[選択されたスイッチ(Selected Switches)] の下のハイパーリンクをクリックして、CLI が実行される選択されたスイッチを表示します。
-
[CLI コマンド(CLI Commands)] テキストボックスに、スイッチで実行する CLI コマンドを入力します。
1 行に 1 つのコマンドを入力するようにしてください。
-
[実行(Execute)] をクリックします。
成功(Success) 確認メッセージが表示されます。
-
[実行(Execute)] タブで、テーブルには、スイッチ、関連するファブリック、および CLI の実行ステータスが表示されます。
-
[出力のダウンロード(Download output)] をクリックして、コマンド出力をダウンロードします。
(注)
CLI 経由でスイッチに到達できない場合、zip ファイルの出力にエラーが表示されます。
拡張されたロールベースのアクセス制御
SAN コントローラリリース 12.0.1(a) からは、すべての RBAC が Nexus ダッシュボードにあります。ユーザロールとアクセスは、NDFC 上のファブリックの Nexus ダッシュボードから定義されます。
Nexus ダッシュボードの管理者ロールは、NDFC のネットワーク管理者ロールと見なされます。
DCNM には、さまざまなアクセスと操作を実行するための 5 つのロールがありました。ユーザーがアクセスする場合、ネットワークステージロールを持つファブリックは、ネットワークステージロールとして他のすべてのファブリックにアクセスできます。したがって、ユーザー名は DCNM でのロールによって制限されます。
Cisco NDFC リリース 12.0.1(a) には同じ 5 つのロールがありますが、Nexus ダッシュボードの統合により詳細な RBAC を実行できます。ユーザーがネットワークステージロールとしてファブリックにアクセスする場合、同じユーザーは、管理者またはオペレーターロールなどの他のユーザーロールを使用して別のファブリックにアクセスできます。したがって、ユーザーは NDFC のさまざまなファブリックでさまざまなアクセス権を持つことができます。
NDFC RBAC は、次のロールをサポートします。
-
NDFC アクセス管理者
-
NDFC デバイス アップグレード管理者
-
NDFC ネットワーク管理者
-
NDFC ネットワーク オペレータ
-
NDFC ネットワーク ステージャ
次の表では、NDFC でのユーザーロールとその権限について説明します。
ロール |
権限 |
---|---|
NDFC アクセス管理者 |
読み取り/書き込み 参照先 |
NDFC デバイス アップグレード管理者 |
読み取り/書き込み |
NDFC ネットワーク管理者 |
読み取り/書き込み |
NDFC ネットワーク オペレータ |
読み取り |
NDFC ネットワーク ステージャ |
読み取り/書き込み |
DCNM では、下位互換性のために次のロールがサポートされています。
-
SAN 管理者(ネットワーク管理者にマッピング)
-
グローバル管理者 (ネットワーク管理者にマッピング)
-
SAN ネットワーク管理者(ネットワーク管理者にマッピング)
-
サーバー管理者(ネットワーク管理者にマッピング)
(注) |
どのウィンドウでも、ログインしているユーザーロールで実行できないアクションはグレー表示されます。 |
NDFC ネットワーク管理者
NDFC ネットワーク管理者ロールを持つユーザは、SAN コントローラですべての操作を実行できます。
NDFC ネットワーク管理者ロールを持つユーザーは、 SAN コントローラの特定のファブリックまたはすべてのファブリックをフリーズできます。
NDFC デバイス アップグレード管理者
NDFC デバイス アップグレード管理者ロールを持つユーザは、[イメージ管理(Image Management)]ウィンドウでのみ操作を実行できます。
詳細については、「イメージ管理」の項を参照してください。
NDFC アクセス管理者
NDFC アクセス管理者ロールを持つユーザは、すべてのファブリックの[インターフェイス マネージャ(Interface Manager)] ウィンドウでのみ操作を実行できます。
NDFC アクセス管理者は、次のアクションを実行できます。
-
レイヤ 2 ポート チャネル、および vPC を追加、編集、削除、展開します。
-
ホスト vPC、およびイーサネット インターフェイスを編集します。
-
管理インターフェイスからの保存、プレビュー、および展開。
-
LAN クラシックのインターフェイス、およびポリシーに関連付けられていない場合は外部ファブリックを編集します。
nve、管理、トンネル、サブインターフェイス、SVI、インターフェイス グループ、およびループバック インターフェイスを除く
ただし、SAN コントローラ アクセス ロールを持つユーザは、次のアクションを実行できません。
-
レイヤ 3 ポートチャネル、ST FEX、AA FEX、ループバック インターフェイス、nve インターフェイス、およびサブインターフェイスは編集できません。
-
レイヤ 3、ST FEX、AA FEX のメンバー インターフェイスおよびポート チャネルは編集できません。
-
アンダーレイとリンクから関連付けられたポリシーを持つインターフェイスは編集できません。
-
ピア リンク ポート チャネルを編集できません。
-
管理インターフェイスを編集できません。
-
トンネルを編集できません。
(注) |
ファブリックまたは SAN コントローラが展開フリーズ モードの場合、このロールのアイコンとボタンはグレー表示されます。 |
NDFC ネットワーク ステージャ
NDFC ネットワーク ステージャ ロールを持つユーザは、SAN コントローラで設定を変更できます。NDFC ネットワーク管理者ロールを持つユーザは、これらの変更を後で展開できます。ネットワーク ステージャは、次のアクションを実行できます。
-
インターフェイス構成の編集
-
ポリシーの表示または編集
-
インターフェイスの作成
-
ファブリック設定の変更
-
テンプレートの編集または作成
ただし、ネットワーク ステージャは次のアクションを実行できません。
-
スイッチに設定を展開できません。
-
SAN コントローラ Web UI または REST API から展開関連のアクションを実行できません。
-
ライセンス、追加ユーザの作成などの管理オプションにアクセスできません。
-
メンテナンス モードの切り替えはできません。
-
展開フリーズ モードでファブリックを移動したり、展開モードから解放したりすることはできません。
-
パッチをインストールします。
-
スイッチをアップグレードできません。
-
ファブリックを作成または削除できません。
-
スイッチをインポートまたは削除できません。
NDFC ネットワーク オペレータ
ネットワーク オペレータは、ファブリック ビルダー、ファブリック設定、構成のプレビュー、ポリシー、およびテンプレートを表示できます。ただし、ネットワーク オペレータは次の操作を実行できません。
-
ファブリック内のスイッチの予期される構成を変更できません。
-
スイッチに構成を展開できません。
-
ライセンス、追加ユーザの作成などの管理オプションにアクセスできません。
ネットワーク オペレータとネットワーク ステージャの違いは、ネットワーク ステージャとして、既存のファブリックのインテントのみを定義できますが、それらの設定を展開できないことです。
ネットワーク ステージャロールを持つユーザがステージングした変更および編集を展開できるのは、ネットワーク管理者だけです。
デフォルトの認証ドメインの選択
Nexus ダッシュボードのデフォルトのログイン画面では、認証用のローカルドメインが選択されます。ドロップダウンリストから利用可能なドメインを選択することで、ログイン時にドメインを変更できます。
Nexus ダッシュボードは、ローカルおよびリモート認証をサポートしています。Nexus ダッシュボードのリモート認証プロバイダーには、RADIUS と TACACS が含まれます。認証のサポートの詳細については、https://www.cisco.com/c/en/us/td/docs/dcn/nd/2x/user-guide/cisco-nexus-dashboard-user-guide-211.pdfを参照してください。
次の表に、DCNM アクセスと NDFC アクセス間の RBAC の比較を示します。
DCNM 11.x | NDFC 12.x |
---|---|
|
|
DCNM のオプションへのアクセスを無効化または制限することにより、単一のロールがユーザーに関連付けられます。 |
単一のロールでは、選択したページに特権リソースのみが表示され、NDFC のその他のオプションでは、選択したリソースに関連付けられたセキュリティドメインに基づいて、制限されたアクセスがグレー表示されます。 |
シェル、ロール、およびオプションのアクセス制約を含む DCNM AV ペア形式。 |
シェル、ドメインを含む Nexus ダッシュボード AV ペアフォーマット。 |
展開タイプ LAN、SAN、または PMN に基づいてサポートされるロール。 |
network-admin、network-operator、device-upg-admin、network-stager、access-admin などのサポートされているロールは NDFC にあります。 下位互換性のためのレガシーロールのサポート。DCNM のネットワーク管理者としての Nexus ダッシュボード管理ロール。 |
次の表では、DCNM 11.x AV ペアの形式について説明します。
Cisco DCNM Role | RADIUS Cisco-AV-Pair の値 | TACACS+ シェル Cisco-AV-Pair ペアの値 |
---|---|---|
network-operator |
shell:roles = "network-operator" dcnm-access="group1 group2 group5" |
cisco-av-pair=shell:roles="network-operator" dcnm-access="group1 group2 group5" |
Network-Admin |
shell:roles = "network-admin" dcnm-access="group1group2 group5" |
cisco-av-pair=shell:roles="network-admin" dcnm-access="group1 group2 group5" |
次の表では、NDFC 12.x AV ペアの形式について説明します。
ユーザー ロール | AVPair 値 |
---|---|
NDFC アクセス管理者 |
アクセス管理者 |
NDFC デバイス アップグレード管理者 |
Device-upg-admin |
NDFC ネットワーク管理者 |
network-admin |
NDFC ネットワーク オペレータ |
network-operator |
NDFC ネットワーク ステージャ |
Network-stager |
AV ペア文字列の形式は、特定のユーザーに対して読み取り/書き込みロールを設定するか、読み取り専用ロールを設定するか、または読み取り/書き込みロールと読み取り専用ロールの組み合わせを設定するかによって異なります。通常の文字列にはドメインが含まれており、その後にスラッシュ(/)で区切って読み取り専用ロールからは切り離された読み取り/書き込みロールが続きます。個々のロールはパイプ(|)で区切られています。
shell:domains=<domain>/<writeRole1>|<writeRole2>/<readRole1>|<readRole2>
Nexus Dashboard のセキュリティ ドメイン
ユーザ ログインに関するアクセス制御情報には、ユーザ ID、パスワードなどの認証データが含まれます。認証データに基づいて、リソースに適宜アクセスできます。Nexus ダッシュボードの管理者は、セキュリティ ドメインを作成し、さまざまなリソース タイプ、リソース インスタンスをグループ化し、それらをセキュリティ ドメインにマッピングできます。管理者は各ユーザの AV ペアを定義します。これにより、Nexus ダッシュボードのさまざまなリソースに対するユーザのアクセス権限が定義されます。ファブリックを作成すると、Nexus ダッシュボードに同じファブリック名でサイトが作成されます。これらのサイトは、[Nexusダッシュボード(Nexus Dashboard)] > [サイト(Sites)]で作成および表示できます。
SAN コントローラ REST API は、この情報を使用して、認可を確認することによってアクションを実行します。
SAN コントローラリリース 11.x からアップグレードすると、各ファブリックは同じ名前の自動生成サイトにマッピングされます。これらすべてのサイトは、Nexus ダッシュボードのすべてのセキュリティ ドメインにマッピングされます。
すべてのリソースは、他のドメインに割り当てられたりマッピングされたりする前に、すべてのドメインに配置されます。すべてのセキュリティ ドメインには、Nexus ダッシュボードで使用可能なすべてのセキュリティ ドメインは含まれません。
AV ペア
セキュリティ ドメインのグループと各ドメインの読み取りおよび書き込みロールは、AV ペアを使用して指定されます。管理者は、各ユーザの AV ペアを定義します。AV ペアは、Nexus ダッシュボードのさまざまなリソースに対するユーザのアクセス権限を定義します。
AV ペアの形式は次のとおりです。
"avpair": "shell:domains = security-domain / write-role-1 | write-role-2、security-domain / write-role-1 | write-role2 / read-role-1
| read-role-2 "
例:"avpair":
"shell:domains=all/network-admin/app-user|network-operator"「all/admin/」はユーザをスーパー ユーザにするため、all/admin/ を使用した例を避けるのが最善です。
write ロールには read ロールも含まれます。したがって、all/network-admin/
と all/network-admin/network-admin
は同じです。
(注) |
SAN コントローラ リリース 12.0.1a から、 SAN コントローラリリース11.x で作成した既存の AV ペア形式がサポートされます。ただし、新しい AV ペアを作成する場合は、上記の形式を使用します。shell:domains にスペースが含まれていないことを確認します。 |
AAA サーバ上での Cisco NX-OS のユーザ ロールおよび SNMPv3 パラメータの指定
AAA サーバー上で VSA cisco-AV-pair を使用して、次の形式で Cisco NX-OS デバイスのユーザーロールマッピングを指定できます。
shell:roles="roleA roleB …"
cisco-AV-pair 属性にロールオプションを指定しなかった場合のデフォルトのユーザーロールは、network-operator です。
次のように SNMPv3 認証とプライバシー プロトコル属性を指定することもできます。
shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128
SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。cisco-AV-pair 属性にこれらのオプションを指定しなかった場合のデフォルトの認証プロトコルは、MD5 と DES です。
セキュリティ ドメインの作成
Cisco Nexus Dashboard からセキュリティ ドメインを作成するには、次の手順を実行します。
-
Cisco Nexus Dashboard にログインします。
-
[管理(Administrative)] > [セキュリティ(Security)] の順に選択します。
-
[セキュリティ ドメイン(Security Domain)] タブに移動する
-
[セキュリティ ドメインの作成(Create Security Domain)] をクリックします。
-
必要な詳細を入力し、[作成(Create)] をクリックします。
ユーザの作成
Cisco Nexus Dashboard からユーザを作成するには、次の手順を実行します。
-
Cisco Nexus Dashboard にログインします。
-
[管理(Administrative)] > [ユーザー(Users)] の順に選択します。
-
[ローカル ユーザーの作成(Create Local User)] をクリックします。
-
必要な詳細を入力し、[セキュリティ ドメインの追加(Add Security Domain)] をクリックします。
-
ドロップダウン リストからドメインを選択します。
-
適切なチェックボックスをオンにして、 SAN コントローラ サービスの読み取りまたは書き込みロールを割り当てます。
-
[保存(Save)] をクリックします。