8. ネットワーク機器の管理と運用設定
7.1. システムログの設定
7.1.1. システムログの出力先設定
システムログのメッセージは以下のような場所に出力される。
- コンソールライン
- 仮想ターミナルライン
- ルータやスイッチのRAM
- Syslogサーバ
それぞれの出力先の設定により設定コマンドが異なる。 またシステムのログレベルは以下の通り。
重大度 | 意味 | 説明 |
---|---|---|
0 | 緊急 | システムが不安定 |
1 | 警報 | 直ちに処置が必要 |
2 | 重大 | クリティカルな状態 |
3 | エラー | エラー状態 |
4 | 警告 | 警告状態 |
5 | 通知 | 正常だが注意を要する状態 |
6 | 情報 | 単なる情報メッセージ |
7 | デバッグ | デバッグメッセージ |
例えば3まででは1から3までのメッセージしか表示されず、7ではすべてのメッセージが表示されることになる。
コンソールラインへの出力
コンソールにはデフォルトでログが出力される。 なおコンソール上の出力されるシステムログレベルは7となる。 レベル7ではすべてのログが表示される。 ログレベルの変更は以下コマンドで行える。
仮想ターミナルラインへの出力
仮想ターミナルラインにシステムコンソールを表示するには以下コマンドできる。
また上記コマンドのみではログインセッションが切れるとコマンドが無効になる。 またログレベルの変更は以下コマンドで行える。
ルータやスイッチのRAMへの出力
ルータやスイッチのRAMにシステムログを保存するにはサイズを指定する必要がある。
また保存するログのログレベルの変更は以下コマンドで可能。
Syslogサーバへの出力
Syslogサーバへシステムログを出力するにはサーバの指定が必要で以下コマンドで行える。
7.1.2. システムログのその他の設定
タイムスタンプの表示設定
システムログで表示されるメッセージのタイムスタンプの形式は以下コマンドで行える。
(config)#service timestamps <debug | log> [<datetime [localtime] [msec] [show-timezone] [year] | uptime>]
シーケンス番号の設定
メッセージにシーケンス番号を付加するには以下コマンドで行える。
システムログの確認
コンソールラインや仮想ターミナルラインでシステムログを確認するには以下コマンドで行える。
デバッグの設定と表示
システムログのレベル7に相当するデバッグは通常のlogging console
やterminal monitor
では表示されない。表示するには以下コマンドを実行する。
デバッグコマンドはCPUに負荷がかかるため必要なときのみ使用するようにする。 デバッグメッセージを止める場合以下コマンドを実行することでできる。
7.2 NTPの時刻管理の設定
7.2.1. NTPクライアントとしてサーバとの同期有効化
クライアント/サーバモードのクライアントとしてNTPサーバに対して時刻を要求するには以下コマンドを行う。
IPアドレスにNTPサーバのIPアドレスを指定する。 複数のNTPサーバを指定していたときはpreferを指定すると、サーバと優先的に同期を行うにすることができる。
7.2.2. NTPサーバとして有効化
Ciscoルータはクライアント/サーバモードどちらでも動作させられる。 NTPサーバにするには以下コマンドで行う。
statrum数は1~15まで指定可能で、デフォルトでは8になる。
7.2.3. NTP認証の設定
NTPの認証機能を追加すると信頼できるNTPサーバ/クライアント間の通信に限定するため、誤った不正時刻に更新されることを防ぐことができる。 設定にはNTPサーバ/クライアント間双方で認証を有効化し共通番号の文字列定義を行う。
また自身のNTP設定の確認は以下コマンドで行える。
認証機能の有効化
認証機能はデフォルトでは無効化されているため以下コマンドで有効化する。
認証鍵の定義
認証鍵の定義は以下コマンドで行える。
NTPサーバ/クライアントに対して共通の鍵番号と文字列を指定する。
定義した鍵番号指定
鍵番号の指定は以下コマンドで行う。
同期有効化時の鍵番号指定
NTPクライアント側で時刻同期するNTPサーバに対して認証を行うには以下コマンドで設定を行う。
NTP時刻同期の確認
NTPの時刻同期状態の確認は以下コマンドで行える。
7.2.4. タイムゾーンの設定
日本の場合UTCから+9時間の時差(JST)となる。 設定は以下コマンドで行える。
またルータなどの現在時刻の確認は以下コマンドで行える。
7.3. CDP/LLDPによる隣接機器の検出設定
7.3.1. CDPの設定と確認
Cisco機器ではCDPはデフォルトでONになっている。 有効化/無効化は以下コマンドで行う。
なおCDPの設定はshow cdp
やshow cdp interface
コマンドで確認可能で以下情報が確認可能。
- CDPパケット送信間隔(60s)
- ホールド時間(180s)
- CDPのバージョン
機器全体でのCDP設定
インターフェイスごとのCDP設定
CDPの隣接機器の要約情報確認
CDPで隣接機器から受信したの確認は特権EXECモードでshow cdp neibors
を実行する。
なお特定機器の隣接機器の情報を表示するにはshow cdp entry <機器名>
を実行する。
7.3.2. LLDPの設定と確認
LLDPの設定と確認
Cisco機器以外で隣接機器の情報を取得したい場合はLLDPを有効化する必要がある。 有効化/無効化は以下コマンドで行う。
なおCDPの設定はshow lldp
コマンドで確認可能で以下情報が確認可能。
機器全体でのLLDP設定
インターフェイスごとのLLDP設定
transmitでLLDPフレームの送信、receiveでLLDPフレームの受信を設定できる。
LLDPパケット送信間隔とホールド時間の設定
LLDPはデフォルトでは30秒ごとにLLDPフレームを送信する。
変更する場合はlldp timer <秒>
で設定する。
ホールド時間はデフォルトでは120秒となっており、変更する場合はlldp holdtime <秒>
で設定する。
またLLDPの初期化処理の遅延時間はデフォルトでは2秒であるが、これを変更するにはlldp reinit <秒>
で指定する。
LLDPの隣接機器の要約情報確認
LLDPで隣接機器から受信したの確認は特権EXECモードでshow lldp neibors
を実行する。
なお特定機器の隣接機器の情報を表示するにはshow llp entry <機器名>
を実行する。
7.4. Cisco IOSの管理設定
7.4.2. CISCO IOSのイメージファイルの確認
CISCO IOSのイメージのバージョンやファイルを確認するには特権EXECモードで以下コマンドを実行する。
show flashコマンド
このコマンドではフラッシュメモリに保存されているファイル(IOSイメージを含む)やフラッシュメモリの容量などを確認できる。
show versionコマンド
このコマンドではIOSファイル以外にも以下内容を確認できる。
- IOSバージョン
- IOSイメージファイル名
- CPU/RAMの容量
- ルータのインターフェイス
- フラッシュメモリの容量
- コンフィギュレーションレジスタ値
- システムが稼働してからの時間
- システムを起動した方法
- DRAMの容量
7.4.3. CISCO IOSのバックアップとリストア
CISCO IOSのアップデート後に不具合が発生した際にバージョンを戻して対応できるようにバックアップを行うと安全である。
CISCO IOSのバックアップ手順
基本的にはTFTPサーバを用いてバックアップを行う。
この場合、実行前の準備としてTFTPサーバを立てておく必要がある。 TFTPサーバは基本PCで建てる場合が多く、windowsでは3CDaemonというソフトウェアで立てられる。
- TFTPサーバの準備と疎通確認(ping)を行う。
show flash
コマンドで.bin
が拡張子のIOSイメージファイルと空き容量を確認するcopy flash tftp
コマンドでIOSイメージをバックアップする
CISCO IOSのアップグレード
アップグレードを行う前にアップグレードを行いたいネットワーク機器がIOSの動作要件を満たしているか確認する。 また現行の機能がアップグレード後も使用できるか増設インターフェイスの使用ができるかやメモリの容量があるかなども確認が必要となる。
IOSはTFTPサーバにアップロードして特権EXECモードで以下のコマンドを使用する。
CISCO IOSのリカバリ手順
事前準備として現行設定が保存されたrunnning-configのバックアップをしておく必要がある。 これはルータやスイッチの設定が誤った場合に戻せるようにするためである。
リカバリはtftpに保存したバックアップファイルを設定ファイルにコピーして行う。 なおこの際のコピーは上書きではなくマージとなる。
マージでは既存の設定、コピー元の設定が有効となり、競合した項目はコピー元が優先して保存される。
7.4.5. パスワードの復旧方法
特権EXECモードに移る際のパスワードを忘れてしまった場合は以下手順でパスワードを再設定できる。 ただし設定用PCとCISCO機器を直接接続する必要がある。
- ROMMONモードにアクセスする :
ルータの再起動を行い、起動シーケンスで
Self decompressing the image : #########
部分表示中にAlt+bを押してシーケンスを中断させる。(ハイパーターミナルの場合はCtrl+Break) - コンフィギュレーションレジスタ値の変更をする :
コマンド
confreg 0x2142
を叩いてコンフィギュレーションレジスタ値を0x2142にする。これは次回起動時にNVRAMの内容を無視して読み込むことを意味する。 - ルータを再起動する :
reset
コマンドによりルータを再起動する - 再起動後に特権EXECモードに入りstartup-configをコピーする :
パスワードを要求されずに特権モードに移れるので
copy startup-config runnning-config
でコピーする。 - 特権EXECモードから抜けずに新しいパスワードを設定する :
conf t
でコンフィギュレーションモードに入り、上記1.4.2に基づいてパスワードを再設定する - コンフィギュレーションレジスタ値をもとに戻す :
コンフィギュレーションレジスタ値を0x2102に戻す。具体的には
config-register 0x2102
で戻す - 設定の保存を
copy running-config startup-config
で保存する
7.5. リモートアクセス管理
7.5.1. ルータやスイッチからリモートアクセスする
telnetやsshで現在アクセスしているネットワークデバイスから別のネットワークデバイスにアクセスができる。
なお切断はexit
で行い、中断はCtrl+Shift+6入力後にXキーを押すと可能。
telnet
ssh
セッションの確認と再開
中断した接続に戻る場合で特に複数接続を行いセッションを中断する場合はリモートセッションを確認する必要がある。
show session
でセッションを確認、resume <セッション番号>
でセッションに復帰可能となる。
中断セッションの切断
中断しているセッションはdisconnect <セッション番号>
で切断可能。
ログインしてきているセッションの確認
show users
でユーザのログインを確認可能。
7.5.2. バナーメッセージの設定
banner motd
でコンソール接続時にメッセージ(バナーメッセージ)を表示させることができる。
区切り文字は#などを使うとよい。
具体的なメッセージとしてはルータ管理の情報や警告などを表示するようにすることが多い。
7.6 QoSの設定
7.6.1. IP電話
IP電話を信頼境界とする場合はIP電話を接続しているスイッチでデータパケットに対するプライオリティの変更の有無をIP電話に指示が可能。
- CoS値・・・受信したパケットにすでに施されているマーキングを無視して、新たに設定するCoS値
- trust・・・受信したパケットのプライオリティを信頼する