Cisco 4700 シリーズ Application Control Engine Appliance クイック スタート ガイド

Cisco 4700

シリーズ

_{Application Control}

Engine Appliance

クイック

スタート

ガイド

Cisco 4700 Series Application Control Engine

Appliance Quick Start Guide

米国サイト掲載ドキュメントとの差異が生じる場合があるため、 正式な内容については米国サイトのドキュメントを参照ください。 また、契約等の記述については、弊社販売パートナー、または、 弊社担当者にご確認ください。 このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、 情報、および推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマ ニュアルに記載されている製品の使用は、すべてユーザ側の責任になります。 対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合に は、代理店にご連絡ください。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供 されます。シスコシステムズおよびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるい は取引過程、使用、取引慣行によって発生する保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。 いかなる場合においても、シスコシステムズおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失や データの損傷をはじめとする、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコシステムズまたはその供給者に 知らされていても、それらに対する責任を一切負わないものとします。

CCDE, CCENT, Cisco Eos, Cisco HealthPresence, the Cisco logo, Cisco Lumin, Cisco Nexus, Cisco StadiumVision, Cisco TelePresence, Cisco WebEx, DCE, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn and Cisco Store are service marks; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.

All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0812R)

C O N T E N T S

はじめに vii 対象読者 viii このマニュアルの使い方 viii 関連資料 ix 記号と表記法 xiii マニュアルの入手方法およびテクニカルサポート xiv C H A P T E R 1 概要 1-1

ACE

テクノロジー 1-2

ACE

アプライアンスの設定 1-3 仮想コンテキストの作成 1-3 アクセスコントロールリストの設定 1-4 ロールベースアクセスコントロールの設定 1-4 仮想サーバの設定 1-5 ロードバランシングプレディクタの設定 1-6

は 2-8

ACE

へのホスト名の割り当て 2-12

Device Manager GUI

を使用した

ACE

アプライアンスの設定 2-12

ACE

へのログイン 2-13

2

つ目のギガビットイーサネットインターフェイスポートの設 定 2-16

3

つ目のギガビットイーサネットインターフェイスポートの設 定 2-20

CLI

を使用した

ACE

アプライアンスの設定 2-22

ACE

へのログイン 2-22

1

つ目のギガビットイーサネットポートの設定 2-23

1

つ目のギガビットイーサネットポートの

VLAN

への割り当 て 2-24

ACE

への管理

VLAN

インターフェイスの設定 2-25

2

つ目のギガビットイーサネットインターフェイスポートの設 定 2-27

3

つ目のギガビットイーサネットインターフェイスポートの設 定 2-28

ACE

へのリモート管理アクセスの設定 2-28

Telnet

セッションによる

ACE

へのアクセス 2-31 C H A P T E R 3 仮想コンテキストの作成 3-1 概要 3-1

Device Manager GUI

を使用した仮想コンテキストの作成 3-3

リソースクラスの作成 3-4

ユーザコンテキストの管理

VLAN

インターフェイスの設定 3-21 ユーザコンテキストへのリモート管理アクセスの設定 3-22 クライアント側

VLAN

インターフェイスの設定 3-24 サーバ側

VLAN

インターフェイスの設定 3-25 C H A P T E R 4 アクセスコントロールリストの設定 4-1 概要 4-1

Device Manager GUI

を使用した

ACL

の設定 4-3

CLI

を使用した

ACL

の設定 4-8

C H A P T E R 5 ロールベースアクセスコントロールの設定 5-1

概要 5-1

Device Manager GUI

を使用した

RBAC

の設定 5-5

CLI

を使用した

RBAC

の設定 5-9 C H A P T E R 6 サーバロードバランシングの設定 6-1

概要 6-1

Device Manager GUI

を使用したレイヤ

7

サーバロードバランシング の設定 6-3

CLI

を使用したレイヤ

7

サーバロードバランシングの設定 6-9

CLI

C H A P T E R 8 スティッキ性を使用したサーバ持続性の設定 8-1

概要 8-1

Device Manager GUI

を使用した

HTTP cookie

のスティッキ性の設 定 8-5

CLI

を使用した

HTTP cookie

のスティッキ性の設定 8-7 C H A P T E R 9

SSL

セキュリティの設定 9-1

概要 9-1

SSL

終了の設定 9-5

Device Manager GUI

を使用した

ACE

への

SSL

終了の設定 9-6

CLI

を使用した

ACE

への

SSL

終了の設定 9-14

C H A P T E R 10 ヘルスプローブを使用したヘルスモニタリングの設定 10-1

概要 10-1

Device Manager GUI

を使用した

HTTP

ヘルスプローブの設定 10-3

CLI

を使用した

HTTP

ヘルスプローブの設定 10-7

はじめに

このマニュアルの構成は、次のとおりです。

• Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンス の 主な機能の概要 • トラフィックおよび基本的なロード バランシングを可能にするための ACE の初期設定手順 • さまざまなスケーラビリティおよびセキュリティ機能を提供するための ACE の設定手順 • ドキュメンテーション セットから情報を検索するための参考資料 この「はじめに」の主な構成は次のとおりです。 • 対象読者 • このマニュアルの使い方 • 関連資料 • 記号と表記法

対象読者

このマニュアルは、次のような ACE を設定する責任を持つ、訓練を受けた認定 サービス技術者を対象としています。 • Web マスター • システム管理者 • システム オペレータ

このマニュアルの使い方

このマニュアルは次のように構成されています。 章 説明 第 1 章「概要」 ACE の主な機能の概要を説明します。 第 2 章「ACE アプライ アンスの設定」 トラフィックの通過やリモート アクセスを可能にす るための ACE の初期設定手順について説明します。 第 3 章「仮想コンテキス トの作成」 より効率的な操作のために、ACE を仮想コンテキス トにパーティションする手順について説明します。 第 4 章「アクセスコン トロールリストの設定」 ネットワークの安全性を確保するために、ACE にア クセス コントロール リストを設定する手順につい て説明します。 第 5 章「ロールベース アクセスコントロールの 設定」 限定された操作の実行およびネットワークのサブ セットへのアクセス権限を持つユーザを設定する手 順を説明します。 第 6 章「サーバロード バランシングの設定」 基本的なサーバ ロード バランシングを可能にする ための ACE の設定手順を説明します。 第 7 章「ロードバラン シングプレディクタの設 定」 サーバのロード バランシングで使用される定義済み のプレディクタを選択する手順を説明します。

すでに ACE アプライアンスを熟知している場合、基本的なサーバ ロード バラン シングを実現するためにデバイスをすばやくセットアップするには、次の章で説 明する設定手順を実行してください。 • 第 2 章「ACE アプライアンスの設定」 • 第 3 章「仮想コンテキストの作成」 • 第 6 章「サーバロードバランシングの設定」 残りの章では、ACE のその他の機能について詳しく説明します。

関連資料

ACE には、このマニュアル以外に、次のマニュアルがあります。 第 9 章「SSL セキュリ ティの設定」 ネットワークに対する SSL セキュリティを設定する 手順を説明します。 第 10 章「ヘルスプロー ブを使用したヘルスモニ タリングの設定」 ヘルス プローブを使用して、サーバ ヘルス モニタ リングを設定する手順を説明します。 章 説明 マニュアルのタイトル 説明

『Release Note for the Cisco 4700 Series Application Control Engine Appliance』

ACE アプライアンスの操作上の考慮事項、警告、 および Command-Line Interface（CLI; コマンドラ イン インターフェイス）コマンドについて説明し ます。

『Cisco 4700 Series Application Control Engine Appliance Device Manager GUI

Configuration Guide』

Device Manager GUI を使用して ACE を設定する 方法と、この GUI で使用されるアトリビュートに 関する詳細について説明します。 『Cisco 4700 Series Application Control Engine Appliance Command Reference』 構文、オプション、関連コマンドなど、CLI コマ ンドのアルファベット順のリストおよび説明を モード別に記載しています。 『Cisco 4700 Series Application Control Engine Appliance Administration Guide』 ACE で次の管理タスクを実行する方法について説 明します。 • ACE のセットアップ • リモート アクセスの確立 • ソフトウェア ライセンスの管理 • クラス マップおよびポリシー マップの設定 • ACE ソフトウェアの管理 • 簡易ネットワーク管理プロトコル（SNMP） の設定 • 冗長性の設定 • XML インターフェイスの設定 • ACE ソフトウェアのアップグレード 『Cisco 4700 Series Application Control Engine Appliance Virtualization Configuration Guide』 単一のコンテキストまたは複数のコンテキストで ACE を操作する方法、およびロールベース アクセ ス コントロールを設定する方法について説明しま す。 マニュアルのタイトル 説明

『Cisco 4700 Series Application Control Engine Appliance Routing and Bridging Configuration Guide』 ACE に次のルーティングおよびブリッジング タス クを設定する方法について説明します。 • VLAN インターフェイス • ルーティング • ブリッジング

• Dynamic Host Configuration Protocol （DHCP）

『Cisco 4700 Series Application Control Engine Appliance Server Load-Balancing Configuration Guide』 ACE に次のサーバ ロード バランシング タスクを 設定する方法について説明します。 • 実サーバおよびサーバ ファーム • サーバ ファーム内の実サーバへのトラフィッ クをロード バランシングするためのクラス マップおよびポリシー マップ • サーバ ヘルス モニタリング（プローブ） • スティッキ性 • ファイアウォール負荷分散 • TCL スクリプト 『Cisco 4700 Series Application Control Engine Appliance Security Configuration Guide』

ACE の次のセキュリティ設定タスクを実行する方 法について説明します。

• Access Control List（ACL; アクセス コント ロール リスト）

• Terminal Access Controller Access Control System Plus（TACACS+）、Remote

『Cisco 4700 Series Application Control Engine Appliance SSL Configuration Guide』 ACE で次の SSL タスクを設定する方法について 説明します。 • SSL 証明書および鍵 • SSL 開始 • SSL 終了 • エンドツーエンド SSL 『Cisco 4700 Series Application Control Engine Appliance System Message Guide』 ACE でシステム メッセージ ロギングを設定する 方法について説明します。このマニュアルでは、 ACE によって生成されるシステム ログ（syslog） メッセージの一覧およびその内容についても説明 します。 『Cisco CSM-to-ACE Conversion Tool User Guide』

Cisco Content Switching Module（CSM; コンテン ト スイッチング モジュール）の実行設定ファイル またはスタートアップ設定ファイルを ACE に移行 するための CSM-to-ACE 変換ツールの使用方法に ついて説明します。

『Cisco CSS-to-ACE Conversion Tool User Guide』

Cisco Content Services Switch（CSS）の実行設定 ファイルまたはスタートアップ設定ファイルを ACE に移行するための CSS-to-ACE 変換ツールの 使用方法について説明します。

記号と表記法

このマニュアルでは、次の表記法を使用しています。 表記法 説明 太字 コマンド、コマンド オプション、およびキーワードは 太字で示しています。また、太字は段落内のコマンド も表しています。 イタリック体 ユーザが値を指定する引数は、イタリック体で示して います。 [ ] 角カッコの中の要素は、省略可能です。 { x | y | z } 必ずどれか 1 つを選択しなければならない必須キー ワードは、波カッコで囲み、縦棒で区切って示してい ます。 [ x | y | z ] どれか 1 つを選択できる省略可能なキーワードは、角 カッコで囲み、縦棒で区切って示しています。 ストリング 引用符を付けない一組の文字。ストリングの前後には 引用符を使用しません。引用符を使用すると、その引 用符も含めてストリングとみなされます。 screen フォント システムが表示する端末セッションおよび情報は、 screen フォントで示しています。 太字の screenフォン ト コマンドラインにユーザが入力しなければならない情 報は、太字の screen フォントで示しています。 イタリック体の screen フォント ユーザが値を指定する引数は、イタリック体の screen フォントで示しています。 ^ ^ 記号は、Ctrl キーを表します。たとえば、画面に表示

1. 番号付きリストは、リストの項目の順番が重要であることを示しています。 a. アルファベット順リストは、リストの 2 番目の項目の順番が重要である ことを示しています。 • 個条書きリストは、リストにおけるトピックの順番は重要ではないことを示 しています。 – インデントされたリストは、リストにおけるサブトピックの順番は重要 ではないことを示しています。 （注）は、次のように表しています。 （注） 「注釈」です。役立つ情報や、このマニュアル以外の参照資料などを紹介してい ます。 注意は、次のように表しています。 注意 「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事 項が記述されています。

マニュアルの入手方法およびテクニカル

サポート

マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、 次の URL で、毎月更新される『What's New in Cisco Product Documentation』 を参照してください。シスコの新規および改訂版の技術マニュアルの一覧が示さ れています。

C H A P T E R

1

概要

Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスは、サー バ ロード バランシング、ネットワーク トラフィック制御、サービス冗長性、リ ソース管理、暗号化およびセキュリティ、アプリケーション アクセラレーショ ンおよび最適化のこれらすべてを単一のネットワーク アプライアンスで実行し ます。 この章では、次に示すトピックの概要を示します。 • ACE テクノロジー • ACE アプライアンスの設定 • 仮想コンテキストの作成 • アクセスコントロールリストの設定 • ロールベースアクセスコントロールの設定 • 仮想サーバの設定 • ロードバランシングプレディクタの設定 • スティッキ性を使用したサーバ持続性の設定

ACE

テクノロジー

サーバ ロード バランシングは、1 台のサーバの作業を複数のサーバに分散する ことで、アプリケーションおよびサービスのアベイラビリティ、スケーラビリ ティ、セキュリティをサポートします。 ACE アプライアンスにサーバ ロード バランシングを設定すると、ACE は、 Web ページやファイルなどのクライアント要求を受け取るサーバを選択します。 ACE は、選択されたサーバまたはネットワーク全体に過負荷を与えずに、クラ イアント要求に最も効果的に対応できるサーバを選択します。 表 1-1 に、デバイスおよびネットワーク サービスの両方のレベルで、アベイラ ビリティ、スケーラビリティ、セキュリティをネットワークに提供する ACE テ クノロジーを示します。 デバイス レベルでは、ACE は、次のことをサポートすることで、優れたネット ワーク アベイラビリティを提供します。 • デバイスの冗長性：ACE のハイ アベイラビリティ サポートにより、ピア ACE デバイスを設定できるため、一方の ACE が動作不能になっても、もう 一方の ACE がすぐに処理を引き継ぐことができます。 • スケーラビリティ：1 台の ACE デバイスを独立した仮想デバイスにパー 表 1-1 ACE テクノロジー レベル アベイラビリティ スケーラビリティ セキュリティ デバイス デバイス設定 仮想コンテキスト アクセス コントロール リスト ロールベース アクセス コントロール ネットワークサービ ス 仮想サーバ ヘルス プローブ ロード バランシング プレ ディクタ スティッキ性を使用した サーバ持続性 SSL アクセス コントロール リスト ロールベース アクセス コントロール

ネットワーク サービス レベルでは、ACE は、次の機能を提供します。 • サービスのハイ アベイラビリティ：高性能サーバ ロード バランシングをサ ポートします。これは、物理サーバおよびサーバ ファームでクライアント 要求を分散して、暗黙的および明示的なヘルス プローブによりサーバおよ びサーバ ファーム レベルでのヘルス モニタリングを提供します。 • スケーラビリティ：高度なロード バランシング アルゴリズム（プレディク タ）を使用したバーチャライゼーションをサポートして、ACE で設定され た仮想デバイスにクライアント要求を分散します。各仮想デバイスは、複数 の仮想サーバを含みます。各サーバは、クライアント要求をいずれかのサー バ ファームに転送します。各サーバ ファームは、複数の物理サーバを含む ことができます。 ACE は、クライアント要求を数百または数千台の物理サーバに分散できま すが、サーバ持続性も保持できます。一部の e-コマース アプリケーション では、セッション内のすべてのクライアント要求は、同じ物理サーバに転送 されるため、1 つのシッピング カートのすべてのアイテムは 1 台のサーバに 含まれます。 • サービス レベル セキュリティ：ACE とそのピアとの間で、クライアントと サーバ間での安全なデータ トランザクションを提供する、Secure Sockets Layer（SSL）セッションを確立し保持します。

ACE

アプライアンスの設定

ACE アプライアンスを設定するには、最初に、ACE との接続を確立し、必要な 初期デバイス設定を実行して、アプリケーション ネットワーキング サービスを 提供できるように ACE を準備します。詳細については、第 2 章「ACE アプライ アンスの設定」を参照してください。

アクセス

コントロール

リストの設定

ネットワーク リソースへのアクセスを制御して、必要なトラフィックだけが通 過し、適切なユーザだけが必要なネットワーク リソースにアクセスできるよう にします。

Access Control List（ACL; アクセス コントロール リスト）を使用し、特定の IP アドレスまたはネットワーク全体との間でのトラフィックを許可または拒否する ことで、ネットワークのセキュリティを確保します。 ACL は、接続を許可する各インターフェイスに対して設定する必要があります。 このようにしない場合、ACE は、そのインターフェイスのすべてのトラフィッ クを拒否します。ACL は、送信元 IP アドレス、宛先 IP アドレス、プロトコル、 ポート、またはプロトコル固有のパラメータの条件を指定した、一連の ACL 許 可または拒否エントリで構成されます。各エントリは、エントリ内に指定された ネットワークの一部に対して受信および送信ネットワーク トラフィックを許可 または拒否します。 このマニュアルでは、デバイス レベルでの ACL の設定例を提供します（第 4 章 「アクセスコントロールリストの設定」を参照してください）。ネットワーク サービス レベルで ACL を設定する方法について、またはより詳細なアクセス コ ントロール セキュリティの設定方法については、『Cisco 4700 Series Application Control Engine Appliance Security Configuration Guide』を参照してください。

ロールベース

アクセス

コントロールの設定

Role-Based Access Control（RBAC; ロールベース アクセス コントロール）を介 して、各ユーザが使用できるコマンドおよびリソースを定義することで、大規模 で複雑なネットワークのセキュリティを管理できます。RBAC は、ユーザがア クセスできるドメインでの物理または仮想リソースを定義することで、デバイス およびネットワーク サービスの両方のレベルでのネットワーク セキュリティを サポートします。 詳細については、第 5 章「ロールベースアクセスコントロールの設定」を参照 してください。

仮想サーバの設定

Web サイトへの Web トラフィックを代行受信し、ロード バランシングのため に、複数の実サーバ（物理サーバ）が単一サーバとして扱われるように、仮想 サーバを設定できます。 表 1-2 に、ACE が仮想コンテキスト、仮想サーバ、サーバ ファームおよび実 サーバでスケーラビリティをどのようにサポートしているかを示します。 表 1-2 ACE スケーラビリティ ACE 仮想コンテキスト 1 仮想サーバ A サーバ ファーム A 実サーバ A1 実サーバ A2 ... 実サーバ An バックアップ サー バ ファーム a 実サーバ a1 実サーバ a2 ... 実サーバ an 仮想サーバ B サーバ ファーム B 実サーバ B1 実サーバ B2 ... 実サーバ Bn 仮想コンテキスト 2 仮想サーバ C サーバ ファーム C 実サーバ C1 実サーバ C2 ... 実サーバ Cn

ACE を複数の仮想コンテキストにパーティショニングし、それぞれにポリシー、 インターフェイスおよびリソースの独自のセットを持たせることができます。仮 想サーバは、サーバ ファーム内の実サーバ上で稼動する物理リソースに結合さ れます。 実サーバは、ネットワークにある実際の物理サーバに関連します。実サーバは、 クライアント サービスを提供するように設定するか、バックアップ サーバとし て設定できます。 関連する実サーバは、サーバ ファームにまとめられます。多くの場合、サーバ ファーム内のサーバには同じコンテンツ（ミラー化されたコンテンツと呼ばれ る）が格納されているため、1 つのサーバが動作しなくなると、別のサーバがた だちちにその機能を引き継ぎます。ミラー化されたコンテンツにより、要求が増 加する期間に、複数のサーバで負荷を共有できます。 詳細については、第 6 章「サーバロードバランシングの設定」を参照してくだ さい。

ロード

バランシング

プレディクタの設定

着信クライアント要求をサーバ ファーム内のサーバに分散するには、IP アドレ スおよびポート情報を使用して、プレディクタと呼ばれるロード バランシング 規則を定義します。 アプリケーション サービスを求めるクライアント要求がある場合、ACE は、 サーバやサーバ ファーム全体に過負荷を与えずに、できるだけ短時間に、クラ イアント要求に対応できるサーバを選択することで、サーバ ロード バランシン グを実行します。一部の洗練されたプレディクタでは、サーバの負荷、応答時 間、またはアベイラビリティなどの要因が考慮され、各アプリケーションの特徴 に合わせてロード バランシングを調整できます。 詳細については、第 7 章「ロードバランシングプレディクタの設定」を参照し てください。

スティッキ性を使用したサーバ持続性の設定

1 つのセッション中、同じクライアントが、複数の同時 TCP または IP 接続、あ るいは後続の複数の TCP または IP 接続を同一サーバとの間で維持できるよう に、ACE を設定できます。セッションは、クライアントとサーバの間での、一 定期間（数分から数時間まで）における連続した対話として定義されます。シス コでは、このサーバ持続性機能をスティッキ性と呼んでいます。 多くのネットワーク アプリケーションでは、お客様固有の情報を複数のサーバ 要求間で持続して保存する必要があります。この一般的な例として、e-コマース サイトで使用されるショッピング カートがあります。スティッキ性は、サーバ ロード バランシングを使用している場合、バックエンド サーバで、以前の要求 時に別のサーバで生成された情報が必要となったときに問題となることがありま す。

そのため、ACE は、サーバ ロード バランシングをどのように設定したかに応じ て、使用するロード バランシング方式を判断してから、適切なサーバにクライ アントを固定します。ACE は、クライアントが特定のサーバにすでに固定され ていると判断した場合、ロード バランシング基準に関係なく、ACE は、それ以 降のクライアント要求をそのサーバに送信します。クライアントが特定のサーバ に固定されていないと判断した場合、ACE はその要求に通常のロード バランシ ング規則を適用します。 プレディクタとスティッキ性を組み合わせることで、トランザクション処理の持 続性とともに、スケーラビリティ、アベイラビリティおよびパフォーマンスをア プリケーションに提供します。 詳細については、第 8 章「スティッキ性を使用したサーバ持続性の設定」を参照 してください。

SSL

セキュリティの設定

Public Key Infrastructure（PKI; 公開鍵インフラストラクチャ）の認証、暗号化 およびデータ整合性に SSL セキュリティ プロトコルを使用します。 ACE での SSL 設定は、ACE とそのピア間で SSL セッションを確立および保守 して、ACE が SSL トラフィックでそのロード バランシング タスクを実行でき るようにします。これらの SSL 機能には、サーバ認証、秘密鍵および公開鍵生 成、証明書管理、データ パケット暗号化および復号化が含まれます。 詳細については、第 9 章「SSL セキュリティの設定」を参照してください。

ヘルス

プローブを使用したヘルス

モニタリング

の設定

アプリケーション サービスは、アベイラビリティおよびパフォーマンスを確保 するためにモニタリングを必要とします。ヘルス プローブを作成することで、 サーバおよびサーバ ファームのヘルスおよびパフォーマンスを追跡するように、 ACE を設定できます。作成する各ヘルス プローブには、複数の実サーバまたは

す。ACE は、サーバの応答を使用して、サーバを稼動または非稼動にできます。 また、ACE は、サーバ ファームのサーバのヘルスを使用して、信頼できるロー ド バランシング決定を行うこともできます。

詳細については、第 10 章「ヘルスプローブを使用したヘルスモニタリングの設

C H A P T E R

2

ACE

アプライアンスの設定

この章では、Cisco 4700 シリーズ Application Control Engine (ACE) アプライア ンス の設定について説明します。この章の主な構成は次のとおりです。

• 概要

• ACE のコンソール接続の確立

• セットアップスクリプトを使用して管理接続をイネーブルにするには

• ACE へのホスト名の割り当て

• Device Manager GUI を使用した ACE アプライアンスの設定

• CLI を使用した ACE アプライアンスの設定

概要

この章を読むと、サーバ ロード バランシングを設定するために、管理デバイス との通信に必要なネットワーク パラメータを使って ACE アプライアンスを設定

ACE の設定には、次の基本的な手順が関係しています。 ステップ 1 ACE のコンソール接続を確立します。 ステップ 2 ギガビット イーサネット ポートを通じた ACE への管理接続をイネーブルにしま す。 ステップ 3 ACE にログインします。 ステップ 4 クライアント側接続のために、2 つ目のギガビット イーサネット ポートを設定 します。 ステップ 5 サーバ側接続のために、3 つ目のギガビット イーサネット ポートを設定します。 この章では、図 2-1 にあるネットワーク設定の例を使用して、ACE アプライア ンスを設定する方法について説明します。 図 2-1 ネットワーク設定の例 GigabitEthernet ࣏࣮ࢺ #㸸 1 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ⟶⌮ VLAN㸸 1000 VLAN ࢖ࣥࢱ࣮ࣇ࢙࢖ࢫ㸸 IP㸸 172.25.91.110 ࢿࢵࢺ࣐ࢫࢡ㸸 255.255.255.0 ACE ࢔ࣉࣛ࢖࢔ࣥࢫ ࢖ࣥࢱ࣮ࢿࢵࢺ ࣮ࣝࢱ ࢡࣛ࢖࢔ࣥࢺ Web ࢧ࣮ࣂ IP㸸 10.10.50.10 Web ࢧ࣮ࣂ IP㸸 10.10.50.11 Web ࢧ࣮ࣂ IP㸸 10.10.50.12 Web ࢧ࣮ࣂ IP㸸 10.10.50.13 ⟶⌮ࢥࣥࢸ࢟ࢫࢺ ࣮ࣘࢨ ࢥࣥࢸ࢟ࢫࢺ VC ྡ㸸 VC_web VLAN ࢖ࣥࢱ࣮ࣇ࢙࢖ࢫ㸸 IP㸸 172.25.91.111 ࢿࢵࢺ࣐ࢫࢡ㸸 255.255.255.0 ࣍ࢫࢺྡ㸸 host1 ࢹࣇ࢛ࣝࢺ ࢤ࣮ࢺ࢙࢘࢖㸸 172.25.91.1 GigabitEthernet ࣏࣮ࢺ #㸸 2 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ࢡࣛ࢖࢔ࣥࢺഃ VLAN㸸 400 GigabitEthernet ࣏࣮ࢺ #㸸 3 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ࢧ࣮ࣂഃ VLAN㸸 500

この例では次のように設定されています。 • VLAN 1000 は 1 つ目のギガビット イーサネット ポートに割り当てられ、管 理コンテキストとユーザ コンテキストの両方で、管理トラフィックのため に使用されます。 （注） バーチャル LAN（VLAN）は、コンピュータ ネットワークの論理区域 の 1 つで、VLAN 内では、すべてのデバイスが受信できるように情報を 送信できます。VLAN では、交換回線ネットワークをセグメント化し、 ある VLAN にあるデバイスが、別の VLAN にあるデバイスからの情報 パケットを受信できないようにすることができます。 • VLAN 400 は 2 つ目のギガビット イーサネット ポートに割り当てられ、ク ライアント側トラフィックのために使用されます。 • VLAN 500 は 3 つ目のギガビット イーサネット ポートに割り当てられ、 サーバ側トラフィックのために使用されます。 • これら 3 つのギガビット イーサネット ポートはいずれもトランクされませ ん。 • 管理コンテキストでは、管理 VLAN インターフェイスは、VLAN 1000 と IP アドレス 172.25.91.110 を使用して設定されます。 • ユーザ コンテキスト VC_web では、管理 VLAN インターフェイスは、 VLAN 1000 と IP アドレス 172.25.91.111 を使用して設定されます。 • ユーザ コンテキスト VC_web では、クライアント側 VLAN インターフェイ スは、VLAN 400 と IP アドレス 10.10.40.10 を使用して設定されます。 • ユーザ コンテキスト VC_web では、サーバ側 VLAN インターフェイスは、 VLAN 500 と IP アドレス 10.10.50.1 を使用して設定されます。 • クライアント要求のロード バランシングのために、ACE は 4 つの Web サー

ACE

のコンソール接続の確立

ACE の背面パネルには、コンソール ポートとして動作する標準の RS-232 シリ アル ポートが 1 つあります。ACE と端末（または、端末ソフトウェアを持つ PC）の間で直接、シリアル接続を確立するには、このコンソール ポートにシリ アル ケーブルを接続します。内蔵のシリアル ポートには、9 ピン メス型 D シェ ル コネクタを使用できます。ACE を端末または PC に接続するには、ヌル モデ ム ストレート型ケーブルを使用します。ACE アプライアンスにコンソール ケー ブルを接続する手順については、『Cisco 4710 Application Control Engine Appliance Hardware Installation Guide』を参照してください。

ACE アプライアンスには物理イーサネット インターフェイス ポートが 4 つあり ます。すべての VLAN はこれらのポートに割り当てられます。4 つのイーサ ネット ポートは、サーバ、PC、ルータ、その他の装置を ACE に接続するため の物理接続を提供します。4 つのイーサネット ポートは、10 Mbps、100 Mbps、 または 1000 Mbps のネットワークに接続するためのインターフェイスを提供す るように設定できます。VLAN の割り当て後、ACE が異なる VLAN に対して 異なるネットワーク機能を提供できるように、対応する VLAN インターフェイ スを設定できます。 （注） コンソール ポート経由では、管理コンテキストにだけ直接アクセスできます。 他のコンテキストにアクセスするには、イーサネット ポート上の Telnet または SSH セッションを使用します。 コンソール接続を確立すると、任意の端末通信アプリケーションを使用して ACE の CLIにアクセスできるようになります。 （注） アプライアンスの電源が入っていない場合は ACE の前面にある電源ボタンを押 して、ブート処理を開始します。詳細については、『Cisco 4710 Application Control Engine Appliance Hardware Installation Guide』を参照してください。

次のステップに従って、HyperTerminal for Windows を使用して ACE CLI にア クセスします。 ステップ 1 ハイパーターミナルを起動します。 [Connection Description] ウィンドウが表示されます（図 2-2）。 図 2-2 ハイパーターミナル：Connection Description ステップ 2 [Name] フィールドに、接続の名前を入力します。

図 2-3 ハイパーターミナル：Connect To

ステップ 4 [Connect using] ドロップダウン リストで、デバイスを接続する COM ポートを

選択します。

図 2-4 ハイパーターミナル：Port Properties

ステップ 6 次のように、ポートのプロパティを設定します。

• [Bits per second] = 9600 • [Data bits] = 8

• [Parity] = なし • [Stop bits] = 1 • [Flow control] = なし

セットアップ

スクリプトを使用して管理接続をイ

ネーブルにするには

初めて ACE を起動したときに、ACE がスタートアップ設定ファイルを検出でき なかった場合、セットアップ スクリプトに従って、ギガビット イーサネット ポートの 1 つを通じ、ACE に 管理 VLAN を設定し、Device Manager GUI に接 続することができます。 セットアップ スクリプトを実行すると、図 2-5 にあるように、管理 VLAN が指 定されたギガビット イーサネット ポートに割り当てられ、ACE に VLAN イン ターフェイスが設定されます。 図 2-5 セットアップスクリプト実行後の設定 次のステップに従って、セットアップ スクリプトを使用して、ACE を設定しま す。 ステップ 1 ログイン プロンプトでログイン名 admin とパスワードを入力して、ACE にログ インします。デフォルトのユーザ名とパスワードは admin です。例を示します。 GigabitEthernet ࣏࣮ࢺ #㸸 1 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ⟶⌮ VLAN㸸 1000 VLAN ࢖ࣥࢱ࣮ࣇ࢙࢖ࢫ㸸 IP㸸 172.25.91.110 ࢿࢵࢺ࣐ࢫࢡ㸸 255.255.255.0 ACE ࢔ࣉࣛ࢖࢔ࣥࢫ 271821 ࢖ࣥࢱ࣮ࢿࢵࢺ ࣮ࣝࢱ ࢡࣛ࢖࢔ࣥࢺ ࢡࣛ࢖࢔ࣥࢺ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ ⟶⌮ࢥࣥࢸ࢟ࢫࢺ ࣉࣛ࢖࣮࣋ࢺ ࢿࢵࢺ࣮࣡ࢡ ࣃࣈࣜࢵࢡ ࢿࢵࢺ࣮࣡ࢡ ࣍ࢫࢺྡ㸸 host1 ࢹࣇ࢛ࣝࢺ ࢤ࣮ࢺ࢙࢘࢖㸸 172.25.91.1

ステップ 2 [Enter the new password for "admin":] プロンプトで、デフォルトの Admin パス ワードを変更します。デフォルトの Admin パスワードを変更しない場合、ACE ソフトウェアをアップグレードした後で ACE にログインするには、コンソール ポートを使用する以外の方法はありません。

Enter the new password for “admin”: xxxxx Confirm the new password for “admin”: xxxxx admin user password successfully changed.

ステップ 3 [Enter the new password for "www":] プロンプトで、デフォルトの www user パ スワードを変更します。デフォルトの www user パスワードを変更しない場合、 www user はディセーブルになり、デフォルトの www user パスワードを変更し ない限り、Extensible Markup Language（XML; 拡張マークアップ言語）を使用 して、ACE をリモート設定することはできなくなります。

Enter the new password for “www”: xxxxx Confirm the new password for “www”: xxxxx www user password successfully changed.

This script will perform the configuration necessary for a user to manage the ACE Appliance using the ACE Device Manager. The management port is a designated Ethernet port which has access to the same network as your management tools including the ACE Device Manager. You will be prompted for the Port Number, IP Address, Netmask and Default Route (optional).

Enter ‘ctrl-c’ at any time to quit the script

注意 この時点で、Device Manager GUI と CLI のどちらを使用して ACE を設定するかを検討する必要があります。トランキング ネットワーク が設定されている場合、または VLAN 1000 を使用している場合、次

（注） ACE では、セットアップ スクリプトでの各質問に対するデフォルトの 応答は [ ] で囲まれています。設定プロンプトに対してデフォルトの応答 をそのまま使用するには、Enter キーを押します。

ステップ 5 管理 VLAN 通信を実行するために、Enter キーを押してポート 1 を選択します。

Enter the Ethernet port number to be used as the management port (1-4):? [1]:

ステップ 6 管理 VLAN インターフェイスに IP アドレスを割り当てるために、

172.25.91.110 と入力します。

Enter the management port IP Address (n.n.n.n): [192.168.1.10]:

172.25.91.110

ステップ 7 管理 VLAN インターフェイスについては、Enter キーを押して、デフォルト サ

ブネット マスクをそのまま使用します。

Enter the management port Netmask(n.n.n.n): [255.255.255.0]:

ステップ 8 ゲートウェイ ルータの IP アドレス（このルートにおける次のホップ アドレス）

を割り当てるために、172.25.91.1 と入力します。

Enter the default route next hop IP Address (n.n.n.n) or <enter> to skip this step: 172.25.91.1

ステップ 9 入力した値を確認します。

Summary of entered values: Management Port: 1

Ip address 172.25.91.110 Netmask: 255.255.255.0 Default Route: 172.25.91.1

ステップ 10 d と入力して、設定の詳細を見直します。

Submit the configuration including security settings to the ACE Appliance? (yes/no/details): [y]: d

match protocol dm-telnet any match protocol icmp any match protocol telnet any match protocol ssh any match protocol http any match protocol https any match protocol snmp any

policy-map type management first-match remote_mgmt_allow_policy class remote_access

permit

interface vlan 1000

ip address 172.25.91.110 255.255.255.0 access-group input ALL

service-policy input remote_mgmt_allow_policy no shutdown

ssh key rsa

ip route 0.0.0.0 0.0.0.0 172.25.91.1

ステップ 11 この設定を確定するには、Enter（Yes の意味）キーを押します。それ以外の場

合は n と入力します。

Submit the configuration including security settings to the ACE Appliance? (yes/no/details): [y]:

ステップ 12 Enter キーを押して、設定を確定すると、次のメッセージが表示されます。

Configuration successfully applied. You can now manage this ACE Appliance by entering the url 'https://172.25.91.110' into a web browser to access the Device Manager GUI.

セットアップ スクリプトが完成すると、コマンド プロンプトが表示されます。

switch/Admin#

ギガビット イーサネット ポート、ポート モード、および管理 VLAN の指定後、 セットアップ スクリプトにより、次のデフォルト設定が自動的に適用されます。

ACE

へのホスト名の割り当て

ホスト名は、コマンドライン プロンプトおよびデフォルトの設定ファイル名の 一部として使用されます。複数のデバイスに対するセッションを確立する場合、 ホスト名により、コマンドの入力先 ACE を追跡しやすくなります。ACE のデ フォルトのホスト名は、switch です。

たとえば、ACE のホスト名を switch から host1 に変更するには、次のように入 力します。

switch/Admin# Config

switch/Admin(config)# hostname host1

新しいホスト名を使ったプロンプトが表示されます。

host1/Admin(config)#

Device Manager GUI

を使用した

ACE

アプライ

アンスの設定

ACE アプライアンスは Device Manager GUI または CLI を使用してセットアッ プできます。この章では、GUI を使用して ACE を設定する方法について、次の トピックに分けて説明します。

• ACE へのログイン

• 2 つ目のギガビットイーサネットインターフェイスポートの設定

ACE

へのログイン

ACE Device Manager GUI には、Web ベース インターフェイスを通じてアクセ スできます。次のステップに従って、Device Manager にログインします。

ステップ 1 Web ブラウザのアドレス フィールドに ACE のセキュア HTTPS アドレスまたは

ホスト名を入力して、ACE Device Manager にナビゲートします。前述の 図 2-1

の例では、次のように入力します。

https://172.25.91.110/

ステップ 2 シスコシステムズからの署名入り証明書を承認（信頼）し、インストールするに

は、プロンプトに対して [Yes] をクリックします。Device Manager にログイン するたびに署名入り証明書の認証を行わなくても済むようにするには、この証明 書を承認します。

Device Manager GUI の [Login] ウィンドウが表示されます（図 2-6）。

（注） この製品は定期的に更新されるため、このマニュアルに記載されている図と、実

行しているソフトウェア バージョンで表示されるウィンドウには多少の差があ ります。

図 2-6 Device Manager GUI の [Login] ウィンドウ

ステップ 3 [User Name] フィールドに、admin ユーザ アカウントを表す admin を入力しま

す。 ステップ 4 [Password] フィールドに、「セットアップスクリプトを使用して管理接続をイ ネーブルにするには」のステップ 2 で入力した新しいパスワードを入力します。 ステップ 5 [Login] をクリックします。表示されるデフォルト ウィンドウは、図 2-7 にある とおり、管理コンテキストのリストが表示された [Virtual Contexts] ウィンドウ です。

2

つ目のギガビット

イーサネット

インターフェイス

ポートの

設定

クライアントへの接続のために 2 つ目のギガビット イーサネットインターフェ イス ポートを設定できます。設定例では、図 2-8 にあるとおり、ギガビット イーサネット インターフェイス ポート 2 を設定します（この図では以前行われ た設定はグレー表示されています）。 図 2-8 クライアントへの接続のために 2 つ目のギガビットイーサネットイン ターフェイスポートを設定 次のステップに従って、2 つ目のギガビット イーサネット ポートを設定します。 ステップ 1 [Config] > [Virtual Contexts] > [Network] > [GigabitEthernet] を選択します。

[GigabitEthernet Interfaces] ペインが表示されます（図 2-9）。 （注） 管理コンテキストで認証されているユーザだけがギガビット イーサネッ ト インターフェイス ポートを設定できます。 GigabitEthernet ࣏࣮ࢺ #㸸 1 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ⟶⌮ VLAN㸸 1000 VLAN ࢖ࣥࢱ࣮ࣇ࢙࢖ࢫ㸸 IP㸸 172.25.91.110 ࢿࢵࢺ࣐ࢫࢡ㸸 255.255.255.0 ACE ࢔ࣉࣛ࢖࢔ࣥࢫ 271822 ࢖ࣥࢱ࣮ࢿࢵࢺ ࣮ࣝࢱ ࢡࣛ࢖࢔ࣥࢺ ࢡࣛ࢖࢔ࣥࢺ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ ⟶⌮ࢥࣥࢸ࢟ࢫࢺ ࣉࣛ࢖࣮࣋ࢺ ࢿࢵࢺ࣮࣡ࢡ ࣃࣈࣜࢵࢡ ࢿࢵࢺ࣮࣡ࢡ ࣍ࢫࢺྡ㸸 host1 ࢹࣇ࢛ࣝࢺ ࢤ࣮ࢺ࢙࢘࢖㸸 172.25.91.1 GigabitEthernet ࣏࣮ࢺ #㸸 2 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ࢡࣛ࢖࢔ࣥࢺഃ VLAN㸸 400

図 2-9 [GigabitEthernet Interfaces] ペイン：gigabitEthernet 1/2

ステップ 2 [GigabitEthernet Interfaces] ペインで [gigabitEthernet 1/2] を選択してから、 [Edit] をクリックして、このポートに対するアトリビュートを定義します （図 2-9）。[Physical Interfaces] ウィンドウが表示されます（図 2-10）。

[View/Edit] ࣎ࢱࣥ

図 2-10 [Physical Interfaces] ウィンドウ：gigabitEthernet 1/2

ステップ 3 ポート 2 について、次のアトリビュートを入力します。残りのアトリビュートは

空白、またはデフォルト値のままにしておきます。 • [Description]：Client-side

• [Admin Status]：Up • [Speed]：Auto

• [Port Operation Mode]：Switch Port • [Switch Port Type]：Access

ステップ 4 [Deploy Now] をクリックして、この設定を保存し、[GigabitEthernet Interfaces] ペインに戻ります（図 2-11）。

3

つ目のギガビット

イーサネット

インターフェイス

ポートの

設定

サーバへの接続のために 3 つ目のギガビット イーサネットインターフェイス ポートを設定できます。設定例では、図 2-12 にあるとおり、ギガビット イーサ ネット インターフェイス ポート 3 を設定します（この図では以前行われた設定 はグレー表示されています）。 図 2-12 サーバへの接続のために 3 つ目のギガビットイーサネットインター フェイスポートを設定 次のステップに従って、3 つ目のギガビット イーサネット ポートを設定します。 ステップ 1 [GigabitEthernet Interfaces] ペインで [gigabitEthernet 1/3] を選択してから、

[Edit] をクリックして、このポートに対するアトリビュートを定義します。 [GigabitEthernet Interfaces] ウィンドウが表示されます（図 2-10）。 ステップ 2 ポート 3 について、次のアトリビュートを入力します。残りのアトリビュートは 空白、またはデフォルト値のままにしておきます。 • [Description]：Server-side GigabitEthernet ࣏࣮ࢺ #㸸 1 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ⟶⌮ VLAN㸸 1000 VLAN ࢖ࣥࢱ࣮ࣇ࢙࢖ࢫ㸸 IP㸸 172.25.91.110 ࢿࢵࢺ࣐ࢫࢡ㸸 255.255.255.0 ACE ࢔ࣉࣛ࢖࢔ࣥࢫ 271823 ࢖ࣥࢱ࣮ࢿࢵࢺ ࣮ࣝࢱ ࢡࣛ࢖࢔ࣥࢺ ࢡࣛ࢖࢔ࣥࢺ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ ⟶⌮ࢥࣥࢸ࢟ࢫࢺ ࣉࣛ࢖࣮࣋ࢺ ࢿࢵࢺ࣮࣡ࢡ ࣃࣈࣜࢵࢡ ࢿࢵࢺ࣮࣡ࢡ ࣍ࢫࢺྡ㸸 host1 ࢹࣇ࢛ࣝࢺ ࢤ࣮ࢺ࢙࢘࢖㸸 172.25.91.1 GigabitEthernet ࣏࣮ࢺ #㸸 2 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ࢡࣛ࢖࢔ࣥࢺഃ VLAN㸸 400 GigabitEthernet ࣏࣮ࢺ #㸸 3 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ࢧ࣮ࣂഃ VLAN㸸 500

• [Switch Port type]：Access • [Access VLAN]：500

ステップ 3 [Deploy Now] をクリックして、この設定を保存し、[GigabitEthernet Interfaces] ペインに戻ります（図 2-13）。

CLI

を使用した

_ACE

アプライアンスの設定

ACE アプライアンスは Device Manager GUI または CLI を使用してセットアッ プできます。この章では、CLI を使用して ACE を設定する方法について、次の トピックに分けて説明します。 • ACE へのログイン • 1 つ目のギガビットイーサネットポートの設定 • 1 つ目のギガビットイーサネットポートの VLAN への割り当て • ACE への管理 VLAN インターフェイスの設定 • 2 つ目のギガビットイーサネットインターフェイスポートの設定 • 3 つ目のギガビットイーサネットインターフェイスポートの設定 • ACE へのリモート管理アクセスの設定 • Telnet セッションによる ACE へのアクセス

ACE

へのログイン

ACE と端末または PC の間に直接シリアル接続を確立した後で（セクション

「ACE のコンソール接続の確立」を参照）、CLI を使用して、ACE を設定できま

す。

セットアップ スクリプトから [Would you like to enter the basic configuration dialog?(yes/no):] プロンプトが表示された場合は、no と入力して、CLI にアク セスします。次のステップに従って、ACE にログインします。

ステップ 1 ログイン プロンプトで admin と入力します。[Password] には、「セットアップ

スクリプトを使用して管理接続をイネーブルにするには」セクションのステッ

プ 2 で入力した新しいパスワードを入力します。

host1 login: admin Password: xxxxx

ステップ 2 現行のセッションのタイムアウトを防止するには、[terminal session-timeout]を 0 に設定します。デフォルトでは、ACE のセッションは、アクティビティの行 われない状態が 5 分間続くと自動的にログアウトされます。

host1/Admin# terminal session-timeout 0 host1/Admin#

1

つ目のギガビット

イーサネット

ポートの設定

ACE 管理トラフィックのために、ギガビット イーサネット インターフェイス ポートを設定できます。設定例では、ギガビット イーサネット インターフェイ ス ポート 1 を設定します。次のステップに従って、1 つ目のギガビット イーサ ネット ポートを設定します。

ステップ 1 設定モードで interface gigabitEthernet slot_number/port_number コマンドを 使用して、ACE 上でレイヤ 2 ギガビット イーサネット ポートを構成します。 （注） slot_number には、当該イーサネット ポートを搭載している ACE の物 理スロットを指定します。ACE アプライアンスの現行のリリースでは、 この選択肢は常に 1 です。 ギガビット イーサネット ポート 1 を設定し、インターフェイス設定モードに入 るには、次のように入力します。 host1/Admin# config

host1/Admin(config)# interface gigabitEthernet 1/1 host1/Admin(config-if)#

1

つ目のギガビット

イーサネットポートの

_VLAN

への割り当

て

ギガビット イーサネット ポートを設定したら、次にこのポートを VLAN に割り 当てます。設定例では、図 2-14 にあるとおり、ギガビット イーサネット ポート を VLAN 1000 に割り当てます（この図では以前行われた設定はグレー表示され ています）。 図 2-14 1 つ目のギガビットイーサネットポートの VLAN への割り当て 次のステップに従って、このポートを VLAN に割り当てます。

ステップ 1 インターフェイス設定モードで switchport trunk allowed vlan vlan_list コマン ドを使用して、1 つ以上の VLAN 番号をギガビット イーサネット ポートに割り 当てます。vlan_list 引数には次のいずれかを指定します。 GigabitEthernet ࣏࣮ࢺ #㸸 1 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ⟶⌮ VLAN㸸 1000 ACE ࢔ࣉࣛ࢖࢔ࣥࢫ 271819 ࢖ࣥࢱ࣮ࢿࢵࢺ ࣮ࣝࢱ ࢡࣛ࢖࢔ࣥࢺ ࢡࣛ࢖࢔ࣥࢺ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ ⟶⌮ࢥࣥࢸ࢟ࢫࢺ ࣉࣛ࢖࣮࣋ࢺ ࢿࢵࢺ࣮࣡ࢡ ࣃࣈࣜࢵࢡ ࢿࢵࢺ࣮࣡ࢡ ࣍ࢫࢺྡ㸸 host1

有効な値は 1 ～ 4094 です。vlan_list 引数に指定したハイフンで区切った範囲や カンマで区切られた番号のリストにはスペースは入力できません。 （注） 1 つの VLAN 番号に対して関連付けられるギガビット イーサネット ポートは 1 つだけです。 イーサネット ポート 1 に現在設定されている VLAN のリストに VLAN 1000 を 追加するには、次のように入力します。

host1/Admin(config)# interface gigabitEthernet 1/1

host1/Admin(config-if)# switchport access allowed vlan 1000

ステップ 2 インターフェイス設定モードで no shutdown コマンドを使用して、指定したレ イヤ 2 ギガビット イーサネット ポートに対する VLAN アクセスを有効にしま す。 host1/Admin(config-if)# no shutdown host1/Admin(config-if)# exit host1/Admin(config)#

ACE

への管理

VLAN

インターフェイスの設定

ACE に管理接続を提供するには、ACE で VLAN インターフェイスに IP アドレ

スを提供します。設定例では、図 2-15 にあるとおり、VLAN 1000 に IP アドレ

ス 172.25.91.110 およびサブネット マスク 255.255.255.0 を割り当てます（この 図では以前行われた設定はグレー表示されています）。

図 2-15 ACE への管理 VLAN インターフェイスの設定

次のステップに従って、ACE で VLAN インターフェイスを設定します。

ステップ 1 VLAN 1000 のインターフェイス設定モードに入ります。

host1/Admin(config)# interface vlan 1000 host1/Admin(config-if)#

ステップ 2 管理接続のために VLAN インターフェイスに対して IP アドレス 172.25.91.110

およびサブネット マスク 255.255.255.0 を割り当てます。

host1/Admin(config-if)# ip address 172.25.91.110 255.255.255.0

ステップ 3 （任意）インターフェイスの説明を入力します。

host1/Admin(config-if)# description Management connectivity on VLAN

1000 ステップ 4 VLAN インターフェイスをイネーブルにします。 host1/Admin(config-if)# no shutdown ステップ 5 VLAN 1000 の設定を表示します。 GigabitEthernet ࣏࣮ࢺ #㸸 1 ࢺࣛࣥ࢟ࣥࢢ㸸 ࡞ࡋ ⟶⌮ VLAN㸸 1000 ACE ࢔ࣉࣛ࢖࢔ࣥࢫ 271826 ࢖ࣥࢱ࣮ࢿࢵࢺ ࣮ࣝࢱ ࢡࣛ࢖࢔ࣥࢺ ࢡࣛ࢖࢔ࣥࢺ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ Web ࢧ࣮ࣂ ⟶⌮ࢥࣥࢸ࢟ࢫࢺ ࣉࣛ࢖࣮࣋ࢺ ࢿࢵࢺ࣮࣡ࢡ ࣃࣈࣜࢵࢡ ࢿࢵࢺ࣮࣡ࢡ ࣍ࢫࢺྡ㸸 host1 VLAN ࢖ࣥࢱ࣮ࣇ࢙࢖ࢫ㸸 IP㸸 172.25.91.110 ࢿࢵࢺ࣐ࢫࢡ㸸 255.255.255.0

ステップ 6 ping コマンドを使用して、ネットワーク接続を確認します。このコマンドによ り ACE から echo メッセージを送信することで、リモートのホストやサーバと の接続を確認できます。 host1/Admin(config-if)# do ping 172.25.91.110 ステップ 7 インターフェイス設定モードを終了します。 host1/Admin(config-if)# exit host1/Admin(config)#

2

つ目のギガビット

イーサネット

インターフェイス

ポートの

設定

クライアントへの接続のために 2 つ目のギガビット イーサネットインターフェ イス ポートを設定できます。設定例では、図 2-8 にあるとおり、ギガビット イーサネット インターフェイス ポート 2 を設定します。次のステップに従って、 2 つ目のギガビット イーサネット インターフェイス ポートを設定します。 ステップ 1 イーサネット ポート 2 に現在設定されている VLAN のリストに VLAN 400 を追 加します。

host1/Admin(config)# interface gigabitEthernet 1/2 host1/Admin(config-if)# switchport access vlan 400

ステップ 2 ギガビット イーサネット ポートをイネーブルにします。

host1/Admin(config-if)# no shutdown host1/Admin(config-if)# exit

3

つ目のギガビット

イーサネット

インターフェイス

ポートの

設定

サーバへの接続のために 3 つ目のギガビット イーサネットインターフェイス ポートを設定できます。設定例では、図 2-12 にあるとおり、ギガビット イーサ ネット インターフェイス ポート 3 を設定します。次のステップに従って、3 つ 目のギガビット イーサネット インターフェイス ポートを設定します。 ステップ 1 イーサネット ポート 3 に現在設定されている VLAN のリストに VLAN 500 を追 加します。

host1/Admin(config)# interface gigabitEthernet 1/3

host1/Admin(config-if)# switchport access allowed vlan 500

ステップ 2 イーサネット ポートをイネーブルにします。 host1/Admin(config-if)# no shutdown host1/Admin(config-if)# exit host1/admin(config)#

ACE

へのリモート管理アクセスの設定

イーサネット ポートを介して ACE へリモート アクセスするには、ACE で受信 可能なネットワーク管理トラフィックを特定するトラフィック ポリシーを作成 する必要があります。次のステップに従って、ACE へのリモート管理アクセス を設定します。 ステップ 1 すべてのトラフィックに一致する管理タイプ クラス マップ REMOTE_ACCESS を作成します。

host1/Admin(config)# class-map type management match-any REMOTE_ACCESS host1/Admin(config-cmap-mgmt)#

ステップ 3 すべての送信元アドレスに対して、SSH、Telnet、および ICMP の各プロトコル に基づくトラフィックを許可するために、照合プロトコルを設定します。

host1/Admin(config-cmap-mgmt)# match protocol ssh any host1/Admin(config-cmap-mgmt)# match protocol telnet any host1/Admin(config-cmap-mgmt)# match protocol icmp any host1/Admin(config-cmap-mgmt)# exit

host1/Admin(config)#

ステップ 4 ACEインターフェイス宛てのトラフィックに対して、

REMOTE_MGMT_ALLOW_POLICY ポリシー マップを作成します。

host1/Admin(config)# policy-map type management first-match

REMOTE_MGMT_ALLOW_POLICY

host1/Admin(config-pmap-mgmt)#

ステップ 5 前の手順で作成した REMOTE_ACCESS クラス マップをこのポリシーに適用し

ます。

host1/Admin(config-pmap-mgmt)# class REMOTE_ACCESS host1/Admin(config-pmap-mgmt-c)# ステップ 6 ACE に対して、設定したクラス マップ管理プロトコルの受信を許可します。 host1/Admin(config-pmap-mgmt-c)# permit host1/Admin(config-pmap-mgmt-c)# exit host1/Admin(config-pmap-mgmt)# exit host1/Admin(config)# ステップ 7 ポリシー マップを適用する VLAN のインターフェイス設定モードに入ります。

host1/Admin(config)# interface vlan 1000 host1/Admin(config-if)#

ステップ 8 REMOTE_MGMT_ALLOW_POLICY ポリシー マップをそのインターフェイス

ステップ 10 変更内容を、実行設定からスタートアップ設定にコピーして保存します。

host1/Admin(config-if)# do copy running-config startup-config Generating configuration....

running config of context VC_web saved host1/Admin(config-if)# exit

host1/Admin(config)# exit

ステップ 11 実行設定を表示します。

host1/Admin(config)# do show running-config Generating configuration....

class-map type management match-any REMOTE_ACCESS description Remote access traffic match

2 match protocol telnet any 3 match protocol ssh any 4 match protocol icmp any

policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY class REMOTE_ACCESS

permit

interface vlan 1000

description Management connectivity on VLAN 1000 ip address 172.25.91.110 255.255.255.0

service-policy input REMOTE_MGMT_ALLOW_POLICY no shutdown

interface vlan 400

description client connectivity on VLAN 400 ip address 10.10.40.10 255.255.255.0

Telnet

セッションによる

_ACE

へのアクセス

前項の設定を完了すると、イーサネット ポートを介して、そのポートの IP アド レスを入力することにより Telnet で ACE にアクセスできるようになります。次 のステップに従って、Telnet を介して ACE にアクセスします。 ステップ 1 リモート ホストから ACE に対して Telnet セッションを開始します。たとえば、 VLAN の IP アドレス 172.25.91.110 から ACE にアクセスするには、次のように 入力します。 remote_host# telnet 172.25.91.110 Trying 172.25.91.110... Open ステップ 2 プロンプトが表示されたら、ACE にログインします。ユーザ名として admin を 入力します。パスワードには、「セットアップスクリプトを使用して管理接続を イネーブルにするには」セクションの ステップ 2 で入力した新しいパスワード を入力します。

host1 login: admin Password: xxxxx

ステップ 3 Telnet セッションを表示します。

host1/Admin# show telnet

この章では、ACE Device Manager または CLI を使用して、リモート管理イン ターフェイスを介したサーバ ロード バランシング設定タスクを実行するために、 ACE アプライアンスを設定しました。次に、サーバ ロード バランシングのため のユーザ コンテキストを作成します。