ステップ 1
|
enable
|
特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。
|
ステップ 2
|
configure terminal
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 3
|
aaa new model
Device(config)# aaa new model
|
(必須)認証、許可、アカウンティング(AAA)アクセスコントロールモデルをイネーブルにします。
|
ステップ 4
|
aaa authentication login default local
Device(config)# aaa authentication login default local
|
(必須)認証時にローカルのユーザ名データベースを使用するように、AAA 認証を設定します。
|
ステップ 5
|
aaa authorization exec default local
Device(config)# aaa authorization exec default local
|
ネットワークへのユーザ アクセスを制限するパラメータを設定します。ユーザは EXEC シェルの実行が許可されます。
|
ステップ 6
|
ip routing
Device(config)# ip routing
|
|
ステップ 7
|
{ ip| ipv6} name-server server-address 1 ...server-address 6]
Device(config)# ip name-server vrf Mgmt-vrf
192.168.1.100 192.168.1.200 192.168.1.300
|
(任意)名前とアドレスの解決に使用する 1 つまたは複数のネームサーバのアドレスを指定します。
最大 6 つのネーム サーバを指定できます。各サーバ アドレスはスペースで区切ります。最初に指定されたサーバが、プライマリ サーバです。デバイスは、プライマリサーバへ DNS クエリを最初に送信します。そのクエリが失敗した場合は、バックアップ
サーバにクエリが送信されます。
|
ステップ 8
|
ip domain lookup source-interface interface-type-number
Device(config)# ip domain lookup
source-interface gigabitethernet0/0
|
デバイス上で、DNS に基づくホスト名からアドレスへの変換を有効にします。この機能は、デフォルトでイネーブルにされています。
ユーザのネットワークデバイスが、名前の割り当てを制御できないネットワーク内のデバイスと接続する必要がある場合、グローバルなインターネットのネーミング方式(DNS)を使用して、ユーザのデバイスを一意に識別するデバイス名を動的に割り当てることができます。
(注)
|
レイヤ 3 物理インターフェイスでこのコマンドを設定した場合、ポートモードが変更されるかデバイスがリロードされると、そのコマンドは実行コンフィギュレーションから自動的に削除されます。これは、コマンドを再設定することでのみ回避できます。Cisco
IOS XE Dublin 17.12.1 以降では、この問題は解決されています。
|
|
ステップ 9
|
ip domain name name
Device(config)# ip domain name vrf
Mgmt-vrf cisco.com
|
非完全修飾ホスト名(ドット付き 10 進表記ドメイン名のない名前)を完成させるためにソフトウェアが使用する、デフォルトのドメイン名を定義します。
|
ステップ 10
|
no username name
Device(config)# no username admin
|
(必須)指定されたユーザ名が存在する場合はクリアします。name には、次のステップで作成するユーザ名と同じものを入力します。これにより、次のステップで作成するユーザ名が重複していないことが保証されます。
SSM オンプレミス開始型の RUM レポートを取得に REST API を使用する場合は、SSM オンプレミスにログインする必要があります。ユーザ名が重複していると、システムにそのユーザ名がある場合はこの機能が正しく動作しない場合があります。
|
ステップ 11
|
username name privilege level password password
Device(config)# username admin privilege 15
password 0 lab
|
(必須)ユーザ名をベースとした認証システムを構築します。
privilege キーワードにより、ユーザの権限レベルを設定します。ユーザの権限レベルを指定する 0 ~ 15 の数字です。
password を使用すると、name 引数にアクセスできます。パスワードは 1 ~ 25 文字で、埋め込みスペースを使用でき、username コマンドの最後のオプションとして指定します。
これにより、SSM オンプレミスが製品インスタンスのネイティブ REST を使用できるようになります。
|
ステップ 12
|
interface interface-type-number
Device (config)# interface gigabitethernet0/0
|
インターフェイス コンフィギュレーション モードを開始し、VRF に関連付けられたイーサネット インターフェイス、サブインターフェイス、または VLAN を指定します。
|
ステップ 13
|
vrf forwarding vrf-name
Device(config-if)# vrf forwarding Mgmt-vrf
|
VRF をレイヤ 3 インターフェイスに対応付けます。このコマンドは、インターフェイスでマルチプロトコル VRF をアクティブにします。
|
ステップ 14
|
ip address ip-address mask
Device(config-if)# ip address 192.168.0.1 255.255.0.0
|
|
ステップ 15
|
negotiation auto
Device(config-if)# negotiation auto
|
インターフェイスの速度およびデュプレックスパラメータの自動ネゴシエーション動作を有効にします。
|
ステップ 16
|
no shutdown
Device(config-if)# no shutdown
|
|
ステップ 17
|
end
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。
|
ステップ 18
|
ip http server
Device(config)# ip http server
|
(必須)シスコの Web ブラウザ ユーザ インターフェイスを含む IP または IPv6 システムで HTTP サーバを有効にします。HTTP サーバは、デフォルトにより標準のポート 80 を使用します。
|
ステップ 19
|
ip http authentication local
ip http authentication localDevice(config)#
|
(必須)HTTP サーバユーザに対して特定の認証方法を指定します。
local キーワードは、認証および許可に、ローカルシステム設定で(username グローバル コンフィギュレーション コマンドによって)指定したログインユーザ名、パスワード、権限レベルアクセスの組み合わせを使用することを示します。
|
ステップ 20
|
ip http secure-server
Device(config)# ip http server
|
(必須)セキュア HTTP(HTTPS)サーバを有効にします。HTTPS サーバは、セキュア ソケット レイヤ(SSL)バージョン 3.0 プロトコルを使用します。
|
ステップ 21
|
ip http max-connections
Device(config)# ip http max-connections 16
|
(必須)HTTP サーバへの同時最大接続数を設定します。1 ~ 16 の範囲の整数を入力します。デフォルトは 5 です。
|
ステップ 22
|
ip tftp source-interface interface-type-number
Device(config)# ip tftp source-interface
GigabitEthernet0/0
|
TFTP 接続用の送信元アドレスとして、インターフェイスの IP アドレスを指定します。
|
ステップ 23
|
ip route ip-address ip-mask subnet mask
Device(config)# ip route vrf mgmt-vrf
192.168.0.1 255.255.0.0 192.168.255.1
|
製品インスタンスにルートとゲートウェイを設定します。スタティックルートまたはダイナミックルートのいずれかを設定できます。
|
ステップ 24
|
logging host
Device(config)# logging host 172.25.33.20
vrf Mgmt-vrf
|
リモート ホストへのシステム メッセージおよびデバッグ出力を記録します。
|
ステップ 25
|
crypto pki trustpoint SLA-TrustPoint
Device(config)# crypto pki trustpoint SLA-TrustPoint
Device(ca-trustpoint)#
|
(必須)製品インスタンスがトランスポイント「SLA-TrustPoint」を使用する必要があることを宣言し、CA トランスポイント コンフィギュレーション モードを開始します。このコマンドを使用してトラストポイントを宣言するまで、製品インスタンスはトラストポイントを認識しません。
|
ステップ 26
|
enrollment terminal
Device(ca-trustpoint)# enrollment terminal
|
|
ステップ 27
|
revocation-check none
Device(ca-trustpoint)# revocation-check none
|
(必須)ピアの証明書が失効していないことを確認するために使用する方法を指定します。SSM オンプレミス展開トポロジの場合は、none キーワードを入力します。つまり、失効チェックは実行されず、証明書は常に受け入れられます。
|
ステップ 28
|
end
Device(ca-trustpoint)# exit
Device(config)# end
|
CA トランスポイント コンフィギュレーション モードを終了し、次にグローバル コンフィギュレーション モードを終了してから、特権 EXEC モードに戻ります。
|
ステップ 29
|
show ip http server session-module
Device# show ip http server session-module
|
(必須)HTTP 接続を確認します。出力で、SL_HTTP がアクティブであることを確認します。また、次のチェックも実行できます。
-
SSM オンプレミスがインストールされているデバイスから、製品インスタンスに ping できることを確認します。ping が成功すると、製品インスタンスが到達可能であることが確認されます
-
SSM オンプレミスがインストールされているデバイスの Web ブラウザで、https://<product-instance-ip>/ を確認します。これにより、SSM オンプレミスから製品インスタンスへの REST API が期待どおりに動作することが保証されます。
|
ステップ 30
|
copy running-config startup-config
Device# copy running-config startup-config
|
コンフィギュレーション ファイルに設定を保存します。
|