この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Nexus 7000 シリーズ スイッチの電源を初めて入れ、ユーザが、アクティブなスーパーバイザ モジュールの RS-232 コンソール ポートに接続したときに通常設定する Cisco NX-OS のベスト プラクティスについて説明します。
• 電力バジェット
セットアップ ユーティリティは、Cisco Nexus 7000 シャーシの電源を初めて入れたとき、または write erase コマンドを実行して設定を消去し、シャーシをリロードした場合に自動的に実行されます(セットアップ ユーティリティは、setup Exec コマンドを使用して手動でいつでも実行できます)。セットアップ ユーティリティは、いくつかの初期設定パラメータを提供して管理者を補助することを目的に用意されています。ただし、必須ではなく、管理者の判断によって使用しないことを選択できます。次の表に、セットアップ ユーティリティを使用して設定できるパラメータを示します。セットアップ ユーティリティを使用しない場合は、「デフォルト値」列の値は自動的に設定されます。初期起動パラメータは、必須です。
|
|
---|---|
|
|
---|---|
Configure the default switchport interface state (shut/no shut) |
|
Configure best practices CoPP profile (strict/moderate/lenient/none) |
|
この項では、一般的なシステム管理に関するグローバル パラメータを設定するときの Cisco NX-OS 推奨ベスト プラクティスについて説明します。
Cisco NX-OS ソフトウェアは、リモート ターミナルからの CLI アクセスに対して SSHv2 と Telnet をサポートしています。SSHv2 はデフォルトで有効になっており、暗号化によってセキュリティが強化されるので使用することを推奨します。ISSHv2 が無効になっている場合、feature ssh コマンドで有効にできます(SSHv2 が有効な場合、feature ssh コマンドは running-configuration に表示されません)。SSHv2 はデフォルトで 1024 ビットの RSA キーを使用します。ssh key コマンドを使用して、新しいまたはより強固な RSA/DSA キーを作成できます。キーがすでに設定されている場合、force オプションを使用して既存のキーを上書きできます。
(注) Cisco NX-OS Release 4.0(1) では、service ssh コマンドを使用して SSHv2 を有効にしていました。Cisco NX-OS Release 4.1(2) では、feature ssh に変更されました。
管理者が CLI にアクセスしたときに Cisco Nexus 7000 シリーズ デバイスを識別できるようにわかりやすいホスト名を設定する必要があります。Virtual Device Context(VDC; 仮想デバイス コンテキスト)を設定する場合、VDC ごとに固有のホスト名を設定する必要があります。
ブート変数では、システムがリロードされた後に起動する Cisco NX-OS ソフトウェアのバージョンを指定します。予定外のシャーシのリロードが発生した場合に必要なバージョンの Cisco NX-OS ソフトウェアが確実に起動するように、ブート変数を必ず設定する必要があります。Cisco Nexus 7000 シリーズ スイッチを適切に起動するには、キックスタート イメージとシステム イメージが必要です(イメージのバージョン番号が一致する必要があります)。Cisco NX-OS イメージは bootflash: または slot0: から起動できます(メモリはスーパーバイザ モジュールから取り外すことができないので、bootflash: を使用することを推奨します)。次の例では、Cisco NX-OS Release 5.1(1) のキックスタートおよびシステム ブート変数は、sup-1 オプションと sup-2 オプションが指定されていないので、シャーシの両方のスーパーバイザ モジュールに設定されます(デフォルトの動作)。
Message Of The Day(MOTD)ログイン バナーを使用して、ユーザがデバイスにログインしようとしていることをユーザに通知することを推奨します。このバナーは、ユーザ認証プロセスの前に表示され、権限のないユーザがログインしないようにするための警告として機能します。終了デリミタはバナーの内容に使用できません。次の例では、大文字の Z を使用しています(実稼動デバイスでは、詳細な免責事項を記載する必要があります)。
パスワードの強度確認機能はデフォルトで有効になっているので、認証するためにローカル データベースでユーザを設定するときに安全なパスワードを設定する必要があります。パスワードの強度確認機能は有効のままにしておくことを推奨します。無効にした場合、次のグローバル コンフィギュレーション コマンドを使用して有効にできます。
電力バジェットは、show environmental power コマンドを使用してモニタリングおよび管理できます。Cisco NX-OS Release 5.0(2a) では、Cisco NX-OS Release 5.x ソフトウェアでリリースされたファン トレイとすべての I/O モジュールに関するリアルタイム消費電力が導入されました。設定した電源冗長モードにより、利用可能な電力を割り当てる方法が決まります(電源冗長モードの詳細については、次の項を参照してください)。
推奨の電源冗長モードは、電源装置の数、入力の数と関連する入力電圧(110 V または 220 V)に応じて Cisco Nexus 7000 シリーズ シャーシごとに異なります。冗長モードによって電力の割り当てが異なるので、管理者は、設置環境に最適なモードを選択できます。デフォルトのモードは ps-redundant で、ほとんどの設置環境での推奨モードです。combined モードを設定するときには、シャーシに電源の冗長性は提供されないので注意が必要です。
使用していないすべての I/O(イーサネット)モジュールとファブリック モジュールの電源を切ることを推奨します。また、電源を入れたときに管理者が制御できるように、取り付けられていないすべての I/O モジュールとファブリック モジュールのスロットの電源を切ることを推奨します。この作業では、変更制御ウィンドウの外部で新しく取り付けたモジュールの電源が入らないようにすることで、リスクを軽減します。
この項では、Cisco NX-OS のライセンス モデルとインストール手順について簡単に説明します。必要なすべてのライセンスを必ずインストールして、ライセンスを受けた機能を有効にしたとき、および猶予期間が終了したときに発生する可能性がある不要なネットワークの停止を回避します。
Cisco NX-OS のライセンス モデルでは、「pay as you grow(成長に合わせた段階的な投資)」方式で機能を有効にできます。Cisco NX-OS ライセンスを購入する際、特定のシャーシにインストールされているシャーシ ホスト ID に基づいてライセンス ファイルを取得します(Cisco NX-OS ソフトウェアは、デフォルトで、基本的なレイヤ 3 機能を備えたレイヤ 2 接続に対応しています)。特定の機能に対するライセンスをお持ちでない場合は、グローバル license grace-period コンフィギュレーション コマンドを使用して 120 日間の猶予期間を有効にできます(猶予期間を実稼動ネットワークで使用することは推奨しません)。120 日を過ぎると、ライセンスが必要な機能を有効にしていて、そのライセンスをシャーシにインストールしていない場合、その機能は running-configuration から自動的に削除されます。
各ライセンス タイプに含まれる機能の一覧については、最新の『Cisco Nexus 7000 Series Licensing Configuration Guide』を参照してください。
2 台のスーパーバイザ モジュールをシャーシに取り付けている場合、交換したときに新しいライセンスを再発行し、再インストールする必要があるコンポーネントはシャーシだけです。スーパーバイザ モジュールを含む他のすべてのコンポーネントは、ライセンスを再発行および再インストールしなくても交換できます。スーパーバイザ モジュールを 1 台だけシャーシに取り付けている場合、そのスーパーバイザ モジュールまたはシャーシを交換したときにバックアップ コピーから新しいライセンスを再インストールする必要があります。
ライセンスは、シャーシごとにデフォルトの VDC(1)にインストールします。ライセンスのインストール中に中断は発生しません。
1. show license host-id コマンドを入力して、シャーシ ホスト ID を入手します。この ID を使用して、ライセンスを生成します。
2. Product Authorization Key(PAK; 製品認証キー)を見つけて、cisco.com の Product License Registration Web ページに移動します。
3. 手順に従って、ライセンス ファイルを生成し、ダウンロードします。
4. ライセンス ファイルを Cisco Nexus 7000 シリーズのスーパーバイザ モジュール(つまり、bootflash: または slot0:)に転送します。
5. 次の install license Exec コマンドを使用してライセンスをインストールします。
Cisco NX-OS ライセンスのステータスは、次のコマンドを使用して確認できます。
ライセンス ファイルは、再インストールが必要になる場合に備えて、安全な場所に常に保管する必要があります。特定のシャーシのライセンス ファイルが手元にない場合は、そのライセンスがすでにインストールされている場合はそのシャーシについてバックアップ コピーを作成できます。バックアップ ファイルを作成したら、安全な場所に転送する必要があります。