エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

MetroCluster マニュアル

MetroClusterのドキュメント

MetroCluster IP構成の設置

概要

MetroCluster設置の準備

ONTAPの各MetroCluster構成の相違点

ONTAP MediatorとMetroCluster Tiebreakerのどちらを使用するかの検討

MetroCluster IP構成に関する考慮事項

ONTAP 9.7以降での自動ドライブ割り当てとADPシステム

クラスタ ピアリング

ISLの要件

レイヤー3ワイドエリア ネットワークの使用方法

MetroCluster IPのアドレス、ネットマスク、ゲートウェイを変更する

プライベート レイヤー2ネットワークを共有する

MetroCluster準拠スイッチの使用方法

MetroCluster IP構成でTDM / xWDMおよび暗号化機器を使用する方法

MetroCluster IP構成のミラーされていないアグリゲート

MetroClusterサイトでのファイアウォール使用

MetroCluster構成で仮想IPとBorder Gateway Protocolを使用する場合の考慮事項

MetroClusterハードウェア コンポーネントの構成

MetroCluster IP構成のコンポーネント

MetroCluster IPに必要なコンポーネントと命名規則

ラックへのハードウェア コンポーネントの取り付け

MetroCluster IPスイッチのケーブル接続

Cisco IPスイッチの設定

基本設定の構成

Cisco 9336CスイッチでのMACsec暗号化の設定

ONTAPでのMetroClusterソフトウェアの設定

概要

8ノード構成の設定方法

必要な情報の収集

標準クラスタ構成とMetroCluster構成の類似点 / 相違点

コンポーネントのha-config状態の確認

コントローラー モジュールのシステム デフォルトのリストア

プール0へのドライブの手動割り当て

ONTAPのセットアップ

クラスタをMetroCluster構成に設定

スイッチオーバー、修復、スイッチバックの検証

MetroCluster TiebreakerまたはONTAP Mediatorソフトウェアの設定

構成バックアップ ファイルの保護

自動計画外スイッチオーバーのためのONTAP Mediatorサービスの設定

ONTAP Mediatorサービスのインストールの準備

MetroCluster IP構成でのONTAP Mediator サービスの設定

MetroCluster IP構成からのONTAP Mediatorサービスの構成解除

別のONTAP MediatorインスタンスへのMetroCluster構成の接続

MetroClusterの自動強制スイッチオーバーを使用する場合のリスクと制限事項

MetroCluster構成のテスト

MetroCluster構成を削除する場合の考慮事項

MetroCluster構成でONTAPを使用する場合の考慮事項

詳細情報の入手方法

MetroCluster Tiebreakerのインストールと設定

新機能

Tiebreakerソフトウェアの概要

Tiebreakerソフトウェアのインストール

インストールの準備

ONTAPIおよびSSHへの管理者アクセスの設定

依存関係のインストール

インストールの保護

ソフトウェア パッケージのインストール

ホストのアップグレード

Tiebreakerソフトウェアの設定

TiebreakerソフトウェアのSNMP設定

MetroCluster構成の監視

MetroCluster Tiebreakerをアクティブ モードで使用する場合のリスクと制限

MetroCluster Tiebreakerのファイアウォール要件

MetroCluster Tiebreakerのイベント ログ ファイル

詳細情報の入手方法

MetroClusterのデータ保護とディザスタ リカバリーの概要

MetroClusterのデータ保護とディザスタ リカバリーの仕組み

スイッチオーバー、修復、スイッチバックの実行
テストまたはメンテナンスのためのスイッチオーバーの実行

概要

スイッチオーバーに向けたシステムの事前チェック

カスタムAutoSupportメッセージの送信 - ネゴシエート スイッチオーバー前

ネゴシエート スイッチオーバーの実行

SVMが稼働中でありアグリゲートがオンラインであることの確認

スイッチバックの実行

スイッチバックの成功確認

スイッチオーバー、修復、およびスイッチバック用のコマンド

MetroCluster構成の監視

NVFAILを使用したファイルシステム整合性の監視および保護

詳細情報の入手方法

MetroCluster構成のアップグレード、更新、及び拡張、

4ノードまたは8ノードのMetroCluster IP構成の更新(ONTAP 9.8以降)

MetroCluster IP構成の拡張

ディザスタ リカバリー グループの削除

to English version

Cisco 9336CスイッチでのMACsec暗号化の設定

必要に応じて、サイト間で使用するWAN ISLポートにMACsec暗号化を設定できます。正しいRCFファイルを適用してから、MACsecを設定する必要があります。

MACsec暗号化を適用できるのは、WAN ISLポートのみです。

Cisco 9336CスイッチでのMACsec暗号化の設定

MACsec暗号化は、サイト間で使用するWAN ISLポートのみに設定する必要があります。正しいRCFファイルを適用してから、MACsecを設定する必要があります。

MACsecのライセンス要件

MACsecにはセキュリティ ライセンスが必要です。Cisco NX-OSのライセンス体系の詳細や、ライセンスの取得方法と申請方法については、『Cisco NX-OS Licensing Guide』を参照してください。

MetroCluster IP構成でCisco MACsec暗号化WAN ISLを有効にする

MetroCluster IP構成のWAN ISLで、Cisco 9336CスイッチのMACsec暗号化を有効にできます。

手順

  1. グローバル設定モードに切り替えます。

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. デバイスでMACsecとMKAを有効にします。

    feature macsec

    IP_switch_A_1(config)# feature macsec

  3. 実行中の設定をスタートアップ設定にコピーします。

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

MACsecキー チェーンとキーの設定

構成上にMACsecキー チェーンやキーを作成できます。

キーの有効期間とヒットレス キー ロールオーバー

MACsecキー チェーンには、それぞれのキーIDと有効期間(オプション)を設定した、複数の事前共有キー(PSK)を含めることができます。キーの有効期間によって、キーがいつアクティブになり、いつ期限切れになるかが指定されます。有効期間が設定されていない場合の、デフォルトの有効期間は無期限です。有効期間が設定されている場合、有効期間が期限切れになると、MKAによりキー チェーン内で次に設定されている事前共有キーへのロールオーバーが行われます。キーのタイムゾーンは、ローカルにもUTCにもできます。デフォルトのタイムゾーンはUTCです。キー チェーンに2番目のキーを設定し、最初のキーに有効期間を設定していると、同じキー チェーン内の2番目のキーにキーをロールオーバーできます。最初のキーの有効期限が切れると、自動的にリスト内の次のキーにロールオーバーされます。リンクの両側で同じキーが同時に設定されている場合、ヒットレス キー ロールオーバーが行われます(つまりトラフィックの中断なしでキーがロールオーバーされます)。

手順

  1. グローバル設定モードに切り替えます。

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. 暗号化されたキーのオクテット文字列を非表示にするには、show running-configコマンドとshow startup-configコマンドで出力される文字列をワイルドカード文字に置き換えます。

    IP_switch_A_1(config)# key-chain macsec-psk no-show
    オクテット文字列は、設定をファイルに保存する際にも非表示になります。

    デフォルトでは、PSKキーは暗号化された形式で表示され、簡単に復号化できます。このコマンドは、MACsecキー チェーンにのみ適用されます。

  3. 一連のMACsecキーを格納するためのMACsecキー チェーンを作成し、MACsecキー チェーンの設定モードを開始します。

    key chain name macsec

    IP_switch_A_1(config)# key chain 1 macsec
IP_switch_A_1(config-macseckeychain)#

  4. MACsecキーを作成し、MACsecキーの設定モードを開始します。

    key key-id

    キー文字列の範囲は1~32桁の16進数で、最大は64文字です。

    IP_switch_A_1 switch(config-macseckeychain)# key 1000
IP_switch_A_1 (config-macseckeychain-macseckey)#

  5. キーのオクテット文字列を設定します。

    key-octet-string octet-string cryptographic-algorithm AES_128_CMAC | AES_256_CMAC

    IP_switch_A_1(config-macseckeychain-macseckey)# key-octet-string abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789
cryptographic-algorithm AES_256_CMAC
    オクテット文字列の引数には、最大64文字の16進文字を使用できます。オクテット キーは内部的にエンコードされるので、show running-config macsecコマンドの出力にクリアテキストのキーが表示されることはありません。

  6. キーの送信有効期間(秒単位)を設定します。

    send-lifetime start-time duration duration

    IP_switch_A_1(config-macseckeychain-macseckey)# send-lifetime 00:00:00 Oct 04 2020 duration 100000

    デフォルトでは、デバイスは開始時間をUTCとして扱います。start-time引数は、キーがアクティブになる日時です。duration引数は、有効期間の長さ(秒単位)です。指定できる最大の期間は2147483646秒(約68年)です。

  7. 実行中の設定をスタートアップ設定にコピーします。

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

  8. キー チェーンの設定を表示します。

    show key chain name

    IP_switch_A_1(config-macseckeychain-macseckey)# show key chain 1

MACsecポリシーの設定

手順

  1. グローバル設定モードに切り替えます。

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. MACsecポリシーを作成します。

    macsec policy name

    IP_switch_A_1(config)# macsec policy abc
IP_switch_A_1(config-macsec-policy)#

  3. GCM-AES-128、GCM-AES-256、GCM-AES-XPN-128、GCM-AES-XPN-256のうち、いずれかの暗号を設定します。

    cipher-suite name

    IP_switch_A_1(config-macsec-policy)# cipher-suite GCM-AES-256

  4. キー交換中にピア間の関係が解除されるように、キー サーバーの優先度を設定します。

    key-server-priority number

    switch(config-macsec-policy)# key-server-priority 0

  5. セキュリティ ポリシーを設定して、データと制御パケットの処理を定義します。

    security-policy security policy

    次のオプションからセキュリティ ポリシーを選択します。

    • must-secure — MACsecヘッダーが含まれないパケットが廃棄されます

    • should-secure — MACsecヘッダーが含まれないパケットが許可されます(デフォルト値)

    IP_switch_A_1(config-macsec-policy)# security-policy should-secure

  6. リプレイ保護ウィンドウを設定して、セキュリティ保護されているインターフェイスが、設定されたウィンドウ サイズ未満のパケットを受け入れないようにします。window-size number

    リプレイ保護ウィンドウ サイズは、MACsecが受け入れ、破棄しない非連続フレーム数の最大値を表します。指定できる範囲は0~596000000です。 
    IP_switch_A_1(config-macsec-policy)# window-size 512

  7. SAKキーの変更を強制する時間を秒単位で設定します。

    sak-expiry-time time

    このコマンドを使用すると、予測可能な間隔でセッション キーを変更できます。デフォルトは0です。

    IP_switch_A_1(config-macsec-policy)# sak-expiry-time 100

  8. 暗号化が開始されるレイヤー2フレームに、次のいずれかの機密性オフセットを設定します。

    conf-offsetconfidentiality offset

    次のいずれかのオプションを選択します。

    • CONF-OFFSET-0

    • CONF-OFFSET-30

    • CONF-OFFSET-50

      IP_switch_A_1(config-macsec-policy)# conf-offset CONF-OFFSET-0
      このコマンドは、MPLSタグのようなパケット ヘッダー(DMAC、smac、etype)を使用するために中間スイッチで必要になる場合があります。

  9. 実行中の設定をスタートアップ設定にコピーします。

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

  10. MACsecポリシーの設定を表示します。

    show macsec policy

    IP_switch_A_1(config-macsec-policy)# show macsec policy

インターフェイスでCisco MACsec暗号化を有効にする

  1. グローバル設定モードに切り替えます。

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. MACsec暗号化を設定したインターフェイスを選択します。

    インターフェイスの種類とIDを指定できます。イーサネット ポートには、イーサネット スロット / ポートを使用します。

    IP_switch_A_1(config)# interface ethernet 1/15
switch(config-if)#

  3. インターフェイスに設定するキー チェーンとポリシーを追加し、MACsecの設定に追加します。

    macsec keychain keychain-name policy policy-name

    IP_switch_A_1(config-if)# macsec keychain 1 policy abc

  4. MACsec暗号化を設定するすべてのインターフェイスについて、ステップ1と2を繰り返します。

  5. 実行中の設定をスタートアップ設定にコピーします。

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

MetroCluster IP構成でCisco MACsec暗号化WAN ISLを無効にする

MetroCluster IP構成のWAN ISLで、Cisco 9336CスイッチのMACsec暗号化を無効にする必要が生じる場合があります。

手順

  1. グローバル設定モードに切り替えます。

    configure terminal

    IP_switch_A_1# configure terminal
IP_switch_A_1(config)#

  2. デバイスのMACsec設定を無効にします。

    macsec shutdown

    IP_switch_A_1(config)# macsec shutdown
    no」のオプションを選択すると、MACsecの機能が再開されます。

  3. MACsecをすでに設定しているインターフェイスを選択します。

    インターフェイスの種類とIDを指定できます。イーサネット ポートには、イーサネット スロット / ポートを使用します。

    IP_switch_A_1(config)# interface ethernet 1/15
switch(config-if)#

  4. インターフェイスに設定されているキー チェーンとポリシーを削除し、MACsecの設定を削除します。

    no macsec keychain keychain-name policy policy-name

    IP_switch_A_1(config-if)# no macsec keychain 1 policy abc

  5. MACsecが設定されているすべてのインターフェイスについて、ステップ3と4を繰り返します。

  6. 実行中の設定をスタートアップ設定にコピーします。

    copy running-config startup-config

    IP_switch_A_1(config)# copy running-config startup-config

MACsec構成の確認

手順

  1. 構成内の2つ目のスイッチで上記の手順をすべて繰り返して、MACsecセッションを確立します。

  2. 次のコマンドを実行して、両方のスイッチで正常に暗号化が行われていることを確認します。

    1. 次のコマンドを実行します:show macsec mka summary

    2. 次のコマンドを実行します:show macsec mka session

    3. 次のコマンドを実行します:show macsec mka statistics

      以下のコマンドを使用して、MACsecの設定を確認できます。

      コマンド

      表示される情報

      show macsec mka session interface typeslot/port number

      特定のインターフェイスかすべてのインターフェイスのMACsec MKAセッション

      show key chain name

      キー チェーンの設定

      show macsec mka summary

      MACsec MKA構成

      show macsec policy policy-name

      特定またはすべてのMACsecポリシーの設定
Top of Page