Cisco Prime Infrastructure 3.0 �Ǘ��҃K�C�h

Cisco Prime Infrastructure 3.0 管理者ガイド
2015 年 7 月
シスコシステムズ合同会社
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
http://www.cisco.com/jp
お問い合わせ先：シスココンタクトセンター
0120-092-255 （フリーコール、携帯・PHS含む）
電話受付時間：平日 10:00～12:00、13:00～17:00
http://www.cisco.com/jp/go/contactcenter/
Text Part Number:
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および
推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製
品の使用は、すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡
ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public
domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコ
およびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する
保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめと
する、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わな
いものとします。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. シスコの商標の一覧は、
www.cisco.com/go/trademarks でご確認いただけます。 Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not
imply a partnership relationship between Cisco and any other company. (1110R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、
ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとして
も、それは意図的なものではなく、偶然の一致によるものです。
Cisco Prime Infrastructure 3.0 管理者ガイド
© <year> Cisco Systems, Inc. All rights reserved.
CONTENTS
CHAPTER
1
Cisco Prime Infrastructure の管理の概要
CHAPTER
2
管理者の設定タスク
1-1
2-1
オペレーションセンターのセットアップ
2-1
オペレーションセンターをセットアップする前に
2-2
オペレーションセンターライセンスのアクティブ化
2-2
オペレーションセンター用の SSO の有効化
2-3
オペレーションセンター SSO のトラブルシューティング
2-5
オペレーションセンターへの Prime Infrastructure インスタンスの追加
2-7
オペレーションセンター向けのアイドルユーザタイムアウトの無効化
2-7
オペレーションセンター用の AAA の有効化
2-8
オペレーションセンターの次の手順
2-8
必要なソフトウェアバージョンおよび設定
SNMP の設定
2-9
NTP の設定
2-10
2-9
保証付き Prime Infrastructure のデータソースの設定
サポートされる保証のデータソース
2-10
保証データソースの設定
2-11
Medianet NetFlow のイネーブル化
2-12
NetFlow と Flexible NetFlow のイネーブル化
Network Analysis Module（NAM）の導入
Performance Agent の有効化
3
2-16
Prime Infrastructure サーバの設定
使用可能なシステム設定
電子メールの設定
2-14
2-15
Prime Infrastructure パッチのインストール
CHAPTER
2-10
2-17
3-1
3-2
3-6
グローバル SNMP の設定
3-7
SNMP クレデンシャル詳細の表示
3-9
SNMP クレデンシャルの追加
3-10
SNMP クレデンシャルのインポート
3-11
プロキシ設定
3-12
Cisco Prime Infrastructure 3.0 管理者ガイド
iii
目次
サーバポートおよびグローバルタイムアウトの設定
コンプライアンスサービスの有効化
3-13
リモート FTP、TFTP、SFTP サーバの設定
3-14
Prime Infrastructure からの ACS View サーバのアクセス
ISE サーバの設定
3-14
3-15
ジョブの管理者承認の指定
ジョブの承認
3-12
3-15
3-16
ログイン免責事項テキストの指定
3-16
ユーザ定義フィールドへのデバイス情報の追加
3-16
OUI の管理
3-17
新しいベンダー OUI マッピングの追加
3-17
更新されたベンダー OUI マッピングファイルのアップロード
Prime Infrastructure への通知レシーバの追加
3-18
通知レシーバの削除
3-19
ノースバウンド SNMP レシーバのログファイル例
3-18
3-19
Prime Infrastructure への HTTPS アクセスの設定
3-20
自己署名証明書の生成および適用
3-20
CA 署名付き証明書の取得およびインポート
3-21
CA 署名付き証明書の削除
3-22
MIB から Prime Infrastructure へのアラート /イベントマッピング
製品フィードバックデータの収集
CHAPTER
4
Prime Infrastructure サーバヘルスの維持
3-23
3-25
4-1
Prime Infrastructureサーバヘルスのモニタリング
4-2
Prime Infrastructure のトラブルシューティング
4-2
シスコサポートコミュニティの起動
4-3
サポートケースを開く
4-3
OVA サイズとシステムリソースの評価
4-4
Prime Infrastructure が管理しているデバイス数の表示
4-5
Prime Infrastructure のパフォーマンスの向上
4-6
サーバの調整
4-6
再起動中のサーバ調整の有効化
4-6
VMware vSphere クライアントを使用する VM のリソース割り当ての変更
Prime Infrastructure データベースの圧縮
4-8
クライアントパフォーマンスの設定
4-8
自動クライアントトラブルシューティングの有効化
4-9
DNS ホスト名ルックアップの有効化
4-9
クライアントアソシエーション履歴データの保持期間の指定
4-10
Cisco Prime Infrastructure 3.0 管理者ガイド
iv
4-7
目次
クライアントトラップ/Syslog 受信中のクライアントのポーリング
4-10
イベントとしてのクライアントトラップの保存
4-11
802.1x および 802.11 クライアントトラップのイベントとしての保存
4-11
保証処理のメモリ最適化
4-11
保証メモリ割り当てと需要のモニタリング
CLI 経由の保証メモリプールの増加
4-13
保証メモリ割り当てのバランス調整
4-13
保証のメモリ割り当てのリセット
4-14
保証メモリプールのリセット
4-14
データソースの管理
4-15
現在のデータソースの表示
データソースの削除
4-16
4-12
4-15
特別な管理タスクの実行
4-17
CLI 経由の接続
4-18
Prime Infrastructure の起動
4-19
Prime Infrastructure サーバステータスの確認
4-19
Prime Infrastructure バージョンおよびパッチステータスの確認
Prime Infrastructureの停止
4-20
Prime Infrastructure の再起動
4-20
Prime Infrastructure の削除
4-21
Prime Infrastructure のデフォルトへのリセット
4-21
物理アプライアンスのクリーンな状態への復元
4-22
Prime Infrastructure ホスト名の変更
4-22
FTP ユーザの有効化
4-23
ルートユーザパスワードの変更
4-23
仮想アプライアンスの管理者パスワードの回復
4-24
物理アプライアンスの管理者パスワードの回復
4-26
インストール ISO イメージの取得
4-26
4-20
Prime Infrastructure ソフトウェアの最新状態の維持
4-27
インストール済みのソフトウェアアップデートと利用可能なソフトウェアアッ
4-28
プデートの表示
ソフトウェアアップデート通知の取得
4-28
ソフトウェアアップデート通知の設定
4-29
インストール済みのソフトウェアアップデートの詳細の表示
4-29
ログインページからのインストール済みアップデートの表示
4-30
バージョン情報ページからのインストール済みアップデートの表示
4-30
ソフトウェアアップデートのインストール
4-31
Cisco.com からのソフトウェアアップデートのインストール
4-31
ダウンロードしたソフトウェアのアップロードとインストール
4-32
Cisco Prime Infrastructure 3.0 管理者ガイド
v
目次
Prime Infrastructure での Cisco.com アカウントクレデンシャルの使用
4-33
Prime Infrastructure への Cisco.com アカウントクレデンシャルの保存
4-33
Cisco.com アカウントクレデンシャルの削除
4-33
サポート要求の設定
4-34
ディスク領域の問題管理
CHAPTER
5
4-34
Prime Infrastructure のバックアップと復元
5-1
バックアップと復元の概念
5-1
バックアップタイプ
5-2
バックアップのスケジューリング
5-2
バックアップリポジトリ
5-3
バックアップファイル名
5-4
バックアップの検査
5-5
バックアップファイルに含まれる情報
5-5
バックアップと復元を使用してサーバを交換する
5-6
自動アプリケーションバックアップの使用
5-7
自動アプリケーションバックアップのスケジューリング
5-7
アプリケーションバックアップのトリガー
5-8
自動アプリケーションバックアップリポジトリの指定
5-8
ローカルバックアップリポジトリの作成
5-9
ローカルバックアップリポジトリの削除
5-10
リモートバックアップリポジトリの使用
5-10
バックアップリポジトリの種類
5-11
リモート NFS バックアップリポジトリの使用
5-12
NFS バックアップ設定を始める前に
5-12
NFS バックアップサーバの設定
5-13
NFS バックアップサーバを使用するための Prime Infrastructure の設定
リモート SFTP バックアップリポジトリの使用
5-15
リモート FTP バックアップリポジトリの使用
5-17
コマンドラインからのバックアップの実行
5-18
アプリケーションバックアップの実行
5-18
アプライアンスバックアップの実行
5-19
バックアップからの復元
5-20
アプリケーションバックアップからの復元
5-20
アプライアンスバックアップからの復元
5-21
バックアップと復元を使用した別の仮想アプライアンスへの移行
バックアップと復元を使用した別の物理アプライアンスへの移行
失敗した復元からの回復
5-24
Cisco Prime Infrastructure 3.0 管理者ガイド
vi
5-23
5-23
5-14
目次
バックアップおよび復元中のディスク領域の問題を管理する
Operations Center でのバックアップと復元の使用
CHAPTER
6
ネットワーク健全性の管理
5-25
5-25
6-1
アラームとイベントの設定
6-1
アラームのクリーンアップおよび表示オプションの指定
アラーム重大度の変更
6-3
自動クリア間隔の変更
6-4
監査の変更通知の有効化
6-1
6-4
システム変更に関する Syslog メッセージレシーバの設定
エラーログのダウンロードと電子メール送信
SNMP トレースの有効化
6-5
6-6
6-6
Syslog ロギングオプションの変更
6-7
ロギングオプションの変更によるトラブルシューティングの強化
Mobility Service Engine ロギングオプションの変更
6-8
MAC アドレスに基づくロギング
6-9
Mobility Services Engine ログファイルのダウンロード
6-9
テクニカルサポート要求設定値の設定
CHAPTER
7
データの収集と保持の管理
6-10
7-1
カテゴリ別のデータ保持の指定
7-2
データベーステーブル別のデータ保持の指定
パフォーマンスデータの保持について
履歴データの保持について
7-3
7-4
クライアントデータの収集と保存の指定
データ重複排除の有効化
6-7
7-5
7-6
7-7
レポートの保存と保持の制御
7-8
イベント受信後のインベントリ収集の指定
7-8
設定導入動作の制御
7-9
テンプレート導入前のデバイス設定のアーカイブ
7-9
テンプレート導入失敗時のデバイス設定のロールバック
7-9
WLC 設定をいつどのようにアーカイブするかの指定
7-10
データ収集ジョブの制御
7-11
データ収集ジョブのスケジューリング
7-11
データ収集ジョブの一時停止と再開
7-12
データ収集ジョブの即時実行
7-12
データ収集ジョブについて
7-13
Cisco Prime Infrastructure 3.0 管理者ガイド
vii
目次
Prime Infrastructure のバックグラウンドタスクの制御
7-15
Cisco Prime LMS から Cisco Prime Infrastructure へのデータの移行
CHAPTER
8
コントローラおよび AP 設定値の設定
8-1
不正 AP トレース用の SNMP クレデンシャルの設定
CLI セッションのプロトコル設定
7-21
8-1
8-2
アップグレード後のコントローラの更新
不正 AP に接続したスイッチポートの追跡
8-2
8-3
スイッチポートトレーシングの設定
8-3
スイッチポートトレーシングの確立
8-6
[Switch Port Tracing Details] 8-7
スイッチポートトレーシングのトラブルシューティング
8-7
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
8-8
自動 SPT の設定方法を教えてください。 8-9
自動 SPT と手動 SPT はどのように違いますか。 8-9
SPT の結果（手動および自動）はどこで確認できますか。 8-10
自動 SPT を円滑に実行するにはどうすればいいですか。 8-10
自動 SPT の方が有線の不正の検出に時間がかかるのはなぜですか。 8-12
トランクポート上の有線の不正を検出するにはどうすればいいですか。 8-12
自動 SPT の「Eliminate By Location」機能を使用するにはどうすればいいですか。 8-13
「メジャーポーリング」と「マイナーポーリング」の違いについて教えてく
ださい。 8-13
CHAPTER
9
ハイアベイラビリティの設定
9-1
ハイアベイラビリティの仕組み
9-2
プライマリサーバとセカンダリサーバについて
障害の原因
9-3
ファイルおよびデータベースの同期
9-4
HA サーバ通信
9-4
Health Monitor プロセス
9-5
Health Monitor Web ページ
9-5
仮想 IP アドレッシング
9-6
ホットスタンバイ動作
9-7
HA の導入計画
9-7
HA のネットワークスループットに関する制限事項
ローカルモデルの使用
9-9
キャンパスモデルの使用
9-10
リモートモデルの使用
9-10
仮想 IP アドレッシングを使用できない場合の対処
Cisco Prime Infrastructure 3.0 管理者ガイド
viii
9-3
9-8
9-11
目次
自動フェールオーバーと手動フェールオーバーの違い
9-11
ハイアベイラビリティのセットアップ
9-12
ハイアベイラビリティをセットアップする前に
9-13
セカンダリサーバのインストール
9-14
プライマリサーバでのハイアベイラビリティの登録
9-15
ハイアベイラビリティステータスの確認
9-16
HA 登録中の動作
9-16
ハイアベイラビリティサーバペアに対するパッチの適用
9-18
新しいハイアベイラビリティサーバに対するパッチの適用
9-20
ハイアベイラビリティのモニタ
9-22
Health Monitor Web ページへのアクセス
9-22
フェールオーバーのトリガー
9-22
フェールバックのトリガー
9-23
その他の HA イベントに対する応答
9-24
HA 登録が失敗した場合
9-24
ネットワークがダウンしている場合（自動フェールオーバー）
9-25
ネットワークがダウンしている場合（手動フェールオーバー）
9-26
プロセスを再開できない場合（自動フェールオーバー）
9-27
プロセスを再開できない場合（手動フェールオーバー）
9-28
同期中にプライマリサーバが再起動した場合（手動フェールオーバー）
同期中にセカンダリサーバが再起動した場合
9-30
HA サーバが両方ともダウンしている場合
9-30
両方の HA サーバの電源がダウンしている場合
9-31
HA サーバが両方ともダウンし、セカンダリサーバが再起動しない場合
プライマリサーバの交換
9-33
スプリットブレーン状況からの回復
9-34
ハイアベイラビリティの参照情報
9-35
HA コンフィギュレーションモードリファレンス
HA 状態リファレンス
9-36
HA 状態遷移リファレンス
9-38
ハイアベイラビリティ CLI コマンドリファレンス
HA 認証キーのリセット
9-40
GUI での HA の削除
9-40
CLI での HA の削除
9-41
復元中の HA の削除
9-41
アップグレード中の HA の削除
9-42
HA エラーロギングの使用
9-42
HA サーバの IP アドレスまたはホスト名のリセット
MSE ハイアベイラビリティの設定
9-30
9-32
9-35
9-39
9-42
9-43
Cisco Prime Infrastructure 3.0 管理者ガイド
ix
目次
MSE ハイアベイラビリティアーキテクチャの概要
9-43
MSE ハイアベイラビリティのペアリングマトリックス
MSE ハイアベイラビリティのガイドラインと制約事項
MSE ハイアベイラビリティのフェールオーバーシナリオ
MSE ハイアベイラビリティのフェールバックシナリオ
MSE ハイアベイラビリティのライセンス要件
9-46
MSE ハイアベイラビリティのセットアップ：ワークフロー
ハイアベイラビリティ用の MSE の準備
9-46
プライマリ MSE での MSE ハイアベイラビリティの設定
セカンダリ MSE での MSE ハイアベイラビリティの設定
プライマリ MSE の交換
9-58
CHAPTER
10
ワイヤレス冗長性の設定
9-44
9-44
9-45
9-45
9-46
9-47
9-54
10-1
ワイヤレスコントローラの冗長性について
冗長性の前提条件と制限事項
10-2
冗長インターフェイスの設定
10-3
10-1
プライマリコントローラの冗長性の設定
10-3
セカンダリコントローラの冗長性の設定
10-4
冗長性状態のモニタリング
10-5
冗長ステータスのバックグラウンドタスクの実行
10-5
ピアサービスポートの IP およびサブネットマスクの設定
ピアネットワークルートの追加
10-6
10-6
セカンダリサーバのリセットおよびセカンダリサーバからのファイルのアップ
ロード
10-7
コントローラの冗長性の無効化
CHAPTER
11
ユーザアクセスの制御
10-8
11-1
ユーザアカウントの管理
11-1
アクティブユーザセッションの表示
11-2
ユーザアカウントの追加
11-2
追加の管理ユーザの作成
11-3
ユーザアカウントの削除
11-4
ゲストアカウントの設定
11-4
ユーザアカウントの無効化
11-5
web root アカウントの無効化
11-5
ユーザパスワードの変更
11-6
パスワードポリシーの変更
11-6
グローバルアイドルタイムアウトの変更
11-7
Cisco Prime Infrastructure 3.0 管理者ガイド
x
目次
Lobby Ambassadors を使用したゲストユーザアカウントの管理
ゲストユーザアカウントの管理：ワークフロー
11-8
Lobby Ambassador アカウントの作成
11-9
Lobby Ambassador としてのログイン
11-9
Lobby Ambassador としてのゲストユーザアカウントの作成
ゲストユーザアカウントのスケジュール設定
11-10
ゲストユーザの詳細の印刷または電子メール送信
11-11
Lobby Ambassador アクティビティの表示
11-11
ゲストアカウントのデバイスへの保存
11-12
ゲストユーザのクレデンシャルの編集
11-12
ユーザグループを使用したアクセスの制御
11-13
ユーザグループの権限およびメンバーシップの表示
ユーザグループ特権の変更
11-14
ユーザグループメンバーシップの変更
11-15
11-7
11-10
11-14
仮想ドメインを使用したアクセスの制御
11-16
仮想ドメインについて
11-16
仮想ドメインでのユーザアクセス
11-20
仮想ドメインの作成
11-20
仮想ドメインへのサイトマップの追加
11-21
仮想ドメインへのネットワークデバイスの追加
11-22
仮想ドメインへのアクセスポイントの追加
11-22
仮想ドメインのインポート
11-23
仮想ドメインへのユーザの追加
11-23
仮想ドメインへの仮想要素の追加
11-24
仮想ドメインアクセスの変更
11-25
仮想ドメインの削除
11-26
仮想ドメイン RADIUS 属性および TACACS+ 属性のエクスポート
ユーザアクセスの監査
11-28
ユーザグループの監査証跡へのアクセス
11-28
アプリケーションのログインとアクションの表示
ユーザ開始イベントの表示
11-29
11-27
11-28
Prime Infrastructure 上での AAA の設定
11-29
AAA モードの設定
11-30
TACACS+ サーバの追加
11-30
RADIUS サーバの追加
11-31
Prime Infrastructure の IP アドレス変更後の必須 TACACS+/RADIUS 設定
11-32
新しい Prime Infrastructure バージョンのインストール後の AAA 設定の更新 11-32
SSO サーバの追加
11-32
SSO でのハイアベイラビリティの設定
11-33
Cisco Prime Infrastructure 3.0 管理者ガイド
xi
目次
SSO サーバ AAA モードの設定
11-33
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
11-34
ISE での AAA クライアントとしての Prime Infrastructure の追加
11-35
ISE での新しいユーザグループの作成
11-36
ISE での新しいユーザの作成とユーザグループへの追加
11-36
ISE での新しい許可プロファイルの作成
11-37
ISE での許可ポリシー規則の作成
11-37
ISE での簡易認証ポリシーの作成
11-38
ISE でのルールベースの認証ポリシーの作成
11-39
Prime Infrastructure での AAA の設定
11-40
Prime Infrastructure 用の ACS 4.x の設定：ワークフロー
11-40
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure の追加
11-41
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループ
11-42
の追加
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure の追加
11-43
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループ
11-43
の追加
RADIUS を使用する Cisco ACS サーバ以外のサーバへの Prime Infrastructure の
11-44
追加
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
11-46
ACS ネットワークデバイスおよび AAA クライアントの作成
11-46
ACS グループの追加
11-46
ACS ユーザの追加
11-47
RADIUS 用 ACS ポリシー要素または許可プロファイルの作成
11-47
TACACS+ 対応の ACS ポリシー要素または許可プロファイルの作成
11-47
RADIUS 対応の ACS サービスセレクション規則の作成
11-48
TACACS+ 対応の ACS サービスセレクション規則の作成
11-48
RADIUS 対応の ACS アクセスサービスの設定
11-49
TACACS+ 対応の ACS アクセスサービスの設定
11-49
CHAPTER
12
詳細モニタリング
12-1
WAN 最適化の有効化
CHAPTER
13
ライセンスの管理
12-3
13-1
Prime Infrastructure ライセンス
13-1
Prime Infrastructure ライセンスの購入
13-2
ライセンスの詳細の確認
13-2
ライセンスの追加
13-3
ライセンスの削除
13-3
ライセンスのトラブルシューティング
13-4
Cisco Prime Infrastructure 3.0 管理者ガイド
xii
目次
コントローラライセンス
13-6
MSE ライセンス
13-8
MSE ライセンスの構成マトリクス
13-8
MSE ライセンスファイルのサンプル
13-9
MSE ライセンスの取り消しと再使用
13-9
MSE サービスの共存
13-10
MSE ライセンスの管理
13-11
製品認証キーの登録
13-12
クライアントライセンスファイルおよびワイヤレス IPS ライセンスファイル
13-13
のインストール
Mobility Services Engine ライセンスファイルの削除
13-14
保証ライセンス
13-14
保証ライセンスの詳細の確認
13-15
NetFlow および NAM デバイスに対するライセンスサポートの追加
NetFlow および NAM デバイスに対するライセンスサポートの削除
CHAPTER
14
トラフィックメトリックの管理
13-16
13-16
14-1
Mediatrace によるトラフィックメトリックの前提条件
14-1
NAM デバイスをデータソースとして使用するための Prime Infrastructure の
14-2
設定
ルータとスイッチをデータソースとして使用するための Prime Infrastructure の
14-3
設定
ルータとスイッチ上での Mediatrace の設定
14-4
ルータとスイッチ上での WSMA 機能と HTTP（S）機能の設定
CHAPTER
APPENDIX
15
A
ネットワーク容量の変更計画
内部 SNMP トラップの生成
14-5
15-1
A-1
内部トラップ生成について
A-1
Prime Infrastructure SNMP トラップタイプ
A-2
トラップ関連バックグラウンドタスクの実行確認
汎用 SNMP トラップの形式
A-6
A-7
Prime Infrastructure SNMP トラップリファレンス
Prime Infrastructure トラップの使用
A-13
通知の設定
A-13
通知レシーバの設定
A-14
トラップの送信に使用するポート
A-14
SNMP トラップ用の電子メール通知の設定
電子メールサーバ設定の構成
A-15
A-8
A-15
Cisco Prime Infrastructure 3.0 管理者ガイド
xiii
目次
SNMP トラップのイベントとアラームの表示
A-16
SNMP トラップのイベントとアラームのフィルタリング
A-16
クイックフィルタを使用する SNMP トラップ用のフィルタリング
A-16
高度なフィルタを使用する SNMP トラップのフィルタリング
A-17
SNMP トラップのアラームの消去
A-18
Prime Infrastructure SNMP トラップのトラブルシューティング
A-18
APPENDIX
B
ベストプラクティス：サーバセキュリティの強化
B-1
サーバセキュリティの強化
B-1
セキュアでないサービスの無効化
B-2
root アクセスの無効化
B-2
SNMPv2 の代わりに SNMPv3 を使用する
B-3
デバイス追加時に SNMPv3 を使用する
B-3
デバイスのインポート時に SNMPv3 を使用する
B-4
検出の実行時に SNMPv3 を使用する
B-4
外部 AAA による認証
B-5
GUI からの外部 AAA の設定
B-5
CLI からの外部 AAA の設定
B-6
NTP 更新認証の有効化
B-7
証明書ベースの OCSP 認証の有効化
B-8
Web ブラウザへのクライアント証明書のインポート
B-10
SSL 認証の設定
B-11
SSL クライアント認証の設定
B-11
SSL サーバ認証の設定
B-12
Prime Infrastructure サーバにおける OCSP 設定の有効化
B-12
ローカルパスワードポリシーの設定
B-13
個々の TCP/UDP ポートの無効化
B-14
サーバセキュリティステータスの確認
B-15
CHAPTER
C
プラグアンドプレイゲートウェイのハイアベイラビリティの設定
シスコプラグアンドプレイゲートウェイ HA の機能
C-1
シスコプラグアンドプレイゲートウェイ HA の前提条件
C-1
C-2
シスコプラグアンドプレイゲートウェイ HA のセットアップ
C-2
Prime Infrastructure HA 用のスタンドアロンシスコプラグアンドプレイゲートウェ
イのセットアップ
C-2
仮想 IP アドレスが割り当てられた HA の Prime Infrastructure C-3
IP アドレスが異なる HA の Prime Infrastructure C-3
シスコスタンドアロンプラグアンドプレイゲートウェイサーバ HA のセット
C-4
アップ
シスコプラグアンドプレイゲートウェイのステータス
C-5
Cisco Prime Infrastructure 3.0 管理者ガイド
xiv
目次
HA のシスコプラグアンドプレイゲートウェイの削除
C-7
シスコプラグアンドプレイゲートウェイ HA と Prime Infrastructure の組み合わせ
シスコプラグアンドプレイゲートウェイ HA の制限
C-7
C-8
Cisco Prime Infrastructure 3.0 管理者ガイド
xv
目次
Cisco Prime Infrastructure 3.0 管理者ガイド
xvi
CH A P T E R
1
Cisco Prime Infrastructure の管理の概要
Cisco Prime Infrastructure は、1 つのグラフィカルインターフェイスからネットワークインフラ
ストラクチャ全体のライフサイクルを管理できる、ネットワーク管理ツールです。Prime Infrastructure
は、ネットワーク管理者に、有線デバイスとワイヤレスデバイス両方のプロビジョニング、モニ
タリング、最適化、トラブルシューティングを行うための単一ソリューションを提供します。堅
牢なグラフィカルインターフェイスを使用することで、デバイスの導入と操作を簡略化し、コス
ト効率を上げることができます。
Prime Infrastructure の [Administration] メニューにあるタスクは、一般に管理者だけが実行し
ます。
Cisco Prime Infrastructure 3.0 管理者ガイド
1-1
第1章
Cisco Prime Infrastructure 3.0 管理者ガイド
1-2
Cisco Prime Infrastructure の管理の概要
CH A P T E R
2
管理者の設定タスク
Cisco Prime Infrastructure 管理者は、製品のインストール後速やかに、いくつかの初期設定作業を
完了できるように計画する必要があります。
関連項目
•
オペレーションセンターのセットアップ
•
必要なソフトウェアバージョンおよび設定
•
保証付き Prime Infrastructure のデータソースの設定
•
Medianet NetFlow のイネーブル化
•
NetFlow と Flexible NetFlow のイネーブル化
•
Network Analysis Module（NAM）の導入
•
Prime Infrastructure パッチのインストール
オペレーションセンターのセットアップ
Prime Infrastructure オペレーションセンターは、ライセンス方式の機能です。この機能を使用す
ると、Prime Infrastructure の複数のインスタンスを単一のインスタンスから管理できるようにな
ります。オペレーションセンターを使用する前に、以下の作業を実行する必要があります。
1.
オペレーションセンターをホストする Prime Infrastructure サーバでオペレーションセン
ターのライセンスをアクティブ化します。
2.
オペレーションセンターを使用して管理する Prime Infrastructure インスタンスごとにシン
グルサインオン（SSO）を有効化します。
3.
Prime Infrastructure インスタンスをオペレーションセンターに追加します。
4.
（省略可能）オペレーションセンターに関するパーソナルおよびグローバルなアイドルユー
ザタイムアウトおよびその管理インスタンスのすべてを無効化します。
5.
（省略可能）TACACS+ または RADIUS サーバを使用し、オペレーションセンターに対応した
リモート AAA 、およびその管理インスタンスのすべてを設定します。
これらの作業の実行方法については、「関連項目」を参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-1
第2章
管理者の設定タスク
オペレーションセンターのセットアップ
関連項目
•
オペレーションセンターをセットアップする前に
•
オペレーションセンターライセンスのアクティブ化
•
オペレーションセンター用の SSO の有効化
•
オペレーションセンター SSO のトラブルシューティング
•
オペレーションセンターへの Prime Infrastructure インスタンスの追加
•
オペレーションセンター向けのアイドルユーザタイムアウトの無効化
•
オペレーションセンター用の AAA の有効化
•
オペレーションセンターの次の手順
オペレーションセンターをセットアップする前に
オペレーションセンターをセットアップする前に、次の処理を実施する必要があります。
•
オペレーションセンターをホストする Prime Infrastructure サーバの DNS エントリがその
サーバで設定されたホスト名と一致することを確認します。たとえば、オペレーションセン
ターをホストする Prime Infrastructure サーバで nslookup ipaddress コマンドと hostname コ
マンドを実行した場合、同じ出力が生成される必要があります。
•
オペレーションセンターを使用してネットワーク情報にアクセスするすべてのユーザが
NBI Read と NBI Write の両方のアクセス権を持っていることを確認します。これは、これら
のユーザプロファイルを編集して、「NBI Read」ユーザグループと「NBI Write」ユーザグルー
プのメンバにすることで実施できます（「関連項目」の「ユーザグループメンバーシップの変
更」を参照）。
•
デフォルトでは、オペレーションセンターでのユーザ 1 名あたりの SSO ログインセッショ
ンの最大数は 5 です。これは、インスタンス数にも該当します。したがって、アクティブ SSO
セッションの数が 5 を超えないようにする必要があります。そうでない場合は、管理インス
タンスが通信不能の状態になります。
•
オペレーションセンターをアップグレードする前に、必ず Prime Infrastructure を 2.2.X から
3.0 にアップグレードしてください。オペレーションセンター向けのインラインアップグ
レードも利用可能です。
関連項目
•
オペレーションセンターのセットアップ
•
ユーザグループメンバーシップの変更
オペレーションセンターライセンスのアクティブ化
オペレーションセンターには単独のインストール手順はありません。Prime Infrastructure をイン
ストールした後、インストールされたサーバインスタンスでオペレーションセンターライセン
スをアクティブ化することにより、オペレーションセンターが有効になります。オペレーション
センターを使用して管理できる Prime Infrastructure インスタンスの数は、購入したライセンスに
よって異なります。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-2
第2章
管理者の設定タスク
オペレーションセンターのセットアップ
オペレーションセンターには、Cluster Base ライセンスファイルと Incremental ファイセンス
ファイルが必要です。. 詳細については、『Cisco Prime Infrastructure Ordering and Licensing Guide』
（「関連項目」）を参照してください。
ステップ 1
[Administration] > [Licenses and Software Updates] > [Licenses] の順に選択します。[Licenses
Summary] ページが表示されます。
ステップ 2
左側のナビゲーションメニューから、[Files] > [License Files] の順に選択します。[License Files]
ページが表示されます。
ステップ 3
[Add] をクリックします。[Add a License File] ダイアログボックスが表示されます。
ステップ 4
[Choose File] をクリックします。
ステップ 5
ライセンスファイルに移動し、ファイルを選択して、[Open] をクリックします。
ステップ 6
[OK] をクリックします。ライセンスは [Licenses] > [License Files] ページに表示されます。
ステップ 7
Prime Infrastructure からログアウトし、ログインし直します。表示されるログインページに
[Cisco Prime Infrastructure Operations Center] と表示され、ライセンスが適用されたことがわかり
ます。
関連項目
•
オペレーションセンターのセットアップ
•
Cisco Prime Infrastructure Ordering and Licensing Guide
オペレーションセンター用の SSO の有効化
次の手順を必要な回数実行して、SSO を有効にします。
1.
はじめに、オペレーションセンターをホストする Prime Infrastructure サーバで実行します。
このサーバは、SSO サーバとして機能する必要があります。
2.
次に、オペレーションセンターが管理する他のすべての Prime Infrastructure サーバで実行し
ます。これらのサーバは、SSO クライアントとして機能する必要があります。
支援が必要な場合は、「関連項目」の「オペレーションセンター SSO 問題のトラブルシューティン
グ」を参照してください。
Prime Infrastructure に対応する SSO サーバを複数設定できます。ただし、最初に設定する SSO
サーバは、障害が発生するまで、常にシステム SSO サーバとして機能します。故障した場合は、認
証がセカンド SSO サーバ以降に順番にフォールバックします。
ステップ 1
[Administration] > [Users] > [Users, Roles & AAA] を選択します。[AAA Mode Settings] ページが表
示されます。
ステップ 2
[AAA Mode] フィールドで、[Local] オプションボタンを選択し、[Save] をクリックします。
ステップ 3
左側のナビゲーションメニューから、[SSO Servers] をクリックし、[SSO Servers] ページを開き
ます。
ステップ 4
[Select a Command ] > [Add SSO Server ] > [Go] を選択します。[Add SSO Servers] ページが表示さ
れます。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-3
第2章
管理者の設定タスク
オペレーションセンターのセットアップ
ステップ 5
次の情報を入力します。
•
[IP Address]：オペレーションセンターライセンスをアクティブ化したサーバの IP アドレス
（すなわち、オペレーションセンター IP）を入力します。
SSO サーバに追加するオペレーションセンタークライアント（すなわち、Prime Infrastructure
の管理インスタンス）のすべてに対し、一貫して IP アドレスまたはドメイン名を指定する必
要があることに注意してください。これは、シングルサインオン機能を提供するブラウザ
Cookie が、ここで指定した IP アドレスまたはドメイン名に従って保存されるためです。
•
[DNS Name]：ライセンスをアクティブ化したサーバの DNS 名。DNS のフォワードルック
アップとリバースルックアップが同じである場合は、DNS 名のみを入力します。それ以外の
場合は、サーバ IP アドレスを使用して SSO を設定します。
•
[Port]：SSO サーバへのログインに使用されるポート。デフォルトでは、ポート 443 が設定さ
れます。この値は変更しないでください。
•
[Retries]：SSO サーバにログインする際の再試行回数。デフォルトでは 1 に設定されます。
•
[Certificate Type]：SSO サーバが使用する SSL/TLS 証明書のタイプを選択します。自己署名証
明書または認証局（CA）の証明書タイプから選択します。
完了したら、[Save] をクリックします。サーバは [Add SSO Servers] ページに表示されます。
ステップ 6
左側のナビゲーションメニューから、[AAA Mode Settings] を選択し、[AAA Mode Settings] ペー
ジを再度開きます。
ステップ 7
[SSO] オプションボタンをクリックし（まだ選択されていない場合）、[Save] をクリックします。
ステップ 8
SSO を有効化した後、SSO を有効化した Prime Infrastructure インスタンスからログアウトし、再
度ログインします。
オペレーションセンターインスタンスのログインページに、「Cisco Operations Center [SSO]」と
表示されます。ログイン後、ページ上部に表示される製品タイトルが、「Cisco Prime Infrastructure
Operations Center」になります。
それぞれの管理インスタンスのログインページに、「Cisco Operations Center [SSO]」と表示され
ます。ログイン後、製品タイトルが、「Cisco Prime Infrastructure」になります。
関連項目
•
オペレーションセンターのセットアップ
•
オペレーションセンター SSO のトラブルシューティング
Cisco Prime Infrastructure 3.0 管理者ガイド
2-4
第2章
管理者の設定タスク
オペレーションセンターのセットアップ
オペレーションセンター SSO のトラブルシューティング
「オペレーションセンター用の SSO の有効化」の説明にあるとおり、オペレーションセンター
サーバが SSO サーバとして機能し、Prime Infrastructure の管理インスタンスが SSO クライアン
トとして機能するようなシングルサインオン（SSO）を有効化する必要があります。ここでは、よ
く見られる SSO セットアップの落とし穴とそれらの回避方法を示します。
•
SSO サーバを SSO クライアントに追加するには、さまざまな方法があります。それぞれの方
法には、異なるレベルの DNS セットアップが必要になります。使用する方法に応じて以下の
ようになります。
– 自己署名設定：この場合、SSO クライアントによる SSO サーバの DNS フォワードルック
アップとリバースルックアップの両方が要求されます。つまり、SSO サーバの完全修飾ド
メイン名（FQDN）を使用し、これを DNS で解決する場合、結果としての IP アドレスの取
得、リバースルックアップの実行、元の FQDN の取得が可能になることを意味します。
– IP アドレスによる CA 署名設定：DNS フォワードルックアップとリバースルックアッ
プのいずれも要求されません。
–
ドメイン名による CA 署名設定：フォワード DNS マッピング（ドメイン名から IP アドレ
ス）のみ必要になります。
•
自己署名設定を使用している場合は、オペレーションセンターをホストする Prime
Infrastructure サーバの DNS エントリがそのサーバで設定されたホスト名と一致することを
確認します。手順としては、nslookup ip-address を実行します。ip-address は、オペレーション
センターサーバの IP アドレスに置き換えます。次に、オペレーションセンターサーバの管
理コンソールにログインし、show running-config コマンドを実行します。これら 2 つのコマ
ンドの出力が一致することを確認してください。
•
自己署名設定を使用している場合は、ブラウザを使用してオペレーションセンターサーバ
にアクセスし、オペレーションセンターサーバの FQDN が証明書のコモンネーム（CN）と一
致することを確認します。実行手順は、使用しているブラウザによって異なります。たとえ
ば、Chrome の場合の例を次に示します。
a. ブラウザの URL ボックスの左端にあるロックアイコンをクリックします。
b. [Certificate Information] を選択します。
c. [Details] フィールドを展開して、証明書のコモンネームを表示します。これが、サーバの
正しい FQDN と一致する必要があります。2 つが一致しない場合、Prime Infrastructure 管
理者は SSO 証明書を生成し直す必要があります。
•
SSO の設定時、[Certificate Type] は [CA] のままにしておきます。これにより、SSO クライアン
トサイドでの証明書の確認が少なくて済みます。
•
SSO サーバおよびクライアントのすべてが一貫した方法で追加されていることを確認しま
す。たとえば、すべてのインスタンスで IP アドレスまたは FQDN の一方を使用します。これ
らを混在させて照合しないでください。
SSO の設定終了後、オペレーションセンター（SSO サーバ）にログインし、新しいブラウザタブ
を開いて Prime Infrastructure インスタンス（SSO クライアント）のいずれかにアクセスすること
により、SSO が正常に動作しているかどうかを確認できます。SSO によって Prime Infrastructure
インスタンスに自動的にログインされ、再認証は要求されないはずです。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-5
第2章
管理者の設定タスク
オペレーションセンターのセットアップ
引き続き Operations Center SSO ログインが表示され、接続の問題がある場合は、次のように対処
します。
1.
関連する Prime Infrastructure ログをダウンロードして検証し、必要があれば、拡張ロギング
を使用してエラーおよびタイムアウトがないかを確認します（詳細については、「関連項目」
の「エラーログのダウンロードと電子メール送信」および「ロギングオプションの変更によ
るトラブルシューティングの強化」を参照）。必ず Prime Infrastructure のオペレーションセン
ター（SSO サーバ）および管理インスタンス（SSO クライアント）のログファイルを確認して
ください。SSO およびオペレーションセンターで特に注目する必要があるログファイルは
次のとおりです。
– xmpNbiFw.log
– xmpNbifwPerformance.log：オペレーションセンターから管理インスタンスに送出され
た API に対する応答時間を確認します。
– cas.log
– ncs-*.log
– XmpUserMgmtRbac.log
– usermgmt.log:
2.
ファイル /opt/CSCOlumos/conf/cluster.properties 内の cluster.timeout および
cluster.connectionTimeout の値を調節します。これら 2 つのプロパティのデフォルトは次のと
おりです。
– cluster.timeout=40000：これは、オペレーションセンターから送出されるすべてのリクエ
ストに対するタイムアウト（単位はミリ秒）です。
– cluster.connectionTimeout=5000：これは、オペレーションセンターが管理インスタンスと
の初期接続を試みるときに使用されるタイムアウトです。
接続の問題によってオペレーションセンターと管理インスタンスの間で大きな遅延がある
場合、これらのタイムアウト限度を大きくすると効果がある可能性があります。
これらの値の変更が終了したら、「Prime Infrastructure の再起動」（「関連項目」）に記載のコマ
ンドを使用して、オペレーションセンターを再起動します。
関連項目
•
オペレーションセンター用の SSO の有効化
•
オペレーションセンターのセットアップ
•
エラーログのダウンロードと電子メール送信
•
ロギングオプションの変更によるトラブルシューティングの強化
•
Prime Infrastructure の再起動
Cisco Prime Infrastructure 3.0 管理者ガイド
2-6
第2章
管理者の設定タスク
オペレーションセンターのセットアップ
オペレーションセンターへの Prime Infrastructure インスタンスの追加
オペレーションセンターおよびその他の Prime Infrastructure インスタンスで SSO を設定した
後、Prime Infrastructure 管理インスタンスのそれぞれをオペレーションセンターに追加する必要
があります。
Prime Infrastructure 3.0 のインスタンスを管理できるのは、Prime Operations Center のみです。
Prime Infrastructure 2.2.X（N-1 バージョン）のインスタンスのサポートは、以降のリリースで提供
されます。
ステップ 1
Prime Infrastructure オペレーションセンターにログインします。
ステップ 2
[Monitor] > [Manage and Monitor Servers] を選択します。
ステップ 3
[Add] をクリックします。
ステップ 4
オペレーションセンターを使用して管理する Prime Infrastructure のインスタンスの IP アドレス
とポート番号を入力します。サーバのエイリアスも入力できます。次に [OK] をクリックします。
デフォルトでは、ポート 443 が設定されます。この値は変更しないでください。
ステップ 5
上記の手順を繰り返して、他の Prime Infrastructure サーバを追加します。ライセンスの限度まで
追加できます。
関連項目
•
オペレーションセンターのセットアップ
オペレーションセンター向けのアイドルユーザタイムアウトの無
効化
デフォルトでは、Prime Infrastructure は、セッションが長時間にわたってアイドル状態になって
いるユーザをすべて自動的にサインアウトします。この機能は、デフォルトで有効化されてお
り、ネットワーク帯域幅と Prime Infrastructure 処理サイクルを維持して積極的に活用できるよう
になっています。
この機能は、オペレーションセンターのユーザにとって不都合な場合があります。これは、一般
にオペレーションセンターのみならず、オペレーションセンターが管理する Prime Infrastructure
の複数のインスタンスとのセッションを開いたままにするユーザに当てはまります。これらの
セッションの 1 つがアイドル状態になると、すべてのセッションに対してグローバルアイドル
ユーザタイムアウトが適用され、警告なしに突然のログアウトという結果になります。
この不便さを回避する必要がある場合、Prime Infrastructure 管理者は以下のようにします。
1.
グローバルアイドルユーザタイムアウト機能を無効化します（「関連項目」の「グローバル
アイドルタイムアウトの変更」を参照）。ただし、管理者はこの機能を無効化する場合、オペ
レーションセンターが管理する Prime Infrastructure 管理インスタンスのそれぞれに対して
別々に行う必要があります。
2.
オペレーションセンターのユーザに、アクセス対象となる管理インスタンスのユーザ固有
アイドルユーザタイムアウト機能を無効化するように指示します（「関連項目」の「Changing
Your Idle User Timeout」を参照）。ただし、それぞれの Prime Infrastructure ユーザはこの機能を
無効化する場合、アクセス対象となる Prime Infrastructure 管理インスタンスのそれぞれに対
して、別々に行う必要があります。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-7
第2章
管理者の設定タスク
オペレーションセンターのセットアップ
関連項目
•
オペレーションセンターのセットアップ
•
グローバルアイドルタイムアウトの変更
•
Changing Your Idle User Timeout
オペレーションセンター用の AAA の有効化
オペレーションセンターでは、ローカル認証のほかに、TACACS+ や RADIUS を使用したリモー
ト AAA をサポートします。リモート AAA の使用は任意選択ですが、これを使用する場合には、
最初に TACACS+ サーバまたは RADIUS サーバをオペレーションセンターに追加する必要があ
ります。次のワークフローに従って操作してください。
1.
Prime Infrastructure のオペレーションセンターインスタンスで、AAA サービスを提供する
TACACS+ サーバまたは RADIUS サーバを 1 台または複数台追加します。詳細については、
「関連項目」の「TACACS+ サーバの追加」および「RADIUS サーバの追加」を参照してくださ
い。TACACS+ サーバまたは RADIUS サーバで設定された共有秘密は、この AAA サーバをオ
ペレーションセンターに追加するときに入力する共有秘密と一致する必要がある点に注意
してください。
2.
オペレーションセンターインスタンスで AAA モードを設定します（「AAA モードの設定」
を参照）。
関連項目
•
オペレーションセンターのセットアップ
•
TACACS+ サーバの追加
•
RADIUS サーバの追加
•
AAA モードの設定
オペレーションセンターの次の手順
セットアップ作業を完了すると、オペレーションセンターの使用が可能になります。オペレー
ションセンターを使用する際の標準的なタスクについては、『Monitoring Multiple Prime
Infrastructure Instances』を参照してください。
関連項目
•
Monitoring Multiple Prime Infrastructure Instances
•
オペレーションセンターのセットアップ
Cisco Prime Infrastructure 3.0 管理者ガイド
2-8
第2章
管理者の設定タスク
必要なソフトウェアバージョンおよび設定
必要なソフトウェアバージョンおよび設定
Prime Infrastructure と共に動作させるには、サポートされているデバイスの一覧に示されている
最低要件のソフトウェアバージョンを、お使いのデバイスで実行させておく必要があります。
この一覧には、Prime Infrastructure のユーザインターフェイスを使用してアクセスできます。
[Help] > [Supported Devices] を選択してください。
また、関連項目の説明に従って、デバイスが SNMP トラップおよび Syslog と、Network Time
Protocol（NTP）をサポートするよう設定する必要があります。
関連項目
•
SNMP の設定
•
NTP の設定
SNMP の設定
Prime Infrastructure が SNMP デバイスを照会し、それらからトラップと通知を受信できるように
するには、次の作業を行う必要があります。
•
Prime Infrastructure を使用して管理する各デバイス上で SNMP クレデンシャル（コミュニ
ティストリング）を設定します。
•
同じそれらのデバイスで、SNMP 通知を Prime Infrastructure サーバに送信するように設定し
ます。
次の Cisco IOS コンフィギュレーションコマンドを使用して、読み取り /書き込みおよび読み取
り専用のコミュニティストリングを SNMP デバイス上で設定します。
admin(config)# snmp-server community private RW
admin(config)# snmp-server community public RW
ここで、private と public は、設定するコミュニティストリングです。
コミュニティストリングの設定後に、各 SNMP デバイスで次の Cisco IOS グローバルコンフィ
ギュレーションコマンドを使用して、デバイス通知をトラップとして Prime Infrastructure サーバ
に送信するよう指定できます。
admin(config)# snmp-server host Host traps version community
notification-type
値は次のとおりです。
•
Host は、Prime Infrastructure サーバの IP アドレスです。
•
version は、トラップの送信に使用される SNMP のバージョンです。
•
community は、通知動作でサーバに送信されるコミュニティストリングです。
•
notification-type は、送信されるトラップのタイプです。
帯域幅の使用と、追加コマンドを使用して Prime Infrastructure サーバに送信されるトラップ情報
の量を制御する必要がある場合があります。
SNMP の設定については、次を参照してください。
•
『Cisco IOS Network Management Command Reference』の「snmp-server community」コマンドお
よび「snmp-server host」コマンド
•
『Cisco IOS Configuration Fundamentals Configuration Guide, Release 12.2』の「Configuring
SNMP Support」の項および「list of notification-type values」。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-9
第2章
管理者の設定タスク
保証付き Prime Infrastructure のデータソースの設定
使用するデバイスと Prime Infrastructure サーバ間で IPSec トンネリングの実装を計画している
場合、IPSec は自由形式の Syslog をサポートしないので、IPSec トンネリングの実装後には、それ
らのデバイスから Prime Infrastructure サーバに送信される Syslog を受信しなくなることに注意
してください。ただし、IPSec は SNMP トラップをサポートします。これらのタイプのデバイスか
ら SNMP 通知を引き続き取得するには、Prime Infrastructure サーバに SNMP トラップを送信する
ようにデバイスを設定する必要があります。
NTP の設定
Network Time Protocol（NTP）は、ネットワーク内のすべてのデバイスと Prime Infrastructure サー
バで正しく同期される必要があります。この中には Prime Infrastructure 関連のすべてのサーバが
含まれます。たとえば、Prime Infrastructure のバックアップに使用するリモート FTP サーバ、セカ
ンダリ Prime Infrastructure 高可用性サーバ、Prime Infrastructure プラグアンドプレイゲートウェ
イ、VMware vCenter、ESX 仮想マシンなどがあります。
Prime Infrastructure サーバのインストール時にデフォルトおよびセカンダリの NTP サーバを指
定します。また、Prime Infrastructure の ntp server コマンドを使用して、インストール後に NTP
サーバのリストを追加または変更することもできます。詳細については、このガイドの「CLI 経由
の接続」のセクションおよび『Command Reference Guide for Cisco Prime Infrastructure』の ntp
server コマンドに関するセクションを参照してください。Prime Infrastructure を NTP サーバとし
て設定できないことに注意してください。NTP クライアントとしてだけ機能します。
ネットワーク全体の NTP 同期の管理で障害が発生した場合、Prime Infrastructure で異常な結果が
発生する可能性があります。ネットワーク時刻精度の管理は組織のネットワークアーキテクチャ
を含む広範囲の問題であり、このガイドの範囲外です。このトピックの詳細については、（たとえ
ば）シスコホワイトペーパー『Network Time Protocol: Best Practices』などを参照してください。
保証付き Prime Infrastructure のデータソースの設定
Prime Infrastructure Assurance 機能のライセンスを取得する場合は、お使いのネットワークイン
ターフェイスとサービスを Assurance がモニタできるように事前インストールタスクを完了し
ておく必要があります。これらのタスクについては、サポートされる保証のデータソースを参
照してください。
サポートされる保証のデータソース
保証付き Prime Infrastructure では、エクスポートされたデータソース（表 2-1 参照）を使用して
ネットワークデバイスからのデータを収集する必要があります。この表には、各ソースについ
て、その形式のエクスポートをサポートするデバイスと、データをエクスポートするためにデバ
イス上で動作していなければならない Cisco IOS、またはその他のソフトウェアの最小バージョ
ンが示されています。
表 2-1 を使用して、ネットワークデバイスとそれらのソフトウェアが、Prime Infrastructure で使
用されるデータソースのタイプに対応していることを確認します。必要に応じて、ハードウェア
やソフトウェアをアップグレードします。なお、示されている各ソフトウェアバージョンは、最
小であることに注意してください。同じソフトウェアまたは Cisco IOS のリリーストレイン内で
あれば、以降の任意のバージョンをデバイス上で実行できます。　さらに、Prime Infrastructure が SNMP を使用してデータを収集できるように、変更が必要になる
場合もあります。「SNMP の設定」の説明を参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-10
第2章
管理者の設定タスク
保証付き Prime Infrastructure のデータソースの設定
保証データソースの設定
Prime Infrastructure をインストールする前に、表 2-1 に示されているサポート対象のデバイスが、
障害データ、アプリケーションデータ、およびパフォーマンスデータを Prime Infrastructure に提
供できるようにする必要があります。また、ネットワーク全体にわたって時刻と日付の情報を一
致させる必要があります。以降のトピックでは、この作業を行う方法のガイドラインを示します。
表 2-1
Prime Infrastructure Assurance：サポートされているデータソース、デバイスおよびソフトウェアバー
ジョン
NetFlow をサポート
する Cisco IOS リ
リース
サポートされる
NetFlow エクスポート
タイプ
Catalyst
3750-X/3560-X
15.0(1)SE
TCP および UDP トラ『Cisco Prime Infrastructure User Guide』の
フィック
「Configuring NetFlow on Catalyst 3000, 4000, and
6000 Family of Switches」の項を参照してください。
Catalyst 3850
15.0(1)EX
デバイスタイプ
IP ベースまたは IP
サービスフィー
チャセット、および
ネットワークサー
ビスモジュールを
装備。
TCP および UDP ト
ラフィック、音声と
ビデオ
NetFlow の設定
TCP および UDP トラフィックを設定するには、
『Cisco Prime Infrastructure User Guide』の
「Configuring NetFlow on Catalyst 3000, 4000, and
6000 Family of Switches」の項を参照してください。
音声とビデオを設定するには、この CLI テンプ
レートを使用します。
[Configuration] > [Templates] > [Features &
Technologies] > [CLI Templates] > [System
Templates - CLI] > [Medianet - PerfMon]
Catalyst 4500
15.0(1)XO および
15.0(2)
TCP および UDP ト
ラフィック、音声と
ビデオ
TCP および UDP トラフィックを設定するには、
『Cisco Prime Infrastructure User Guide』の
「Configuring NetFlow on Catalyst 3000, 4000, and
6000 Family of Switches」の項を参照してください。
音声とビデオを設定するには、この CLI テンプ
レートを使用します。
[Configuration] > [Templates] > [Features &
Technologies] > [CLI Templates] > [System
Templates - CLI] > [Medianet - PerfMon]
Catalyst 6500
SG 15.1(1) SY
TCP および UDP ト
ラフィック、音声と
ビデオ
TCP および UDP トラフィックを設定するには、
『Cisco Prime Infrastructure User Guide』の
「Configuring NetFlow on Catalyst 3000, 4000, and
6000 Family of Switches」の項を参照してください。
音声とビデオを設定するには、この CLI テンプ
レートを使用します。
[Configuration] > [Templates] > [Features &
Technologies] > [CLI Templates] > [System
Templates - CLI] > [Medianet - PerfMon]
Cisco Prime Infrastructure 3.0 管理者ガイド
2-11
第2章
管理者の設定タスク
Medianet NetFlow のイネーブル化
表 2-1
Prime Infrastructure Assurance：サポートされているデータソース、デバイスおよびソフトウェアバー
ジョン（続き）
デバイスタイプ
NetFlow をサポート
する Cisco IOS リ
リース
サポートされる
NetFlow エクスポート
タイプ
ISR
15.1(3) T
TCP および UDP ト
ラフィック、音声と
ビデオ
NetFlow の設定
TCP および UDP トラフィックを設定するには、
この CLI テンプレートを使用します。
[Configuration] > [Templates] > [Features &
Technologies] > [CLI Templates] > [System
Templates - CLI] > [Collecting Traffic Statistics]
音声とビデオを設定するには、この CLI テンプ
レートを使用します。
[Configuration] > [Templates] > [Features &
Technologies] > [CLI Templates] > [System
Templates - CLI] > [Medianet - PerfMon]
ISR G2
15.2(1) T および
15.1(4)M
TCP および UDP トラ
フィック、アプリケー
ション応答所要時間、
音声とビデオ
TCP、UDP、ART を設定するには、『Cisco Prime
Infrastructure User Guide』の「Configuring NetFlow
on ISR Devices」のセクションを参照してください。
音声とビデオを設定するには、この CLI テンプ
レートを使用します。
[Configuration] > [Templates] > [Features &
Technologies] > [CLI Templates] > [System
Templates - CLI] > [Medianet - PerfMon]
ISR G2
15.2(4) M2 以降、
15.3(1)T 以降
TCP および UDP トラ TCP、UDP、ART を設定するには、『Cisco Prime
フィック、アプリケー Infrastructure User Guide』の「Configuring
ション応答時間、音声 Application Visibility」の項を参照してください。
とビデオ
ASR
15.3(1)S1 以降
ISR G3
15.3(2)S 以降
TCP および UDP トラ
フィック、アプリケー
ション応答時間、音声
とビデオ、HTTP URL
可視性
Medianet NetFlow のイネーブル化
Cisco Prime Infrastructure で Medianet データを利用できるようにするには、ネットワークデバイ
スで次の作業を行う必要があります。
•
Prime Infrastructure でサポートされている基本的な統計情報について Medianet NetFlow デー
タエクスポートを有効にします。
•
Medianet NetFlow データを Prime Infrastructure サーバおよびポートにエクスポートします。
次の例のような設定を使用して、Prime Infrastructure が、必要な Medianet データを取得するよう
にします。
flow record type performance-monitor PerfMonRecord
match ipv4 protocol
Cisco Prime Infrastructure 3.0 管理者ガイド
2-12
第2章
管理者の設定タスク
Medianet NetFlow のイネーブル化
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match transport rtp ssrc
collect application media bytes counter
collect application media bytes rate
collect application media packets counter
collect application media packets rate
collect application media event
collect interface input
collect interface output
collect counter bytes
collect counter packets
collect routing forwarding-status
collect transport packets expected counter
collect transport packets lost counter
collect transport packets lost rate
collect transport round-trip-time
collect transport event packet-loss counter
collect transport rtp jitter mean
collect transport rtp jitter minimum
collect transport rtp jitter maximum
collect timestamp interval
collect ipv4 dscp
collect ipv4 ttl
collect ipv4 source mask
collect ipv4 destination mask
collect monitor event
flow monitor type performance-monitor PerfMon
record PerfMonRecord
exporter PerfMonExporter
flow exporter PerfMonExporter
destination PrInIP
source Loopback0
transport udp PiInPort
policy-map type performance-monitor PerfMonPolicy
class class-default
! Enter flow monitor configuration mode.
flow monitor PerfMon
! Enter RTP monitor metric configuration mode.
monitor metric rtp
!Specifies the minimum number of sequential packets required to identify a stream as being
an RTP flow.
min-sequential 2
Cisco Prime Infrastructure 3.0 管理者ガイド
2-13
第2章
管理者の設定タスク
NetFlow と Flexible NetFlow のイネーブル化
! Specifies the maximum number of dropouts allowed when sampling RTP video-monitoring
metrics.
max-dropout 2
! Specifies the maximum number of reorders allowed when sampling RTP video-monitoring
metrics.
max-reorder 4
! Enter IP-CBR monitor metric configuration mode
monitor metric ip-cbr
! Rate for monitoring the metrics (1 packet per sec)
rate layer3 packet 1
interface interfacename
service-policy type performance-monitor input PerfMonPolicy
service-policy type performance-monitor output PerfMonPolicy
この設定例では、次の変数が使用されています。
•
PrInIP は、Prime Infrastructure サーバの IP アドレスです。
•
PiInPort は、Prime Infrastructure サーバが Medianet データをリッスンしている UDP ポートで
す（デフォルトは 9991）。
•
interfacename は、Medianet NetFlow データを指定の PrInIP に送信しているインターフェイ
スの名前です（GigabitEthernet0/0 や fastethernet 0/1 など）。
Medianet 設定の詳細については、『Medianet Reference Guide』を参照してください。
NetFlow と Flexible NetFlow のイネーブル化
Prime Infrastructure で NetFlow データを利用できるようにするには、ネットワークデバイスで次
の作業を行う必要があります。
•
モニタするインターフェイス上で NetFlow をイネーブルにします。
•
NetFlow データを Prime Infrastructure サーバおよびポートにエクスポートします。
バージョン 2.1 では、Prime Infrastructure は Flexible NetFlow のバージョン 5 と 9 をサポートしま
す。NetFlow は、Prime Infrastructure のデータ収集対象となる各物理インターフェイス上でそれぞ
れ有効にする必要があります。通常、これらは、イーサネットインターフェイスか WAN イン
ターフェイスです。これは、物理インターフェイスにのみ適用されます。VLAN およびトンネル
に対しては NetFlow を有効にする必要はありません。物理インターフェイス上で NetFlow を有
効にすれば、それらも自動的に含められます。
次のコマンドを使用して、Cisco IOS デバイス上で NetFlow をイネーブルにします。
Device(config)# interface interfaceName
Device(config)# ip route-cache flow
ここで、interfaceName は、NetFlow をイネーブルにするインターフェイスの名前です（fastethernet
や fastethernet0/1 など）。
NetFlow をデバイスでイネーブルにした後、エクスポータを設定して NetFlow データを Prime
Infrastructure にエクスポートする必要があります。エクスポータは次のコマンドで設定できます。
Device(config)# ip flow-export version 5
Device(config)# ip flow-export destination PrInIP PiInPort
Device(config)# ip flow-export source interfaceName
Cisco Prime Infrastructure 3.0 管理者ガイド
2-14
第2章
管理者の設定タスク
Network Analysis Module（NAM）の導入
値は次のとおりです。
•
PrInIP は、Prime Infrastructure サーバの IP アドレスです。
•
PiInPort は、Prime Infrastructure サーバが NetFlow データをリッスンしている UDP ポートで
す。（デフォルト値は 9991 です。）
•
interfaceName は、NetFlow データを指定の PrInIP に送信しているインターフェイスの名前。
これにより、NetFlow エクスポートデータグラムの一部として、送信元インターフェイスの
IP アドレスが Prime Infrastructure に送信されます。
同じルータに複数の NetFlow エクスポータを設定する場合、これらのうち 1 つだけが Prime
Infrastructure サーバにエクスポートするようにします。同じ送信先にエクスポートするエクス
ポータが同じルータに複数ある場合は、データが破損する恐れがあります。
NetFlow がデバイスで動作していることを確認するには、次のコマンドを使用します。
Device# show ip flow export
Device# show ip cache flow
Device# show ip cache verbose flow
NetFlow 設定の詳細については、次を参照してください。
•
Cisco IOS Switching Services Configuration Guide, Release 12.1
•
Flexible NetFlow Configuration Guide, Cisco IOS Release 15.1M&T
•
Cisco Nexus 7000 Series NX-OS System Management Configuration Guide, Release 5.x
•
Catalyst 6500/6000 Switches NetFlow Configuration and Troubleshooting
Network Analysis Module（NAM）の導入
ネットワーク内で NAM を適切に設置する必要があります。詳細については、以下を参照してく
ださい。
•
『Cisco Network Analysis Module Software 5.1 User Guide』：導入シナリオが掲載されており、ブ
ランチ内での NAM の導入や WAN 最適化向けの NAM の導入など、さまざまなトピックを
扱っています。
•
『Cisco Network Analysis Module Deployment Guide』：「Places in the Network Where NAMs Are
Deployed」のセクションを参照してください。
NAM が適切に導入されれば、インストール前に必要な追加の作業はありません。
Cisco Prime AM を使用して検出を実行する場合、各 NAM に対して HTTP アクセスクレデン
シャルを入力する必要があります。
Prime Infrastructure は、より効率的な REST インターフェイスを使用して NAM を照会します。そ
のため、NAM からの NetFlow データの直接エクスポートをサポートしていません。NetFlow デー
タをエクスポートしているデバイスは、その NetFlow データを NAM 経由ではなく、Prime
Infrastructure に直接エクスポートする必要があります。NAM から Cisco Prime Infrastructure に
NetFlow データがエクスポートされると、データの重複が発生します。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-15
第2章
管理者の設定タスク
Performance Agent の有効化
Performance Agent の有効化
Prime Infrastructure がアプリケーションパフォーマンスデータを収集できるようにするには、
Cisco IOS mace（測定、集約、相関エンジン）キーワードを使用して、ブランチオフィスとデータセ
ンターのルータ上にパフォーマンスエージェント（PA）データフローソースを設定します。
たとえば、Cisco IOS グローバルコンフィギュレーションモードで次のコマンドを使用して、PA
フローエクスポータをルータ上に設定します。
Router (config)# flow exporter mace-export
Router (config)# destination 172.30.104.128
Router (config)# transport udp 9991
次のようなコマンドを使用して、フローがルータを通過するアプリケーションのフローレコー
ドを設定します。
Router (config)# flow record type mace mace-record
Router (config)# collect application name
Router (config)# collect art all
ここで、application name は、フローデータの収集対象となるアプリケーションの名前です。
PA フローモニタタイプを設定するには、次のコマンドを使用します。
Router (config)# flow monitor type mace mace-monitor
Router (config)# record mace-record
Router (config)# exporter mace-export
対象となるトラフィックを収集するには、次のようなコマンドを使用します。
Router (config)# access-list 100 permit tcp any host 10.0.0.1 eq 80
Router (config)# class-map match-any mace-traffic
Router (config)# match access-group 100
PA ポリシーマップを設定し、PA トラフィックを正しいモニタに転送するには、次のコマンドを
使用します。
Router (config)# policy-map type mace mace_global
Router (config)# class mace-traffic
Router (config)# flow monitor mace-monitor
最後に、WAN インターフェイス上で PA を有効にします。
Router (config)# interface Serial0/0/0
Router (config)# mace enable
Performance Agent の設定の詳細については、『Cisco Performance Agent Deployment Guide』を参照
してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-16
第2章
管理者の設定タスク
Prime Infrastructure パッチのインストール
Prime Infrastructure パッチのインストール
Prime Infrastructure のバージョンを、アップグレードがサポートされているレベルにするために
パッチのインストールが必要になることがあります。CLI コマンド show version および show
application を使用して、実行中の Prime Infrastructure のバージョンとパッチバージョンを確認
することができます。
Prime Infrastructure およびその以前の製品の各バージョンについて、異なるポイントパッチファ
イルが提供されます。既存のシステムのバージョンに対応し、新しいバージョンにアップグレー
ドする前に必要なパッチファイルのみをダウンロードしてインストールします。適切なパッチ
を見つけるには、ブラウザで Cisco Download Software navigator を開きます。
パッチをインストールする前に、Prime Infrastructure サーバのデフォルトリポジトリにパッチ
ファイルをコピーする必要があります。多くのユーザは、パッチファイルをまずローカル FTP
サーバにダウンロードし、それからリポジトリにコピーするのが楽だと感じています。また、次
のいずれかの方法でも、デフォルトのリポジトリにパッチファイルをコピーできます。
ステップ 1
•
cdrom：ローカルの CD-ROM ドライブ（読み取り専用）
•
disk：ローカルのハードディスク領域
•
ftp：FTP サーバを使用している URL
•
http：HTTP サーバを使用している URL（読み取り専用）
•
https：HTTPS サーバを使用している URL（読み取り専用）
•
nfs：NFS サーバを使用している URL
•
sftp：SFTP サーバを使用している URL
•
tftp：TFTP サーバを使用している URL
ご使用の環境内のローカルリソースに、適切なポイントパッチをダウンロードします。
a.
ブラウザに Cisco Download Software navigator を表示し、[Products] > [Cloud and Systems
Management] > [Routing and Switching Management] > [Network Management Solutions] >
[Cisco Prime Infrastructure] と選択します。
b.
現在使用しているバージョンに最も近い Cisco Prime Infrastructure のバージョンを選択しま
す（例：Cisco Prime Infrastructure 3.0）。
c.
[Prime Infrastructure Patches] をクリックして、製品のそのバージョンに適用可能なパッチの
リストを表示します。
d.
必要な各パッチの横で [Download] をクリックし、プロンプトに従ってファイルをダウン
ロードします。
ステップ 2
Prime Infrastructure サーバでコマンドラインインターフェイスセッションを開きます（『Cisco
Prime Infrastructure Administrator Guide』の「Connecting Via CLI」を参照）。
ステップ 3
ダウンロードしたパッチファイルをデフォルトのローカルリポジトリにコピーします。次に例
を示します。
admin# copy source path/defaultRepo
それぞれの説明は次のとおりです。
– source は、ダウンロードしたパッチファイルの場所と名前です（例：
ftp://MyFTPServer/pi_9.3.1.0_update.tar.gz）。
– path は、デフォルトのローカルバックアップリポジトリ（defaultRepo）への完全パスで
す（例：/localdisk）。
Cisco Prime Infrastructure 3.0 管理者ガイド
2-17
第2章
管理者の設定タスク
Prime Infrastructure パッチのインストール
ステップ 4
パッチをインストールするには、次を実行します。
admin# patch install patchFile Repositoryname
それぞれの説明は次のとおりです。
–
ここで、patchFile は、/localdisk/defaultRepo にコピーしたパッチファイルの名前です。
– Repositoryname はリポジトリの名前です。
例：admin# patch install test.tar.gz defaultRepo
Cisco Prime Infrastructure 3.0 管理者ガイド
2-18
CH A P T E R
3
Prime Infrastructure サーバの設定
ここでは、Prime Infrastructure サーバの主要な設定値の設定方法について説明します。
関連項目
•
使用可能なシステム設定
•
電子メールの設定
•
グローバル SNMP の設定
•
プロキシ設定
•
サーバポートおよびグローバルタイムアウトの設定
•
コンプライアンスサービスの有効化
•
リモート FTP、TFTP、SFTP サーバの設定
•
Prime Infrastructure からの ACS View サーバのアクセス
•
ISE サーバの設定
•
ジョブの管理者承認の指定
•
ジョブの承認
•
ログイン免責事項テキストの指定
•
ユーザ定義フィールドへのデバイス情報の追加
•
OUI の管理
•
Prime Infrastructure への通知レシーバの追加
•
Prime Infrastructure への HTTPS アクセスの設定
•
MIB から Prime Infrastructure へのアラート / イベントマッピング
•
製品フィードバックデータの収集
Cisco Prime Infrastructure 3.0 管理者ガイド
3-1
第3章
Prime Infrastructure サーバの設定
使用可能なシステム設定
使用可能なシステム設定
[Administration] > [Settings] > [System Settings] メニューには、設定または変更のためのオプショ
ンが含まれています。Cisco Prime Infrastructure の設定これらの設定値の多くは、最初に Prime
Infrastructure を実装する際にカスタマイズできますが、実稼働に移した後に変更することは、ほ
とんどありません。
次の表に、[Administration] > [Settings] > [System Settings] メニューから設定または変更できる設
定値のタイプを一覧表示します。
表 3-1
使用可能な Prime Infrastructure システム設定オプション
次の手順を実行します
cisco.com へのログインに使用するために保管されて
いる cisco.com クレデンシャル（ユーザ名とパスワー
ド）を変更し、次の操作を行います。
•
シスコソフトウェアイメージアップデートの有
無の確認
•
シスコサポートケースの登録または確認
•
重要な修正、デバイスサポート、Prime アドオンな
どの Prime Infrastructure ソフトウェアアップデー
トの有無の確認
[Administration] > [Settings] > [System
Settings] から選択する項目
[General] > [Account Credentials]
適用対象：
Prime
Infrastructure
アプライアンス
このページへは、[Administration] > [Settings] > [System
Settings] > [Software Update] ページのリンクからもア
クセスできます。
[General] > [Data Retention]
特定のデータタイプ（傾向、デバイスヘルス、パ
フォーマンス、ネットワーク監査、システムヘルス）のカテゴリ別のデータ保持の指定を参照し
保存期間を設定します。
てください。
有線およびワ
イヤレスデバ
イス
ゲストアカウント設定値を設定して、有効期限が終了 [General] > [Guest Account]
したすべてのゲストアカウントをグローバルに削除ゲストアカウントの設定を参照してくだ
します。デフォルトでは、Prime Infrastructure Lobby
さい。
Ambassador は作成者に関係なく、すべてのゲストア
カウントにアクセスできます。[Search and List only
guest accounts created by this lobby ambassador] チェッ
クボックスをオンにした場合、Lobby Ambassador は本
人が作成したゲストアカウントのみにアクセスでき
ます。
ワイヤレスデ
バイスのみ
シスコ製品の向上のために、Prime Infrastructure は製
品フィードバックデータを収集してシスコに送信し
ます。
有線およびワ
イヤレスデバ
参照先製品フィードバックデータの収集
イス
ジョブ承認を有効にして、実行する前に管理者の承認
を必要とするジョブを指定します。
[General] > [Job Approval]
すべてのユーザに対してログインページに表示され
る免責事項テキストを変更します。
[General] > [Login Disclaimer]
Cisco Prime Infrastructure 3.0 管理者ガイド
3-2
[General] > [Help Us Improve]
ジョブの管理者承認の指定を参照してく
ださい。
ログイン免責事項テキストの指定を参照
してください。
有線およびワ
イヤレスデバ
イス
Prime
Infrastructure ア
プライアンス
第3章
Prime Infrastructure サーバの設定
使用可能なシステム設定
表 3-1
使用可能な Prime Infrastructure システム設定オプション（続き）
[Administration] > [Settings] > [System
Settings] から選択する項目
適用対象：
Prime Infrastructure サーバとそのローカル認証サーバ
のプロキシを設定します。
[General] > [Proxy]
N/A
定期レポートの保存先パス、およびレポートの保存期
間を設定します。
[General] > [Report]
•
FTP、TFTP、および HTTP/HTTPS サーバプロキシ
を有効または無効にし、これらのプロキシが通信
に使用するポートを指定します。
[General] > [Server]
•
Prime Infrastructure に対して現在設定されている
ローカルタイムゾーンと NTP サーバ名を確認し
ます。
次の手順を実行します
プロキシ設定を参照してください。
レポートの保存と保持の制御を参照して
ください。
有線およびワ
イヤレスデバ
イス
Prime
Infrastructure
サーバポートおよびグローバルタイムア
アプライアンス
ウトの設定を参照してください。
Prime Infrastructure サーバを再起動するときにサーバ [General] > [Server Tuning]
チューニングを有効にします。サーバチューニングに
サーバの調整を参照してください。
より、サーバがクライアントの要求を処理するために
使用するリソースの数を制限することで、サーバのパ
フォーマンスを最適化できます。
有線およびワ
イヤレスデバ
イス
•
[General] > [Software Update]
Prime Infrastructure が cisco.com でシスコソフト
ウェアイメージアップデートを確認するときに、
cisco.com に保管されている証明書を使用しない
ことを指定します。
有線およびワ
イヤレスデバ
イス
•
通知を受信する Prime Infrastructure ソフトウェア
アップデートの種類（重要な修正、新しいデバイス
サポート、Prime Add-On 製品など）を選択します。
テクニカルサポートリクエストを作成するための設
定値を設定します。
[General] > [Support Request]
テクニカルサポート要求設定値の設定を
参照してください。
[Audit Log Purge Settings] チェックボックスをオンに [Mail and Notification] > [Change Audit
Notification]
して、変更監査 JMS 通知を有効にします。
監査の変更通知の有効化を参照してくだ
さい。
レポートおよびアラーム通知の電子メール配信を有
効にします。
[Mail and Notification] > [Mail Server
Configuration]
電子メールの設定を参照してください。
•
コントローラおよび自律 AP CLI セッションに使
用するプロトコルを設定します。
•
検出時の自律 AP 移行分析を有効にします。
ワイヤレスコントローラのアップグレード後の自動
更新を有効にし、save config トラップを処理します。
[Network and Device] > [CLI Session]
CLI セッションのプロトコル設定を参照
してください。
[Network and Device] > [Controller
Upgrade]
有線およびワ
イヤレスデバ
イス
有線およびワ
イヤレスデバ
イス
Prime
Infrastructure
アプライアンス
ワイヤレスデ
バイスのみ
ワイヤレスデ
バイスのみ
アップグレード後のコントローラの更新
を参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-3
第3章
Prime Infrastructure サーバの設定
使用可能なシステム設定
表 3-1
使用可能な Prime Infrastructure システム設定オプション（続き）
次の手順を実行します
[Administration] > [Settings] > [System
Settings] から選択する項目
プラグアンドプレイの設定を変更します。
[Network and Device] > [Plug & Play]
有線デバイス
のみ
トレース表示値、到達可能性パラメータ、バックオフ
アルゴリズムを含め、グローバル SNMP ポーリング
パラメータを設定します。
[Network and Device] > [SNMP]
ワイヤレスデ
バイスのみ
グローバル SNMP の設定を参照してくだ
さい。
適用対象：
バックオフアルゴリズムに [Exponential] を選択した
場合は、SNMP 初回試行時には指定したタイムアウト
値が使用され、2 回目からは、前回の試行時の 2 倍の待
機時間が適用されます。[Constant Timeout] を選択した
場合は、すべての SNMP 試行に対して同じ待機時間
（指定したタイムアウト値）が適用されます。到達可能
性パラメータを使用することを選択した場合は、
Prime Infrastructure はデフォルトで、ユーザが設定し
たグローバルな [Reachability Retries] および [Timeout]
を使用します。チェックボックスがオフにされている
場合、Prime Infrastructure は常に、指定されたタイムア
ウトと再試行を使用します。
不正 AP を設定し、Prime Infrastructure がネットワーク [Network and Device] > [Switch Port Trace ワイヤレスデ
(SPT)] > [Auto SPT]
バイスのみ
内で不正 AP の接続先となっているスイッチポート
を自動的に追跡できるようにします。
不正 AP トレース用の SNMP クレデン
シャルの設定を参照してください。
不正 AP スイッチポートのトレースで使用する SNMP [Network and Device] > [Switch Port Trace ワイヤレスデ
クレデンシャルとトレースパラメータを設定します。 (SPT)] > [Manual SPT]
バイスのみ
不正 AP トレース用の SNMP クレデン
シャルの設定を参照してください。
スイッチポートトレースの基本パラメータと拡張パ
ラメータを設定します。
[Network and Device] > [Switch Port Trace 有線デバイス
(SPT)] > [SPT Configuration]
のみ
スイッチポートトレーシングの設定を参
照してください。
Prime Infrastructure で使用可能なイーサネット MAC
アドレスの表示、追加、削除を行います。このリストに
複数のイーサネット MAC アドレスを追加すると、自
動スイッチポートトレースで、これらのポートでの
不正 AP のスキャンが行われなくなります。
[Network and Device] > [Switch Port Trace Prime
(SPT)] > [Known Ethernet MAC Address] Infrastructure
アプライアンス
[Inventory] > [Configuration]
デバイス設定の導入時に使用する基本制御パラメー
タ（実行コンフィギュレーションのバックアップの有
テンプレート導入前のデバイス設定の
効化、ロールバック、キャッシュからの show コマンド
アーカイブを参照してください。
出力の取得、使用する CLI スレッドプールの数など）
を設定します。
コンフィギュレーションアーカイブの基本パラメー
タ（プロトコル、タイムアウト値、保管する設定バー
ジョン数など）を設定します。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-4
有線およびワ
イヤレスデバ
イス
有線およびワ
WLC 設定をいつどのようにアーカイブすイヤレスデバ
イス
るかの指定を参照してください。
[Inventory] > [Configuration Archive]
第3章
Prime Infrastructure サーバの設定
使用可能なシステム設定
表 3-1
使用可能な Prime Infrastructure システム設定オプション（続き）
次の手順を実行します
[Administration] > [Settings] > [System
Settings] から選択する項目
データセンターの設定値を設定します。
[Inventory] > [Data Center Settings]
Prime
Infrastructure
アプライアンス
IPv4 または IPv6 アドレスの優先設定を指定します。
[Inventory] > [Discovery]
有線およびワ
イヤレスデバ
イス
メンバーまたは子が関連付けられていないグループ
を表示するかどうかを設定します。
[Inventory] > [Grouping]
有線およびワ
イヤレスデバ
イス
ソフトウェアイメージのダウンロード、配布、および
推奨用のグローバルプリファレンスパラメータを設
定します。
[Inventory] > [Image Management]
有線およびワ
イヤレスデバ
イス
インベントリ収集を有効にして、Prime Infrastructure
がデバイスに関する syslog イベントを受信した場合
にインベントリを収集できるようにします。
[Inventory] > [Inventory]
デバイスに関する追加情報を保存します。
[Inventory] > [User Defined Fields]
イメージ管理の詳細については、『Cisco
Prime Infrastructure 3.0 User Guide』を参照
してください。
イベント受信後のインベントリ収集の指
定を参照してください。
ユーザ定義フィールドへのデバイス情報
の追加を参照してください。
•
削除するアラーム、イベント、syslog と、削除する
頻度を変更します。
•
電子メール通知の送信対象とするアラームのタイアラームのクリーンアップおよび表示オ
プションの指定を参照してください。
プ、および送信する頻度を設定します。
•
[Alarm Summary] ビューに表示するアラームのタ
イプを設定します。
•
電子メールで送信するアラーム通知の内容を変更
します。
[Alarms and Events] > [Alarms and
Events]
Prime Infrastructure から通知を受信するリモートイベ [Alarms and Events] > [Notification
receivers]
ントおよびアラームの受信者を設定します。
アラートおよびイベントは SNMPv2 通知として、設定 Prime Infrastructure への通知レシーバの追
された通知レシーバに送信されます。通知タイプ UDP 加を参照してください。
の通知受信者を追加する場合、その追加する受信者は
それが設定されている同じポート上で UDP をリッス
ンしている必要があります。デフォルトでは、選択さ
れたカテゴリに対する INFO レベルのイベントのみが
処理されます。ノースバウンド通知では、SNMPV2 ト
ラップのみが考慮されます。
生成される任意のアラームの重大度を設定します。
適用対象：
有線およびワ
イヤレスデバ
イス
有線デバイス
のみ
有線およびワ
イヤレスデバ
イス
有線およびワ
イヤレスデバ
イス
[Alarms and Events] > [Alarm Severity and 有線およびワ
Auto Clear]
イヤレスデバ
イス
アラーム重大度の変更を参照してくだ
さい。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-5
第3章
Prime Infrastructure サーバの設定
電子メールの設定
表 3-1
使用可能な Prime Infrastructure システム設定オプション（続き）
次の手順を実行します
[Administration] > [Settings] > [System
Settings] から選択する項目
Prime Infrastructure ハードウェアアプライアンスにつ [Alarms and Events] > [System Event
いて生成される SNMP トラップとイベントを設定し Configuration]
ます。
内部 SNMP トラップの生成を参照してく
ださい。
•
診断チャネルでクライアントの自動トラブル
シューティングを有効にします。
•
DNS サーバからのクライアントホスト名のルッ
クアップを有効にし、ホスト名をキャッシュに保
持する期間を設定します。
•
関連付けが解除されたクライアントとそのセッ
ションデータを保持する期間を設定します。
•
クライアントをポーリングし、トラップまたは
syslog を受信した場合にのみセッションを識別し
ます。
•
イベントとしてのクライアント関連付けおよび関
連付け解除のトラップと syslog の保存を無効にし
ます。
•
イベントとしてのクライアント認証失敗トラップ
の保存、および失敗トラップの間でイベントを保
存する期間を有効にします。
ベンダーの組織固有識別子（OUI）マッピング XML
ファイルを追加します。
[Client and User] > [Client]
電子メールの設定を参照してください。
[Client and User] > [User Defined OUI]
新しいベンダー OUI マッピングの追加を
参照してください。
適用対象：
Prime
Infrastructure
アプライアンス
有線およびワ
イヤレスデバ
イス
有線およびワ
イヤレスデバ
イス
更新されたベンダー OUI マッピング XML ファイルを [Client and User] > [Upload OUI]
有線およびワ
アップロードします。
更新されたベンダー OUI マッピングファイヤレスデバ
イルのアップロードを参照してください。イス
Cisco Prime Infrastructure に Cisco WAAS Central
Manager の IP アドレスを設定します。
[Services] > [Service Container Management]
『Cisco WAAS Central Manager Integration』
を参照してください。
有線デバイス
のみ
電子メールの設定
管理者は、Prime Infrastructure がレポート、アラーム通知などを電子メールで送信できるように
電子メールパラメータを設定する必要があります。電子メールパラメータを設定する前に、プ
ライマリ SMTP サーバを設定する必要があります。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Mail and Notification] > [Mail Server
Configuration] の順に選択します。[Mail Server Configuration] ページが表示されます。
ステップ 2
プライマリ SMTP サーバのホスト名または IP アドレスを入力します。物理サーバの IP アドレス
を入力します。仮想 IP アドレスを [Hostname/IP] フィールドに入力することはできません。また、
IP アドレスをロードバランサの後に配置することはできません。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-6
第3章
Prime Infrastructure サーバの設定
グローバル SNMP の設定
ステップ 3
SMTP サーバのユーザ名を入力します。
ステップ 4
SMTP サーバにログオンする際のパスワードを入力し、確定します。
ユーザ名とパスワードは、両方ともオプションです。
ステップ 5
セカンダリ SMTP サーバに対してと同じ情報を提供します（セカンダリメールサーバが使用で
きる場合のみ）。
ステップ 6
ページの [Sender and Receivers] 部分にある [From] テキストボックスには、[email protected]
が設定されます。これは別の送信者に変更可能です。
ステップ 7
[To] テキストボックスに、受信者のメールアドレスを入力します。指定したメールアドレスは、
アラームやレポートなど、その他の機能エリアでデフォルト値として使用されます。複数の受信
者を指定する場合は、複数のメールアドレスをカンマで区切って入力します。
このステップで受信者のメールアドレスに加えたグローバルな変更は、電子メール通知が設定
されていた場合には無視されます。
プライマリ SMTP メールサーバを指定し、[From] アドレステキストボックスに入力する必要が
あります。
入力した受信者リストにすべてのアラームカテゴリを適用させる場合は、[Apply recipient list to
all alarm categories] チェックボックスをオンにします。
ステップ 8
[Subject] テキストボックスに、電子メールの件名に表示するテキストを入力します。
ステップ 9
（省略可能）個々のアラームカテゴリリンクの [Configure email notification] をクリックします。
これにより、電子メール通知を有効化するアラームカテゴリと重大度レベルの指定ができます。
選択したカテゴリと重大度レベルに一致するアラームが発生すると、電子メールが送信され
ます。
アラームカテゴリをクリックし、[Critical]、[Major]、[Minor]、または [Warning] を選択して、メー
ルアドレスを入力することで、各アラームの重大度を設定できます。
ステップ 10
[Test] ボタンをクリックして、設定したパラメータを使用したテストメールを送信します。テス
ト操作の結果は同じページに表示されます。このテスト機能では「Prime Infrastructure test email」
という件名の電子メールが送信され、プライマリメールサーバとセカンダリメールサーバへの
接続が確認されます。
テスト結果に問題がなければ、[Save] をクリックします。
グローバル SNMP の設定
[SNMP Settings] ページでは、Prime Infrastructure のグローバル SNMP を設定できます。
このページで行った変更は、Prime Infrastructure 全体に適用されます。変更は、再起動をまたがっ
て有効であり、バックアップと復元をまたがって有効です。
デフォルトのネットワークアドレスは 0.0.0.0 です。これは、ネットワーク全体を意味します。
SNMP クレデンシャルはネットワークごとに定義されるため、ネットワークアドレスのみを指
定できます。0.0.0.0 は SNMP クレデンシャルのデフォルトであり、SNMP クレデンシャルが定義
されていないときに使用されます。事前に設定された SNMP クレデンシャルを独自の SNMP 情
報で更新する必要があります。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-7
第3章
Prime Infrastructure サーバの設定
グローバル SNMP の設定
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [SNMP] の順に選択し
ます。
ステップ 2
（オプション）SNMP を使用しているコントローラから取得したメディエーショントレースレベ
ルログのデータ値を表示するには、[Trace Display Values] チェックボックスをオンにします。オ
フにした場合は、これらの値は表示されません。
ステップ 3
[Backoff Algorithm] から、[Exponential] または [Constant Timeout] を選択します。[Exponential] を
選択した場合、SNMP の初回試行時には指定したタイムアウト値が使用され、2 回目からは、前回
の試行時の 2 倍の待機時間が適用されます。[Constant Timeout] を選択した場合は、すべての
SNMP 試行に対して同じ待機時間（指定したタイムアウト値）が適用されます。
ネットワークの信頼性が低く、再試行回数が多くなる可能性がある場合（衛星ネットワークな
ど）は、通常 [Constant Timeout] を使用します。再試行のたびにタイムアウト時間が倍加しないの
で、再試行回数が増えた場合でもそれほど時間がかかりません。
ステップ 4
到達可能性に関するパラメータを使用するかどうかを決定します。オンにした場合、Prime
Infrastructure はデフォルトで、ユーザが設定したグローバルな [Reachability Retries] および
[Timeout] を使用します。オフにした場合、Prime Infrastructure は常に、コントローラごと、または
IOS アクセスポイントごとに指定されたタイムアウトと再試行の設定を使用します。
スイッチポートトレーシングの完了まで長時間かかる場合は、この設定を調整して小さくして
ください。
ステップ 5
[Reachability Retries] に、デバイスの到達可能性を判別するためのグローバルな再試行回数を入
力します。このフィールドは、[Use Reachability Parameters] チェックボックスをオンにした場合
だけ使用できます。
スイッチポートトレーシングの完了まで長時間かかる場合は、この設定を調整して小さくして
ください。
ステップ 6
[Reachability Timeout] に、デバイスの到達可能性を判別するためのグローバルなタイムアウト値
を入力します。このフィールドは、[Use Reachability Parameters] チェックボックスをオンにした
場合だけ使用できます。
ステップ 7
[Maximum VarBinds per PDU] フィールドに、要求 PDU または応答 PDU で使用する SNMP 変数
バインドの最大数を入力します。
この [Maximum VarBinds per PDU] フィールドを使用することで、関連した障害が発生したとき
に、必要な SNMP の変更を実施できます。
ネットワークでの PDU フラグメンテーションに問題がある場合は、この数を 50 に減らすとフラ
グメンテーションが解消されます。
テーブルのフィールドごとの最大行数を設定できます。設定値は、Prime Infrastructure を新しい
バージョンにアップグレードしても保持されます。
ステップ 8
[Save] をクリックして、これらの設定を保存します。
関連項目
•
SNMP クレデンシャル詳細の表示
•
SNMP クレデンシャルの追加
•
SNMP クレデンシャルのインポート
Cisco Prime Infrastructure 3.0 管理者ガイド
3-8
第3章
Prime Infrastructure サーバの設定
グローバル SNMP の設定
SNMP クレデンシャル詳細の表示
このページに表示される SNMP クレデンシャルは、不正 AP スイッチポートトレースにのみ使
用されます。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[Manual SPT] の順に選択します。
ステップ 2
[Network Address] リンクをクリックすると、[SNMP Credential Details] ページが表示されます。
このページには、次の情報が表示されます。
General Parameters
•
[Add Format Type]：表示のみ。詳細については、「関連項目」の「SNMP クレデンシャルの追加」
を参照してください。
•
ネットワークアドレス
•
Network Mask
[SNMP Parameters]：SNMP パラメータの該当するバージョンを選択します。SNMP クレデンシャ
ルは、選択されている SNMP バージョンに応じて検証されます。
書き込みアクセスに対応する SNMP パラメータ（存在する場合）を入力します。表示専用のアク
セスパラメータでは、スイッチが追加されますが、Prime Infrastructure でその設定を変更するこ
とはできません。デバイス接続テストでは、SNMP 再試行およびタイムアウトパラメータが使用
されます。
•
[Retries]：スイッチの検出を試行する回数。
•
[Timeout]：セッションタイムアウト値（秒数）。これは、クライアントに再認証を強制するま
での最大許容時間を指定します。
•
[SNMP v1 Parameters or v2 Parameters]：選択した場合は、入力可能なテキストボックスに該
当するコミュニティを入力します。
•
[SNMP v3 Parameters]：選択した場合は、次のパラメータを設定します。
– ユーザ名
– Auth. タイプ
– Auth. パスワード
– Privacy タイプ
– Privacy パスワード
デフォルトコミュニティの SNMP v1 または v2 が設定されている場合、デフォルトコミュニ
ティはよく知られているため、ネットワークが攻撃しやすくなります。デフォルトでないコミュ
ニティの SNMP v1 または v2 はデフォルトコミュニティよりも安全性が高くなりますが、Auth
および Privacy タイプを使用する、デフォルトユーザなしの SNMP v3 が最も安全な SNMP 接続
です。
ステップ 3
[OK] をクリックして変更を保存します。
関連項目
•
グローバル SNMP の設定
•
SNMP クレデンシャルの追加
•
SNMP クレデンシャルのインポート
Cisco Prime Infrastructure 3.0 管理者ガイド
3-9
第3章
Prime Infrastructure サーバの設定
グローバル SNMP の設定
SNMP クレデンシャルの追加
Prime Infrastructure がネットワークデバイスのポーリングやそれらの構成のバックアップおよ
び変更を実行するには、デバイスの SNMP クレデンシャルが必要です。SNMP クレデンシャルは
手動で追加できます。また、それらを一括してインポートすることもできます（詳細については、
「関連項目」の「SNMP クレデンシャルのインポート」を参照）。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[Manual SPT] の順に選択します。
ステップ 2
[Select a command] > [Add SNMP Entries] > [Go] の順に選択します。
ステップ 3
[Add Format Type] ドロップダウンリストで、[SNMP Credential Info] を選択します。
ステップ 4
追加するスイッチの IP アドレスを入力します。複数のスイッチを追加する場合は、各 IP アドレ
スの間にカンマを使用します。
ステップ 5
[Retries] フィールドに、スイッチの検出を試行する回数を入力します。
ステップ 6
セッションタイムアウト値を秒単位で入力します。この値により、クライアントの再認証が強制
されるまでの最大時間が決定されます。
ステップ 7
SNMP パラメータの該当するバージョンを選択します。SNMP クレデンシャルは、選択されてい
る SNMP バージョンに応じて検証されます。
•
[SNMP v1 Parameters or v2 Parameters] が選択されている場合は、入力可能なテキストボック
スに該当するコミュニティを入力します。
•
[SNMP v3 Parameters] が選択されている場合は、次のパラメータを設定します。
– ユーザ名
– Auth. タイプ
– Auth. パスワード
– Privacy タイプ
– Privacy パスワード
デフォルトコミュニティの SNMP v1 または v2 が設定されている場合、デフォルトコミュニ
ティはよく知られているため、ネットワークが攻撃しやすくなります。デフォルトでないコミュ
ニティの SNMP v1 または v2 はデフォルトコミュニティよりも安全性が高くなりますが、Auth
および Privacy タイプおよびデフォルトユーザなしの SNMP v3 が最も安全な SNMP 接続です。
ステップ 8
[OK] をクリックします。
リストされている SNMP クレデンシャルを使用して Prime Infrastructure がスイッチにアクセス
できる場合は、今後使用できるようにスイッチが追加され、[Network Devices] ページに表示され
ます。このページは、[Configuration] > [Network] > [Network Devices] からアクセスできます。
[Network Devices] ページから手動でスイッチを追加する場合、スイッチポートのトレースでは
このページのクレデンシャルが使用され、[SNMP Credentials] ページにリストされているクレデ
ンシャルは使用されません。手動で追加したスイッチクレデンシャルが変更されている場合は、
[Network Devices] ページを使用してこれらのクレデンシャルを更新する必要があります。
関連項目
•
グローバル SNMP の設定
•
SNMP クレデンシャル詳細の表示
•
SNMP クレデンシャルのインポート
Cisco Prime Infrastructure 3.0 管理者ガイド
3-10
第3章
Prime Infrastructure サーバの設定
グローバル SNMP の設定
SNMP クレデンシャルのインポート
Prime Infrastructure がネットワークデバイスのポーリングやそれらの構成のバックアップおよ
び変更を実行するには、デバイスの SNMP クレデンシャルが必要です。SNMP クレデンシャル
は、CSV ファイルからインポートすることで、一括インポートができます。また、それらを手動で
追加することもできます（「関連項目」の「SNMP クレデンシャルの追加」を参照）。
はじめる前に
CSV ファイルが適切なフォーマットで作成されており、Prime Infrastructure のアクセスに使用す
るクライアントマシン上のフォルダからアップロード可能であることを確認してください。以
下に、インポート用の SNMP クレデンシャル CSV ファイル例を示します。
ip_address,snmp_version,snmp_community,snmpv3_user_name,snmpv3_auth_type,snmpv3_auth_passw
ord,snmpv3_privacy_type,snmpv3_privacy_password,network_mask
1.1.1.0,v2,private,user1,HMAC-MD5,12345,DES,12345,255.255.255.0
2.2.2.0,v2,private,user1,HMAC-MD5,password3,DES,password4,255.255.255.0
10.77.246.0,v2,private,user1,HMAC-MD5,12345,DES,12345,255.255.255.0
ファイルの最初の行は、列配置を説明するための必須行です。IP アドレス列も必須です。CSV
ファイルには、次のフィールドを含めることができます。
•
ip_address：IP アドレス
•
snmp_version：SNMP バージョン
•
network_mask：ネットワークマスク
•
snmp_community：SNMP V1/V2 コミュニティ
•
snmpv3_user_name：SNMP V3 ユーザ名
•
snmpv3_auth_type：SNMP V3 認証タイプ。None または HMAC-MD5 または HMAC-SHA を選
択できます
•
snmpv3_auth_password：SNMP V3 認証パスワード
•
snmpv3_privacy_type：SNMP V3 プライバシータイプ。None または DES または CFB-AES-128
を選択できます
•
snmpv3_privacy_password：SNMP V3 プライバシーパスワード
•
snmp_retries：SNMP リトライ
•
snmp_timeout：SNMP タイムアウト
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[Manual SPT] の順に選択します。
ステップ 2
[Select a command] > [Add SNMP Entries] > [Go] の順に選択します。
ステップ 3
[Add Format Type] ドロップダウンリストで、[File] を選択します。
ステップ 4
[Browse] をクリックして、インポートする CSV ファイルに移動し、それを選択します。
ステップ 5
[OK] をクリックしてファイルをインポートします。
リストされている SNMP クレデンシャルを使用して Prime Infrastructure がスイッチにアクセス
できる場合は、今後使用できるようにスイッチが追加され、[Network Devices] ページに表示され
ます。このページは、[Configuration] > [Network] > [Network Devices] からアクセスできます。
[Network Devices] ページから手動でスイッチを追加する場合、スイッチポートのトレースでは
このページのクレデンシャルが使用され、[SNMP Credentials] ページにリストされているクレデ
ンシャルは使用されません。手動で追加したスイッチクレデンシャルが変更されている場合は、
[Network Devices] ページを使用してこれらのクレデンシャルを更新する必要があります。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-11
第3章
Prime Infrastructure サーバの設定
プロキシ設定
関連項目
•
グローバル SNMP の設定
•
SNMP クレデンシャル詳細の表示
•
SNMP クレデンシャルの追加
プロキシ設定
[Proxy Settings] ページで、Prime Infrastructure サーバとそのローカル認証サーバのプロキシを設
定できます。ネットワークとインターネットの間のセキュリティバリアとしてプロキシサーバ
を使用する場合、次の手順に従ってプロキシを設定する必要があります。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Proxy] の順に選択します。
ステップ 2
プロキシサーバの IP アドレスまたはホスト名とポート番号を指定するには、[Enable Proxy]
チェックボックスをオンにします。
ステップ 3
認証サーバのユーザ名とパスワードを指定するには、[Authentication Proxy] チェックボックスを
オンにします。
ステップ 4
必要な情報を入力して、[Save] をクリックします。
サーバポートおよびグローバルタイムアウトの設定
[Server] ページでは、Prime Infrastructure の FTP、TFT、HTTP/HTTPS の各サービスの有効化または
無効化ができます。
通常、FTP および TFTP サービスはデフォルトで有効です。FIPS モードで Prime Infrastructure を
インストールした場合、FTP と TFTP はデフォルトで無効になっています。このページを使用し
て FTP または TFTP を有効にすると、Prime Infrastructure は FIPS に準拠しなくなります。
HTTP および HTTPS サービスはデフォルトで無効になっています。プラグアンドプレイ機能を
使用し、デバイスが HTTP を使用してブートストラップ設定の初期設定を取得するように設定
されている場合は、HTTP/HTTPS サービスを有効にする必要があります。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Server] の順に選択します。
ステップ 2
インストール時に確立された FTP および TFTP ポートまたは HTTP および HTTPS ポートを変更
するには、変更するポート番号（または必要に応じてポート番号およびルート）を入力し、
[Enable] または [Disable] をクリックします。
[Global Idle Timeout] はデフォルトで有効になっており、15 分に設定されています。[Global Idle
Timeout] 設定は、[My Preferences] ページの [User Idle Timeout] 設定より優先されます。管理者権
限を持つユーザのみが [Global Idle Timeout] の値を無効化したり、そのタイムリミットを変更で
きます。
ステップ 3
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-12
第3章
Prime Infrastructure サーバの設定
コンプライアンスサービスの有効化
関連項目
•
仮想アプライアンスのオプション
•
物理アプライアンスのオプション
•
システム要件について
•
Cisco Prime Infrastructure Quick Start Guide
コンプライアンスサービスの有効化
コンプライアンスサービスにより、Prime Infrastructure ユーザが Cisco PSIRT セキュリティレ
ポートおよび EOX 廃止デバイスコンプライアンスレポートを実行できるようになります。ま
た、この機能により、ベースラインデバイス設定標準の確立、これらの標準に照らした監査領域
の設定、非準拠のデバイスおよびそれらの設定の標準からの逸脱状況の特定もユーザが実施可
能になります。
コンプライアンスサービスは、デフォルトで無効化されています。これらを使用するには、Prime
Infrastructure 管理者が機能を有効化する必要があります。また、サーバのデバイスインベントリ
の再同期も必要になります。また、[Configuration] > [Compliance] メニューオプションを表示す
る場合、すべてのユーザは、ログアウトした後にログインし直す必要があります。
コンプライアンスサービスは、次の Prime Infrastructure サーバオプションのみで使用可能です。
•
Professional 仮想アプライアンス。詳細については、「関連項目」の「Virtual Appliance Options」
および「Understanding System Requirements」を参照してください。
•
Cisco Unified Computing System（UCS）Gen 2 物理アプライアンス。詳細については、「関連項
目」の「Virtual Appliance Options」および「Understanding System Requirements」を参照してくだ
さい。
Express、Express-Plus、Standard 仮想アプライアンス上でコンプライアンスサービスを有効化し
ないでください。その場合、機能そのものが動作しません。また、有効化した後、新規にインス
トールした Professional や Gen 2 UCS アプライアンスにデータを移行すると、元の Express、
Express-Plus、または Standard サーバから移行したデータの設定により、ターゲットのアプライ
アンス上でコンプライアンスサービスが動作しません。この問題は、Express、Express-Plus、
Standard 仮想アプライアンス上ではコンプライアンスサービス機能を無効化したままにして、
Professional または Gen2 UCS アプライアンスにデータを移行するだけで回避できます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Server] の順に選択します。
ステップ 2
[Compliance Services] の横にある [Enable] をクリックします。
ステップ 3
[Save] をクリックします。
ステップ 4
Prime Infrastructure のデバイスインベントリを再同期します。手順としては、[Inventory] >
[Network Devices] の順に選択し、[All Devices] を選択した後、[Sync] アイコンをクリックします。
ステップ 5
現在 Prime Infrastructure にログインしているユーザにログアウトするよう求めます。再度ログイ
ンすると、[Configuration] > [Compliance] の新しいメニューオプションが表示されます。
関連項目
•
仮想アプライアンスのオプション
•
物理アプライアンスのオプション
•
システム要件について
Cisco Prime Infrastructure 3.0 管理者ガイド
3-13
第3章
Prime Infrastructure サーバの設定
リモート FTP、TFTP、SFTP サーバの設定
リモート FTP、TFTP、SFTP サーバの設定
Prime Infrastructure は統合 TFTP/FTP サーバを使用します。これは、サードパーティ製の TFTP や
FTP サーバは Prime Infrastructure と同じワークステーション上では実行できないことを意味し
ます。Prime Infrastructure とサードパーティ製サーバが、同一の通信ポートを使用するためです。
ステップ 1
[Administration] > [Servers] > [FTP/TFTP/SFTP servers] を選択します。
ステップ 2
[Select a command] > [Add TFTP/FTP/SFTP Server] > [Go] の順に選択します。
ステップ 3
[Server Type] ドロップダウンリストから、[TFTP]、[FTP]、[SFTP]、または [ALL] を選択します。
ステップ 4
サーバのユーザ定義名を入力します。
ステップ 5
サーバの IP アドレスを入力します。
ステップ 6
[Save] をクリックします。
Prime Infrastructure からの ACS View サーバのアクセス
管理者は、以下の方法で Prime Infrastructure から Cisco Secure Access Control System（ACS）View
サーバにアクセスできます。
1.
Prime Infrastructure からアクセスする ACS View サーバ上に Prime Infrastructure のユーザ名
とパスワードを設定します。既存のユーザ名とパスワードを使用できます。
2.
ACS View サーバを Prime Infrastructure に追加します。ユーザ名とパスワードのほかに、ACS
View サーバの IP アドレスまたはホスト名およびポート番号も必要になります。
3.
ACS 上で Web インターフェイスを有効化します。この作業は、Prime Infrastructure が ACS
View Web サービスとの通信を試行する前に完了する必要があります。ACS Web インター
フェイスを有効にするには、ACS サーバのコマンドラインインターフェイスに管理者とし
てログインし、コマンド acs config web-interface view enable を入力します。
下記の手順は、このプロセスのステップ 2 の実行方法を説明しています。他の作業の詳細につい
ては、「関連項目」を参照してください。
Prime Infrastructure では、ACS View Server 5.1 以降のみがサポートされます。
ステップ 1
[Administration] > [Servers] > [ACS View Servers] を選択します。
ステップ 2
[Select a command] > [Add ACS View Server] > [Go] の順に選択します。
ステップ 3
ACS View サーバの IP アドレスまたはホスト名を入力します。
ステップ 4
ACS View サーバのポート番号を入力します。一部の ACS View サーバでは、HTTPS を実行する
ポートを変更できません。
ステップ 5
ACS View サーバで設定したパスワードを入力します。パスワードを確認します。
ステップ 6
再試行の回数を指定します。
ステップ 7
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-14
第3章
Prime Infrastructure サーバの設定
ISE サーバの設定
関連項目
•
『User Guide for the Cisco Secure Access Control System 5.1』の「Creating, Duplicating, Editing,
and Deleting Administrator Accounts」
•
『Software Developer’s Guide for the Cisco Secure Access Control System 5.1』の「Using the
Monitoring and Report Viewer Web Services」
•
Cisco Secure ACS の最新バージョンについては、『Cisco Secure Access Control System
Documentation Roadmaps』を参照してください。
ISE サーバの設定
ステップ 1
[Administration] > [Servers] > [ISE Servers] を選択します。
ステップ 2
[Select a command] > [Add ISE Server] を選択し、[Go] をクリックします。
ステップ 3
ISE サーバの IP アドレス、ユーザ名、およびパスワードを設定します。
ステップ 4
ISE サーバのパスワードを確認入力します。
ステップ 5
[Save] をクリックします。
ジョブの管理者承認の指定
特定タイプのジョブは、管理者の承認後のみに実行可能にすることがあります。このようなジョ
ブとしては、ネットワークに大きな影響を与えるジョブなどが該当します（設定の上書きジョブ
など）。管理者がジョブの承認要求を拒否すると、そのジョブは Prime Infrastructure データベース
から削除されます。デフォルトでは、すべてのジョブのタイプで、ジョブ承認は無効になってい
ます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Job Approval] の順に選択します。
ステップ 2
[Enable Job Approval] チェックボックスをオンにします。
ステップ 3
矢印を使用して、ジョブ承認を有効にするジョブをジョブタイプのリストから右側のリストに
移動します。デフォルトでは、ジョブ承認は無効にされているため、左側のリストにすべての
ジョブが表示されます。
ステップ 4
カスタマイズされたジョブのタイプを指定するには、正規表現を使用して [Job Type] フィールド
に文字列を入力し、[Add] をクリックします。たとえば、Config で始まるすべてのジョブタイプに
対してジョブ承認を有効にするには、Config.* と入力します。
あらかじめリストされているジョブタイプとしては、検出、設定、設定アーカイブ、設定上書き、
設定ロールバック、インポート、ポーラージョブ、SWIM 収集などがあります。表示されたテキス
トボックス入力することによって、他のジョブタイプも追加できます。
ステップ 5
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-15
第3章
Prime Infrastructure サーバの設定
ジョブの承認
ジョブの承認
管理者が承認しなければジョブを実行できないように指定（「ジョブの管理者承認の指定」を参
照）した場合、管理者はそのジョブを承認する必要があります。
[Administration] > [Dashboards] > [Job Dashboard] の順に選択し、以下のように操作します。
•
承認を必要とするジョブのリストを確認します。
•
リストされたジョブを承認します。管理者がジョブを承認すると、そのジョブが有効になり、
ジョブに指定されているスケジュールに従って実行されます。
•
リストされたジョブに対する承認要求を拒否します。管理者がジョブを拒否すると、その
ジョブは Prime Infrastructure データベースから削除されます。
関連項目
•
ジョブの管理者承認の指定
ログイン免責事項テキストの指定
[Login Disclaimer] ページでは、Prime Infrastructure の [Login] ページに表示する免責事項テキス
トを入力できます。この免責事項はすべてのユーザに対して表示されます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [JLogin Disclaimer] の順に選択します。
ステップ 2
該当するテキストボックスに、ログインページに表示する免責事項を入力し、[Save] をクリック
します。
ユーザ定義フィールドへのデバイス情報の追加
ユーザ定義フィールド（UDF）は、デバイスのロケーション属性（たとえば、エリア、施設、フロア）
など、デバイスに関する追加情報を格納するために使用されます。新しいデバイスの追加、イン
ポート、またはエクスポートが行われるたびに、UDF 属性が使用されます。
ステップ 1
[Administration] > [System Settings] > [Inventory] > [User Defined Field] の順に選択します。
ステップ 2
UDF を追加するには、[Add Row] をクリックします。
ステップ 3
フィールドラベルおよび説明を対応するフィールドに入力します。
ステップ 4
[Save] をクリックして UDF を追加します。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-16
第3章
Prime Infrastructure サーバの設定
OUI の管理
OUI の管理
Prime Infrastructure では、IEEE 組織固有識別子（OUI）データベースを使用してクライアントベン
ダー名マッピングが識別されます。Prime Infrastructure は、vendorMacs.xml という名前の XML
ファイルにベンダー OUI マッピングを保管します。このファイルは、Prime Infrastructure がリ
リースされるたびに更新されます。OUI の更新により、以下を実行できます。
•
既存の OUI のベンダー表示名の変更。
•
新しい OUI の Prime Infrastructure への追加。
•
新しいベンダー OUI マッピングによる vendorMacs.xml ファイルの更新、および Prime
Infrastructure へのそのファイルのアップロード。
関連項目
•
新しいベンダー OUI マッピングの追加
•
更新されたベンダー OUI マッピングファイルのアップロード
新しいベンダー OUI マッピングの追加
[User Defined OUI List] ページに、作成したベンダー OUI マッピングのリストが表示されます。
このページで、新しいベンダー OUI マッピングの追加、OUI エントリの削除、および
vendorMacs.xml ファイルに存在する OUI のベンダー名の更新を実行できます。
OUI を追加すると、Prime Infrastructure は vendorMacs.xml ファイルを調べて、その OUI が存在す
るかどうかを確認します。OUI が存在する場合、Prime Infrastructure は OUI のベンダー名を更新
します。OUI が存在しなければ、Prime Infrastructure はベンダー OUI マッピングに新しい OUI エ
ントリを追加します。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Client and User] > [User Defined OUI] の順に選
択します。[User Defined OUI] ページが表示されます。
ステップ 2
[Select a Command] ドロップダウンリストから [Add OUI Entries] を選択し、[Go] をクリックし
ます。
ステップ 3
[OUI] フィールドに有効な OUI を入力します。形式は aa:bb:cc です。
ステップ 4
[Check] をクリックして、OUI がベンダー OUI マッピングに存在するかどうかを確認します。
ステップ 5
[Name] フィールドに、OUI のベンダーの表示名を入力します。
ステップ 6
[Change Vendor Name] チェックボックスをオンにしてから [OK] をクリックし、OUI がベンダー
OUI マッピングに存在する場合にはベンダーの表示名が更新されるようにします。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-17
第3章
Prime Infrastructure サーバの設定
Prime Infrastructure への通知レシーバの追加
更新されたベンダー OUI マッピングファイルのアップロード
Prime Infrastructure を使用すると、IEEE 登録局データベースからオンラインで OUI アップデー
トを取得できます（「関連項目」の RA データベースのリンク参照）。Prime Infrastructure が IEEE
データベースに到達できない場合、メッセージが表示され、ファイルを保存して Prime
Infrastructure サーバにアップロードするよう指示されます。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Client and User] > [Upload OUI] の順に選択しま
す。[Upload OUI From File] ページが表示されます。
ステップ 2
[Update online from IEEE] をクリックして、IEEE 登録局データベースから OUI アップデートを取
得します（「関連項目」の RA データベースのリンク参照）。Prime Infrastructure が IEEE データベー
スに到達できない場合、メッセージが表示され、ファイルを保存してアップロードするよう指示
されます。
ステップ 3
アップデートが正常に終了したら、[OK] をクリックします。
ステップ 4
ダウンロードした vendorMacs.xml ファイルを参照して選択し、[OK] をクリックします。
[Administration] > [Settings] > [System Settings] > [Upload OUI] ページで vendorMacs.xml ファイ
ルをアップロードした後、[Unique Clients and Users Summary] レポートで既存の不明ベンダーク
ライアントにベンダー名が反映されていない場合は、updateUnknownClient.sh スクリプトを実行
します。このスクリプトは、/opt/CSCOlumos/bin フォルダにあります。
関連項目
•
IEEE Registration Authority database
Prime Infrastructure への通知レシーバの追加
[Notification Receiver] ページには、ノースバウンドアクセスおよびゲストアクセスをサポート
する現在の通知レシーバが表示されます。アラートおよびイベントは SNMPv2 および SNMPv3
の通知として、設定済みの通知レシーバに送信されます。現在の通知受信者を表示したり、他の
通知受信者を追加したりできます。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Alarms and Events] > [Notification Receivers] の
順に選択します。現在設定されているすべてのサーバがこのページに表示されます。
ステップ 2
[Select a command] > [Add Notification Receiver] を選択し、[Go] をクリックします。
ステップ 3
サーバの IP アドレスとサーバ名を入力します。
ステップ 4
[North Bound] または [Guest Access] のオプションボタンを選択します。
[North Bound] を選択する場合、[Nortification Type] は自動的にデフォルトの [UDP] に設定されます。
ステップ 5
[Port Number] に入力し、[SMNP Version] を選択します。設定するレシーバは、設定されたポート
と同じポートで UDP を待ち受ける必要があります。
[SMNP Version] の選択肢は、[SNMPV2c] と [SNMPV3] です。SNMPV2c の場合、コミュニティ文
字列が要求されますが、SNMPV3 を選択した場合は、ユーザ名とパスワードパスワードのフィー
ルドが必須です。Prime Infrastructure 固有の [Engine ID] が自動的に入力されます。[Mode] ドロッ
プダウンリストからセキュリティレベルに応じたモードを選択してください。
ユーザ名とパスワードパスワードのフィールドは、32 文字に対応します。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-18
第3章
Prime Infrastructure サーバの設定
Prime Infrastructure への通知レシーバの追加
ステップ 6
受信者タイプとして [North Bound] を選択している場合は、Prime Infrastructure による通知送信の
条件と重大度を指定します。たとえば、カテゴリ [Routers] と重大度 [Informational] を選択する
と、Prime Infrastructure はルｰタで発生する情報イベントを、ステップ 4 で指定したレシーバに送
信します。
ステップ 7
[Save] をクリックして、通知レシーバ情報を確定します。
通知レシーバの削除
ステップ 1
[Administration] > [Settings]> [System Settings] > [Alarms and Events] > [Notification Receivers] の
順に選択します。現在設定されているすべてのサーバがこのページに表示されます。
ステップ 2
削除する通知受信者のチェックボックスを選択します。
ステップ 3
[Select a command] > [Remove Notification Receiver] を選択し、[Go] をクリックします。
ステップ 4
[OK] をクリックして、削除を実行します。
ノースバウンド SNMP レシーバのログファイル例
以下の出力例に、Prime Infrastructure によって生成された ncs_nb.log ファイルを示します。このロ
グファイルは、Prime Infrastructure サーバのログファイルディレクトリ（/opt/CSCOlumos/logs）
にあります。ログ出力は、アラームを North Bound SNMP レシーバで受信していない場合のトラ
ブルシューティングに役立ちます。
2013-12-02
2013-12-02
2013-12-02
2013-12-02
2013-12-02
2013-12-02
list
2013-12-03
2013-12-03
2013-12-03
2013-12-03
2013-12-03
2013-12-03
2013-12-03
2013-12-03
2013-12-03
2013-12-03
2013-12-03
list
17:11:53,868
17:11:53,870
17:11:53,871
17:11:53,871
17:11:53,871
17:41:50,839
[main] INFO services - Queue type is order
[main] INFO services - Starting the notification thread..
[NBNotifier] INFO services - Fetching the head of the queue
[NBNotifier] INFO services - The Queue is empty
[main] INFO notification - Setting the NB process flag
[Task Scheduler Worker-10] ERROR notification - Unable to get OSS
08:22:39,227
08:22:39,229
08:22:39,231
08:22:39,231
08:22:39,231
08:44:40,287
08:44:40,289
08:44:40,290
08:44:40,290
08:44:40,290
08:56:18,864
[main] INFO services - Queue type is order
[main] INFO services - Starting the notification thread..
[NBNotifier] INFO services - Fetching the head of the queue
[NBNotifier] INFO services - The Queue is empty
[main] INFO notification - Setting the NB process flag
[main] INFO services - Queue type is order
[main] INFO services - Starting the notification thread..
[NBNotifier] INFO services - Fetching the head of the queue
[NBNotifier] INFO services - The Queue is empty
[main] INFO notification - Setting the NB process flag
[Task Scheduler Worker-8] ERROR notification - Unable to get OSS
Cisco Prime Infrastructure 3.0 管理者ガイド
3-19
第3章
Prime Infrastructure サーバの設定
Prime Infrastructure への HTTPS アクセスの設定
Prime Infrastructure への HTTPS アクセスの設定
Prime Infrastructure では、セキュア HTTPS クライアントアクセスがサポートされています。
HTTPS アクセスを使用するには、Prime Infrastructure サーバに証明書ファイルを適用し、ユーザ
が、各自のクライアントブラウザがこれらの証明書を信頼するように更新しておく必要があり
ます。
このためには、次のいずれかの証明書ファイルを使用できます。
•
自己署名。「関連項目」の「自己署名証明書の生成および適用」の手順に従って、自己署名証明
書の生成および適用ができます。
•
認証局（CA）によるデジタル署名。CA は、識別情報を検証し、証明書を発行する組織（Cisco や
VeriSign など）です。多くの場合証明書は有料で発行されます。CA が発行した証明書は、証明
書に指定されているエンティティ（サービスやデバイスなど）の名前に公開キーをバインド
します。「関連項目」の「CA 署名付き証明書の取得およびインポート」の手順に従って、サー
ドパーティ CA から CA 証明書を取得し、Prime Infrastructure サーバに適用できます。
関連項目
•
自己署名証明書の生成および適用
•
CA 署名付き証明書の取得およびインポート
•
CA 署名付き証明書の削除
自己署名証明書の生成および適用
Prime Infrastructure を使用して、自己署名証明書を生成および適用します。
ステップ 1
Prime Infrastructure との CLI セッションを開始します（「CLI 経由の接続」を参照）。「configure
terminal」モードは開始しないでください。
ステップ 2
ドメイン情報を使用して新しい RSA キーと自己署名証明書を作成するには、次のコマンドを入
力してください。
PIServer/admin#
ncs key genkey –newdn
証明書の [Distinguished Name（DN）] フィールドへの入力が求められます。Prime Infrastructure に
アクセスするために使用するドメイン名として、サーバの完全修飾ドメイン名（FQDN）を指定す
る必要があります。
ステップ 3
証明書を有効にするために、Prime Infrastructure を再起動します（「Prime Infrastructure の再起動」
を参照）。
ログインの問題を防ぐため、ユーザに対し、Prime Infrastructure ログインページに次回アクセス
するときに、各自のブラウザの信頼ストアに自己署名証明書を追加するように指示します。
関連項目
•
CLI 経由の接続
•
Prime Infrastructure の再起動
Cisco Prime Infrastructure 3.0 管理者ガイド
3-20
第3章
Prime Infrastructure サーバの設定
Prime Infrastructure への HTTPS アクセスの設定
CA 署名付き証明書の取得およびインポート
Prime Infrastructure を使用して、証明書署名要求（CSR）ファイルを生成し、検証のために認証局
（CA）に送信します。CA に CSR ファイルを送信する方法は、CA によって異なります。
証明書の CSR ファイルを生成して送信した後は、同じ Prime Infrastructure サーバで再び新しい
キーを生成するために genkey コマンドを再度使用しないでください。コマンドを再度使用する
と、インポートされる CA 署名付き証明書のキーとサーバ上のファイルのキーが一致しなくなり
ます。
SSL 証明書はホストに固有であることに注意してください。つまり、Prime Infrastructure バック
アップで保持されますが、復元されるのはバックアップサーバとリストアサーバのホスト名が
同一である場合だけです。
ステップ 1
Prime Infrastructure との CLI セッションを開始します（「CLI 経由の接続」を参照）。「configure
terminal」モードは開始しないでください。
ステップ 2
以下のコマンドを入力して、デフォルトのバックアップリポジトリに CSR ファイルを生成します。
PIServer/admin#
ncs key genkey -newdn -csr CSRFile.csr repository defaultRepo
CSRFile は、任意の名前です（例：MyCertificate.csr）。
ステップ 3
ユーザがアクセスできる場所に CSR ファイルをコピーします。次に例を示します。
PIServer/admin#
ステップ 4
copy disk:/defaultRepo/CSRFile.csr ftp://your.ftp.server
任意の認証局（CA）に CSR ファイルを送信します。
CA は、SSL サーバ証明書と 1 つ以上の CA 証明書ファイルを送信することで応答します。これら
のすべてのファイルのファイル名拡張子は CER です。CA の応答は、ファイルが次のいずれであ
るかを示します。
ステップ 5
ステップ 6
•
SSL サーバ証明書。通常、証明書の適用対象サーバのホスト名がそのファイル名に反映され
ています。
•
CA 証明書。通常 CA の名前を反映するファイル名が付いています。
続行する前に次の操作を行います。
a.
（cat コマンドを使用して）SSL サーバ証明書ファイルにすべての CA 証明書ファイルを連結
し、単一証明書ファイルを作成します。連結後の単一証明書ファイルでは、SSL サーバ証明書
の内容が先頭に記述されている必要があります。CA 証明書ファイルの内容は、連結後の
ファイル内で任意の順序に配置できます。
b.
テキストエディタ、awk、sed、またはその他の OS ネイティブ機能を使用して、連結後の単一
ファイルから空白行をすべて削除します。
Prime Infrastructure コマンドラインで、バックアップリポジトリに単一証明書ファイルをコピー
します。次に例を示します。
PIServer/admin#
copy ftp://your.ftp.server/CertFile.cer disk:defaultRepo
CertFile.cer は、前のステップで作成した単一証明書ファイルです。
ステップ 7
Prime Infrastructure サーバに単一証明書ファイルをインポートするため、次のコマンドを入力し
ます。
PIServer/admin#
ncs key importsignedcert CertFile.cer repository defaultRepo
Cisco Prime Infrastructure 3.0 管理者ガイド
3-21
第3章
Prime Infrastructure サーバの設定
Prime Infrastructure への HTTPS アクセスの設定
ステップ 8
CA 署名付き証明書を有効にするために、Prime Infrastructure を再起動します（「Prime Infrastructure
の再起動」を参照）。
証明書に署名した CA が組織内で信頼される CA ではない場合は、ユーザに対し、Prime
Infrastructure ログインページに次回アクセスするときに、CA 署名付き証明書を各自のブラウザ
の信頼ストアに追加するように指示してください。
関連項目
•
CLI 経由の接続
•
Prime Infrastructure の再起動
CA 署名付き証明書の削除
CA 署名付き証明書は、Prime Infrastructure の CLI を使用して削除することができます。
ステップ 1
Prime Infrastructure との CLI セッションを開始します（「CLI 経由の接続」を参照）。「configure
terminal」モードは開始しないでください。
ステップ 2
Prime Infrastructure サーバ上にあるすべての CA 署名付き証明書の短縮名をリストします。
PIServer/admin#
ステップ 3
ncs key listcacert
該当する CA 証明書を削除するため、次のコマンドを入力します。
PIServer/admin#
ncs key deletecacert shortname
shortname は、削除する CA 証明書の短縮名です。この名前は ncs key listcacert の出力に示される
リストから取得されます。
関連項目
•
CLI 経由の接続
Cisco Prime Infrastructure 3.0 管理者ガイド
3-22
第3章
Prime Infrastructure サーバの設定
MIB から Prime Infrastructure へのアラート /イベントマッピング
MIB から Prime Infrastructure へのアラート /イベントマッ
ピング
次の表に、CISCO_WIRELESS_NOTIFICATION_MIB フィールドおよび OID から Prime
Infrastructure アラート / イベントへのマッピングの要約を示します。
表 3-2
CISCO_WIRELESS_NOTIFICATION_MIB から Prime Infrastructure へのアラート / イベントマッピング
フィールド名およびオブジェク
ト ID
データタイプ
Prime Infrastructure イベン
ト /アラートフィールド
説明
cWNotificationTimestamp
DateAndTime
createTime：NmsAlert
アラーム/ イベントの作成時刻。
eventTime：NmsEvent
cWNotificationUpdatedTimestamp DateAndTime
modTime：NmsAlert
アラームの修正時刻。
イベントには修正時刻がありま
せん。
cWNotificationKey
SnmpAdminString objectId：NmsEvent
entityString：NmsAlert
cwNotificationCategory
CWirelessNotificat 該当なし
ionCategory
文字列形式の一意のアラーム/ イ
ベント ID。
イベント /アラームのカテゴリ。
値は次のとおりです。
unknown
accessPoints
adhocRogue
clients
controllers
coverageHole
interference
contextAwareNotifications
meshLinks
mobilityService
performance
rogueAP
rrm
security
wcs
switch
ncs
cWNotificationSubCategory
OCTET STRING
アラートの Type フィールこのオブジェクトはアラートの
ドおよびイベントの
サブカテゴリを表します。
eventType。
cWNotificationServerAddress
InetAddress
該当なし
Prime InfrastructureIP アドレス。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-23
第3章
Prime Infrastructure サーバの設定
MIB から Prime Infrastructure へのアラート /イベントマッピング
表 3-2
CISCO_WIRELESS_NOTIFICATION_MIB から Prime Infrastructure へのアラート / イベントマッピング（続き）
フィールド名およびオブジェク
ト ID
cWNotificationManagedObject
AddressType
データタイプ
Prime Infrastructure イベン
ト /アラートフィールド
説明
InetAddressType
該当なし
管理対象オブジェクトに到達可
能なインターネットアドレスの
種類。有効値：
0：不明
1：IPv4
2：IPv6
3：IPv4z
4：IPv6z
16：DNS
Prime Infrastructure では IPv4 アド
レスのみをサポートしているた
め、この値は常に「1」に設定され
ます。
cWNotificationManagedObject
Address
InetAddress
getNode() 値を使用（存在
する場合）
getNode はイベントおよび一部の
アラートに対して設定されます。
ヌルでない場合は、このフィール
ドに使用されます。
cWNotificationSourceDisplay
Name
OCTET STRING
アラート / イベントの
sourceDisplayName
フィールド。
このオブジェクトは、通知の送信
元の表示名を表します。
cWNotificationDescription
OCTET STRING
Text：NmsEvent
アラームの説明を示す文字列。
Message：NmsAlert
cWNotificationSeverity
INTEGER
severity：NmsEvent、
NmsAlert
アラート / イベントの重大度は以
下のとおりです。
cleared(1)
critical(3)
major(4)
minor(5)
warning(6)
info(7)
cWNotificationSpecialAttributes
OCTET STRING
基本アラート / イベントクこのオブジェクトは、アラート専
ラス以外のすべてのア
用の属性（APAssociated、
ラート / イベントの属性。 APDisassociated、RogueAPAlert、
CoverageHoleAlert など）を表しま
す。文字列は CSV 形式で「プロパ
ティ = 値」のペアで表されます。
cWNotificationVirtualDomains
OCTET STRING
該当なし
Cisco Prime Infrastructure 3.0 管理者ガイド
3-24
アラームを発生させたオブジェク
トの仮想ドメイン。現行リリース
の場合、このフィールドは空です。
第3章
Prime Infrastructure サーバの設定
製品フィードバックデータの収集
製品フィードバックデータの収集
シスコ製品の向上のために、Prime Infrastructure は以下のデータを収集してシスコに送信します。
•
製品情報：製品タイプ、ソフトウェアバージョン、インストール済みライセンス。
•
システム情報：サーバのオペレーティングシステムおよび利用可能なメモリ。
•
ネットワーク情報：ネットワーク上のデバイスの数とタイプ。
データは、毎日、毎週、および毎月収集されます。データは、HTTPS を使用してシスコクラウドの
REST URL に記録されます。シスコで収集されるデータのタイプを表示するには、[Administration] >
[Settings] > [System Settings] > General] > [Help Us Improve] の順に選択し、[What data is Cisco
collecting?] をクリックします。
製品フィードバックデータの収集は、デフォルトで有効化されています。シスコによるこの
フィードバックデータの収集および送信を望まない場合は、[Administration] > [Settings] >
[System Settings] > [General] > [Help Us Improve] の順に選択し、[Not at this time, thank you] オプ
ションを選択して、[Save] をクリックします。
以前のバージョンの Prime Infrastructure からアップグレードしている場合は、アップグレード済
みのサーバおよび復元済みのサーバにおいて、以前のバージョンで指定した製品フィードバッ
クデータ収集の設定がアップグレード後も保持されています。以前のバージョンで製品フィー
ドバックデータ収集の指定を選択していなかった場合には、アップグレード版およびバック
アップと復元サーバにおいて、このデータ収集がデフォルトで有効化されます。
ハイアベイラビリティを設定している場合は、プライマリまたはセカンダリ HA サーバインス
タンスのいずれかによってデータの収集と送信が行われます（両方のサーバから送信されるこ
とはありません）。
Cisco Prime Infrastructure 3.0 管理者ガイド
3-25
第3章
製品フィードバックデータの収集
Cisco Prime Infrastructure 3.0 管理者ガイド
3-26
Prime Infrastructure サーバの設定
CH A P T E R
4
Prime Infrastructure サーバヘルスの維持
この章では、サーバのヘルスおよびパフォーマンスを維持するための作業について説明します。
関連項目
•
Prime Infrastructureサーバヘルスのモニタリング
•
Prime Infrastructure のトラブルシューティング
•
OVA サイズとシステムリソースの評価
•
Prime Infrastructure のパフォーマンスの向上
•
保証処理のメモリ最適化
•
データソースの管理
•
特別な管理タスクの実行
•
Prime Infrastructure ソフトウェアの最新状態の維持
•
サポート要求の設定
•
ディスク領域の問題管理
Cisco Prime Infrastructure 3.0 管理者ガイド
4-1
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructureサーバヘルスのモニタリング
Prime Infrastructureサーバヘルスのモニタリング
システムヘルスのダッシュボードを表示するには、[Administration] > [Dashboards ] > [Admin
Dashboard] の順に選択します。次の表に、ダッシュボードに表示される情報を示します。
表 4-1
[Administration] > [Dashboards] > [Admin Dashboard] の情報
表示する情報
選択するタブ
参照するダッシュレット
一定期間の Prime Infrastructure サーバのメモリと CPU の統計
情報。
Health
System Health
Prime Infrastructure サーバ自体に発行されたアラームとイベント。
イベントのリスト、イベントの発生日時、および重大度を含む。
System Alarms
スケジュールされたジョブ数や実行中のジョブ数などの Prime
Infrastructure サーバの一般的なヘルス統計情報、サポートされてい
る MIB 変数の数、サーバのポーリングの実行時間、およびログイン
しているユーザ数。
System Information
デバイスインベントリ（「Lifecycle Clients」）の検出時にデータが取
得される Prime Infrastructure サーバデータベースの相対的割合、現
在のステータスとパフォーマンスデータ（「Lifecycle Statistics」）、
およびサーバ独自のシステムデータ（「Infrastructure」と
「DB-Index」）。
DB Usage Distribution
Prime Infrastructure サーバが、デバイスの到達可能性、アラーム、イ API Health
ベントなどの情報に対するユーザサービス要求に応答する速度。
クライアントサービスの基礎となる API ごとの最大、最小、および
平均応答時間を示します。
API Response Time Summary
Prime Infrastructure サーバがユーザサービス要求に応答する速度
の一定期間の傾向。
API Response Time Trend
Service Details
発行されたサービス要求数で測定される、ログインした Prime
Infrastructure ユーザごとの活動レベル。
API Calls Per Client Chart
ログインしたクライアントが発行したサービス要求数の合計の一
定期間の傾向。
API Request Count Trend
Prime Infrastructure のトラブルシューティング
Cisco Prime Infrastructure には、ネットワークオペレータがシスコのエキスパートと連絡を取り
ながら問題を診断および解決するための便利なツールが用意されています。Prime Infrastructure
からサポートケースを開いたり、ケースをトラックしたりできます。問題のトラブルシューティ
ングが必要な場合は、Prime Infrastructure を通して次のことが可能になります。
•
シスコサポートコミュニティに接続して、ディスカッションフォーラムを表示したり、参
加したりする（「シスコサポートコミュニティの起動」を参照）。
•
シスコテクニカルサポートからサポートケースを開く（「サポートケースを開く」を参照）。
関連項目
•
シスコサポートコミュニティの起動
•
サポートケースを開く
Cisco Prime Infrastructure 3.0 管理者ガイド
4-2
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure のトラブルシューティング
シスコサポートコミュニティの起動
Prime Infrastructure を使用すれば、オンラインシスコサポートコミュニティ内のディスカッ
ションフォーラムにアクセスしたり、参加したりできます。このフォーラムは、問題の診断と解
決に関する情報を見つけるのに役立ちます。
フォーラムにアクセスまたは参加するには、Cisco.com のユーザ名とパスワードを入力する必要
があります。
シスコサポートコミュニティを起動するには、次の手順に従います。
ステップ 1
サポート対象のデバイスの [Device 360° View] ページを表示します（「関連項目」の「デバイス
360°ビューからデバイスの詳細を取得する」を参照）。
ステップ 2
[Device 360° View] ページで、[Actions] > [Support Community] の順に選択します。
ステップ 3
ログインを要求された場合は、Cisco.com のユーザ名およびパスワードを入力してください。シ
スコサポートコミュニティページに、サポートを必要とするデバイスに関する投稿およびディ
スカッションの一覧が表示されます。
ステップ 4
シスコサポートコミュニティページを利用するには、次のように操作します。
•
追加のキーワードパラメータを入力するか、あるいは表示されたディスカッションをフィ
ルタする時間帯を選択します。
•
任意の関連フォーラムの横にある [Join the Discussion] リンクを選択してディスカッション
の詳細を見るか、新規に質問します。
•
シスコサポートコミュニティフォーラムのいずれかに新規の質問を投稿するには、[Post a
New Question] を選択します。
関連項目
•
デバイス 360°ビューからデバイスの詳細を取得する
サポートケースを開く
Prime Infrastructure を使用すれば、サポート要求を開いたり、サポートケースをトラックしたり
できます。Prime Infrastructure では、サポートケースに添付すべき重要な文脈情報の収集が容易
になるため、サポートケースの作成時間が短縮されます。
サポートケースを開く、または、シスコサポートコミュニティにアクセスするには、次の要件を
満たす必要があります。
•
Prime Infrastructure サーバからインターネットに直接接続してください。
•
Cisco.com のユーザ名およびパスワードを入力してください。
ステップ 1
サポート対象のデバイスの [Device 360° View] ページを表示します（「関連項目」の「デバイス
360°ビューからデバイスの詳細を取得する」を参照）。
ステップ 2
[Device 360° View] ページで、[Actions] > [Support Request] の順に選択します。
ステップ 3
ログインを要求された場合は、Cisco.com のユーザ名およびパスワードを入力してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-3
第4章
Prime Infrastructure サーバヘルスの維持
OVA サイズとシステムリソースの評価
ステップ 4
既存のケースを表示または更新するには、ケース番号を入力し、[Update Case] をクリックしま
す。あるいは、新規のサポートケースを開く場合は、[Create] をクリックします。
Prime Infrastructure が、デバイスに関する情報を収集し、情報を取得可能なフィールドにデータ
を入れます。組織のトラブルチケットシステムに対応したトラッキング番号を入力できます。
ステップ 5
[Next] をクリックして、問題の説明を入力します。
デフォルトで、Prime Infrastructure によって、デバイスから入手可能な情報が入力されます。
Prime Infrastructure は、デバイスに関する技術的情報、設定の変更、過去 24 時間のすべてのデバ
イスイベントなどの必要な支援文書を自動で作成します。ローカルマシンからファイルをアッ
プロードし、それらをサポートケースに添付することもできます。
ステップ 6
[Create Service Request] をクリックします。
関連項目
•
デバイス 360°ビューからデバイスの詳細を取得する
OVA サイズとシステムリソースの評価
Prime Infrastructure システム実装は、『Cisco Prime Infrastructure Quick Start Guide』の「システム要
件」セクションに記載されている適切な OVA サイズに関する推奨事項に従う必要があります
（「関連項目」を参照）。
『Quick Start Guide』に記載されているデバイス、インターフェイス、およびフローレコードの制
限値はすべて最大値であることに注意してください。特定のサイズの OVA は、このデバイス数、
インターフェイス数、および秒単位のフロー数を超えないように調整されています。また、RAM、
ディスク領域、およびプロセッサに関するシステム要件がすべて最小値であることにも注意し
てください。これらのリソースのいずれかを増やすことによって、より多くのデータをより長い
期間保存したり、より迅速に入力フローを処理したりできます。
ネットワークが拡大するにつれて、OVA に関するデバイス / インターフェイス /フローの最大指標
に近付きます。この変化はときどきチェックする必要があります。これは、「Prime Infrastructure
ヘルスのモニタリング」にも記載されているように、Admin ダッシュボードで入手可能な情報を
使用することによってチェックできます。
Prime Infrastructure が、システムリソースの 80 % 以上を使用している、または、インストールさ
れた OVA のサイズに関する推奨デバイス / インターフェイス /フロー数を消費していることが判
明した場合は、必要に応じて次のアプローチのいずれかを使用してこれに対処することをお勧
めします。
•
「Prime Infrastructure データベースの圧縮」の手順に従って、できるだけ多くの既存のディス
ク領域を回復します。
•
ディスク領域を追加します。VMware OVA テクノロジーを使用すれば、簡単に既存のサーバ
のディスク領域を増やすことができます。物理ディスク領域を拡張する場合は、先に Prime
Infrastructure サーバをシャットダウンし、VMware から提供される手順に従う必要がありま
す（「関連項目」の「VMware vSphere ドキュメンテーション」を参照）。仮想アプライアンスを
再起動すると、Prime Infrastructure が、自動的に、追加されたディスク領域を使用します。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-4
第4章
Prime Infrastructure サーバヘルスの維持
OVA サイズとシステムリソースの評価
•
収集を制限します。Prime Infrastructure によって収集可能なすべてのデータが役に立つわけ
ではありません。たとえば、無線パフォーマンス統計情報の報告システムを使用していない
場合は、そのデータを収集または保存する必要がないため、Radio Performance 収集タスクを
無効にできます。また、集約後の Radio Performance データだけが必要な場合は、未加工のパ
フォーマンスデータの保持を無効にできます。この方法の詳細については、「カテゴリ別の
データ保持の指定」を参照してください。
•
保持期間を短縮します。Prime Infrastructure は、デフォルトで、維持するすべてのデータと生
成するレポートにとって十分な保持期間を設定します。これらの一部が必要以上の期間であ
ることが判明して、悪影響が出ないようにそれらを短縮できる場合があります。この方法の
詳細については、「レポートの保存および保持の制御」、「カテゴリ別のデータ保持の指定」、
「データベーステーブル別のデータ保持の指定」を参照してください。
•
バックアップとレポートの負荷を軽減します。レポートとバックアップをリモートサーバ
に保存することによって、Prime Infrastructure サーバ上のスペースを節約できます。詳細につ
いては、「リモートバックアップリポジトリの使用」を参照してください。
•
新しいサーバに移行します。現在よりも 1 つ上のレベルの物理または仮想アプライアンスの
RAM、ディスク領域、およびプロセッサの最小要件を満たす新しいサーバをセットアップし
ます。既存のシステムをバックアップして、より高いレベルのサーバ上の仮想マシンに復元
します。詳細については、「バックアップと復元を使用した別の OVA への移行」を参照してく
ださい。
関連項目
•
システム要件
•
『Cisco Prime Infrastructure Quick Start Guide』
•
Prime Infrastructureサーバヘルスのモニタリング
•
Prime Infrastructure データベースの圧縮
•
VMware vSphere ドキュメンテーション
•
カテゴリ別のデータ保持の指定
•
データベーステーブル別のデータ保持の指定
•
レポートの保存と保持の制御
•
リモートバックアップリポジトリの使用
•
バックアップと復元を使用した別の仮想アプライアンスへの移行
Prime Infrastructure が管理しているデバイス数の表示
Prime Infrastructure が管理しているデバイスとインターフェイスの総数を確認するには、
[Administration] > [Licenses and Software Updates] > [Licenses] の順に選択します。
システムのディスク領域の総使用量を確認するには、[Administration] > [Settings] > [Appliance]
の順に選択してから、[Appliance Status] タブをクリックします。次に、[Inventory] の下の [Disk
Usage] を展開します。
関連項目
•
OVA サイズとシステムリソースの評価
•
Prime Infrastructure のパフォーマンスの向上
Cisco Prime Infrastructure 3.0 管理者ガイド
4-5
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure のパフォーマンスの向上
Prime Infrastructure のパフォーマンスの向上
Prime Infrastructure の速度と拡張性は、いくつかの手法で向上できます。　関連項目
•
サーバの調整
•
Prime Infrastructure データベースの圧縮
•
クライアントパフォーマンスの設定
•
保証処理のメモリ最適化
•
保証メモリ割り当てと需要のモニタリング
サーバの調整
Prime Infrastructure サーバとその仮想マシン（または VM）に割り当てる RAM、CPU、およびディ
スク領域の量を増やすことによって、Prime Infrastructure のパフォーマンスと拡張性を向上させ
ることができます。
サーバを適切に調整するには、次のワークフローを実行する必要があります。
1.
VM の変更には失敗のリスクが伴います。VM に変更を加える前にアプリケーションバック
アップを作成してください（詳細については「関連項目」の「アプリケーションバックアップ
のトリガー」を参照）。
2.
[Server Tuning] オプションは、デフォルトで有効になっていますが、VM に変更を加える前に有効
になっていることを確認する必要があります（「再起動中のサーバ調整の有効化」を参照）。
3.
VM でリソース変更を実行してから、VM とサーバを再起動します（「VMware vSphere クライ
アントを使用する VM のリソース割り当ての変更」を参照）。
関連項目
•
アプリケーションバックアップのトリガー
•
再起動中のサーバ調整の有効化
•
VMware vSphere クライアントを使用する VM のリソース割り当ての変更
•
Prime Infrastructure のパフォーマンスの向上
再起動中のサーバ調整の有効化
システムの起動時に、Prime Infrastructure サーバは、VM ハードウェア割り当ての変更を調査し
て、拡張されたリソースを使用するように自動的に調整します。
[Enable Server Tuning during restart] オプションはデフォルトで有効になっており、通常の環境で
はこの設定を変更する必要はありません。Prime Infrastructure サーバが、RAM やディスク領域の
割り当て増加などのハードウェアへの最新の変更を活用していないことが判明した場合は、次
の手順に従って調整機能が有効になっていることを確認してください。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Server Tuning] の順に選択します。
ステップ 2
[Enable Server Tuning during restart] チェックボックスをオンにして、[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-6
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure のパフォーマンスの向上
関連項目
•
サーバの調整
•
Prime Infrastructure のパフォーマンスの向上
VMware vSphere クライアントを使用する VM のリソース割り当ての変更
次の手順を使用して、仮想アプライアンスの RAM、CPU、またはディスク領域リソースの割り当
てを変更します。
この種の変更を試みる前に、Prime Infrastructure サーバのバックアップを実行してください（「関
連項目」の「Prime Infrastructure のバックアップおよび復元」を参照）。
インストール後に RAM、CPU、またはディスク領域リソースの割り当てを拡張した場合、コンプ
ライアンスサービス機能は動作しない点に注意してください。
ヒント
パフォーマンスを向上させるために：Prime Infrastructure を実行する仮想マシンの RAM および
CPU リソースの割り当てを使用する際、同じハードウェアで実行する仮想マシンが複数ある場
合は、vSphere クライアントの [Resource Allocation] タブを使用して、RAM および CPU リソース
予約も変更することを推奨します。詳細については、「関連項目」の「VMware vSphere ドキュメン
テーション」を参照してください。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
ncs stop コマンドを使用して Prime Infrastructure を停止します（「Prime Infrastructure の停止」を
参照）。
ステップ 3
VMware 仮想アプライアンスを停止します。
PIServer/admin#
halt
ステップ 4
vSphere クライアントを起動して、仮想アプライアンスを右クリックしてから、[Edit Settings] を
クリックします。
ステップ 5
RAM の割り当てを変更するには、[Memory] を選択し、必要に応じて、[Memory Size] を変更しま
す。次に [OK] をクリックします。
ステップ 6
CPU の割り当てを変更するには、[CPUs] を選択して、ドロップダウンリストから [Number of
Virtual Processors] を選択します。次に [OK] をクリックします。
ステップ 7
新しいディスクを追加するには、次の手順を実行します（既存ディスクの領域を拡張することは
できません）。
ステップ 8
a.
[Add] をクリックします。
b.
[Hard Disk] を選択して、[Next] をクリックします。
c.
[Create a new virtual disk] をオンにしてから、[Next] をクリックします。
d.
必要な [Disk Size] を入力して、新しい仮想ディスクの [Location] を指定し、[Next] をクリック
します。
e.
[Advanced Options] が表示されたら、[Next] をクリックして、[Finish] をクリックします。
仮想アプライアンスの電源をオンにします（「Prime Infrastructure の再起動」を参照）。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-7
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure のパフォーマンスの向上
関連項目
•
Prime Infrastructure のバックアップと復元
•
VMware vSphere ドキュメンテーション
•
CLI 経由の接続
•
Prime Infrastructure の停止
•
Prime Infrastructure の再起動
•
Prime Infrastructure のパフォーマンスの向上
Prime Infrastructure データベースの圧縮
Prime Infrastructure データベースを圧縮することによって、ディスク領域を再利用できます。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、アプリケーションデータベースを圧縮します。
PIServer/admin#
ステップ 3
ncs cleanup
プロンプトが表示されたら、[deep cleanup] オプションで[Yes] を選択します。
関連項目
•
CLI 経由の接続
•
Prime Infrastructure のパフォーマンスの向上
クライアントパフォーマンスの設定
Prime Infrastructure多くのクライアントプロセスを設定することで、パフォーマンスと拡張性を
向上させることができます（「関連項目」を参照）。
関連項目
•
自動クライアントトラブルシューティングの有効化
•
DNS ホスト名ルックアップの有効化
•
クライアントアソシエーション履歴データの保持期間の指定
•
クライアントトラップ/Syslog 受信中のクライアントのポーリング
•
イベントとしてのクライアントトラップの保存
•
802.1x および 802.11 クライアントトラップのイベントとしての保存
•
Prime Infrastructure のパフォーマンスの向上
Cisco Prime Infrastructure 3.0 管理者ガイド
4-8
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure のパフォーマンスの向上
自動クライアントトラブルシューティングの有効化
[Administration] > [Settings] > [System Settings] > [Client and User] > [Client] ページでは、Cisco
Compatible Extensions（CCX）を実行しているサードパーティ製ワイヤレスクライアントに対し
て、診断チャネルによる自動クライアントトラブルシューティングを有効にできます。
この機能が有効になっている場合は、Prime Infrastructure が、CCX クライアントごとに一連のテ
ストを呼び出す client ccx test-association トラップを処理します。すべてのタスクが完了した時
点でクライアントが更新され、自動トラブルシューティングレポートが生成されます
（dist/acs/win/webnms/logs に配置されます）。テストが完了するたびに、クライアント詳細情報
ページ、V5 または V6 タブ、および [Automated Troubleshooting Report] エリアでテストログの場
所が更新されます。ログをエクスポートするには、[Export] をクリックします。
この機能が有効になっていない場合は、Prime Infrastructure がトラップを処理しますが、自動ト
ラブルシューティングは開始されません。
自動クライアントトラブルシューティングは、CCX バージョン 5 または 6 を実行しているクラ
イアントのみ使用できます。CCX 認定パートナーメーカーと CCX クライアントデバイスのリ
ストについては、下記の「関連項目」のリンクから「Cisco Compatible Extensions クライアントデバ
イス」のページを参照してください。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Client and User] > [Client] の順に選択します。
[Client] ページが表示されます。
ステップ 2
[Process Diagnostic Trap] エリアで、[Automatically troubleshoot client on diagnostic channel] チェッ
クボックスをオンにして、[Save] をクリックします。
関連項目
•
「Cisco Compatible Extensions クライアントデバイス」のページ
•
クライアントパフォーマンスの設定
•
Prime Infrastructure のパフォーマンスの向上
DNS ホスト名ルックアップの有効化
DNS ルックアップには膨大な時間がかかるため、Prime Infrastructure ではデフォルトでその機能
が無効になっています。
クライアントホスト名の DNS ルックアップを有効または無効にしたり、Prime Infrastructure が
以前の DNS ルックアップの結果をキャッシュに保持する期間を変更したりできます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Client and User] > [Client] の順に選択します。
ステップ 2
[Lookup client host names from DNS server] チェックボックスをオンにします。
ステップ 3
ホスト名をキャッシュに保持しておく日数を入力して、[Save] をクリックします。
関連項目
•
クライアントパフォーマンスの設定
•
Prime Infrastructure のパフォーマンスの向上
Cisco Prime Infrastructure 3.0 管理者ガイド
4-9
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure のパフォーマンスの向上
クライアントアソシエーション履歴データの保持期間の指定
クライアントアソシエーション履歴は、多くのデータベース領域およびディスク領域を使用す
る場合があります。これは、データベースのバックアップおよび復元機能において、問題となる
場合があります。クライアントアソシエーション履歴の保持期間を設定して、この潜在的な問題
を管理しやすくすることができます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Client and User] > [Client] の順に選択します。
ステップ 2
[Data Retention] で、必要に応じて次のパラメータを変更します。
ステップ 3
•
Dissociated Clients：Prime Infrastructure にデータを保持させる日数を入力します。有効な範
囲は 1 ～ 30 日です。
•
Client session history：Prime Infrastructure にデータを保持させる日数を入力します。有効な範
囲は 7 ～ 365 日です。
•
Number of Rows To Keep：維持するクライアントセッションレコードの最大数を入力しま
す。デフォルトは 8,000,000 です。
[Save] をクリックします。
関連項目
•
クライアントパフォーマンスの設定
•
Prime Infrastructure のパフォーマンスの向上
クライアントトラップ/Syslog 受信中のクライアントのポーリング
通常の環境で、Prime Infrastructure は、数分単位で定期的にクライアントをポーリングして、その
間のセッション情報を特定します。また、Prime Infrastructure に、トラップや Syslog の受信直後に
クライアントをポーリングするように指示することもできます。これは、新しいクライアントと
そのセッションを迅速に検出するのに役立ちます。
このオプションは、Prime Infrastructure のパフォーマンスに影響を与える可能性があるため、デ
フォルトで無効になっています。複数のクライアントからなる高負荷ネットワークでは、クライ
アントがローミングとアソシエーション/ディスアソシエーションを頻繁に繰り返すピーク時に
は大量のトラップおよび Syslog が発生する可能性が特に高まります。この場合、トラップや
Syslog を受け取るたびにクライアントをポーリングすると、不要な処理負荷が発生する可能性
があります。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Client] の順に選択します。
ステップ 2
[Poll clients when client traps/syslogs received] チェックボックスをオンにします。Prime
Infrastructure は、トラップまたは Syslog を受信した直後にクライアントをポーリングして、ク
ライアントセッションを特定します。
ステップ 3
[Save] をクリックします。
関連項目
•
クライアントパフォーマンスの設定
•
Prime Infrastructure のパフォーマンスの向上
Cisco Prime Infrastructure 3.0 管理者ガイド
4-10
第4章
Prime Infrastructure サーバヘルスの維持
保証処理のメモリ最適化
イベントとしてのクライアントトラップの保存
導入環境によっては、Prime Infrastructure が大量のクライアントアソシエーショントラップと
ディスアソシエーショントラップを受信する場合があります。これらのトラップをイベントと
して保存すると、サーバのパフォーマンスが低下する可能性があります。また、保存するトラップ
量が多すぎて、他の有益なイベントが予想よりも早く期限切れになる可能性があります。
Prime Infrastructure がクライアントアソシエーションおよびディスアソシエーショントラップ
をイベントとして保存しないようにするには、次の手順を実行します。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Client] の順に選択します。
ステップ 2
[Save client association and disassociation traps as events] チェックボックスをオフにします。
ステップ 3
[Save] をクリックして、この設定の変更を確定します。このオプションは、デフォルトで無効です。
関連項目
•
クライアントパフォーマンスの設定
•
Prime Infrastructure のパフォーマンスの向上
802.1x および 802.11 クライアントトラップのイベントとしての保存
デバッグ用に、[Save 802.1x and 802.11 client authentication failed traps as events] を有効にする必要
があります。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Client] の順に選択します。
ステップ 2
[Save 802.1x and 802.11 client authentication fail traps as events] チェックボックスをオンにします。
ステップ 3
[Save] をクリックして、この設定の変更を確定します。
関連項目
•
クライアントパフォーマンスの設定
•
Prime Infrastructure のパフォーマンスの向上
保証処理のメモリ最適化
Prime Infrastructure の保証機能は、NAM などのデバイスによって Prime Infrastructure サーバに転
送される大量の NetFlow データに大きく依存します。Prime Infrastructure は NetFlow データを保
存する前に常に集約するため、適切なデータによって保証機能をサポートすることはメモリイ
ンテンシブプロセスです。
集約時に NetFlow データを保持するための作業メモリを増やすことにより、Prime Infrastructure
はこのジョブをより迅速かつ効率的に行うことができます。これは、組織が保証機能のライセン
スを取得し、それらを多用する場合、重要なパフォーマンス向上につながる可能性があります。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-11
第4章
Prime Infrastructure サーバヘルスの維持
保証処理のメモリ最適化
Prime Infrastructure は次の処理に関する支援機能を提供します。
•
現在、保証関連データ処理に割り当てられているメモリ量、および完全に個別の保証機能が
そのメモリプールをどのように使用しているかを識別する。
•
保証関連データを処理するために使用されるメモリのデフォルトプールを増やす。
•
個々の保証機能に割り当てられるメモリのバランスを取り、メモリを最も必要としている機
能に必要なメモリが割り当てられるようにする。
これらの機能を使用して得られるパフォーマンス向上の量は、利用可能なメモリと保証機能の
使用法によって異なりますが、相当なものになる可能性があります。例：推奨される最小ハード
ウェア Prime Infrastructure に実装される Prime Infrastructure Professional が単一の 5 分の集約サ
イクルで最大 414,000 の NetFlow ホストレコードを処理できるとします。保証メモリ最適化に
より、同じタイプのデータの最大処理量はサイクルごとに 800,000 レコード近くになります。
保証メモリ割り当てのバランスを取らずに保証メモリプールを拡張することも、その逆も可能
です。　ただし、これら 2 つの最適化オプションをともに使用することは、保証機能を使用した
場合の Prime Infrastructure のパフォーマンスを向上する最善の方法です。　関連項目
•
保証メモリ割り当てと需要のモニタリング
•
CLI 経由の保証メモリプールの増加
•
保証メモリ割り当てのバランス調整
•
保証のメモリ割り当てのリセット
•
保証メモリプールのリセット
保証メモリ割り当てと需要のモニタリング
Prime Infrastructure の現在の保証関連のメモリ割り当てと使用率をすぐに確認できます。
ステップ 1
[Services] > [Application Visibility & Control] > [Data Sources] の順に選択します。
ステップ 2
[Assurance Memory Statistics] テキストリンク（ページの右上）を選択します。Prime Infrastructure
は次の内容を表示します。
•
主要な保証機能カテゴリ（トラフィック、パフォーマンスルーティング、アプリケーション、
音声/ビデオデータ、デバイスヘルス、Lync およびその他のデータなど）各部に対する、現在
のメモリ割り当て量（メガバイト単位）。
•
過去 24 時間の各エリアのメモリ使用割り当ての使用率。この割合は該当期間中のピーク時
のメモリ使用率を表します（つまり、過去 24 時間のいずれかの時点でメモリ割り当ての 100 %
が使用されている場合、表示される使用率パーセンテージは 100 % になります）。
関連項目
•
保証処理のメモリ最適化
•
CLI 経由の保証メモリプールの増加
•
保証メモリ割り当てのバランス調整
Cisco Prime Infrastructure 3.0 管理者ガイド
4-12
第4章
Prime Infrastructure サーバヘルスの維持
保証処理のメモリ最適化
CLI 経由の保証メモリプールの増加
Prime Infrastructure コマンドラインを使用して、すべてのタイプの保証関連データ処理に、より
多くのメモリを割り当てることができます。ncs tune-resources assurance コマンドを使用する
と、サーバの再起動が必要になることに注意してください。再起動後、サーバはすべての保証関
連データ処理に割り当てられたメモリの合計プールを増やします。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力します。
PIServer/admin#
ステップ 3
ncs tune-resources assurance
Prime Infrastructure サーバを再起動します（「Prime Infrastructure の再起動」を参照）。
関連項目
•
CLI 経由の接続
•
Prime Infrastructure の再起動
•
保証処理のメモリ最適化
保証メモリ割り当てのバランス調整
Prime Infrastructure インターフェイスを使用して、保証関連データ処理の各カテゴリに対する合
計保証メモリプールのバランスを自動的に調整し、メモリを最も必要とする保証機能に割り当
てることができます。
ステップ 1
[Services] > [Application Visibility & Control] > [Data Sources] の順に選択します。
ステップ 2
[Assurance Memory Statistics] テキストリンク（[Data Sources] ページの右上）を選択します。
ステップ 3
[Rebalance] をクリックします。
Prime Infrastructure は必要に応じて、個々の機能に対する保証メモリ割り当てを変更し、あまり
使用されていない機能への割り当てを減らし、過去 24 時間の使用率が 100 % またはその付近に
ある機能への割り当てを増やします。
関連項目
•
保証処理のメモリ最適化
Cisco Prime Infrastructure 3.0 管理者ガイド
4-13
第4章
Prime Infrastructure サーバヘルスの維持
保証処理のメモリ最適化
保証のメモリ割り当てのリセット
Prime Infrastructure インターフェイスを使用して、保証メモリバランス調整をキャンセルし、
各保証関連機能の割り当てをデフォルト値に戻すことができます。
ステップ 1
[Services] > [Application Visibility & Control] > [Data Sources] の順に選択します。
ステップ 2
[Assurance Memory Statistics] テキストリンク（[Data Sources] ページの右上）を選択します。
ステップ 3
[Reset] をクリックします。
関連項目
•
保証処理のメモリ最適化
保証メモリプールのリセット
Prime Infrastructure コマンドラインを使用して、保証メモリプールをデフォルトの割り当てに戻
すことができます。この際は、「CLI 経由の保証メモリプールの増加」の説明に従って ncs
tune-resources assurance コマンドを使用し、作成したすべての変更を無効化します。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力します。
PIServer/admin#
ステップ 3
ncs tune-resources default
Prime Infrastructure サーバを再起動します（「Prime Infrastructure の再起動」を参照）。
関連項目
•
CLI 経由の保証メモリプールの増加
•
CLI 経由の接続
•
Prime Infrastructure の再起動
•
保証処理のメモリ最適化
Cisco Prime Infrastructure 3.0 管理者ガイド
4-14
第4章
Prime Infrastructure サーバヘルスの維持
データソースの管理
データソースの管理
Prime Infrastructure は、さまざまなソースに依存することにより、デバイス、パフォーマンス、保
証データの正確な収集およびレポート作成を実行します。これらのソースとしては、NAM など
の専門モニタリングデバイスのほか、Cisco Medianet、NetFlow、Network Based Application
Recognition（NBAR）、Performance Monitoring（PerfMon）、Performance Agent などの通常デバイス
上で実行されるプロトコルなどもあります。
アクティブなソースから正確なデータのみが収集されるようにするには、これらのソースの管
理が必要となります。[Data Sources] ページを使用すれば、現在のデータソースを確認し、無効に
なったデータソースを削除することができます。
ダッシュレットで使用されるデータソースの詳細については、「関連項目」の「高度なモニタリン
グ」を参照してください。個々のデータソースのセットアップの詳細については、同じく「関連項
目」の「管理者のセットアップタスク」のデータソース設定に関するセクションを参照してくだ
さい。
関連項目
•
現在のデータソースの表示
•
データソースの削除
•
現在のデータソースの表示
•
詳細モニタリング
•
管理者の設定タスク
•
保証付き Prime Infrastructure のデータソースの設定
•
Medianet NetFlow のイネーブル化
•
NetFlow と Flexible NetFlow のイネーブル化
•
Network Analysis Module（NAM）の導入
•
Performance Agent の有効化
現在のデータソースの表示
[Data Sources] ページを使用することにより、Prime Infrastructure の現在のデータソースを表示
できます。このページにアクセスするには、管理者権限が必要です。
ステップ 1
[Services] > [Application Visibility & Control] > [Data Sources] の順に選択します。Prime
Infrastructure は、各デバイスデータソースの一覧を示すサマリページを表示します。
•
Device Name：データソースの名前
•
Data Source：データソースの IP アドレス
•
Type：このソースが Prime Infrastructure に送信しているデータのタイプ（“Netflow” など）
•
Exporting Device：データを Prime Infrastructure にエクスポートするデバイスの IP アドレス
•
Last 5 min Flow Read Rate：過去 5 分間に Prime Infrastructure がこのソースから受け取った
データの量
•
Last Active Time：Prime Infrastructure がこのソースから最後にデータを受け取った日付と
時刻
Cisco Prime Infrastructure 3.0 管理者ガイド
4-15
第4章
Prime Infrastructure サーバヘルスの維持
データソースの管理
ページには、Cisco NAM データコレクターソースごとに、次の項目が一覧表示されます。
•
Name：NAM のホスト名。
•
Type：NAM が収集して Prime Infrastructure に送信するデータのタイプ（「Cisco Branch
Routers Series Network Analysis Module」など）。
•
Host IP Address：NAM の IP アドレス。
•
Data Usage in System：この NAM によって転送されたデータについて、Prime Infrastructure で
の使用が有効化されたかどうか。
•
Last Active Time：Prime Infrastructure がこの NAM から最後にデータを受け取った日付と
時刻。
関連項目
•
特別な管理タスクの実行
•
データソースの削除
データソースの削除
[Data Sources] ページを使用することにより、Prime Infrastructure の無効なデータソースを削除
できます。このページにアクセスするには、管理者権限が必要です。
NetFlow データソースは、そこから最後にデータを受け取った日から丸 7 日が経過するまでは削
除できません。この時間差により、NetFlow データソースが廃棄済みであることをネットワーク
オペレータが確認する時間（丸 1 週間）が確保されるため、NetFlow データ（ソースに従って Prime
Infrastructure が識別および集約するデータ）の整合性保護が可能になります。その期間中にソー
スがアクティブであり続け、かつ Prime Infrastructure にデータを送信する場合、そこからのデー
タは、同一ソース（新しいソースとしては識別されない）からの別のデータと共に、引き続き正し
く識別および集約されます。
ステップ 1
[Services] > [Application Visibility & Control] > [Data Sources] の順に選択します。
ステップ 2
削除する無効データソースの隣にあるチェックボックスをオンにします。
ステップ 3
[Delete] をクリックします。
ステップ 4
[OK] をクリックして、削除を実行します。
関連項目
•
特別な管理タスクの実行
•
現在のデータソースの表示
Cisco Prime Infrastructure 3.0 管理者ガイド
4-16
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
特別な管理タスクの実行
Prime Infrastructure は、管理者に、次のような頻度の低いさまざまなタスクを実行するための特
別なアクセス権を提供しています。
•
SSH コマンドラインインターフェイス（CLI）セッション経由のサーバへの接続。
•
サーバのハードウェアセットアップとリソース割り当ての変更。
•
Prime Infrastructure サービスの開始、停止、およびステータスチェック。
•
CLI 経由でのみアクセス可能な Prime Infrastructure プロセスの実行。
•
特別なタスクを行うユーザ ID のパスワードの変更などのアクセス権限の管理。
•
Prime Infrastructure の削除またはリセット。
関連項目
•
CLI 経由の接続
•
Prime Infrastructure の起動
•
Prime Infrastructure サーバステータスの確認
•
Prime Infrastructure バージョンおよびパッチステータスの確認
•
Prime Infrastructure の停止
•
Prime Infrastructure の再起動
•
Prime Infrastructure の削除
•
Prime Infrastructure のデフォルトへのリセット
•
物理アプライアンスのクリーンな状態への復元
•
Prime Infrastructure ホスト名の変更
•
FTP ユーザの有効化
•
ルートユーザパスワードの変更
•
仮想アプライアンスの管理者パスワードの回復
•
物理アプライアンスの管理者パスワードの回復
•
インストール ISO イメージの取得
•
ハイアベイラビリティステータスの確認
Cisco Prime Infrastructure 3.0 管理者ガイド
4-17
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
CLI 経由の接続
管理者は、コマンドラインインターフェイス（CLI）経由で Prime Infrastructure サーバに接続でき
ます。CLI アクセスは、Prime Infrastructure CLI 経由でのみアクセス可能なコマンドとプロセスを
実行しなければならない場合に必要です。これらには、サーバの起動および停止、ステータスの
確認などを行うコマンドが含まれます。
手順を開始する前に、次の点を確認してください。
•
そのサーバまたはアプライアンスへの CLI アクセス権を持っている管理ユーザのユーザ ID
とパスワードがわかっていること。明示的に禁止されていない限り、すべての管理ユーザに
は CLI アクセス権が与えられます。
•
Prime Infrastructure サーバの IP アドレスまたはホスト名がわかっていること。
ステップ 1
SSH クライアントを起動し、ローカルマシンのコマンドラインから SSH セッションを開始する
か、Prime Infrastructure の物理アプライアンスあるいは仮想アプライアンス上の専用コンソール
に接続します。
ステップ 2
以下のいずれかの方法でログインします。
a.
GUI クライアントを使用している場合：CLI アクセス権を持つアクティブな管理者の ID と
Prime Infrastructure サーバの IP アドレスまたはホスト名を入力します。その後で、接続を開
始します。
または
b.
コマンドラインクライアントまたはセッションを使用している場合、次のようなコマンド
を使用してログインします。
[localhost]#
ssh username@IPHost
それぞれの説明は次のとおりです。
– username は、そのサーバへの CLI アクセス権を持つ Prime Infrastructure 管理者のユーザ
ID です。
– IPHost は、Prime Infrastructure サーバまたはアプライアンスの IP アドレスまたはホスト
名です。
または
c.
コンソールを使用している場合：管理者ユーザ名を入力するためのプロンプトが表示されま
す。ユーザ名を入力します。
その後、Prime Infrastructure から、入力された管理者 ID のパスワードの入力が要求されます。
ステップ 3
管理 ID パスワードを入力します。Prime Infrastructure に PIServer/admin# のようなコマンドプロ
ンプトが表示されます。
ステップ 4
入力する必要があるコマンドによって、「configure terminal」モードに入ることが必須である場
合、プロンプトで次のコマンドを入力します。
PIServer/admin#
configure terminal
プロンプトが PIServer/admin# から PIServer/admin/conf# に変わります。
関連項目
•
特別な管理タスクの実行
Cisco Prime Infrastructure 3.0 管理者ガイド
4-18
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
Prime Infrastructure の起動
アップグレード後は、Prime Infrastructure を起動する必要があります。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、Prime Infrastructure サーバまたはアプライアンスを起動します。
PIServer/admin#
ncs start
関連項目
•
CLI 経由の接続
•
Prime Infrastructure の停止
•
Prime Infrastructure の再起動
•
特別な管理タスクの実行
Prime Infrastructure サーバステータスの確認
すべての Prime Infrastructure サーバまたはアプライアンスプロセスのステータスはサーバを停
止せずにいつでも確認できます。テクニカルサポート担当者が、Prime Infrastructure に関する問
題をトラブルシューティングするときにこのタスクの実行を要請する場合があります。
Admin Dashboard 上のダッシュレットを使用して、サーバの現在のヘルスをチェックすることも
できます（「Prime Infrastructure ヘルスのモニタリング」を参照）。
ncs ha status コマンドを使用して、サーバで有効になっているハイアベイラビリティオプショ
ンのステータスを確認できます（「ハイアベイラビリティステータスの確認」を参照）。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、Prime Infrastructure のプロセスとサービスの現在のステータスを表示
します。
PIServer/admin#
ncs status
関連項目
•
CLI 経由の接続
•
Prime Infrastructureサーバヘルスのモニタリング
•
ハイアベイラビリティステータスの確認
•
特別な管理タスクの実行
Cisco Prime Infrastructure 3.0 管理者ガイド
4-19
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
Prime Infrastructure バージョンおよびパッチステータスの確認
Prime Infrastructure サーバのバージョンと適用されているパッチは、サーバを停止せずにいつで
も確認できます。通常この確認は、サーバソフトウェアをアップグレードまたはパッチ適用する
ときに必要になります。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、Prime Infrastructure のプロセスとサービスの現在のステータスを表示
します。
PIServer/admin#
show version
関連項目
•
CLI 経由の接続
•
特別な管理タスクの実行
Prime Infrastructure の停止
コマンドラインインターフェイスを使用して、Prime Infrastructure サーバまたはアプライアンス
をいつでも停止できます。Prime Infrastructure の停止時にログインしていたすべてのユーザの
セッションが機能を停止します。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、Prime Infrastructure サーバまたはアプライアンスを停止します。
PIServer/admin#
ncs stop
関連項目
•
CLI 経由の接続
•
特別な管理タスクの実行
Prime Infrastructure の再起動
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、Prime Infrastructure サーバまたはアプライアンスを停止します。
PIServer/admin#
ncs stop
ステップ 3
1 つ前のコマンドが完了するまで待機します。
ステップ 4
次のコマンドを入力して、Prime Infrastructure サーバまたはアプライアンスを再起動します。
PIServer/admin#
ncs start
Cisco Prime Infrastructure 3.0 管理者ガイド
4-20
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
関連項目
•
CLI 経由の接続
•
特別な管理タスクの実行
Prime Infrastructure の削除
クリーンな「ゼロから」の再インストールを準備するために、Prime Infrastructure を削除する必要
が生じることがあります。これは次の手順で実行できます。
この手順によって、すべてのサーバ設定およびローカルバックアップなど、サーバ上の既存の
データがすべて削除されることに注意してください。リモートバックアップを持っていない場
合、またはディスクレベルのデータリカバリ方法を使用できない場合、データを復元できません。
ステップ 1
サーバを停止します（「Prime Infrastructure の停止」を参照）。
ステップ 2
VMware vSphere クライアントで、Prime Infrastructure 仮想アプライアンスを右クリックします。
ステップ 3
仮想アプライアンスの電源を切ります。
ステップ 4
電源をオフにした仮想アプライアンスを右クリックし、[Delete from Disk option] を選択します。
関連項目
•
Prime Infrastructure の停止
•
特別な管理タスクの実行
Prime Infrastructure のデフォルトへのリセット
Prime Infrastructure サーバを出荷時の初期状態にリセットし、すべてのユーザデータとカスタマ
イズを削除する一方で、インストール環境自体は維持する必要が生じることがあります。これは
次の手順で実行できます。
この手順により、Prime Infrastructure に付属するデフォルトの設定を除いて、サーバホスト上の
既存のデータがすべて削除されることに注意してください。リモートバックアップを持ってい
ない場合、またはディスクレベルのデータリカバリ方法を使用できない場合、データを復元で
きません。
ステップ 1
サーバを停止します（「Prime Infrastructure の停止」を参照）。
ステップ 2
インストールされている Prime Infrastructure 仮想または物理アプライアンスサーバソフトウェ
アのバージョンに該当するインストール ISO イメージをダウンロードして、DVD に書き込みま
す（「インストール ISO イメージの取得」を参照）。
ステップ 3
仮想アプライアンスの電源を切ります。
ステップ 4
DVD からホストをブートすることによって、アプライアンスまたは OVA を再インストールし
ます。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-21
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
関連項目
•
Prime Infrastructure の停止
•
インストール ISO イメージの取得
•
特別な管理タスクの実行
物理アプライアンスのクリーンな状態への復元
RMA 返品やその他のハードウェア処分に備えて、Prime Infrastructure 物理アプライアンスをク
リーンな状態に復元することを推奨します。
この手順によって、すべてのサーバ設定、ローカルバックアップ、および Prime Infrastructure ソフ
トウェアなど、サーバ上の既存のデータがすべて削除されることに注意してください。リモート
バックアップがない場合、データを復元できなくなくなります。ホストをクリーンな状態へ復元
すると、ディスクレベルのデータリカバリが防止され、データセキュリティも確保されます。
ステップ 1
サーバを停止します（「Prime Infrastructure の停止」を参照）。
ステップ 2
物理アプライアンスの電源を切り、入れ直します。
ステップ 3
ブートシーケンス中に、画面の指示に従って、Ctrl+H を押します。コンソールに RAID 設定画面
が表示されます。
ステップ 4
Prime Infrastructure サーバを含む仮想ドライブをクリックします。
ステップ 5
[slow init] を選択して、ハードドライブを再初期化します。物理アプライアンスは、ドライブ全体
をゼロで上書きします。
関連項目
•
Prime Infrastructure の停止
•
特別な管理タスクの実行
Prime Infrastructure ホスト名の変更
Prime Infrastructure サーバをインストールする際、ホスト名の入力を要求されます。さまざまな
理由で、Prime Infrastructure サーバ上のホスト名と別の場所にあるホスト名との間で不一致が発
生することがあります。その場合、サーバ上のホスト名を変更することによって、再インストー
ルせずに回復できます。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。必ず
「configure terminal」モードにしてください。
ステップ 2
次のコマンドを入力します。
PIServer/admin(config)#
hostname newHostName
ここで、newHostName は Prime Infrastructure サーバに割り当てる新しいホスト名です。
ステップ 3
Prime Infrastructure の再起動の説明に従い、ncs stop コマンドと ncs start コマンドを使用して、
Prime Infrastructure サーバを再起動します。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-22
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
関連項目
•
CLI 経由の接続
•
Prime Infrastructure の再起動
•
特別な管理タスクの実行
FTP ユーザの有効化
ファイル転送およびソフトウェアイメージ管理用の FTP サーバとして Prime Infrastructure を使
用する場合、管理者は FTP アカウントを設定する必要があります。アカウントを有効化して、パ
スワードを設定するには、次の手順を実行します。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力します。
PIServer/admin#ncs password ftpuser username password password
それぞれの説明は次のとおりです。
•
username
は、管理者権限を持つ既存の Prime Infrastructure ユーザ ID です。
•
password
は、username のログインパスワードです。
次に例を示します。
pi-system-999/admin# ncs password ftpuser root password MyPassword
Initializing...
Updating FTP password.
This may take a few minutes...
Successfully updated location ftp user
pi-system-999/admin#
関連項目
•
CLI 経由の接続
•
特別な管理タスクの実行
ルートユーザパスワードの変更
Prime Infrastructure は、「root」ID を使用して、サーバまたはアプライアンスのオペレーティング
システムに対するルートアクセスが必要な特別なタスクを実行します。管理者は、「root」ユーザ
パスワードがわかっている場合にのみ、この特別な管理 ID に関連付けられたパスワードを変更
できます。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
サーバ上のルート権限を前提とします。次に例を示します。
PIServer/admin# root
Enter root password:
Starting root bash shell...
ade #
Cisco Prime Infrastructure 3.0 管理者ガイド
4-23
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
ステップ 3
次のコマンドを入力します。
PIServer/admin#
ncs password root password password
ここで、password は root ユーザのログインパスワードです。80 文字までのパスワードを入力で
きます。
次に例を示します。
PIServer/admin# ncs password root password #password#
pi-system-198/admin# ncs password root password #password#
Password updated for web root user
pi-system-198/admin#
ステップ 4
root アクセスを開いたままにしないために、ルートモードを終了します。
PIServer/admin#
ncs password ftpuser username password password
関連項目
•
CLI 経由の接続
•
特別な管理タスクの実行
仮想アプライアンスの管理者パスワードの回復
独自のハードウェアにインストールされた Prime Infrastructure 仮想マシン（別名 OVA）上で管理
者パスワードを回復（つまり、リセット）することができます。
はじめる前に
次の条件が満たされていることを確認します。
•
Prime Infrastructure サーバに対する物理アクセス。
•
ソフトウェアのバージョンに適切なインストール ISO イメージのコピー。「関連項目」の「イ
ンストール ISO イメージの取得」を参照してください。
•
VMware vSphere クライアントへのアクセスと、vSphere インベントリ、データストア、および
オブジェクトの各機能へのアクセス。このようなアクセスがない場合は、VMware 管理者に
お問い合わせください。vSphere クライアントから直接 ESX にアクセスしないようにしてく
ださい。
ステップ 1
Prime Infrastructure OVA サーバで、VMware vSphere クライアントを起動します。
ステップ 2
次のように、OVA 仮想マシン上のデータストアにインストール ISO イメージをアップロードし
ます。
a.
vSphere インベントリで、[Datastores] をクリックします。
b.
[Objects] タブで、ファイルをアップロードするデータストアを選択します。
c.
[Navigate to the datastore file browser] アイコンをクリックします。
d.
必要に応じて、[Create a new folder] アイコンをクリックして、新しいフォルダを作成します。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-24
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
e.
作成したフォルダを選択するか、既存のフォルダを選択して、[Upload a File] アイコンをク
リックします。
[Client Integration Access Control] ダイアログボックスが表示されたら、[Allow] をクリック
して、プラグインからオペレーティングシステムにアクセスできるようにし、ファイルの
アップロードに進みます。
ステップ 3
ステップ 4
ステップ 5
f.
ローカルコンピュータで、ISO ファイルを検索して、そのファイルをアップロードします。
g.
データストアファイルブラウザを更新して、アップロードされたファイルを一覧表示し
ます。
ISO イメージがデータストアにアップロードされたら、次のように、それをデフォルトのブート
イメージにします。
a.
VMware vSphere クライアントを使用して、導入済みの OVA を右クリックし、[Power] > [Shut
down guest] の順に選択します。
b.
[Edit Settings] > [Hardware] の順に選択して、[CD/DVD drive 1] を選択します。
c.
[Device Type] で、[Datastore ISO File] を選択してから、[Browse] ボタンを使用して、データス
トアにアップロードした ISO イメージファイルを選択します。
d.
[Device Status] で、[Connect at power on] を選択します。
e.
[Options] タブをクリックして、[Boot Options] を選択します。[Force BIOS Setup] で、[Next time
VM boots, force entry into BIOS setup Screen] を選択します。これにより、仮想マシンを再起動
すると、仮想マシンの BIOS からブートが開始されます。
f.
[OK] をクリックします。
g.
VMware vSphere クライアントで、導入済みの OVA を右クリックして、[Power] > [Power On]
の順に選択します。
h.
BIOS セットアップメニューで、デバイスのブート順序を制御するオプションを探して、
[DVD/CDROM] を一番上に移動します。
次の手順に従って、サーバ管理者パスワードをリセットします。
a.
BIOS 設定を保存して、BIOS セットアップメニューを終了します。仮想マシンが ISO イメー
ジからブートし、ブートオプションのリストが表示されます。
b.
キーボードとモニタを使用して OVA にアクセスしている場合は「3」を、コマンドラインま
たはコンソール経由でアクセスしている場合は「4」を入力します。vSphere クライアントに、
管理者ユーザ名のリストが表示されます。
c.
パスワードをリセットする管理者ユーザ名の横に表示された番号を入力します。
d.
新しいパスワードを入力し、2 回目の入力でそれを確認します。
e.
「Y」と入力して、変更を保存し、リブートします。
f.
仮想マシンをリブートした場合：vSphere クライアントを使用して、CD アイコンをクリック
し、[Disconnect ISO image] を選択します。
新しい管理者パスワードを使用してログインします。
関連項目
•
インストール ISO イメージの取得
•
特別な管理タスクの実行
Cisco Prime Infrastructure 3.0 管理者ガイド
4-25
第4章
Prime Infrastructure サーバヘルスの維持
特別な管理タスクの実行
物理アプライアンスの管理者パスワードの回復
Prime Infrastructure の物理アプライアンス上で管理者パスワードを回復（リセット）することが
できます。
はじめる前に
次の条件が満たされていることを確認します。
•
Prime Infrastructure アプライアンスに対する物理アクセス。
•
出荷されたアプライアンスに同梱されているアプライアンスリカバリ CD のコピー。
アプライアンスリカバリ CD を紛失した場合は、「インストール ISO イメージの取得」に記載さ
れているように、ISO イメージのコピーをダウンロードして、DVD に書き込みます。そうすれば、
その DVD を使用して、アプライアンス上で管理者パスワードをリセットすることができます
（詳細な手順については「仮想アプライアンスの管理者パスワードの回復」を参照）。
ステップ 1
アプライアンスリカバリ CD をアプライアンスの光学式ドライブにセットして、アプライアン
スをリブートします。vSphere クライアントに、ブートオプションのリストが表示されます。
ステップ 2
「3」と入力して、[Reset Administrator Password (Keyboard/Monitor)] ブートオプションを選択しま
す。vSphere クライアントに、管理者ユーザ名のリストが表示されます。
ステップ 3
パスワードを回復（リセット）する管理者ユーザ名の横に表示された番号を入力します。
ステップ 4
新しいパスワードを入力し、2 回目の入力でそれを確認します。
ステップ 5
「Y」と入力して、変更を保存し、リブートします。
ステップ 6
新しい管理者パスワードを使用してログインします。
関連項目
•
インストール ISO イメージの取得
•
仮想アプライアンスの管理者パスワードの回復
•
特別な管理タスクの実行
インストール ISO イメージの取得
Prime Infrastructure のインストール ISO イメージのコピーは、管理者パスワードのリセットなど
の特別なメンテナンス作業で必要です。
Prime Infrastructure の ISO イメージファイルの形式は、PI-APL-version-K9.iso です。version は
製品のバージョン番号です。バージョン番号に製品のパッチレベルを示す拡張番号が含まれて
いる場合があります。例：Prime Infrastructure 3.0 の完全更新バージョンを使用している場合は、
ZIP アーカイブファイル PPI-APL-3.0.0.78-1-K9.iso.zip を Cisco.com からダウンロードし、そ
のアーカイブファイルから PI-APL-3.0.0.78-1-K9.iso ISO イメージファイルを展開する必要が
あります。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-26
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure ソフトウェアの最新状態の維持
ISO イメージのコピーを入手していない場合は、次の手順で Cisco.com からダウンロードでき
ます。
ステップ 1
インターネットアクセス可能なブラウザで、Cisco ソフトウェアダウンロードナビゲータにリ
ンクします（「関連項目」を参照）。
ステップ 2
[Find] ボックスを使用して、「Cisco Prime Infrastructure」を検索します。
ステップ 3
結果リストから、使用しているソフトウェアバージョンを選択します（たとえば、Prime
Infrastructure 3.0 を使用している場合は、Cisco Prime Infrastructure 3.0 を選択するなど）。
ステップ 4
[Prime Infrastructure Software] を選択して、そのソフトウェアバージョンの ISO と他のダウン
ロード可能イメージファイルのリストを表示します。
ステップ 5
そのページから ISO イメージをダウンロードします。
ステップ 6
ダウンロードが完了したら、ダウンロードしたファイルの MD5 チェックサムと Cisco.com ダウ
ンロードページでそのファイルに関して表示されたチェックサムが一致していることを確認し
ます。チェックサムが一致していない場合は、ファイルが破損しているため、Cisco.com からダウ
ンロードし直す必要があります。
ステップ 7
ディスク上の ISO イメージが必要な場合：DVD オーサリングソフトウェアを使用して、ISO イ
メージを 2 層 DVD に書き込みます。信頼できる結果を得るために、書き込みは 1 倍速（1X）で行
い、[Verify] オプションをオンにします。
関連項目
•
Cisco ソフトウェアダウンロードナビゲータ
•
特別な管理タスクの実行
•
Cisco Prime Infrastructure Appliance Hardware Installation Guide
Prime Infrastructure ソフトウェアの最新状態の維持
シスコでは、Prime Infrastructure ソフトウェアのアップデートを定期的に提供しています。これ
らのアップデートは、以下のカテゴリに分類されます。
•
重要修正：ソフトウェアの重要な修正を提供します。これらのアップデートが利用可能に
なったら、ただちにこれらのすべてをダウンロードして適用することが強く推奨されます。
•
デバイスサポート：Prime Infrastructure がリリース時点でサポートしていなかったデバイス
を管理するサポートを追加します。これらのアップデートは毎月発行されます。
•
アドオン：現在使用中の Prime Infrastructure バージョンを補完するための新しい機能を提供
します（新しい GUI 画面や機能が含まれることもあります）。
これらのアップデートを検索する方法、およびこれらのリリース時に通知を受け取る方法に関
する詳細は、「関連項目」の「インストール済みのアップデートと利用可能なアップデートの表
示」を参照してください。
Prime Infrastructure が表示するアップデート通知は、[Administration] > [Settings] > [System
Settings] > [Software Update] で指定された通知設定に基づいています。詳細については、「ソフト
ウェアアップデート通知の設定」を参照してください。
これらのアップデートのインストールの詳細については、「Installing and Configuring Cisco
Unified RTMT」を参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-27
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure ソフトウェアの最新状態の維持
Cisco.com アカウントを使用したソフトウェアアップデート通知およびインストールの簡素化
の詳細については、、「Prime Infrastructure での Cisco.com アカウントクレデンシャルの使用」を
参照してください。
関連項目
•
インストール済みのソフトウェアアップデートと利用可能なソフトウェアアップデートの
表示
•
ソフトウェアアップデート通知の設定
•
ソフトウェアアップデートのインストール
•
Prime Infrastructure での Cisco.com アカウントクレデンシャルの使用
インストール済みのソフトウェアアップデートと利用可能なソフト
ウェアアップデートの表示
Prime Infrastructure を使用して次のことができます。
•
新しいソフトウェアアップデートが利用可能になったときに通知を受け取る。
•
新しいソフトウェアアップデートが利用可能になったときの通知方法とタイミングを変更
する。
•
それぞれのアップデートの詳細を表示する。
•
どのソフトウェアアップデートがインストール済みかを確認する。
これらの作業の実行方法について、以降の項目で説明します。
関連項目
•
ソフトウェアアップデート通知の取得
•
ソフトウェアアップデート通知の設定
•
インストール済みのソフトウェアアップデートの詳細の表示
•
ログインページからのインストール済みアップデートの表示
•
バージョン情報ページからのインストール済みアップデートの表示
•
Prime Infrastructure ソフトウェアの最新状態の維持
ソフトウェアアップデート通知の取得
正しく設定されている場合、Prime Infrastructure は新しいソフトウェアアップデートが利用可能
になった際に自動で通知を送信します。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Account credentials] の順に選択し
ます。
ステップ 2
有効な Cisco.com ユーザ名とパスワードを入力します。
ステップ 3
[Save] をクリックします。
ステップ 4
[Administration] > [Settings] > [System Settings] > [General] > [Software Update] の順に選択します。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-28
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure ソフトウェアの最新状態の維持
ステップ 5
[Notification Settings] で、[Administration] > [Software Update] ページにアップデートを表示する
カテゴリを選択します。
ステップ 6
[Save] をクリックします。
通知を確認するには、右上のアラームアイコンの隣にある通知アイコンをクリックします。
関連項目
•
ソフトウェアアップデート通知の設定
•
インストール済みのソフトウェアアップデートと利用可能なソフトウェアアップデートの
表示
•
Prime Infrastructure での Cisco.com アカウントクレデンシャルの使用
•
Prime Infrastructure ソフトウェアの最新状態の維持
ソフトウェアアップデート通知の設定
Prime Infrastructure が表示するアップデート通知は、[Administration] > [Software Update] ページ
で変更できます。たとえば、Prime Infrastructure へのアップデートのインストールを一切希望し
ない場合、すべての通知を無効にして、Prime Infrastructure で使用可能なアップデートの通知を
行わないようにすることができます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Software Update] の順に選択します。
ステップ 2
[Notification Settings] で、[Administration] > [Software Update] ページにアップデートを表示する
カテゴリを選択します。
ステップ 3
[Save] をクリックします。
関連項目
•
インストール済みのソフトウェアアップデートと利用可能なソフトウェアアップデートの
表示
•
ソフトウェアアップデート通知の取得
•
Prime Infrastructure ソフトウェアの最新状態の維持
インストール済みのソフトウェアアップデートの詳細の表示
ステップ 1
[Administration settings] > [Licenses and Software Updates] > [Software Update] の順に選択します。
ステップ 2
[Updates] タブをクリックすると、インストール済みの各ソフトウェアアップデートの名前、タ
イプ、バージョン、ステータスが表示されます。
この一覧をフィルタするには、[Updates] タブの右側にある [Filter] アイコンをクリックし、表示
したいインストール済みアップデートのカテゴリを選択します。
ステップ 3
[Files] タブをクリックすると、インストール済みの UBF ファイル、およびダウンロード済みでま
だインストールされていない UBF ファイルの一覧が表示されます。
まだインストールされていないソフトウェアアップデートを削除するには、ファイルを選択し
て [削除] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-29
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure ソフトウェアの最新状態の維持
関連項目
•
インストール済みのソフトウェアアップデートと利用可能なソフトウェアアップデートの
表示
•
ログインページからのインストール済みアップデートの表示
•
バージョン情報ページからのインストール済みアップデートの表示
•
Prime Infrastructure ソフトウェアの最新状態の維持
ログインページからのインストール済みアップデートの表示
ステップ 1
Prime Infrastructure の起動またはログアウトを行います。ログインページが表示されます。
ステップ 2
[View installed updates] をクリックします。Prime Infrastructure は、すべてのインストール済みソ
フトウェアアップデートについて、名前とバージョンのポップアップリストを表示します。
ステップ 3
ポップアップリストを閉じるには、[Close] ボタンをクリックします。
関連項目
•
バージョン情報ページからのインストール済みアップデートの表示
•
インストール済みのソフトウェアアップデートと利用可能なソフトウェアアップデートの
表示
•
Prime Infrastructure ソフトウェアの最新状態の維持
バージョン情報ページからのインストール済みアップデートの表示
ステップ 1
任意の [Prime Infrastructure] ページの右上にある [settings] アイコンをクリックします。
ステップ 2
[About Prime infrastructure] をクリックします。バージョン情報ページが表示され、製品のバー
ジョンおよびその他の詳細が一覧表示されます。
ステップ 3
[View installed updates] をクリックします。Prime Infrastructure は、すべてのインストール済みソ
フトウェアアップデートについて、名前とバージョンのポップアップリストを表示します。
ステップ 4
ポップアップリストを閉じるには、[Close] ボタンをクリックします。
関連項目
•
ログインページからのインストール済みアップデートの表示
•
インストール済みのソフトウェアアップデートと利用可能なソフトウェアアップデートの
表示
•
Prime Infrastructure ソフトウェアの最新状態の維持
Cisco Prime Infrastructure 3.0 管理者ガイド
4-30
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure ソフトウェアの最新状態の維持
ソフトウェアアップデートのインストール
Prime Infrastructure は、[Administration] > [Software Update] を選択することによりダウンロード
とインストールが可能な、重要修正、デバイスサポート、およびアドオンアップデートを定期的
に提供します。接続と設定に応じて、次の方法でソフトウェアアップデートをインストールでき
ます。
•
Cisco.com からアップデートを Prime Infrastructure に直接ダウンロードする。この方法の場
合、Prime Infrastructure サーバが外部から Cisco.com に接続できることが必要です。詳細につ
いては、「関連項目」の「Cisco.com からのソフトウェアアップデートのインストール」を参照
してください。
•
外部接続を使用してソフトウェアアップデートファイルをクライアントまたはサーバにダ
ウンロードし、それらを Prime Infrastructure サーバにアップロードおよびインストールしま
す。詳細については、「関連項目」の「ダウンロードしたソフトウェアアップデートのアップ
ロードおよびインストール」を参照してください。
関連項目
•
Cisco.com からのソフトウェアアップデートのインストール
•
ダウンロードしたソフトウェアのアップロードとインストール
•
Prime Infrastructure ソフトウェアの最新状態の維持
Cisco.com からのソフトウェアアップデートのインストール
次の手順では、ソフトウェアアップデートを Cisco.com から直接インストール方法について説
明します。この手順では、Prime Infrastructure が Cisco.com に外部から接続可能であり、アップ
デートを Cisco.com から直接ダウンロードすることを前提としています。
ステップ 1
[Administration] > [Licenses and Software Updates] > [Software Update] の順に選択します。
ステップ 2
ページの上部にある [download] リンクをクリックして、最新のアップデートを Cisco.com から取
得します。
ステップ 3
Cisco.com のログインクレデンシャルを入力します。Prime Infrastructure は使用可能な更新を示
します。
Cisco.com への接続に問題があることを示すエラーが発生した場合は、[Administration] >
[Settings] > [System Settings] > [General] > [Proxy] を選択して、プロキシ設定を確認します。プロ
キシ設定が機能していない場合、[Enable Proxy] の選択を解除し、[Save] をクリックします。
ステップ 4
[Show Details] をクリックして、アップデートの詳細を確認します。
ステップ 5
インストールするアップデートの横にある [Download] をクリックします。
ステップ 6
アップデートがダウンロードされた後で、表示されるメッセージ上の [Install] をクリックします。
[Status of Updates] セクションには、インストールされたソフトウェアアップデートが表示され
ます。
ステップ 7
Prime Infrastructure サーバの再起動を要求されたら、「関連項目」の「Prime Infrastructure の再起
動」で説明されている手順に従います。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-31
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure ソフトウェアの最新状態の維持
関連項目
•
ソフトウェアアップデートのインストール
•
Prime Infrastructure の再起動
•
Prime Infrastructure ソフトウェアの最新状態の維持
ダウンロードしたソフトウェアのアップロードとインストール
次の手順は、ソフトウェアアップデートのアップロードおよびインストールの方法を示してい
ます。この手順は、Prime Infrastructure サーバが外部接続を持たない場合やファイルを別のサー
バにダウンロードする場合に便利です。
ステップ 1
[Administration] > [Licenses and Software Updates] > [Software Update] の順に選択します。
ステップ 2
ページ上部の [upload] リンクをクリックします。
ステップ 3
[Upload Update] ウィンドウの [Cisco Download] をクリックします。すると、Cisco.com の
[Download Software] ページが表示されます。
ステップ 4
[Products] > [Cloud and Systems Management] > [Routing and Switch Management] > [Network
Management Solutions] > [Prime Infrastructure] を選択します。
ステップ 5
Prime Infrastructure の正しいバージョンを選択します。
ステップ 6
アップデートソフトウェアのタイプ（“Prime Infrastructure Device Packs” など）を選択します。
ステップ 7
表示されたページから、目的のアップデートが含まれるファイルの隣にある [Download] をク
リックします。ファイルには、UBF ファイル名の拡張子が付けられます。
Cisco.com クレデンシャルをまだ保存していない場合（「関連項目」の「Prime Infrastructure での
Cisco.com アカウントクレデンシャルの保存」を参照）、アップデートファイルをダウンロードす
る前に Cisco.com にログインして、シスコとのアクティブなライセンス契約に同意することを求
められます。
必ず、Prime Infrastructure のバージョンと一致するソフトウェアアップデートをダウンロードし
てください。たとえば、Prime Infrastructure 2.2 を稼働している場合は、必ずバージョン 2.2 のみに
対応したソフトウェアアップデートをダウンロードしてください。
ステップ 8
アップデートファイルをクライアントマシンにダウンロードしたら、[Prime Infrastructure] タブ
に戻り、[Administration] > [Licenses and Software Updates] > [Software Update] を順に選択します。
ステップ 9
[Upload] をクリックし、ダウンロード済みのアップデートファイルの場所を特定して、それを選
択します。
ステップ 10
アップロードしたアップデートの [Install] をクリックします。
[Status of Updates] セクションには、インストールされたソフトウェアアップデートが表示されます。
ステップ 11
Prime Infrastructure サーバの再起動を要求されたら、「関連項目」の「Prime Infrastructure の再起
動」で説明されている手順に従います。
関連項目
•
ソフトウェアアップデートのインストール
•
Prime Infrastructure への Cisco.com アカウントクレデンシャルの保存
•
Prime Infrastructure の再起動
•
Prime Infrastructure ソフトウェアの最新状態の維持
Cisco Prime Infrastructure 3.0 管理者ガイド
4-32
第4章
Prime Infrastructure サーバヘルスの維持
Prime Infrastructure ソフトウェアの最新状態の維持
Prime Infrastructure での Cisco.com アカウントクレデンシャルの使用
Cisco.com アカウントのユーザ名とパスワードを Prime Infrastructure に保存できます。すると、ソ
フトウェアアップデートのダウンロードおよびインストールが簡素化され、アップデートの自
動確認と通知の高速化が可能になります。
Prime Infrastructure は、一度に 1 セットの Cisco.com クレデンシャルのみを保存します。パスワー
ドは、安全に暗号化された形式で保存されます。この保存済みのユーザ名とパスワードは、すべ
てのソフトウェアアップデート通知の確認とダウンロードに使用されます。これらは、別のユー
ザが保存済みクレデンシャルを削除（「関連項目」の「Cisco.com アカウントクレデンシャルの削
除」の説明参照）するか、新しい Cisco.com ユーザ名とパスワードを入力して上書きするまで有効
です。
関連項目
•
Prime Infrastructure への Cisco.com アカウントクレデンシャルの保存
•
Cisco.com アカウントクレデンシャルの削除
•
Prime Infrastructure ソフトウェアの最新状態の維持
Prime Infrastructure への Cisco.com アカウントクレデンシャルの保存
ステップ 1
[Administration] > [Settings] > [System Settings] > [Account credentials] の順に選択します。
ステップ 2
有効な Cisco.com ユーザ名とパスワードを入力します。
ステップ 3
[Save] をクリックします。
関連項目
•
ソフトウェアアップデートのインストール
•
Prime Infrastructure の再起動
•
Prime Infrastructure ソフトウェアの最新状態の維持
Cisco.com アカウントクレデンシャルの削除
ステップ 1
[Administration] > [Settings] > [System Settings] > [Account credentials] の順に選択します。
ステップ 2
[Delete] をクリックします。
ステップ 3
[Yes] をクリックして削除を確認します。
関連項目
•
ソフトウェアアップデートのインストール
•
Prime Infrastructure の再起動
•
Prime Infrastructure ソフトウェアの最新状態の維持
Cisco Prime Infrastructure 3.0 管理者ガイド
4-33
第4章
Prime Infrastructure サーバヘルスの維持
サポート要求の設定
サポート要求の設定
[Support Request Settings] ページで、一般的なサポートおよびテクニカルサポート情報を設定で
きます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Support Request] の順に選択します。[Support
Request Settings] ページが表示されます。
ステップ 2
次のパラメータを設定します。
•
一般的なサポートの設定:
– [Enable interactions directly from the server]：サーバからの直接的なサポート要求の対話を
許可するには、このチェックボックスをオンにします。
– [Sender E mail Address]：サポート要求送信者のメールアドレスを入力します。
– [Interactions via client system only]：クライアントシステムを通じてのみサポート要求に
関する対話を許可する場合は、このチェックボックスをオンにします。
•
テクニカルサポートプロバイダーの情報:
– [Cisco]：テクニカルサポートプロバイダーがシスコの場合、このチェックボックスをオ
ンにします。
– [Default Cisco.com Username]：Cisco.com にログインするためのデフォルトユーザ名を
入力します。メールサーバ、Cisco サポートサーバ、およびフォーラムサーバへの接続を
テストするには、[Test Connectivity] をクリックします。
– [Third-Party Support Provider]：テクニカルサポートプロバイダーが Cisco.com 以外の
サードパーティの場合は、このチェックボックスをオンにします。メールアドレス、電
子メールの件名の形式、サポートプロバイダーの Web サイトの URL を入力します。
ステップ 3
[Save Settings] をクリックします。
関連項目
•
サポートケースを開く
•
シスコサポートコミュニティの起動
ディスク領域の問題管理
Prime Infrastructure の物理または仮想サーバのディスク領域が 90 パーセントに達すると、サー
バのディスク領域が少ないことを示す主要アラートがトリガーされます。
これらのアラームのしきい値超過は、Prime Infrastructure optvol および localdiskvol パーティショ
ンの使用率のみに基づいて計算されます。optvol パーティションは Prime Infrastructure のすべて
のインベントリおよびネットワークデータを保存するための Oracle データベースを含むのに対
して、localdiskvol はローカルアプリケーションバックアップ、WLC および MSE バックアップ、
およびレポートを保存します。アラームをトリガーする設定は、Prime Infrastructure サーバの
/opt/CSCOlumos/conf/rfm/classes/com/cisco/packaging フォルダにある
PackagingResources.properties ファイルで定義されます。
Cisco Prime Infrastructure 3.0 管理者ガイド
4-34
第4章
Prime Infrastructure サーバヘルスの維持
ディスク領域の問題管理
管理者は、主要アラートの受信後すぐに、ディスク領域の増加アクションを取ることを推奨しま
す。これを行うために、次のいずれかの方法を組み合わせて使用できます。
•
「Prime Infrastructure データベースの圧縮」の手順に従って、既存のデータベース領域を解放
します。
•
「リモートバックアップリポジトリの使用」の手順に従って、リモートバックアップリポジ
トリのセットアップと使用により、localdiskvol パーティションのストレージロードを減ら
します。
•
インベントリおよびネットワークデータを保持する量と保管期間を減らして、optvol パー
ティションのストレージロードを減らします。
– 「クライアントアソシエーション履歴データの保持期間の指定」および「イベントとして
のクライアントトラップの保存」の手順に従って、クライアントアソシエーションデー
タおよび関連イベントを保存する時間を短縮します。
– 「レポートの保存および保持の制御」の手順に従って、レポートを保存する時間を短縮し
ます。
– 「カテゴリ別のデータ保持の指定」および「DNS ホスト名ルックアップの有効化」の手順
に従って、ネットワークインベントリ、パフォーマンス、その他のデータクラスの保存
期間を短縮します。
•
「VMware vSphere クライアントを使用する VM のリソース割り当ての変更」の手順に従っ
て、Prime Infrastructure に割り当てられた既存の仮想ディスク領域の容量を増やします。
VMware ESXi 5.5 以降を使用する場合、vSphere Web クライアントを使用してディスク領域
割り当てを調整します（「関連項目」の「VMware vSphere ドキュメンテーション」を参照）。追
加の物理ディスクストレージをインストールし、VMware 編集設定または vSphere Web クラ
イアントを使用して、追加ストレージを Prime Infrastructure に割り当てることもできます。
•
「バックアップと復元を使用した別の OVA への移行」および「バックアップと復元を使用し
た別のアプライアンスへの移行」の手順に従って、Prime Infrastructure サーバインストール
構成を、適切なディスク領域を持つサーバに移行します。
関連項目
•
Prime Infrastructure データベースの圧縮
•
リモートバックアップリポジトリの使用
•
クライアントアソシエーション履歴データの保持期間の指定
•
イベントとしてのクライアントトラップの保存
•
レポートの保存と保持の制御
•
カテゴリ別のデータ保持の指定
•
データベーステーブル別のデータ保持の指定
•
DNS ホスト名ルックアップの有効化
•
VMware vSphere クライアントを使用する VM のリソース割り当ての変更
•
VMware vSphere ドキュメンテーション
•
バックアップと復元を使用した別の仮想アプライアンスへの移行
•
バックアップと復元を使用した別の物理アプライアンスへの移行
Cisco Prime Infrastructure 3.0 管理者ガイド
4-35
第4章
ディスク領域の問題管理
Cisco Prime Infrastructure 3.0 管理者ガイド
4-36
Prime Infrastructure サーバヘルスの維持
CH A P T E R
5
Prime Infrastructure のバックアップと復元
組織で使用されている他のシステムと同様に、Cisco Prime Infrastructure も定期的にバックアッ
プして、ハードウェアやその他の障害発生時に復元できるようにしておく必要があります。
関連項目
•
バックアップと復元の概念
•
自動アプリケーションバックアップの使用
•
リモートバックアップリポジトリの使用
•
コマンドラインからのバックアップの実行
•
バックアップからの復元
•
バックアップおよび復元中のディスク領域の問題を管理する
•
Operations Center でのバックアップと復元の使用
バックアップと復元の概念
Prime Infrastructure のバックアップルーチンの実装方法を評価する立場の管理者は、このセク
ションで説明される概念に精通している必要があります。
関連項目
•
バックアップタイプ
•
バックアップのスケジューリング
•
バックアップリポジトリ
•
バックアップファイル名
•
バックアップの検査
•
バックアップファイルに含まれる情報
•
バックアップと復元を使用してサーバを交換する
Cisco Prime Infrastructure 3.0 管理者ガイド
5-1
第5章
Prime Infrastructure のバックアップと復元
バックアップと復元の概念
バックアップタイプ
Prime Infrastructure は次の 2 種類のバックアップを作成します。
•
アプリケーションバックアップ：これには、すべての Prime Infrastructure アプリケーション
データが含まれますが、サーバのホスト名や IP アドレスなどのホスト固有の設定は含まれ
ません。
•
アプライアンスバックアップ：これには、すべてのアプリケーションデータと、ホスト名、
IP アドレス、サブネットマスク、デフォルトゲートウェイなどのホスト固有の設定が含ま
れます。
次の点に注意してください。
•
アプリケーションおよびアプライアンスバックアップは、仮想およびハードウェアの両方
のアプライアンスから取得できます。
•
ハードウェアとソフトウェアの構成が元のホストでの構成と同じかまたは上位であれば、ど
ちらの種類のバックアップも、バックアップを作成した同じホストまたは新しいホストのど
ちらに復元することもできます。
•
アプライアンスのバックアップは、バックアップを作成した元のサーバと同じバージョンの
Prime Infrastructure サーバソフトウェアを実行しているホストにのみ復元できます。
•
アプライアンスの復元コマンドを使用してアプリケーションのバックアップを復元するこ
とはできません。アプリケーションの復元コマンドを使用してアプライアンスのバックアッ
プを復元することもできません。
推奨事項：
•
Prime Infrastructure を評価する場合：ローカルリポジトリへのデフォルトの自動アプリケー
ションバックアップを使用します。
•
仮想またはハードウェアアプライアンスとして実稼働環境で Prime Infrastructure を実行す
る場合：アプリケーションバックアップを定期的に実行してリモートバックアップサーバ
に保管します。アプリケーションバックアップは、サーバハードウェアの完全な故障を除く
すべての障害に対してサーバを復元するために使用できます。
関連項目
•
自動アプリケーションバックアップの使用
•
リモートバックアップリポジトリの使用
バックアップのスケジューリング
Prime Infrastructure は、自動で定期的にアプリケーションバックアップを実行します。この機能
はデフォルトで有効になっていて、毎日 1 つのアプリケーションバックアップファイルをデ
フォルトのローカルバックアップリポジトリに自動的に作成します。
必要に応じてこのスケジュールを変更できます。また、随時、Prime Infrastructure インターフェイ
スから自動アプリケーションバックアップを実行できます。アプライアンスバックアップは、
コマンドラインからしか実行できません。
自動アプリケーションバックアップは、バックアップリポジトリが Prime Infrastructure サーバ
に対してローカルな場合に保存スペースの問題を引き起こす可能性があります。このことはテ
スト実装ではあまり問題になりませんが、実稼働環境のリモートサーバに対する定期バック
アップの代用として使用することはできません。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-2
第5章
Prime Infrastructure のバックアップと復元
バックアップと復元の概念
実稼働環境では、ほとんどの管理者が次のように対処します。
1.
バックアップファイルを保持するようにリモートリポジトリをセットアップします。
2.
自動定期アプリケーションバックアップを使用して、定期的にリモートリポジトリ上で
バックアップを作成します。
引き続き、必要に応じて Prime Infrastructure コマンドラインを使用して、アプリケーションまた
はアプライアンスバックアップをいつでも作成できます。
関連項目
•
自動アプリケーションバックアップの使用
•
リモートバックアップリポジトリの使用
•
自動アプリケーションバックアップのスケジューリング
•
自動アプリケーションバックアップリポジトリの指定
•
アプリケーションバックアップのトリガー
•
アプリケーションバックアップの実行
•
アプライアンスバックアップの実行
バックアップリポジトリ
自動アプリケーションバックアップ機能は、デフォルトで、ローカルバックアップリポジトリ
の /localdisk/defaultRepo にバックアップファイルを保存します。Prime Infrastructure インター
フェイスを使用して、ローカルの自動アプリケーションバックアップリポジトリを変更した
り、新しいローカルリポジトリを作成したりできます。
また、Prime Infrastructure インターフェイスを使用して、リモートリポジトリを指定することも
できます。
コマンドラインからアプリケーションまたはアプライアンスバックアップを実行するときに、
バックアップを保存するローカルまたはリモートリポジトリを指定します。実稼働環境の管理
者は、通常、コマンドの一部として NFS、SFTP、FTP 経由でアクセスされるリモートリポジトリ
を指定します。NFS は、通常は他のプロトコルより高速で信頼性が高いので、適切な選択となり
ます。
コマンドラインアプリケーションのバックアップを実行することと、GUI を使用してアプリ
ケーションのバックアップを実行することの間に違いはありません。どちらの操作によっても、
同じバックアップファイルが作成されます。
NFS を使用してバックアップやバックアップからの復元を行う場合は、バックアップや復元の
操作中、マウントされた NFS サーバが、常にアクティブになるようにしてください。プロセスの
いずれかの時点で NFS サーバがシャットダウンした場合、Prime Infrastructure のバックアップ
や復元の操作は、警告やエラーメッセージなしで異常終了します。
関連項目
•
自動アプリケーションバックアップリポジトリの指定
•
リモートバックアップリポジトリの使用
Cisco Prime Infrastructure 3.0 管理者ガイド
5-3
第5章
Prime Infrastructure のバックアップと復元
バックアップと復元の概念
バックアップファイル名
自動的に作成される Prime Infrastructure アプリケーションのバックアップファイルには、
host-yymmdd-hhmm_VERver_BKSZsize_CPUcpus_MEMtarget_RAMram_SWAPswap_type_CKchec
ksum.tar.gpg という形式のファイル名が割り当てられます。文字列の意味は次のとおりです。
•
host は、バックアップが作成されたサーバのホスト名です。たとえば、MyHost となります。
•
yymmdd-hhmm は、バックアップが作成された日時です。たとえば、2014 年 8 月 27 日の現地時
間 7:45 AM に作成されたバックアップの場合、140827-0745 となります。
•
ver は、バックアップが作成された Prime Infrastructure のバージョンです。たとえば、Prime
Infrastructure バージョン 2.2.0.0.149 から作成されたバックアップの場合、VER2.2.0.0.149 と
なります。
•
size はデータベースファイルの合計サイズです。たとえば、15 ギガバイトのファイルの場
合、BKSZ15G となります。
•
cpus は、バックアップが作成されたサーバの CPU の総数です。たとえば、16 の CPU がある
サーバの場合、CPU16 となります。
•
target は、バックアップが作成されたサーバのデータベースに使用可能なメモリの合計量で
す。たとえば、データベースに 4 ギガバイトのメモリを使用可能なサーバの場合、MEM4G とな
ります。
•
ram は、バックアップが作成されたサーバの RAM の合計量です。たとえば、RAM が 16 ギガ
バイトのサーバの場合、RAM15G となります。
•
swap は、バックアップが作成されたサーバのスワップディスクの合計サイズです。たとえ
ば、スワップディスク領域が 15 ギガバイトのサーバの場合、SWAP15G となります。
•
type は、バックアップファイルのタイプです。APP はアプリケーションバックアップを示
し、SYS はアプライアンスバックアップを示します。
•
checksum は、ファイルの整合性の確認に使用されるバックアップファイルチェックサム
です。
たとえば、
pi-system-71-183-141112-0330__VER2.2.0.0.149_BKSZ105G_CPU4_MEM4G_RAM11G_SWAP15G_APP_CK1
28121515.tar.gpg
となります。
コマンドラインのアプリケーションバックアップおよびアプライアンスバックアップの形式
は次のとおりです。
backupname-yymmdd-hhmm_VERver_BKSZsize_CPUcpus_MEMtarget_RAMram_SWAPswap_type_
CKchecksum.tar.gpg
ここで、backupname は、バックアップコマンドの一部として指定したバックアップファイルの
名前です。他のすべての値は、自動的に作成されたアプリケーションのバックアップファイルの
場合と同様に、自動的に付加されます。
次に例を示します。
•
test-141112-0330__VER2.2.0.0.149_BKSZ105G_CPU4_MEM4G_RAM11G_SWAP15G_APP_CK128121515.t
ar.gpg（コマンド
•
ラインアプリケーションバックアップの場合）
test-141112-0330__VER2.2.0.0.149_BKSZ105G_CPU4_MEM4G_RAM11G_SWAP15G_SYS_CK128121515.t
ar.gpg（コマンド
ラインアプライアンスバックアップの場合）
Cisco Prime Infrastructure 3.0 管理者ガイド
5-4
第5章
Prime Infrastructure のバックアップと復元
バックアップと復元の概念
バックアップの検査
Prime Infrastructure は、バックアップの有効性を確認するために以下のチェックを実行します。
1.
バックアッププロセスを開始する前に、ディスクサイズ、高速リカバリ領域、制御ファイル
が検査されます。
2.
作成されたバックアップデータベースは、復元可能であることを確認するために検査され
ます。
3.
アプリケーションデータを圧縮した後、圧縮ファイルはバックアップされたファイルに対
して検査されます。
4.
Tar ファイルは、正確で完全であることが検査されます。
5.
GPG ファイルは、正確であることが検査されます。
バックアップファイルを手動で転送する場合やバックアップの転送が完了したことを検証する
場合は、ファイルの md5CheckSum とファイルサイズを参照してください。
バックアップを検査する別のベストプラクティスは、それを Prime Infrastructure のスタンドアロ
ンの「test」インストール環境に復元することです。
バックアップファイルに含まれる情報
次の表は、バックアップファイルに含まれる情報について説明しています。この情報は、バック
アップからサーバに復元されます。
/opt/CSCOlumos/conf/Migration.xml ディレクトリには、バックアップされたすべてのコンフィ
ギュレーションファイルとレポートが含まれていることに注意してください。このディレクト
リはバックアップに含まれていて、復元されます。
表 5-1
Prime Infrastructure によって保存および復元される情報
機能
保存および復元される情報
バックグラウンドジョブ
の設定
データベースからのデータ
コマンドラインインター
フェイス（CLI）の設定
すべての CLI 情報と設定が保持されます。これには、バックアップリポジトリのリス
ト、FTP ユーザ名、CLI を使用して作成したユーザ、CLI 経由で指定した AAA 情報、そ
の他の CLI 設定（端末タイムアウトなど）が含まれます。
コンフィギュレーション
アーカイブ
データベースからのデータ
コンフィギュレーション
テンプレート
•
以下のディレクトリ内のファイル
/opt/CSCOlumos/conf/ootb
/opt/CSCOlumos/xmp_inventory/dar/customized-feature-parts/CONFIGURATION
•
データベースからのデータ
クレデンシャル
データベースからのデータ
インベントリ
データベースからのデータ
ライセンス
/opt/CSCOlumos/licenses/ ディレクトリ内のファイル
ローカルのカスタマイズ
（レポートのヒープサイズ
など）
なし。この情報は、バックアップには保存されません。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-5
第5章
Prime Infrastructure のバックアップと復元
バックアップと復元の概念
表 5-1
Prime Infrastructure によって保存および復元される情報（続き）
機能
保存および復元される情報
マップ
パッチの履歴
•
/opt/CSCOlumos/domainmaps ディレクトリ内のファイル
•
データベースからのデータ
なし。この情報は、バックアップには保存されません。
レポート
•
以下のディレクトリ内のファイル。
/localdisk/ftp/reports
/localdisk/ftp/reportsOnDemand/
•
ソフトウェアイメージ
システム設定
ユーザ設定
データベースからのデータ
データベースからのデータ
•
/opt/CSCOlumos/conf/rfm/classes/com/cisco/packaging/PortResources.xml ディレクト
リ内のファイル
•
データベースからのデータ
•
/opt/CSCOlumos/conf/wap/datastore/webacs/xml/prefs ディレクトリ内のファイル
•
データベースからのデータ
ユーザ、グループ、および
ロール
データベースからのデータ
仮想ドメイン
データベースからのデータ
バックアップと復元を使用してサーバを交換する
ハードウェア障害のために仮想または物理アプライアンスを交換する必要がある場合は、新し
くインストールした Prime Infrastructure サーバに最新のバックアップを復元することで、データ
を失うことなく交換を行うことができます。ただしこの場合には、バックアップからデータを復
元する前に、新しいサーバのバージョンとパッチレベルが古いサーバと同じであることを確認
してください。
例：仮想アプライアンスで Prime Infrastructure 3.0 を実行しているとします。インストール後に
2 つの UBF パッチを適用し、バックアップを定期的に実行しています。仮想アプライアンスの
ハードウェアに突然障害が発生し、交換の必要が生じます。最近のアプリケーションのバック
アップが保存されているので、新しい 3.0 サーバをインストールし、バックアップからデータを
復元することにします。復元を実行する前に、新しくインストールしたサーバに、古いサーバに
適用したものと同じ 2 つの UBF パッチを適用するようにします。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-6
第5章
Prime Infrastructure のバックアップと復元
自動アプリケーションバックアップの使用
自動アプリケーションバックアップの使用
「関連項目」の「バックアップのスケジューリング」で説明されているように、自動アプリケー
ションバックアップは便利な機能であり、デフォルトで有効化されています。Prime
Infrastructure に保存されている重要なネットワーク管理データが定期的にバックアップされる
ことを保証するために使用できます。
自動アプリケーションバックアップはローカルまたはリモートリポジトリに保存できます。実
稼働環境ではリモートリポジトリをお勧めします。
関連項目
•
バックアップのスケジューリング
•
バックアップリポジトリ
•
バックアップファイル名
•
自動アプリケーションバックアップのスケジューリング
•
アプリケーションバックアップのトリガー
•
自動アプリケーションバックアップリポジトリの指定
•
ローカルバックアップリポジトリの削除
•
リモートバックアップリポジトリの使用
•
リモートバックアップリポジトリの使用
自動アプリケーションバックアップのスケジューリング
Prime Infrastructure インターフェイスを使用すれば、バックアップの間隔だけでなく、その実行
時刻も変更できます。
バックアップの実行は、リソースを消費するため、Prime Infrastructure サーバのパフォーマンス
に影響します。トラフィックがピークの時間帯に自動アプリケーションバックアップが実行さ
れるようなスケジューリングは避けてください。
自動アプリケーションバックアップにリモートリポジトリが使用されている場合は、[Max UI
backups to keep] 設定が適用されません。独自の方法を使用して、リモートリポジトリ上の古い
バックアップをモニタし、アーカイブまたは削除する必要があります。
Prime Infrastructure では、自動アプリケーションバックアップに失敗した場合、常に “Backup
Failure” という Major アラームが生成されます。これらのアラームは、他の Prime Infrastructure ア
ラームの場合とまったく同様に表示できます（「関連項目」の「Where to Find Alarms」を参照）。電
子メール通知設定のアラームカテゴリに「System」が含まれている場合は、これらのアラームの
電子メール通知を受け取ることもできます（「電子メールの設定」を参照）。
ステップ 1
[Administration] > [Settings] > [Background Tasks] の順に選択します。
ステップ 2
[Prime Infrastructure Server Backup] リンクをクリックします。
ステップ 3
必要に応じて、[Max UI backups to keep]、自動バックアップ間の [Interval]、またはバックアップを
実行する [Time of Day] を変更します。
ステップ 4
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-7
第5章
Prime Infrastructure のバックアップと復元
自動アプリケーションバックアップの使用
関連項目
•
Where to Find Alarms
•
電子メールの設定
•
バックアップタイプ
•
バックアップリポジトリ
•
リモートバックアップリポジトリの使用
アプリケーションバックアップのトリガー
アプリケーションバックアップは、いつでも、[Prime Infrastructure Server Backup] タスクからト
リガーすることによって実行できます。アプリケーションバックアップはコマンドラインを使
用してトリガーすることもできます（「関連項目」の「アプリケーションバックアップの実行」を
参照）。
バックアップの実行は、サーバに負荷をかけるため、Prime Infrastructure のパフォーマンスに影
響します。ネットワークトラフィックが高い時間帯にアプリケーションバックアップをトリ
ガーするのは避ける必要があります。
ステップ 1
[Administration] > [Settings] > [Background Tasks] の順に選択します。
ステップ 2
[Prime Infrastructure Server Backup] タスクチェックボックスをオンにします。
ステップ 3
[Select a command] > [Execute Now] > [Go] の順に選択します。
ステップ 4
バックアップタスクの最新のステータスを表示するには、[Refresh] をクリックします。
関連項目
•
自動アプリケーションバックアップのスケジューリング
•
アプリケーションバックアップの実行
自動アプリケーションバックアップリポジトリの指定
Prime Infrastructure インターフェイスを使用して、自動アプリケーションバックアップ用の別の
バックアップリポジトリを指定できます。バックアップリポジトリは、ローカルまたはリモー
トにすることができます。このインターフェイスを使用すれば、まだ存在しない新しいローカル
バックアップリポジトリを作成することもできます。
リモート FTP リポジトリは、Prime Infrastructure インターフェイスで指定することによって作成
できます。すでにリモート FTP、NFS、または SFTP リポジトリを作成している場合は、Prime
Infrastructure インターフェイスを使用して、そのリモートリポジトリを自動バックアップアプ
リケーションの宛先として指定することもできます。
ステップ 1
[Administration] > [Settings] > [Background Tasks] の順に選択します。
ステップ 2
[Prime Infrastructure Server Backup] リンクをクリックします。
ステップ 3
[Backup Repository] で、次の自動アプリケーションバックアップで使用するリポジトリの名前
を選択します。これは、ローカルまたはリモートリポジトリにすることができます。
ステップ 4
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-8
第5章
Prime Infrastructure のバックアップと復元
自動アプリケーションバックアップの使用
関連項目
•
バックアップリポジトリ
•
ローカルバックアップリポジトリの作成
•
ローカルバックアップリポジトリの削除
•
リモート NFS バックアップリポジトリの使用
•
リモート FTP バックアップリポジトリの使用
ローカルバックアップリポジトリの作成
Prime Infrastructure は、デフォルトローカルバックアップリポジトリの /localdisk/defaultRepo に
自動アプリケーションバックアップファイルを保存します。必要に応じて、別のローカルバッ
クアップリポジトリを作成して、それを使用することができます。
リモート FTP リポジトリは、Prime Infrastructure インターフェイスで指定することによって作成
できます。すでにリモート FTP、NFS、または SFTP リポジトリを作成している場合は、Prime
Infrastructure インターフェイスを使用して、そのリモートリポジトリを自動バックアップアプ
リケーションの宛先として指定することもできます。
ステップ 1
[Administration] > [Settings] > [Background Tasks] の順に選択します。
ステップ 2
[Prime Infrastructure Server Backup] リンクをクリックします。
ステップ 3
[Create] をクリックします。
ステップ 4
作成するリポジトリの名前を入力します。ローカルリポジトリまたはリモートリポジトリの作
成ができます。
リモート FTP リポジトリは、Prime Infrastructure インターフェイスで指定することによって作成
できます。
ステップ 5
[Save] をクリックします。
関連項目
•
バックアップリポジトリ
•
ローカルバックアップリポジトリの削除
•
リモートバックアップリポジトリの使用
•
リモート NFS バックアップリポジトリの使用
•
リモート FTP バックアップリポジトリの使用
Cisco Prime Infrastructure 3.0 管理者ガイド
5-9
第5章
Prime Infrastructure のバックアップと復元
リモートバックアップリポジトリの使用
ローカルバックアップリポジトリの削除
ローカルで作成したバックアップリポジトリは、コマンドラインインターフェイス（CLI）経由
で削除する必要があります。Prime Infrastructure インターフェイスを使用して、それらを削除す
ることはできません。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、ローカルアプリケーションバックアップリポジトリを列挙し、削
除するリポジトリを特定します。
PIServer/admin#
ステップ 3
コンフィギュレーションモードに入ります。
PIServer/admin#
ステップ 4
sh run | begin repository
configure terminal
既存のリポジトリを削除します。
PIServer/admin(config)#
no repository repositoryName
repositoryName は、削除するリポジトリの名前です。
ステップ 5
リポジトリが削除されたことを確認するには、ステップ 2 を繰り返します。
関連項目
•
CLI 経由の接続
•
ローカルバックアップリポジトリの作成
•
自動アプリケーションバックアップリポジトリの指定
リモートバックアップリポジトリの使用
実稼働環境では、ネットワーク管理データがハードウェアやサイトの障害から保護されるよう
に、バックアップにリモートリポジトリを使用することをお勧めします。ほとんどの場合、これ
は次のことを行う必要があることを意味します。
1.
Prime Infrastructure サーババックアップファイルを保持するための 1 つ以上のリモートリ
ポジトリを作成します。組織でまだリモートバックアップサーバを使用していない場合は、
独自にセットアップする必要があります。
2.
自動アプリケーションバックアップの保存先としてリモートリポジトリを指定します。
3.
必要な場合：自動アプリケーションバックアップの間隔とその実行時刻を指定します。リ
モートリポジトリに保存された自動アプリケーションバックアップをモニタして、手動で
アーカイブする必要があります（[Max backups to keep] の設定はリモートリポジトリには適
用されません）。
4.
Prime Infrastructure CLI バックアップコマンドを使用してアプリケーションまたはアプライ
アンスバックアップを実行する場合は、バックアップ先としてリモートリポジトリを指定
します。
リモートアクセスを計画しているリソースと同様に、セットアップ時に正しいサーバ IP アドレ
スとログインクレデンシャルを指定することが、リモートバックアップリポジトリと Prime
Infrastructure の使用を成功させる秘訣です。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-10
第5章
Prime Infrastructure のバックアップと復元
リモートバックアップリポジトリの使用
関連項目
•
バックアップリポジトリの種類
•
自動アプリケーションバックアップのスケジューリング
•
自動アプリケーションバックアップリポジトリの指定
•
リモートバックアップリポジトリの使用
•
リモート NFS バックアップリポジトリの使用
•
リモート SFTP バックアップリポジトリの使用
•
リモート FTP バックアップリポジトリの使用
•
アプリケーションバックアップの実行
•
アプライアンスバックアップの実行
バックアップリポジトリの種類
複数のプロトコルを使用してリモートバックアップリソースにアクセスするように Prime
Infrastructure を設定できますが、Prime Infrastructure は、現時点で、サポートが確認されているの
は以下の種類のリポジトリです。
•
NFS：NFS は、高速で、信頼性が高く、比較的に軽量で、ステージング URL の使用をサポート
しています。バックアップや復元の実行中にリモート NFS サーバが使用可能な状態を維持
して、シャットダウンしないようにする必要があります。リモートマシンが使用不可になっ
たり電源がオフになったりすると、バックアップと保存のプロセスは、エラーメッセージな
しで異常終了します。
1 つ以上の NFS サーバを使用して、Prime Infrastructure バックアップをステージングおよび
保存することをお勧めします。バックアップステージング URL の使用は、NFS プロトコル
を使用する場合にのみサポートされることに注意してください。
•
FTP および SFTP：ネットワークが低速な場合には、リモートの FTP や SFTP リポジトリへの
バックアップが、不完全な転送により破損する可能性があることに注意してください。リ
モート FTP リポジトリは、16 文字以下のパスワードで構成される必要があります。
関連項目
•
自動アプリケーションバックアップのスケジューリング
•
自動アプリケーションバックアップリポジトリの指定。
•
リモートバックアップリポジトリの使用
•
リモート NFS バックアップリポジトリの使用
•
リモート SFTP バックアップリポジトリの使用
•
リモート FTP バックアップリポジトリの使用。
•
アプリケーションバックアップの実行
•
アプライアンスバックアップの実行
Cisco Prime Infrastructure 3.0 管理者ガイド
5-11
第5章
Prime Infrastructure のバックアップと復元
リモートバックアップリポジトリの使用
リモート NFS バックアップリポジトリの使用
リモート NFS サーバ上でバックアップリポジトリを作成し、それを使用するように Prime
Infrastructure サーバを設定できます。
Prime Infrastructure は、NFS サーバ上のバックアップのリモート保存だけでなく、リモートス
テージング、つまり、バックアップ処理で使用される複数の大規模な一時ファイルの作成、削除、
および整理も可能にします。ステージングは、バックアップを保存するのと同じ NFS サーバまた
は別のサーバのどちらでも行うことができます。NFS ステージング URL の作成は任意ですが、
強く推奨されています。これは、NFS サーバ上で定期的にバックアップを行うことによって、す
べてのディスクスペースの負担が軽減されるためです。
バックアップや復元の実行中にリモート NFS サーバが使用可能な状態を維持して、シャット
ダウンしないようにする必要があります。リモート NFS サーバが使用不可になったり電源がオ
フになったりすると、バックアップと保存のプロセスは、エラーメッセージなしで異常終了し
ます。
NFS リポジトリを使用するための Prime Infrastructure 設定のワークフローは次のとおりです。
1.
NFS バックアップサーバの設定を実行するために必要なバックグラウンド情報を収集する。
2.
Prime Infrastructure で使用する NFS バックアップサーバを設定する。
3.
NFS バックアップサーバを使用するように Prime Infrastructure を設定する。
これらの作業のそれぞれの実行方法については、下記の「関連項目」を参照してください。
関連項目
•
NFS バックアップ設定を始める前に
•
NFS バックアップサーバの設定
•
NFS バックアップサーバを使用するための Prime Infrastructure の設定
NFS バックアップ設定を始める前に
設定を始める前に、次の点を確認してください。
•
Prime Infrastructure のバックアップをステージングおよび保存する NFS サーバの IP アドレ
スを知っていること。ステージングフォルダと保存フォルダは、同じ NFS サーバに配置する
ことも、別々の NFS サーバに配置することもできます。ステージングと保存を別々の NFS
サーバ上で計画している場合は、両方のサーバの IP アドレスが必要です。
•
NFS サーバ上のステージングフォルダと保存フォルダのパス名を知っていること。同じ
NFS サーバ上でステージングおよび保存することを選択した場合は、ステージングフォル
ダと保存フォルダを違う名前にする必要があります。
•
NFS サーバを設定する、または、ステージングフォルダと保存フォルダを作成する必要があ
る場合：サーバ上のルート権限付きログインを持っていること。NFS サーバ上のルート権限
が許可されていない場合は、「関連項目」の「NFS バックアップサーバの設定」に記載された
設定要件を組織の NFS サーバ管理者に伝えてください。
•
Prime Infrastructure サーバ上のルート権限付き管理者ユーザ ID を持っていること。
•
NFS サーバの保存フォルダを指す Prime Infrastructure サーバ上のリポジトリ名を選択して
いること。
下記の「関連項目」の手順では、単一の NFS サーバを設定してバックアップをステージングおよ
び保存するものとしています。NFS ステージングを使用しない場合やステージングと保存を
別々の NFS サーバで実行する場合は、ステップが異なります。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-12
第5章
Prime Infrastructure のバックアップと復元
リモートバックアップリポジトリの使用
関連項目
•
リモート NFS バックアップリポジトリの使用
•
NFS バックアップサーバの設定
NFS バックアップサーバの設定
「関連項目」の「NFS バックアップサーバを使用するための Prime Infrastructure の設定」の作業を
実行する前に、次の作業を完了してください。「NFS バックアップ設定を始める前に」に記載され
ている情報とアクセス権限が必要になります。
ステップ 1
ルート権限を持っているユーザ名を使用して NFS サーバにログインするか、サーバのルート権
限を持っていることを前提とします。
ステップ 2
ルートモードで、NFS サービスを開始します。
ステップ 3
ステップ 4
[root@server~]#
service portmap start
[root@server~]#
service nfs start
以下がまだ存在しない場合は、作成します。
•
バックアップ処理中に作成された一時ファイルを保持するステージングフォルダ
（/localdisk/staging など）。
•
完成したバックアップファイルを保持する保存フォルダ（/localdisk/storage など）。
vi などのエディタを使用して、アクセス先の Prime Infrastructure サーバにステージングフォルダ
と保存フォルダを公開するように NFS サーバの /etc/exports ファイルを変更します。これは、
ファイルに次の行を追加することによって実現できます。
stagingPath AccessingIP(rw,sync,no_subtree_check)
storagePath AccessingIP(rw,sync,no_subtree_check)
それぞれの説明は次のとおりです。
ステップ 5
•
stagingPath
は、作成したステージングフォルダのパス名です。
•
storagePath
は、作成した保存フォルダのパス名です。
•
AccessingIP
は、NFS バックアップサーバ上のステージングフォルダと保存フォルダにアク
セスする Prime Infrastructure サーバの IP アドレスです。これは、特定のサブネット下の IP ア
ドレスのグループにすることもできます（172.18.123.0/16 など）。
変更したエクスポートファイルを Prime Infrastructure サーバで実行中のコンフィギュレーショ
ンにロードします。
[root@server~]#
ステップ 6
ステップ 7
exportfs -a
ステージングフォルダと保存フォルダに対するファイアウォールチェックを無効にして、
portmap サービスを開始します。次に例を示します。
[root@server~]#
service iptables stop
[root@server~]#
chkconfig iptables off
[root@server~]#
service portmap start
ステージングフォルダと保存フォルダを書き込み可能にしてから、終了します。
[root@server~]#
chmod 777 stagingPath
[root@server~]#
chmod 777 storagePath
[root@server~]#
exit
Cisco Prime Infrastructure 3.0 管理者ガイド
5-13
第5章
Prime Infrastructure のバックアップと復元
リモートバックアップリポジトリの使用
関連項目
•
NFS バックアップ設定を始める前に
•
NFS バックアップサーバを使用するための Prime Infrastructure の設定
NFS バックアップサーバを使用するための Prime Infrastructure の設定
以下の作業を実行する前に、「NFS バックアップサーバの設定」の手順に従って NFS バックアッ
プサーバの設定を正しく完了する必要があります。「NFS バックアップ設定を始める前に」に記
載されている情報とアクセス権限が必要になります。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
サーバ上のルート権限を前提とします。次に例を示します。
PIServer/admin# root
Enter root password:
Starting root bash shell...
ade #
ステップ 3
ステップ 4
ルートモードで、NFS バックアップサーバとの NFS 通信を有効にします。
ade#
service nfs start
ade#
service portmap start
Prime Infrastructure サーバから、リモート NFS サーバ上の共有ステージングフォルダと保存
フォルダが表示されるかどうかを確認します。
ade#
rpcinfo –p RemoteServerIP
ここで、RemoteServerIP はステージングフォルダと保存フォルダをホストする NFS サーバの IP
アドレスです（198.168.1.1 など）。
このコマンドの出力に NFS サービスと NFS サーバ上の関連ポートが表示されない場合は、
Prime Infrastructure サーバ上の NFS サービスの再起動が必要になることがあります。
ade#
ステップ 5
service nfs restart
ルートモードを終了してから、コンフィギュレーションモードを開始して、NFS サーバ上で
バックアップをステージングするように Prime Infrastructure をセットアップします。
ade#
exit
PIServer/admin#
configure terminal
PIServer/admin(config)#
backup-staging-url nfs://RemoteServerIP:/stagingPath
ここで、stagingPath は NFS サーバ上のステージングフォルダのパス名です
（/localdisk/staging など）。
次に例を示します。
ade# exit
PIServer/admin# configure terminal
PIServer/admin(config)# backup-staging-url nfs://198.168.1.1:/localdisk/staging
ステップ 6
NFS サーバ上でバックアップを保存するように名前付き Prime Infrastructure リポジトリをセッ
トアップしてから、終了します。
PIServer/admin(config)# repository RepositoryName
PIServer/admin(config-Repository)#
url nfs://RemoteServerIP:/storagePath
PIServer/admin(config-Repository)#
exit
PIServer/admin(config)#
Cisco Prime Infrastructure 3.0 管理者ガイド
5-14
exit
第5章
Prime Infrastructure のバックアップと復元
リモートバックアップリポジトリの使用
それぞれの説明は次のとおりです。
•
RepositoryName は、Prime Infrastructure リポジトリの名前です（NFSRepo など）。
•
storagePath は、NFS サーバの保存フォルダのパス名です（/localdisk/storage など）。
次に例を示します。
PIServer/admin(config)# repository NFSRepo
PIServer/admin(config-Repository)# url nfs://198.168.1.1:/localdisk/storage
PIServer/admin(config-Repository)# exit
PIServer/admin(config)# exit
ステップ 7
コマンドラインからバックアップを実行する場合は、backup コマンドに新しいリポジトリ名を
指定します。次に例を示します。
PIServer/admin# backup MyBackupFileName repository MyRepo application NCS
バックアップを自動的に実行するには、Prime Infrastructure Web インターフェイスで新しいリポ
ジトリ名を指定します。
関連項目
•
NFS バックアップサーバの設定
•
NFS バックアップ設定を始める前に
•
CLI 経由の接続
•
自動アプリケーションバックアップリポジトリの指定
リモート SFTP バックアップリポジトリの使用
リモート SFTP サーバ上でバックアップリポジトリを作成し、それを使用するように Prime
Infrastructure サーバを設定できます。
バックアップをホストする SFTP サーバは、次の要件を満たしていれば、ネットワーク上のどこ
でもセットアップできます。
•
Prime Infrastructure サーバからアクセス可能な IP アドレスを持っている。
•
ユーザが SFTP サーバディスクへの書き込みアクセス権を持っている。
•
バックアップが保存されるローカル共有フォルダが存在する。
これらの要件以外に、SFTP バックアップサーバ上で必要な設定はありません。
リモート NFS リポジトリを使用することを推奨します。
SFTP サーバの詳細が UI の [Backup Repository] ドロップダウンリストに表示されるように、
CLI を使用して SFTP サーバを設定する必要があります。SFTP サーバは、CLI を使用してのみ設
定できます。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-15
第5章
Prime Infrastructure のバックアップと復元
リモートバックアップリポジトリの使用
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
コンフィギュレーションモードに入ります。
PIServer/admin#
ステップ 3
configure terminal
リモート SFTP サーバへのシンボリックリンクを設定します。
PIServer/admin(config)#
repository repositoryName
PIServer/admin(config-Repository)#
url sftp://RemoteServerIP//sharedfolder
PIServer/admin(config-Repository)#
user userName password plain userPassword
PIServer/admin(config-Repository)#
exit
PIServer/admin(config)#
exit
それぞれの説明は次のとおりです。
ステップ 4
•
repositoryName は、リポジトリの名前です（たとえば、MyRepo や PrimeInfrastructure など）。
•
RemoteServerIP は、共有バックアップフォルダをホストする SFTP サーバの IP アドレスで
す。上の例は、共有フォルダへの絶対パスを指定していることに注意してください。共有フォ
ルダへの相対パスを指定するには、URL で 1 本のスラッシュだけを使用します。例: url
sftp:/RemoteServerIP//sharedfolder
•
sharedfolder は、SFTP サーバ上の共有バックアップフォルダの名前です。
•
userName は、SFTP サーバ上のリポジトリへの書き込み権限を持っているユーザの名前です。
•
userPassword は、そのユーザの対応するパスワードです。
シンボリックリンクの作成を確認します。
PIServer/admin#
ステップ 5
show repository repositoryName
コマンドラインからバックアップを実行する場合は、新しいリポジトリを backup コマンド内に
リポジトリ名として指定します。次に例を示します。
PIServer/admin# backup MyBackupFileName repository MyRepo application NCS
バックアップを自動的に実行する場合は、作成したリポジトリ名を Prime Infrastructure Web イン
ターフェイスでリポジトリ名として選択します。
関連項目
•
CLI 経由の接続
•
リモート NFS バックアップリポジトリの使用
•
アプリケーションバックアップの実行
•
アプライアンスバックアップの実行
•
自動アプリケーションバックアップリポジトリの指定
Cisco Prime Infrastructure 3.0 管理者ガイド
5-16
第5章
Prime Infrastructure のバックアップと復元
リモートバックアップリポジトリの使用
リモート FTP バックアップリポジトリの使用
リモート FTP サーバ上でバックアップリポジトリを作成し、それを使用するように Prime
Infrastructure サーバを設定できます。
バックアップをホストする FTP サーバは、次の要件を満たしていれば、ネットワーク上のどこで
もセットアップできます。
•
Prime Infrastructure サーバからアクセス可能な IP アドレスを持っている。
•
ユーザ（FTP ユーザ）が FTP サーバディスクへの書き込みアクセス権を持っている。
•
Prime Infrastructure サーバ上で指定されたリポジトリ名と一致するローカルサブディレク
トリが存在する。
•
16 文字以下のパスワードを設定している。
これらの要件以外に、FTP バックアップサーバ上で必要な設定はありません。
リモート NFS リポジトリを推奨します。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
コンフィギュレーションモードに入ります。
PIServer/admin#
ステップ 3
configure terminal
リモート FTP サーバへのシンボリックリンクを設定します。
PIServer/admin(config)#
repository repositoryName
PIServer/admin(config-Repository)#
url ftp://RemoteServerIP//sharedfolder
PIServer/admin(config-Repository)#
user userName password plain userPassword
PIServer/admin(config-Repository)#
exit
PIServer/admin(config)#
exit
それぞれの説明は次のとおりです。
ステップ 4
•
repositoryName は、リポジトリの名前です（たとえば、MyRepo や PrimeInfrastructure など）。
•
RemoteServerIP は、共有バックアップフォルダをホストする FTP サーバの IP アドレスです。
•
sharedfolder は、FTP サーバ上の共有バックアップフォルダの名前です。
•
userName は、FTP サーバ上のリポジトリへの書き込み権限を持っているユーザの名前です。
•
userPassword は、そのユーザの対応するパスワードです。このパスワードは 16 文字以下であ
ることが必要です。
シンボリックリンクの作成を確認します。
PIServer/admin#
ステップ 5
show repository repositoryName
コマンドラインからバックアップを実行する場合は、新しいリモート FTP リポジトリを backup
コマンド内のリポジトリ名として指定します。次に例を示します。
PIServer/admin# backup MyBackupFileName repository MyRepo application NCS
バックアップを自動的に実行する場合は、作成したリポジトリ名を Prime Infrastructure Web イン
ターフェイスでリポジトリ名として選択します。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-17
第5章
Prime Infrastructure のバックアップと復元
コマンドラインからのバックアップの実行
関連項目
•
CLI 経由の接続
•
リモート NFS バックアップリポジトリの使用
•
アプリケーションバックアップの実行
•
アプライアンスバックアップの実行
•
自動アプリケーションバックアップリポジトリの指定
コマンドラインからのバックアップの実行
Prime Infrastructure の backup コマンドを使用すれば、いつでも、アプリケーションまたはアプラ
イアンスバックアップを実行できます。
関連項目
•
アプリケーションバックアップの実行
•
アプライアンスバックアップの実行
アプリケーションバックアップの実行
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
バックアップのリストを表示します。
PIServer/admin#
show repository repositoryName
ここで、repositoryName は、バックアップを保存するリポジトリです。
ステップ 3
アプリケーションをバックアップします。
PIServer/admin#
backup filename repository repositoryName application NCS
ここで、filename は、アプリケーションバックアップファイルに付ける名前です（myBackup な
ど）。ファイル名の長さは 26 文字です。その他の情報はファイル名に自動的に付加されます
（「バックアップファイル名」を参照）。
ステップ 4
（省略可能）パスワードを入力します。
関連項目
•
CLI 経由の接続
•
バックアップリポジトリ
•
バックアップファイル名
•
リモート NFS バックアップリポジトリの使用
•
リモート FTP バックアップリポジトリの使用
•
アプライアンスバックアップの実行
Cisco Prime Infrastructure 3.0 管理者ガイド
5-18
第5章
Prime Infrastructure のバックアップと復元
コマンドラインからのバックアップの実行
アプライアンスバックアップの実行
Prime Infrastructure バージョン 3.0 のユーザは、3.0 の仮想または物理アプライアンスから作成さ
れたアプライアンスバックアップが復元できるのはバージョン 3.0 の仮想または物理アプライ
アンスのみであることに注意してください。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
アプライアンスバックアップのリストを表示します。
PIServer/admin#
show repository repositoryName
ここで、repositoryName は、アプライアンスバックアップを保存するリポジトリです。
ステップ 3
アプライアンスをバックアップします。
PIServer/admin#
backup filename repository repositoryName
ここで、filename は、アプライアンスバックアップファイルに付ける名前です（myBackup な
ど）。ファイル名の長さは 26 文字です。その他の情報はファイル名に自動的に付加されます
（「バックアップファイル名」を参照）。
関連項目
•
CLI 経由の接続
•
バックアップリポジトリ
•
バックアップファイル名
•
リモート NFS バックアップリポジトリの使用
•
リモート FTP バックアップリポジトリの使用
•
アプリケーションバックアップの実行
Cisco Prime Infrastructure 3.0 管理者ガイド
5-19
第5章
Prime Infrastructure のバックアップと復元
バックアップからの復元
バックアップからの復元
バックアップから復元するには、Prime Infrastructure restore コマンドを使用する必要がありま
す。使用していたものと同じホストに復元することも、別のホストに復元することもできます。
バックアップの一部のみを復元することはできません。
復元をトリガーする前には、常にサーバを停止する必要があることに注意してください（「関連
項目」の「Prime Infrastructure の再起動」を参照）。
関連項目
•
Prime Infrastructure の再起動
•
バックアップと復元の概念
•
リモートバックアップリポジトリの使用
•
アプリケーションバックアップからの復元
•
アプライアンスバックアップからの復元
•
バックアップと復元を使用した別の仮想アプライアンスへの移行
•
バックアップと復元を使用した別の物理アプライアンスへの移行
•
失敗した復元からの回復
アプリケーションバックアップからの復元
Prime Infrastructure は、以下のリリースのバックアップからの復元をサポートしています。
•
Prime Infrastructure バージョン 2.2、2.2.1、2.2.2
•
Prime Infrastructure 2.2.1 Technology Package 各種
– Data Center Technology Package 1.0.0 for Cisco Prime Infrastructure 2.2.1
– Wireless Technology Package 1.0.0 for Cisco Prime Infrastructure 2.2.1
•
Prime Infrastructure バージョン 2.2.X およびすべての Cisco.com パッチおよびポイント
パッチ
•
Prime Infrastructure バージョン 3.0
より小規模な OVA インストールで実行したアプリケーションバックアップを、より大規模な
OVA インストールに復元できます。大規模な OVA で実行したアプリケーションバックアップ
を、それより小規模な OVA に復元することはできません（「関連項目」の「バックアップと復元を
使用した別の OVA への移行」を参照）。
Prime Infrastructure バージョン 3.0 のユーザは、バージョン 2.2、2.2.x、または 3.0 の仮想または物
理アプライアンスから作成されたアプリケーションバックアップが復元できるのはバージョン
3.0 の仮想または物理アプライアンスのみであることに注意してください。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、アプリケーションバックアップのリストを表示します。
PIServer/admin#
show repository repositoryName
ここで、repositoryName は、バックアップを復元するリポジトリです。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-20
第5章
Prime Infrastructure のバックアップと復元
バックアップからの復元
ステップ 3
復元するアプリケーションバックアップファイルを特定してから、次のコマンドを入力して、
そのファイルから復元します。
PIServer/admin#
restore filename repository repositoryName application NCS
ここで、filename は、復元するアプリケーションバックアップファイルの名前です。
ステップ 4
ステップ 5
復元が完了したら、デバイスインベントリを同期させます。
a.
[Inventory] > [Device Management] > [Network Devices] を選択します。
b.
すべてのデバイスを選択するには、[Device Name] の横のチェックボックスをオンにします。
c.
[Sync] をクリックします。
復元前にコンプライアンスサービス機能が有効化されていた場合は、復元完了後にその機能を
再度有効化する必要があります（「関連項目」の「コンプライアンスサービスの有効化」を参照）。
関連項目
•
CLI 経由の接続
•
バックアップタイプ
•
バックアップリポジトリ
•
バックアップファイル名
•
アプライアンスバックアップからの復元
•
バックアップと復元を使用した別の仮想アプライアンスへの移行
•
失敗した復元からの回復
•
コンプライアンスサービスの有効化
アプライアンスバックアップからの復元
Prime Infrastructure 3.0 は、Prime Infrastructure バージョン3.0 から作成されたアプライアンス
バックアップの復元のみをサポートします。製品の古いバージョン（2.2、2.2.X、2.2.X や Cisco.com
パッチ）から作成されたアプライアンスバックアップの復元は、リリース 3.0 ではサポートされ
ていません。ただし、アプリケーションバックアップを使用することで、古いバージョンの Prime
Infrastructure を Prime Infrastructure 3.0 に復元することができます。
以降の手順では、復元された Prime Infrastructure ホストの IP アドレス、サブネットマスク、デ
フォルトゲートウェイ、ホスト名を変更する方法を示します。復元したホストが次の状態の場
合、この作業が必要になります。
•
復元したホストが古いホストと同じサブネット上に存在し、古いホストが引き続き動作中で
ある。
•
復元したホストが古いホストとは別のサブネット上に存在する。
必須ではありませんが、いずれかの場合にはホスト名の変更が推奨されます。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（CLI 経由の接続を参照）。
ステップ 2
次のコマンドを入力して、アプライアンスバックアップのリストを表示します。
PIServer/admin#
show repository repositoryName
ここで、repositoryName は、バックアップを復元するリポジトリです。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-21
第5章
Prime Infrastructure のバックアップと復元
バックアップからの復元
ステップ 3
復元するアプライアンスバックアップファイルを特定してから、そのファイルから復元します。
PIServer/admin#
restore filename repository repositoryName
ここで、filename は、復元するアプライアンスバックアップファイルの名前です。
ステップ 4
復元が完了した後、必要に応じて、Prime Infrastructure を停止し、コマンドラインを使用して、復
元したサーバの IP アドレス、サブネットマスク、デフォルトゲートウェイ、ホスト名を変更しま
す。また、サーバの実行コンフィギュレーションに変更を書き込み、物理または仮想アプライア
ンスを再起動する必要もあります。次に例を示します。
PIServer/admin# ncs stop
PIServer/admin# configure terminal
PIServer/admin(config)# int GigabitEthernet 0
PIServer/admin(config-GigabitEthernet)# ip address IPAddress subnetMask
PIServer/admin(config-GigabitEthernet)# exit
PIServer/admin(config)# ip default-gateway GatewayIP
PIServer/admin(config)# hostname hostname
PIServer/admin(config)# exit
PIServer/admin# write mem
PIServer/admin# ncs start
PIServer/admin# exit
仮想または物理アプライアンスを再起動すると、これらの変更がオペレーティングシステムに
書き込まれます。
ステップ 5
ステップ 6
復元が完了したら、デバイスインベントリを同期させます。
a.
[Inventory] > [Device Management] > [Network Devices] を選択します。
b.
すべてのデバイスを選択するには、[Device Name] の横のチェックボックスをオンにします。
c.
[Sync] をクリックします。
復元前にコンプライアンスサービス機能が有効化されていた場合は、復元完了後にその機能を
再度有効化する必要があります（「関連項目」の「コンプライアンスサービスの有効化」を参照）。
関連項目
•
CLI 経由の接続
•
バックアップタイプ
•
バックアップリポジトリ
•
バックアップファイル名
•
アプリケーションバックアップからの復元
•
バックアップと復元を使用した別の物理アプライアンスへの移行
•
失敗した復元からの回復
•
コンプライアンスサービスの有効化
Cisco Prime Infrastructure 3.0 管理者ガイド
5-22
第5章
Prime Infrastructure のバックアップと復元
バックアップからの復元
バックアップと復元を使用した別の仮想アプライアンスへの移行
以下の場合のように、既存の仮想アプライアンス（OVA サーバインストール構成）から新しいイ
ンストール構成に Prime Infrastructure データを移行する必要が生じることがあります。
•
致命的なハードウェア障害が発生した場合などは、古いサーバを丸ごと交換します。この場
合は、古いインストールメディアを使用して交換用サーバ上で新しいホストを作成し直し
てから、古いホストから新しいホストにアプリケーションデータを移行することができます。
•
Prime Infrastructure を使用してネットワークをさらに管理できるように、より大規模なまた
はより強力なサーバに移行します。この場合、OVA インストールファイルが存在すること、
および、より大きなサーバにインストールできる機能を使用して、そのファイルを新しい
サーバにインストールできることを確認してから、古く小さいサーバを取り外すことができ
ます。その後で、古いホストからアプリケーションデータを移行できます。
いずれの場合も、古いホストから作成したアプライアンスバックアップまたはアプリケーショ
ンバックアップを新しいホストに復元することによって、比較的簡単に古いデータを新しい仮
想アプライアンスに移行できます。
ステップ 1
まだ実行していない場合は、古いホストのリモートバックアップリポジトリをセットアップし
ます（「関連項目」の「リモートバックアップリポジトリの使用」を参照）。
ステップ 2
リモートリポジトリ上で古いホストのアプリケーションバックアップを実行します（「アプリ
ケーションバックアップの実行」を参照）。
ステップ 3
新しいホストをインストールします（インストール手順は『Cisco Prime Infrastructure Quick Start
Guide』を参照）。
ステップ 4
古いホストと同じリモートバックアップリポジトリを使用するように新しいホストを設定し
ます（「リモートバックアップリポジトリの使用」を参照）。
ステップ 5
リモートリポジトリのアプリケーションバックアップを新しいホストに復元します（「アプリ
ケーションバックアップからの復元」を参照）。
関連項目
•
リモートバックアップリポジトリの使用
•
Cisco Prime Infrastructure Quick Start Guide
•
アプリケーションバックアップの実行
•
リモートバックアップリポジトリの使用
•
アプリケーションバックアップからの復元
バックアップと復元を使用した別の物理アプライアンスへの移行
既存の物理アプライアンスから新しいアプライアンスに Prime Infrastructure データを移行しな
ければならない場合があります。
•
致命的なハードウェア障害が発生した場合などは、古いアプライアンスを丸ごと交換しま
す。この場合は、交換用アプライアンスを発注してから、古いアプライアンスから新しいアプ
ライアンスにデータを移行できます。
•
新しくインストールしたアプライアンスに移行します。
Cisco Prime Infrastructure 3.0 管理者ガイド
5-23
第5章
Prime Infrastructure のバックアップと復元
バックアップからの復元
いずれの場合も、古いホストから作成したアプライアンスバックアップまたはアプリケーショ
ンバックアップを新しいアプライアンスに復元することによって、比較的簡単に古いデータを
新しいアプライアンスに移行できます。
ステップ 1
古いアプライアンスがまだ機能している場合:
a.
まだ実行していない場合は、古いアプライアンスのリモートバックアップリポジトリを
セットアップします（「関連項目」の「リモートバックアップリポジトリの使用」を参照）。
b.
リモートリポジトリ上で古いアプライアンスのアプライアンスバックアップまたはアプリ
ケーションバックアップを実行します（それぞれ「アプライアンスバックアップの実行」ま
たは「アプリケーションバックアップの実行」を参照）。
ステップ 2
古いアプライアンスと同じリモートバックアップリポジトリを使用するように新しいアプラ
イアンスを設定します（「リモートバックアップリポジトリの使用」を参照）。
ステップ 3
リモートリポジトリのアプライアンスバックアップまたはアプリケーションバックアップを
新しいアプライアンスに復元します（それぞれ「アプライアンスバックアップからの復元」また
は「アプリケーションバックアップからの復元」を参照）。復元するバックアップの種類に適した
手順に従うようにしてください。たとえば、古いアプライアンスからアプリケーションバック
アップを作成した場合は、アプライアンスバックアップではなくアプリケーションバックアッ
プを復元する手順を使用して、それを復元する必要があります。
関連項目
•
リモートバックアップリポジトリの使用
•
アプリケーションバックアップの実行
•
アプライアンスバックアップの実行
•
アプライアンスバックアップからの復元
•
アプリケーションバックアップからの復元
失敗した復元からの回復
復元が完了しなかったり、エラーが報告されたりすることがあります。復元が失敗した場合は、
常に、データベース破損のリスクが伴い、それ以上の復元または再インストールができなくなる
ことがあります。別の復元または再インストールを試す前に、次のステップを実行します。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」を参照）。
ステップ 2
次のコマンドを入力して、破損したデータベースをリセットします。
PIServer/admin#
ncs run reset db
関連項目
•
CLI 経由の接続
•
アプリケーションバックアップからの復元
•
アプライアンスバックアップからの復元
Cisco Prime Infrastructure 3.0 管理者ガイド
5-24
第5章
Prime Infrastructure のバックアップと復元
バックアップおよび復元中のディスク領域の問題を管理する
バックアップおよび復元中のディスク領域の問題を管理
する
バックアップまたは復元中にディスク領域の問題が発生した場合、次のいずれか行うことを推
奨します。
•
VMware の設定の編集機能を使用して、仮想マシンに割り当てるディスク領域のサイズを拡
大します（「関連項目」の「VMware vSphere クライアントを使用した VM リソース割り当ての
変更」を参照）。
VMware ESXi 5.5 以降を使用する場合は、この設定を調整するために vSphereWeb クライア
ントを使用してください（VMware のマニュアル『Configuring Virtual Machine Hardware in the
vSphere Web Client』を参照）。
•
「バックアップと復元を使用した別の OVA への移行」（または「バックアップと復元を使用し
た別のアプライアンスへの移行」）の手順に従って、十分なディスク領域を持つサーバにイン
ストール構成を移動します。
既存のシステムを復元した後に、バックアップを作成できない場合は、「Prime Infrastructure データ
ベースの圧縮」の手順に従ってディスク領域を解放し、正常なバックアップを作成してください。
ncs cleanup コマンド使用後にもバックアップを作成できない場合、バックアップ用にリモート
リポジトリを（FTP、SFTP、または NFS を使用して）セットアップして使用してください（「リモー
トバックアップリポジトリの使用」を参照）。
関連項目
•
VMware vSphere クライアントを使用する VM のリソース割り当ての変更
•
Configuring Virtual Machine Hardware in the vSphere Web Client
•
バックアップと復元を使用した別の仮想アプライアンスへの移行
•
バックアップと復元を使用した別の物理アプライアンスへの移行
•
Prime Infrastructure データベースの圧縮
•
リモートバックアップリポジトリの使用
•
ディスク領域の問題管理
Operations Center でのバックアップと復元の使用
Operations Center 上で実行されている Prime Infrastructure インスタンスは、CLI を使用して Prime
Infrastructure バージョン 2.2、2.2.X、または 3.0 から作成されたアプリケーションバックアップ
の復元のみをサポートします。
Operations Center 上で実行されている Prime Infrastructure インスタンスからの自動アプリケー
ションバックアップをスケジュール設定することはできません。
Operations Center を使用して Prime Infrastructure サーババージョン 2.2 または 2.2.X を管理して
いる場合は、Operations Center 上で実行されている Prime Infrastructure サーバのアプリケーショ
ンバックアップの実行を試みる前に、必ずこれらのインスタンスを Prime Infrastructure 3.0 に
アップグレードしてください。
関連項目
•
リモートバックアップリポジトリの使用
•
アプリケーションバックアップからの復元
Cisco Prime Infrastructure 3.0 管理者ガイド
5-25
第5章
Operations Center でのバックアップと復元の使用
Cisco Prime Infrastructure 3.0 管理者ガイド
5-26
Prime Infrastructure のバックアップと復元
CH A P T E R
6
ネットワーク健全性の管理
•
アラームとイベントの設定
•
監査の変更通知の有効化
•
システム変更に関する Syslog メッセージレシーバの設定
•
エラーログのダウンロードと電子メール送信
•
SNMP トレースの有効化
•
Syslog ロギングオプションの変更
•
ロギングオプションの変更によるトラブルシューティングの強化
•
テクニカルサポート要求設定値の設定
アラームとイベントの設定
•
アラームのクリーンアップおよび表示オプションの指定
•
アラーム重大度の変更
•
自動クリア間隔の変更
アラームのクリーンアップおよび表示オプションの指定
[Administration] > [System Settings] > [Alarms and Events] ページでは、アラームのクリーンアッ
プ、表示、電子メール送信のタイミングと方法を指定できます。
ステップ 1
[Administration > [Settings] > [System Settings] > [Alarms and Events] > [Alarms and Events] を選択
します。
ステップ 2
[Alarm and Event Cleanup Options] を次のように変更します。
•
[Delete active and cleared alarms after]：アクティブなアラームまたはクリアされたアラームが
削除されるまでの日数を入力します。チェックボックスをオフにすることで、このオプショ
ンを無効にできます。
•
[Delete cleared security alarms after]：セキュリティアラーム、不正 AP アラーム、およびアド
ホック不正アラームが削除されるまでの日数を入力します。
Cisco Prime Infrastructure 3.0 管理者ガイド
6-1
第6章
ネットワーク健全性の管理
アラームとイベントの設定
•
[Delete cleared non-security alarms after]：セキュリティアラーム以外のアラームが削除される
までの日数を入力します。セキュリティアラーム以外のアラームには、[Security]、[Rogue AP]、
または [Adhoc Rogue] カテゴリに属するアラーム以外のすべてのアラームが含まれます。
•
[Delete all events after]：すべてのイベントを削除するまでの日数を入力します。この削除タス
クが最初に行われるようにするには、他のすべてのアラームおよびイベントのクリーンアッ
プオプションの値より小さい値を設定します。
Cisco Prime Infrastructure は、通常のデータクリーンアップタスクの一環として古いアラームを
夜間に削除し、データベースのアラームテーブルのストレージサイズを 1 時間ごとにチェック
します。アラームテーブルが 300,000 の上限を超えた場合、Prime Infrastructure はアラームテー
ブルのサイズが制限内に収まるまで、クリアされたアラームを最も古いものから削除します。ク
リアされたアラームを 7 日より長く保持する必要がある場合は、アラームテーブルのサイズが
上限に達しない範囲で、[Delete cleared non-security alarms after] テキストボックスに 7 日を超え
る値を指定できます。
ステップ 3
[Syslog Cleanup Options] エリアの [Delete all syslogs after] テキストボックスに、すべての古い
Syslog を削除するまでの日数を入力します。
ステップ 4
必要に応じて、[Alarm Display Options] を変更します。
•
[Hide acknowledged alarms]：このチェックボックスをオンにすると、承認済みのアラームは
[Alarm] ページに表示されません。このオプションは、デフォルトで有効です。重大度の変化
に関係なく、承認済みのアラームに対して電子メールは生成されません。
•
[Hide assigned alarms]：このチェックボックスをオンにすると、割り当て済みのアラームは
[Alarm] ページに表示されません。
•
[Hide cleared alarms]：このチェックボックスをオンにすると、クリアされたアラームは
[Alarm Summary] ページに表示されません。このオプションは、デフォルトで有効です。
•
[Add device name to alarm messages]：このチェックボックスをオンにすると、デバイスの名前
がアラームメッセージに追加されます。
これらのオプションの変更は、[Alarm] ページにのみ適用されます。エンティティに対するア
ラームのクイック検索は、アラームの状態に関係なく、そのエンティティのすべてのアラームを
表示します。
ステップ 5
アラームの [Failure Source Pattern] を次のように変更します。
•
カスタマイズするカテゴリを選択し、[Edit] をクリックします。
•
利用可能な選択肢から障害ソースパターンを選択し、[OK] をクリックします。
選択したカテゴリに対して生成されるアラームには、設定されたカスタムパターンが使用され
ます。
ステップ 6
[Alarm Email Options] を次のように変更します。
•
[Add Prime Infrastructure address to email notifications]：このチェックボックスをオンにする
と、電子メール通知に Prime Infrastructure のアドレスが追加されます。
•
[Include alarm severity in the email subject line]：このチェックボックスをオンにすると、電子
メールの件名にアラーム重大度が含まれるようになります。このオプションは、デフォルト
で有効です。
•
[Include alarm Category in the email subject line]：このチェックボックスをオンにすると、電子
メールの件名にアラームのカテゴリが含まれるようになります。このオプションは、デフォ
ルトで有効です。
•
[Include prior alarm severity in the email subject line]：このチェックボックスをオンにすると、
電子メールの件名に事前アラーム重大度が含まれるようになります。
Cisco Prime Infrastructure 3.0 管理者ガイド
6-2
第6章
ネットワーク健全性の管理
アラームとイベントの設定
ステップ 7
ステップ 8
•
[Include custom text in the email subject line]：このチェックボックスをオンにすると、電子
メールの件名にカスタムテキストが追加されます。[Replace the e-mail subject line with
custom text] チェックボックスをオンにして、電子メールの件名をカスタムテキストに置き
換えることもできます。
•
[Include custom text in body of email]：このチェックボックスをオンにすると、電子メールの
本文にカスタムテキストが追加されます。
•
[Include alarm condition in body of email]：このチェックボックスをオンにすると、電子メール
の本文にアラーム状態が含まれるようになります。
•
[Add link to Alarm detail page in body of email]：このチェックボックスをオンにすると、電子
メールの本文に [Alarm detail] ページへのリンクが追加されます。
•
[Enable Secure Message Mode]：チェックボックスをオンにすると、セキュアメッセージモー
ドが有効になります。[Mask IP Address and Mask Controller Name] チェックボックスをオン
にした場合、アラーム電子メールはセキュアモードで送信され、すべての IP アドレスとコン
トローラ名はマスクされます。
[Alarm Other Options] を次のように変更します。
•
[Controller license count threshold]：維持する必要がある、使用可能なコントローラライセン
スの最小数を入力します。使用可能なコントローラライセンスの数がこのしきい値を下回
ると、アラームがトリガーされます。
•
[Enable AP count threshold alarm] オプションは、デフォルトで有効化され、[Controller access
point count threshold] の設定ができるようになっています。
•
[Controller access point count threshold]：維持する必要がある、使用可能なコントローラアク
セスポイントの最大数を入力します。使用可能なコントローラアクセスポイントの数がこ
のしきい値を超えると、アラームがトリガーされます。
[Save] をクリックします。
アラーム重大度の変更
新しく生成されるアラームの重大度を変更できます。既存のアラームは変更されません。
ステップ 1
[Administration > [Settings] > [System Settings] > [Alarms and Events] > [Alarm Severity and Auto
Clear] の順に選択します。
ステップ 2
[Event Types] 列の下に表示されているカテゴリを展開します。または、列ヘッダーのすぐ下にあ
る [Event Types] 検索フィールドにイベントのテキストの全部または一部を入力することによ
り、目的のイベントタイプを検索します。
ステップ 3
次のいずれかのタスクを実行して、イベント重大度を変更します。
•
[Severity] フィールドをクリックし、ドロップダウンリストから重大度レベルを選択します。
•
重大度レベルを変更するイベントタイプのチェックボックスをオンにして [Severity
Configuration] をクリックし、[Configure Severity Level] ドロップダウンリストから重大度レ
ベルを選択して [OK] をクリックします。
選択可能な重大度レベルは、[Critical]、[Major]、[Minor]、[Warning]、[Informational]、[Reset to
Default] です。
Cisco Prime Infrastructure 3.0 管理者ガイド
6-3
第6章
ネットワーク健全性の管理
監査の変更通知の有効化
自動クリア間隔の変更
任意のアラーム条件の自動クリア間隔を変更できます。所定のアラーム条件に対して生成され
たアラームは、指定した間隔で自動クリアされます。アラームを自動的にクリアするには、次の
手順を実行します。
ステップ 1
[Administration > [Settings] > [System Settings] > [Alarms and Events] > [Alarm Severity and Auto
Clear] の順に選択します。
ステップ 2
[Event Types] 列の下に表示されているカテゴリを展開します。または、列ヘッダーのすぐ下にあ
る [Event Types] 検索フィールドにイベントのテキストの全部または一部を入力することによ
り、目的のイベントタイプを検索します。
ステップ 3
次のいずれかの操作を実行して、自動クリア間隔を変更します。
•
[Auto Clear Duration] フィールドをクリックし、アラームをクリアするまでの継続時間を入
力します。
•
自動クリアまでの継続時間を変更するイベントタイプのチェックボックスをオンにして
[Alarm Auto Clear] をクリックし、アラームをクリアするまでの継続時間を入力して [OK] を
クリックします。
監査の変更通知の有効化
Prime Infrastructure では、定義された監査に含まれるインベントリまたは設定パラメータに変更
が加えられるたびに、Java メッセージサーバ（JMS）に通知を送信することができます。
デフォルトでは、監査の変更に関する JMS 通知は無効になっています。Prime Infrastructure でこ
の機能を有効にするには、[Enable Change Audit Notification] チェックボックスをオンにする必要
があります。Prime Infrastructure は、すべての監査変更通知を XML 形式でトピック ChangeAudit.All
に送信します。通知を受信するためには、ChangeAudit.All に登録する必要があります。
ステップ 1
[Administration > [Settings] > [System Settings] > [Mail and Notification] > [Change Audit
Notification] の順に選択します。
ステップ 2
[Enable Change Audit Notification] チェックボックスをオンにして通知を有効にします。
ステップ 3
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
6-4
第6章
ネットワーク健全性の管理
システム変更に関する Syslog メッセージレシーバの設定
システム変更に関する Syslog メッセージレシーバの設定
JMS 通知の送信に加え、Prime Infrastructure では、以下の Prime Infrastructure 機能の変更を通知す
るための Syslog メッセージを指定のレシーバに送信できます。
•
デバイスの管理
•
デバイスコミュニティ文字列とクレデンシャル
•
ユーザ管理
•
設定テンプレート管理
•
モニタテンプレート管理
•
ジョブ管理
•
ログインおよびログアウト
•
イメージの配信
•
設定変更
•
インベントリ変更
これらの特殊な Syslog メッセージ用に任意の数のレシーバを指定できます。
Syslog メッセージ通知レシーバを設定しても Syslog を受信しない場合は、宛先 Syslog レシーバ
のウイルス対策またはファイアウォールの設定を変更して、Syslog メッセージの受信を許可す
るようにしなければならない可能性があります。
ステップ 1
[Administration > [Settings] > [System Settings] > [Mail and Notification] > [Change Audit
Notification] の順に選択します。
ステップ 2
[Add] ボタン（+）をクリックして、Syslog レシーバを指定します。
ステップ 3
[Syslog Receiver] ペインで、Syslog レシーバの情報を [IP Address]、[Protocol]、[Port Number] に入
力します。
ステップ 4
[Save] をクリックして変更を保存します。
ステップ 5
さらに追加の Syslog レシーバを指定するには、必要に応じてこの手順を繰り返します。
Syslog メッセージ通知レシーバを変更または削除するには、目的のレシーバを選択し、[Edit] ボ
タンまたは [Delete] ボタン（X）をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
6-5
第6章
ネットワーク健全性の管理
エラーログのダウンロードと電子メール送信
エラーログのダウンロードと電子メール送信
Prime Infrastructureは、Prime Infrastructureで管理されるすべてのデバイスが生成するすべてのエ
ラー、情報、およびトレースメッセージをログに記録します。Prime Infrastructure は、受信したす
べての SNMP メッセージと Syslog もログに記録します。ログをダウンロードして電子メールで
送信し、Prime Infrastructure のトラブルシューティングに使用できます。
ステップ 1
[Administration] > [Settings] > [Logging] の順に選択します。[General Logging Options] 画面が表示
されます。
ステップ 2
メッセージレベルを選択します。
ステップ 3
[Enable Log Module] オプション内のさまざまな管理モジュールを有効にするチェックボックス
をオンにします。すべてのモジュールを選択するには、[Log Modules] をクリックします。
ステップ 4
[File Settings] セクションで、必要な設定を入力します。これらの設定は、Prime Infrastructure の再
起動後に有効になります。
デフォルトでは、[File Prefix] エントリは ncs-%g-%u.log に設定されます。ここで、%g はログファ
イルのシーケンス番号、%u はローカルディスクファイルシステムによって割り当てられる固
有の番号です。たとえば、最初に作成されたログファイルの名前は ncs-1-0.log となります。
ステップ 5
ローカルマシンにログファイルをダウンロードするには、[Download] をクリックします。
logs.zip のファイル名には、プレフィックスとしてホスト名と日時が付いているため、保管され
たログファイルを簡単に識別できます。ログファイルについて説明する HTML ファイルは、zip
ファイルに含まれています。
ステップ 6
ログファイルを送信する E メール IDを入力（複数の場合はカンマで区切って入力）し、[Send] を
クリックします。
ログファイルを E メールで送信するには、E メールサーバを設定しておく必要があります。
SNMP トレースの有効化
SNMP トレースを有効にすると、SNMP によって送受信されるパケットに関する詳細情報にア
クセスできます。ユーザが指定した SNMP トレースの設定は、Prime Infrastructure SNMP サーバ
に保存されて使用されます。SNMP トレースを有効にする手順は、次のとおりです。
ステップ 1
[Administration] > [Settings ] > [Logging] > [SNMP Logging Option] の順に選択します。
ステップ 2
[Enable SNMP Trance] チェックボックスをオンにして、コントローラと Prime Infrastructure 間で
SNMP メッセージおよびトラップを送信できるようにした後、SNMP メッセージの値を表示す
るために [Display Value] チェックボックスをオンにします。
ステップ 3
SNMP トラップをトレースする IP アドレスを設定します。テキストボックスには、最大 10 個の
IP アドレスを追加できます。
ステップ 4
SNMP ログファイルの最大サイズと、保持する SNMP ログファイルの最大数を設定できます。
ステップ 5
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
6-6
第6章
ネットワーク健全性の管理
Syslog ロギングオプションの変更
Syslog ロギングオプションの変更
ステップ 1
[Administration] > [Settings ] > [Logging] > [Syslog Logging Option] の順に選択します。
ステップ 2
システムログの収集および処理を有効にするために、[Enable Syslog] チェックボックスをオン
にします。
ステップ 3
[Syslog Host] に、メッセージの送信元にするインターフェイスの IP アドレスを入力します。
ステップ 4
[Syslog Facility] を選択します。syslog メッセージの送信用に、8 個のローカル用途のファシリ
ティから任意に選択できます。このローカル用途のファシリティは予約されておらず、一般的な
用途で使用可能です。
ステップ 5
[Save] をクリックします。
ロギングオプションの変更によるトラブルシューティン
グの強化
問題のデバッグに役立てるために、Prime Infrastructure が収集するトラブルシューティングデー
タの量を変更できます。問題を簡単に再現できるよう、TAC への連絡に先立って次の手順を実行
してください。
ステップ 1
[Converged] ビューで、[Administration] > [Settings ] > [Logging] の順に選択します。
ステップ 2
[Message Level] ドロップダウンリストから、[Trace] を選択します。
ステップ 3
各チェックボックスをオンにして、すべてのログモジュールを有効にします。
ステップ 4
現在の問題を再現させます。
ステップ 5
[Logging Options] ページに戻り、[Download Log File] セクションで [Download] をクリックし
ます。
logs.zip のファイル名には、プレフィックスとしてホスト名と日時が付いているため、保管され
たログファイルを簡単に識別できます。ログファイルについて説明する HTML ファイルは、zip
ファイルに含まれています。
ステップ 6
注意
ログを取得したら、[Message Level] ドロップダウンリストから [Information] を選択します。
[Message Level] を長時間にわたって [Trace] のままにしておくと、パフォーマンスに悪影響を及
ぼす可能性があります。
関連項目
•
Mobility Service Engine ロギングオプションの変更
•
MAC アドレスに基づくロギング
•
Mobility Services Engine ログファイルのダウンロード
Cisco Prime Infrastructure 3.0 管理者ガイド
6-7
第6章
ネットワーク健全性の管理
ロギングオプションの変更によるトラブルシューティングの強化
Mobility Service Engine ロギングオプションの変更
Prime Infrastructure を使用して、ログに記録する Mobility Services Engine のログレベルとメッ
セージの種類を指定できます。
ステップ 1
[Administration] > [Settings ] > [Logging]> の順に選択し、[Logging Level] ドロップダウンリスト
から適切なオプションを選択します。
ロギングオプションは、[Off]、[Error]、[Information]、および [Trace] の 4 つです。ログレベルを
[Error] またはこれよりも前のレベルに設定した場合、ログレコードはすべて、新しいエラーロ
グファイル locserver-error-%u-%g.log に記録されます。これは、ロケーションサーバの
locserver-%u-%g.log ログファイルとともに維持される追加のログファイルです。このエラーロ
グファイルには、[Error] レベルのログとそのコンテキスト情報が記録されます。コンテキスト情
報には、当該エラーよりも前の 25 ログレコードが含まれています。最大 10 のエラーログファ
イルを維持できます。各ログファイルの最大許容サイズは 10 MB です。
注意
[Error] と [Trace] は、Cisco TAC 担当者の指示がある場合にのみ使用してください。
ステップ 2
イベントのロギングを開始するには、そのセクションの各要素の隣にある [Enable] チェック
ボックスをオンにします。
ステップ 3
[Advanced Parameters] ダイアログボックスの [Enable] チェックボックスをオンにし、詳細デバッ
グを有効にします。デフォルトでは、このオプションは無効になっています。
ステップ 4
サーバからログファイルをダウンロードするには、[Download Logs] をクリックします。詳細に
ついては、「Mobility Services Engine ログファイルのダウンロード」を参照してください。
ステップ 5
[Log File Parameters] 領域で、次の情報を入力します。
ステップ 6
ステップ 7
•
Mobility Services Engine で維持するログファイルの数。Mobility Services Engine で維持でき
るログファイルの数は 5 ～ 20 です。
•
最大ログファイルサイズ（MB 単位）。ログファイルのサイズは 10 ～ 50 MB です。
[MAC Address Based Logging Parameters] 領域で、次の手順に従います。
•
[Enable] チェックボックスをオンにし、MAC アドレスロギングを有効にします。デフォルト
では、このオプションは無効になっています。
•
ロギングを有効にする 1 つ以上の MAC アドレスを追加します。追加した MAC アドレスを
削除することもできます。削除するには、リストから MAC アドレスを選択して、[Remove] を
クリックします（「関連項目」の「MAC アドレスに基づくロギング」を参照）。
[Save] をクリックして変更を適用します。
関連項目
•
ロギングオプションの変更によるトラブルシューティングの強化
•
MAC アドレスに基づくロギング
•
Mobility Services Engine ログファイルのダウンロード
Cisco Prime Infrastructure 3.0 管理者ガイド
6-8
第6章
ネットワーク健全性の管理
ロギングオプションの変更によるトラブルシューティングの強化
MAC アドレスに基づくロギング
この機能では、指定されている MAC アドレスのエンティティ固有のログファイルを作成できま
す。ログファイルは次に示すパスの locserver ディレクトリ内に作成されます。
/opt/mse/logs/locserver
一度に最大で 5 つの MAC アドレスをログに記録できます。MAC アドレス aa:bb:cc:dd:ee:ff のロ
グファイルの形式は次のとおりです。
macaddress-debug-aa-bb-cc-dd-ee-ff.log
1 つの MAC アドレスに対して最大 2 つのログファイルを作成できます。2 つのログファイルの
うち、1 つがメインのログファイルであり、もう 1 つがバックアップまたはロールオーバーログ
ファイルです。
MAC ログファイルの最小サイズは 10 MB です。最大許容サイズは、MAC アドレスあたり 20 MB
です。MAC ログファイルの未更新時間が 24 を超えると、この MAC ログファイルはプルーニン
グされます。
関連項目
•
ロギングオプションの変更によるトラブルシューティングの強化
•
Mobility Service Engine ロギングオプションの変更
•
Mobility Services Engine ログファイルのダウンロード
Mobility Services Engine ログファイルのダウンロード
Mobility Services Engine ログファイルを解析する必要がある場合は、Prime Infrastructure を使用
してログファイルをご使用のシステムにダウンロードします。Prime Infrastructure は、ログファ
イルが含まれている zip ファイルをダウンロードします。
ログファイルを含む zip ファイルをダウンロードするには、次の手順に従います。
ステップ 1
[Services] > [Mobility Services] > [Mobility Services Engines] の順に選択します。
ステップ 2
ステータスを表示する Mobility Services Engine の名前を選択します。
ステップ 3
左側のサイドバーのメニューから、[System] > [Logs] の順に選択します。
ステップ 4
[Download Logs] 領域で、[Download Logs] をクリックします。
ステップ 5
[File Download] ダイアログボックスの指示に従い、ファイルを開くかまたは zip ファイルをシス
テムに保存します。
関連項目
•
ロギングオプションの変更によるトラブルシューティングの強化
•
Mobility Service Engine ロギングオプションの変更
•
MAC アドレスに基づくロギング
Cisco Prime Infrastructure 3.0 管理者ガイド
6-9
第6章
ネットワーク健全性の管理
テクニカルサポート要求設定値の設定
テクニカルサポート要求設定値の設定
シスコのテクニカルサポートでサポート事例を作成するための設定をカスタマイズできます。
サポートケースの作成についての詳細は、「関連項目」の「サポートケースを開く」を参照してく
ださい。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Support Request] の順に選択します。
ステップ 2
必要なインタラクションタイプを選択します。
ステップ 3
•
[Enable interactions directly from the server]：Prime Infrastructure サーバから直接サポート事例
を作成する場合は、このオプションを選択します。サポートプロバイダへの E メールは、
Prime Infrastructure サーバに関連付けられている E メールアドレス、または指定した E メー
ルアドレスから送信されます。
•
[Interactions via client system only]：サポート事例に必要な情報をクライアントマシンにダウ
ンロードする場合は、このオプションを指定します。この場合、ダウンロードしたサポート事
例の詳細および情報をサポートプロバイダに E メールで送信する必要があります。
テクニカルサポートプロバイダを選択します。
•
[Cisco] をクリックして、シスコテクニカルサポートでサポート事例を作成し、Cisco.com ク
レデンシャルを入力します。[Test Connectivity] をクリックして、以下のサーバに接続できる
ことを確認します。
– Prime Infrastructure メールサーバ
– シスコサポートサーバ
– フォーラムサーバ
•
[Third-party Support Provider] クリックして、サードパーティサポートプロバイダへのサー
ビスリクエストを作成します。プロバイダの E メールアドレス、件名、Web サイト URL を入
力する必要があります。
関連項目
•
サポートケースを開く
Cisco Prime Infrastructure 3.0 管理者ガイド
6-10
CH A P T E R
7
データの収集と保持の管理
管理者の役割の 1 つは、次のような目的のために、Cisco Prime Infrastructure のネットワークデー
タの収集と保持を管理することです。
•
システムのユーザの実際のニーズに合わせて拡張する。
•
監視対象デバイス、アプリケーション、およびネットワーク帯域幅の負荷を最小限に抑える。
•
ハードウェア障害に対処する。
次の各トピックでは、これらの目標を達成する方法、および関連のデータ管理タスクを実行する
方法について説明します。
関連項目
•
カテゴリ別のデータ保持の指定
•
データベーステーブル別のデータ保持の指定
•
パフォーマンスデータの保持について
•
クライアントデータの収集と保存の指定
•
履歴データの保持について
•
データ重複排除の有効化
•
レポートの保存と保持の制御
•
イベント受信後のインベントリ収集の指定
•
設定導入動作の制御
•
データ収集ジョブの制御
•
Cisco Prime LMS から Cisco Prime Infrastructure へのデータの移行
Cisco Prime Infrastructure 3.0 管理者ガイド
7-1
第7章
データの収集と保持の管理
カテゴリ別のデータ保持の指定
カテゴリ別のデータ保持の指定
管理者は、Prime Infrastructure の [Data Retention] ページを使用して、次のデータカテゴリの保持
期間を設定できます。
•
傾向データ：時間単位、日単位、週単位の集積データ。
•
デバイスヘルスデータおよびシステムヘルスデータ：時間単位、日単位、週単位のデータ。
•
パフォーマンスデータ：短期、中期、長期間のデータ。
•
ネットワーク監査データ。
保持されるデータの量を制限することにより、パフォーマンスとディスクストレージの特性を
効果的に向上させることができます。ただし、最適なインタラクティブグラフデータの表示を
得るために、デフォルト値を維持することが推奨されます。
個別のデータベーステーブルに対してデータ保持を指定することもできます。その場合、最大期
間経過とレコード属性を使用します。詳細については、「関連項目」の「データベーステーブル別
のデータ保持の指定」を参照してください。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Data Retention] の順に選択します。
ステップ 2
保持期間の値を指定すデータカテゴリを展開します。
ステップ 3
必要に応じて新しい値を入力します。
ステップ 4
[Save] をクリックします。
関連項目
•
データベーステーブル別のデータ保持の指定
•
履歴データの保持について
•
クライアントデータの収集と保存の指定
•
履歴データの保持について
Cisco Prime Infrastructure 3.0 管理者ガイド
7-2
第7章
データの収集と保持の管理
データベーステーブル別のデータ保持の指定
データベーステーブル別のデータ保持の指定
管理者は、[Data Retention] ページの [Other Data Retention Criteria] セクションを使用して、特定の
Prime Infrastructure データベーステーブルの保持期間を設定できます。次の属性を使用して保持
期間を指定できます。
•
Age (in hours)：データベース内のすべてのレコードの最大データ保持期間を時間の単位で
指定します。
•
Max Records：特定のデータベースに保持するレコードの最大数を指定します。Max Records
の値が「NA」の場合、考慮される保持条件が Age 属性のみであることを意味します。
セクションは、複数のサブセクションに分類されます。それぞれのサブセクションには、各デー
タベーステーブル名と現在の Age および Max Records の値が一覧表示されます。これらの値に
よって、テーブル内の個々のレコードが保持されるか破棄されるかが決定されます。このページ
には、テーブル内のデータの期間経過を計算するために使用される table Age Attribute も一覧表
示されます。オプティカルデバイスのカテゴリは、Prime Infrastructure の適用対象外です。
このセクションのいずれかのテーブルの値を変更するときは、事前に Cisco Technical Assistance
Center に相談することを強くお勧めします。支援なしに変更すると、システムパフォーマンスに
悪影響を与える可能性があります。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Data Retention] の順に選択します。
ステップ 2
[Other Data Retention Criteria] セクションを展開します。
ステップ 3
Age および Max Records の値を指定するデータベーステーブルサブセクションを展開します。
ステップ 4
一覧表示しているデータベーステーブルをクリックし、必要に応じて新しい値を入力します。
ステップ 5
[Save] をクリックします。
関連項目
•
カテゴリ別のデータ保持の指定
•
履歴データの保持について
•
クライアントデータの収集と保存の指定
•
履歴データの保持について
Cisco Prime Infrastructure 3.0 管理者ガイド
7-3
第7章
データの収集と保持の管理
パフォーマンスデータの保持について
パフォーマンスデータの保持について
[Administration] > [Settings] > [System Settings] > [General] > [Data Retention] を選択すると、
[Performance Data Retain Periods] でパフォーマンスデータの保持期間を変更できます。指定した
パフォーマンス保持の値によって、パフォーマンスレポートおよびパフォーマンスダッシュ
ボードに表示される情報が決定されます。
たとえば、7 日より前の古い履歴データが不要の場合、パフォーマンスデータ保持の値を次のよ
うに変更できます。
•
[Short-term Data Retain Period]：1 日
•
[Medium term Data Retain Period]：3 日
•
[Long term Data Retain Period]：7 日
このような設定に変更すると、パフォーマンスレポートおよびパフォーマンスダッシュボード
データに表示されるすべてのデータは、過去 7 日間のみが対象になります。パフォーマンスレ
ポートを生成（例えば、[Reports] > [Reports] > [Report Launch Pad] > [Device] > [Device Health] の
順に選択）する際に、レポート期間として過去 7 日より長い期間を選択しても、レポートには過
去 7 日以降のデータのみが含まれます。これらが保持を選択したデータのすべてであるためです。
同様に、パフォーマンスダッシュボードを表示（例えば、[Dashboard] > [Overview] > [General] >
[Service Assurance] の順に選択）する際に、タイムフレームとして 1 週間より長い期間を選択し
ても、ダッシュボードには過去 7 日以降のデータのみが含まれます。これらが保持を選択した
データのすべてであるためです。
デバイスおよびインターフェイスパフォーマンスデータの場合、Prime Infrastructure は [Device
Health Data Retain Periods] の下にある各種フィールドで指定された値を使用します。
関連項目
•
履歴データの保持について
•
カテゴリ別のデータ保持の指定
Cisco Prime Infrastructure 3.0 管理者ガイド
7-4
第7章
データの収集と保持の管理
クライアントデータの収集と保存の指定
クライアントデータの収集と保存の指定
管理者は、Prime Infrastructure の [Client] ページを使用して、次のようなネットワーククライアン
ト上のデータの保存に影響するパラメータを設定できます。
•
アソシエーション解除されたクライアントに関するデータ。デフォルトは 7 日間で、これは
クライアントが再度アソシエートを試みるかどうかに関係なく適用されます。
•
クライアントセッション履歴に関するデータ。Prime Infrastructure データベース内の行数と
して、維持するセッションエントリの最大数を指定することもできます。
•
DNS サーバから取得してキャッシュされたクライアントホスト名。
これらのデータ保存オプションに加えて、このページでは次のオプションを有効または無効に
することができます。
•
クライアントからトラップが受信されたときに、自動的に診断チャネルを使用してそのクラ
イアントを修復します。
•
自動的に DNS サーバからクライアントホスト名を取得します。
•
クライアントからトラップまたは syslog が受信されたときに、そのクライアントをポーリン
グします。
•
ルーチンクライアントアソシエーションおよびアソシエーション解除トラップおよび
syslog を Prime Infrastructure イベントとして保存します。このオプションは、この種のト
ラップや syslog が膨大な数になる期間（ネットワークセットアップなど）の大規模ネット
ワーク上の Prime Infrastructure のパフォーマンス問題を回避するために、デフォルトで無効
になっています。それ以外の期間は、このオプションを有効にすることができます。
•
すべての 802.1x および 802.11 クライアント認証失敗トラップを Prime Infrastructure イベン
トとして保存します。このオプションは、この種のトラップや syslog が膨大な数になる期間
（ネットワークセットアップなど）の大規模ネットワーク上の Prime Infrastructure のパ
フォーマンス問題を回避するために、デフォルトで無効になっています。ネットワークが安
定している場合は、このオプションを有効にすることができます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Client and User] > [Client] の順に選択します。
ステップ 2
[Data Retention] で、必要に応じて値を変更します。
ステップ 3
[Save] をクリックします。
関連項目
•
履歴データの保持について
•
履歴データの保持について
•
カテゴリ別のデータ保持の指定
•
履歴データの保持について
Cisco Prime Infrastructure 3.0 管理者ガイド
7-5
第7章
データの収集と保持の管理
履歴データの保持について
履歴データの保持について
Prime Infrastructure は次の 2 種類の履歴データを保存します。
1.
非集約履歴データ：まとめて収集または集約できない数値データ。クライアントアソシエー
ション履歴は、非集約履歴データの 1 つの例です。
非集約データ収集タスクごとの保存期間（およびその他の設定）を定義できます。たとえば、
[Administration] > [System Settings] > [Client] で、クライアントアソシエーション履歴の保持
期間を定義できます。デフォルトで、すべての非集約履歴データの保存期間は 31 日または
1,000,000 レコードです。この保持期間は 365 日まで増やすことができます。
2.
集約履歴データ：全体として収集し、最小、最大、および平均としての集約が可能な数値デー
タ。クライアント数は、集約履歴データの 1 つの例です。
集約履歴データのタイプは次のとおりです。
– 傾向：これには、クライアント履歴、AP 履歴、AP 使用率、クライアント統計情報などの無
線関連の履歴情報が含まれます。
– デバイスヘルス：これには、デバイスのアベイラビリティ、CPU、メモリ、およびインター
フェイスの使用率、QoS などの有線デバイスと無線デバイスに関する SNMP ポーリング
データが含まれます。
– パフォーマンス：これには、トラフィック統計情報、アプリケーションメトリック、音声
メトリックなどの保証データが含まれます。
– ネットワーク監査レコード：これには、ユーザがトリガーした設定変更に関する監査レ
コードなどが含まれます。
– システムヘルスレコード：これには、Prime Infrastructure 管理者ダッシュボードに表示
されるほとんどのデータが含まれます。
これらの集約タイプの保持期間はデフォルト値、最小値、および最大値として定義されます
（下記の表参照）。[Administration] > [Settings] > [System Settings] > [General ] > [Data Retention]
ページを使用して、集約データの保持期間を定義します。集約タイプには、時単位、日単位、お
よび週単位があります。
表 7-1
集約履歴データの保存期間
傾向データの保存期間
期間
デフォルト
最小ハード
ウェア
最大
時単位
7 日間
1 日間
31 日
日単位
90 日間
7 日間
365 日
週単位
54 週間
2 週間
108 週間
デバイスヘルスデータの保存期間
時単位
15 日間
1日
31 日
日単位
90 日間
7 日間
365 日間
週単位
54 週間
2 週間
108 週間
パフォーマンスデータの保存期間
短期データ
7 日間
1日
31 日
中期データ
31 日
7 日間
365 日
長期データ
378 日間
2 日間
756 日間
Cisco Prime Infrastructure 3.0 管理者ガイド
7-6
第7章
データの収集と保持の管理
データ重複排除の有効化
表 7-1
集約履歴データの保存期間（続き）
ネットワーク監査データの保存期間
すべての監査データ
7 日間
7 週間
365 日
システムヘルスデータの保存期間
時単位
7 日間
1日
31 日
日単位
31 日
7 日間
365 日
週単位
54 週間
7 週間
365 日
パフォーマンスデータは次のように集約されます。
•
短期データは 5 分ごとに集約されます。
•
中期データは 1 時間ごとに集約されます。
•
長期データは 1 日ごとに集約されます。
データ重複排除の有効化
データ重複排除を使用すれば、次のクラスのアプリケーションデータごとに権限のあるソース
を特定することができます。
•
TCP アプリケーションのアプリケーション応答時間データ
•
すべてのアプリケーションのトラフィック分析データ
•
RTP アプリケーションの音声/ビデオデータ
Prime Infrastructure は、受信したネットワークの要素とプロトコルに関するすべてのデータを保
存します。これには、複数のソースから受信した重複データも含まれています。信頼できるデー
タソースを指定した場合は、特定の場所やサイトを開いたときに、指定したソースからのデータ
だけが表示されます。
[Data Deduplication] ページを使用すれば、特定の場所にある信頼できるデータソースを 1 つま
たは複数指定できます。たとえば、ブランチオフィスのネットワーク解析モジュール（NAM）だ
けでなく、同じブランチから送信された NetFlow データも必要な場合は、Prime Infrastructure に、
その場所の NAM または NetFlow データだけを表示するように指示できます。
ステップ 1
[Services] > [Application Visibility & Control] > [Data Deduplication] の順に選択します。
ステップ 2
[Enable Data Deduplication] チェックボックスをオンにして、[Apply] をクリックします。[Data
Deduplicatio] ページに定義済みの場所グループが一覧表示されます。
ステップ 3
すべての場所にある信頼できるソースを自動的に検出するには、[Auto-Detect] をクリックしま
す。これにより特定されると、Prime Infrastructure は、アプリケーションデータの各クラスのソー
スを一覧表示する列の下にあるリストボックスに信頼できるソースのアドレスを入力します。
ステップ 4
特定の場所にあるアプリケーションデータのクラスの信頼できるソースを指定するには、次の
ように操作します。
a.
場所グループ名をクリックします。
b.
信頼できるソースを指定するアプリケーションデータのクラスの下にあるドロップダウン
リストボックスをクリックします（例えば、[Application Response Time] の下にあるリスト
ボックスをクリック）。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-7
第7章
データの収集と保持の管理
レポートの保存と保持の制御
c.
ドロップダウンリストから、その場所およびアプリケーションデータのタイプに関して信
頼できるソースとして指定するデータソースを選択します。次に [OK] をクリックします。
d.
[Save] をクリックして選択内容を保存します。
信頼できるデータソースを指定する対象となる場所およびアプリケーションデータのタイプ
のそれぞれに対し、必要に応じてこの手順を繰り返します。
ステップ 5
終了したら、[Apply] をクリックして変更内容を保存します。
レポートの保存と保持の制御
すべての定期レポートが定期レポートリポジトリに格納されます。定期レポートは、妥当な期間
だけリポジトリ内に保持しておいて、定期的に削除する必要があると考えられます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [General] > [Report] の順に選択します。[Report]
ページが表示されます。
ステップ 2
[Repository Path] で、Prime Infrastructure サーバ上のレポートリポジトリパスを指定します。
ステップ 3
[File Retain Period] で、レポートを保持する最大日数を指定します。
ステップ 4
[Save] をクリックします。
イベント受信後のインベントリ収集の指定
[Inventory] ページを使用すれば、デバイスの syslog イベントが受信されたときに、Prime
Infrastructure でインベントリを収集するかどうかを指定できます。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Inventory] > [Inventory] の順に選択します。
[Inventory] ページが表示されます。
ステップ 2
Prime Infrastructure がデバイスの syslog イベントを受信したときにインベントリを収集できる
ようにする場合は、[Enable event based inventory collection] チェックボックスをオンにします。
ステップ 3
Prime Infrastructure が新しく追加されたデバイスに関する syslog 通知とトラップ通知を有効に
できるようにする場合は、[Enable event based inventory collection] チェックボックスをオンにし
ます。
ステップ 4
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-8
第7章
データの収集と保持の管理
設定導入動作の制御
設定導入動作の制御
管理者は、Prime Infrastructure ユーザが新しいデバイス設定テンプレートを導入するたびに、デ
バイス設定をバックアップまたはロールバックするかどうかを選択できます。また、Cisco WLC
設定のアーカイブ方法も制御できます（下記の「関連項目」を参照）。
関連項目
•
テンプレート導入前のデバイス設定のアーカイブ
•
テンプレート導入失敗時のデバイス設定のロールバック
•
WLC 設定をいつどのようにアーカイブするかの指定
テンプレート導入前のデバイス設定のアーカイブ
[Backup Device Configuration] が有効になっている場合は、新しい設定テンプレートが導入され
る前に、Prime Infrastructure が自動的にすべてのデバイスの実行コンフィギュレーションとス
タートアップコンフィギュレーションをバックアップします。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Inventory] > [Configuration] の順に選択します。
ステップ 2
[Backup Device Configuration] チェックボックスをオンにします。
ステップ 3
[Save] をクリックします。
関連項目
•
設定導入動作の制御
テンプレート導入失敗時のデバイス設定のロールバック
[Rollback Configuration] が有効になっている場合は、新しい設定テンプレートのデバイスへの導
入に失敗した場合に、Prime Infrastructure が自動的に最後にアーカイブされた実行コンフィギュ
レーションとスタートアップコンフィギュレーションに各デバイスをロールバックします。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Configuration] の順に選択します。
ステップ 2
[Rollback Configuration] チェックボックスをオンにします。
ステップ 3
[Save] をクリックします。
関連項目
•
設定導入動作の制御
Cisco Prime Infrastructure 3.0 管理者ガイド
7-9
第7章
データの収集と保持の管理
設定導入動作の制御
WLC 設定をいつどのようにアーカイブするかの指定
デフォルトで、Prime Infrastructure は、次の場合にいつでも、Cisco Wireless LAN Controller（WLC）
を実行している各デバイスの実行コンフィギュレーションのバックアップアーカイブを維持し
ます。
•
これらのデバイスの初期インベントリを収集した場合
•
これらのデバイスの設定変更イベントの通知を受信した場合
設定のアーカイブは、Cisco WLC ソフトウェアを実行しているデバイスに対してのみサポート
されます。実行コンフィギュレーションだけがアーカイブされます（スタートアップコンフィ
ギュレーションは除外されます）。
次のような、Cisco WLC 設定アーカイブを制御するさまざまな基本パラメータを変更できます。
•
すべての Cisco WLC 設定操作（フェッチ、アーカイブ、またはロールバック）の最大タイムア
ウト。
•
Cisco WLC 設定アーカイブサマリー情報の更新を待機する最大時間。
•
初期インベントリ収集時、各インベントリの同期後、および設定変更イベントの受信時に設
定をアーカイブするかどうか。
•
アーカイブした設定をファイルにエクスポートするときにセキュリティ情報をマスクする
かどうか。
•
各デバイスのアーカイブした設定の最大数とそれらを保持する最大日数。
•
アーカイブ操作に使用するスレッドプールの最大数。デフォルト値を増やせば、1,000 を超
えるデバイスが関係する変更のアーカイブ中に、Prime Infrastructure のパフォーマンスが向
上する可能性があります。
また、アーカイブの目的で、特定のファミリ、タイプ、またはモデルのデバイス上で指定したコマ
ンドが関係するすべての変更を無視するように Prime Infrastructure に指示することもできます。
これは、1 つ以上のデバイスの一部のパラメータの重要でない変更または定常的に発生する変更
を無視する場合に便利です。
ステップ 1
[Administration] > [Settings] > [System Settings] > [Configuration Archive] の順に選択します。
ステップ 2
[Basic] タブで、必要に応じて基本的なアーカイブパラメータを変更します。
ステップ 3
アーカイブする設定から除外するデバイスと設定コマンドを指定するには、次の手順を実行します。
a.
[Advanced] タブをクリックします。
b.
[Product Family] リストで、除外する設定コマンドを指定するデバイスを選択します。
リスト /ツリービュードロップダウンを使用するか、> アイコンをクリックして、除外コマン
ドを指定する個別の製品タイプとモデルにドリルダウンします。
c.
[Command Exclude] リストで、現在選択されているファミリ、タイプ、またはモデルから除外
する設定コマンドを（カンマで区切って）入力します。
選択したデバイスに設定変更されていても、その変更が除外リストで指定されたコマンドの
1 つであることを Prime Infrastructure が検出した場合、Prime Infrastructure はその変更を含む
設定のアーカイブバージョンを作成しません。
d.
[Save] をクリックします。
e.
デバイスファミリ、タイプ、またはモデルに対して指定された一連のコマンド除外を削除す
るには、[Product Family] リストでデバイスを選択して、[Reset] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-10
第7章
データの収集と保持の管理
データ収集ジョブの制御
関連項目
•
設定導入動作の制御
データ収集ジョブの制御
Prime Infrastructure は、スケジュール設定されたデータ収集ジョブをバックグラウンドで定期的
に実行します。各ジョブのスケジュールを変更したり、ジョブを一時停止、再開、または即時実行
できます。
これらのバックグラウンドデータ収集ジョブを無効化または制限すると、Prime Infrastructure の
使用方法、特に、レポート作成に直接影響する可能性があります。このような影響を考慮するに
は、そのデータが使用されるレポートに注目してください。
関連タスク
•
データ収集ジョブのスケジューリング
•
データ収集ジョブの一時停止と再開
•
データ収集ジョブの即時実行
•
データ収集ジョブについて
データ収集ジョブのスケジューリング
データ収集ジョブは、通常のデフォルトスケジュールで実行されます（「関連項目」の「データ収
集ジョブについて」を参照）。必要に応じてこれらのスケジュールを再設定できます。
ステップ 1
[Administration] > [Dashboards] > [Job Dashboard] > [System Jobs] の順に選択します。
ステップ 2
スケジュールを再設定するデータ収集ジョブのカテゴリを選択します（たとえば、[Inventory]、
[Wireless Poller]、[Wireless System] など）。
ステップ 3
スケジュールを再設定するシステムジョブの横にあるチェックボックスをクリックします。
ステップ 4
[Edit Schedule] をクリックし、ジョブの実行スケジュールを指定します。
ジョブが実行される日付と時刻を指定できます。ジョブの繰り返しとして、1 分に 1 回、1 時間に
1 回、週 1 回、月 1 回、年 1 回を選択できます。また、終了する日付と時刻、および総繰り返し回数
も指定できます。
ステップ 5
終了したら、[Submit] をクリックします。
関連タスク
•
データ収集ジョブの制御
•
データ収集ジョブの一時停止と再開
•
データ収集ジョブの即時実行
•
データ収集ジョブについて
Cisco Prime Infrastructure 3.0 管理者ガイド
7-11
第7章
データの収集と保持の管理
データ収集ジョブの制御
データ収集ジョブの一時停止と再開
スケジュール設定されたデータ収集ジョブの一時停止や、すでに一時停止されたジョブの再開
ができます。
ステップ 1
[Administration] > [Dashboards] > [Job Dashboard] > [System Jobs] の順に選択します。
ステップ 2
一時停止や再開を行うデータ収集ジョブのカテゴリを選択します（たとえば、[Inventory]、
[Wireless Poller]、[Wireless System] など）。
ステップ 3
目的のシステムジョブの横にあるチェックボックスをクリックします。
ステップ 4
[Pause Series] をクリックすると、ジョブの実行が停止します。
ジョブがすでに一時停止されている場合は、[Resume Series] をクリックすると、現在のスケ
ジュールに基づいて実行が再開されます。
関連タスク
•
データ収集ジョブの制御
•
データ収集ジョブのスケジューリング
•
データ収集ジョブの即時実行
•
データ収集ジョブについて
データ収集ジョブの即時実行
下記の手順に加え、ジョブのスケジュールを再設定して、実行時刻に [Now] を選択することで、
ジョブの即時実行ができます（「関連項目」の「データ収集ジョブのスケジューリング」を参照）。
ステップ 1
[Administration] > [Dashboards] > [Job Dashboard] > [System Jobs] の順に選択します。
ステップ 2
実行するデータ収集ジョブのカテゴリを選択します（たとえば、[Inventory]、[Wireless Poller]、
[Wireless System] など）。
ステップ 3
即時実行するシステムジョブの横にあるチェックボックスをクリックします。
ステップ 4
[Run] をクリックします。
関連タスク
•
データ収集ジョブの制御
•
データ収集ジョブのスケジューリング
•
データ収集ジョブの一時停止と再開
•
データ収集ジョブについて
Cisco Prime Infrastructure 3.0 管理者ガイド
7-12
第7章
データの収集と保持の管理
データ収集ジョブの制御
データ収集ジョブについて
次の表に、Prime Infrastructure が実行するバックグラウンドデータ収集ジョブの説明を示します。
表 7-2
インベントリデータ収集ジョブ
タスク名
タスクのスデフォルトの
テータス
スケジュール
説明
Autonomous AP Inventory
有効
180 分
自律 AP のインベントリ情報を収集します。
Switch Inventory
有効
毎日午前 0 時
スイッチに関するインベントリ情報を収集します。
Wireless Controller Inventory
無効
毎日午前 0 時
ワイヤレスコントローラに関するインベントリ情報
を収集します。
表 7-3
ワイヤレスポーラーデータ収集ジョブ
タスク名
タスクのスデフォルトの
テータス
スケジュール説明
AP Image Pre-Download Status
無効
15 分
コントローラの関連 AP のイメージプレダウンロード
ステータスを確認できます。アクセスポイントのス
テータスを表示するには、コントローラにソフトウェ
アをダウンロードするときに [Pre-download software to
APs] チェックボックスをオンにする必要があります。
Autonomous AP CPU and
Memory Utilization
有効
15 分
自律 AP のメモリと CPU の使用率に関する情報を収
集します。
Autonomous AP Radio
Performance
有効
15 分
無線パフォーマンスに関する情報だけでなく、自律 AP
の無線アップまたはダウンステータスも収集します。
Autonomous AP Tx Power and
Channel Utilization
有効
30 分
自律 AP の無線パフォーマンスに関する情報を収集し
ます。
CCX Client Statistics
無効
60 分
CCX バージョン 5 およびバージョン 6 クライアント
の Dot11 およびセキュリティ統計情報を収集します。
CleanAir Air Quality
有効
15 分
CleanAir 電波品質に関する情報を収集します。
Client Statistics
有効
15 分
自律クライアントと軽量クライアントに関する統計
情報を取得します。
Controller Performance
有効
30 分
コントローラに関するパフォーマンス情報を収集し
ます。
Guest Sessions
有効
15 分
ゲストセッションに関する情報を収集します。
Media Stream Clients
有効
15 分
クライアントのメディアストリームに関する情報を
収集します。
Mesh link Performance
有効
10 分
メッシュリンクのパフォーマンスに関する情報を収
集します。
Mesh Link Status
有効
5分
メッシュリンクのステータスを収集します。
Radio Performance
有効
15 分
ワイヤレス受信機から統計情報を収集します。
Radio Voice Performance
有効
15 分
ワイヤレス受信機から音声統計情報を収集します。
Rogue AP
有効
120 分
不正なアクセスポイントに関する情報を収集します。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-13
第7章
データの収集と保持の管理
データ収集ジョブの制御
表 7-3
ワイヤレスポーラーデータ収集ジョブ（続き）
タスク名
タスクのスデフォルトの
テータス
スケジュール説明
Switch CPU and Memory Poll
有効
30 分
スイッチの CPU とメモリのポーリングに関する情報
を収集します。
Traffic Stream Metrics
有効
8分
クライアントのトラフィックストリームメトリック
を取得します。
30 分
ワイヤレスコントローラに関するパフォーマンス統
計情報を収集します。
Wireless Controller Performance 有効
表 7-4
ワイヤレスシステムデータ収集ジョブ
タスク名
タスクのスデフォルトの
テータス
スケジュール
説明
Interferers
有効
15 分
干渉に関する情報を収集します。
Mobility Service Performance
有効
15 分
モビリティサービスエンジンのパフォーマンスに関
する情報を収集します。
Unmanaged APs
有効
15 分
管理対象外アクセスポイントに関するポーリング情
報を収集します。
関連タスク
•
データ収集ジョブの制御
•
データ収集ジョブのスケジューリング
•
データ収集ジョブの一時停止と再開
•
データ収集ジョブの即時実行
Cisco Prime Infrastructure 3.0 管理者ガイド
7-14
第7章
データの収集と保持の管理
データ収集ジョブの制御
Prime Infrastructure のバックグラウンドタスクの制御
次の表に、Prime Infrastructure が実行するバックグラウンドタスクの説明を示します。
[Administration] > [Settings] > [System Settings] > [Background Tasks] の順に選択し、そのタスクの
ハイパーテキストリンクをクリックすることによって、そのタスクの実行方法と実行時期を管
理できます。
表 7-5
バックグラウンドタスク
タスク名
デフォル
トのスケ
ジュール
Appliance Status
5分
Autonomous AP
Operational
Status
5分
説明
編集可能なオプション
アプライアンスのポーリングをス
ケジュールできるようにします。こ
のタスクでは、[Administration] >
[Appliance] > [Appliance Status] ペー
ジからアプライアンスのポーリン
グの詳細が読み込まれます。また、
このバックグラウンドタスクでは、
アプライアンスのパフォーマンス、
障害検査機能などの情報が読み込
まれます。
[Enable]：アプライアンスステータスポーリン
グを有効にする場合に、このチェックボックス
をオンにします。
自律型ワイヤレスアクセスポイン
トのステータスポーリングをスケ
ジュールできるようにします。
[Interval]：ポーリングの間隔を分単位で入力し
ます。有効な範囲は 1 ～ 10800 分です。
[Enable]：自律 AP のステータスポーリングを
有効にする場合に、このチェックボックスをオ
ンにします。
[Interval]：有効な間隔は 1 ～10080 です。
Autonomous
Client Status
5分
自律 AP クライアントのステータス
ポーリングをスケジュールできる
ようにします。
[Enable]：自律クライアントステータスポーリ
ングを有効にする場合に、このチェックボック
スをオンにします。
[Interval]：ポーリングの間隔を分単位で入力し
ます。有効な範囲は 1 ～ 10800 分です。
Wireless
Configuration
Audit
毎日午前
4時
このタスクは監査を実行します。設
定の不一致は検証しますが、その処
理は行いません。
[Enable]：設定同期を有効にする場合に、この
チェックボックスをオンにします。
[Enable]：ネットワーク監査を有効にする場合
に、このチェックボックスをオンにします。
[Enable]：セキュリティインデックスの計算を
有効にする場合に、このチェックボックスをオ
ンにします。
[Enable]：RRM 監査を有効にする場合に、この
チェックボックスをオンにします。
[Interval]：設定同期の間隔を日単位で入力しま
す。有効な範囲は 1 ～ 360 日です。
[Time of Day]：設定の同期を実行する時刻を入
力します。有効な形式は、hh:mm AM|PM です。
例：12:49 AM。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-15
第7章
データの収集と保持の管理
データ収集ジョブの制御
表 7-5
バックグラウンドタスク（続き）
デフォル
トのスケ
ジュール
タスク名
Controller
Configuration
Backup
毎日午後
10 時
説明
編集可能なオプション
コントローラ設定バックアップア
クティビティを表示できるように
します。
[Enable]：コントローラ設定バックアップを有
効にする場合に、このチェックボックスをオン
にします。
[Interval]：コントローラ設定バックアップの間
隔を日単位で入力します。有効な範囲は 1 ～
360 日です。
[Time of Day]：設定のバックアップを実施する
時刻を入力します。有効な形式は、hh:mm
AM|PM です。例：12:49 AM。
[TFTP Server]：選択されている場合は、ドロッ
プダウンで、コントローラ設定をバックアップ
する TFTP サーバも選択します。
[FTP Server]：選択されている場合は、コント
ローラ設定をバックアップする FTP サーバの
ユーザ名、パスワード、およびポートアドレス
を入力します。
5分
Controller
Operational
Status
コントローラ動作ステータスポー
リングをスケジュールできるよう
にします。
[Enable]：コントローラ設定ステータスポーリ
ングを有効にする場合に、このチェックボック
スをオンにします。
[Interval]：コントローラステータスポーリン
グの間隔を分単位で入力します。有効な範囲は
1 ～ 10800 分です。
Data Cleanup
毎日午前
2時
毎日のデータファイルクリーン
アップをスケジュールできるよう
にします。
[Time of Day]：データのクリーンアップを実行
する時刻を入力します。有効な形式は、hh:mm
AM|PM です。例：12:49 AM。デフォルト：イ
ネーブル
Device Data
Collector
30 分
設定した時間間隔で指定したコマ
ンドラインインターフェイス
（CLI）コマンドに基づいてデータ収
集をスケジュールできるようにし
ます。
[Enabled]：指定したコントローラのデータ収集
を有効にする場合に、このチェックボックスを
オンにします。
[Controller IP address]：デバイスデータの収集
元のコントローラの IP アドレス。
[CLI Commands]：指定したデバイス上で実行
する CLI コマンドをカンマで区切って入力し
ます。
[Clean Start]：データ収集前のクリーンスター
トを有効にする場合に、このチェックボックス
をオンにします。
[Repeat]：データ収集を繰り返す回数を入力し
ます。
[Interval]：デバイスデータ収集の間隔を日単位
で入力します。有効な範囲は 1 ～ 360 日です。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-16
第7章
データの収集と保持の管理
データ収集ジョブの制御
表 7-5
バックグラウンドタスク（続き）
タスク名
デフォル
トのスケ
ジュール
Guest Accounts
Sync
毎日午前
1時
説明
編集可能なオプション
ゲストアカウントのポーリングと
同期をスケジュールできるように
します。
[Enable]：ゲストアカウント同期を有効にする
場合に、このチェックボックスをオンにします。
[Interval]：ゲストアカウント同期の間隔を日単
位で入力します。有効な範囲は 1 ～ 360 日です。
[Time of Day]：ゲストアカウントの同期を実行
する時刻を入力します。有効な形式は、hh:mm
AM|PM です。例：12:49 AM。
Identity Services
Engine Status
15 分
Identity Services Engine ポーリングを
スケジュールできるようにします。
[Enable]：Identity Services Engine ポーリングを
有効にする場合に、このチェックボックスをオ
ンにします。
[Interval]：Identity Services Engine ポーリングの
間隔を日単位で入力します。有効な範囲は 1 ～
360 日です。
License Status
4 時間
ライセンスステータスポーリングを [Enable]：ライセンスステータスポーリングを
スケジュールできるようにします。
有効にする場合に、このチェックボックスをオ
ンにします。
[Interval]：ライセンスステータスポーリング
の間隔を日単位で入力します。有効な範囲は
1 ～ 360 日です。
Lightweight AP
Operational
Status
5分
軽量 AP 動作ステータスポーリン
グをスケジュールできるようにし
ます。
[Enable]：軽量 AP 動作ステータスポーリング
を有効にする場合に、このチェックボックスを
オンにします。
[Interval]：軽量 AP 動作ステータスポーリン
グの間隔を日単位で入力します。有効な範囲
は 1 ～ 360 日です。
Lightweight
Client Status
5分
ネットワーク上で軽量 AP クライア [Enable]：軽量クライアントステータスポーリ
ントを検出できるようにします。
ングを有効にする場合に、このチェックボック
スをオンにします。
[Interval]：軽量クライアントステータスポー
リングの間隔を日単位で入力します。有効な範
囲は 1 ～ 360 日です。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-17
第7章
データの収集と保持の管理
データ収集ジョブの制御
表 7-5
バックグラウンドタスク（続き）
デフォル
トのスケ
ジュール
タスク名
Mobility Service
Backup
説明
7 日ごとに自動モビリティサービスバック
午前 1 時
アップをスケジュールできるよう
にします。
編集可能なオプション
[Enable]：自動モビリティサービスバックアッ
プを有効にする場合に、このチェックボックス
をオンにします。
[Max UI backups to keep]：維持する自動モビリ
ティサービスバックアップの最大数を入力し
ます。
[Interval]：モビリティサービスバックアップ
の間隔を日単位で入力します。有効な範囲は
1 ～ 360 日です。
[Time of Day]：モビリティサービスバック
アップの実施時刻を入力します。有効な形式
は、hh:mm AM|PM です。例：12:49 AM。
Mobility Service
Status
5分
モビリティサービスステータス
ポーリングをスケジュールできる
ようにします。
[Enable]：モビリティサービスステータス
ポーリングを有効にする場合に、このチェック
ボックスをオンにします。
[Interval]：モビリティサービスステータス
ポーリングの間隔を日単位で入力します。有効
な範囲は 1 ～ 360 日です。
Mobility Service
Synchronization
60 分
モビリティサービス同期をスケ
ジュールできるようにします。
[Out of Sync Alerts]：非同期アラートを有効に
する場合に、このチェックボックスをオンにし
ます。
[Smart Synchronization]：スマート同期を有効に
する場合に、このチェックボックスをオンにし
ます。
[Interval]：モビリティサービス同期の間隔を
分単位で入力します。有効な範囲は 1 ～ 10080
分です。
Mobility Status
Task
5分
モビリティサービスエンジンのス
テータスポーリングをスケジュー
ルできるようにします。
[Enable]：モビリティステータスポーリングを
有効にする場合に、このチェックボックスをオ
ンにします。
[Interval]：モビリティステータスポーリング
の間隔を分単位で入力します。有効な範囲は
1 ～ 10080 分です。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-18
第7章
データの収集と保持の管理
データ収集ジョブの制御
表 7-5
バックグラウンドタスク（続き）
タスク名
デフォル
トのスケ
ジュール
Prime
Infrastructure
Server Backup
毎日の午
前1時
（01:00）
説明
編集可能なオプション
自動 Prime Infrastructure サーババッ
クアップをスケジュールできるよ
うにします。作成されるバックアッ
プは、アプリケーションバックアッ
プです。
[Enabled]：自動 Prime Infrastructure サーババッ
クアップを有効にする場合に、このチェック
ボックスをオンにします。
[Backup Repository]：自動バックアップが復元
されるローカルまたはリモートバックアップ
リポジトリの名前を入力します。
[Max UI backups to keep]：維持する自動バック
アップの最大数を入力します（ローカルリポ
ジトリにのみ影響します）。
[Interval]：自動 Prime Infrastructure バックアッ
プの間隔を日単位で入力します。有効な範囲は
1 ～ 7 日です。
[Time of Day]：Prime Infrastructure サーババッ
クアップの実施時刻を入力します。24 時間形
式（13:49 など）を使用します。
OSS Server
Status
5分
OSS サーバステータスポーリングを [Enable]：OSS サーバポーリングを有効にする場
スケジュールできるようにします。
合に、このチェックボックスをオンにします。
[Interval]：OSS サーバポーリングの間隔を分
単位で入力します。有効な範囲は 1 ～ 10080 分
です。
Redundancy
Status
Switch NMSP
and Location
Status
Switch
Operational
Status
60 分
4 時間
プライマリおよびセカンダリコン
トローラの冗長性ステータスポー
リングをスケジュールできるよう
にます。
スイッチネットワークモビリティ
サービスプロトコル（NMSP）および
シビックロケーションステータス
ポーリングをスケジュールできる
ようにします。
5 分。完全スイッチ動作ステータスポーリン
グをスケジュールできるようにし
なポーリ
ます。
ングは
60 分です。
[Enable]：冗長性ステータスポーリングを有効
にする場合に、このチェックボックスをオンに
します。
[Interval]：ポーリングの間隔を分単位で入力し
ます。有効な範囲は 1 ～ 10080 分です。
[Enable]：スイッチ NMSP およびシビックロケー
ションステータスポーリングを有効にする場合
に、このチェックボックスをオンにします。
[Interval]：ポーリングの間隔を分単位で入力し
ます。有効な範囲は 1 ～ 10080 分です。
[Enable]：スイッチステータスポーリングを有
効にする場合に、このチェックボックスをオン
にします。
[Interval]：ポーリングの間隔を分単位で入力し
ます。有効な範囲は 1 ～ 10080 分です。
[Full operational status interval]：完全スイッチ動
作ステータスポーリングの間隔を分単位で入
力します。有効な範囲は 1 ～ 1440 分です。
[Create LinkDown Event]：Prime Infrastructure で
アクセスポートとトランクポートの両方に関
するアラームを発生させる場合に、このチェッ
クボックスをオンにします。
Cisco Prime Infrastructure 3.0 管理者ガイド
7-19
第7章
データの収集と保持の管理
データ収集ジョブの制御
表 7-5
バックグラウンドタスク（続き）
デフォル
トのスケ
ジュール
タスク名
Third party
Access Point
Operational
Status
3 時間
Third party
Controller
Operational
Status
3 時間
説明
編集可能なオプション
サードパーティ AP の動作ステータ [Enabled]：サードパーティ AP 動作ステータス
スポーリングをスケジュールでき
ポーリングを有効にする場合に、このチェック
るようにします。
ボックスをオンにします。
[Interval]：ポーリングの間隔を時間単位で入力
します。有効な範囲は 3 ～ 4 時間です。
サードパーティコントローラの到
達可能性ステータスポーリングを
スケジュールできるようにします。
[Enabled]：サードパーティコントローラの到達
可能性ステータスポーリングを有効にする場
合に、このチェックボックスをオンにします。
[Interval]：ステータスポーリングの間隔を時
間単位で入力します。有効な範囲は 3 ～ 4 時間
です。
wIPS Alarm Sync 120 分
wIPS アラーム同期をスケジュール
できるようにします。
[Enable]：wIPS アラーム同期を有効にする場合
に、このチェックボックスをオンにします。
[Interval]：同期の間隔を分単位で入力します。
有効な範囲は 1 ～ 10080 分です。
Wired Client
Status
2 時間
有線クライアントステータスポー
リングをスケジュールできるよう
にします。
[Enable]：有線クライアントステータスポーリ
ングを有効にする場合に、このチェックボック
スをオンにします。
[Interval]：ステータスポーリングの間隔を時
間単位で入力します。有効な範囲は 1 ～ 8640
時間です。
[Major Polling]：すべての無線クライアントの
ステータスを 1 日 2 回ポーリングする時刻を
指定します。有効な形式は、hh:mm AM|PM で
す。例：12:49 AM。
関連タスク
•
データ収集ジョブの制御
•
データ収集ジョブについて
Cisco Prime Infrastructure 3.0 管理者ガイド
7-20
第7章
データの収集と保持の管理
Cisco Prime LMS から Cisco Prime Infrastructure へのデータの移行
Cisco Prime LMS から Cisco Prime Infrastructure へのデータ
の移行
Prime Infrastructure は、すべてのプラットフォーム上で Cisco Prime LAN Management Solution
（LMS）バージョン 4.2.5 からのデータ移行をサポートしています。次の LMS データを CAR CLI
を使用して Prime Infrastructure にインポートできます。
•
Device Credential and Repository（DCR）Devices
•
Static Groups
•
Dynamic Groups
•
Software Image Management Repository Images
•
User Defined Templates（Netconfig）
•
LMS Local Users
•
MIB
LMS からインポートできるのは、次の属性を使用したルールを含む Dynamic Groups だけです。
•
PI attribute Name—LMS attribute name
•
Contact—System.Contact
•
Description—System.Description
•
Location— System.Location
•
Management_Address—Device.ManagementIpAddress
•
Name—System.Name
•
Product_Family—Device.Category
•
Product_Series—Device.Series
•
Product_Type—Device.Model
•
Software_Type—System.OStype
•
Software_Version—Image.Version
LMS データを Prime Infrastructure に移行するには、次の手順を実行します。
ステップ 1
LMS バックアップデータが格納されているサーバを特定します。
ステップ 2
Prime Infrastructure サーバとの CLI セッションを開きます（「関連項目」の「CLI 経由の接続」を
参照）。
ステップ 3
次のコマンドを入力して、バックアップの場所を設定します。
admin#
configure terminal
admin(config)#
repository carsapps
admin(config-Repository)#
url location
admin(config-Repository)#
user root password plain password
admin(config-Repository)#
end
Cisco Prime Infrastructure 3.0 管理者ガイド
7-21
第7章
データの収集と保持の管理
Cisco Prime LMS から Cisco Prime Infrastructure へのデータの移行
値は次のとおりです。
ステップ 4
•
location は、LMS バックアップデータの場所の、アクセスプロトコルを含む完全修飾 URL
です。例：ftp://10.77.213.137/opt/lms、sftp://10.77.213.137/opt/lms、または fdisk:
foldername。
•
password は root ユーザパスワードです。
次のコマンドを使用して LMS バックアップを Prime Infrastructure にインポートします。
admin#
ステップ 5
lms migrate repository carsapps
CLI セッションを終了して、Prime Infrastructure ユーザインターフェイスにログインし直し、
LMS データが正常にインポートされたことを確認します。次の表に、Prime Infrastructure でイン
ポートした LMS データを確認する場所を示します。
LMS データ
Prime Infrastructure の場所
DCR Devices
[Inventory] > [Network Devices]
Static Group
[Inventory] > [Network Devices] > [User Defined Group]
Dynamic Group
[Inventory] > [Network Devices] > [User Defined Group]
Software Image Management
Repository Images
[Inventory] > [Software Images]
User Defined Templates
（Netconfig）
[Configuration] > [Templates] > [Features & Technologies]
LMS Local Users
[Administration] > [Users, Roles & AAA] > [Users]
MIB
[Monitor] > [Monitoring Policies] メニューで、[Add] をクリッ
クしてから、[Policy Types] > [Custom MIB Polling] の順に選
択します。
関連項目
•
CLI 経由の接続
Cisco Prime Infrastructure 3.0 管理者ガイド
7-22
CH A P T E R
8
コントローラおよび AP 設定値の設定
ここでは、スイッチポートをトレースして不正アクセスポイントを検出するための Cisco Prime
Infrastructure の設定方法について説明します。
関連項目
•
不正 AP トレース用の SNMP クレデンシャルの設定
•
CLI セッションのプロトコル設定
•
アップグレード後のコントローラの更新
•
不正 AP に接続したスイッチポートの追跡
•
スイッチポートトレーシングの設定
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
不正 AP トレース用の SNMP クレデンシャルの設定
[SNMP Credentials] ページでは、不正アクセスポイントのトレースに使用するクレデンシャルを
指定できます。番号ベースのエントリを使用しても特定のエントリを確認できない場合は、この
オプションを使用します。スイッチクレデンシャルが Cisco Prime Infrastructure に追加されてい
ない場合は、このページの SNMP クレデンシャルを使用することで、スイッチに接続できます。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[Manual SPT] の順に選択します。[Manual SPT] ページが表示されます。
ステップ 2
現在の SNMP クレデンシャルエントリの詳細を表示または編集します。目的のエントリの
[Network Address] リンクをクリックすることで操作できます。
この作業の詳細については、「関連項目」の「グローバル SNMP 設定値の設定」および「SNMP クレ
デンシャル詳細の表示」を参照してください。
デフォルトエントリは、ネットワーク 0.0.0.0 に対応します。これは、ネットワーク全体を意味
します。SNMP クレデンシャルはネットワークごとに定義されるため、ネットワークアドレス
のみを指定できます。ネットワーク 0.0.0.0 に対して定義された SNMP クレデンシャルは、
SNMP クレデンシャルのデフォルトです。これは、SNMP クレデンシャルが定義されていないと
きに使用されます。事前に設定された SNMP クレデンシャルを独自の SNMP 情報で更新する必
要があります。
ステップ 3
新しい SNMP エントリを追加するには、[Select a command] > [Add SNMP Entries] > [Go] の順に
選択します（「SNMP クレデンシャルの追加」を参照）。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-1
第8章
コントローラおよび AP 設定値の設定
CLI セッションのプロトコル設定
関連項目
•
グローバル SNMP の設定
•
SNMP クレデンシャル詳細の表示
•
SNMP クレデンシャルの追加
CLI セッションのプロトコル設定
多くの Prime Infrastructure のワイヤレス機能（自律アクセスポイントおよびコントローラのコマ
ンドラインインターフェイス（CLI）テンプレートや移行テンプレートなど）では、自律アクセス
ポイントまたはコントローラに対して CLI コマンドを実行する必要があります。これらの CLI
コマンドを入力するには、Telnet または SSH セッションを確立します。CLI セッションページで
は、セッションプロトコルを選択できます。
CLI テンプレートでは、質問に対する回答操作（コマンドに対して「Yes」または「No」で回答する、
Enter キーを押して続行する、など）は不要です。この操作は、Prime Infrastructure によって自動的
に行われます。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [CLI Session] の順に選択
します。
ステップ 2
[Controller Session Protocol] を選択します。[SSH] または [Telnet] を選択できます（[SSH] がデフォ
ルト）。
ステップ 3
[Autonomous AP Session Protocol] を選択します。[SSH] または [Telnet] を選択できます（[SSH] が
デフォルト）。
ステップ 4
デフォルトでは、[Run Autonomous AP Migration Analysis on discovery] オプションボタンは [No]
に設定されています。Autonomous AP を検出し、移行分析を実行する場合は、[Yes] を選択します。
ステップ 5
[Save] をクリックします。
アップグレード後のコントローラの更新
[Controller Upgrade] ページでは、コントローラのアップグレード後に自動更新を行って、コント
ローライメージに変更があるたびに自動的に設定を復元することができます。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Controller Upgrade] の順
に選択します。
ステップ 2
[Auto refresh After Upgrade] チェックボックスをオンにすると、コントローラのイメージに変更
があるたびに設定は自動的に復元されます。
ステップ 3
[Process Save Config Trap Enable] チェックボックスをオンにし、save config トラップを受信した
ときの Prime Infrastructure の動作を決定します。このチェックボックスをオンにすると、次のい
ずれかを選択できます。
• [Retain the configuration in the Prime Infrastructure database]
または
• [Use the configuration on the controller currently]
ステップ 4
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-2
第8章
コントローラおよび AP 設定値の設定
不正 AP に接続したスイッチポートの追跡
不正 AP に接続したスイッチポートの追跡
Prime Infrastructure は、不正なアクセスポイントが接続されているネットワークスイッチポー
トを自動的に識別できます。この機能は自動スイッチポートトレーシングに基づくものであ
り、その動作には Prime Infrastructure のフルライセンスが要求されることに注意してください。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[Auto SPT] の順に選択します。[Auto SPT] ページが表示されます。
ステップ 2
[Enable Auto Switch Port Tracing] チェックボックスをオンにして、Prime Infrastructure が不正アク
セスポイントの接続先スイッチポートを自動的にトレースできるようにします。次に、以下を
含む自動ポートトレース用のパラメータを指定します。
ステップ 3
ステップ 4
•
不正 API とポート間のトレースを実行する間隔（分）
•
有線で検出された不正 AP をトレースするかどうか
•
含める重大度（重大、メジャー、マイナー）
[Enable Auto Containment] チェックボックスをオンにして、Prime Infrastructure が重大度に応じ
て自動的に不正 AP を封じ込めるようにします。次に、自動封じ込み用の以下のパラメータを指
定します。
•
ポートトレースによって有線で検出された不正 AP を除外するかどうか
•
封じ込み対象に含める重大度（重大、メジャー）
•
封じ込みレベル（最大 4 つの AP）
[OK] をクリックします。
スイッチポートトレーシングの設定
現在、Prime Infrastructure では、コントローラから情報を取得することによって、不正アクセスポ
イントを検出します。不正アクセスポイント表には、ネイバーリストにないフレームから検出
された BSSID アドレスが記載されています。指定された期間の終わりに、不正アクセスポイン
ト表の内容が、CAPWAP Rogue AP Report メッセージでコントローラに送信されます。この方法
では、Prime Infrastructure が、コントローラから受信した情報を収集します。この機能拡張によ
り、検出された不正アクセスポイントに対応し、今後発生する攻撃を回避できます。トレース情
報は、Prime Infrastructure ログにのみ記録されます。また、記録されるトレース情報は、不正アク
セスポイントに関してのみです。不正クライアントについては記録されません。
不正アクセスポイントに接続した不正クライアントの情報を使用して、ネットワークで不正ア
クセスポイントに接続しているスイッチポートを追跡します。
危険性のない不正アクセスポイントまたは削除された不正アクセスポイントにトレーシング
を設定しようとすると、警告メッセージが表示されます。
スイッチポートトレーシングで、v3 を使用してスイッチポートを正常にトレースするには、す
べての OID を SNMP v3 のビューに含める必要があり、SNMP v3 グループ内の VLAN ごとに
VLAN の内容を作成する必要があります。
[Switch Port Trace] ページでは、回線上で検出された不正アクセスポイントに対するトレースを
実行できます。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-3
第8章
コントローラおよび AP 設定値の設定
スイッチポートトレーシングの設定
適切にトレースして不正アクセスポイントを封じ込めるには、以下の情報を正しく指定する必
要があります。
•
レポート AP：不正アクセスポイントは 1 台以上の管理対象アクセスポイントによってレ
ポートされる必要があります。
•
AP CDP ネイバー：シードスイッチを判別するために、アクセスポイント CDP ネイバー情報
が必要です。
•
スイッチの IP アドレスと SNMP のクレデンシャル：トレース対象のすべてのスイッチは管
理 IP アドレスを持つ必要があり、SNMP 管理が有効にされている必要があります。個々のス
イッチだけを追加するのではなく、ネットワークアドレスをベースに項目を追加できます。
正しい write コミュニティストリングを指定して、スイッチポートを有効または無効にする
必要があります。トレーシングの場合は、read コミュニティストリングで十分です。詳細な
ガイダンス情報については、「関連項目」の「不正およびスイッチポートトレーシングに関し
て頻繁に寄せられる質問」を参照してください。
•
スイッチポートの設定：トランキングスイッチポートを正しく設定する必要があります。
スイッチのポートセキュリティを無効にする必要があります。
•
スイッチポートトレーシングは、Cisco イーサネットスイッチおよび Catalyst スイッチ
2960、3560、3560-E、3750-E、3850、4500 シリーズのみでサポートされます。
•
スイッチ VLAN 設定を適切に行う必要があります。
•
CDP プロトコルがすべてのスイッチ上で有効にされている必要があります。
•
不正アクセスポイントとシスコ製スイッチの間にイーサネット接続が存在している必要が
あります。
•
不正なイーサネットスイッチポート情報を高い信頼性で検出する場合、不正アクセスポイ
ントとイーサネットスイッチ間のイーサネット MAC アドレスの差がおおむね 3 以上であ
れば、これらの間にトラフィックが存在するとみなします。
•
不正アクセスポイントは、最大ホップカウントの制限内でスイッチに接続される必要があ
ります。
•
SNMPv3 を選択している場合は、メイングループのための 1 個（VLAN ベースでない MIB 用
に必要）の他に、コンテキストオプションを使用して、VLAN ごとに 1 個作成します。
スイッチポートトレースの詳細を表示するには、次の手順を実行します。
ステップ 1
[Configure] > [Network] > [Network Devices] ページを使用して、フルライセンスを持つスイッチ
を追加します。
ステップ 2
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[Auto SPT] ページで [Auto switch port tracing] を有効にします。
ステップ 3
[Administration] > [Dashboards] > [Job Dashboard] ページで、有線クライアントステータスメ
ジャーポーリングバックグラウンドタスクを実行するようにスケジュール設定します。
ステップ 4
[Rogue AP detail] ページで、トレーススイッチポートアイコンをクリックします。新しいポップ
アップに、トレースされたスイッチポートの詳細が表示されます。詳細ステータスをクリックし
て、started/Found などのトレースステータスをチェックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-4
第8章
コントローラおよび AP 設定値の設定
スイッチポートトレーシングの設定
注
•
手動 SPT は、スイッチを Prime Infrastructure に追加しなくても、機能します。ただし、
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace
(SPT)] > [Manual SPT] ページで、SNMP クレデンシャルを正しく設定する必要があります。
「Private」がデフォルトのクレデンシャルであり、クレデンシャルが設定されていない場合
に、手動のスイッチポートトレーシング中に使用されます。
•
[Configuration] > [Network] > [Network and Device] の順に選択することによってスイッチが
Prime Infrastructure に追加された場合、そのスイッチに対して入力された SNMP クレデン
シャルは、ここで入力されたあらゆるスイッチ SNMP クレデンシャルより優先され、スイッ
チポートトレーシングに使用されます。[Configuration] > [Network] > [Network and Device]
ページで、スイッチの SNMP クレデンシャルを変更できます。Prime Infrastructure には、SPT
を使用してスイッチを追加するためのライセンスは必要なく、スイッチに接続された有線ク
ライアントが表示されません。[Monitor] > [Managed Elements] > [Network Devices] > [Device
Groups] > [Device Type] > [Switches and Hubs] ページには、SPT を使用して追加されたスイッ
チの詳細は表示されません。
•
Prime Infrastructure には、スイッチを追加するためのフルライセンスが必要です。[Monitor] >
[Managed Elements] > [Network Devices] > [Device Groups] > [Device Type] > [Switches and
Hubs] ページには、フルライセンスを使用して追加されたスイッチの詳細が表示されます。
Prime Infrastructure には、スイッチに接続された有線クライアントも表示されます。スイッチ
の場所は MSE を使用して追跡されます。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[SPT Configuration] の順に選択します。
ステップ 2
次の基本設定値を設定します。
•
[MAC address +1/-1 search]：有効にするには、チェックボックスをオンにします。
この検索では、無線 MAC アドレスに 1 加算するか 1 減算することによって不正アクセスポ
イントの有線側の MAC アドレスを得る、慣習的な MAC アドレス +1/-1 方式を使用します。
•
[Rogue client MAC address search]：有効にするには、チェックボックスをオンにします。
不正クライアントが存在していると、検索可能な MAC アドレスのリストにクライアントの
MAC アドレスが追加されます。
•
[Vendor (OUI) search]：有効にするには、チェックボックスをオンにします。OUI は組織固有
識別子の検索を意味し、MAC アドレスの先頭 3 バイトで検索します。
•
[Exclude switch trunk ports]：スイッチポートのトレースからスイッチトランクポートを除
外する場合に、このチェックボックスをオンにします。
注
特定の MAC アドレスについて複数ポートをトレースする場合は、精度を向上させる
ために、追加のチェックが実行されます。追加のチェックには、トランクポートの
チェック、ポート上にある AP でない CDP ネイバーのチェック、およびこの MAC ア
ドレスがこのポート上の唯一のアドレスであるかどうかのチェックが含まれます。
•
[Exclude device list]：トレースから追加のデバイスを除外する場合に、このチェックボックス
をオンにします。スイッチポートトレースから除外する各デバイスをデバイスリストテキ
ストボックスに入力します。各デバイス名をコンマで区切って入力してください。
•
[Max hop count]：このトレースに対するホップの最大数を入力します。ホップカウントを大
きくするほど、スイッチポートトレースの実行時間が長くなることに留意してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-5
第8章
コントローラおよび AP 設定値の設定
スイッチポートトレーシングの設定
注
•
ステップ 3
このホップカウント値は自動 SPT に適用できません。
[Exclude vendor list]：スイッチポートトレースから除外するすべてのベンダーをベンダー
リストテキストボックスに入力します。ベンダー名はカンマで区切ります。ベンダーリス
トでは、大文字と小文字が区別されません。
次の詳細設定値を設定します。
•
[TraceRogueAP task max thread]：スイッチポートトレーシングで、複数のスレッドを使用し
て不正アクセスポイントをトレースします。このフィールドは、並列スレッドでトレースで
きる不正アクセスポイントの最大数を示します。
•
[TraceRogueAP max queue size]：スイッチポートトレーシングでは、キューを保持して、不正
アクセスポイントをトレースします。トレーシングする不正アクセスポイントを選択する
と、処理待ちのキューに入ります。このフィールドは、キューに保管できる項目の最大数を示
します。
•
[SwitchTask max thread]：スイッチポートトレーシングでは、複数のスレッドを使用して、ス
イッチデバイスをクエリーします。このフィールドは、並列スレッドでクエリーできるス
イッチデバイスの最大数を示します。
これらのパラメータのデフォルト値は、通常の運用に適しています。これらのパラメータは、
スイッチポートトレーシングと Prime Infrastructure のパフォーマンスに直接影響します。必
要な場合を除き、これらのパラメータは変更しないことを推奨します。
•
[Select CDP device capabilities]：有効にするには、チェックボックスをオンにします。
Prime Infrastructure は、CDP を使用してトレーシング中にネイバーを検出します。ネイバー
が検証されると、Prime Infrastructure は [CDP capabilities] フィールドを使用して、ネイバー
デバイスが有効なスイッチであるかどうかを判別します。ネイバーデバイスが有効なス
イッチでない場合は、トレースされません。
ステップ 4
行った変更を保存するには [Save] をクリックします。ページを元の設定に戻すには、[Reset] をク
リックします。出荷時の初期状態に設定を戻すには、[Factory Reset] をクリックします。
スイッチポートトレーシングの確立
ステップ 1
[Dashboard] > [Wireless] > [Security] の順に選択します。
ステップ 2
[Malicious Rogue APs]、[Unclassified Rogue APs]、[Friendly Rogue APs]、[Custom Rogue APs]、およ
び [Adhoc Rogues] ダッシュレットで、過去 1 時間または過去 24 時間に識別された不正 AP の数、
またはアクティブな不正 AP の合計数を表す数値リンクをクリックします。[Alarms] ウィンドウ
が開き、不正の疑いがある AP に対してアラームが示されます。
ステップ 3
スイッチポートトラッキングをセットアップする対象の不正 AP の隣にあるチェックボックス
をオンにして、その不正 AP を選択します。
ステップ 4
該当するアラームを展開し、アラーム詳細の [Switch Port Tracing] サブセクションにある [Trace
Switch Port] ボタンを手動で選択します。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-6
第8章
コントローラおよび AP 設定値の設定
スイッチポートトレーシングの設定
検索可能な MAC アドレスを 1 つ以上使用できる場合、Prime Infrastructure では CDP を使用し
て、検出中のアクセスポイントから最大 2 ホップ離れて接続されているすべてのスイッチを検
出します。各 CDP が検出したスイッチの MIB は、対象の MAC アドレスのいずれかが含まれてい
るかどうかを確認するために検証されます。いずれかの MAC アドレスが見つかった場合、該当
するポート番号が返され、不正スイッチポートとして報告されます。
[Switch Port Tracing Details] ダイアログボックスに関する追加情報については、「[Switch Port
Tracing Details]」を参照してください。
関連項目
•
[Switch Port Tracing Details]
[Switch Port Tracing Details]
[Switch Port Tracing Details] ダイアログボックスでは、スイッチポートの有効化および無効化、ス
イッチポートのトレース、およびアクセスポイントスイッチトレースの詳細ステータスの表示
を行うことができます。
スイッチポートトレーシングの詳細については、以下の関連項目を参照してください。
•
「スイッチポートトレーシングの設定」
•
「不正 AP トレース用の SNMP クレデンシャルの設定」
[Switch Port tracing Details] ダイアログボックスで、次のいずれかを実行します。
•
[Enable/Disable Switch Port(s)] をクリック：選択した任意のポートを有効または無効にします。
•
[Trace Switch Port(s)] をクリック：別のスイッチポートトレースを実行します。
•
[Show Detail Status] をクリック：このアクセスポイントのスイッチポートトレースに関す
る詳細を表示します。
•
[Close] をクリックします。
関連項目
•
スイッチポートトレーシングの設定
•
不正 AP トレース用の SNMP クレデンシャルの設定
スイッチポートトレーシングのトラブルシューティング
スイッチポートトレーシング（SPT）は、ベストエフォート方式で動作します。SPT では、適切に
トレースして不正 AP を組み込むために、以下の情報を必要とします。
•
レポートアクセスポイント：不正アクセスポイントは 1 台以上の管理対象アクセスポイン
トによってレポートされる必要があります。
•
アクセスポイント CDP ネイバー：シードスイッチを判別するには、アクセスポイント Cisco
Discovery Protocol（CDP）ネイバー情報が必要です。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-7
第8章
コントローラおよび AP 設定値の設定
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
•
スイッチの IP アドレスと SNMP のクレデンシャル
–
トレースする必要のあるすべてのスイッチは管理 IP アドレスを持つ必要があり、SNMP
管理が有効にされている必要があります。
– 新しい SNMP クレデンシャルが変更される場合は、個々のスイッチを Prime Infrastructure
に追加するのではなく、ネットワークアドレスに基づくエントリを追加できます。
•
–
この新しい SNMP クレデンシャル機能は、read と write の両方についてデフォルトのコ
ミュニティストリングを「private」とするデフォルトエントリ 0.0.0.0 を持ちます。
–
スイッチポートを有効または無効にするには、正しい write コミュニティストリングを
指定する必要があります。トレーシングの場合には、read コミュニティストリングのみ
で十分です。
スイッチポートの設定
–
トランキングされているスイッチポートは、トランクポートとして正しく設定されて
いる必要があります。
–
スイッチのポートセキュリティを無効にする必要があります。
•
スイッチポートトレーシングは、Cisco イーサネットスイッチおよび Catalyst スイッチ
2960、3560、3560-E、3750-E、3850、4500 シリーズのみでサポートされます。
•
スイッチ VLAN 設定を適切に行う必要があります。
•
すべてのスイッチについて CDP プロトコルが有効にされている必要があります。
•
不正アクセスポイントとシスコ製スイッチの間にイーサネット接続が存在している必要が
あります。
•
不正アクセスポイントとイーサネットスイッチの間に何らかのトラフィックが存在する必
要があります。
•
不正アクセスポイントは、最大ホップカウントの制限内で、スイッチに接続される必要があ
ります。デフォルトホップは 2 です。最大ホップは 10 です。
•
SNMPv3 を使用する場合は、メイングループのための 1 個（VLAN ベースでない MIB 用に必
要）の他に、コンテキストオプションを使用して、VLAN ごとに 1 個作成してください。
不正およびスイッチポートトレーシングに関して頻繁
に寄せられる質問
下記の「関連項目」では、Prime Infrastructure の不正 AP 検出およびスイッチポートトレーシング
（SPT）に関するさまざまな質問の答えを提供しています。
関連項目
•
自動 SPT の設定方法を教えてください。
•
自動 SPT と手動 SPT はどのように違いますか。
•
SPT の結果（手動および自動）はどこで確認できますか。
•
自動 SPT を円滑に実行するにはどうすればいいですか。
•
自動 SPT の方が有線の不正の検出に時間がかかるのはなぜですか。
•
トランクポート上の有線の不正を検出するにはどうすればいいですか。
•
自動 SPT の「Eliminate By Location」機能を使用するにはどうすればいいですか。
•
「メジャーポーリング」と「マイナーポーリング」の違いについて教えてください。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-8
第8章
コントローラおよび AP 設定値の設定
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
自動 SPT の設定方法を教えてください。
自動 SPT を設定するには、次の手順を実行します。
ステップ 1
[Configuration] > [Network] > [Network and Device] > [Network] を使用して、[License Level] が
[Full] のスイッチを追加します。
ステップ 2
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[Auto SPT] の順に選択し、[Enable Auto Switch Port Tracing] を選択します。[OK] をクリックし
ます。
ステップ 3
[Administration] > [Settings] > [Background Tasks] > [Wired Client Status] の順に選択します。この
タスクが有効化され、1 日に 2 回以上実行するようにスケジュール設定されていることを確認し
てください。
関連項目
•
SPT の結果（手動および自動）はどこで確認できますか。
•
自動 SPT を円滑に実行するにはどうすればいいですか。
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
自動 SPT と手動 SPT はどのように違いますか。
手動 SPT は、個別の不正 AP アラームに対して実行されます。不正 AP アラームの詳細ページで
[Trace Switch Port] アイコンをクリックすることにより、この機能をトリガーする必要があり
ます。
自動 SPT は、アラームのバッチに基づき、有線クライアントステータスバックグラウンドタス
クに対して定義されたスケジュールで自動的に実行されます。
手動 SPT のトリガーは、アクセスポイントで有効化された CDP および適切な SNMP コミュニ
ティ文字列を持つスイッチに依存する点に注意してください。手動 SPT およびその動作の詳細
については、「関連項目」の「WCS Switch Port Trace Demonstration」リンクを参照してください。
自動および手動の SPT では、ライセンスおよびスイッチの「ライセンスレベル」の取り扱い方法
にも違いがあります。スイッチの「ライセンスレベル」は、スイッチを追加する際に [Full] または
[Switch Port Trace Only] のいずれかに設定できます。相違点を次の 3 つのケースで例示します。
•
「フル」ライセンスレベルのスイッチを追加する場合：Prime Infrastructure は、追加されたフ
ルライセンスレベルのスイッチごとにライセンスを消費します。スイッチに接続されたす
べての有線クライアントは、[Monitor] > [Managed Elements] > [Network Devices] > [Device
Type] > [Switches and Hubs] の順に選択することで表示できます。また、MSE を使用してス
イッチの場所を追跡することもできます。「フル」ライセンスレベルは、自動 STP の動作に必
須です。
•
スイッチを追加しない場合：スイッチを追加しなくても、手動 SPT は動作します。ただし、す
べてのスイッチに対して SNMP クレデンシャルを適切に設定する必要があることに注意し
てください。設定には、[Administration] > [Settings]> [System Settings] > [Network and Device] >
[Switch Port Trace (SPT)] > [Manual SPT] を使用します。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-9
第8章
コントローラおよび AP 設定値の設定
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
•
「Switch Port Trace Only」ライセンスレベルのスイッチを追加する場合：[Configuration ] >
[Network ]> [Network Devices] > [Add Device] を使用してスイッチを Prime Infrastructure に追
加し、[Switch Port Trace Only] ライセンスレベルを選択する場合、スイッチを追加するときに
入力した SNMP クレデンシャルは、[Administration] > [Settings]> [System Settings] > [Network
and Device] > [Switch Port Trace (SPT)] > [Manual SPT] を使用して入力された SNMP クレデ
ンシャルより優先されます。入力した SNMP クレデンシャルは、スイッチポートトレーシン
グに使用されます。これが、スイッチを追加しない場合と、「Switch Port Trace Only」のライセ
ンスレベルのスイッチを追加する場合との主な違いです。Prime Infrastructure は、SPT 専用ラ
イセンスレベルのスイッチに対してライセンスを消費せず、[Monitor] > [Managed
Elements]> [Network Devices] > [Device Type] > [Switches and Hubs] にこれらのスイッチは表
示しません。また、これらのスイッチに接続された有線クライアントも表示しません。
関連項目
•
WCS Switch Port Trace Demonstration
•
「メジャーポーリング」と「マイナーポーリング」の違いについて教えてください。
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
SPT の結果（手動および自動）はどこで確認できますか。
ステップ 1
ステップ 2
必要な不正 AP アラームの詳細を表示します。次に例を示します。
a.
任意の Prime Infrastructure ページの上部にある [Alarm Summary] アイコンをクリックしま
す。アラームカテゴリの一覧が表示されます。
b.
リスト内の [Rogue AP] リンクをクリックします。Prime Infrastructure が不正 AP アラームの
一覧を表示します。
c.
不正 AP アラームを展開します。そのアラームに関する詳細ページが表示されます。
[Switch Port Tracing] ペインで、[Trace Switch Port] アイコンをクリックします。[Switch Port Trace]
ウィンドウにトレースされたスイッチポートの詳細が表示されます。
SPT が実行されていない場合は、[Trace Switch Port(s)] をクリックしてトレースを開始します。
[Show Detail Status] ボタンをクリックすると、進行中のトレースのステータスの詳細を取得でき
ます。
関連項目
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
自動 SPT を円滑に実行するにはどうすればいいですか。
推奨される SPT のベストプラクティスは次のとおりです。
1.
Prime Infrastructure が [Full] ライセンスレベルのスイッチをすべて管理していることを確認
します。
2.
有線クライアントを正しく検出するためには、すべてのスイッチを Prime Infrastructure で管
理し、これに同期させる必要があります。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-10
第8章
コントローラおよび AP 設定値の設定
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
3.
最善の結果を得るために、[Administration] > [Settings] > [Background Tasks] を使用して、以下
のバックグラウンドタスクが実行されていることを確認します。
a. Switch Inventory/Refresh Config：定期的に実行されていることが必要です。
b. Wired Client Status：定期的に実行されていることが必要です。
c. Data Cleanup：無効化されておらず、定期的に実行されていることが必要です。
不正 AP タスクには、[Administration] > [Dashboards] > [Job Dashboard] > [System Jobs] >
[Wireless Poller] > [Rogue AP] を使用します。
4.
不正 AP アラームが必要日数のみに対して継続されていることを確認します。シスコでは、
特別な継続要件がない限り、8 日間を超えない範囲で継続することを推奨しています。設定
は、[Administration] > [Settings] > [System Settings] > [Alarms and Events] > [Alarms and Events] >
[Rogue AP] の順に選択し、必要な期間を [Delete cleared security alarms after] フィールドに指
定することで実行できます。
5.
直接的に有線クライアントを検出するには、スイッチ上のトラップレシーバ設定を使用し
ます。これにより、Prime Infrastructure のクライアント検出および不正検出プロセスをトリ
ガーできます。この設定は、次の手順で有効化できます。
a. [Administration] > [System Settings] > [Client and User] > [Client] ページを使用して、[Poll
clients on client traps] オプションを有効化します。これは、比較的小規模な環境（50 台前後の
スイッチ）や慎重な取り扱いを要するポートのみにとどめることを強くお勧めします。
b. それぞれのスイッチに対して次のコマンドを CLI で実行します（これらのコマンドは、
スイッチプラットフォームごとにわずかに異なることがあります）。
<switchname># conf t
<switchname>(config)# Snmp-server enable traps mac-notification change move
threshold
<switchname>(config)# Snmp-server host PrIinfraIPAddress version 2c comstring
mac-notification
<switchname>(config)# Mac address-table notification change interval 5
<switchname>(config)# Mac address-table notification change history-size 10
<switchname>(config)# Mac address-table notification change
それぞれの説明は次のとおりです。
– PrIinfraIPAddress は、Prime Infrastructure サーバの IP アドレスです。
– comstring は、スイッチのコミュニティ文字列です。
c. それぞれのスイッチに対して次のコマンドをインターフェイス上でで実行します（これ
らのコマンドは、スイッチプラットフォームごとにわずかに異なることがあります）。
<switchname>(config)# Interface Intname
<switchname>(config-if)# description non-identity clients
<switchname>(config-if)# switchport access vlan ID
<switchname>(config-if)# switchport mode access
<switchname>(config-if)# snmp trap mac-notification change added
<switchname>(config-if)# snmp trap mac-notification change removed
それぞれの説明は次のとおりです。
– Intname は、インターフェイス名
– ID は、VLAN ID です。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-11
第8章
コントローラおよび AP 設定値の設定
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
関連項目
•
自動 SPT の設定方法を教えてください。
•
「メジャーポーリング」と「マイナーポーリング」の違いについて教えてください。
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
自動 SPT の方が有線の不正の検出に時間がかかるのはなぜですか。
自動 SPT の方が手動 SPT より有線の不正の検出に比較的時間がかかる理由は、以下のとおりです。
1.
自動 SPTは、有線クライアント検出プロセスに依存しており、このプロセスは有線クライア
ントステータスメジャーポーリングバックグラウンドタスクが実行されているときだけ
に起動されます。デフォルトでは、このバックグラウンドタスクのメジャーポーリングは、
2 つのマイナーポーリングごと、または 4 時間ごとのみに実行されるようにスケジュール設
定されています。
2.
有線の不正 AP はスイッチに接続されますが、有線の不正 AP の状態が「関連付け状態」の場
合、Prime Infrastructure は有線ポートのみを検出します。Prime Infrastructure は、有線クライア
ントのステータスが関連付け状態か関連付け解除状態かを常に確認しています。有線クライ
アントのステータスが関連付け解除状態の場合、Prime Infrastructure はこれをポート未接続
として表示します。
3.
不正トレーシングはバッチで実行されます。特定の有線の不正検出に要する時間は、Prime
Infrastructure が処理するバッチによって異なります。特定の不正が前回のバッチで処理され
ていた場合、そのトレースにはさらに時間がかかります。
4.
任意の有線の不正検出に要する時間は、Prime Infrastructure に存在する不正アラームの数と、
有線クライアントステータスメジャーポーリングの間隔よって異なります。
関連項目
•
「メジャーポーリング」と「マイナーポーリング」の違いについて教えてください。
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
トランクポート上の有線の不正を検出するにはどうすればいいですか。
トランクポート上の有線の不正は、次の手順で検出できます。
ただし、Cisco 2950 スイッチのトランクポート上の不正を検出する場合は、先に Prime
Infrastructure Device Pack 5.0 に含まれるアップデート版の 2950 サポートをインストールする必
要があります。
ステップ 1
[Administration] > [Settings]> [System Settings] > [Network and Device] > [Switch Port Trace (SPT)] >
[SPT Configuration] の順に選択します。
ステップ 2
[Exclude switch trunk ports] チェックボックスをオフにして、[Save] をクリックします。
ステップ 3
[Administration] > [Settings] > [System Settings] > [Client and User] > [Client] の順に選択します。
ステップ 4
[Discover wired clients on trunk ports] チェックボックスをオンにして、[Save] をクリックします。
スイッチは、有線クライアントステータスバックグラウンドタスクによるメジャーポーリング
の次回実行時から、トランクポート上の有線クライアントの検出を開始します。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-12
第8章
コントローラおよび AP 設定値の設定
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
関連項目
•
自動 SPT の設定方法を教えてください。
•
「メジャーポーリング」と「マイナーポーリング」の違いについて教えてください。
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
自動 SPT の「Eliminate By Location」機能を使用するにはどうすればいい
ですか。
「Eliminate by location」は、Prime Infrastructure が有線の不正を検出するために使用するアルゴリ
ズムの 1 つです。このアルゴリズムでは、不正 AP の場所情報を使用して、関連付け状態のスイッ
チポートを検索します。このアルゴリズムは、検出 AP のフロア ID を使用した自動 SPT 処理中
の誤検出削減に役立ち、有線の不正の追跡精度を向上させます。
「Eliminate by location」を有効にすると、有線クライアントステータスバックグラウンドタスク
によって、管理スイッチのすべての有線クライアントが検出されます。次回の自動 SPT の実行
時、「Eliminate by location」アルゴリズムに基づいてスイッチポートがフィルタリングされます。
「Eliminate by location」を有効にするには、次の手順を実行してください。
ステップ 1
Cisco Mobility Service Engine（MSE）を Prime Infrastructure と統合します。
ステップ 2
検出 AP が配置されたフロア定義領域と MSE が同期していることを確認します。MSE が不正を
追跡できるはずです。
ステップ 3
すべてのスイッチを Prime Infrastructure に追加します。
ステップ 4
必ずすべてのポートが正しいフロア領域に割り当てられるように、スイッチポートの場所を設
定します。
関連項目
•
自動 SPT の設定方法を教えてください。
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
「メジャーポーリング」と「マイナーポーリング」の違いについて教え
てください。
自動 SPT 定義をトリガーする有線クライアントステータスバックグラウンドタスクは次のと
おりです。
メジャーポーリング：メジャーポーリング中、Prime Infrastructure は、重要クライアント情報のす
べてをデータベースと同期させることにより、すべての有線デバイスポートでのクライアント
検出をトリガーします。Prime Infrastructure 2.2 の場合、このポーリングの頻度は 1 日 2 回よりも
少なくなっていました。現在は、完全に設定可能になっています。
マイナーポーリング：マイナーポーリング中、Prime Infrastructure は、最近アクティブになったデ
バイスインターフェイスおよびポート上のみのクライアント検出をトリガーします。Prime
Infrastructure はインターフェイス稼働時間データを使用して、いずれかのクライアントによって
ポートやインターフェイスが追加または削除されたのがいつなのかを検出します。
Cisco Prime Infrastructure 3.0 管理者ガイド
8-13
第8章
コントローラおよび AP 設定値の設定
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
関連項目
•
自動 SPT と手動 SPT はどのように違いますか。
•
自動 SPT の方が有線の不正の検出に時間がかかるのはなぜですか。
•
不正およびスイッチポートトレーシングに関して頻繁に寄せられる質問
Cisco Prime Infrastructure 3.0 管理者ガイド
8-14
CH A P T E R
9
ハイアベイラビリティの設定
障害が発生しても運用が継続されるようにするために、Cisco Prime Infrastructure ではハイアベ
イラビリティ（HA）フレームワークを提供しています。HA では、リンクされて同期されたPrime
Infrastructure サーバのペアを使用して、いずれかのサーバで発生する可能性のあるアプリケー
ション障害またはハードウェア障害による影響を最小限に、あるいは完全に排除します。
ここでは、この機能のセットアップ方法および使用方法について説明します。「関連項目」の最後
のトピックでは、同様のハイアベイラビリティ機能をサポートするモビリティサービスエンジ
ンの設定方法について説明します。モビリティサービスエンジンは、Prime Infrastructure のイン
ターフェイスを使用して管理できます。
関連項目
•
ハイアベイラビリティの仕組み
•
HA の導入計画
•
ハイアベイラビリティのセットアップ
•
ハイアベイラビリティのモニタ
•
ハイアベイラビリティの参照情報
•
MSE ハイアベイラビリティの設定
Cisco Prime Infrastructure 3.0 管理者ガイド
9-1
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの仕組み
ハイアベイラビリティの仕組み
以下の図に、Prime Infrastructure ハイアベイラビリティ（HA）をセットアップしてプライマリ
サーバをアクティブにするための主要コンポーネントとプロセスフローを示します。
図 9-1
Prime Infrastructure ハイアベイラビリティ（HA）のアーキテクチャ
Primary Server
Secondary Server
Data-guard Broker
DB Sync
Active
Database
Primary
HM
Secondary
HM
Active
Database
Primary
PI
File Sync
Secondary
PI
404582
Standby
Database
Standby
Database
HA の導入には、2 台の Prime Infrastructure サーバ（プライマリとセカンダリ）が必要です。これら
のサーバのそれぞれに、アクティブデータベースとアクティブデータベースのスタンバイバッ
クアップコピーがあります。通常状態では、プライマリサーバがアクティブです。つまり、プラ
イマリサーバが自身のアクティブデータベースに接続されており、ネットワークを管理しま
す。セカンダリサーバはパッシブ状態で、自身のスタンバイデータベースのみに接続されてい
ますが、プライマリサーバとは継続的な通信状態にあります。
両方のサーバで実行されているヘルスモニタプロセスにより、お互いのサーバのステータスが
モニタされています。両方のサーバ上で実行されている Oracle Recovery Manager（RMAN）は、ア
クティブデータベースおよびスタンバイデータベースを作成し、変更の発生時には、プライマ
リサーバで実行される Oracle Data Guard Broker の効果によりデータベースを同期します。
プライマリサーバに障害が発生すると、セカンダリが引き継ぎ、自身のアクティブデータベー
スに接続します。このデータベースは、アクティブプライマリデータベースと同期されていま
す。この切り替えは「フェールオーバー」と呼ばれ、手動（推奨）または自動でトリガーできます。
その後は、プライマリサーバへのアクセスの復元作業をしながら、セカンダリサーバを使用し
てネットワークを管理します。プライマリサーバが再度使用可能になると、プライマリサーバ
に戻するための切り替え（「フェールバック」）を開始し、プライマリを使用してネットワーク管
理を再開できます。
プライマリサーバとセカンダリサーバを同一 IP サブネットに導入する場合は、1 つの仮想 IP ア
ドレスで Prime Infrastructure に通知を送信するようにデバイスを設定できます。ディザスタリカ
バリの実施などの目的で、2 台のサーバを地理的に離れた位置に分散する場合は、両方のサーバ
に通知を送信するようにデバイスを設定する必要があります。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-2
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの仕組み
関連項目
•
プライマリサーバとセカンダリサーバについて
•
障害の原因
•
ファイルおよびデータベースの同期
•
HA サーバ通信
•
Health Monitor プロセス
•
Health Monitor Web ページ
•
仮想 IP アドレッシング
プライマリサーバとセカンダリサーバについて
すべての Prime Infrastructure HA 実装には、特定のプライマリサーバに対して専用のセカンダリ
サーバが 1 台のみ必要です。
通常、HA サーバごとに独自の IP アドレスまたはホスト名が設定されています。同一サブネット
上に配置されているサーバは、仮想 IP を使用して同じ IP を共有できます。これにより、デバイス
の設定が容易になります。
HA をセットアップした後は、HA サーバの IP アドレスやホスト名を変更しないください。変更
すると、HA 設定が失われます（「関連項目」の「サーバの IP アドレスまたはホスト名のリセット」
参照）。
関連項目
•
ハイアベイラビリティの仕組み
•
仮想 IP アドレッシング
•
HA サーバの IP アドレスまたはホスト名のリセット
障害の原因
Prime Infrastructure サーバの障害は、以下の 1 つ以上の分野での問題が原因で発生する可能性が
あります。
•
アプリケーションプロセス：NMS サーバ、MATLAB、TFTP、FTP を含め、1 つ以上の Prime
Infrastructure サーバプロセスが失敗した場合。各アプリケーションプロセスの動作ステー
タスを確認するには、管理コンソールから ncs status コマンドを実行します。
•
データベースサーバ：1 つ以上のデータベース関連のプロセスがダウンした場合。データ
ベースサーバは、Prime Infrastructure でサービスとして実行されます。
•
ネットワーク：ネットワークアクセスの問題や、到達可能性の問題が発生した場合。
•
システム：サーバの物理ハードウェアまたはオペレーティングシステムに関連する問題が
発生した場合。
•
仮想マシン（VM）：プライマリサーバとセカンダリサーバがインストールされている VM 環
境に問題が発生した場合（HA が VM 環境で稼動している場合）。
関連項目
•
ハイアベイラビリティの仕組み
Cisco Prime Infrastructure 3.0 管理者ガイド
9-3
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの仕組み
ファイルおよびデータベースの同期
HA コンフィギュレーションが、プライマリサーバでの変更を判別すると、常にその変更がセカ
ンダリサーバに同期されます。これらの変更には、次の 2 種類があります。
1.
データベース：コンフィギュレーション、パフォーマンス、およびモニタリングデータに関
連するデータベースの更新などです。
2.
ファイル：コンフィギュレーションファイルに対する変更などです。
両方のサーバ上で実行されている Oracle Recovery Manager（RMAN）は、アクティブデータベー
スおよびスタンバイデータベースを作成し、変更の発生時には、プライマリサーバで実行され
る Oracle Data Guard Broker の効果によりデータベースを同期します。
ファイルの変更内容は、HTTPS プロトコルを使用して同期されます。ファイルの同期は、以下の
いずれかの方法で行われます。
•
バッチ：このカテゴリには、頻繁に更新されないファイル（ライセンスファイルなど）が含ま
れます。これらのファイルは、500 秒間隔で同期されます。
•
ほぼリアルタイム：頻繁に更新されるファイルは、このカテゴリに分類されます。これらの
ファイルは、11 秒間隔で同期されます。
デフォルトでは、HA フレームワークは、必要なすべての構成データをコピーするように設定さ
れます。これらの構成データには、以下が含まれます。
•
レポート設定
•
コンフィギュレーションテンプレート
•
TFTP ルート
•
管理設定
•
ライセンスファイル
関連項目
•
ハイアベイラビリティの仕組み
HA サーバ通信
プライマリおよびセカンダリ HA サーバは、HA システムのヘルスを維持するために、次のメッ
セージを交換します。
•
データベース同期：プライマリサーバとセカンダリサーバ上のデータベースが稼働および
同期するために必要なすべての情報が含まれます。
•
ファイル同期：頻繁に更新されるコンフィギュレーションファイルが含まれます。これらの
ファイルは 11 秒間隔で同期され、他の頻繁に更新されないコンフィギュレーションファイ
ルは 500 秒間隔で同期されます。
•
プロセス同期：アプリケーションおよびデータベースに関連するプロセスの実行が継続され
るようにします。これらのメッセージは、ハートビートカテゴリに分類されます。
•
Health Monitor 同期：これらのメッセージは、以下の障害状態の有無を確認します。
– ネットワーク障害
– システム障害（サーバハードウェアとオペレーティングシステムでの障害）
– Health Monitor 障害
関連項目
•
ハイアベイラビリティの仕組み
Cisco Prime Infrastructure 3.0 管理者ガイド
9-4
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの仕組み
Health Monitor プロセス
Health Monitor（HM）とは、HA 操作を管理する主要コンポーネントです。プライマリサーバとセ
カンダリサーバでは、それぞれ別個の HM インスタンスがアプリケーションプロセスとして実
行されます。HM は、以下の役割を果たします。
•
HA に関連するデータベースおよび構成データを同期します（Oracle Data Guard を使用して
別途同期されるデータベースは除きます）。
•
プライマリサーバとセカンダリサーバの間で 5 秒間隔でハートビートメッセージを交換
し、サーバ間の通信が維持されていることを確認します。
•
両方のサーバ上で使用可能なディスク容量を定期的に確認し、ストレージ容量が不足してい
る場合にはイベントを生成します。
•
リンクされた HA サーバ全体のヘルスを管理、制御、モニタします。プライマリサーバで障害
が発生した場合にセカンダリサーバをアクティブ化するのは、Health Monitor の役目です。
関連項目
ハイアベイラビリティの仕組み
•
Health Monitor Web ページ
Health Monitor Web ページを使用して HA の動作を制御します。プライマリサーバまたはセカン
ダリサーバで実行される Health Monitor インスタンスごとに、専用の Web ページがあります。次
の図は、プライマリサーバが [Primary Active] 状態である Health Monitor Web ページの例を示し
ます。
1
Health Monitor Web ページ（アクティブ状態のプライマリサーバ）
2
3
4
5
6
7
8
9
10
404589
図 9-2
Cisco Prime Infrastructure 3.0 管理者ガイド
9-5
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの仕組み
1
[Settings] 領域に、Health Monitor の状態と 2
設定の詳細情報を示す 5 つのセクション
が表示されています。
[Status] は、HA セットアップの現在の機能
ステータスを示します（緑色のチェック
マークは、HA がオンであり機能している
ことを実行します）。
3
[Events] 表には、現在のすべての HA 関連
イベントが最新のイベントを先頭に時系
列順に表示されます。
4
[Secondary IP Address] は、このプライマリ
サーバのピアサーバの IP を示します（セカ
ンダリサーバの場合、このフィールドには
[Primary IP Address] というラベルが付いて
います）。
5
ロギング領域では、Health Monitor ログ
ファイルをダウンロードできます。
6
[Message Level] フィールドでは、ログレベ
ル（[Error]、[Informational]、[Trace]）を変更
できます。ログレベルを変更するには、
[Save] をクリックする必要があります。
7
[State] は、この Health Monitoring インスタ 8
ンスが実行されているサーバの現在の
HA の状態を示します。
[Failover Type] は、設定されているフェール
オーバータイプ（[Manual] または
[Automatic]）を示します。
9
表示している Health Monitor Web ページ
の対象 HA サーバを示します。
10 [Actions] は、実行できるアクション
（フェールオーバーまたはフェールバック）
を示します。[Action] のボタンは、HA 状態
の変更が必要なアクションが Health
Monitor により検出された場合にだけ有効
になります。
関連項目
•
ハイアベイラビリティの仕組み
仮想 IP アドレッシング
通常の状況下では、Prime Infrastructure を使用して、管理対象デバイスがその syslog、SNMP ト
ラップ、およびその他の情報を Prime Infrastructure サーバの IP アドレスに送信するように設定
します。HA を実装する場合、それぞれ異なる IP アドレスを持つ 2 台の Prime Infrastructure サー
バが導入されます。セカンダリサーバにも通知を送信するようにデバイスを再設定しないと、セ
カンダリ Prime Infrastructure サーバがアクティブモードになったときに、セカンダリサーバで
はすべての通信が受信されません。
この追加デバイス設定に伴うオーバーヘッドを回避するため、HA では両方のサーバが管理アド
レスとして共有できる仮想 IP アドレスの使用がサポートされています。フェールオーバープロ
セスとフェールバックプロセスの実行中に、この 2 台のサーバは必要に応じて IP を切り替えま
す。仮想 IP アドレスは常に、正しい Prime Infrastructure サーバを指し示します。
HA のセットアップ中に仮想 IP アドレッシングを有効にできます。このためには、この機能を使
用することを指定し、次にサーバに使用する仮想 IPv4 アドレスと IPv6 アドレスを指定します
（「関連項目」の「ハイアベイラビリティのセットアップ」参照）。
両方の HA サーバのアドレスおよび仮想 IP がすべて同じサブネット上にない場合、この機能を
使用できないことに注意してください。これは、HA サーバ導入の選択方法に影響する可能性が
あります（「関連項目」の「HA の導入計画」および「ローカルモデルの使用」参照）。
仮想 IP アドレッシングを有効化した後に仮想 IP アドレッシングを削除するには、HA を完全に
削除する必要があります。「関連項目」の「GUI での HA の削除」を参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-6
第9章
ハイアベイラビリティの設定
HA の導入計画
関連項目
•
ハイアベイラビリティの仕組み
•
ハイアベイラビリティのセットアップ
•
GUI での HA の削除
•
HA の導入計画
•
ローカルモデルの使用
ホットスタンバイ動作
プライマリサーバがアクティブ状態のとき、セカンダリサーバは、プライマリサーバと常時同
期状態にあり、高速で切り替えができるように、すべての Prime Infrastructure プロセスを実行
しています。プライマリサーバに障害が発生すると、セカンダリサーバがフェールオーバー後
2 ～ 3 分以内にアクティブなロールを素早く引き継ぎます。
プライマリサーバでの問題が解消され、プライマリサーバが実行状態に戻ると、プライマリ
サーバがスタンバイロールになります。プライマリサーバがスタンバイロールになると、ヘル
スモニタの GUI には「Primary Syncing」状態が表示され、プライマリサーバ上のデータベースお
よびファイルとアクティブなセカンダリサーバとの同期が開始されます。
プライマリサーバが再度使用可能になり、フェールバックがトリガーされると、再度プライマリ
サーバがアクティブロールを引き継ぎます。このようなプライマリサーバとセカンダリサーバ
間でのロールの切り替えは、2 ～ 3分以内に実行されます。
関連項目
•
ハイアベイラビリティの仕組み
HA の導入計画
Prime Infrastructure の HA 機能は、以下の導入モデルをサポートしています。
•
ローカル：HA サーバの両方を同じサブネットに配置します（サーバにレイヤ 2 近接性を与え
ます）。通常は、両方のサーバが同じデータセンター内に配置されます。
•
キャンパス：HA サーバのそれぞれを、LAN で接続された異なるサブネットに配置します。通
常、これらのサーバは同じ 1 つのキャンパスに導入されますが、キャンパス内で配置される
場所は異なります。
•
リモート：HA サーバのそれぞれを、WAN で接続された異なるリモートサブネットに配置し
ます。各サーバが、異なる施設に配置されます。これらの施設は、国や大陸間にまたがり、地理
的に分散されています。
以降の項で、各モデルの利点および欠点と、すべての導入モデルに影響する基本的な制約事項に
ついて説明します。
HA は、サポートされているいずれの導入モデルでも機能します。主な制約事項は、HA のパ
フォーマンスと信頼性に関して存在し、これらは帯域幅と遅延の基準によって異なります（「HA
のネットワークスループットに関する制限事項」参照）。これらのパラメータを正常に管理でき
る限り、使用可能な導入モデルのどれを選んで実装するかは、（コスト、企業の規模、地理、コンプ
ライアンス標準などのビジネスパラメータに基づく）ビジネス上の意思決定です。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-7
第9章
ハイアベイラビリティの設定
HA の導入計画
関連項目
•
HA のネットワークスループットに関する制限事項
•
ローカルモデルの使用
•
キャンパスモデルの使用
•
リモートモデルの使用
•
仮想 IP アドレッシングを使用できない場合の対処
•
自動フェールオーバーと手動フェールオーバーの違い
HA のネットワークスループットに関する制限事項
Prime Infrastructure の HA パフォーマンスは、常に以下の制限要因の影響を受けます。
•
すべての操作を処理するために Prime Infrastructure で利用できる正味の帯域幅。これらの操
作には、HA 登録、データベース同期、ファイル同期、フェールバックのトリガーが含まれま
す（ただし、これらに限定されません）。
•
プライマリサーバとセカンダリサーバ間のリンク全体における正味のネットワーク遅延。
この 2 台のサーバの物理的な近接性に関わらず、サーバ間のリンクで発生する遅延が大きい
場合、Prime Infrastructure によるプライマリサーバとセカンダリサーバ間のセッション維持
状態に影響が及ぶ可能性があります。
•
プライマリサーバとセカンダリサーバを接続するネットワークが提供できる正味のスルー
プット。正味のスループットは正味の帯域幅と遅延によって異なり、これら 2 つの要因の関
数と見なすことができます。
モデルによって問題の大きさが異なりますが、これらの制限は、少なくとも何らかのレベルであ
らゆる導入モデルに当てはまります。例えば、リモート導入モデルは、地理的な分散が大きいた
め、帯域幅と遅延の両方で問題が発生しがちです。一方、ローカルモデルとキャンパスモデルの
場合も、正しく構成されていなければ、帯域幅の問題が発生する可能性が高くなります。これは、
低帯域幅、高遅延、高ネットワーク使用率によって制限を受ける可能性があるためです。
スループットの問題がフェールバックやフェールオーバーに影響することはほとんどありませ
ん。2 つの HA サーバがほとんど常に通信して、データベースの変更内容が即座に複製されるた
めです。ほとんどのフェールオーバーおよびフェールバックは、約 2 ～ 3 分を要します。
この原則の最大の例外は、データベースのフルコピー動作における遅延です。この種類のアク
ションは、プライマリサーバが 24 時間以上ダウンした後、これを戻す場合にトリガーされます。
これらの条件の場合、Prime Infrastructure はセカンダリサーバからプライマリサーバへのデータ
ベースのフルコピー動作をトリガーします。この期間中のフェールバックはできませんが、
[Health Monitor] ページには、データベースのコピー進行中に発生したすべてのイベントが表示
されます。コピーが完了するとすぐに、プライマリサーバは「Primary Synching」状態に移行し、そ
の後、フェールバックのトリガーが可能になります。
データベースのフルコピー動作中の正味スループットの変動は、データベースのサイズやその
他の要因とは無関係に、データベースのフルコピー動作が 1 時間未満で正常に完了するケース
と、まったく完了できないケースという違いを生じるぐらいの意味を持ちます。シスコでは、標
準的なデータベースサイズである 105 GB ～ 156 GB の Prime Infrastructure を使用して、以下の
リモートモデルの構成での HA 導入における正味スループットの影響をテストしてきました。
これらのテストに基づき、シスコでは、125 GB の標準的なデータベース（10 GB のバックアップ
ファイルを生成）に対して、以下のように推奨します。
•
最適な結果の場合：サブミリ秒の遅延と 977 Mbps の正味スループットにおいて、データベー
スのフルコピーの時間を 1 時間未満と想定。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-8
第9章
ハイアベイラビリティの設定
HA の導入計画
•
良好な結果の場合：70 ミリ秒の遅延と 255 Mbps 以上の正味スループットにおいて、データ
ベースのフルコピーの時間を 2 時間未満と想定。
•
許容可能な結果の場合：220 ミリ秒以下の遅延と 86 Mbps 以上の正味スループットにおい
て、データベースのフルコピーの時間を 4.5 時間未満と想定。
遅延が 330ms 以上、スループットが 46Mbps 以下の場合、データベースのコピーが正常に完了し
ない危険があります。
関連項目
•
HA の導入計画
•
リモートモデルの使用
ローカルモデルの使用
ローカル導入モデルの主要なメリットは、仮想 IP アドレスをシステムの単一管理ドレスとして
使用することが許可される点です。ユーザはこの仮想 IP アドレスを使用してPrime Infrastructure
に接続し、デバイスではこの仮想 IP アドレスを SNMP トラップおよびその他の通知の宛先とし
て使用できます。
仮想 IP アドレスを割り当てる際の唯一の制約は、仮想 IP アドレスが、プライマリサーバの IP ア
ドレスおよびセカンダリサーバの IP アドレスと同じサブネット上のアドレスでなければなら
ない点です。例：プライマリサーバとセカンダリサーバに対し、1 つのサブネット内の次の IP ア
ドレスが割り当てられている場合、この両方のサーバの仮想 IP アドレスは次のように割り当て
ることができます。
•
サブネットマスク：255.255.255.224 (/27)
•
プライマリサーバの IP アドレス：10.10.101.2
•
セカンダリサーバの IP アドレス：10.10.101.3
•
仮想 IP アドレス：10.10.101.[4-30]（例：10.10.101.4）仮想 IP アドレスは、特定のサブネットマ
スクで有効かつ未使用のアドレス範囲内の任意のアドレスになることに注意してください。
この主な利点に加え、ローカルモデルには以下の利点もあります。
•
通常、高帯域幅と低遅延を実現します。
•
管理が簡素化されます。
•
syslog および SNMP 通知を転送するようにデバイスを設定するのが、大幅に簡単になります。
ローカルモデルには、以下の欠点があります。
•
同じデータセンター内に配置されることから、停電や自然災害など、サイト全体の障害の危
険にさらされます。
•
破壊的なサイト障害の危険が高くなることから、ビジネス継続性の計画が複雑になります。
また、損害保険のコストも高くなる可能性があります。
関連項目
•
HA の導入計画
•
キャンパスモデルの使用
•
リモートモデルの使用
Cisco Prime Infrastructure 3.0 管理者ガイド
9-9
第9章
ハイアベイラビリティの設定
HA の導入計画
キャンパスモデルの使用
キャンパスモデルでは、HA を導入する組織が、同じ都道府県の同じ市区町村内の 1 つ以上のロ
ケーションを拠点にしていて、これらの複数ロケーションによって「キャンパス」を形成してい
ることが前提となります。このモデルには、以下の利点があります。
•
通常、ローカルモデルに匹敵するか、それ以上の帯域幅と遅延を提供します。
•
リモートモデルより簡単に管理できます。
キャンパスモデルには、以下の欠点があります。
•
ローカルモデルより、管理が複雑になります。
•
仮想 IP アドレスをシステムの単一管理アドレスとして使用することを許可しないでくださ
い。その場合は、多くのデバイス設定が必要となります（「関連項目」の「仮想 IP アドレッシン
グを使用できない場合の対処」参照）。
•
ローカルモデルと比べると、帯域幅が小さくなり、遅延が大きくなる可能性があります。こ
れは HA の信頼性に影響を与える可能性があり、是正するには管理者の介入が必要になる場
合もあります（「関連項目」の「HA のネットワークスループットに関する制限事項」参照）。
•
同じサイトに配置されてはいませんが、それでも都道府県全体、または市区町村全体の災害
の危険にさらされます。そのため、ビジネス継続性の計画が複雑になり、災害復旧のコストが
高くなる可能性があります。
関連項目
•
HA の導入計画
•
HA のネットワークスループットに関する制限事項
•
ローカルモデルの使用
•
リモートモデルの使用
•
仮想 IP アドレッシングを使用できない場合の対処
リモートモデルの使用
リモートモデルでは、導入する組織に複数のサイトまたはキャンパスがあること、そしてこれら
のロケーション間では、地理的な境界を超えて WAN リンクで通信することが前提となります。
このモデルには、以下の利点があります。
•
自然災害による影響を受ける可能性が最小限になります。ビジネス継続性および災害復旧と
いう点では、通常、これが最も複雑でなく、コストのかからないモデルになります。
•
事業保険のコストを節約できる可能性があります。
リモートモデルには、以下の欠点があります。
•
ローカルまたはキャンパスモデルより、管理が複雑です。
•
仮想 IP アドレスをシステムの単一管理アドレスとして使用することを許可しないでくださ
い。その場合は、多くのデバイス設定が必要となります（「関連項目」の「仮想 IP アドレッシン
グを使用できない場合の対処」参照）。
•
通常、他の 2 つのモデルよりも提供される帯域幅が低く、遅延が大きくなります。これは HA
の信頼性に影響を与える可能性があり、是正するには管理者の介入が必要になる場合もあり
ます（「関連項目」の「HA のネットワークスループットに関する制限事項」参照）。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-10
第9章
ハイアベイラビリティの設定
HA の導入計画
関連項目
•
HA の導入計画
•
HA のネットワークスループットに関する制限事項
•
ローカルモデルの使用
•
キャンパスモデルの使用
•
仮想 IP アドレッシングを使用できない場合の対処
仮想 IP アドレッシングを使用できない場合の対処
選択する導入モデルによっては、仮想 IP アドレスを設定しないでおくと、プライマリサーバか
らセカンダリサーバへのフェールオーバーが発生した場合に syslog と SNMP 通知がセカンダ
リサーバに転送されるようにするために、管理者が追加の作業を行わなければならない状況に
なることがあります。一般的な方法は、両方のサーバにすべての syslog とトラップを転送するよ
うにデバイスを設定することです。このためには通常、転送先をプライマリサーバとセカンダリ
サーバの両方を含む特定のサブネットまたは IP アドレス範囲に設定します。
この設定作業は、HA のセットアップ時、つまりセカンダリサーバのインストール後から HA の
登録までの間に同時に行う必要があります。これはフェールオーバーが発生する前に完了して
おく必要があります。これにより、データが失われる可能性を解消または削減できます。仮想 IP
アドレスを使用しない場合、セカンダリサーバのインストール手順は変更されません。ただし通
常どおり、個別の IP アドレスを使用してプライマリサーバとセカンダリサーバをプロビジョニ
ングする必要があります。
関連項目
•
HA の導入計画
•
HA のネットワークスループットに関する制限事項
•
キャンパスモデルの使用
•
リモートモデルの使用
自動フェールオーバーと手動フェールオーバーの違い
自動フェールオーバーを行うように HA を設定すると、ネットワーク管理者による HA の管理の
必要性が減少します。また、セカンダリサーバが自動的に起動されるため、フェールオーバーの
発生原因となった状況への対応に要する時間が削減されます。
ただし、ほとんどの場合は、システムで手動フェールオーバーを設定することが推奨されます。
この推奨に従うことで、断続的なネットワークの停止に伴い Prime Infrastructure がセカンダリ
サーバに頻繁にフェールオーバーすることがなくなります。この状況が発生する可能性が最も
高いのは、リモートモデルを使用して HA を導入する場合です。このモデルは、特に帯域幅と遅
延の急激な変化による影響を受けます（「関連項目」の「HA の導入計画」および「HA のネットワー
クスループットに関する制限事項」参照）。
フェールオーバータイプが [Automatic] に設定されている場合に、ネットワーク接続がダウンす
るか、またはプライマリサーバとセカンダリサーバ間のネットワークリンクが到達不能になる
と、プライマリサーバとセカンダリサーバの両方が同時にアクティブになる可能性がわずかな
がらあります。これは「スプリットブレーン状況」と呼ばれます。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-11
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
この状況を防ぐため、プライマリサーバはセカンダリサーバがアクティブかどうかを常に確認
します。ネットワーク接続またはリンクが復元され、プライマリサーバからセカンダリサーバ
に再び到達可能になると、プライマリサーバはセカンダリサーバの状態を確認します。セカン
ダリサーバの状態がアクティブな場合、プライマリサーバは自らダウンします。続いてユーザ
がプライマリサーバへの標準の手動フェールバックを実行できます。
この状況が発生するのは、プライマリ HA サーバで自動フェールオーバーが設定されている場合
だけであることに注意してください。プライマリサーバで手動フェールオーバーを設定するこ
とで、この状況が発生する可能性が排除されます。これが、手動フェールオーバー設定を推奨す
るもう 1 つの理由です。
大企業では特に、自動フェールオーバーは不適切です。特定の HA 導入環境で自動フェールオー
バーを実行することになった場合、管理者はプライマリサーバまたはセカンダリサーバに新規
に追加されたデータのいずれかを選択しなければならないことがあります。つまり、スプリット
ブレーンの状況が発生するたびにデータが失われる可能性があります。この問題に対処するに
は、「関連項目」の「スプリットブレーン状況からの回復」を参照してください。
HA が適切に管理されるために、Prime Infrastructure 管理者に推奨されるのは、フェールオーバー
またはフェールバックを開始する前に、常に以下を含む HA 導入の全体的な状態を確認すること
です。
•
プライマリサーバの現在の状態。
•
セカンダリサーバの現在の状態。
•
2 台のサーバ間の現在の接続状態。
関連項目
•
HA の導入計画
•
HA のネットワークスループットに関する制限事項
•
フェールバックのトリガー
•
スプリットブレーン状況からの回復
ハイアベイラビリティのセットアップ
HA 機能を Prime Infrastructure で使用するには、以下の作業を行う必要があります。
1.
セカンダリサーバとして実行する 2 つ目の Prime Infrastructure サーバをインストールし
ます。
2.
プライマリサーバでハイアベイラビリティモードを設定します。
関連項目
•
ハイアベイラビリティの仕組み
•
HA の導入計画
•
ハイアベイラビリティをセットアップする前に
•
セカンダリサーバのインストール
•
プライマリサーバでのハイアベイラビリティの登録
•
HA 登録中の動作
•
ハイアベイラビリティサーバペアに対するパッチの適用
•
新しいハイアベイラビリティサーバに対するパッチの適用
Cisco Prime Infrastructure 3.0 管理者ガイド
9-12
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
•
Health Monitor Web ページへのアクセス
•
ハイアベイラビリティのモニタ
•
ハイアベイラビリティの参照情報
ハイアベイラビリティをセットアップする前に
セットアップの前に、以下のものが必要です。
•
Prime Infrastructure インストールソフトウェア。HA セカンダリサーバを作成するには、この
ソフトウェアを使用します。このソフトウェアのバージョンは、プライマリサーバにインス
トールされている Prime Infrastructure のバージョンと一致していなければなりません。プラ
イマリサーバソフトウェアの現在のバージョンを確認するには、CLI show version コマンド
を使用します。
•
プライマリサーバにパッチが適用されている場合は、セカンダリサーバにも同じレベルの
パッチを適用する必要があります。[Administration] > [Licenses and Software Updates] >
[Software Update] を選択すると、プライマリサーバに適用されているパッチの一覧が表示さ
れます。ハイアベイラビリティのセットアップ後に「ハイアベイラビリティサーバペアに
対するパッチの適用」の手順に従い、セカンダリサーバにプライマリサーバと同じレベルの
パッチを適用します。
•
プライマリサーバの要件を満たすか、それを上回るハードウェアおよびソフトウェア仕様
を備えたセカンダリサーバ。たとえば、プライマリサーバが標準Prime Infrastructureサイズ
の OVA としてインストールされている場合、セカンダリサーバも標準サーバとしてインス
トールする必要があります。この場合、セカンダリサーバは、『Cisco Prime Infrastructure
Quick Start Guide』（「関連項目」参照）に記載されている標準サイズのサーバのすべての要件
を満たすか、それを上回っていなければなりません。
•
セカンダリサーバの IP アドレスまたはホスト名。プライマリサーバで HA を設定する際に
必要になります。仮想 IP 機能の使用を予定している場合（「仮想 IP アドレッシング」参照）
は、セカンダリサーバがプライマリサーバと同じサブネット上にある必要があることに注
意してください。
•
両方のサーバの仮想 IP として使用する仮想 IPv4 および IPv6 （使用する場合） IP アドレス。
これは仮想 IP 機能を使用する場合にのみ必要です。
•
任意の長さの認証キー。小文字の英字、大文字の英字、数字、および特殊文字のうち、少なくと
も 3 種類の文字が含まれている必要があります。セカンダリサーバをインストールすると
きに、この認証キーを入力します。HA の実装では、このキーを使用して、プライマリサーバ
とセカンダリサーバ間の通信を認証します。管理者は、プライマリサーバに HA を設定する
際や、HA 実装のモニタおよび問題のトラブルシューティングを行うためにセカンダリサー
バの Health Monitor ページにログオンする際にも、このキーを使用します。
•
プライマリサーバに対して管理者特権を持つ Prime Infrastructure ユーザ ID。
•
HA 状態変更の通知先として設定できる、有効なメールアドレス。Prime Infrastructure は、HA
登録、障害、フェールオーバーおよびフェールバックが発生すると、状態変更を通知する電子
メールを送信します。
•
2 台のサーバ間のリンクでの遅延を最小限にする、1 Gbps 以上のネットワーク帯域幅。少な
くともこのリンク品質を提供できなければ、データレプリケーションの妨げとなり、HA 障
害が発生する可能性があります。「HA のネットワークスループットに関する制限事項」を参
照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-13
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
•
プライマリサーバとセカンダリサーバの間にファイアウォールを設定する場合は、ファイ
アウォールが以下のポートで着信および発信 TCP/UDP を許可するようにしてください。
– 8082：Health Monitor プロセスでハートビートメッセージを交換するために使用する
ポート
– 1522：Oracle がデータを同期にするために使用するポート
•
Prime Infrastructure の HA 実装とともにオペレーションセンターを使用する予定がある場
合：HA 対応の Prime Infrastructure サーバのすべて（プライマリとセカンダリの両方）がホス
ト名を完全に解決していることを確認してください。
関連項目
•
ハイアベイラビリティのセットアップ
•
ハイアベイラビリティサーバペアに対するパッチの適用
•
Cisco Prime Infrastructure Quick Start Guide
•
仮想 IP アドレッシング
•
HA のネットワークスループットに関する制限事項
セカンダリサーバのインストール
プライマリサーバにパッチが適用されている場合は、セカンダリサーバのインストール後、プ
ライマリサーバで HA を登録する前に、同じパッチをセカンダリサーバにも必ず適用してくだ
さい。
手順を開始する前に、必ず認証キーを決定しておいてください（「関連項目」の「ハイアベイラビ
リティをセットアップする前に」参照）。
ステップ 1
プライマリサーバの場合と同じように、セカンダリサーバへの Prime Infrastructure サーバソフ
トウェアのインストールを開始します。サーバのインストール手順については、『Cisco Prime
Infrastructure Quick Start Guide』を参照してください。
ステップ 2
インストール中に、以下のプロンプトが出されます。
Will this server be used as a secondary for HA? (yes/no)
プロンプトで yes と入力します。
ステップ 3
次に、以下のように HA 認証キーの入力を求めるプロンプトが出されます。
Enter Authentication Key:
プロンプトで認証キーを入力します。確認プロンプトでパスワードを再入力します。
ステップ 4
セカンダリサーバのインストールが完了したら、以下の作業を行います。
a.
両方のサーバで CLI show version コマンドを使用して、バージョンおよびパッチレベルが同
じであることを確認します（「関連項目」の「Prime Infrastructure のバージョンおよびパッチ
ステータスの確認」参照）。
b.
ncs status コマンドを実行して、すべてのプロセスが起動され、セカンダリサーバで実行中で
あることを確認します（「関連項目」の「Prime Infrastructure サーバステータスの確認」参照）。
c.
プライマリサーバで HA を登録します（「関連項目」の「プライマリサーバでのハイアベイラ
ビリティの登録」参照）。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-14
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
関連項目
•
ハイアベイラビリティのセットアップ
•
ハイアベイラビリティをセットアップする前に
•
Cisco Prime Infrastructure Quick Start Guide
•
Prime Infrastructure バージョンおよびパッチステータスの確認
•
Prime Infrastructure サーバステータスの確認
•
プライマリサーバでのハイアベイラビリティの登録
プライマリサーバでのハイアベイラビリティの登録
HA は、必ずプライマリサーバで登録します。プライマリサーバが HA コンフィギュレーション
に参加するために、サーバのインストール中に必要となる設定はありません。プライマリサーバ
に必要な設定は、セカンダリサーバの IP アドレスまたはホスト名と、セカンダリサーバのイン
ストール時に設定した認証キー、通知先のメールアドレス、フェールオーバーのタイプのみで
す。HA を再登録する場合にも、以下と同じ手順に従うことに注意してください。
ステップ 1
管理者特権を持つユーザー ID とパスワードを使用して Prime Infrastructure にログインします。
ステップ 2
メニューから、[Administration] > [Settings] > [High Availability] の順に選択します。Prime
Infrastructure に HA ステータスのページが表示されます。
ステップ 3
[HA Configuration] を選択し、次のフィールドに入力します。
ステップ 4
•
[Secondary Server]：セカンダリサーバの IP アドレスまたはホスト名を入力します。
•
[Authentication Key]：セカンダリサーバのインストール中に設定したパスワードを認証キー
として入力します。
•
[Email Address]：HA の状態変更に関する通知の送信先アドレス（またはコンマで区切ったア
ドレスのリスト）を入力します。[Mail Server Configuration] ページで電子メールでの通知を
すでに設定している場合（「電子メール設定」参照）、ここに入力するメールアドレスは、メー
ルサーバですでに設定されているアドレスのリストに追加されます。
•
[Failover Type]：[Manual] または [Automatic] を選択します。[Manual] を選択することが推奨
されます。
仮想 IP 機能を使用する場合（「仮想 IP アドレッシング」参照）：[Enable Virtual IP] チェックボック
スをオンにし、追加フィールドに次のように入力します。
•
[IPV4 Virtual IP]：両方の HA サーバに使用する仮想 IPv4 アドレスを入力します。
•
[IPV6 Virtual IP]：（オプション）両方の HA サーバに使用する仮想 IPv6 アドレスを入力し
ます。
両方のサーバが同一サブネット上にない場合は、仮想 IP アドレッシングは機能しないことに注
意してください。
ステップ 5
[Save] をクリックして変更を保存します。Prime Infrastructure により、HA 登録プロセスが開始
されます。登録が正常に完了すると、[Configuration Mode] に、[HA Enabled] という値が表示され
ます。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-15
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
関連項目
•
ハイアベイラビリティのセットアップ
•
ハイアベイラビリティをセットアップする前に
•
ハイアベイラビリティの参照情報
•
電子メールの設定
•
自動フェールオーバーと手動フェールオーバーの違い
•
仮想 IP アドレッシング
ハイアベイラビリティステータスの確認
Prime Infrastructure サーバ上で有効になっているハイアベイラビリティのステータスを確認で
きます。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（「CLI 経由の接続」参照）。
ステップ 2
次のコマンドを入力して、Prime Infrastructure HA プロセスの現在のステータスを表示します。
PIServer/admin#
ncs ha status
関連項目
•
ハイアベイラビリティのセットアップ
•
CLI 経由の接続
HA 登録中の動作
[HA Configuration] ページで設定情報の入力を完了して [Save] をクリックすると、プライマリお
よびセカンダリ HA サーバが互いを登録し、プライマリサーバからセカンダリサーバにすべて
のデータベースおよび構成データをコピーするプロセスが開始されます。
コピーが完了するまでの時間は、複製するデータベースおよび構成データの量と、2 台のサーバ
間のネットワークリンクで使用可能な帯域幅によって異なります。データの量が多かったり、リ
ンクの速度が遅かったりすると、レプリケーションにもそれだけ時間がかかります。比較的新し
いサーバ（数日しか稼動していないサーバ）の場合、デバイス数が 100 で、リンク速度が 1 Gbps だ
とすると、コピーには約 25 分かかります。
HA の登録中に、プライマリサーバとセカンダリサーバの状態は以下のように遷移します。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：HA not Configured
元の状態：HA not Configured
次の状態：HA Initializing
次の状態：HA Initializing
次の状態：Primary Active
次の状態：Secondary Syncing
Cisco Prime Infrastructure 3.0 管理者ガイド
9-16
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
これらの状態変更は、プライマリサーバの [HA Status] ページまたは 2 台のサーバのいずれかの
Health Monitor Web ページで確認できます。[HA Status] ページを使用している場合は、[Refresh]
をクリックすると、進行状況が表示されます。データが完全に同期すると、次の図に示すように、
[HA Status] ページが更新され、現在の状態として [Primary Active] が表示されます。
図 9-3
[HA Status] ページ：Primary Active
登録が開始された後、プライマリサーバでデータベースプロセスが再開されるまでに、多少の
時間がかかります（通常は 5 分未満）。この期間中、データベースはオフラインになります。デー
タベースサーバが再起動されると、Prime Infrastructure により、プライマリおよびセカンダリ HA
サーバ間の同期が開始されます。同期によってユーザアクティビティに影響が及ぶことはあり
ませんが、同期が完了するまでは、ユーザがシステム応答速度が低下したと感じる場合がありま
す。同期の所要時間は、データベースの合計サイズによって決まります。同期は、RMAN および
Data Guard Broker のプロセスによって Oracle データベースレベルで処理されます。同期中、ユー
ザまたはシステム関連のアクティビティの実行への影響はありません。
登録時に、Prime Infrastructure はセカンダリサーバに完全なデータベースを複製します。セカン
ダリサーバ上のすべてのプロセスが実行されますが、サーバ自体はパッシブモードになりま
す。セカンダリサーバが「Secondary Syncing」状態のときに、Prime Infrastructure の CLI コマンド
ncs status をセカンダリサーバ上で実行すると、コマンド出力にはすべてのプロセスが実行中と
して表示されます。
関連項目
•
ハイアベイラビリティの仕組み
•
HA の導入計画
•
ハイアベイラビリティのセットアップ
Cisco Prime Infrastructure 3.0 管理者ガイド
9-17
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
ハイアベイラビリティサーバペアに対するパッチの適用
現在の Prime Infrastructure 実装に含まれているハイアベイラビリティサーバのパッチレベルが
同一ではない場合、または両方の HA サーバに適用する必要がある新しいパッチがある場合は、
次の手順を実行します。
パッチのインストールは、[Primary Active] 状態のプライマリサーバ、および [Secondary Syncing]
状態のセカンダリサーバで開始する必要があります。
プライマリ HA サーバとセカンダリ HA サーバにパッチを適用するには、約 1 時間かかります。
ステップ 1
HA 実装が有効になっていて、更新できる状態であることを確認します。
a.
管理者特権を持つ ID を使用して、プライマリサーバにログインします。
b.
[Administration] > [Settings] > [High Availability] を選択します。[HA Status] ページに表示され
るプライマリサーバの状態が [Primary Active] になっているはずです。
c.
[HA Configuration] を選択します。現在の [Configuration Mode] が、[HA Enabled] になりま
す。パッチのインストール中にフェールオーバータイプを [manual] に設定することを推奨
します。
d.
ブラウザで以下の URL にアクセスして、セカンダリサーバの Health Monitor（HM）Web ペー
ジを表示します。
https://ServerIP:8082
ここで、ServerIP はセカンダリサーバの IP アドレスまたはホスト名です。
ステップ 2
e.
HA を有効にしたときに入力した認証キーの入力を求めるプロンプトが出されます。パス
ワードを入力してから、[Login] をクリックします。
f.
HM Web ページに表示されるセカンダリサーバの状態が [Secondary Syncing] となっている
ことを確認します。
UBF パッチをダウンロードして、プライマリサーバにインストールします。
a.
ブラウザで Cisco Prime Infrastructure 用ソフトウェアパッチのリストにアクセスします（「関
連項目」参照）。
b.
インストールする必要があるパッチファイル（UBF ファイル拡張子で終わるファイル）に対
応する [Download] ボタンをクリックし、そのファイルをローカルに保存します。
c.
管理者特権を持つ ID を使用してプライマリサーバにログインし、[Administration] >
[Licenses and Software Updates] > [Software Update] を選択します。
d.
ページ上部の [upload] リンクをクリックし、パッチファイルの保存場所に移動します。
e.
UBF ファイルを選択し、[OK] をクリックしてファイルをアップロードします。
f.
アップロードが完了したら、[Software Upload] ページで、パッチファイルの名前、公開日と説
明が正しいことを確認します。
g.
パッチファイルを選択し、[Install] をクリックします。インストールが完了すると、インス
トールの完了を確認するメッセージが表示されます。
h.
プライマリサーバでのインストールが完了したら、[Software Update] ページの [Status of
Updates] 表で、このパッチのステータスが [Installed] または [Installed [Requires Restart]] と表
示されていることを確認します。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-18
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
ステップ 3
セカンダリサーバに同じパッチをインストールします。
a.
セカンダリサーバの HM Web ページにアクセスし、必要に応じてログインします。
b.
HM Web ページの [Software Update] リンクをクリックします。再び、認証キーの入力を求め
るプロンプトが出されます。パスワードを入力し、[Login] を再びクリックします。
c.
[Upload Update File] をクリックし、パッチファイルを保存した場所を参照します。
d.
UBF ファイルを選択し、[OK] をクリックしてファイルをアップロードします。
e.
アップロードが完了したら、[Software Upload] ページで、パッチファイルの名前、公開日と説
明が正しいことを確認します。
f.
パッチファイルを選択し、[Install] をクリックします。インストールが完了すると、インス
トールの完了を確認するメッセージが表示されます。
g.
セカンダリサーバでのインストールが完了したら、[Software Update] ページの [Status of
Updates] 表で、このパッチのステータスが [Installed] または [Installed [Requires failover]] と表
示されていることを確認します。
ステップ 4
ncs stop コマンドを使用してプライマリサーバを停止します（「Prime Infrastructure の停止」参照）。
ステップ 5
セカンダリサーバの HM Web ページを使用して、セカンダリサーバにフェールオーバーします。
a.
セカンダリサーバの HM Web ページにアクセスし、必要に応じてログインします。
b.
[Failover] をクリックして、プライマリサーバからセカンダリサーバへのフェールオーバー
を開始します。動作が完了するまで 2 ～ 3 分かかります。
c.
続行する前に：HM Web ページに表示されるセカンダリサーバの状態が [Secondary Active]
となっていることを確認します。
現在のフェールオーバータイプが [Automatic] に設定されている場合は、このすべてが自動的に
実行されます。
ステップ 6
ステップ 7
プライマリサーバを再起動します。
a.
ncs start コマンドを実行（「Prime Infrastructure の起動」参照）して、プライマリサーバを起動
します。プライマリサーバでプロセスが再開するまで待ちます。
b.
ncs status コマンドを実行（「Prime Infrastructure サーバステータスの確認」参照）して、プライ
マリサーバのプロセスが再開したことを確認します。
c.
続行する前に：プライマリサーバの HM Web ページにアクセスし、表示されたプライマリ
サーバの状態が「Primary Synching」であることを確認します。
セカンダリサーバの HM Web ページを使用して、プライマリサーバにフェールバックします。
a.
セカンダリサーバの HM Web ページにアクセスし、必要に応じてログインします。
b.
[Failback] をクリックして、セカンダリサーバからプライマリサーバへのフェールバックを
開始します。動作が完了するまで 2 ～ 3 分かかります。フェールバックが完了するとすぐに、
セカンダリサーバは自動的にスタンバイモードで再起動します。再起動が完了するまでに
最大 15 分間かかります。そして、プライマリサーバと同期されます。
再起動の確認は、セカンダリサーバの HM Web ページにログインし、[Prime Infrastructure
stopped successfully]、および [Prime Infrastructure started successfully] というメッセージを探
すことで行えます。
c.
続行する前に：プライマリサーバとセカンダリサーバの両方で ncs ha status コマンドを実
行します。プライマリサーバの状態が「Primary Active」に変わり、セカンダリサーバの状態が
「Secondary Synching」であることを確認します。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-19
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
ステップ 8
フェールバックが完了したら、以下のようにしてパッチインストールを確認します。
a.
上記のステップ 2 と同じ方法でプライマリサーバにログインし、[Software Update] ページに
アクセスします。[Status of Updates] > [Update] タブの [Status] 列に、パッチのステータスが
[Installed] と表示されている必要があります。
b.
上記のステップ 3 と同じ方法でセカンダリサーバの [Software Update] ページにアクセスし
ます。[Status of Updates] > [Updates] タブの [Status] 列に、パッチのステータスが [Installed] と
表示されている必要があります。
関連項目
•
ハイアベイラビリティのセットアップ
•
software patches listing for Cisco Prime Infrastructure
•
Prime Infrastructure の停止
•
Prime Infrastructure の起動
•
Prime Infrastructure サーバステータスの確認
•
ハイアベイラビリティステータスの確認
新しいハイアベイラビリティサーバに対するパッチの適用
新しい Prime Infrastructure ハイアベイラビリティ（HA）実装をセットアップするが、新しいサー
バが同一パッチレベルではない場合には、次の手順に従って両方のサーバにパッチをインス
トールし、同じパッチレベルにします。
ステップ 1
パッチをダウンロードして、プライマリサーバにインストールします。
a.
ブラウザで Cisco Prime Infrastructure 用ソフトウェアパッチのリストにアクセスします（「関
連項目」参照）。
b.
インストールする必要があるパッチファイル（UBF ファイル拡張子で終わるファイル）に対
応する [Download] ボタンをクリックし、そのファイルをローカルに保存します。
c.
管理者特権を持つ ID を使用してプライマリサーバにログインし、[Administration] >
[Licenses and Software Updates] > [Software Update] を選択します。
d.
ページ上部の [upload] リンクをクリックし、パッチファイルの保存場所に移動します。
e.
UBF ファイルを選択し、[OK] をクリックしてファイルをアップロードします。
f.
アップロードが完了したら、[Software Upload] ページで、パッチファイルの名前、公開日と説
明が正しいことを確認します。
g.
パッチファイルを選択し、[Install] をクリックします。インストールが完了すると、インス
トールの完了を確認するメッセージが表示されます。
h.
プライマリサーバでのインストールが完了したら、[Software Update] ページの [Status of
Updates] 表で、このパッチのステータスが [Installed] または [Installed [Requires Restart]] と表
示されていることを確認します。
i.
次の作業に進む前に、次の手順に従ってプライマリサーバを再起動します。
– ncs stop コマンドと ncs start コマンドを使用して、サーバを再起動します。
– ncs status コマンドを使用して、プライマリサーバの Health Monitor とその他のプロセス
が再開されたことを確認します。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-20
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのセットアップ
ステップ 2
セカンダリサーバに同じパッチをインストールします。
a.
ブラウザで以下の URL にアクセスして、セカンダリサーバの Health Monitor（HM）Web ペー
ジを表示します。
https://ServerIP:8082
ここで、ServerIP はセカンダリサーバの IP アドレスまたはホスト名です。
b.
セカンダリサーバの認証キーの入力を求めるプロンプトが出されます。パスワードを入力
してから、[Login] をクリックします。
c.
HM Web ページの [Software Update] リンクをクリックします。再び、認証キーの入力を求め
るプロンプトが出されます。パスワードを入力し、[Login] を再びクリックします。
d.
[Upload Update File] をクリックし、パッチファイルを保存した場所を参照します。
e.
UBF ファイルを選択し、[OK] をクリックしてファイルをアップロードします。
f.
アップロードが完了したら、[Software Upload] ページで、パッチファイルの名前、公開日と説
明が正しいことを確認します。
g.
パッチファイルを選択し、[Install] をクリックします。インストールが完了すると、インス
トールの完了を確認するメッセージが表示されます。
h.
セカンダリサーバでのインストールが完了したら、[Software Update] ページの [Status of
Updates] 表で、このパッチのステータスが [Installed] または [Installed [Requires failover]] と表
示されていることを確認します。
i.
次の作業に進む前に、次の手順に従ってセカンダリサーバを再起動します。
– ncs stop コマンドと ncs start コマンドを使用して、サーバを再起動します。
– ncs status コマンドを使用して、セカンダリサーバの Health Monitor とその他のプロセス
が再開されたことを確認します。
ステップ 3
ステップ 4
両方のサーバのパッチステータスが同一であることを次のように確認します。
a.
上記のステップ 1 と同じ方法でプライマリサーバにログインし、[Software Update] ページに
アクセスします。インストールしたパッチの [Status] 列に、[Installed [Requires Restart]] では
なく [Installed] が表示されます。
b.
上記のステップ 2 と同じ方法でセカンダリサーバの Health Monitor Web ページにアクセス
します。インストールしたパッチの [Status] 列に、[Installed [Requires Failover]] ではなく
[Installed] が表示されます。
サーバを登録します。
関連項目
•
ハイアベイラビリティのセットアップ
•
software patches listing for Cisco Prime Infrastructure
•
Prime Infrastructure の再起動
•
Prime Infrastructure サーバステータスの確認
•
プライマリサーバでのハイアベイラビリティの登録
Cisco Prime Infrastructure 3.0 管理者ガイド
9-21
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
ハイアベイラビリティのモニタ
HA を設定し、それをプライマリサーバ上で登録した後、HA とのやり取りでは、ほとんどの場
合、サーバの Health Monitor Web ページにアクセスし、フェールオーバーまたはフェールバック
をトリガーして電子メールでの通知に応答することになります。ここでは、これらのプロセスお
よび複雑な応答を必要とする特別な状況について説明します。
関連項目
•
Health Monitor Web ページへのアクセス
•
フェールオーバーのトリガー
•
フェールバックのトリガー
•
その他の HA イベントに対する応答
Health Monitor Web ページへのアクセス
プライマリサーバとセカンダリサーバの Health Monitor Web ページにアクセスするには、ブラ
ウザで次の URL を開きます。
https://Server:8082
ここで、Server は、Health Monitor Web ページを表示する対象のプライマリサーバまたはセカン
ダリサーバの IP アドレスまたはホスト名です。
現在アクティブなサーバの Health Monitor Web ページにアクセスするには、Prime Infrastructure
にログインして [Administration] > [Settings] > [High Availability] を選択し、[HA Status] ページ右
上の [Launch Health Monitor] リンクをクリックします。
関連項目
•
ハイアベイラビリティのモニタ
フェールオーバーのトリガー
フェールオーバーとは、プライマリサーバで検出された障害への対応として、セカンダリサー
バをアクティブ化するプロセスのことです。
Health Monitor（HM）は、2 台のサーバ間で交換されるハートビートメッセージを使用して障害状
態を検出します。プライマリサーバがセカンダリサーバから送信されるハートビートメッセー
ジに 3 回連続して応答しない場合、プライマリサーバに障害が発生したと見なされます。ヘルス
チェック中に、HM はアプリケーションプロセスのステータスおよびデータベースのヘルスも
チェックします。これらのチェックに対して適切な応答がない場合は、アプリケーションプロセ
スやデータベースも障害が発生しているとして処理されます。
HA システムがプライマリサーバでのプロセス障害を検出してフェールオーバーを開始するま
でには、約 10 秒から 15 秒かかります。ネットワークの問題によってセカンダリサーバがプライ
マリサーバに接続できない場合は、フェールオーバーを開始するまでに、さらに長い時間がかか
ることがあります。また、セカンダリサーバでのアプリケーションプロセスが完全に機能する
ようになるまでにも時間がかかることがあります。
HM は障害を検知するとすぐに、電子メールでの通知を送信します。この E メールには、障害ス
テータスに加え、セカンダリサーバの Health Monitor Web ページへのリンクも記載されます。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-22
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
HA が自動フェールオーバーを行うよう設定されている場合は、セカンダリサーバが自動的にア
クティブ化されるため、ユーザーが実行しなければならないアクションはありません。
HA が手動フェールオーバー用に設定されている場合は、以下の手順に従ってフェールオーバー
をトリガーする必要があります。
ステップ 1
電子メールでの通知に記載されている Web リンクを使用するか、または「Health Monitor Web
ページへのアクセス」の手順に従って、セカンダリサーバの Health Monitor Web ページにアクセ
スします。
ステップ 2
[Failover] ボタンをクリックしてフェールオーバーをトリガーします。
関連項目
•
ハイアベイラビリティの仕組み
•
ハイアベイラビリティのモニタ
•
プライマリサーバでのハイアベイラビリティの登録
•
Health Monitor Web ページへのアクセス
フェールバックのトリガー
フェールバックとは、オンライン状態に戻ったプライマリサーバをアクティブ化するプロセス
のことです。また、このプロセスでは、アクティブステータスをセカンダリサーバからプライマ
リサーバに移して、セカンダリサーバでのアクティブなネットワークモニタリングプロセスを
停止します。
フェールバック中は、プロセスがセカンダリサーバ上で再開される期間を除き、セカンダリ
サーバを使用できます。両方のサーバの Health Monitor Web ページにアクセスして、フェール
バックの進行状態をモニタすることができます。さらに、ユーザはセカンダリサーバに接続し
て、通常のすべての機能を使用することもできます。ただし、その場合は以下の注意事項があり
ます。
•
フェールバックの進行中は、設定またはプロビジョニングのアクティビティを開始しないで
ください。
•
フェールバックが正常に完了すると、セカンダリサーバがパッシブ（「Secondary Syncing」）
モードに移行して、制御がプライマリサーバに切り替わることに注意してください。このプ
ロセス中は、しばらくの間、ユーザが Prime Infrastructure にアクセスできなくなります。
フェールバックは常に、手動でトリガーする必要があります。それには、以下の手順に従います。
ステップ 1
電子メールでの通知に記載されているリンクを使用するか、または「Health Monitor Web ページ
へのアクセス」の手順に従って、セカンダリサーバの Health Monitor Web ページにアクセスし
ます。
ステップ 2
[Failback] ボタンをクリックしてフェールバックをトリガーします。
セカンダリサーバは、フェールバック後に自動的にスタンバイモードで再起動され、自動的に
プライマリサーバと同期されます。プライマリサーバが Prime Infrastructure サーバとして利用
可能になります。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-23
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
関連項目
•
ハイアベイラビリティの仕組み
•
ハイアベイラビリティのモニタ
•
Health Monitor Web ページへのアクセス
その他の HA イベントに対する応答
HA 関連のすべてのイベントは、[HA Status] ページ、Health Monitor Web ページ、および Prime
Infrastructure の [Alarms and Events] ページに表示されます。ほとんどのイベントには、オペレー
タの応答は不要ですが、フェールオーバーおよびフェールバックのトリガーは例外です。「関連
項目」で説明するように、複雑なイベントもいくつかあります。
関連項目
•
HA 登録が失敗した場合
•
ネットワークがダウンしている場合（自動フェールオーバー）
•
ネットワークがダウンしている場合（手動フェールオーバー）
•
プロセスを再開できない場合（手動フェールオーバー）
•
プロセスを再開できない場合（手動フェールオーバー）
•
同期中にプライマリサーバが再起動した場合（手動フェールオーバー）
•
同期中にセカンダリサーバが再起動した場合
•
HA サーバが両方ともダウンしている場合
•
HA サーバが両方ともダウンし、セカンダリサーバが再起動しない場合
•
プライマリサーバの交換
•
スプリットブレーン状況からの回復
HA 登録が失敗した場合
HA 登録が失敗すると、サーバごとの HA 状態が、（「HA 登録中の動作」で説明したように変更さ
れるのではなく）以下のように遷移します。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：HA Initializing
元の状態：HA Initializing
次の状態：HA not Configured 次の状態：HA not Configured
HA 登録の失敗から回復するには、次の手順に従います。
ステップ 1
ping または他のツールを使用して、2 台の Prime Infrastructure サーバ間のネットワーク接続を確
認します。プライマリサーバからセカンダリサーバに接続できること、その逆も可能であるこ
とを確認します。
ステップ 2
ゲートウェイ、サブネットマスク、仮想 IP アドレス（設定されている場合）、サーバのホスト名、
DNS、NTP 設定がすべて正しいことを確認します。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-24
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
ステップ 3
設定された DNS および NTP サーバにプライマリサーバとセカンダリサーバから接続可能であ
ること、そして DNS および NTP サーバの両方が遅延や他のネットワーク固有の問題を伴うこと
なく応答していることを確認します。
ステップ 4
すべての Prime Infrastructure ライセンスが正しく設定されていることを確認します。
ステップ 5
接続または設定の問題を解決したら、「プライマリサーバでのハイアベイラビリティの登録」の
手順を試行します。
関連項目
•
その他の HA イベントに対する応答
•
HA 登録中の動作
•
プライマリサーバでのハイアベイラビリティの登録
ネットワークがダウンしている場合（自動フェールオーバー）
フェールオーバータイプが [Automatic] に設定されている場合、2 台の Prime Infrastructure サー
バ間のネットワーク接続が失われると、それぞれのサーバの HA 状態が以下のように遷移します。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Active
元の状態：Secondary Syncing
次の状態：Primary Lost Secondary
次の状態：Secondary Lost Primary
次の状態：Primary Lost Secondary
次の状態：Secondary Failover
次の状態：Primary Lost Secondary
次の状態：Secondary Active
セカンダリサーバがアクティブであることを示す電子メール通知を受信します。
ステップ 1
2 台のサーバ間のネットワーク接続を確認し、復元します。ネットワーク接続が復旧し、セカンダ
リサーバがアクティブなことをプライマリサーバが検出できるようになったら、プライマリ
サーバ上のすべてのサービスが自動的に再開し、パッシブ状態になります。以下の状態遷移が行
われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Lost Secondary
元の状態：Secondary Active
次の状態：Primary Failover
次の状態：Secondary Active
次の状態：Primary Syncing
次の状態：Secondary Active
Cisco Prime Infrastructure 3.0 管理者ガイド
9-25
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
ステップ 2
セカンダリサーバからプライマリサーバへのフェールバックをトリガーします。以下の状態遷
移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Syncing
元の状態：Secondary Active
次の状態：Primary Failback
次の状態：Secondary Failback
次の状態：Primary Failback
次の状態：Secondary Post Failback
次の状態：Primary Active
次の状態：Secondary Syncing
関連項目
•
その他の HA イベントに対する応答
•
フェールバックのトリガー
ネットワークがダウンしている場合（手動フェールオーバー）
フェールオーバータイプが [Manual] に設定されている場合、2 台の Prime Infrastructure サーバ間
のネットワーク接続が失われると、それぞれのサーバの HA 状態が以下のように遷移します。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Active
元の状態：Secondary Syncing
次の状態：Primary Lost Secondary
次の状態：Secondary Lost Primary
各サーバがもう一方のサーバを失ったことを通知する電子メールを受信します。
ステップ 1
2 台のサーバ間のネットワーク接続を確認し、必要に応じて復元します。
ネットワーク接続が復元されると、次ように状態が遷移します。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Lost Secondary
元の状態：Secondary Lost Primary
次の状態：Primary Active
次の状態：Secondary Syncing
管理者による応答は不要です。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-26
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
ステップ 2
何らかの理由でネットワーク接続を復元できない場合は、セカンダリサーバの HM Web ページ
を使用して、プライマリサーバからセカンダリサーバへのフェールオーバーをトリガーしま
す。以下の状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Lost Secondary
元の状態：Secondary Lost Primary
次の状態：Primary Lost Secondary
次の状態：Secondary Failover
次の状態：Primary Failover
次の状態：Secondary Active
セカンダリサーバがアクティブになったことを通知する電子メールを受信します。
ステップ 3
ステップ 4
2 台のサーバ間のネットワーク接続を確認し、復元します。ネットワーク接続が復旧し、セカンダ
リサーバがアクティブなことをプライマリサーバが検出したら、プライマリサーバ上のすべて
のサービスが自動的に再開し、パッシブ状態になります。以下の状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Lost Secondary
元の状態：Secondary Active
次の状態：Primary Failover
次の状態：Secondary Active
次の状態：Primary Syncing
次の状態：Secondary Active
セカンダリサーバからプライマリサーバへのフェールバックをトリガーします。
以下の状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Syncing
元の状態：Secondary Active
次の状態：Primary Failback
次の状態：Secondary Failback
次の状態：Primary Failback
次の状態：Secondary Post Failback
次の状態：Primary Active
次の状態：Secondary Syncing
関連項目
•
その他の HA イベントに対する応答
•
フェールバックのトリガー
プロセスを再開できない場合（自動フェールオーバー）
Prime InfrastructureHealth Monitor プロセスは、失敗した Prime Infrastructure サーバプロセスの再
開を試行します。通常、そのような障害が発生した時点でのプライマリサーバとセカンダリ
サーバの状態は、[Primary Active] および [Secondary Syncing] となっているはずです。
HM がプライマリサーバで重要なプロセスを再開できない場合は、プライマリサーバは障害が
発生したものとみなされます。現在設定されているフェールオーバータイプが [automatic] の場
合、以下の状態遷移が行われます。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-27
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Active
元の状態：Secondary Syncing
次の状態：Primary Uncertain
次の状態：Secondary Lost Primary
次の状態：Primary Failover
次の状態：Secondary Failover
次の状態：Primary Failover
次の状態：Secondary Active
このプロセスが完了すると、セカンダリサーバがアクティブになったことを通知する電子メー
ルでの通知を受信します。
ステップ 1
ステップ 2
プライマリサーバを再起動し、稼働していることを確認します。プライマリサーバが再起動す
ると、その状態は [Primary Syncing] になります。以下の状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Failover
元の状態：Secondary Active
次の状態：Primary Preparing for
Failback
次の状態：Secondary Active
次の状態：Primary Syncing
次の状態：Secondary Active
セカンダリサーバからプライマリサーバへのフェールバックをトリガーします。以下の状態遷
移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Syncing
元の状態：Secondary Active
次の状態：Primary Failback
次の状態：Secondary Failback
次の状態：Primary Failback
次の状態：Secondary Post Failback
次の状態：Primary Active
次の状態：Secondary Syncing
関連項目
•
その他の HA イベントに対する応答
•
フェールバックのトリガー
プロセスを再開できない場合（手動フェールオーバー）
Prime InfrastructureHealth Monitor プロセスは、失敗した Prime Infrastructure サーバプロセスの
再開を試行します。通常、そのような障害が発生した時点でのプライマリサーバとセカンダリ
サーバの状態は、[Primary Active] および [Secondary Syncing] となっているはずです。HM がプラ
イマリサーバで重要なプロセスを再開できない場合は、プライマリサーバは障害が発生したも
のとみなされます。その場合、障害を通知する電子メールを受信します。現在設定されている
フェールオーバータイプが [Manual] の場合、以下の状態遷移が行われます。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-28
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
ステップ 1
ステップ 2
ステップ 3
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Active
元の状態：Secondary Syncing
次の状態：Primary Uncertain
次の状態：Secondary Lost Primary
セカンダリサーバで、プライマリサーバからセカンダリサーバへのフェールオーバーをトリ
ガーします。以下の状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Uncertain
元の状態：Secondary Syncing
次の状態：Primary Failover
次の状態：Secondary Failover
次の状態：Primary Failover
次の状態：Secondary Active
プライマリサーバを再起動し、稼働していることを確認します。プライマリサーバが再起動す
ると、プライマリサーバの HA 状態は [Primary Syncing] になります。以下の状態遷移が行われ
ます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Failover
元の状態：Secondary Active
次の状態：Primary Preparing for Failback
次の状態：Secondary Active
次の状態：Primary Syncing
次の状態：Secondary Active
セカンダリサーバからプライマリサーバへのフェールバックをトリガーします。以下の状態遷
移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Syncing
元の状態：Secondary Active
次の状態：Primary Failback
次の状態：Secondary Failback
次の状態：Primary Failback
次の状態：Secondary Post Failback
次の状態：Primary Active
次の状態：Secondary Syncing
関連項目
•
その他の HA イベントに対する応答
•
フェールオーバーのトリガー
•
フェールバックのトリガー
Cisco Prime Infrastructure 3.0 管理者ガイド
9-29
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
同期中にプライマリサーバが再起動した場合（手動フェールオーバー）
セカンダリサーバとの同期中にプライマリ Prime Infrastructure サーバが再起動された場合は、以
下の状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Active
元の状態：Secondary Syncing
次の状態：Primary Alone
次の状態：Secondary Lost Primary
次の状態：Primary Active
次の状態：Secondary Syncing
[Primary Alone] および [Primary Active] 状態への遷移は、プライマリサーバがオンライン状態に
戻った直後に行われます。管理者による応答は必要ありません。
関連項目
•
その他の HA イベントに対する応答
同期中にセカンダリサーバが再起動した場合
プライマリサーバとの同期中にセカンダリ Prime Infrastructure サーバが再起動された場合は、
以下の状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：Primary Active
元の状態：Secondary Syncing
次の状態：Primary Lost Secondary 元の状態：Secondary Lost Primary
次の状態：Primary Active
次の状態：Secondary Syncing
管理者による応答は必要ありません。
関連項目
•
その他の HA イベントに対する応答
HA サーバが両方ともダウンしている場合
プライマリサーバおよびセカンダリサーバが同時にダウンした場合、次の手順で説明するよう
に正しい順序で稼働中の状態に戻すことで復旧できます。
ステップ 1
セカンダリサーバと、セカンダリサーバ上で稼働する Prime Infrastructure インスタンスを再起
動します。何らかの理由でセカンダリサーバを再起動できなかった場合は、「関連項目」の「HA
サーバが両方ともダウンし、セカンダリサーバが再起動しない場合」を参照してください。
ステップ 2
セカンダリサーバで Prime Infrastructure が稼働中になったら、セカンダリサーバの Health
Monitor Web ページにアクセスします。セカンダリサーバの状態が [Secondary Lost Primary] に遷
移します。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-30
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
ステップ 3
プライマリサーバと、プライマリサーバ上で稼働する Prime Infrastructure のインスタンスを再
起動します。Prime Infrastructure がプライマリサーバ上で稼働している場合、プライマリサー
バは自動的にセカンダリサーバと同期します。これを確認するには、プライマリサーバの
Health Monitor Web ページにアクセスします。2 台のサーバで、以下の一連の HA 状態遷移が行
われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
次の状態：Primary Lost Secondary
次の状態：Secondary Lost Primary
次の状態：Primary Active
次の状態：Secondary Syncing
関連項目
•
HA サーバが両方ともダウンし、セカンダリサーバが再起動しない場合
•
Health Monitor Web ページへのアクセス
•
その他の HA イベントに対する応答
両方の HA サーバの電源がダウンしている場合
プライマリサーバおよびセカンダリサーバの電源が同時にダウンした場合、次の手順で説明す
るように正しい順序で稼働中の状態に戻すことで復旧できます。
ステップ 1
セカンダリサーバと、セカンダリサーバ上で稼働する Prime Infrastructure インスタンスの電源
をオンにします。
この時点では、プライマリに到達できないため、セカンダリ HA の再起動に失敗します。ただし、
セカンダリヘルスモニタプロセスは動作し、エラーが表示されます。
ステップ 2
セカンダリサーバで Prime Infrastructure が稼働中になったら、セカンダリサーバの Health
Monitor Web ページにアクセスします。セカンダリサーバの状態が [Secondary Lost Primary] に遷
移します。
ステップ 3
プライマリサーバと、プライマリサーバ上で稼働する Prime Infrastructure のインスタンスの電
源をオンにします。
ステップ 4
Prime Infrastructure がプライマリサーバ上で稼働している場合、プライマリサーバは自動的にセ
カンダリサーバと同期します。これを確認するには、プライマリサーバの Health Monitor Web
ページにアクセスします。2 台のサーバで、以下の一連の HA 状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
次の状態：Primary Lost Secondary 次の状態：Secondary Lost Primary
次の状態：Primary Active
ステップ 5
次の状態：Secondary Syncing
セカンダリサーバと、セカンダリサーバ上で稼働する Prime Infrastructure インスタンスを再起
動します。この時点では、プロセスのすべてがセカンダリサーバで実行されているわけではない
ため、この操作が必要です。
何らかの理由でセカンダリサーバを再起動できなかった場合は、「関連項目」の「HA サーバが両
方ともダウンし、セカンダリサーバが再起動しない場合」を参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-31
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
ステップ 6
Prime Infrastructure がセカンダリサーバでの再起動を完了すると、すべてのプロセスが実行され
ているはずです。これを確認するには、ncs status コマンドを実行します（「関連項目」の「Prime
Infrastructure サーバステータスの確認」参照）。
関連項目
•
HA サーバが両方ともダウンし、セカンダリサーバが再起動しない場合
•
Health Monitor Web ページへのアクセス
•
Prime Infrastructure サーバステータスの確認
•
その他の HA イベントに対する応答
HA サーバが両方ともダウンし、セカンダリサーバが再起動しない場合
両方の HA サーバが同時にダウンし、セカンダリサーバが再起動しない場合は、セカンダリサー
バの交換または復元ができるまで、プライマリサーバをスタンドアロンとして使用するように、
プライマリサーバから HA 設定を削除する必要があります。
以下の手順では、すでにセカンダリサーバの再起動を試み、再起動に失敗したものとしています。
ステップ 1
Prime Infrastructure のプライマリインスタンスの再起動を試みます。少なくともプライマリイン
スタンスの再起動が可能である場合は、HA 設定の削除が必要であることを示すエラーメッセー
ジが表示されて再起動が中断されます。
ステップ 2
プライマリ Prime Infrastructure サーバとの CLI セッションを開きます（「関連項目」の「CLI から
の接続」参照）。
ステップ 3
次のコマンドを入力して、プライマリサーバの HA 設定を削除します。
PIServer/admin#
ncs ha remove
ステップ 4
HA 設定を削除するかどうかを確認するメッセージが表示されます。確認要求に対して Y と応答
します。
ステップ 5
プライマリサーバおよびセカンダリサーバの両方からすべての HA データベース情報を削除す
るかどうかを確認するメッセージが表示されます。この 2 番目の確認要求に対しては N と応答
します。
ステップ 6
今度は、エラーメッセージなしで Prime Infrastructure プライマリインスタンスの再起動が可能
になり、これをスタンドアロンとして使用できるようになるはずです。
セカンダリサーバの復元または交換ができたら、「関連項目」の「プライマリサーバでのハイア
ベイラビリティの登録」の手順に従って続行してください。
関連項目
•
CLI 経由の接続
•
Health Monitor Web ページへのアクセス
•
プライマリサーバでのハイアベイラビリティの登録
•
CLI での HA の削除
•
その他の HA イベントに対する応答
Cisco Prime Infrastructure 3.0 管理者ガイド
9-32
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
プライマリサーバの交換
通常の状況下では、プライマリサーバの状態は [Primary Active]、セカンダリサーバの状態は
[Secondary Syncing] です。プライマリサーバで何らかの理由で障害が発生した場合、セカンダリ
サーバへのフェールオーバーが自動または手動で行われます。
HA への完全なアクセスを復旧するには、新しいハードウェアを使用してプライマリサーバをイ
ンストールする必要があることがあります。この場合、次の手順に従うことで、データを失うこ
となく新しいプライマリサーバを起動できます。
ステップ 1
セカンダリサーバの状態が [Secondary Active] であることを確認します。プライマリサーバの
[Failover Type] を [manual] に設定している場合は、セカンダリサーバへのフェールオーバーを手
動でトリガーします。
ステップ 2
交換する古いプライマリサーバがネットワークから切断していることを確認します。
ステップ 3
新しいプライマリサーバが使用可能な状態であることを確認します。これには、このプライマリ
サーバがネットワークに接続されており、古いプライマリサーバと同じサーバ IP、サブネット
マスク、およびゲートウェイが割り当てられていることが含まれます。また、セカンダリサーバ
のインストール時に入力したものと同じ認証キーを入力する必要があります。
ステップ 4
セカンダリサーバから、新たにインストールしたプライマリサーバへのフェールバックをトリ
ガーします。2 台のサーバで、以下の一連の HA 状態遷移が行われます。
プライマリ HA の状態遷移
セカンダリ HA の状態遷移
元の状態：HA not configured 元の状態：Secondary Active
次の状態：Primary Failback
次の状態：Secondary Failback
次の状態：Primary Failback
次の状態：Secondary Post Failback
次の状態：Primary Active
次の状態：Secondary Syncing
関連項目
•
フェールオーバーのトリガー
•
フェールバックのトリガー
•
その他の HA イベントに対する応答
Cisco Prime Infrastructure 3.0 管理者ガイド
9-33
第9章
ハイアベイラビリティの設定
ハイアベイラビリティのモニタ
スプリットブレーン状況からの回復
「自動フェールオーバーと手動フェールオーバーの違い」（「関連項目」参照）で説明されているよ
うに、「スプリットブレーン状況」が発生する稀な状況では、データが失われる可能性が常にあり
ます。この場合、Prime Infrastructure 管理者は以下の選択肢とアクションを選ぶことができます。
1.
プライマリサーバに新しく追加されるデータを使用し、セカンダリサーバで追加された
データを無視します。このオプションを選択するには、以下のようにします。
a. ネットワークが稼働すると、プライマリサーバがダウンし、プライマリサーバの HA ス
テータスが [Primary Failover] になり、さらに [Primary Synching] になります。
b. プライマリサーバまたはセカンダリサーバの CLI を使用して HA を削除します（「CLI
での HA の削除」参照）。
c. プライマリサーバを再起動します（「Prime Infrastructure の再起動」参照）。
d. プライマリサーバの [HA Configuration] ページを使用して、プライマリサーバにセカン
ダリサーバを再登録します（「プライマリサーバでのハイアベイラビリティの登録」
参照）。
2.
セカンダリサーバに新しく追加されるデータを使用し、プライマリサーバで追加された
データを無視します。このオプションを選択するには、以下のようにします。
a. ネットワークが起動し、セカンダリサーバが起動したことをプライマリサーバが確認
したら、プライマリサーバはそのスタンバイデータベースを使用して自身を自動的に
再起動します。プライマリサーバの HA ステータスは「Primary Failover」になり、「Primary
Syncing」に遷移します。これを確認するには、プライマリサーバの Health Monitor Web
ページにログオンします。
b. プライマリサーバのステータスが「Primary Syncing」になった後：Web ブラウザを使用し
て、ユーザがセカンダリサーバの Prime Infrastructure ページ（たとえば、https://x.x.x.x:443）
にログインできることを確認します。このアクセスが可能であることを確認するまで、
手順を進めないでください。
c. セカンダリサーバにアクセスできることが確認できたら、セカンダリサーバの Health
Monitor Web ページから、フェールバックを開始します（「フェールバックのトリガーを
参照）。プライマリサーバへのスイッチオーバーが完了するまで、ユーザはセカンダリ
サーバでモニタリングアクティビティを続行できます。
関連項目
•
自動フェールオーバーと手動フェールオーバーの違い
•
CLI での HA の削除
•
Prime Infrastructure の再起動
•
プライマリサーバでのハイアベイラビリティの登録
•
フェールバックのトリガー
•
その他の HA イベントに対する応答
Cisco Prime Infrastructure 3.0 管理者ガイド
9-34
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの参照情報
ハイアベイラビリティの参照情報
以下の項に、HA に関する参照情報を記載します。
関連項目
•
HA コンフィギュレーションモードリファレンス
•
HA 状態リファレンス
•
HA 状態遷移リファレンス
•
ハイアベイラビリティ CLI コマンドリファレンス
•
HA 認証キーのリセット
•
GUI での HA の削除
•
CLI での HA の削除
•
復元中の HA の削除
•
アップグレード中の HA の削除
•
HA エラーロギングの使用
•
HA サーバの IP アドレスまたはホスト名のリセット
HA コンフィギュレーションモードリファレンス
次の表に、すべての可能な HA コンフィギュレーションモードを示します。
表 9-1
ハイアベイラビリティモード
モード
説明
HA not configured
HA は、この Prime Infrastructure サーバで設定されていません。
HA initializing
プライマリサーバとセカンダリサーバ間の HA 登録プロセスが開始されました。
HA enabled
プライマリサーバとセカンダリサーバ間で HA が有効になりました。
HA alone
プライマリサーバは単独で実行されています。HA は有効ですが、プライマリサーバがセカン
ダリサーバと同期していないか、セカンダリサーバがダウンしているか、またはセカンダリ
サーバに到達できません。
関連項目
•
ハイアベイラビリティの参照情報
Cisco Prime Infrastructure 3.0 管理者ガイド
9-35
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの参照情報
HA 状態リファレンス
次の表に、ユーザによる応答が必要ない状態も含め、すべての可能な HA 状態をリストします。
表 9-2
ハイアベイラビリティ状態
状態
サーバ
説明
Stand Alone
両方
HA は、この Prime Infrastructure サーバで設定されていません。
Primary Alone
プライマリ
プライマリサーバは、セカンダリサーバを失った後に再起動しました。
Health Monitor のみがこの状態で稼働します。
HA Initializing
両方
プライマリサーバとセカンダリサーバ間の HA 登録プロセスが開始され
ました。
Primary Active
プライマリ
プライマリサーバは現在アクティブであり、セカンダリサーバと同期中
です。
Primary Database Copy
Failed
プライマリ
再起動されるプライマリサーバは、自身が 24 時間以上ダウンしていたた
めにデータギャップが生じていないかを常に確認します。そして、このよ
うなギャップを検出すると、自動的にアクティブなセカンダリサーバか
らのデータコピーをトリガーします。まれに、このデータベースのコピー
に失敗することがあります。そのような場合に、この遷移状態がプライマ
リサーバに設定されます。データベースコピーが正常に終了するまで、
プライマリへのフェールバックの試行はすべてブロックされます。デー
タベースコピーが正常に終了するとすぐに、プライマリサーバの状態が
「Primary Syncing」に設定されます。
Primary Failover
プライマリ
プライマリサーバで障害が検出されました。
Primary Failback
プライマリ
ユーザによってトリガーされたフェールバックが進行中です。
Primary Lost Secondary
プライマリ
プライマリサーバは、セカンダリサーバと通信できません。
Primary Preparing for
Failback
プライマリ
セカンダリへのフェールオーバー後、プライマリサーバの起動時にこの
状態が設定されます。この状態は、プライマリサーバがスタンバイモー
ド（セカンダリサーバがアクティブであるため）で起動し、フェールバッ
クの準備ができていることを示します。プライマリサーバがフェール
バックの準備ができると、その状態は「Primary Syncing」に設定されます。
Primary Syncing
プライマリ
プライマリサーバは、データベースおよびコンフィギュレーションファ
イルを、アクティブなセカンダリサーバと同期しています。セカンダリ
サーバにフェールオーバーし、セカンダリサーバがアクティブロールを
引き継いだ後、プライマリプロセスが送り込まれてくるときに、プライマ
リサーバがこの状態に移行します。
Primary Uncertain
プライマリ
プライマリサーバのアプリケーションプロセスがデータベースに接続
できません。
Secondary Alone
セカンダリ
プライマリサーバの再起動後、セカンダリサーバからプライマリサーバ
に接続できません。
Secondary Syncing
セカンダリ
セカンダリサーバは、プライマリサーバとデータベースおよびコンフィ
ギュレーションファイルを同期しています。
Secondary Active
セカンダリ
プライマリサーバからセカンダリサーバへのフェールオーバーが正常
に完了しました。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-36
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの参照情報
表 9-2
ハイアベイラビリティ状態（続き）
状態
サーバ
説明
Secondary Lost Primary
セカンダリ
セカンダリサーバがプライマリサーバに接続できません（この状態は、
プライマリサーバで障害が発生した場合、またはネットワーク接続が失
われた場合に発生します）。
この状態から自動フェールオーバーが行われる場合、セカンダリサーバ
は自動的に [Active] 状態に移ります。手動フェールオーバーの場合は、
ユーザがフェールオーバーをトリガーしてセカンダリサーバをアクティ
ブにすることができます。
Secondary Failover
セカンダリ
フェールオーバーがトリガーされて進行中です。
Secondary Failback
セカンダリ
フェールバックがトリガーされて進行中です（データベースおよびファ
イルレプリケーションが進行中）。
Secondary Post Failback セカンダリ
この状態が発生するのは、フェールバックがトリガーされて、セカンダリ
サーバからプライマリサーバへのデータベースおよびコンフィギュレー
ションファイルの複製が完了し、Health Monitor がセカンダリサーバの
[Secondary Syncing] への状態遷移およびプライマリサーバの [Primary
Active] への状態遷移を開始した場合です。この状態は、これらの状態変更
および関連するプロセスの開始と停止が進行中であることを示します。
セカンダリ
セカンダリサーバのアプリケーションプロセスが、セカンダリサーバの
データベースに接続できません。
Secondary Uncertain
関連項目
•
ハイアベイラビリティの参照情報
Cisco Prime Infrastructure 3.0 管理者ガイド
9-37
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの参照情報
HA 状態遷移リファレンス
次の図は、プライマリサーバのすべての可能な状態遷移を詳しく説明しています。
図 9-4
プライマリサーバの状態遷移
Stand
Alone
Primary
Uncertain
Initiate HA
registration
HA
Initializing
Reregistration
Automatic
Registration
Primary
Database
failed
Complete HA
registration
Secondary
server not
reachable
Primary
Active
Primary failed
(identified by primary)
Primary
Lost Secondary
Failback
done
Primary
Failover
Primary
restart
Primary
restart
On
Secondary
Active
Cisco Prime Infrastructure 3.0 管理者ガイド
9-38
Trigger
failback
Primary Syncing
Primary
Failback
404588
Primary
Alone
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの参照情報
次の図は、セカンダリサーバのすべての可能な状態遷移を詳しく説明しています。
図 9-5
セカンダリサーバの状態遷移
Stand
Alone
Secondary
Uncertain
Initiate HA
registration
HA
Initializing
Complete HA
registration
Secondary
Database
failed
Secondary
Sync
Automatic/Manual
Registration
Primary server
not reachable
Complete FailbackStart/Stop process
Secondary
Post Failback
Secondary
Active
Trigger
Failover
Secondary
Failover
Complete
Failover
Trigger
failback
DB & File
Replication
Done
Secondary
Failback
363709
Secondary
Lost Primary
関連項目
•
ハイアベイラビリティの参照情報
ハイアベイラビリティ CLI コマンドリファレンス
次の表に、HA 管理に使用できる CLI コマンドをリストします。これらのコマンドを実行するに
は、管理者としてプライマリサーバにログインします（「CLI 経由の接続」を参照）。
表 9-3
ハイアベイラビリティコマンド
コマンド
説明
ncs ha ?
ハイアベイラビリティ CLI コマンドのヘルプを取得し
ます。
ncs ha authkey authkey
ハイアベイラビリティの認証キーを更新します。
ncs ha remove
ハイアベイラビリティ構成を削除します。
ncs ha status
ハイアベイラビリティの現在の状態を取得します。
関連項目
•
ハイアベイラビリティの参照情報
Cisco Prime Infrastructure 3.0 管理者ガイド
9-39
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの参照情報
HA 認証キーのリセット
Prime Infrastructure 管理者は、ncs ha authkey コマンドを使用して HA 認証キーを変更できます。
新しい認証キーがパスワード標準を満たすようにする必要があります。
ステップ 1
CLI を使用してプライマリサーバに接続します。「configure terminal」モードは開始しないでくだ
さい。
ステップ 2
コマンドラインに次のように入力します。
admin# ncs ha authkey MyNewAuthKey
ここで、MyNewAuthKey は新しい認証キーです。
関連項目
•
ハイアベイラビリティをセットアップする前に
•
CLI 経由の接続
•
ハイアベイラビリティの参照情報
GUI での HA の削除
既存の HA 実装を削除するには、以下の手順で説明するように、GUI を使用するのが最も簡単な
方法です。また、コマンドラインから HA 設定を削除することもできます。
ステップ 1
管理者特権を持つユーザ ID を使用して Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Settings] > [High Availability] の順に選択します。
ステップ 3
[Remove] を選択します。
関連項目
•
CLI での HA の削除
•
CLI 経由の接続
•
ハイアベイラビリティの参照情報
Cisco Prime Infrastructure 3.0 管理者ガイド
9-40
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの参照情報
CLI での HA の削除
何らかの理由でプライマリサーバ上の Prime Infrastructure GUI にアクセスできない場合、管理者
は以下のようにして、コマンドラインから HA 設定を削除することができます。
ステップ 1
CLI を使用してプライマリサーバに接続します。「configure terminal」モードは開始しないでくだ
さい。
ステップ 2
コマンドラインに次のように入力します。
admin# ncs ha remove
関連項目
•
GUI での HA の削除
•
CLI 経由の接続
•
CLI での HA の削除
•
ハイアベイラビリティの参照情報
復元中の HA の削除
Prime Infrastructure は、ハイアベイラビリティ関連の各種設定をバックアップしません。
HA を使用した Prime Infrastructure 実装を復元するには、必ず、バックアップしたデータをプライ
マリサーバのみに復元してください。復元されたプライマリサーバは、そのデータを自動的に
セカンダリサーバに複製します。セカンダリサーバで復元操作を実行する必要はありません。
これを実行しようとすると、エラーメッセージが生成されます。
HA を使用する Prime Infrastructure 実装を復元するには、次の手順に従います。
ステップ 1
CLI を使用して、プライマリサーバから HA 設定を削除します。
ステップ 2
必要に応じてプライマリサーバを復元します。
ステップ 3
復元が完了したら、HA 登録プロセスを再度実行します。
関連項目
•
GUI での HA の削除
•
バックアップからの復元
•
プライマリサーバでのハイアベイラビリティの登録
•
CLI 経由の接続
•
ハイアベイラビリティの参照情報
Cisco Prime Infrastructure 3.0 管理者ガイド
9-41
第9章
ハイアベイラビリティの設定
ハイアベイラビリティの参照情報
アップグレード中の HA の削除
HA を使用した Prime Infrastructure 実装をアップグレードするには、以下の手順に従います。
ステップ 1
CLI を使用して、プライマリサーバから HA 設定を削除します（「関連項目」の「CLI からの HA の
削除」参照）。
ステップ 2
必要に応じてプライマリサーバをアップグレードします。
ステップ 3
必要に応じてセカンダリサーバをアップグレードします。
ステップ 4
アップグレードが完了したら、HA 登録プロセスを再度実行します。
関連項目
•
CLI での HA の削除
•
プライマリサーバでのハイアベイラビリティの登録
•
CLI 経由の接続
•
ハイアベイラビリティの参照情報
HA エラーロギングの使用
ハイアベイラビリティ機能に対するエラーロギングは、ディスクスペースを節約し、最大限の
パフォーマンスを達成するために、デフォルトで無効にされます。HA に問題がある場合は、ま
ず、エラーロギングを有効にして、記録されたログファイルを調べることから始めるのが最善
です。
ステップ 1
問題のあるサーバの Health Monitor ページを表示します。
ステップ 2
[Logging] 領域で、[Message Level] ドロップダウンから必要なエラーロギングレベルを選択し
ます。
ステップ 3
[Save] をクリックします。
ステップ 4
ログファイルをダウンロードする必要がある場合は、[Logs] 領域で、[Download] をクリックしま
す。ダウンロードしたログファイルは、任意の ASCII テキストエディタを使用して開くことが
できます。
関連項目
•
Health Monitor Web ページへのアクセス
•
ハイアベイラビリティの参照情報
HA サーバの IP アドレスまたはホスト名のリセット
プライマリまたはセカンダリ HA サーバの IP アドレスまたはホスト名は、できるだけ変更しな
いようにしてください。IP アドレスまたはホスト名を変更しなければならない場合は、変更を行
う前に、プライマリサーバから HA 設定を削除します。変更が終わったら、HA を再登録します。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-42
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
関連項目
•
GUI での HA の削除
•
プライマリサーバでのハイアベイラビリティの登録
•
ハイアベイラビリティの参照情報
MSE ハイアベイラビリティの設定
Cisco Mobility Services Engine（MSE）は、複数のモビリティアプリケーションをホストするプ
ラットフォームです。MSE ハイアベイラビリティ（HA）設定の下では、アクティブな MSE は
MSE の別の非アクティブインスタンスによりバックアップされます。アクティブな MSE はプ
ライマリ MSE、非アクティブな MSE はセカンダリ MSE と呼ばれます。
関連項目
•
MSE ハイアベイラビリティアーキテクチャの概要
•
MSE ハイアベイラビリティのセットアップ：ワークフロー
MSE ハイアベイラビリティアーキテクチャの概要
MSE ハイアベイラビリティシステムの主要なコンポーネントは、ヘルスモニタです。ヘルスモ
ニタは、各 MSE での HA セットアップの設定、管理、モニタを行います。プライマリ MSE とセカ
ンダリ MSE の間でハートビートが維持されます。ヘルスモニタは、データベースのセットアッ
プ、ファイルのレプリケーション、アプリケーションのモニタリングを行います。プライマリ
MSE で障害が発生し、セカンダリ MSE に切り替わると、プライマリ MSE の仮想アドレスがセカ
ンダリ MSE に透過的に切り替わります。次の点に注意してください。
•
アクティブな各プライマリ MSE は別の非アクティブインスタンスによりバックアップさ
れます。セカンダリ MSE の目的は、プライマリ MSE のアベイラビリティと状態をモニタす
ることです。セカンダリ MSE は、フェールオーバー手順の開始後にアクティブになります。
•
1 つのセカンダリ MSE で 1 つのプライマリ MSE をサポートできます。
[Services] タブの [MSE]、[Synchronize Services]、[Synchronization History]、[High Availability]、
[Context-Aware Notifications]、および [Mobile Concierge] ページは、リリース 7.3 の仮想ドメイン
のみで使用できます。
以下の関連項目は、MSE ハイアベイラビリティアーキテクチャに関する追加の詳細情報を提供
します。
関連項目
•
MSE ハイアベイラビリティのペアリングマトリックス
•
MSE ハイアベイラビリティのガイドラインと制約事項
•
MSE ハイアベイラビリティのフェールオーバーシナリオ
•
MSE ハイアベイラビリティのフェールバックシナリオ
•
MSE ハイアベイラビリティのライセンス要件
•
MSE ハイアベイラビリティの設定
Cisco Prime Infrastructure 3.0 管理者ガイド
9-43
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
MSE ハイアベイラビリティのペアリングマトリックス
次の表は、ハイアベイラビリティ構成においてペアリング可能な MSE サーバのタイプを一覧表
示しています。
.
表 9-4
MSE ハイアベイラビリティサーバのペアリングマトリックス
セカンダリサーバタイプ
プライマリ
サーバタイプ
3355
VA-2
VA-3
VA-4
VA-5
3355
Y
N
N
N
N
VA-2
N
Y
Y
Y
Y
VA-3
N
N
Y
Y
Y
VA-4
N
N
N
Y
Y
VA-5
N
N
N
N
Y
関連項目
•
MSE ハイアベイラビリティアーキテクチャの概要
•
MSE ハイアベイラビリティのガイドラインと制約事項
MSE ハイアベイラビリティのガイドラインと制約事項
MSE ハイアベイラビリティを実装し、これを Prime Infrastructure から管理する予定の管理者は、
以下のガイドラインと制限事項に従う必要があります。
•
ヘルスモニタ IP と仮想 IP の両方に Prime Infrastructure からアクセスできるようにする必要
があります。
•
ヘルスモニタ IP と仮想 IP は常に異なる IP でなければなりません。ヘルスモニタと仮想イ
ンターフェイスは、同じネットワークインターフェイス上にあっても別のインターフェイ
ス上にあってもかまいません。
•
手動フェールオーバーと自動フェールオーバーのいずれかを使用できます。フェールオー
バーは、一時的なものであると見なす必要があります。故障した MSE をできるだけ早く復旧
して、フェールバックを再開する必要があります。故障した MSE の復旧に時間がかかるほ
ど、ハイアベイラビリティのサポートなしで単一 MSE を稼働する時間が長くなります。
•
手動フェールバックと自動フェールバックのいずれかを使用できます。
•
プライマリ MSE とセカンダリ MSE は、同じソフトウェアバージョンを実行する必要があ
ります。
•
WAN 上のハイアベイラビリティはサポートされません。
•
LAN 上のハイアベイラビリティは、プライマリ MSE とセカンダリ MSE の両方が同じサブ
ネット内にある場合に限りサポートされます。
•
プライマリとセカンダリの MSE が通信するポートを開ける（ネットワークファイアウォー
ル、アプリケーションファイアウェイ、ゲートウェイなどでブロックしない）必要がありま
す。次の入力/出力ポートを開く必要があります：80、443、8080、8081、22、8001、1521、1411、
1522、1523、1524、1525、9006、15080、61617、59000、12091、1621、1622、1623、1624、1625、8083、
8084、8402。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-44
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
関連項目
•
MSE ハイアベイラビリティアーキテクチャの概要
•
MSE ハイアベイラビリティのペアリングマトリックス
•
MSE ハイアベイラビリティのフェールオーバーシナリオ
MSE ハイアベイラビリティのフェールオーバーシナリオ
プライマリ MSE で障害が検出されると、次のイベントが発生します。
•
セカンダリ MSE のヘルスモニタにより、プライマリ MSE が機能していないこと（ハード
ウェア障害、ネットワーク障害など）が確認されます。
•
自動フェールオーバーが有効化されている場合、即座にセカンダリ MSE が起動します。
•
手動フェールオーバーが有効化されている場合は、フェールオーバーを手動で開始するかど
うかを確認する電子メールが管理者に送信されます。この電子メールは、MSE アラーム用に
電子メールが設定されている場合のみ送信されます。
•
フェールオーバー動作の結果はヘルスモニタ UI でイベントとして示され、クリティカルア
ラームが Prime Infrastructure に送信されます。
関連項目
•
MSE ハイアベイラビリティアーキテクチャの概要
•
MSE ハイアベイラビリティのガイドラインと制約事項
•
MSE ハイアベイラビリティのフェールバックシナリオ
MSE ハイアベイラビリティのフェールバックシナリオ
セカンダリ MSE がすでにプライマリ MSE のフェールオーバー状態である場合、プライマリ
MSE が通常の状態に戻ると、フェールバックを呼び出すことができます。
フェールバックが発生するのは、セカンダリ MSE がプライマリインスタンスに対して次のいず
れかの状態である場合だけです。
•
セカンダリ MSE が実際にプライマリ MSE をフェールオーバーしている。
•
手動フェールオーバーが設定されているが、管理者が呼び出さなかった。
•
プライマリ MSE で障害が発生したが、エラーが発生したため、セカンダリ MSE が引き継ぐ
ことができない。
•
フェールバックは、障害が発生したプライマリ MSE を管理者が起動する場合にだけ行われ
ます。
関連項目
•
MSE ハイアベイラビリティアーキテクチャの概要
•
MSE ハイアベイラビリティのフェールオーバーシナリオ
•
MSE ハイアベイラビリティのライセンス要件
Cisco Prime Infrastructure 3.0 管理者ガイド
9-45
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
MSE ハイアベイラビリティのライセンス要件
ハイアベイラビリティでは、プライマリおよびセカンダリ仮想アプライアンスでアクティベー
ションライセンスが必要です。他のサービスのライセンスはセカンダリ MSE に必要ありませ
ん。プライマリ MSE のみで必要です。
関連項目
•
MSE ハイアベイラビリティアーキテクチャの概要
•
MSE ハイアベイラビリティのフェールバックシナリオ
MSE ハイアベイラビリティのセットアップ：ワークフロー
MSE ソフトウェアのインストール中（または MSE セットアップスクリプトの使用中）に、所定
の重要な要素を設定します。Prime Infrastructure UI からプライマリ MSE とセカンダリ MSE を組
み合わせます。
デフォルトでは、すべての MSE がプライマリとして設定されます。ハイアベイラビリティサ
ポートを使用しない場合、および以前のリリースからのアップグレードを実行している場合は、
引き続きその MSE の IP アドレスを使用してください。ハイアベイラビリティをセットアップ
するには、ヘルスモニタの IP アドレスを設定する必要があります。したがって、ヘルスモニタが
仮想 IP アドレスになります。
MSE ハイアベイラビリティの設定は、次の手順で構成されています。
1.
ハイアベイラビリティ用の MSE の準備
2.
プライマリ MSE の設定
3.
セカンダリ MSE の設定
プライマリ MSE サーバの交換が必要な場合には、MSE ハイアベイラビリティの再設定が必要
になることもあります。
詳細については、下記の該当する関連項目を参照してください。
関連項目
•
ハイアベイラビリティ用の MSE の準備
•
プライマリ MSE での MSE ハイアベイラビリティの設定
•
セカンダリ MSE での MSE ハイアベイラビリティの設定
•
プライマリ MSE の交換
•
MSE ハイアベイラビリティの設定
ハイアベイラビリティ用の MSE の準備
プライマリおよびセカンダリ MSE をハイアベイラビリティ用に準備するには、次の手順に従っ
てください。
ステップ 1
プライマリ MSE とセカンダリ MSE の間のネットワーク接続が機能しており、すべての必要な
ポートが開いていることを確認します。
ステップ 2
正しいバージョンの MSE をプライマリ MSE 上にインストールします。
ステップ 3
同じバージョンの MSE がセカンダリ MSE にインストールされていることを確認します。
Cisco Prime Infrastructure 3.0 管理者ガイド
9-46
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
関連項目
•
プライマリ MSE での MSE ハイアベイラビリティの設定
•
プライマリ MSE の交換
•
MSE ハイアベイラビリティの設定
プライマリ MSE での MSE ハイアベイラビリティの設定
プライマリ MSE をハイアベイラビリティ用に設定するには、次の手順に従ってください。
ステップ 1
プライマリ MSE で次のコマンドを入力します。
/opt/mse/setup/setup.sh
セットアップスクリプトにより、次のような入力要求が表示されます。用意された選択肢を使っ
て太字で回答できます（このステップおよび次のステップが対象）。
-------------------------------------------------------------Welcome to the Cisco Mobility Services Engine Appliance Setup.
You may exit the setup at any time by typing <Ctrl+c>.
----------------------------------------------------------Would you like to configure MSE using:
1. Menu mode
2. Wizard mode
Choose 1 or 2: 1
-------------------------------------------------Mobility Services Engine Setup
Please select a configuration option below and enter the
requested information. You may exit setup at any time by typing <Ctrl +C>.
You will be prompted to choose whether you wish to configure a parameter, skip it, or
reset it to its initial default value. Skipping a parameter will leave it unchanged from
its current value.
Please note that the following parameters are mandatory and must be configured at lease
once.
-> Hostname
-> Network interface eth0
-> Timezone settings
-> Root password
-> NTP settings
-> Prime Infrastructure password
You must select option 24 to verify and apply any changes made during this session.
-------------------------------------------------------------PRESS <ENTER> TO CONTINUE:
-------------------------------------------------------------Configure MSE:
1) Hostname *
13) Remote syslog settings
2) Network interface eth0 settings*
14) Host access control settings
3) Timezone settings*
15) Audit Rules
4) Root password *
16) Login banner
5) NTP settings *
17) System console restrictions
Cisco Prime Infrastructure 3.0 管理者ガイド
9-47
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
6) Prime Infrastructure password *
18) SSH root access
7) Display current configuration
19) Single user password check
8) Domain
20) Login and password settings
9) High availability role
21) GRUB password
10) Network interface eth1 settings
22) Root access control
11) DNS settings
23) Auto start MSE on system boot up
12) Future restart time
24) ## Verify and apply changes ##
Please enter your choice [1 - 24]:
--------------------------------------------------------------
ステップ 2
プライマリ MSE のホスト名を設定します。
Please enter your choice [1 - 24]: 1
Current Hostname=[mse]
Configure Hostname? (Y)es/(S)kip/(U)se default [Skip]: y
ホスト名は、ネットワーク上のデバイスを識別できる一意の名前にしてください。ホスト名は、文字で開始し、文字また
は数字で終了し、文字、数字、およびダッシュだけを含みます。
Enter a Host name [mse]:mse1
ステップ 3
プライマリ MSE のドメインを設定します。
Please enter your choice [1-24]: 8
Current domain=[ ]
Configure domain name? (Y)es/(S)kip/(U)se default [Skip]: S
ステップ 4
プライマリ MSE のネットワークインターフェイス eth0 を設定します。
Please enter your choice [1 - 24]: 2
Current eth0 interface IP address=[10.0.0.1]
Current eth0 interface netmask=[255.0.0.0]
Current IPv4 gateway address=[172.20.104.123]
Configure eth0 interface parameters? (Y)es/(S)kip/(U)se default [Skip]: y
Enter an IP address for first Ethernet interface of this machine.
Enter eth0 IP address [10.0.0.2]:
Enter the network mask for IP address 172.21.105.126
Enter network mask [255.255.255.224]:
Enter the default gateway address for this machine.
Note that the default gateway must be reachable from the first Ethernet interface.
Enter default gateway address [172.20.104.123]:
ステップ 5
プライマリ MSE のルートパスワードを設定します。
Please enter your choice [1 - 24]: 4
Root password has not been configured
Configure root password? (Y)es/(S)kip/(U)se default [Skip]: Y
Changing password for user root.
You can now choose the new password.
A valid password should be a mix of upper and lower case letters, digits, and other
characters. You can use an 8 character long password with characters from all of these
classes. An upper case letter that begins the password and a digit that ends it do not
count towards the number of character classes used.
Enter new password: password
Cisco Prime Infrastructure 3.0 管理者ガイド
9-48
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
ステップ 6
プライマリ MSE のハイアベイラビリティロールを設定します。
Current role=[Primary]
Configure High Availability?
(Y)es/(S)kip/(U)se default [Skip]: y
High availability role for this MSE (Primary/Secondary)
Select role [1 for Primary, 2 for Secondary] [1]: 1
Health monitor interface holds physical IP address of this MSE server.
This IP address is used by Secondary, Primary MSE servers and Prime Infrastructure to
communicate among themselves
Select Health Monitor Interface [eth0/eth1] [eth0]: eth0
------------------------------------------------------------------Direct connect configuration facilitates use of a direct cable connection between the
primary and secondary MSE servers.
This can help reduce latencies in heartbeat response times, data replication and failure
detection times.
Please choose a network interface that you wish to use for direct connect. You should
appropriately configure the respective interfaces.
"none" implies you do not wish to use direct connect configuration.
------------------------------------------------------------------Select direct connect interface [eth0/eth1/none] [none]:
Enter a Virtual IP address for the Primary MSE server
Enter Virtual IP address [1.1.1.1]: 10.10.10.11
Enter network mask for IP address 10.10.10.1
Enter network mask [1.1.1.1]: 255.255.255.0
Select to start the server in recovery mode.
You should choose yes only if this primary MSE was paired earlier and you have now lost
the configuration from this box.
And, now you want to restore the configuration from Secondary via Cisco
Infrastructure
Prime
Do you wish to start this MSE in HA receovery mode?: (yes/no} [no]:no
Current IP address = [1.1.1.10]
Current eth0 netmask=[255.255.255.0]
Current gateway address=[1.1.1.1]
Configure eth0 interface parameters? (Y)es/(S)kip/(U)se default [Skip]:
Enter an IP address for first Ethernet interface of this machine.
Enter eth0 IP address [1.1.1.10]: 10.10.10.12
Enter the network mask for IP address 10.10.10.12
Enter network mask [255.255.255.0]: 255.255.255.0
Enter an default gateway address for this machine.
Note that the default gateway must be reachable from the first Ethernet interface. Enter
default gateway address [1.1.1.1]:10.10.10.1
The second Ethernet interface is currently disabled for this machine.
Configure eth1 interface parameters? (Y)es/(S)kip/(U)se default [Yes]: S
ステップ 7
プライマリ MSE のタイムゾーンを設定します。
Please enter your choice [1 - 24]: 3
Current Timezone=[America/New_York]
Configure Timezone? (Y)es/(S)kip/(U)se default [Skip]: y
Enter the current date and time.
Cisco Prime Infrastructure 3.0 管理者ガイド
9-49
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
Please identify a location so that time zone rules can be set correctly. Please select a
continent or ocean.
1) Africa
2) Americas
3) Antarctica
4) Arctic Ocean
5) Asia
6) Atlantic Ocean
7) Australia
8) Europe
9) Indian Ocean
10) Pacific Ocean
11) UTC - I want to use Coordinated Universal Time.
#? 2
Please select a country.
1) Anguilla
27) Honduras
2) Antigua & Barbuda
28) Jamaica
5) Bahamas
31) Montserrat
6) Barbados
32) Netherlands Antilles
7) Belize
33) Nicaragua
8) Bolivia
34) Panama
9) Brazil
35) Paraguay
10) Canada
36) Peru
11) Cayman Islands
37) Puerto Rico
12) Chile
38) St Barthelemy
13) Colombia
39) St Kitts & Nevis
14) Costa Rica
40) St Lucia
15) Cuba
41) St Martin (French part)
16) Dominica
42) St Pierre & Miquelon
17) Dominican Republic
43) St Vincent
18) Ecuador
44) Suriname
19) El Salvador
45) Trinidad & Tobago
20) French Guiana
46) Turks & Caicos Is
21) Greenland
47) United States
22) Grenada
48) Uruguay
23) Guadeloupe
49) Venezuela
24) Guatemala
50) Virgin Islands (UK)
25) Guyana
51) Virgin Islands (US)
26) Haiti
#? 47
Please select one of the following time zone regions.
1) Eastern Time
2) Eastern Time - Michigan - most locations
3) Eastern Time - Kentucky - Louisville area
4) Eastern Time - Kentucky - Wayne County
5) Eastern Time - Indiana - most locations
Cisco Prime Infrastructure 3.0 管理者ガイド
9-50
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
6) Eastern Time - Indiana - Daviess, Dubois, Knox & Martin Counties
7) Eastern Time - Indiana - Pulaski County
8) Eastern Time - Indiana - Crawford County
9) Eastern Time - Indiana - Pike County
10) Eastern Time - Indiana - Switzerland County
11) Central Time
12) Central Time - Indiana - Perry County
13) Central Time - Indiana - Starke County
14) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties
15) Central Time - North Dakota - Oliver County
16) Central Time - North Dakota - Morton County (except Mandan area)
17) Mountain Time
18) Mountain Time - south Idaho & east Oregon
19) Mountain Time - Navajo
20) Mountain Standard Time - Arizona
21) Pacific Time
22) Alaska Time
23) Alaska Time - Alaska panhandle
24) Alaska Time - Alaska panhandle neck
25) Alaska Time - west Alaska
26) Aleutian Islands
27) Hawaii
#? 21
The following information has been given:
United States
Pacific Time
Therefore TZ='America/Los_Angeles' will be used.
Local time is now:
Sun Apr 6 18:45:27 PDT 2020. Universal Time is now: Mon Apr
01:45:27 UTC 2020. Is the above information OK?
7
1) Yes
2) No
#? 1
ステップ 8
プライマリ MSE の DNS を設定します。
Please enter your choice [1 - 24]: 11
Domain Name Service (DNS) Setup
Enable DNS (yes/no) [no]: y
Default DNS server 1=[8.8.8.8]
Enter primary DNS server IP address:
DNS server address must be in the form #.#.#.#, where # is 0 to 255 or hexadecimal :
separated v6 address
Enter primary DNS server IP address [8.8.8.8]:
Enter backup DNS server IP address (or none) [none]:
ステップ 9
プライマリ MSE の NTP を設定します。
Please enter your choice [1 - 24]: 5
Network Time Protocol (NTP) Setup.
Cisco Prime Infrastructure 3.0 管理者ガイド
9-51
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
If you choose to enable NTP, the system time will be configured from NTP servers that you
select. Otherwise, you will be prompted to enter the current date and time.
NTP is currently disabled.
Configure NTP related parameters? (Y)es/(S)kip/(U)se default [Skip]: y
Enter whether or not you would like to set up the
Network Time Protocol (NTP) for this machine.
If you choose to enable NTP, the system time will be configured from NTP servers that you
select. Otherwise, you will be prompted to enter the current date and time.
Enable NTP (yes/no) [no]: y
Default NTP server 1=[time.nist.gov] Enter NTP server name or address:
NTP server address must be in the form #.#.#.3, where # is 0 to 255 hexadecimal :
separated v6 address.
Enter NTP server name or [time.nist.gov]:
Enter another NTP server IP address (or none) [none]:
Configure NTP Authentication? (Y)es/(S)kip/(U)se default [Skip]: y
Enter NTP Auth key Number [1]:
Enter NTP Auth key Value (String) [Secret]: Do you want to continue (yes/no) [no]: y
ステップ 10
Prime Infrastructure パスワードを設定します。
Please enter your choice [1 - 24]: 6
Cisco Prime Infrastructure communication password has not been configured. Configure
Prime Infrastructure password? (Y)es/(S)kip/(U)se default [Yes]:
Enter a password for the admin user.
The admin user is used by the Prime Infrastructure and other northbound systems to
authenticate their SOAP/XML session with the server. Once this password is updated, it
must correspondingly be updated on the NCS page for MSE General Parameters so that the
Prime Infrastructure can communicate with the MSE.
ステップ 11
変更を確認して適用します。
Please enter your choice: 24
Please verify the following setup information.
-----------------------------BEGIN------------------------------------------Hostname=mse1
Role= 1, Health Monitor Intercace=eth0, Direct connect interface=none
Virtual IP Address=10.10.10.11, Virtual IP Netmask=255.255.255.0
Eth0 IP address=10.10.10.12, Eth0 network mask=255.0.0.0
Default Gateway=10.10.10.1
Time zone=America/Los_Angeles
Enable DNS=yes, DNS servers=8.8.8.8
Enable NTP=yes, NTP servers=time.nist.gov
Time zone=America/Los_Angeles
Root password is changed.
Cisco Prime Infrastructure password is changed.
------------------------------END----------------------------You may enter "yes" to proceed with configuration, "no" to make
more changes.
Configuration Changed
Is the above information correct (yes or no): yes
--------------------------------------------------------------
Cisco Prime Infrastructure 3.0 管理者ガイド
9-52
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
Checking mandatory configuration information...
Root password: Not configured
**WARNING**
The above parameters are mandatory and need to be configured.
------------------------------------------------------------Ignore and proceed (yes/no): yes
Setup will now attempt to apply the configuration. Restarting network services with new
settings. Shutting down interface eth0:
The system is minimally configured right now. It is strongly recommended that you run the
setup script under /opt/mse/setup/setup.sh command to configure all appliance related
parameters immediately after installation is complete.
PRESS <ENTER> TO EXIT THE INSTALLER:
ステップ 12
システムを再起動します。
[root@mse1]# reboot Stopping MSE Platform
Flushing firewall rules:[OK]
Setting chains to policy ACCEPT: nat filter[OK] Unloading iptables modules:[ok]
Broadcast message from root (pts/0) (Tue Apr29 14:15:27:2014):
The system is going down for reboot NOW:
ステップ 13
MSE サービスを開始します。
[root@mse1]# /etc/init.d/msed start
Starting MSE Platform.
Starting Health Monitor, Waiting to check the status. Starting Health Monitor, Waiting
to check the status. Health Monitor successfully started
Starting Admin process... Started Admin process. Starting database .....
Database started successfully. STarting framework and services....... Framework and
services successfully started
ステップ 14
すべてのサービスが開始された後、次のコマンドを入力して、MSE サービスが正常に動作してい
ることを確認します。
[root@mse1]# getserverinfo
関連項目
•
ハイアベイラビリティ用の MSE の準備
•
セカンダリ MSE での MSE ハイアベイラビリティの設定
•
MSE ハイアベイラビリティの設定
Cisco Prime Infrastructure 3.0 管理者ガイド
9-53
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
セカンダリ MSE での MSE ハイアベイラビリティの設定
セカンダリ MSE をハイアベイラビリティ用に準備するには、次の手順に従ってください。
ステップ 1
目的のセカンダリ MSE で次のコマンドを入力します。
/opt/mse/setup/setup.sh
セットアップスクリプトにより、プライマリ MSE の場合と同じ入力要求が表示されます。
ステップ 2
セカンダリ MSE のホスト名を設定します。
Please enter your choice [1 - 24]: 1
Current hostanme=[mse1]
Configure hostname? (Y)es/(S)kip/(U)se default [Yes]: yes
ホスト名は、ネットワーク上のデバイスを識別できる一意の名前にしてください。ホスト名は、文字で開始し、文字また
は数字で終了し、文字、数字、およびダッシュだけを含みます。
Enter a hostname [mse]: mse2
ステップ 3
セカンダリ MSE のドメインを設定します。
Please enter your choice [1-24]: 8
Current domain=[ ]
Configure domain name? (Y)es/(S)kip/(U)se default [Skip]: S
ステップ 4
セカンダリ MSE のハイアベイラビリティロールを設定します。
Current role=[Primary]
Configure High Availability? (Y)es/(S)kip/(U)se default [Skip]: High availability role
for this MSE (Primary/Secondary)
Select role [1 for Primary, 2 for Secondary] [1]: 2
Health monitor interface holds physical IP address of this MSE server.
This IP address is used by Secondary, Primary MSE servers and Prime Infrastructure to
communicate among themselves
Select Health Monitor Interface [eth0/eth1] [eth0]: eth0
------------------------------------------------------------------Direct connect configuration facilitates use of a direct cable connection between the
primary and secondary MSE servers.This can help reduce latencies in heartbeat response
times, data
replication and failure detection times.Please choose a network interface that you wish
to use for direct connect. You should appropriately configure the respective interfaces.
"none" implies you do not wish to use direct connect configuration.
------------------------------------------------------------------Select direct connect interface [eth0/eth1/none] [none]:
Current IP address=[1.1.1.10]
Current eth0 netmask=[255.255.255.0] Current gateway address=[1.1.1.1]
Configure eth0 interface parameters? (Y)es/(S)kip/(U)se default [Yes]:
Enter an IP address for first Ethernet interface of this machine. Enter eth0 IP address
[1.1.1.10]: 10.10.10.13
Enter the network mask for IP address 10.10.10.13
Enter network mask [255.255.255.0]:
Enter an default gateway address for this machine.
Note that the default gateway must be reachable from the first Ethernet interface. Enter
default gateway address [1.1.1.1]:10.10.10.1
The second Ethernet interface is currently disabled for this machine. Configure eth1
interface parameters? (Y)es/(S)kip/(U)se default [Yes]: S
Cisco Prime Infrastructure 3.0 管理者ガイド
9-54
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
ステップ 5
セカンダリ MSE のタイムゾーンを設定します。
Please enter your choice [1 - 24]: 3
Current Timezone=[America/New_York]
Configure Timezone? (Y)es/(S)kip/(U)se default [Skip]: y
Enter the current date and time.
Please identify a location so that time zone rules can be set correctly. Please select a
continent or ocean.
1) Africa
2) Americas
3) Antarctica
4) Arctic Ocean
5) Asia
6) Atlantic Ocean
7) Australia
8) Europe
9) Indian Ocean
10) Pacific Ocean
11) UTC - I want to use Coordinated Universal Time.
#? 2
Please select a country.
1) Anguilla
27) Honduras
2) Antigua & Barbuda
28) Jamaica
5) Bahamas
31) Montserrat
6) Barbados
32) Netherlands Antilles
7) Belize
33) Nicaragua
8) Bolivia
34) Panama
9) Brazil
35) Paraguay
10) Canada
36) Peru
11) Cayman Islands
37) Puerto Rico
12) Chile
38) St Barthelemy
13) Colombia
39) St Kitts & Nevis
14) Costa Rica
40) St Lucia
15) Cuba
41) St Martin (French part)
16) Dominica
42) St Pierre & Miquelon
17) Dominican Republic
43) St Vincent
18) Ecuador
44) Suriname
19) El Salvador
45) Trinidad & Tobago
20) French Guiana
46) Turks & Caicos Is
21) Greenland
47) United States
22) Grenada
48) Uruguay
23) Guadeloupe
49) Venezuela
24) Guatemala
50) Virgin Islands (UK)
25) Guyana
51) Virgin Islands (US)
26) Haiti
#? 47
Cisco Prime Infrastructure 3.0 管理者ガイド
9-55
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
Please select one of the following time zone regions.
1) Eastern Time
2) Eastern Time - Michigan - most locations
3) Eastern Time - Kentucky - Louisville area
4) Eastern Time - Kentucky - Wayne County
5) Eastern Time - Indiana - most locations
6) Eastern Time - Indiana - Daviess, Dubois, Knox & Martin Counties
7) Eastern Time - Indiana - Pulaski County
8) Eastern Time - Indiana - Crawford County
9) Eastern Time - Indiana - Pike County
10) Eastern Time - Indiana - Switzerland County
11) Central Time
12) Central Time - Indiana - Perry County
13) Central Time - Indiana - Starke County
14) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties
15) Central Time - North Dakota - Oliver County
16) Central Time - North Dakota - Morton County (except Mandan area)
17) Mountain Time
18) Mountain Time - south Idaho & east Oregon
19) Mountain Time - Navajo
20) Mountain Standard Time - Arizona
21) Pacific Time
22) Alaska Time
23) Alaska Time - Alaska panhandle
24) Alaska Time - Alaska panhandle neck
25) Alaska Time - west Alaska
26) Aleutian Islands
27) Hawaii
#? 21
The following information has been given: United States
Pacific Time
Therefore TZ='America/Los_Angeles' will be used.
Local time is now:
Sun Apr 6 18:45:27 PDT 2014. Universal Time is now: Mon Apr
01:45:27 UTC 2014. Is the above information OK?
7
1) Yes
2) No
#? 1
ステップ 6
セカンダリ MSE の NTP を設定します。
Please enter your choice [1 - 24]: 5
Network Time Protocol (NTP) Setup.
If you choose to enable NTP, the system time will be configured from NTP servers that you
select. Otherwise, you will be prompted to enter the current date and time.
NTP is currently disabled.
Configure NTP related parameters? (Y)es/(S)kip/(U)se default [Skip]: y
Enter whether or not you would like to set up the Network Time Protocol (NTP) for this
machine.
Cisco Prime Infrastructure 3.0 管理者ガイド
9-56
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
If you choose to enable NTP, the system time will be configured from NTP servers that you
select. Otherwise, you will be prompted to enter the current date and time.
Enable NTP (yes/no) [no]: y
Default NTP server 1=[time.nist.gov] Enter NTP server name or address:
NTP server address must be in the form #.#.#.3, where # is 0 to 255 hexadecimal :
separated v6 address.
Enter NTP server name or [time.nist.gov]:
Enter another NTP server IP address (or none) [none]:
Configure NTP Authentication? (Y)es/(S)kip/(U)se default [Skip]: y
Enter NTP Auth key Number [1]:
Enter NTP Auth key Value (String) [Secret]: Do you want to continue (yes/no) [no]: y
ステップ 7
変更を確認して適用します。
Please enter your choice: 24
Please verify the following setup information.
-----------------------------BEGIN------------------------------------------Hostname=mse2
Role= 2, Health Monitor Intercace=eth0, Direct connect interface=none
Eth0 IP address=10.10.10.13, Eth0 network mask=255.255.255.0
Default Gateway=10.10.10.1
Time zone=America/Los_Angeles
Enable NTP=yes, NTP servers=time.nist.gov
Time zone=America/Los_Angeles
------------------------------END----------------------------You may enter "yes" to proceed with configuration, "no" to make more changes.
Configuration Changed
Is the above information correct (yes or no): yes
-------------------------------------------------------------Checking mandatory configuration information...
Root password: Not configured
**WARNING**
The above parameters are mandatory and need to be configured.
------------------------------------------------------------Ignore and proceed (yes/no): yes
Setup will now attempt to apply the configuration.
Restarting network services with new settings. Shutting down interface eth0:
The system is minimally configured right now. It is strongly recommended that you run the
setup script under /opt/mse/setup/setup.sh command to configure all appliance related
parameters immediately after installation is complete.
PRESS <ENTER> TO EXIT THE INSTALLER:
ステップ 8
システムを再起動します。
[root@mse2 installers]# reboot
Stopping MSE Platform
Flushing firewall rules:[OK]
Setting chains to policy ACCEPT: nat filter[OK] Unloading iptables modules:[ok]
Broadcast message from root (pts/0) (Tue Apr29 14:15:27:2014):
The system is going down for reboot NOW:
Cisco Prime Infrastructure 3.0 管理者ガイド
9-57
第9章
ハイアベイラビリティの設定
MSE ハイアベイラビリティの設定
ステップ 9
MSE サービスを開始します。
[root@mse2]# /etc/init.d/msed start
Starting MSE Platform.
Starting Health Monitor, Waiting to check the status. Starting Health Monitor, Waiting
to check the status. Health Monitor successfully started
Starting Admin process... Started Admin process. Starting database .....
Database started successfully. STarting framework and services....... Framework and
services successfully started
関連項目
•
ハイアベイラビリティ用の MSE の準備
•
プライマリ MSE での MSE ハイアベイラビリティの設定
•
MSE ハイアベイラビリティの設定
プライマリ MSE の交換
何らかの理由でプライマリ MSE を交換する必要がある場合、以下の手順に従うことにより、現在
のペアリング情報を新しく設定したプライマリ MSE にリカバリできます。
ステップ 1
セットアップスクリプトを使用して、MSE をプライマリとして設定します。
ステップ 2
Prime Infrastructure を使用して、プライマリ MSE とセカンダリ MSE の間のペアリングをセット
アップします。
ステップ 3
プライマリ MSE からセカンダリ MSE へのフェールオーバーを開始します。
ステップ 4
セットアップスクリプトを使用して、交換用 MSE をプライマリとして設定します。新しいプラ
イマリ MSE は、セカンダリ MSE とソフトウェアのバージョンが同じであり、古いプライマリ
MSE と設定が同じであることが必要です。
ステップ 5
リカバリモードを選択し、指示に従います。
ステップ 6
Prime Infrastructure を使用して、新しいプライマリ MSE へのフェールバックを開始します。
この新しいプライマリ MSE には新しいライセンスが必要です。最初のライセンスは新しいプラ
イマリ MSE の UDI に一致しないため機能しません。
関連項目
•
プライマリ MSE での MSE ハイアベイラビリティの設定
•
MSE ハイアベイラビリティの設定
Cisco Prime Infrastructure 3.0 管理者ガイド
9-58
CH A P T E R
10
ワイヤレス冗長性の設定
ワイヤレスネットワーク内のコントローラの冗長性を設定することにより、ネットワークのダ
ウンタイムを削減できます。ここでは、ワイヤレスコントローラの冗長性について、および Cisco
Prime Infrastructure を使用して管理用に適切に設定する方法について説明します。
関連項目
•
ワイヤレスコントローラの冗長性について
•
冗長性の前提条件と制限事項
•
冗長インターフェイスの設定
•
プライマリコントローラの冗長性の設定
•
セカンダリコントローラの冗長性の設定
•
冗長性状態のモニタリング
•
冗長ステータスのバックグラウンドタスクの実行
•
ピアサービスポートの IP およびサブネットマスクの設定
•
ピアネットワークルートの追加
•
セカンダリサーバのリセットおよびセカンダリサーバからのファイルのアップロード
•
コントローラの冗長性の無効化
ワイヤレスコントローラの冗長性について
冗長アーキテクチャでは、1 台のワイヤレスコントローラがアクティブ状態となり、もう 1 台の
コントローラがスタンバイ状態となります。スタンバイコントローラは常時、冗長ポートを介し
てアクティブコントローラのヘルスをモニタします。両方のコントローラは管理インターフェ
イスの IP アドレスを含め、同じ設定を共有します。
コントローラがスタンバイ状態になるか、アクティブ状態になるかは、製造時に発注される固有
デバイス識別情報（UDI）である、冗長在庫管理単位（SKU）に基づきます。冗長 SKU UDI を持つコ
ントローラは、起動されて永続カウントライセンスを実行するコントローラとペアになる場合、
最初はスタンバイ状態です。永続カウントライセンスを持つコントローラの場合、コントローラ
がアクティブ状態であるか、スタンバイ状態であるかを手動で設定できます。
このリリースでは、アクセスポイントのステートフルスイッチオーバー（AP SSO）がサポートさ
れます。AP SSO により、AP セッションがスイッチオーバー後もそのままであることが保証され
ます。
Cisco Prime Infrastructure 3.0 管理者ガイド
10-1
第 10 章
ワイヤレス冗長性の設定
冗長性の前提条件と制限事項
クライアントのステートフルスイッチオーバーはサポートされていません。これは、ほぼすべて
のクライアントが認証解除され、アクティブ状態の新しいコントローラに再び関連付けられる
ことを意味します。この規則の唯一の例外は、FlexConnect モードのアクセスポイントでローカ
ルに切り替えられる WLAN 上のクライアントです。
冗長性の前提条件と制限事項
ワイヤレスコントローラの冗長性を設定する前に、以下の前提条件および制限事項を考慮する
必要があります。
•
ワイヤレスコントローラの冗長性は、5500、7500、8500、および Wism2 のコントローラでサ
ポートされます。
•
プライマリおよびセカンダリコントローラは、同じハードウェアモデルである必要があり
ます。
•
プライマリおよびセカンダリコントローラは、同じコントローラソフトウェアリリースを
実行している必要があります。
•
管理、冗長管理、およびピア冗長管理インターフェイスの IP アドレスは、同じサブネット内
にある必要があります。
•
サービスポートの IP アドレスおよびルート情報はデバイスごとに維持されます。
•
冗長性がコントローラ上で有効な場合、Prime Infrastructure やその他のデバイスでもスタン
バイコントローラを管理することはできません。
•
コントローラがサービスポートを経由して Prime Infrastructure に追加された場合、コント
ローラの冗長性を有効にすることはできません。コントローラの冗長性を有効にするには、
コントローラを削除し、管理インターフェイスを通じてそのコントローラを追加する必要が
あります。
•
コントローラと Prime Infrastructure 間に監査の不一致がある場合、Prime Infrastructure の冗長
パラメータをコントローラに復元しないでください。ただし、Prime Infrastructure の冗長パラ
メータを更新することはできます。
•
冗長性を有効にする前に、各デバイスの証明書をダウンロードする必要があります。
•
設定がネットワークからアクティブコントローラにダウンロードされ、続いて、詳細が冗長
インターフェイス経由でスタンバイコントローラに転送されます。
•
古いアクティブコントローラが新しいアクティブコントローラとペアになると、古いアク
ティブコントローラには制御が移らず、新しいアクティブコントローラのスタンバイコン
トローラになります。
Cisco Prime Infrastructure 3.0 管理者ガイド
10-2
第 10 章
ワイヤレス冗長性の設定
冗長インターフェイスの設定
冗長インターフェイスの設定
冗長インターフェイスには、冗長管理インターフェイスと冗長ポートインターフェイスの 2 つ
があります。冗長管理インターフェイスは、管理インターフェイスのサブネットマスク、ゲート
ウェイ、および VLAN ID を共有するローカル物理管理インターフェイスです。プライマリおよ
びセカンダリコントローラの冗長性を有効にするには、冗長管理インターフェイスの IP アドレ
スだけを設定する必要があります。冗長ポートインターフェイスの IP アドレスは自動生成さ
れ、内部的に使用されます。
ステップ 1
[Configuration]> [Network] > [Network Devices] の順に選択します。
ステップ 2
[Device Groups] 領域で、[Device Type] を展開し、次に [Wireless Controller] を展開します。
ステップ 3
プライマリコントローラとして選択したデバイスと一致するワイヤレスコントローラのグ
ループを選択します（たとえば、Cisco 5500 シリーズワイヤレス LAN コントローラなど）。この
デバイスグループのメンバーが右側に表示されます。
ステップ 4
プライマリコントローラの [Device Name] をクリックします。
ステップ 5
[Configuration] タブをクリックします。
ステップ 6
左側のサイドバーのメニューから、[Redundancy] > [Global Configuration] の順に選択します。
[Global Configuration] ページが表示されます。
ステップ 7
[Redundancy-Management IP] テキストボックスに、管理インターフェイスのサブネットに属し
ている IP アドレスを入力します。
ステップ 8
[Save] をクリックします。
プライマリコントローラの冗長性の設定
ステップ 1
[Configuration]> [Network] > [Network Devices] の順に選択します。
ステップ 2
[Device Groups] 領域で、[Device Type] を展開し、次に [Wireless Controller] を展開します。
ステップ 3
冗長性管理インターフェイス IP アドレスを設定したデバイスと一致するワイヤレスコント
ローラのグループを選択します（たとえば、Cisco 5500 シリーズワイヤレス LAN コントローラ
など）。このデバイスグループのメンバーが右側に表示されます。
ステップ 4
冗長管理インターフェイスの IP アドレスを設定したコントローラの [Device Name] をクリック
します。
ステップ 5
[Configuration] タブをクリックします。
ステップ 6
左側のサイドバーのメニューから、[Redundancy] > [Global Configuration] の順に選択します。
[Global Configuration] ページが表示されます。
ステップ 7
プライマリコントローラの冗長モードを有効にする前に、次のパラメータを設定する必要があ
ります。
•
[Redundancy-Management IP]：冗長管理インターフェイスの詳細ページで設定した、ローカル
物理管理インターフェイスの IP アドレスが表示されます。また、IP アドレスを変更すること
もできます。
•
[Peer Redundancy-Management IP]：ピアの冗長管理インターフェイスの IP アドレスを入力し
ます。
Cisco Prime Infrastructure 3.0 管理者ガイド
10-3
第 10 章
ワイヤレス冗長性の設定
セカンダリコントローラの冗長性の設定
•
[Redundant Unit]：[Primary] を選択します。
•
[Mobility MAC Address]：冗長ペアの仮想 MAC アドレスを入力します。入力するモビリティ
MAC アドレスがプライマリおよびセカンダリの両方のコントローラで同じであることを確
認します。
ステップ 8
[Save] をクリックします。冗長モードの [Enabled] チェックボックスが有効になります。
ステップ 9
プライマリコントローラの冗長性を有効にするには、冗長モードの [Enabled] チェックボックス
をオンにします。
冗長性を有効にした後で、[Redundancy-Management IP]、[Peer Redundancy-Management IP]、
[Redundant Unit]、および [Mobility MAC Address] のパラメータを変更することはできません。
冗長ペアの処理中には、このコントローラを設定できません。
ステップ 10
[Save] をクリックします。設定が保存され、システムがリブートされます。
セカンダリコントローラの冗長性の設定
ステップ 1
[Configuration]> [Network] > [Network Devices] の順に選択します。
ステップ 2
[Device Groups] 領域で、[Device Type] を展開し、次に [Wireless Controller] を展開します。
ステップ 3
セカンダリコントローラとして動作するように選択したデバイスと一致するワイヤレスコン
トローラのグループを選択します（たとえば、Cisco 5500 シリーズワイヤレス LAN コントロー
ラなど）。このデバイスグループのメンバーが右側に表示されます。
ステップ 4
セカンダリコントローラの [Device Name] をクリックします。
ステップ 5
[Configuration] タブをクリックします。
ステップ 6
左側のサイドバーのメニュー、から [Redundancy] > [Global Configuration] の順に選択します。
[Global Configuration] ページが表示されます。
ステップ 7
セカンダリコントローラの冗長モードを有効にする前に、次のパラメータを設定する必要があ
ります。
ステップ 8
•
[Redundancy-Management IP]：ローカル物理管理インターフェイスの IP アドレスを入力しま
す。この IP アドレスは、プライマリコントローラのピアの冗長管理インターフェイスの IP
アドレスと同じである必要があります。
•
[Peer Redundancy-Management IP]：ピアの物理管理インターフェイスの IP アドレスを入力し
ます。この IP アドレスは、プライマリコントローラのローカル物理冗長管理インターフェイ
スの IP アドレスと同じである必要があります。
•
[Redundant Unit]：[Secondary] を選択します。
•
[Mobility MAC Address]：冗長ペアの仮想 MAC アドレスを入力します。入力するモビリティ
MAC アドレスがプライマリおよびセカンダリの両方のコントローラで同じであることを確
認します。
[Save] をクリックします。冗長モードの [Enabled] チェックボックスが編集可能になります。
Cisco Prime Infrastructure 3.0 管理者ガイド
10-4
第 10 章
ワイヤレス冗長性の設定
冗長性状態のモニタリング
ステップ 9
セカンダリコントローラの冗長性を有効にするには、冗長モードの [Enabled] チェックボックス
をオンにします。
冗長性を有効にした後で、[Redundancy-Management IP]、[Peer Redundancy-Management IP]、
[Redundant Unit]、および [Mobility MAC Address] のパラメータを変更することはできません。
冗長ペアの処理中には、プライマリコントローラを設定できません。
ステップ 10
[Save] をクリックします。設定が保存され、システムがリブートされます。
冗長性状態のモニタリング
冗長モードがプライマリおよびセカンダリコントローラで有効になると、システムがリブート
されます。両方のコントローラの冗長ステートが、[Wireless Controller Members] リストページで
[Enabled] になります。以下のトラップがトリガーされます。
•
RF_SWITCHOVER_ACTIVITY：このトラップは、スタンバイコントローラが新しいアク
ティブコントローラになるとトリガーされます。
•
RF_PROGRESSION_NOTIFY：このトラップは、プライマリまたはアクティブコントローラ
のステートが [Disabled] から [StandbyCold] に変更された後、[StandbyHot] に変更されると、
そのピアコントローラによってトリガーされます。
•
RF_HA_SUP_FAILURE_EVENT：このトラップは、アクティブとスタンバイコントローラ間
の不一致のために冗長性が失敗したときにトリガーされます。
これらのトラップに関する詳細については、「関連項目」の「Cisco Prime Infrastructure Alarms and
Events」を参照してください。
ローカルおよびピアのステート、装置、冗長管理の IP アドレス、ピアの冗長管理、冗長ポート、ピ
アの冗長ポート、ペアコントローラのピアサービスポートなど、冗長ステートの詳細を表示で
きます。
これらの詳細を表示するには、[Monitor] > [Managed Elements] > [Network Devices] > [Device
Type] > [Wireless Controller] > [Controller Group] > [Controller] > [Device Details] > [Redundancy] >
[Redundancy States] の順に選択します。
関連項目
•
Cisco Prime Infrastructure Alarms and Events
冗長ステータスのバックグラウンドタスクの実行
ピアのステートが [StandbyCold] から [StandbyHot] に変更されると、Prime Infrastructure が冗長ト
ラップを見落とすことがあります。その結果、冗長ペアの処理を完了できません。
この問題を解決するには、冗長ステータスのバックグラウンドタスクを手動で実行する必要が
あります。このタスクを実行すると、以下の操作が行われます。
•
スタンバイコントローラを Prime Infrastructure から削除します。
•
ピアネットワークルートテーブルエントリと、ネットワークルートテーブルエントリを
スワップします。
•
冗長ステート情報およびシステムインベントリ情報を更新します。
Cisco Prime Infrastructure 3.0 管理者ガイド
10-5
第 10 章
ワイヤレス冗長性の設定
ピアサービスポートの IP およびサブネットマスクの設定
冗長ペアの処理が完了すると、アクティブコントローラの冗長ステートが [Paired] になり、スタ
ンバイコントローラは Prime Infrastructure から削除されます。
ステップ 1
管理者権限を持つユーザ ID を使用して Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Settings] > [Background Tasks] の順に選択します。
ステップ 3
[Redundancy Status] バックグラウンドタスクを選択します。
ステップ 4
[Select a command] > [Execute Now] > [Go] の順に選択します。
ピアサービスポートの IP およびサブネットマスクの
設定
ピアコントローラのステートが [StandbyHot] の場合にだけ、ピアサービスポートの IP アドレ
スおよびサブネットマスクを設定できます。ピアサービスポートの IP アドレスを設定する前
に、DHCP がローカルサービスポートで無効になっていることを確認します。
ステップ 1
[Configuration]> [Network] > [Network Devices] の順に選択します。
ステップ 2
[Device Groups] 領域で、[Device Type] を展開し、次に [Wireless Controller] を展開します。
ステップ 3
プライマリコントローラまたはアクティブコントローラが含まれるワイヤレスコントローラ
のグループを選択します。このデバイスグループのメンバーが右側に表示されます。
ステップ 4
プライマリまたはアクティブコントローラのデバイス名をクリックします。
ステップ 5
[Configuration] タブをクリックします。
ステップ 6
左側のサイドバーのメニューから、[Redundancy] > [Global Configuration] の順に選択します。
[Global Configuration] ページが表示されます。
ステップ 7
次のフィールドに入力します。
ステップ 8
•
[Peer Service Port IP]：ピアサービスポートの IP アドレスを入力します。
•
[Peer Service Netmask IP]：ピアサービスサブネットマスクの IP アドレスを入力します。
[Save] をクリックします。
ピアネットワークルートの追加
ピアコントローラのステートが [StandbyHot] の場合にだけ、アクティブコントローラでピア
ネットワークルートを追加できます。新しいネットワークルートテーブルが維持されます。ス
タンバイコントローラがアクティブになると、ネットワークルートテーブルのエントリは、ピ
アネットワークルートテーブルのエントリとスワップされます。
ステップ 1
[Configuration]> [Network] > [Network Devices] の順に選択します。
ステップ 2
[Device Groups] 領域で、[Device Type] を展開し、次に [Wireless Controller] を展開します。
Cisco Prime Infrastructure 3.0 管理者ガイド
10-6
第 10 章
ワイヤレス冗長性の設定
セカンダリサーバのリセットおよびセカンダリサーバからのファイルのアップロード
ステップ 3
冗長管理インターフェイスの IP アドレスを設定したコントローラが含まれるワイヤレスコン
トローラのグループを選択します。このデバイスグループのメンバーが右側に表示されます。
ステップ 4
冗長管理インターフェイスの IP アドレスを設定したコントローラの [Device Name] をクリック
します。
ステップ 5
[Configuration] タブをクリックします。
ステップ 6
左側のサイドバーのメニューから、[Redundancy] > [Peer Network Route] の順に選択します。
ステップ 7
[Select a command] > [Add Peer Network Route] > [Go] を選択します。[Peer Network Route Details]
ページが表示されます。
ステップ 8
次のフィールドに入力します。
ステップ 9
•
[IP Address]：ピアネットワークルートの IP アドレスを入力します。
•
[IP Netmask]：ピアネットワークルートのサブネットマスクを入力します。
•
[Gateway IP Address]：ピアネットワークルートゲートウェイの IP アドレスを入力します。
[Save] をクリックします。ピアネットワークルートが追加されます。
セカンダリサーバのリセットおよびセカンダリサーバ
からのファイルのアップロード
セカンダリサーバが [StandbyHot] 状態であり、ハイアベイラビリティペアリングプロセスが完
了している場合、セカンダリサーバをリセットできます。また、セカンダリサーバからプライマ
リサーバにファイルをアップロードすることもできます。
ステップ 1
[Configuration]> [Network] > [Network Devices] の順に選択します。
ステップ 2
[Device Groups] 領域で、[Device Type] を展開し、次に [Wireless Controller] を展開します。
ステップ 3
冗長管理インターフェイスの IP アドレスを設定したコントローラが含まれるワイヤレスコン
トローラのグループを選択します。このデバイスグループのメンバーが右側に表示されます。
ステップ 4
冗長管理インターフェイスの IP アドレスを設定したコントローラの [Device Name] をクリック
します。
ステップ 5
[Configuration] タブをクリックします。
ステップ 6
左側のサイドバーのメニューから、[Redundancy] > [Redundancy Commands] の順に選択します。
ステップ 7
[Administrative Commands] で、[Select a command] > [Reset Standby] > [Go] を順に選択して、セカ
ンダリサーバをリセットします。
ステップ 8
[Upload/Download Commands] で、次のように操作します。
a.
セカンダリサーバからプライマリサーバにファイルをアップロードするときに使用するト
ランスポートプロトコルを選択します（[TFTP] がデフォルトです）。
b.
[Select a command]> [Upload File from Standby Controller] > [Go] を選択して、セカンダリサー
バからプライマリサーバにファイルをアップロードします。
Cisco Prime Infrastructure 3.0 管理者ガイド
10-7
第 10 章
ワイヤレス冗長性の設定
コントローラの冗長性の無効化
コントローラの冗長性の無効化
コントローラの冗長性を無効にすると、アクティブおよびスタンバイの両方のコントローラが
リブートされます。冗長パラメータの監査の不一致を解消するには、デバイスから設定を更新す
る必要があります。アクティブコントローラはスタンドアロンコントローラになり、スタンバ
イコントローラはポートがすべて無効に設定されてリブートします。
ステップ 1
[Configuration]> [Network] > [Network Devices] の順に選択します。
ステップ 2
[Device Groups] 領域で、[Device Type] を展開し、次に [Wireless Controller] を展開します。
ステップ 3
冗長性を無効にするコントローラが含まれるワイヤレスコントローラのグループを選択しま
す。このデバイスグループのメンバーが右側に表示されます。
ステップ 4
冗長性を無効にするコントローラの [Device Name] をクリックします。
ステップ 5
[Configuration] タブをクリックします。
ステップ 6
左側のサイドバーのメニューから、[Redundancy] > [Global Configuration] の順に選択します。
[Global Configuration] 詳細ページが表示されます。
ステップ 7
選択したコントローラの [Redundancy Mode] の [Enabled] チェックボックスをオフにします。
ステップ 8
[Save] をクリックします。設定が保存され、システムがリブートされます。
Cisco Prime Infrastructure 3.0 管理者ガイド
10-8
CH A P T E R
11
ユーザアクセスの制御
この章では、Cisco Prime Infrastructure へのユーザアクセスの制御および管理の方法について説
明します。
関連項目
•
ユーザアカウントの管理
•
Lobby Ambassadors を使用したゲストユーザアカウントの管理
•
ユーザグループを使用したアクセスの制御
•
仮想ドメインを使用したアクセスの制御
•
ユーザアクセスの監査
•
Prime Infrastructure 上での AAA の設定
ユーザアカウントの管理
ここでは、Prime Infrastructure ユーザアカウントの管理方法について説明します。
関連項目
•
アクティブユーザセッションの表示
•
ユーザアカウントの追加
•
追加の管理ユーザの作成
•
ユーザアカウントの削除
•
ゲストアカウントの設定
•
ユーザアカウントの無効化
•
web root アカウントの無効化
•
ユーザパスワードの変更
•
パスワードポリシーの変更
•
グローバルアイドルタイムアウトの変更
Cisco Prime Infrastructure 3.0 管理者ガイド
11-1
第 11 章
ユーザアクセスの制御
ユーザアカウントの管理
アクティブユーザセッションの表示
管理者は、アクティブな Prime Infrastructure ユーザセッションを表示して、ユーザ IP アドレスや
ステータスなどの詳細を確認できます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Active Sessions] の順に選択します。Prime
Infrastructure は、現在アクティブなユーザセッションを一覧表示します。
ステップ 3
次のデータを表示するユーザ名の [Audit Trail] アイコンをクリックします。
•
[User]：ユーザのログイン名
•
[Client IP Address]：ユーザのクライアントデバイスの IP アドレス。
•
[Device IP Address]：ユーザの操作によって影響を受けるデバイスの IP アドレス（デバイス設
定の変更など、該当する場合）。
•
[Descriptions]：ユーザが実行した操作の説明（ログイン、ログアウトなど）。
•
[Time]：操作が監査された時刻。
監査証跡エントリは、個別のデバイス変更に関してログに記録されることがあります。たとえ
ば、テンプレートが複数のスイッチに適用された場合、テンプレートの適用先のスイッチごと
に、複数の監査証跡エントリが存在することになります。
関連項目
•
ユーザアカウントの追加
•
ユーザアカウントの無効化
•
ユーザパスワードの変更
ユーザアカウントの追加
管理者は、Prime Infrastructure ユーザアカウントを追加して、事前に定義された静的ロールをそ
れらのユーザに割り当てることができます。異なる権限の管理アクセスを特定のユーザグルー
プに付与することもできます。
運用センターを使用している場合：運用センターで作成されたユーザアカウントでは、運用セン
ターまたは運用センターで管理されている任意の Prime Infrastructure 2.2（またはそれ以降）のイ
ンスタンスにログインできます。運用センターから Prime Infrastructure バージョン 2.1.2 のイン
スタンスにログインするには、ユーザ ID が 2.1.2 インスタンスでローカルに存在していなけれ
ばなりません。また、2.1.2 インスタンスには、運用センターに関する必須の更新が実行されてい
ることも必要です。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Users] の順に選択します。
ステップ 3
[Select a command] > [Add User] > [Go] の順に選択します。
ステップ 4
新しいユーザのユーザ名とパスワードを入力してから、パスワードを確認します。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-2
第 11 章
ユーザアクセスの制御
ユーザアカウントの管理
ステップ 5
ユーザグループ名の横にあるチェックボックスをオンにすることによって、このユーザが属す
るユーザグループを選択します（「関連項目」の「ユーザグループを使用したアクセスの制御」を
参照）。
ステップ 6
[Virtual Domains] タブをクリックして、このユーザを仮想ドメインに割り当てます（「関連項目」
の「仮想ドメインでのユーザアクセス」を参照）。
ステップ 7
[Save] をクリックします。
関連項目
•
追加の管理ユーザの作成
•
ユーザアカウントの削除
•
ユーザアカウントの無効化
•
Lobby Ambassadors を使用したゲストユーザアカウントの管理
•
ユーザグループを使用したアクセスの制御
•
仮想ドメインへのユーザの追加
追加の管理ユーザの作成
十分な権限を持つすべての Prime Infrastructure 管理者は、追加の管理ユーザアカウントを作成
し、同一またはそれ以下の権限を付与することができます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Users] の順に選択します。
ステップ 3
[Select a command] > [Add User] > [Go] の順に選択します。
ステップ 4
新しいユーザアカウントに必要なフィールドに入力します。
ステップ 5
[Admin] をクリックして、新しいユーザに管理権限を付与します。
ステップ 6
[Save] をクリックします。
関連項目
•
ユーザアカウントの追加
•
アクティブユーザセッションの表示
•
ユーザアカウントの無効化
•
ユーザパスワードの変更
Cisco Prime Infrastructure 3.0 管理者ガイド
11-3
第 11 章
ユーザアクセスの制御
ユーザアカウントの管理
ユーザアカウントの削除
ユーザアクセスを一時的に拒否する場合、管理者は、Prime Infrastructure ユーザアカウントを削
除する必要はありません。そのアカウントをロックし、そのユーザが復帰するときにロックを解
除することができます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Users] の順に選択します。
ステップ 3
削除するユーザの名前の左側にあるチェックボックスをオンにします。
ステップ 4
[Select a command] > [Delete User] > [Go] の順に選択します。
ステップ 5
[OK] をクリックします。
関連項目
•
ユーザアカウントの追加
•
アクティブユーザセッションの表示
•
ゲストアカウントの設定
•
ユーザアカウントの無効化
•
ユーザパスワードの変更
•
パスワードポリシーの変更
ゲストアカウントの設定
Prime Infrastructure 管理者は次の選択ができます。
•
期限切れのゲストアカウントをすべて強制的に自動削除する。
•
Lobby Ambassador のゲストアカウントに対する制御を、その Lobby Ambassador が作成した
アカウントのみに制限する。
これらの選択肢はいずれも、Lobby ambassador がこれらの一時ゲストアカウントの管理する必
要がある範囲に制限を加えることになります。Lobby ambassador の使用に関する詳細について
は、「関連項目」の「Lobby Ambassador を使用したゲストユーザアカウントの管理」を参照してく
ださい。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Settings] > [System Settings] > [General] > [Guest Account] の順に選択します。
ステップ 3
次のように、オプションボタンの選択を変更します。
ステップ 4
•
[Automatically remove expired guest accounts] を選択して、ライフタイムが終了したゲストア
カウントが Expired 状態に移行されるようにします。Expired 状態のゲストアカウントは
Prime Infrastructure から自動的に削除されます。
•
[Search and List only guest accounts created by this lobby ambassador] を選択して、作成したゲ
ストアカウントしか変更できないように Lobby Ambassador を制限します。デフォルトでは、
Lobby Ambassador は、どのユーザが作成したかに関係なく、任意のゲストアカウントを変更
または削除できます。
[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-4
第 11 章
ユーザアクセスの制御
ユーザアカウントの管理
関連項目
•
Lobby Ambassadors を使用したゲストユーザアカウントの管理
•
ユーザグループを使用したアクセスの制御
•
仮想ドメインを使用したアクセスの制御
ユーザアカウントの無効化
管理者は、ユーザが Prime Infrastructure にログインできないように、そのユーザアカウントを無
効にすることができます。ユーザが休暇中や一時的に職務権限が変更された場合など、ユーザア
カウントを無効にしなければならない場合があります。ユーザアカウントを無効にすることに
より、そのユーザの Prime Infrastructure へのアクセスを無効化できます。後日、ユーザアカウント
をロック解除することによって、Prime Infrastructure へのアクセスを有効化でき、ユーザを作成
し直す必要がありません。
期限失効前にパスワードを変更しなかった場合は、自動的にユーザアカウントが無効になりま
す。この場合、パスワードをリセットできるのは管理者だけです（「関連項目」の「ユーザパスワー
ドの変更」および「パスワードポリシーの変更」を参照）。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Users] の順に選択します。
ステップ 3
アクセスを無効にするユーザを選択します。
ステップ 4
[Select a command] > [Lock User(s)] > [Go] の順に選択します。
ユーザが次に Prime Infrastructure にログインしようとすると、アカウントがロックされているた
め、ログインが失敗したことを伝えるメッセージが表示されます。
関連項目
•
ユーザアカウントの追加
•
ユーザアカウントの削除
•
web root アカウントの無効化
•
パスワードポリシーの変更
•
ユーザパスワードの変更
web root アカウントの無効化
Prime Infrastructure には、「root」という名前のデフォルトユーザアカウントが付属しています。
Prime Infrastructure のインストール時に、web root アカウントのパスワードを入力する必要があ
ります。この「root」ユーザアカウントとそのパスワードは、Prime Infrastructure Web インターフェ
イスに初めてログインするときに使用されます。
通常の運用では web root アカウントを使用しないことをお勧めします。代わりに、すべての特権
を持つ管理アカウントまたはスーパーユーザアカウントを作成してから、Prime Infrastructure の
インストール時に作成した web root アカウントを無効にしてください。
web root アカウントを無効にするには、そのアカウントに対して、「関連項目」の「root アクセスの
無効化」の手順を実行します。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-5
第 11 章
ユーザアクセスの制御
ユーザアカウントの管理
関連項目
•
root アクセスの無効化
•
ユーザアカウントの無効化
•
ユーザアカウントの追加
•
アクティブユーザセッションの表示
ユーザパスワードの変更
ユーザパスワードは、管理者がユーザパスワードポリシーを設定するときに指定された、再利
用カウントに基づいて制御されます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Change Password] の順に選択します。
ステップ 3
パスワードフィールドに入力してから、[Save] をクリックします。
関連項目
•
ユーザアカウントの管理
•
パスワードポリシーの変更
•
ユーザアカウントの追加
パスワードポリシーの変更
Prime Infrastructure は、そのユーザに関する次のような標準パスワードポリシーをサポートします。
•
パスワードの最小長と再利用に対する制御。
•
一般的な単語やユーザ名などの禁止されたパスワードコンテンツ。
•
含める必要のある文字クラス、反復文字、一般的な文字の代用などのその他の種類の文字選
択に関するルール。
•
パスワードの失効に関連付けられたパスワードの有効期限とユーザ警告。
これらのパスワードポリシーは、ローカルで管理されているユーザのパスワードにのみ影響し
ます。Prime Infrastructure サーバの認証に AAA サーバを使用している場合は、AAA サーバ上で
パスワードポリシーを設定する必要があります。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Local Password Policy] の順に選択します。
ステップ 3
適用するポリシーを選択し、[Save] をクリックします。
関連項目
•
ユーザアカウントの追加
•
Prime Infrastructure 上での AAA の設定
Cisco Prime Infrastructure 3.0 管理者ガイド
11-6
第 11 章
ユーザアクセスの制御
Lobby Ambassadors を使用したゲストユーザアカウントの管理
グローバルアイドルタイムアウトの変更
Prime Infrastructure は、アイドルユーザを自動的にログオフします。この処理の実行タイミング
と方法を制御する設定が以下の 2 つです。
•
ユーザアイドルタイムアウト：個々のユーザが、この設定を有効にして、タイムアウトに
なったときにユーザセッションを終了するように設定できます。このユーザアイドルタイ
ムアウトは、デフォルトで有効になっており、15 分に設定されています。
•
グローバルアイドルタイムアウト：管理者特権を持つユーザは、この設定を有効にして、シ
ステム全体のすべてのユーザに影響する設定値を構成できます。グローバルアイドルタイ
ムアウトの設定は、ユーザアイドルタイムアウトの設定より優先されます。グローバルア
イドルタイムアウトは、デフォルトで有効になっており、15 分に設定されています。
次の手順では、管理者がグローバルアイドルタイムアウトを変更したり、必要に応じて無効に
する方法について説明します。ユーザタイムアウト設定の変更についての詳細は、「関連項目」の
「Changing Your Idle-User Timeout」を参照してください。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Settings] > [System Settings] > [General] > [Server] の順に選択します。
ステップ 3
[Global Idle Timeout] で次のように操作します。
ステップ 4
•
グローバルアイドルタイムアウトを有効化または無効化するには、[Logout all idle users] の
隣のチェックボックスのオン/オフ状態を切り替えます。
•
[Logout all idle users after] ドロップダウンリストから、いずれかのアイドルタイムアウト限
度を選択します。
[Save] をクリックします。変更を有効にするには、ログアウト後に再度ログインする必要があり
ます。
関連項目
•
アクティブユーザセッションの表示
•
Changing Your Idle-User Timeout
Lobby Ambassadors を使用したゲストユーザアカウント
の管理
Lobby Ambassador アカウントは、特殊な Prime Infrastructure 管理アカウントであり、一時ゲスト
ユーザアカウントの追加、管理、廃棄に使用されます。Lobby Ambassador アカウントは、Lobby
Ambassador プロファイルで規定されるきわめて限定的なネットワーク設定権限を持ち、ゲスト
アカウントの管理に使用される Prime Infrastructure 機能のみにアクセスできます。
通常、企業によって提供されるゲストネットワークは、企業のホストを危険にさらすことなく、
ゲストがインターネットにアクセスできるようにします。Web 認証は専用クライアントなしで
提供されるのが普通であるため、大半のゲストはそれらの目的の宛先への VPN トンネルを開始
する必要があります。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-7
第 11 章
ユーザアクセスの制御
Lobby Ambassadors を使用したゲストユーザアカウントの管理
Prime Infrastructure では、有線および無線の両方のゲストユーザアクセスを許可しています。有
線ゲストアクセスにより、ゲストユーザはゲストアクセス用に指定および設定されている有線
イーサネット接続からゲストアクセスネットワークに接続できます。有線ゲストアクセスポー
トは、ゲストオフィスまたは会議室の特定のポート経由で利用可能にすることもできます。無線
ゲストユーザアカウントのように、有線ゲストアクセスポートが Lobby Ambassador 機能を使
用するネットワークに追加されます。
Lobby Ambassador では、次の種類のゲストユーザアカウントを作成できます。
•
ライフタイムの期限があるゲストユーザアカウント。指定した時間が経過すると、ゲスト
ユーザアカウントは自動的に失効します。
•
ライフタイムの期限がないゲストユーザアカウント。このアカウントには有効期限があり
ません。
•
事前に定義された将来の時刻にアクティブ化されるゲストユーザアカウント。Lobby
Ambassador では、有効期間の開始と終了が定義されています。
SuperUser または管理者権限を持つすべての Prime Infrastructure 管理者は、複数の Lobby
Ambassador アカウントを作成し、さまざまなプロファイルと権限を付与することができます。
ゲストユーザアカウントが検出された後のそれらの正確なライフタイムを表示するには、デバ
イスで正しく時間設定が行われていることを確認してください。
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストアカウントのデバイスへの保存
•
ゲストユーザのクレデンシャルの編集
ゲストユーザアカウントの管理：ワークフロー
Lobby Ambassador は、次のワークフローに従ってゲストユーザアカウントを管理できます。
1.
ゲストユーザアカウントの作成：Lobby Ambassador としてログインし、ゲストユーザアカ
ウントを必要に応じて作成します。
2.
ゲストユーザアカウントのスケジュール設定：Lobby Ambassador としてログインし、ゲスト
ユーザアカウントの自動作成のスケジュールを設定します。
3.
ゲストユーザ詳細の印刷または電子メール送信：Lobby Ambassador としてログインし、ゲス
トユーザアカウントの詳細を印刷したり、ゲストを受け入れるホストや個人にこの情報を
電子メールで送信します。
フルアクセスが可能な Prime Infrastructure 管理者は、次のワークフローを使用して、Lobby
Ambassador とそれらの作業を管理できます。
1.
Lobby Ambassador アカウントの作成：Prime Infrastructure 管理者としてログインし、Lobby
Ambassador アカウントを必要に応じて作成します。
2.
Lobby Ambassador アクティビティの表示：Prime Infrastructure 管理者としてログインし、ロ
グを使って Lobby Ambassador のアクティビティを管理します。
関連項目
•
Lobby Ambassador アカウントの作成
•
Lobby Ambassador としてのゲストユーザアカウントの作成
•
ゲストユーザアカウントのスケジュール設定
Cisco Prime Infrastructure 3.0 管理者ガイド
11-8
第 11 章
ユーザアクセスの制御
Lobby Ambassadors を使用したゲストユーザアカウントの管理
•
ゲストユーザの詳細の印刷または電子メール送信
•
Lobby Ambassador アクティビティの表示
Lobby Ambassador アカウントの作成
Lobby Ambassador アカウントの作成を開始する前に、デバイスで正しく時間設定が行われてい
ることを確認する必要があります（正しくない場合、ゲストユーザアカウントが検出された後
のアカウントライフタイムに誤りが生じます）。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users, Roles, & AAA] > [Users] の順に選択します。
ステップ 3
[Select a command] > [Add User] > [Go] の順に選択します。
ステップ 4
次のように必須フィールドに入力します。
ステップ 5
a.
[Groups Assigned to this User] セクションで、[LobbyAmbassador] チェックボックスをオンに
すると、[Lobby Ambassador Defaults] タブが表示されます。
b.
[Lobby Ambassador Defaults] タブの必須フィールドに入力します。
c.
[Virtual Domains] タブをクリックし、この Lobby Ambassador アカウントの仮想ドメインを割
り当てます。
d.
[Available Virtual Domains] リストで、このユーザにアクセスを許可する仮想ドメインをク
リックしてハイライト表示します。続いて [Add] をクリックして、これを [Selected Virtual
Domains] リストに追加します。
[Save] をクリックします。
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストアカウントのデバイスへの保存
•
ゲストユーザのクレデンシャルの編集
Lobby Ambassador としてのログイン
Prime Infrastructure ユーザインターフェイスにログインするには、Lobby Ambassador のユーザ名
とパスワードを使用する必要があります。Lobby Ambassador としてログインすると、[Guest User]
ページが開き、作成済みのすべてのゲストユーザのサマリが表示されます。
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストアカウントのデバイスへの保存
•
ゲストユーザのクレデンシャルの編集
Cisco Prime Infrastructure 3.0 管理者ガイド
11-9
第 11 章
ユーザアクセスの制御
Lobby Ambassadors を使用したゲストユーザアカウントの管理
Lobby Ambassador としてのゲストユーザアカウントの作成
ステップ 1
Lobby Ambassador として Prime Infrastructure にログインします。
ステップ 2
[Select a command] > [Add User Group] > [Go] の順に選択します。
ステップ 3
[General] タブおよび [Advanced] タブの必須フィールドに入力します。
ステップ 4
[Save] をクリックします。
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストアカウントのデバイスへの保存
•
ゲストユーザのクレデンシャルの編集
•
Field Reference for Guest User Pages
ゲストユーザアカウントのスケジュール設定
ステップ 1
Lobby Ambassador として Prime Infrastructure にログインします。
ステップ 2
[Select a command] > [Schedule Guest Use] > [Go] の順に選択します。
ステップ 3
必須パラメータを設定します。
[Generate new password on every schedule] および [No days of the week] チェックボックスがオン
の場合、ユーザはアカウントが有効な期間全体に対して 1 つのパスワードを使用します。
[Generate new password on every schedule] および [Any days of the week] チェックボックスがオン
の場合、ユーザは毎日新しいパスワードを使用します。
ステップ 4
[Save] をクリックします。
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストアカウントのデバイスへの保存
•
ゲストユーザのクレデンシャルの編集
Cisco Prime Infrastructure 3.0 管理者ガイド
11-10
第 11 章
ユーザアクセスの制御
Lobby Ambassadors を使用したゲストユーザアカウントの管理
ゲストユーザの詳細の印刷または電子メール送信
Lobby Ambassador では、ゲストユーザアカウントの詳細を印刷したり、ゲストを受け入れるホ
ストや個人にこの情報を電子メールで送信することができます。電子メールや印刷済みシート
には、次のアカウント詳細が示されます。
•
ゲストユーザアカウント名。
•
ゲストユーザアカウントのパスワード。
•
ゲストユーザアカウントが有効化される日付と時刻。
•
ゲストユーザアカウントが期限切れになって終了する日付と時刻。
•
ゲストユーザに割り当てられるプロファイル ID。使用する Profile ID については管理者に問
い合わせてください。
•
ゲストユーザに関する免責事項情報。
ステップ 1
Lobby Ambassador として Prime Infrastructure にログインします。
ステップ 2
[Guest User] ページで、アカウント詳細を送信するユーザ名の横にあるチェックボックスをオン
にします。
ステップ 3
[Select a command] > [Print/E-mail User Details] > [Go] の順に選択します。次のように進みます。
•
印刷する場合は、[Print] をクリックします。[Print] ページで、プリンタを選択して [Print] をク
リックします。
•
電子メールを送信する場合は、[Email] をクリックします。[Email] ページで、件名行に入力
し、受信者の電子メールアドレスを入力して、[Send] をクリックします。
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストアカウントのデバイスへの保存
•
ゲストユーザのクレデンシャルの編集
Lobby Ambassador アクティビティの表示
Prime Infrastructure 管理者は、監査証跡機能を使用して Lobby Ambassador を管理できます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [User Groups] の順に選択します。
ステップ 3
表示する Lobby Ambassador アカウントの [Audit Trail] アイコンをクリックします。Lobby
Ambassador の [Audit Trail] ページが表示されます。このページで、Lobby Ambassador アクティビ
ティ一覧を時系列表示できます。
•
ユーザのログイン名
•
監査された操作の種類
•
操作が監査された時刻
•
ログインの成功または失敗
•
ログイン失敗の理由（無効なパスワードなど）を示します。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-11
第 11 章
ユーザアクセスの制御
Lobby Ambassadors を使用したゲストユーザアカウントの管理
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストアカウントのデバイスへの保存
•
ゲストユーザのクレデンシャルの編集
ゲストアカウントのデバイスへの保存
ステップ 1
Lobby Ambassador として Prime Infrastructure にログインします。
ステップ 2
[Guest User] ページの [Save Guest Accounts on Device] チェックボックスをオンにして、ゲストア
カウントを Cisco Wireless LAN Controller（WLC）フラッシュに保存すると、WLC リブート時にも
アカウントを保持できます。
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストユーザのクレデンシャルの編集
ゲストユーザのクレデンシャルの編集
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Users] の順に選択します。
ステップ 3
クレデンシャルを編集するユーザ名をクリックします。
ステップ 4
必要なクレデンシャルを変更します。
編集の際、[Profile] の選択が削除されている場合（[Select a profile] に変更されている場合）、この
Lobby Ambassador のデフォルト値は削除されています。デフォルト値を再び有効にするには、設
定し直す必要があります。
ステップ 5
[Save] をクリックします。
関連項目
•
ゲストユーザアカウントの管理：ワークフロー
•
ゲストアカウントのデバイスへの保存
Cisco Prime Infrastructure 3.0 管理者ガイド
11-12
第 11 章
ユーザアクセスの制御
ユーザグループを使用したアクセスの制御
ユーザグループを使用したアクセスの制御
Prime Infrastructure のタスクのリストでは、ユーザがアクセスできる Prime Infrastructure の部分
と、その部分にアクセスしたときにユーザーが実行できる機能を制御します。
これらのアクセス権限の管理を容易にするために、Prime Infrastructure ではユーザグループも提
供しています。ユーザグループは、権限のリストとメンバーになっているユーザのリストです。
ユーザグループメンバーシップリスト上のユーザは、そのユーザグループに割り当てられたす
べての権限を持っています。
ユーザの権限は、ユーザグループメンバーシップに対してユーザを追加または削除することに
よって簡単に変更できます。ユーザグループが編集可能な場合は、ユーザグループタスクリス
トを使用して、特定のユーザグループのメンバーが実行可能な機能とアクセス可能な画面を変
更することもできます。
また、4 つのユーザ定義のユーザグループのいずれかを使用して、特定の権限の特別なカスタム
セットを定義してから、必要に応じてそれにユーザを割り当てることもできます。
Prime Infrastructure には、次の表に示すデフォルトユーザグループが付属しています。ほとんど
のデフォルトユーザグループの機能と権限は編集できないことに注意してください。ただし、
以下の手順を使用してすべてのユーザグループのメンバーシップを変更できます
表 11-1
デフォルトユーザグループ
ユーザグループ
アクセス対象
編集可能か
Admin
すべての Prime Infrastructure 管理タスク。
はい
Config Managers
すべての監視タスクと設定タスク。
はい
Lobby Ambassador
ゲストユーザのみのユーザ管理。
いいえ
Monitor Lite
資産のみの監視。
いいえ
NBI Credential
ノースバウンドインターフェイスクレデンシャル API。いいえ
NBI Read
ノースバウンドインターフェイス読み取り API。
いいえ
NBI Write
ノースバウンドインターフェイス書き込み API。
いいえ
North Bound API User
ゲストユーザサービス API
いいえ
Root
web root ユーザへのスーパーユーザアクセス。
いいえ
Super Users
すべての Prime Infrastructure タスク。
はい
System Monitoring
タスクの監視のみ。
はい
User Assistant
ローカルネットユーザ管理のみ。
いいえ
User-Defined 1
ユーザが選択可能な機能の組み合わせ。
はい
すべての mDNS ポリシー管理機能のみ。
いいえ
User-Defined 2
User-Defined 3
User-Defined 4
mDNS Policy Admin1
1. "mDNS Policy Admin" グループに含めるユーザの作成に RADIUS または TACACS+ を使用しないでください。
AAA サーバには、この種のユーザの作成に必要なマルチキャスト DNS 設定がありません。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-13
第 11 章
ユーザアクセスの制御
ユーザグループを使用したアクセスの制御
関連項目
•
ユーザグループの権限およびメンバーシップの表示
•
ユーザグループ特権の変更
•
ユーザグループメンバーシップの変更
ユーザグループの権限およびメンバーシップの表示
ユーザをユーザグループに割り当ててから、そのグループ内のユーザに実行を許可するタスク
を指定することによって、どのユーザがどの機能を実行できるかを簡単に管理できます。Prime
Infrastructure で使用可能なユーザグループの一覧については、「ユーザグループを使用したアク
セスの制御」（下記「関連項目」）の表を参照してください。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [User Groups] の順に選択します。
ステップ 3
権限とメンバーを表示するユーザグループのグループ名をクリックします。
•
[Tasks Permissions] タブに、このユーザグループに割り当てられた権限が表示されます。
•
[Members] タブに、このユーザグループに割り当てられたユーザが表示されます。
関連項目
•
ユーザグループを使用したアクセスの制御
•
ユーザグループ特権の変更
•
ユーザグループメンバーシップの変更
ユーザグループ特権の変更
Prime Infrastructure では、System Monitoring ユーザグループや Config Managers ユーザグルー
プなど、権限の編集が可能なユーザグループを複数提供しています（すべてのユーザグループ
の一覧とそれらの変数ステータスについては、「ユーザグループを使用したアクセスの制御」の
表参照）。必要に応じて、これらの編集可能なユーザグループに割り当てられた権限を変更でき
ます。
以下に示すように、4 つのユーザ定義ユーザグループを使用して、特定の権限の特別なセットを
定義することもできます。そして、これらのカスタムユーザグループをユーザを割り当てるこ
とができます（「関連項目」の「ユーザグループメンバーシップの変更」を参照）。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [User Groups] の順に選択します。
ステップ 3
編集可能なユーザグループのグループ名をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-14
第 11 章
ユーザアクセスの制御
ユーザグループを使用したアクセスの制御
ステップ 4
ステップ 5
[Tasks Permissions] タブを使用して、以下を行います。
•
このユーザグループに与える各タスクまたは機能の横にあるチェックボックスをオンにし
ます。
•
このユーザグループの権限から削除する各タスクまたは機能の横にあるチェックボックス
をオフにします。
終了したら、[Submit] をクリックします。
関連項目
•
ユーザグループを使用したアクセスの制御
•
ユーザグループの権限およびメンバーシップの表示
•
ユーザグループメンバーシップの変更
ユーザグループメンバーシップの変更
ユーザが属しているユーザグループを変更することによって、Prime Infrastructure 内のユーザの
権限を簡単に変更できます。
仮想ドメインからアクセス可能なサイトまたはデバイスを割り当てることもできます。詳細に
ついては、「関連項目」の「仮想ドメインを使用したアクセスの制御」を参照してください。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Users] の順に選択します。
ステップ 3
メンバーシップを変更するユーザのユーザ名をクリックします。[User Details] ページが表示さ
れます。
ステップ 4
[General] タブの [Groups Assigned to This User] で、以下を行います。
ステップ 5
•
そのユーザを追加する各ユーザグループの横にあるチェックボックスをオンにします。
•
そのユーザを削除する各ユーザグループの横にあるチェックボックスをオフにします。
完了したら、[Save] をクリックします。
関連項目
•
ユーザグループを使用したアクセスの制御
•
ユーザグループの権限およびメンバーシップの表示
•
ユーザグループメンバーシップの変更
•
仮想ドメインを使用したアクセスの制御
Cisco Prime Infrastructure 3.0 管理者ガイド
11-15
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
仮想ドメインを使用したアクセスの制御
仮想ドメインは、サイト、デバイス、およびアクセスポイントの論理的グループ分けです。仮想ド
メインに含める要素とその仮想ドメインへのアクセス権を付与する Prime Infrastructure ユーザ
を選択します。
仮想ドメインへのアクセス権を持っているユーザは、デバイスを設定したり、アラームを表示し
たり、仮想ドメインに含まれるネットワークの一部に関するレポートを生成したりできます。こ
のアクセス権を持っていないユーザは、執行できません。仮想ドメインへのアクセス権を持って
いるユーザには、興味のあるデバイスと情報だけを表示できるというメリットがあります。
デバイスを Prime Infrastructure に追加したら、仮想ドメインを追加できます。追加した各仮想ド
メインには名前が必要です。オプションで説明、電子メールアドレス、およびタイムゾーンを設
定できます。Prime Infrastructure は、指定されたタイムゾーンと電子メールアドレスを使用して、
ドメイン固有のレポートをスケジュールして電子メール送信します。レポートをスケジュール
する時間は仮想ドメインに固有の時間帯に設定することができ、スケジュールされたレポート
は仮想ドメインに指定された電子メールアドレスに送信することができます。
仮想ドメインをセットアップする前に、必ず、ネットワーク内の特定のサイト、デバイス、および
アクセスポイントの管理を担当する Prime Infrastructure ユーザを決める必要があります。その後
で、組織の物理サイト、ネットワーク内のデバイスタイプ、ネットワークが扱うユーザコミュニ
ティ、または選択したその他の特性に基づいて、仮想ドメインを構成できます。
関連項目
•
仮想ドメインについて
•
仮想ドメインでのユーザアクセス
•
仮想ドメインの作成
•
仮想ドメインへのユーザの追加
仮想ドメインについて
仮想ドメインを管理するには、[Administration] > [Users] > [Virtual Domains] の順に選択します。
左側のペインの [Virtual Domains] サイドバーメニューには、リストビューとツリービューの両
方があり、デフォルトではツリービューが表示されます。このメニューには、[Add New Domain]
と [Import Domain(s)] の 2 つのアイコンが表示されます。これらのアイコンのすぐ下の [Search]
バーの使用が可能です。
仮想ドメインは、階層構造で編成されています。既存の仮想ドメインのサブセットには、親仮想
ドメインに含まれるネットワーク要素が含まれています。「ROOT-DOMAIN」ドメインには、すべ
ての仮想ドメインが含まれています。
「ROOT-DOMAIN」の上にマウスカーソルを移動すると、十字アイコンでポップアップウィンド
ウが開いて、この親仮想ドメインのサマリーが表示されます。ここで、サブドメインを作成でき
ます。
ネットワーク要素は階層的に管理されるため、デバイスとアクセスポイントのユーザビューだ
けでなく、レポート生成、検索結果、テンプレート、設定グループ、アラームなどの一部の関連機
能とコンポーネントも、ユーザの仮想ドメインの影響を受けます。ここでは、次の Prime
Infrastructure 機能に対する仮想ドメイン分割の影響について説明します。
•
レポート
•
検索
•
アラーム
Cisco Prime Infrastructure 3.0 管理者ガイド
11-16
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
•
テンプレート
•
設定グループ
•
マップ
•
アクセスポイント
•
コントローラ
•
電子メール通知
レポート
レポートには、現在の仮想ドメインに割り当てられたコンポーネントだけが含まれています。た
とえば、アクセスポイントだけが割り当てられ、コントローラが割り当てられていない仮想ドメ
インを作成すると、コントローラのインベントリレポートを生成したときに、一部のコントロー
ラは表示されません。
アクセスポイントだけが割り当てられ、コントローラが割り当てられていない仮想ドメインを作
成する場合、コントローラベースの機能のいくつかは選択できなくなります。たとえば、いくつか
のオプションでは、コントローラからアクセスポイントへドリルダウンする必要があります。コン
トローラは仮想ドメインにないため、関連付けられたレポートを生成できません。
レポートは、現在の仮想ドメインにだけ表示されます。親仮想ドメインは、サブ仮想ドメインの
レポートを表示できません。Client Count などのクライアントレポートには、現在の仮想ドメイ
ンに属するクライアントだけが含まれます。新しいクライアントが管理者によってこのパー
ティションに割り当てられていない場合、以前のレポートにはこれらの追加が反映されません。
新しいレポートだけに新しいクライアントが反映されます。
検索
検索結果には、検索が実行される仮想ドメインに割り当てられたコンポーネントだけが含まれ
ています。キャンパスが仮想ドメインに割り当てられていない場合、検索結果にフロア領域は表
示されません。
保存された検索は、現在の仮想ドメインにだけ表示されます。親仮想ドメインは、これらの検索
結果を表示できません。Prime Infrastructure はネットワークリストを分割しません。ネットワー
クリストごとにコントローラを検索する場合、すべてのコントローラが返されます。キャンパス
が仮想ドメインに割り当てられていない場合、検索結果にフロア領域は表示されません。
アラーム
コンポーネントが仮想ドメインに追加された場合、そのコンポーネントの以前のアラームは、該
当する仮想ドメインに表示されません。新しいアラームだけが表示されます。たとえば、新しい
コントローラが仮想ドメインに追加されると、追加される前にそのコントローラに生成された
アラームは、現在の仮想ドメインには表示されません。
関連するコントローラまたはアクセスポイントが仮想ドメインから削除された場合、同じ仮想
ドメインのアラームは削除されません。
アラームの電子メールによる通知：ROOT-DOMAIN 仮想ドメインの場合にのみ、ロケーション通
知、ロケーションサーバ、および Prime Infrastructure 電子メール通知を有効にできます。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-17
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
テンプレート
仮想ドメインでテンプレートを作成または検出する場合、そのテンプレートは、コントローラに
適用されないかぎり、その仮想ドメインでだけ使用できます。テンプレートがコントローラに適
用され、そのコントローラがサブ仮想ドメインに割り当てられる場合、テンプレートは新しい仮
想ドメインのコントローラに適用されます。
アクセスポイントテンプレートは、それらが作成された仮想ドメインにのみ表示されます。他
の仮想ドメインでは、同じアクセスポイントが追加されていたとしても、アクセスポイントテ
ンプレートを表示できません。
サブ（または子）ドメインを作成して、テンプレートを仮想ドメイン内の両方のネットワーク要
素に適用した場合は、テンプレートが適用されたパーティションの数が Prime Infrastructure に正
しく反映されない場合があります。
設定グループ
仮想ドメインの設定グループは、親仮想ドメインでも表示できます。親仮想ドメインは、サブ
（子）仮想ドメインの設定グループを変更できます。たとえば、親仮想ドメインは、サブ仮想ドメ
インのコントローラを追加または削除できます。
マップ
管理者が現在の仮想ドメインに割り当てたマップだけを表示できます。
•
キャンパスが仮想ドメインに割り当てられた場合、そのキャンパスのすべてのビルディング
が自動的に同じ仮想ドメインに割り当てられます。
•
ビルディングが仮想ドメインに割り当てられると、そのビルディングに関連するすべてのフ
ロアが自動的にビルディングに含まれます。
•
フロアが割り当てられると、そのフロアに関連するすべてのアクセスポイントが自動的に
フロアに含まれます。
仮想ドメインにフロアだけが割り当てられる場合、マップベースの機能のいくつかが選択でき
なくなります。たとえば、いくつかのレポートおよび検索では、キャンパスからビルディング、フ
ロアへドリルダウンする必要があります。キャンパスおよびビルディングは仮想ドメインにな
いため、これらの種類のレポートまたは検索を生成できません。
Prime Infrastructure に表示されるカバレッジエリアは、キャンパスおよびビルディングにだけ適
用されます。フロアだけの仮想ドメインの場合、Prime Infrastructure にカバレッジエリアは表示
されません。フロアが直接仮想ドメインに割り当てられる場合、フロアが属しているビルディン
グがある仮想ドメインからそのフロアを削除できません。
キャンパスが仮想ドメインに割り当てられていない場合、検索結果にフロア領域は表示されま
せん。
アクセスポイント
コントローラまたはマップが仮想ドメインに割り当てられている場合、そのコントローラまた
はマップに関連するアクセスポイントも自動的に割り当てられます。アクセスポイントを仮想
ドメインに手動で（コントローラまたはマップとは別に）割り当てることができます。
コントローラを仮想ドメインから削除する場合、関連するすべてのアクセスポイントも削除さ
れます。アクセスポイントが手動で割り当てられている場合、関連するコントローラが現在の仮
想ドメインから削除されている場合でも、そのアクセスポイントは割り当てられたままになり
ます。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-18
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
アクセスポイントだけが割り当てられ、コントローラが割り当てられていない仮想ドメインを
作成する場合、コントローラベースの機能のいくつかは選択できなくなります。たとえば、いく
つかのオプションでは、コントローラからアクセスポイントへドリルダウンする必要がありま
す。コントローラは仮想ドメインにないため、関連付けられたレポートを生成できません。
手動で追加されたアクセスポイントが仮想ドメインから削除されているにもかかわらず、同じ
仮想ドメインに割り当てられているコントローラまたはマップに関連付けられている場合、そ
のアクセスポイントは仮想ドメインで表示されたままになります。アクセスポイントが削除さ
れても、このアクセスポイントに関連するアラームは削除されません。
マップを仮想ドメインから削除する場合、マップ上のアクセスポイントを仮想ドメインから削
除できます。
アクセスポイントを後で別の場所に移動すると、（生成されたアラームなどの）いくつかのイベ
ントが、元のパーティションの場所に残ったままになる場合があります。
不正アクセスポイントのパーティションは、検出中のいずれかのアクセスポイント（最新また
は最も強い RSSI 値を持つアクセスポイント）と関連付けられます。検出中のアクセスポイント
情報がある場合、Prime Infrastructure は検出中のコントローラを使用します。
不正アクセスポイントが異なるパーティションに存在する 2 つのコントローラによって検出さ
れた場合、不正アクセスポイントのパーティションは随時変更される場合があります。
コントローラ
ネットワーク要素は階層構造で管理されているため、コントローラはパーティションによって
影響を受ける場合があります。アクセスポイントだけが割り当てられ、コントローラが割り当て
られていない仮想ドメインを作成する場合、コントローラベースの機能のいくつかは選択できな
くなります。たとえば、いくつかのオプションでは、コントローラからアクセスポイントへドリル
ダウンする必要があります。コントローラは仮想ドメインにないため、関連付けられたレポートを
生成できません。
少数のコントローラだけでパーティションを作成する場合は、[Configure] > [Access Points] の順
に選択して、[AP Name] 列の個別のリンクをクリックします。パーティションで指定された限ら
れた数ではなく、プライマリ、セカンダリ、およびターシャリコントローラに対して Prime
Infrastructure が割り当てたコントローラ全部のリストが表示されます。
コントローラ設定が複数の仮想ドメインによって変更された場合は、状況が複雑になる可能性
があります。これを回避するには、一度に 1 つの仮想ドメインから各コントローラを管理してく
ださい。
電子メール通知
仮想ドメインごとに E メール通知を設定できます。稼働ドメインでアラームが発生した場合に
だけ E メールが送信されます。
関連項目
•
仮想ドメインを使用したアクセスの制御
•
仮想ドメインでのユーザアクセス
•
仮想ドメインの作成
•
仮想ドメインへのユーザの追加
Cisco Prime Infrastructure 3.0 管理者ガイド
11-19
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
仮想ドメインでのユーザアクセス
Prime Infrastructure 仮想ドメインは、一連の Prime Infrastructure デバイス、マップ、およびアクセ
スポイントで構成されます。仮想ドメインはそれに含まれる管理対象オブジェクトのセットに
関連する情報にユーザのビューを制限します。
仮想ドメインを使用して、管理者は、ユーザが担当しているデバイスとマップしか表示できない
ようにすることができます。また、仮想ドメインフィルタにより、ユーザはネットワークの割り
当てられた部分だけに関するアラームの設定と表示、およびレポートの生成ができます。
管理者は、各ユーザに使用できる仮想ドメインを指定します。ログインの際、ユーザについてこ
れらのドメインのうちアクティブとなるのは 1 つだけです。現在の仮想ドメインを変更するに
は、ページ上部の [Virtual Domain] ドロップダウンリストで別の有効な仮想ドメインを選択しま
す。仮想ドメインによって、すべてのレポート、アラーム、およびその他の機能がフィルタ処理さ
れます。
システムに定義されている仮想ドメインが 1 つだけ（「ROOT-DOMAIN」）であり、かつ
TACACS+/RADIUS サーバにカスタム属性の仮想ドメインがない場合、ユーザにはデフォルトで
「ROOT-DOMAIN」の仮想ドメインが割り当てられます。仮想ドメインが複数あり、ユーザに指定
された属性がない場合、ユーザのログインはブロックされます。
関連項目
•
仮想ドメインを使用したアクセスの制御
•
仮想ドメインについて
•
仮想ドメインの作成
•
仮想ドメインへのユーザの追加
•
仮想ドメインアクセスの変更
•
仮想ドメイン RADIUS 属性および TACACS+ 属性のエクスポート
仮想ドメインの作成
初めてインストールした場合は、Prime Infrastructure 上に「ROOT-DOMAIN」という名前の 1 つの
仮想ドメインだけが存在します。他の仮想ドメインは、Prime Infrastructure 管理者が作成する必
要があり、親の「ROOT-DOMAIN」の子（「サブドメイン」とも言う）と見なされます。
仮想ドメインを作成するには、次の手順を実行します。正しくフォーマットされた CSV ファイ
ルをインポートすることにより、一度に複数の仮想ドメインを作成できます（詳細については、
「関連項目」の「仮想ドメインのインポート」を参照）。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
[Virtual Domains] サイドバーメニューで、新しい仮想ドメインの親仮想ドメインをクリックして
から、[Add New Domain] アイコンをクリックします。
親仮想ドメインの名前にマウスカーソルを重ねることにより、既存ドメインの子仮想ドメイン
を新規に作成することもできます。十字アイコンがそのドメイン名の横に表示されます。そのア
イコンをクリックして親のポップアップサマリーを表示してから、[Create Sub Domain] をク
リックして、その親の新しい子ドメインを作成します。
ステップ 4
[Name] テキストボックスに新しいドメインの名前を入力します。このフィールドは必須です。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-20
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
ステップ 5
必要に応じて、新しいドメインのタイムゾーン、電子メールアドレス、および説明を入力しま
す。これらはオプションのフィールドです。
ステップ 6
[Submit] をクリックして、新しく作成した仮想ドメインのサマリーとそれに対する変更を表示し
ます。
ステップ 7
[Save] をクリックして、変更を確定します。
仮想ドメインは、特定のユーザセットのビューを、指定したサイトマップ、ネットワークデバイ
ス、およびアクセスポイントのセットに制限する場合に使用すると便利です。その他の便利な仮
想ドメインの作成については、「関連項目」を参照してください。
関連項目
•
仮想ドメインへのサイトマップの追加
•
仮想ドメインへのネットワークデバイスの追加
•
仮想ドメインへのアクセスポイントの追加
•
仮想ドメインへのユーザの追加
•
仮想ドメインのインポート
仮想ドメインへのサイトマップの追加
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
[Virtual Domains] サイドバーメニューで、サイトマップを追加する仮想ドメインをクリックし
ます。
ステップ 4
[Site Maps] タブで、[Add] ボタンをクリックして、使用可能なサイトマップのリストを表示しま
す。必要なサイトマップを選択してから、[Select] をクリックして、それらのサイトマップを
[Selected Site Maps] 表に追加します。
ステップ 5
[Submit] をクリックして、仮想ドメインのサマリーを表示します。
ステップ 6
[Save] をクリックして、変更を確定します。
関連項目
•
仮想ドメインへのネットワークデバイスの追加
•
仮想ドメインへのアクセスポイントの追加
•
仮想ドメインへのユーザの追加
Cisco Prime Infrastructure 3.0 管理者ガイド
11-21
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
仮想ドメインへのネットワークデバイスの追加
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
[Virtual Domains] サイドバーメニューで、ネットワークデバイスを追加する仮想ドメインをク
リックします。
ステップ 4
[Network Devices] タブで、[Add] ボタンをクリックすると、[Select Network Devices] ポップアップ
が表示されます。ここでは、[Filter By] ドロップダウンリストを使用して、機能に基づいてネット
ワークデバイスを絞り込むことができます。
ステップ 5
[Filter By] ドロップダウンリストから、ネットワークデバイスを選択します。[Available Network
Devices] 表から必要なデバイスを選択して、[Select] をクリックし、[Selected Network Devices] 表
にデバイスを追加します。
ステップ 6
[Submit] をクリックして、仮想ドメインのサマリーを表示します。
ステップ 7
[Save] をクリックして、変更を確定します。
関連項目
•
仮想ドメインへのサイトマップの追加
•
仮想ドメインへのアクセスポイントの追加
•
仮想ドメインへのユーザの追加
仮想ドメインへのアクセスポイントの追加
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
[Virtual Domains] サイドバーメニューで、アクセスポイントを追加する仮想ドメインをクリッ
クします。
ステップ 4
[Access Points] タブで、[Add] ボタンをクリックすると、[Add Access Points] ポップアップが表示
されます。ここでは、[Filter By] ドロップダウンリストを使用して、機能に基づいてアクセスポ
イントを絞り込むことができます。
ステップ 5
[Filter By] ドロップダウンリストから、アクセスポイントグループを選択します。[Available
Access Points] 表から必要なアクセスポイントを選択して、[Select] をクリックし、[Selected
Access points] 表にアクセスポイントを追加します。
ステップ 6
[Submit] をクリックして、仮想ドメインのサマリーを表示します。
ステップ 7
[Save] をクリックして、変更を確定します。
関連項目
•
仮想ドメインへのサイトマップの追加
•
仮想ドメインへのネットワークデバイスの追加
•
仮想ドメインへのユーザの追加
Cisco Prime Infrastructure 3.0 管理者ガイド
11-22
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
仮想ドメインのインポート
複数の仮想ドメインを作成する予定の場合、または、ドメインを複雑な階層にする場合は、より
簡単な方法として、それらを正しくフォーマットされた CSV ファイルで指定して、そのファイ
ルをインポートできます。
CSV フォーマットを使用すれば、作成した仮想ドメインだけでなく、その親ドメインの名前、説
明、タイムゾーン、および電子メールアドレスも指定できます。1 つの仮想ドメインへのサイト
マップ、ネットワークデバイス、およびアクセスポイントの追加は別々に実行する必要があり
ます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
[Import Domain(s)] アイコンをクリックします。Prime Infrastructure に [Import] ポップアップが表
示されます。
ポップアップ内のサンプル CSV フォーマットリンクをクリックして、使用する CSV フォー
マットのサンプルをダウンロードします。
ステップ 4
[Choose File] をクリックして、インポートする CSV ファイルに移動します。
ステップ 5
[Import] をクリックして、CSV ファイルをインポートし、指定した仮想ドメインを作成します。
関連項目
•
仮想ドメインの作成
•
仮想ドメインへのユーザの追加
仮想ドメインへのユーザの追加
仮想ドメインを作成後、仮想ドメインを特定のユーザに割り当てることができます。これによ
り、関連情報を具体的に指定してユーザに表示したり、他のエリアへのユーザのアクセス権を制
限したりすることができます。仮想ドメインに割り当てられたユーザは、自分に割り当てられた
仮想ドメインに対してのみ、デバイスの設定、アラームの表示、レポートの生成を行えます。
外部 AAA を使用しているときは、外部 AAA サーバの該当するユーザまたはグループ設定に仮
想ドメインのカスタム属性を追加してください。
各仮想ドメインには、親仮想ドメインに含まれている要素のサブセットが含まれている場合が
あります。ユーザが仮想ドメインに割り当てられると、そのユーザは仮想ドメインに割り当てら
れているデバイスを表示できます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [Users] の順に選択します。
ステップ 3
1 つまたは複数の仮想ドメインに追加するユーザのユーザ名をクリックします。Prime
Infrastructure に、選択したユーザの [User Details] ページが表示されます。
ステップ 4
[Virtual Domains] タブをクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-23
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
ステップ 5
[Available Virtual Domains] で、このユーザにアクセスを許可する仮想ドメインをクリックしま
す。その後で、[Add] をクリックして、それを [Selected Virtual Domains] 列に追加します。
ルートドメインは別として、子ドメインは、親ドメインが追加されたときに、自動的には Users
に追加されません。
ステップ 6
完了したら、[Save] をクリックします。
関連項目
•
仮想ドメインへの仮想要素の追加
•
仮想ドメインを使用したアクセスの制御
•
仮想ドメインについて
•
仮想ドメインでのユーザアクセス
•
仮想ドメインの作成
仮想ドメインへの仮想要素の追加
各仮想ドメインには、要素のサブセットを含めることができます。たとえば、追加のマップ、コン
トローラ、アクセスポイントを仮想ドメインに追加できます。同様に、仮想要素を仮想ドメイン
に追加できます。
PI の仮想要素は、データセンター、クラスタ、ホストです。仮想要素をデータセンターとして選択
すると、この仮想ドメインに所属するユーザは、このデータセンターに属するクラスタ、ホスト、
VM と同様に、すべての子ドメインにアクセス可能になります。同様に、仮想要素としてクラスタ
のみを追加する場合、ユーザは、そのクラスタに属するホストおよびそれぞれの VM のみにアク
セス可能になります。親要素を選択すると、それらの仮想ドメイン内のすべての子要素にアクセ
ス可能になります。
仮想ドメインの [Quick View] を選択すると、仮想ドメイン内で利用可能な仮想要素の数を表示
できます。
仮想要素を追加するには、次の手順を実行します。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
仮想要素を追加する仮想ドメインをクリックします。
ステップ 4
[Virtual Elements] タブをクリックし、[Add] をクリックします。
ステップ 5
[Available Virtual Elements] のリストから、利用可能な仮想要素を表示するためのフィルタを選択
します。
ステップ 6
必要な仮想要素を選択し、[Select] をクリックします
ステップ 7
[Submit] をクリックして、仮想ドメインのサマリーを表示します。
ステップ 8
[Save] をクリックして、変更を確定します。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-24
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
関連項目
•
仮想ドメインを使用したアクセスの制御
•
仮想ドメインについて
•
仮想ドメインでのユーザアクセス
•
仮想ドメインの作成
仮想ドメインアクセスの変更
[Virtual Domains] サイドバーメニューから仮想ドメインを選択すると、それに割り当てられたサ
イトマップ、ネットワークデバイス、仮想要素の表示や編集ができます。現在ログインしている
仮想ドメインに使用可能なサイトマップ、ネットワークデバイス、および仮想要素を表示する
ためのタブ付きのページが表示されます。
[Site Maps]、[Network Devices]、[Access Points]、および [Virtual Elements] の各タブを使用して、こ
の仮想ドメインに割り当てられたコンポーネントを追加または削除します。サイトマップ、ネッ
トワークデバイス、アクセスポイント、および仮想要素の任意の組み合わせを既存の仮想ドメ
インに割り当てることができます。
仮想ドメインに要素を割り当て、その変更を送信した後で、追加した要素の数によっては、Prime
Infrastructure でそれらの変更を処理するのに時間がかかる場合があります。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
[Virtual Domains] サイドバーメニューから、仮想ドメインを選択します。
すべてのサイトマップ、ネットワークデバイス、アクセスポイント、および仮想要素がパーティ
ションツリーに含まれているため、全体の階層をロードするのに数分かかる場合があります。大
量のネットワークデバイスとアクセスポイントが存在するシステムの場合は、この時間が長く
なります。
ステップ 4
該当する [Site Maps] タブ、[Network Devices] タブ、[Access Points] タブ、または [Virtual Elements ]
タブをクリックします。
ステップ 5
要素を [Selected] 表に追加するには、[Add] ボタンをクリックして、必要な要素（サイトマップ、
ネットワークデバイス、アクセスポイント、または仮想要素）のチェックボックスをオンにし、
[Select] をクリックします。
[Network Devices] タブで、[Add] ボタンをクリックすると、[Select Network Devices] ポップアップ
が表示されます。ここでは、[Filter By] ドロップダウンリストを使用して、必要なネットワーク
デバイスを選択できます。[Filter By] ドロップダウンリストから、ネットワークデバイスを選択
します。[Available Network Devices] 表から必要なデバイスを選択して、[Select] をクリックします。
[Access Points] タブで、[Add] ボタンをクリックすると、[Add Access Points] ポップアップが表示
されます。ここでは、[Filter By] ドロップダウンリストを使用して、必要なアクセスポイントを
追加できます。[Filter By] ドロップダウンリストから、アクセスポイントを選択します。
[Available Access Points] 表から必要なアクセスポイントを選択して、[Select] をクリックします。
[Virtual Element] タブで、[Add] ボタンをクリックすると、[Add Virtual Element] ポップアップが表
示されます。ここでは、[Filter By] ドロップダウンリストを使用して、必要な仮想要素を選択でき
ます。フィルタに基づいて、対応する仮想要素タイプが、選択したリストに入力されます。利用可
能な仮想要素から必要な要素を選択して、[Select] をクリックします。
ステップ 6
選択した要素（サイトマップ、ネットワークデバイス、アクセスポイント、または仮想要素）が
[Selected] 表に表示されます。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-25
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
ステップ 7
[Selected] 表から要素を削除するには、まず、必要な要素（サイトマップ、ネットワークデバイス、
アクセスポイント、または仮想要素）のチェックボックスをオンにしてそれらを選択してから、
[Delete] ボタンをクリックします。
ステップ 8
[Submit] をクリックして、仮想ドメインのサマリーを表示します。
ステップ 9
[Save] をクリックして、変更を確定します。
[Administration] > [Virtual Domains] > [Network Devices] で追加された自律 AP が [Administration] >
[Virtual Domains] > [Access Points] に一覧表示されます。
ROOT-DOMAIN からスイッチ、コントローラ、または Autonomous AP を削除すると、そのデバイ
スが Prime Infrastructure から除去されます。デバイスが ROOT-DOMAIN に明示的にアソシエー
トされている場合、または現在の仮想ドメインの子ではない他の仮想ドメインに明示的にアソ
シエートされている場合、現在の仮想ドメインからデバイスを削除しても、そのデバイスはこの
仮想ドメインからは除去されますが、Prime Infrastructure からは除去されません。
ROOT-DOMAIN 以外のユーザが Discovery Source を追加しても、Discovery Source に関連付けら
れたすべての仮想要素は ROOT-DOMAIN ユーザのみに使用可能になります。ROOT-DOMAIN
ユーザが別の子仮想ドメインへのアクセスを付与する必要があります。ROOT-DOMAIN ユーザ
は、すべての仮想要素のアクセスを制御できます。
ROOT-DOMAIN 以外にある仮想要素のアクセスを取得すると、他の仮想ドメインを作成したり、
子仮想ドメインに対応するこれらの仮想要素すべてへのアクセスを管理することができます。
関連項目
•
仮想ドメインを使用したアクセスの制御
•
仮想ドメインについて
•
仮想ドメインでのユーザアクセス
•
仮想ドメインの作成
仮想ドメインの削除
ドメイン名の横にある十字アイコンをクリックすると表示されるポップアップサマリーウィ
ンドウを使用して、[Virtual Domains] サイドバーメニューから仮想ドメインを削除できます。
仮想ドメインを削除しても、そのドメインに割り当てられたサイトマップ、ネットワークデバ
イス、アクセスポイント、またはユーザは削除されません。子仮想ドメインを持つ仮想ドメイン
はすべての子が削除されるまで削除できません。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
[Virtual Domains] サイドバーメニューで、削除する仮想ドメインの名前の横にある情報アイコン
（i）の上にマウスカーソルを重ねます。仮想ドメインのポップアップサマリー、およびそれに割
り当てられたサイトマップ、アクセスポイント、ネットワークデバイス、仮想要素が表示され
ます。
ステップ 4
ポップアップの [Delete] リンクをクリックします。
ステップ 5
この仮想ドメインの削除を確認するためのプロンプトが表示されます。[OK] をクリックして確
定します。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-26
第 11 章
ユーザアクセスの制御
仮想ドメインを使用したアクセスの制御
関連項目
•
仮想ドメインの作成
•
仮想ドメインのインポート
仮想ドメイン RADIUS 属性および TACACS+ 属性のエクスポート
[Virtual Domain Custom Attributes] ページを使用して、各仮想ドメインの適切なプロトコル固有
のデータを指定することができます。ページ上の [Export Custom Attributes] ボタンは、仮想ドメ
インの RADIUS 属性と TACACS+ 属性をプリフォーマットします。これらの属性を Access
Control Server（ACS）サーバにコピーして貼り付けることができます。これにより、該当する仮想
ドメインだけを ACS サーバのページにコピーでき、ユーザはこれらの仮想ドメインだけにアク
セスできるようになります。
過去に作成した仮想ドメインのサブドメインを作成すると、既存の仮想ドメイン内で
RADIUS/TACACS のカスタム属性のシーケンス番号が更新されます。これらのシーケンス番号
は表示専用で、AAA 統合には影響しません。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Virtual Domains] の順に選択します。
ステップ 3
左サイドバーメニューで、RADIUS 属性および TACACS+ 属性を適用する仮想ドメインを選択
します。
ステップ 4
このページの右上にある [Export Custom Attributes] リンクをクリックします。[Virtual Domain
Custom Attributes] ポップアップページの 2 つの独立したペインに、RADIUS および TACACS+
カスタム属性の一覧が表示されます。
ステップ 5
マウスをクリックしてカーソルでドラッグし、[RADIUS Custom Attributes] または [TACACS+
Custom Attributes] リスト（現在設定しているサーバによって異なる）内のテキストを選択します。
ステップ 6
ブラウザのメニューを使用して、テキストをクリップボードにコピーします。
ステップ 7
ACS にログインし、[User Setup] または [Group Setup] に移動します。
ユーザベースで仮想ドメインを指定する場合、（たとえば、タスク、ロール、仮想ドメインなど）す
べてのカスタム属性情報を [User] カスタム属性ページに追加していることを確認する必要があ
ります。
ステップ 8
該当するユーザまたはグループの [Edit Settings] をクリックします。
ステップ 9
これらの属性を有効にするチェックボックスをオンにしてから、[Submit + Restart] をクリックします。
ACS サーバへの RADIUS および TACACS+ の属性の追加に関する詳細については、「関連項目」
の「TACACS+ 対応 ACS への Prime Infrastructure ユーザグループの追加」または「RADIUS 対応
の ACS への Prime Infrastructure の追加」を参照してください。
関連項目
•
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループの追加
•
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループの追加
•
仮想ドメインを使用したアクセスの制御
•
仮想ドメインについて
•
仮想ドメインの作成
Cisco Prime Infrastructure 3.0 管理者ガイド
11-27
第 11 章
ユーザアクセスの制御
ユーザアクセスの監査
ユーザアクセスの監査
Prime Infrastructure はユーザアクセスの監査レコードを維持するため、ユーザアクセスとセッ
ション活動をチェックすることができます。
関連項目
•
ユーザグループの監査証跡へのアクセス
•
アプリケーションのログインとアクションの表示
•
ユーザ開始イベントの表示
ユーザグループの監査証跡へのアクセス
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [User Groups] の順に選択します。
ステップ 3
監査データを表示するユーザグループ名の [Audit Trail] アイコンをクリックします。設定に何か
の変更があると、[Configuration Changes] フィールドに [Details] リンクが表示されます。個々の
ユーザによる設定の変更の詳細を確認するには [Details] リンクをクリックします。
監査証跡エントリは、個別のデバイス変更に関してログに記録されることがあります。たとえ
ば、テンプレートが複数のスイッチに適用された場合、テンプレートの適用先のスイッチごと
に、複数の監査証跡エントリが存在することになります。
関連項目
•
ユーザアクセスの監査
•
アプリケーションのログインとアクションの表示
•
ユーザ開始イベントの表示
アプリケーションのログインとアクションの表示
アプリケーション監査ログには、Prime Infrastructure の機能に関係するイベントが記録されま
す。たとえば、アプリケーション監査ログを表示して、特定のユーザがログインした日時と行っ
たアクションの内容を見ることができます。Prime Infrastructure には、Prime Infrastructure にログ
インしたユーザの IP アドレスだけでなく、ユーザが表示した Prime Infrastructure 内のページも
表示されます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Administration] > [Settings] > [System Audit] の順に選択します。
ステップ 3
[Application Audit Logs] ページで、ログの詳細を表示する行をクリックして展開します。
TACACS+ または RADIUS 経由で認証されたユーザは、[User Group] 列が空になります。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-28
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
関連項目
•
ユーザアクセスの監査
•
ユーザ開始イベントの表示
ユーザ開始イベントの表示
Prime Infrastructure のネットワーク監査ログには、ユーザ開始イベントなど、ネットワーク内の
デバイスに関連したすべてのイベントが記録されます。たとえば、ネットワーク監査ログを表示
して、特定のテンプレートを展開した Prime Infrastructure ユーザとテンプレートが展開された日
付と時刻を見ることができます。
ステップ 1
Prime Infrastructure に管理者としてログインします。
ステップ 2
[Inventory] > [Device Management] > [Network Audit] を選択します。[Network Audit Log] ページに
は、最新のアクションの一覧が、そのアクションが実行されたデバイスの名前別に分類されて表
示されます。
ステップ 3
ログの詳細を表示する行をクリックして展開します。
関連項目
•
ユーザアクセスの監査
•
アプリケーションのログインとアクションの表示
•
ユーザ開始イベントの表示
Prime Infrastructure 上での AAA の設定
Prime Infrastructure は、外部の認証、認可、アカウンティング（AAA）サーバと通信するように設定
できます。Prime Infrastructure AAA を設定する権限を持っているユーザ名は、root または
SuperUser だけです。ローカルユーザアカウントの変更は、ローカルモード用に設定されている
場合に有効になります。RADIUS や TACACS+ などの外部認証を使用している場合は、ユーザア
カウント変更を外部サーバにコピーする必要があります。
AAA サーバの移行については、「関連項目」の『ACS 5.2 Migration Utility Support Guide』を参照し
てください。
関連項目
•
AAA モードの設定
•
TACACS+ サーバの追加
•
RADIUS サーバの追加
•
SSO サーバの追加
•
SSO サーバ AAA モードの設定
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
Prime Infrastructure 用の ACS 4.x の設定：ワークフロー
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
ACS 5.2 Migration Utility Support Guide
Cisco Prime Infrastructure 3.0 管理者ガイド
11-29
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
AAA モードの設定
Prime Infrastructure は、ローカル認証だけでなく、TACACS+ と RADIUS AAA もサポートします
が、先に TACACS+ または RADIUS サーバを指定する必要があります。
複数の外部 AAA サーバを追加した場合は、1 つ目のサーバに到達できない、または、ネットワー
クに問題がある場合にのみ、ユーザが 2 つ目のサーバによって認証されます。
サードパーティ製の TACACS+ または RADIUS サーバ用の共有秘密キーを入力する際、任意の
アルファベット、数字、および特殊文字（一重引用符および二重引用符は除く）を使用できます。
ステップ 1
1 つまたは複数の RADIUS サーバまたは TACACS+ サーバを追加します。詳細については、「関連
項目」の「RADIUS サーバの追加」および「TACACS+ サーバの追加」を参照してください。
ステップ 2
SuperUser として Prime Infrastructure にログインします。
ステップ 3
[Administration] > [Users] > [Users, Roles & AAA] > [AAA Mode Settings] の順に選択します。
ステップ 4
[RADIUS] または [TACACS+] を選択します。[Enable Fallback to Local] チェックボックスは自動
的にオンになるため、外部 AAA サーバがダウンした場合にローカルデータベースの使用が有効
になります。
ステップ 5
[Enable Fallback to Local] チェックボックスをオンにした状態で、ローカル Prime Infrastructure
ユーザアカウント認証へのフォールバックが発生する条件を指定します。
•
[ONLY on no server response]：外部サーバに到達できない、または、ネットワークに問題があ
る場合のみ。
•
[on authentication failure or no server response]：外部サーバに到達できない、または、ネット
ワークに問題がある場合と、外部 AAA サーバでユーザを認証できない場合のどちらか。
AAA モードの場合、SuperUser は常にローカルに認証されます。
ステップ 6
[Save] をクリックします。
関連項目
•
TACACS+ サーバの追加
•
RADIUS サーバの追加
TACACS+ サーバの追加
Prime Infrastructure は最大 3 つの AAA サーバを使用できます。
ステップ 1
SuperUser として Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [TACACS+ Servers] の順に選択します。
ステップ 3
[Select a command] > [Add TACACS+ Server (IP or DNS)] > [Go] の順に選択します。
ステップ 4
TACACS+ サーバ情報を入力し、[Save] をクリックします。
Prime Infrastructure が TACACS+ サーバと通信するためには、このページで入力する共有秘密
キーが TACACS+ サーバに設定された共有秘密キーと一致している必要があります。
Prime Infrastructure ハイアベイラビリティを有効にして、仮想 IP 機能を設定した場合は、[Local
Interface IP] フィールドにプライマリサーバの仮想 IP アドレスと物理 IP アドレス間の選択肢が表
示されます。必ず、物理 IP アドレスをローカルインターフェイス IP として選択してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-30
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
関連項目
•
ハイアベイラビリティの仕組み
•
仮想 IP アドレッシング
•
Prime Infrastructure の IP アドレス変更後の必須 TACACS+/RADIUS 設定
RADIUS サーバの追加
Prime Infrastructure は最大 3 つの AAA サーバを使用できます。ISE FIPS モードは Prime
Infrastructure 2.2 でサポートされないことに注意してください。
ステップ 1
SuperUser として Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [RADIUS Servers] の順に選択します。
ステップ 3
[Select a command] > [Add Radius Server (IP or DNS)] > [Go] の順に選択します。
ステップ 4
RADIUS サーバ情報を入力します。
ステップ 5
認証タイプを選択します。
選択可能な認証タイプは次のとおりです。
ステップ 6
•
PAP：パスワードベースの認証は、2 つのエンティティが 1 つのパスワードを事前に共有し、
そのパスワードを認証の基準に使用するプロトコルです。
•
CHAP：チャレンジハンドシェイク認証プロトコルでは、クライアントとサーバの両方がプ
レーンテキストの秘密キーを認識しており、その秘密キーは絶対にネットワーク上に送信さ
れないことが必要になります。CHAP は、パスワード認証プロトコル（PAP）より優れたセ
キュリティを提供します。
•
EAP_TLS：Extensible Authentication Protocol-Transport Layer Security は、証明書ベースの相互
認証をサポートするセキュアなプロトコルです。認証タイプとして EAP-TLS を選択した場
合、生成されたキーが ncs key importsignedcert Admin CLI を使用して Cisco Prime
Infrastructure キーストアに追加される必要があります。また、証明書チェーンが RADIUS
サーバに存在する必要があります。このとき、Cisco Prime Infrastructure サービスの再起動は
不要です。
[Save] をクリックします。
Prime Infrastructureが RADIUS サーバと通信するには、このページで入力する共有秘密キーが、
RADIUS サーバに設定された共有秘密キーと一致している必要があります。
関連項目
•
Prime Infrastructure の IP アドレス変更後の必須 TACACS+/RADIUS 設定
•
新しい Prime Infrastructure バージョンのインストール後の AAA 設定の更新
Cisco Prime Infrastructure 3.0 管理者ガイド
11-31
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
Prime Infrastructure の IP アドレス変更後の必須 TACACS+/RADIUS 設定
TACACS+ または RADIUS サーバを追加した後で、Prime Infrastructure サーバの IP アドレスを
変更した場合は、手動で、Prime Infrastructure サーバの新しい IP アドレスで TACACS+ または
RADIUS サーバを設定する必要があります。Prime Infrastructure は RADIUS または TACACS+ 要
求が送信されるローカルインターフェイスをキャッシュに保存するため、Prime Infrastructure の
IP アドレスが確実に更新されるように RADIUS または TACACS+ サーバの設定を手動で編集す
る必要があります。
関連項目
•
TACACS+ サーバの追加
•
RADIUS サーバの追加
•
新しい Prime Infrastructure バージョンのインストール後の AAA 設定の更新
新しい Prime Infrastructure バージョンのインストール後の AAA 設定の更新
既存のデータを Prime Infrastructure の新しいバージョンに移行する前に、外部 RADIUS または
TACACS+ ユーザ認証を使用していた場合は、拡張した Prime Infrastructure ユーザタスクリスト
を AAA サーバに転送する必要があります。Prime Infrastructure をアップグレードした後、
TACACS+ または RADIUS サーバに権限を再度追加し、Prime Infrastructure サーバからのタスク
で TACACS サーバのロールを更新する必要があります。詳細については、「関連項目」の「AAA
モードの設定」を参照してください。
アップグレードプロセス中に Prime Infrastructure サーバの IP アドレスを変更した場合は、他の
ユーザがログインする前に、SuperUser ユーザとして Prime Infrastructure にログインし、「Prime
Infrastructure IP アドレス変更後に必要な TACACS+/RADIUS 設定」で示される手順に従う必要が
あります。
関連項目
•
TACACS+ サーバの追加
•
RADIUS サーバの追加
•
AAA モードの設定
•
Prime Infrastructure の IP アドレス変更後の必須 TACACS+/RADIUS 設定
SSO サーバの追加
Prime Infrastructure でシングルサインオン（SSO）認証を有効化できます。
SSO を使用すると、Prime Infrastructure ユーザは、クレデンシャルを一度入力するだけで、SSO 対
応の複数の Prime Infrastructure アプリケーションにナビゲートできます。SSO により、ユーザが
相互起動操作を簡単に実行することや、個別のアプリケーションからのコンテンツを含むダッ
シュレットを簡単に使用することができます。
SSO を設定するには、管理者レベルの特権が必要です。
SSO を設定する前に、SSO 設定済みのサーバが存在する必要があり、その基本 IP 情報を把握し
ておく必要があります。さらに、SSO サーバの AAA モードを設定する必要もあります。詳細につ
いては、「関連項目」の「SSO サーバ AAA モードの設定」を参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-32
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
ステップ 1
管理者として Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [SSO Servers] の順に選択します。
ステップ 3
[Select a command] > [Add TACACS+ Server] > [Go] の順に選択します。
ステップ 4
SSO サーバ情報を入力し、[Save] をクリックします。
SSO サーバ認証要求に許可される最大再試行回数は 3 です。
デフォルトのポート番号は 443 です。これは、HTTP が設定されたポートを指しています。HTTP
を Prime Infrastructure SSO サーバの別のポートで設定する場合は、ポート番号を変更する必要が
あります。
関連項目
•
SSO サーバ AAA モードの設定
•
Prime Infrastructure 上での AAA の設定
SSO でのハイアベイラビリティの設定
次の方法によって、SSO クライアントでハイアベイラビリティを設定できます。
•
複数の SSO サーバを追加する：外部 AAA サーバの同一セットを使用してすべての SSO サー
バを設定し、これらが確実に同一の認証および認可のクレデンシャルを持つようにします。
Prime Infrastructure SSO クライアントは、SSO サーバが [SSO servers] ページで定義され、表
示される順序で、SSO サーバの使用を試みます。最初の SSO サーバが利用不能の場合、SSO
クライアントはリストの 2 番目の SSO サーバにフォールバックし、以降同様に使用を試み
ます。
•
SSO サーバの HA ペアを作成する：仮想 IP アドレスを HA プライマリおよびセカンダリ
サーバ用に設定します。ハイアベイラビリティの詳細については、「ハイアベイラビリティ
の設定」（下記「関連項目」）を参照してください。Prime Infrastructure SSO クライアントは、設
定済みの仮想 IP アドレスを持つ SSO サーバを使用して設定されます。
関連項目
•
ハイアベイラビリティの設定
SSO サーバ AAA モードの設定
シングルサインオン（SSO）認証は、マルチユーザ、マルチリポジトリ環境でのユーザの認証およ
び管理に使用されます。SSO サーバは、異種のシステムへのログインに使用されるクレデンシャ
ルの保存および取得を行います。Prime Infrastructure の他のインスタンス用の SSO サーバとして
Prime Infrastructure をセットアップできます。
Prime Infrastructure は、CA および自己署名証明書をサポートしますが、その場合、SSO クライア
ントおよび SSO サーバの両方にあるサーバの完全修飾ドメイン名（FQDN）が証明書の Common
Name（CN）フィールドに含まれていることが必要です。このサーバは、IP アドレスから FQDN に
名前解決できることが必要です。さらに、ホスト名が FQDN の最も左のコンポーネントと一致す
る必要があります。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-33
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
たとえば、FQDN を使用して DNS を設定する場合の nslookup コマンドと予想されるデータは次
のとおりです。
hostname CUSTOMER_PI_HOSTNAME
nslookup CUSTOMER_PI_HOSTNAME
Server: ..
Address: ...
Name: CUSTOMER_PI_HOSTNAME.example.com
Address:
….
SSO 操作の場合、Prime Infrastructure は、SSL/TLS 証明書の Common Name（CN）フィールドに
FQDN が含まれていることを必要とします。Prime Infrastructure サーバが使用する証明書の CN
フィールドに FQDN が含まれていることを確認するには、ブラウザを使用して証明書を表示し
ます。証明書の CN フィールドに FQDN が含まれていない場合は、証明書を作り直す必要があり
ます。SSL/TLS 証明書を作り直した後、SSO サーバをすべての SSO クライアントに追加する必要
があります。SSO サーバが SSO クライアントに追加されたときに、SSO 機能によって証明書が
配布されます。
SSO サーバを追加するには、次の手順を実行します。
ステップ 1
管理者として Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [SSO Servers] > [AAA Mode] の順に選択し
ます。
ステップ 3
使用する SSO サーバ AAA モードを選択します。一度に 1 つのみ選択できます。
ローカルユーザアカウントに対する変更は、ローカルモードに設定されている場合にしか反映
されません。リモート認証を使用する場合は、リモートサーバ上でクレデンシャルが変更されま
す。リモート認証の種類は RADIUS と TACACS+ の 2 種類です。RADIUS では、異なるロケーショ
ン（米国東海岸と西海岸）に対して別々のクレデンシャルが必要となります。TACACS+ は、組み
込みのフェールオーバーメカニズムを備えた効率的でセキュリティで保護された管理フレーム
ワークです。
ステップ 4
[OK] をクリックします。
関連項目
•
Prime Infrastructure 上での AAA の設定
•
SSL 認証の設定
•
Prime Infrastructure 上での AAA の設定
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
Prime Infrastructure と Cisco Identity Services Engine（ISE）の統合ができます。ここでは、ISE を使
用した RADIUS プロトコル経由の Prime Infrastructure ユーザ認証について説明します。
ISE では、RADIUS サーバ認証だけがサポートされています。
ステップ 1
ISE で Prime Infrastructure を AAA クライアントとして追加します。詳細については、「関連項目」
の「Prime Infrastructure を AAA クライアントとして ISE に追加」を参照してください。
ステップ 2
ISE で新しいユーザグループを作成します。詳細については、「ISE での新しいユーザグループの
作成」を参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-34
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
ステップ 3
ISE で新しいユーザを作成し、ISE で作成したユーザグループにこのユーザを追加します。詳細
については、「ISE での新しいユーザの作成とユーザグループへの追加」を参照してください。
ステップ 4
新しい認可プロファイルを作成します。詳細については、「ISE での新しい許可プロファイルの作
成」を参照してください。
ステップ 5
認可ポリシー規則を作成します。詳細については、「ISE での許可ポリシー規則の作成」を参照し
てください。
ステップ 6
認証ポリシーを作成します。詳細については、「ISE での簡易認証ポリシーの作成」または「ISE で
のルールベースの認証ポリシーの作成」を参照してください。
ステップ 7
Prime Infrastructure で AAA を設定します。詳細については、「Prime Infrastructure での AAA の設
定」を参照してください。
関連項目
•
ISE での AAA クライアントとしての Prime Infrastructure の追加
•
ISE での新しいユーザグループの作成
•
ISE での新しいユーザの作成とユーザグループへの追加
•
ISE での新しい許可プロファイルの作成
•
ISE での簡易認証ポリシーの作成
•
ISE でのルールベースの認証ポリシーの作成
•
Prime Infrastructure 上での AAA の設定
ISE での AAA クライアントとしての Prime Infrastructure の追加
ステップ 1
ISE にログインします。
ステップ 2
[Administration] > [Network Devices] を選択します。
ステップ 3
左側のサイドバーのメニューから、[Network Devices] の横の矢印をクリックして、そのオプショ
ンを展開します。
展開されたリストには、すでに追加されているデバイスが表示されます。
ステップ 4
任意のデバイスをクリックすると、詳細が表示されます。
ステップ 5
左側のサイドバーメニューで、
device] オプションを選択します。
ステップ 6
右側のペインで、必要な詳細情報を入力します。
ステップ 7
[Shared Secret] テキストボックスに共有秘密を入力します。
ステップ 8
[Save] をクリックして、デバイスを追加します。
アイコンの横にある矢印をクリックしてから、[Add new
関連項目
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
ISE での新しいユーザグループの作成
•
ISE での新しいユーザの作成とユーザグループへの追加
•
ISE での新しい許可プロファイルの作成
Cisco Prime Infrastructure 3.0 管理者ガイド
11-35
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
•
ISE での簡易認証ポリシーの作成
•
ISE でのルールベースの認証ポリシーの作成
•
Prime Infrastructure 上での AAA の設定
ISE での新しいユーザグループの作成
ISE に新しいユーザグループを作成できます。これは、異なる権限を持つ Prime Infrastructure
ユーザの分類と、ユーザグループに対する認可ポリシー規則の作成にも役立ちます。
ステップ 1
[ISE] > [Administration] > [Groups] を選択します。
ステップ 2
左側のサイドバーメニューで、[User Identity Groups] を選択してから、[Add] をクリックします。
ステップ 3
グループの名前と説明を入力してから、[Save] をクリックします。
関連項目
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
ISE での AAA クライアントとしての Prime Infrastructure の追加
•
ISE での新しいユーザの作成とユーザグループへの追加
•
ISE での新しい許可プロファイルの作成
•
ISE での簡易認証ポリシーの作成
•
ISE でのルールベースの認証ポリシーの作成
•
Prime Infrastructure 上での AAA の設定
ISE での新しいユーザの作成とユーザグループへの追加
ISE で新しいユーザを作成し、そのユーザをユーザグループにマップできます。
ステップ 1
[ISE] > [Administration] > [Identity Management] > [Identities] を選択します。
ステップ 2
左側のサイドバーメニューで、[Identities] > [Users] の順に選択してから、[Add] をクリックし
ます。
ステップ 3
ユーザのユーザ名とパスワードを入力し、パスワードを再入力します。
ステップ 4
[User Group] ドロップダウンリストから必要なユーザグループを選択し、[Save] をクリックし
ます。
Active Directory や Lightweight Directory Access Protocol（LDAP）などの外部ソースと ISE を統合
することもできます。
関連項目
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
ISE での AAA クライアントとしての Prime Infrastructure の追加
•
ISE での新しいユーザグループの作成
•
ISE での新しい許可プロファイルの作成
Cisco Prime Infrastructure 3.0 管理者ガイド
11-36
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
•
ISE での簡易認証ポリシーの作成
•
ISE でのルールベースの認証ポリシーの作成
•
Prime Infrastructure 上での AAA の設定
ISE での新しい許可プロファイルの作成
ステップ 1
[ISE] > [Policy] > [Policy Elements] > [Results] を選択します。
ステップ 2
左側のサイドバーメニューで、[Authorization] > [Authorization Profiles] の順に選択してから、
[Add] をクリックします。
ステップ 3
プロファイルの名前および説明を入力します。
ステップ 4
[Access Type] ドロップダウンリストから [ACCESS_ACCEPT] を選択します。
ステップ 5
[Advanced Attribute Settings] エリアで、末尾に、Prime Infrastructure ユーザグループ RADIUS カス
タム属性と仮想ドメイン属性を続けて追加します。
ユーザグループ RADIUS カスタム属性は、Prime Infrastructure の [Administration] > [Users] >
[Users, Roles & AAA] > [User Groups] に配置されています。適切な権限のあるグループについて
[Task List] をクリックします。
ステップ 6
a.
[cisco - av - pair] を選択し、その横に、Prime Infrastructure ユーザグループ RADIUS カスタム
属性を貼り付けます。続けて追加します。
b.
各グループの最後の RADIUS カスタム属性の末尾に仮想ドメイン属性を追加します
（RADIUS カスタム属性については、「仮想ドメイン RADIUS 属性および TACACS+ 属性のエ
クスポート」を参照）。
認可プロファイルを保存します。
関連項目
•
仮想ドメイン RADIUS 属性および TACACS+ 属性のエクスポート
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
ISE での AAA クライアントとしての Prime Infrastructure の追加
•
ISE での新しいユーザグループの作成
•
ISE での新しいユーザの作成とユーザグループへの追加
•
ISE での簡易認証ポリシーの作成
•
ISE でのルールベースの認証ポリシーの作成
•
Prime Infrastructure 上での AAA の設定
ISE での許可ポリシー規則の作成
ステップ 1
[ISE] > [Policy] > [Authorization] を選択します。
ステップ 2
[Authorization Policy] ページで、[Actions] ドロップダウンリストから [Insert New Rule Above] を
選択します。
Prime Infrastructure のユーザログインに使用する規則を作成します。
ステップ 3
[Rule Name] テキストボックスに規則の名前を入力します。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-37
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
ステップ 4
[Identity Groups] ドロップダウンリストから必要な ID グループを選択します。
たとえば、[Prime Infrastructure-SystemMonitoring-Group] を選択します。
ステップ 5
[Permissions] ドロップダウンリストから権限を選択します。権限は認可プロファイルです。
たとえば、[Prime Infrastructure-SystemMonitor authorization profile] を選択します。
この例では、Prime Infrastructure System Monitoring Identity グループに属しているすべてのユー
ザに、システムモニタリングカスタム属性を定義した適切な許可ポリシーが適用されるように
規則を定義しています。
ステップ 6
[Save] をクリックして許可規則を保存します。
[ISE] > [Monitor] > [Authentications] オプションを使用して、認証の成功および失敗をモニタする
こともできます。
関連項目
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
ISE での AAA クライアントとしての Prime Infrastructure の追加
•
ISE での新しいユーザグループの作成
•
ISE での新しいユーザの作成とユーザグループへの追加
•
ISE での新しい許可プロファイルの作成
•
ISE での簡易認証ポリシーの作成
•
ISE でのルールベースの認証ポリシーの作成
•
Prime Infrastructure 上での AAA の設定
ISE での簡易認証ポリシーの作成
簡易認証ポリシーの設定手順には、許可されるプロトコルサービスの定義および簡易認証ポリ
シーの設定が含まれます。
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
ステップ 1
[Policy] > [Authentication] の順に選択します。
ステップ 2
表示されたメッセージに対して、[OK] をクリックします。
ステップ 3
必要に応じて値を入力します。
ステップ 4
[Save] をクリックして、設定した簡易認証ポリシーを保存します。
関連項目
•
「Simple Authentication Policies」（『Cisco Identity Services Engine User Guide, Release 1.2』）
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
ISE での AAA クライアントとしての Prime Infrastructure の追加
•
ISE での新しいユーザグループの作成
•
ISE での新しいユーザの作成とユーザグループへの追加
•
ISE での新しい許可プロファイルの作成
Cisco Prime Infrastructure 3.0 管理者ガイド
11-38
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
•
ISE でのルールベースの認証ポリシーの作成
•
Prime Infrastructure 上での AAA の設定
ISE でのルールベースの認証ポリシーの作成
デフォルトの ID ソースを編集して、このルールで定義されたいずれの ID ソースにも一致しな
い場合に Cisco ISE が使用する ID ソースを指定できます。
ポリシーページの最後の行は、どのルールも要求と一致しない場合に適用されるデフォルトポ
リシーです。このデフォルトのポリシーの許可されるプロトコルおよび ID ソースを編集でき
ます。
EAP-FAST クライアント証明書が外部の TLS ネゴシエーションで送信される場合の認証ポリ
シーを設定するときに、「Username」属性は指定できません。「CN」や「SAN」などの証明書フィー
ルドを使用することをお勧めします。
他のいかなる作成済みのポリシーとも要求が一致しない場合のデフォルトポリシーの ID ソー
スとして [Deny Access] を選択することをお勧めします。
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
ステップ 1
[Policy] > [Authentication] の順に選択します。
ステップ 2
[Rule-Based] オプションボタンをクリックします。
ステップ 3
表示されたメッセージに対して、[OK] をクリックします。
ステップ 4
アクションアイコンをクリックして、新しいポリシーを表示するリスト上の位置に応じて
[Insert new row above] または [Insert new row below] をクリックします。ポリシーは、順序に従って
評価されます。
このルールベースのポリシーのページ内の各行は、簡易認証ポリシーと同等です。各行には、許
可されるプロトコルおよび ID ソースを決定する一連の条件が含まれています。
必要に応じて新しい認証ポリシーを作成するための値を入力します。
ステップ 5
[Save] をクリックして、作成したルールベースの認証ポリシーを保存します。
関連項目
•
「Rule-Based Authentication Policies」（『Cisco Identity Services Engine User Guide, Release 1.2』）
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
ISE での AAA クライアントとしての Prime Infrastructure の追加
•
ISE での新しいユーザグループの作成
•
ISE での新しいユーザの作成とユーザグループへの追加
•
ISE での新しい許可プロファイルの作成
•
ISE での簡易認証ポリシーの作成
•
Prime Infrastructure 上での AAA の設定
Cisco Prime Infrastructure 3.0 管理者ガイド
11-39
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
Prime Infrastructure での AAA の設定
ステップ 1
Prime Infrastructure に root としてログインし、[Administration] > [Users] > [Users, Roles & AAA] >
[RADIUS Servers] の順に選択します。
ステップ 2
ISE の IP アドレスを使用して新しい RADIUS サーバを追加してから、[Save] をクリックします。
ステップ 3
ISE にログインし、[Administration] > [Users] > [Users, Roles & AAA] > [AAA Mode Settings] の順
に選択します。
ステップ 4
AAA モードとして [RADIUS] を選択してから、[Save] をクリックします。
ステップ 5
Prime Infrastructure からログアウトします。
ステップ 6
すでに ISE で定義済みの AAA ユーザとして Prime Infrastructure にログインし直します。
たとえば、ユーザ ncs-sysmon としてログインします。
関連項目
•
ISE を使用した RADIUS 経由の AAA ユーザの認証：ワークフロー
•
ISE での AAA クライアントとしての Prime Infrastructure の追加
•
ISE での新しいユーザグループの作成
•
ISE での新しいユーザの作成とユーザグループへの追加
•
ISE での新しい許可プロファイルの作成
•
ISE での簡易認証ポリシーの作成
•
ISE でのルールベースの認証ポリシーの作成
Prime Infrastructure 用の ACS 4.x の設定：ワークフロー
Prime Infrastructure で使用するために ACS 4.x を設定する場合は、タスクおよびユーザグループ
を ACS サーバにインポートする必要があります。また、使用している AAA サーバのタイプに応
じて適宜 Prime Infrastructure を ACS サーバに追加する必要があります。
Cisco ACS サーバおよび TACACS+ 認証を使用している場合は、次のように操作します。
1.
TACACS+ を使用する ACS サーバに Prime Infrastructure を追加します。
2.
TACACS+ を使用する ACS サーバに Prime Infrastructure ユーザグループを追加します。
Cisco ACS サーバおよび RADIUS 認証を使用している場合は、次のように操作します。
1.
RADIUS を使用する ACS サーバに Prime Infrastructure を追加します。
2.
RADIUS を使用する ACS サーバに Prime Infrastructure ユーザグループを追加します。
Cisco ACS サーバ以外のサーバと RADIUS 認証を使用している場合は、次のように操作します。
1.
RADIUS を使用する Cisco ACS サーバ以外のサーバに Prime Infrastructure を追加します。
これらのタスクのそれぞれの詳細については、「関連項目」を参照してください。
関連項目で示す手順や例は、ACS バージョン 4.1 に適用されるものであり、他のバージョンや他
のベンダーの製品によっては異なることがあります。そのバージョンの Cisco Secure ACS のマ
ニュアルまたは使用している Cisco ACS サーバ以外のサーバのマニュアルを参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-40
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
関連項目
•
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure の追加
•
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループの追加
•
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure の追加
•
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループの追加
•
RADIUS を使用する Cisco ACS サーバ以外のサーバへの Prime Infrastructure の追加
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure の追加
ステップ 1
ACS サーバの [Network Configuration] ページで [Add Entry] をクリックします。
ステップ 2
[AAA Client Hostname] テキストボックスに、Prime Infrastructure のホスト名を入力します。
ステップ 3
[AAA Client IP Address] テキストボックスに、Prime Infrastructure の IP アドレスを入力します。
ACS に使用するインターフェイスが Prime Infrastructure で指定したインターフェイスと同じで、
到達可能なことを確認します。
ステップ 4
[Shared Secret] テキストボックスに、Prime Infrastructure サーバと ACS サーバの両方で設定する
共有秘密を入力します。
ステップ 5
[Authenticate Using] ドロップダウンリストの [TACACS+] を選択します。
ステップ 6
[Submit + Apply] をクリックします。
ステップ 7
左側のサイドバーのメニューから [Interface Configuration] を選択します。
ステップ 8
[Interface Configuration] ページで [TACACS+ (Cisco IOS)] リンクをクリックします。
[TACACS+ (Cisco IOS) Interface Configuration] ページが表示されます。
ステップ 9
ページの [New Services] 部分の [Service] 列見出しに NCS を追加します。
ステップ 10
[Protocol] 列見出しに HTTP と入力します。
HTTP は大文字で入力してください。
ステップ 11
これらの項目の前にあるチェックボックスをオンにして、新しいサービスとプロトコルを有効
にします。
ACS 4.x の設定は、HTTP プロトコルを使用した NCS サービスを指定して有効にしたときによう
やく完成します。
ステップ 12
[Submit] をクリックします。`
関連項目
•
Prime Infrastructure 用の ACS 4.x の設定：ワークフロー
•
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループの追加
Cisco Prime Infrastructure 3.0 管理者ガイド
11-41
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループの追加
ステップ 1
管理者として Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [User Groups] の順に選択します。[User Groups]
ページが表示されます。
ステップ 3
ACS に追加するタスク認可を持つユーザグループに対応した [Task List] リンクをクリックしま
す。[Task List] ページが表示されます。
ステップ 4
マウスをクリックしてカーソルでドラッグし、[TACACS+ Custom Attributes] の中のテキストを
選択します。
ステップ 5
ブラウザのメニューを使用して、TACACs+ カスタム属性をクリップボードにコピーします。
ステップ 6
ACS にログインします。
ステップ 7
[Group Setup] に移動します。[Group Setup] ページが表示されます。
ステップ 8
使用するグループを選択して [Edit Settings] をクリックします。Prime Infrastructure HTTP が
TACACS+ 設定に表示されます。
ステップ 9
ブラウザのペースト機能を使用して、TACACS+ カスタム属性を Prime Infrastructure からこのテ
キストボックスに貼り付けます。
Prime Infrastructure をアップグレードするときに、TACACS+ または RADIUS サーバに権限を追
加し直したうえで、Prime Infrastructure サーバからのタスクで TACACS+ サーバ内のロールを更
新する必要があります。
ステップ 10
チェックボックスをオンにして、これらの属性を有効にします。
ステップ 11
[Submit + Restart] をクリックします。これで ACS ユーザとこの ACS グループを結び付けられ
ます。
Prime Infrastructure で TACACS+ を有効にするには、「関連項目」の「TACACS+ サーバの追加」を参
照してください。
タスクリストを ACS にエクスポートする場合は、ACS で仮想ドメインを追加する必要がありま
す。これは、ROOT-DOMAIN 仮想ドメインにすることができます。仮想ドメインの詳細について
は、「関連項目」の「仮想ドメインを使用したアクセスの制御」を参照してください。
ユーザタスクを ACS サーバ内に追加する場合、「Home メニューアクセス」タスクが必須です。
関連項目
•
Prime Infrastructure 用の ACS 4.x の設定：ワークフロー
•
TACACS+ を使用する Cisco ACS サーバへの Prime Infrastructure の追加
•
TACACS+ サーバの追加
•
仮想ドメインを使用したアクセスの制御
Cisco Prime Infrastructure 3.0 管理者ガイド
11-42
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure の追加
ステップ 1
ACS サーバで、[Network Configuration] に移動します。
ステップ 2
[Add Entry] をクリックします。
ステップ 3
[AAA Client Hostname] テキストボックスに、Prime Infrastructure のホスト名を入力します。
ステップ 4
[AAA Client IP Address] テキストボックスに Prime Infrastructure IP アドレスを入力します。
ACS に使用するインターフェイスが Prime Infrastructure で指定したインターフェイスと同じで
あり、到達可能であることを確認します。
ステップ 5
[Shared Secret] テキストボックスに、Prime Infrastructure サーバと ACS サーバの両方で設定する
共有秘密を入力します。
ステップ 6
[Authenticate Using] ドロップダウンリストから [RADIUS (Cisco IOS/PIX 6.0)] を選択します。
ステップ 7
[Submit + Apply] をクリックします。これで ACS ユーザとこの ACS グループを結び付けられ
ます。
Prime Infrastructure で RADIUS を有効にするには、「関連項目」の「RADIUS サーバの追加」を参照
してください。
Prime Infrastructure では、タスクリストを ACS にエクスポートする際に ACS で仮想ドメインを
追加することを必要とします。これは、ROOT-DOMAIN 仮想ドメインにすることができます。仮
想ドメインの詳細については、「関連項目」の「仮想ドメインを使用したアクセスの制御」を参照
してください。
関連項目
•
Prime Infrastructure 用の ACS 4.x の設定：ワークフロー
•
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループの追加
•
RADIUS サーバの追加
•
仮想ドメインを使用したアクセスの制御
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure ユーザグループの追加
ステップ 1
Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles, & AAA] > [User Groups] の順に選択します。[All Groups]
ページが表示されます。
ステップ 3
ACS に追加するユーザグループの [Task List] リンクをクリックします。[Export Task List] ページ
が表示されます。
ステップ 4
[RADIUS Custom Attributes] 内のテキストを強調表示し、ブラウザのメニューから [Edit] > [Copy]
の順に選択します。
Prime Infrastructure をアップグレードする場合は、TACACS+ または RADIUS サーバ上のすべて
の権限を追加し直す必要があります。
ステップ 5
ACS にログインします。
ステップ 6
[Group Setup] に移動します。[Group Setup] ページが表示されます。
ステップ 7
使用するグループを選択して [Edit Settings] をクリックします。[Cisco IOS/PIX 6.x RADIUS
Attributes] 領域で、[009\001]cisco-av-pair を探します。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-43
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
ステップ 8
ブラウザの [Edit] > [Paste] を使用して、Prime Infrastructure からこのテキストボックスに RADIUS
カスタム属性を貼り付けます。
Prime Infrastructure をアップグレードする場合は、TACACS+ または RADIUS サーバ上のすべて
の権限を追加し直す必要があります。
ステップ 9
チェックボックスをオンにして、これらの属性を有効にします。
ステップ 10
[Submit + Restart] をクリックします。これで ACS ユーザとこの ACS グループを結び付けられ
ます。
Prime Infrastructure で RADIUS を有効にするには、「関連項目」の「RADIUS サーバの追加」を参照
してください。
TACACS+ 対応 ACS への Prime Infrastructure 仮想ドメインの追加に関する詳細は、「関連項目」の
「仮想ドメイン RADIUS 属性および TACACS+ 属性のエクスポート」を参照してください。
タスクリストを ACS にエクスポートする場合は、ACS で仮想ドメインを追加する必要がありま
す。これは、ROOT-DOMAIN 仮想ドメインにすることができます。仮想ドメインの詳細について
は、「関連項目」の「仮想ドメインを使用したアクセスの制御」を参照してください。
ユーザタスクを ACS サーバ内に追加する場合、「Home メニューアクセス」タスクが必須です。
関連項目
•
Prime Infrastructure 用の ACS 4.x の設定：ワークフロー
•
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure の追加
•
RADIUS サーバの追加
•
仮想ドメイン RADIUS 属性および TACACS+ 属性のエクスポート
•
仮想ドメインを使用したアクセスの制御
RADIUS を使用する Cisco ACS サーバ以外のサーバへの Prime Infrastructure の追加
RADIUS サーバを使用して Prime Infrastructure にログインすると、ユーザ名とパスワードの検証
後に、アクセス許可（Access=Accept）メッセージとともにユーザグループと実行可能タスクのリ
ストが AAA サーバから返送されます。ユーザグループによっては多数のタスクが割り当てられ
ているので、このアクセス許可（Access=Accept）メッセージは断片化されたパケットとして送ら
れてきます。特定のユーザグループに関連付けられたタスクは、C:\Program Files\Prime
Infrastructure\webnms\webacs\WEB-INF\security\usergroup-map.xml ファイルで確認できます。こ
れらのタスクはベンダー固有の属性（VSA）として返送されるため、Prime Infrastructure では VSA
を使用した認可情報（IETF RADIUS 属性番号 26）が必要になります。VSA には Prime
Infrastructure RADIUS タスクリスト情報が含まれています。
VSA の内容は、次のとおりです。
•
Type = 26（IETF VSA 番号）
•
Vendor Id = 9（シスコベンダー ID）
•
Vendor Type = 1（カスタム属性）
•
Vendor Data = Prime Infrastructure タスク情報（Prime Infrastructure: task0 = Users and Group
など）
Prime Infrastructure RADIUS タスクリストの各行はそれぞれの RADIUS VSA で送信する必要が
あります。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-44
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
Admin ユーザグループがログインしたときは、アクセス許可（Access=Accept）パケットのデータ
部で出力が切り捨てられ、1 つのロールしか示されない場合があります。ロールに関連付けられ
ているタスクは task0 から始まり、task1、task2... と続きます。次の表は、Access=Access パケット
例の各属性が何を意味するかを示しています。
0000
0010
0020
0030
0040
0050
0060
0070
0080
06
a2
00
3a
00
3a
20
69
31
表 11-2
6d
5a
09
72
09
74
47
72
3d
0e
fa
01
6f
01
61
72
65
41
59
84
1a
6c
25
73
6f
6c
75
07
38
57
65
57
6b
75
65
64
3d
20
69
30
69
30
70
73
69
6a
e4
72
3d
72
3d
73
73
74
24
e2
65
41
65
55
1a
2d
20
02
3a
6c
64
6c
73
27
57
54
47
3a
65
6d
65
65
00
43
72
07
bc
73
69
73
72
00
53
61
35
e5
73
6e
73
73
00
3a
69
d2
1a
2d
1a
2d
20
09
74
6c
12
20
57
2b
57
61
01
61
73
a4
00
43
00
43
6e
21
73
xx
eb
00
53
00
53
64
57
6b
xx
.m.Y.=j$G.5...
.Z..8..::..
....Prime Infrastructure
:role0=Admin.+...
...%Prime Infrastructure
:task0=Users and
Groups.”....!W
Prime Infrastructure:task
1=Audit Trails.*
Access=Accept パケットの例
属性
説明
1a（10 進数の 26）
ベンダー属性
2b（10 進数の 43 バイト）スキップして次の TLV へ到達する合計バイト数（task0 ではユーザと
グループ）
4 バイトフィールド
ベンダー Cisco 09
01
Cisco AV ペア（Prime Infrastructure が読み取る TLV）
25（10 進数の 37 バイト）長さ
HEX テキスト文字列
Prime Infrastructure:task0=Users and Groups
データ部が完全に処理されるまでの次の TLV。
255.255.255.255
TLV: RADIUS type 8（IP アドレス）
Type 35（0x19）
クラス（文字列）
Type 80（0x50）
メッセージ認証コード
トラブルシューティングを行うには、次の作業を実行します。
•
RADIUS パケットが Access-Accept（アクセス許可）であるかどうかを確認します。
•
Access-Accept パケットで、ユーザグループのタスク名を確認します。
•
RADIUS パケットのさまざまな長さのフィールドを確認します。
関連項目
•
Prime Infrastructure 用の ACS 4.x の設定：ワークフロー
•
RADIUS を使用する Cisco ACS サーバへの Prime Infrastructure の追加
Cisco Prime Infrastructure 3.0 管理者ガイド
11-45
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
Prime Infrastructure で使用するための ACS 5.x の設定は、次のワークフローに従って行います。
1.
ACS ネットワークデバイスおよび AAA クライアントを作成する。
2.
ACS グループを追加する。
3.
ACS ユーザを追加する。
4.
RADIUS または TACACS+ 対応の ACS ポリシー要素または許可プロファイルを適宜作成
する。
5.
RADIUS または TACACS+ 対応の ACS サービスセレクション規則を適宜作成する。
6.
RADIUS または TACACS+ 対応の ACS アクセスサービスを適宜作成する。
関連項目
•
ACS ネットワークデバイスおよび AAA クライアントの作成
•
ACS グループの追加
•
ACS ユーザの追加
•
RADIUS 用 ACS ポリシー要素または許可プロファイルの作成
•
TACACS+ 対応の ACS ポリシー要素または許可プロファイルの作成
•
RADIUS 対応の ACS サービスセレクション規則の作成
•
TACACS+ 対応の ACS サービスセレクション規則の作成
•
RADIUS 対応の ACS アクセスサービスの設定
•
TACACS+ 対応の ACS アクセスサービスの設定
ACS ネットワークデバイスおよび AAA クライアントの作成
ステップ 1
ACS 5.x サーバにログインし、[Network Resources] > [Network Devices and AAA Clients] の順に選
択します。
ステップ 2
IP アドレスを入力します。
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
ACS グループの追加
ACS グループの追加
ステップ 1
ACS 5.x サーバにログインし、[Users and Identity Stores] > [Identity Groups] の順に選択します。
ステップ 2
グループを作成する。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-46
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
ACS ネットワークデバイスおよび AAA クライアントの作成
•
ACS ユーザの追加
ACS ユーザの追加
ステップ 1
ACS 5.x サーバにログインし、[Users and Identity Stores] > [Internal Identity Stores] > [Users] の順
に選択します。
ステップ 2
ユーザを追加してから、そのユーザにグループをマップします。
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
ACS グループの追加
•
RADIUS 用 ACS ポリシー要素または許可プロファイルの作成
•
TACACS+ 対応の ACS ポリシー要素または許可プロファイルの作成
RADIUS 用 ACS ポリシー要素または許可プロファイルの作成
ステップ 1
ACS 5.x サーバにログインし、[Policy Elements] > [Authorization and Permissions] > [Network
Access] > [Authorization Profiles] の順に選択して、[Create] をクリックします。
ステップ 2
必要な情報を入力してから、[Submit] をクリックします。
[Export Custom Attributes] ボタンは、仮想ドメインの RADIUS 属性と TACACS+ 属性をプリ
フォーマットします。これらの属性を Access Control Server（ACS）サーバにコピーして貼り付け
ることができます。これにより、該当する仮想ドメインのみを ACS サーバのページにコピーで
き、ユーザがこれらの仮想ドメインのみにアクセスできるように保証されます。
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
ACS ユーザの追加
•
RADIUS 対応の ACS サービスセレクション規則の作成
•
RADIUS 対応の ACS アクセスサービスの設定
TACACS+ 対応の ACS ポリシー要素または許可プロファイルの作成
開始する前に、関連のメニューアクセスタスクを追加して、ACS サブメニューが Prime
Infrastructure に表示されるようにする必要があります。たとえば、[Administration] メニューにサ
ブメニューを追加する場合は、Prime Infrastructure で [Administration] メニューの下にサブメ
ニューが表示されるように、最初に [Administration Menu Access] タスクを追加する必要があり
ます。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-47
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
ステップ 1
ACS 5.x サーバにログインし、[Policy Elements] > [Authorization and Permissions] > [Device
Administration] > [Shell Profiles] の順に選択して、[Create] をクリックします。
ステップ 2
必要な情報を入力してから、[Submit] をクリックします。
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
ACS ユーザの追加
•
TACACS+ 対応の ACS サービスセレクション規則の作成
•
TACACS+ 対応の ACS アクセスサービスの設定
RADIUS 対応の ACS サービスセレクション規則の作成
ステップ 1
ACS 5.x サーバにログインし、[Access Policies] > [Access Services] > [Service Selection Ruless] を
選択します。
ステップ 2
[Create] をクリックします。
ステップ 3
必要な情報を入力してから、[OK] をクリックします。
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
RADIUS 用 ACS ポリシー要素または許可プロファイルの作成
•
RADIUS 対応の ACS サービスセレクション規則の作成
•
RADIUS 対応の ACS アクセスサービスの設定
TACACS+ 対応の ACS サービスセレクション規則の作成
ステップ 1
ACS 5.x サーバにログインし、[Access Policies] > [Access Services] > [Service Selection Ruless] を
選択します。
ステップ 2
[Create] をクリックします。
ステップ 3
必要な情報を入力してから、[OK] をクリックします。
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
TACACS+ 対応の ACS ポリシー要素または許可プロファイルの作成
•
TACACS+ 対応の ACS アクセスサービスの設定
Cisco Prime Infrastructure 3.0 管理者ガイド
11-48
第 11 章
ユーザアクセスの制御
Prime Infrastructure 上での AAA の設定
RADIUS 対応の ACS アクセスサービスの設定
ステップ 1
ACS 5.x サーバにログインし、[Access Policies] > [Access Services] > [Default Network Access] を
選択します。
ステップ 2
[General] タブで、使用するポリシー構造をクリックします。デフォルトでは、3 個の全ポリシー構
造が選択されています。
ステップ 3
[Allowed Protocols] から、使用するプロトコルをクリックします。
アイデンティティおよびグループのマッピングのためにデフォルトを保持できます。
ステップ 4
RADIUS 用の許可規則を作成するには、[Access Policies] > [Access Services] > [Default Network
Access] > [Authorization] の順に選択してから、[Create] をクリックします。
ステップ 5
[Location] で、[All Locations] をクリックするか、ロケーションに基づく規則を作成することもで
きます。
ステップ 6
[Group] で、前に作成したグループを選択します。
ステップ 7
[Device Type] で、[All Device Types] を選択するか、デバイスタイプに基づく規則を作成すること
もできます。
ステップ 8
[Authorization Profile] で、RADIUS 用に作成した認可プロファイルを選択して、[OK] をクリック
してから、[Save] をクリックします。
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
RADIUS 対応の ACS サービスセレクション規則の作成
TACACS+ 対応の ACS アクセスサービスの設定
ステップ 1
ACS 5.x サーバにログインし、[Access Policies] > [Access Services] > [Default Device Admin] を選
択します。
ステップ 2
[General] タブで、使用するポリシー構造をクリックします。デフォルトでは、3 個すべてが選択さ
れています。同様に、[Allowed Protocols] で、使用するプロトコルをクリックします。
アイデンティティおよびグループのマッピングのためにデフォルトを保持できます。
ステップ 3
TACACS+ 用の許可規則を作成するには、[Access Policies] > [Access Services] > [Default Device
Admin] > [Authorization] の順に選択してから、[Create] をクリックします。
ステップ 4
[Location] で、[All Locations] をクリックするか、ロケーションに基づくルールを作成することも
できます。
ステップ 5
[Group] で、前に作成したグループを選択します。
ステップ 6
[Device Type] で、[All Device Types] を選択するか、デバイスタイプに基づく規則を作成すること
もできます。
ステップ 7
[Shell Profile] で、TACACS+ 用に作成したシェルプロファイルを選択して、[OK] をクリックして
から、[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
11-49
第 11 章
Prime Infrastructure 上での AAA の設定
関連項目
•
Prime Infrastructure 用の ACS 5.x の設定：ワークフロー
•
TACACS+ 対応の ACS サービスセレクション規則の作成
Cisco Prime Infrastructure 3.0 管理者ガイド
11-50
ユーザアクセスの制御
CH A P T E R
12
詳細モニタリング
Cisco Prime Infrastructure は、NAM、NetFlow、NBAR、Cisco Medianet、PerfMon、Performance Agent
などのさまざまなソースからの情報を処理します。次の表に、Prime Infrastructure で使用される
サイトダッシュレットに関するデータのソースを示します。
表 12-1
サイトダッシュレットデータソース
ダッシュレットの名前
NAM
Cisco メディア
NetFlow
ネット
PA
NBAR2
Application Usage Summary
y
y
y
y
y
Top N Application Groups
y
y
y
y
y
Top N Applications
y
y
y
y
y
Top N Applications with Most
Alarms
y
y
y
y
y
Top N Clients (In and Out)
y
y
y
y
y
Top N VLANs
y
_
y
y
_
Worst N RTP Streams by Packet
Loss
y
y
_
_
_
Worst N Clients by Transaction
Time
y
_
_
y
_
次の表に、Prime Infrastructure によって生成されるアプリケーション固有のダッシュレットを示
します。
表 12-2
アプリケーション固有のダッシュレットデータソース
ダッシュレットの名前
NAM
Cisco メディア
ネット
NetFlow
PA
NBAR2
Application Configuration
y
y
y
y
y
Application ART Analysis
y
_
_
y
_
App Server Performance
y
_
_
y
_
Application Traffic Analysis
y
y
_
y
y
Top N Clients (In and Out)
y
_
_
y
_
Cisco Prime Infrastructure 3.0 管理者ガイド
12-1
第 12 章
表 12-2
アプリケーション固有のダッシュレットデータソース（続き）
Worst N Clients by Transaction
Time
y
_
_
y
_
Worst N Sites by Transaction Time y
_
_
y
_
KPI Metric Comparison
y
y
_
y
_
DSCP Classification
y
_
y
_
_
Number of Clients Over Time
y
_
y
_
_
Top Application Traffic Over Time y
_
y
_
_
Top N Applications
y
_
y
y
_
Top N Clients (In and Out)
y
_
y
y
_
Average Packet Loss
y
y
_
_
_
Client Conversations
y
_
y
_
_
Client Traffic
y
_
y
_
_
IP Traffic Classification
y
_
y
_
_
Top N Applications
y
_
y
_
_
DSCP Classification
y
_
y
_
_
RTP Conversations Details
y
y
_
_
_
Top N RTP Streams
y
y
_
_
_
Voice Call Statistics
Y
y
_
_
_
Worst N RTP Streams by Jitters
y
y
_
_
_
Worst N RTP Streams by MOS
y
_
_
_
_
Worst N Sites by MOS
y
_
_
_
_
Worst N Site to Site Connections
by KPI
y
y
_
y
_
関連項目
•
Medianet NetFlow のイネーブル化
•
NetFlow と Flexible NetFlow のイネーブル化
Cisco Prime Infrastructure 3.0 管理者ガイド
12-2
詳細モニタリング
第 12 章
詳細モニタリング
WAN 最適化の有効化
WAN 最適化の有効化
Cisco Wide Area Application Services（WAAS）デバイスとソフトウェアは、複数サイトのアプリ
ケーション全体での高品質な WAN エンドユーザエクスペリエンスを保証するのに役立ちま
す。WAAS をネットワークに展開するためのさまざまなシナリオについては、『Using Cisco NAM
Hardware in a WAAS Deployment』を参照してください。
候補サイトで WAAS 変更を展開したら、[Dashboards] > [Performance] > [WAN Optimization] の
順に選択して、最適化の投資効果を検証することができます。このダッシュボードから、[View
Multi-Segment Analysis] をクリックして、WAAS に最適化された WAN トラフィックをモニタす
ることができます。[Multi-Segment Analysis] 表示では、次の項目を選択できます。
•
個々のクライアント /サーバセッションを確認するための [Conversations] タブ。
•
集約されたサイトトラフィックを確認するための [Site to Site] タブ。
次の表に、主要な WAAS モニタリングダッシュレットの説明を示します。
表 12-3
主要な WAAS モニタリングダッシュレット
ダッシュレット
説明
Average Concurrent Connections (Optimized
versus Pass-through)
指定された期間の同時クライアントおよびパス
スルー接続数の平均をグラフ表示します。
Multi-segment Analysis
カンバセーション内またはサイト間の複数のセ
グメントにわたる WAAS トラフィックを表示し
ます。
Multi-segment Network Time (Client
LAN-WAN - Server LAN)
複数のセグメント間のネットワーク時間をグラ
フ表示します。
Transaction Time (Client Experience)
過去 24 時間の平均クライアントトランザク
ション時間（ミリ秒単位）をグラフ表示します。
最適化されたトラフィックとパススルートラ
フィック（最適化が無効）で行が分かれていま
す。最適化が有効になっている場合は、パスス
ルー時間と比較して、最適化されたトラフィッ
ク時間の方が短くなっているはずです。
Traffic Volume and Compression Ratio
圧縮前のバイト数と圧縮後のバイト数の帯域幅
減少率をグラフ表示します。
Prime Infrastructure 保証ライセンスを購入して適用していない場合は、[Multi-Segment Analysis]
にアクセスできないことに注意してください。候補サイトに WAAS が実装されていない場合は、
WAAS モニタリングダッシュレットに何もデータが表示されません。
Cisco Prime Infrastructure 3.0 管理者ガイド
12-3
第 12 章
WAN 最適化の有効化
Cisco Prime Infrastructure 3.0 管理者ガイド
12-4
詳細モニタリング
CH A P T E R
13
ライセンスの管理
[Administration] > [Licenses and Software Updates] > [Licenses] ページを使用して、Cisco Prime
Infrastructure、ワイヤレス LAN コントローラ、および Mobility Services Engine（MSE）のライセン
スを管理できます。
Prime Infrastructure および MSE のライセンスは [Administration] > [Licenses and Software
Updates] > [Licenses] ページから完全に管理できますが、Cisco ワイヤレス LAN コントローラ
（WLC）は表示することしかできません。Cisco WLC のライセンスを管理するには、Cisco WLC ま
たは Cisco License Manager（CLM）を使用する必要があります。
関連項目
•
Prime Infrastructure ライセンス
•
コントローラライセンス
•
MSE ライセンス
•
保証ライセンス
Prime Infrastructure ライセンス
ネットワークの管理に必要な Prime Infrastructure の機能にアクセスするためにライセンスは購
入されています。各ライセンスは、これらの機能を使用して管理できるデバイスの数を制御し
ます。
基本ライセンスのほかに、それぞれの Prime Infrastructure 機能を使用して特定の数のデバイスを
管理するために、その機能へのフルアクセスを提供する機能ライセンス（保証ライセンスやデー
タセンターライセンスなど）が必要です。
初めて Prime Infrastructure をインストールする場合はデフォルトで使用できる組み込みの評価
ライセンスを使用してライフサイクルと保証機能にアクセスできます。デフォルトの評価ライ
センスは 100 台のデバイスで 60 日間有効です。次の場合に、[email protected]
にリクエストを送信できます。
•
評価期間を延長する必要がある
•
デバイス数を増やす必要がある
•
すでに特定の機能のライセンスがあり、他の機能のライセンスを評価する必要がある
Cisco Prime Infrastructure 3.0 管理者ガイド
13-1
第 13 章
ライセンスの管理
Prime Infrastructure ライセンス
評価ライセンスの期限が切れる前に、基本ライセンスを注文し、対応する機能ライセンスを購入
する必要があります。購入するライセンスは、以下の条件を満たす必要があります。
•
ネットワークを管理するために使用する、すべての Prime Infrastructure 機能にアクセスでき
ること。
•
Prime Infrastructure を使用して管理するネットワー内のすべてのデバイスが対象であること。
これらの条件を満たすライセンスを入手するためには、以下のようにしてください。
1.
利用可能なライセンスパッケージのタイプと、それぞれの要件を理解します。
2.
既存のライセンスを確認します。ライセンスの注文およびダウンロードの方法については、
ヘルプを参照してください。
3.
必要な機能のパッケージと、管理する必要があるデバイス数の両方に基づいて、必要となる
ライセンス数を計算します。
4.
新しいライセンスを追加します。
5.
既存のライセンスを削除します。
関連項目
•
Cisco Prime Infrastructure Ordering and Licensing Guide
•
ライセンスの詳細の確認
•
ライセンスの追加
•
ライセンスの削除
Prime Infrastructure ライセンスの購入
Prime Infrastructure ライセンスは、ユーザが使用可能な機能と、それらの機能を使用して管理可
能なデバイスの数を制御します。Prime Infrastructure のライセンスの種類と注文方法について
は、『Cisco Prime Infrastructure 2.2 Ordering and Licensing Guide』を参照してください。
[Administration] > [Licenses and Software Updates] > [Licenses] > [Files] > [License Files] 領域に表
示される「Base license is missing」や「Multiple base licenses present, use only one」などの警告メッ
セージは、無視して構いません。
関連項目
•
Cisco Prime Infrastructure Ordering and Licensing Guide
ライセンスの詳細の確認
新しいライセンスを購入する前に、既存のライセンスに関する詳細を確認することをお勧めし
ます。たとえば、システムで管理するデバイス数など。
ライセンスの詳細を確認するには、[Administration] > [Licenses and Software Updates] > [Licenses]
の順に選択します。
関連項目
•
Prime Infrastructure ライセンス
•
コントローラライセンス
•
MSE ライセンス
•
保証ライセンス
Cisco Prime Infrastructure 3.0 管理者ガイド
13-2
第 13 章
ライセンスの管理
Prime Infrastructure ライセンス
ライセンスの追加
以下の場合には、新しいライセンスを追加する必要があります。
•
新しい Prime Infrastructure ライセンスを購入した場合
•
すでに Prime Infrastructure を使用していて、追加のライセンスを購入した場合
ステップ 1
[Administration] > [Licenses and Software Updates] > [Licenses] の順に選択します。
ステップ 2
[Summary] フォルダで [Files] をクリックし、次に [License Files] をクリックします。
ステップ 3
[Add] をクリックします。
ステップ 4
ライセンスファイルの場所を参照し、[OK] をクリックします。
関連項目
•
ライセンスの削除
•
ライセンスのトラブルシューティング
•
MSE ライセンスの構成マトリクス
•
保証ライセンスの詳細の確認
ライセンスの削除
ライセンスを Prime Infrastructure から削除すると、すべてのライセンス情報がサーバから削除さ
れます。後で追加しなければならなくなった場合に備え、元のライセンスファイルのコピーを作
成してください。以下のような場合に、ライセンスを削除する必要があります。
•
一時ライセンスをインストールした場合。この場合、永続ライセンスを適用する前に、一時ラ
イセンスを削除する必要があります。
•
別のサーバにライセンスを移動する必要がある場合。この場合、元のサーバからライセンス
を削除してから、[email protected] 宛にライセンスの再ホストを要請する E メールを送信
する必要があります。その後、再ホストされたライセンスを新しいサーバに適用できます。
ステップ 1
[Administration] > [Licenses and Software Updates] > [Licenses] の順に選択します。
ステップ 2
[Files] > [License Files] の順にクリックします。
ステップ 3
削除するライセンスファイルを選択し、[Delete] をクリックします。
関連項目
•
ライセンスの追加
•
ライセンスのトラブルシューティング
•
MSE ライセンスの構成マトリクス
•
保証ライセンスの詳細の確認
Cisco Prime Infrastructure 3.0 管理者ガイド
13-3
第 13 章
ライセンスの管理
Prime Infrastructure ライセンス
ライセンスのトラブルシューティング
ライセンスのトラブルシューティングを行うには、システムにインストールされているライセ
ンスの詳細を取得する必要があります。次のように操作します。
•
現在のライセンスの一覧を表示するには、[Help] > [About Prime Infrastructure] を順にクリッ
クします。
•
ライセンスの詳細を取得するには、[Administration] > [Licenses and Software Updates] >
[Licenses] の順に選択します。
ライセンスのトラブルシューティングを行う際は、Prime Infrastructure に次の 6 種類のライセン
スがあることに留意することが重要です。
•
基本：すべての Prime Infrastructure に必要です。要件は主に、購入済みの Prime Infrastructure
インスタンスの数を把握して正確なロイヤリティアカウンティングを実行するためのニー
ズによって決まります。基本ライセンスは、Prime Infrastructure インスタンスごとに必要であ
り、他のすべてのライセンスタイプの前提条件です。
•
ライフサイクル：Prime Infrastructure の管理下にあるデバイスの総数を規定します。
•
保証：Prime Infrastructure の管理下にある NetFlow デバイスの総数を規定します。
•
収集装置：Prime Infrastructure が処理できる 1 秒あたりの NetFlow データフローの総数を規
定します。
•
データセンター：Prime Infrastructure 内で UCS デバイスによって管理されるブレードサーバ
数を規定します。ライセンス数は、すべての UCS デバイスに関連したブレードまたはラック
ユニットの数に一致します。
データセンターライセンスは、UCS デバイス（ブレード数）のみに限定されます。その他の
データセンターデバイス（Nexus スイッチや MDS デバイスなど）は、通常のライフサイクル
ライセンスを使用して管理されます。
•
データセンターハイパーバイザ：Prime Infrastructure によって管理されるホストの総数を規
定します。このライセンスは、Prime Infrastructure 内の Discovery Sources（Vcenters）を管理し
ます。このライセンスタイプは、Prime Infrastructure バージョン 3.0 で導入されました。
ライフサイクル、保証、データセンターのライセンスは、次のように評価版または永久版の形式
で提供されます（基本、収集装置、データセンターハイパーバイザのライセンスには明確な評価
版が存在しません）。
•
評価：このライセンスは、事前に設定された期間の Prime Infrastructure へのアクセスを許可
または拡張します。タイプごとに 1 つずつの評価ライセンスしか適用できません（つまり、ラ
イフサイクル評価ライセンスが 1 つだけ、保証評価ライセンスが 1 つだけといった具合です）。
同じライセンスの永久ライセンスに対して評価ライセンスを適用することはできません。
•
永久ライセンス：このライセンスは、規定どおりに Prime Infrastructure 機能へのアクセスを
許可し、時間制限はありません。永久ライセンスは、評価ライセンスに適用することができま
す。また、段階的に適用することもできます（つまり、複数の永久保証ライセンスを所有する
といったことが可能です）。
Prime Infrastructure は、次の基本ライセンスチェックを実行します。
•
ライフサイクルライセンスは保証ライセンスに不可欠な前提条件です。
•
保証のライセンスは収集装置ライセンスに不可欠な前提条件です。
•
ライフサイクル、データセンター、データセンターハイパーバイザのライセンスは相互に独
立して追加できます。
Cisco Prime Infrastructure 3.0 管理者ガイド
13-4
第 13 章
ライセンスの管理
Prime Infrastructure ライセンス
次のことにも注意してください。
•
Prime Infrastructure 3.0 では、データセンターハイパーバイザ以外のすべてのライセンスに
対してアラームを生成するしきい値限度をユーザが設定できます。ライセンスのしきい値限
度を設定するには、関連項目の「通知の設定」を参照してください。
•
Prime Infrastructure は、保証ライセンスが適用されるまで、保証関連の機能、メニューオプ
ション、およびリンクを非表示にします。保証ライセンスを購入しても、それを適用するま
で、これらの機能は非表示のままです。
•
保証ライセンスを適用すると、1 秒あたり最大 20,000 NetFlow データフローの処理を Prime
Infrastructure のインスタンスに許可する収集装置ライセンスが自動的に適用されます。1 秒
あたり 80,000 フローを許可する収集装置ライセンスは、このデータレートに課されるハー
ドディスク要件によって、専門的構成または同等の構成でしか適用できません。
•
ライフサイクル、保証、およびデータセンターの永久ライセンスは段階的に追加できます。
ただし、収集装置 80K ライセンスは 1 つしか追加できず、専門的構成または同等の構成でし
か追加できません。
次の表に、トラブルシューティングに関するいくつかのシナリオとヒントを示します。
表 13-1
トラブルシューティングシナリオ
シナリオ
考えられる原因
解決策
Prime Infrastructure がライセンライセンスファイルが破損して使用で
スエラーを報告している。
きない可能性があります。この現象は、
何者かがライセンスファイルを変更し
ようとしたときに発生する可能性があ
ります。
1.
既存のライセンスを削除します。
2.
新しいライセンスをダウンロードし
てインストールします。
新しいライセンスを追加でき
ない。
1.
基本ライセンスを追加します。
2.
ライフサイクルライセンスを追加し
ます。
3.
保証ライセンスを追加します。
4.
データセンターライセンスを追加し
ます。
5.
収集装置ライセンスを追加します。
一部のライセンスタイプは正しい順序
で追加する必要があります。基本ライ
センスは、ライフサイクルライセンス
を追加するための前提条件です。ライ
フサイクルライセンスは、保証または
データセンターライセンスを追加す
るための前提条件です。保証ライセン
スは、収集装置ライセンスを追加する
ための前提条件です（収集装置ライセ
ンスは、自動的に、保証ライセンスと一
緒に追加されます）。
Cisco Prime Infrastructure 3.0 管理者ガイド
13-5
第 13 章
ライセンスの管理
コントローラライセンス
表 13-1
トラブルシューティングシナリオ（続き）
シナリオ
考えられる原因
デバイスの状態が、非管理対象デバイスの制限は、ライフサイクルラ
に変更されている。
イセンスの制限以下でなければなりま
せん。デバイスを追加または削除する
と、インベントリ対象のデバイスの状
態が管理対象外に変更されます。
解決策
1.
追加デバイスを削除します。
2.
24 時間同期の後、デバイスの状態が管
理対象に変更されます。
インベントリ対象のデバイスの状態が管
理対象に変更されたことを確認するには、
次の手順に従ってください。
1.
[Monitor] > [Network Devices] の順に
選択します。
2.
目的のデバイスが列挙されている行
の [Inventory Collection Status] 列を
チェックします。これにより、そのデ
バイスの現在の収集ステータス結果
のサマリーを確認できます。
3.
収集ステータスの詳細を確認するに
は、[Inventory Collection Status] 列の十
字アイコンの上にマウスカーソルを
移動します。
関連項目
•
通知の設定
•
ライセンスの追加
•
ライセンスの削除
•
MSE ライセンスの構成マトリクス
•
保証ライセンスの詳細の確認
コントローラライセンス
コントローラライセンスを表示するには、[Administration] > [Licenses and Software Updates] >
[Licenses] の順に選択し、左側のサイドバーメニューから [Files] > [Controller Files] の順に選択
します。
注
Prime Infrastructure では、コントローラライセンスを直接管理するのではなく、単にこのライセ
ンスをモニタします。このライセンスは、コマンドラインインターフェイス（CLI）、Web UI、また
は Cisco License Manager（CLM）を使用して管理できます。
このページには、次のパラメータが表示されます。
•
コントローラ名
•
[Controller IP]：コントローラの IP アドレス。
•
[Feature]：ライセンス機能には、wplus-ap-count、wplus、base-ap-count、および base が含まれます。
Cisco Prime Infrastructure 3.0 管理者ガイド
13-6
第 13 章
ライセンスの管理
コントローラライセンス
インストールされているすべての物理ライセンスについて、コントローラに機能レベルラ
イセンスと ap-count ライセンスの 2 個のライセンスファイルが表示されます。たとえば
「WPlus 500」ライセンスをコントローラにインストールすると、「wplus」および「wplus-ap-count」
機能が表示されます。組み合わせによって機能レベル（WPlus または Base）および AP カウン
トを有効にするために、常時、このうち 2 個の機能がアクティブになっています。
WPlus と基本の両方のライセンスを保持できますが、特定の時期にアクティブにできるのは
1 つのみです。
•
[AP Limit]：アクセスポイントでこのコントローラを接続できる最大容量。
•
[EULA status]：[Accepted] または [Not Accepted] のいずれかで、エンドユーザライセンス契
約書のステータスが表示されます。
•
[Comments]：ライセンスをインストールするときにユーザが入力したコメント。
•
[Type]：次の 4 種類のライセンスがあります。
– [Permanent]：ライセンスはノードロックされており、使用期間は関連付けられていません。
これは、シスコライセンスポータルによって発行されるライセンスであり、デバイス上の
管理インターフェイスを使用してインストールする必要があります。これらのライセンス
をインストールすれば、さまざまなバージョンをまたがって必要な権限を得られます。
– [Evaluation]：ライセンスはノードロックされておらず、一定期間だけ有効です。永久ライ
センス、拡張ライセンス、および猶予期間ライセンスが存在しない場合だけ使用されま
す。評価ライセンスを使用する前に、エンドユーザライセンス契約書（EULA）を受け入
れる必要があります。このライセンスは、ノードロックされていませんが、ライセンスの
使用状況はデバイスに記録されます。アクティブライセンスの残日数が最少の評価ライ
センスについて、残日数が表示されます。
– [Extension]：ライセンスはノードロックされており、定量の対象です。これは、シスコラ
イセンスポータルによって発行されるライセンスであり、デバイス上の管理インター
フェイスを使用してインストールする必要があります。拡張ライセンスを使用するに
は、まず、インストール時に EULA を受け入れる必要があります。
– [Grace Period]：ライセンスはノードロックされており、定量の対象です。これは、ライセ
ンスをリホストするための許可チケットの一部として、シスコライセンスポータルに
よって発行されるライセンスです。これらのライセンスは、リホスト操作の一環として
デバイス上にインストールされます。リホスト操作の一環として EULA を受け入れる必
要があります。
Permanent 以外のタイプでは、ライセンスが期限切れになるまでの残日数が表示されま
す。現在使用中でないライセンスのカウントは、「In Use」になるまで減算されません。
•
Status（ステータス）
– [In Use]：このライセンスレベルおよびライセンスは使用中です。
– [Inactive]：このライセンスレベルは使用中ですが、このライセンスは使用中ではありま
せん。
– [Not In Use]：このライセンスレベルは使用中でなく、このライセンスは現在認識されて
いません。
– [Expired In Use]：このライセンスは使用中ですが期限切れであり、次回のリブートで使用
されなくなります。
– [Expired Not In Use]：ライセンスは期限切れであり、もう使用できません。
– [Count Consumed]：この ap-count ライセンスは使用中です。
ライセンスファイルのリストをフィルタする必要がある場合は、コントローラ名、機能、または
タイプを入力して [Go] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
13-7
第 13 章
ライセンスの管理
MSE ライセンス
MSE ライセンス
MSE には、次のような関連サービスエンジンとアプリケーションプロセスとともに、ネット
ワークトポロジ、NMSP などの設計、ネットワークリポジトリに関連する複数の製品機能が付属
しています。
•
Context-Aware サービス
•
ワイヤレス侵入防御システム（WIPS）
MSE とそのサービスをスムーズに管理できるように、各種ライセンスが提供されています。
MSE とその関連サービスを使用するには、Cisco Prime Infrastructure ライセンスが必要です。
関連項目
•
MSE ライセンスの構成マトリクス
•
MSE ライセンスファイルのサンプル
•
MSE ライセンスの取り消しと再使用
•
MSE サービスの共存
•
MSE ライセンスの管理
MSE ライセンスの構成マトリクス
次の表に、MSE、ロケーションサービス、SCM、wIPS および MIR について、ハイエンド、ローエン
ド、評価のライセンス間でのライセンスの区別を示します。
表 13-2
MSE ライセンスの構成マトリクス
ハイエンド
ローエンド
評価
MSE プラット
フォーム
Cisco 3310 Mobility Services
—
Cisco 3350 および 3355
Mobility Services Engine など Engine などのローエンドアプ
のハイエンドアプライアンスライアンスおよびインフラス
およびインフラストラクチャトラクチャプラットフォーム
プラットフォーム
Context Aware
Service
25,000 タグ
2000 タグ
25,000 要素
2000 要素
wIPS
3000 アクセスポイント
2000 アクセスポイント
関連項目
•
MSE ライセンスファイルのサンプル
•
MSE ライセンスの取り消しと再使用
•
MSE サービスの共存
•
MSE ライセンスの管理
Cisco Prime Infrastructure 3.0 管理者ガイド
13-8
60 日間有効、100 タグおよび
100 要素
60 日間有効、20 アクセスポイ
ント
第 13 章
ライセンスの管理
MSE ライセンス
MSE ライセンスファイルのサンプル
次に、MSE ライセンスファイルのサンプルを示します。
FEATURE MSE cisco 1.0 permanent uncounted \
VENDOR_STRING=UDI=udi,COUNT=1 \
HOST ID=ANY \
NOTICE="<LicFileID>MSELicense</LicFileID><LicLineID>0</LicLineID> \
<PAK>dummyPak</PAK>" \
SIGN="0C04 1EBA BE34 F208 404F 98ED 43EC \
45D7 F881 08F6 7FA5 4DED 43BC AF5C C359 0444 36B2 45CF 6EA6 \
1DB1 899F 413F F543 F426 B055 4C7A D95D 2139 191F 04DE"
このサンプルファイルには、ライセンスエントリが 5 つあります。どのライセンスエントリで
も最初の行の先頭の語は、どのタイプのライセンスであるかを示します。これは、Feature または
Increment ライセンスのいずれかになります。Feature（機能）ライセンスは、ライセンス付与する
唯一の固定アイテムです。MSE で実行しているサービスエンジンは複数ある場合があります。
Increment（増分）ライセンスは、追加型のライセンスです。MSE では、個々のサービスエンジンが
増分ライセンスとして扱われます。
最初の行の 2 番めの語は、ライセンス付与する特定のコンポーネントを定義します。たとえば、
MSE、LOCATION_TAG などです。3 番めの語はライセンスのベンダーを示します。たとえば、
Cisco などです。4 番めの語はライセンスのバージョンを示します。たとえば、1.0 などです。5 番
めの語は有効期限を示します。これは、期限のないライセンスの場合は permanent、それ以外の場
合は dd-mm-yyyy 形式の日付になります。最後の語は、このライセンスをカウントするかどうか
を定義します。
関連項目
•
MSE ライセンスの構成マトリクス
•
MSE ライセンスの取り消しと再使用
•
MSE サービスの共存
•
MSE ライセンスの管理
MSE ライセンスの取り消しと再使用
MSE アプリケーションライセンスをあるシステムから取り消し、別のシステムで再使用できま
す。ライセンスを取り消すと、ライセンスファイルはシステムから削除されます。ライセンスを
別のシステムで再使用する場合は、ライセンスをリホストする必要があります。
別のシステムでアップグレード最小在庫管理単位（SKU）を使用してライセンスを再使用する場
合は、対応する Base ライセンス SKU を、アップグレード SKU を再使用するシステムにインス
トールする必要があります。対応する Base ライセンス SKU がシステムから削除された場合、そ
のシステムではアップグレードライセンス SKU を再使用できません。
ライセンスを取り消すと、ライセンスに対して変更を反映するため、MSE により個別のサービス
エンジンが再起動されます。次に、サービスエンジンは、起動時に MSE から更新された容量を受
け取ります。
Cisco Prime Infrastructure 3.0 管理者ガイド
13-9
第 13 章
ライセンスの管理
MSE ライセンス
関連項目
•
MSE ライセンスの構成マトリクス
•
MSE ライセンスファイルのサンプル
•
MSE サービスの共存
•
MSE ライセンスの管理
MSE サービスの共存
MSE 6.0 以上では、複数のサービス（Context Aware および wIPS）を同時に実行できます。6.0 より
も前のバージョンでは、Mobility Services Engine では一度に 1 つのアクティブサービスだけがサ
ポートされていました。
複数サービスを共存させる場合には、以下の点を考慮してください。
•
サービスの共存は、ライセンス執行の影響を受けることがあります。ライセンスが有効期限
内である限り、複数サービスを有効にできます。
注
サービスごとに制限事項が異なります。たとえばローエンド Mobility Services Engine
（MSE-3310）は合計 2,000 の CAS 要素を追跡し、ハイエンド Mobility Services Engine
（MSE-3350）は合計 25,000 の CAS 要素を追跡します。
ローエンド Mobility Services Engine で追跡可能な wIPS 要素の最大数は 2000、ハイエ
ンド Mobility Services Engine で追跡可能な wIPS 要素の最大数は 3000 です。
•
有効期限切れの評価ライセンスがあると、サービスが起動できません。
•
CAS ライセンスを追加または削除すると、Mobility Services Engine のすべてのサービス
（wIPS を含む）が再起動されます。wIPS ライセンスを追加または削除しても CAS には影響
しません。wIPS が再起動するだけです。
•
最大数の要素の永久ライセンスが適用されている場合でも、その他のサービスを評価モード
で有効にできます。
サービスの 1 つが最大数のライセンスで実行可能になっている場合は常に、別のサービスを並
行して実行することはできません。これは、両方のサービスに同時に対応できる十分なキャパシ
ティが MSE にないためです。たとえば、MSE-3310 に 2000 の wIPS ライセンスをインストールし
ている場合、CAS を同時に実行することはできません。ただし、評価ライセンスはこの制限の対
象外です。
関連項目
•
MSE ライセンスの構成マトリクス
•
MSE ライセンスファイルのサンプル
•
MSE ライセンスの取り消しと再使用
•
MSE ライセンスの管理
Cisco Prime Infrastructure 3.0 管理者ガイド
13-10
第 13 章
ライセンスの管理
MSE ライセンス
MSE ライセンスの管理
Mobility Services Engine（MSE）ライセンスを表示するには、[Administration] > [Licenses and
Software Updates] > [Licenses] の順に選択し、左側のサイドバーメニューから [Files] > [MSE
Files] の順に選択します。
このページには、見つかった MSE と以下の情報が表示されます。
•
[MSE License File]：MSE ライセンスを示します。
•
[MSE]：MSE 名を示します。
•
[Type]：Mobility Services Engine のタイプ（クライアント要素、ワイヤレス IPS ローカルモー
ド、またはワイヤレス IPS モニタモードアクセスポイント）を示します。
•
[Limit]：Mobility Services Engine 全体でのライセンスを持つクライアント要素またはワイヤ
レス IPS モニタモードアクセスポイントの総数が表示されます。
•
[License Type]：このページに表示されるライセンスの種類は永久ライセンスだけです。永久
ライセンスはノードロックされており、使用期間は関連付けられていません。これは、シスコ
ライセンスポータルによって発行されるライセンスであり、デバイス上の管理インター
フェイスを使用してインストールする必要があります。これらのライセンスをインストール
すれば、さまざまなバージョンをまたがって必要な権限を得られます。
パートナーエンジンを使用してタグが追跡される場合、タグライセンスをインストールするに
は、AeroScout System Manager を使用します。その他の場合、タグは CAS 要素ライセンスとまとめ
てカウントされます。タグライセンスは、該当のベンダーアプリケーションを使用して追加お
よび管理されるため、タグライセンスはこのページに表示されません。詳細については、「関連項
目」の AeroScout Support Page を参照してください。評価（デモ）ライセンスも表示されません。
関連項目
•
AeroScout Support Page
•
製品認証キーの登録
•
クライアントライセンスファイルおよびワイヤレス IPS ライセンスファイルのインス
トール
•
Mobility Services Engine ライセンスファイルの削除
Cisco Prime Infrastructure 3.0 管理者ガイド
13-11
第 13 章
ライセンスの管理
MSE ライセンス
製品認証キーの登録
クライアント、ワイヤレス IPS、またはタグのライセンスをシスコに注文すると、製品認証キー
（PAK）が配布されます。Mobility Services Engine 上にインストールするライセンスファイルを受
け取るには、PAK を登録する必要があります。PAK の登録に成功すると、ライセンスファイルが
E メールで送信されます。
クライアントおよびワイヤレス IPS の PAK は、シスコに登録します。
タグ PAK は AeroScout に登録されます。タグ PAK を登録するには、「関連項目」の AeroScout
Support Page に移動してしてください。
製品認証キー（PAK）を登録して、インストールするライセンスファイルを入手するには、次の手
順に従ってください。
ステップ 1
ブラウザでシスコ製品ライセンス登録ポータル（「関連項目」を参照）を開きます。
このサイトへは、Prime Infrastructure の [License Center] ページにある [Product License
Registration] リンクをクリックすることによってもアクセスできます。
ステップ 2
PAK を入力し、[SUBMIT] をクリックします。
ステップ 3
ライセンスの購入内容を確認します。正しい場合は [Continue] をクリックします。ライセンス入
力ページが表示されます。
ライセンスが正しくない場合は、[TAC Service Request Tool] リンクをクリックして問題をレポー
トしてください。
ステップ 4
[Designate Licensee] ページで、[host ID] テキストボックスに Mobility Services Engine の UDI を
入力します。これは、ライセンスがインストールされる Mobility Services Engine です。
Mobility Services Engine の UDI 情報は、[Services] > [Mobility Services Engine] > [Device Name] >
[System] の [General Properties] 領域に表示されます。
ステップ 5
[Agreement] チェックボックスをオンにします。チェックボックスの下に登録者情報が表示され
ます。
必要に応じて情報を変更します。
登録者およびエンドユーザの電話番号に、文字が含まれていないことを確認します。たとえば
408.555.1212 や 408-555-1212 ではなく 408 555 1212 と入力します。
ステップ 6
登録者とエンドユーザが異なる場合は、登録者情報の下の [Licensee (End-User)] チェックボック
スをオンにしてエンドユーザ情報を入力します。
ステップ 7
[Continue] をクリックします。
ステップ 8
[Finish and Submit] ページで登録者とエンドユーザのデータを確認します。必要な場合には [Edit
Details] をクリックして情報を修正してから、[Submit] をクリックします。
関連項目
•
AeroScout Support Page
•
Cisco Product License Registration Portal
•
クライアントライセンスファイルおよびワイヤレス IPS ライセンスファイルのインス
トール
•
Mobility Services Engine ライセンスファイルの削除
Cisco Prime Infrastructure 3.0 管理者ガイド
13-12
第 13 章
ライセンスの管理
MSE ライセンス
クライアントライセンスファイルおよびワイヤレス IPS ライセンスファイルのインス
トール
Prime Infrastructure から CAS 要素ライセンス wIPS ライセンスをインストールできます。
タグライセンスをインストールするには、AeroScout System Manager を使用します（「関連項目」
の AeroScout Support Page 参照）。
PAK の登録後にクライアントライセンスまたは wIPS ライセンスを Prime Infrastructure に追加
するには、次の手順に従います。
ステップ 1
[Administration] > [Licenses and Software Updates] > [Licenses] の順に選択します。
ステップ 2
左側のサイドバーのメニューから [Files] > [MSE Files] の順に選択します。
ステップ 3
[Add] をクリックして、[Add a License File] ダイアログボックスを開きます。
ステップ 4
[MSE Name] ドロップダウンリストから、ライセンスファイルを追加する Mobility Services
Engine を選択します。
注
選択されている Mobility Services Engine の UDI が、PAK 登録時に入力したものと一致し
ていることを確認します。
ステップ 5
[License File] テキストボックスにライセンスファイルを入力するか、該当するライセンスファ
イルをブラウズして選択します。
ステップ 6
[License File] テキストボックスに表示されたら、[Upload] をクリックします。新しく追加された
ライセンスが Mobility Services Engine ライセンスファイルリストに表示されます。
注
クライアントライセンスまたはタグライセンスをインストールすると、Context Aware
Service（CAS）が再起動されます。ワイヤレス IPS ライセンスをインストールすると、ワイ
ヤレス IPS サービスが再起動されます。
注
別のライセンスの追加または削除を試行するには、その前にサービスが開始されている
必要があります。
関連項目
•
AeroScout Support Page
•
クライアントライセンスファイルおよびワイヤレス IPS ライセンスファイルのインス
トール
•
Mobility Services Engine ライセンスファイルの削除
Cisco Prime Infrastructure 3.0 管理者ガイド
13-13
第 13 章
ライセンスの管理
保証ライセンス
Mobility Services Engine ライセンスファイルの削除
ステップ 1
[Administration] > [Licenses and Software Updates] > [Licenses] の順に選択し、左側のサイドバー
メニューから [Files] > [MSE Files] の順に選択します。
ステップ 2
削除するモビリティサービスエンジンライセンスファイルのチェックボックスをオンにします。
ステップ 3
[Delete] をクリックし、[OK] をクリックして削除を確認します。
関連項目
•
製品認証キーの登録
•
クライアントライセンスファイルおよびワイヤレス IPS ライセンスファイルのインス
トール
保証ライセンス
「Prime Infrastructure ライセンスの購入」（「関連項目」を参照）で説明しているように、保証機能の
ライセンスは、ネットワーク内の NetFlow モニタ対象のデバイス数と、Network Analysis Module
（NAM）のデータ収集対応デバイス数に基づきます。保証ライセンスの管理、確認、トラブル
シューティングは、「ライセンスの追加」、「ライセンスの削除」、および「ライセンスのトラブル
シューティング」で説明している他の機能ライセンスと同じように行うことができます。
これらの機能に加えて、Prime Infrastructure では、保証機能を使用して管理する NetFlow および
NAM デバイスを選択することもできます。たとえば、保証機能ライセンスの数が 50 しかなく、
50 台を超える NetFlow および NAM デバイスがある場合、最も重要なデバイスを選択して管理
することができます。後で保証ライセンスを追加で購入すると、管理対象外だったデバイスにも
ライセンスを追加で適用できます。
関連項目
•
Prime Infrastructure ライセンスの購入
•
保証ライセンスの詳細の確認
•
ライセンスの追加
•
ライセンスの削除
•
ライセンスのトラブルシューティング
Cisco Prime Infrastructure 3.0 管理者ガイド
13-14
第 13 章
ライセンスの管理
保証ライセンス
保証ライセンスの詳細の確認
新しい保証ライセンスを購入する前に、既存の保証ライセンスに関する詳細とその使用法を確
認することをお勧めします。保証ライセンス情報を確認するには、以下の表のリソースを使用し
てください。
表 13-3
保証ライセンス情報の確認
確認内容
Choose
保証管理下にあるネットワーク内の NetFlow 対応デバイス
（所有している保証ラインセンスの合計数のパーセンテージ
として表示）
[Administration] > [Licenses and Software Updates] >
[Licenses] > [Summary]
所有している保証ライセンスの合計数および関連付けられ
ているファイル
[Administration] > [Licenses and Software Updates] >
[Licenses] > [Files]
NetFlow または NAM ポーリングデータを Prime Infrastructure
に送信するデバイスのリスト
[Administration] > [Licenses and Software Updates] >
[Licenses] > [Assurance Licenses]（リンクはページ右上）
使用中の保証ライセンスの数
利用可能な保証ライセンスの最大数
デフォルトでは、保証ライセンスを追加または削除するたびに、[Assurance License]、[Summary]、
および [Files] > [License Files] の各ページに表示される保証ライセンスの合計数が更新されま
す。これらの追加または削除された保証ライセンスでカバーされるデバイスの追加または削除
は、システム定義ジョブ（12 時間ごとに自動的に実行）の一部として実行されます。追加または削
除されたデバイスが表示されるまでに、最大で 12 時間かかる場合があります。
[Administration] > [Licenses and Software Updates] > [Licenses] > [Assurance Licenses] ページは、
[Administration] > [Licenses and Software Updates] > [Licenses] > [Summary] ページおよび
[Administration] > [Licenses and Software Updates] > [Licenses] > [Files] ページの右上にある
[Assurance Licenses] リンクから常にアクセスできます。
関連項目
•
保証ライセンスの詳細の確認
•
クライアントライセンスファイルおよびワイヤレス IPS ライセンスファイルのインス
トール
•
Mobility Services Engine ライセンスファイルの削除
Cisco Prime Infrastructure 3.0 管理者ガイド
13-15
第 13 章
ライセンスの管理
保証ライセンス
NetFlow および NAM デバイスに対するライセンスサポートの追加
以下の場合に、NetFlow または NAM デバイスに対するライセンスサポートを追加することをお
勧めします。
•
新規または追加の保証ライセンスを購入した場合。
•
保証管理のライセンスが付与されていない NetFlow および NAM デバイスがある場合。
ステップ 1
[Administration] > [Licenses and Software Updates] > [Licenses] > [Assurance Licenses] を選択しま
す（[Assurance Licenses] リンクはページ右上）。
ステップ 2
現在保証管理の対象となっているデバイスのリストの上にある [Add Device] をクリックします。
ステップ 3
保証管理の対象にする各デバイスの隣にあるチェックボックスをオンにしてから、[Add License]
をクリックします。Prime Infrastructure により、直ちにデバイスが追加されます。
ステップ 4
完了したら、[Cancel] をクリックします。
関連項目
•
NetFlow および NAM デバイスに対するライセンスサポートの削除
NetFlow および NAM デバイスに対するライセンスサポートの削除
以下の場合には、NetFlow または NAM デバイスに対するライセンスサポートを削除することを
お勧めします。
ステップ 1
•
所有している保証ライセンス数に対して NetFlow および NAM デバイスの数が多すぎる場合。
•
1 つ以上の NetFlow および NAM デバイスで保証管理機能の使用を停止する場合。
[Administration] > [Licenses and Software Updates] > [Licenses] > [Assurance Licenses] を選択しま
す（[Assurance Licenses] リンクはページ右上）。
Prime Infrastructure により、現在保証管理の対象となっているデバイスのリストが表示されま
す。また、所有している保証ライセンスの合計数、保証管理対象となっているデバイスの合計数
も表示されます。
ステップ 2
保証管理から削除する各デバイスの隣にあるチェックボックスをオンにしてから、[Remove
Device] をクリックします。
関連項目
•
NetFlow および NAM デバイスに対するライセンスサポートの追加
Cisco Prime Infrastructure 3.0 管理者ガイド
13-16
CH A P T E R
14
トラフィックメトリックの管理
Cisco Prime Infrastructure は、エンドポイントとサイト上でのリアルタイム転送プロトコル（RTP）
と TCP のアプリケーショントラフィックパスの追跡をサポートしています。データパスの追跡
は、Cisco Medianet と Web Services Management Agent（WSMA）に依存します。どちらも、RTP と
TCP のデータストリームに伴う問題を切り分けて修正するための Cisco IOS ソフトウェアと
Catalyst スイッチの組み込み機能です。Prime Infrastructure は、Cisco Medianet と WSMA のすべて
のバージョンをサポートしており、ルータ上でのこれらの機能の有効化を容易にします。
Cisco Network Analysis Module（NAM）トラフィックモニタリングデータが入手できない場合
は、Prime Infrastructure が Cisco Medianet Performance Monitor と Cisco IOS NetFlow を使用した
RTP サービスパス追跡（Mediatrace）をサポートします。適切に設定されていれば、Mediatrace は、
RTP と TCP のアプリケーション問題を解決する最も有益なツールになります。
関連項目
•
Mediatrace によるトラフィックメトリックの前提条件
•
ルータとスイッチ上での Mediatrace の設定
•
ルータとスイッチ上での WSMA 機能と HTTP（S）機能の設定
Mediatrace によるトラフィックメトリックの前提条件
Prime Infrastructure の Mediatrace 機能を使用する前に、下記の「関連項目」に示す必須セットアッ
プタスクを完了する必要があります。これらの必須タスクは、シスコルータ（ISR、ISR G2、ASR）
と NAM デバイスがネットワークトラフィック（RTP と TCP）のパフォーマンスメトリックを監
視するデータ（メトリックコレクション）ソースとして機能できるようにするために必要です。
関連項目
•
NAM デバイスをデータソースとして使用するための Prime Infrastructure の設定
•
ルータとスイッチをデータソースとして使用するための Prime Infrastructure の設定
Cisco Prime Infrastructure 3.0 管理者ガイド
14-1
第 14 章
トラフィックメトリックの管理
Mediatrace によるトラフィックメトリックの前提条件
NAM デバイスをデータソースとして使用するための Prime
Infrastructure の設定
Cisco NAM を使用してネットワークトラフィックを監視する場合は、RTP と TCP の両方のトラ
フィックのサービスパスを追跡するための次の手順を実行します。
ステップ 1
システムに NAM を追加します。この操作は、検出機能を使用して自動的に、あるいは、一括イン
ポートまたはデバイスワークセンターを使用して手動で行なうことができます（「関連項目」の
「Adding Devices to Prime Infrastructure」を参照）。
ステップ 2
NAM データ収集を有効にします。次の手順を実行します。
ステップ 3
ステップ 4
ステップ 5
a.
[Services] > [Application Visibility & Control] > [Data Sources] の順に選択します。
b.
[NAM Data Collector] で NAM を選択し、[Enable] を選択すると、選択した NAM でのデータ収
集が有効化されます（「Enabling NAM Data Collection」を参照）。
組織のサイト構造を作成し、該当するサイトに主要ルータを割り当てます。
a.
[Maps] > [Site Maps] を選択します。
b.
1 つまたは複数のキャンパス、ビルディング、フロアを追加します（詳細は「Working With
Maps」を参照）。
サイトと認可されたデータソースを関連付けます。
a.
[Services] > [Application Visibility & Control] > [Data Deduplication] の順に選択します。
b.
[Enable Data Deduplication] をクリックし、[Apply] をクリックします。そして、ART、トラ
フィック分析、音声/ビデオに関する信頼できるソースを割り当てることができます
（「Enabling Data Deduplication」を参照）。
サイトとエンドポイントサブネットを関連付けます。
a.
[Services] > [Application Visibility & Control] > [Endpoint Association] の順に選択します。
b.
サブネットをサイトと関連付けます（「Associating Endpoints With Sites」を参照）。
これに失敗した場合は、これらのエンドポイントに対して収集されたデータの中でサイトが
[Unassigned] に設定されます。
ステップ 6
ルータを Mediatrace と WSMA 用に設定します（「Using Mediatrace」を参照）。
関連項目
•
Adding Devices to Prime Infrastructure
•
Enabling NAM Data Collection
•
マップの使用
•
データ重複排除の有効化
•
Associating Endpoints With Sites
•
データ収集ジョブの制御
•
Associating Endpoints with a Location
•
Using Mediatrace
Cisco Prime Infrastructure 3.0 管理者ガイド
14-2
第 14 章
トラフィックメトリックの管理
Mediatrace によるトラフィックメトリックの前提条件
ルータとスイッチをデータソースとして使用するための Prime
Infrastructure の設定
シスコのルータとスイッチを使用してネットワークトラフィックを監視する場合は、次の手順を
実行して RTP と TCP の両方のフローのパス追跡を有効にします。
ステップ 1
ステップ 2
ステップ 3
組織のサイト構造を作成し、該当するサイトに主要ルータを割り当てます。
a.
[Maps] > [Site Maps] を選択します。
b.
1 つまたは複数のキャンパス、ビルディング、フロアを追加します（詳細は「Working With
Maps」を参照）。
サイトと認可されたデータソースを関連付けます。
a.
[Services] > [Application Visibility & Control] > [Data Deduplication] の順に選択します。
b.
[Enable Data Deduplication] をクリックし、[Apply] をクリックします。そして、ART、トラ
フィック分析、音声/ビデオに関する信頼できるソースを割り当てることができます
（「Enabling Data Deduplication」を参照）。
サイトとエンドポイントサブネットを関連付けます。
a.
[Services] > [Application Visibility & Control] > [Endpoint Association] の順に選択します。
b.
サブネットをサイトと関連付けます（「Associating Endpoints With Sites」を参照）。
これに失敗した場合は、デフォルトで、これらのエンドポイントに対して収集されたデータの中
でサイトが [Unassigned] に設定されます。
ステップ 4
互換性のあるルータを Cisco Medianet Performance Monitor 用に設定します（「ルータとスイッチ
上での Mediatrace の設定」を参照）。
ステップ 5
ルータを Mediatrace と WSMA 用に設定します（「Using Mediatrace」を参照）。
関連項目
•
マップの使用
•
データ重複排除の有効化
•
Associating Endpoints With Sites
•
ルータとスイッチ上での Mediatrace の設定
•
Using Mediatrace
Cisco Prime Infrastructure 3.0 管理者ガイド
14-3
第 14 章
トラフィックメトリックの管理
ルータとスイッチ上での Mediatrace の設定
ルータとスイッチ上での Mediatrace の設定
Prime Infrastructure は、ルータとスイッチ上での Mediatrace の設定にすぐに使えるテンプレート
を提供しています。サービスパスを追跡する場合は、必ず、結果に含めるすべてのスイッチと
ルータにこの設定を適用する必要があります。
Mediatrace 用にサポートされているすべてのルータとスイッチのリストを取得するには、「関連
項目」の「NetFlow Data Collection」を参照してください。
はじめる前に
次のタスクを実行する必要があります。
•
NAM デバイスをデータソースとして使用するための Prime Infrastructure の設定
•
ルータとスイッチをデータソースとして使用するための Prime Infrastructure の設定
Mediatrace-Responder-Configuration テンプレートを設定するために、次の手順を実行します。
ステップ 1
[Configuration] > [Templates] > [Features & Technologies] > [CLI Templates] > [System Templates CLI] > [Mediatrace Responder-Configuration] の順に選択します。
ステップ 2
テンプレートに関して必要な情報を入力します（「関連項目」のテンプレートに関するフィール
ドリファレンス参照）。
ステップ 3
[Save as New Template] をクリックし、新しいテンプレートに名前と説明を付けます。[Save] をクリッ
クします。
ステップ 4
[Deploy] をクリックして、新しいテンプレートを展開します（「Deploying Templates」を参照）。
関連項目
•
Enabling NetFlow Data Collection
•
Field Reference: Mediatrace-Responder-Configuration
•
Deploying Templates
Cisco Prime Infrastructure 3.0 管理者ガイド
14-4
第 14 章
トラフィックメトリックの管理
ルータとスイッチ上での WSMA 機能と HTTP（S）機能の設定
ルータとスイッチ上での WSMA 機能と HTTP（S）機能の
設定
サービスパスの詳細を追跡するには、HTTP プロトコル経由の Web Services Management Agent
（WSMA）がルータとスイッチ上で Mediatrace コマンドを実行する必要があります。この機能は、
「ルータとスイッチ上での Mediatrace の設定」（「関連項目」を参照）の手順に従って設定した時と
同じルータとスイッチのセット上で行います。
ステップ 1
[Configuration] > [Templates] > [Features & Technologies] > [CLI Templates] > [System Templates CLI] > [HTTP-HTTPS Server and WSMA Configuration-IOS] の順に選択します。
ステップ 2
テンプレートに関して必要な情報を入力します（「関連項目」のテンプレートに関するフィール
ドリファレンス参照）。
必ず HTTP プロトコルを有効化してください。現在のバージョンの Prime Infrastructure では、
HTTPS 経由の WSMA がサポートされていません。
ステップ 3
[Save as New Template] をクリックし、新しいテンプレートに名前と説明を付けます。[Save] をクリッ
クします。
ステップ 4
[Deploy] をクリックして、新しいテンプレートを展開します（「Deploying Templates」を参照）。
デバイスを Prime Infrastructure に追加する際には、そのデバイスの HTTP ユーザとパスワードを指
定する必要があります。
関連項目
•
ルータとスイッチ上での Mediatrace の設定
•
Field Reference: HTTP-HTTPS Server and WSMA Configuration-IOS
•
Deploying Templates
•
Adding Devices to Prime Infrastructure
Cisco Prime Infrastructure 3.0 管理者ガイド
14-5
第 14 章
ルータとスイッチ上での WSMA 機能と HTTP（S）機能の設定
Cisco Prime Infrastructure 3.0 管理者ガイド
14-6
トラフィックメトリックの管理
CH A P T E R
15
ネットワーク容量の変更計画
保証機能を備えた Cisco Prime Infrastructure では、ネットワークの操作上の即応性とパフォーマン
ス品質の維持や向上に不可欠となる各種の重要業績評価指標を表示およびレポートすることが
できます。この情報は、増え続けるネットワーク負荷に対応する上で、特に重要となります。
注
この章で説明されている機能を使用するには、Prime Infrastructure 実装に保証ライセンスを含め
る必要があります。これらの機能は、ASR プラットフォームでのみサポートされています。
以下のワークフローは、ブランチオフィスの大幅なスタッフ増員が計画されていることを知ら
されたばかりのネットワーク管理者を前提としたものです。この変更計画では、ブランチ LAN
にユーザを追加し、追加されるユーザの多くが WAN アプリケーションを使用することになりま
す。この場合、管理者は、使用状況とトラフィックの輻輳についてブランチの主要インターフェ
イスをモニタする必要があります。これにより、ブランチ LAN のユーザが増えた場合に、ユーザが
利用する WAN アプリケーションのパフォーマンスが低下するかどうかがわかります。全体像を十
分に把握するためには、ブランチで使用するあらゆる WAN アプリケーションの短期および長期
のパフォーマンス傾向を調べなければなりません。
はじめる前に
•
以下のようにして、[Top N WAN Interfaces by Utilization] ダッシュレットをセットアップします。
a. [Monitor] > [Monitoring Policies] の順に選択して、インターフェイスヘルステンプレー
トを作成します。
b. [Inventory] > [Group Management] > [Port Groups] の順に選択し、インターフェイスを選択
して [Add to Group] をクリックした後、グループとして [WAN Interfaces] を選択します。
•
SNMP ポーリングを有効にします。
ステップ 1
[Dashboard] > [Overview] > [General] の順に選択します。
ステップ 2
リモートブランチオフィスを WAN に接続するルータの WAN インターフェイスの使用状況に
関する統計を表示するには、[Network Interface] を選択します。
ステップ 3
[Top N Interface Utilization] ダッシュレットを追加します（まだ追加されていない場合）。このダッ
シュレットには、インターフェイスごとに、WAN インターフェイスをホストしているデバイス
のデバイス名と IP、インターフェイス名と速度、送信/受信の最大使用率、平均使用率、および最
後にポーリングされた使用率が表示されます。
ステップ 4
先月の使用状況に関する統計を表示するには、[Top N Interface Utilization] ダッシュレットタイ
トルの横にある [Clock] アイコンをクリックして、[Filters] 行の [Time Frame] を [Past 4 Weeks] に
設定します。
Cisco Prime Infrastructure 3.0 管理者ガイド
15-1
第 15 章
ネットワーク容量の変更計画
ステップ 5
[Top N Interface Utilization] ダッシュレットで、ユーザの追加先となるブランチの WAN インター
フェイスを検索します。
ステップ 6
[Interface] 列で、インターフェイスの名前をクリックし、[Dashboard] > [Performance] > [Interface]
の順に選択して、そのインターフェイスの [Interface] ページを表示します。このページには、この
単一インターフェイスに関する以下のダッシュレットが表示されます。
•
Interface Details
•
Interface Tx and Rx Utilization
•
Top N Applications
•
Top N Clients
•
Number of Clients Over Time
•
DSCP Classification
•
QoS Class Map Statistics
•
oS Class Map Statistics Trend
•
Top Application Traffic Over Time
ステップ 7
このページの [Top Application Traffic Over Time] ダッシュレットに注目します。このダッシュ
レットには、このインターフェイスでのトラフィックが最も多かった上位 10 個までのアプリ
ケーションが色分けされたマップが表示されます。
ステップ 8
長期的なパフォーマンスの傾向を把握するには、[Top Application Traffic Over Time] というダッ
シュレットタイトルの隣にある [Clock] アイコンをクリックして、[Time Frame] を[Past 24 Hours]、
[Past 4 Weeks]、または [Past 6 Months] に変更します。
グラフ内で特定の急増箇所にズームインするには、グラフ下部のパンハンドルとズームハンド
ルを使用します。
ステップ 9
このインターフェイスページと同じデータを素早くレポートするには、[Reports] > [Report
Launch Pad] の順に選択します。次に、[Performance] > [Interface Summary] を選択します。レポー
トのフィルタやその他の条件を指定し、[Report Criteria] で同じインターフェイスを選択してか
ら、[Run] をクリックします。
以下の表に、テストに使用される ISP プロファイルを示します（このプロファイルは、Caida.org
インターネットプロファイルと非常によく似ています）。
表 15-1
インターネットプロファイル：1Gbps あたりのトラフィックプロファイル
TCP
UDP
HTTP
RTP
Total
接続レート（1 秒あたりのフロー）
5,000
5,000
800
10
10,000
同時フロー数
150,000
150,000
50,000
300
300,000
パケットのレート
150,000
40,000
50,000
15,000
199,000
関連する帯域幅（bps）
900Mbps
100Mbps
295Mbps
25Mbps
1Gbps
パケットサイズ（派生）
750
313
738
208
658
同時アクティブユーザ数
60,000 台
フロー数から導出
Cisco Prime Infrastructure 3.0 管理者ガイド
15-2
A P P E N D I X
A
内部 SNMP トラップの生成
改訂日：2015 年 7 月 13 日
適切に設定されている場合、Prime Infrastructure は通知レシーバに SNMP トラップを送信し、
Prime Infrastructure システム自体で発生する次のイベントを通知します。
•
Prime Infrastructure サーバの内部ソフトウェアプロセスのクラッシュまたは障害。
•
登録、フェールオーバー、およびフェールバックを含む高可用性（HA）状態の変更。
•
CPU、メモリ、ディスクの高い使用率。
•
CPU、ディスク、ファン、または電源装置（PSU）の障害。
•
バックアップ障害、証明書有効期日、ライセンス違反。
この付録および「関連項目」では、これらの内部 SNMP トラップに関する参照情報とそれらを使
用した Prime Infrastructure の管理方法を提供します。
関連項目
•
内部トラップ生成について
•
Prime Infrastructure SNMP トラップタイプ
•
トラップ関連バックグラウンドタスクの実行確認
•
汎用 SNMP トラップの形式
•
Prime Infrastructure SNMP トラップリファレンス
•
Prime Infrastructure トラップの使用
内部トラップ生成について
これらの内部 SNMP トラップに関連付けられている重大度を編集できます。CPU、メモリ、およ
びディスクの使用率に関するしきい値限度を変更することもできます（これらの SNMP トラッ
プはシステムハードウェアが設定されたしきい値を超えた場合に送信されます）。
その他のイベント（CPU、ディスク、ファン、および PSU の障害、または HA 状態の変更など）の場
合は、障害や HA 状態の変更が検出されるとすぐに SNMP トラップが送信されます。
SNMP トラップは次のイベントに対してカスタマイズされたしきい値と重大度に基づいて生成
されます。
•
サーバプロセス障害
•
高可用性操作
•
CPU 使用率
Cisco Prime Infrastructure 3.0 管理者ガイド
A-1
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップタイプ
•
メモリ使用率
•
ディスク使用率
•
ディスク障害
•
ファン障害
•
PSU の障害
•
バックアップ障害
•
証明書有効期日
Prime Infrastructure は SNMPv2 Inform も SNMPv3 通知も送信しません。
Prime Infrastructure SNMP トラップタイプ
次の表に、Prime Infrastructure が独自の機能に対して生成する SNMP トラップを示します。リス
トはトラップタイプ別になっています。表では、各トラップが生成される状況のほか、提案され
る操作対応を説明しています。
表 A-1
Prime Infrastructure SNMP トラップタイプ
トラップタイプ
トラップ
説明
アプライアンスプ FTP、MATLAB、TFTP
ロセス障害
Prime Infrastructure サーバで FTP、MATLAB、または TFTP プロセスの
障害が発生した場合、サーバは常に障害トラップを生成し、サーバの
ヘルスモニタインスタンスはプロセスを自動的に再起動することを
試みます。ヘルスモニタが 3 回の試行で再起動できなかった場合、HA
サーバは別の障害トラップを送信します。
アプライアンスプ NMS
ロセス障害
サーバの NMS プロセスが開始または障害を起こすと、Prime
Infrastructure サーバのヘルスモニタスレッドは常に対応するトラッ
プを生成します。
プロセスを停止または再起動するには、サーバに CLI から接続し、管
理者でログインします。次に、適宜、nms stop コマンドまたは nms start
コマンドを実行します。
HA 操作
登録トリガー
Prime Infrastructure はプライマリサーバが HA 登録を開始すると常に
このトラップを生成します。登録が失敗するか成功するかは関係あり
ません。HA 登録がトリガーされると、プライマリサーバは操作の開
始を示すトラップを生成します。
HA 操作
登録成功
HA 登録が成功すると、プライマリサーバは成功を示すこのトラップを
生成します。
HA 操作
登録失敗
HA 登録が何らかの理由で失敗した場合、障害が発生したプライマリ
またはセカンダリサーバは、失敗を示すトラップを生成します。この
トラップには、障害に関する詳細が含まれます。支援が必要な場合は、
Cisco Technical Assistance Center（TAC）にお問い合わせください。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-2
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップタイプ
表 A-1
Prime Infrastructure SNMP トラップタイプ（続き）
トラップタイプ
トラップ
説明
HA 操作
フェールオーバートリ
ガー
このトラップは Prime Infrastructure プライマリサーバに障害が発生
した場合、自動的に生成され、フェールオーバーの一部として、セカン
ダリサーバのアクティブ化を試みます（フェールオーバーと、セカン
ダリサーバのアクティブ化の成功いかんにかかわりません）。 HA 設
定（登録時の設定）に手動フェールオーバータイプがある場合、ユーザ
はフェールオーバーをトリガーする必要があります。そうでない場
合、ヘルスモニタはセカンダリサーバへのフェールオーバーを自動
的にトリガーします。
フェールオーバーがトリガーされたことを示すために 1 個のトラッ
プが生成されます。フェールオーバーが完了する前にトラップが送信
されるため、セカンダリサーバにはロギングされません。
HA 操作
フェールオーバー成功
トリガーされたフェールオーバー操作が成功すると、セカンダリサー
バは成功を示すトラップを生成します。ユーザはセカンダリサーバの
アラームブラウザでトラップを表示できます。
HA 操作
フェールオーバー失敗
トリガーされたフェールオーバー操作が失敗すると、失敗を示すト
ラップが生成されます。ユーザは hm-#-#.log でトラップを表示できま
す（「Prime Infrastructure SNMP トラップのトラブルシューティング」
を参照）。このトラップには、障害に関する詳細が含まれます。サポー
トが必要な場合は、Cisco TAC にお問い合わせください。他の障害ト
ラップの場合と同様に、障害が自動的に修復されると、アラームと「ク
リア」トラップが送信されます。
HA 操作
フェールバックトリ
ガー
このトラップはセカンダリサーバでプライマリサーバへのフェール
バックがトリガーされると自動的に生成されます（フェールバックの
成功いかんにかかわりません）。プライマリサーバが復元された後、
ユーザはセカンダリサーバヘルスモニタの Web ページにある
[Failback] ボタンを使用して、セカンダリサーバからプライマリサー
バへのフェールバックをトリガーする必要があります（自動のフェー
ルバックオプションはありません）。トリガーされると、セカンダリ
サーバは操作の開始を示すトラップを生成します。
HA 操作
フェールバック成功
トリガーされたフェールバック操作が成功すると、セカンダリサーバ
は成功を示すトラップを生成します。フェールバック成功により、プ
ライマリサーバは「アクティブ」状態に設定され、セカンダリサーバ
は「同期」状態に設定されます。
HA 操作
フェールバック失敗
トリガーされたフェールバック操作が失敗すると、失敗を示すトラッ
プが生成されます。障害はどちらのサーバでも発生する可能性がある
ので、障害が発生したサーバがトラップを生成します。ユーザは
hm-#-#.log およびノースバウンド管理サーバでトラップを表示でき
ます。
フェールバック失敗は自動ロールバックをトリガーし、セカンダリ
サーバは前のアクティブ状態に戻ることを試みます。この操作に失敗
すると、セカンダリサーバはロールバック失敗を示す追加のトラップ
を生成します。この障害トラップには障害に関する詳細が含まれま
す。サポートが必要な場合は、Cisco TAC にお問い合わせください。他
の障害トラップの場合と同様に、障害が自動的に修復されると、ア
ラームと「クリア」トラップが送信されます。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-3
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップタイプ
表 A-1
Prime Infrastructure SNMP トラップタイプ（続き）
トラップタイプ
トラップ
説明
ハードウェアト
ラップ
CPU 使用率
トラップは CPU 使用率がプリセットされた使用率のしきい値を超え
る場合にのみ送信されます。これらのトラップを表示するには、ト
ラップを生成したサーバのジョブとアクティブセッションを確認し
ます。
ハードウェアト
ラップ
ディスク使用率
トラップはディスク使用率が設定されたディスク使用率のしきい値
限度を超える場合にのみ送信されます。対応するには、/opt および
/localdisk パーティションの下のディスク領域を解放してみます。
Cisco TAC の指導なしで /opt/CSCOlumos の下のフォルダを削除しな
いでください。
ハードウェアト
ラップ
メモリ使用率
トラップはメモリ使用率が設定されたメモリ使用率のしきい値限度を
超える場合にのみ SNMP トラップレシーバに送信されます。
ハードウェアト
ラップ
ディスク障害
トラップはディスク障害が検出された場合に SNMP トラップレシー
バに送信されます。修正措置については、ローカルシステム管理者に
お問い合わせください。他の障害トラップの場合と同様に、障害が自
動的に修復されると、アラームと「クリア」トラップが送信されます。
ハードウェアト
ラップ
ファン障害
トラップはファン障害が検出された場合に SNMP トラップレシーバ
に送信されます。トラップまたはアラームメッセージに不良または欠
落したファンが表示されます。修正措置については、ローカルシステ
ム管理者にお問い合わせください。他の障害トラップの場合と同様
に、障害が自動的に修復されると、アラームと「クリア」トラップが送
信されます。
ハードウェアト
ラップ
PSU の障害
トラップは PSU 障害が検出された場合に SNMP トラップレシーバに
送信されます。トラップまたはアラームメッセージに問題のある電源
が表示されます。修正措置については、ローカルシステム管理者にお
問い合わせください。他の障害トラップの場合と同様に、障害が自動
的に修復されると、アラームと「クリア」トラップが送信されます。
しきい値トラップ
バックアップ障害
Prime Infrastructure サーババックアップの毎日のバックグラウンド
タスクで障害が検出されると、トラップが SNMP トラップレシーバ
に送信されます。バックグラウンドタスクは毎日実行され、スケ
ジュール設定された時刻にサーバのバックアップが取得されます。
ディスク領域の不足によりバックアップに失敗すると、そのイベント
が処理されます。バックアップが正常に実行されると、アラームはク
リアされます。
しきい値トラップ
バックアップしきい値
Prime Infrastructure でスケジュール設定された毎日のバックアップ
が、しきい値日数の間取得されなかった場合、ユーザに通知されます。
デフォルトのしきい値は 7 日です。バックアップが 7 日間取得されな
かった場合、ユーザはこのイベントによって通知されます。
しきい値トラップ
証明書有効期日
証明書が有効期日間近になると、トラップが SNMP トラップレシー
バに送信されます。証明書の有効期日の 15 日前になると Critical ト
ラップが送信され、証明書の有効期日の 60 日前になると Major ト
ラップが送信されます。
システムトラップ
ライフサイクル
ライフサイクルライセンスは、デバイスの管理に使用されます。ライ
センス使用率が所定のしきい値パーセンテージを超えると、アラーム
が生成されます。デフォルトでは、使用率が 80 % を超えると、トラップ
が送信されます。ただし、これはカスタマイズ可能です。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-4
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップタイプ
表 A-1
Prime Infrastructure SNMP トラップタイプ（続き）
トラップタイプ
トラップ
説明
システムトラップデータセンター
データセンターライセンスは、データセンターデバイスの管理に使
用されます。ライセンス使用率が所定のしきい値パーセンテージを超
えると、アラームが生成されます。デフォルトでは、使用率が 80 % を
超えると、トラップが送信されます。ただし、これはカスタマイズ可能
です。
システムトラップ保証
保証ライセンスは、NetFlow を Prime Infrastructure に送り込むデバイ
スの表示に使用されます。ライセンス使用率が所定のしきい値パーセ
ンテージを超えると、アラームが生成されます。デフォルトでは、使用
率が 80 % を超えると、トラップが送信されます。ただし、これはカス
タマイズ可能です。
システムトラップ
コレクタ
コレクタライセンスは、Prime Infrastructure に送り込まれた NetFlow
の量の表示に使用されます。ライセンス使用率が所定のしきい値パー
センテージを超えると、アラームが生成されます。デフォルトでは、使
用率が 80 % を超えると、トラップが送信されます。ただし、これはカ
スタマイズ可能です。
システムトラップ
ライフサイクルライセライセンスの有効期日がしきい値限度を下回ると、トラップが送信さ
ンス
れます。デフォルトでは、トラップが送信される限度は 30 日です。た
だし、この限度は 1 ～ 99 日の間でカスタマイズできます。このイベ
ントは、評価ライセンスを使用する場合のみ考慮されます。
システムトラップデータセンターライセライセンスの有効期日がしきい値限度を下回ると、トラップが送信さ
ンス
れます。デフォルトでは、トラップが送信される限度は 30 日です。た
だし、この限度は 1 ～ 99 日の間でカスタマイズできます。このイベ
ントは、評価ライセンスを使用する場合のみ考慮されます。
システムトラップ保証ライセンス
ライセンスの有効期日がしきい値限度を下回ると、トラップが送信さ
れます。デフォルトでは、トラップが送信される限度は 30 日です。た
だし、この限度は 1 ～ 99 日の間でカスタマイズできます。このイベ
ントは、評価ライセンスを使用する場合のみ考慮されます。
システムトラップ
ライセンスの有効期日がしきい値限度を下回ると、トラップが送信さ
れます。デフォルトでは、トラップが送信される限度は 30 日です。た
だし、この限度は 1 ～ 99 日の間でカスタマイズできます。このイベ
ントは、評価ライセンスを使用する場合のみ考慮されます。
コレクタライセンス
Cisco Prime Infrastructure 3.0 管理者ガイド
A-5
付録 A
内部 SNMP トラップの生成
トラップ関連バックグラウンドタスクの実行確認
トラップ関連バックグラウンドタスクの実行確認
次の表は、特定の種類の内部トラップ情報が受信されていることを確認するために実行される
必要があるバックグラウンドタスクの一覧を示しています。これらのタイプのトラップを受信
していない場合は、[Administration] > [Settings] > [Background Tasks] を選択し、該当するバックグ
ラウンドタスクのリンクをクリックすることにより、タスクが有効化され、正しいスケジュール
で実行されていることを確認してください。
表 A-2
トラップ関連のバックグラウンドタスク
トラップタイプ
トラップ
バックグラウンドタスクリンク
ハードウェアトラップすべてのハードウェアトラップ
Appliance Status
しきい値トラップ
バックアップ障害、バックアップしきい値
Prime Infrastructure サーババックアップ
しきい値トラップ
証明書有効期日
ゲストアカウント同期
システムトラップ
すべてのシステムトラップ
ライセンスステータス
Cisco Prime Infrastructure 3.0 管理者ガイド
A-6
付録 A
内部 SNMP トラップの生成
汎用 SNMP トラップの形式
汎用 SNMP トラップの形式
Prime Infrastructure の SNMP トラップ通知のシンタックスを次に示します。
Component: コンポーネント名, Server: Primary、Secondary、または Standalone, Type: Process、Sync、
Activity など , Service: サービス名, When: Prime Infrastructure ライフサイクルでのフェーズ,
State: サーバの HA および HM の状態, Result: Warning、Failure、Success、Information、Exception,
MSG: 通知される SNMP トラップに関する自由形式のメッセージ
表 A-3 は、汎用トラップ形式の各属性について可能な値を示しています。
.
表 A-3
汎用 SNMP トラップ形式の属性値
属性
値
コンポーネント
Health Monitor または High Availability
サーバ
このトラップの送信元サーバ（Primary、Secondary、または Standalone）
タイプ
このトラップの原因となったアクションのタイプ（Process、Sync、Activity など）
サービス
問題を報告した Prime Infrastructure サービス。取り得る値には、Registration、Failover、Failback、
NMS、NCS、Health Monitor、All、Prime Infrastructure、Database、Disk Space などがあります。
タイミング
このトラップが発生した Prime Infrastructure サーバのライフサイクルにおける時点（Startup、
Shutdown など）
状態
サーバの状態（Standalone、Failover、Failback、Registration など）
結果
この SNMP トラップがレポートされている条件
MSG
各 SNMP トラップに固有の詳細を提供する自由形式のテキスト
Cisco Prime Infrastructure 3.0 管理者ガイド
A-7
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップリファレンス
Prime Infrastructure SNMP トラップリファレンス
次の表に、Prime Infrastructure で生成される SNMP トラップ通知の各クラスの詳細を示します。
WCS ノースバウンド通知 MIB のマッピング済み OID は 1.3.6.1.4.1.9.9.712.1.1.2.1.12 です。この
OID は、Prime Infrastructure のソフトウェアおよびハードウェア関連のトラップによって参照さ
れます。ノースバウンド MIB のトラップ OID は常に 1.3.6.1.4.1.9.9.712.0.1 です。詳細について
は、『CISCO-WIRELESS-NOTIFICATION-MIB』のリストを参照してください。
表 A-4
アプライアンスプロセス障害
目的
特定の Prime Infrastructure サーバサービスが停止していること、およびヘルスモニタがその
サービスの再起動を試みていることをユーザに通知します。
送信される条件
トラップは、ヘルスモニタがプロセスを再起動しようとするときに送信されます。
OID
1.3.6.1.4.1.9.9.712.1.1.2.1.12
例
Component: Health Monitor, Server: Primary, Type: Process, Service: NCS, When: Startup,
State: Stand Alone, Result: Warning, MSG: FTP service is down and an attempt will be made
to automatically restart the service
MSG コンテンツ
PI servername: serviceName service is down; an attempt will be made to automatically
restart the service.
値のタイプ、範
囲、および制約
MSG 属性中の servername パラメータは、Prime Infrastructure サーバのホスト名の値を取得しま
す。このパラメータは、NMS Server、FTP、TFTP、または MATLAB のいずれかの値を取ることがで
きます。
表 A-5
フェールバック
目的
セカンダリサーバからプライマリサーバへのフェールバックが開始されたことをユーザに通知
します。
送信される条件
このトラップは、セカンダリサーバからプライマリサーバへのフェールバックが開始されると
送信されます。フェールバック操作が失敗するか成功するかは関係ありません。
OID
1.3.6.1.4.1.9.9.712.1.1.2.1.12
例
Component: High Availability, Server: Secondary, Type: Process, Service: Database, When:
Failback, State: Primary Failback, Result: Failure, MSG: Error in Failback: Failed to
recover the primary database using Duplicate DB
表 A-6
フェールオーバー
目的
セカンダリサーバが起動したときにユーザに通知します。
送信される条件
プライマリサーバが停止し、フェールオーバーの一部として、セカンダリサーバがアクティブに
なると、トラップが生成されます。フェールオーバー操作が失敗するか成功するかは関係ありま
せん。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-8
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップリファレンス
表 A-6
フェールオーバー（続き）
OID
1.3.6.1.4.1.9.9.712.1.1.2.1.12
例
Component: High Availability, Server: Secondary, Type: Process, Service: Failover, When:
Failover, State: Secondary Synching, Result: Success, MSG: Completed failover from
primaryAddressInfo to secondaryAddressInfo.
MSG コンテンツ
MSG 属性中の primaryAddressInfo および secondaryAddressInfo は、サーバの IP アドレスまたはホ
スト名を取得します。
表 A-7
CPU 使用率
目的
CPU 使用率が設定されたしきい値限度を超えたことをユーザに通知します。
送信される条件
CPU 使用率が設定されたしきい値を超えた後、トラップは次のポーリングサイクルで生成され
ます。システムポーラージョブは 5 分ごとに実行されます。トラップはしきい値限度が [Prime
Infrastructure Event Configuration] Web ページで変更されたときにも生成されます。
OID
.1.3.6.1.4.1.9.9.712.0.1.
例
CPU Utilization is at 85% and has violated threshold limit of 80%.
値のタイプ、範
囲、および制約
すべてのパーセンテージの範囲は 1 ～ 99 です。しきい値限度を指定する場合はパーセント文字
（「%」）を入力しないでください。
ワイヤ形式
[OctetString] applicationSpecificAlarmID=Appliance_CPU, lastModifiedTimestamp=12 Jun
2014 11:12:32 UTC, alarmCreationTime=12 Jun 2014 11:12:32 UTC, ownerID=, eventCount=1,
mayBeAutoCleared=false, instanceId=8178170, severity=4,
eventType=APPLIANCE_CPU_VIOLATED_THRESHOLD, previousSeverity=CLEARED,
category=System(17), transientNameValue={}, source=CPU,
notificationDeliveryMechanism=SYNTHETIC_EVENT, instanceVersion=0, description=Component:
Appliance, Server: primary, Type: Hardware, Message: CPU Utilization is at 3% and has
violated threshold limit of 1%, isAcknowledged=false, displayName=NMS:192.168.115.141
制限事項と警告
次のポーリングサイクルの前に問題が解決される場合、トラップは生成されません。
表 A-8
ディスク使用率
目的
ディスク使用率が設定されたしきい値限度を超えたことをユーザに通知します。
送信される条件
ディスク使用率が設定されたしきい値を超えた後、トラップは次のポーリングサイクルで生成
されます。システムポーラージョブは 5 分ごとに実行されます。トラップはしきい値限度が
[Prime Infrastructure Event Configuration] Web ページで変更されたときにも生成されます。
OID
.1.3.6.1.4.1.9.9.712.0.1
例
PI opt disk volume utilization is at 85% and has violated threshold limit of 0%
PI opt disk volume is within the recommended disk usage range, less than 80% used
PI local disk volume utilization is at 85% and has violated threshold limit of 80%
PI local disk volume is within the recommended disk usage range, less than 80% used
Cisco Prime Infrastructure 3.0 管理者ガイド
A-9
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップリファレンス
表 A-8
ディスク使用率（続き）
値のタイプ、範
囲、および制約
すべてのパーセンテージの範囲は 1 ～ 99 です。しきい値限度を指定する場合はパーセント文字
（「%」）を入力しないでください。
ワイヤ形式
[OctetString]
applicationSpecificAlarmID=LocaldiskDiskSpace,reportingEntityAddress=10.77.240.246,last
ModifiedTimestamp=Sun Mar 23 08:44:06 UTC 2014, alarmCreationTime=2014-03-14
13:29:31.069, eventCount=1, mayBeAutoCleared=false, instanceId=483484, severity=1,
eventType=NCS_LOW_DISK_SPACE, authEntityId=93093, previousSeverity=MAJOR,
category=System(17), transientNameValue={}, source=10.77.240.246,
notificationDeliveryMechanism=SYNTHETIC_EVENT, instanceVersion=0, description=PI
localdisk volume is within the recommended disk usage range, less than 70% used.,
isAcknowledged=false, authEntityClass=983576643, displayName=NCS 10.77.240.246
制限事項と警告
次のポーリングサイクルの前に問題が解決される場合、トラップは生成されません。
表 A-9
メモリ使用率
目的
メモリ使用率が設定されたしきい値限度を超えたことをユーザに通知します。
送信される条件
メモリ使用率が設定されたしきい値を超えた後、トラップは次のポーリングサイクルで生成さ
れます。システムポーラージョブは 5 分ごとに実行されます。トラップはしきい値限度が [Prime
Infrastructure Event Configuration] Web ページで変更されたときにも生成されます。
OID
.1.3.6.1.4.1.9.9.712.0.1.
例
Memory Utilization is at 85% and has violated threshold limit of 80%.
値のタイプ、範
囲、および制約
すべてのパーセンテージの範囲は 1 ～ 99 です。しきい値限度を指定する場合はパーセント文字
（「%」）を入力しないでください。
ワイヤ形式
[OctetString] applicationSpecificAlarmID=Appliance_MEMORY, lastModifiedTimestamp=12 Jun
2014 11:12:32 UTC, alarmCreationTime=12 Jun 2014 11:12:32 UTC, ownerID=, eventCount=1,
mayBeAutoCleared=false, instanceId=8178171, severity=4,
eventType=APPLIANCE_MEM_VIOLATED_THRESHOLD, previousSeverity=CLEARED,
category=System(17), transientNameValue={}, source=MEMORY,
notificationDeliveryMechanism=SYNTHETIC_EVENT, instanceVersion=0, description=Component:
Appliance, Server: primary, Type: Hardware, Message: MEMORY Utilization is at 38% and has
violated threshold limit of 1%, isAcknowledged=false, displayName=NMS:192.168.115.141
制限事項と警告
次のポーリングサイクルの前に問題が解決される場合、トラップは生成されません。
表 A-10
ディスク障害
目的
ドライブが欠落しているか不良であることをユーザに通知します。
送信される条件
ディスクドライブの問題が検出されると、トラップは次のポーリングサイクルで生成されます。
システムポーラージョブは 5 分ごとに実行されます。
OID
.1.3.6.1.4.1.9.9.712.0.1
例
Component: Appliance, Server: Standalone, Type: Hardware, Message: A problem was detected
in the RAID device. A rebuild is in progress. Device at enclosure 252 slot ZERO is bad or
missing. Drive0 is missing or bad.
制限事項と警告
次のポーリングサイクルの前に問題が解決される場合、トラップは生成されません。システムの
再起動時にドライブが取り外されると、トラップが生成されます。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-10
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップリファレンス
表 A-11
ファン障害
目的
ファンに障害が発生したときにユーザに通知します。
送信される条件
ファンに障害が発生すると、トラップは次のポーリングサイクルで生成されます。システムポー
ラージョブは 5 分ごとに実行されます。
OID
.1.3.6.1.4.1.9.9.712.0.1
例
Fan is either bad or missing.
ワイヤ形式
[OctetString] applicationSpecificAlarmID=Appliance_Fan1, lastModifiedTimestamp=Sun Apr
13 15:24:11 IST 2014, alarmCreationTime=Sun Apr 13 15:24:11 IST 2014, ownerID=,
eventCount=1, mayBeAutoCleared=false, instanceId=2875873, severity=4,
eventType=APPLIANCE_FAN_BAD_OR_MISSING, previousSeverity=CLEARED, category=System(17),
transientNameValue={}, source=Fan1, notificationDeliveryMechanism=SYNTHETIC_EVENT,
instanceVersion=0, description=Fan is either bad or missing, isAcknowledged=false,
displayName=NMS: 10.77.240.246
制限事項と警告
問題が次のポーリングサイクルの前に解決するか、またはシステムの再起動時にファンが取り
外された場合、トラップは生成されません。
表 A-12
PSU 障害
目的
電源装置が取り外されていることをユーザに通知します。
送信される条件
電源が取り外されると、トラップは次のポーリングサイクルで生成されます。システムポーラー
ジョブは 5 分ごとに実行されます。
OID
.1.3.6.1.4.1.9.9.712.0.1
例
Power supply is either bad or missing.
ワイヤ形式
[OctetString] applicationSpecificAlarmID=Appliance_PS1, lastModifiedTimestamp=Sun Apr 13
17:01:35 IST 2014, alarmCreationTime=Sun Apr 13 17:01:35 IST 2014, ownerID=root,
eventCount=1, mayBeAutoCleared=false, instanceId=2915913, severity=4,
eventType=APPLIANCE_POWER_SUPPLY_BAD_OR_MISSING, previousSeverity=CLEARED,
category=System(17), transientNameValue={}, source=PS1,
notificationDeliveryMechanism=SYNTHETIC_EVENT, instanceVersion=0, description=Power
supply is either bad or missing, isAcknowledged=false, displayName=Nms:PS1
制限事項と警告
PSU が取り外された場合、Prime Infrastructure で電源装置アラームが発生し、トラップが送信され
ます。システムのシャットダウン時に PSU が取り外された場合、Prime Infrastructure は再起動ま
でアクティブにならず、アラームは生成されません。
表 A-13
サービスエンジン停止の識別
目的
ISE が到達不能な場合に、ユーザに通知します。
送信される条件
ISE が停止または到達不能の場合、トラップがポーリングによって生成されます。
例
Identity services engine ISEIPAddress is unreachable.
Cisco Prime Infrastructure 3.0 管理者ガイド
A-11
付録 A
内部 SNMP トラップの生成
Prime Infrastructure SNMP トラップリファレンス
表 A-14
ライセンス違反
目的
Prime Infrastructure が実際に管理しているデバイスの数が管理のライセンス付与数を超えると
ユーザに通知します。
送信される条件
Prime Infrastructure インベントリに余分なデバイスを追加したジョブの完了後の翌日 2:10 AM
例
Number of managed devices N is greater than licensed devices N. Please purchase and install
a license that will cover the number of managed devices, or remove unused devices from
the system.
表 A-15
Prime Infrastructure にバックアップするための十分なディスク領域がない
目的
Prime Infrastructure がバックアップを実行するために、指定のディレクトリに十分な領域を確保
できない場合にユーザに通知します。
送信される条件
Prime Infrastructure がサーババックアップジョブを実行し、指定されたバックアップリポジトリ
（つまり「defaultrepo」）が 100 % フルである場合は毎回。トラップはジョブが完了した後に生成さ
れます。
例
Prime Infrastructure with address localIPAddress does not have sufficient disk space in
directory directoryName for backup. Space needed: Needed GB, space available Free GB.
表 A-16
Prime Infrastructure 電子メール障害
目的
電子メール通知の送信試行に失敗したことをユーザに通知します。
送信される条件
このトラップは、Prime Infrastructure が無効なユーザに電子メール通知を送信試行したか、Prime
Infrastructure で電子メールサーバを指定せずにまたは電子メール通知がイネーブルになった場
合に、ポーリングによって生成されます。
例
Prime Infrastructure with address localIPAddress failed to send email. This may be due to
possible SMTP misconfiguration or network issues.
表 A-17
ノースバウンド OSS サーバが到達不能です
目的
ノースバウンド通知サーバが到達不能であることをユーザに通知します。
送信される条件
このトラップは、宛先のノースバウンド通知サーバが到達不能の場合にポーリングによって生成
されます。
例
Northbound notification server OSSIPAddress is unreachable. NCS alarms will not be
processed for this server until it is reachable.
Cisco Prime Infrastructure 3.0 管理者ガイド
A-12
付録 A
内部 SNMP トラップの生成
Prime Infrastructure トラップの使用
Prime Infrastructure トラップの使用
以下のセクションでは、Prime Infrastructure トラップ通知を設定および使用する方法について説
明します。
関連項目
•
通知の設定
•
トラップの送信に使用するポート
•
SNMP トラップ用の電子メール通知の設定
•
SNMP トラップのイベントとアラームの表示
•
SNMP トラップのイベントとアラームのフィルタリング
•
SNMP トラップのアラームの消去
•
Prime Infrastructure SNMP トラップのトラブルシューティング
通知の設定
Prime Infrastructure がノースバウンド SNMP トラップ通知を送信するには、Prime Infrastructure
イベント通知ページと通知レシーバのページの両方で正しい設定を行う必要があります。設定
が完了すると、トラップは、次の SNMP イベントのしきい値と重大度に関連付けられた値に基づ
いて生成されます。
•
アプライアンスプロセス障害
•
HA 操作
•
CPU、ディスク、およびメモリの使用率
•
ディスク、ファン、および PSU の障害
•
バックアップ障害、証明書有効期日、ライセンス違反
各イベントに関連付けられるしきい値と重大度を編集し、関連イベントのトラップ生成を有効
または無効に設定できます。
ステップ 2
ルートドメイン権限を持つユーザ ID を使用して Prime Infrastructure にログインします。
[Administration] > [Settings] > [System Settings] > [Alarms and Events] > [System Event configuration]
の順に選択します。
ステップ 3
設定する各 SNMP イベントに対して、次の手順を実行します。
ステップ 1
ステップ 4
a.
そのイベントの行をクリックします。
b.
必要に応じて、[Event Severity] レベルを [Critical]、[Major]、または [Minor] に設定します。
c.
CPU、ディスク、およびメモリの使用率、ライクサイクル、データセンター、保証、コレクタの
トラップに対しては、[Threshold] のパーセンテージ（1 ～ 99）を入力します。これらのイベン
トは、使用率がしきい値限度を超えたときに、関連の SNMP トラップを送信します。しきい
値設定が NA と表示されるイベントのしきい値は設定できません。これらのイベントは、関
連付けられた障害が検出されるたびにトラップを送信します。
d.
バックアップしきい値、証明書有効期日（Critical）、ライフサイクルライセンス、データセン
ターライセンス、保証ライセンス、コレクタライセンスのトラップに対しては、[Threshold]
に日数を入力します（x-y の形式。ここで、x は最小日数値、y は最大日数値）。
e.
[Event Status] を [Enabled] または [Disabled] に設定します。[Enabled] に設定すると、このイベ
ントに対応するトラップが生成されます。
完了したら、[Save] をクリックして変更を保存します。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-13
付録 A
内部 SNMP トラップの生成
Prime Infrastructure トラップの使用
関連項目
•
通知レシーバの設定
通知レシーバの設定
トラップ通知を有効にし、重大度およびしきい値をカスタマイズしたら、トラップを受信するた
めに 1 つ以上の通知レシーバを設定する必要があります。
通知レシーバを追加する場合は、必ず条件の 1 つとして [System] チェックボックスを選択し、
[Event Notifications] ページの各トラップに対して設定された重大度で、[Severity] に最高の重大
度をセットしてください。
ステップ 1
管理者特権を持つユーザ ID を使用して Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Settings] > [System Settings] > [Alarms and Events] > [Notification Receivers] の
順に選択します。
ステップ 3
[Select a command] ドロップダウンリストから、[Add Notification Receiver] を選択し、[Go] をク
リックします。
ステップ 4
少なくとも次のフィールドを入力します。
a.
[IP Address]：レシーバが実行するサーバの IPv4 アドレスまたは IPv6 アドレスを入力します。
b.
[Server Name]：レシーバが実行するサーバのホスト名を入力します。
c.
[Criteria - Category] で、少なくとも [System] チェックボックスを選択します。
d.
[Criteria - Severity]で、トラップ通知自体を設定したときに設定した最高の [Severity Level] を選
択します。
例：PSU 障害の [Event Severity] として [Critical] を選択した場合、このフィールドの値として
[Critical] を選択します。
代替策：[All] を選択して、重大度に関係なくすべてのトラップを受信します。
ステップ 5
終了したら、[Save] をクリックします。
関連項目
•
通知の設定
•
トラップの送信に使用するポート
•
SNMP トラップ用の電子メール通知の設定
•
SNMP トラップのイベントとアラームの表示
•
SNMP トラップのイベントとアラームのフィルタリング
•
SNMP トラップのアラームの消去
•
Prime Infrastructure SNMP トラップのトラブルシューティング
トラップの送信に使用するポート
Prime Infrastructure はトラップを通知レシーバのポート 162 に送信します。このポートは現在カ
スタマイズできません。ノースバウンド管理システムは、[Notification Receiver] Web ページで自
分自身を登録する必要があります（「通知レシーバの設定」を参照）。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-14
付録 A
内部 SNMP トラップの生成
Prime Infrastructure トラップの使用
SNMP トラップ用の電子メール通知の設定
SNMP トラップに対応して生成されたアラームとイベントの電子メール通知を送信するように
Prime Infrastructure を設定できます。これらのアラームとイベントはすべてシステムイベントの
カテゴリの一部とみなされます。このような通知が送信される重大度をカスタマイズすること
もできます。
これらの電子メール通知が送信されるようにするために、Prime Infrastructure 管理者は少なくと
もプライマリ SMTP 電子メールサーバを設定する必要があることに注意してください。
ステップ 1
Prime Infrastructure にログインします。
ステップ 2
[Monitor] > [Monitoring Tools] > [Alarms and Events] を選択します。
ステップ 3
[Email Notification] タブをクリックします。Prime Infrastructure で、最初の [Email Notification
Settings] ページが表示されます。
ステップ 4
[Alarm Category] 列で、[System] カテゴリの名前をクリックします。Prime Infrastructure で、2 番
目の [Email Notification Settings] ページが表示されます。
ステップ 5
[Send email for the following severity levels] で、Prime Infrastructure が電子メール通知を送信する
すべての重大度を選択します。
ステップ 6
[To] で、Prime Infrastructure が電子メール通知を送信するメールアドレスを入力します。複数の
メールアドレスがある場合は、カンマ区切りのリストとして、それらを入力します。
ステップ 7
[Save] をクリックします。Prime Infrastructure で、最初の [Email Notification Settings] ページが表
示されます。
ステップ 8
[Enable] 列で [System] が選択されていることを確認し、[Save] をクリックします。
関連項目
•
電子メールサーバ設定の構成
電子メールサーバ設定の構成
Prime Infrastructure で電子メール通知の送信を可能にするには、システム管理者はプライマリ
SMTP 電子メールサーバを（また、できればセカンダリ電子メールサーバも）設定する必要があ
ります。
ステップ 1
管理者権限のユーザ ID を使用して Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Settings] > [System Settings] > [Mail and Notification] > [Mail Server
Configuration] を選択します。
ステップ 3
[Primary SMTP Server] で、Prime Infrastructure が使用する電子メールサーバに合わせて、
[Hostname/IP]、[User Name]、[Password]、および [Confirm Password] フィールドに入力します。物
理サーバの IP アドレスを入力します。仮想 IP アドレスを [Hostname/IP] フィールドに入力する
ことはできません。また、IP アドレスをロードバランサの後に配置することはできません。
ステップ 4
（オプション）[Secondary SMTP Server] で同じ各フィールドに入力します。
ステップ 5
[Sender and Receivers] で、Prime Infrastructure サーバの正当なメールアドレスを入力します。
ステップ 6
終了したら、[Save] をクリックします。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-15
付録 A
内部 SNMP トラップの生成
Prime Infrastructure トラップの使用
関連項目
•
SNMP トラップのイベントとアラームの表示
•
SNMP トラップのイベントとアラームのフィルタリング
•
SNMP トラップのアラームの消去
•
Prime Infrastructure SNMP トラップのトラブルシューティング
•
通知の設定
•
トラップの送信に使用するポート
•
SNMP トラップ用の電子メール通知の設定
SNMP トラップのイベントとアラームの表示
Prime Infrastructure の内部 SNMP トラップのすべてのイベントとアラームは [System] カテゴリに
分類されます。それらは Prime Infrastructure アラームとイベントダッシュボードで表示できます。
ステップ 1
Prime Infrastructure にログインします。
ステップ 2
[Monitor] > [Monitoring Tools] > [Alarms and Events] を選択します。
SNMP トラップのイベントとアラームのフィルタリング
Prime Infrastructure フィルタ機能を使用して、アラームの表示をシステムカテゴリだけに絞り込
んだり、条件と演算子の組み合わせを使用して、明確に限定したアラームのリストに焦点を合わ
せたりすることができます。以下のセクションで、この方法について説明します。
関連項目
•
クイックフィルタを使用する SNMP トラップ用のフィルタリング
•
高度なフィルタを使用する SNMP トラップのフィルタリング
クイックフィルタを使用する SNMP トラップ用のフィルタリング
Prime Infrastructure のクイックフィルタを使用すると、特定のテーブル列にフィルタを適用する
ことで、テーブル内のデータにすばやく焦点を合わせることができます。
ステップ 1
Prime Infrastructure にログインします。
ステップ 2
[Monitor] > [Monitoring Tools] > [Alarms and Events] を選択します。
ステップ 3
[Show] ドロップダウンリストで、[Quick Filter] を選択します。Prime Infrastructure はテーブル
ヘッダーフィールドのリストを表示し、[Severity]、[Message]、および [Category] などのクイック
フィルタを実行できます。
ステップ 4
[Category] フィールドに、[System] を入力します。Prime Infrastructure はシステムアラームのみを表
示します。
ステップ 5
クイックフィルタをクリアするには、[Show] ボックスの横に表示される漏斗アイコンをクリッ
クします。
Cisco Prime Infrastructure 3.0 管理者ガイド
A-16
付録 A
内部 SNMP トラップの生成
Prime Infrastructure トラップの使用
高度なフィルタを使用する SNMP トラップのフィルタリング
Prime Infrastructure の高度なフィルタを使用すると、複数のタイプのデータと論理演算子を組み
合わせたフィルタ（「Does not contain」、「Does not equal」、「Ends with」など）を適用して、テーブル
内のデータを絞り込むことができます。たとえば、カテゴリに基づいてアラームテーブルをフィ
ルタにかけ、さらに重大度でフィルタリングすることで、データを減らすことができます（次の
手順を参照）。高度なフィルタを保存して、後で再利用することもできます。
ステップ 1
Prime Infrastructure にログインします。
ステップ 2
[Monitor] > [Monitoring Tools] > [Alarms and Events] を選択します。
ステップ 3
[Show] ドロップダウンリストで、[Advanced Filter] を選択します。Prime Infrastructure はフィル
タ内の最初のルールの条件を示すテーブルヘッダーを表示します。
ステップ 4
次のように、最初のルールを完成させます。
ステップ 5
a.
最初のフィールドで、ドロップダウンリストから [Category] を選択します。
b.
2 番目のフィールドで、ドロップダウンリストから [Contains] を選択します。
c.
ルールの 3 番目のフィールドに、[System] を入力します。
d.
[Go] をクリックします。Prime Infrastructure はシステムアラームのみを表示します。
プラス記号のアイコンをクリックして別のルールを追加し、次のように、2 番目のルールを完成
させます。
a.
最初のフィールドで、ドロップダウンリストから [Severity] を選択します。
b.
2 番目のフィールドで、ドロップダウンリストから [equals (=)] を選択します。
c.
ルールの 3 番目のフィールドで、ドロップダウンリストから [Major] を選択します。
d.
[Go] をクリックします。Prime Infrastructure は重大度の高いシステムアラームのみを表示し
ます。
必要に応じてこの手順を繰り返します。
ステップ 6
高度なフィルタを保存するには、[Save] アイコンをクリックし、フィルタの名前を入力します。
ステップ 7
高度なフィルタをクリアするには、[Clear Filter] をクリックします。
関連項目
•
SNMP トラップのアラームの消去
•
Prime Infrastructure SNMP トラップのトラブルシューティング
•
通知の設定
•
トラップの送信に使用するポート
•
SNMP トラップ用の電子メール通知の設定
•
SNMP トラップのイベントとアラームの表示
•
SNMP トラップのイベントとアラームのフィルタリング
Cisco Prime Infrastructure 3.0 管理者ガイド
A-17
付録 A
内部 SNMP トラップの生成
Prime Infrastructure トラップの使用
SNMP トラップのアラームの消去
アラームリストに含まれるアラームは、ステータスを [Acknowledged] から [Cleared] に変更する
ことで削除できます。これらのアラームに対して電子メールは生成されません。
ステップ 1
Prime Infrastructure にログインします。
ステップ 2
[Monitor] > [Monitoring Tools] > [Alarms and Events] を選択します。
ステップ 3
アラームを選択し、[Change Status] > [Acknowledge] または [Change Status] > [Clear] を選択します。
Prime Infrastructure SNMP トラップのトラブルシューティング
Prime Infrastructure の内部トラップおよび関連する通知で問題が生じた場合は、次の点を確認し
てください。
ステップ 1
Prime Infrastructure サーバから通知レシーバに ping を実行し、Prime Infrastructure と管理アプリ
ケーション間の接続を確認します。
ステップ 2
ファイアウォールの ACL 設定がポート 162 をブロックしていないかを確認し、必要に応じてそ
のポートの通信を開きます。
ステップ 3
管理者特権を持つユーザ ID を使用して Prime Infrastructure にログインします。[Administration] >
[Settings] > [Logging] を選択し、ログファイルをダウンロードします。次に、これらのログファイ
ルに記録されたアクティビティを、管理アプリケーションで参照しているアクティビティと比
較します。
•
ncs_nb.log：これは Prime Infrastructure が送信した、すべてのノースバウンド SNMP トラップ
メッセージのログです。受信していないメッセージの有無をチェックします。
•
ncs-#-#.log：これは現在のその他の Prime Infrastructure アクティビティのログです。受信して
いないハードウェアトラップメッセージの有無をチェックします。
•
hm-#-#.log：これはヘルスモニタアクティビティのすべてのログです。未受信のハイアベイラ
ビリティ状態の変更およびアプリケーションプロセス障害に関する、最近のメッセージを
チェックします。
これらのログに表示されるメッセージは、管理アプリケーションに表示されるアクティビティ
と一致する必要があります。大きな違いがある場合は、Cisco Technical Assistance Center（TAC）で
サポートケースを開き、疑わしいログファイルをケースに添付してください。
関連項目
•
Prime Infrastructure SNMP トラップタイプ
•
Prime Infrastructure SNMP トラップリファレンス
•
Prime Infrastructure トラップの使用
Cisco Prime Infrastructure 3.0 管理者ガイド
A-18
A P P E N D I X
B
ベストプラクティス：サーバセキュリティ
の強化
改訂日： 2015 年 7 月 13 日
この付録では Cisco Prime Infrastructure サーバのセキュリティを強化する最適な方法に関する背
景情報とアドバイスを提供します。
サーバセキュリティの強化
以下のセクションで、セキュリティ上の弱点を個別に排除または制御して、サーバセキュリティを
高める方法について説明します。
関連項目
•
セキュアでないサービスの無効化
•
root アクセスの無効化
•
SNMPv2 の代わりに SNMPv3 を使用する
•
外部 AAA による認証
•
NTP 更新認証の有効化
•
証明書ベースの OCSP 認証の有効化
•
Web ブラウザへのクライアント証明書のインポート
•
Prime Infrastructure サーバにおける OCSP 設定の有効化
•
ローカルパスワードポリシーの設定
•
サーバセキュリティステータスの確認
Cisco Prime Infrastructure 3.0 管理者ガイド
B-1
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
セキュアでないサービスの無効化
使用する予定のない、セキュアでないサービスは無効化する必要があります。たとえば、TFTP お
よび FTP はセキュアなプロトコルではありません。これらのサービスは、通常、ネットワークデ
バイスと Prime Infrastructure の間でファームウェアやソフトウェアのイメージを転送するため
に使用されます。また、システムバックアップを外部ストレージに転送するためにも使用されま
す。このようなサービスにはセキュアなプロトコル（SFTP または SCP など）を使用することを推
奨します。
FTP および TFTP サービスを無効にするには、次の手順に従います。
ステップ 1
管理者権限を持つユーザ ID で Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Settings] > [System Settings] > [General] > [Server] の順に選択します。
ステップ 3
[FTP] および [TFTP] に対して、[Disable] ボタンを選択します。
root アクセスの無効化
管理ユーザは、トラブルシューティングの目的で基盤となるオペレーティングシステムに対す
る root シェルアクセスを有効化できます。このアクセスは、シスコサポートチームが製品関連
の運用上の問題をデバッグするために使用されます。このアクセスは無効な状態のままにし、必
要な場合にのみを有効化することを推奨します。root アクセスを無効化するには、コマンドライ
ンから root_disable コマンドを実行します（CLI 経由の接続を参照）。
インストール時に、Prime Infrastructure は Web root ユーザアカウントも作成し、インストーラに
よってこのアカウントに使用するパスワードの入力が求められます。Web root アカウントは
Prime Infrastructure サーバとその Web ユーザインターフェイスへの初回ログインを有効化する
ために必要です。通常の動作にこのアカウントを使用しないことを推奨します。代わりに、日常
的な運用およびネットワーク管理を行うための適切な権限を持つユーザ ID と、Prime
Infrastructure 自体を管理するための管理ユーザ ID の作成に使用します。これらのユーザアカウ
ントを作成したら、インストール時に作成されたデフォルトの「Web root」アカウントを無効化
し、その後は、管理ユーザ ID を使用してユーザアカウントを作成します。
root アカウントを無効にするには、次の手順に従います。
ステップ 1
Prime Infrastructure サーバとの CLI セッションを開きます（CLI 経由の接続を参照）。「configure
terminal」モードは開始しないでください。
ステップ 2
次のコマンドを入力して、Web root アカウントを無効化します。
PIServer/admin#
ncs webroot disable
Prime Infrastructure は Web root アカウントを無効化します。
ステップ 3
プロンプトで次のコマンドを入力して、root シェルアカウントを無効化します。
PIServer/admin#
root_disable
Prime Infrastructure は root シェルアカウントのパスワードを入力するよう求めます。パスワードを
入力すると、root シェルアカウントの無効化が完了します。
Cisco Prime Infrastructure 3.0 管理者ガイド
B-2
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
SNMPv2 の代わりに SNMPv3 を使用する
SNMPv3 は、SNMPv2 よりもセキュリティ機能が高いプロトコルです。SNMPv2 の代わりに
SNMPv3 を使用して管理が行われるように管理対象デバイスの設定にすることにより、ネット
ワークデバイスと Prime Infrastructure サーバ間の通信のセキュリティを強化できます。
新しいデバイスの追加時、デバイスの一括インポート時、またはデバイス検出の一環として、
SNMPv3 の有効化を選択できます。それぞれの作業の実行手順については、「関連項目」を参照し
てください。
関連項目
•
デバイス追加時に SNMPv3 を使用する
•
デバイスのインポート時に SNMPv3 を使用する
•
検出の実行時に SNMPv3 を使用する
デバイス追加時に SNMPv3 を使用する
新規デバイスを追加する際に SNMPv3 を指定するには、次の手順に従います。
ステップ 1
[Inventory] > [Device Management] > [Network Devices] の順に選択します。
ステップ 2
[Add Device] を選択します。
ステップ 3
[SNMP Parameters] エリアの [Version] で、[v3] を選択します。
ステップ 4
他のフィールドに適宜入力してから、[Add] をクリックします。
関連項目
•
デバイスのインポート時に SNMPv3 を使用する
•
検出の実行時に SNMPv3 を使用する
•
SNMPv2 の代わりに SNMPv3 を使用する
Cisco Prime Infrastructure 3.0 管理者ガイド
B-3
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
デバイスのインポート時に SNMPv3 を使用する
デバイスを一括インポートする際に、SNMPv3 の使用を指定するには、次の手順に従います。
ステップ 1
[Inventory] > [Device Management] > [Network Devices] を選択します。
ステップ 2
[Bulk Import] を選択します。[Bulk Import] ページが表示されます。
ステップ 3
デバイス追加サンプルテンプレートを [Bulk Import] ページの [here] リンクからダウンロードし
ます。
ステップ 4
任意の CSV 互換アプリケーションを使用してテンプレートファイルを編集します。CSV イン
ポートファイル内で、デバイスを表す各行ごとに次の手順を実行します。
ステップ 5
a.
[snmp version] 列に、3 を入力します。
b.
[snmpv3_user_name]、[snmpv3_auth_type]、[snmpv3_auth_password]、[snmpv3_privacy_type]、およ
び [snmpv3_privacy_password] の各列に適切な値を入力します。
c.
使用するデバイスに合わせて、適宜他の列に入力します。
[Inventory] > [Device Management] > [Network Devices] を選択し、[Bulk Import] をクリックして、
変更した CSV ファイルをインポートします。
関連項目
•
デバイス追加時に SNMPv3 を使用する
•
検出の実行時に SNMPv3 を使用する
•
SNMPv2 の代わりに SNMPv3 を使用する
検出の実行時に SNMPv3 を使用する
SNMPv3 をデバイス検出の一部として指定するには、次の手順に従います。
ステップ 1
[Inventory] > [Device Management] > [Discovery] の順に選択します。[Discovery Jobs] ページが表示
されます。
ステップ 2
ページの右上隅にある [Discovery Settings] リンクをクリックします。[Discovery Settings] ページ
が表示されます。
ステップ 3
[New] をクリックして、新しい SNMP v3 クレデンシャルを追加します。
ステップ 4
必要に応じてフィールドに入力します。
ステップ 5
[Save] をクリックして、SNMPv3 の設定を保存し、使用を開始します。
関連項目
•
デバイス追加時に SNMPv3 を使用する
•
デバイスのインポート時に SNMPv3 を使用する
•
SNMPv2 の代わりに SNMPv3 を使用する
Cisco Prime Infrastructure 3.0 管理者ガイド
B-4
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
外部 AAA による認証
ユーザアカウントとパスワードを RADIUS や TACACS+ などのセキュアな認証プロトコルを実
行する専用のリモート認証サーバにより一元管理すると、管理がより安全になります。
外部 AAA サーバを使用してユーザを認証するように Prime Infrastructure を設定できます。Prime
Infrastructure グラフィックユーザインターフェイス（GUI）から外部認証をセットアップするに
は、[Administration] > [Users] > [Users, Roles & AAA] ページにアクセスする必要があります。コマ
ンドラインインターフェイス（CLI）から外部認証をセットアップすることもできます。それぞ
れの手法による AAA のセットアップ手順については、「関連項目」を参照してください。
関連項目
•
GUI からの外部 AAA の設定
•
CLI からの外部 AAA の設定
GUI からの外部 AAA の設定
リモートユーザ認証を GUI から設定するには、次の手順に従います。
ステップ 1
管理者特権を持つユーザ ID を使用して Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles & AAA] > [TACACS+] または [Administration] > [Users] >
[Users, Roles & AAA] > [RADIUS] を選択します。
ステップ 3
該当するフィールドに TACACS+ または RADIUS サーバの IP アドレスと共有秘密を入力します。
ステップ 4
[Administration] > [Users] > [Users, Roles & AAA] > [AAA Mode Settings] の順に選択します。
ステップ 5
必要に応じて AAA モードを設定します。
関連項目
•
外部 AAA による認証
•
CLI からの外部 AAA の設定
Cisco Prime Infrastructure 3.0 管理者ガイド
B-5
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
CLI からの外部 AAA の設定
リモートユーザ認証を CLI から設定するには、次の手順に従います。
ステップ 1
「CLI 経由の接続」の説明に従って、コマンドラインを使用して、Prime Infrastructure にログイン
します。必ず「configure terminal」モードにしてください。
ステップ 2
プロンプトで次のコマンドを入力し、外部 TACACS+ サーバをセットアップします。
PIServer/admin/terminal#
aaa authentication tacacs+ server tacacs-ip key plain shared-secret
それぞれの説明は次のとおりです。
ステップ 3
•
tacacs-ip はアクティブな TACACS+ サーバの IP アドレスです。
•
shared-secret はアクティブな TACACS+ サーバのプレーンテキストの共有秘密です。
プロンプトで次のコマンドを入力し、管理者権限を持つユーザを作成します。このユーザは上記
の AAA サーバによって認証されます。
PIServer/admin/terminal#
username username password remote role admin email emailID
それぞれの説明は次のとおりです。
•
username はユーザ ID の名前です。
•
password はユーザのプレーンテキストのパスワードです。
•
emailID はユーザのメールアドレスです（オプション）。
関連項目
•
外部 AAA による認証
•
GUI からの外部 AAA の設定
Cisco Prime Infrastructure 3.0 管理者ガイド
B-6
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
NTP 更新認証の有効化
Network Time Protocol（NTP）バージョン 4 は、サーバの日付と時刻の更新を認証し、サーバセ
キュリティを強化する重要な方法です。Prime Infrastructure では最大 3 台の NTP サーバを設定で
きます。
認証された NTP 更新をセットアップするには、次の手順に従います。
ステップ 1
「CLI 経由の接続」の説明に従って、コマンドラインで Prime Infrastructure にログインします。必ず
「configure terminal」モードにしてください。
ステップ 2
プロンプトで次のコマンドを入力し、外部 NTPv4 サーバをセットアップします。
PIServer/admin/terminal# ntp server serverIP userID plain password
それぞれの説明は次のとおりです。
•
serverIP は、使用する認証 NTPv4 サーバの IP アドレスです。
•
userID は、NTPv4 サーバの MD5 キー ID です。
•
password は NTPv4 サーバに対応する md5 プレーンテキストパスワードです。
例：ntp server 10.81.254.131 20 plain MyPassword
ステップ 3
NTP 認証が適切に動作していることを確認するには、次のコマンドを実行してテストします。
•
NTP 更新の詳細を確認する：sh run
•
NTP 同期の詳細を確認する：sh ntp
Cisco Prime Infrastructure 3.0 管理者ガイド
B-7
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
証明書ベースの OCSP 認証の有効化
Online Certificate Status Protocol（OCSP）を使用した証明書ベースのクライアント認証をセット
アップすることにより、Prime Infrastructure と Web クライアントとの対話のセキュリティをさら
に強化できます。
この認証方式の場合、Prime Infrastructure はユーザにログインページへのアクセスを許可する前
に、Web クライアントの証明書とその失効ステータスを検証します。失効ステータスを検証する
ことにより、発行認証局（CA）がその証明書を無効にしていないことが確認されます。
Prime Infrastructure は、OCSP を使用して証明書の失効ステータスを確認します。OCSP は、他の
方式より高速で信頼性が高い、リアルタイム認証ステータス確認メカニズムです。非独占の新し
いインターネット標準プロトコルであり、ほとんどのブラウザがサポートして、広く受け入れら
れています。また、DOD に準拠しています。
はじめる前に
以下のことを確認してください。
•
セキュアなプロトコル（RADIUS や TACACS+ など）を使用して外部 AAA サーバ経由でユー
ザアクセスを許可するように Prime Infrastructure が設定されていること。このような設定
は、セキュアな認証を保証するための方法として米国防総省および他のセキュリティ機関か
ら推奨されています。詳細については、「関連項目」の「外部 AAA による認証」を参照してくだ
さい。これにより二要素認証が許可されます。つまり、ユーザ ID とパスワードの認証とは独
立して証明書認証が実施されます。
•
証明書を保存するようにリポジトリをセットアップしていること。この実施方法には、ほとんど
制約はありません。リポジトリは、Prime Infrastructure サーバごとにローカルなストレージメディ
ア上や、リモートホスト上に配置できます。リモートに配置する場合、セットアップした専用の
サーバ上や、組織全体で使用する共有証明書サーバ上に配置することができます。使用するリ
モートリポジトリには、サポートされるプロトコル（NFS、FTP、または SFTP）を使用して Prime
Infrastructure サーバからアクセス可能であることを確認してください。
•
証明書リポジトリの名前、証明書ファイルが保存されるリポジトリ内のフォルダ名、そのリ
ポジトリとフォルダに対する読み取り /書き込みアクセス権を持つユーザの名前とパスワー
ドが既知であること。
•
証明書ファイルは、証明書リポジトリ内に存在します。
•
組織の DNS サーバが、証明書発行元の CA によって管理されている OCSP レスポンダの
URL を解決できること。これらの OCSP レスポンダ URL は、証明書ファイルに埋め込まれま
す（「OCSP.Responder.Service」など）。IP アドレスは証明書ファイルに埋め込まれないため、こ
れらの URL が DNS によって解決可能であることが必要となります。
終了後
この認証形式を有効化した後、Prime Infrastructure のアクセスに使用するクライアント Web ブラウ
ザはすべて、クライアント証明書をインポートする必要があります。詳細については、「関連項目」
の「OCSP 認証済み証明書の Web クライアントへのインポート」を参照してください。
ステップ 1
コマンドラインを使用して Prime Infrastructure にログインします（「関連項目」の「CLI 経由の接
続」を参照）。必ず「configure terminal」モードにしてください。
ステップ 2
以下のコマンドを既定の順序で実行して証明書リポジトリのエイリアスを作成し、このエイリ
アスにアクセスするように Prime Infrastructure を設定します。
PIServer/admin(config)#
repository CertRepoName
PIServer/admin(config-repository) #
PIServer/admin(config-repository)#
Cisco Prime Infrastructure 3.0 管理者ガイド
B-8
url proto://CAPath
user username password type pword
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
それぞれの説明は次のとおりです。
ステップ 3
•
CertRepoName は、証明書リポジトリの名前です（例：MyCertRepo など）。
•
proto は、リポジトリのアクセスに使用するプロトコルの名前です（すなわち、NFS、FTP、ま
たは SFTP）。
•
CAPath は、証明書が保存されている場所の詳細 URL またはパスです。
•
username は、リポジトリ内の証明書にアクセスするユーザの名前です。このユーザは、
CAPath のアクセス権限がすでに付与された既存のユーザでなければなりません。
•
type は、パスワード暗号化のタイプです（プレーンテキストの場合は plain、暗号化パスワー
ドの場合は hash）。
•
pword は、username に指定されたユーザに対応するパスワードです（type の値に応じて、プ
レーンテキストまたは暗号化形式）。
以下のコマンドを実行して、証明書リポジトリのパスで証明書が使用可能であることを確認し
ます。
PIServer/admin(config-repository)# exit
PIServer/admin(config)#
PIServer/admin#
exit
show repository CertRepoName
最後のコマンドは、リポジトリに保存された証明書の一覧を返します。必要な証明書が一覧に含ま
れているはずです。たとえば、複数の証明書ファイルがある場合、次のように表示されます。
certnew_latest.cer
certnew_sub_ca1.cer
ステップ 4
次のコマンドを実行して、証明書を Prime Infrastructure のキーストアリポジトリにインストール
して、各ファイルのエイリアスを作成します（複数の証明書ファイルがある場合は、このコマン
ドを複数回実行する必要があります）。
PIServer/admin# ncs key importcert CertAlias CertFile repository CertRepoName
それぞれの説明は次のとおりです。
•
CertAlias は、証明書ファイルに割り当てるエイリアスです。エイリアスは、ファイルごとに
一意でなければなりません。
•
CertFile は、CertRepoName に保存されている証明書ファイルのファイル名です。
たとえば、ステップ 3 で与えられたサンプル証明書ファイル名を使用して続行する場合は、以下
のコマンドを実行します。
PIServer/admin# ncs key importcacert OCSP-CA-CERT certnew_latest.cer repository
MyCertRepo
PIServer/admin#
ncs key importcacert OCSP-SUB-CA-CERT certnew_sub_ca1.cer repository
MyCertRepo
ステップ 5
証明書のインストール後、Prime Infrastructure サーバを再起動します（「Prime Infrastructure の再
起動」を参照）。
ステップ 6
サーバが再起動したら、ステップ 1 と同様に、コマンドラインから Prime Infrastructure にログイ
ンし、Prime Infrastructure キーストアにインストールされた証明書の一覧を表示します。
PIServer/admin# ncs key listcacerts
インストール済み証明書の一覧に、ステップ 4 でインポートした証明書が含まれているはずです。
ステップ 7
次のコマンドを実行して、Prime Infrastructure でのクライアント証明書認証を有効化します。
PIServer/admin# ncs run client-auth enable
ステップ 8
クライアント証明書認証を有効化した後、Prime Infrastructure サーバを再起動します（「Prime
Infrastructure の再起動」を参照）。
Cisco Prime Infrastructure 3.0 管理者ガイド
B-9
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
関連項目
•
外部 AAA による認証
•
CLI 経由の接続
•
リモートバックアップリポジトリの使用
•
Prime Infrastructure の再起動
•
Web ブラウザへのクライアント証明書のインポート
Web ブラウザへのクライアント証明書のインポート
証明書認証が設定された Prime Infrastructure サーバにアクセスするユーザは、認証用にクライア
ント証明書をブラウザにインポートする必要があります。このプロセスは各種ブラウザで同様
ですが、実際の詳細部分についてはブラウザによって異なります。以下の手順では、ユーザが
Prime Infrastructure 互換の Firefox を使用しているものとしています。
はじめる前に
クライアント証明書をインポートするユーザに関して、以下について確認する必要があります。
ステップ 1
•
クライアントマシンのローカルストレージリソースに証明書ファイルのコピーをダウン
ロード済みであること。
•
証明書ファイルが暗号化されている場合は、証明書ファイルの暗号化に使用されたパスワー
ドを保有していること。
Firefox を起動し、次の URL をロケーションバーに入力します：about:preferences#advanced
Firefox の [Options] > [Advanced] タブが表示されます。
ステップ 2
[Certificates] > [View Certificates] > [Your Certificates] の順に選択し、[Import...] をクリックします。
ステップ 3
ダウンロードした証明書ファイルに移動してそれらを選択し、[OK] または [Open] をクリックし
ます。
ステップ 4
証明書ファイルが暗号化されている場合、証明書ファイルの暗号化に使用されたパスワードの
入力が求められます。該当するパスワードを入力し、[OK] をクリックします。
これで証明書がブラウザにインストールされました。
ステップ 5
Ctrl+Shift+Del を押して、ブラウザのキャッシュをクリアします。
ステップ 6
証明書認証を使用してブラウザで Prime Infrastructure サーバをアクセスします。
要求されたサーバ認証に応答するための証明書の選択が求められます。適切な証明書を選択し、
[OK] をクリックします。
関連項目
•
外部 AAA による認証
•
リモートバックアップリポジトリの使用
•
証明書ベースの OCSP 認証の有効化
Cisco Prime Infrastructure 3.0 管理者ガイド
B-10
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
SSL 認証の設定
Secure Sockets Layer（SSL）認証は、Web サーバとブラウザ間のセキュアなトランザクションを保
証するために使用されます。DoD 証明書をインストールすると、Web ブラウザでアイデンティ
ティを信頼し、米国国防総省（DoD）によって認証されたセキュアな通信を提供できるようにな
ります。
これらの証明書は、サーバまたは Web サイトのアイデンティティを確認するため、また SSL で
使用する暗号キーを生成するために使用されます。この暗号化により、サーバとクライアント間
で受け渡される情報が保護されます。
関連項目
•
SSL クライアント認証の設定
•
SSL サーバ認証の設定
SSL クライアント認証の設定
DoD 証明書を使用して SSL クライアント証明書の認証を設定するには、次の手順に従います。
ただし、この SSL 証明書作成手法では、JDK で使用できる keytool ユーティリティへのアクセス
が必須です。KeyTool は、キーストアおよび証明書を管理するために使用するコマンドライン
ツールです。
ステップ 1
次のコマンドを使用して、SSL クライアント証明書を作成します。
% keytool -genkey -keystore nmsclientkeystore -storetype pkcs12 -keyalg RSA -keysize 2048
-alias nmsclient -dname "CN=nmsclient, OU=WNBU, O=Cisco, L=San Jose, ST=CA, C=US"
-storepass nmskeystore
キーアルゴリズムに RSA、キーサイズに 1024 または 2048 を指定します。
ステップ 2
次のコマンドを使用して、証明書署名要求（CSR）を生成します。
% keytool -certreq -keyalg RSA -keysize 2048
-storetype pkcs12 -file <csrfilename>
-alias nmsclient -keystore nmsclientkeystore
キーアルゴリズムに RSA、キーサイズに 1024 または 2048 を指定し、証明書ファイル名を指定
します。
ステップ 3
生成された CSR ファイルを DoD に送信します。DoD によって対応する署名証明書が発行され
ます。
CSR 応答は、dod.p7b ファイルによって行われます。また、ユーザはルート CA 証明書も受信し
ます。
PKCS7 符号化された証明書を必ず取得するようにします。認証局では、PKCS7 符号化された証
明書の取得のオプションを提供しています。
ステップ 4
次のコマンドを使用して、キーストアに CSR 応答をインポートします。
% keytool -import dod.p7b -keystore nmsclientkeystore -storetype pkcs12
-storepass nmskeystore
ステップ 5
受信したルート CA 証明書の形式を確認します。base-64 符号化形式が使用されている必要があ
ります。base-64 符号化でない場合、OpenSSL コマンドを使用してこの形式に変換します。
% openssl x509 -in rootCA.cer -inform DER -outform PEM -outfile rootCA.crt
% openssl x509 -in DoD-sub.cer -inform DER -outform PEM -outfile rootCA.crt
Cisco Prime Infrastructure 3.0 管理者ガイド
B-11
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
受信したルート CA 証明書と下位の証明書の両方を変換します。
ルート CA 証明書と下位の証明書の両方を受信した場合は、次のコマンドを使用してこれらをバ
ンドルする必要があります。
% cat DoD-sub.crt > ca-bundle.crt
% cat DoD-rootCA.crt >> ca-bundle.crt
ステップ 6
証明書を使用して SSL クライアント認証をセットアップするには、
<NCS_Home>/webnms/apache/ssl/backup/フォルダにある、ssl.conf ファイル内の Apache の SSL
クライアント認証を有効にする必要があります。
SSLCACertificationPath conf/ssl.crt
SSLCACertificationFile conf/ssl.crt/ca-bundle.crt
SSLVerifyClient require
SSLVerifyDepth 2
SSLVerifyDepth は、証明書チェーンのレベルにより異なります。ルート CA 証明書を 1 つだけ保
持する場合は、これを 1 に設定する必要があります。証明書チェーンを保持する場合（ルート CA
および下位 CA）、これを 2 に設定する必要があります。
ステップ 7
Prime Infrastructure に DoD ルート CA 証明書をインストールします。
ステップ 8
ブラウザに nmsclientkeystore をインポートします。
関連項目
•
SSL 認証の設定
•
SSL サーバ認証の設定
SSL サーバ認証の設定
ステップ 1
証明書署名要求（CSR）を生成します。
% ncs key genkey -csr <csrfilename> repository <repositoryname>
ステップ 2
次のコマンドを使用して、署名証明書をインポートします。
% ncs key importcacert <aliasname> <ca-cert-filename> repository <repositoryname>
Prime Infrastructure は /opt/CSCOncs/httpd/conf/ssl.crt で自己署名証明書を保存します。インポー
トした証明書/キーは /opt/CSCOncs/migrate/restore で保存されます。
関連項目
•
SSL 認証の設定
•
SSL クライアント認証の設定
Prime Infrastructure サーバにおける OCSP 設定の有効化
Online Certificate Status Protocol（OCSP）は、OCSP レスポンダを使用して Web クライアントの証
明書ベース認証を可能にします。通常、OCSP レスポンダの URL は証明書の Authority
Information Access（AIA）から読み取られます。フェールオーバーメカニズムとして、Prime
Infrastructure サーバ上で同じ URL を設定できます。
Cisco Prime Infrastructure 3.0 管理者ガイド
B-12
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
OCSP レスポンダのカスタム URL をセットアップするには、次の手順に従います。
ステップ 1
「CLI 経由の接続」の説明に従って、コマンドラインを使用して、Prime Infrastructure サーバにロ
グインします。「configure terminal」モードは開始しないでください。
ステップ 2
プロンプトで次のコマンドを入力し、クライアント証明書認証を有効化します。
PIServer/admin#
ステップ 3
ocsp responder custom enable
プロンプトで次のコマンドを入力し、カスタム OCSP レスポンダ URL を設定します。
PIServer/admin#
ocsp responder set url Responder#URL
それぞれの説明は次のとおりです。
•
Responder# は定義する OCSP レスポンダの数です（たとえば、1、2 など）。
•
URL がクライアントの CA 証明書から取得される OCSP レスポンダの URL です。
Responder# 値と URL 値の間にスペースを入れないことに注意してください。
ステップ 4
Prime Infrastructure サーバで定義されている既存のカスタム OCSP レスポンダを削除するには、
次のコマンドを使用します。
PIServer/admin#
ocsp responder clear url Responder#
削除する OCSP レスポンダの数がまだわからない場合は、show security-status コマンドを使用
して、サーバ上で現在設定されている OCSP レスポンダを確認します。詳細については、サーバ
セキュリティステータスの確認を参照してください。
ローカルパスワードポリシーの設定
Prime Infrastructure 独自の内部認証を使用してユーザをローカルで認証する場合、強力なパス
ワードの選択ルールを適用することにより、システムのセキュリティを向上させることができ
ます。
これらのポリシーは、ローカルの Prime Infrastructure ユーザ ID のパスワードにのみ影響します。
集中型つまりリモート AAA サーバで Prime Infrastructure ユーザを認証している場合、AAA サー
バの機能を利用して、同様の保護を適用できます。
ローカルパスワードポリシーを適用するには:
ステップ 1
管理者特権を持つユーザ ID を使用して Prime Infrastructure にログインします。
ステップ 2
[Administration] > [Users] > [Users, Roles & AAA] > [Local Password Policy] の順に選択します。
ステップ 3
適用するパスワードポリシーの横にあるチェックボックスを選択します。パスワードポリシー
には以下が含まれます。
•
パスワードに含める必要がある最小文字数。
•
パスワードにユーザ名または「cisco」（またはこれらの一般的な並べ替え）を使用しない。
•
ルートパスワードに「public」を使用しない。
•
どのパスワード文字についても連続する繰り返しは 3 回以下。
•
パスワードには大文字、小文字、数字、特殊文字という文字クラスのうち 3 つから少なくとも
1 文字ずつを含める必要がある。
•
パスワードは ASCII 文字のみを含む必要があるかどうか。
Cisco Prime Infrastructure 3.0 管理者ガイド
B-13
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
•
パスワードを再利用するまでの最小経過日数。
•
パスワードの有効期限。
•
パスワード失効の事前警告。
パスワードポリシー要件に応じて、次のパスワードポリシーも指定できます。
ステップ 4
•
最小パスワード長（文字の数）。
•
パスワード再利用間の最小経過期間。
•
パスワード有効期間。
•
将来のパスワード失効に関してユーザへの警告を開始する事前日数。
[Save] をクリックします。
個々の TCP/UDP ポートの無効化
次の表に、Prime Infrastructure が使用する TCP および UDP ポート、これらのポート上で通信する
サービスの名前、およびポート使用における製品の目的を示します。「安全」列は、Prime
Infrastructure の機能に影響を与えることなくポートとサービスを無効化できるかどうかを示し
ます。
表 B-1
Prime Infrastructure TCP/UDP ポート
ポート
サービスの名前
目的
安全?
21/tcp
FTP
デバイスとサーバの間のファイル転送
Y
22/tcp
SSHD
システムへ、またシステムからの SCP、SFTP、および SSH N
接続で使用される
69/udp
TFTP
デバイスとサーバの間のファイル転送
Y
162/udp
SNMP-TRAP
SNMP トラップを受信する
N
443/tcp
HTTPS
製品へのプライマリ Web インターフェイス
N
514/udp
SYSLOG
Syslog メッセージを受信する
N
1522/tcp
Oracle
Oracle/JDBC データベース接続：これらは内部サーバ接
続とハイアベイラビリティピアサーバとの接続の両方
を含みます。
N
8082/tcp
HTTPS
ヘルスモニタリング
N
8087/tcp
HTTPS
HA セカンダリシステムのソフトウェアアップデート
N
9991/udp NETFLOW
Netflow ストリームを受信する（保証ライセンスがインス N
トールされている場合に有効）
61617/tcp JMS（over SSL）
リモートのプラグアンドプレイゲートウェイサーバと
の対話用
Cisco Prime Infrastructure 3.0 管理者ガイド
B-14
Y
付録 B
ベストプラクティス：サーバセキュリティの強化
サーバセキュリティの強化
サーバセキュリティステータスの確認
Prime Infrastructure 管理者は、CLI でサーバに接続し、show security-status コマンドを使用して、
サーバで現在開いている TCP/UDP ポート、システムが使用している他のサービスの状態、およ
びその他のセキュリティ関連の設定情報を表示できます。次に例を示します。
ステップ 1
「CLI 経由の接続」の説明に従って、コマンドラインを使用して、Prime Infrastructure にログイン
します。「configure terminal」モードは開始しないでください。
ステップ 2
プロンプトで次のコマンドを入力します。
PIServer/admin#
show security-status
設定に応じて、次のような出力が表示されます。
Open TCP Ports: 22 443 1522 8082
Open UDP Ports: 162 514 9991
FIPS Mode: enabled
TFTP Service: disabled
FTP Service: disabled
JMS port (61617): disabled
Root Access: disabled
Client Auth: enabled
OCSP Responder1: http://10.77.167.65/ocsp
OCSP Responder2: http://10.104.178.99/ocsp
Cisco Prime Infrastructure 3.0 管理者ガイド
B-15
付録 B
サーバセキュリティの強化
Cisco Prime Infrastructure 3.0 管理者ガイド
B-16
ベストプラクティス：サーバセキュリティの強化
A P P E N D I X
C
プラグアンドプレイゲートウェイのハイ
アベイラビリティの設定
この章では、シスコプラグアンドプレイゲートウェイスタンドアロンサーバのハイアベイラ
ビリティ（HA）機能を設定する方法と、その機能を Prime Infrastructure（プライマリサーバとセカ
ンダリサーバに別々の IP アドレスが割り当てられる）と Prime Infrastructure 3.0 仮想 IP アドレ
ス HA モデルに実装されている HA とともに組み込む方法について説明します。
シスコプラグアンドプレイゲートウェイ HA の機能
Prime Infrastructure 3.0 以前のリリースは、過去に次のモードのいずれかで単一のシスコプラグ
アンドプレイゲートウェイをサポートしていました。
•
プラグアンドプレイゲートウェイスタンドアロンサーバモード
•
プラグアンドプレイゲートウェイ統合サーバモード
HA はこの両方のソリューションで使用できず、シスコプラグアンドプレイゲートウェイはセ
カンダリ Prime Infrastructure サーバに自動的には接続されません。また、セカンダリ Prime
Infrastructure サーバに手動でリダイレクトする必要があります。
Prime Infrastructure 3.0 は HA のプラグアンドプレイゲートウェイをサポートします。シスコプ
ラグアンドプレイ HA 機能の目的は以下を可能にすることです。
•
セカンダリスタンバイプラグアンドプレイゲートウェイを提供することによる、スタンド
アロンサーバプラグアンドプレイゲートウェイ上の HA。
•
スタンドアロンプラグアンドプレイゲートウェイと Prime Infrastructure HA 間の HA サ
ポート。
•
Prime Infrastructure 統合プラグアンドプレイゲートウェイに対する HA サポート。
Cisco Prime Infrastructure 3.0 管理者ガイド
C-1
付録 C
プラグアンドプレイゲートウェイのハイアベイラビリティの設定
シスコプラグアンドプレイゲートウェイ HA のセットアップ
シスコプラグアンドプレイゲートウェイ HA の前提条件
シスコプラグアンドプレイゲートウェイの HA 機能を使用する前に、次の手順を実行する必要
があります。
•
プライマリとセカンダリの Prime Infrastructure サーバを設定します。これらは、プラグアン
ドプレイゲートウェイスタンドアロンサーバからアクセスできる必要があります。詳細に
ついては、ハイアベイラビリティの設定を参照してください。
•
メッセージキューポート 61617 とヘルスモニターポート 8082 に使用されるプライマリと
セカンダリの Prime Infrastructure SSL サーバ証明書が、IP アドレスが異なる Prime
Infrastructure HA モードのプライマリサーバとセカンダリサーバから抽出できることを確
認します。詳細については、ハイアベイラビリティのセットアップを参照してください。
•
仮想 IP アドレスベースの HA の場合は、プライマリサーバとセカンダリサーバの両方にそ
の仮想 IP アドレスと証明書を割り当てる必要があります。詳細については、仮想 IP アド
レッシングを参照してください。
•
HA の役割を担うサービスに応じて、Prime Infrastructure サーバメッセージキューポート
61617 のいずれかを常時アクティブにする必要があります。
•
プライマリとセカンダリのプラグアンドプレイゲートウェイ仮想マシンをインストール
します。OVA ファイルからの仮想マシンのインストール方法については、『Cisco Prime
Infrastructure 3.0 Quick Start Guide』を参照してください。
シスコプラグアンドプレイゲートウェイ HA のセット
アップ
ここでは、HA のシスコプラグアンドプレイゲートウェイを設定するさまざまな方法について
説明します。
関連項目
•
シスコプラグアンドプレイゲートウェイ HA の前提条件
•
Prime Infrastructure HA 用のスタンドアロンシスコプラグアンドプレイゲートウェイの
セットアップ
•
シスコスタンドアロンプラグアンドプレイゲートウェイサーバ HA のセットアップ
•
シスコプラグアンドプレイゲートウェイのステータス
•
シスコプラグアンドプレイゲートウェイ HA と Prime Infrastructure の組み合わせ
Prime Infrastructure HA 用のスタンドアロンシスコプラグアンドプレイ
ゲートウェイのセットアップ
HA の Cisco Prime Infrastructure サーバは次の 2 つのモードで設定できます。
•
プライマリサーバとセカンダリサーバの仮想 IP アドレス。詳細については、仮想 IP アド
レッシングを参照してください。
•
プライマリサーバとセカンダリサーバで別々の IP アドレス。詳細については、ハイアベイ
ラビリティのセットアップを参照してください。
Cisco Prime Infrastructure 3.0 管理者ガイド
C-2
付録 C
プラグアンドプレイゲートウェイのハイアベイラビリティの設定
シスコプラグアンドプレイゲートウェイ HA のセットアップ
セットアップ手順に少し変更を加えることにより、両方のモードで機能するように、スタンドア
ロンシスコプラグアンドプレイゲートウェイを設定できます。
関連項目
•
仮想 IP アドレスが割り当てられた HA の Prime Infrastructure
•
IP アドレスが異なる HA の Prime Infrastructure
仮想 IP アドレスが割り当てられた HA の Prime Infrastructure
Prime Infrastructure は、アクティブなサーバに応じて、プライマリサーバとセカンダリサーバ上
を移動する仮想 IP アドレスで設定できます。シスコプラグアンドプレイゲートウェイのセッ
トアップ中に HA の Prime Infrastructure の仮想 IP アドレスを入力します。
Prime Infrastructure に統合されたプラグアンドプレイゲートウェイは、同じ仮想 IP アドレスがア
クティブノードに転送される場合に機能します。Prime Infrastructure に統合されたシスコプラグ
アンドプレイゲートウェイは、Prime Infrastructure 仮想 IP アドレスを使用するように自動的に設
定されます。シスコプラグアンドプレイゲートウェイの設定で必要な特定の設定はありません。
関連項目
•
IP アドレスが異なる HA の Prime Infrastructure
IP アドレスが異なる HA の Prime Infrastructure
Prime Infrastructure は、IP アドレスが異なるプライマリサーバとセカンダリサーバで設定できます。
シスコプラグアンドプレイゲートウェイの設定では、詳細セットアップで pnp setup advance コ
マンドを実行して、次の情報を入力します。
•
プライマリ IP アドレス。
•
セカンダリサーバを設定する場合は、プロンプトで y を入力します。
•
セカンダリ IP アドレス。
コマンドの実行方法については、『Command Reference Guide for Cisco Prime Infrastructure 3.0』を
参照してください。
注
Prime Infrastructure に統合されたシスコプラグアンドプレイゲートウェイは、プライマリサー
バとセカンダリサーバに別々の IP アドレスが割り当てられている場合は機能しません。アク
ティブノードに基づいて、ブートストラップ設定を変更する必要があります。
関連項目
•
シスコプラグアンドプレイゲートウェイ HA の前提条件
•
Prime Infrastructure HA 用のスタンドアロンシスコプラグアンドプレイゲートウェイの
セットアップ
•
シスコスタンドアロンプラグアンドプレイゲートウェイサーバ HA のセットアップ
•
シスコプラグアンドプレイゲートウェイのステータス
•
シスコプラグアンドプレイゲートウェイ HA と Prime Infrastructure の組み合わせ
Cisco Prime Infrastructure 3.0 管理者ガイド
C-3
付録 C
プラグアンドプレイゲートウェイのハイアベイラビリティの設定
シスコプラグアンドプレイゲートウェイ HA のセットアップ
シスコスタンドアロンプラグアンドプレイゲートウェイサーバ HA
のセットアップ
シスコスタンドアロンプラグアンドプレイゲートウェイは、フェールオーバー用のセカンダ
リサーバで HA に設定することもできます。HA のシスコプラグアンドプレイゲートウェイ
は、必ず、アクティブノードの仮想 IP アドレスで設定されます。HA のスタンドアロンプラグア
ンドプレイゲートウェイをセットアップする場合は、次の手順を実行する必要があります。
注
•
2 つの到達可能なシスコプラグアンドプレイゲートウェイを別々の IP アドレスでインス
トールします。
•
プライマリシスコプラグアンドプレイゲートウェイで pnp setup または pnp setup
advance コマンドを実行します。詳細については、『Command Reference Guide for Cisco Prime
Infrastructure 3.0』を参照してください。セットアップの終了時点で、プライマリサーバに
よって、自動的にセカンダリシスコプラグアンドプレイゲートウェイが設定されます。
•
プライマリシスコプラグアンドプレイゲートウェイ HA サーバで HA を設定する場合は、
プロンプトで y を入力します。
HA の Prime Infrastructure を使用したスタンドアロンシスコプラグアンドプレイゲートウェ
イは、プライマリからセカンダリへの自動フェールオーバーを備えています。手動フェールオー
バーは使用できません。
HA の Prime Infrastructure を使用したスタンドアロンシスコプラグアンドプレイゲートウェ
イは、セカンダリサーバからプライマリサーバに手動または自動でフェールバックするように
設定できます。
pnp セットアップの一部として、シスコプラグアンドプレイゲートウェイの仮想 IP アドレス、
仮想ホスト名、IP アドレス、およびセカンダリサーバのユーザ名とパスワードを入力します。
セットアップ中にプロンプトが表示されたら、手動フェールバックの場合は 0 を、自動フェール
バックの場合は 1 を入力します。
注
手動フェールバックをお勧めします。フラッピングインターフェイスなどのシナリオでは、
フェールオーバーとフェールバックが連続して発生するため、自動フェイルバックはお勧めし
ません。
関連項目
•
シスコプラグアンドプレイゲートウェイのステータス
•
シスコプラグアンドプレイゲートウェイ HA の機能
•
シスコプラグアンドプレイゲートウェイ HA のセットアップ
•
シスコプラグアンドプレイゲートウェイ HA と Prime Infrastructure の組み合わせ
Cisco Prime Infrastructure 3.0 管理者ガイド
C-4
付録 C
プラグアンドプレイゲートウェイのハイアベイラビリティの設定
シスコプラグアンドプレイゲートウェイ HA のセットアップ
シスコプラグアンドプレイゲートウェイのステータス
シスコプラグアンドプレイゲートウェイのステータスインターフェイスは、次のステータス
に関する詳細情報を提供します。
•
Cisco Prime Infrastructure HA ステータス
シスコプラグアンドプレイゲートウェイがプライマリサーバ IP アドレスとセカンダリ
サーバ IP アドレスのどちらのポート 61617 に接続されているかを表示します。
– シスコプラグアンドプレイゲートウェイが Prime Infrastructure に接続されていない場
合は、このステータスがダウンとして表示されます。この場合は、フェールオーバーが発
生しません。
– セットアップ中に仮想 IP アドレスが入力された場合は、このステータスにアドレスだけ
が表示されます。シスコプラグアンドプレイゲートウェイステータスでは、プライマ
リサーバとセカンダリサーバのどちらに接続されているかは識別できません。
•
シスコプラグアンドプレイ HA ステータス
両方のゲートウェイが稼働している場合は、別のシスコプラグアンドプレイゲートウェイ
プロセスのステータスとともに、シスコプラグアンドプレイゲートウェイがアクティブ
モードで表示されます。このステータスには、表内の追加の値として、プライマリサーバと
セカンダリサーバ間の接続ステータスも表示されます。
シスコプラグアンドプレイゲートウェイサーバのステータスをチェックするには、そのゲー
トウェイサーバにログインして、pnp status コマンドを実行します。詳細については、『Command
Reference Guide for Cisco Prime Infrastructure 3.0』を参照してください。ゲートウェイサーバス
テータスが表示されます。
コマンドの実行方法については、『Command Reference Guide for Cisco Prime Infrastructure 3.0』を
参照してください。
SERVICE
| MODE
| STATUS
| ADDITIONAL INFO
-----------------------------------------------------------------------------------------System
|
| UP
|
-----------------------------------------------------------------------------------------Event Messaging Bus
| PLAIN TEXT
| UP
| pid: 6808
CNS Gateway Dispatcher
| PLAIN TEXT
| UP
| pid: 7189,
port: 11011
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7223,
port: 11013
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7262,
port: 11015
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7306,
port: 11017
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7410,
port: 11019
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7493,
port: 11021
CNS Gateway Dispatcher
| SSL
| UP
| pid: 7551,
port: 11012
CNS Gateway
| SSL
| UP
| pid: 7627,
port: 11014
CNS Gateway
| SSL
| UP
| pid: 7673,
port: 11016
CNS Gateway
| SSL
| UP
| pid: 7793,
port: 11018
CNS Gateway
| SSL
| UP
| pid: 7905,
port: 11020
Cisco Prime Infrastructure 3.0 管理者ガイド
C-5
付録 C
プラグアンドプレイゲートウェイのハイアベイラビリティの設定
シスコプラグアンドプレイゲートウェイ HA のセットアップ
CNS Gateway
| SSL
port: 11022
HTTPD
|
Image Web Service
| SSL
Config Web Service
| SSL
Resource Web Service
| SSL
Image Web Service
| PLAIN TEXT
Config Web Service
| PLAIN TEXT
Resource Web Service
| PLAIN TEXT
Prime Infrastructure Broker
| SSL
Connection Detail: ::ffff:10.104.105.170:61617
bgl-dt-pnp-ha-216/admin#
|
UP
|
pid: 7979,
|
|
|
|
|
|
|
|
UP
UP
UP
UP
UP
UP
UP
UP
|
|
|
|
|
|
|
|
Connection: 1,
SERVICE
| MODE
| STATUS
| ADDITIONAL INFO
-----------------------------------------------------------------------------------------System
|
| UP
|
-----------------------------------------------------------------------------------------Event Messaging Bus
| PLAIN TEXT
| UP
| pid: 6426
CNS Gateway Dispatcher
| PLAIN TEXT
| UP
| pid: 7107,
port: 11011
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7141,
port: 11013
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7180,
port: 11015
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7224,
port: 11017
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7263,
port: 11019
CNS Gateway
| PLAIN TEXT
| UP
| pid: 7309,
port: 11021
CNS Gateway Dispatcher
| SSL
| UP
| pid: 7381,
port: 11012
CNS Gateway
| SSL
| UP
| pid: 7537,
port: 11014
CNS Gateway
| SSL
| UP
| pid: 7581,
port: 11016
CNS Gateway
| SSL
| UP
| pid: 7685,
port: 11018
CNS Gateway
| SSL
| UP
| pid: 7855,
port: 11020
CNS Gateway
| SSL
| UP
| pid: 7902,
port: 11022
HTTPD
|
| UP
|
Image Web Service
| SSL
| UP
|
Config Web Service
| SSL
| UP
|
Resource Web Service
| SSL
| UP
|
Image Web Service
| PLAIN TEXT
| UP
|
Config Web Service
| PLAIN TEXT
| UP
|
Resource Web Service
| PLAIN TEXT
| UP
|
Prime Infrastructure Broker
| SSL
| UP
| Connection: 1,
Connection Detail: ::ffff:10.104.105.170:61617
PnP Gateway Monitoring
| SSL
| UP
| port: 11010
PnP Gateway HA
| SSL
| UP
| Primary Server
is in Active state
bgl-dt-pnp-ha-217/admin#
関連項目
•
HA のシスコプラグアンドプレイゲートウェイの削除
•
シスコプラグアンドプレイゲートウェイ HA と Prime Infrastructure の組み合わせ
•
シスコプラグアンドプレイゲートウェイ HA の制限
•
シスコプラグアンドプレイゲートウェイ HA の機能
•
シスコプラグアンドプレイゲートウェイ HA のセットアップ
Cisco Prime Infrastructure 3.0 管理者ガイド
C-6
付録 C
プラグアンドプレイゲートウェイのハイアベイラビリティの設定
HA のシスコプラグアンドプレイゲートウェイの削除
HA のシスコプラグアンドプレイゲートウェイの削除
スタンドアロンシスコプラグアンドプレイゲートウェイ内のプライマリ IP アドレスとセカン
ダリ IP アドレスが異なる Prime Infrastructure の HA 設定を削除するには、pnp setup advance コ
マンドを実行し、プロンプトが表示されたら n を入力します。
シスコプラグアンドプレイゲートウェイ HA を削除する場合は、pnp setup または pnp setup
advance コマンドを実行し、プロンプトが表示されたら n を入力します。
詳細については、『Command Reference Guide for Cisco Prime Infrastructure 3.0』を参照してください。
注
シスコプラグアンドプレイゲートウェイ HA を削除する場合、管理者は手動で、動的ポート割
り当て cns event コマンドを変更し、HA がオフになったらセカンダリサーバを使用停止にする
必要があります。シスコプラグアンドプレイゲートウェイセカンダリサーバは、使用停止にさ
れなければ、仮想 IP アドレスで動作を継続します。
関連項目
•
シスコプラグアンドプレイゲートウェイ HA と Prime Infrastructure の組み合わせ
•
シスコプラグアンドプレイゲートウェイ HA の制限
•
シスコプラグアンドプレイゲートウェイ HA の機能
•
シスコプラグアンドプレイゲートウェイ HA のセットアップ
シスコプラグアンドプレイゲートウェイ HA と Prime
Infrastructure の組み合わせ
シスコプラグアンドプレイゲートウェイ機能は、Prime Infrastructure との HA 用のさまざまな
設定を可能にします。使用可能な設定オプションに応じて、以下のようなさまざまな組み合わせ
があります。
•
HA を備えていないスタンドアロンシスコプラグアンドプレイゲートウェイ（単一のシス
コプラグアンドプレイゲートウェイ）
– HA を備えていない Prime Infrastructure サーバ。
– 仮想 IP アドレスを使用し、HA を備えた Prime Infrastructure サーバ。
– IP アドレスが異なるプライマリサーバとセカンダリサーバを使用し、HA を備えた
Prime Infrastructure サーバ。
•
仮想 IP アドレスを使用し、HA を備えたスタンドアロンシスコプラグアンドプレイゲート
ウェイ（2 つのシスコプラグアンドプレイゲートウェイ）
– HA を備えていない Prime Infrastructure サーバ。
– 仮想 IP アドレスを使用し、HA を備えた Prime Infrastructure サーバ。
– IP アドレスが異なるプライマリサーバとセカンダリサーバを使用し、HA を備えた
Prime Infrastructure サーバ。
•
Prime Infrastructure 内の統合シスコプラグアンドプレイゲートウェイ
– HA を備えていない Prime Infrastructure サーバ。
– 仮想 IP アドレスを使用し、HA を備えた Prime Infrastructure サーバ。
Cisco Prime Infrastructure 3.0 管理者ガイド
C-7
付録 C
プラグアンドプレイゲートウェイのハイアベイラビリティの設定
シスコプラグアンドプレイゲートウェイ HA の制限
関連項目
•
シスコプラグアンドプレイゲートウェイ HA の制限
•
シスコプラグアンドプレイゲートウェイ HA の機能
•
シスコプラグアンドプレイゲートウェイ HA のセットアップ
•
HA のシスコプラグアンドプレイゲートウェイの削除
•
シスコプラグアンドプレイゲートウェイのステータス
シスコプラグアンドプレイゲートウェイ HA の制限
シスコプラグアンドプレイゲートウェイ HA 機能には次の制限があります。
•
フェールオーバーとフェールバック（Prime Infrastructure とシスコプラグアンドプレイ
ゲートウェイスタンドアロンサーバ）中にシスコプラグアンドプレイゲートウェイで部
分的に完了したプラグアンドプレイ要求は、Prime Infrastructure サーバ上で不完全なままと
なり、デバイス上で正常に設定されない可能性があります。
•
フェールオーバーとフェールバックには 5 ～ 10 分かかり、その間シスコプラグアンドプレ
イゲートウェイのプロビジョニングは行われません。cns config initial を使用してブートス
トラップを受信したデバイスは、引き続き、プロビジョニングのためにシスコプラグアンド
プレイゲートウェイに到達できます。詳細については、『Command Reference Guide for Cisco
Prime Infrastructure 3.0』を参照してください。
•
IP アドレスがアクティブサーバからスタンバイサーバに移動されてからデバイスがバック
アップサーバに接続するまでの時間は、cns event コマンドで使用可能な再接続時間に関す
る設定によって異なります。詳細については、『Command Reference Guide for Cisco Prime
Infrastructure 3.0』を参照してください。
•
Cisco Prime Infrastructure 統合プラグアンドプレイゲートウェイは、Prime 内の HA 設定が
仮想 IP アドレスに基づいている場合に HA をサポートします。プライマリサーバとセカン
ダリサーバの IP アドレスが異なる Prime Infrastructure HA は、統合サーバ内のプラグアンド
プレイゲートウェイ HA 機能をサポートしません。
•
Cisco Prime Infrastructure 統合プラグアンドプレイゲートウェイでは、すべてのゲートウェイ
SSL ポート（たとえば、ポート 11012、11014 など）において SSLv3 がデフォルトで無効化され
ています。
関連項目
•
シスコプラグアンドプレイゲートウェイ HA の機能
•
シスコプラグアンドプレイゲートウェイ HA のセットアップ
•
HA のシスコプラグアンドプレイゲートウェイの削除
•
シスコプラグアンドプレイゲートウェイ HA と Prime Infrastructure の組み合わせ
Cisco Prime Infrastructure 3.0 管理者ガイド
C-8

Download Report

Cisco Prime Infrastructure 3.0 �Ǘ��҃K�C�h

Paperzz.com

Your Paperzz