d10-0000018883 1.8 版 - nec(japan) · 2011/03/30 :...

D10-0000018883 1.8 版

QX-S5200 シリーズ Ethernet スイッチ

オペレーションマニュアル

改版履歴

版数日付改版内容

1.0 2010/09/08 ・初版発行

1.1 2011/03/30 ・ソフトウェアバージョンアップに伴う変更点の反映

変更点の詳細は以下のセクションを参照してください。

「Version 5.1.1 と Version 5.3.1 を含む以降のソフトウェアの差分」

・誤記訂正

1.2 2011/06/24 ・アクセスの第 6章に MAC ベース VLANの機能拡張に伴う変更を追加

・誤記訂正

1.3 2011/08/05 ・「06-セキュリティ」の「2 章 802.1X」の「ポートへの 802.1x 認証の設定」の注意を追加

・「06-セキュリティ」の「13章 ACLアプリケーション」のタイトルを「13章パケットフィルタ」に変更

・「07-高可用性」の「8章 Ethernet OAM」に「Ethernet OAM 接続検出タイマの設定」を追加

1.4 2011/08/10 ・「06-セキュリティ」に「15章 Web認証」を追加

・「本マニュアルについて」の「関連マニュアル」に Web認証のオペレーションマニュアル、コマンドマニュアルを追加

1.5 2012/05/17 ・「01-アクセス」の「1章 Ethernetインタフェース」に MDIモードに関する注意事項を追加

・「06-セキュリティ」の「13章パケットフィルタ」に VLANインタフェースのパケットフィルタに関するメモを追加

・「Version 5.1.1 と Version 5.3.1 を含む以降のソフトウェアの差分」セクションに Version 5.4.6を含む以降のソフトウェアの変更点の詳細を追加

・誤記修正

1.6 2012/07/23 ・「02-IPサービス」の「2章 ARP」に「ARPクイックアップデートの設定」を追加

・「06-セキュリティ」の「10章 ACLの概要」、「13章パケットフィルタ」に QoS や ACLの処理の優先順位に関する注記を追加

・誤記修正

版数日付改版内容

1.7 2014/04/25 ・「注意｣にコマンドマニュアルにないコマンドに関する注意を追加

・｢01-アクセス｣の｢1章 Ethernetインタフェース｣のシングルポートループバック検出に STPによるブロッキング状態におけるループ検出パケットに関するメモを追加

・「01-アクセス」の「6章 VLAN」の MACベース VLANの設定に Radiusサーバの設定に関するメモを追加

・「02-IPサービス」の｢2章 ARP｣に IP重複時プロンプト表示までの動作設定機能を追加

・「05-QoS」の「5章輻輳制御」の「5.2 輻輳管理の設定」にソフトウェア Version5.4.6を含む以降のソフトウェアのコマンドを追加

・「06-セキュリティ」の「1章 AAA」のローカルユーザのサービスタイプのパラメータに portal を追加

・「06-セキュリティ」の「5 章ポートセキュリティ」に port-security mac-address security コマンドに sticky パラメータを追加し、port-security timer autolearn agingコマンドを追加

・「06-セキュリティ」の「13章パケットフィルタ」に packet-filterコマンドと qos policy コマンドの併用に関するメモを追加

・｢09-IRF｣の「1章 IRFスタック(Version 5.3.X を含む以降のソフトウェア)」の「1.5.8 スタックポートリンク検出遅延の設定」のデフォルト値の誤記訂正、メモ追加

・「08-システム管理」の「7章 MACアドレステーブル」の学習可能なMACアドレス数の設定に MACアドレス学習に関する注意を追加

・誤記修正

1.8 2015/03/31 ・「01-アクセス」の「1章 Ethernetインタフェース」のシングルポートループバック検出、マルチポートループバック検出にループ検出時

の LED点滅機能に関する記述を追加

・誤記修正

Copyright © NEC Corporation 2010-2015

All Rights Reserved

事前に NEC の書面による許可なく、本マニュアルをいかなる形式または方法で複製または配布することを禁止します。

商標

本マニュアルに記載されているその他の商標は、各社が保有します。

注意

本装置は QX-S5200 シリーズ Ethernet スイッチコマンドマニュアルに記載されているコマンドのみ使用することができます。QX-S5200 シリーズ Ethernet スイッチコマンドマニュアルに記載されていないコマンドを使用した場合の動作については保証

しません。本マニュアルの内容は、予告なく変更されることがあります。本マニュアルのすべて

の記述、情報、および推奨事項は、明示的か暗黙的かにかかわらず、いかなる種類の

保証の対象になりません。

本マニュアルについて

バージョン

本マニュアルに対応する製品バージョンは Version 5.1.1 と Version 5.3.X 以降です。

関連マニュアル

次のマニュアルには、QX-S5200 シリーズ Ethernet スイッチに関する詳細な説明があります。

マニュアル内容

QX-S5200シリーズ Ethernetスイッチインスタレーションマニュアルシステムのインストールに関して説明しています。

QX-S5200シリーズ Ethernetスイッチオペレーションマニュアル

データ設定や代表的なアプリケーションについて

記述しています。

QX-S5200シリーズ Ethernetスイッチコマンドマニュアル

ユーザがさまざまなコマンドを使用するときの参

考になります。

QX-S5200シリーズ Webコンソール操作マニュアル

Webコンソールからの装置設定、状態確認等についての操作を記述しています。

QXシリーズ Ethernetスイッチ Web認証オペレーションマニュアル Web認証の設定について記述しています。

QXシリーズ Ethernetスイッチ Web認証コマンドマニュアル

Web認証に関するコマンドを使用するときの参考になります。

マニュアルの構成

QX-S5200シリーズ Ethernetスイッチオペレーションマニュアルは以下のセクションで構成されます。

Version 5.1.1 を含む以前のソフトウェアと Version 5.3.1 を含む以降のソフトウェアの差分

Version 5.1.1 を含む以前のソフトウェアと比較して、Version 5.3.1 を含む以降のソフトウェアの変更点、Version 5.4.6 を含む以降のソフトウェアの変更点について説明します。

はじめに

Ethernet スイッチへのアクセス方法について説明します。

アクセス

Ethernet ポート、リンクアグリゲーション、VLAN、MSTP といった、レイヤ 2 機能の設定について説明します。

IP サービス

IP アドレス（IPv4＆IPv6）、ARP、DHCP 関連機能、IP パフォーマンスといった、ネットワークプロトコルの設定について説明します。

ルーティングプロトコル

ルーティングの概要とスタティックルーティング（IPv4＆IPv6）の設定について説明します。

マルチキャスト

各種マルチキャストプロトコル（IPv4＆IPv6）の設定について説明します。

QoS

QoS の設定について説明します。

セキュリティ

802.1X、MAC アドレス認証、AAA、RADIUS、ACL、SSH 等の設定について説明します。

高可用性

DLDP、RRPP 等の設定について説明します。

システム管理

ファイルシステム管理、システム保守、ネットワーク管理の設定といった、Ethernet スイッチのシステム管理および保守について説明します。

IRF

IRF スタックの設定について説明します。

表記規則

本マニュアルでは、次の表記規則を使用しています。

I. コマンドの表記規則

表記規則説明

太字体コマンド行のキーワードには太字体を使用します。

イタリック体コマンドの引数にはイタリック体を使用します。

[ ] 大カッコに囲まれた項目(キーワードまたは引数)はオプションです。

{ x | y | ... } 選択する項目は中カッコに入れて、縦線で区切ってあります。１つを選択します。

[ x | y | ... ] オプションの選択項目は大カッコに入れて、縦線で区切ってあります。１つまたは複数を選択します。

表記規則説明

{ x | y | ... } * 選択する項目は中カッコに入れて、縦線で区切ってあります。少なくとも１つ、多い場合はすべてを選択できます。

[ x | y | ... ] * オプションの選択項目は大カッコに入れて、縦線で区切ってあります。複数選択することも、何も選択しないこともできます。

# #で始まる行はコメントです。

II. GUI の表記規則

表記規則説明

< > ボタン名は三角カッコに入っています。たとえば、ボタンをクリックします。

[ ] ウィンドウ名、メニュー項目、データ表、およびフィールド名は大

カッコに入っています。たとえば、[New User]ウィンドウが表示されます。

/ 複数レベルのメニューはスラッシュで区切ってあります。たとえば、[File/Create/Folder]。

III. キーボード操作

書式説明

三角カッコ内の名前のキーを押します。たとえば、、、、となります。

複数のキーを同時に押します。たとえば、は 3 つのキーを同時に押すことを表します。

複数のキーを順番に押します。たとえば、は 2 つのキーを順に押すことを表します。

IV. マウス操作

動作説明

クリック左ボタンまたは右ボタンを素早く押します(特に記述がない場合は左ボタン)。

ダブルクリック左ボタンを素早く 2回続けて押します。

ドラッグ左ボタンを押したまま、別の位置まで移動します。

V. 記号

本マニュアルでは、以下のような記号も使用して、操作中に特に注意すべき点を強調

しています。意味は次のとおりです。

注意、警告、危険：操作中に特に注意すべきことを表します。

メモ、コメント、ヒント、ノウハウ、アイデア:補助的な説明を表します。

VI. 設定例

本マニュアルの設定例の記述は、各機能の設定例です。インタフェース番号、システ

ム名の表記、display コマンドでの情報表示がご使用の装置と異なることがあります。

VII. セキュリティ強化

セキュリティ強化のため simple で設定されたパスワードも cipher で登録されます。

本マニュアルは以下に示す１１個のセクションで構成されています。

Version 5.1.1 を含む以前のソフトウェアと Version 5.3.1を含む以降のソフトウェアの差分

00-はじめに

01-アクセス

02-IP サービス

03-ルーティングプロトコル

04-マルチキャスト

05-QoS

06-セキュリティ

07-高可用性

08-システム管理

09-IRF

Version 5.1.1 と Version 5.3.1 を含む以降のソフトウェアの差分

Version 5.3.1 を含む以降のソフトウェアでは、それ以前のソフトウェアと比べて機能が追加または変更されています。以下に、Version 5.1.1 に対する Version 5.3.1 を含む以降のソフトウェアの変更点の概要と本マニュアルにおける参照先を示します。ソフトウェア版数を変更する際は、マニュアルをよ

く読んで使用してください。

注意: Version 5.3.1を含む以降のソフトウェアから Version 5.1.1へのバージョンダウンは、コンフィグが正常に引き継がれないため基本的に行わないでください。もしバージョンダウンを行う場合は事前に Version 5.1.1でのコンフィグを準備しておいて、バージョンダウン後にそれを適用してください。

表1-1 Version 5.3.1 を含む以降のソフトウェアの変更概要

概要参照セクションインタフェースを省電力モードで動作させる機能が追加されま

した。 01-アクセス－1章-Ethernetインタフェース－1.1.9 オートポートパワーダウン設定

複数ポートでのループ検出が可能になる機能が追加されました。 01-アクセス－1章-Ethernetインタフェース－1.1.12 マルチポートループバック検出リンクアグリゲーション：Local-Fastロードシェアリング機能が追加されました。

01-アクセス－2章-リンクアグリゲーション－2.5.3 Local-Firstロードシェアリング

isolate-user-VLAN：VLANにのみ設定が可能でしたが、ポートへの設定も可能になりました。

01-アクセス－7章-Isolate-User-VLAN－7.2 Isolate-User-VLANの設定

sFlow：sFlowコレクタの最大設定が2から10に変更されました。また、それに伴って設定手順も変更されました。 02-IPサービス－14章-sFlow－14.2 sFlowの設定

IGMP-Snooping：スタティックMulticast MACアドレスエントリの設定が出来るように機能追加されました。

04-マルチキャストルーティング－2章-IGMP Snooping－2.3.4 スタティックMulticast MACアドレスエントリの設定

IGMP-Snooping：IGMPメッセージのIEEE802.1pプレシーデンスの設定が出来るように機能追加されました。

04-マルチキャストルーティング－2章-IGMP Snooping－2.7.8 IGMPメッセージの802.1pプレシーデンス設定

MLD-Snooping：MLDメッセージのIEEE802.1pプレシーデンスの設定が出来るように機能追加されました。

04-マルチキャストルーティング－6章-MLD Snooping－4.6.7 MLDメッセージの802.1pプレシーデンス設定

データバッファ機能が追加されました。 05-QoS－10章-データバッファ

IEEE802.1X認証：ユニキャストトリガー機能が追加されました。 06-セキュリティ－2章-802.1X認証－2.2.3 ポートへの802.1X認証の設定

MACアドレス認証：大文字,小文字の指定が出来るように変更されました。

06-セキュリティ－4章-MACアドレス認証－4.3.2 MACアドレス認証の設定手順

CFD機能：QX-S5200シリーズ対向同士のみで利用可能でしたが、IEEE802.1ag対応装置との接続が可能になりました。設定手順も一部変更があります。

07-高可用製－6章-CFD－6.3.2 CFDバージョンの設定

BPDUプロテクション：本機能でポートをShutdownした後、一定時間経過後(デフォルト:30秒)に自動復旧するようになりました。

08-システム－1章-装置管理－1.8検出間隔の設定

IRFスタック：設定手順が変更されました。 09-IRF－1章- IRFスタック(Ver.5.3.1以降)，2章- IRFスタック(Ver.5.2.6以前)

表1-2 Version 5.4.6 を含む以降のソフトウェアの変更概要

概要参照セクション local-user password-display-modeコマンドが削除されました。 06-セキュリティ－1章AAA スタティックバインディングエントリのip verify sourceコマンドの設定手順の追加およびアップグレードした場合に自動設定さ

れることについてのメモを追加しました。 06-セキュリティ－6章ソースガード

右記コマンドのパスワード設

定方法が変更されました。設定

されている場合、Version 5.3.1を含む以前のソフトウェアへダ

ウングレードした際に、パスワ

ードが引き継げません。

set authentication password 00-はじめに－2章コンソールポートからのログイン，3章Telnetからのログイン

password (local user view) 00-はじめに－2章コンソールポートからのログイン，3章Telnetからのログイン 06-セキュリティ－1章AAA

snmp-agent usm-user v3 00-はじめに－6章ログインユーザの制御 07-システム管理－5章SNMP super password 00-はじめに－8章基本システム key 06-セキュリティ－1章AAA primary accounting 06-セキュリティ－1章AAA primary authentication 06-セキュリティ－1章AAA secondary accounting 06-セキュリティ－1章AAA secondary authentication 06-セキュリティ－1章AAA mac-authentication user-name-format 06-セキュリティ－3章MACアドレス認証

dldp authentication-mode 07-システム管理－4章DLDP password 07-システム管理－11章NQA ntp-service authentication-keyid 07-システム管理－13章NTP

QX-S5200 シリーズ Ethernet スイッチ

オペレーションマニュアル

はじめに

本マニュアルは以下に示す８章で構成されています。

01-Ethernet スイッチへのログイン

02-コンソールポートからのログイン

03-Telnet からのログイン

04-NMS からのログイン

05-Telnet パケットの送信元指定

06-ログインユーザの制御

07-Web コンソールからのログイン

08-基本システム

オペレーションマニュアル – はじめに QX-S5200 シリーズ Ethernet スイッチ目次

i

目次

このセクションのページは 0-x-x です。 1 章 Ethernet スイッチへのログイン ............................................................................................. 1-1

1.1 Ethernet スイッチへのログイン ........................................................................................ 1-1 1.2 ユーザインタフェースについて ........................................................................................ 1-1

1.2.1 サポートするユーザインタフェース ....................................................................... 1-1 1.2.2 ユーザとユーザインタフェース .............................................................................. 1-1 1.2.3 ユーザインタフェース番号 ..................................................................................... 1-2 1.2.4 標準ユーザインタフェースの設定 .......................................................................... 1-2

オペレーションマニュアル – はじめに QX-S5200 シリーズ Ethernet スイッチ 1 章 Ethernet スイッチへのログイン

0-1-1

1章 Ethernet スイッチへのログイン

1.1 Ethernetスイッチへのログイン

QX へのログインは、以下のいずれかの方法で行います。

コンソールポートからローカルにログインする。 Ethernet ポートにローカルまたはリモートで Telnet 接続する。 Web コンソールからログインする。 NMS(network management station)からログインする。

1.2 ユーザインタフェースについて

1.2.1 サポートするユーザインタフェース

QXは、AUXおよび VTYという 2つのタイプのユーザインタフェースをサポートします。

表1-1 ユーザインタフェースの詳細

ユーザインタフェ

ース適用可能なユーザ使用ポート説明

AUX コンソールポートか

らログインするユー

ザコンソールポート

スイッチ1台につき、1AUXユーザを収容できる

VTY VTY TelnetユーザおよびSSHユーザ Ethernetポート

スイッチ1台につき、最大16VTYユーザを収容できる

メモ QXの AUXポートとコンソールポートは同じなので、このポートからログインすると、AUXユーザインタフェースに接続することになります。

1.2.2 ユーザとユーザインタフェース

装置は 1 つの AUX ポート、複数の Ethernet インタフェース、複数のユーザインタフェースをサポートします。

システムは、ユーザが接続要求をすると、ログインタイプに基いて、ユーザインタフ

ェースを自動的に割り当てます。ログインの間、user-interface view の設定が反映されます。ユーザインタフェースは

ログインタイプとログイン時間によって異なります。

1 つのユーザインタフェースを使用できるユーザは、一度に 1 人だけです。ユーザインタフェースの設定は、ログインしたユーザに反映されます。

オペレーションマニュアル – はじめに QX-S5200 シリーズ Ethernet スイッチ 1 章 Ethernet スイッチへのログイン

0-1-2

1.2.3 ユーザインタフェース番号

ユーザインタフェースのインデックスには、絶対ユーザインタフェースインデックスと相

対ユーザインタフェースインデックスの 2 種類あります。

絶対ユーザインタフェースインデックスは下記のとおりです。

AUX ユーザインタフェース:0 VTY ユーザインタフェース:AUX ユーザインタフェースの後に番号付けされ、1 ずつ

増えます。

相対ユーザインタフェースインデックスは、ユーザインタフェースのタイプの識別子に番

号を 1 つ加えます。ユーザインタフェースのタイプごとに生成されます。相対ユーザインタフェースインデックスは下記のとおりです。

AUX ユーザインタフェース:AUX 0 VTY ユーザインタフェース:VTY 0、VTY 1、VTY 2 …

1.2.4 標準ユーザインタフェースの設定

以下の手順にしたがって、標準ユーザインタフェースを設定します。

操作コマンド補足

現在のユーザインタフェー

スをロックする lock

オプション設定項目このコマンドはuser viewで実行してください。ユーザインタフェースは、デ

フォルト：ロックされていま

せん。すべてのユーザインタフェ

ース/特定のユーザインタフェースにメッセージを送信

するよう指定する

send { all | number | type number } オプション設定項目このコマンドはuser viewで実行してください。

特定のユーザインタフェー

スを切断する free user-interface [ type ] number オプション設定項目このコマンドはuser viewで実行してください。

system viewに移行する system-view —

バナーを設定する header { incoming | legal | login | shell | motd } text オプション設定項目

スイッチのシステム名を設

定する sysname string オプション設定項目

user-interface viewに移行する user-interface [ type ] first-number [ last-number ] —


ス/すべてのユーザインタフェースについての情報を表

示する

display users [ all ] このコマンドはどのviewでも実行できます。


ス/特定のユーザインタフェースの物理属性および設定

を表示する

display user-interface [ type number | number ] [ summary ]

このコマンドはどのviewでも実行できます。


i

目次

このセクションのページは 0-x-x です。 2 章コンソールポートからのログイン ........................................................................................... 2-1

2.1 はじめに ............................................................................................................................. 2-1 2.2 コンソールポートとの接続設定 ........................................................................................ 2-1 2.3 コンソールポートのログイン設定 ..................................................................................... 2-3

2.3.1 標準設定 .................................................................................................................. 2-3 2.3.2 異なる認証モードに応じた、コンソールポートのログイン設定 ........................... 2-4

2.4 認証モードが None の場合のコンソールポートのログイン設定 ...................................... 2-5 2.4.1 設定手順 .................................................................................................................. 2-5 2.4.2 設定例 ...................................................................................................................... 2-7

2.5 認証モードが Password の場合のコンソールポートのログイン設定 ............................... 2-8 2.5.1 設定手順 .................................................................................................................. 2-8 2.5.2 設定例 ...................................................................................................................... 2-9

2.6 認証モードが Scheme の場合のコンソールポートのログイン設定 ................................ 2-10 2.6.1 設定手順 ................................................................................................................ 2-10 2.6.2 設定例 .................................................................................................................... 2-11

オペレーションマニュアル – はじめに QX-S5200 シリーズ Ethernet スイッチ 2 章コンソールポートからのログイン

0-2-1

2章コンソールポートからのログイン

2.1 はじめに

スイッチにログインする場合、コンソールポートからログインする方法がもっとも一般的

です。デフォルトで、QX はコンソールポートからのみログインが可能です。

コンソールポートからイーサネットスイッチにログインするには、ユーザ端末の関連設定

をコンソールポートと同じにしなければなりません。

コンソールポートのデフォルト設定を表 2-1に示します。

表2-1 コンソールポートのデフォルト設定

設定項目デフォルト通信速度 9,600bps フロー制御なしパリティパリティなしストップビット 1 データビット 8

スイッチにログインしたら、AUX ユーザ向けの設定を実行できます。詳細は「コンソールポートのログイン設定」を参照してください。

2.2 コンソールポートとの接続設定

図 2-1のように、お使いの PC/端末のシリアルポートとスイッチのコンソールポートを接続します。

PC Switch

RS-232

Configuration cable

Console port

図2-1 コンソールポートとの接続設定

PC を使ってコンソールポートに接続する場合は、端末エミュレーションソフトウェ

ア(Windows 3.X のターミナル、Windows 9X/Windows 2000/Windows XP のハイパーターミナル)を起動し、図 2-2から図 2-4のとおりに新しい接続の設定を行います。通常、端末のパラメータは、表 2-1のように設定します。


0-2-2

図2-2 接続の作成

図2-3 接続方法の指定


0-2-3

図2-4 ポート設定ウィンドウ

スイッチの電源を入れます。スイッチが問題なく POST(power-on self test)を終了す

ると、Enter を押すように指示されます。Enter を押すと、プロンプト(など)が表示されます。

次にコマンドを実行して、スイッチの設定またはスイッチに関する情報を確認しま

す。?を入力してヘルプを参照することもできます。コマンドについては、以下の章を参照してください。

2.3 コンソールポートのログイン設定

2.3.1 標準設定

表 2-2にコンソールポートの標準ログイン設定について示します。

表2-2 コンソールポートの標準ログイン設定

設定詳細

コンソールポート設

定

通信速度オプション設定項目デフォルト：9,600bps

パリティオプション設定項目デフォルト：パリティチェックなし

ストップビットオプション設定項目デフォルト：1

データビットオプション設定項目デフォルト： 8


0-2-4

設定詳細

フロー制御オプション設定項目デフォルト：なし

AUXユーザインタフェース設定

AUXユーザインタフェースにログインし

ているユーザが使用

できるコマンドレベ

ルを設定する

オプション設定項目デフォルト：レベル3

端末設定

タスクを中断するた

めのショートカット

キーを定義する

オプション設定項目デフォルト：

端末セッションを開

始するためのショー

トカットキーを定義

する

オプション設定項目デフォルト：Enter

端末サービスを使え

るようにするオプション設定項目デフォルト：使用可能

画面に表示できる最

大行数を設定するオプション設定項目デフォルト：24行表示可能

historyコマンドのバッファサイズを設定

する

オプション設定項目デフォルト：10コマンドまで

ユーザインタフェー

スのタイムアウト時

間を設定するデフォルト：10分

注意: コンソールポートの設定を変えると、コンソールポートの接続が終了します。接続を再確

立するには、PC で実行している端末エミュレーションの設定をそれに応じて変更する必要があります。

2.3.2 異なる認証モードに応じた、コンソールポートのログイン設定

表 2-3に、異なる認証モードに応じた、コンソールポートのログイン設定を示します。

表2-3 異なる認証モードに応じた、コンソールポートのログイン設定

認証モードコンソールポートのログイン設定詳細

None 標準設定の実行

コンソールポー

トの標準のログ

イン設定を行い

ます。

オプション設定項目詳細は「標準設定」を参照して

ください。

Password

パスワードの設定ローカル認証用

のパスワードを

設定します。必須設定項目

標準設定の実行




ます。


ください。


0-2-5

認証モードコンソールポートのログイン設定詳細

Scheme

ローカル認証また

はRADIUS認証の指定

AAA設定がローカル認証を行う

かRADIUS認証を行うかを指定し

ます。

オプション設定項目デフォルト：ローカル認証詳細は、"セキュリティのAAA"を参照してください。

ユーザ名およびパ

スワードの設定

ローカル/リモートユーザのユー

ザ名およびパス

ワードを設定し

ます。

必須設定項目ローカルユーザのユーザ名

およびパスワードはスイッ

チで設定されます。

リモートユーザのユーザ名

およびパスワードは RADIUSサーバで設定されます。詳

細は、RADIUS サーバのユーザマニュアルを参照してく

ださい。

AUXユーザの管理 AUXユーザのサービスタイプを

設定します。必須設定項目

標準設定の実行




ます。


ください。

注意: コンソールポートのログインの認証モードを変更した場合、CLI に再ログインしないと有効になりません。

2.4 認証モードがNoneの場合のコンソールポートのログイン設定

2.4.1 設定手順

以下の手順にしたがって、コンソールポートのログイン設定を行います(認証モードがNone の場合)。


system viewに移行する system-view — AUXuser-interface viewに移行する user-interface aux 0 —

ユーザを認証しないように

設定する authentication-mode none 必須設定項目デフォルト：none

コンソール

ポートを設

定する

通信速度の

設定 speed speed-value オプション設定項目デフォルト： 9,600bps

パリティの

設定 parity { even | mark | none | odd | space }

オプション設定項目デフォルト：none

ストップビ

ットの設定 stopbits { 1 | 1.5 | 2 } オプション設定項目デフォルト：1


0-2-6

操作コマンド補足データビッ

トの設定 databits { 5 | 6 | 7 | 8 } オプション設定項目デフォルト：8

ユーザインタフェースにロ

グインしているユーザが使

用できるコマンドレベルを

設定する

user privilege level level オプション設定項目デフォルト：レベル3

端末セッションを開始する

ためのショートカットキー

を定義する activation-key character オプション設定項目

デフォルト：Enter

タスクを中断するためのシ

ョートカットキーを定義す

る escape-key { default | character } オプション設定項目

デフォルト：

端末サービスを使えるよう

にする shell オプション設定項目デフォルト：使用可能

画面に表示できる最大行数

を設定する screen-length screen-length

オプション設定項目デフォルト： 24行表示情報をページ単位で表示す

るには、screen-length 0コマンドでこの機能を無効にしま

す。

historyコマンドのバッファサイズを設定する history-command max-size value

オプション設定項目デフォルト： 10 historyコマンドのバッファは、デフォルトで最大10コマンド保存できます。

ユーザインタフェースのタ

イムアウト時間を設定する idle-timeout minutes [ seconds ]

オプション設定項目デフォルト：10分タイムアウト時間が10分の場合、ユーザインタフェース

で10分以内に何も実行されないとそのユーザインタフ

ェースの接続が終了します。タイムアウト機能を無効に

するには、idle-timeout 0コマンドを使用します。

ユーザ認証をしないように設定した場合、スイッチにログインしたユーザが使用できるコ

マンドレベルは、下表のように、authentication-mode none コマンドおよび user privilege level level コマンドの両方に依存します。

表2-4 コマンドレベルの決定(A)

シナリオコマンドレベル

認証モードユーザタイプコマンド

None (authentication-mode none)

コンソールポートか

らログインしている

ユーザ

user privilege level level コマンドを実行して

いないレベル3

user privilege level level コマンドを実行済み level引数で決定


0-2-7

2.4.2 設定例

I. ネットワーク要件

Telnet からログインできるようスイッチで設定されており、ユーザレベルが管理者レベル(レベル 3)になっていると仮定します。スイッチに Telnet 接続後、次のようにコンソールユーザを制限する必要があります。

コンソールポートからログインしている場合、ユーザは認証されないレベル 2 のコマンドは AUX ユーザインタフェースにログインしているユーザが利用

できるコンソールポートの通信速度は 19200bps 画面に表示できる行数は 30 history コマンドバッファが保存できるコマンドは最大 20 AUX ユーザインタフェースのタイムアウト時間は 6 分

II. ネットワーク図

User PC running Telnet

Ethernet

Ethernet2/0/1

図2-5 AUXユーザインタフェースによる設定のネットワーク(認証モードが Noneの場合)

III. 設定手順

# system view に移行します。

system-view

# AUXuser-interface view に移行します。

[QX] user-interface aux 0

# コンソールポートからログインしているユーザを認証しないよう指定します。

[QX-ui-aux0] authentication-mode none

# AUX ユーザインタフェースにログインしているユーザがレベル 2 のコマンドを使用できるよう指定します。

[QX-ui-aux0] user privilege level 2

# コンソールポートの通信速度を 19200bps に設定します。

[QX-ui-aux0] speed 19200

# 画面に表示できる最大行数を 30 に設定します。


0-2-8

[QX-ui-aux0] screen-length 30

# history コマンドのバッファが保存できる最大コマンド数を 20 に設定します。

[QX-ui-aux0] history-command max-size 20

# AUX ユーザインタフェースのタイムアウト時間を 6 分に設定します。

[QX-ui-aux0] idle-timeout 6

以上の設定を行ったら、コンソールユーザは正常にログインできるように、PC で実行している端末エミュレーションの設定を変更して、スイッチの設定と整合させなければなり

ません。詳細は、「コンソールポートとの接続設定」を参照してください。

2.5 認証モードがPasswordの場合のコンソールポートのログイン設定

2.5.1 設定手順

以下の手順にしたがって、コンソールポートのログイン設定を行います(認証モードがPassword の場合)。


system viewに移行する system-view — AUXuser-interface viewに移行する user-interface aux 0 —

ローカルパスワードを使用

しているユーザを認証する

よう設定する authentication-mode password

必須設定項目デフォルト：コンソールポー

トユーザ認証なしモデムまたはTelnetユーザパスワード認証

ローカルパスワードを設定

する set authentication password { cipher | simple } password 必須設定項目

注意: set authentication password { cipher | simple } password コマンドが設定されている場合、Version 5.4.6 を含む以降のソフトウェアから Version 5.3.1 を含む以前のソフトウェアへのバージョンダウンは、コンフィグが正常に引き継がれないため基本的に行わないでください。もし

バージョンダウンを行う場合は事前に Version 5.3.1 を含む以前のソフトウェアのコンフィグを準備しておいて、バージョンダウン後にそれを適用してください。


0-2-9

2.5.2 設定例


Telnet からログインできるようにスイッチで設定されており、ユーザレベルが管理者レベル(レベル 3)になっていると仮定します。スイッチに Telnet 接続したら、次のようにコンソールユーザを制限する必要があります。

コンソールポートからログインしている場合、ユーザをローカルパスワードで認証す

るローカルパスワードを 123456(プレーンテキスト)に設定するレベル 2 のコマンドは AUX ユーザインタフェースにログインしているユーザが利用

できるコンソールポートの通信速度は 19,200bps. 画面に表示できる行数は 30 history コマンドバッファが保存できるコマンドは最大 20 AUX ユーザインタフェースのタイムアウト時間は 6 分



Ethernet

Ethernet2/0/1

図2-6 AUXユーザインタフェースによる設定のネットワーク(認証モードが Passwordの場合)

III. 設定手順


system-view



# ローカルパスワードでコンソールポートからログインしているユーザを認証するよう指定します。

[QX-ui-aux0] authentication-mode password

# ローカルパスワードを 123456(プレーンテキスト)に設定します。

[QX-ui-aux0] set authentication password simple 123456


0-2-10

# AUX ユーザインタフェースにログインしているユーザがレベル 2 のコマンドを使用できるよう指定します。

[QX-ui-aux0] user privilege level 2



# 画面に表示できる最大行数を 30 行に設定します。


# history コマンドのバッファが保存できる最大コマンド数を 20 コマンドに設定します。


# AUX ユーザインタフェースのタイムアウト時間は 6 分です。


以上の設定を行ったら、コンソールユーザは正常にログインをできるように、PC で実行している端末エミュレーションの設定を変更して、スイッチの設定と整合させなければな

りません。詳細は、「コンソールポートとの接続設定」を参照してください。

2.6 認証モードがSchemeの場合のコンソールポートのログイン設定

2.6.1 設定手順

以下の手順にしたがって、コンソールポートのログイン設定を行います(認証モードがScheme の場合)。


system viewに移行する system-view ―

AUXuser-interface viewに移行する user-interface aux 0 ―

ローカルまたはリモートで

ユーザを認証するよう設定

する authentication-mode scheme 必須設定項目

system viewに移行する quit ―

認証モード

を設定する

デフォルト

のISPドメインviewに入る

domain domain name オプション設定項目デフォルト：ローカルAAAスキームローカルAAAスキームを適用するように指定する場合は、

ローカルユーザに関する設

定も実行しなければなりま

せん。

AAAスキームをドメイン

に適用する

ように指定

する

authentication default {[ local ] | local | none | radius-scheme radius-scheme-name [ local ] }


0-2-11

操作コマンド補足終了して

system viewに戻る

quit

radius-scheme-nameを指定して既存のスキームを適用す

るよう指定する場合は、以下

の設定を行う必要がありま

す。スイッチで AAA-RADIUS

設定を実行する(詳細は、"セキュリティの AAA"を参照)

AAA サーバで適宜ユーザ名とパスワードを設定す

る(AAA サーバのユーザマニュアルを参照)

ローカルユーザを作成する local-user user-name 必須設定項目デフォルト：設定なし

ローカルユーザの認証パス

ワードを設定する password { simple | cipher } password 必須設定項目

ローカルユーザのレベルを

設定する authorization-attribute level level 必須設定項目

AUXユーザのサービスタイプを指定する service-type terminal 必須設定項目

メモスイッチにログインしたユーザが使用できるコマンドレベルは、authentication-mode scheme [ command-authorization ]コマンド、user privilege level levelコマンド、および service-type terminal level levelコマンドに依存します。

注意： password コマンドが設定されている場合、Version 5.4.6 を含む以降のソフトウェアからVersion 5.3.1を含む以前のソフトウェアへのバージョンダウンは、コンフィグが正常に引き継がれないため基本的に行わないでください。もしバージョンダウンを行う場合は事前に

Version 5.3.1を含む以前のソフトウェアのコンフィグを準備しておいて、バージョンダウン後にそれを適用してください。

2.6.2 設定例


Telnet からログインできるようにスイッチが設定されており、ユーザレベルが管理者レベル(レベル 3)になっているとします。スイッチに Telnet 接続したら、次の点でコンソールユーザを制限する必要があります。

ローカルユーザ名を「guest」に設定するローカルユーザの認証パスワードを 123456(プレーンテキスト)に設定するローカルユーザのサービスタイプを Terminal に設定する


0-2-12

Scheme モードでコンソールポートからログインしているユーザを認証するよう設定する

コンソールポートの通信速度は 19,200bps 画面に表示できる行数は 30 history コマンドバッファが保存できるコマンドは最大 20 AUX ユーザインタフェースのタイムアウト時間は 6 分



Ethernet

Ethernet2/0/1

図2-7 AUXユーザインタフェースによる設定のネットワーク(認証モードが Schemeの場合)

III. 設定手順


system-view

# guest という名前のローカルユーザを作成し、ローカル user view に入ります。

[QX] local-user guest

# 認証パスワードを 123456(プレーンテキスト)に設定します。

[QX-luser-guest] password simple 123456

# サービスタイプを Terminal に設定します。

[QX-luser-guest] service-type terminal

[QX-luser-guest] quit



# Scheme モードでコンソールポートからログインしているユーザを認証するよう設定します。

[QX-ui-aux0] authentication-mode scheme






0-2-13



# AUX ユーザインタフェースのタイムアウト時間を 6 分に設定します。


上記の設定を行ったら、コンソールユーザは正常にログインをできるように、PC で実行している端末エミュレーションの設定を変更して、スイッチの設定と整合させなければな

りません。詳細は、「コンソールポートとの接続設定」を参照してください。


i

目次

このセクションのページは 0-x-x です。 3 章 Telnet からのログイン ............................................................................................................ 3-1

3.1 はじめに ............................................................................................................................. 3-1 3.2 標準設定 ............................................................................................................................. 3-1

3.2.1 異なる認証モードに応じた Telnet 設定 .................................................................. 3-2 3.3 認証モードが None の場合の Telnet 設定 .......................................................................... 3-3

3.3.1 設定手順 .................................................................................................................. 3-3 3.3.2 設定例 ...................................................................................................................... 3-5

3.4 認証モードが Password の場合の Telnet 設定 .................................................................. 3-6 3.4.1 設定手順 .................................................................................................................. 3-6 3.4.2 設定例 ...................................................................................................................... 3-7

3.5 認証モードが Scheme の場合の Telnet 設定 ..................................................................... 3-8 3.5.1 設定手順 .................................................................................................................. 3-8 3.5.2 設定例 ...................................................................................................................... 3-9

3.6 Telnet 接続の確立 ............................................................................................................ 3-11 3.6.1 端末からスイッチへの Telnet 接続 ....................................................................... 3-11 3.6.2 現行のスイッチから別のスイッチへの Telnet 接続 .............................................. 3-12

オペレーションマニュアル – はじめに QX-S5200 シリーズ Ethernet スイッチ 3 章 Telnet からのログイン

0-3-1

3章 Telnet からのログイン

3.1 はじめに

リモートのスイッチに Telnet 接続して、スイッチの管理/保守ができます。

これを行うには、スイッチと Telnet 端末の両方を適切に設定する必要があります。

表3-1 スイッチに Telnet 接続するときの要件

項目要件

スイッチ Telnet Serverを起動する。

スイッチのVLANのIPアドレスが設定され、スイッチとTelnet端末間のルートが利用できる。認証モード、その他設定が行われている。表3-2、表3-3参照。

Telnet端末 Telnetが起動している。

スイッチの管理VLANのIPアドレスが利用できる。

メモ Telnet からスイッチにログインすると、ユーザは 2000 バイトを超えないセッションテ

キストをペーストしてスイッチにコマンドを発行でき、ペーストしたコマンドは同じ

view になければなりません。そうでないと、スイッチは正しくコマンドを実行できないことがあります。

セッションテキストが 2000 バイトを超える場合は、設定ファイルに保存してその設定ファイルをスイッチにアップロードし、そのファイルでスイッチを再起動します。詳

細については、"システム管理のファイルシステム管理"を参照してください。 IPv6 をベースに Telnet でスイッチにログインする方法は IPv4 と同じです。詳細は、

IPv6 設定を参照してください。

3.2 標準設定

表 3-2に Telnet の標準設定を示します。


0-3-2

表3-2 Telnet の標準設定

設定補足

VTYユーザインタフェース設

定

VTYユーザインタフェースにログインしているユーザが使用できるコ

マンドレベルを設定する

オプション設定項目デフォルト：レベル 0のコマンドはVTYユーザインタフェースにログインしているユーザが利用できます。

ユーザインタフェースがサポート

するプロトコルを設定するオプション設定項目デフォルト：TelnetおよびSSHプロトコルがサポートされます。

ユーザがユーザインタフェースに

ログインすると自動的に実行され

るコマンドを設定する

オプション設定項目デフォルト：ユーザがユーザインタ

フェースにログインした際に自動

的に実行されるコマンドはありま

せん。 VTY端末設定タスクを中断するためのショート

カットキーを定義するオプション設定項目タスクを中断するためのデフォル

トのショートカットキーは、

です。端末サービスを使えるようにするオプション設定項目

デフォルト：端末サービスはすべて

のユーザインタフェースで使用で

きます。スクリーンに表示できる最大行数

を設定するオプション設定項目デフォルト：画面には最大24行表示できます。

historyコマンドのバッファサイズを設定する

オプション設定項目デフォルト：historyコマンドバッファが保存できるコマンドは最大10です。

ユーザインタフェースのタイムア

ウト時間を設定するオプション設定項目デフォルト：タイムアウト時間は10分です。

注意: auto-execute command コマンドを使用すると、ユーザのインタフェースで通常の設

定ができない場合がありますので、使用にはご注意ください。 auto-execute command コマンドの実行および設定の保存前に、他のモードでスイッ

チにログインできること、設定の取り消しができることを必ず確認してください。

3.2.1 異なる認証モードに応じたTelnet設定

表 3-3に異なる認証モードに応じた Telnet 設定を示します。


0-3-3

表3-3 異なる認証モードに応じた Telnet 設定

認証モード Telnet 設定補足

None 標準設定の実行 Telnetの標準設定を行います。

オプション設定項目表3-2参照

Password パスワードの設定

ローカル認証用

パスワードを設

定します。

必須設定項目

標準設定の実行 Telnetの標準設定を行います。


Scheme ローカル認証またはRADIUS認証の指定

AAA設定がローカル認証を行う

かRADIUS認証を行うかを指定し

ます。

オプション設定項目デフォルト：ローカル認証詳細は、"セキュリティのAAA"を参照してください。

ユーザ名および

パスワードの設

定

ローカル/リモートユーザのユー

ザ名およびパス

ワードを設定し

ます。

必須設定項目ローカルユーザのユーザ名および

パスワードはスイッチで設定され

ます。リモートユーザのユーザ名および

パスワードはRADIUSサーバで設定されます。詳細は、RADIUSサーバのユーザマニュアルを参照してください。

VTYユーザの管理

VTYユーザのサービスタイプを

設定します。

必須設定項目

標準設定の実行 Telnetの標準設定を行います。


3.3 認証モードがNoneの場合のTelnet設定

3.3.1 設定手順

以下の手順にしたがって、Telnet の設定を行います(認証モードが None の場合)。

操作コマンド補足 system viewに移行する system-view —

1つまたは複数のVTY user-interface viewに移行する

user-interface vty first-number [ last-number ]

—

VTYユーザインタフェースにログインしているユーザを

認証しないように設定する

authentication-mode none 必須設定項目デフォルト：ログイン後に認

証 VTYユーザインタフェースにログインしているユーザが

使用できるコマンドレベル

を設定する


VTYユーザインタフェースがサポートするプロトコルを

設定する

protocol inbound { all | ssh | telnet }

オプション設定項目デフォルト：all


0-3-4

操作コマンド補足ユーザがユーザインタフェ

ースにログインすると自動

的に実行されるコマンドを

設定する

auto-execute command text オプション設定項目デフォルト：なし

端末サービスを使えるよう

にする shell オプション設定項目

デフォルト：使用可能画面に表示できる最大行数

を設定する screen-length screen-length オプション設定項目

デフォルト： 24行表示情報をページ単位で表示す


す。 historyコマンドのバッファサイズを設定する

history-command max-size value オプション設定項目デフォルト： 10 つまり、historyコマンドのバッファは、デフォルトで最大

10コマンド保存できます。 VTYユーザインタフェースのタイムアウト時間を設定す

る

idle-timeout minutes [ seconds ] オプション設定項目デフォルト：10分タイムアウト時間が10分の場合、ユーザインタフェース




メモユーザ認証をしないように設定した場合、スイッチにログインしたユーザが使用できるコ

マンドレベルは、表 3-4のように、authentication-mode none コマンドおよび user privilege level levelコマンドの両方に依存します。

表3-4 スイッチにログインしているユーザが認証されない場合のコマンドレベルの決定


認証モードユーザタイプコマンド None (authentication-mode none)

VTYユーザ user privilege level levelコマンドは実行され

ていない

レベル0

user privilege level levelコマンドは実行済み

level引数で決定


0-3-5

3.3.2 設定例


レベル 3 の AUX ユーザが、VTY0 にログインしている Telnet ユーザに次の設定を行うと仮定します。

VTY0 にログインしているユーザを認証しないレベル 2 のコマンドは VTY0 にログインしているユーザが利用できる Telnet プロトコルをサポートする画面に表示できる行数は 30 history コマンドバッファが保存できるコマンドは最大 20 VTY0 のタイムアウト時間は 6 分


PC Switch

RS-232

Configuration cable

Console port

図3-1 Telnet設定のネットワーク(認証モードが Noneの場合)

III. 設定手順

# system view に入り、Telnet サービスを有効にします。

system-view

[QX] telnet server enable

# VTY0 の user-interface view に移行します。

[QX] user-interface vty 0

# VTY0 にログインしている Telnet ユーザを認証しないように設定します。

[QX-ui-vty0] authentication-mode none

# VTY0にログインしているユーザがレベル2のコマンドを利用できるように設定します。

[QX-ui-vty0] user privilege level 2

# Telnet プロトコルをサポートするように設定します。

[QX-ui-vty0] protocol inbound telnet


[QX-ui-vty0] screen-length 30


[QX-ui-vty0] history-command max-size 20

# タイムアウト時間を 6 分に設定します。

[QX-ui-vty0] idle-timeout 6


0-3-6

3.4 認証モードがPasswordの場合のTelnet設定

3.4.1 設定手順

以下の手順にしたがって、Telnet の設定を行います(認証モードが Password の場合)。


system viewに移行する system-view — 1つまたは複数のVTY user-interface viewに移行する

user-interface vty first-number [ last-number ]

—

ローカルパスワードでVTYユーザインタフェースにログインし

ているユーザを認証するよう設

定する

authentication-mode password

必須設計項目

ローカルパスワードを設定する set authentication password { cipher | simple } password

必須設定項目

ユーザインタフェースにログイ

ンしているユーザが使用できる

コマンドレベルを設定する


ユーザインタフェースがサポー

トするプロトコルを設定する protocol inbound { all | ssh | telnet }

オプション設定項目デフォルト：all

ユーザがユーザインタフェース

にログインすると自動的に実行

されるコマンドを設定する

auto-execute command text オプション設定項目デフォルト：なし

端末サービスを使えるようにす

る shell オプション設定項目

デフォルト：使用可能画面に表示できる最大行数を設

定する screen-length screen-length オプション設定項目

デフォルト： 24行表示情報をページ単位で表示す


す。 historyコマンドのバッファサイズを設定する

history-command max-size value

オプション設定項目デフォルト10 つまり、historyコマンドのバッファは、デフォルトで最大

10コマンド保存できます。ユーザインタフェースのタイム

アウト時間を設定する idle-timeout minutes [ seconds ]

オプション設定項目デフォルト： 10分タイムアウト時間が10分の場合、ユーザインタフェース





0-3-7

メモ passwordモードでユーザ認証をするように設定した場合、スイッチにログインしたユーザが使用できるコマンドレベルは、表 3-5のように、authentication-mode password コマンドおよび user privilege level level コマンドの両方に依存します。

表3-5 Password モードでスイッチにログインしているユーザが認証される場合のコマンドレベルの決定


認証モードユーザタイプコマンド Password (authentication-mode password)

VTYユーザ user privilege level levelコマンドは実行されていない

レベル0

user privilege level levelコマンドは実行済み

level引数で決定

3.4.2 設定例



ローカルパスワードで VTY0 にログインしているユーザを認証するローカルパスワードを 123456(プレーンテキスト)に設定するレベル 2 のコマンドは VTY0 にログインしているユーザが利用できる Telnet プロトコルをサポートする画面に表示できる行数は 30 history コマンドバッファが保存できるコマンドは最大 20 VTY0 のタイムアウト時間は 6 分


PC Switch

RS-232

Configuration cable

Console port

図3-2 Telnet設定のネットワーク(認証モードが Passwordの場合)

III. 設定手順


system-view





0-3-8

# ローカルパスワードで VTY0 にログインしているユーザを認証するよう設定します。

[QX-ui-vty0] authentication-mode password

# ローカルパスワードを 123456(プレーンテキスト)に設定します。

[QX-ui-vty0] set authentication password simple 123456

# VTY0にログインしているユーザがレベル2のコマンドを利用できるように指定します。

[QX-ui-vty0] user privilege level 2









3.5 認証モードがSchemeの場合のTelnet設定

3.5.1 設定手順

以下の手順にしたがって、Telnet の設定を行います(認証モードが Scheme の場合)。

操作コマンド補足 system viewに移行する

system-view —

VTY user-interface viewに移行する

user-interface vty first-number [ last-number ] ―

ローカルまたはリモートで

ユーザを認証するよう設定

する authentication-mode scheme 必須設定項目

system viewに移行する quit ―

認証スキー

ムを設定す

る

デフォルト

のISPドメインviewに入る

domain domain name オプションデフォルト：ローカルAAAスキームが適用ローカルAAAスキームを適用するように指定する場合は、ローカル

ユーザに関する設定も実行しなけ

ればなりません。 radius-scheme-nameを指定して既存のスキームを適用するよう指定す

る場合は、以下の設定を行う必要

があります。

AAAスキームをドメイ

ンに適用す

るように指

定する

authentication default { [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

終了して、

system viewに戻る

quit


0-3-9

操作コマンド補足ローカルユーザを作成し、

ローカルuser viewに入る local-user user-name デフォルト：ローカルユーザ設定

なしローカルユーザの認証パス

ワードを設定する password { simple | cipher } password 必須設定項目

VTYユーザのサービスタイプを指定する service-type telnet 必須設定項目

注意： password コマンドが設定されている場合、Version 5.4.6 を含む以降のソフトウェアからVersion 5.3.1を含む以前のソフトウェアへのバージョンダウンは、コンフィグが正常に引き継がれないため基本的に行わないでください。もしバージョンダウンを行う場合は事前に

Version 5.3.1を含む以前のソフトウェアでのコンフィグを準備しておいて、バージョンダウン後にそれを適用してください。

メモ Scheme モードでユーザ認証をするように設定した場合、スイッチにログインしたユ

ーザが使用できるコマンドレベルは、 authentication-mode scheme [ command-authorization ]コマンド、user privilege level level コマンドに依存します。

AAA、RADIUS、および SSH については、"セキュリティの AAA"および"セキュリティの SSH2.0"を参照してください。

3.5.2 設定例



ローカルユーザ名を「guest」に設定するローカルユーザの認証パスワードを 123456(プレーンテキスト)に設定する VTY ユーザのサービスタイプを Telnet に設定する Scheme モードで VTY0 にログインしているユーザを認証するよう設定するレベル 2 のコマンドは VTY0 にログインしているユーザが利用できる VTY0 で Telnet プロトコルをサポートする画面に表示できる行数は 30 history コマンドバッファが保存できるコマンドは最大 20 VTY0 のタイムアウト時間は 6 分


0-3-10


PC Switch

RS-232

Configuration cable

Console port

図3-3 Telnet設定のネットワーク(認証モードが Schemeの場合)

III. 設定手順


system-view


# guest という名前のローカルユーザを作成し、ローカル user view に入ります。

[QX] local-user guest

# ローカルユーザの認証パスワードを 123456(プレーンテキスト)に設定します。

[QX-luser-guest] password simple 123456

# サービスタイプを Telnet に設定します。

[QX-luser-guest] service-type telnet



# Scheme モードで VTY0 にログインしているユーザを認証するように設定します。

[QX-ui-vty0] authentication-mode scheme










0-3-11

3.6 Telnet接続の確立

3.6.1 端末からスイッチへのTelnet接続

スイッチの管理 VLAN のインタフェースに IP アドレスが割り当てられていれば、Telnet接続してスイッチを設定できます。(デフォルト：VLAN1 が管理 VLAN です。)

スイッチに Telnet 接続を確立する手順は、以下のとおりです。

手順 1:コンソールポートからスイッチにログインし、Telnet サーバ機能をイネーブルにしてスイッチの管理 VLAN インタフェースに IP アドレスを割り当てます。

コンソールポートに接続します。「コンソールポートとの接続設定」を参照してくだ

さい。端末ウィンドウで以下のコマンドを実行し、Telnet サーバの機能をイネーブルにして

スイッチの管理 VLAN インタフェースに IP アドレスを割り当てます。

# Telnet サーバの機能をイネーブルにし、管理 VLAN インタフェースの IP アドレスを202.38.160.92、サブネットマスクを 255.255.255.0 に設定します。

system-view


[QX] interface vlan-interface 1

[QX-Vlan-interface1] ip address 202.38.160.92 255.255.255.0

手順 2:Telnet ユーザがスイッチにログインする前に、それぞれの認証モードに応じて、それに対応するスイッチの設定を行っておかなければなりません。詳細は、「認証モードが

None の場合の Telnet 設定」、「認証モードが Password の場合の Telnet 設定」、「認証モードが Scheme の場合の Telnet 設定」を参照してください。デフォルト：Telnet ユーザがログインするには、パスワード認証に通過しなければなりません。

手順 3:図 3-4のように、PC をスイッチに接続します。PC に接続しているイーサネットポートがスイッチの管理 VLAN に所属していること、PC とスイッチ間のルートが使用可能であることを確認してください。

Configuration PC running Telnet

Ethernet

WorkstationServer

Workstation

Ethernet port

図3-4 Telnet接続確立のネットワーク図

手順 4:下図のように、スイッチの管理 VLAN インタフェースの IP アドレスをパラメータとして、PC の Telnet を起動します。


0-3-12

図3-5 Telnetの起動

手順 5:Telnet ウィンドウに「Login authentication(ログイン認証)」と表示され、ログインパスワードを求められたら、パスワードを入力します。パスワードが正しければ、

CLI(など)がプロンプト表示されます。スイッチの VTY ユーザインタフェースがすべて使用中の場合は、接続は確立できず、「All user interfaces are used, please try later!(ユーザインタフェースはすべて使用中です。後ほど再試行してください)」というメッセージが現れます。QX シリーズのイーサネットスイッチは、同時に最大 5 つの Telnet 接続を収容できます。

手順 6:スイッチに Telnet 接続できたら、コマンドを実行してスイッチの設定や情報を表示できます。?を入力すれば、いつでもヘルプを参照できます。コマンドについては、各章を参照してください。

メモ Telnet セッションで VLAN インタフェースの IP アドレスを削除または変更すると、

Telnet 接続は終了します。デフォルト：、パスワード認証された Telnet ユーザはレベル 0 のコマンドを利用でき

ます。コマンドの階層については、"はじめにの基本システム"を参照してください。

3.6.2 現行のスイッチから別のスイッチへのTelnet接続

現行のスイッチから別のスイッチへ Telnet 接続できます。この場合、現行のスイッチはクライアントとして、もう一方はサーバとして動作します。2 台のスイッチのイーサネットポートが同じ LAN セグメントで互いに接続しているときは、それら 2 つのポートが所属している 2 つの管理 VLAN インタフェースの IP アドレスが同じネットワークセグメントか、あるいは 2 つの管理 VLAN インタフェース間のルートが利用可能かを確認してください。

図 3-6のとおり、スイッチ(Telnet クライアントと表示)に Telnet 接続すると、telnet コマンドを実行して別のスイッチ(Telnet サーバと表示)に Telnet 接続し、設定できます。

PC Telnet Client Telnet Server

図3-6 現行のスイッチから別のスイッチへ Telnet接続するネットワーク


0-3-13

手順1:Telnetサーバとして動作しているスイッチでTelnet用のユーザ名とパスワードを設定します。詳細は、「認証モードが None の場合の Telnet 設定」、「認証モードが Passwordの場合の Telnet 設定」、「認証モードが Scheme の場合の Telnet 設定」を参照してください。デフォルト：、Telnet ユーザがログインするには、パスワード認証に通過しなければなりません。

手順 2:Telnet クライアントとして動作しているスイッチに Telnet 接続します。

手順 3:Telnet クライアントとして動作しているスイッチで以下のコマンドを実行します。

telnet xxxx

xxxx は、Telnet サーバとして動作しているスイッチの IP アドレスまたはホスト名です。ip host でスイッチにホスト名を割り当てられます。

手順 4:パスワードを入力します。パスワードが正しければ、CLI(など)がプロンプト表示されます。スイッチの VTY ユーザインタフェースがすべて使用中の場合は、接続は確立できず、「All user interfaces are used, please try later!(ユーザインタフェースはすべて使用中です。後ほど再試行してください)」というメッセージが現れます。

手順 5:問題なくスイッチに Telnet 接続できたら、対応するコマンドを実行すればスイッチの設定やスイッチに関する情報の表示ができます。?を入力すれば、いつでもヘルプを参照できます。コマンドについては、以下の章を参照してください。


i

目次

このセクションのページは 0-x-x です。 4 章 NMS からのログイン ............................................................................................................... 4-1

4.1 はじめに ............................................................................................................................. 4-1 4.2 NMS を使った接続 ............................................................................................................. 4-1

オペレーションマニュアル – はじめに QX-S5200 シリーズ Ethernet スイッチ 4 章 NMS からのログイン

0-4-1

4章 NMS からのログイン

4.1 はじめに

スイッチを NMS(network management station)からログインし、エージェントモジュールで設定/管理できます。

エージェントとは、ここではネットワークデバイス(スイッチ)で実行されるソフトウェアで、サーバを指します。

SNMP(simple network management protocol)は、NMS とスイッチの間で適用されます。

NMS からスイッチにログインするには、NMS とスイッチの両方で関連する設定を行う必要があります。

表4-1 NMS からスイッチにログインするための要件

項目要件

スイッチ

スイッチの管理VLANのIPアドレスが設定されている。NMSとスイッチ間のルートが使用できる。基本的なSNMP機能が設定されている。(詳細は、「SNMP設定」を参照)

NMS NMSが適切に設定されている。(詳細は、お使いのNMSのユーザマニュアルを参照)

4.2 NMSを使った接続

Switch

NMS

Network

図4-1 NMSからログインするネットワーク


i

目次

このセクションのページは 0-x-x です。 5 章 Telnet パケットの送信元指定.................................................................................................. 5-1

5.1 はじめに ............................................................................................................................. 5-1 5.2 Telnet パケットの送信元 IP アドレス/インタフェースの指定 .......................................... 5-1 5.3 指定した Telnet パケットの送信元 IP アドレス/インタフェースの表示 ........................... 5-2

オペレーションマニュアル – はじめに QX-S5200 シリーズ Ethernet スイッチ 5 章 Telnet パケットの送信元指定

0-5-1

5章 Telnet パケットの送信元指定

5.1 はじめに

セキュリティを強化し、管理をより容易にするために、Telnet クライアントの送信元 IPアドレス/インタフェースを指定できます。

通常、VLAN インタフェースの IP アドレスとループバックインタフェースの IP アドレスが Telnet パケットの送信元 IP アドレスとして使われます。VLAN インタフェースまたはループバックインタフェースの IPアドレスを Telnetパケットの送信元 IPアドレスとして指定すると、Telnet クライアントと Telnet サーバ間で交換されるパケットは、送信されたポートに関係なく、すべてその IP アドレスを送信元 IP アドレスとして使用します。そ�

d10-0000018883 1.8 版 - nec(japan) · 2011/03/30 :...

Documents