Cloud NOC & Huge Enterprise ニチテロヺキ...Cloud NOC & Huge Enterprise ニチテロヺキ複数の拠点間を繋ぐ大規模ネットワークを構築したい。 AMF機能を活用したネットワーク全体の一元管理を行い、運用コストを削減したい。

Copyright (C) Allied Telesis K.K. all rights reserved.

Solution No. 16-03-22-04

1

■ 主な目的

ネットワーク管理・運用にかかるコストを削減することを利点としてxシリーズで実績を積み上げ信頼性を向上させてきたAMFですが、一つのAMFマスターは最大120台まで（SBx8100とCFC960使用時）しかAMFノードを管理できないという制限がありました。

F/W 5.4.5-0.1よりAMFマスター管理するAMFコントローラ機能がサポートされます。本機能ではコントローラから最大60台までのAMFマスター（F/W 5.4.5-0.1からはAMFローカルマスターと呼称されます。）を管理することができます。管理の負荷を分散することにより、最大7200台までのAMFノードを管理することができ、より大規模なネットワークでも管理のコストを削減することが可能になります。

さらにF/W 5.4.5-0.1より、AR4050S/3050S 及び x930シリーズという新規プラットフォームがリリースされました。これらのプラットフォームもAMFにノードとして接続することが可能です。またx930はAMFローカルマスター機能も使用できます。

■ 概要

アライドテレシスアライドテレシスアライドテレシスアライドテレシス Alliedware Plus Alliedware Plus Alliedware Plus Alliedware Plus 搭載スイッチ・ルータで実現する搭載スイッチ・ルータで実現する搭載スイッチ・ルータで実現する搭載スイッチ・ルータで実現する

Cloud NOC & Huge Enterprise Cloud NOC & Huge Enterprise Cloud NOC & Huge Enterprise Cloud NOC & Huge Enterprise ネットワークネットワークネットワークネットワーク

◇ 複数の拠点間を繋ぐ大規模ネットワークを構築したい。◇ AMF機能を活用したネットワーク全体の一元管理を行い、運用コストを削減したい。◇ セキュアで高速なネットワークを構築したい。

Public NetworkPublic NetworkPublic NetworkPublic Network Public Public Public Public NetworkNetworkNetworkNetwork

Other Network

Other ClientsOther Clients Other Clients

Other ClientsOther Clients

01-cfc960SSH server 5

02-x930

03-x610

04-x51005-x510L

06-ar4050

07-ar405010-ar4050

09-x510

18-x510

17-x93023-ar3050

21-ar3050

25-x23011

SSH server 4 11

SSH server 2

11SSH

server 3

11-cfc960

12-x510

26-ix5

SSH server 1,NTP server

NMS(SNMP, sｙslog, RADIUS)

MulticastSender

Other Clients& Networks

11M/C

Client

U/CClient

本社本社本社本社

支社支社支社支社5支社支社支社支社4 支社支社支社支社3 支社支社支社支社2 支社支社支社支社1

Other Clients

19-cfc400

20-ar3050

24-x31022-x210

08-x908



2

■ 構築のポイント（構成図及び設計イメージ図）



eth1 eth1

eth1

Public NetworkPublic NetworkPublic NetworkPublic Network

eth1eth1

eth1

Public Public Public Public NetworkNetworkNetworkNetwork

1.1.1 1.1.24

1.2.1

1.2.6 2.1.1

1.1.11.2.1

2.0.49

1.0.25 1.0.26

4.0.49

1.0.1

2.0.1

2.1.6 2.2.1

1.1.6

3.0.49

2.2.12

1.2.121.2.13 1.0.1

1.0.24 1.0.23

1.0.49 1.0.50

6.0.49

1.0.2 1.0.1

1.0.50

2.0.50

2.0.1

1.0.1

1.0.71.0.8

1.0.1

1.0.16

1.0.24

1.0.1

1.0.1

Other Network

1.0.1

Other Clients

2.0.1

1.0.1

1.0.231.0.24

1.0.1

Other Clients

1.0.1

Other Clients

1.0.1

Other Clients

1.0.2 1.0.1

1.1.1

2.1.1

2.1.12

1.1.12

1.0.11.0.1

1.0.1

Other Clients

1.0.1

Other Clients

1.2.40

1.0.2

1.0.2

1.2.1

1.0.1

1.1.1

1.1.40

1.0.1

1.0.1

1.0.2

01-cfc960

19-cfc400

1.0.25

1.0.221.0.3 1.0.2 1.0.1

5.0.49

SSH server 5

02-x930

03-x610

04-x510

05-x510L

06-ar4050

07-ar405010-ar4050

08-x908

09-x510

18-x5101.0.2

17-x93023-ar3050

21-ar3050

22-x21024-x310

20-ar3050

25-x23011

SSH server 4

1.0.211

SSH server 2

1.0.2

11SSH

server 3

11-cfc960

12-x510

26-ix5


NMS(SNMP, syslog

RADIUS)MulticastSender


1.0.2

11M/C

Client

U/CClient

本社

支社支社支社支社5 支社支社支社支社4 支社支社支社支社3 支社支社支社支社2 支社支社支社支社1



3

■ 構築のポイント（ルーティングプロトコルその1）



eth1 eth1

eth1

Public NetworkPublic NetworkPublic NetworkPublic Networketh1eth1

eth1


1.1.1 1.1.24

1.2.1

1.2.6

2.1.1

1.1.11.2.1

2.0.49

1.0.25 1.0.26

4.0.49

1.0.1

2.0.1

2.1.6 2.2.1

1.1.6

3.0.49

2.2.12

1.2.121.2.13 1.0.1

1.0.24 1.0.23

1.0.49 1.0.50

6.0.49

1.0.2 1.0.1

1.0.50

2.0.50

2.0.1

1.0.1

1.0.71.0.8

1.0.1

1.0.16

1.0.24

1.0.1

1.0.1

Other Network

1.0.1

Other Clients

2.0.1

1.0.1

1.0.231.0.24

1.0.1

Other Clients

1.0.1

Other Clients

1.0.1

Other Clients

1.0.2 1.0.1

1.1.1

2.1.1

2.1.12

1.1.12

1.0.11.0.1

1.0.1

Other Clients

1.0.1

Other Clients

1.2.40

1.0.2

1.0.2

1.2.1

1.0.1

1.1.1

1.1.40

1.0.1

1.0.1

1.0.2

01-cfc960

19-cfc400

1.0.25

1.0.221.0.3 1.0.2 1.0.1

5.0.49

SSH server 5

02-x930

03-x610

04-x510

05-x510L

06-ar4050

07-ar405010-ar4050

08-x908

09-x510

18-x5101.0.2

17-x93023-ar3050

21-ar3050

22-x21024-x310

20-ar3050

25-x23011

SSH server 4

1.0.211

SSH server 2

1.0.2

11SSH

server 3

11-cfc960

12-x510

26-ix5


NMS(SNMP, syslog



1.0.2

11M/C

Client

U/CClient

IPSec on PPPoE

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF+PIM

OSPF+PIM

OSPF+PIM

OSPF+PIM

-- -- SMSM SMSMO

SPF+PIMO

SPF+PIMO

SPF+PIMO

SPF+PIM-- -- SMSM SMSM

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF



4

■ 構築のポイント（ルーティングプロトコルその2）



eth1 eth1

eth1


eth1


1.1.1 1.1.24

1.2.1

1.2.6

2.1.1

1.1.11.2.1

2.0.49

1.0.25 1.0.26

4.0.49

1.0.1

2.0.1

2.1.6 2.2.1

1.1.6

3.0.49

2.2.12

1.2.121.2.13 1.0.1

1.0.24 1.0.23

1.0.49 1.0.50

6.0.49

1.0.2 1.0.1

1.0.50

2.0.50

2.0.1

1.0.1

1.0.71.0.8

1.0.1

1.0.16

1.0.24

1.0.1

1.0.1

Other Network

1.0.1

Other Clients

2.0.1

1.0.1

1.0.231.0.24

1.0.1

Other Clients

1.0.1

Other Clients

1.0.1

Other Clients

1.0.2 1.0.1

1.1.1

2.1.1

2.1.12

1.1.12

1.0.11.0.1

1.0.1

Other Clients

1.0.1

Other Clients

1.2.40

1.0.2

1.0.2

1.2.1

1.0.1

1.1.1

1.1.40

1.0.1

1.0.1

1.0.2

01-cfc960

19-cfc400

1.0.25

1.0.221.0.3 1.0.2 1.0.1

5.0.49

SSH server 5

02-x930

03-x610

04-x510

05-x510L

06-ar4050

07-ar405010-ar4050

08-x908

09-x510

18-x5101.0.2

17-x93023-ar3050

21-ar3050

22-x21024-x310

20-ar3050

25-x23011

SSH server 4

1.0.211

SSH server 2

1.0.2

11SSH

server 3

11-cfc960

12-x510

26-ix5


NMS(SNMP, syslog



1.0.2

11M/C

Client

U/CClient

IPSec on PPPoE

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF+PIM

OSPF+PIM

OSPF+PIM

OSPF+PIM

-- -- SMSM SMSMO

SPF+PIMO

SPF+PIMO

SPF+PIMO

SPF+PIM-- -- SMSM SMSM

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

RIP

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

VCSPlusを使用してコアスイッチとして高い冗長性を持つことが可能な、

SBx8100、RIPやOSPFといった複数のルーティングプロトコルを使用して、

経路情報を集中管理します。

各種サーバとコアスイッチの

接続用にL2スイッチを設置します。

各ルータはPPPoEで公共ネットワークに接続している

為、通信内容をセキュアにす

るためにIPsecを使用し、そのセッション上でOSPFを併用します。

必要なネットワークの大きさに

合わせてVCSを使用できるスイッチを用意します。また、マル

チキャスト通信が必要な場合は、

併せてPIM-SMを設定します。

各ルータはPPPoEで公共ネットワークに接続している為、通信

内容をセキュアにするために

IPsecを使用し、そのセッション上でOSPFを併用します。

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

OSPF

必要なネットワークの大きさに

合わせてVCSを使用できるスイッチを用意します。また、マル

チキャスト通信が必要な場合は、

併せてPIM-SMを設定します。



AMF AMF AMF AMF ローカルマスターローカルマスターローカルマスターローカルマスターAMF AMF AMF AMF ローカルマスターローカルマスターローカルマスターローカルマスター

AMFAMFAMFAMFローカルマスターローカルマスターローカルマスターローカルマスター

AMF AMF AMF AMF ローカルマスターローカルマスターローカルマスターローカルマスター

AMF AMF AMF AMF コントローラ・ローカルマスターコントローラ・ローカルマスターコントローラ・ローカルマスターコントローラ・ローカルマスター

5

■ 構築のポイント（AMF エリア及び接続図その1）



eth1 eth1

eth1


eth1


1.1.1 1.1.24

1.2.1

1.2.6

2.1.1

1.1.11.2.1

2.0.49

1.0.25 1.0.26

4.0.49

1.0.1

2.0.1

2.1.6 2.2.1

1.1.6

3.0.49

2.2.12

1.2.121.2.13 1.0.1

1.0.24 1.0.23

1.0.49 1.0.50

6.0.49

1.0.2 1.0.1

1.0.50

2.0.50

2.0.1

1.0.1

1.0.71.0.8

1.0.1

1.0.16

1.0.24

1.0.1

1.0.1

Other Network

1.0.1

Other Clients

2.0.1

1.0.1

1.0.231.0.24

1.0.1

Other Clients

1.0.1

Other Clients

1.0.1

Other Clients

1.0.2 1.0.1

1.1.1

2.1.1

2.1.12

1.1.12

1.0.11.0.1

1.0.1

Other Clients

1.0.1

Other Clients

1.2.40

1.0.2

1.0.2

1.2.1

1.0.1

1.1.1

1.1.40

1.0.1

1.0.1

1.0.2

01-cfc960

19-cfc400

1.0.25

1.0.221.0.3 1.0.2 1.0.1

5.0.49

SSH server 5

02-x930

03-x610

04-x510

05-x510L

06-ar4050

07-ar405010-ar4050

08-x908

09-x510

18-x5101.0.2

17-x93023-ar3050

21-ar3050

22-x21024-x310

20-ar3050

25-x23011

SSH server 4

1.0.211

SSH server 2

1.0.2

11SSH

server 3

11-cfc960

12-x510

26-ix5


NMS(SNMP, syslog



1.0.2

11M/C

Client

U/CClient

IPSec on PPPoE

AMFAMFAMFAMFエリアリンクエリアリンクエリアリンクエリアリンク


AMF AMF AMF AMF バーチャルバーチャルバーチャルバーチャル

エリアリンクエリアリンクエリアリンクエリアリンク



AMFエリアAREA01


リンクリンクリンクリンク



AMFエリアAREA05

AMFエリアAREA04

AMFエリアAREA03

AMFエリアAREA02



AMF AMF AMF AMF ローカルマスターローカルマスターローカルマスターローカルマスターAMF AMF AMF AMF ローカルマスターローカルマスターローカルマスターローカルマスター

AMF AMF AMF AMF ローカルマスターローカルマスターローカルマスターローカルマスター

AMFAMFAMFAMFローカルマスターローカルマスターローカルマスターローカルマスター

AMF AMF AMF AMF コントローラ・ローカルマスターコントローラ・ローカルマスターコントローラ・ローカルマスターコントローラ・ローカルマスター

6

■ 構築のポイント（AMF エリア及び接続図その2）



eth1 eth1

eth1


eth1


1.1.1 1.1.24

1.2.1

1.2.6

2.1.1

1.1.11.2.1

2.0.49

1.0.25 1.0.26

4.0.49

1.0.1

2.0.1

2.1.6 2.2.1

1.1.6

3.0.49

2.2.12

1.2.121.2.13 1.0.1

1.0.24 1.0.23

1.0.49 1.0.50

6.0.49

1.0.2 1.0.1

1.0.50

2.0.50

2.0.1

1.0.1

1.0.71.0.8

1.0.1

1.0.16

1.0.24

1.0.1

1.0.1

Other Network

1.0.1

Other Clients

2.0.1

1.0.1

1.0.231.0.24

1.0.1

Other Clients

1.0.1

Other Clients

1.0.1

Other Clients

1.0.2 1.0.1

1.1.1

2.1.1

2.1.12

1.1.12

1.0.11.0.1

1.0.1

Other Clients

1.0.1

Other Clients

1.2.40

1.0.2

1.0.2

1.2.1

1.0.1

1.1.1

1.1.40

1.0.1

1.0.1

1.0.2

01-cfc960

19-cfc400

1.0.25

1.0.221.0.3 1.0.2 1.0.1

5.0.49

SSH server 5

02-x930

03-x610

04-x510

05-x510L

06-ar4050

07-ar405010-ar4050

08-x908

09-x510

18-x5101.0.2

17-x93023-ar3050

21-ar3050

22-x21024-x310

20-ar3050

25-x23011

SSH server 4

1.0.211

SSH server 2

1.0.2

11SSH

server 3

11-cfc960

12-x510

26-ix5


NMS(SNMP, syslog



1.0.2

11M/C

Client

U/CClient

AMFエリア AREA05

AMFエリアAREA04

AMFエリアAREA03

AMFエリアAREA02

IPSec on PPPoE







AMFエリアAREA01





コアスイッチにて、AMFコントローラ機能とローカルマスター機能を併用する

ことで、近隣のスイッチはAMFメンバーとして管理することができます。

AMFバーチャルエリアリンクで接続する事で、ルータ上のPPPoEやIPsecを経由してAMFエリア間を接続します。

ルータはAMFバーチャルエリアリンクを使用できない為、コントローラ・ロー

カルマスター間で設定を行い、ルータ

に対してはAMFリンクを設定します。

AMFコントローラと直接接続可能なローカルマスターの間はAMFエリアリンクを使用してエリア間の接続を行い

ます。また遠く離れたAMFメンバーに対してバーチャルリンクで接続します。

AMFバーチャルリンクで接続する事で、ルータ上のPPPoEやIPsecを経由して、離れた場所のAMFメンバー間を接続します。

複数のAMFバックアップ先を設定する事で、AMFリカバリー機能の冗長性を向上させることができます。

AMFコントローラ機能によりローカルマスターを管理しバックアップを行うこ

とで、オートバック等を行うことが可能

となります。



7

■ 01-cfc960 設定サンプルその1

service password-encryption!hostname 01-cfc960!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!access-list 1 permit 192.168.250.240!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!!no service telnet!!service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!

CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなります。また、このホスト名はAMFにおけるノード名として扱われます。

SYSLOG機能を用い、SYSLOGサーバーへログの転送を行います。

SSH機能での運用管理するための接続設定を入れます。

メール送信時に用いる送信用メールサーバーや、送信元メールアドレスを設定します。

必要に応じて、SNMPなどの管理用プロコトルで通信できる相手を制御する為のaccess-listを作成します。

タイムゾーンの設定を行います。タイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です。





8


!snmp-serversnmp-server enable trap atmf atmflink atmfnode atmfrr auth chassis hw-monitoring nsmrmon vcssnmp-server startup-trap-delay 60snmp-server source-interface informs losnmp-server community private rw 1snmp-server community public 1snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!!aaa authentication enable default localaaa authentication login default local !!stack virtual-macstack virtual-chassis-id 2495stack enable !!atmf network-name CLOUD_NOC_NETatmf controlleratmf masteratmf area AREA01 id 1 localatmf area AREA02 id 2atmf area AREA02 password 8 onlCyAROiAAdzqD6xaaeyJ80gDrSi4f06JLaJMUNrGE=atmf area AREA03 id 3atmf area AREA03 password 8 KxAYXLxizwlyf9nhCEGzQsNvkF0jA1MY/CLtlSFo8j4=atmf area AREA04 id 4atmf area AREA04 password 8 lyoJE3LHpvgtQFUUFVd0rVryYvTiIKLstv8N5UeaaOg=atmf area AREA05 id 5atmf area AREA05 password 8 25OREDijkQW4y9dNkROX5xoPWH7pXn/4sgbLNTP3Gc8=atmf group L3SW,SWITCHESatmf backup area-masters enableatmf backup server id 1 192.168.250.250 username amfop0 !!!ip name-server 192.168.250.250ip domain-lookup!

SNMP の設定を行います。SNMP は、version 2c を使用します。障害によりインターフェースが停止した際に、SNMPの送信元アドレスが変化しない様、Loopbackインターフェースを送信元となるように設定しています。

VCSPlusを有効にします。VCSPlus使用時は仮想MACを必ず有効にしてください。

AMFを設定します。本構構成例では、AMFネットワーク名を”CLOUD_NOC_NET”としています。まず、本機器はAMFコントローラとAMFローカルマスターを併用するので、両機能を有効にします。さらに管理対象のローカルマスターが使用しているエリアに関して、エリア名とID, パスワードを設定します。これらは各エリアマスターと一致させる必要があります。また、各ローカルマスターのバックアップを取得する機能を有効にし、通常のAMFメンバーのバックアップと合わせて、外部SSHサーバにバックアップを保存しています。なお外部SSHサーバでは”amfop0”というユーザを使用しています。

必要に応じてDNSサーバの設定を行います。





9


!ip multicast-routing!no spanning-tree rstp enable!mls qos enableaccess-list hardware vlinksend-to-cpu ip 172.16.129.2/32 172.16.128.1/32send-to-cpu ip 172.16.130.2/32 172.16.128.1/32

!class-map vlinkmatch access-group vlink

!class-map vlinkarpmatch eth-format ethii-any protocol 0806match vlan 200

!policy-map vlinkclass defaultclass vlinkclass vlinkarpset queue 6

!!!switch 1 card 1 provision xe6switch 1 card 2 provision ge24switch 1 card 5 provision cfc960switch 2 card 1 provision xe6switch 2 card 2 provision ge24switch 2 card 5 provision cfc960!!!vlan databasevlan 100 name 1_GENERALLY-AMF-MEMBERSvlan 200 name 2_AWP-RT&AMF-LOCAL-MST_WITH_OSPFvlan 300 name 3_DIRECTED-AMF-LOCAL-MSTvlan 400 name 4_AWP-RT&AMF-LOCAL-MST_WITH_RIPvlan 1000 name 5_MANAGMENTvlan 2000 name 6_OTHERSvlan 100,200,300,400,1000,2000 state enable

!

本構成例ではVCSPlusのマスター・スレーブ共に以下のカードを使用しています。

Card1 ：AT-SBx81XS6Card2 ：AT-SBx81GS24aCard5 ：AT-SBx81CFC960

AMFバーチャルリンク・AMFバーチャルエリアリンクによるAMF接続に関して、対向ノードからのパケットを優先処理するQoSポリシーマップを作成します。本ポリシーマップによりデータプレーンのトラフィックがAMFの接続性に与える影響を最小限にすることができます。またAMFバーチャルリンク上でARPパケットを優先するための設定も追加します。

使用するVLANを作成します。VLANに名前を設定しておくと管理がしやすくなります。





10


!ip pim bsr-candidate vlan1000ip pim rp-candidate vlan1000 priority 1!!interface port1.1.1description Connect to 19_x81cfc400switchportswitchport mode trunkswitchport trunk allowed vlan add 400switchport trunk native vlan nonestatic-channel-group 1snmp trap link-status

!interface port1.1.2-1.1.5switchportswitchport mode accesssnmp trap link-status

!interface port1.1.6description Connect to 02-x930switchportswitchport mode trunkswitchport trunk allowed vlan add 100switchport trunk native vlan nonestatic-channel-group 32snmp trap link-status

!interface port1.2.1description Connect to 26-IX5switchportswitchport mode trunkswitchport trunk allowed vlan add 1000,2000switchport trunk native vlan nonestatic-channel-group 64snmp trap link-status


!!

PIM-SMで使用するランデブーポイントを設定します。

必要に応じ、各ポートに VLAN, リンクアグリゲーション, SNMP リンクTrapを設定します。また、必要に応じて接続先の説明を記載すると管理がしやすくなります。





11


!interface port1.2.11switchportswitchport mode trunkswitchport trunk native vlan nonesnmp trap link-status

!interface port1.2.12switchportswitchport mode accesssnmp trap link-status

!interface port1.2.13description Connect to 06-ar3050switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 200switchport trunk native vlan noneservice-policy input vlinksnmp trap link-status



!interface port2.1.1description Connect to 19_x81cfc400switchportswitchport mode trunkswitchport trunk allowed vlan add 400switchport trunk native vlan nonestatic-channel-group 1snmp trap link-status

!



自身がAMFローカルマスターとして管理するAMFメンバとの接続インターフェースでは、 “switchport atmf-link”コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。さらに本インターフェースを通して、バーチャルエリアリンクが接続される為、優先制御用のQoSポリシーマップを設定します。





12




!interface port2.2.1description Connect to 26-IX5switchportswitchport mode trunkswitchport trunk allowed vlan add 1000,2000switchport trunk native vlan nonestatic-channel-group 64snmp trap link-status



!

必要に応じ、各ポートに VLAN, リンクアグリゲーション、SNMP リンクTrapを設定します。また、必要に応じて接続先の説明を記載すると管理がしやすくなります。





13


!interface eth0snmp trap link-status

!interface loip address 10.250.0.1/32

!interface sa1description Connect to 19_x81cfc400switchportswitchport atmf-arealink remote-area AREA05 vlan 50switchport mode trunkswitchport trunk allowed vlan add 400switchport trunk native vlan nonesnmp trap link-status

!interface sa32description Connect to 02-x930switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 100switchport trunk native vlan nonesnmp trap link-status

!interface sa64description Connect to 26-IX5switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 1000,2000switchport trunk native vlan nonesnmp trap link-status

!interface sa96description Connect to 17-x930switchportswitchport atmf-arealink remote-area AREA04 vlan 30switchport mode trunkswitchport trunk allowed vlan add 300switchport trunk native vlan nonesnmp trap link-status

!


他のAMFエリアと接続する為の『AMFエリアリンク』を設定します。本インターフェースは”AREA05”のエリアマスターと直接接続している為、“switchport atmf-arealink” コマンドでエリア名とエリア間接続用のVLANを設定しています。またユーザートラフィック用のVLANも併せて設定します。

自身がAMFローカルマスターとして管理するAMFメンバとの接続インターフェースでは、“switchport atmf-link”コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。



他のAMFエリアと接続する為の『AMFエリアリンク』を設定します。本インターフェースは”AREA04”のエリアマスターと直接接続している為、“switchport atmf-arealink” コマンドでエリア名とエリア間接続用のVLANを設定しています。またユーザートラフィック用のVLANも併せて設定します。



14


!interface vlan100ip address 192.168.1.1/30ip igmpip pim sparse-mode





!interface vlan2000ip address 11.0.0.1/24

!!atmf virtual-link id 2 ip 172.16.128.1 remote-id 2 remote-ip 172.16.129.2 remote-area AREA02atmf virtual-link id 3 ip 172.16.128.1 remote-id 3 remote-ip 172.16.130.2 remote-area AREA03!

AMFバーチャルエリアリンクを設定します。本構成では”AREA02”と”AREA03”のAMFローカルマスターを宛先としてバーチャルエリアリンク作成することで、両エリアとの接続に使用します。

各VLANにIPアドレスを設定します。マルチキャスト配信を行う場合は、使用するVLANインターフェースでIGMPとPIM-SMを有効化します。





15


!router ospfospf router-id 250.250.250.1network 11.0.0.0/24 area 0network 172.16.128.0/30 area 1network 192.168.1.0/30 area 0network 192.168.128.0/30 area 0redistribute connectedredistribute rip

!!router ripnetwork 172.16.0.0/30redistribute connectedredistribute ospf

!!!ntp source 10.250.0.1 ntp server 192.168.250.250 !line con 0line vty 0 4!end

L3通信に使用するOSPFを設定します。OSPFを使用するネットワークをOSPFエリアIDと共に設定します。また、直接接続経路及び RIPで取得した経路をOSPFネットワークに再通知するよう設定します。

L3通信に使用するRIPを設定します。RIPを使用するネットワークを設定します。また、直接接続経路及び OSPFで取得した経路をRIPネットワークに再通知するよう設定します。

NTPの設定を行います。どのような障害発生時にも問い合わせパケットの送信元アドレスが変わらないように、NTPサーバへの問い合わせに自身のLoopbackインターフェースのIPを使用するように設定します。





16

!service password-encryption!hostname 06-ar4050!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!no service telnet!no service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!!!!snmp-serversnmp-server enable trap atmf auth nsm rmon thrash-limitsnmp-server startup-trap-delay 60snmp-server source-interface informs losnmp-server community private rwsnmp-server community public snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!aaa authentication enable default localaaa authentication login default local !









■ 06-ar4050 設定サンプルその1



17


!atmf network-name CLOUD_NOC_NET!!!zone privatenetwork atmfip subnet 172.31.0.0/16

network loopbackip subnet 10.250.0.6/32 interface lo

network ospf1ip subnet 224.0.0.5/32


network tun0ip subnet 0.0.0.0/0 interface tunnel0


network v200ip subnet 0.0.0.0/0 interface vlan200

network loopback-ifsip subnet 10.250.0.0/16

network serversip subnet 192.168.250.0/24

!zone publicnetwork ppp1ip subnet 0.0.0.0/0 interface ppp1

!!!!application espprotocol 50

!application isakmpprotocol udpsport 500dport 500

!application ospfprotocol 89

AMFを設定します。本構構成例では、AMFネットワーク名を”CLOUD_NOC_NET”としています。

ファイアーウォールに使用するゾーンの定義を作成します。ファイアーウォール有効時は通過させるすべての通信を定義することが必要です。

”private”はLAN側の通信を定義しています。なお、IPsecにより作成されたtunnelインターフェースは同機能によりセキュアに保たれている為、インターフェース自体をLAN側と定義しています。AMF 使用時は ”atmf management

subnet” コマンドで設定されているAMFマネージメントサブネットを必ず設定してください。(デフォルトでは172.31.0.0/16) またルーティングプロトコル使用時はそのプロトコルで使用するマルチキャストアドレスも記載する必要があります。”public”はWAN側の通信を定義してい

ます。WAN側ではPPPoEのセッション確立時に作成されたppp1インターフェースを定義しています。

ファイアーウォールで使用するアプリケーションの定義を作成します。ファイアーウォール有効時は通過させるすべての通信を定義することが必要です。

本例では”esp”としてIPsecで使用するプロトコル番号50番のパケットを定義しています。また”isakmp”としてIPsecでのセッション確立までに使用するISAKMPプロトコル（UDP）のポート番号（送信・受信ポート 500）を定義しています。最後に”ospf”としてOSPFで使用するプロトコル番号89番のパケットを定義しています。





18


!firewallrule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit ISAKMP from public.ppp1 to public rule 40 permit ISAKMP from public to public.ppp1 rule 50 permit esp from public.ppp1 to public rule 60 permit esp from public to public.ppp1 rule 70 permit ospf from public to public rule 80 permit any from trusted to private protect

!ip name-server 192.168.250.250ip domain-lookup!!!no service dhcp-server!no ip multicast-routing!no spanning-tree rstp enable!crypto isakmp key ALLIED-01 address 100.100.10.2crypto isakmp key ALLIED-02 address 100.100.10.3!!!vlan databasevlan 200 state enable

!!


使用するVLANを作成します

ファイアーウォールのルールを作成し、有効にします。作成したゾーン・アプリケーションを組み合わせて、通過させるトラフィックのルールを作成します。ルール作成後は”protect”コマンドを実行する事でファイアーウォールが有効になります。

IPsecのセッション確立初期に使用されるISAKMPプロトコルのISAKMPの事前共有鍵認証で使うパスワード（事前共有鍵）を設定します。本設定はIPsecセッションごとに必要となります。





19


!interface port1.0.1switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 200switchport trunk native vlan nonesnmp trap link-status

!!interface port1.0.2-1.0.8switchportswitchport mode accesssnmp trap link-status


!interface eth1encapsulation ppp 1snmp trap link-status

!!interface loip address 10.250.0.6/32


!!interface tunnel0ip address 172.16.128.5/30tunnel source ppp1tunnel destination 100.100.10.2tunnel mode ipsec ipv4tunnel protection ipsec

!!

自身がAMFローカルマスターとして管理するAMFノードとの接続インターフェースでは、“switchport atmf-link”コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。

必要に応じ、各ポートに VLAN,リンクアグリゲーション、SNMP リンクTrapを設定します。また、必要に応じて接続先の説明を記載すると管理がしやすくなります。

各VLAN及びLoopbackインターフェースにIPアドレスを設定します。

IPsec で使用するトンネルインターフェースを作成します。本例ではPPPoE の設定で作成した ppp1 インターフェース上で、07-ar4050を対向としてIPsecを使用しています。





20


!interface tunnel1ip address 172.16.128.9/30ip pim sparse-modetunnel source ppp1tunnel destination 100.100.10.3tunnel mode ipsec ipv4tunnel protection ipsec

!!interface ppp1keepaliveip address negotiatedppp username userAppp password passwordA

!!router ospfospf router-id 250.250.240.6network 172.16.128.0/30 area 0.0.0.1network 172.16.128.4/30 area 0.0.0.1network 172.16.128.8/30 area 0.0.0.1network 172.17.0.0/24 area 0.0.0.1redistribute connected route-map ppp-suppress

!!ip route 100.100.10.2/32 ppp1ip route 100.100.10.3/32 ppp1ip route 100.100.10.4/32 ppp1!!ip prefix-list ppp-06 seq 5 deny 100.100.10.1/32ip prefix-list ppp-06 seq 10 permit any!route-map ppp-suppress permit 1match ip address prefix-list ppp-06

!!line con 0line vty 0 4!end


PPPoE を使用するための ppp1 インターフェースを作成します。本例ではユーザ名を ”userA”, パスワードを”passwordA”としています。

IPsecで接続する対向機器のアドレスまでの通信に使用するスタティックルートを作成します。

IPsec上で使用するOSPFの設定を行います。ルーターIDを設定し、OSPFルータの管理がしやすいように設定します。IPsec内に作成されたサブネットとLAN側に接続されているサブネットを使用しています。なお、本例のように直接接続の経路を再配信する場合はルートマップを使い、PPPoEで割り振られたアドレスを、配信しない様に設定してください。

ルートマップ及びIPプレフィックスリストの設定を作成します。PPPoEで割り振られたアドレス（本例では100.100.10.1/32）を配信しない様に設定したルートマップです。





21


!hostname 07-ar4050!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!no service telnet!service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!!snmp-serversnmp-server enable trap atmf auth loopprot nsm rmon thrash-limitsnmp-server startup-trap-delay 60snmp-server source-interface informs losnmp-server community private rwsnmp-server community public snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!!











22


!atmf network-name CLOUD_NOC_NET!!zone privatenetwork atmfip subnet 172.31.0.0/16







!!!application espprotocol 50


!!firewallrule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit ISAKMP from public.ppp1 to public rule 40 permit ISAKMP from public to public.ppp1 rule 50 permit esp from public.ppp1 to public rule 60 permit esp from public to public.ppp1 protect

!ip name-server 192.168.250.250ip domain-lookup!


ファイアーウォールに使用するゾーンの定義を作成します。ファイアーウォール有効時は通過させるすべての通信を定義することが必要です。”private”はLAN側の通信を定義しています。なお、IPsecにより作成されたtunnelインターフェースは同機能によりセキュアに保たれている為、インターフェース自体をLAN側と定義しています。 AMF 使用時は ”atmfmanagement subnet”コマンドで設定されているAMFマネージメントサブネットを必ず設定してください。(デフォルトでは172.31.0.0./16) またルーティングプロトコル使用時はそのプロトコルで使用するマルチキャストアドレスも記載する必要があります。”public”はWAN側の通信を定義しています。WAN側ではPPPoEのセッション確立時に作成されたppp1インターフェースを定義しています。

ファイアーウォールに使用するアプリケーションの定義を作成します。ファイアーウォール有効時は通過させるすべての通信を定義することが必要です。本例では”esp”としてIPsecで使用するプロトコル番号50番のパケットを定義しています。また”isakmp”としてIPsecのセッション確立に使用するISAKMPプロトコル（UDP）のポート番号（送信・受信ポート 500）を定義しています。







23


!no service dhcp-server!no spanning-tree rstp enable!!crypto isakmp key ALLIED-01 address 100.100.10.1!!!!vlan databasevlan 201 state enable

!!!interface port1.0.1-1.0.2description Connect to 08-x908switchportswitchport mode trunkswitchport trunk allowed vlan add 201switchport trunk native vlan nonestatic-channel-group 1snmp trap link-statussnmp trap link-status trap-delay 20

!interface port1.0.3-1.0.8switchportswitchport mode accesssnmp trap link-statussnmp trap link-status trap-delay 20


!interface eth1encapsulation ppp 1snmp trap link-status

!








24


!interface sa1description Connect to 08-x908switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 201switchport trunk native vlan none



!!!interface tunnel0ip address 172.16.128.6/30ip pim sparse-modetunnel source ppp1tunnel destination 100.100.10.1tunnel mode ipsec ipv4tunnel protection ipsec

!!interface ppp1keepaliveip address negotiatedppp username userBppp password passwordB

!

各VLAN及ぶLoopbackインターフェースにIPアドレスを設定します。


IPsec で使用するトンネルインターフェースを作成します。本例ではPPPoE の設定で作成した ppp1 インターフェース上で、07-ar4050を対向としてIPsecを使用しています。なおこのIPsecではIPsec over IPv4トンネルを使用しています。

PPPoE を使用するための ppp1 インターフェースを作成します。本例ではユーザ名を”userB”, パスワードを”passwordB”としています。





25


!router ospfospf router-id 250.250.230.7network 10.250.0.7/32 area 0.0.0.1network 172.16.128.4/30 area 0.0.0.1network 172.16.129.0/24 area 0.0.0.1redistribute connected route-map ppp-suppress

!!!ip route 100.100.10.1/32 ppp1!!!ip prefix-list ppp-07 seq 5 deny 100.100.10.2/32ip prefix-list ppp-07 seq 10 permit any!route-map ppp-suppress permit 1match ip address prefix-list ppp-07

!!!line con 0line vty 0 4!end


IPsec上で使用するOSPFの設定を行います。ルーターIDを設定し、OSPFルータの管理がしやすいように設定します。IPsec内に作成されたサブネットとLAN側に接続されているサブネットを使用しています。なお、本例のように直接接続の経路を再配信する場合はPPPoEで割り振られたアドレスを、ルートマップで配信しない様に設定してください。

ルートマップ及びIPプレフィックスリストの設定を作成します。PPPoEで割り振られたアドレス（本例では100.100.10.2/32）を、ルートマップで配信しない様に設定します。





26

■ 08-x908 設定サンプルその1

!hostname 08-x908!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!access-list 1 permit 192.168.250.240!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!platform hwfilter-size ipv4-full-ipv6!no service telnet!no service http!mail smtpserver 192.168.250.250!mail from [email protected]!! clock timezone JST plus 9:00!!snmp-serversnmp-server enable trap atmf atmflink atmfnode atmfrr auth nsm rmon vcssnmp-server startup-trap-delay 60snmp-server source-interface informs losnmp-server community private rw 1snmp-server community public snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!aaa authentication enable default localaaa authentication login default local !












27


!stack virtual-macstack virtual-chassis-id 3796stack resiliencylink eth0stack 1 priority 64!!!!!atmf network-name CLOUD_NOC_NETatmf masteratmf area AREA02 id 2 localatmf area AREA02 password 8 onlCyAROiAAdzqD6xaaeyJ80gDrSi4f06JLaJMUNrGE=atmf area AREA01 id 1atmf backup server id 1 192.168.250.250 username amfop2 atmf backup server id 2 172.16.132.250 username amfop2 atmf backup 00:00 frequency 8!!!!!ip name-server 192.168.250.250ip domain-lookup!!no service dhcp-server!ip multicast-routing!no spanning-tree rstp enable!platform silicon-profile extended!

VCSの設定をします。ここでは eth0を使用してレジリエンシーリンクを設定します。あわせてプライオリティの設定も入れておきます。

AMFを設定します。本構構成例では、AMFネットワーク名を”CLOUD_NOC_NET”としています。まず、本機器ではAMFローカルマスター機能を有効にします。さらにAMFコントローラとの接続の為に、コントローラの所属するAMFエリアのID及び自身が管理するAMFエリアのIDとパスワードを設定します。また、ローカルマスターのバックアップ機能を有効にし、管理下のAMFメンバーのバックアップを有効にします。本設定例の場合は3時間ごとにバックアップを取得します。なお、外部SSHサーバでは”amfop2”というユーザを使用しています。


エクスパンションモードを有効にし、FDB登録数やリンクアグリゲーショングループ数を拡張しています。





28


!mls qos enableaccess-list hardware vlinksend-to-cpu ip 172.16.128.1/32 172.16.129.2/32




!switch 1 provision x908switch 1 bay 1 provision xem-12switch 2 provision x908switch 2 bay 1 provision xem-12!vlan databasevlan 201,204 state enable

!

AMFバーチャルエリアリンクによるAMF接続に関して、対向ノードからのパケットを優先処理するQoSポリシーマップを作成します。本ポリシーマップによりデータプレーンのトラフィックがAMFの接続性に与える影響を最小限にすることができます。またAMFバーチャルリンク上でARPパケットを優先するための設定も追加します。

使用するVLANを作成します。





29


!interface port1.1.1description Connect to 09-x510switchportswitchport mode trunkswitchport trunk allowed vlan add 204switchport trunk native vlan nonestatic-channel-group 1snmp trap link-statussnmp trap link-status trap-delay 10


!interface port1.1.12description Connect to 07-ar3050switchportswitchport mode trunkswitchport trunk allowed vlan add 201switchport trunk native vlan nonestatic-channel-group 96snmp trap link-statussnmp trap link-status trap-delay 10

!interface port2.1.1description Connect to 09-x510switchportswitchport mode trunkswitchport trunk allowed vlan add 204switchport trunk native vlan nonestatic-channel-group 1snmp trap link-statussnmp trap link-status trap-delay 10

!






30



!interface port2.1.12description Connect to 07-ar3050switchportswitchport mode trunkswitchport trunk allowed vlan add 201switchport trunk native vlan nonestatic-channel-group 96snmp trap link-statussnmp trap link-status trap-delay 10


!!interface sa1description Connect to 09-x510switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 204switchport trunk native vlan nonesnmp trap link-statussnmp trap link-status trap-delay 10

! interface sa96description Connect to 07-ar3050switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 201switchport trunk native vlan noneservice-policy input vlinksnmp trap link-statussnmp trap link-status trap-delay 10

!


自身がAMFローカルマスターとして管理するAMFメンバとの接続インターフェースでは、 “switchport atmf-link”コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。





31




ip dhcp-relay server-address 192.168.250.250!!!atmf virtual-link id 2 ip 172.16.129.2 remote-id 2 remote-ip 172.16.128.1 remote-area AREA01!!!!router ospfospf router-id 250.250.220.8network 172.16.129.0/24 area 0.0.0.1redistribute connected

!!!ntp server 192.168.250.250 !line con 0line vty 0 4!end


AMFバーチャルエリアリンクを設定します。本構成では”AREA01” のAMFコントローラを宛先としてバーチャルエリアリンク作成することで、エリアとの接続に使用します。

L3通信に使用するOSPFを設定します。OSPFを使用するネットワークをOSPFエリアIDと共に設定します。また、直接接続経路をOSPFネットワークに再通知するよう設定します。

NTP ServerのIPアドレスを設定しています。





32


!hostname 09-x510!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!access-list 1 permit 192.168.250.240!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!platform hwfilter-size ipv4-limited-ipv6!no service telnet!service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!!!snmp-serversnmp-server enable trap atmfsnmp-server startup-trap-delay 60snmp-server source-interface informs losnmp-server community private rw 1snmp-server community public snmp-server host 192.168.250.240 informs version 2c private!!radius-server host 192.168.250.240 key 0123456789!








認証で使用するRadiusサーバの設定を行います。





33


!aaa authentication enable default localaaa authentication login default local aaa authentication dot1x default group radius aaa authentication auth-mac default group radius aaa authentication auth-web default group radius !stack virtual-chassis-id 3813!atmf network-name CLOUD_NOC_NET!!ip name-server 192.168.250.250ip domain-lookup!!no service dhcp-server!no ip multicast-routing!loop-protection loop-detect!no spanning-tree rstp enable!switch 1 provision x510-28!vlan databasevlan 204 state enable

!interface port1.0.1-1.0.2thrash-limiting action noneloop-protection action log-onlyswitchportswitchport mode accessswitchport access vlan 204snmp trap link-status

!



使用するVLANを作成します。VLANに名前を設定すると管理がしやすくなります。

必要に応じて認証機能を有効にします。

LDFを有効化します。エッジスイッチなどネットワークの末端となるスイッチではLDFなどのループ回避機能を有効にすると、不慮の事故を避けることができます。

必要に応じ、各ポートにVLAN, リンクアグリゲーション, SNMP リンクTrap, LDFを設定します。また、必要に応じて接続先の説明を記載すると管理がしやすくなります。





34


!interface port1.0.3thrash-limiting action noneloop-protection action log-onlyswitchportswitchport mode accessswitchport access vlan 204auth-mac enableauth-web enabledot1x port-control autoauth host-mode multi-supplicantsnmp trap link-status

!interface port1.0.4-1.0.12thrash-limiting action noneloop-protection action log-onlyswitchportswitchport mode accesssnmp trap link-status

!interface port1.0.13switchportswitchport mode accessswitchport access vlan 204snmp trap link-status


!interface port1.0.23-1.0.24description Connect to 08-x908switchportswitchport mode trunkswitchport trunk allowed vlan add 204switchport trunk native vlan nonestatic-channel-group 96snmp trap link-status


!

必要に応じ、各ポートにVLAN, リンクアグリゲーション, SNMP リンクTrap, LDFを設定します。また、必要に応じて接続先の説明を記載すると管理がしやすくなります。



各ポートにVLAN, リンクアグリゲーション, SNMP リンクTrap, LDFを設定します。本ポートではポート認証を設定してます。



35


!!interface sa96description Connect to 08-x908switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 204switchport trunk native vlan none

!!interface vlan204ip address 172.16.132.2/24ip dhcp-relay server-address 192.168.250.250

!!!ip route 0.0.0.0/0 172.16.132.1!!line con 0line vty 0 4!end





デフォルトルートを設定します。L2スイッチでは他のネットワークに接続する際に必要な設定です。



36


!!hostname 17-x930!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0username atkk privilege 15 password 8 $1$SHtuLIGV$brkMGYAnMfLdHn0opH5f20!access-list 1 permit 192.168.250.240!!log host 192.168.250.240log host 192.168.250.240 level debugging log email [email protected] email [email protected] level errors !ssh server allow-users *service ssh!platform hwfilter-size ipv4-limited-ipv6!no service telnet!service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!!snmp-serversnmp-server enable trap atmf atmflink atmfnode atmfrr auth nsm rmon vcssnmp-server source-interface informs losnmp-server community private rw 1snmp-server community public snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!aaa authentication enable default localaaa authentication login default local



SYSLOG機能を用い、SYSLOGサーバーへログの転送を行います。同様にログメッセージをメールで通知する設定も行います。









37


!stack virtual-macstack virtual-chassis-id 2745stack resiliencylink eth0!!!atmf network-name CLOUD_NOC_NETatmf masteratmf area AREA04 id 4 localatmf area AREA04 password 8 lyoJE3LHpvgtQFUUFVd0rVryYvTiIKLstv8N5UeaaOg=atmf area AREA01 id 1atmf backup server id 1 192.168.250.250 username amfop4 atmf backup server id 2 192.168.129.250 username amfop4 atmf backup 00:00 frequency 8!!!!!ip name-server 192.168.250.250ip domain-lookup!no service dhcp-server!ip multicast-routing!power-inline rps boost member 1power-inline rps boost member 2!service power-inlineno spanning-tree rstp enable!!switch 1 provision x930-28switch 2 provision x930-28!vlan databasevlan 300-301 state enable

!ip pim bsr-candidate vlan300ip pim rp-candidate vlan300

VCSPlusを有効にします。VCSPlus使用時は仮想MACを必ず有効にしてください。

AMFを設定します。本構構成例では、AMFネットワーク名を”CLOUD_NOC_NET” としています。本機器は AMFローカルマスターの機能を有効にしています。さらに管理対象のローカルマスターが使用しているエリアに関して、エリア名とID, パスワードを設定します。これらは各エリアマスターと一致させる必要があります。また、各ローカルマスタのバックアップを取得する機能を有効にし、通常のAMFメンバーのバックアップと合わせて、外部SSHサーバにバックアップを保存しています。なお外部SSHサーバでは”amfop4”というユーザを使用しています。



PIM-SMで使用するランデブーポイントを設定します。





38


!interface port1.0.1switchportswitchport mode trunkswitchport trunk allowed vlan add 301switchport trunk native vlan nonestatic-channel-group 1snmp trap link-statussnmp trap link-status trap-delay 10


!interface port1.0.13switchportswitchport mode trunkswitchport trunk native vlan nonesnmp trap link-statussnmp trap link-status trap-delay 10


!interface port1.0.24description Connect to 01-x81cfc960switchportswitchport mode trunkswitchport trunk allowed vlan add 300switchport trunk native vlan nonestatic-channel-group 96snmp trap link-statussnmp trap link-status trap-delay 10


!






39


!interface port2.0.1switchportswitchport mode trunkswitchport trunk allowed vlan add 301switchport trunk native vlan nonestatic-channel-group 1snmp trap link-statussnmp trap link-status trap-delay 10


!interface port2.0.24description Connect to 01-x81cfc960switchportswitchport mode trunkswitchport trunk allowed vlan add 300switchport trunk native vlan nonestatic-channel-group 96snmp trap link-statussnmp trap link-status trap-delay 10




!






40


!interface sa1switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 301switchport trunk native vlan nonesnmp trap link-statussnmp trap link-status trap-delay 10

!interface sa96description Connect to 01-x81cfc960switchportswitchport atmf-arealink remote-area AREA01 vlan 30switchport mode trunkswitchport trunk allowed vlan add 300switchport trunk native vlan nonesnmp trap link-statussnmp trap link-status trap-delay 10



!interface vlan301ip address 192.168.129.1/24ip igmpip pim sparse-modeip dhcp-relay server-address 192.168.250.250

!

自身がAMFローカルマスターとして管理するAMFメンバとの接続インターフェースでは、“switchport atmf-link”コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。

多エリアとの接続の為の『エリアリンク』を設定します。本インターフェースはAMFコントローラと直接接続している為、“switchport atmf-arealink” コマンドでエリア名とエリア間接続用のVLANを設定しています。またユーザートラフィック用のVLANも併せて設定します。






41


!router ospfospf router-id 250.250.240.17network 192.168.128.0/30 area 0.0.0.0redistribute connected

!!!!!ntp server 192.168.250.250 !line con 0line vty 0 4!end

L3通信に使用するOSPFを設定します。OSPFを使用するネットワークをOSPFエリアIDと共に設定します。また、直接接続経路をOSPFネットワークに再通知するよう設定します。






42


!!hostname 19-cfc400!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!access-list 1 permit 192.168.250.240!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!no service telnet!no service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!!!snmp-serversnmp-server enable trap atmf atmflink atmfnode atmfrrsnmp-server startup-trap-delay 40snmp-server community private rw 1snmp-server community public 1snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!aaa authentication enable default localaaa authentication login default local !



SYSLOG機能を用い、SYSLOGサーバーへログの転送を行います。メールでの通知する設定もあります。









43


!atmf network-name CLOUD_NOC_NETatmf masteratmf area AREA05 id 5 localatmf area AREA05 password 8 25OREDijkQW4y9dNkROX5xoPWH7pXn/4sgbLNTP3Gc8=atmf area AREA01 id 1atmf group area5,cfc400,local-masteratmf backup server id 1 192.168.250.250 username amfop5 atmf backup server id 2 172.16.1.250 username amfop5 atmf backup 00:00 frequency 8!!!!!!ip name-server 192.168.250.250ip domain-lookup!no service dhcp-server!no ip multicast-routing!!!no spanning-tree rstp enable!mls qos enableaccess-list hardware vlinksend-to-cpu ip 172.16.2.2/32 172.16.1.1/32send-to-cpu ip 172.16.3.2/32 172.16.1.1/32




AMFを設定します。本構構成例では、AMFネットワーク名を”CLOUD_NOC_NET”としています。まず、本機器はAMFコントローラとAMFローカルマスターを併用するので、両機能を有効にします。さらに管理対象のローカルマスターが使用しているエリアに関して、エリア名とID, パスワードを設定します。これらは各エリアマスターと一致させる必要があります。また、各ローカルマスタのバックアップを取得する機能を有効にし、通常のAMFメンバーのバックアップと合わせて、外部SSHサーバにバックアップを保存しています。なお外部SSHサーバでは”amfop5”というユーザを使用しています。


AMFバーチャルリンク・AMFバーチャルエリアリンクによるAMF接続に関して、対向ノードからのパケットを優先処理するQoSポリシーマップを作成します。本ポリシーマップによりデータプレーンのトラフィックがAMFの接続性に与える影響を最小限にすることができます。またAMFバーチャルリンク上でARPパケットを優先するための設定も追加します。





44


!switch 1 card 1 provision ge24switch 1 card 2 provision xe6!vlan databasevlan 400-401 state enable

!!interface port1.1.1description to Connect to 20-ar3050switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 401switchport trunk native vlan noneservice-policy input vlinksnmp trap link-status

!!interface port1.1.2-1.1.11switchportswitchport mode accesssnmp trap link-status

!interface port1.1.12switchportswitchport mode accessswitchport access vlan 401snmp trap link-status


!interface port1.1.24description to Connect to SSH server 4switchportswitchport mode accessswitchport access vlan 401snmp trap link-status

!


必要に応じ、各ポートに VLAN, リンクアグリゲーション、SNMPリンクTrapを設定します。また、必要に応じて接続先の説明を記載すると管理がしやすくなります。

自身がAMFローカルマスタとして管理する AMF メンバとの接続インターフェースでは、 “switchport atmf-link”コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。さらに本インターフェースを通して、バーチャルエリアリンクが接続される為、優先制御用のQoSポリシーマップを設定します。





45


!interface port1.2.1description Connect to 01-x81cfc960switchportswitchport mode trunkswitchport trunk allowed vlan add 400switchport trunk native vlan nonestatic-channel-group 96snmp trap link-status


!interface port1.2.6description Connect to 01-x81cfc960switchportswitchport mode trunkswitchport trunk allowed vlan add 400switchport trunk native vlan nonestatic-channel-group 96snmp trap link-status


!!interface sa96description Connect to 01-x81cfc960switchportswitchport atmf-arealink remote-area AREA01 vlan 50switchport mode trunkswitchport trunk allowed vlan add 400switchport trunk native vlan none

!


多エリアとの接続の為の『エリアリンク』を設定します。本インターフェースは”AREA01”のエリアマスターと直接接続している為、“switchport atmf-arealink” コマンドでエリア名とエリア間接続用のVLANを設定しています。またユーザートラフィック用のVLANも併せて設定します。





46




!!atmf virtual-link id 2 ip 172.16.1.1 remote-id 2 remote-ip 172.16.3.2 atmf virtual-link id 1 ip 172.16.1.1 remote-id 1 remote-ip 172.16.2.2 !!router ripnetwork 172.16.0.0/30network 172.16.1.0/24redistribute connected

!!ntp server 192.168.250.250 !line con 0line vty 0 4!end

各VLANにIPアドレスを設定します。

AMFバーチャルリンクを設定します。

L3通信に使用するRIPを設定します。RIPを使用するネットワークを設定します。






47


!!hostname 20-ar3050!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!no service telnet!no service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!!!!snmp-serversnmp-server enable trap atmf auth nsm rmon thrash-limitsnmp-server startup-trap-delay 40snmp-server source-interface informs losnmp-server community private rwsnmp-server community public snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!aaa authentication enable default localaaa authentication login default local !











48


!atmf network-name CLOUD_NOC_NET!!zone privatenetwork atmfip subnet 172.31.0.0/16






!!!!application espprotocol 50


!!!firewallrule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit ISAKMP from public.ppp1 to public rule 40 permit ISAKMP from public to public.ppp1 rule 50 permit esp from public.ppp1 to public rule 60 permit esp from public to public.ppp1 protect



ファイアーウォールに使用するゾーンの定義を作成します。ファイアーウォール有効時は通過させるすべての通信を定義することが必要です。”private”はLAN側の通信を定義してい

ます。なお、IPsecにより作成されたtunnelインターフェースは同機能によりセキュアに保たれている為、インターフェース自体をLAN側と定義しています。 AMF 使用時は ”atmfmanagement subnet”コマンドで設定されているAMFマネージメントサブネットを必ず設定してください。(デフォルトでは172.31.0.0/16) またルーティングプロトコル使用時はそのプロトコルで使用するマルチキャストアドレスも記載する必要があります。

”public”はWAN側の通信を定義しています。WAN側ではPPPoEのセッション確立時に作成されたppp1インターフェースを定義しています。

ファイアーウォールで使用するアプリケーションの定義を作成します。ファイアーウォール有効時は通過させるすべての通信を定義することが必要です。

本例では”esp”としてIPsecで使用するプロトコル番号50番のパケットを定義しています。また”isakmp”としてIPsecでのセッション確立までに使用するISAKMPプロトコル（UDP）のポート番号（送信・受信ポート 500）を定義しています。







49


!no service dhcp-server!no ip multicast-routing!no spanning-tree rstp enable!crypto isakmp key ALLIED-03 address 100.100.11.2crypto isakmp key ALLIED-04 address 100.100.11.3!

vlan databasevlan 401 state enable

!interface port1.0.1switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 401switchport trunk native vlan nonesnmp trap link-status



!!interface eth1encapsulation ppp 1snmp trap link-status



!



AMFローカルマスターと接続するインターフェースでは、“switchport atmf-link” コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。

必要に応じ、各ポートに VLAN,リンクアグリゲーション、SNMP リンクTrapを設定します。また、必要に応じて接続先の説明を記載すると管理がしやすくなります。


eth1インターフェースでppp接続を行うよう設定します。





50


!interface tunnel0ip address 172.16.0.5/30snmp trap link-statusip pim sparse-modetunnel source ppp1tunnel destination 100.100.11.2tunnel mode ipsec ipv4tunnel protection ipsec

!!interface tunnel1ip address 172.16.0.9/30snmp trap link-statusip pim sparse-modetunnel source ppp1tunnel destination 100.100.11.3tunnel mode ipsec ipv4tunnel protection ipsec

!!interface ppp1keepaliveip address negotiatedppp username userDppp password passwordDsnmp trap link-status

!



PPPoE を使用するための ppp1 インターフェースを作成します。本例ではユーザ名を ”userD”, パスワードを”passwordD”としています。





51


!router ospfospf router-id 250.250.240.6network 172.16.0.4/30 area 0.0.0.0network 172.16.0.8/30 area 0.0.0.0

redistribute connected route-map ppp-suppressredistribute rip

!!!!!router ripnetwork 172.16.1.0/24redistribute connected route-map ppp-suppressredistribute ospf

!!!!ip route 100.100.11.2/32 ppp1ip route 100.100.11.3/32 ppp1!!ip prefix-list ppp-20 seq 5 deny 100.100.11.1/32ip prefix-list ppp-20 seq 10 permit any!route-map ppp-suppress permit 1match ip address prefix-list ppp-20



IPsec上で使用するOSPFの設定を行います。ルーターIDを設定し、OSPFルータの管理がしやすいように設定します。IPsec内に作成されたサブネットとLAN側に接続されているサブネットを使用しています。またRIPにて取得した経路情報をOSPF上に再配送しています。なお、本例のように直接接続の経路を再配信する場合はルートマップを使い、PPPoEで割り振られたアドレスを、配信しない様に設定してください。


RIPの設定を行います。ルーターIDを設定し、RIPルータの管理がしやすいように設定します。またOSPFにて取得した経路情報をRIP上に再配送しています。なお、本例のように直接接続の経路を再配信する場合はルートマップを使い、PPPoEで割り振られたアドレスを、配信しない様に設定してください。





52


!!hostname 23-ar3050!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!no service telnet!no service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!!!!snmp-serversnmp-server enable trap atmf auth nsm rmon thrash-limitsnmp-server startup-trap-delay 40snmp-server source-interface informs losnmp-server community private rwsnmp-server community public snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!aaa authentication enable default localaaa authentication login default local !











53


!atmf network-name CLOUD_NOC_NET!!!zone privatenetwork atmfip subnet 172.31.0.0/16





!!!!!!application espprotocol 50


!!firewallrule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit ISAKMP from public.ppp1 to public rule 40 permit ISAKMP from public to public.ppp1 rule 50 permit esp from public.ppp1 to public rule 60 permit esp from public to public.ppp1 protect



ファイアーウォールに使用するゾーンの定義を作成します。ファイアーウォール有効時は通過させるすべての通信を定義することが必要です。”private”はLAN側の通信を定義しています。なお、IPsecにより作成されたtunnelインターフェースは同機能によりセキュアに保たれている為、インターフェース自体をLAN側と定義しています。 AMF 使用時は ”atmfmanagement subnet”コマンドで設定されているAMFマネージメントサブネットを必ず設定してください。(デフォルトでは172.31.0.0./16) またルーティングプロトコル使用時はそのプロトコルで使用するマルチキャストアドレスも記載する必要があります。”public”はWAN側の通信を定義しています。WAN側ではPPPoEのセッション確立時に作成されたppp1インターフェースを定義しています。

ファイアーウォールに使用するアプリケーションの定義を作成します。ファイアーウォール有効時は通過させるすべての通信を定義することが必要です。本例では”esp”としてIPsecで使用するプロトコル番号50番のパケットを定義しています。また”isakmp”としてIPsecのセッション確立に使用するISAKMPプロトコル（UDP）のポート番号（送信・受信ポート 500）を定義しています。







54


!no service dhcp-server!no ip multicast-routing!no spanning-tree rstp enable!crypto isakmp key ALLIED-04 address 100.100.11.1!!vlan databasevlan 402 state enable

!!!interface port1.0.1-1.0.2description Connect to 24-x310switchportswitchport mode trunkswitchport trunk allowed vlan add 402static-channel-group 1snmp trap link-status

!!interface port1.0.3-1.0.4switchportswitchport mode accessswitchport access vlan 402snmp trap link-status



!!interface eth1encapsulation ppp 1snmp trap link-status

!




eth1インターフェースでppp接続を行うよう設定します。

AMFローカルマスターと接続するインターフェースでは、“switchport atmf-link” コマンドを設定します。また、リンクアグリゲーションやユーザートラフィック用のVLANも併せて設定します。





55



!!!interface sa1description Connect to 24-x310switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 402snmp trap link-status

!!interface tunnel0ip address 172.16.0.6/30snmp trap link-status

tunnel source ppp1tunnel destination 100.100.11.1tunnel mode ipsec ipv4tunnel protection ipsec

!!interface pppkeepaliveip address negotiatedppp username userFppp password passwirdFsnmp trap link-status

!


AMFローカルマスターと接続するインターフェースでは、“switchport atmf-link” コマンドを設定します。また、リンクアグリゲーションやユーザートラフィック用のVLANも併せて設定します。


PPPoE を使用するための ppp1 インターフェースを作成します。本例ではユーザ名を ”userA”, パスワードを”passwordA”としています。






56


!!router ospfospf router-id 250.250.240.6network 172.16.0.4/30 area 0.0.0.0redistribute connected route-map ppp-suppressredistribute rip

!!!!!!router ripnetwork 172.16.2.0/24redistribute connected route-map ppp-suppressredistribute ospf

!!!ip route 0.0.0.0/0 ppp1!!ip prefix-list ppp-23 seq 5 deny 100.100.11.3/32ip prefix-list ppp-23 seq 10 permit any!route-map ppp-suppress permit 1match ip address prefix-list ppp-23



IPsec上で使用するOSPFの設定を行います。ルーターIDを設定し、OSPFルータの管理がしやすいように設定します。IPsec内に作成されたサブネットとLAN側に接続されているサブネットを使用しています。またRIPにて取得した経路情報をOSPF上に再配送しています。なお、本例のように直接接続の経路を再配信する場合はルートマップを使い、PPPoEで割り振られたアドレスを、配信しない様に設定してください。


RIPの設定を行います。ルーターIDを設定し、RIPルータの管理がしやすいように設定します。またOSPFにて取得した経路情報をRIP上に再配送しています。なお、本例のように直接接続の経路を再配信する場合はルートマップを使い、PPPoEで割り振られたアドレスを、配信しない様に設定してください。





57


!!hostname 24-x310!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!access-list 1 permit 192.168.250.240!

log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!platform hwfilter-size ipv4-limited-ipv6!no service telnet!no service http!mail smtpserver 192.168.250.250!mail from [email protected]!clock timezone JST plus 9:00!!!snmp-serversnmp-server enable trap atmf auth nsm rmon vcssnmp-server startup-trap-delay 40snmp-server source-interface informs losnmp-server community private rw 1snmp-server community public 1snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!aaa authentication enable default localaaa authentication login default local !












58


!stack virtual-macstack virtual-chassis-id 3038!!atmf network-name CLOUD_NOC_NET!!ip name-server 192.168.250.250ip domain-lookup!no service dhcp-server!no ip multicast-routing!no spanning-tree rstp enable!mls qos enableaccess-list hardware vlinkpermit ip 172.16.1.1/32 172.16.2.2/32



!policy-map vlinkclass defaultclass vlinkremark new-cos 6 both

class vlinkarpremark new-cos 6 both

!switch 1 provision x310-50switch 2 provision x310-50!vlan databasevlan 402-403 state enable

!




VCSを設定します。VCS使用時は必ずバーチャルMACを有効にしてください。


AMFバーチャルリンクによるAMF接続に関して、対向ノードからのパケットを優先処理するQoSポリシーマップを作成します。本ポリシーマップによりデータプレーンのトラフィックがAMFの接続性に与える影響を最小限にすることができます。またAMFバーチャルリンク上でARPパケットを優先するための設定も追加します。




59


!interface port1.0.1switchportswitchport mode trunkswitchport trunk allowed vlan add 403switchport trunk native vlan nonestatic-channel-group 1snmp trap link-status


!!!interface port1.0.50switchportswitchport mode trunkswitchport trunk allowed vlan add 402static-channel-group 96snmp trap link-status

!interface port2.0.1switchportswitchport mode trunkswitchport trunk allowed vlan add 403switchport trunk native vlan nonestatic-channel-group 1snmp trap link-status


!interface port2.0.50switchportswitchport mode trunkswitchport trunk allowed vlan add 402static-channel-group 96snmp trap link-status

!






60


!interface sa1switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 403switchport trunk native vlan nonesnmp trap link-status

!interface sa96switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 402snmp trap link-status

!

interface loip address 10.250.0.24/32



!!atmf virtual-link id 1 ip 172.16.2.2 remote-id 1 remote-ip 172.16.1.1 !!router ripnetwork 172.16.2.0/24network 172.16.4.0/24redistribute connected





AMFバーチャルリンクを設定します。

L3通信に使用するRIPを設定します。RIPを使用するネットワークを設定します。

他のAMFメンバーとの接続インターフェースでは、 “switchport atmf-link”コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。



61


!hostname 25-x230!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0!!access-list 1 permit 192.168.250.240!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!no service telnet!no service http!mail smtpserver 192.168.250.250!mail from [email protected]!clock timezone JST plus 9:00!!!snmp-serversnmp-server enable trap atmf auth loopprot rmonsnmp-server startup-trap-delay 40snmp-server community private rw 1snmp-server community public 1snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!aaa authentication enable default localaaa authentication login default local !












62


!atmf network-name CLOUD_NOC_NET!!ip name-server 192.168.250.250ip domain-lookup!!service power-inlineno spanning-tree rstp enable!vlan databasevlan 403 state enable

!!interface port1.0.1-1.0.4switchportswitchport mode accessswitchport access vlan 403

!interface port1.0.5-1.0.6switchportswitchport mode access

!interface port1.0.7-1.0.8description Connect to 24-x310switchportswitchport mode trunkswitchport trunk allowed vlan add 403switchport trunk native vlan nonestatic-channel-group 96

!interface port1.0.9-1.0.10switchportswitchport mode access

!









63


!interface sa96description Connect to 24-x310switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 403switchport trunk native vlan none


!!ip route 0.0.0.0/0 172.16.4.1!!line con 0line vty 0 4!end



他のAMFメンバーとの接続インターフェースでは、 “switchport atmf-link”コマンドを設定します。また、ユーザートラフィック用のVLANも併せて設定します。




64

■ 26-ix5 設定サンプルその1

service password-encryption!hostname 26-ix5!no banner motd!username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0username atkk privilege 15 password 8 $1$tdgTLBBl$Jg9FFsNu6mDJ/LL5H.k6z/!access-list 1 permit 192.168.250.240!!!log host 192.168.250.240log host 192.168.250.240 level debugging !!ssh server allow-users *service ssh!platform hwfilter-size ipv4-limited-ipv6!no service telnet!no service http!mail smtpserver 192.168.250.250!mail from [email protected]!!clock timezone JST plus 9:00!snmp-serversnmp-server enable trap atmf auth loopprot nsm rmon thrash-limitsnmp-server startup-trap-delay 40snmp-server source-interface informs losnmp-server community private rw 1snmp-server community public 1snmp-server host 192.168.250.240 informs version 2c privatesnmp-server host 192.168.250.240 version 2c private!radius-server host 192.168.250.240 key 0123456789!








認証で使用するRadiusサーバの設定を行います。





65


!no stack 1 enable!!atmf network-name CLOUD_NOC_NETatmf group L2SW,SWITCHES!!ip name-server 192.168.250.250ip domain-lookup!!!no service dhcp-server!no ip multicast-routing!service power-inlineno spanning-tree rstp enable!switch 1 provision x510-28!vlan databasevlan 1000 name 05_MANAGMENTvlan 3500 name TMPvlan 1000,2000,3500 state enable

!interface port1.0.1-1.0.12switchportswitchport mode accessswitchport access vlan 1000snmp trap link-status


!



使用するVLANを作成します。VLANに名前を設定すると管理がしやすくなります。


必要に応じてVCSを無効にします。





66


interface port1.0.17-1.0.18switchportswitchport mode accesssnmp trap link-status


!interface port1.0.23-1.0.24description Connect to 01-x81cfc960switchportswitchport mode trunkswitchport trunk allowed vlan add 1000,2000switchport trunk native vlan nonestatic-channel-group 1snmp trap link-status


!!interface sa1description Connect to 01-x81cfc960switchportswitchport atmf-linkswitchport mode trunkswitchport trunk allowed vlan add 1000,2000switchport trunk native vlan nonesnmp trap link-status


!ip route 0.0.0.0/0 192.168.250.1!line con 0line vty 0 4!end


各VLANにIPアドレスを設定します。






67

■ 制限事項・仕様

1. OSPFで経路情報を交換した際、定期的に以下のエラーログが出力される場合があります。

kern.err 06-ar4050 kernel: huh, entered softirq 3 NET_RX 8000000004361438 preempt_count 00000100, exited with 00000102

2. 2台のVCS構成機器にてMaster同士・Slave同士を接続し、そのインターフェースでLAGを構成・両機器の間でOSPFによるデフォルトルート配信している場合、両機器でマスターフェイルオーバーを同時に発生させると、メンバー復帰時にデフォルトルートを学習しない場合があります。この場合は双方の機器でclear ip ospf process を実行してください。

3. SNMPWalkを実行中に"ioctl 35123 returned -1"のようなログが出力されることがありますが、通信には影響ありません。

4. PPPoE上のIPsecトンネルではRIPの使用は未サポートとなります。

5. OSPF機能、IPsec機能、及びPPPoE機能を併用した場合、利用可能なルート数は200ルートまでとなります。

6. AR4050Sを含むatmf groupを対象としてatmf distribute firmware 及び atmfreboot-rollingコマンドによるファームウェアバージョンアップを行う際には、必ずAR4050Sのみ先にバージョンアップをしてください。またこれらのコマンドを使用する際に、AR4050SとAR3050Sのファームウェアが混在している保存先を使用する場合は、明示的にAR4050S用ファームウェアを指定してバージョンアップを行ってください。



■ 注意事項

本環境のサンプルコンフィグが記載されておりますが、ページ数の関係上、使用機能がある程度重複している機器に関しては省略をさせていただいております。コンフィグが省略されている機器のコンフィグに関しては、記載されている機器のコンフィグを参考に設定いただけるようお願い致します。

本ページに記載の制限事項・仕様は本構成に関わる一部です。他機種・他機能の利用に関する

制限事項は事前に各製品の最新リリースノートをご参照ください。

http://www.allied-telesis.co.jp/

www.allied-telesis.co.jp

！

安全のために

ご使用の際は製品に添付されたマニュアル

をお読みになり正しくご使用ください。製品のくわしい情報は特徴、仕様、構成図、マニュアル等 http://www.allied-telesis.co.jp/

アライドテレシス株式会社

本資料に関するご質問やご相談は 0120-860442 （月～金／9:00～17:30）

[email protected]

購入前の製品に関するお問合せ

製品購入後のお問合せ

[email protected]

b7575583204eefbb96b39f8e2c8fc764e2bb75e2

Documents

Cloud NOC & Huge Enterprise ニチテロヺキ...Cloud NOC & Huge Enterprise ニチテロヺキ 複数の拠点間を繋ぐ大規模ネットワークを構築したい。 AMF機能を活用したネットワーク全体の一元管理を行い、運用コストを削減したい。

Cloud NOC & Huge Enterprise ニチテロヺキ...Cloud NOC & Huge Enterprise ニチテロヺキ複数の拠点間を繋ぐ大規模ネットワークを構築したい。 AMF機能を活用したネットワーク全体の一元管理を行い、運用コストを削減したい。