AMF & SESネットワーク

Size: px

Start display at page:

Download "AMF & SESネットワーク"

あきひろさどひら
5 years ago
Views:

ネットワークの一元管理が可能となり機器故障時には代替機と差し替えるだけで自動的に復旧させるAuto Recovery機能に代表される利便性をネットワーク管理に付与することができ運用管理にかかる時間とコストを大幅に下げることが可能になりましたしかし IoTネットワーク化が進むにつれて

1 Solution No AMF & SESネットワーク主な目的複数の拠点間を繋ぐ大規模ネットワークを構築したい AMF機能を活用してネットワークの一元管理を行い運用コストを削減したい SES機能を活用してネットワーク運用の効率化とセキュリティーの強化を実現したい概要 AMF機能を用いることでネットワークの一元管理が可能となり機器故障時には代替機と差し替えるだけで自動的に復旧させるAuto Recovery機能に代表される利便性をネットワーク管理に付与することができ運用管理にかかる時間とコストを大幅に下げることが可能になりましたしかし IoTネットワーク化が進むにつれてセキュリティソフトを実装できないデバイスもネットワークに接続されるようになりセキュリティを確保できる代替策を考慮する必要となりましたそこでネットワークのエッジセキュリティに特化したSecureEnterprise SDN(SES)を用いることでネットワークセキュリティアプリケーションが検出した被疑デバイス情報をもとにそのデバイスをネットワークから自動的に隔離遮断することができます本資料ではネットワークの一元管理を行いネットワークセキュリティアプリケーションと連動してネットワーク側からセキュリティを担保強靭化するAMF&SESソリューションをご紹介いたします 1

2 Solution No 構成図 DNS Server Mail Server NTP Server, Syslog Server, SNMP manager Radius Server Syslog Call Syslog Call Other Network AT-SESC1 AT-SESC2 Other Network 12-AR3050S TrendMicro DDI 10-x510DP 11-L2SW-4 Mirroring 00-x AR4050S PPPoE Server Bypass connection 02-x AR4050S 08-AR4050S 13-L2SW-3 01-SH SH GS900MPX x600 TQ4600 TQ4600 SESC1 area Open Flow Open Flow Open Flow SESC2 area Open Flow 2

3 構成図 Other Network DNS Server Mail Server NTP Server, Syslog Server, SNMP manager Radius Server Syslog Call AT- SESC1 Syslog Call AT- SESC2 Other Network VLAN AR3050S Eth1 TrendMicro DDI 10-x510DP L2SW Mirroring 00-x AR4050S Eth2 PPPoE Server Bypas connection 07-AR4050S 08-AR4050S x930 Eth SH SH L2SW GS900MPX TQ4600 TQ x VLAN 21 SESC1 area VLAN Open Flow VLAN VLAN Open Flow VLAN Open Flow VLAN 26 SESC2 area VLAN Open Flow 10G Link 通常ポート 1G /100M Link OpenFlow ポート Link Aggregation 3

4 Solution No 構築のポイント Other Network DNS Server Mail Server NTP Server, Syslog Server, SNMP manager Radius Server Syslog Call AT- SESC1 Syslog Call AT- SESC2 Other Network AR3050S Eth1 TrendMicro DDI 10-x510DP L2SW Mirroring 00-x AR4050S Eth2 PPPoE Server HA モード VRRP を使用する事でバイパスポートを利用した冗長構成を組む事が可能です Bypas connection 07-AR4050S 08-AR4050S AT-4600をAMFゲストノー 01-SH230 ドとして使用する事で AMFマスターからの状態監視コンフィグのバックアップや手動リカバリーが可能です 04-SH x AMF バーチャルリンクで接続する事でルータ上の PPPoE や IPsec を経由して AMF ノード間を接続します Eth L2SW GS900MPX TQ4600 TQ x600 自発パケットを出さないプリンター等は SESC で認証する事が出来ない為通常ポートに接続します SESC1 area Open Flow Open Flow Open Flow SESC2 area AT-x600 を AMF エージェントノードとして使用する事で AMF マスターからの状態監視が可能です Open Flow 10G Link 通常ポート 1G /100M Link OpenFlow ポート Link Aggregation 4

5 Solution No 構築のポイント (VLAN) Other Network DNS Server Mail Server NTP Server, Syslog Server, SNMP manager Radius Server Syslog Call AT- SESC1 Syslog Call AT- SESC2 Other Network VLAN 1000 : / x510DP x L2SW VLAN 1001: / AR3050S VLAN13 : / Eth AR4050S Eth2 Mirroring PPPoE Server TrendMicro DDI Bypas connection 07-AR4050S 08-AR4050S VLAN 11 : /24 01-SH : / : / : / : / : / : / : / : / : /24 TQ4600 TQ : / : / VLAN : /24 22 : /24 24 : / : /24 04-SH : / : / : / : / : / : / : / : / : /24 02-x : / : / : / : / : / : / : / : / : / : / : /24 Eth L2SW VLAN 15 : /24 26 : / GS900MPX 401 : / : / : / : / : /24 x G Link 通常ポート 1G /100M Link OpenFlow ポート Link Aggregation 5

6 00-x930-VCS 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 00-x930 SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います SSH 機能で運用管理するための接続設定を入れます log buffered exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings ssh server v2only ssh server allow-users manager service ssh メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定しますタイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です mail smtpserver mail from 00-x930@SmartCities.com clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します VCS 設定を行います VCS を使用する場合必ずバーチャル MAC アドレス機能を有効化してくださいなおバーチャル MAC アドレス設定は VCS グループの再起動後有効になります snmp-server snmp-server enable trap atmf atmflink auth vcs snmp-server community SmartCities snmp-server host version 2c SmartCities stack virtual-mac stack virtual-chassis-id 3568 stack resiliencylink eth0 stack 1 priority 1 AMF を設定します本構構成例では AMF ネットワーク名を SmartCities とし本機器にて AMF ローカルマスターを有効にしています atmf network-name SmartCities atmf master 6

7 00-x930-VCS 設定サンプルその 2 本構成例では本機器が NTP クライアントとして動作するように設定しています ntp server 必要に応じて DNS サーバの設定を行います ip name-server ip domain-lookup 必要に応じて DHCP サーバーの設定を行い IPv4 クライアントに対して IP アドレスを自動的に割り当てられるようにします ip dhcp pool vlan100 network range dns-server default-router lease subnet-mask ip dhcp pool vlan101 network range dns-server default-router lease subnet-mask ip dhcp pool vlan102 network range dns-server default-router lease subnet-mask :: この間 vlan103 - vlan109に同様の設定を行います :: ip dhcp pool vlan110 network range dns-server default-router lease subnet-mask

8 00-x930-VCS 設定サンプルその 3 必要に応じて DHCP サーバーの設定を行い IPv4 クライアントに対して IP アドレスを自動的に割り当てられるようにします ip dhcp pool vlan200 network range dns-server default-router lease subnet-mask ip dhcp pool vlan206 network range host d.5e dns-server default-router lease subnet-mask ip dhcp pool vlan207 network range dns-server default-router lease subnet-mask :: この間 vlan208 - vlan224に同様の設定を行います :: ip dhcp pool vlan225 network range dns-server default-router lease subnet-mask

9 00-x930-VCS 設定サンプルその 4 必要に応じて DHCP サーバーの設定を行い IPv4 クライアントに対して IP アドレスを自動的に割り当てられるようにします ip dhcp pool vlan401 network range dns-server default-router lease subnet-mask ip dhcp pool vlan402 network range dns-server default-router lease subnet-mask ip dhcp pool vlan403 network range dns-server default-router lease subnet-mask ip dhcp pool vlan404 network range dns-server default-router lease subnet-mask ip dhcp pool vlan405 network range dns-server default-router lease subnet-mask

10 00-x930-VCS 設定サンプルその 5 最後に DHCP サーバー機能を有効にします IP マルチキャストルーティングを有効にします service dhcp-server ip multicast-routing 初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します no spanning-tree rstp enable 必要な VLAN を作成します vlan database vlan 11-13,21-25,31-35, , , , ,2000 state enable 必要に応じてアクセスリスト QoS を設定します mls qos enable access-list 3000 permit udp /8 any eq 3784 access-list 3100 deny ip any /32 access-list hardware ACL permit udp any range any range permit ip / /32 permit ip / /32 access-list hardware VLAN_ACL deny ip / /32 class-map QoS-C match access-group 3000 policy-map QoS class default class QoS-C remark new-cos 4 internal vlan access-map VLAN_MAP match access-group VLAN_ACL PIM-SM で使用するランデブーポイントを設定します ip pim bsr-candidate vlan999 ip pim rp-candidate vlan999 10

11 00-x930-VCS 設定サンプルその 6 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port1.0.1 description ## 01-SH230 ## mode trunk trunk allowed vlan add 11,21, static-channel-group 1 interface port1.0.2 description ## 02-x930 ## mode trunk trunk allowed vlan add 12,22-24,31-35, static-channel-group 2 interface port1.0.4 description ### 09-AR4050S ### mode trunk trunk allowed vlan add 13 static-channel-group 4 interface port1.0.6 description ### 11-L2SW-4 ### mode trunk trunk allowed vlan add 11,13, static-channel-group 6 interface port1.0.7 description ### 12-AR4050S ### mode trunk trunk allowed vlan add 1001 static-channel-group 7 11

12 00-x930-VCS 設定サンプルその 7 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port description ## 10-x510DP ## mode trunk trunk allowed vlan add 21-24,31-35, , , , static-channel-group 5 interface port2.0.1 description ## 01-SH230 ## mode trunk trunk allowed vlan add 11,21, static-channel-group 1 interface port2.0.2 description ## 02-x930 ## mode trunk trunk allowed vlan add 12,22-24,31-35, static-channel-group 2 interface port2.0.4 description ### 09-AR4050S ### mode trunk trunk allowed vlan add 13 static-channel-group 4 interface port2.0.6 description ### 11-L2SW-4 ### mode trunk trunk allowed vlan add 11,13, static-channel-group 6 12

13 00-x930-VCS 設定サンプルその 8 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port2.0.7 description ### 12-AR4050S ### mode trunk trunk allowed vlan add 1001 static-channel-group 7 interface port description ## 10-x510DP ## mode trunk trunk allowed vlan add 21-24,31-35, , , , static-channel-group 5 interface sa1 description ### 01-SH230 ### atmf-link mode trunk trunk allowed vlan add 11,21, service-policy input QoS access-group ACL access-group 3100 interface sa2 description ### 02-x930 ### atmf-link mode trunk trunk allowed vlan add 12,22-24,31-35, service-policy input QoS access-group ACL access-group

14 00-x930-VCS 設定サンプルその 9 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface sa4 description ### 09-AR4050S ### atmf-link mode trunk trunk allowed vlan add 13 service-policy input QoS access-group ACL access-group 3100 interface sa5 description ### 10-x510DP ### atmf-link mode trunk trunk allowed vlan add 21-24,31-35, , , , service-policy input QoS access-group ACL access-group 3100 interface sa6 description ### 11-L2SW-4 ### atmf-link mode trunk trunk allowed vlan add 11,13, service-policy input QoS access-group ACL access-group 3100 interface sa7 description ### 12-AR3050S ### atmf-link mode trunk trunk allowed vlan add 1001 service-policy input QoS access-group ACL access-group

15 00-x930-VCS 設定サンプルその 10 各 VLAN に IP アドレスを設定しますマルチキャスト配信を行う場合は使用する VLAN インターフェースで IGMP と PIM-SM を有効化します interface vlan11 ip address /24 ip igmp ip pim sparse-mode interface vlan12 ip address /24 ip igmp ip pim sparse-mode interface vlan13 ip address /24 ip igmp ip pim sparse-mode interface vlan21 ip address /24 ip igmp ip pim sparse-mode interface vlan22 ip address /24 ip igmp ip pim sparse-mode interface vlan23 ip address /24 ip igmp ip pim sparse-mode interface vlan24 ip address /24 ip igmp ip pim sparse-mode interface vlan25 ip address /24 ip igmp ip pim sparse-mode 15

16 00-x930-VCS 設定サンプルその 11 各 VLAN に IP アドレスを設定しますマルチキャスト配信を行う場合は使用する VLAN インターフェースで IGMP と PIM-SM を有効化します interface vlan31 ip address /24 ip igmp ip pim sparse-mode interface vlan32 ip address /24 ip igmp ip pim sparse-mode interface vlan33 ip address /24 ip igmp ip pim sparse-mode interface vlan34 ip address /24 ip igmp ip pim sparse-mode interface vlan35 ip address /24 ip igmp ip pim sparse-mode interface vlan100 ip address /24 ip igmp ip pim sparse-mode interface vlan101 ip address /24 ip igmp ip pim sparse-mode interface vlan102 ip address /24 ip igmp ip pim sparse-mode 16

17 00-x930-VCS 設定サンプルその 12 各 VLAN に IP アドレスを設定しますマルチキャスト配信を行う場合は使用する VLAN インターフェースで IGMP と PIM-SM を有効化します interface vlan103 ip address /24 ip igmp ip pim sparse-mode interface vlan104 ip address /24 ip igmp ip pim sparse-mode interface vlan105 ip address /24 ip igmp ip pim sparse-mode interface vlan106 ip address /24 ip igmp ip pim sparse-mode interface vlan107 ip address /24 ip igmp ip pim sparse-mode interface vlan108 ip address /24 ip igmp ip pim sparse-mode interface vlan109 ip address /24 ip igmp ip pim sparse-mode interface vlan110 ip address /24 ip igmp ip pim sparse-mode 17

18 00-x930-VCS 設定サンプルその 13 各 VLAN に IP アドレスを設定しますマルチキャスト配信を行う場合は使用する VLAN インターフェースで IGMP と PIM-SM を有効化します interface vlan200 ip address /24 ip igmp ip pim sparse-mode interface vlan206 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan207 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan208 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan209 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan210 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan211 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode 18

19 00-x930-VCS 設定サンプルその 14 各 VLAN に IP アドレスを設定しますマルチキャスト配信を行う場合は使用する VLAN インターフェースで IGMP と PIM-SM を有効化します interface vlan212 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan213 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan214 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan215 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan216 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan217 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan218 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode 19

20 00-x930-VCS 設定サンプルその 15 各 VLAN に IP アドレスを設定しますマルチキャスト配信を行う場合は使用する VLAN インターフェースで IGMP と PIM-SM を有効化します interface vlan219 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan220 ip address /24 ip igmp ip igmp access-group 1 ip pim sparse-mode interface vlan221 ip address /24 interface vlan222 ip address /24 Interface vlan223 ip address /24 interface vlan224 ip address /24 interface vlan225 ip address /24 interface vlan999 ip address /24 ip igmp ip pim sparse-mode interface vlan1000 ip address /24 interface vlan1001 ip address /24 アクセスリスト VLAN_MAP を指定した VLAN に適用します vlan filter VLAN_MAP vlan-list 11-13,21-25,31-35, , , , input 20

21 00-x930-VCS 設定サンプルその 16 L3 通信に使用する OSPF を設定します OSPF を使用するネットワークを設定しますまた直接接続されている経路をネットワークに再通知するよう設定します router ospf network /24 area network /24 area network /24 area redistribute connected redistribute static default-information originate デフォルトルートを設定します ip route / ip route /24 Null 254 ip route /24 Null 254 ip route /16 Null 254 ip route /16 Null 254 ip route /24 Null 254 DNS リレーを有効にします ip dns forwarding ip dns forwarding retry 5 ip dns forwarding timeout 30 line con 0 line vty 0 4 end 21

22 01-SH230 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 01-SH230 SYSLOG 機能を用い SYSLOG サーバーへログの転送を行いますメール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します log buffered exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings mail smtpserver mail from 02-SH230@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています snmp-server snmp-server enable trap atmf auth snmp-server community SmartCities snmp-server host version 2c SmartCities atmf network-name SmartCities atmf group AW+_OFS,atmf-guest 必要に応じて AMF ゲストノードの設定を行います本構成では AT-TQ シリーズをゲストノードとして使用しています atmf guest-class TQ_Static modeltype tq username manager password 8 UhRpxiKDMbY4x04S9frxdcnkhe8ZBza1DYL7Craoin8= http-enable discovery static 必要に応じて DNS サーバの設定を行います ip domain-lookup 22

23 01-SH230 設定サンプルその 2 OpenFlow コントローラー (AT-SESC) の IP アドレスと使用するポート番号を設定します OpenFlow の内部制御用 VLAN を設定します内部制御用 VLAN は他の機能で使用されていない VLAN を設定する必要がありますまた OpenFlow ポートから制御パケットが送出されないよう RSTP MLD Snooping を無効にします openflow controller tcp openflow native vlan 4090 no ipv6 mld snooping service power-inline lacp global-passive-mode enable no spanning-tree rstp enable 使用する VLAN を作成します vlan database vlan 11,21, , state enable 必要に応じてアクセスリスト QoS を設定します mls qos enable access-list 3000 permit udp /8 any eq 3784 access-list 3100 deny ip any /32 access-list hardware ACL permit udp any range any range permit ip / /32 class-map QoS-C match access-group 3000 policy-map QoS class default class QoS-C remark new-cos 4 internal 23

24 01-SH230 設定サンプルその 3 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してくださいまた openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface port description ## 00-x930 ## mode trunk trunk allowed vlan add 11,21, ,4089 static-channel-group 1 interface port1.0.3 description [01-SH230_SDN-TQ4600-1] atmf-guestlink class TQ_Static ip mode trunk trunk allowed vlan add 100, trunk native vlan none service-policy input QoS access-group ACL access-group 3100 interface port1.0.5 description ## Client ## mode trunk trunk allowed vlan add 21 service-policy input QoS access-group ACL access-group 3100 interface port1.0.7 description ## Hairpin-Regular ## mode trunk trunk allowed vlan add , ,4089 trunk native vlan 105 static-channel-group 2 24

25 01-SH230 設定サンプルその 4 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してくださいまた openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface port1.0.8 description ## Hairpin-OpenFlow ## no ip igmp trusted query no ip igmp trusted routermode mode access access vlan 4090 static-channel-group 3 interface port1.0.9 description ## Hairpin-Regular ## mode trunk trunk allowed vlan add , ,4089 trunk native vlan 105 static-channel-group 2 interface port description ## Hairpin-OpenFlow ## no ip igmp trusted query no ip igmp trusted routermode mode access access vlan 4090 static-channel-group 3 interface port description [01-SH230_TQ4600-2] openflow atmf-guestlink class TQ_Static ip mode access access vlan

26 01-SH230 設定サンプルその 5 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してくださいまた openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface port description ## Client ## openflow mode access access vlan 4090 interface sa1 description ## 00-x930 ## atmf-link mode trunk trunk allowed vlan add 11,21, ,4089 service-policy input QoS access-group ACL access-group 3100 interface sa2 description ## Hairpin-Regular ## mode trunk trunk allowed vlan add , ,4089 trunk native vlan 105 interface sa3 description ## Hairpin-OpenFlow ## no ip igmp trusted query no ip igmp trusted routermode openflow mode access access vlan

27 01-SH230 設定サンプルその 6 各 VLAN に IP アドレスを設定しますまた OpenFlow ポートから制御パケットが送出されないよう igmp snooping tcn query solicit, MLD Snooping を無効にします interface vlan11 ip address /24 no ip igmp snooping tcn query solicit interface vlan21 no ip igmp snooping tcn query solicit no ipv6 mld snooping interface vlan100 ip address /24 no ip igmp snooping tcn query solicit no ipv6 mld snooping interface vlan no ip igmp snooping tcn query solicit no ipv6 mld snooping interface vlan no ip igmp snooping tcn query solicit no ipv6 mld snooping デフォルトルートを設定します L2 スイッチでは他のネットワークに接続する際に必要な設定です ip route / line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 27

28 02-x930 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 02-x930 SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings SSH 機能で運用管理するための接続設定を入れます ssh server v2only ssh server allow-users manager service ssh メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します mail smtpserver mail from 02-x930@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します snmp-server snmp-server enable trap atmf auth snmp-server community SmartCities snmp-server host version 2c SmartCities OpenFlow 機能と VCS 機能を併用することはできません VCS 対応機種を OpenFlow スイッチとして設定する場合は事前にスタック接続を解除しスイッチを再起動してください no stack 1 enable AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています atmf network-name SmartCities atmf group AW+_OFS 28

29 02-x930 設定サンプルその 2 必要に応じて DNS サーバの設定を行います ip domain-lookup OpenFlow コントローラー (AT-SESC) の IP アドレスと使用するポート番号を設定します OpenFlow の内部制御用 VLAN を設定します内部制御用 VLAN は他の機能で使用されていない VLAN を設定する必要がありますまた OpenFlow ポートから制御パケットが送出されないよう RSTP, MLD Snooping を無効にします openflow controller tcp openflow native vlan 4090 no ipv6 mld snooping service power-inline lacp global-passive-mode enable no spanning-tree rstp enable 使用する VLAN を作成します vlan database vlan 11-13,22-24,31-35, , state enable 必要に応じてアクセスリスト QoS を設定します mls qos enable access-list 3000 permit udp /8 any eq 3784 access-list 3100 deny ip any /32 access-list hardware ACL permit udp any range any range permit ip / /32 class-map QoS-C match access-group 3000 policy-map QoS class default class QoS-C remark new-cos 4 internal 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります interface port description ## 00-x930 ## mode trunk trunk allowed vlan add 12,22-24,31-35, ,4089 trunk native vlan none static-channel-group 1 29

30 02-x930 設定サンプルその 3 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してくださいまた openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface port description ## 04-SH510 ## mode trunk trunk allowed vlan add 12,24,200, , ,4089 trunk native vlan none static-channel-group 3 interface port description ## Client ## openflow mode access access vlan 4090 interface port description ## Hairpin-Regular ## mode trunk trunk allowed vlan add ,4089 trunk native vlan 220 static-channel-group 6 interface port description ## Hairpin-OpenFlow ## no ip igmp trusted query no ip igmp trusted routermode mode access access vlan 4090 static-channel-group 7 30

31 02-x930 設定サンプルその 4 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してくださいまた openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface sa1 description ## 00-x930 ## atmf-link mode trunk trunk allowed vlan add 12,22-24,31-35, ,4089 trunk native vlan none service-policy input QoS access-group ACL access-group 3100 interface sa3 description ## 04-SH510 ## atmf-link mode trunk trunk allowed vlan add 12,24,200, , ,4089 trunk native vlan none service-policy input QoS access-group ACL access-group 3100 interface sa6 description ## Hairpin-Regular ## mode trunk trunk allowed vlan add ,4089 trunk native vlan 220 service-policy input QoS access-group ACL access-group 3100 interface sa7 description ## Hairpin-OpenFlow ## no ip igmp trusted query no ip igmp trusted routermode openflow mode access access vlan

32 02-x930 設定サンプルその 5 各 VLAN に IP アドレスを設定しますまた OpenFlow ポートから制御パケットが送出されないよう igmp snooping tcn query solicit, MLD Snooping を無効にします interface vlan12 ip address /24 no ip igmp snooping tcn query solicit interface vlan22-24 no ip igmp snooping tcn query solicit no ipv6 mld snooping interface vlan no ip igmp snooping tcn query solicit no ipv6 mld snooping interface vlan no ip igmp snooping tcn query solicit no ipv6 mld snooping デフォルトルートを設定します L2 スイッチでは他のネットワークに接続する際に必要な設定です ip route / line con 0 line vty 0 4 end 32

33 04-SH510 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 04-SH510 SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log buffered exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します mail smtpserver mail from 04-SH510@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します OpenFlow 機能と VCS 機能を併用することはできません VCS 対応機種を OpenFlow スイッチとして設定する場合は事前にスタック接続を解除しスイッチを再起動してください snmp-server snmp-server enable trap atmf auth snmp-server community SmartCities snmp-server host version 2c SmartCities no stack 1 enable AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています atmf network-name SmartCities atmf area core id 1 local atmf group AW+_OFS,atmf-guest 33

34 04-SH510 設定サンプルその 2 必要に応じて AMF ゲストノードの設定を行います atmf guest-class TQ_Static modeltype tq username manager password 8 UhRpxiKDMbY4x04S9frxdcnkhe8ZBza1DYL7Craoin8= http-enable discovery static 必要に応じて DNS サーバの設定を行います ip domain-lookup OpenFlow コントローラー (AT-SESC) の IP アドレスと使用するポート番号を設定します OpenFlow の内部制御用 VLAN を設定します内部制御用 VLAN は他の機能で使用されていない VLAN を設定する必要がありますまた OpenFlow ポートから制御パケットが送出されないよう RSTP, MLD Snooping を無効にします loop-protection loop-detect openflow controller tcp openflow native vlan 4090 no ipv6 mld snooping service power-inline lacp global-passive-mode enable no spanning-tree rstp enable 使用する VLAN を作成します vlan database vlan 12,23-24,200, , , state enable 必要に応じてアクセスリスト QoS を設定します mls qos enable access-list 3000 permit udp /8 any eq 3784 access-list 3100 deny ip any /32 access-list hardware ACL permit udp any range any range permit ip / /32 deny ip / /32 class-map QoS-C match access-group 3000 policy-map QoS class default class QoS-C remark new-cos 4 internal 34

35 04-SH510 設定サンプルその 3 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してくださいまた openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface port description ## 02-x930 ## mode trunk trunk allowed vlan add 24,200, , ,4089 static-channel-group 3 interface port description ## Hairpin-Regular ## thrash-limiting action none loop-protection action none mode trunk trunk allowed vlan add 200, , ,4089 trunk native vlan 210 static-channel-group 4 interface port description ## Hairpin-OpenFlow ## loop-protection action none no ip igmp trusted query no ip igmp trusted routermode mode access access vlan 4090 static-channel-group 5 interface port description ## Client ## openflow mode access access vlan

36 04-SH510 設定サンプルその 4 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してくださいまた openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface sa3 description ### 02-x930 ## atmf-link mode trunk trunk allowed vlan add 24,200, , ,4089 access-group ACL interface sa4 description ## Hairpin-Regular ## thrash-limiting action none loop-protection action none mode trunk trunk allowed vlan add 200, , ,4089 trunk native vlan 210 service-policy input QoS access-group ACL access-group 3100 interface sa5 description ## Hairpin-OpenFlow ## loop-protection action none no ip igmp trusted query no ip igmp trusted routermode openflow mode access access vlan

37 04-SH510 設定サンプルその 5 各 VLAN に IP アドレスを設定しますまた OpenFlow ポートから制御パケットが送出されないよう igmp snooping tcn query solicit, MLD Snooping を無効にしますデフォルトルートを設定します L2 スイッチでは他のネットワークに接続する際に必要な設定です interface vlan24 no ip igmp snooping tcn query solicit no ipv6 mld snooping interface vlan200 ip address /24 no ip igmp snooping tcn query solicit interface vlan no ip igmp snooping tcn query solicit no ipv6 mld snooping interface vlan no ip igmp snooping tcn query solicit no ipv6 mld snooping ip route / line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 37

38 06-GS916MX 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 06-GS948MX SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log buffered exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します mail smtpserver mail from 06-GS948MX@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します OpenFlow 機能と VCS 機能を併用することはできません VCS 対応機種を OpenFlow スイッチとして設定する場合は事前にスタック接続を解除しスイッチを再起動してください snmp-server snmp-server enable trap atmf atmflink auth snmp-server community SmartCities snmp-server host version 2c SmartCities no stack 1 enable AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています atmf network-name SmartCities atmf group AW+_OFS,atmf-guest 38

39 06-GS916MX 設定サンプルその 2 必要に応じて DNS サーバの設定を行います ip name-server ip domain-lookup OpenFlow コントローラー (AT-SESC) の IP アドレスと使用するポート番号を設定します OpenFlow の内部制御用 VLAN を設定します内部制御用 VLAN は他の機能で使用されていない VLAN を設定する必要がありますまた OpenFlow ポートから制御パケットが送出されないよう RSTP, MLD Snooping を無効にします openflow controller tcp openflow native vlan 4090 no ipv6 mld snooping lacp global-passive-mode enable no spanning-tree rstp enable 使用する VLAN を作成します vlan database vlan 15,26, ,4090 state enable 必要に応じてアクセスリスト QoS を設定します mls qos enable access-list 3000 permit udp /8 any eq 3784 access-list 3100 deny ip any /32 access-list hardware ACL permit udp any range any range permit ip / /32 class-map QoS-C match access-group 3000 policy-map QoS class default class QoS-C remark new-cos 4 internal 39

40 06-GS916MX 設定サンプルその 3 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してください複数スイッチチップ製品でヘアピンリンクを使用した構成において OpenFlow クライアントポートでスタティックチャンネルグループを使用する場合は併用制限がある為ご注意ください ( 詳細はコマンドリファレンスの "OpenFlow > 一般設定 > OpenFlow とスタティックチャンネルグループの併用 " をご参照ください ) また openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface port1.0.1 description ## 13-L2SW-3 ## atmf-link mode trunk trunk allowed vlan add 15,26, trunk native vlan none service-policy input QoS access-group ACL access-group 3100 interface port1.0.5 description [x600_amf_agent_and_client] atmf-agentlink mode trunk trunk allowed vlan add 15,26 service-policy input QoS access-group ACL access-group 3100 interface port description ## Hairpin-Regular ## mode trunk trunk allowed vlan add trunk native vlan 405 static-channel-group 1 interface port description ## Hairpin-OpenFlow ## no ip igmp trusted query no ip igmp trusted routermode mode access access vlan 4090 static-channel-group 2 40

41 06-GS916MX 設定サンプルその 4 [ 通常ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定しますまた必要に応じて接続先の説明を記載すると管理がしやすくなります [OpenFlow ポートについて ] 必要に応じ各ポートに VLAN, AMF ゲストリンク, スタティックチャンネルグループ, SNMP リンク Trap を設定します OpenFlow ポートではアクセス VLAN を内部制御用の VLAN と同じに設定してくださいヘアピンリンクを使用する場合 OpenFlow ポート ( アップストリームポート ) に対し "no ip igmp trusted query, "no ip igmp trusted routermode" を設定してください複数スイッチチップ製品でヘアピンリンクを使用した構成において OpenFlow クライアントポートでスタティックチャンネルグループを使用する場合は併用制限がある為ご注意ください ( 詳細はコマンドリファレンスの "OpenFlow > 一般設定 > OpenFlow とスタティックチャンネルグループの併用 " をご参照ください ) また openflow コマンドにより通常ポートから OpenFlow ポートへ変更した場合または openflow コマンドを実行後に当該のポートインターフェースに対する設定を変更した場合は設定の保存をしてスイッチを再起動してください interface port description ## Hairpin-Regular ## mode trunk trunk allowed vlan add trunk native vlan 405 static-channel-group 1 interface port description ## Hairpin-OpenFlow ## no ip igmp trusted query no ip igmp trusted routermode mode access access vlan 4090 static-channel-group 2 interface port description ## Client ## openflow mode access access vlan 4090 interface sa1 description ## Hairpin-Regular ## mode trunk trunk allowed vlan add trunk native vlan 405 interface sa2 description ## Hairpin-OpenFlow ## no ip igmp trusted query no ip igmp trusted routermode openflow mode access access vlan

42 06-GS916MX 設定サンプルその 5 各 VLAN に IP アドレスを設定しますまた OpenFlow ポートから制御パケットが送出されないよう igmp snooping tcn query solicit, MLD Snooping を無効にします interface vlan15 ip address /24 no ip igmp snooping tcn query solicit interface vlan26 no ip igmp snooping tcn query solicit interface vlan400 ip address /24 interface vlan ,vlan4090 no ip igmp snooping tcn query solicit no ipv6 mld snooping デフォルトルートを設定します L2 スイッチでは他のネットワークに接続する際に必要な設定です ip route / line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 42

43 x600 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなります hostname x600 タイムゾーンの設定を行います clock timezone JST plus 9:00 初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します no spanning-tree rstp enable 使用する VLAN を作成します vlan database vlan 15,26 state enable 必要に応じ各ポートに VLAN を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port1.0.1 description ## 06-GS916MX ## mode trunk trunk allowed vlan add 15,26 interface port description ## Client ## mode trunk trunk allowed vlan add 15,26 各 VLAN に IP アドレスを設定しますデフォルトルートを設定します L2 スイッチでは他のネットワークに接続する際に必要な設定です interface vlan1 ip address /24 interface vlan15 ip address /24 ip route / line con 0 line vty 0 4 end 43

44 07-AR4050S 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 07-AR4050S SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log buffered exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します mail smtpserver mail from 07-AR4050S@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています snmp-server snmp-server enable trap atmf atmflink auth vrrp snmp-server community SmartCities snmp-server host version 2c SmartCities atmf network-name SmartCities atmf area core id 1 local atmf group 05/08/09-Router 44

45 07-AR4050S 設定サンプルその 2 ファイアーウォールに使用するゾーンの定義を作成しますファイアーウォール有効時は通過させるすべての通信を定義することが必要です private は LAN 側の通信を定義しています AMF 使用時は atmf management subnet コマンドで設定されている AMF マネージメントサブネットを必ず設定してください ( デフォルトでは /16) またルーティングプロトコル使用時はそのプロトコルで使用するマルチキャストアドレスも記載する必要があります public は WAN 側の通信を定義しています WAN 側では PPPoE のセッション確立時に作成された ppp インターフェースを定義しています zone lan-atmf network atmf-link ip subnet /16 zone ospf network ospf-neighbor ip subnet /24 zone ppp network ppp ip subnet /24 interface ppp0 ip subnet /24 interface ppp1 zone private network lan ip subnet /8 ip subnet /24 ip subnet /24 network peer ip subnet /24 network tunnel ip subnet /30 zone public network wan ip subnet /0 ファイアーウォールで使用するアプリケーションの定義を作成しますファイアーウォール有効時は通過させるすべての通信を定義することが必要です本例では esp として IPsec で使用するプロトコル番号 50 番のパケットを定義していますまた isakmp として IPsec でのセッション確立までに使用する ISAKMP プロトコル (UDP) のポート番号 ( 送信受信ポート 500) を定義しています application esp protocol 50 application isakmp protocol udp sport 500 dport

46 07-AR4050S 設定サンプルその 3 ファイアーウォールのルールを作成し有効にします作成したゾーンアプリケーションを組み合わせて通過させるトラフィックのルールを作成しますルール作成後は protect コマンドを実行する事でファイアーウォールが有効になります IPsec の通信方式を規定する IPsec プロファイル ISAKMP の通信方式を規定する ISAKMP プロファイルを作成しますを作成します firewall rule 10 permit esp from ppp to ppp rule 20 permit isakmp from ppp to ppp rule 50 permit any from private to ospf.ospf-neighbor rule 90 permit any from private to private log rule 100 permit any from private to ppp log rule 110 permit any from private to public log rule 150 permit any from lan-atmf to lan-atmf log protect crypto ipsec profile ipsec_profile_smartcity pfs 18 transform 1 protocol esp integrity SHA512 encryption AES256 crypto isakmp profile isakmp_profile_smartcity version 2 lifetime dpd-interval 30 dpd-timeout 150 transform 1 integrity SHA512 encryption AES256 group 18 IPsec のセッション確立初期に使用される ISAKMP プロトコルの ISAKMP の事前共有鍵認証で使うパスワード ( 事前共有鍵 ) を設定します本設定は IPsec セッションごとに必要となります crypto isakmp key 8 fopm1y9viikv0nqdkelmimrzwsqoixhktpdkpcvnrqa= address 対向ルーターとの間で使用する ISAKMP プロファイルを指定します crypto isakmp peer address profile isakmp_profile_smartcity 必要に応じて DNS サーバの設定を行います ip name-server ip domain-lookup 初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します no spanning-tree rstp enable 46

47 07-AR4050S 設定サンプルその 4 使用する VLAN を作成します vlan database vlan 15,26, state enable 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション,QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port1.0.1 description ## 13-L2SW-3 ## atmf-crosslink mode trunk trunk allowed vlan add 15,26, interface eth1 description ## PPPoE-Server ## encapsulation ppp 0 各 VLAN に IP アドレスを設定します interface vlan15 ip address /24 ip dhcp-relay server-address interface vlan26 ip address /24 ip dhcp-relay server-address interface vlan400 ip address /24 ip dhcp-relay server-address interface vlan401 ip address /24 ip dhcp-relay server-address interface vlan402 ip address /24 ip dhcp-relay server-address interface vlan403 ip address /24 ip dhcp-relay server-address

48 07-AR4050S 設定サンプルその 5 各 VLAN に IP アドレスを設定します interface vlan404 ip address /24 ip dhcp-relay server-address interface vlan405 ip address /24 ip dhcp-relay server-address IPsec で使用するトンネルインターフェースを作成します本例では PPPoE の設定で作成した ppp0 インターフェース上で 09- AR4050S を対向として IPsec を使用しています interface tunnel2 description ## 09-AR4050S ## mtu 1438 tunnel source ppp0 tunnel destination tunnel local name AR4050S tunnel protection ipsec profile ipsec_profile_smartcity tunnel mode ipsec ipv4 ip address /29 PPPoE を使用するための ppp0 インターフェースを作成します本例ではユーザ名を CCC, パスワードを PasswordC としています 07-AR4050S と 09-AR4050S に対してバーチャルリンクの設定をします interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username CCC ppp password PasswordC ip tcp adjust-mss pmtu atmf virtual-link id 11 ip remote-id 11 remote-ip router ospf network /24 area network /24 area network /24 area network /24 area network /24 area network /24 area network /24 area network /24 area network /24 area network /29 area

49 07-AR4050S 設定サンプルその 6 本構成例では HA モード VRRP を使用しバイパスポートを利用した冗長構成を組んでいますこれにより障害発生時は 08-AR4050S がマスタールーターに切り替わります router vrrp 1 vlan15 virtual-ip backup priority 101 circuit-failover eth1 2 ha associate enable router vrrp 8 vlan26 virtual-ip backup priority 101 circuit-failover eth1 2 enable router vrrp 7 vlan400 virtual-ip backup priority 101 circuit-failover eth1 2 enable router vrrp 2 vlan401 virtual-ip backup priority 101 circuit-failover eth1 2 enable router vrrp 3 vlan402 virtual-ip backup priority 101 circuit-failover eth1 2 enable router vrrp 4 vlan403 virtual-ip backup priority 101 circuit-failover eth1 2 enable router vrrp 5 vlan404 virtual-ip backup priority 101 circuit-failover eth1 2 enable router vrrp 6 vlan405 virtual-ip backup priority 101 circuit-failover eth1 2 enable 49

50 07-AR4050S 設定サンプルその 7 デフォルトルートを設定しますまた IPsec で接続する対向機器のアドレスまでの通信に使用するスタティックルートを作成します ip route / ip route /24 Null 254 ip route /24 Null 254 ip route /32 ppp0 ip route /24 Null 254 line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 50

51 08-AR4050S 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 08-AR4050S SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log buffered exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します mail smtpserver mail from 08-AR4050S@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています snmp-server snmp-server enable trap atmf atmflink auth vrrp snmp-server community SmartCities snmp-server host version 2c SmartCities atmf network-name SmartCities atmf area core id 1 local atmf group 05/08/09-Router 51

52 08-AR4050S 設定サンプルその 2 ファイアーウォールに使用するゾーンの定義を作成しますファイアーウォール有効時は通過させるすべての通信を定義することが必要です private は LAN 側の通信を定義しています AMF 使用時は atmf management subnet コマンドで設定されている AMF マネージメントサブネットを必ず設定してください ( デフォルトでは /16) またルーティングプロトコル使用時はそのプロトコルで使用するマルチキャストアドレスも記載する必要があります public は WAN 側の通信を定義しています WAN 側では PPPoE のセッション確立時に作成された ppp インターフェースを定義しています zone lan-atmf network atmf-link ip subnet /16 zone ospf network ospf-neighbor ip subnet /24 zone ppp network ppp ip subnet /24 interface ppp0 ip subnet /24 interface ppp1 zone private network lan ip subnet /8 ip subnet /24 ip subnet /24 network peer ip subnet /24 network tunnel ip subnet /30 zone public network wan ip subnet /0 interface tunnel2 ファイアーウォールで使用するアプリケーションの定義を作成しますファイアーウォール有効時は通過させるすべての通信を定義することが必要です本例では esp として IPsec で使用するプロトコル番号 50 番のパケットを定義していますまた isakmp として IPsec でのセッション確立までに使用する ISAKMP プロトコル (UDP) のポート番号 ( 送信受信ポート 500) を定義しています application esp protocol 50 application isakmp protocol udp sport 500 dport

53 08-AR4050S 設定サンプルその 3 ファイアーウォールのルールを作成し有効にします作成したゾーンアプリケーションを組み合わせて通過させるトラフィックのルールを作成しますルール作成後は protect コマンドを実行する事でファイアーウォールが有効になります IPsec の通信方式を規定する IPsec プロファイル ISAKMP の通信方式を規定する ISAKMP プロファイルを作成しますを作成します firewall rule 10 permit esp from ppp to ppp rule 20 permit isakmp from ppp to ppp rule 50 permit any from private to ospf.ospf-neighbor rule 90 permit any from private to private log rule 100 permit any from private to ppp log rule 110 permit any from private to public log rule 150 permit any from lan-atmf to lan-atmf log protect crypto ipsec profile ipsec_profile_smartcity pfs 18 transform 1 protocol esp integrity SHA512 encryption AES256 crypto isakmp profile isakmp_profile_smartcity version 2 lifetime dpd-interval 30 dpd-timeout 150 transform 1 integrity SHA512 encryption AES256 group 18 IPsec のセッション確立初期に使用される ISAKMP プロトコルの ISAKMP の事前共有鍵認証で使うパスワード ( 事前共有鍵 ) を設定します本設定は IPsec セッションごとに必要となります crypto isakmp key 8 fopm1y9viikv0nqdkelmimrzwsqoixhktpdkpcvnrqa= address 対向ルーターとの間で使用する ISAKMP プロファイルを指定します crypto isakmp peer address profile isakmp_profile_smartcity 必要に応じて DNS サーバの設定を行います初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します ip name-server ip domain-lookup no spanning-tree rstp enable 53

54 08-AR4050S 設定サンプルその 4 使用する VLAN を作成します vlan database vlan 15,26, state enable 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション,QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port1.0.1 description ## 13-L2SW-3 ## atmf-crosslink mode trunk trunk allowed vlan add 15,26, interface eth1 description ## PPPoE-Server ## encapsulation ppp 0 各 VLAN に IP アドレスを設定します interface vlan15 ip address /24 ip dhcp-relay server-address interface vlan26 ip address /24 ip dhcp-relay server-address interface vlan400 ip address /24 ip dhcp-relay server-address interface vlan401 ip address /24 ip dhcp-relay server-address interface vlan402 ip address /24 ip dhcp-relay server-address interface vlan403 ip address /24 ip dhcp-relay server-address

55 08-AR4050S 設定サンプルその 5 各 VLAN に IP アドレスを設定します interface vlan404 ip address /24 ip dhcp-relay server-address interface vlan405 ip address /24 ip dhcp-relay server-address IPsec で使用するトンネルインターフェースを作成します本例では PPPoE の設定で作成した ppp0 インターフェース上で 09- AR4050S を対向として IPsec を使用しています interface tunnel2 description ## 09-AR4050S ## mtu 1438 tunnel source ppp0 tunnel destination tunnel local name AR4050S tunnel protection ipsec profile ipsec_profile_smartcity tunnel mode ipsec ipv4 ip address /29 PPPoE を使用するための ppp0 インターフェースを作成します本例ではユーザ名を CCC, パスワードを PasswordC としています 08-AR4050S と 09-AR4050S に対してバーチャルリンクの設定をします interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username CCC ppp password PasswordC ip tcp adjust-mss pmtu atmf virtual-link id 12 ip remote-id 12 remote-ip IPsec 上で使用する OSPF の設定を行います IPsec 内に作成されたサブネットと LAN 側に接続されているサブネットを対象にしています router ospf network /24 area network /24 area network /24 area network /24 area network /24 area network /24 area network /24 area network /24 area network /24 area network /29 area

56 08-AR4050S 設定サンプルその 6 本構成例では HA モード VRRP を使用しバイパスポートを利用した冗長構成を組んでいますこれにより障害発生時は 08-AR4050S がマスタールーターに切り替わります router vrrp 1 vlan15 virtual-ip backup ha associate wan-bypass 1 enable router vrrp 8 vlan26 virtual-ip backup enable router vrrp 7 vlan400 virtual-ip backup enable router vrrp 2 vlan401 virtual-ip backup enable router vrrp 3 vlan402 virtual-ip backup enable router vrrp 4 vlan403 virtual-ip backup enable router vrrp 5 vlan404 virtual-ip backup enable router vrrp 6 vlan405 virtual-ip backup enable デフォルトルートを設定しますまた IPsec で接続する対向機器のアドレスまでの通信に使用するスタティックルートを作成します ip route / ip route /24 Null 254 ip route /24 Null 254 ip route /32 ppp0 ip route /24 Null 254 line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 56

57 09-AR4050S 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 09-AR4050S SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します mail smtpserver mail from 09-AR4050S@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています snmp-server snmp-server enable trap atmf atmflink auth snmp-server community SmartCities snmp-server host version 2c SmartCities atmf network-name SmartCities atmf area core id 1 local atmf group Router 57

58 09-AR4050S 設定サンプルその 2 ファイアーウォールに使用するゾーンの定義を作成しますファイアーウォール有効時は通過させるすべての通信を定義することが必要です private は LAN 側の通信を定義しています AMF 使用時は atmf management subnet コマンドで設定されている AMF マネージメントサブネットを必ず設定してください ( デフォルトでは /16) またルーティングプロトコル使用時はそのプロトコルで使用するマルチキャストアドレスも記載する必要があります public は WAN 側の通信を定義しています WAN 側では PPPoE のセッション確立時に作成された ppp インターフェースを定義しています zone lan-atmf network atmf-link ip subnet /16 zone ospf network ospf-neighbor ip subnet /24 zone ppp network ppp ip subnet /24 interface ppp0 ip subnet /24 interface ppp1 zone private network lan ip subnet /8 ip subnet /24 ip subnet /24 network peer ip subnet /24 network tunnel ip subnet /30 zone public network wan ip subnet /0 interface tunnel1 ファイアーウォールで使用するアプリケーションの定義を作成しますファイアーウォール有効時は通過させるすべての通信を定義することが必要です本例では esp として IPsec で使用するプロトコル番号 50 番のパケットを定義していますまた isakmp として IPsec でのセッション確立までに使用する ISAKMP プロトコル (UDP) のポート番号 ( 送信受信ポート 500) を定義しています application esp protocol 50 application isakmp protocol udp sport 500 dport

59 09-AR4050S 設定サンプルその 3 ファイアーウォールのルールを作成し有効にします作成したゾーンアプリケーションを組み合わせて通過させるトラフィックのルールを作成しますルール作成後は protect コマンドを実行する事でファイアーウォールが有効になります firewall rule 10 permit esp from ppp to ppp rule 20 permit isakmp from ppp to ppp rule 50 permit any from private to ospf.ospf-neighbor rule 90 permit any from private to private log rule 100 permit any from private to ppp log rule 110 permit any from lan-atmf to lan-atmf log IPsec の通信方式を規定する IPsec プロファイル ISAKMP の通信方式を規定する ISAKMP プロファイルを作成しますを作成します crypto ipsec profile ipsec_profile_smartcity pfs 18 transform 1 protocol esp integrity SHA512 encryption AES256 crypto isakmp profile isakmp_profile_smartcity version 2 lifetime 600 dpd-interval 30 dpd-timeout 150 transform 1 integrity SHA512 encryption AES256 group 18 IPsec のセッション確立初期に使用される ISAKMP プロトコルの ISAKMP の事前共有鍵認証で使うパスワード ( 事前共有鍵 ) を設定します本設定は IPsec セッションごとに必要となります crypto isakmp key 8 PhEN0AER967VrOeK+hSWz/WI3GcMmX6Da29JASEkdeM= hostname AR4050S crypto isakmp key 8 EyLu3nemsW6RXs/7zgJUa058iJBJLvsSbU+zr5/Y/MM= address crypto isakmp key 8 /37I2VCMC7dM2tx2QvG2Irhbl9B8Y9XzNpgg+WpEcMQ= address 対向ルーターとの間で使用する ISAKMP プロファイルを指定します crypto isakmp peer address profile isakmp_profile_smartcity crypto isakmp peer address profile isakmp_profile_smartcity crypto isakmp peer dynamic profile isakmp_pro 必要に応じて DNS サーバの設定を行います ip name-server ip domain-lookup 初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します no spanning-tree rstp enable 59

60 09-AR4050S 設定サンプルその 4 使用する VLAN を作成します vlan database vlan state enable 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション,QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port description ## 00-x930 ## mode trunk trunk allowed vlan add 13 static-channel-group 6 interface eth2 description ## PPPoE-Server ## encapsulation ppp 1 interface sa6 description ## 00-x930 ## atmf-link mode trunk trunk allowed vlan add 13 各 VLAN に IP アドレスを設定します interface vlan13 ip address /24 IPsec で使用するトンネルインターフェースを作成します本例では PPPoE の設定で作成した ppp1 インターフェース上で 07/08- AR4050S を対向として IPsec を使用しています interface tunnel2 description ## AR4050S ## mtu 1438 tunnel source ppp1 tunnel destination tunnel remote name AR4050S tunnel protection ipsec profile ipsec_profile_smartcity tunnel mode ipsec ipv4 ip address /29 60

61 09-AR4050S 設定サンプルその 5 PPPoE を使用するための ppp1 インターフェースを作成します本例ではユーザ名を DDD, パスワードを PasswordD としています interface ppp1 ppp ipcp dns request keepalive ppp username DDD ppp password PasswordD ip address /32 ip tcp adjust-mss pmtu 07-AR4050S と 09-AR4050S 08- AR4050S と 09-AR4050S に対してバーチャルリンクの設定をします atmf virtual-link id 11 ip remote-id 11 remote-ip atmf virtual-link id 12 ip remote-id 12 remote-ip IPsec 上で使用する OSPF の設定を行います IPsec 内に作成されたサブネットと LAN 側に接続されているサブネットを対象にしています router ospf network /24 area network /30 area network /29 area IPsec で接続する対向機器のアドレスまでの通信に使用するスタティックルートを作成します ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /24 Null 254 ip route /16 Null 254 ip route /32 ppp1 ip route /29 Null 254 DNS リレー機能を有効にします ip dns forwarding line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 61

62 10-x510DP 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 10-x510DP SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log buffered exclude program atmf_topo msgtext CMSG log permanent exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定しますタイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です mail smtpserver mail from 10-x510DP@SmartCities.com clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています snmp-server snmp-server enable trap atmf atmflink auth snmp-server community SmartCities snmp-server host version 2c SmartCities atmf network-name SmartCities atmf area core id 1 local 必要に応じて DNS サーバの設定を行います ip name-server ip domain-lookup 初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します no spanning-tree rstp enable 使用する VLAN を作成します vlan database vlan 21-24,31-35, , , , state enable 62

63 10-x510DP 設定サンプルその 2 必要に応じてアクセスリスト QoS を設定します mls qos enable access-list 3000 permit udp /8 any eq 3784 access-list 3100 deny ip any /32 access-list hardware ACL permit udp any range any range permit ip / /32 deny ip / /32 class-map QoS-C match access-group 3000 policy-map QoS class default class QoS-C remark new-cos 4 internal 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port description ## DNS/Mail-Server ## mode access access vlan 1000 service-policy input QoS access-group ACL interface port description ## NTP/SNMP/Syslog-Server ## mode access access vlan 1000 service-policy input QoS access-group ACL interface port description ## RADIUS-Server ## mode access access vlan 1000 service-policy input QoS access-group ACL 63

64 10-x510DP 設定サンプルその 3 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port description ## 00-x930 ## mode trunk trunk allowed vlan add 21-24,31-35, , , , static-channel-group 1 interface port description ## Other Network ## mode trunk trunk allowed vlan add 21-24,31-35, , , ,999 service-policy input QoS access-group ACL interface sa1 description ## 00-x930 ## atmf-link mode trunk trunk allowed vlan add 21-24,31-35, , , , service-policy input QoS access-group ACL 各 VLAN に IP アドレスを設定しますデフォルトルートを設定します L2 スイッチでは他のネットワークに接続する際に必要な設定です interface vlan ip igmp access-group 1 interface vlan999 ip igmp access-group 1 interface vlan1000 ip address /24 ip route / line con 0 line vty 0 4 end 64

65 11-L2SW-4 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 11-L2SW-4 SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します mail smtpserver mail from 11-L2SW-4@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します snmp-server snmp-server enable trap atmf atmflink auth snmp-server community SmartCities snmp-server host version 2c SmartCities AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています atmf network-name SmartCities 必要に応じて DNS サーバの設定を行います ip name-server ip domain-lookup 初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します no spanning-tree rstp enable 使用する VLAN を作成します vlan database vlan 11, state enable 65

66 11-L2SW-4 設定サンプルその 2 必要に応じてアクセスリスト QoS を設定します mls qos enable access-list 3000 permit udp /8 any eq 3784 access-list 3100 deny ip any /32 access-list hardware ACL permit udp any range any range permit ip / /32 access-list hardware VLAN_ACL deny ip / /32 class-map QoS-C match access-group 3000 policy-map QoS class default class QoS-C remark new-cos 4 internal vlan access-map VLAN_MAP match access-group VLAN_ACL 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port description ## 00-x930 ## mode trunk trunk allowed vlan add 11, static-channel-group 1 interface port description ## SESC-1 ## mode access access vlan 1000 interface port description ## SESC-2 ## mode access access vlan 1000 access-group ACL access-group

67 11-L2SW-4 設定サンプルその 3 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface sa1 description ## 00-x930 ## atmf-link mode trunk trunk allowed vlan add 11, service-policy input QoS access-group ACL 各 VLAN に IP アドレスを設定します interface vlan1000 ip address /24 アクセスリスト VLAN_MAP を指定した VLAN に対して適用します vlan filter VLAN_MAP vlan-list 11, input デフォルトルートを設定します L2 スイッチでは他のネットワークに接続する際に必要な設定です ip route / line con 0 exec-timeout 0 0 length 0 line vty 0 4 exec-timeout 0 0 end 67

68 12-AR3050S 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 12-AR3050S SYSLOG 機能を用い SYSLOG サーバーへログの転送を行います log buffered exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings メール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します mail smtpserver mail from 12-AR3050S@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています snmp-server snmp-server enable trap atmf atmflink auth snmp-server community public snmp-server community SmartCities snmp-server host version 2c SmartCities atmf network-name SmartCities atmf area core id 1 local 68

69 12-AR3050S 設定サンプルその 2 ファイアーウォールに使用するゾーンの定義を作成しますファイアーウォール有効時は通過させるすべての通信を定義することが必要です private は LAN 側の通信を定義しています AMF 使用時は atmf management subnet コマンドで設定されている AMF マネージメントサブネットを必ず設定してください ( デフォルトでは /16) またルーティングプロトコル使用時はそのプロトコルで使用するマルチキャストアドレスも記載する必要があります public は WAN 側の通信を定義しています WAN 側では PPPoE のセッション確立時に作成された ppp インターフェースを定義しています zone lan-atmf network atmf-link ip subnet /16 zone private network lan ip subnet /8 ip subnet /24 network peer ip subnet /24 zone public network wan ip subnet /0 interface ppp0 host ppp0 ip address ファイアーウォールのルールを作成し有効にします作成したゾーンアプリケーションを組み合わせて通過させるトラフィックのルールを作成しますルール作成後は protect コマンドを実行する事でファイアーウォールが有効になります firewall rule 90 permit any from private to private log rule 100 permit any from private to public log rule 110 permit any from lan-atmf to lan-atmf log rule 120 permit dns from public.wan.ppp0 to public.wan protect NAT ルールを追加し NAT 機能を有効にします nat rule 10 masq any from private to public enable 必要に応じて DNS サーバの設定を行います ip name-server ip domain-lookup 初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します no spanning-tree rstp enable 69

70 12-AR3050S 設定サンプルその 3 使用する VLAN を作成します vlan database vlan 1001 state enable 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port description ## 00-x930 ## mode trunk trunk allowed vlan add 1001 static-channel-group 1 interface port1.0.8 description ## Mirroring_DDI ## mode access mirror interface port1.0.1 direction both mirror interface port1.0.2 direction both interface eth1 description ## Other-Network ## encapsulation ppp 0 interface sa1 description ## 00-x930 ## atmf-link mode trunk trunk allowed vlan add 1001 各 VLAN に IP アドレスを設定します interface vlan1001 ip address /24 70

71 12-AR3050S 設定サンプルその 4 IPsec で使用するトンネルインターフェースを作成します本例では PPPoE の設定で作成した ppp0 インターフェース上で IPsec を使用しています interface tunnel0 mtu 1300 tunnel source tunnel destination tunnel local selector /8 tunnel remote selector /24 tunnel protection ipsec profile ipsec1 tunnel mode ipsec ipv4 ip address /30 ip tcp adjust-mss 1260 PPPoE を使用するための ppp0 インターフェースを作成します本例ではユーザ名を EEE, パスワードを PasswordE としています interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username EEE ppp password PasswordE ip tcp adjust-mss pmtu デフォルトルートを設定します ip route /0 ppp0 ip route / ip route / ip route /24 tunnel0 ip route /24 Null 254 DNS リレー機能を有効にします ip dns forwarding line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 71

72 13-L2SW-3 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなりますまたこのホスト名は AMF におけるノード名として扱われます hostname 13-L2SW-3 SYSLOG 機能を用い SYSLOG サーバーへログの転送を行いますメール送信時に用いる送信用メールサーバーや送信元メールアドレスを設定します log buffered exclude program atmf_topo msgtext CMSG log host log host level notices log manager@smartcities.com log manager@smartcities.com level warnings mail smtpserver mail from 13-L2SW-3@SmartCities.com タイムゾーンの設定を行いますタイムゾーンはログメッセージの出力時刻などを実際の時刻に合わせるために必要な設定です clock timezone JST plus 9:00 SNMP の設定を行います SNMP は version 2c を使用します snmp-server snmp-server enable trap atmf atmflink auth snmp-server community SmartCities snmp-server host version 2c SmartCities AMF を設定します本構構成例では AMF ネットワーク名を SmartCities としています atmf network-name SmartCities atmf group atmf-guest 必要に応じて DNS サーバの設定を行います ip name-server ip domain-lookup 初期値では RSTP が有効です本構成例では RSTP は使用していませんので無効化します no spanning-tree rstp enable 使用する VLAN を作成します vlan database vlan 15,26, state enable 72

73 13-L2SW-3 設定サンプルその 2 必要に応じ各ポートに VLAN, AMF ゲストリンク, リンクアグリゲーション, QoS, ACL, SNMP リンク Trap を設定します必要に応じて接続先の説明を記載すると管理がしやすくなります interface port1.0.1 description ## 07-AR4050S ## atmf-crosslink mode trunk trunk allowed vlan add 15,26, interface port1.0.2 description ## 08-AR4050S ## atmf-crosslink mode trunk trunk allowed vlan add 15,26, interface port1.0.8 description ## 06_GS948MX ## atmf-link mode trunk trunk allowed vlan add 15,26, 各 VLAN に IP アドレスを設定します interface vlan15 ip address /24 no ip igmp snooping tcn query solicit interface vlan26 no ip igmp snooping tcn query solicit interface vlan400 ip address /24 interface vlan no ip igmp snooping tcn query solicit no ipv6 mld snooping 73

74 13-L2SW-3 設定サンプルその 3 デフォルトルートを設定します L2 スイッチでは他のネットワークに接続する際に必要な設定です ip route / line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 74

75 Solution No TQ 設定サンプルその 1 イーサネット設定使用する VLAN ID を設定します SDN 対応ファームウェアでは TQ のイーサネットでタグ VLAN を使用する場合は管理 VLAN ID を変更する事でタグありタグなしの動作が切り替わりますタグなし VLAN ID 欄はデフォルト値から変更しないでください IP アドレスを設定します SDN 対応ファームウェアを使用する場合 IP アドレスはスタティック IP を選択してください DHCP による IP 取得は未サポートとなります OpenFlow コントローラー (AT-SESC) の IP アドレスとポートを設定しますポート番号が空欄の場合はデフォルト値 (6653) が使用されます必要に応じてクリティカルモードの設定を行います 75

76 Solution No TQ 設定サンプルその 2 無線 LAN 設定無線 1 と無線 2 のステータスを有効にします 76

77 Solution No TQ 設定サンプルその 3 VAP 必要に応じて VAP のステータスを有効にし VLAN ID, SSID, セキュリティー等を設定します TQ は OpenFlow Switch として動作しています AT-SESC と通信可能な間はフローエントリーに従って通信を行う為 VLAN ID は無視されますが SESC と通信ができなくなった際はクリティカルモードに切り替わりますクリティカルモード時は本ページで設定されている VLAN ID に沿ってパケットが処理される為あらかじめ VLAN ID を設定しておきます 77

78 Solution No TQ 設定サンプルその 4 NTP イベント時刻の同期を行う外部 NTP サーバーの IPv4 アドレスまたはホスト名を設定します本構成例では Syslog サーバーへログをリレーするように設定していますログのリレーを有効にしリレーホストに Syslog サーバーの IP アドレスを入力します 78

79 Solution No TQ 設定サンプルその 5 SNMP 必要に応じて SNMP の設定を行います本構成例ではコミュニティー名を SmartCities としています 79

80 Solution No TQ 設定サンプルその 1 イーサネット設定使用する VLAN ID を設定します IP アドレスを設定します 80

81 Solution No TQ 設定サンプルその 2 無線 LAN 設定無線 1 と無線 2 のステータスを有効にします 81

82 Solution No TQ 設定サンプルその 3 VAP 必要に応じて VAP のステータスを有効にし VLAN ID, SSID, セキュリティー等を設定します 82

83 Solution No TQ 設定サンプルその 4 NTP イベント時刻の同期を行う外部 NTP サーバーの IPv4 アドレスまたはホスト名を設定します本構成例では Syslog サーバーへログをリレーするように設定していますログのリレーを有効にしリレーホストに Syslog サーバーの IP アドレスを入力します 83

すべて見る

AMF Cloud ソリューション

AMF Cloud ソリューションアライドテレシスバーチャルAMFアプライアンスで実現する主な目的複数の拠点間を繋ぐ大規模なネットワークを構築したい AMFコントローラー/マスターを仮想マシン上に集約したい AMF機能を活用したネットワーク全体の一元管理を行い運用コストを削減したい概要これまで AMF機能を用いることでネットワークの一元管理が可能となり機器故障時には代替機と差し替えるだけで自動的に復旧させるAuto