本製品を管理する
9. 本製品を管理する
本章では、日常の管理作業の内容と、具体的な設定や診断方法について説明します。
9.1. 動作状況を確認する
show
コマンドを使用すると、本製品の動作状況を確認できます。
運用中に動作状況を確認する必要が生じた場合や問題を解決する場合に使用します。
主要なコマンドを以下に抜粋します。
| 表示項目 | コマンド名称 | 説明 |
|---|---|---|
|
リソースの使用状況 |
本製品のリソースの使用状況を表示します。
|
|
|
ARPテーブル |
本製品の保持するARPテーブルを表示します。 |
|
|
SYSLOG |
動作状況や通信に関するログを表示します。 |
|
|
IP経路情報テーブル |
IP経路情報テーブルを表示します。 |
|
|
LANインターフェースの状態 |
LANインターフェースのMACアドレス、MTU、通信の統計情報を表示します。 |
|
|
トンネルインターフェースの状態 |
VPNの方式や接続状況、通信の統計情報を表示します。 |
9.2. 設定ファイルを管理する
本製品は5個の設定ファイル(config0~config4)を仮想サーバのストレージに記録できます。
また、これらの設定ファイルにはそれぞれ2個の退避ファイル(バックアップファイル)を持つことができます。
退避ファイルの名称は、「configX.1」、「configX.2」となります。
-
ストレージの「config1」の内容が退避ファイル「config1.1」となり、現在の設定内容が「config1」になります。
-
すでに「config1.1」が存在している場合は、その退避ファイルは「config1.2」になります。
-
すでに「config1.2」が存在している場合は、その内容は破棄されます。
save
コマンドを実行する前に、現在動作中の設定ファイルの系列を十分把握しておいてください。
-
show environmentコマンドを実行すると、現在動作している設定ファイルの番号を確認できます。> show environment : 実行中設定ファイル: config0 デフォルト設定ファイル: config0 :
-
show config listコマンドを実行すると、設定ファイルと退避ファイルの一覧を確認できます。> show config list No. Date Time Size Sects Comment ----- ---------- -------- ------- ------- --------------------------- * 0 2024/02/07 18:42:36 422 703/703 fix VPN setting 0.1 2024/02/07 08:18:06 328 704/704 add VPN setting 0.2 2024/02/06 17:17:39 294 705/705 1 2023/06/16 11:59:18 292 702/702 stable ----- ---------- -------- ------- ------- --------------------------- >
別の設定ファイルに切り替えて動作させるには、
restart
コマンドを使用します。
たとえば、「config1」に基づき本製品を動作させる場合は、以下のようにコマンドを実行します。
# restart 1
restart
コマンドを実行したときに、動作メモリーの内容がストレージに保存されていない場合には、動作メモリーの内容を保存するかどうかを確認するメッセージが表示されます。
このときに保存操作を行った場合も、
save
コマンドを実行した場合と同様に退避ファイルが生成され、既存のファイルが上書きされます。
|
退避ファイルを指定して起動した場合、起動後に
save
コマンドを実行すると、動作メモリーの内容(起動時の退避ファイルの指定)が設定ファイルに上書きされます。
|
- デフォルト設定ファイルの設定
-
デフォルト設定ファイルは、本製品の起動時に参照される設定ファイルです。
デフォルト設定ファイルを変更するには、
set-default-configコマンドを使用します。 たとえば、デフォルト設定ファイルを「config1.1」に設定する場合は、以下のようにコマンドを実行します。# set-default-config 1.1
set-default-configコマンドの実行結果は設定ファイルに保存されないため、saveコマンドを使用した変更内容の保存は不要です。 - 設定ファイルまたは退避ファイルをコピーする
-
設定ファイルや退避ファイルを、別の番号系列の設定ファイルに保存する場合には、
copy configコマンドを使用します。 たとえば、退避ファイル「config1.2」を「config3」にコピーする場合は、以下のようにコマンドを実行します。# copy config 1.2 3
コピー元は設定ファイルと退避ファイルの両方が指定できますが、コピー先は設定ファイルのみ指定可能です。
- 設定ファイルまたは退避ファイルを削除する
-
設定ファイルや退避ファイルを削除する場合には、
delete configコマンドを使用します。設定ファイルを削除した場合は、同じ番号系列の退避ファイルすべてが同時に削除されます。 また、退避ファイル1を削除した場合は、退避ファイル2が同時に削除されます。
9.3. その他のファイルを管理する
本製品は任意のデータを保存できるファイルシステムを搭載しています。 ファイルシステム上のファイルはディレクトリーを使用して階層構造で管理することができます。
- パスの指定形式
-
ファイルやディレクトリーの指定形式にはルートディレクトリー "/" から記述する絶対パスと環境変数 "PWD" を起点として記述する相対パスの2種類があります。相対パスの起点となる "PWD" は
setコマンドを使用して設定することができます。 - ファイル・ディレクトリーの操作
-
以下のコマンドにパスを指定することでファイルを複製することやディレクトリーを作成することができます。
同様の操作はネットワーク経由でのアクセス時も行えます。
- 自動で作成されるディレクトリー
-
下表のディレクトリーは本製品の各種機能により自動で作成されます。
ディレクトリー名 概要 /lost+found
ファイルシステムの整合性を保つための情報が含まれる。
読み出し専用。
/mount/(PREFIX)
マウントした外部ストレージのファイルが含まれる。
SFTPでのアクセス時のみ表示される。
/ssh
SSHサーバーの公開鍵情報が含まれる。
ディレクトリー内のファイルの書き換えは非推奨。
/system
CONFIGファイルとtechinfoが含まれる。
SFTPでのアクセス時のみ表示される。
/yamaha_sys
SYSLOGファイルなどが含まれる。
ディレクトリー内のファイルの書き換えは非推奨。
9.4. SYSLOGを管理する
本製品は、フィルタリングされたパケットの情報や、各種機能の動作状況などをSYSLOGとしてメモリーおよびファイルシステム上に蓄積します。
蓄積されたSYSLOGを表示するには、
show log
コマンドを実行します。
メモリー上に蓄積されたSYSLOGを消去するには、
clear log
コマンドを実行します。
9.4.1. 出力種別の設定
SYSLOGに出力されるログには、以下の3つのタイプがあります。 タイプごとに出力の有無を設定できます。
| タイプ | 得られる情報 | 出力設定コマンド | 初期設定 |
|---|---|---|---|
|
NOTICE |
フィルタリングされたパケット情報など |
出力しない |
|
|
INFO |
各種機能の動作状況など |
出力する |
|
|
DEBUG |
デバッグ用の情報 |
出力しない |
9.4.2. ファイルシステムへの保存設定
初期設定時はファイルシステムの "/yamaha_sys" ディレクトリーに "syslog.txt" という名称のファイルを作成し、SYSLOGを蓄積します。 1ファイルあたりの記録容量は10MByteで、10MByteを超えた場合はバックアップ日時をファイル名に付与したバックアップファイルが生成されます。 バックアップファイルは10個まで保存され、10個を超えた場合は一番古いものから削除されます。
これらの設定は
syslog file
コマンドで変更できます。
また、
syslog mount-server filename
コマンドで保存先に外部ストレージを指定することも可能です。
例えば、SYSLOGの保存方法を以下のように変更する場合は、以下のようにコマンドを実行します。
-
1ファイルあたりの記録容量 : 20MByte
-
バックアップファイル数 : 5個
# syslog file limit=20 backup=5 # save
9.4.3. 他ホストへの転送方法
SYSLOGの受信に対応したホストに、本製品のSYSLOGを転送することができます。 長期間にわたり大量の通信ログを記録したい場合などに便利です。
SYSLOGの転送先を指定するには、
syslog host
コマンドを使用します。
たとえば、SYSLOGホストのIPアドレスが「192.168.112.25」の場合は、以下のように設定します。
# syslog host 192.168.112.25 # save
9.5. ネットワーク経由でファイルシステムにアクセスする
SFTPまたはTFTPを使用することで、ネットワーク経由で本製品のファイルシステムにアクセスできます。 これにより、ファイルシステムのファイルをホストへ読み出すことや (GET)、ホストのファイルをファイルシステムへ書き出すことができます (PUT)。
ここではインターネットに接続したパソコンを用いて、SFTP(パスワード認証)により本製品の設定ファイルを取得する手順を説明します。
|
本製品のSFTPサーバー機能の詳細は「 🔗技術資料 」に記載しています。 |
-
「 管理パスワードを設定する 」を実施します。
-
「 インターネットに接続したパソコンからSSHでアクセス 」に従い、SSHサーバーを有効化します。
-
SFTPサーバー機能を有効化します。
以下のコマンドを実行します。
# sftpd host any
-
SFTPクライアントを使用し、管理ユーザーへ昇格可能なユーザーにより本製品へ接続します。
ここでは例として、WindowsのSFTPクライアントを使用し、初期管理ユーザーでログインします。
WindowsのコマンドプロンプトC:\>sftp admin@本製品 (vRX) のLAN1インターフェースのIPv4アドレス
-
セキュリティ警告が表示される場合は、SSHサーバーのホスト鍵指紋が
show sshd host keyコマンドの表示結果と同じであることを確認します。同じであれば、「yes」を入力します。
WindowsのコマンドプロンプトThe authenticity of host '192.168.10.1 (192.168.10.1)' can't be established. RSA key fingerprint is SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX. Are you sure you want to continue connecting (yes/no)?
-
パスワード入力を求めらたら、管理パスワードを入力してログインします。
Windowsのコマンドプロンプトadmin@XXX.XXX.XXX.XXX's password:
管理パスワードではなくユーザーのパスワードでログインした場合、ファイルをダウンロードおよびアップロードすることができません。 -
ログインに成功したら、getコマンドを実行して設定ファイル (config0) をダウンロードします。
WindowsのコマンドプロンプトConnected to admin@XXX.XXX.XXX.XXX sftp> cd system sftp> dir config config0 config0.1 config0.2 techinfo sftp> get config0 Fetching /system/config0 to config0
設定ファイルはWindowsのコマンドプロンプトのカレントディレクトリー(この例では C:\)に保存されます。 -
quitコマンドを実行してSFTPクライアントを終了します。
9.6. 外部ストレージを使用する
NFSおよびSambaサーバーのストレージをマウントすることで、本製品の設定やSYSLOGを外部ストレージに保存できます。
|
|
外部ストレージのマウントの詳細は「 🔗技術資料 」に記載しています。 |
9.6.1. 外部ストレージのマウント
mount
コマンドで外部ストレージをマウントし、本製品のファイルシステムの一部として使用できるようにします。
NFSサーバーをマウントする場合は "nfs://" で始まる接続先を指定します。
# mount nfs://NFSサーバーのIPv4アドレス/マウント対象ディレクトリーのパス nfs-server 外部ストレージをマウントしました
Sambaサーバーをマウントする場合は "smb://" で始まる接続先と、ユーザー名およびパスワードを指定します。
# mount smb://SambaサーバーのIPv4アドレス/マウント対象フォルダーのパス username=Sambaサーバーのユーザー名 password=Sambaサーバーのパスワード smb-server 外部ストレージをマウントしました
マウントに成功した外部ストレージは
show status storage interface
コマンドで確認できます。
9.6.2. 外部ストレージへのファイルのコピー
copy
,
copy config
コマンドを使用して、本製品のストレージと外部ストレージとの間でファイルをコピーします。
# copy config 0 nfs-server:/config/config0.txt
9.6.3. 外部ストレージのアンマウント
unmount
コマンドで外部ストレージをアンマウントします。
# unmount nfs-server 外部ストレージをアンマウントしました # unmount smb-server 外部ストレージをアンマウントしました
9.7. ユーザーアカウントを追加する
本製品のコンソールやSFTPサーバー等へのログインに使用するユーザーアカウントの追加方法を説明します。
ネットワーク管理者以外の人が本製品にアクセスする場合などは、セキュリティーの観点から、初期管理ユーザー「admin」以外のユーザーアカウントでログインすることを推奨します。
9.7.1. ユーザーアカウントの追加方法
login user
コマンドで、新たなユーザーアカウントを登録できます。
ユーザー名とパスワードの設定条件は、以下のとおりです。
-
ユーザー名
-
文字数: 1~32文字
-
使用できる文字: 半角英数字、ハイフン(-)、アンダーバー(_)
-
大文字と小文字は区別されます。
-
-
パスワード
-
文字数: 1~32文字
-
使用できる文字: 半角英数字、半角記号(ASCII文字)
-
大文字と小文字は区別されます。
-
文字列「admin」は設定できません。
-
たとえば、ユーザー名が「user1」、パスワードが「Password-1234567890」のユーザーアカウントを登録する場合は、以下のようにコマンドを実行します。
# login user user1 Password-1234567890 Password Strength : Very Strong # save
|
|
|
9.7.2. 権限の変更方法
登録済みのユーザー名を指定して
user attribute
コマンドを実行すると、ユーザーの権限を変更できます。
ネットワーク管理者以外の人が本製品にアクセスする場合など、アカウントの利用目的に合わせてユーザー権限を設定することを推奨します。
本製品のユーザー権限には、以下の3つの設定パターンがあります。 設定値に応じて、本製品へのログイン権限は以下のように異なります。
| 設定値 | コンソール使用時の権限 | 備考 |
|---|---|---|
|
2 |
管理ユーザーへの昇格が可能
|
初期管理ユーザー「admin」と同等の権限です。 |
|
1 |
管理ユーザーへの昇格が可能
|
登録直後のユーザーには、自動でこの権限が設定されます。 |
|
off |
管理ユーザーへの昇格が不可 |
|
|
管理パスワードの設定方法は「 管理パスワードを設定する 」に記載しています。 |
たとえば、ユーザー「user1」に管理ユーザーの権限を与えたい場合は、以下のようにコマンドを実行します。
# user attribute user1 administrator=2 # save
9.7.3. パスワードの変更方法
login user
コマンドで、登録済みのユーザー名と新しいパスワードを指定すると、パスワードの設定を上書きできます。
操作方法やパスワードの入力条件など、詳しくは「 ユーザーアカウントの追加方法 」を参照してください。
9.8. 管理パスワードを設定する
「管理パスワード」とは、「 ユーザーアカウントを追加する 」で追加したユーザーが、管理ユーザーとして本製品のコンソールにアクセスするときに入力するパスワードです。
初期状態の本製品には、管理パスワードが設定されていません。 セキュリティーを高めるために、管理パスワードを設定することを推奨します。
管理パスワードの設定には、
administrator password
コマンドを使用します。
パスワードは32文字以内のASCII文字で、大文字と小文字は区別されます。
# administrator password Old_Password: New_Password: New_Password(Confirm): Password Strength : Very Strong # save
|
|
|
|
|
|
9.9. コンソールのセキュリティー設定を変更する
システムに対するセキュリティーとして、以下の2つを紹介します。
9.9.1. ログインタイマーの設定
コンソールへのキー入力が一定時間ない場合には、自動的に本製品からログアウトします。 初期設定の場合、ログアウトまでの時間(ログインタイマー)は300秒です。
ログインタイマーの値を変更するには、以下の2つの方法があります。
-
login timerコマンドを追加する:user attributeコマンドが設定されていないユーザーすべてに対して、一括でログインタイマーを設定できます。 -
user attributeコマンドで、login-timerオプションを追加する: ユーザーごとにログインタイマーを設定できます。
以降、本製品に以下のコマンドが設定されている場合を例に説明します。
login user admin * login user user1 * login user user2 * user attribute admin administrator=2
-
login timerコマンドを追加すると、ユーザー「user1」と「user2」のログインタイマーを一括で変更できます。-
ログインタイマーを120秒に設定する場合は、以下のようにコマンドを実行します。
# login timer 120 # save
初期管理ユーザー「admin」のログインタイマーは変更されません ( user attributeコマンドが設定されているため)。
-
-
ユーザーごとにログインタイマーを設定する場合は、現在設定中の
user attributeコマンドにlogin-timerオプションを追加したコマンドを入力します。-
初期管理ユーザー「admin」のログインタイマーを120秒に設定する場合は、以下のようにコマンドを実行します。
# user attribute admin administrator=2 login-timer=120 # save
-
ユーザー「user1」(現在
user attributeコマンドの設定なし)のログインタイマーを120秒に設定する場合は、以下のように入力します。# user attribute user1 administrator=1 login-timer=120 # save
-
いずれの場合も、パラメーターとして「120」の代わりに「clear」を指定すると、自動ログアウトが無効になります。
この場合、
quit
コマンドを実行するまで本製品にログインした状態のままになります。
|
|
SSHまたはTELNETで本製品にログインしている場合は、セキュリティーの観点から、パラメーターに「clear」を指定していても、ログインタイマーが300秒として扱われます。 |
9.9.2. セキュリティークラスの設定
セキュリティークラスを設定すると、本製品のコンソールへのログイン方法の選択、TELNETおよびSSHクライアント機能の使用可否を変更できます。
-
コンソールへのログイン方法の選択
本製品のコンソールへのログイン方法として、以下の2つがあります。
-
さくらのクラウドコントロールパネルでログイン
-
SSHまたはTELNETでログイン
セキュリティークラスには、レベル1からレベル3まであります。 レベルに応じて、本製品へのログイン方法を以下のように制限できます。
レベル コントロールパネルでログイン SSHまたはTELNETでログイン 1または2
許可
許可
3
許可
拒否
初期設定時のセキュリティークラスは「1」です。
-
-
TELNETクライアント機能の使用可否
TELNETクライアント機能を有効にするか無効にするかを選択できます。
TELNETパラメーター TELNETクライアント機能の使用 on
許可
off
拒否
初期設定は「off」です。
-
SSHクライアント機能の使用可否
SSHクライアント機能を有効にするか無効にするかを変更できます。
SSHパラメーター SSHクライアント機能の使用 on
許可
off
拒否
初期設定は「off」です。
セキュリティークラスを設定するには、
security class
コマンドを使用します。
たとえば、セキュリティークラスのレベルを「1」、TELNETクライアントを使用可能に設定する場合は、以下のように入力します。
# security class 1 off on # save
セキュリティークラスの設定は、
show environment
コマンドで確認できます。
> show environment : セキュリティクラス レベル: 1, FORGET: OFF, TELNET: ON :
9.10. ライセンスを管理する
本製品へのライセンスの適用状況を確認したり、適用を解除したりすることができます。
|
|
ライセンスの適用方法は「 ライセンスを適用する 」に記載しています。 |
9.10.1. ライセンスの適用状況を確認する
ライセンスの適用状況は、
show status license
コマンドで確認できます。
> show status license
==============================================================================
品番 状態 有効期限
------------------------------------------------------------------------------
vRX-2Y100M-SC 有効 2025/08/31
速度: 100M
VPN (対地数: 10)
「速度」欄は、LANインターフェースの送信帯域の上限(単位: bit/s)を示しています。
「対地数」欄は、確立できるVPNの上限数を示しています。
9.10.2. ライセンスの適用を解除する
ライセンスの適用を解除するには、
clear vrx license
コマンドを実行します。
9.11. SNMPで本製品を管理する
本製品ではRFC1157(SNMP)とRFC1213(MIB-II)をサポートしています。 SNMP(Simple Network Management Protocol)の設定を行うと、SNMPマネージャーを使用してネットワーク管理情報の監視や変更ができます。
SNMPの設定は以下の表のとおりです。
| コマンド名称 | 説明 |
|---|---|
|
SNMPによるアクセスモードが読み出し専用であるコミュニティー名を設定します。 |
|
|
SNMPによるアクセスモードが読み書き可能であるコミュニティー名を設定します。 |
|
|
SNMPによるアクセスを許可するホストを設定します。 |
|
|
MIB変数「sysContact」を設定します。 |
|
|
MIB変数「sysLocation」を設定します。 |
|
|
MIB変数「sysName」を設定します。 |
|
|
送信トラップのコミュニティー名を設定します。 |
|
|
トラップの受信ホストを設定します。 |
|
|
コミュニティー名を変更する場合は、ユーザーパスワードや管理パスワードとは異なる文字列を設定してください。 なお、初期設定時のコミュニティー名は「public」です。 |
|
|
|
初期設定時は、SNMPによる本製品へのアクセスは許可されていません。
snmp host
コマンドでアクセスを許可するホストを設定できます。
たとえば、すべてのホストからアクセスを許可し、またトラップを受信するホストのIPアドレスを「192.168.112.25」とするには、以下のように設定します。
# snmp host any # snmp trap host 192.168.112.25 # save
9.12. 初期状態に復元する
cold start
コマンドを実行することで、本製品をさくらのクラウドへの展開直後の状態に戻すことができます。
管理パスワードを入力すると、本製品が再起動し、初期状態で動作を再開します。
# cold start Password: Restarting ...
|
|
ファイルシステムを除くすべての設定やデータが消去されます。 |
|
|
|