アライドテレシスマネージメントフレームワーク(AMF) / 応用


他ノードのファイル操作
ユーザー追加とパスワード変更
ネットワーク構成について
マスターの二重化
リング構成での考慮事項
AMFネットワークの分割(メンバー数がサポート上限を超える場合)
AMF仮想リンクによるワイドエリアAMFネットワーク
AMFコントローラー機能
基本設定
注意事項
ローカルマスターオートリカバリー(概要)
注意事項
ローカルマスターの交換(オートリカバリー)
ローカルマスターの交換(手動リカバリー)
AMFマルチテナント機能
基本仕様
基本設定
AMFマルチテナントコントローラー「VAA」の設定
AMFコンテナ(ローカルマスター)「ConA」の設定
AMFコンテナ(ローカルマスター)「ConB」の設定
AMFメンバー「NodeA」「NodeB」の設定
高度な設定
AMFマルチテナントコントローラー「VAA」の設定
AMFコンテナ(ローカルマスター)「ConA」「ConB」の設定
AMFメンバー「NodeA」「NodeB」の設定
AMFゲストノード機能
基本設定
注意事項
手動リカバリー(概要)
ゲストノードの交換(手動リカバリー)
AMFエージェントノード機能
基本設定
注意事項
リモートログイン
AMF自動検出メカニズム
AMFクリーン化手順
新規ノード追加手順(自動検出+CLI設定)
新規ノード追加手順(自動検出+事前作成コンフィグ転送)
オートリカバリー失敗時の再試行手順
オートリカバリー失敗時の手動リカバリー
スタックポートをAMF接続ポートとして使用している場合の手動リカバリー
AMF仮想リンクを使用しているノードの手動リカバリー
拠点側ルーターの手動リカバリー
AT-Vista Managerによるネットワーク管理
AMFアプリケーションプロキシー機能
ネットワーク構成について
基本設定


ここでは、応用編と題し、AMFの高度な機能や利用法を紹介します。

Note
AT-DC2552XSでは、外部メディアはサポート対象外のため、AMFバックアップデータの保存先としては外部のSSHサーバーのみ使用可能です。

Note
応用編では、手順説明に重点を置くため、ワーキングセットプロンプト移行時の対象ノード一覧表示など、コマンド実行時に表示されるメッセージを必要に応じて省略しています。あらかじめご了承ください。

Note
機種固有の制限事項・注意事項については、導入編の「導入にあたり」もご参照ください。

他ノードのファイル操作

AMFネットワークでは、以下のコマンドを使用して他のAMFノードのファイルシステムを操作できます。

他のAMFノードのファイルを指定するときは、通常のローカルファイルパスの代わりに、次の形式を使用してください。前述のコマンドにおいてローカルファイルパスを指定できる箇所なら、どこでもこの形式を使用できます。


ここで、<NODENAME>はAMFノードのノード名を、<ABSOLUTEPATH>は該当メンバーのファイルシステムにおける絶対パス(デバイス名を含む完全なパス)を表します。

たとえば、AMFノード「FSW241」上のファイルflash:/sample.cfgは次のように表します。


次のようにすることで、このファイルをマスター(SBx81)にコピーすることが可能です。
SBx81# copy ESW231.atmf/flash:/sample.cfg flash:/
Enter destination file name[sample.cfg]: 
Copying.
Successful operation

その他の動作や表示内容は、通常のファイル操作と同じです。
ファイル操作の詳細は、「運用・管理」/「ファイル操作」をご覧ください。

ユーザー追加とパスワード変更

ワーキングセット機能を利用するには、マスターとメンバーでCLIログイン用のユーザー名を統一しておく必要があるため、ユーザーの追加やパスワードの変更は次のように全ノードを対象とするワーキングセットプロンプトから行うのがよいでしょう。

■ 新規管理者ユーザーの追加は次の手順で行います。
  1. すべてのノードを対象とするワーキングセットプロンプトに移行します。
    SBx81# atmf working-set group all
    

  2. 全ノード一括で新規管理者ユーザーを追加します。
    AMF001[4]# configure terminal
    AMF001[4](config)# username supervisor privilege 15 password YYYYYYYY
    AMF001[4](config)# end
    

  3. 全ノード一括で設定を保存します。
    AMF001[4]# write
    

  4. マスターのCLIからいったんログアウトし、新しく追加した管理者ユーザーのユーザー名とパスワードでログインしなおします。
    これ以降、ワーキングセット機能では、新しいユーザー名とパスワードで各ノードへの操作が行われます。
    AMF001[4]# exit
    
    SBx81 login: supervisor 
    Password: YYYYYYYY ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    SBx81> 
    

■ 既存管理者ユーザーのパスワード変更は次の手順で行います。
  1. すべてのノードを対象とするワーキングセットプロンプトに移行します。
    SBx81# atmf working-set group all
    

  2. 全ノード一括で既存管理者ユーザーのパスワードを変更します。
    AMF001[4]# configure terminal
    AMF001[4](config)# username manager password XXXXXXXX
    AMF001[4](config)# end
    
    Note
    パスワードを変更しても、マスターのCLIからログアウトするまで、現行のワーキングセットセッションは有効です。

  3. 全ノード一括で設定を保存します。
    AMF001[4]# write
    

  4. マスターのCLIからいったんログアウトし、新しいパスワードでログインしなおします。
    これ以降、ワーキングセット機能では、新しいパスワードで各ノードへの操作が行われます。
    AMF001[4]# exit
    
    SBx81 login: manager 
    Password: XXXXXXXX ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    SBx81> 
    

ネットワーク構成について

マスターの二重化

AMFネットワークは、管理機能を実現するためのコントロールプレーンだけを提供しており、ユーザートラフィック用のネットワーク(データプレーン)とは独立しているため、仮にマスターが停止しても、ワーキングセットやバックアップ、オートリカバリーなどAMFの管理機能が使えなくなるだけで、マスター以外のデータプレーンには影響が及びません。
また、コンソールターミナル、Telnet、SSH、SNMPなどの従来からある管理機能は、AMFネットワークの動作状態と関係なく使用できるため、AMFマスター不在によりメンバーの管理ができなくなることもありません。

マスターを復旧させればAMFの管理機能も再び使えるようになるため、AMFの観点からは必須ではありませんが、マスターを2台配置して二重化することも可能です。

マスターを二重化するメリットは次のとおりです。

Note
マスターを2台使用する場合は、同一の機種およびAMFマスターライセンスをご用意ください。異なる機種・ライセンスを混在させた構成はサポート対象外です。ただし、マスターとしてSwitchBlade x8100を2台使う場合は、片方のコントロールファブリックカードがAT-SBx81CFC400、もう一方がAT-SBx81CFC960の構成でもかまいません。ただしその場合も、AMFマスターライセンスのサポートメンバー数は同じものをご使用ください。

■ 1つのAMFネットワークにマスターを2台配置したいときは、マスター同士を接続するポートを通常のAMFリンク(switchport atmf-link)ではなく、AMFクロスリンク(switchport atmf-crosslink)に設定してください。

たとえば、SBx81aとSBx81bをそれぞれポート1.1.1で接続する場合は、次のように設定します。
SBx81a(config)# interface port1.1.1
SBx81a(config-if)# switchport atmf-crosslink
SBx81b(config)# interface port1.1.1
SBx81b(config-if)# switchport atmf-crosslink

■ 次図は、ユーザートラフィック用のネットワーク(データプレーン)においてVRRPを用いた構成例です。


■ ワーキングセット機能において、マスターは予約済みグループmasterの所属となります。
2台のマスターにコマンドを同時発行したいときは、group masterを指定してワーキングセットプロンプトに入ると便利です。
SBx81a# atmf working-set group master
===============
SBx81a, SBx81b:
===============

Working set join


AMF001[2]# 

■ オートリカバリー中のAMFノードは、AMFネットワーク上のすべてのマスターに対して、自ノード用のバックアップデータがないかを問い合わせ、新しいほうのデータを使ってリカバリーを実行します。atmf recoverコマンドによる手動リカバリー時も、MASTER_NODENAMEパラメーターを指定しない場合は同じ動作です。MASTER_NODENAMEパラメーターでどちらかのマスターを指定した場合は、指定したマスターが持つバックアップデータを使ってリカバリーします。

リング構成での考慮事項

次のようなリング構成では、AMFネットワークの階層レベル(show atmf nodesコマンドで表示されるNode Depth)が深くなります。


Node Depthには「最大8」のサポートリミット(導入編の「導入にあたり」を参照)などがあるため、リング構成では、次図のようにリングを構成する各ノードを通常のAMFリンク(switchport atmf-link)ではなくAMFクロスリンク(switchport atmf-crosslink)で接続することをおすすめします。

これにより、リングを構成するノードはすべて同一階層となり、AMFネットワーク全体の階層レベルが浅くなります。

なお、同じリング構成でも、次図のようなロングディスタンスVCS(LD-VCS)構成の場合は、リング全体が1台のAMFノードとして扱われるため、AMFクロスリンクを使う必要はありません。


AMFネットワークの分割(メンバー数がサポート上限を超える場合)

1つのAMFネットワーク(マスター1~2台)に接続できるメンバーは最大2/10/20/40/82/124/304台です(上限はマスターの機種とライセンスによって異なります。詳細は導入編を参照)。
メンバー数がご使用中のライセンスのサポート上限を超える場合は、次の図(40メンバーライセンスの例)のようにAMFネットワークを分割し(異なるAMFネットワーク名を設定し)、それぞれのマスターを非AMF接続ポートで接続してください。

異なるAMFネットワークに所属するマスター間の連携はありません。この例では、AMFネットワーク1 に所属するメンバーの操作は AMFマスター1 のCLIから行い、AMFネットワーク2に所属するメンバーの操作は AMFマスター2 のCLIから行う形になります。

なお、ユーザートラフィック用のネットワーク(データプレーン)上でVRRPを使用することにより、次のような構成も可能です。


AMF仮想リンクによるワイドエリアAMFネットワーク

WAN経由で接続されている拠点をAMFネットワークに参加させる場合は、AMF仮想リンク(atmf virtual-link)というAMF専用のトンネリング機能を使用します。


AMF仮想リンクを設定することにより、データプレーン(運用ネットワーク)のIPv4ネットワーク経由でAMF対応スイッチ同士を接続し、AMFパケットの送受信を行わせることができます。AMF仮想リンクでは、AMFパケットをIPパケットに載せて運ぶため、IPによる通信が可能であれば、AMF対応スイッチ間にルーターなどのAMF非対応機器が介在していてもAMFネットワーク上は2台が直結されているかのように扱うことができます。

Note
仮想リンクでAMFネットワークに接続しているAMFノードにおいても、隣接するノードの補助によりオートリカバリーが可能です。 詳細は、運用編の「仮想リンク経由で接続しているAMFノードのオートリカバリー」をご覧ください。


■ 前図における本社側のAMFノード HQ001(10.1.1.1)と、支社側のAMFノード BR101(10.10.10.1)の間にAMF仮想リンクを設定するには、次の手順にしたがいます。
ここでは、本社側のHQ001はすでにAMFの基本設定が行われており、運用中であると仮定しています。一方、支社側のBR101は通常動作については運用中ですが、AMFは未設定と仮定します。


以上で仮想リンクの設定は完了です。これ以降、支社側のノード BR101は、AMFネットワークAMF001上において、本社側のAMFノードと同様に扱うことができます。さらに、BR101 配下のノードに対しても、通常のAMF設定を行うことでAMFネットワークAMF001に参加させることが可能です。

■ AMF仮想リンクでは、データプレーン(運用ネットワーク)上にAMFのコントロールプレーン(管理ネットワーク)を配置する形となるため、データプレーンのトラフィックがAMFの接続性に影響を与える可能性があります。

この影響を最小限にするため、AMF仮想リンクを使用するノード(仮想リンクの両端ノード)では、次のようなQoS設定を行い、対向ノードからのパケットを優先的に処理するよう設定することを推奨します。

また、AMF仮想リンクの経路上にある機器(ルーターなど)においても、必要に応じて優先制御等の設定を行ってください。

Note
以下のコンフィグはAMF仮想リンク使用時に推奨されるQoS設定の大枠を示すためのものです。実際の環境や機器にあわせて、適宜パラメーターの変更等を実施してください。また、すでにQoSの設定を行っている場合は、既存のポリシーマップに下記の設定内容を適宜追加してください。

Note
QoS設定の詳細については、「トラフィック制御」/「Quality of Service」をご覧ください。


■ AMF仮想リンクのトンネリングパケットには下記のUDPパケットが使われます。


前項のQoS設定ではパケットの識別条件としてIPアドレスだけを使用していますが、上記UDPポートを条件に追加することで、純粋に仮想リンクのトンネリングパケットだけを優先処理の対象にすることも可能です。

先ほどのQoS設定例にUDPポート指定を追加した場合、アクセスリストの設定は次のようになります(赤字は変更または追加箇所です)。
ここでは、どちらのノードもIDとして1を使用しているため、UDPポート番号は始点・終点とも5001になっています。


■ AMF仮想リンクの経路上にある中継機器(ルーターなど)でパケットフィルタリングを行っている場合、AMF仮想リンクパケットだけを透過させるには、トンネル両端ノードのIPアドレスと前述のUDPポートを条件として、中継機器に許可設定を行ってください。

たとえば、次のような仮想リンクを設定している場合、
site11(config)# atmf virtual-link id 11 ip 192.168.10.1 remote-id 12 remote-ip 192.168.10.2
site12(config)# atmf virtual-link id 12 ip 192.168.10.2 remote-id 11 remote-ip 192.168.10.1

仮想リンクのトンネリングパケットは次の条件で識別できますので、中継機器に対して下記のパケットを許可する設定を行ってください。

Note
パケットフィルタリングの具体的な設定方法については、中継機器のマニュアル等でご確認ください。

AMFコントローラー機能

さらに大規模なネットワークを構築したい場合は、AMFコントローラー機能(以下、コントローラー)を使います。

コントローラー機能は、複数のエリア内のAMFマスターおよびメンバーを、統合管理する機能です。
最大60のローカルマスターを通して18000台のAMFメンバーを、コントローラーから操作できるため、複数のマスターを必要とする大規模環境で集中管理が可能となり、遠隔からのメンテナンスによるネットワークの管理リソース削減や、オートリカバリーを利用することでのダウンタイム抑制による、ネットワーク全体の管理コスト削減と可用性を向上できます。

対象機器
Note
AT-DC2552XSは、ファームウェアバージョン5.4.5-2.1以降、AMFマスターとして使用できますが、AMFコントローラー配下のローカルマスターとしては使用できません。

サポート機能
本機能では、コントローラー配下のAMFマスターを「ローカルマスター」と定義し、コントローラーから以下の機能を通じて、複数マスターにまたがるネットワーク全体の統合管理が可能です。



基本設定

コントローラー機能の設定は、次の手順で行います。ここでは、スイッチSwitchBlade x8100をコントローラースイッチとし、2つのエリアを作成します。

既存のAMFネットワークに対して、エリアの設定を行う手順を説明します。

全機器ではすでにAMFノード名(hostnameコマンド)、AMFネットワーク名(atmf network-nameコマンド)、AMF接続ポート(AMFリンク)の設定(switchport atmf-linkコマンド)が行われていることを前提とします。また、コントローラーと各ローカルマスターにはAMFノード名、AMFネットワーク名、IPアドレスとAMFマスター(atmf masterコマンド)の設定が行われていることを前提とします。
※全エリアで同じAMFネットワーク名を設定してください。


1. コントローラースイッチを設定します

1-1. エリアの設定(上図の構成例を例としています)
    1-1-1. 対象ノードをコントローラーとして設定します。これにはatmf controllerコマンドを使います。
    SBx81(config)# atmf controller
    

    1-1-2. 対象ノードをコントローラーエリアとして設定します。これにはatmf area idコマンドを使います。
    SBx81(config)# atmf area area1 id 1 local
    

    1-1-3. エリア2を作成します。これにはatmf area idコマンドを使います。
    SBx81(config)# atmf area area2 id 2
    

    1-1-4. エリア2のパスワードを設定します。これにはatmf area passwordコマンドを使います。
    SBx81(config)# atmf area area2 password abcabcabc
    

    1-1-5. エリア3をエリア2作成時と同様に作成します。エリア2作成時と同じコマンドを使います。
    SBx81(config)# atmf area area3 id 3
    SBx81(config)# atmf area area3 password xyzxyzxyz
    

1-2. エリア2と接続するために、ポートにエリアリンクを設定します。これにはswitchport atmf-arealink remote-areaコマンドを使います。
SBx81(config)# interface port1.1.1
SBx81(config-if)# switchport atmf-arealink remote-area area2 vlan 2000

Note
ここで指定するVLAN IDは、コントローラー機能が内部的に使用するマネージメントVLANのIDとなります。vlan databaseコマンドで作成したVLAN IDは指定できません。vlan databaseコマンドで設定を行っていないVLAN IDを指定してください。


1-3. エリア3と接続するために、エリア仮想リンクの設定をします。
SBx81(config)# atmf virtual-link id 1 ip 192.168.0.254 remote-id 1 remote-ip 192.168.0.1 remote-area area3

コントローラーの設定は以上です。



2. エリア2のローカルマスターを設定します。

2-1. エリアの設定(上図の構成例を例としています)
    2-1-1. エリア2の対象ノードを、AMFローカルマスターエリアとして設定します。これにはatmf area idコマンドを使います。
    SBx908a(config)# atmf area area2 id 2 local
    

    2-1-2. エリア2のパスワード(前述手順の1-1-4で設定したパスワード)を入力します。これにはatmf area passwordコマンドを使います。
    SBx908a(config)# atmf area area2 password abcabcabc
    

    2-1-3. コントローラーエリア(前述手順の1-1-2で設定したエリア)を入力します。これにはatmf area idコマンドを使います。
    SBx908a(config)# atmf area area1 id 1
    

2-2. エリア1との接続するために、ポートにエリアリンクの設定をします。
SBx908a(config)# interface port1.1.1
SBx908a(config-if)# switchport atmf-arealink remote-area area1 vlan 2000

Note
switchport atmf-arealink remote-areaコマンドは、マスターでもメンバーでも、どちらでも設定を行うことができます。環境に合わせて使い分けてください。

エリア2のローカルマスターの設定は以上です。

正常に組めると、以下のメッセージがコントローラー上で出力されます。
SBx81# 15:51:51 SBx81 ATMF [4158]: area2 is reachable. 1 reachable area in total



3. エリア3のローカルマスターの設定をします。

3-1. エリアの設定(上図の構成例を例としています)
    3-1-1. エリア2のローカルマスター設定と同様に設定します。
    SBx908b(config)# atmf area area3 id 3 local
    SBx908b(config)# atmf area area3 password xyzxyzxyz
    SBx908b(config)# atmf area area1 id 1
    

3-2. エリア1との接続するために、エリア仮想リンクの設定をします。
SBx908b(config)# atmf virtual-link id 1 ip 192.168.0.1 remote-id 1 remote-ip 192.168.0.254 remote-area area1

Note
atmf virtual-linkコマンドは、マスターでもメンバーでも、どちらでも設定を行うことができます。環境に合わせて使い分けてください。

エリア3のローカルマスターの設定は以上です。

正常に組めると、以下のメッセージがコントローラー上で出力されます。
SBx81# 16:52:29 SBx81 ATMF[4158]: area3 is reachable. 2 reachable areas in total.



■ エリアとの接続を確認したい場合は、show atmf areaコマンドを使います。
SBx81# show atmf area

  ATMF Area Information:

  * = Local area

  Area               Area   Local         Remote        Remote          Node
  Name               ID     Gateway       Gateway       Master          Count
--------------------------------------------------------------------------------
* area1              1      Reachable     N/A           N/A             1
  area2              2      Reachable     Reachable     Auth OK         2
  area3              3      Reachable     Reachable     Auth OK         2

  Area count:        3                             Area node count:     5


■ 全エリアのスイッチを確認したい場合は、show atmf area nodesコマンドを使います
SBx81# show atmf area nodes

  area2 Area Node Information:
  Node                 Device             ATMF                             Node
  Name                 Type               Master  SC   Parent              Depth
--------------------------------------------------------------------------------
  SBx908a              SwitchBlade x908     Y     S    none                  0
  x230                 x230-10GP            N     N    SBx908a               1

  area2 node count 2


  area3 Area Node Information:
  Node                 Device             ATMF                             Node
  Name                 Type               Master  SC   Parent              Depth
--------------------------------------------------------------------------------
  SBx908b              SwitchBlade x908     Y     S    none                  0
  x510                 x510-28GTX           N     S    SBx908b               1

  area3 node count 2


■ 別エリアのローカルマスターを制御したい場合は、atmf select-areaコマンドを使用してください。
SBx81# atmf select-area area2
=========================================
Connected to area area2 via host SBx908a:
=========================================
area2# 


■ 別エリアのスイッチを制御したい場合は、atmf select-areaコマンドでエリアを選択してから、atmf working-setコマンドを使用してください。
SBx81# atmf select-area area2
=========================================
Connected to area area2 via host SBx908a:
=========================================
area2# atmf working-set group x230
=====
x230:
=====

Working set join


area2[1]# 


■ ローカルマスターのバックアップを有効にするには、atmf backup area-masters enableコマンドを使います。


注意事項

ローカルマスターオートリカバリー(概要)

ローカルマスターオートリカバリー機能は、AMFローカルマスターを新品の機器と交換するときに、バックアップデータからフラッシュメモリーの内容を復元し、交換前の機器と同じ構成で再起動する仕組みです。

ローカルマスター交換時にオートリカバリーが動作するには、次の条件を満たす必要があります。


注意事項

ローカルマスターの交換(オートリカバリー)
ここでは、稼働中の下記AMFネットワークを例に、ローカルマスターSBx908aを新品の代替機と交換し、オートリカバリーによって自動復元する手順を示します。

機種
ノード名
AMFにおける役割
概要
SwitchBlade x8100 SBx81 コントローラー コアスイッチ
SwitchBlade x908 SBx908a ローカルマスター コアスイッチ(エリア2)[交換対象]
SwitchBlade x908 SBx908b ローカルマスター コアスイッチ(エリア3)
AT-x230-10GP x230 メンバー エッジスイッチ
AT-x510-28GTX x510 メンバー エッジスイッチ


なお、コントローラーSBx81にはUSBメモリーが装着されており、自動バックアップ機能によって作成されたローカルマスターSBx908aのバックアップデータが存在しているものとします。

  1. ローカルマスターSBx908aと同一型番の新しいスイッチ(代替機)を用意します。代替機はご購入時の状態であればよく、事前設定は一切不要です。

    Note
    代替機がご購入時の状態でない場合は、応用編の「AMFクリーン化手順」を参照し、代替機をAMFクリーン状態に戻してください。

    また、ファームウェアバージョンが5.4.5以降でない場合は、最初に代替機を5.4.5以降にバージョンアップしてください。

  2. ローカルマスターSBx908aの電源を切り、LANケーブルを抜きます。

  3. ローカルマスターSBx908aと代替機を交換します。

  4. 代替機にLANケーブルを元通り(交換前と同じポートに)接続し、電源を入れます。
    オートリカバリーの進捗を確認するため、代替機にはコンソールを接続しておくとよいでしょう。

    ご購入時状態のAMF対応スイッチでは、起動時にAMFネットワークを検出して自動的に参加する処理が働きます。
    この過程でオートリカバリーが可能かどうかの判断を行い、可能と判断した場合はマスターのUSBメモリーに格納されたバックアップデータからフラッシュメモリーの内容を復元して再起動を行い、交換前の機器と同一の状態でAMFネットワークに参加します。

    なおこの間、「AMFセーフコンフィグ」が適用されてAMF接続ポート(エリアリンク)以外のポートはすべてシャットダウンされるため、通常のネットワークポートでループなどが発生する恐れはありません。

    Note
    ローカルマスターのオートリカバリーの際には、エリアリンクでローカルマスターと繋がっていたAMFメンバーを必ず接続してください。 (上記図ではx230)

  5. 起動中、代替機のローカルコンソールには次のようなログメッセージが表示されます。
    また、代替機の機種や拡張モジュールによっては、ポートLEDの表示によってもリカバリー実行中であることが示されます(詳細はatmf recover led-offコマンドのページをご覧ください)。
    17:45:36 awplus ATMF[2223]: ATMF network detected
    17:45:36 awplus ATMF[2223]: ATMF safe mode config applied (forwarding disabled)
    17:45:46 awplus ATMF[2223]: Shutting down all non ATMF ports
    17:45:46 SBx908a ATMF[2223]: host_0009_41fd_c9ab has left. 0 member in total.
    17:45:47 SBx908a ATMF[2223]: SBx908a has joined. 1 member in total.
    17:45:47 SBx908a ATMF[2223]: Automatic node recovery started
    17:45:47 SBx908a ATMF[2223]: ATMF recovery file detected (forwarding enabled)
    17:45:53 SBx908a ATMF[2223]: x230 has joined. 2 members in total.
    17:45:56 SBx908a ATMF[2223]: x230 has left. 1 member in total.
    17:46:02 SBx908a ATMF[2223]: x230 has joined. 2 members in total.
    17:47:24 SBx908a ATMF[2223]: Enabling all ports
    17:48:54 SBx908a ATMF[2223]: Recovery file processing successful, attempting to recover as SBx908a
    17:48:54 SBx908a ATMF[2223]: Checking controller and master node availability
    17:48:56 SBx908a ATMFFSR[6547]: Retrieving recovery data from recovery node SBx81
    17:49:30 SBx908a ATMFFSR[6547]: File recovery from master node succeeded. Node will now reboot
    

  6. オートリカバリーが成功すると、代替機はいったん再起動し、AMFローカルマスターSBx908aとしてAMFネットワークを統括しコントローラーに接続してきます。
    SBx81# show atmf area-nodes
    
      ATMF Area Information:
    
      * = Local area
    
      Area               Area   Local         Remote        Remote          Node
      Name               ID     Gateway       Gateway       Master          Count
    --------------------------------------------------------------------------------
    * area1              1      Reachable     N/A           N/A             1
      area2              2      Reachable     Reachable     Auth OK         2
      area3              3      Reachable     Reachable     Auth OK         2
    
      Area count:        3                             Area node count:     5
    
    SBx81# show atmf area-nodes
    
      area2 Area Node Information:
      Node                 Device             ATMF                             Node
      Name                 Type               Master  SC   Parent              Depth
    --------------------------------------------------------------------------------
      SBx908a              SwitchBlade x908     Y     S    none                  0
      x230                 x230-10GP            N     N    SBx908a               1
    
      area2 node count 2
    
    
      area3 Area Node Information:
      Node                 Device             ATMF                             Node
      Name                 Type               Master  SC   Parent              Depth
    --------------------------------------------------------------------------------
      SBx908b              SwitchBlade x908     Y     S    none                  0
      x510                 x510-28GTX           N     S    SBx908b               1
    
      area3 node count 2
    
    

    新しいスイッチがSBx908aとして復元され、そのエリアのAMFネットワークの情報が確認できます。

■ オートリカバリーが失敗したときは、次のようなメッセージが出力されます。
また、代替機の機種や拡張モジュールによっては、ポートLEDの表示によってもリカバリーに失敗したことが示されます(詳細はatmf recover led-offコマンドのページをご覧ください)。

この場合は、後述の「オートリカバリー失敗時の手動リカバリー」を参照して、手動でリカバリーを実施してください。
16:27:52 awplus ATMF[831]: ATMF network detected
16:27:52 awplus ATMF[831]: ATMF safe config applied (forwarding disabled)
16:28:02 awplus ATMF[831]: Shutting down all non ATMF ports
16:28:02 SBx908a ATMF[831]: Automatic node recovery started
16:28:02 SBx908a ATMF[831]: Attempting to recover as SBx908a
16:28:02 SBx908a ATMF[831]: Checking master node availability
16:33:02 SBx908a ATMF[831]: Failed to find any master nodes
16:33:02 SBx908a ATMF[831]: Automatic node recovery failed - user intervention required


■ 上の例では、エリアリンクで接続されているローカルマスターSBx908aを交換しましたが、エリア仮想リンクで接続されているローカルマスターを交換する場合も手順は同じです。

例として、エリア仮想リンクで接続されているローカルマスターSBx908bを交換するケースを考えます。
SBx908bの交換作業にともない、コントローラーとの接続性が失われるため、一時的にAMFネットワークから離脱しますが、オートリカバリーが成功すると、SBx908bはAMFネットワークに自動復帰します。


■ VCS構成のAMFメンバーを交換する場合は、状況によって作業手順が異なります。

ローカルマスターの交換(手動リカバリー)
何らかの原因によりオートリカバリーを利用できない場合は、手動によるリカバリー処理を行うことも可能です。

ここでは、稼働中の下記AMFネットワークを例に、ローカルマスターSBx908aを新品の代替機と交換し、手動リカバリーによって復元する手順を示します。

機種
ノード名
AMFにおける役割
概要
SwitchBlade x8100 SBx81 コントローラー コアスイッチ
SwitchBlade x908 SBx908a ローカルマスター コアスイッチ(エリア2)[交換対象]
SwitchBlade x908 SBx908b ローカルマスター コアスイッチ(エリア3)
AT-x230-10GP x230 メンバー エッジスイッチ
AT-x510-28GTX x510 メンバー エッジスイッチ


  1. ローカルマスターSBx908aと同一型番の新しいスイッチ(代替機)を用意して、起動します。
    Note
    代替機に搭載されているファームウェアバージョン5.4.5以降でない場合は、最初にバージョンアップしてください。また、AMFマスターライセンスの有効化も必要です。

  2. 代替機にAMFバックアップファイルの入ったUSBメモリーを装着します。

  3. 代替機にログインし、USBメモリーにバックアップされているマスターのコンフィグファイルを、代替機の本体内蔵フラッシュメモリーにコピーします。
    awplus login: manager 
    Password: friend ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.5 xx/xx/xx xx:xx:xx
    
    awplus> enable
    awplus# copy card:/atmf/AMF001/areas/area1/nodes/SBx908a/flash/default.cfg flash
    Copying...
    Successful operation
    
    

  4. AMFを有効にしてatmf recoverコマンドを利用可能にするため、コピーしたコンフィグで再起動します。
    awplus# reboot
    Are you sure you want to reboot the whole chassis? (y/n): y
    

  5. 再起動後にログインしたら、atmf recoverコマンドを実行して、USBメモリー内のバックアップファイルから代替機の内蔵フラッシュメモリーの内容を手動でリカバリーします。
    代替機の機種や拡張モジュールによっては、ポートLEDの表示によってリカバリー実行中であることが示されます(詳細はatmf recover led-offコマンドのページをご覧ください)。
    SBx908a login: manager 
    Password: XXXXXXXX ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.5 xx/xx/xx xx:xx:xx
    
    SBx908a> enable
    SBx908a# atmf recover SBx908a controller SBx81
    This command will erase ALL flash contents.  Continue node recovery? (y/n) y
    
    Manual node recovery successfully initiated
    
    17:39:12 SBx908a ATMFFSR[5594]: Retrieving recovery data from master node SBx81
    17:39:32 SBx908a ATMFFSR[5594]: Manual node recovery completed
    17:39:32 SBx908a ATMFFSR[5594]: Node needs to be restarted for the configu
    ration to take effect. Make sure the configuration is appropriate for the node
    before restart.
    
    

  6. リカバリー処理が完了したら、もう一度再起動します。
    SBx908a# reboot
    Are you sure you want to reboot the whole chassis? (y/n): y
    

  7. 再起動が完了したらAMFネットワークが再構成され、コントローラー、及び自身のエリア内のAMFメンバーとの接続性が回復します。

AMFマルチテナント機能

AMFマルチテナント機能とは、1台のAMFコントローラーと複数のローカルマスター(AMFコンテナ)を、ひとつのAMF Cloud上で管理する機能です。

ひとつのAMF Cloud上では、AMFコントローラー1台につき、最大60台のローカルマスター(AMFコンテナ)を管理することができます。
Note
本機能には、AMFコントローラーライセンスと、AMFマスターライセンスが必要です。
Note
AMFコンテナごとに、管理台数分のAMFマスターライセンスが必要になります。
Note
本機能では、仮想化環境がVMware vSphere、Citrix XenServerのみサポートで、アマゾン ウェブサービス(AWS)は未サポートです。

AMF Cloudは、AMFコントローラーに対応しており、AMF Cloud上の仮想マシンをAMFコントローラーとして設定することが可能です。
AMFマルチテナント機能では、AMF Cloud上の仮想マシンをAMFコントローラーとして設定し、さらにその配下にAMFコンテナと呼ばれるローカルマスターを作成することで、AMFコントローラーからAMFコンテナ(ローカルマスター)までをAMF Cloud上で設定することができます。

AMFマルチテナントコントローラーが管理できる総メンバー数は1200台です。


AMFマルチテナント機能を使った基本構成は以下のようになります。


AMFコンテナと呼ばれる仮想インスタンスを作成し、AMFエリアのローカルマスターとして動作させることで、同エリア内のAMF Cloudの外部のネットワークに繋がる機器をメンバーとして管理できます。
外部のネットワークには、AMF Cloudのeth0インターフェース経由で接続します。

基本仕様

AMFマルチテナント機能の基本的な仕様は以下の通りです。

基本設定

AMFマルチテナント機能の基本設定について説明します。

例として、以下の構成の設定を説明します。

Note
本構成例のように、各AMFコンテナをAMFマルチテナントコントローラー上の異なるブリッジに接続すると、各AMFコンテナのL2ネットワーク(VLAN)を分離することができます。
本例では各AMFコンテナに異なるIPアドレスを設定していますが、たとえば構成図中の「VLAN対応のスイッチorルーター」でVRF-Liteを使用するなどして、各コンテナが所属するL2ネットワーク(VLAN)間のIP通信ができないように設定すれば、AMFコンテナ間で重複するIPアドレスを使用できるため、AMFコンテナごとに独自のIPアドレス設計が可能になります。

以降の説明では、AMFマルチテナントコントローラーとして動作させるAMF Cloud上の仮想マシンを「VAA」とします。
また、AMFコンテナとして動作させるAMF Cloud上の仮想マシンをそれぞれ「ConA」「ConB」とします。

AMFマルチテナントコントローラー「VAA」の設定

まず、AMFマルチテナントコントローラー「VAA」の設定手順を説明します。

1. AMFマルチテナントコントローラーにログインし、ホスト名をhostnameコマンド、ネットワーク名をatmf network-nameコマンドで設定します。
ホスト名は各機器固有のものを、AMFネットワーク名はすべてのノードに同じものを設定します。
awplus> enable
awplus# configure terminal
awplus(config)# hostname VAA
VAA(config)# atmf network-name AMF

2. atmf masterコマンドとatmf controllerコマンドにより、AMFマスター兼AMFコントローラー機能を有効にします。
Note
AMFコントローラーと同様、AMFマルチテナントコントローラー使用する場合は、AMFマルチテナントコントローラーと同じエリアにAMFマスターが存在する必要があります。この条件を満たすためには、AMFマルチテナントコントローラーと同じエリア内にAMFマスターを設置するか、AMFマルチテナントコントローラー自身をマスターとしても動作させます。
VAA(config)# atmf master
VAA(config)# atmf controller

3. AMFマルチテナントコントローラー用のエリア1「Core」、AMFコンテナ「ConA」用のエリア2「A」、AMFコンテナ「ConB」用のエリア3「B」を作成します。
エリアの作成にはatmf area idコマンドとatmf area passwordコマンドを使用します。
VAA(config)# atmf area Core id 1 local
VAA(config)# atmf area A id 2
VAA(config)# atmf area A password AAAAaaaa
VAA(config)# atmf area B id 3
VAA(config)# atmf area B password BBBBbbbb

4. atmf containerコマンドでAMFコンテナ「ConA」と「ConB」を作成し、area-linkコマンドにてそれぞれエリア2「A」、エリア3「B」に配置し、stateコマンドにてコンテナを有効化します。
VAA(config)# atmf container ConA
VAA(config-atmf-container)# area-link A
VAA(config-atmf-container)# state enable
VAA(config-atmf-container)# exit

VAA(config)# atmf container ConB
VAA(config-atmf-container)# area-link B
VAA(config-atmf-container)# state enable
VAA(config-atmf-container)# exit

5. AMFマルチテナントコントローラーのeth0インターフェース経由でコンテナ「ConA」「ConB」が外部のネットワークに接続できるよう、各AMFコンテナに対応するブリッジ「2」「3」をbridgeコマンドにて作成し、それぞれ「ConA」「ConB」のeth1と、AMFマルチテナントコントローラーの「eth0.2」「eth0.3」を接続します。

AMFマルチテナントコントローラーのeth0インターフェース上に「eth0.2」「eth0.3」を作成するには、encapsulation dot1qコマンドを使用します。
「eth0.2」「eth0.3」と、ブリッジ「2」「3」を接続するには、bridge-groupコマンドを使用します。
「ConA」「ConB」の外部接続用インターフェース(eth1)と、ブリッジ「2」「3」を接続するには、bridge-groupコマンドを使用します。

これにより、「ConA」のeth1から送信するパケットは、AMFマルチテナントコントローラーのeth0からVLAN ID=2のタグ付きパケットとして出力されるようになります。
「ConB」のeth1から送信するパケットは、AMFマルチテナントコントローラーのeth0からVLAN ID=3のタグ付きパケットとして出力されるようになります。

同様に、AMFマルチテナントコントローラーのeth0で受信したVLAN ID=2のタグ付きパケットは、「ConA」のeth1に(タグなしで)転送され、AMFマルチテナントコントローラーのeth0で受信したVLAN ID=3のタグ付きパケットは、「ConB」のeth1に(タグなしで)転送されます。

VAA(config)# bridge 2
VAA(config)# interface eth0
VAA(config-if)# encapsulation dot1q 2
VAA(config-if)# exit
VAA(config)# interface eth0.2
VAA(config-if)# bridge-group 2
VAA(config-if)# exit
VAA(config)# atmf container ConA
VAA(config-atmf-container)# bridge-group 2
VAA(config-atmf-container)# exit

VAA(config)# bridge 3
VAA(config)# interface eth0
VAA(config-if)# encapsulation dot1q 3
VAA(config-if)# exit
VAA(config)# interface eth0.3
VAA(config-if)# bridge-group 3
VAA(config-if)# exit
VAA(config)# atmf container ConB
VAA(config-atmf-container)# bridge-group 3
VAA(config-atmf-container)# exit

6. AMFマルチテナントコントローラーの設定はこれで完了です。
AMFの設定を有効にするため、設定を保存して再起動します。
VAA(config)# end
VAA# write
VAA# reload
reboot system? (y/n): y

AMFコンテナ(ローカルマスター)「ConA」の設定
AMFコンテナ(ローカルマスター)「ConA」の設定を行います。
AMFマルチテナントコントローラー「VAA」が再起動したら、コンテナ「ConA」にログインして設定を確認したのち、追加設定を行います。

1. AMFマルチテナントコントローラー「VAA」にログインし、そこからatmf container loginコマンドでコンテナ「ConA」にログインします。
VAA> enable
VAA# atmf container login ConA

2. ここからは「ConA」のCLIで設定を行います。
AMFマルチテナントコントローラー「VAA」での設定により自動的に追加されたコンフィグを確認し、保存します。
ConA> enable
ConA# show running-config
ConA# write

3. メンバーと仮想リンクを張るためにはIPアドレスが必要なので、AMF Cloud外に接続されているeth1にIPアドレスを設定します。
ConA# configure terminal
ConA(config)# interface eth1
ConA(config-if)# ip address 10.0.2.1/24
ConA(config-if)# exit

4. メンバーネットワークへのIP経路を設定します。
ここでは構成図の「VLAN対応のスイッチorルーター」をゲートウェイと仮定し、メンバーが存在するネットワークへのスタティック経路を設定していますが、実際のネットワーク構成や要件にあわせて適切な経路設定を行ってください。
ConA(config)# ip route 192.168.2.0/24 10.0.2.254

5. atmf virtual-linkにより、ConA(10.0.2.1)・NodeA(192.168.2.1)間に仮想リンクを作成します(NodeA側にも逆向きの設定が必要です)。
ConA(config)# atmf virtual-link id 1 ip 10.0.2.1 remote-id 1 remote-ip 192.168.2.1

6. AMFコンテナ「ConA」の設定はこれで完了です。
AMFコンテナの設定を保存しておきます。
ConA(config)# end
ConA# write
ConA# logout
Note
AMFコンテナのCLIからログアウトしてもAMFマルチテナントコントローラーのプロンプトには戻らないので、AMFマルチテナントコントローラーのプロンプトに戻るにはCtrl/AQの順に入力してください。

AMFコンテナ(ローカルマスター)「ConB」の設定
AMFコンテナ(ローカルマスター)「ConB」の設定を行います。
コンテナ「ConB」にログインして設定を確認したのち、追加設定を行います。

1. AMFマルチテナントコントローラー「VAA」にログインし、そこからatmf container loginコマンドでコンテナ「ConB」にログインします。
VAA> enable
VAA# atmf container login ConB

2. ここからは「ConB」のCLIで設定を行います。
AMFマルチテナントコントローラー「VAA」での設定により自動的に追加されたコンフィグを確認し、保存します。
ConB> enable
ConB# show running-config
ConB# write

3. メンバーと仮想リンクを張るためにはIPアドレスが必要なので、AMF Cloud外に接続されているeth1にIPアドレスを設定します。
ConB# configure terminal
ConB(config)# interface eth1
ConB(config-if)# ip address 10.0.3.1/24
ConB(config-if)# exit

4. メンバーネットワークへのIP経路を設定します。
ここでは構成図の「VLAN対応のスイッチorルーター」をゲートウェイと仮定し、メンバーが存在するネットワークへのスタティック経路を設定していますが、実際のネットワーク構成や要件にあわせて適切な経路設定を行ってください。
ConB(config)# ip route 192.168.3.0/24 10.0.3.254

5. atmf virtual-linkにより、ConB(10.0.3.1)・NodeB(192.168.3.1)間に仮想リンクを作成します(NodeB側にも逆向きの設定が必要です)。
ConB(config)# atmf virtual-link id 1 ip 10.0.3.1 remote-id 1 remote-ip 192.168.3.1

6. AMFコンテナ「ConB」の設定はこれで完了です。
AMFコンテナの設定を保存しておきます。
ConB(config)# end
ConB# write
ConB# logout
Note
AMFコンテナのCLIからログアウトしてもAMFマルチテナントコントローラーのプロンプトには戻らないので、AMFマルチテナントコントローラーのプロンプトに戻るにはCtrl/AQの順に入力してください。

AMFメンバー「NodeA」「NodeB」の設定
AMFコンテナ(ローカルマスター)「ConA」「ConB」のメンバーとなる「NodeA」「NodeB」には、atmf virtual-linkコマンドによる、仮想リンクの作成が必要です。


高度な設定

AMFマルチテナント機能の高度な設定について説明します。

基本設定では、各AMFコンテナがAMFマルチテナントコントローラー上の共通インターフェース「eth0」経由で外部ネットワークと接続されていましたが、物理サーバーに複数のネットワークインタフェースカード(NIC)が装着されており、また、AMFマルチテナントコントローラーをインストールした仮想マシンもこれら複数のインターフェースを使用するよう設定されている場合は、各AMFコンテナをAMFマルチテナントコントローラー上の異なるインターフェース(たとえば、「eth0」と「eth1」)に接続することで、各AMFコンテナのネットワークを完全に分離することができます。

この構成であれば、AMFコンテナ間で重複するVLAN IDやIPアドレスを使用できるため、AMFコンテナごとに独自のVLAN、IPアドレス設計が可能です。
Note
基本設定でも、各AMFコンテナは異なるブリッジに接続されているため、たとえば基本設定の構成図中にある「VLAN対応のスイッチorルーター」でVRF-Liteを使用するなどして、各コンテナが所属するL2ネットワーク(VLAN)間のIP通信ができないように設定すれば、AMFコンテナ間で重複するIPアドレスを使用することは可能です。

ここでは、基本設定を元にした以下の構成を例として、基本設定からの変更点のみを示します。

Note
本構成では、各AMFコンテナのネットワークが独立していることを示すため、AMFコンテナ「ConA」と「ConB」、AMFメンバー「NodeA」「NodeB」に同じVLAN、同じIPアドレスを設定していますが、これはAMFコンテナ間でVLAN、IPアドレスの重複設定が可能であることを示すためのもので、必須の設定ではありません。また、各AMFコンテナにVLANを複数設定していますが、これもAMFコンテナ上に複数のVLANを設定する方法を例示することが目的であり、こちらも必須の設定ではありません。

AMFマルチテナントコントローラー「VAA」の設定
AMFマルチテナントコントローラー「VAA」では、基本設定の手順5を次のように変更します。

基本設定では、AMFコンテナ「ConA」「ConB」ともに、AMFマルチテナントコントローラーの「eth0」経由で外部ネットワークに接続されていましたが、本構成では、AMFコンテナ「ConA」をAMFマルチテナントコントローラーの「eth0」に、「ConB」を同「eth1」に接続します。

また、基本設定では、AMFコンテナ「ConA」「ConB」側ではVLANの設定を行わず、AMFマルチテナントコントローラーの「eth0」上に作成した802.1Qサブインターフェース「eth0.2」「eth0.3」で各コンテナに対応するVLANタグを付与していましたが、本構成ではAMFコンテナの「eth1」上に作成した802.1Qサブインターフェース「eth1.2」「eth1.3」でVLANタグを付与するため、AMFマルチテナントコントローラー側ではVLAN設定を行っていません。

AMFマルチテナントコントローラー「VAA」手順5
VAA(config)# bridge 2
VAA(config)# interface eth0
VAA(config-if)# bridge-group 2
VAA(config-if)# exit
VAA(config)# atmf container ConA
VAA(config-atmf-container)# bridge-group 2
VAA(config-atmf-container)# exit

VAA(config)# bridge 3
VAA(config)# interface eth1
VAA(config-if)# bridge-group 3
VAA(config-if)# exit
VAA(config)# atmf container ConB
VAA(config-atmf-container)# bridge-group 3
VAA(config-atmf-container)# exit

AMFコンテナ(ローカルマスター)「ConA」「ConB」の設定
AMFコンテナ「ConA」、「ConB」ともに、基本設定(ConA)基本設定(ConB)の手順3と手順5を次のように変更します。

基本設定では、AMFコンテナ「ConA」「ConB」側ではVLANの設定を行わず、AMFマルチテナントコントローラーの「eth0」上に作成した802.1Qサブインターフェース「eth0.2」「eth0.3」で各コンテナに対応するVLANタグを付与していましたが、本構成ではAMFコンテナ側に複数のVLANを設定するため、AMFコンテナの「eth1」上に802.1Qサブインターフェース「eth1.2」「eth1.3」を作成し、それぞれにIPアドレスを設定します。

また、本構成ではメンバー「NodeA」「NodeB」のIPアドレスがAMFコンテナ「ConA」「ConB」と同一サブネットに変更されているため、仮想リンクのリモートIPアドレスを変更します。

Note
本構成では、各AMFコンテナのネットワークが独立していることを示すため、AMFコンテナ「ConA」と「ConB」、AMFメンバー「NodeA」「NodeB」に同じVLAN、同じIPアドレスを設定していますが、これはAMFコンテナ間でVLAN、IPアドレスの重複設定が可能であることを示すためのもので、必須の設定ではありません。また、各AMFコンテナにVLANを複数設定していますが、これもAMFコンテナ上に複数のVLANを設定する方法を例示することが目的であり、こちらも必須の設定ではありません。

AMFコンテナ「ConA」手順3
ConA# configure terminal
ConA(config)# interface eth1
ConA(config-if)# encapsulation dot1q 2
ConA(config-if)# encapsulation dot1q 3
ConA(config-if)# exit
ConA(config)# interface eth1.2
ConA(config-if)# ip address 10.0.2.1/24
ConA(config-if)# exit
ConA(config)# interface eth1.3
ConA(config-if)# ip address 10.0.3.1/24
ConA(config-if)# exit

AMFコンテナ「ConA」手順5
ConA(config)# atmf virtual-link id 1 ip 10.0.2.1 remote-id 1 remote-ip 10.0.2.2

AMFコンテナ「ConB」手順3
ConB# configure terminal
ConB(config)# interface eth1
ConB(config-if)# encapsulation dot1q 2
ConB(config-if)# encapsulation dot1q 3
ConB(config-if)# exit
ConB(config)# interface eth1.2
ConB(config-if)# ip address 10.0.2.1/24
ConB(config-if)# exit
ConB(config)# interface eth1.3
ConB(config-if)# ip address 10.0.3.1/24
ConB(config-if)# exit

AMFコンテナ「ConB」手順5
ConB(config)# atmf virtual-link id 1 ip 10.0.2.1 remote-id 1 remote-ip 10.0.2.2

AMFメンバー「NodeA」「NodeB」の設定
本構成において、AMFコンテナ(ローカルマスター)「ConA」「ConB」のメンバーとなる「NodeA」「NodeB」の設定変更は、VLAN設定とIPアドレスのみです。
ここではVLAN、IPアドレスの設定については割愛し、基本設定で説明した仮想リンクの設定コマンドのみ示します。

本構成ではメンバー「NodeA」「NodeB」のIPアドレスがAMFコンテナ「ConA」「ConB」と同一サブネットに変更されているため、仮想リンクのローカルIPアドレスを変更します。
なお、本構成では各メンバーに複数のVLAN「vlan2」「vlan3」が設定されており、それぞれIPアドレス「10.0.2.2」「10.0.3.2」が設定されていますが、ここでは仮想リンクには「10.0.2.2」を使うものとします。

Note
本構成では、各AMFコンテナのネットワークが独立していることを示すため、AMFコンテナ「ConA」と「ConB」、AMFメンバー「NodeA」「NodeB」に同じVLAN、同じIPアドレスを設定していますが、これはAMFコンテナ間でVLAN、IPアドレスの重複設定が可能であることを示すためのもので、必須の設定ではありません。また、各AMFコンテナにVLANを複数設定していますが、これもAMFコンテナ上に複数のVLANを設定する方法を例示することが目的であり、こちらも必須の設定ではありません。


AMFゲストノード機能

ファームウェアバージョン5.4.6-0.1より、AMF非対応機器(以下 ゲストノード)がAMFネットワークに参加可能となる、AMFゲストノード機能に対応します。本機能では、AMFメンバーにゲストノードが接続されると、AMFメンバーが取得した当該ノードの機器情報をAMFマスターに通知します。

この仕組みにより、AMFマスターからのゲストノードの状態管理が可能となります。

対象機器

サポート機能


基本設定

ゲストノード機能の設定は、次の手順で行います。
ここでは、SwitchBlade x8100をマスター(ノード名SBx81)、AT-x510-28GTXをメンバー(ノード名FSW241)として、DHCPにてIPアドレスを取得する1つのゲストノード(無線LANアクセスポイントAT-TQ4600)を接続します。

既存のAMFネットワークに対して、ゲストノードの設定を行う手順を説明します。

マスターとメンバーはすでにAMFノード名(hostnameコマンド)、AMFネットワーク名(atmf network-nameコマンド)、AMF接続ポート(AMFリンク)の設定(switchport atmf-linkコマンド)、IPの設定、ゲストノードにIPアドレスを払い出すDHCPサーバーの設定が行われていることを前提とします。

Note
メンバーがゲストノードの情報を取得する際にはIP通信を使用しますので、ゲストノードを接続するVLANにIPアドレスを設定する必要があります。

1. ゲストノードの設定 (上図の構成例を例としています)
    1-1.メンバーFSW241に接続するゲストノードのゲストクラスを作成し、AMFゲストコンフィグモードに移動します。これにはatmf guest-classコマンドを使います。
    FSW241(config)# atmf guest-class tq_device
    

    1-2. 接続するゲストノードのデバイス種別を設定します。これにはmodeltypeコマンドを使います。
    FSW241(config-atmf-guest)# modeltype tq
    

    1-3. 接続するゲストノードの機器情報を取得する方法を設定します。これにはdiscoveryコマンドを使います。
    FSW241(config-atmf-guest)# discovery dynamic
    
    Note
    パラメーターでdynamicを選択し、LLDPにて機器情報を取得する場合は、LLDP機能を有効にする必要があります(「運用・管理」/「LLDP」を参照)。

    1-4. ゲストノードにログインする際に使用するユーザー名とパスワードを設定します。これにはusernameコマンドを使います。
    FSW241(config-atmf-guest)# username manager password friend 
    

    以降の設定はdiscoveryコマンドにて、dynamicパラメーターを選択した場合の追加設定です。


    1-5. システム全体でDHCP Snooping機能を有効にします。
    FSW241(config-atmf-guest)# exit
    FSW241(config)# service dhcp-snooping
    

    1-6. ポートのリンクダウンに応じてDHCP Snoopingテーブルの情報を自動的に削除する機能を有効にします。
    FSW241(config)# ip dhcp snooping delete-by-linkdown
    

    1-7. ゲストノードを接続するVLANインターフェースでDHCP Snooping機能を有効にします。
    FSW241(config)# interface vlan1
    FSW241(config-if)# ip dhcp snooping
    

    1-8. マスターSBx81と接続するポートを、DHCP SnoopingのTrustedポートに設定します。
    FSW241(config-if)# exit
    FSW241(config)# interface port1.0.1
    FSW241(config-if)# ip dhcp snooping trust
    
    Note
    他のスイッチを接続するポートも同様に、DHCP SnoopingのTrustedポートに設定します。


2. ゲストノードの接続
    2-1. ゲストノードを接続するために、メンバーFSW241のポートにゲストリンクを設定し、作成したゲストクラスtq_deviceを割り当てます。これにはswitchport atmf-guestlinkコマンドを使います。
    FSW241(config)# interface port1.0.5
    FSW241(config-if)# switchport atmf-guestlink class tq_device
    
    Note
    リンクアグリゲーションのポートには、本コマンドは使用できません。

    2-2. ゲストノードのノード名を設定します。これにはdescriptionコマンドを使います。
    FSW241(config-if)# description AP221
    
    Note
    ゲストノードのノード名は、ポートに設定された説明文となります。
    Note
    discoveryコマンドのパラメーターでstaticを選択している時は、AMFメンバーはswitchport atmf-guestlinkコマンドで指定されたIPアドレスに対し接続を試みますが、接続に失敗すると以降は30秒間隔で5回試行します。それでも接続できない場合は以後接続を試みません。この場合は、ゲストノードを接続した機器のリンクダウン・アップを行ってください。
    Note
    discoveryコマンドのパラメーターでdynamicを選択している時は、DHCP Snoopingテーブル(バインディングデータベース)からゲストノードのエントリーが削除されると、ゲストノードは一端AMFから離脱します。

設定は以上です。
ゲストノードを追加する場合は、同様に設定します。


■ 接続されている対象ノードで、ゲストノード接続ポート(ゲストリンク)情報を確認したい場合は、show atmf links guestコマンドを使います。
FSW241# show atmf links guest 

Guest Link Information:

 DC = Discovery configuration
  S = static D = dynamic

Local       Guest         Model          MAC             IP / IPv6
Port        Class         Type        DC Address         Address
--------------------------------------------------------------------------------
1.0.5       tq_device     TQ          D  001a.ebab.d2e0  192.168.1.221

Total number of guest links configured 1

■ マスターからゲストノードの各種情報を確認したい場合は、show atmf guestsコマンドを使います。
SBx81# show atmf guests 

  Guest Information:

  Device          Device          Parent      Guest     IP/IPv6
  Name            Type            Node        Port      Address
--------------------------------------------------------------------------------
  AP221           AT-TQ4600       FSW241      1.0.5     192.168.1.221   

  Current ATMF guest node count 1

■ AMFコントローラーで、エリア内のゲストノードの各種情報を確認したい場合は、show atmf area guestsコマンドを使います
SBx81# show atmf area guests

area1 Area Guest Node Information:
Device          Device          Parent          Guest           IP/IPv6       
Name            Type            Node            Port            Address       
------------------------------------------------------------------------------
AP221           AT-TQ4600       FSW241          1.0.5           192.168.1.221 


main-building guest node count 1

■ ゲストノードのバックアップの設定や状態を確認するには、マスターでshow atmf backup guestコマンドを使います。


注意事項

手動リカバリー(概要)

手動リカバリー機能は、ゲストノードを新品の機器と交換するときに、バックアップデータから設定内容を復元し、交換前の機器と同じ構成にする仕組みです。
ゲストノード交換時にリカバリーが動作するには、次の条件を満たす必要があります。


ゲストノードの交換(手動リカバリー)
ここでは、稼働中の下記AMFネットワークを例に、ゲストノードの無線LAN APを新品の代替機と交換し、手動リカバリーによって復元する手順を示します。
機種
ノード名
AMFにおける役割
概要
SwitchBlade x8100 SBx81 マスター コアスイッチ
AT-x510-28GTX FSW241 メンバー フロアスイッチ
AT-TQ4600 AP221 ゲストノード 無線LAN AP [交換対象]

  1. ゲストノードAT-TQ4600と同一型番の新しいノード(代替機)を用意して、起動します。

  2. マスターにAMFバックアップファイルの入ったUSBメモリーを装着します。

  3. ゲストノードの接続されているメンバーにログインします。
    FSW241 login: manager 
    Password: friend ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.6 xx/xx/xx xx:xx:xx
    
    FSW241> enable
    

  4. ログインしたら、atmf recover guestコマンドを実行して、USBメモリー内のバックアップファイルから代替機の設定内容を手動でリカバリーします。リカバリーが完了すると代替機は自動的に再起動が行われます。
    FSW241# atmf recover guest port1.0.5
    

  5. ゲストノードの再起動が完了したらAMFネットワークが再構成され、AMFメンバーおよびマスターとの接続性が回復します


AMFエージェントノード機能

ファームウェアバージョン5.4.6-2.1より、特殊なプログラムが組み込まれたAMF非対応機器(以下 エージェントノード)の情報を取得する、AMFエージェントノード機能に対応します。本機能では、AMFメンバーにエージェントノードが接続されると、AMFメンバーが取得した当該ノードの機器情報をAMFマスターに通知します。

この仕組みにより、AMFマスターからのエージェントノードの状態管理が可能となります。

対象機器

サポート機能


基本設定

エージェントノード機能の設定は、次の手順で行います。
ここでは、SwitchBlade x8100をマスター(ノード名SBx81)、AT-x510-28GTXをメンバー(ノード名FSW241)として、DHCPにてIPアドレスを取得する1つのエージェントノード(スイッチAT-x600-48Ts-LM)を接続します。

既存のAMFネットワークに対して、エージェントノードの設定を行う手順を説明します。

マスターとメンバーはすでにAMFノード名(hostnameコマンド)、AMFネットワーク名(atmf network-nameコマンド)、AMF接続ポート(AMFリンク)の設定(switchport atmf-linkコマンド)、IPの設定、エージェントノードにIPアドレスを払い出すDHCPサーバーの設定が行われていることを前提とします。


1. エージェントノードの接続(上図の構成例を例としています)
    1-1. エージェントノードを接続するために、メンバーFSW241のポートにエージェントリンクを設定します。これにはswitchport atmf-agentlinkコマンドを使います。
    FSW241(config)# interface port1.0.5
    FSW241(config-if)# switchport atmf-agentlink
    

    1-2. エージェントノードのノード名を設定します。これにはdescriptionコマンドを使います。
    FSW241(config-if)# description ESW221
    
    Note
    エージェントノードのノード名は、ポートに設定された説明文となります。

設定は以上です。
エージェントノードを追加する場合は、同様に設定します。


■ 接続されている対象ノードで、エージェントノード接続ポート(エージェントリンク)情報を確認したい場合は、show atmf links guestコマンドを使います。

■ マスターからエージェントノードの各種情報を確認したい場合は、show atmf guestsコマンドを使います。


注意事項


リモートログイン

AMFリモートログイン(atmf remote-loginコマンド)は、指定したAMFノードのコンソールにリモートアクセスする機能です。単一ノードを対象とするワーキングセットプロンプトでもほぼ同じことができるため、補助的な位置付けであり、通常あまり使う必要がありませんが、ワーキングセットプロンプトとは異なり任意のユーザー名、パスワードでログインでき、またconsoleログが出力されるため、ご購入時状態の新規スイッチに初期設定を行うときや、オートリカバリーに失敗したノードを手動でリカバリーするときは、リモートログイン機能を使います。

AMFリモートログインは、TelnetやSSHによるリモートログインと似ていますが、ログイン先をノード名で指定できること、AMFネットワーク経由での通信になること、通常コンソールターミナルにだけ出力されるconsoleログが表示されること、などの相違点があります。文字どおり、指定したノードのコンソールターミナルにリモートからアクセスするイメージです。

■ 他のAMFノードのコンソールにリモートログインするには、マスターのCLIからatmf remote-loginコマンドを実行します。ユーザー名を指定しない場合は、マスターのCLIにログインしたときのユーザー名とパスワードを使うため、マスターと該当ノードのユーザー情報が一致していないとエラーになります。
SBx81# atmf remote-login FSW241
Type 'exit' to return to SBx81.

AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx

FSW241> 

■ マスターとログイン先ノードでユーザー情報が異なる場合は、userパラメーターでログイン先のユーザー名を指定してください。ユーザー名を指定した場合は必要に応じてパスワードプロンプトが表示されるので、ログイン先のパスワードを入力できます。
これは、運用状態のマスター(managerパスワードを変更している可能性が高い)から、AMFネットワークに接続したばかりの新規ノード(managerパスワードが初期値のfriend)にログインする場合に便利です。
SBx81# atmf remote-login user manager host_001a_eb54_e0c5
Type 'exit' to return to SBx81.
manager@172.31.0.5's password: friend ↓(実際には表示されません)

AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx

awplus> 

AMF自動検出メカニズム

ご購入時状態(正確にはAMFクリーン状態)のAMF対応スイッチでは、起動時にAMFネットワークを検出して自動的に参加する仕組みが働きます。これをAMF自動検出メカニズムと呼びます。

クリーン状態のAMF対応スイッチにおける、AMF自動検出メカニズムの動作は次のとおりです。
  1. クリーン状態のスイッチが起動時にAMFパケットを受信すると、そのポートでAMFを有効化します(対向ポートがAMFリンクなら該当ポートをAMFリンクに、対向ポートがAMFクロスリンクなら該当ポートをAMFクロスリンクに自動設定します)。また、受信したAMFパケットに含まれるAMFネットワークを所属先として設定します。
    さらに、既存AMFネットワークにおいて、マネージメントVLAN、ドメインVLANのVLAN IDやマネージメントサブネットが初期値から変更されている場合は、これらの設定も自動的に行います。
    19:29:49 awplus ATMF[829]: ATMF network detected
    

  2. ネットワークループなどを防ぐため、セーフコンフィグと呼ばれる特殊なランニングコンフィグを適用します。
    19:29:49 awplus ATMF[829]: ATMF safe config applied (forwarding disabled)
    19:29:59 awplus ATMF[829]: Shutting down all non ATMF ports
    
    セーフコンフィグの具体的な内容は次のとおりです。


  3. オートリカバリー(運用編を参照)が可能かどうかを判断します。
    可能と判断した場合は、オートリカバリーを実行し、復元されたノード名でAMFネットワークに復帰します。
    (マスターからバックアップデータを取得し、内蔵フラッシュメモリーの内容を復元してから自動的に再起動します)
    16:52:16 ESW231 ATMF[839]: Automatic node recovery started
    16:52:16 ESW231 ATMF[839]: Attempting to recover as ESW231
    16:52:16 ESW231 ATMF[839]: Checking master node availability
        :
        :
    16:52:27 ESW231 ATMFFSR[3375]: Retrieving recovery data from master node SBx81
    16:54:27 ESW231 ATMFFSR[3375]: File recovery from master node succeeded. Node will now reboot
    

  4. オートリカバリーが不可能と判断した場合は、セーフコンフィグが適用された状態のままAMFネットワークに参加します。
    12:10:16 awplus ATMF[837]: No identity found for this device so automatic node recovery is not possible
    
    この場合は、ホスト名が初期値awplusのままなので、MACアドレスを元にした「host_xxxx_xxxx_xxxx」形式のノード名が暫定的に自動設定されます。

    オートリカバリーせずにAMFネットワークに自動参加した場合のランニングコンフィグから要点を抜粋します。
    !
    ! 受信したAMFパケットに含まれるネットワーク名を自動設定
    !
    atmf network-name VCF001
    !
    ! 転送を行わないセーフVLANを自動作成
    !
    vlan database
     vlan 4090 name atmf_node_recovery_safe_vlan
     vlan 4090 state disable
    !
    ! AMFパケットを受信したポートは、対向ポートにあわせて
    ! AMFリンクかAMFクロスリンクに自動設定される(本例ではAMFリンク)。
    ! VLAN設定は「セーフVLANのみ所属のタグ付きポート」だが、
    ! AMFリンクの設定があるためAMFパケットの送受信は行われる
    !
    interface port1.0.1
     switchport
     switchport atmf-link
     switchport mode trunk
     switchport trunk allowed vlan add 4090
     switchport trunk native vlan none
    !
    ! その他のポートはすべてerr-disabled(AMFによるシャットダウン状態)になる
    ! VLAN設定は「セーフVLANのみ所属のタグ付きポート」
    !
    interface port1.0.2-1.0.50
     switchport
     switchport mode trunk
     switchport trunk allowed vlan add 4090
     switchport trunk native vlan none
    

Note
AMF自動検出メカニズムによってAMFネットワークに参加した新規ノードは、ワーキングセットやリモートログイン、リブートローリングなどの諸機能を利用できますが、自動バックアップの対象にはなりません。いったん設定を保存して再起動すると、それ以降はバックアップされるようになります。

AMFクリーン化手順

AMFの運用中にメンバーの機器交換を行った場合、交換後の機器を交換前の機器と同じ状態に戻すオートリカバリー処理が実行されます。
ただし、オートリカバリーが機能するためには、交換後の機器が「AMFクリーン状態」でなくてはなりません。
(より正確には、オートリカバリーの前提条件であるAMF自動検出メカニズムが働くために必要な状態を「AMFクリーン」と呼びます)

AMFクリーン状態とは、以下の条件をすべて満たしている状態をいいます。
ご購入時のAMF対応スイッチはクリーン状態です。


Note
ファームウェアイメージファイルはいくつ存在していてもかまいません。ただし、オートリカバリー時には、内蔵フラッシュメモリー上のファームウェアイメージファイルがいったんすべて削除され、バックアップデータに含まれるファームウェアイメージファイルだけが復元されますのでご注意ください。


使用済みの機器をAMFクリーン状態に戻すには、次の手順を実行してください。
  1. 機器を単体構成(非VCS構成)で起動してください。
    また、SwitchBlade x8100の場合は、単体構成かつコントロールファブリックカード(CFC)を1枚だけ装着した状態で実行してください。
    Note
    SwitchBlade x908は、必ずポート拡張モジュール(AT-XEM-1XP、AT-XEM-2XP、AT-XEM-2XS、AT-XEM-2XT、AT-XEM-12S/12Sv2、AT-XEM-12T/12Tv2、AT-XEM-24T)を1つ以上装着した状態で使用してください。拡張モジュールを1つも装着していない状態で起動したり、運用中にすべての拡張モジュールを取り外したりしないでください。

  2. atmf cleanupコマンドを実行します。
    確認のプロンプトが出ますので、「y」を入力して再起動してください。
    awplus# atmf cleanup
    This command will erase all NVS, all flash contents except for
    the boot release, and any license files, and then reboot the switch.
    Proceed ? (y/n): y 
    

  3. これでクリーン化作業は完了です。

Note
フラッシュメモリー、USBメモリー、SD/SDHCカード内に存在するファイル、ディレクトリーの情報は、dirコマンドで確認できます。

Note
起動時コンフィグとバックアップ用コンフィグ、バックアップ用ファームウェアの設定状態は、show bootコマンドで確認できます。

新規ノード追加手順(自動検出+CLI設定)

稼働中のAMFネットワークに機器を追加する方法には、運用編で説明したように、AMFネットワーク名やノード名などの初期設定をすませてから既存のAMFノードと接続し、以後マスターのCLIから設定を行う方法が基本ですが、ご購入時状態のAMF対応スイッチがAMFネットワークに自動参加する機能を利用して、最初からマスターのCLIで設定を行う方法もあります。

ここでは後者の例を示します。

想定するネットワーク環境は運用編と同じです。すなわち、下記AMFネットワークに、新しいフロアスイッチFSW243をメンバーとして追加する場合を例として説明します。
機種
ノード名
AMFにおける役割
所属グループ
概要
SwitchBlade x8100 SBx81 マスター - コアスイッチ
AT-x510-28GTX FSW241 メンバー floor, 1F フロアスイッチ
AT-x510-28GTX FSW242 メンバー floor, 2F フロアスイッチ
AT-x510-28GTX FSW243 メンバー floor, 3F フロアスイッチ(新規追加)
AT-x510-52GTX ESW231 メンバー edge, 2F エッジスイッチ


追加するスイッチ(新規ノード)はご購入時の状態であると仮定します。
もしそうでない場合は、「AMFクリーン化手順」を参照し、新規ノードをAMFクリーン状態に戻してから下記の手順を実施してください。

接続先ノードの設定変更

新規ノードを接続する既存のAMFノード(接続先ノード)にAMFリンクを追加設定する方法は、運用編で紹介した基本手順と同じですので、運用編をご覧ください。

新規ノードの接続と初期設定

接続先ノードの設定変更が済んだら、新規ノードを起動して、接続先ノードと接続します。
  1. 新規ノードを起動します。

  2. 接続先ノードであるマスターのポート1.1.3と、新規ノードのポート1.0.1を接続します。

    すると、マスターのコンソールに、新規ノードがJoin(AMFネットワークに参加)したことを示すメッセージが出力されます。
    21:09:23 SBx81 ATMF[1946]: host_eccd_6d82_6b3d has joined. 5 members in total.
    
    新規ノードはノード名が未設定のため、MACアドレスを元にした「host_eccd_6d82_6b3d」という名前で動作していることがわかります。

  3. マスターのCLIから、show atmf nodesコマンドでノード情報を確認します。
    SBx81# show atmf nodes
    
    Node Information:
    
      * = Local device
    
     SC = Switch Configuration:
      C = Chassis   S = Stackable   N = Standalone
    
      Node                 Device             ATMF                             Node
      Name                 Type               Master  SC  Parent               Depth
    --------------------------------------------------------------------------------
    * SBx81                AT-SBx81CFC400       Y     C   none                  0
      host_eccd_6d82_6b3d  x510-28GTX           N     S   SBx81                 1
      FSW242               x510-28GTX           N     S   SBx81                 1
      FSW241               x510-28GTX           N     S   SBx81                 1
      ESW231               x510-52GTX           N     S   FSW242                2
    
     Current ATMF node count 5
    

  4. AMFリモートログイン機能(atmf remote-loginコマンド)を使って新規ノードにログインします。
    このとき、userパラメーターで初期設定の管理者ユーザー名であるmanagerを指定してください。こうすることにより、マスター側でmanagerのパスワードを変更していても、新規ノードにログインできます。
    SBx81# atmf remote-login user manager host_eccd_6d82_6b3d
    Type 'exit' to return to SBx81.
    manager@172.31.0.5's password: friend ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    awplus> 
    
  5. hostnameコマンドでノード名を「FSW243」に設定します。
    ノード名の変更にともない、新規ノードはいったんAMFネットワークから離脱するため、リモートログインセッションが切断され、マスターのローカルプロンプトに戻ります。
    Note
    AT-DC2552XSの場合のみ、AMFとスパニングツリーの併用がサポート対象外のため、初期設定で有効になっているスパニングツリープロトコル(RSTP)を無効化する必要があります。spanning-tree enableコマンドをno形式で実行してください。
    awplus> enable
    awplus# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    awplus(config)# hostname FSW243
    21:18:27 SBx81 ATMF[1946]: host_eccd_6d82_6b3d has left. 4 members in total.
    SBx81# 
    

  6. 新しいノード名で再度ログインします。
    SBx81# atmf remote-login user manager FSW243
    Type 'exit' to return to SBx81.
    manager@172.31.0.5's password: friend ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    FSW243> 
    

  7. ご購入時状態のスイッチがAMF自動検出メカニズムによってAMFネットワークに参加し、オートリカバリーが行われなかった場合、該当スイッチにはループ防止用の特殊なコンフィグ(セーフコンフィグ)がランニングコンフィグとして適用された状態になりますので、最初にこれを削除します。
    FSW243(config)# vlan database
    FSW243(config-vlan)# no vlan 4090
    FSW243(config-vlan)# exit
    FSW243(config)# interface port1.0.2-1.0.50
    FSW243(config-if)# no shutdown
    FSW243(config-if)# switchport mode access
    FSW243(config-if)# exit
    FSW243(config)# 
    

  8. 運用に必要な設定を追加します(以下は一例です)。
    FSW243(config)# atmf group floor,3F
    FSW243(config)# interface vlan1
    FSW243(config-if)# ip address 192.168.1.243/24
    FSW243(config-if)# exit
        :
        :
    (以下省略)
        :
        :
    FSW243(config)# end
    

  9. AMF自動検出メカニズムによってAMFネットワークに参加したノードは、リモートログイン、ワーキングセット、リブートローリングによる操作は可能ですが、自動バックアップの対象にはなりません。
    AMF自動検出メカニズムで追加したノードに必要な設定を終えたら、設定を保存して再起動してください。再起動後から自動バックアップされるようになります。
    なお、再起動にともない新スイッチがAMFネットワークから脱退するため、リモートログインセッションが切断され、マスターのローカルプロンプトに戻ります。
    FSW243# write memory
    [OK]
    FSW243# reboot
    reboot system? (y/n): y 
    21:21:41 SBx81 ATMF[1946]: FSW243 has left. 4 members in total.
    SBx81# 
    

  10. 再起動が完了したら、状態を確認します。
    21:23:15 SBx81 ATMF[1946]: FSW243 has joined. 5 members in total.
    
    SBx81# show atmf nodes
    
    Node Information:
    
      * = Local device
    
     SC = Switch Configuration:
      C = Chassis   S = Stackable   N = Standalone
    
      Node                 Device             ATMF                             Node
      Name                 Type               Master  SC  Parent               Depth
    --------------------------------------------------------------------------------
    * SBx81                AT-SBx81CFC400       Y     C   none                  0
      FSW243               x510-28GTX           N     S   SBx81                 1
      FSW242               x510-28GTX           N     S   SBx81                 1
      FSW241               x510-28GTX           N     S   SBx81                 1
      ESW231               x510-52GTX           N     S   FSW242                2
    
     Current ATMF node count 5
    
    FSW243がAMFネットワークに参加していることを確認できます。
    これ以降、マスターのCLIから、ワーキングセット機能を用いて新規ノードFSW243の設定や状態監視が可能です。

新規ノード追加手順(自動検出+事前作成コンフィグ転送)

稼働中のAMFネットワークに機器を追加する場合に、ご購入時状態のAMF対応スイッチがAMFネットワークに自動参加する機能を利用して、マスターのCLIから新規スイッチにリモートログインし、事前に用意しておいたコンフィグファイルとファームウェアを転送してから再起動することで、新規ノードを運用状態に持って行く方法を紹介します。

想定するネットワーク環境は前の例と同じです。すなわち、下記AMFネットワークに、新しいフロアスイッチFSW243をメンバーとして追加する場合を例として説明します。
機種
ノード名
AMFにおける役割
所属グループ
概要
SwitchBlade x8100 SBx81 マスター - コアスイッチ
AT-x510-28GTX FSW241 メンバー floor, 1F フロアスイッチ
AT-x510-28GTX FSW242 メンバー floor, 2F フロアスイッチ
AT-x510-28GTX FSW243 メンバー floor, 3F フロアスイッチ(新規追加)
AT-x510-52GTX ESW231 メンバー edge, 2F エッジスイッチ


追加するスイッチ(新規ノード)はご購入時の状態であると仮定します。
もしそうでない場合は、「AMFクリーン化手順」を参照し、新規ノードをAMFクリーン状態に戻してから下記の手順を実施してください。

接続先ノードの設定変更

新規ノードを接続する既存のAMFノード(接続先ノード)にAMFリンクを追加設定する方法は、運用編で紹介した基本手順と同じですので、運用編をご覧ください。

新規ノードの接続と初期設定

接続先ノードの設定変更が済んだら、新規ノードを起動して、接続先ノードと接続します。
  1. あらかじめ新規ノード用の設定ファイルを作成し、マスターに装着したUSBメモリー内の任意のディレクトリーに格納しておきます。設定ファイルには、AMFの初期設定だけでなく、新スイッチの運用に必要なすべてのコマンドが記述されているものとします。
    ここでは、設定ファイルをFSW243.cfgという名前で作成し、USBメモリーの/configディレクトリーに置いたものと仮定します。

    AMFの初期設定については、導入編の「メンバーの初期設定」をご参照ください。
    Note
    AT-DC2552XSの場合のみ、AMFとスパニングツリーの併用がサポート対象外のため、設定ファイルには、装置全体でスパニングツリープロトコルを無効化するコマンド(no spanning-tree rstp enable)、または、AMF接続ポートにおいてスパニングツリープロトコルの動作を無効化するコマンド(spanning-tree portfast bpdu-filterコマンド(インターフェースモード))を忘れずに記述してください。

  2. 新規ノードを起動します。

  3. 接続先ノードであるマスターのポート1.1.3と、新規ノードのポート1.0.1を接続します。

    すると、マスターのコンソールに、新規ノードがJoin(AMFネットワークに参加)したことを示すメッセージが出力されます。
    21:09:23 SBx81 ATMF[1946]: host_eccd_6d82_6b3d has joined. 5 members in total.
    
    新規ノードはノード名が未設定のため、MACアドレスを元にした「host_eccd_6d82_6b3d」という名前で動作していることがわかります。

  4. マスターのCLIから、show atmf nodesコマンドでノード情報を確認します。
    SBx81# show atmf nodes
    
    Node Information:
    
      * = Local device
    
     SC = Switch Configuration:
      C = Chassis   S = Stackable   N = Standalone
    
      Node                 Device             ATMF                             Node
      Name                 Type               Master  SC  Parent               Depth
    --------------------------------------------------------------------------------
    * SBx81                AT-SBx81CFC400       Y     C   none                  0
      host_eccd_6d82_6b3d  x510-28GTX           N     S   SBx81                 1
      FSW242               x510-28GTX           N     S   SBx81                 1
      FSW241               x510-28GTX           N     S   SBx81                 1
      ESW231               x510-52GTX           N     S   FSW242                2
    
     Current ATMF node count 5
    

  5. AMFリモートログイン機能(atmf remote-loginコマンド)を使って新規ノードにログインします。
    このとき、userパラメーターで初期設定の管理者ユーザー名であるmanagerを指定してください。こうすることにより、マスター側でmanagerのパスワードを変更していても、新規ノードにログインできます。
    SBx81# atmf remote-login user manager host_eccd_6d82_6b3d
    Type 'exit' to return to SBx81.
    manager@172.31.0.5's password: friend ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    awplus> 
    

  6. マスターのUSBメモリーに格納されているFSW243用のコンフィグファイルとファームウェアを新規ノードにダウンロードします。
    awplus> enable
    awplus# copy SBx81.atmf/usb:/config/FSW243.cfg flash:/default.cfg
    Copying...
    Successful operation
    
    awplus# copy SBx81.atmf/usb:/fw/x510-5.4.7-0.9.rel flash
    Enter destination file name[x510-5.4.7-0.9.rel]: 
    Copying...
    Successful operation
    
    awplus# dir
     20570492 -rwx Jan 24 2013 21:40:11  x510-5.4.7-0.9.rel
         1263 -rwx Jan 24 2013 21:38:31  default.cfg
     20570305 -rw- Jan 22 2013 19:49:12  x510-5.4.7-0.8.rel
    
    Note
    5.4.7-0.8と5.4.7-0.9は説明上使用している架空のファームウェアです。本マニュアル作成時点では実在しませんのでご注意ください。

  7. ダウンロードしたファームウェアを通常起動時のファームウェアに、現在のファームウェアをバックアップ用ファームウェアに設定します。
    awplus# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    awplus(config)# boot system x510-5.4.7-0.9.rel
    awplus(config)# boot system backup x510-5.4.7-0.8.rel
    awplus(config)# end
    

  8. 新しいファームウェアとコンフィグで再起動します。
    再起動にともない新規ノードがAMFネットワークから脱退するため、リモートログインセッションが切断され、マスターのローカルプロンプトに戻ります。
    awplus# reboot
    reboot system? (y/n): y 
    21:40:55 SBx81 ATMF[1946]: host_eccd_6d82_6b3d has left. 4 members in total.
    SBx81# 
    

  9. 新規ノードが再起動を完了し、新しいノード名で再参加してきたことは、マスターのコンソールに次のメッセージが表示されることでわかります。
    21:42:32 SBx81 ATMF[1946]: FSW243 has joined. 5 members in total.
    

  10. マスターのCLIから状態を確認します。
    SBx81# show atmf nodes
    
    Node Information:
    
      * = Local device
    
     SC = Switch Configuration:
      C = Chassis   S = Stackable   N = Standalone
    
      Node                 Device             ATMF                             Node
      Name                 Type               Master  SC  Parent               Depth
    --------------------------------------------------------------------------------
    * SBx81                AT-SBx81CFC400       Y     C   none                  0
      FSW243               x510-28GTX           N     S   SBx81                 1
      FSW242               x510-28GTX           N     S   SBx81                 1
      FSW241               x510-28GTX           N     S   SBx81                 1
      ESW231               x510-52GTX           N     S   FSW242                2
    
     Current ATMF node count 5
    
    FSW243がAMFネットワークに参加していることを確認できます。
    これ以降、マスターのCLIから、ワーキングセット機能を用いて新規ノードFSW243の設定や状態監視が可能です。

オートリカバリー失敗時の再試行手順

何らかの理由でオートリカバリーに失敗した場合、以下の手順で再度オートリカバリーを試みてください。

  1. AMFマスターにバックアップファイルが保存されているかどうかを確認してください。
    Note
    バックアップファイルの確認方法は、運用編の「バックアップファイルの確認方法」をご覧ください。

  2. オートリカバリーに失敗した機器のケーブルを一旦全て外してください。

  3. 対象機器にコンソールを接続し、atmf cleanupコマンドを実行し、「AMFクリーン状態」にしてください。
    クリーン化コマンド実行により自動的に再起動します。

  4. 再起動後、AMFマスターにつながっているポート(※1)の1ポートだけ接続した状態にしてください。オートリカバリーが動作します。

  5. オートリカバリー完了後、元のケーブルに戻してください。


    ※1 アップリンク(マスターに近い方のポート)ポートという意味で、AMFマスターと直接接続されている必要はありません。

オートリカバリー失敗時の手動リカバリー

なんらかの理由によりオートリカバリーが動作しなかったり、失敗したときでも、AMF自動検出メカニズムによってAMFネットワークに参加できていれば、atmf recoverコマンドを用いた手動によるリカバリーが可能です。

以下では、運用編の「メンバーの交換(オートリカバリー)」でオートリカバリーに失敗した場合を例に、手動リカバリーの手順を説明します。
  1. 代替機のコンソールターミナル、または、LED表示(代替機の機種や拡張モジュールによっては行われない場合があります。詳細はatmf recover led-offコマンドのページをご覧ください)によってオートリカバリーの失敗を確認した場合は、マスターのCLIからshow atmf nodesコマンドでノード情報を確認し、該当ノードがAMFネットワークに参加していることを確認します。

    以下の例では、代替機のノード名が未設定のため、MACアドレスを元にした「host_eccd_6d82_6b34」という名前でAMFネットワークに参加していることがわかります。
    SBx81# show atmf nodes
    
    Node Information:
    
      * = Local device
    
     SC = Switch Configuration:
      C = Chassis   S = Stackable   N = Standalone
    
      Node                 Device             ATMF                             Node
      Name                 Type               Master  SC  Parent               Depth
    --------------------------------------------------------------------------------
    * SBx81                AT-SBx81CFC400       Y     C   none                  0
      FSW242               x510-28GTX           N     S   SBx81                 1
      FSW241               x510-28GTX           N     S   SBx81                 1
      host_eccd_6d82_6b34  x510-52GTX           N     S   FSW242                2
    
     Current ATMF node count 4
    

  2. AMFネットワークに参加できている場合は、代替機のCLIから手動リカバリーが可能です。
    AMFリモートログイン機能(atmf remote-loginコマンド)を使って代替機にログインしてください。
    このとき、userパラメーターで初期設定の管理者ユーザー名であるmanagerを指定してください。こうすることにより、マスター側でmanagerのパスワードを変更していても、代替機にログインできます。
    また、リモートログイン機能ではconsoleログが表示されるため、オートリカバリーの進捗をリアルタイムに確認でき便利です。
    SBx81# atmf remote-login user manager host_eccd_6d82_6b34
    Type 'exit' to return to SBx81.
    manager@172.31.0.4's password: friend ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    awplus> 
    

  3. atmf recoverコマンドを実行して、マスターに装着されたUSBメモリー内のバックアップファイルから代替機の内蔵フラッシュメモリーの内容を手動でリカバリーします。

    代替機の機種や拡張モジュールによっては、ポートLEDの表示によってリカバリー実行中であることが示されます(詳細はatmf recover led-offコマンドのページをご覧ください)。

    awplus> enable
    awplus# atmf recover ESW231
    This command will erase ALL flash contents.  Continue node recovery? (y/n)y
    
    Manual node recovery successfully initiated
    
    16:56:00 awplus ATMFFSR[4283]: Retrieving recovery data from master node SBx81
    16:57:47 awplus ATMFFSR[4283]: Manual node recovery completed
    

  4. リカバリーが完了したら、再起動します。
    再起動にともない代替機がAMFネットワークから脱退するため、リモートログインセッションが切断され、マスターのローカルプロンプトに戻ります。
    awplus# reboot
    reboot system? (y/n): y 
    17:00:21 SBx81 ATMF[1958]: host_eccd_6d82_6b34 has left. 3 members in total.
    SBx81# 
    

  5. 新スイッチが再起動を完了し、新しいノード名で再参加してきたことは、マスターのコンソールに次のメッセージが表示されることでわかります。
    17:01:59 SBx81 ATMF[1958]: ESW231 has joined. 4 members in total.
    

  6. マスターのCLIから状態を確認します。
    SBx81# show atmf nodes
    
    Node Information:
    
      * = Local device
    
     SC = Switch Configuration:
      C = Chassis   S = Stackable   N = Standalone
    
      Node                 Device             ATMF                             Node
      Name                 Type               Master  SC  Parent               Depth
    --------------------------------------------------------------------------------
    * SBx81                AT-SBx81CFC400       Y     C   none                  0
      FSW242               x510-28GTX           N     S   SBx81                 1
      FSW241               x510-28GTX           N     S   SBx81                 1
      ESW231               x510-52GTX           N     S   FSW242                2
    
     Current ATMF node count 4
    
    ESW231がAMFネットワークに参加していることを確認できます。

スタックポートをAMF接続ポートとして使用している場合の手動リカバリー

AT-DC2552XS、GS900MXシリーズ、x310/x510/x610/x930シリーズにおいて、スタックポート(本体搭載のスタックポート、またはスタック/ポート拡張兼用モジュール)を通常ポートに設定し、AMFリンクとして使用している場合はオートリカバリーが動作しません。
スタックポートを通常ポートとして動作させるにはVCS無効化の設定(「no stack enable」)が必要ですが、この設定が入ることで「AMFクリーン状態」でなくなり、オートリカバリーの前提条件であるAMF自動検出メカニズムが働かなくなるためです。
この場合は、以下の手順にしたがって、手動でリカバリーを実施してください。

以下では、リカバリー対象ノードのノード名を「FSW245」、機種をAT-x510-28GTXとし、バックアップ済みと仮定します。
  1. 代替機を起動してコンソールターミナルからログインしたら、VCSを無効化し、スタックポートを通常ポートとして使えるようにします。show stackコマンドでスタックメンバーIDを確認し、stack enableコマンドをno形式で実行してください。
    awplus login: manager 
    Password: XXXXXXXX ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    awplus> enable
    awplus# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    awplus(config)# no stack 1 enable
    Warning: this will disable the stacking hardware on member-1.
    Are you sure you want to continue? (y/n): y 
    14:50:41 awplus VCS[752]: Deactivating Stacking Ports at location 1.0
    

  2. ネットワーク名を設定します。これにはatmf network-nameコマンドを使います。
    ネットワーク名は、同一AMFネットワークを構成するすべてのノードに同じ名前を設定する必要があります(マスターと異なるネットワーク名を設定したメンバーはAMFネットワークに参加できません)。また、ネットワーク名は大文字小文字を区別するので、その点にもご注意ください。
    awplus(config)# atmf network-name AMF001
    

  3. VCS無効化とAMFネットワーク名の設定を有効にするため、設定をスタートアップコンフィグに保存し、再起動します。
    awplus(config)# end
    awplus# write memory
    Building configuration...
    [OK]
    awplus# reboot
    reboot system? (y/n): y 
    

  4. 再起動後にログインしたら、通常ポートに設定したスタックポートをAMFリンクに設定します。これには、switchport atmf-linkコマンドを使います。
    awplus login: manager 
    Password: XXXXXXXX ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    awplus> enable
    awplus# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    awplus(config)# interface port1.0.27
    awplus(config-if)# switchport atmf-link
    

  5. AMFネットワークへの参加を確認したら、atmf recoverコマンドを実行して手動リカバリーを実行します。

    代替機の機種や拡張モジュールによっては、ポートLEDの表示によってリカバリー実行中であることが示されます(詳細はatmf recover led-offコマンドのページをご覧ください)。

    awplus(config-if)# end
    awplus# atmf recover FSW245
    This command will erase ALL flash contents.  Continue node recovery? (y/n) y 
    
    Manual node recovery successfully initiated
    
    17:39:12 SBx81 ATMFFSR[5594]: Retrieving recovery data from master node SBx81
    17:39:32 SBx81 ATMFFSR[5594]: Manual node recovery completed
    

  6. リカバリー処理が完了したら、もう一度再起動します。
    awplus# reboot
    reboot system? (y/n): y 
    

AMF仮想リンクを使用しているノードの手動リカバリー

AMF仮想リンク(atmf virtual-link)で、AMFネットワークに接続しているノードのオートリカバリーを実施するときに、運用編「仮想リンク経由で接続しているAMFノードのオートリカバリー」の機能の利用条件に合致しない場合は、以下の手順にしたがって、手動でリカバリーを実施してください。

以下では、リカバリー対象ノードを「BR101」(10.10.10.1)、仮想リンクの接続先を「HQ001」(10.1.1.1)とした場合の手動リカバリー手順を説明します。「BR101」はバックアップ済みと仮定します。
(構成図は「AMF仮想リンクによるワイドエリアAMFネットワーク」を参照)
  1. 代替機を起動し、交換前と同じポートにケーブルを接続したら、コンソールターミナルからログインし、仮想リンクの接続先である「HQ001」とIPv4による通信を行うために必要な最小限の設定をします。
    awplus login: manager 
    Password: XXXXXXXX ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    awplus> enable
    awplus# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    awplus(config)# interface vlan1
    awplus(config-if)# ip address 10.10.10.1/24
    awplus(config-if)# exit
    awplus(config)# ip route 0.0.0.0/0 10.10.10.32
    

  2. ネットワーク名を設定します。これにはatmf network-nameコマンドを使います。
    ネットワーク名は、同一AMFネットワークを構成するすべてのノードに同じ名前を設定する必要があります(マスターと異なるネットワーク名を設定したメンバーはAMFネットワークに参加できません)。また、ネットワーク名は大文字小文字を区別するので、その点にもご注意ください。
    awplus(config)# atmf network-name AMF001
    

  3. atmf virtual-linkコマンドでAMF仮想リンクを設定します。
    awplus(config)# atmf virtual-link id 1 ip 10.10.10.1 remote-id 1 remote-ip 10.1.1.1
    
    Note
    ここまでの設定は、手動リカバリーを動作させることだけを目的とした仮のものです。リカバリー後は、バックアップされていた本来の設定で動作します。

  4. 仮のAMF設定を有効にするため、設定をスタートアップコンフィグに保存し、再起動します。
    awplus(config)# end
    awplus# write memory
    Building configuration...
    [OK]
    awplus# reboot
    reboot system? (y/n): y 
    

  5. 再起動後、AMFネットワークへの参加を確認したら、atmf recoverコマンドを実行して手動リカバリーを実行します。

    代替機の機種や拡張モジュールによっては、ポートLEDの表示によってリカバリー実行中であることが示されます(詳細はatmf recover led-offコマンドのページをご覧ください)。

    awplus# atmf recover BR101
    This command will erase ALL flash contents.  Continue node recovery? (y/n) y 
    
    Manual node recovery successfully initiated
    
    17:39:12 SBx81 ATMFFSR[5594]: Retrieving recovery data from master node SBx81
    17:39:32 SBx81 ATMFFSR[5594]: Manual node recovery completed
    

  6. リカバリー処理が完了したら、再起動します。
    awplus# reboot
    reboot system? (y/n): y 
    

拠点側ルーターの手動リカバリー

AMFマスターと異なる拠点に設置されたAMF対応ルーター製品(AT-AR3050S/AT-AR4050S。以下、AMFルーター)が、拠点間のVPN接続を担っており、なおかつ、AMFネットワークへの接続性を配下のAMF対応スイッチが張るAMF仮想リンクに依存している場合、配下のAMF対応スイッチも、仮想リンクを張るためにはAMFルーターによる拠点間接続が必要という相互依存の関係になっているため、このような構成における拠点側AMFルーターはいかなる場合においてもオートリカバリーができません。

Note
拠点側ルーターに仮想リンクが設定されている場合は、隣接するノード(配下のAMF対応スイッチ)の補助によりオートリカバリーが可能です。詳細は、運用編の「仮想リンク経由で接続しているAMFノードのオートリカバリー」をご覧ください。

仮想リンクを設定していない拠点側のAMFルーターを交換するときは、以下の手順にしたがって手動でリカバリーを実施してください。

  1. 代替機を用意し、拠点間通信を行うために必要な最小限の設定を行います。
    具体的には、配下のAMF対応スイッチがAMF仮想リンクを確立し、AMFルーターからAMFマスターにアクセスできるようにする必要があります。
    Note
    必要な設定はネットワーク構成によって異なりますので、ここでは示しません。具体的な例としては、AT-AR3050S/AT-AR4050Sのコマンドリファレンスに掲載されている「設定例集」をご覧ください。
    awplus login: manager 
    Password: XXXXXXXX ↓(実際には表示されません)
    
    AlliedWare Plus (TM) 5.4.7 xx/xx/xx xx:xx:xx
    
    awplus> enable
    awplus# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    awplus(config)# 
    awplus(config)# no spanning-tree rstp enable
    awplus(config)# interface eth1
    awplus(config-if)# encapsulation ppp 0
    awplus(config-if)# exit
    awplus(config)# interface ppp0
    ...
    

  2. ネットワーク名を設定します。これにはatmf network-nameコマンドを使います。
    ネットワーク名は、同一AMFネットワークを構成するすべてのノードに同じ名前を設定する必要があります(マスターと異なるネットワーク名を設定したメンバーはAMFネットワークに参加できません)。また、ネットワーク名は大文字小文字を区別するので、その点にもご注意ください。
    awplus(config)# atmf network-name AMF001
    

  3. 仮のAMF設定を有効にするため、設定をスタートアップコンフィグに保存し、再起動します。
    awplus(config)# end
    awplus# write memory
    Building configuration...
    [OK]
    awplus# reboot
    reboot system? (y/n): y 
    

  4. ケーブルを交換前と同じポートに接続します。

  5. 再起動後、AMFネットワークへの参加を確認したら、atmf recoverコマンドを実行して手動リカバリーを実行します。
    awplus# atmf recover RouterC
    This command will erase ALL flash contents.  Continue node recovery? (y/n) y 
    
    Manual node recovery successfully initiated
    
    17:39:12 SBx81 ATMFFSR[5594]: Retrieving recovery data from master node SBx81
    17:39:32 SBx81 ATMFFSR[5594]: Manual node recovery completed
    

  6. リカバリー処理が完了したら、再起動します。
    awplus# reboot
    reboot system? (y/n): y 
    

  7. 再起動後、リカバリー前と同じ設定で立ち上がります。

AT-Vista Managerによるネットワーク管理

ファームウェアバージョン5.4.5-2.1より、GUI(Graphical User Interface)でAMFネットワークや無線LANアクセスポイントの情報、配置などの管理が行えるAT-Vista Manager(弊社別売ソフトウェア製品。以下 AVM)に対応しています。
AVM を使用することにより、以下のようなことが行えます。


AVMで情報を表示するためには、AMFネットワークが構築されている必要があります。

また、AVMを使用する上で、AMF機器に以下の設定を行ってください。

  1. すべてのAMFマスターで、atmf topology-gui enableコマンドを有効にする。

    Note
    AMFコントローラーでは自動でコマンドが有効になります。
    Note
    AT-AR4050SとAMF Cloudでは、service httpコマンドも有効にしてください。

  2. AMFコントローラー(存在しない場合はAMFマスター)で、log event-host atmf-topology-eventコマンドを有効にする。

  3. AMFコントローラーとすべてのAMFマスターが、AVMをインストールしたPCと通信できるようにIPの設定を行う。

  4. AMFコントローラー(存在しない場合はAMFマスター)で、AVMが使用するユーザーがsshログインを行うことができるようにsshサーバーの設定を行う(「運用・管理」/「Secure Shell」を参照)。

Note
AVMの詳しい使い方については、AVMのユーザーガイドをご覧ください。

AMFアプリケーションプロキシー機能

AMFアプリケーションプロキシーは、弊社のSDNコントローラー AT-SecureEnterpriseSDN Controller(AT-SESC)から被疑端末の情報を受け取ったAMFマスターが、配下のAMFメンバーに該当端末の通信遮断(破棄または接続ポート無効化)を指示することで、AT-SESCからAMF対応機器でのアクセス制御を可能にするAMFとSESの連携機能です。
Note
AMFアプリケーションプロキシーとVRF-Liteの併用はできません。
Note
ブロック可能なIPアドレスは最大1000個です。
Note
AMFゲストノード機能でdiscovery dynamicを設定している場合、AT-SESCで指定するAMFアクションのリンクダウンは未サポートです。

本機能において、AMFノードは次の2つの役割に分かれます。
Note
プロキシーノードはエッジノードを兼ねることもできます。

対応製品

連携対象アプリケーション

ネットワーク構成について

本機能において、遮断する端末の指定はIPアドレスにもとづいて行われますが、エッジノードにおける実際の遮断はMACアドレスによって行われます。

エッジノードは自装置のポート配下に該当IPアドレスが存在するかどうかをDHCP Snoopingテーブルで調べ、存在した場合に対応するMACアドレスを遮断エントリーとしてFDBに登録する、または同MACアドレスの所属ポートを無効化することで該当端末からの通信を遮断しますので、本機能を利用するネットワークでは次の要件を満たす必要があります。

基本設定

AMFアプリケーションプロキシー機能を利用するには、AMF機器側で下記の設定を行ってください。
  1. 本機能に対応するすべてのプロキシーノードとエッジノードでservice atmf-application-proxyコマンドを実行します。
    awplus(config)# service atmf-application-proxy
    
    Note
    本機能を利用するためには、本機能に対応しているAMFネットワーク上のすべてのノードがファームウェアバージョン5.4.7以降で動作しており、また該当ノードのすべてで本機能が有効化されている必要があります。

  2. プロキシーノードとして AMF Cloud を使う場合は、service httpコマンドでWebサーバー機能を有効にしてください。
    awplus(config)# service http
    
    Note
    プロキシーノードに対応するその他の製品では初期状態でWebサーバー機能が有効になっていますが、もし無効化している場合は同様に有効化してください。

  3. エッジノードの端末接続ポートでDHCP Snooping機能を有効にします。
    詳しくは、「L2スイッチング」/「DHCP Snooping」をご覧ください。

    なお、ここでは端末接続ポートがvlan100に所属しているものと仮定しています。

    (1) 機器全体でDHCP Snoopingを有効にします。これには、service dhcp-snoopingコマンドを使います。
    awplus(config)# service dhcp-snooping
    

    (2) DHCPクライアントを接続するVLANでDHCP Snoopingを有効にします。これには、ip dhcp snoopingコマンドを使います。
    awplus(config)# interface vlan100
    awplus(config-if)# ip dhcp snooping
    awplus(config-if)# exit
    

    (3) DHCPサーバーが接続されているポートをTrustedポートとして設定します。これには、ip dhcp snooping trustコマンドを使います。
    awplus(config)# interface port1.0.1
    awplus(config-if)# ip dhcp snooping trust
    awplus(config-if)# exit
    

    (4) DHCPクライアントを接続するUntrustedポートでフィルタリングを行うために必要なハードウェアアクセスリストを作成します。これには、access-list hardware(list)コマンドとサブコマンドのaccess-list hardware(seq entry)コマンドを使います。
    awplus(config)# access-list hardware dhcp-client
    awplus(config-ip-hw-acl)# permit ip dhcpsnooping any
    awplus(config-ip-hw-acl)# deny ip any any
    awplus(config-ip-hw-acl)# exit
    

    (5) DHCPクライアントを接続するUntrustedポートに前の手順で作成したアクセスリストを適用します。これには、access-groupコマンドを使います。
    このアクセスリストは、DHCPクライアントにのみ接続を許可するためのもので、Untrustedポートでは必須の設定です。
    awplus(config)# interface port1.0.11
    awplus(config-if)# access-group dhcp-client
    
    Note
    UntrustedポートにDHCPクライアントを複数接続する場合は、ip dhcp snooping max-bindingsコマンドで接続可能数を設定してください(初期設定は1のため、複数のDHCPクライアントを接続できません)。
    awplus(config-if)# ip dhcp snooping max-bindings 5
    

また、AMF機器側の設定とは別に、AT-SESC側でプロキシーノード(AMFマスター)を指定してください。これにより本機能が動作するようになります。
Note
AT-SESCの詳しい使い方については、AT-SESCのリファレンスマニュアルをご覧ください。

■ 本機能によって遮断されている端末(IPアドレス)の情報はshow atmf ip-blockingコマンドで確認できます。
awplus# show atmf ip-blocking
Note
AT-SESCの「ポリシー設定」/「アクション一覧」画面でも遮断されている端末の情報を確認することができます。詳細についてはAT-SESCのリファレンスマニュアルをご覧ください。

■ 本機能による遮断を解除するにはclear atmf application-proxyコマンドを使います。
awplus# clear atmf application-proxy 10.1.2.34
Note
遮断の解除は基本的にAT-SESC側で実施します。上記コマンドによりAMFマスター側で遮断を解除することもできますが、その場合、AMFマスターからAT-SESCに被疑端末情報を削除する指示は出しません。そのため、AT-SESC上では被疑端末情報を保持したままになりますので、必要に応じてAT-SESC側で該当アクションを削除してください。詳細についてはAT-SESCのリファレンスマニュアルをご覧ください。

■ 本機能を無効化するには、service atmf-application-proxyコマンドをno形式で実行します。
awplus# no service atmf-application-proxy


(C) 2012 - 2017 アライドテレシスホールディングス株式会社

PN: 613-001681 Rev.R