タグ別アーカイブ: CLI

CLIからのオペレーションに関するトピックです。

access group

CLIコマンドマニュアル, ,

firewall enableコマンドと合わせてネットワークアクセス制御を行います。

書式

[no] access group <ip-address> netmask <netmask> protocol {<protocol-number> | icmp | ip | { tcp | udp } <port> | vrrp }{ deny | permit }

パラメータ

キーワード 説明
<ip-address> 対象となるIPv4アドレスまたはサブネットアドレス
<netmask> <ip-address>パラメータに適用されるサブネットマスク
<protocol-number> プロトコルを番号で指定する場合に使用(1~255)
<port> プロトコルとしてTCP, UDPが選択された場合に宛先(GenieATM側)ポート番号を指定(1~65535)

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • 外部との通信に適用されるファイアウォールのルールを定義します。ACL(Access Control List)同様,access groupコマンドが発行された順にpermitまたはdenyが確定するまで照会していきます。どれにも一致しなかった場合の扱いは,firewall enableが有効かどうかで決まります。firewall enableが有効であれば暗黙のdenyによりブロックされ,無効であれば許可されます。
  • access groupコマンドで明示的にpermitもdenyも設定されていない相手先については,firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からはセッションを確立し,応答パケットを受け取ることができます。
  • 登録した設定を削除するには,no access groupコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • [no] access groupコマンドは,firewall enableコマンドが無効な状態で実行してください。(バージョン5.6.3-RP3まではfirewall enableが有効な状態でも発行できますが,想定外の結果を招く場合がありますので避けてください)
  • access groupコマンドの指定内容はコマンド発行直後から有効になります。つまり,denyを指定してaccess groupコマンドを実行した場合,条件に一致するトラフィックは即座にブロックされるようになります。
  • コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
  • ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
  • GenieATM側からセッションを張りに行く相手先については,firewall enableを有効にする場合でも明示的にpermitを設定する必要はありません。たとえば,BGP接続はGenieATMのBGPの仕様上,常にGenieATMからセッションを張りに行きます。DNSサーバやNTPサーバについても,GenieATMがクライアントになるのでこれに該当します
  • access groupコマンドは最大128件登録することができます。これは,機能を実現するのに使われているip-tablesの制限です。129件目を登録しようとするとエラーになります。

実行例

(config)# access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit
  access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
  module id collector 3001
(中略)
!
!
(config)#

db use
rawdata use
rawdata anomaly use

CLIコマンドマニュアル, , ,

DB,Rawdataファイル,異常Rawdataファイルを配置するストレージタイプを指定します。

書式

[no] db use {internal | external | nfs}
[no] rawdata use {internal | nfs}
[no] rawdata anomaly use {internal | nfs}

パラメータ

なし

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • disk mountコマンドでマウント済みのストレージのなかから,DB,Rawdataファイル,異常Rawdataファイルを配置するストレージのタイプを選定します。
  • db useコマンドが実行されると,マウントポイントにユーザーID 31,グループID 32でatm_conf,dataディレクトリが作成されます。
  • 設定を削除するにはno db useコマンドあるいはno rawdata useコマンド,no rawdata anomaly useコマンドを実行します。
  • 現在の設定はshow runningコマンドで確認できます。

注意事項

  • 指定するストレージタイプは,あらかじめdisk mountコマンドでマウント済みである必要があります。ディスク関連コマンドの流れは下図を参照してください。

    • ディスク関連CLIコマンド
    * db initコマンドは,既存のDBを初期化します。構成・レポートデータ等を引き継ぐ場合は実行しないでください。

  • no db useコマンドは,db startコマンドでデータベースが起動済みのときは実行できません。db stopコマンドで停止してください。no rawdata useコマンド,no rawdata anomaly useコマンドも,それぞれrawdata onコマンド,rawdata anomaly onコマンドでrawdataの保存が有効な状態では実行できません。

実行例

(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata format general
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
(中略)
!
(config)# rawdata use nfs
(config)# db use internal
##### WARNING #####
This command will set the type of storage for Database data as the
type you specified.

Are you sure you want to do this? [y/n]
y
Operation succeeded.
(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata use nfs
  rawdata format general
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
  db use internal
(中略)
!
(config)# rawdata on
(config)# exit
# db start
##### WARNING #####
This command will start PostgreSQL Database with TCP/IP connection
mode enabled.
Are you sure you want to do this? [y/n]
y
server starting
#