2.41. リンクマネージャの設定
リンクマネージャ機能は、IXルータにどのような端末が接続されているかをMACアドレス単位でわかりやすく一覧表示し、制御する機能です。
端末をグループ化して説明に日本語のコメントを付与したり、端末単位の通信制御を行うことができます。
注意
UNIVERGE IX-V シリーズでは、リンクマネージャは利用できません。
2.41.1. リンクマネージャ機能概要
リンクマネージャ機能は、以下に示す範囲の端末を可視化・制御することができます。
2.41.1.1. 主な機能
可視化機能
- Webコンソール機能で、接続機器一覧を表示できます。端末ごとのMACアドレス、IPアドレスや接続・切断状態、通信量などを確認できます。
接続機器は所属や機器種別ごとにグループ化して表示できます。
日本語での設定/表示が可能です(Webコンソール表示時のみ)。
制御機能
端末単位で簡単にフィルタリング動作を切り替えられます。
端末単位で端末認証機能を無視する動作を切り替えられます。
無視できる端末認証は、IEEE802.1X認証・MAC認証です。
2.41.1.2. 注意事項
MACアドレス単位で同一リンク上の接続端末のみを認識します。配下にルータがある場合、ルータの先に存在する端末は表示できません。
- 同一リンク上にルータがある場合、ルータのMACアドレスが表示されますが、IPアドレスはルータのIPアドレス、または、ルータが転送したパケットの送信元IPアドレスが表示されます。表示されるIPアドレスは通信状態により異なります。
- 端末の接続状態は通信の時間で判定するため、端末との接続状態が変化しても即時反映はされません。IPアドレスや接続インタフェースも一定周期で監視しているため、反映には時間がかかります。監視時間の周期は変更可能です。
2.41.2. Webコンソールからの利用方法
リンクマネージャ機能は、Webコンソール機能で表示や設定の変更が可能です。日本語でわかりやすく表示することができます。
詳しい設定方法は、Web設定マニュアルも参照してください。
2.41.2.1. メインページ
装置に接続されたことがある全ての端末をMACアドレス単位で表示します。表示内容は以下のとおりです。
端末情報
テーブルの項目名の▼をクリックすると、その項目でソートすることができます。通信量の多い端末の特定などに利用できます。
各種設定ページへは、このページのボタンから遷移します。
2.41.2.2. 基本設定
基本設定では以下の設定が可能です。
項目
説明
リンクマネージャ
有効・無効
初期動作
メイングループ名
メイングループ名の設定(63種類設定できます)
サブグループ名
サブグループ名の設定(63種類設定できます)
端末管理の有効化の対象はWebコンソールで管理しているLAN側インタフェースです。 その他のインタフェースで利用する場合はコマンドラインで有効化してください。 なお、Webコンソール機能で有効化した場合、arp auto-refreshコマンドも同時に設定されます。
グループ名は端末をグループ化してわかりやすく表示するために登録します。グループはメインとサブの2種類用意しています。 メイングループで所属や場所を、サブグループで端末の種別を登録するなどの使い分けができます。 メイングループの分類が不要な場合、デフォルトの「登録済み」を利用してください。 グループ名には日本語も登録可能です。全角10文字以内を目安に設定してください。
2.41.2.3. 端末情報の追加・編集
端末情報の追加および編集を行います。端末を登録済みのグループに分類したり、説明文を付与することができます。
接続済みの端末は、IPアドレス、DHCP接続時はホスト名、ベンダ情報なども参照して設定できます。
説明文には日本語も登録可能です。全角16文字以内を目安に設定してください。
グループの設定
端末数が100を超えた場合は一度に表示されません。端末を表示している表の右上に表示範囲を示していますので、101以降の端末設定を変更したい場合はここから選択してください。
2.41.2.4. 端末情報一括取得(CSV形式)
メインページで表示グループを全てにしている場合、端末情報の右上にある「端末情報をCSV形式で表示」ボタンから、すべての端末情報をCSV形式で表示するページに遷移できます
2.41.2.5. 端末情報一括登録
「端末情報一括取得」で取得した情報や、CSV形式で作成したテキストデータを利用し、端末情報を一括で登録することができます。
設定ページへは、メインページの「端末情報をCSV形式で追加」ボタンから遷移できます。
本機能を利用する場合、グループ名や説明文(Description)にカンマ(,)を設定しないでください。
また、グループ名の設定は反映されないため、以下の方法でグループを設定してください。
「端末管理」の「リンクマネージャ」で、グループ名を設定する。
「保守管理」の「任意コマンドの実行」から、グループ設定のコンフィグを反映する。
自身で作成したCSV設定を反映する場合、以下に示すCSVヘッダ情報と端末情報を必ず記載してください。
また、CSVヘッダ情報は端末情報より先に記載してください。
記載形式は、「端末情報一括取得」で取得できる情報、および、【設定例】を参照してください。
CSVヘッダ情報
CSVヘッダ情報の文字列は、大文字/小文字に関係なく完全一致した場合のみ、CSVヘッダ情報と判断します。
ただし、MACアドレスヘッダは、MACとAddress間の空白(スペース)の有無(MACAddressやMAC Addressなど)に関係なく、CSVヘッダ情報と判断します。
同一のCSVヘッダ情報が複数存在する(MGヘッダが2つ以上あるなど)場合、最後に取得したCSVヘッダ情報を使用します。
端末情報
以下の場合、設定の反映に失敗しますので、注意してください。
CSVヘッダ情報の要素数よりも端末情報の要素数が少ない場合
範囲外の値を設定した場合
スペルミスや入力形式外の設定をした場合
禁止文字列(“ 二重引用符、 , カンマ)は設定しないでください。
最大登録数を超える設定を行った場合
自身で作成したCSV設定例は以下のとおりです。
MG,SG,MAC Address,Description,Action 1,1,00:11:22:33:44:55,sample,permit 2,2,11:22:33:44:55:66,”サンプル”,deny 3,3,22:33:44:55:66:77,,deny
2.41.2.6. 端末情報確認ページ
monitor権限で、全端末情報のダウンロードとグループごとに端末情報の確認ができます。
ページへは、『利用者メニュー』の『リンクマネージャ』から遷移できます。
また、administrator権限からも『保守管理』の『リンクマネージャ』から同様のページに遷移できます。
本ページでグループごとの端末情報を確認する場合、リンクマネージャ機能を有効化してください。無効状態では、端末情報の表示はできません。ただし、全端末情報のダウンロードは可能です。
本ページでは、端末情報(『メインページ』と同様の内容)に加え、以下の設定・確認が可能です。
Wake on LAN機能
端末がdown状態の場合に、Wake on LAN機能にて指定端末を起動することが可能です。
統計情報の初期化、初期化からの経過時間の表示
グループ単位で、統計情報の初期化が可能です。
経過時間から一定時間内での通信量の確認が可能です。
経過時間を表示する場合、一度表示を行うグループで統計情報を初期化する必要があります。
自動更新機能
一定間隔で、表示情報を最新の状態に更新します。
ページ遷移、ページの再読込、統計情報の初期化を行った場合、自動更新は停止します。
2.41.3. コマンドラインでの利用方法
以下のコマンドでリンクマネージャ機能を有効化します。
項目
説明
linkmgr enable
リンクマネージャ機能の有効化
arp auto-refresh
ARPによる接続監視
端末の状態は通信の有無で判定するため、arp auto-refresh機能との併用を推奨します。
また、リンクマネージャ機能を有効化するだけでも自動収集した端末情報を表示できますが、各端末のグループ化や説明の追加、受信動作の変更などを行う場合は、以降の設定を行ってください。
2.41.3.1. グループの登録
グループの登録は端末管理プロファイルで行います。
項目
説明
linkmgr profile
端末管理プロファイルの作成
group-main
メイングループ名の設定
group-sub
サブグループ名の設定
グループ名は日本語入力/表示に対応していますが、コマンドラインからは日本語は設定できません。 asciiを指定して半角文字で登録してください。日本語の入力と表示はWebコンソールで行ってください。
linkmgr profile group-main 1 ascii Group1 group-main 2 ascii Group2 group-sub 1 ascii pc group-sub 2 ascii printer
2.41.3.2. 端末情報の登録
端末情報の登録は、端末情報プロファイルで行います。
項目
説明
linkmgr terminal
端末情報プロファイルの作成
terminal
端末情報の設定
説明文は日本語入力/表示に対応していますが、コマンドラインからは日本語は設定できません。 asciiを指定して半角文字で登録してください。日本語の入力と表示はWebコンソールで行ってください。
linkmgr terminal group-main 1 group-sub 1 terminal 00:00:00:00:00:01 permit desc-ascii user1 terminal 00:00:00:00:00:02 permit desc-ascii user2 ! プリンタは、端末認証を行わない linkmgr terminal group-main 1 group-sub 2 terminal 00:00:00:00:00:03 permit ignore-auth desc-ascii printer1
2.41.3.3. 端末情報の表示
端末情報は以下のコマンドで確認可能です。
項目
説明
show linkmgr terminal
端末情報の表示
Router(config)# show linkmgr terminal Link Manager Table - 4 entries, 4092 free, 0 overflows, 0 memory errors Elapsed time after clear counters : 10d 01:43:39(group-main 1) Codes: D - Deny, P - Permit MG/SG MAC Address IP Address State Interface D 01/01 00:00:00:00:00:01 192.0.2.1 up (00:02:46) GigaEthernet2.0(1) In: 0 bytes, Out: 600 bytes Desc: user1 DHCP Info: - P 01/01 00:00:00:00:00:02 192.0.2.2 up (00:04:35) GigaEthernet2.0(2) In: 135164 bytes, Out: 92590 bytes Desc: user2 DHCP Info: samplePC(MSFT 5.0) P 01/02 00:00:00:00:00:03 down (01:07:38) GigaEthernet1.0 In: 3219 bytes, Out: 2193 bytes Desc: printer1 DHCP Info: - D 02/00 00:00:00:00:00:04 down (--:--:--) - In: 0 bytes, Out: 0 bytes Desc: - DHCP Info: -
表示
内容
Elapsed time after clear counters:10d 01:43:39(group-main 1)
MG/SG
メイングループとサブグループの番号です。未登録の場合00を表示します。
MAC Address / IP Address
登録している端末のMACアドレス および IPアドレスです。
State
端末の接続状態です。通信検出時にup、5分間(デフォルト)の無通信でdownです。
Interface
In: 0 bytes, Out: 600 bytes
端末視点の通信量です。Inは端末が受信したサイズ、Outは端末が送信したサイズです。
Desc
DHCP Info
DHCP機能で保持している端末のホスト名/ VendorIDを表示します。
2.41.3.4. 切断判定時間の設定
リンクマネージャ機能では、端末の接続/切断状態を通信の有無で判定します。
切断状態と判定するまでの無通信時間はデフォルト5分で、以下のコマンドで変更できます。
項目
説明
connect-timeout
※ 更新周期の設定(refresh-intervalコマンド)以上の値を設定してください。
2.41.3.5. 更新周期の設定
項目
説明
refresh-interval
2.41.3.6. クリアコマンド
統計情報の消去やゲスト端末の削除などは、以下のコマンドで実行します。
項目
説明
clear linkmgr refresh-interval
端末情報の強制更新
clear linkmgr statistics
端末の統計情報の消去
clear linkmgr terminal
端末情報(ゲスト端末)の消去
2.41.4. 主な利用方法
リンクマネージャ機能の主な利用方法について説明します。
2.41.4.1. 通常利用
メイングループで場所や所属を、サブグループで端末の種別(PCやプリンタなど)を登録し、端末情報を登録します。 先に端末を接続できる場合はMACアドレスを自動的に検出するので、グループの選択と説明文の付与だけで設定できます。 端末がDHCP接続の場合は、端末のホスト名やベンダ情報などを収集するので、それらを参照しながら設定可能です。
なお、グループを利用する予定がなく、説明文のみ設定したい場合は、 デフォルトで用意している「登録済み」のグループを選択してください(設定の保存にはグループの選択が必須です)。
2.41.4.2. 登録端末のみ通信可能なセキュアネットワークの構築
通信を許可する全ての端末を登録し、未登録端末の通信を全て廃棄に設定することで、セキュアなネットワークを構築できます。
端末情報を1つ1つ登録する代わりに、以下のような手順で登録することも可能です。Webコンソールのみでも実施できます。
一定期間内に、登録する端末を1度はルータと接続するように利用者に依頼する。
「デフォルト動作」を透過に設定して、端末情報を収集する。
一定期間後に「デフォルト動作」を廃棄に設定する。
DHCPのホスト名などの情報を参照しながら適切なグループに振り分ける。
以降は利用者からの申請ごとにMACアドレスを追加する。
2.41.4.3. 登録端末のみ通信可能なセキュアネットワークの構築
端末認証と併用する場合、特定の端末を端末認証の対象外とすることができます。
これにより既知の端末は端末認証を行わず、ゲスト端末のみ端末認証を行うことが可能です。
2.41.5. リンクマネージャの通信制御機能
リンクマネージャのグループ番号をIPv4 / IPv6アクセスリストおよび、MACアクセスリストの判定条件として設定が可能です。
これにより、アクセスリストを利用する機能(フィルタ/QoS/ポリシールーティング)で、リンクマネージャのグループ毎に条件の設定ができます。
2.41.5.1. 設定方法
リンクマネージャのグループ番号をアクセスリストの判定条件に設定する場合、以下のコマンドで設定が可能です。
アクセスリストの詳細については、アクセスリストの項目を参照してください。
ip access-list list1 deny ip src any dest any linkmgr mg 0 -(1) ip access-list list1 deny ip src any dest any linkmgr sg 1 -(2) ip access-list list1 deny ip src any dest any linkmgr mg 1 sg 2 -(3) (1):ゲスト端末のパケット通過拒否 (2):サブグループが 1 の端末のパケット通過拒否 (3):メイングループ 1 サブグループが 2 の端末のパケット通過拒否 IPv6アクセスリスト、MACアクセスリストにも同様の設定が可能です。
各パラメータで設定可能な範囲は以下のようになります。
パラメータ
2.41.5.2. IPフィルタによる通信制御
また、フィルタを受信(in)側や送信(out)側に設定することで、グループ単位で接続できるネットワークを制御することができます。
ip access-list list1 deny ip src any dest any linkmgr mg 0 sg 0 (ゲスト端末の通信を拒否)
ip access-list list1 permit ip src any dest any linkmgr mg 1 (MG1の通信を許可)
ip access-list list1 permit ip src any dest any linkmgr mg 2 (MG2の通信を許可)
!
interface GigaEthernet0.0 (業務ネットワーク)
ip address 203.0.113.1/24
no shutdown
!
interface GigaEthernet1.0 (LAN側)
ip address 192.168.1.254/24
linkmgr enable
ip filter list1 1 in
no shutdown
!
2.41.6. 処理順序
MACフィルタや認証機能と併用した場合の処理順序は以下のとおりです。
