キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

N9500 の Standalone Mode を ACI 化する手順

== 本ドキュメントを記載した目的 ==

 

ACI 版がリリースされる前に Standalone 版として Nexus 9500 を購入された場合、Nexus を ACI モードに変更するにはいくつかの手順を踏む必要があります。

本ドキュメントでは過去のモード変更の事例より得られた経験から変更手順の一例を紹介いたします。本手順通りに作業を行うことで問題がないという保証はできかねますが、参考にして頂くとよいと思います。

なお、ACI リリース後に ACI モードの機器を購入されたお客様は当ドキュメントで扱っている手順を行う必要がありません。

また、当作業を行うためには Cisco のサポートが必要であるため適切なサポート契約が結ばれている必要がございます。不明な点がある場合はお客様を担当しているアカウントチームに相談して頂けますでしょうか。

 

== STEP1: ACI 化を行う前に必要な準備 ==

 

(1) StandAlone モードのバージョンを変更

ファームウェアやBIOSのバージョンを購入時のものより新しくする必要があります。過去の事例では 6.1(2)I2(2b)  を利用しております。おそらくそれ以後のバージョンのイメージでも問題ありません。

 - show ver でバージョンを確認。

 - install all コマンドでアップグレード

install all コマンド意外でもboot パラメータの調整でのバージョンアップは可能ですが、BIOS等のバージョンが変更されませんので今回は実施しないで下さい。

(2) SuperVisor モジュールを一枚のみにしておく

後ほどの証明書のインストール作業で SuperVisor モジュールを2枚積んでいると問題になる場合があるため、若い slot番号の SuperVisor モジュール1枚のみにしておいて下さい。もう一枚は物理的に抜いて(半挿し)にしておいて下さい。

証明書は SuperVisor モジュールではなくシャーシに結びつきます。

(3) 証明書の取得

後ほど証明書のファイルを Nexus に入れる必要が発生します。証明書の作成は Cisco 社員しか作成することができません。シャーシのシリアル番号を「変換作業をサポートする Cisco のエンジニア」に伝えて証明書を事前に準備しておいて下さい。証明書は複数ありますが、zip ファイルで固められています。手元の端末で解凍すると中身が破損するおそれがありますので、現段階では zipのままにしておいて下さい。

シャーシのシリアル番号と証明書は一対一の関係を持ちますので、複数の機器をACIモードに変更する場合は異なる機器の証明書をいれないように注意して下さい。

id

 

(4) TFTP と SCP によるファイル転送が可能なサーバを準備

途中で TFTP ブートが必要になる場合があります。また証明書をSSHで取得する必要が発生します。安定した回線を持つ疎通性を持つサーバを Nexus の近くに配備し、そこに ACI のイメージと、証明書ファイル(zipのまま)を配備しておいて下さい。事前に両者にアクセスできることを確認しておいたほうがよいです。

(5) ACI のイメージを StandAlone モードの N9K の bootflash に保存しておく

(6) Cisco のエンジニアと作業を行う時間を調整し、同時に作業にかかれるようにして下さい。後ほど説明する root password の発行をリアルタイムで Cisco のエンジニアが行う必要があります。

 

== STEP2: ACI モード(不完全)で立ち上げる手順 ==

 

(1) ACIモードで立ち上がるようにするため、以下のコマンドを発行

 - no boot nxos

 - copy r s

(2) reload を行う

(3) ACI モードで立ち上がってくる。その際に bootflash が初期化されるため、起動イメージを失う場合があります。その際は適切にIPの設定をしたうえでサーバ上のACIイメージから tftp ブートを実施して下さい。

 

== STEP3: ACI モードへのログイン ==

 

(1) user: admin, password: なし(何も入れずEnter)でログイン可能です。

(2) root ユーザに権限を変更するため、root password を入手します。

- acidiag dbgtoken コマンドを発行し、token を入手して下さい。

- Cisco のエンジニアが token から root password (一時的なもの)を生成します

(3) 生成した root password を使って、root ユーザになります

- ssh root@127.0.0.1 (自分自身にrootユーザとしてsshしています)

- 生成したパスワードをいれる

(4) root としてログインされます

 

== STEP4: 証明書をサーバから取得 ==

 

(1) インタフェース ethX にIPを与えます。(おそらく eth0 です)

 - ifconfig eth0 <IP> netmask <NETMASK>

(2) デフォルトゲートウェイを設定(サーバにL2到達性がある場合は不要)

 - route add default gw <IP OF DEFAULT GATEWAY>

(3) サーバーから SCP で証明書ファイルを入手

 - scp USERNAME@SERVER:FILENAME /bootflash

(4) bootflash 配下に設置されたファイルを /var/tmp にコピー

 - cp SOURCE_PATH DEST_PATH

(5) zip されている証明書を解凍

 - unzip FILE_NAME

 

== STEP5: 証明書をインストール ==

 

(1) 証明書のインストールコマンドを発行。必要なファイルは2つあり、一つは *.crt, もう一つは *.key.pem

 - act_util rsa_file <KEY_PEM_FILE> <CRT_FILE>

(2) コンソールに多くの文字が流れますが、“Do you want to program this to sprom?” と聞かれるので「Y」と回答

(3) 証明書がインストールされる

(4) 念の為に確認

 - act_util keypair_show 1

と入力。成功していれば出力の中に RSA の鍵が見えます。

こちらは Nexus 9500 switch 用のコマンドでして、Nexus 9300 switch の場合には以下のコマンドをご使用ください。

 - act_util keypair_show 0

 

== STEP6: 再起動し状況確認 ==

 

(1) 再起動のための設定を行う

 - /bin/prepare-mfg.sh <ACI_IMAGE_FILE>

(2) 再起動

 - shutdown -r now

(3) 成功したかコマンドを発行し確認。APIC に接続されるまでは admin ユーザで実行可能です。権限の都合で実行できない場合は先と同じ手順で root に入って下さい

 - openssl asn1parse < /securedata/ssl/server.crt

(4) 出力の中に "PRINTABLESTRING and if Cisco Manufacturing CA" があればコンバートに成功しております

 

以上となります。

上記の手順を見て頂くとわかりますが、Cisco のエンジニアが作業に関わる必要があります。本作業を実施する前に事前にお客様担当のアカウントチーム等に相談するか TAC にSRを上げて頂けますでしょうか。

契約等が関わるオペレーションであるため、初回の作業の場合は事前に弊社アカウントチームにご連絡頂いたほうがよろしいと判断いたします。

バージョン履歴
改訂番号
1/1
最終更新:
‎09-17-2014 02:19 PM
更新者:
 
ラベル(1)
コメント
Cisco Employee

タイトルに「N9500の」とありますが、本文にはN9300の場合にも言及されているので、タイトルを変えていただけませんか。

前川