Comments
Description
Transcript
AXシリーズ L2ループ対策ガイド [初版]
AX シリーズ L2 ループ対策ガイド 初 版 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. AX シリーズ L2 ループ対策ガイド(初版) はじめに AX シ リ ー ズ L2 ル ー プ 対 策 ガ イ ド は 、 AX シ リ ー ズ ( AX6700S/AX6300S 、 AX3600S 、 AX2400S 、 AX1200S)でサポートしている L2 ループに対する各機能(Auto MDI/MDI-X 抑止、L2 ループ検知、ストーム コントロール)を用いたシステム構築のための技術情報をシステムエンジニアの方へ提供し、各機能の動作概 要の把握、システムの構築と安定稼動を目的として書かれています。 関連資料 ・AXシリーズ製品マニュアル(http://www.alaxala.com/jp/support/manual/index.html) 本資料使用上の注意事項 本資料に記載の内容は、弊社が特定の環境において基本動作を確認したものであり、機能・性能・信頼 性についてあらゆる環境条件すべてにおいて保証するものではありません。弊社製品を用いたシステム構築 の一助としていただくためのものとご理解いただけますようお願いいたします。 本資料作成時の OS ソフトウェアバージョンは特記の無い限り以下となっております。 AX6700S / AX6300S Ver10.7.A AX3600S , AX2400S Ver10.7.A AX1200S Ver1.3.D 本資料の内容は、改良のため予告なく変更する場合があります。 輸出時の注意 本資料を輸出される場合には、外国為替および外国貿易法ならびに米国の輸出管理関連法規などの規 制をご確認の上、必要な手続きをお取りください。 商標一覧 ・アラクサラの名称およびロゴマークは、アラクサラネットワークス株式会社の商標および商標登録です。 ・Ethernetは、米国Xerox Corp.の商品名称です。 ・イーサネットは、富士ゼロックス(株)の商品名称です。 ・そのほかの記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 2 AX シリーズ L2 ループ対策ガイド(初版) 目次 1. L2 ループの影響と対策機能 ................................................................................................................4 1.1 L2 ループとその危険性.................................................................................................................4 1.2 L2 ループ対策機能.......................................................................................................................5 1.3 AUTO MDI/MDI-X抑止 ..................................................................................................................5 1.4 L2 ループ検知機能.......................................................................................................................6 1.5 ストームコントロール.......................................................................................................................9 2. L2 ループ検知機能の基本的な使用例...............................................................................................11 2.1 適用構成の例 .............................................................................................................................11 2.2 設定のポイント ............................................................................................................................13 2.3 コンフィグレーション例 .................................................................................................................15 2.4 運用コマンドによるトラブルシューティング.....................................................................................16 2.5 その他の運用コマンドについて....................................................................................................21 3. 制限事項および注意事項 .................................................................................................................22 3.1 AUTO MDI/MDI-X抑止に関して ...................................................................................................22 3.2 L2 ループ検知機能に関して .......................................................................................................22 付録: コンフィグレーションファイル .......................................................................................................24 2. L2 ループ検知機能の基本的な使用例 .............................................................................................24 2.1. アクセススイッチ構成例 ...............................................................................................................24 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 3 AX シリーズ L2 ループ対策ガイド(初版) 1. L2 ループの影響と対策機能 1.1 L2 ループとその危険性 一般的にネットワークとは、端末やサーバ等のデータ送信および受信端を物理的でも論理的でもエンド to エ ンドに結ぶことが前提ですが、ネットワーク中継に使用する装置(ネットワーク装置)間のケーブルの誤接続や、 ネットワーク装置でのコンフィグ等の設定ミスによりデータが循環してしまうような経路を作ってしまう場合があり ます。これをレイヤ 2(L2)レベルで制御されるネットワークにおいて発生させてしまった場合を L2 ループと呼び ます。 L2 ループを作ってしまった場合、そこにブロードキャストフレームが入ってくると大変なことになります。 ネットワーク装置間のブロードキャストフレームの転送がいつまでも収束せずフレームがどんどん増殖する結 果となり、ネットワーク装置で処理可能な転送帯域を圧迫し最悪の場合他の正常な通信が停止してしまうという 障害(このような状態をブロードキャストストームと呼びます)につながります。 L2 ネットワークにおいて、ブロードキャストフレームは ARP 要求や DHCP ディスカバーなど一般的に使われる ことが多いため、このような L2 ループを構成してしまうとブロードキャストストームの要因となり非常に危険です。 ③ストームにより輻輳状態 → 通常の通信停止 ②ブロードキャストが 流れつづけストーム発生! ①誤接続によりループを構成 図 1.1-1 L2 ループとブロードキャストストーム Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 4 AX シリーズ L2 ループ対策ガイド(初版) L2 ループ対策機能 1.2 L2 ループ発生に対する機能として、AX シリーズでは下記があります。 Auto MDI/MDI-X 抑止 ループ保護の対象がストレートのツイストペアケーブルに限られますが、アクセスポート同士を誤接続 してしまってもリンクアップしないため、結果として L2 ループの発生を防ぎます。 L2 ループ検知機能 装置で L2 ループの発生を検知し、ポートを閉塞するなどして L2 ループの発生そのものを防ぎます。 自装置内で閉じるループのほか、上流ネットワークを経由してのループも検知可能です。 ストームコントロール L2 ループなどよるストームが発生した際でも、ストーム対象フレームの受信帯域を一定の値に抑え、 他の通信への影響を防ぎます。 以下、各機能の詳細について解説します。 1.3 (1) Auto MDI/MDI-X 抑止 機能概要 使用するポートのインタフェース種別が 1000BASE-T の場合、送受信種別(MDI/MDI-X)と回線に使用するツ イストペアケーブルのストレート/クロス種別の組合せの違いを吸収する機能として、ポートの MDI/MDI-X を自 動的に切替える機能が Auto MDI/MDI-X ですが、この機能を抑止し MDI-X 固定とすることでストレートのツイ ストペアケーブルによるループを抑止することができます。 但し、クロスケーブルを使用した場合は本設定をおこなってもループが発生してしまいます。またポートのイン タフェース種別が 1000BASE-X の場合は本機能は無効となります。 (2) コンフィグおよびパラメータ解説 パラメータ 説明 インタフェースコンフィグモード(config-if)で設定 no mdix auto ポートの自動 MDIX 機能を無効とし、MDI-X に固定します。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 5 AX シリーズ L2 ループ対策ガイド(初版) 1.4 (1) L2 ループ検知機能 機能概要 L2 ループ検知機能は,レイヤ 2 ネットワークでループ障害を検知し,ループの原因となるポートを閉塞状態に することでループ障害を解消する機能です。L2 冗長プロトコルであるスパニングツリーやリングプロトコルなどに より冗長化しているコアネットワークに加え、これらの冗長化が使用できないアクセスネットワークでも L2 ループ 検知機能により、ループ障害を解消することができます。 パターン 1 自装置で回線を誤接続し、 ループ障害が発生している。 パターン 4 下位装置で回線を誤接続し、 コアネットワークにわたる ループ障害が発生している。 パターン 2,3 自装置から下位の本装置または L2 スイッチで回線を誤接続し、 ループ障害が発生している。 図 1.4-1 ループ障害の基本パターン L2 ループ検知機能では、上記各パターン(1~4)のループ障害を抑止することが可能です。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 6 AX シリーズ L2 ループ対策ガイド(初版) (2) 動作解説 L2 ループ検知機能では,コンフィグレーションで設定したポート(物理ポートまたはチャネルグループ)から L2 ループ検知用の L2 制御フレーム(L2 ループ検知フレーム)を定期的に送信します。そのフレームが送信 した装置に戻ってくることでループ障害と判断します。 L2ループ検知フレームの受信 →L2ループ検知 本装置 L2ループ検知 フレーム送信 島 HUB 等 誤接続 図 1.4-2 装置配下の HUB でのループ障害図 検知フレームの流れ ループ障害検出後の動作は、ポートに設定するコンフィグレーションにより下記の通りとなります。 表 1.4-1 L2 ループ検知機能のポート毎の設定種別 ポートの設定 send-inact-port send-port uplink-port trap-port exception-port L2 ループ検知 フレームの送信 する する しない しない しない L2 ループ検知フレームの受信時動作 L2 ループ検知(ログ表示)し、ポート閉塞 L2 ループ検知(ログ表示)のみ 該当ポートは L2 ループ検知(ログ表示)のみ 送信元ポートで送信元設定に従った動作(*1) L2 ループ検知(ログ表示)のみ 何もしない (*1) 例えば送信元ポートが send-inact-port 設定であった場合、送信元ポートを閉塞状態にする。 (3) コンフィグパラメータ解説 表 1.4-2 L2 ループ検知機能に関するコンフィグレーション パラメータ 説明 グローバルコンフィグモード(config)で設定 loop-detection enable 装置の L2 ループ検知機能を有効にします。 loop-detection auto-restore-time 閉塞(inact)状態にしたポートを一定時間後自動的に開放(act) 状態にします。 loop-detection interval-time L2 ループ検知フレームの送信間隔を設定します。 loop-detection threshold ポートを閉塞状態にする L2 ループ検知フレーム受信数を設定 します。L2 ループ検知してから loop-detection hold-time 時間 の間に、threshold分受信するとポートを閉塞状態にします。 loop-detection hold-time 閉塞状態にするまでの L2 ループ検知フレーム受信数の保持 時間を指定します。L2 ループ検知フレーム受信数は、L2 ルー プ検知してから hold-time 時間経過するとリセットされます。 インタフェースコンフィグモード(config-if)で設定 loop-detection L2 ループ検知フレーム送受信の動作を設定します。 send-inact-port、send-port、uplink-port、exception-port のい ずれかを設定できます。 この設定が無い場合、trap-port として扱われます。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 7 AX シリーズ L2 ループ対策ガイド(初版) (4) L2 ループ検知フレームの送信レートと送信間隔について L2 ループ検知機能は、対象の装置で L2 ループ検知フレームを送受信することで機能しますが、装置あたり に必要となる L2 ループ検知フレームの送信レートは、L2 ループ検知機能で L2 ループ検知フレームの送信対 象となる物理インタフェースとそれぞれのインタフェースで使用する VLAN 数の積の総和(これを L2 ループ検 知フレーム送信対象 VLAN ポート数と呼びます)と、L2 ループ検知フレームの送信間隔から決まります。 (A)装置あたりで必要な L2 ループ検知フレームレート(pps)= L2 ループ検知フレーム送信対象 VLAN ポート数 ÷ L2 ループ検知フレーム送信間隔(秒) (B)一方で、L2 ループ検知フレームの送信能力は各装置によって異なります。(下表参照) 表 1.4-3 L2 ループ検知フレーム送信レート モデル AX6700S/AX6300S シリーズ共通 AX3600S/AX2400S シリーズ共通 AX1200S シリーズ共通 L2 ループ検知フレームの送信レート(装置当たり)(*1) STP、GSRP、Ring Protocol の STP、GSRP、Ring Protocol の どれかを使用している場合 どれも使用していない場合 90pps(推奨値)(*2) 600pps(最大値)(*3) 30pps(推奨値)(*2) 200pps(最大値)(*3) 20pps(最大値)(*3) (*1) 送 信 レ ー ト は 上 記 の 条 件 式 に 従 っ て 自 動 的 に 各 装 置 の 最 大 値 (AX6700S/6300S シ リ ー ズ :600pps 、 AX3600S/AX2400S シリーズ:200pps、AX1200S シリーズ:20pps)以内で変動します。 (*2) STP、GSRP、Ring Protocol のどれかを使用している場合は、推奨値以下に設定してください。推奨値より大きい場 合、STP、GSRP、Ring Protocol の正常動作を保障できません。 (*3) 最大値を超えるフレームは送信しません。送信できなかったフレームに該当するポートや VLAN ではループ障害を 検知できなくなります。必ず最大値以下に設定してください。 従って、(A)≦(B)となるように、(A)のパラメータ(使用する物理インタフェース、VLAN 数および送信間隔)を 設定する必要がありますが、ネットワーク構成等から必要とされる装置およびその物理インタフェース数と VLAN 数が決まっている場合、最終的には L2 ループ検知フレーム送信間隔で調整することとなります。 これは上記の式を変形し、下記の通り求めることが可能です。 L2 ループ検知フレーム送信間隔(秒) ≧ L2 ループ検知フレーム送信対象 VLAN ポート数 ÷ 装置の L2 ループ検知フレーム送信レート(pps) L2 ループ検知に要する時間は、この L2 ループ検知フレーム送信間隔によって決まりますので、上式を満た す範囲内で小さな値とすることが望ましいです。 (例) STP を使用している AX2400S シリーズにおいて、アクセスポート(VLAN1 つ)が 19 ポートと VLAN3 つを収容す るトランクポート 1 つを L2 ループ検知フレーム送信対象とする場合、 L2 ループ検知フレーム送信間隔は、 (19×1 + 1×3) ÷ (表 1.4-2 より)30 = 22 ÷ 30 = 0.7333… より 1(秒)に設定することを推奨します。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 8 AX シリーズ L2 ループ対策ガイド(初版) 1.5 (1) ストームコントロール 機能概要 ネットワークおよび接続された機器への影響を抑えるために、スイッチでフラッディング対象となるフレーム中 継の量を制限する機能がストームコントロールです。 これにより、誤って L2 ループを構成してしまう等でブロードキャストストームが発生しても、その帯域がストーム コントロールで設定した値に制限されるため、他の正常な通信への影響をある程度抑えることが可能となりま す。 (2) 動作解説 ストームコントロールの対象としたフレーム種の受信帯域が、コンフィグレーションで設定した値を超えたときに ストーム発生と判定します。ストームコントロールの対象フレームは以下の 3 つです。 ・ブロードキャストフレーム ・マルチキャストフレーム ・ユニキャストフラッディングフレーム ストーム検出後は、対象フレームの受信帯域制限をおこなうほか、コンフィグレーションにより以下の動作の選 択も可能です。 ・当該ポートを閉塞状態にする。 ・ログメッセージを出力する。 ・SNMP トラップを発行する。 (3) コンフィグパラメータ解説 表 1.5-1 ストームコントロールに関するコンフィグレーション (AX6700S/6300S シリーズ) パラメータ 説明 グローバルコンフィグモード(config)で設定 storm-control broadcast ブロードキャストフレームに対するストームコントロールを有効 にします。 storm-control multicast マルチキャストフレームに対するストームコントロールを有効 にします。 storm-control unicast フラッディング対象のユニキャストフレームに対するストームコ ントロールを有効にします。 インタフェースコンフィグモード(config-if)で設定 storm-control level ストームコントロールを行う受信帯域の閾値を設定します。閾 値を超えたフレームは廃棄します。 storm-control action inactivate ストームの発生を検出した場合に対象ポートを閉塞します。 storm-control action trap ストームの発生、終結を検出した場合に SNMP トラップを発行 します。 storm-control action log ストームの発生、終結を検出した場合にログメッセージを出力 します。 (*1) AX6700S/6300S シリーズでストームコントロール機能を使用する場合は、upc-storm-control mode コマ ンドで upc-in-and-storm-control が設定されている必要があります。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 9 AX シリーズ L2 ループ対策ガイド(初版) 表 1.5-2 ストームコントロールに関するコンフィグレーション (AX3600S/2400S/1200S シリーズ) パラメータ 説明 インタフェースコンフィグモード(config-if)で設定 storm-control broadcast level pps ブロードキャストフレームに対するストームコントロールを有効 とし、ストームコントロールを行う受信帯域の閾値を設定しま す。閾値を超えたフレームは廃棄します。 storm-control multicast level pps マルチキャストフレームに対するストームコントロールを有効と し、ストームコントロールを行う受信帯域の閾値を設定します。 閾値を超えたフレームは廃棄します。 storm-control unicast level pps フラッディング対象のユニキャストフレームに対するストームコ ントロールを有効とし、ストームコントロールを行う受信帯域の 閾値を設定します。閾値を超えたフレームは廃棄します。 storm-control action inactivate ストームの発生を検出した場合に対象ポートを閉塞します。 storm-control action trap ストームの発生、終結を検出した場合に SNMP トラップを発行 します。 storm-control action log ストームの発生、終結を検出した場合にログメッセージを出力 します。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 10 AX シリーズ L2 ループ対策ガイド(初版) 2. L2 ループ検知機能の基本的な使用例 L2 ループに対する各機能を効率よく使用することで、L2 ループの発生を未然に防いだり、万が一 L2 ループ が発生してしまった場合でも、その被害を最小限に留めることができます。 ここでは特に L2 ループ検知機能の基本的な設定方法や運用の例について紹介します。 2.1 適用構成の例 一般的なネットワークシステムとして、コアスイッチとアクセススイッチを STP で冗長接続した構成に、L2 ルー プ検知機能を適用する例について紹介します。 コアネットワーク コアスイッチまたは ディストリビューションスイッチ ・一般ユーザには見えない部分 ・冗長プロトコルが有効 STP による 冗長構成 装置 E1 アクセススイッチ 島 HUB ・一般ユーザからアクセス可能 ・冗長プロトコルの制御範囲外 ↓ ループの危険性大! 冗長制御なし ≒ループに対し無防備 アクセスネットワーク 対策するなら… ↓ L2 ループ検知機能の適用 図 2.1-1 一般的なコア/アクセスネットワーク レイヤ 2 で構成されるコアネットワークにおいて、ネットワーク装置間で冗長な構成を制御するプロトコルには STP などがありますが、これらの L2 冗長プロトコルはネットワーク装置間でのループを回避する役割も持ちます。 また、このようなネットワークに対し構成の変更作業をおこなうのはネットワーク管理者である場合がほとんどで あり、誤設定や誤接続そのものの発生確率も低いといえます。 従って、コアネットワークに代表される、冗長構成を採るネットワーク装置間のネットワークについては基本的 にループフリーであると考えられ、ここに改めて L2 ループ対策機能を設定する必要性は薄いといえます。 しかし、アクセススイッチの先、端末やサーバ、L2 冗長プロトコルをサポートしない HUB などが接続されるエ ンドポイントでは L2 冗長プロトコルが必ずしも有効ではない場合がほとんどであり、また接続ポートも一般ユー ザに開放されている場合も多く、回線ケーブル誤接続などによるループ発生の可能性が高いといえます。 従って、L2 ループ対策機能は一般的にアクセスエッジとなるスイッチにて有効とするのが最も効果的です。 このように、アクセスエッジとなるスイッチ単体で L2 ループ検知機能を使用する場合の例を以下に解説します。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 11 AX シリーズ L2 ループ対策ガイド(初版) L2 ループ検知機能を設定するアクセススイッチの 1 ノードとして、下図のような例を考えます。 STP(Rapid PVST+)の 上流ネットワーク SNMP マネージャ 192.168.100.200 「public」 空き(増設予定無し) 0/1 0/2 VLAN10-12 E1: AX2430S-24T VLAN10 0/5 0/6 VLAN11 0/7 0/8 VLAN12 … 0/9 0/3 0/4 10-12 0/23 0/24 L2 ループ検知 アップリンク設定 L2 ループ検知 および閉塞設定 空き(増設予定有り) 図 2.1-2 アクセススイッチ構成の一例 上流ネットワークとはポート 0/1、0/2 にて Rapid PVST+で接続します。 端末や HUB 等が接続されるエンドポイント側はポート 0/5~0/24 を使用します。そのうち、ポート 0/5,0/6 は VLAN10 にて、ポート 0/7,0/8 は VLAN11 にて、ポート 0/9~0/23 は VLAN12 にて使用します。また、ポート 0/9 ~0/23 は現在接続機器はありませんが、将来的または一時的に端末、HUB 等が接続される可能性があります。 ポート 0/24 は VLAN10~12 のトランクポートとします。 ポート 0/3、0/4 は現在空きポートで、当面機器の接続予定はありません。 また、このネットワークシステムは SNMP にて状態監視をおこなっており、L2 ループ検知に関しても SNMP マ ネージャに通知するものとします。 このように使用する装置に対するコンフィグについて、設定のポイントとコンフィグ例を次に示します。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 12 AX シリーズ L2 ループ対策ガイド(初版) 2.2 設定のポイント (1) L2 ループ検知機能はアクセススイッチ等、なるべくエンドポイントに近い装置で設定する。 先の解説のとおり、 ・コアネットワーク等上流のネットワークでは L2 冗長プロトコル等でループ対策されているケースが多い ・ループ検知でポート閉塞した場合、上流の装置ほど下流側ネットワークに対する影響が大きくなる。 などの理由により、L2 ループ検知機能はエンドポイントに近い装置で使用することを推奨します。 (2) L2 冗長プロトコルが有効な上流ネットワーク側のポートは uplink-port 設定する。 uplink-port 設定は L2 ループ検知用の制御フレーム送信およびループ検知時のポート閉塞動作はおこない ませんが、L2 ループ検知フレームの受信および検知はおこないます。 これは上流ネットワーク側の L2 冗長プロトコルの動作に影響を与えず、上流ネットワークを経由し装置間をま たがるようなループ状態の検出に有効です。 (3) 端末や HUB 等、エンドポイントに接続するポートに対し検知および閉塞(send-inact-port)設定する。 ループ発生の検知に伴いポート閉塞をおこなうため、ループ状態を抑止できます。これによりループの発生 が原因によるブロードキャストストームを抑止することができます。 (4) 端末や HUB 等の接続の可能性がある空きポートにも L2 ループ検知/閉塞設定を原則おこなう。 特に一般ユーザーの触れる場所へ設置する場合は、誤接続によるループに対する予防のためにもあらかじ め設定しておくことが望ましいです。 但し本設定があると、そのポートがリンクダウンしていてもL2 ループ検知フレーム送信の対象に含まれ、L2 ル ープ検知フレーム送信間隔の設定に影響しますのでご注意下さい。(L2 ループ検知フレーム送信間隔につい ては本書の「1.4 (4)L2 ループ検知フレームの送信レートと送信間隔について」または各装置マニュアル「ソフト ウェアマニュアル - コンフィグレーションガイドvol.1 3.収容条件」参照) このため、データセンターやサーバルーム、ラック内など一般ユーザーが普通にアクセスできない所へ設置 される装置については、必要以上に L2 ループ検知機能の設定をする必要はありません。 (5) 使用予定の無い、もしくは使用を禁止するポートは shutdown 設定しておく。 上記と同様な理由で、一般ユーザーの触れる場所へ設置される装置で、回線接続予定のないもしくは接続 を禁止するポートにはコンフィグで無効の設定(shutdown)をあらかじめしておきます。 この設定により、該当のポートに誤接続されてもポートがリンクアップしないためループは発生しません。 (6) STP 使用の場合、L2 ループ検知設定するアクセスポートには PortFast および BPDU フィルタを有効にする。 L2 冗長プロトコルに STP を利用している場合、エンドポイント側ポートに関する機能として、PortFast、 BPDU ガード、BPDU フィルタなどがありますが、L2 ループ検知機能を併用する場合は、PortFast および BPDU フィルタを有効にすることを推奨します。 PortFast および BPDU フィルタを有効とすることによりそのポートでは STP が動作しなくなるため、STP と L2 ループ検知機能との干渉を防ぐことができます。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 13 AX シリーズ L2 ループ対策ガイド(初版) (7) L2 ループ検知フレーム送信間隔は、なるべく小さい値に設定する。 L2 ループの発生から検知に要する時間はL2 ループ検知フレームの送信間隔によって決まります。従ってで きるだけ小さい値とすることが望ましいですが、本書の「1.4(4)L2 ループ検知フレームの送信レートと送信間隔 について」で解説のように値を設定する必要があります。その解説より、L2 ループ検知フレームの送信間隔の 求め方は 送信間隔(秒)≧L2 ループ検知フレーム送信対象 VLAN ポート数÷L2 ループ検知フレーム送信レート(pps) であり、実際に今回の構成を例にして計算すると、 送信間隔(秒) ≧ (2×1 + 2×1 + 15×1 + 1×3) ÷ 30 = 0.73 0/5-6、0/7-8,0/9-23 は各 1VLAN、0/24 は 3VLAN AX2430S で STP 使用時の推奨値(pps) 以上のようになります。 これより、今回構成では L2 ループ送信間隔を 1(秒)に設定します。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 14 AX シリーズ L2 ループ対策ガイド(初版) 2.3 コンフィグレーション例 構築のポイントとなるコンフィグレーション例を下記に示します。全体のコンフィグレーションについては付録 を参照ください。 (1) アクセスエッジノードの設定 E1 の設定 STP の設定 (config)# spanning-tree mode rapid-pvst (config)# spanning-tree portfast default 上流ネットワークとの接続では Rapid PVST+を使用します。 PortFast機能をデフォルトで使用します。(構築ポイント(6)) 制御 VLAN、データ転送 VLAN の設定 (config)# vlan 10-12 使用する VLAN10-12 の設定を行います。 L2 ループ検知機能の設定 (config)# loop-detection enable (config)# loop-detection interval-time 1 L2 ループ検知機能を有効にします。 (構築ポイント(1)) L2 ループ検知機能の制御フレーム送信間隔を 1 秒とします。 (構築ポイント(7)) ポートの設定 アップリンクポートの設定 (config)# interface range gigabitethernet 0/1-2 (config-if)# link debounce time 0 (config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan 10-12 (config-if)# spanning-tree portfast disable (config-if)# loop-detection uplink-port link debounce time を 0 にします。 使用する VLAN10-11 を設定します。 STP 対象ポートとするため、PortFast 設定を解除します。 L2 ループ検知のアップリンクポートとして設定します。 (構築ポイント(2)) 未使用ポート(将来使用予定無し)の設定 (config)# interface range gigabitethernet 0/3-4 (config-if)# shutdown 使用予定の無いポートはシャットダウン状態にしておきます。 (構築ポイント(5)) アクセスポートの設定 (config)# interface range gigabitethernet 0/5-6 (config-if)# switchport mode access (config-if)# switchport accsess vlan 10 (config-if)# spanning-tree bpdufilter enable (config-if)# loop-detection send-inact-port (config)# interface range gigabitethernet 0/7-8 (config-if)# switchport mode access (config-if)# switchport accsess vlan 11 (config-if)# spanning-tree bpdufilter enable (config-if)# loop-detection send-inact-port (config)# interface range gigabitethernet 0/9-23 (config-if)# switchport mode access (config-if)# switchport accsess vlan 12 (config-if)# spanning-tree bpdufilter enable (config-if)# loop-detection send-inact-port (config)# interface gigabitethernet 0/24 (config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan 10-12 (config-if)# spanning-tree bpdufilter enable (config-if)# loop-detection send-inact-port ポート 0/5-6 の設定をします。 アクセスポートで使用する VLAN10 を設定します。 STPのBPDUフィルタ機能を有効にします。(構築ポイント(6)) L2 ループ検知の検知および閉塞ポートとして設定します。 (構築ポイント(3)) ポート 0/7-8 の設定をします。 アクセスポートで使用する VLAN11 を設定します。 STPのBPDUフィルタ機能を有効にします。(構築ポイント(6)) L2 ループ検知の検知および閉塞ポートとして設定します。 (構築ポイント(3)) ポート 0/9-23 の設定をします。 アクセスポートで使用する VLAN12 を設定します。 STPのBPDUフィルタ機能を有効にします。(構築ポイント(6)) L2 ループ検知の検知および閉塞ポートとして設定します。 (構築ポイント(4)) ポート 0/24 の設定をします。 トランクポートで使用する VLAN10-12 を設定します。 STPのBPDUフィルタ機能を有効にします。(構築ポイント(6)) L2 ループ検知の検知および閉塞ポートとして設定します。 (構築ポイント(4)) SNMP トラップ送信先の設定 (config)# snmp-server host 192.168.100.200 traps "public" loop-detection L2 ループ検知機能に関するトラップを発行する、SNMP マネージャ のホストアドレスおよびコミュニティ名を設定します。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 15 AX シリーズ L2 ループ対策ガイド(初版) 2.4 運用コマンドによるトラブルシューティング ここからは、構成例での L2 ループ検知機能の基本的な運用に関して解説します。 L2 ループ検知機能により L2 ループを検知した場合には、装置のメッセージログにてループが検知された旨 を出力しその履歴も残されます。また、SNMP トラップを発生させることも可能です。 装置で L2 ループの発生が確認された場合は、下記のように L2 ループ検知機能に関連する運用コマンドに てループの状態などを装置ごとに参照することができます。 あとはこれらの情報とネットワークの構成図、実際の配線状況をそれぞれ確認しながら、どこがループ状態に 陥っているかを調べていきます。 L2 ループ発生!((1)L2 ループ状態の検知) ・メッセージログ ・SNMP トラップ (2)ループ部位の特定 ・show logging (ログメッセージの確認) ・show loop-detection (ループ状態の確認) ループ要因の判定(回線接続ミス? or 設定ミス?) 障害要因が接続ミスの場合 ケーブル抜去 障害要因が設定ミスの場合 コンフィグ、構成の確認 コンフィグ修正 等 (3)閉塞ポートの復旧と状態のクリア ・show port (ポート状態の確認) activate (ポート閉塞状態の解除) ・show loop-detection (ループ状態の確認) ・show loop-detection 「Down(loop)」ステータスのクリア(*1) (*1) ポートが L2 ループ検出時閉塞の設定(send-inact-port)であり、 ループ状態解除後リンク先が無い場合。 図 2.4-1 L2 ループ検知機能に関する運用(トラブルシュート)手順 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 16 AX シリーズ L2 ループ対策ガイド(初版) (1) メッセージログ、show logging と SNMP トラップによる L2 ループ状態の検知 L2 ループを検知した場合、およびそれによりポート閉塞された場合下記のメッセージログが表示jされます。 これらのログは show logging コマンドによるログメッセージ履歴ででも確認できます。 表示例 E1>sh logging : EVT 06/26 17:19:57 E4 VLAN 20800001 0700:000000000000 L2LD : Port(0/24): inactivated because of loop …ポート 0/24 を送信元とする L2 ループを検知のためポート 0/24 を inactivate detection from port(0/24). EVT 06/26 17:19:57 E4 VLAN 20800005 0700:000000000000 L2LD : Port(0/1): loop detection from …ポート 0/1 にて送信元ポート 0/24 との L2 ループを検出 port(0/24). : ログメッセージの詳細については、「ソフトウェアマニュアル - メッセージ・ログレファレンス」 を参照下さい。 また SNMP トラップの設定があれば、SNMP マネージャへトラップ通知することも可能です。L2 ループ検知機 能でサポートする SNMP トラップの内容は下記の通りです。 表 2.4-1L2 ループ検知機能でサポートする SNMP トラップ 種類 axsL2ldLinkDown axsL2ldLinkUp axsL2ldLoopDetection 意味 L2 ループ検知により 回線が通信不可状態へ 遷移 L2 ループ検知の自動復旧 機能により回線が通信可 能状態へ遷移 L2 ループを検知 発行契機 L2 ループ検知によりインタフェースの動作状態が ACTIVE(通信可能状態)から DISABLE(通信不可 状態)に変化したとき。 L2 ループ検知の自動復旧機能によりインタフェー スの動作状態が DISABLE(通信不可状態)から ACTIVE(通信可能状態)に変化したとき。 L2 ループを検知したとき。 L2 ループの状態が継続している場合 60 秒ごとに 通知します。 MIB 情報に関するその他詳細については、各装置マニュアルの「ソフトウェアマニュアル - MIB レファレン ス」を参照ください。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 17 AX シリーズ L2 ループ対策ガイド(初版) (2) show loop-detection コマンドによるループ部位の特定 L2 ループの状態確認は、主に show loop-detection コマンドで確認することとなります。 show loop-detecrion コマンド実行時の表示例 E1> sh loop-detection Date 2008/06/26 17:43:54 UTC …コマンドの実行日時 Interval Time :1 …L2 ループ検知フレームの発行間隔 Output Rate :30pps …出力送信レート …ループ検出と見なす受信 L2 ループ検知フレーム数 Threshold :1 …受信 L2 ループ検知フレーム保護時間 Hold Time :infinity …閉塞時回線自動復旧時間 Auto Restore Time :VLAN Port Counts L2 ループ検知フレーム送信設定済の VLAN ポート数 Configuration :22 Capacity :30 Port Information L2 ループ検知フレーム送信設定の可能な VLAN ポート数 Port Status Type DetectCnt RestoringTimer SourcePort Vlan 0/1 Up uplink - 0/24 12 0/2 Up uplink - 0/3 Down trap 0 - 0/4 Down trap 0 - 0/5 Down send-inact 0 - 0/6 Down(loop) send-inact 20 - 0/6 10 0/7 Down send-inact 0 - ポート ポート ポート 現在の 自動復旧まで 検知元送信 送信元 番号 状態 種別 検出回数 の時間 ポート VLAN ID 実際のループのパターン別に表示結果がどのように見えるか、例を以下に示します。 (a)自装置内別ポートでのループ 下図のように、 ・自装置のポート同士を接続しループを構成した場合 ・自装置以下の装置(HUB 等)と自装置の別のポート間でループを構成した場合 ・自装置以下の装置(HUB 等)間でループを構成した場合 0/5 0/6 ・自装置ポート同士を接続 0/5 0/5 0/6 ・自以下装置と 自装置他ポートを接続 0/6 ・自以下装置間を接続 この場合、show loop-detection コマンドではいずれも下記のような表示となります。 >show loop-detecition : Port Information Port Status Type DetectCnt RestoringTimer 0/5 Down(loop) send-inact 1 : 0/6 Down(loop) send-inact 1 - SourcePort 0/6 0/5 Vlan 10 10 送信元ポートが 0/6 の L2 ループ検知フレームを、ポート 0/5 で受信したことにより、ポート 0/5 が inact 状態に、 また送信元ポートが 0/5 の L2 ループ検知フレームを、ポート 0/6 で受信したことにより、ポート 0/6 が inact 状態 になっていることを示しています。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 18 AX シリーズ L2 ループ対策ガイド(初版) (b)自装置内同一ポートでのループ 下図のように、自装置以下の装置(HUB 等)内でループを構成した場合。 0/5 ・自以下装置ポート 同士を接続 この場合、show loop-detection コマンドでは下記のような表示となります。 >show loop-detecition : Port Information Port Status Type 0/5 Down(loop) send-inact DetectCnt RestoringTimer 1 - SourcePort 0/5 Vlan 10 送信元ポートが 0/5 の L2 ループ検知フレームをポート 0/5 自身で受信したことにより、inact 状態に遷移して いることを示しています。 (c)他装置間(上流ネットワーク経由)とのループ 下図のように、 ・同一セグメントの上流ネットワークで接続される自装置と他装置間でループを構成した場合 ・同一セグメントの上流ネットワークで接続される自装置以下の装置(HUB 等)と他装置間でループを構成 した場合 ・同一セグメントの上流ネットワークで接続される自装置以下の装置(HUB 等)と他装置以下の装置(HUB 等)間でループを構成した場合 0/1 0/5 ・自装置と他装置間を接続 0/1 0/1 0/5 0/5 ・自以下装置と他装置を接続 ・自以下装置と他装置以下の 装置間を接続 この場合、show loop-detection コマンドではいずれも下記のような表示となります。 (ポート 0/1 が uplink 設定されている場合) >show loop-detecition : Port Information Port Status Type 0/1 Up uplink 0/5 Down(loop) send-inact DetectCnt RestoringTimer 1 - SourcePort 0/5 0/1(U) Vlan 10 10 送信元ポートが 0/5 の L2 ループ検知フレームをアップリンクポートであるポート 0/1 で受信したことにより、送 信元ポートであるポート 0/5 が inact 状態に遷移していることを示しています。 以上のように、これら運用コマンドのメッセージにより、ネットワーク構成図と突き合わせながら、どことどこのポ ートがループ状態に陥っているかを調べることが可能です。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 19 AX シリーズ L2 ループ対策ガイド(初版) (3) 閉塞ポートの復旧(activate)およびループ状態表示のクリア ポートの L2 ループ状態を対策後、閉塞したポートの復旧と、ループ状態表示のクリア確認を行います。下記 の手順を参照ください。 (i) 閉塞したポートの復旧 show port コマンドにて、閉塞したポートが inact であることを確認した上でそのポートを activate します。(*1) (ii) ループ状態表示の確認 show loop-deteciton コマンドを実行し、 (a) activate したポートにリンク先がある場合、該当ポートのステータス表示が「Up」となりリンクアップしたこと を確認します。 (b) activate したポートにリンク先がない場合はリンクアップ状態とならないため、show loop-detection コマンド を実行しても該当のポートには Down(loop)ステータスが残ったままとなります。このステータス表示をクリ ア(「Down」ステータス表示に変更)するには下記の 2 つの方法があります。(*2) 方法 1:特定ポートのみのステータスをクリアする場合は、コンフィグで該当ポートの send-inact-port 指定 を一時的に解除します。(no loop-detection send-inact-port を一旦設定後、再度 loop-detection send-inact-port 設定する。) 方法 2:装置全体のステータスをクリアする場合は、コンフィグで L2 ループ検知機能そのものを設定しな おします。(no loop-detection enable を一旦設定後、再度 loop-detection enable 設定する。) いずれかの方法でステータスのクリア作業をおこなった場合は再度 show loop-detection コマンドを実行 し、該当ポートが「Down」となったことを確認します。 (*1) コンフィグであらかじめ一定時間経過後に自動的に該当ポートの activate を行う設定(loop-detection auto-restore-time) にしておくことも可能です。この場合は L2 ループの検知後に設定時間が経過すると該当ポートが自動的に activate さ れます。但し、L2 ループ状態が継続中であっても activate 動作がおこなわれますので、ループ状態が解消されていな い場合は activate 後再び L2 ループ状態を検知することとなります。 (*2) 特定ポートのステータスクリアの場合、show loop-detection statistics で表示する(そのポートに対する)統計情報は残り ます。装置全体のステータスクリアの場合は show loop-detection statistics での統計情報も全てクリアされます。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 20 AX シリーズ L2 ループ対策ガイド(初版) 2.5 その他の運用コマンドについて L2 ループ検知機能に関するその他の運用コマンドについて解説します。 運用コマンドの詳細については、各装置マニュアルの「ソフトウェアマニュアル - 運用コマンドレファレンス Vol.1」を参照ください。 (1) show loop-detection logging L2 ループ検知機能による L2 ループ検出の履歴を確認できます。 表示例 E1> sh loop-detection logging …コマンドの実行日時 Date 2008/06/26 17:44:02 UTC 2008/06/26 17:19:57 0/1 Source: 0/24 Vlan: 12 2008/06/26 17:19:57 0/1 Source: 0/24 Vlan: 11 2008/06/26 17:19:57 0/1 Source: 0/24 Vlan: 10 2008/06/26 17:18:32 0/1 Source: 0/24 Vlan: 12 2008/06/26 17:18:32 0/1 Source: 0/24 Vlan: 11 2008/06/26 17:18:32 0/1 Source: 0/24 Vlan: 10 2008/06/26 17:08:04 0/23 Source: 0/24 Vlan: 10 L2 ループ検知時刻 検知受信 検知元送信 ポート番号 ポート 送信元 VLAN ID Uplink Uplink Uplink Inactive Uplink Uplink Uplink Inactive ① アップリンク inactive ポート表示 遷移したか 例えば上記①では、2008/06/26 17:19:57 にアップリンクポートであるポート 0/1 にて、送信元ポート 0/23 VLAN10-12 からの L2 ループ検知フレームを受信し、これにより送信元ポート 0/23 が inactivate になっていた 事を示します。 (2) show loop-detection statistics L2 ループ検知に関する統計情報を確認できます。 表示例 E1> sh loop-detection statistics Date 2008/06/26 17:44:19 UTC …コマンドの実行日時 Port:0/1 Up …① Type :uplink …② TxFrame : …③ 0 RxFrame Inactive Count: …⑤ 0 RxDiscard Last Inactive : …⑦ - Last RxFrame Port:0/2 Up Type :uplink TxFrame : 0 RxFrame Inactive Count: 0 RxDiscard Last Inactive : - Last RxFrame Port:0/5 Down Type :send-inact TxFrame : 0 RxFrame Inactive Count: 0 RxDiscard Last Inactive : - Last RxFrame Port:0/6 Down(loop) Type :send-inact TxFrame : 5538 RxFrame Inactive Count: 15 RxDiscard Last Inactive : 2008/06/26 14:39:05 Last RxFrame : : 40 : 0 : 2008/06/26 17:19:57 : : : 0 0 - : : : 0 0 - …④ …⑥ …⑧ : 258 : 0 : 2008/06/26 14:39:05 ①ポート番号と状態 ②ポート種別 ③TxFrame: L2 ループ検知フレーム送信数 ④RxFrame: L2 ループ検知フレーム受信数 ⑤Inactive Count: inactive 状態になった回数 ⑥RxDiscard: L2 ループ検知フレーム受信廃棄数 ⑦Last Inactive: 最後に inactive 状態にした時間 ⑧Last RxFrame: 最後に L2 ループ検知フレームを 受信した時間 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 21 AX シリーズ L2 ループ対策ガイド(初版) 3. 制限事項および注意事項 3.1 Auto MDI/MDI-X 抑止に関して 本機能はオートネゴシエーション時に有効となります。 インタフェースが 1000BASE-X の場合、および media-type が sfp の場合は本機能の設定は無効となります。 インタフェースが 10GBASE-R の場合の場合は本機能の設定はできません。 3.2 L2 ループ検知機能に関して (1) AX67000S/6300S シリーズでの注意事項 (a)動作可能装置数 L2 ループ検知機能を設定する同一 L2 セグメント内で本機能が動作可能な装置台数は,AX6700S シリーズ と AX6300S シリーズの合計で 64 台までになります。但し AX3600S、AX2400S、AX1200S シリーズについては この制限はありません。 (b) 物理ポート数の収容条件 L2 ループ検知機能運用時の物理ポート数の収容条件を次の表に示します。 表 3.2-1 NIF 略称 NK1G-24T NK1G-24S NK10G-4RX NK10G-8RX AX6700S シリーズ 物理ポートの収容条件 使用可能な物理ポート数(*1) すべてのポート すべてのポート BSU1 枚の場合,2 ポートまで BSU2 枚以上(ダブルアクト以上)の場合,すべてのポート(*2) BSU1 枚の場合,2 ポートまで BSU2 枚(ダブルアクト)の場合,4 ポートまで(*3) BSU3 枚(トリプルアクト)の場合,6 ポートまで(*4)(*5) (*1) 収容条件を超える物理ポートを使用した場合、常時または一時的に高負荷のトラフィックが流れると L2 ループ検知 フレームが廃棄されるおそれがあります。廃棄されることでループ障害の検知が遅れる場合があります。 (*2) BSU の冗長性を確保したい場合は,BSU を 3 枚(トリプルアクト)で運用してください。 (*3) ポート番号が 1~4、3~6、または 5~8 のどれかの範囲で使用してください。 (*4) ポート番号が 1~6、または 3~8 のどちらかの範囲で使用してください。 (*5) BSU の冗長性を確保したい場合は使用する物理ポートを 4 ポートまでで運用してください。ただし、ポート番号が 1~4、3~6、または 5~8 のどれかの範囲で使用してください。 表 3.2-2 AX6300S シリーズ 物理ポートの収容条件 NIF 略称 NH1G-16S NH1G-24T NH1G-24S NH1G-48T NH10G-1RX NH10G-4RX NH10G-8RX 使用可能な物理ポート数(*1) 先頭から 4 ポートごとに 1 ポート,合計 4 ポートまで 12 ポートまで 12 ポートまで 先頭から 4 ポートごとに 1 ポート,合計 12 ポートまで すべてのポート 1 ポートだけ 1 ポートだけ (*1) 収容条件を超える物理ポートを使用した場合,常時または一時的に高負荷のトラフィックが流れると,L2 ループ検 知フレームが廃棄されるおそれがあります。廃棄されることでループ障害の検知が遅れる場合があります。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 22 AX シリーズ L2 ループ対策ガイド(初版) (2) show loop-detection コマンドのステータス表示について show loop-detection コマンドでは、ポートのリンクステータスが変化する際に表示内容を更新します。 例えば、ループ検出で一旦 Down(loop)状態となったポートに対しては、ループ状態解消後ポートを activate しても、そのポートが再度リンクアップしない限り、Down(loop)ステータス表示は変わりません。 但し loop-detection auto-restore-time コマンドで一定時間後のポート自動 active を有効にした場合は、L2 ル ープ検知後、設定時間経過までにリンク先が無い状態で L2 ループ状態が解消されると Down ステータス表示 となります。 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 23 AX シリーズ L2 ループ対策ガイド(初版) 付録: コンフィグレーションファイル 本ガイドにて紹介した構成のコンフィグレーション例です。 2 章の各ネットワーク構成における各装置の全コンフィグレーションについて、テキスト形式のファイルとして 本ファイルに添付しております。(添付ファイルを抽出するには、Adobe Acrobat 5.0 以降もしくは Adobe Reader 6.0 以降が必要です。) 各コンフィグレーションについては、以下に示すファイル名と同じ名前の添付ファイルを参照下さい。 2. L2 ループ検知機能の基本的な使用例 2.1. アクセススイッチ構成例 アクセスエッジスイッチ 装置名と対象装置 E1 Copyright © 2008, ALAXALA Networks Corporation. All rights reserved. 対象ファイル 2-1_L2LD_E1.txt 24 2008 年 7 月 17 日 初版発行 アラクサラネットワークス株式会社 ネットワークテクニカルサポート 〒212-0058 川崎市幸区鹿島田 890 番地 新川崎三井ビル西棟 http://www.alaxala.com/