Comments
Transcript
www.edge-core.com ES3528M ES3552M ファースト イーサネット
ES3528M ES3552M フ ァ ース ト イ ーサネ ッ ト スイ ッチ www.edge-core.com マネジ メ ン ト ガ イ ド フ ァ ース ト イ ーサネ ッ ト ス イ ッ チ レ イヤー 2 ワー ク グループ ス イ ッ チ 10/100BASE-T (RJ-45) ポー ト × 24/48、 ギガ ビ ッ ト コ ンボ ポー ト (RJ-45/SFP) × 4 ES3528M ES3552M E092006-MT-R01 149100010700H 目 次 第1章: は じ めに 1-1 主要機能 1-1 ソ フ ト ウ ェ ア機能の説明 1-2 シ ス テム デ フ ォル ト 1-5 第2章: 初期構成 2-1 ス イ ッ チへの接続 2-1 構成オプ シ ョ ン 2-1 必要な接続 2-2 リ モー ト 接続 2-2 2-3 基本構成 コ ン ソ ール接続 2-3 パスワー ド の設定 2-3 IP ア ド レ スの設定 2-4 手動構成 2-4 動的構成 2-5 SNMP 管理ア ク セ スの有効化 2-6 コ ミ ュ ニテ ィ ス ト リ ング (SNMP バージ ョ ン 1 および 2c ク ラ イ ア ン ト 用) 2-6 ト ラ ッ プ レ シーバ 2-7 SNMP バージ ョ ン 3 ク ラ イ ア ン ト に よ る ア ク セ スの構成 2-8 コ ン フ ィ ギ ュ レーシ ョ ン設定の保存 シ ス テム フ ァ イルの管理 第3章: ス イ ッ チの構成 2-8 2-9 3-1 ウ ェ ブ イ ン タ ー フ ェ ースの使用 3-1 ウ ェ ブ ブ ラ ウザ イ ン タ ー フ ェ ースのナ ビゲーシ ョ ン 3-2 ホーム ページ 3-2 構成オプ シ ョ ン 3-3 パネル表示 3-3 メ イ ン メ ニュー 3-4 基本構成 3-10 シ ス テム情報の表示 3-10 ス イ ッ チのハー ド ウ ェ ア / ソ フ ト ウ ェ ア バージ ョ ンの表示 3-11 ブ リ ッ ジ拡張機能の表示 3-13 i 目次 ス イ ッ チの IP ア ド レ スの設定 3-15 DHCP/BOOTP の使用 3-16 ジ ャ ンボ フ レームの有効化 3-17 フ ァ ームウ ェ アの管理 サーバーから のシ ス テム ソ フ ト ウ ェ アのダウ ン ロー ド コ ン フ ィ ギ ュ レーシ ョ ン設定の保存ま たは復元 サーバーから の コ ン フ ィ ギ ュ レーシ ョ ン設定のダウ ン ロー ド 3-17 3-18 3-20 3-21 コ ン ソ ール ポー ト 設定 3-22 Telnet 設定 3-24 イ ベ ン ト ロギン グの構成 3-26 ロ グ メ ッ セージの表示 3-26 シ ス テム ロ グの構成 3-26 リ モー ト ロ グの構成 3-28 簡易 メ ール転送プ ロ ト コ ル 3-29 シ ス テムの リ セ ッ ト 3-31 シ ス テム ク ロ ッ ク の設定 3-31 SNTP の構成 タ イ ム ゾーンの設定 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 3-32 3-32 3-33 コ ミ ュ ニ テ ィ ア ク セス ス ト リ ン グの設定 3-34 ト ラ ッ プ マネージ ャ お よび ト ラ ッ プ タ イ プの指定 3-35 SNMP エージ ェ ン ト ス テー タ スの有効化 3-36 SNMPv3 管理ア ク セスの構成 3-36 ロー カル エ ン ジ ン ID の設定 3-36 リ モー ト エ ン ジ ン ID の指定 3-37 SNMPv3 ユーザーの構成 3-38 リ モー ト SNMPv3 ユーザーの構成 3-40 SNMPv3 グループの構成 3-41 SNMPv3 ビ ュ ーの設定 3-44 ユーザー認証 3-46 ユーザー ア カ ウ ン ト の構成 3-46 ロー カル / リ モー ト ロ グオ ン認証の構成 3-48 HTTPS の構成 3-50 デ フ ォル ト のセキ ュ アサイ ト 証明書の置換 ii 3-14 手動構成 3-51 セキ ュ ア シ ェ ルの構成 3-52 SSH サーバーの構成 3-54 ホス ト キー ペアの生成 3-55 目次 ポー ト セキ ュ リ テ ィ の構成 3-57 802.1X ポー ト 認証の構成 3-58 802.1X グ ローバル設定の表示 3-59 802.1X グ ローバル設定の構成 3-60 802.1X のポー ト 設定の構成 3-61 802.1X 統計情報の表示 3-64 ア ク セス制御 リ ス ト ア ク セ ス制御 リ ス ト の構成 3-65 3-65 ACL の名前お よび タ イ プの設定 3-66 標準 IP ACL の構成 3-67 拡張 IP ACL の構成 3-68 MAC ACL の構成 3-70 ア ク セ ス制御 リ ス ト へのポー ト のバイ ン ド 3-71 管理ア ク セス用の IP ア ド レ スのフ ィ ル タ リ ン グ 3-72 ポー ト の構成 3-74 接続ス テー タ スの表示 3-74 イ ン タ ー フ ェ ース接続の構成 3-77 ト ラ ン ク グループの作成 3-79 ト ラ ン ク の静的構成 3-80 選択 し たポー ト での LACP の有効化 3-81 LACP パラ メ ー タ の構成 3-83 LACP ポー ト カ ウ ン タ の表示 3-85 ロー カル側の LACP 設定 と ス テー タ スの表示 3-87 リ モー ト 側の LACP 設定 と ス テー タ スの表示 3-89 ブ ロー ド キ ャ ス ト ス ト ーム し き い値の設定 3-90 ポー ト ミ ラ ー リ ン グの構成 3-92 レー ト リ ミ ッ ト の構成 3-93 レー ト リ ミ ッ ト の構成 3-93 ポー ト 統計情報の表示 3-94 ア ド レ ス テーブルの設定 3-98 ス タ テ ィ ッ ク ア ド レ スの設定 3-98 ア ド レ ス テーブルの表示 3-99 エージ ン グ タ イ ムの変更 3-100 スパニ ン グ ツ リ ー アルゴ リ ズムの構成 3-101 グ ローバル設定の表示 3-102 グ ローバル設定の構成 3-104 イ ン タ ー フ ェ ース設定の表示 3-108 イ ン タ ー フ ェ ース設定の構成 3-111 iii 目次 マルチ プル スパニ ン グ ツ リ ーの構成 3-113 MSTP のイ ン タ ー フ ェ ース設定の表示 3-116 MSTP のイ ン タ ー フ ェ ース設定の構成 3-117 VLAN の構成 IEEE 802.1Q VLAN VLAN へのポー ト の割当て 3-120 タ グ付き / タ グな し フ レームの転送 3-121 GVRP の有効化または無効化 (グ ローバル設定) 3-122 VLAN 基本情報の表示 3-122 現在の VLAN の表示 3-123 VLAN の構築 3-125 VLAN へのス タ テ ィ ッ ク メ ンバーの追加 (VLAN イ ンデ ッ ク ス) 3-126 VLAN へのス タ テ ィ ッ ク メ ンバーの追加 (ポー ト イ ンデ ッ ク ス) 3-128 イ ン タ ー フ ェ ースの VLAN 動作の構成 3-129 プ ラ イ ベー ト VLAN 3-131 現在のプ ラ イ ベー ト VLAN の表示 3-132 プ ラ イ ベー ト VLAN の構成 3-133 VLAN の関連付け 3-134 プ ラ イ ベー ト VLAN イ ン タ ー フ ェ ース情報の表示 3-135 プ ラ イ ベー ト VLAN イ ン タ ー フ ェ ースの構成 3-136 プ ロ ト コ ル VLAN 3-137 プ ロ ト コ ル VLAN グループの構成 3-137 プ ロ ト コ ル VLAN イ ン タ ー フ ェ ースの構成 3-138 サービ ス ク ラ スの構成 レ イ ヤー 2 キ ュ ーの設定 3-139 3-139 イ ン タ ー フ ェ ースのデ フ ォル ト プ ラ イ オ リ テ ィ の設定 3-139 イ グ レ ス キ ュ ーへの CoS 値のマ ッ ピ ン グ 3-140 CoS の有効化 3-142 キ ュ ー モー ド の選択 3-142 ト ラ フ ィ ッ ク ク ラ スのサービ スの重みの設定 3-143 レ イ ヤー 3/4 プ ラ イ オ リ テ ィ の設定 3-144 CoS 値へのレ イ ヤー 3/4 プ ラ イ オ リ テ ィ のマ ッ ピ ン グ 3-144 IP DSCP プ ラ イ オ リ テ ィ の有効化 3-144 DSCP プ ラ イ オ リ テ ィ のマ ッ ピ ン グ 3-145 サービ ス品質 サービ ス品質パラ メ ー タ の構成 iv 3-119 3-119 3-147 3-147 ク ラ ス マ ッ プの構成 3-148 QoS ポ リ シーの作成 3-150 目次 イ ン グ レ ス キ ュ ーへのポ リ シー マ ッ プの割当て マルチキ ャ ス ト フ ィ ル タ リ ン グ レ イ ヤー 2 IGMP (ス ヌ ーピ ン グおよび ク エ リ ー) 3-153 3-154 3-154 IGMP ス ヌ ーピ ン グおよび ク エ リ ー パラ メ ー タ の構成 3-155 IGMP 即時 リ ーブの有効化 3-157 マルチキ ャ ス ト ルー タ に接続 さ れた イ ン タ ー フ ェ ースの表示 3-157 マルチキ ャ ス ト ルー タ のス タ テ ィ ッ ク イ ン タ ー フ ェ ースの指定 3-158 マルチキ ャ ス ト サービ スのポー ト メ ンバーの表示 3-159 マルチキ ャ ス ト サービ スへのポー ト の割当て 3-160 マルチキ ャ ス ト VLAN 登録 3-162 グ ローバルな MVR 設定の構成 3-163 MVR イ ン タ ー フ ェ ース ス テー タ スの表示 3-164 マルチキ ャ ス ト グループのポー ト メ ンバーの表示 3-165 MVR イ ン タ ー フ ェ ース ス テー タ スの構成 3-166 イ ン タ ー フ ェ ースへのス タ テ ィ ッ ク マルチキ ャ ス ト グループの割当て 3-167 DHCP ス ヌ ーピ ン グ 3-168 DHCP ス ヌ ーピ ン グの構成 3-169 VLAN での DHCP ス ヌ ーピ ン グの構成 3-170 DHCP ス ヌ ーピ ン グ情報オプ シ ョ ンの構成 3-171 ポー ト での DHCP ス ヌ ーピ ン グの構成 3-172 DHCP ス ヌ ーピ ン グ バイ ンデ ィ ン グ情報 IP ソ ース ガー ド 3-172 3-173 ポー ト の IP ソ ース ガー ド の構成 3-173 ス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グの構成 3-175 ダ イ ナ ミ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グ情報 3-176 スイ ッ チ ク ラ ス タ リ ング 3-177 ク ラ ス タ の構成 3-177 ク ラ ス タ メ ンバーの構成 3-178 ク ラ ス タ メ ンバー情報 3-179 ク ラ ス タ 候補情報 3-179 第4章: コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド ラ イ ン イ ン タ ー フ ェ ースの使用 CLI へのア ク セ ス 4-1 4-1 4-1 コ ン ソ ール接続 4-1 Telnet 接続 4-1 コ マ ン ド の入力 4-3 キーワー ド お よび引数 4-3 v 目次 コ マ ン ド の省略入力 4-3 コ マ ン ド の入力補完 4-3 コ マ ン ド のヘルプの使用 4-3 コ マ ン ド の表示 4-4 部分キーワー ド 検索 4-5 コ マ ン ド の無効化 4-5 コ マ ン ド 履歴の使用 4-5 コ マ ン ド モー ド について 4-5 Exec コ マ ン ド 4-6 コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド 4-6 コ マ ン ド ラ イ ン処理 コ マ ン ド グループ ラ イン コマン ド line 4-10 4-11 login 4-11 password 4-12 timeout login response 4-13 exec-timeout 4-14 password-thresh 4-14 silent-time 4-15 databits 4-15 parity 4-16 speed 4-17 stopbits 4-17 disconnect 4-18 show line 4-18 一般 コ マ ン ド enable 4-19 4-19 disable 4-20 configure 4-21 show history 4-21 reload 4-22 end 4-22 exit 4-23 quit 4-23 シ ス テム管理 コ マ ン ド デバイ ス指定 コ マ ン ド prompt vi 4-8 4-9 4-24 4-24 4-24 目次 hostname ユーザー ア ク セ ス コ マ ン ド username 4-25 4-25 4-26 enable password 4-27 IP フ ィ ル タ コ マ ン ド management 4-28 4-28 show management 4-29 ウ ェ ブ サーバー コ マ ン ド ip http port 4-30 4-30 ip http server 4-30 ip http secure-server 4-31 ip http secure-port 4-32 Telnet サーバー コ マ ン ド ip telnet port ip telnet server セキ ュ ア シ ェ ル コ マ ン ド ip ssh server 4-33 4-33 4-33 4-34 4-36 ip ssh timeout 4-37 ip ssh authentication-retries 4-37 ip ssh server-key size 4-38 delete public-key 4-38 ip ssh crypto host-key generate 4-39 ip ssh crypto zeroize 4-40 ip ssh save host-key 4-40 show ip ssh 4-41 show ssh 4-41 show public-key 4-42 イ ベ ン ト ロギン グ コ マ ン ド logging on 4-43 4-44 logging history 4-44 logging host 4-45 logging facility 4-46 logging trap 4-46 clear logging 4-47 show logging 4-48 show log SMTP ア ラ ー ト コ マ ン ド logging sendmail host 4-49 4-50 4-50 vii 目次 logging sendmail level 4-52 logging sendmail destination-email 4-52 logging sendmail 4-53 show logging sendmail 4-53 タ イム コ マン ド sntp client 4-54 4-54 sntp server 4-55 sntp poll 4-56 show sntp 4-56 clock timezone 4-57 calendar set 4-57 show calendar シ ス テム ス テー タ ス コ マ ン ド show startup-config 4-58 4-59 4-59 show running-config 4-60 show system 4-63 show users 4-63 show version 4-64 フ レーム サイ ズ コ マ ン ド jumbo frame 4-65 4-65 フ ラ ッ シ ュ / フ ァ イル コ マ ン ド copy 4-66 4-66 delete 4-69 dir 4-70 whichboot 4-71 boot system 4-71 認証 コ マ ン ド 認証シーケ ン ス authentication login authentication enable RADIUS ク ラ イ ア ン ト radius-server host viii 4-51 logging sendmail source-email 4-72 4-72 4-72 4-73 4-74 4-75 radius-server port 4-75 radius-server key 4-76 radius-server retransmit 4-76 radius-server timeout 4-77 show radius-server 4-77 目次 TACACS+ ク ラ イ ア ン ト tacacs-server host tacacs-server port 4-78 4-78 4-78 tacacs-server key 4-79 show tacacs-server 4-79 ポー ト セキ ュ リ テ ィ コ マ ン ド port security 4-80 4-80 802.1X ポー ト 認証 dot1x system-auth-control 4-81 4-82 dot1x default 4-82 dot1x max-req 4-83 dot1x port-control 4-83 dot1x operation-mode 4-84 dot1x re-authenticate 4-84 dot1x re-authentication 4-85 dot1x timeout quiet-period 4-85 dot1x timeout re-authperiod 4-86 dot1x timeout tx-period 4-86 show dot1x 4-87 ア ク セス制御 リ ス ト コ マ ン ド IP ACL access-list ip 4-90 4-91 4-91 permit、 deny (標準 ACL) 4-92 permit、 deny (拡張 ACL) show ip access-list 4-92 4-94 ip access-group 4-94 show ip access-group 4-95 MAC ACL access-list mac 4-95 4-96 permit, deny (MAC ACL) 4-96 show mac access-list 4-98 mac access-group 4-98 show mac access-group 4-99 ACL 情報 show access-list show access-group SNMP コ マ ン ド snmp-server 4-99 4-99 4-100 4-100 4-101 ix 目次 show snmp 4-101 snmp-server community 4-102 snmp-server contact 4-103 snmp-server location 4-103 snmp-server host 4-104 snmp-server enable traps 4-106 snmp-server engine-id 4-107 show snmp engine-id 4-108 snmp-server view 4-108 show snmp view 4-109 snmp-server group 4-110 show snmp group 4-111 snmp-server user 4-112 show snmp user 4-113 イ ン タ ー フ ェ ース コ マ ン ド interface x 4-114 4-115 description 4-115 speed-duplex 4-116 negotiation 4-117 capabilities 4-117 flowcontrol 4-118 shutdown 4-119 switchport broadcast packet-rate 4-120 clear counters 4-120 show interfaces status 4-121 show interfaces counters 4-122 show interfaces switchport 4-123 ミ ラ ー ポー ト コ マ ン ド port monitor 4-125 4-125 show port monitor 4-126 レー ト リ ミ ッ ト コ マ ン ド rate-limit 4-126 4-127 リ ン ク アグ レゲーシ ョ ン コ マ ン ド channel-group 4-128 4-129 lacp 4-129 lacp system-priority 4-131 lacp admin-key (イ ーサネ ッ ト イ ン タ ー フ ェ ース) 4-132 lacp admin-key (ポー ト チ ャ ネル) 4-133 目次 lacp port-priority 4-133 show lacp 4-134 ア ド レ ス テーブル コ マ ン ド mac-address-table static 4-138 4-138 clear mac-address-table dynamic 4-139 show mac-address-table 4-139 mac-address-table aging-time 4-140 show mac-address-table aging-time 4-141 スパニ ン グ ツ リ ー コ マ ン ド spanning-tree spanning-tree mode 4-141 4-142 4-143 spanning-tree forward-time 4-144 spanning-tree hello-time 4-145 spanning-tree max-age 4-145 spanning-tree priority 4-146 spanning-tree pathcost method 4-147 spanning-tree transmission-limit 4-147 spanning-tree mst-configuration 4-148 mst vlan 4-148 mst priority 4-149 name 4-150 revision 4-150 max-hops 4-151 spanning-tree spanning-disabled 4-151 spanning-tree cost 4-152 spanning-tree port-priority 4-153 spanning-tree edge-port 4-153 spanning-tree portfast 4-154 spanning-tree link-type 4-155 spanning-tree mst cost 4-156 spanning-tree mst port-priority 4-157 spanning-tree protocol-migration 4-157 show spanning-tree 4-158 show spanning-tree mst configuration 4-160 VLAN コ マ ン ド GVRP およびブ リ ッ ジ拡張 コ マ ン ド bridge-ext gvrp show bridge-ext 4-160 4-160 4-161 4-161 xi 目次 switchport gvrp 4-162 show gvrp configuration 4-162 garp timer 4-163 show garp timer 4-164 VLAN グループ編集 vlan database 4-165 4-165 vlan VLAN イ ン タ ー フ ェ ース構成 interface vlan 4-167 4-167 switchport mode 4-168 switchport acceptable-frame-types 4-168 switchport ingress-filtering 4-169 switchport native vlan 4-170 switchport allowed vlan 4-170 switchport forbidden vlan 4-171 VLAN 情報表示 show vlan 4-172 4-172 プ ラ イ ベー ト VLAN の構成 private-vlan 4-173 4-174 private vlan association 4-175 switchport mode private-vlan 4-176 switchport private-vlan host-association 4-177 switchport private-vlan isolated 4-177 switchport private-vlan mapping 4-178 show vlan private-vlan 4-178 プ ロ ト コ ルベース VLAN の構成 4-179 protocol-vlan protocol-group (グループ構成) 4-180 protocol-vlan protocol-group (イ ン タ ー フ ェ ース構成) show protocol-vlan protocol-group 4-180 4-181 show interfaces protocol-vlan protocol-group 4-182 プ ラ イオ リ テ ィ コマン ド プ ラ イ オ リ テ ィ コ マ ン ド (レ イ ヤー 2) queue mode xii 4-165 4-183 4-183 4-183 switchport priority default 4-184 queue bandwidth 4-185 queue cos-map 4-186 show queue mode 4-187 show queue bandwidth 4-187 目次 show queue cos-map プ ラ イ オ リ テ ィ コ マ ン ド (レ イ ヤー 3 お よび 4) 4-188 4-188 map ip dscp (グ ローバル コ ン フ ィ ギ ュ レーシ ョ ン) 4-188 map ip dscp (イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン) show map ip dscp 4-189 4-190 QoS (サービ ス品質) コ マ ン ド class-map 4-191 4-192 match 4-193 policy-map 4-194 class 4-194 set 4-195 police 4-196 service-policy 4-197 show class-map 4-197 show policy-map 4-198 show policy-map interface 4-199 マルチキ ャ ス ト フ ィ ル タ リ ン グ コ マ ン ド IGMP ス ヌ ーピ ン グ コ マ ン ド ip igmp snooping 4-199 4-200 4-200 ip igmp snooping vlan static 4-200 ip igmp snooping version 4-201 ip igmp snooping leave-proxy 4-202 ip igmp snooping immediate-leave 4-202 show ip igmp snooping 4-203 show mac-address-table multicast 4-203 IGMP ク エ リ ー コ マ ン ド (レ イヤー 2) ip igmp snooping querier 4-204 4-204 ip igmp snooping query-count 4-205 ip igmp snooping query-interval 4-205 ip igmp snooping query-max-response-time 4-206 ip igmp snooping router-port-expire-time 4-206 ス タ テ ィ ッ ク マルチキ ャ ス ト ルーテ ィ ン グ コ マ ン ド ip igmp snooping vlan mrouter 4-207 4-207 show ip igmp snooping mrouter 4-208 マルチキ ャ ス ト VLAN 登録 コ マ ン ド 4-209 mvr (グ ローバル コ ン フ ィ ギ ュ レーシ ョ ン) 4-209 mvr (イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン) show mvr 4-210 4-212 xiii 目次 IP イ ン タ ー フ ェ ース コ マ ン ド ip address ip default-gateway 4-215 ip dhcp restart 4-216 show ip interface 4-217 show ip redirects 4-217 ping 4-217 IP ソ ース ガー ド コ マ ン ド ip source-guard 4-219 4-219 ip source-guard binding 4-221 show ip source-guard 4-222 show ip source-guard binding 4-222 DHCP ス ヌ ーピ ン グ コ マ ン ド ip dhcp snooping ip dhcp snooping vlan 4-223 4-223 4-225 ip dhcp snooping trust 4-226 ip dhcp snooping verify mac-address 4-227 ip dhcp snooping information option 4-227 ip dhcp snooping information policy 4-228 ip dhcp snooping database flash 4-229 show ip dhcp snooping 4-229 show ip dhcp snooping binding 4-229 スイ ッ チ ク ラス タ コマン ド cluster 4-230 4-230 cluster commander 4-231 cluster ip-pool 4-231 cluster member 4-232 rcommand 4-233 show cluster 4-233 show cluster members 4-233 show cluster candidates 4-234 付録 A : xiv 4-214 4-214 ソ フ ト ウ ェ ア仕様 A -1 ソ フ ト ウ ェ ア機能 A -1 管理機能 A -2 規格 A -3 MIB (管理情報ベース) A -4 目次 付録 B : ト ラ ブルシ ュ ーテ ィ ン グ B -1 管理イ ン タ ー フ ェ ースへのア ク セスに関する問題 B -1 シ ス テム ロ グの使用 B -2 用語集 索 引 xv 目次 xvi 表 表 1-1. 主要機能 1-1 表 1-2. シ ス テム デ フ ォル ト 1-5 表 3-1. 構成オプ シ ョ ン 3-3 表 3-2. メ イ ン メ ニ ュ ー 3-4 表 3-3. ロギン グ レ ベル 3-27 表 3-4. サポー ト さ れてい る通知 メ ッ セージ 3-41 表 3-5. HTTPS のシ ス テム サポー ト 3-51 表 3-6. 802.1X 統計情報 3-64 表 3-7. LACP ポー ト カ ウ ン タ 3-85 表 3-8. LACP 内部 コ ン フ ィ ギ ュ レーシ ョ ン情報 3-87 表 3-9. LACP 隣接機器 コ ン フ ィ ギ ュ レーシ ョ ン情報 3-89 表 3-10. ポー ト 統計情報 表 3-11. イ グ レ ス キ ュ ーへの CoS 値のマ ッ ピ ン グ 3-94 3-140 表 3-12. CoS プ ラ イ オ リ テ ィ レ ベル 3-141 表 3-13. DSCP プ ラ イ オ リ テ ィ 値のマ ッ ピ ン グ 3-145 表 4-1. コ マ ン ド モー ド 4-5 表 4-2. コ ン フ ィ ギ ュ レーシ ョ ン モー ド 4-7 表 4-3. コ マ ン ド ラ イ ン処理 4-8 表 4-4. コ マ ン ド グループ 4-9 表 4-5. ラ イ ン コ マ ン ド 4-10 表 4-6. 一般 コ マ ン ド 4-19 表 4-7. シ ス テム管理 コ マ ン ド 4-24 表 4-8. デバイ ス指定 コ マ ン ド 4-24 表 4-9. ユーザー ア ク セ ス コ マ ン ド 4-25 表 4-10. デ フ ォル ト のロ グ イ ン設定 4-26 表 4-11. IP フ ィ ル タ コ マ ン ド 4-28 表 4-12. ウ ェ ブ サーバー コ マ ン ド 4-30 表 4-13. HTTPS のシ ス テム サポー ト 4-31 表 4-14. Telnet サーバー コ マ ン ド 4-33 表 4-15. SSH コ マ ン ド 4-34 表 4-16. show ssh - フ ィ ール ド の説明 4-41 表 4-17. イ ベ ン ト ロギン グ コ マ ン ド 4-43 表 4-18. ロギン グ レ ベル 4-45 表 4-19. show logging flash/ram - フ ィ ール ド の説明 4-48 表 4-20. show logging trap - フ ィ ール ド の説明 4-49 表 4-21. SMTP ア ラ ー ト コ マ ン ド 4-50 xvii 表 表 4-22. タ イ ム コ マ ン ド 4-54 表 4-23. シ ス テム ス テー タ ス コ マ ン ド 4-59 表 4-24. フ レーム サイ ズ コ マ ン ド 4-65 表 4-25. フ ラ ッ シ ュ / フ ァ イル コ マ ン ド 4-66 表 4-26. フ ァ イル デ ィ レ ク ト リ 情報 4-70 表 4-27. 認証 コ マ ン ド 4-72 表 4-28. 認証シーケ ン ス 4-72 表 4-29. RADIUS ク ラ イ ア ン ト コ マ ン ド 4-74 表 4-30. TACACS コ マ ン ド 4-78 表 4-31. ポー ト セキ ュ リ テ ィ コ マ ン ド 4-80 表 4-32. 802.1X ポー ト 認証 4-81 表 4-33. ア ク セ ス制御 リ ス ト 4-90 表 4-34. IP ACL 4-91 表 4-35. MAC ACL 4-95 表 4-36. ACL 情報 4-99 表 4-37. SNMP コ マ ン ド 4-100 表 4-38. show snmp engine-id - フ ィ ール ド の説明 4-108 表 4-39. show snmp view - フ ィ ール ド の説明 4-110 表 4-40. show snmp group - フ ィ ール ド の説明 4-112 表 4-41. show snmp user - フ ィ ール ド の説明 4-114 表 4-42. イ ン タ ー フ ェ ース コ マ ン ド 4-114 表 4-43. Interfaces Switchport の統計情報 4-124 表 4-44. ミ ラ ー ポー ト コ マ ン ド 4-125 表 4-45. レー ト リ ミ ッ ト コ マ ン ド 4-127 表 4-46. リ ン ク アグ レゲーシ ョ ン コ マ ン ド 4-128 表 4-47. show lacp counters - フ ィ ール ド の説明 4-135 表 4-48. show lacp internal - フ ィ ール ド の説明 4-135 表 4-49. show lacp neighbors - フ ィ ール ド の説明 4-137 表 4-50. show lacp sysid - フ ィ ール ド の説明 4-137 表 4-51. ア ド レ ス テーブル コ マ ン ド 4-138 表 4-52. スパニ ン グ ツ リ ー コ マ ン ド 4-141 表 4-53. VLAN 4-160 表 4-54. GVRP お よびブ リ ッ ジ拡張 コ マ ン ド 4-161 表 4-55. VLAN グループ編集 4-165 表 4-56. VLAN イ ン タ ー フ ェ ース構成 4-167 表 4-57. VLAN 表示 コ マ ン ド 4-172 表 4-58. プ ラ イ ベー ト VLAN コ マ ン ド 4-173 表 4-59. プ ロ ト コ ルベース VLAN コ マ ン ド 4-179 xviii 表 表 4-60. プ ラ イ オ リ テ ィ コ マ ン ド 4-183 表 4-61. プ ラ イ オ リ テ ィ コ マ ン ド (レ イ ヤー 2) 4-183 表 4-62. イ グ レ ス キ ュ ーに対するデ フ ォ ル ト の CoS 値 4-186 表 4-63. プ ラ イ オ リ テ ィ コ マ ン ド (レ イ ヤー 3 お よび 4) 4-188 表 4-64. IP DSCP の CoS 値へのマ ッ ピ ン グ 4-189 表 4-65. QoS (サービ ス品質) コ マ ン ド 4-191 表 4-66. マルチキ ャ ス ト フ ィ ル タ リ ン グ コ マ ン ド 4-199 表 4-67. IGMP ス ヌ ーピ ン グ コ マ ン ド 4-200 表 4-68. IGMP ク エ リ ー コ マ ン ド (レ イヤー 2) 4-204 表 4-69. ス タ テ ィ ッ ク マルチキ ャ ス ト ルーテ ィ ン グ コ マ ン ド 4-207 表 4-70. マルチキ ャ ス ト VLAN 登録 コ マ ン ド 4-209 表 4-71. show mvr - フ ィ ール ド の説明 4-212 表 4-72. show mvr interface - フ ィ ール ド の説明 4-213 表 4-74. IP イ ン タ ー フ ェ ース コ マ ン ド 4-214 表 4-73. show mvr members - フ ィ ール ド の説明 4-214 表 4-75. IP ソ ース ガー ド コ マ ン ド 4-219 表 4-76. DHCP ス ヌ ーピ ン グ コ マ ン ド 4-223 表 4-77. ス イ ッ チ ク ラ ス タ コ マ ン ド 4-230 表 B -1. ト ラ ブルシ ュ ーテ ィ ン グ一覧表 B -1 xix 表 xx 図 図 3-1. ホーム ページ 図 3-2. パネル表示 3-2 図 3-3. シ ス テム情報 3-10 3-3 図 3-4. ス イ ッ チ情報 3-12 図 3-5. ブ リ ッ ジ拡張 コ ン フ ィ ギ ュ レーシ ョ ン 3-13 図 3-6. 手動に よ る IP の構成 3-15 図 3-7. DHCP に よ る IP の構成 3-16 図 3-8. ブ リ ッ ジ拡張 コ ン フ ィ ギ ュ レーシ ョ ン 3-17 図 3-9. フ ァ ームウ ェ アのコ ピー 3-18 図 3-10. ス タ ー ト ア ッ プ コ ー ド の設定 3-19 図 3-11. フ ァ イルの削除 3-19 図 3-12. ス タ ー ト ア ッ プ用コ ン フ ィ ギ ュ レーシ ョ ン設定のダウ ン ロー ド 3-21 図 3-13. ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン設定の設定 3-21 図 3-14. コ ン ソ ール ポー ト 設定 3-23 図 3-15. Telnet の有効化 3-25 図 3-16. ロ グの表示 3-26 図 3-17. シ ス テム ロ グ 3-27 図 3-18. リ モー ト ロ グ 3-29 図 3-19. SMTP の有効化 と 構成 3-30 図 3-20. シ ス テムの リ セ ッ ト 3-31 図 3-21. SNTP の構成 3-32 図 3-22. シ ス テム ク ロ ッ ク の設定 3-33 図 3-23. SNMP コ ミ ュ ニ テ ィ ス ト リ ン グの構成 3-34 図 3-24. IP ト ラ ッ プ マネージ ャの構成 3-35 図 3-25. SNMP エージ ェ ン ト ス テー タ スの有効化 3-36 図 3-26. エ ン ジ ン ID の設定 3-37 図 3-27. リ モー ト エ ン ジ ン ID の設定 3-37 図 3-28. SNMPv3 ユーザーの構成 3-39 図 3-29. リ モー ト SNMPv3 ユーザーの構成 3-40 図 3-30. SNMPv3 グループの構成 3-44 図 3-31. SNMPv3 ビ ュ ーの構成 3-45 図 3-32. ア ク セ ス レ ベル 3-47 図 3-33. 認証設定 3-49 図 3-34. HTTPS 設定 3-51 図 3-35. SSH サーバー設定 3-54 図 3-36. SSH ホス ト キー設定 3-56 xxi 図 図 3-37. ポー ト セキ ュ リ テ ィ の構成 3-58 図 3-38. 802.1X グ ローバル情報 3-60 図 3-39. 802.1X のグ ローバルな構成 3-60 図 3-40. 802.1X ポー ト の構成 3-62 図 3-41. 802.1X ポー ト 統計情報の表示 3-64 図 3-42. ACL タ イ プの選択 3-66 図 3-43. 標準 IP ACL の構成 3-67 図 3-44. 拡張 IP ACL の構成 3-69 図 3-45. MAC ACL の構成 3-71 図 3-46. ACL と ポー ト のバイ ン ド の構成 3-72 図 3-47. IP フ ィ ル タ リ ス ト の作成 3-73 図 3-48. ポー ト / ト ラ ン ク 情報の表示 3-75 図 3-49. ポー ト / ト ラ ン ク の構成 3-78 図 3-50. ス タ テ ィ ッ ク ト ラ ン ク の構成 3-80 図 3-51. LACP ト ラ ン ク の構成 3-82 図 3-52. LACP ポー ト の構成 3-84 図 3-53. LACP - ポー ト カ ウ ン タ 情報 3-86 図 3-54. LACP - ポー ト 内部情報 3-88 図 3-55. LACP - ポー ト 隣接機器情報 3-89 図 3-56. ポー ト のブ ロー ド キ ャ ス ト 制御 3-91 図 3-57. ミ ラ ー ポー ト の構成 3-92 図 3-58. ポー ト の入力レー ト リ ミ ッ ト の構成 3-93 図 3-59. ポー ト 統計情報 3-97 図 3-60. ス タ テ ィ ッ ク ア ド レ ス テーブルの構成 3-99 図 3-61. ダ イ ナ ミ ッ ク ア ド レ ス テーブルの構成 3-100 図 3-62. ア ド レ スのエージ ン グ タ イ ムの設定 3-101 図 3-63. スパニ ン グ ツ リ ー情報の表示 3-104 図 3-64. スパニ ン グ ツ リ ーの構成 3-107 図 3-65. スパニ ン グ ツ リ ー ポー ト 情報の表示 3-110 図 3-66. 各ポー ト のスパニ ン グ ツ リ ーの構成 3-112 図 3-67. マルチ プル スパニ ン グ ツ リ ーの構成 3-114 図 3-68. MSTP イ ン タ ー フ ェ ース設定の表示 3-116 図 3-69. MSTP イ ン タ ー フ ェ ース設定の表示 3-119 図 3-70. GVRP のグ ローバルな有効化 3-122 図 3-71. VLAN 基本情報の表示 3-123 図 3-72. 現在の VLAN の表示 3-124 図 3-73. VLAN ス タ テ ィ ッ ク リ ス ト の構成 3-126 図 3-74. VLAN ス タ テ ィ ッ ク テーブルの構成 3-128 xxii 図 図 3-75. ポー ト 別 VLAN ス タ テ ィ ッ ク メ ンバーシ ッ プ 3-129 図 3-76. ポー ト ご と の VLAN の構成 3-131 図 3-77. プ ラ イ ベー ト VLAN 情報 3-133 図 3-78. プ ラ イ ベー ト VLAN の構成 3-134 図 3-79. プ ラ イ ベー ト VLAN の関連付け 3-134 図 3-80. プ ラ イ ベー ト VLAN ポー ト 情報 3-135 図 3-81. プ ラ イ ベー ト VLAN ポー ト の構成 3-137 図 3-82. プ ロ ト コ ル VLAN の構成 3-138 図 3-83. ポー ト のプ ロ ト コ ル VLAN の構成 3-138 図 3-84. ポー ト プ ラ イ オ リ テ ィ の構成 3-140 図 3-85. ト ラ フ ィ ッ ク ク ラ ス 3-141 図 3-86. ト ラ フ ィ ッ ク ク ラ スの有効化 3-142 図 3-87. キ ュ ー モー ド 3-143 図 3-88. キ ュ ー スケジ ュ ー リ ン グの構成 3-144 図 3-89. IP DSCP プ ラ イ オ リ テ ィ ス テー タ ス 3-145 図 3-90. IP DSCP プ ラ イ オ リ テ ィ 値のマ ッ ピ ン グ 3-146 図 3-91. ク ラ ス マ ッ プの構成 3-149 図 3-92. ポ リ シー マ ッ プの構成 3-152 図 3-93. サービ ス ポ リ シーの設定 3-153 図 3-94. IGMP の構成 3-156 図 3-95. IGMP 即時 リ ーブ 3-157 図 3-96. マルチキ ャ ス ト ルー タ のポー ト 情報の表示 3-158 図 3-97. マルチキ ャ ス ト ルー タ のス タ テ ィ ッ ク ポー ト の構成 3-159 図 3-98. IP マルチキ ャ ス ト 登録テーブル 3-160 図 3-99. IGMP メ ンバー ポー ト テーブル 3-161 図 3-100. MVR のグ ローバルな構成 3-163 図 3-101. MVR ポー ト 情報 3-164 図 3-102. MVR グループ IP 情報 3-165 図 3-103. MVR ポー ト の構成 3-167 図 3-104. MVR グループ メ ンバーの構成 3-168 図 3-105. DHCP ス ヌ ーピ ン グの構成 3-170 図 3-106. VLAN での DHCP ス ヌ ーピ ン グの構成 3-170 図 3-107. DHCP ス ヌ ーピ ン グ情報オ プ シ ョ ンの構成 3-171 図 3-108. ポー ト での DHCP ス ヌ ーピ ン グの構成 3-172 図 3-109. DHCP ス ヌ ーピ ン グ バイ ンデ ィ ン グ情報 3-173 図 3-110. ポー ト での IP ソ ース ガー ド の構成 3-174 図 3-111. ス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グの構成 3-175 図 3-112. ダ イ ナ ミ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グ情報 3-176 xxiii 図 図 3-113. ク ラ ス タ の構成 3-178 図 3-114. ク ラ ス タ メ ンバーの構成 3-178 図 3-115. ク ラ ス タ メ ンバー情報 3-179 図 3-116. ク ラ ス タ 候補情報 3-180 xxiv 第 1 章 : は じ めに こ のス イ ッ チはレ イ ヤー 2 ス イ ッ チ ン グのための広範な機能を備え ています。 こ れには、 こ のマ ニ ュ アルに記載 さ れてい る機能を構成す る ための管理エージ ェ ン ト が含まれます。 こ の ス イ ッ チに搭載 さ れてい る大部分の機能にはデ フ ォ ル ト の コ ン フ ィ ギ ュ レ ーシ ョ ン を使用で き ます。 ただ し 、 実際のネ ッ ト ワー ク 環境で ス イ ッ チの性能を最大限に引き出すには、 多 く のオプ シ ョ ン を構成する必要があ り ます。 主要機能 表 1-1. 主要機能 機能 説明 コ ン フ ィ ギ ュ レーシ ョ ンの バ ッ ク ア ッ プ と 復元 TFTP サーバーへのバ ッ ク ア ッ プ 認証 コ ン ソ ール、Telnet、ウ ェ ブ – ユーザー名 / パスワー ド 、RADIUS、 TACACS+ ウ ェ ブ – HTTPS、 Telnet – SSH SNMP v1/2c コ ミ ュ ニテ ィ ス ト リ ング SNMP バージ ョ ン 3 – MD5 または SHA パスワー ド ポー ト – IEEE 802.1X、 MAC ア ド レ ス フ ィ ル タ リ ング ア ク セス制御 リ ス ト IP と MAC ACL をサポー ト 、 シ ス テム当た り 100 ルール DHCP ク ラ イ ア ン ト サポー ト DHCP ス ヌ ーピ ング オプ シ ョ ン 82 リ レー情報でサポー ト ポー ト コ ン フ ィ ギ ュ レーシ ョ ン ス ピー ド 、 二重モー ド 、 フ ロー制御 レー ト リ ミ ッ テ ィ ング ポー ト ご と の入力レー ト リ ミ ッ テ ィ ング ポー ト ミ ラ ー リ ング 1 つのポー ト を単一の分析ポー ト に ミ ラ ー リ ン グ ポー ト ト ラ ンキング ス タ テ ィ ッ ク ト ラ ン キ ン グ ま たはダ イ ナ ミ ッ ク ト ラ ン キ ン グ (LACP) を使用 し て最大 8 本の ト ラ ン ク をサポー ト ブ ロー ド キ ャ ス ト ス ト ーム制御 サポー ト スタ テ ィ ッ ク ア ド レス フ ォ ワーデ ィ ング テーブルに最大 8,000 個の MAC ア ド レ ス を 格納 IEEE 802.1D ブ リ ッ ジ ダ イ ナ ミ ッ ク デ ー タ ス イ ッ チ ン グ お よ び ア ド レ ス 学習 を サ ポー ト ス ト ア ア ン ド フ ォ ワー ド (Store-and-Forward) ス イ ッ チ ング サポー ト す る こ と に よ り 、 不良 フ レ ーム を排除 し つつワ イ ヤス ピー ド のス イ ッ チ ング を実現 スパニ ン グ ツ リ ー アルゴ リ ズム 標準 STP および RSTP (高速スパニ ング ツ リ ー) をサポー ト バーチ ャル LAN 最大 255 個の IEEE 802.1Q タ グ VLAN、 ポー ト ベース VLAN、 またはプ ラ イ ベー ト VLAN をサポー ト ト ラ フ ィ ッ ク プ ラ イオリ テ ィ 設定 デ フ ォル ト のポー ト プ ラ イ オ リ テ ィ 、ト ラ フ ィ ッ ク ク ラ ス マ ッ ピ ング、 キ ュ ー スケジ ュ ー リ ングまたは差別化サービ ス コ ー ド ポ イ ン ト (DSCP)、 TCP/UDP ポー ト 1-1 1 は じ めに 表 1-1. 主要機能 機能 説明 サービ ス品質 差別化サービ ス (DiffServ) をサポー ト マルチキ ャ ス ト フ ィ ル タ リ ング IGMP ス ヌ ーピ ング と ク エ リ ー、およびマルチキ ャ ス ト VLAN 登 録をサポー ト ス イ ッ チ ク ラ ス タ リ ング 1 つのク ラ ス タ に最大 36 個の メ ンバー ス イ ッ チ をサポー ト ソ フ ト ウ ェ ア機能の説明 こ のス イ ッ チは高度な性能強化機能を幅広 く 備え ています。 フ ロー制御では、 ポー ト が飽和 状態にな る こ と で引き起 こ さ れる ボ ト ルネ ッ ク に よ るパケ ッ ト の損失を な く す こ と がで き ま す。 ブ ロー ド キ ャ ス ト ス ト ーム抑制機能では、 ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク ス ト ームに よ る ネ ッ ト ワー ク の性能低下を防止で き ます。 ま た、 ポー ト ベース VLAN およびプ ラ イ ベー ト VLAN に加え、 GVRP に よ る VLAN 自動登録がサポー ト さ れる ため、 ト ラ フ ィ ッ ク セキ ュ リ テ ィ が確保 さ れ、 ネ ッ ト ワー ク 帯域を有効利用で き ます。 CoS (サー ビ ス ク ラ ス) プ ラ イ オ リ テ ィ キ ュ ー イ ングでは、リ アル タ イ ム マルチ メ デ ィ ア デー タ を ネ ッ ト ワー ク で転送する際 の遅延を最小限に抑え る こ と がで き ます。 さ ら に、 マルチキ ャ ス ト フ ィ ル タ リ ン グに よ り 、 リ アル タ イ ム ネ ッ ト ワー ク ア プ リ ケーシ ョ ンがサポー ト さ れます。 次に、 い く つかの管理機 能について簡潔に説明 し ます。 コ ン フ ィ ギ ュ レ ーシ ョ ンのバ ッ ク ア ッ プおよび復元 – 現在の コ ン フ ィ ギ ュ レーシ ョ ン設定を TFTP サーバーに保存 し 、後で こ のフ ァ イルを ダウ ン ロー ド し てス イ ッ チの コ ン フ ィ ギ ュ レー シ ョ ン設定を復元する こ と がで き ます。 認証 – こ のス イ ッ チでは、 コ ン ソ ール ポー ト 、 Telnet、 またはウ ェ ブ ブ ラ ウザによ る管理ア ク セ ス を認証で き ます。 ユーザー名 と パスワー ド はロー カ ルに構成する こ と も、 リ モー ト の 認証サーバー (RADIUS や TACACS+ な ど) で照合する こ と も で き ます。 IEEE 802.1X プ ロ ト コルによ るポー ト ベースの認証もサポー ト さ れます。IEEE 802.1X プ ロ ト コルでは、EAPOL (Extensible Authentication Protocol over LAN) によ っ て 802.1X ク ラ イ ア ン ト にユーザー資格 情報を要求 し 、認証サーバーを通 じ て ク ラ イ ア ン ト のネ ッ ト ワー ク ア ク セス権を照合 し ます。 その他の認証オプ シ ョ ン と し て、ウ ェ ブによ る セキ ュ ア管理ア ク セスのための HTTPS、Telnet 相当の接続に よ る セキ ュ ア管理ア ク セスのための SSH、 SNMP/ ウ ェ ブ /Telnet によ る管理ア ク セ スのための IP ア ド レ ス フ ィ ル タ リ ング、 ポー ト ア ク セ スのための MAC ア ド レ ス フ ィ ル タ リ ングな どがあ り ます。 ACL (ア ク セ ス制御 リ ス ト ) – ACL に よ り 、 IP フ レームのパケ ッ ト フ ィ ル タ リ ング (ア ド レ ス、 プ ロ ト コ ル、 または TCP/UDP ポー ト 番号に基づ く )、 または任意のフ レームのパケ ッ ト フ ィ ル タ リ ング (MAC ア ド レ ス またはイ ーサネ ッ ト タ イ プに基づ く ) が提供 さ れます。 ACL を使用する と 、 不要なネ ッ ト ワー ク ト ラ フ ィ ッ ク を ブ ロ ッ ク する こ と で性能を改善で き る だ けで な く 、 特定のネ ッ ト ワー ク リ ソ ースやプ ロ ト コ ルへのア ク セ ス を制限する こ と でセキ ュ リ テ ィ 制御を実装で き ます。 1-2 ソ フ ト ウ ェ ア機能の説明 1 ポー ト コ ン フ ィ ギ ュ レーシ ョ ン – 特定ポー ト で使用 さ れる ス ピー ド 、 二重モー ド 、 フ ロー制 御を手動で構成 し た り 、 自動ネ ゴ シ エーシ ョ ン に よ っ て接続デバイ スの接続設定を検知す る こ と がで き ます。 ス イ ッ チ接続のスループ ッ ト を倍加する ために、 ポー ト はで き る限 り 全二 重モー ド で使用 し て く だ さ い。 ま た、 輻輳時のネ ッ ト ワー ク ト ラ フ ィ ッ ク を制御 し 、 ポー ト バ ッ フ ァ の し き い値超過時のパケ ッ ト の損失を防ぐ ために、 フ ロー制御を有効 し て く だ さ い。 こ のス イ ッ チでは IEEE 802.3x 規格に基づ く フ ロー制御がサポー ト さ れます。 レー ト リ ミ ッ テ ィ ング – こ の機能に よ り 、 イ ン タ ー フ ェ ース で受信 さ れる ト ラ フ ィ ッ クの最 大レ ー ト が制御 さ れます。 ネ ッ ト ワー ク に入る ト ラ フ ィ ッ ク を制限する には、 ネ ッ ト ワー ク エ ッ ジに位置する各イ ン タ ー フ ェ ースに レー ト リ ミ ッ テ ィ ン グ を構成 し ます し ます。 許容可 能な ト ラ フ ィ ッ ク量を超え るパケ ッ ト は破棄 さ れます。 ポー ト ミ ラ ー リ ング – こ のス イ ッ チでは、 処理に影響を及ぼ さ ない方法で、 任意のポー ト か ら送信 さ れる ト ラ フ ィ ッ ク を モ ニ タ ー ポー ト に ミ ラ ー リ ン グで き ます。 こ のポー ト にプ ロ ト コ ル アナ ラ イザま たは RMON プ ローブ を接続 し 、 ト ラ フ ィ ッ ク分析を実行 し た り 、接続の整 合性を検証する こ と がで き ます。 ポー ト ト ラ ンキン グ – 複数のポー ト を 1 本のアグ レ ゲー ト 接続に統合する こ と がで き ます。 ト ラ ン ク は手動で設定す る こ と も、 IEEE 802.3ad リ ン ク ア グ レ ゲーシ ョ ン制御プ ロ ト コ ル (LACP) を使用 し て動的に構成する こ と も で き ます。 ポー ト を追加する こ と で、 どの接続で も 全体のスループ ッ ト が飛躍的に向上 し ます。 ま た、 ト ラ ン ク 内の特定ポー ト で障害が発生 し た場合 も 負荷が引き継がれる ため、 冗長性を確保で き ます。 こ のス イ ッ チでは最大 8 つの ト ラ ン クがサポー ト さ れます。 ブ ロー ド キ ャ ス ト ス ト ーム制御 – ブ ロー ド キ ャ ス ト ス ト ーム抑制機能に よ り 、 ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク に よ る ネ ッ ト ワー ク の性能低下を防止で き ます。 ポー ト で こ の機能を有効 にする と 、ポー ト を通過する ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ クのレ ベルが制限 さ れます。ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク があ ら か じ め定義 さ れた し き い値を超え る と 、 し き い値を下回る レ ベルにな る ま で ト ラ フ ィ ッ クが抑制 さ れます。 ス タ テ ィ ッ ク ア ド レ ス – こ のス イ ッ チ上の各 イ ン タ ー フ ェ ースにス タ テ ィ ッ ク ア ド レ ス を 割 り 当て る こ と がで き ます。 ス タ テ ィ ッ ク ア ド レ スは割 り 当てた イ ン タ ー フ ェ ースにバイ ン ド さ れ、 移動 さ れる こ と はあ り ません。 別のイ ン タ ー フ ェ ース で同 じ ス タ テ ィ ッ ク ア ド レ ス が検知 さ れた場合、 こ のア ド レ スは無視 さ れ、 ア ド レ ス テーブルに書き込まれません。 ス タ テ ィ ッ ク ア ド レ ス を 使用 し て既知のホ ス ト へのア ク セ ス を 特定ポー ト に制限す る こ と で、 ネ ッ ト ワー ク セキ ュ リ テ ィ を確保で き ます。 IEEE 802.1D ブ リ ッ ジ – こ のス イ ッ チ では IEEE 802.1D ト ラ ン スペア レ ン ト ブ リ ッ ジ ン グ がサポー ト さ れます。 学習 し た ア ド レ スはア ド レ ス テーブルに保存 さ れ、 こ の情報に基づい て ト ラ フ ィ ッ ク の フ ィ ル タ リ ン グま たは転送が行われる ため、 デー タ 交換がスムーズにな り ます。 ア ド レ ス テーブルには最大 8000 個のア ド レ ス を保存で き ます。 ス ト ア ア ン ド フ ォ ワー ド (Store-and-Forward) ス イ ッ チ ン グ – こ のス イ ッ チ では、 別ポー ト への転送前に各 フ レ ームが メ モ リ ーに コ ピー さ れます。 こ れに よ り 、 すべての フ レ ームが 標準のイ ーサネ ッ ト サイ ズにな り 、 その精度は CRC (巡回冗長検査) によ っ て確実に検証済 みの状態にな り ます。 ま た、 不良 フ レ ームがネ ッ ト ワー ク に入 っ て、 帯域幅を浪費するのを 防ぎ ます。 輻輳ポー ト でのフ レームの破棄を防ぐ ため、 こ のス イ ッ チには フ レ ーム バ ッ フ ァ リ ング用に 4 Mbits が用意 さ れて い ま す。 こ のバ ッ フ ァ には輻輳ネ ッ ト ワー ク への送信待ちパケ ッ ト を キ ュ ー イ ングで き ます。 スパニ ング ツ リ ー アルゴ リ ズム – こ のス イ ッ チでは、 次のスパニ ング ツ リ ー アルゴ リ ズム がサポー ト さ れます。 1-3 1 は じ めに スパニ ング ツ リ ー プ ロ ト コル (STP、 IEEE 802.1D) – こ のプ ロ ト コ ルでは、 一対の LAN セ グ メ ン ト 間に冗長接続を 2 本以上確立する こ と が可能なため、 ループ検出 と リ カ バ リ が提供 さ れます。 セグ メ ン ト 間に複数の物理パスが存在する場合は、 1 つのパスが選択 さ れ、 その他 すべてのパスは無効に さ れる ため、 ネ ッ ト ワー ク 上の任意の 2 台のス テーシ ョ ン間にはルー ト が 1 つのみ存在 し ます。 これによ り 、 ネ ッ ト ワー ク ループの発生が防止 さ れます。 ただ し 、 選択 さ れたパスに何 ら かの理由で障害が発生 し た際には、 代替パスがア ク テ ィ ブ にな り 、 接 続は維持 さ れます。 高速スパニ ング ツ リ ー プ ロ ト コ ル (RSTP、 IEEE 802.1w) – このプ ロ ト コ ルに よ り 、 従来の IEEE 802.1D STP 規格で 30 秒以上かか っ て いた ネ ッ ト ワー ク ト ポ ロ ジ変更時の コ ン バー ジ ェ ン ス時間は 3 ~ 5 秒に短縮 さ れます。 こ のプ ロ ト コ ルは STP に対する完全な代替プ ロ ト コ ル と し て設計 さ れていますが、接続デバイ スから STP プ ロ ト コ ル メ ッ セージが検知 さ れた 場合はポー ト が自動的に STP 準拠モー ド に再構成 さ れる ため、 従来の規格で動作 し ている ス イ ッ チ と の相互運用 も可能です。 バーチ ャ ル LAN – こ のス イ ッ チ では最大 255 個の VLAN がサポー ト さ れます。 バーチ ャ ル LAN は、 ネ ッ ト ワー ク における物理的位置や接続ポ イ ン ト に関係な く 、 同 じ コ リ ジ ョ ン ド メ イ ン を共有する ネ ッ ト ワー ク ノ ー ド の集合体です。 このス イ ッ チでは IEEE 802.1Q 規格に準 拠 し た タ グ付き VLAN がサポー ト さ れます。 GVRP によ っ て VLAN グループの メ ンバーを動 的に学習する こ と も、 特定の VLAN (複数可) に手動でポー ト を割 り 当て る こ と も で き ます。 VLAN を構築する こ と で、 ス イ ッ チに よ っ て、 ユーザーが割 り 当て ら れてい る VLAN グルー プ内に ト ラ フ ィ ッ ク を制限する こ と がで き ます。 ネ ッ ト ワー ク を VLAN に分割する こ と に よ り 、 次のよ う な メ リ ッ ト が得ら れます。 • フ ラ ッ ト ネ ッ ト ワー クの性能を著 し く 低下 さ せる ブ ロー ド キ ャ ス ト ス ト ームを防ぐ こ と がで き ます。 • ノ ー ド の変更や移動の際に、ポー ト の VLAN メ ンバーシ ッ プ を リ モー ト で構成で き る ため、 ネ ッ ト ワー ク 接続を手動で変更する よ り も ネ ッ ト ワー ク管理が容易にな り ます。 • すべての ト ラ フ ィ ッ クが送信元 VLAN に制限 さ れる ため、 デー タ セキ ュ リ テ ィ が確保 さ れ ます。 • プ ラ イ ベー ト VLAN を使用 し て、ト ラ フ ィ ッ クがデー タ ポー ト と ア ッ プ リ ン ク ポー ト 間で のみ送信 さ れる よ う 制限する こ と によ り 、 同 じ VLAN 内の隣接ポー ト を隔離で き ます。 ま た、 構成する必要のある VLAN の総数を抑え る こ と で き ます。 ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ 設定 – こ のス イ ッ チ では、 ス ト リ ク ト プ ラ イ オ リ テ ィ ま たは WRR (加重 ラ ウ ン ド ロ ビ ン) キ ュ ー イ ングに よ る 4 つのプ ラ イ オ リ テ ィ キ ュ ーを使用 し て、 必要なサービ ス レ ベルに基づいて各パケ ッ ト にプ ラ イ オ リ テ ィ が設定 さ れます。 また、 エ ン ド ス テーシ ョ ン ア プ リ ケーシ ョ ンか ら の入力に基づいて着信 ト ラ フ ィ ッ ク のプ ラ イ オ リ テ ィ を設定する際は、 IEEE 802.1p および 802.1Q タ グが使用 さ れます。 こ れ らの機能を使用する と 、 遅延に敏感なデー タ やベス ト エ フ ォ ー ト デー タ に対 し 、 個別にプ ラ イ オ リ テ ィ を設定する こ と がで き ます。 こ のス イ ッ チ では、 ア プ リ ケーシ ョ ン要求に対応す る ために、 レ イ ヤー 3/4 ト ラ フ ィ ッ ク の プ ラ イ オ リ テ ィ を設定する一般的な方法 も い く つかサポー ト さ れます。 IP フ レームの DSCP フ ィ ール ド に基づいて、 ト ラ フ ィ ッ ク のプ ラ イ オ リ テ ィ を設定で き ます。 こ れ ら のサービ ス が有効に さ れている場合、 ス イ ッ チに よ っ て こ れ らのプ ラ イ オ リ テ ィ がサービ ス ク ラ ス値に マ ッ プ さ れ、 対応する出力キ ュ ーに ト ラ フ ィ ッ クが送信 さ れます。 1-4 シ ス テム デ フ ォル ト 1 サービ ス品質 – 差別化サービ ス (DiffServ) では、 ホ ッ プ ご と に特定 ト ラ フ ィ ッ ク タ イ プの要 件に応 じ てネ ッ ト ワー ク リ ソ ースのプ ラ イ オ リ テ ィ を設定する、 ポ リ シーベースの管理 メ カ ニ ズムが提供 さ れます。 各パケ ッ ト はネ ッ ト ワー ク への着信時に ア ク セ ス リ ス ト 、 IP 優先度、 DSCP 値、 または VLAN リ ス ト に基づいて分類 さ れます。 ア ク セス リ ス ト では、 各パケ ッ ト に 含まれる レ イヤー 2、 レ イヤー 3、 またはレ イヤー 4 情報に基づいて ト ラ フ ィ ッ ク を選択で き ます。 ネ ッ ト ワー ク ポ リ シーに基づき、 ト ラ フ ィ ッ クの種類に応 じ てマー ク を付ける こ と によ り 、 異な る種類の転送を行 う こ と がで き ます。 マルチキ ャ ス ト フ ィ ル タ リ ン グ – 特定のマルチキ ャ ス ト ト ラ フ ィ ッ ク を それ自体の VLAN に割 り 当て る こ と がで き ま す。 こ れに よ り 、 こ の ト ラ フ ィ ッ ク が通常のネ ッ ト ワー ク ト ラ フ ィ ッ ク に干渉する こ と がな く な り ます。ま た、指定の VLAN に対 し て必要な プ ラ イ オ リ テ ィ レ ベルを設定する こ と で、 リ アル タ イ ム配信を実現で き ます。 こ のス イ ッ チ では、 IGMP ス ヌ ーピ ングおよび ク エ リ ーに よ っ てマルチキ ャ ス ト グループ登録が管理 さ れます。 また、 マ ルチキ ャ ス ト VLAN 登録 (MVR) も サポー ト し ています。 MVR によ り 、 ほかの標準またはプ ラ イ ベー ト VLAN グループに属する ホス ト で共有 さ れる、 ネ ッ ト ワー ク 全体の単一のマルチ キ ャ ス ト VLAN に、 一般的な マルチキ ャ ス ト ト ラ フ ィ ッ ク (テ レ ビ チ ャ ン ネルな ど) を送信 す る こ と がで き ます。 その際、 通常の ト ラ フ ィ ッ ク に対 し て セキ ュ リ テ ィ お よびデー タ の隔 離を確保 し ます。 シ ス テム デ フ ォル ト こ のス イ ッ チのシ ス テム デ フ ォ ル ト は、 コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イル 「Factory_Default_Config.cfg」 に保存 さ れています。 ス イ ッ チのデ フ ォ ル ト に リ セ ッ ト する に は、 こ のフ ァ イルを ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イル と し て設定 し て く だ さ い (3-22 ページ を参照)。 次の表に、 基本のシ ス テム デ フ ォ ル ト を い く つか示 し ます。 表 1-2. シ ス テム デ フ ォル ト 機能 パラ メ ー タ デ フ ォル ト コ ン ソ ール ポー ト 接続 ボー レー ト 9600 デー タ ビ ッ ト 8 スト ップ ビッ ト 1 パリ テ ィ なし ロー カル コ ン ソ ール タ イムアウ ト 0 (無効) 1-5 1 は じ めに 表 1-2. シ ス テム デ フ ォル ト (続き) 機能 パラ メ ー タ デ フ ォル ト 認証 Privileged Exec レ ベル ユーザー名 「admin」 パスワー ド 「admin」 Normal Exec レ ベル ユーザー名 「guest」 パスワー ド 「guest」 Normal Exec レ ベルか らの Privileged Exec レ ベルの 有効化 パスワー ド 「super」 RADIUS 認証 無効 TACACS 認証 無効 802.1X ポー ト 認証 無効 HTTPS 有効 SSH 無効 ウ ェ ブ管理 SNMP ポー ト セキ ュ リ テ ィ 無効 IP フ ィ ル タ リ ング 無効 HTTP サーバー 有効 HTTP ポー ト 番号 80 HTTP セキ ュ ア サーバー 有効 HTTP セキ ュ ア ポー ト 番号 443 コ ミ ュ ニテ ィ ス ト リ ング public (読取 り 専用) private (読み書き可能) ト ラップ ポー ト Admin ス テー タ ス コ ン フ ィ ギ ュ レーシ ョ ン 自動ネゴ シ エーシ ョ ン 認証 ト ラ ッ プ : 有効 リ ン ク ア ッ プ / ダウン イ ベン ト : 有効 有効 有効 フ ロー制御 無効 レー ト リ ミ ッ テ ィ ング 入力 リ ミ ッ ト 無効 ポー ト ト ラ ンキング スタテ ィ ッ ク ト ランク なし LACP (すべてのポー ト ) 無効 ブ ロー ド キ ャ ス ト ス ト ーム保護 ス テー タ ス 有効 (すべてのポー ト ) ブ ロー ド キ ャ ス ト 制限レー ト 64 キロ ビ ッ ト / 秒 スパニ ン グ ツ リ ー アルゴ リ ズム ス テー タ ス 有効 (デ フ ォル ト : IEEE 802.1w に準拠する すべての値) 高速転送 (エ ッ ジ ポー ト ) 無効 エージ ング タ イム 300 秒 ア ド レ ス テーブル 1-6 シ ス テム デ フ ォル ト 1 表 1-2. シ ス テム デ フ ォル ト (続き) 機能 パラ メ ー タ デ フ ォル ト バーチ ャル LAN デ フ ォル ト VLAN 1 PVID 1 許容フ レーム タ イ プ すべて イ ングレ ス フ ィ ル タ リ ング 有効 ス イ ッ チポー ト モー ド (イ グ レ ス モー ド ) ハイ ブ リ ッ ド : タ グ付き / タ グな し フ レーム GVRP (グローバル) 無効 GVRP (ポー ト イ ン タ ー フ ェ ース) 無効 イ ングレ ス ポー ト プ ラ イオ リ テ ィ 0 ト ラフ ィ ック プ ラ イ オ リ テ ィ 設定 WRR (加重ラ ウン ド ロ ビ ン) キ ュ ー : 0 1 2 3 加重 : 1 2 4 8 IP 設定 マルチキ ャ ス ト フ ィ ルタ リ ング シ ス テム ログ SMTP 電子 メ ール ア ラー ト IP DSCP プ ラ イ オ リ テ ィ 無効 IP ア ド レ ス DHCP assigned、 それ以外は 192.168.1.1 サブネ ッ ト マス ク 255.255.255.0 デ フ ォル ト ゲー ト ウ ェ イ 0.0.0.0 DHCP ク ラ イ ア ン ト : 有効 BOOTP 無効 IGMP ス ヌ ーピ ン グ ス ヌ ーピ ング : 有効 ク エ リ ア : 有効 マルチキ ャ ス ト VLAN 登録 無効 ス テー タ ス 有効 ログに記録する メ ッ セージ レベル 0 ~ 6 (すべて) フ ラ ッ シ ュ に記録する メ ッ セージ レ ベル 0 ~ 3 イ ベ ン ト ハン ド ラ 有効 (ただ し 定義 さ れたサーバーはな し ) SNTP ク ロ ッ ク同期 無効 DHCP ス ヌ ーピ ング ス テー タ ス 無効 IP ソ ース ガー ド ス テー タ ス 無効 (すべてのポー ト ) ス イ ッ チ ク ラ ス タ リ ン グ ス テー タ ス コ マンダ 有効 無効 1-7 1 1-8 は じ めに 第 2 章 : 初期構成 ス イ ッ チへの接続 構成オプ シ ョ ン こ のス イ ッ チは組込みのネ ッ ト ワー ク 管理エージ ェ ン ト を備え ています。 こ のエージ ェ ン ト では、 SNMP、 RMON (グループ 1、 2、 3、 9) 、 ウ ェ ブベースのイ ン タ ー フ ェ ース と い っ た 様々な管理オプ シ ョ ンが提供 さ れます。 PC を ス イ ッ チに直接接続 し 、 CLI ( コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース) を使用 し て構成や監視を行 う こ と も で き ます。 注 : デ フ ォル ト では、 このス イ ッ チの IP ア ド レ スは DHCP によ っ て取得 さ れます。 このア ド レ ス を変更する には、 2-4 ページの 「IP ア ド レ スの設定」 を参照 し て く だ さ い。 ス イ ッ チの HTTP ウ ェ ブ エージ ェ ン ト では、標準のウ ェ ブ ブ ラ ウザ (Netscape バージ ョ ン 6.2 以上や Microsoft IE バージ ョ ン 5.0 以上な ど) を使用 し て、 ス イ ッ チ パラ メ ー タ の構成、 ポー ト 接続の監視、 お よび統計情報の表示を行え ます。 ス イ ッ チのウ ェ ブ管理 イ ン タ ー フ ェ ース には、 ネ ッ ト ワー ク に接続 さ れた任意のコ ン ピ ュ ー タ から ア ク セス で き ます。 CLI プ ロ グ ラ ムには、 ス イ ッ チ上の RS-232 シ リ アル コ ン ソ ール ポー ト に直接接続す るか、 ネ ッ ト ワー ク 経由で Telnet リ モー ト 接続に よ っ てア ク セス で き ます。 ス イ ッ チの管理エージ ェ ン ト では、 SNMP (簡易ネ ッ ト ワー ク管理プ ロ ト コ ル) もサポー ト さ れます。 こ の SNMP エージ ェ ン ト に よ り 、 ネ ッ ト ワー ク管理ソ フ ト ウ ェ ア (HP OpenView な ど) を使用 し てネ ッ ト ワー ク上の任意のシ ス テムか ら ス イ ッ チ を管理で き ます。 ス イ ッ チのウ ェ ブ イ ン タ ー フ ェ ース、CLI 構成プ ログ ラ ム、および SNMP エージ ェ ン ト では、 次の管理機能を実行で き ます。 • ユーザー名 と パスワー ド の設定 • 管理 VLAN の IP イ ン タ ー フ ェ ースの設定 • SNMP パラ メ ー タ の構成 • ポー ト の有効化 / 無効化 • ポー ト のス ピー ド / 二重モー ド の設定 • 入力レー ト リ ミ ッ テ ィ ン グによ るポー ト 帯域の構成 • IEEE 802.1X セキ ュ リ テ ィ またはス タ テ ィ ッ ク ア ド レ ス フ ィ ル タ リ ングによ るポー ト ア ク セスの制御 • ACL (ア ク セス制御 リ ス ト ) を使用 し たパケ ッ ト フ ィ ル タ リ ング • 最大 255 個の IEEE 802.1Q VLAN の構成 • GVRP に よ る自動 VLAN 登録の有効化 • IGMP マルチキ ャ ス ト フ ィ ル タ リ ングの構成 • TFTP によ る シ ス テム フ ァ ームウ ェ アのア ッ プ ロー ド と ダウン ロー ド • TFTP によ る ス イ ッ チ コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルのア ッ プ ロー ド と ダウン ロー ド • スパニ ング ツ リ ー パラ メ ー タ の構成 • CoS (サービ ス ク ラ ス) プ ラ イ オ リ テ ィ キ ュ ー イ ングの構成 • 最大 8 本のス タ テ ィ ッ ク または LACP ト ラ ン クの構成 2-1 2 初期構成 • ポー ト ミ ラ ー リ ン グの有効化 • 各ポー ト でのブ ロー ド キ ャ ス ト ス ト ーム制御の設定 • シ ス テム情報 と 統計情報の表示 必要な接続 こ のス イ ッ チには RS-232 シ リ アル ポー ト が搭載 さ れています。 こ のポー ト に PC または端 末を接続 し 、ス イ ッ チの監視や構成を行 う こ と がで き ます。ス イ ッ チにはヌルモデム コ ン ソ ー ル ケーブルが同梱 さ れています。 VT100 互換端末、 すなわち端末エ ミ ュ レーシ ョ ン プ ログ ラ ムが実行 さ れる PC を ス イ ッ チに 接続 し ます。 この と き、 製品に同梱 さ れている コ ン ソ ール ケーブルを使用する こ と も、 『イ ン ス ト ール ガ イ ド 』 に記載 さ れている配線に準拠 し た ヌルモデム ケーブルを使用する こ と も で き ます。 端末を コ ン ソ ール ポー ト に接続するには、 次の手順を実行 し ます。 1. 端末、すなわち端末エ ミ ュ レーシ ョ ン ソ フ ト ウ ェ アが実行 さ れる PC のシ リ アル ポー ト に コ ン ソ ール ケーブルを接続 し 、 DB-9 コ ネ ク タ の固定ね じ を締めます。 2. ケーブルの も う 一方の端を ス イ ッ チの RS-232 シ リ アル ポー ト に接続 し ます。 3. 端末エ ミ ュ レーシ ョ ン ソ フ ト ウ ェ ア を次のよ う に設定 し ます。 • 適切な シ リ アル ポー ト を選択 し ます (COM ポー ト 1 または COM ポー ト 2)。 • ボー レー ト を 9600 bps に設定 し ます。 • デー タ 形式を 8 デー タ ビ ッ ト 、 1 ス ト ッ プ ビ ッ ト 、 パ リ テ ィ な し に設定 し ます。 • フ ロー制御な し に設定 し ます。 • エ ミ ュ レーシ ョ ン モー ド を VT100 に設定 し ます。 • HyperTerminal を使用する場合は、 Windows キーではな く 端末キーを選択 し ます。 注 : 1. コ ン ソ ール構成オプ シ ョ ンの詳細については、 4-10 ページの 「ラ イ ン コ マ ン ド 」 を参照 し て く だ さ い。 2. 端末を適切にセ ッ ト ア ッ プする と 、 コ ン ソ ールのログ イ ン画面が表示 さ れます。 CLI の使用方法の詳細については、 4-1 ページの 「 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ースの使用」 を参照 し て く だ さ い。 CLI コ マ ン ド 一覧および CLI の使用に関する詳細については、 4-9 ペー ジの 「 コ マ ン ド グループ」 を参照 し て く だ さ い。 リ モー ト 接続 ス イ ッ チのオ ンボー ド エージ ェ ン ト にネ ッ ト ワー ク 接続で ア ク セスする前に、 コ ン ソ ール接 続、 DHCP または BOOTP プ ロ ト コルを使用 し て、 ス イ ッ チに有効な IP ア ド レ ス、 サブネ ッ ト マス ク、 およびデ フ ォ ル ト ゲー ト ウ ェ イ を構成する必要があ り ます。 デ フ ォ ル ト では、 このス イ ッ チの IP ア ド レ スは DHCP によ っ て取得 さ れます。 このア ド レ ス を手動で構成するか、 DHCP ま たは BOOTP によ る ダ イ ナ ミ ッ ク ア ド レ ス割当て を有効にす るには、 2-4 ページの 「IP ア ド レ スの設定」 を参照 し て く だ さ い。 注 : このス イ ッ チでは 4 つの Telnet/SSH 同時セ ッ シ ョ ンがサポー ト さ れます。 2-2 基本構成 2 ス イ ッ チの IP パ ラ メ ー タ を構成する と 、 接続 さ れたネ ッ ト ワー クのど こ から で も オ ンボー ド の構成プ ロ グ ラ ムにア ク セ ス で き る よ う にな り ます。 オ ンボー ド の構成プ ロ グ ラ ムにア ク セ スするには、ネ ッ ト ワー ク に接続 さ れた任意の コ ン ピ ュ ー タ から Telnet を使用 し ます。ス イ ッ チの管理は、任意の コ ン ピ ュ ー タ でウ ェ ブ ブ ラ ウザ (Internet Explorer バージ ョ ン 5.0 以上ま たは Netscape バージ ョ ン 6.2 以上) を使用 し て、またはネ ッ ト ワー ク コ ン ピ ュ ー タ で SNMP ネ ッ ト ワー ク 管理 ソ フ ト ウ ェ ア を使用 し て行 う こ と も で き ます。 注 : オンボー ド プ ログ ラ ムでは基本的な構成機能にのみア ク セスで き ます。 すべての SNMP 管理 機能にア ク セスする には、SNMP ベースのネ ッ ト ワー ク管理ソ フ ト ウ ェ ア を使用する必要があ り ます。 基本構成 コ ン ソ ール接続 CLI プ ログ ラ ムでは、 通常ア ク セス レ ベル (Normal Exec) と 特権ア ク セス レ ベル (Privileged Exec) と い う 2 つの コ マ ン ド レ ベルが提供 さ れます。 Normal Exec レ ベルで利用で き る コ マ ン ド は、 Privileged Exec レ ベルで利用で き る コ マ ン ド の一部に制限 さ れてお り 、 情報の表示 と 基本的ユーテ ィ リ テ ィ の使用のみが可能です。 ス イ ッ チのすべてのパ ラ メ ー タ を構成す る には、 Privileged Exec レ ベルで CLI にア ク セスする必要があ り ます。 両レ ベルの CLI へのア ク セ スはユーザー名 と パスワー ド で制御 さ れます。 ス イ ッ チには各レ ベルのデ フ ォ ル ト のユーザー名 と パスワー ド が定義 さ れています。 デ フ ォ ル ト のユーザー名 と パスワー ド を使用 し て Privileged Exec レ ベルで CLI にログ イ ンするには、 次の手順に従い ます。 1. コ ン ソ ール接続を開始するには、 [Enter] キーを押 し ます。 「User Access Verification」 手 順が開始 し ます。 2. Username プ ロ ン プ ト で 「admin」 と 入力 し ます。 3. Password プ ロ ン プ ト で も同様に 「admin」 と 入力 し ます ( コ ン ソ ール画面にパスワー ド 文字は表示 さ れない)。 4. セ ッ シ ョ ンが開始 さ れ、 Privileged Exec レ ベルで ア ク セス し てい る こ と を示す 「Console#」 プ ロ ン プ ト が表示 さ れます。 パスワー ド の設定 注 : 初めて CLI プ ログ ラ ムにログ イ ンする場合、 「username」 コ マ ン ド を使用 し て、 両方のデ フ ォ ル ト ユーザー名に対する新 し いパスワー ド を定義 し て く だ さ い。 このパスワー ド は記録 し 、安 全な場所に保管 し て く だ さ い。 パスワー ド には最大 8 文字の英数文字を使用で き、 大文字 と 小文字は区別 さ れます。 ス イ ッ チへの不正ア ク セス を防ぐ ために、 次の手順でパスワー ド を設定 し ます。 1. デ フ ォ ル ト のユーザー名 と パスワー ド である 「admin」 を使用 し て コ ン ソ ール イ ン タ ー フ ェ ース を開き、 Privileged Exec レ ベルにア ク セス し ます。 2. 「configure」 と 入力 し 、 [Enter] キーを押 し ます。 3. Normal Exec レ ベルのパスワー ド を定義する場合、 「username guest password 0 パス ワー ド 」 と 入力 し ます。 こ の と き、 パスワー ド 部分は新 し いパスワー ド で置き換え ます。 [Enter] キーを押 し ます。 2-3 2 4. 初期構成 Privileged Exec レ ベルのパスワー ド を定義する場合、 「username admin password 0 パ スワー ド 」 と 入力 し ます。 こ の と き、 パスワー ド 部分は新 し いパスワー ド で置き換え ま す。 [Enter] キーを押 し ます。 注 : 「0」 はプ レーン テキス ト のパスワー ド を示 し 、 「7」 は暗号化形式のパスワー ド を示 し ます。 Username: admin Password: CLI session with the ES3528M is opened. To end the CLI session, enter [Exit]. Console#configure Console(config)#username guest password 0 [password] Console(config)#username admin password 0 [password] Console(config)# IP ア ド レ スの設定 ネ ッ ト ワー ク 経由で管理ア ク セス を行 う には、 ス タ ッ クの IP ア ド レ ス情報を定義する必要が あ り ます。 こ れは、 次のいずれかの方法で行います。 手動 — IP ア ド レ スお よびサブ ネ ッ ト マ ス ク を含む情報を入力する必要があ り ます。 管理ス テーシ ョ ンがス タ ッ クのマス タ ー ユニ ッ ト と 同 じ IP サブ ネ ッ ト に属 し ていない場合、デ フ ォ ル ト のゲー ト ウ ェ イ ルー タ も指定する必要があ り ます。 動的 — ス イ ッ チから ネ ッ ト ワー ク 上の BOOTP ま たは DHCP ア ド レ ス割当てサーバーに IP 構成要求が送信 さ れます。 手動構成 ス イ ッ チに手動で IP ア ド レ ス を割 り 当て る こ と がで き ます。 ま た、 こ のデバイ ス と 別のネ ッ ト ワー ク セ グ メ ン ト 上の管理ス テーシ ョ ン と の間にあ る デ フ ォ ル ト ゲー ト ウ ェ イ の指定が 必要にな る場合 も あ り ます。 有効な IP ア ド レ スは、 ピ リ オ ド で区切 ら れた 0 ~ 255 の 4 つ の 10 進数で構成 さ れます。こ の形式に従っ ていないア ド レ スは CLI プ ログ ラ ムで受理 さ れま せん。 注 : デ フ ォル ト では、 このス イ ッ チの IP ア ド レ スは DHCP によ っ て取得 さ れます。 ス イ ッ チに IP ア ド レ ス を割 り 当て る前に、 ネ ッ ト ワー ク 管理者から次の情報を入手する必要 があ り ます。 • ス イ ッ チの IP ア ド レ ス • ネ ッ ト ワー ク のデ フ ォル ト ゲー ト ウ ェ イ • こ のネ ッ ト ワー クのネ ッ ト ワー ク マ ス ク ス イ ッ チに IP ア ド レ ス を割 り 当て るには、 次の手順を実行 し ます。 1. Privileged Exec レ ベルのグ ローバル コ ン フ ィ ギ ュ レーシ ョ ン モー ド プ ロ ン プ ト で 「interface vlan 1」 と 入力 し 、 イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド にア ク セス し ます。 [Enter] キーを押 し ます。 2. 「ip address IP ア ド レ ス ネ ッ ト マ ス ク 」 と 入力 し ます。 こ の と き、 「IP ア ド レ ス」 部分は ス イ ッ チの IP ア ド レ スで、 「ネ ッ ト マ ス ク 」 部分はネ ッ ト ワー ク のネ ッ ト ワー ク マス ク で置き換え ます。 [Enter] キーを押 し ます。 2-4 基本構成 2 3. 「exit」 と 入力 し て、 グ ローバル コ ン フ ィ ギ ュ レーシ ョ ン モー ド プ ロ ン プ ト に戻 り ます。 [Enter] キーを押 し ます。 4. ス イ ッ チが属する ネ ッ ト ワー ク のデ フ ォ ル ト ゲー ト ウ ェ イの IP ア ド レ ス を設定する に は、 「ip default-gateway ゲー ト ウ ェ イ」 と 入力 し ます。 こ の と き、 「ゲー ト ウ ェ イ」 部分 はデ フ ォル ト ゲー ト ウ ェ イの IP ア ド レ スで置き換え ます。 [Enter] キーを押 し ます。 Console(config)#interface vlan 1 Console(config-if)#ip address 192.168.1.5 255.255.255.0 Console(config-if)#exit Console(config)#ip default-gateway 192.168.1.254 Console(config)# 動的構成 「bootp」 または 「dhcp」 オプ シ ョ ン を選択する と IP は有効に さ れますが、 BOOTP または DHCP 応答が受信 さ れる ま で機能 し ません。 そのため、 「ip dhcp restart」 コ マ ン ド を使用 し て、 サービ ス要求のブ ロー ド キ ャ ス ト を開始する必要があ り ます。 IP コ ン フ ィ ギ ュ レーシ ョ ン情報を取得する ために、 要求が定期的に送信 さ れます (BOOTP および DHCP の値には IP ア ド レ ス、 サブネ ッ ト マス ク、 デ フ ォル ト ゲー ト ウ ェ イ を含める こ と が可能)。 「bootp」 または 「dhcp」 オプ シ ョ ン を ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルに保 存する と (手順 6)、 ス イ ッ チでは電源投入 と 同時にサービ ス要求のブ ロー ド キ ャ ス ト が開始 さ れます。 ネ ッ ト ワー ク 上の BOOTP または DHCP ア ド レ ス割当てサーバー と 通信する こ と でス イ ッ チ を自動的に構成するには、 次の手順を実行 し ます。 1. グローバル コ ン フ ィ ギ ュ レーシ ョ ン モー ド プ ロ ン プ ト で 「interface vlan 1」 と 入力 し 、 イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド にア ク セ ス し ます。 [Enter] キー を押 し ます。 2. イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン モー ド プ ロ ン プ ト で、 次の コ マ ン ド のいず れかを使用 し ます。 • DHCP に よ っ て IP 設定を取得するには、 「ip address dhcp」 と 入力 し て [Enter] キー を押 し ます。 • BOOTP に よ っ て IP 設定を取得するには、「ip address bootp」 と 入力 し て [Enter] キー を押 し ます。 3. 「end」 と 入力 し て、 Privileged Exec モー ド に戻 り ます。 [Enter] キーを押 し ます。 4. 「ip dhcp restart」 と 入力する と 、 サービ ス要求のブ ロー ド キ ャ ス ト が開始 さ れます。 [Enter] キーを押 し ます。 5. 数分間待ち、 「show ip interface」 コ マ ン ド を入力 し て、 IP コ ン フ ィ ギ ュ レーシ ョ ン設定 を確認 し ます。 [Enter] キーを押 し ます。 2-5 2 6. 初期構成 「copy running-config startup-config」 と 入力 し て、 コ ン フ ィ ギ ュ レーシ ョ ンの変更を保存 し ます。 ス タ ー ト ア ッ プ フ ァ イルの名前を入力 し 、 [Enter] キーを押 し ます。 Console(config)#interface vlan 1 Console(config-if)#ip address dhcp Console(config-if)#end Console#ip dhcp restart Console#show ip interface IP address and netmask: 192.168.1.54 255.255.255.0 on VLAN 1, and address mode: User specified. Console#copy running-config startup-config Startup configuration file name []: startup \Write to FLASH Programming. \Write to FLASH finish. Success. SNMP 管理ア ク セスの有効化 HP OpenView な どの簡易ネ ッ ト ワー ク管理プ ロ ト コル (SNMP) ア プ リ ケーシ ョ ンからの管 理 コ マ ン ド を受理する よ う ス イ ッ チ を構成する こ と がで き ます。 (1) SNMP 要求に応答する、 または (2) SNMP ト ラ ッ プ を生成する よ う ス イ ッ チ を構成で き ます。 SNMP 管理ス テーシ ョ ンがス イ ッ チに (情報を返すよ う 、 またはパラ メ ー タ を設定する よ う ) 要求を送信する と 、 ス イ ッ チ では要求 さ れたデー タ が供給 さ れるか、 指定 さ れたパ ラ メ ー タ が設定 さ れます。 また、 (SNMP マネージ ャ に要求 さ れな く て も ) SNMP マネージ ャ に ト ラ ッ プ メ ッ セー ジ を通 じ て情報 を送信す る よ う ス イ ッ チ を構成す る こ と も で き ま す。 こ の メ ッ セージによ り 、 特定イ ベン ト が発生 し た こ と がマネージ ャ に通知 さ れます。 ス イ ッ チには、 SNMP バージ ョ ン 1、 2c、 および 3 ク ラ イ ア ン ト をサポー ト する SNMP エー ジ ェ ン ト が装備 さ れています。バージ ョ ン 1 または 2c ク ラ イ ア ン ト に よ る管理ア ク セ ス を許 可するには、 コ ミ ュ ニ テ ィ ス ト リ ング を指定する必要があ り ます。 このス イ ッ チには、デ フ ォ ル ト の 「public」 コ ミ ュ ニ テ ィ ス ト リ ングに よ っ て MIB ツ リ ー全体への読取 り ア ク セ ス を許 可するデ フ ォ ル ト の MIB ビ ュ ー (SNMPv3 構造) と 、 「private」 コ ミ ュ ニテ ィ ス ト リ ングに よ っ て MIB ツ リ ー全体への読み書き 可能ア ク セ ス を許可す る デ フ ォ ル ト ビ ュ ーが用意 さ れ ています。 このほか、 実際のセキ ュ リ テ ィ 要件に応 じ てバージ ョ ン 1 ま たは 2c コ ミ ュ ニ テ ィ ス ト リ ングに新規ビ ュ ーを割 り 当て る こ と も で き ます (3-44 ページ を参照)。 コ ミ ュ ニテ ィ ス ト リ ング (SNMP バージ ョ ン 1 および 2c ク ラ イ ア ン ト 用) コ ミ ュ ニ テ ィ ス ト リ ン グは、 SNMP バージ ョ ン 1 および 2c ス テーシ ョ ンへの管理ア ク セス を制御 し た り 、ス イ ッ チから送信 さ れる ト ラ ッ プ メ ッ セージの受信を SNMP ス テーシ ョ ン に 許可する ために使用 さ れます。 すなわち、 指定 さ れたユーザーに コ ミ ュ ニ テ ィ ス ト リ ン グ を 割 り 当て、 ア ク セス レ ベルを設定する必要があ り ます。 デ フ ォ ル ト のス ト リ ングは次の と お り です。 • public - 読取 り 専用ア ク セ ス。 許可 さ れた管理ス テーシ ョ ンは MIB オブ ジ ェ ク ト の取得 のみを行え ます。 • private - 読み書き可能ア ク セス。 許可 さ れた管理ス テーシ ョ ンは、 MIB オブ ジ ェ ク ト の 取得および変更を両方行 う こ と がで き ます。 SNMP バージ ョ ン 1 または 2c ク ラ イ ア ン ト に よ る ス イ ッ チへの不正ア ク セ ス を防ぐ ために、 デ フ ォ ル ト の コ ミ ュ ニ テ ィ ス ト リ ング を変更する こ と をお勧め し ます。 2-6 基本構成 2 コ ミ ュ ニ テ ィ ス ト リ ング を構成するには、 次の手順を実行 し ます。 1. Privileged Exec レ ベルのグ ローバル コ ン フ ィ ギ ュ レーシ ョ ン モー ド プ ロ ン プ ト で、 「snmp-server community ス ト リ ン グ モー ド 」 と 入力 し ます。 こ の と き、 「ス ト リ ン グ」 部分は コ ミ ュ ニ テ ィ ア ク セス ス ト リ ン グで、 ま た 「モー ド 」 部分は rw (読み書き可能) ま たは ro (読取 り 専用) で置き換え ます。 [Enter] キーを押 し ます。 (デ フ ォ ル ト のモー ド は読取 り 専用)。 2. 既存のス ト リ ング を削除するには、 「no snmp-server community ス ト リ ング」 と 入力 し ます。 この と き、 「ス ト リ ング」 部分は削除する コ ミ ュ ニ テ ィ ア ク セス ス ト リ ン グで置 き換え ます。 [Enter] キーを押 し ます。 Console(config)#snmp-server community admin rw Console(config)#snmp-server community private Console(config)# 4-102 注 : SNMP バージ ョ ン 1 および 2c ク ラ イ ア ン ト へのア ク セス をサポー ト し ない場合、 デ フ ォル ト のコ ミ ュ ニ テ ィ ス ト リ ングを両方 と も削除する こ と を お勧め し ます。コ ミ ュ ニテ ィ ス ト リ ング がない場合、SNMP v1 および v2c ク ラ イ ア ン ト によ る SNMP 管理ア ク セスは無効に さ れます。 ト ラ ッ プ レ シーバ ス イ ッ チから ト ラ ッ プ を受信する SNMP ス テーシ ョ ン を指定する こ と も で き ます。 ト ラ ッ プ レ シーバを構成するには、 「snmp-server host」 コ マ ン ド を使用 し ます。 Privileged Exec レ ベ ルのグ ローバル コ ン フ ィ ギ ュ レーシ ョ ン モー ド プ ロ ン プ ト で、 次のよ う に入力 し ます。 “snmp-server host ホス ト ア ド レ ス コ ミ ュ ニ テ ィ ス ト リ ング [version {1 | 2c | 3 {auth | noauth | priv}}]” こ こ で、 「ホス ト ア ド レ ス」 部分には ト ラ ッ プ レ シーバの IP ア ド レ ス を、 また 「コ ミ ュ ニテ ィ ス ト リ ング」 部分にはバージ ョ ン 1/2c ホス ト のア ク セス権ま たはバージ ョ ン 3 ホス ト のユー ザー名を指定 し ます。 「version」 では SNMP ク ラ イ ア ン ト バージ ョ ン を指定 し ます。 「auth | noauth | priv」 では、 v3 ク ラ イ ア ン ト に認証を使用、 認証を使用 し ない、 ま たは認証 と プ ラ イ バシ を使用する よ う 指定 し ます。 次に、 [Enter] キーを押 し ます。 こ れ ら のパラ メ ー タ の詳細については、 4-104 ページの 「snmp-server host」 を参照 し て く だ さ い。 次の例では、 各 タ イ プの SNMP ク ラ イ ア ン ト に対 し て ト ラ ッ プ ホス ト を作成 し ています。 Console(config)#snmp-server host 10.1.19.23 batman Console(config)#snmp-server host 10.1.19.98 robin version 2c Console(config)#snmp-server host 10.1.19.34 barbie version 3 auth Console(config)# 4-104 2-7 2 初期構成 SNMP バージ ョ ン 3 ク ラ イ ア ン ト によ る ア ク セスの構成 SNMPv3 ク ラ イ ア ン ト に よ る管理ア ク セ ス を構成する には、 まず ク ラ イ ア ン ト が読取 り ま た は書込み可能な MIB の部分を定義する ビ ュ ー を作成 し 、 こ のビ ュ ー を グループ に割 り 当て、 次にユーザーを グループに割 り 当て る必要があ り ます。 次の例では、 MIB-2 ツ リ ー ブ ラ ン チ 全体が含まれる 「mib-2」 と い う ビ ュ ー と 、 IEEE 802.1d ブ リ ッ ジ MIB が含まれる別のビ ュ ー を作成 し ています。 次に、 それぞれの読取 り ビ ュ ーおよび読み書き可能ビ ュ ーを 「r&d」 と い う グループに割 り 当て、 MD5 または SHA に よ るグループ認証を指定 し ています。 最後に、 こ のグループに v3 ユーザーを割 り 当て、 認証方式 と し て MD5、 認証パスワー ド と し て 「greenpeace」、 暗号化パスワー ド と し て 「einstien」 を指定 し ています。 Console(config)#snmp-server view mib-2 1.3.6.1.2.1 included Console(config)#snmp-server view 802.1d 1.3.6.1.2.1.17 included Console(config)#snmp-server group r&d v3 auth mib-2 802.1d Console(config)#snmp-server user steve group r&d v3 auth md5 greenpeace priv des56 einstien Console(config)# 4-108 4-110 4-112 ス イ ッ チに SNMP v3 ク ラ イ ア ン ト に よ る ア ク セ ス を構成す る方法の詳細については、 3-33 ペー ジの 「簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル」 ま たは 4-100 ペー ジ以降に記載 さ れて い る SNMP の該当 CLI コ マ ン ド を参照 し て く だ さ い。 コ ン フ ィ ギ ュ レ ーシ ョ ン設定の保存 コ ン フ ィ ギ ュ レ ーシ ョ ン コ マ ン ド では実行中の コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ルの変更の みが行われ、 ス イ ッ チの リ ブー ト 時に保存 さ れません。 すべての コ ン フ ィ ギ ュ レ ーシ ョ ンの 変更内容を不揮発性記憶装置に保存す る には、 「copy」 コ マ ン ド を使用 し て、 実行中の コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ルを ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ルに コ ピー する必要があ り ます。 現在の コ ン フ ィ ギ ュ レーシ ョ ン設定を保存するには、 次の コ マ ン ド を入力 し ます。 1. Privileged Exec モー ド プ ロ ン プ ト で、 「copy running-config startup-config」 と 入力 し 、 [Enter] キーを押 し ます。 2. ス タ ー ト ア ッ プ フ ァ イルの名前を入力 し ます。 [Enter] キーを押 し ます。 Console#copy running-config startup-config Startup configuration file name []: startup \Write to FLASH Programming. \Write to FLASH finish. Success. Console# 2-8 シ ス テム フ ァ イルの管理 2 シ ス テム フ ァ イルの管理 こ のス イ ッ チのフ ラ ッ シ ュ メ モ リ ーでは 3 種類のシ ス テム フ ァ イルがサポー ト さ れます。 こ れ ら のシ ス テム フ ァ イ ルは、 CLI プ ロ グ ラ ム、 ウ ェ ブ イ ン タ ー フ ェ ース、 ま たは SNMP に よ っ て管理で き ます。 ス イ ッ チのフ ァ イル シ ス テムでは、 フ ァ イルのア ッ プ ロー ド と ダウ ン ロー ド 、 コ ピー、 削除、 ス タ ー ト ア ッ プ フ ァ イル と し ての設定が可能です。 次の 3 種類の フ ァ イルがあ り ます。 • コ ン フ ィ ギ ュ レーシ ョ ン — この フ ァ イルにはシス テム コ ン フ ィ ギ ュ レーシ ョ ン情報が保 存 さ れ、 コ ン フ ィ ギ ュ レ ーシ ョ ン設定の保存時に作成 さ れます。 保存 さ れた コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ルは、 シ ス テムのス タ ー ト ア ッ プ フ ァ イ ル と し て選択 し た り 、 バ ッ ク ア ッ プ用に TFTP によ っ てサーバーにア ッ プ ロー ド する こ と がで き ます。 「Factory_Default_Config.cfg」 と い う フ ァ イルには、 シ ス テムのデ フ ォ ル ト 設定がすべて格 納 さ れてお り 、 シ ス テムから削除する こ と はで き ません。 詳細については、 3-20 ページの 「 コ ン フ ィ ギ ュ レーシ ョ ン設定の保存または復元」 を参照 し て く だ さ い。 • オペレーシ ョ ン コ ー ド — 起動後に実行 さ れる シ ス テム ソ フ ト ウ ェ ア で、 ラ ン タ イ ム コ ー ド と も呼ばれます。 こ の コ ー ド によ っ てス イ ッ チ オペレーシ ョ ンが実行 さ れ、 CLI および ウ ェ ブ管理イ ン タ ー フ ェ ースが提供 さ れます。 詳細については、 3-17 ページの 「 フ ァ ーム ウ ェ アの管理」 を参照 し て く だ さ い。 • 診断 コ ー ド — シ ス テムの起動中に実行 さ れる ソ フ ト ウ ェ ア で、 POST (パワーオ ン セル フ テ ス ト ) と も呼ばれます。 フ ラ ッ シ ュ メ モ リ ーの容量に制限があるため、このス イ ッ チでサポー ト さ れるオペレーシ ョ ン コ ー ド フ ァ イルは 2 つのみです。ただ し 、診断コ ー ド フ ァ イルと コ ン フ ィ ギュ レーシ ョ ン フ ァ イルについては、 フ ラ ッ シ ュ メ モ リ ーの空き容量に応 じ て可能な限 り 多 く 保存で き ます。 シ ス テムの フ ラ ッ シ ュ メ モ リ ーでは、各種類のフ ァ イルを 1 つずつス タ ー ト ア ッ プ フ ァ イル と し て設定する必要があ り ます。 シ ス テムのブー ト 時に、 ス タ ー ト ア ッ プ フ ァ イル と し て設 定 さ れた診断 コ ー ド フ ァ イ ル と オペ レ ーシ ョ ン コ ー ド フ ァ イ ルが実行 さ れ、 次にス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルがロー ド さ れます。 コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを ダウ ン ロー ド する際は、 フ ァ イル設定の内容ま たは用途 を表す フ ァ イ ル名を使用 し て く だ さ い。 実行中の コ ン フ ィ ギ ュ レ ーシ ョ ン に直接ダウ ン ロー ド する と 、 シ ス テムが リ ブー ト し 、 実行中の コ ン フ ィ ギ ュ レ ーシ ョ ンから パーマネ ン ト フ ァ イルに設定を コ ピーする こ と が必要にな り ます。 2-9 2 2-10 初期構成 第 3 章 : ス イ ッ チの構成 ウ ェ ブ イ ン タ ー フ ェ ースの使用 こ のス イ ッ チには HTTP ウ ェ ブ エージ ェ ン ト が組み込まれています。ウ ェ ブ ブ ラ ウザを使用 し て、 ス イ ッ チ を構成 し た り 、 統計情報を表示 し てネ ッ ト ワー ク ア ク テ ィ ビ テ ィ を監視する こ と がで き ま す。 ウ ェ ブ エ ー ジ ェ ン ト に ア ク セ ス す る には、 ネ ッ ト ワー ク 上の任意の コ ン ピ ュ ー タ から 標準のウ ェ ブ ブ ラ ウザ (Internet Explorer 5.0 以上ま たは Netscape 6.2 以上) を 使用 し ます。 注 : コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース (CLI) を使用 し て、 コ ン ソ ール ポー ト へのシ リ アル接続 や Telnet によ っ てス イ ッ チ を管理する こ と も可能です。 CLI の使用の詳細については、 第 4 章 「 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース」 を参照 し て く だ さ い。 ウ ェ ブ ブ ラ ウザか ら ス イ ッ チにア ク セスする前に、 必ず次の タ ス ク を実行 し て く だ さ い。 1. アウ ト バン ド シ リ アル接続、 BOOTP または DHCP プ ロ ト コルを使用 し て、 ス イ ッ チに 有効な IP ア ド レ ス、 サブネ ッ ト マ ス ク 、 およびデ フ ォ ル ト ゲー ト ウ ェ イ を構成 し ます (2-4 ページの 「IP ア ド レ スの設定」 を参照)。 2. アウ ト バン ド シ リ アル接続を使用 し て、 ユーザー名 と パスワー ド を設定 し ます。 ウ ェ ブ エ ー ジ ェ ン ト へのア ク セ スは、 オ ン ボー ド の構成プ ロ グ ラ ム と 同 じ ユーザー名 と パス ワー ド で管理 さ れます (2-3 ページの 「パスワー ド の設定」 を参照)。 3. ユーザー名 と パスワー ド の入力後、 シ ス テム構成プ ロ グ ラ ムにア ク セ ス で き る よ う にな り ます。 注 : 1. パスワー ド の入力回数は 3 回ま でです。3 回目に入力 し たパスワー ド が間違 っ ていた場合、 現在の接続が切断 さ れます。 2. ウ ェ ブ イ ン タ ー フ ェ ースにゲス ト と し て ログ イ ン し た場合 (Normal Exec レ ベル) 、 コ ン フ ィ ギ ュ レーシ ョ ン設定の表示およびゲス ト のパスワー ド 変更を行え ます。 「admin」 と し て ロ グ イ ン し た場合 (Privileged Exec レ ベル)、 すべてのページの設定を変更で き ます。 3. 管理ス テーシ ョ ン と このス イ ッ チ間のパスが、 スパニ ング ツ リ ー アルゴ リ ズムを使用す るデバイ ス を経由 し ていない場合、管理ス テーシ ョ ンに接続 さ れたス イ ッ チ ポー ト を高速 転送に設定する こ と によ り (「Admin Edge Port」 を有効化)、 ウ ェ ブ イ ン タ ー フ ェ ース を 通 じ て発行 さ れた管理 コ マ ン ド に対す る ス イ ッ チの応答時間を改善す る こ と がで き ます。 3-111 ページの 「イ ン タ ー フ ェ ース設定の構成」 を参照 し て く だ さ い。 3-1 3 ス イ ッ チの構成 ウ ェ ブ ブ ラ ウザ イ ン タ ー フ ェ ースのナビゲーシ ョ ン ウ ェ ブ ブ ラ ウザ イ ン タ ー フ ェ ースにア ク セスするには、 まずユーザー名 と パスワー ド を入力 す る必要があ り ます。 管理者は、 すべての構成パ ラ メ ー タ お よび統計情報への読み書き可能 ア ク セスが可能です。 管理者のデ フ ォ ル ト のユーザー名 と パスワー ド は 「admin」 です。 ホーム ページ ウ ェ ブ ブ ラ ウザでス イ ッ チのウ ェ ブ エージ ェ ン ト に接続する と 、次に示すよ う なホーム ペー ジが表示 さ れます。 ホーム ページには、 画面左側に メ イ ン メ ニ ュ ーが、 右側にシ ス テム情報 が表示 さ れます。 メ イ ン メ ニ ュ ーの リ ン クは、 ほかの メ ニ ュ ーに移動 し た り 、 構成パ ラ メ ー タ や統計情報を表示する際に使用 し ます。 図 3-1. ホーム ページ 注 : このマニ ュ アルに記載する例は 28 ポー ト ス イ ッ チに基づいています。 28 ポー ト ス イ ッ チ と 52 ポー ト ス イ ッ チでは、 固定ポー ト 数以外に大き な違いはあ り ません。 3-2 パネル表示 3 構成オプ シ ョ ン 構成可能なパ ラ メ ー タ にはダ イ ア ログ ボ ッ ク ス ま たは ド ロ ッ プ ダウン リ ス ト があ り ます。 特 定ページ で コ ン フ ィ ギ ュ レーシ ョ ン を変更 し た ら、 必ず 「Apply」 ボ タ ン を ク リ ッ ク し て新 し い コ ン フ ィ ギ ュ レ ーシ ョ ン を確定 し て く だ さ い。 次の表に、 ウ ェ ブ ページの構成ボ タ ン を ま と めます。 表 3-1. 構成オプ シ ョ ン ボタ ン アクシ ョ ン Revert 指定 さ れた値を取 り 消 し 、 「Apply」 を ク リ ッ ク する前の現在値を復元 し ます。 Apply 指定 さ れた値を シ ス テムに設定 し ます。 Help ウ ェ ブヘルプに直接 リ ン ク し ています。 注 : 1. 画面を正 し く 更新する には、Internet Explorer 5.x が次のよ う に構成 さ れてい る こ と を確認 し て く だ さ い。 「ツール」 メ ニ ュ ーの 「イ ン タ ーネ ッ ト オプ シ ョ ン」 を選択 し 、 「全般」 タ ブの 「イ ン タ ーネ ッ ト 一時フ ァ イル」 セ ク シ ョ ンの 「設定」 ボ タ ン を ク リ ッ ク し ます。 「保 存 し ている新 し いバージ ョ ンの確認」 項目で 「ページ を表示する ご と に確認する」 を オ ン に し て く だ さ い。 2. Internet Explorer 5.0 を使用する場合、 コ ン フ ィ ギ ュ レーシ ョ ンの変更後、 ブ ラ ウザの 「更 新」 ボ タ ン を ク リ ッ ク し て画面を更新する こ と が必要な場合があ り ます。 パネル表示 ウ ェ ブ エージ ェ ン ト にはス イ ッ チのポー ト イ メ ージが表示 さ れます。 「Mode」 を 「Active」 (稼動 / 非稼動)、 「Duplex」 (半 / 全二重)、 「Flow Control」 ( フ ロー制御の有 / 無) な どに設定 す る こ と に よ り 、 ポー ト の異な る情報を表示す る こ と がで き ます。 ポー ト イ メ ージ を ク リ ッ ク する と 、 「Port Configuration」 ページが開き ます。 このページについては、 3-77 ページ を参 照 し て く だ さ い。 図 3-2. パネル表示 3-3 3 ス イ ッ チの構成 メ イ ン メ ニュー オ ン ボー ド のウ ェ ブ エージ ェ ン ト を使用する と 、 シ ス テム パラ メ ー タ の定義、 ス イ ッ チ と そ の全ポー ト の管理お よ び制御、 ま たはネ ッ ト ワー ク 状態のモ ニ タ リ ン グ を行え ます。 次の表 に、 こ のプ ログ ラ ムで選択可能な メ ニ ュ ー項目について簡単に説明 し ます。 表 3-2. メ イ ン メ ニ ュ ー メ ニ ュー 説明 System ページ 3-10 System Information 連絡先な ど基本的なシ ス テムの説明を表示 し ます。 3-10 Switch Information ポー ト 数、ハー ド ウ ェ ア / フ ァ ームウ ェ アのバージ ョ ン番号、お よび電源のス テー タ ス を表示 し ます。 3-11 Bridge Extension Configuration ブ リ ッ ジ拡張パラ メ ー タ を表示 し ます。 3-13 IP Configuration 管理ア ク セス用の IP ア ド レ ス を設定 し ます。 3-14 ジ ャ ンボ フ レーム パケ ッ ト を有効に し ます。 3-17 Jumbo Frames File Management 3-17 Copy Operation フ ァ イルの転送および コ ピーを行えます。 3-17 Delete フ ラ ッ シ ュ メ モ リ ーか ら フ ァ イルを削除で き ます。 3-18 Set Start-Up ス タ ー ト ア ッ プ フ ァ イルを設定 し ます。 3-18 Line 3-22 Console コ ン ソ ール ポー ト 接続パラ メ ー タ を設定 し ます。 3-22 Telnet Telnet 接続パラ メ ー タ を設定 し ます。 3-24 Log 3-26 Logs エ ラ ー メ ッ セージの保存 と 表示を行います。 3-26 System Logs エ ラ ー メ ッ セージ を ロギング プ ロ セスに送信 し ます。 3-26 Remote Logs リ モ ー ト の ロ ギ ン グ プ ロ セ ス に メ ッ セー ジ を ロ ギ ン グす る よ う 構成 し ます。 3-28 SMTP SMTP ク ラ イ ア ン ト メ ッ セージ を参加サーバーに送信 し ます。 3-29 ス イ ッ チ を再起動 し ます。 3-31 Reset SNTP 3-31 Configuration SNTP ク ラ イ ア ン ト のブ ロ ー ド キ ャ ス ト モ ー ド や指定のサー バー リ ス ト な どの設定を構成 し ます。 3-32 Clock Time Zone シ ス テム ク ロ ッ クのロー カル タ イ ム ゾーン を設定 し ます。 3-32 SNMP 3-33 Configuration コ ミ ュ ニ テ ィ ス ト リ ン グお よび関連 ト ラ ッ プ機能を構成 し ます。 3-34 Agent Status SNMP エージ ェ ン ト ス テー タ ス を有効または無効に し ます。 3-36 こ のス イ ッ チの SNMP v3 エ ン ジ ン ID を設定 し ます。 3-36 SNMPv3 Engine ID 3-4 3-36 メ イ ン メ ニュー 3 表 3-2. メ イ ン メ ニ ュ ー (続き) メ ニ ュー 説明 ページ Remote Engine ID リ モー ト デバイ スの SNMP v3 エ ン ジ ン ID を設定 し ます。 3-37 Users こ のス イ ッ チの SNMP v3 ユーザーを構成 し ます。 3-38 Remote Users リ モー ト デバイ スの SNMP v3 ユーザーを構成 し ます。 3-40 Groups SNMP v3 グループ を構成 し ます。 3-41 Views SNMP v3 ビ ュ ーを構成 し ます。 3-44 Security 3-46 User Accounts 現在のユーザーに新規パスワー ド を割 り 当てます。 3-46 Authentication Settings 認証シーケ ン ス、 RADIUS、 および TACACS を構成 し ます。 3-48 HTTPS Settings セキ ュ ア HTTP 設定を構成 し ます。 3-50 SSH 3-52 Settings セキ ュ ア シ ェ ル サーバー設定を構成 し ます。 Host-Key Settings 3-57 ホス ト キー ペア (公開お よびプ ラ イ ベー ト ) を生成 し ます。 3-55 Port Security ス テー タ ス、 セキ ュ リ テ ィ 違反への対応、 最大許容 MAC ア ド レ ス数な ど、 ポー ト ご と のセキ ュ リ テ ィ を構成 し ます。 3-57 802.1X ポー ト 認証 3-58 Information グローバル コ ン フ ィ ギ ュ レーシ ョ ン設定を表示 し ます。 3-60 Configuration グローバル コ ン フ ィ ギ ュ レーシ ョ ン設定を構成 し ます。 3-60 Port Configuration 個々のポー ト のパラ メ ー タ を設定 し ます。 3-61 Statistics 選択 さ れたポー ト のプ ロ ト コ ル統計情報を表示 し ます。 3-64 ACL 3-65 Configuration IP または MAC ア ド レ スに基づ く パケ ッ ト フ ィ ル タ リ ング を構 成 し ます。 3-65 Port Binding 指定 さ れた ACL にポー ト をバイ ン ド し ます。 3-71 ウ ェ ブ、 SNMP、 および Telnet によ る管理ア ク セス を許可する ク ラ イ ア ン ト の IP ア ド レ ス を設定 し ます。 3-72 ポー ト 接続ス テー タ ス を表示 し ます。 3-74 IP Filter Port 3-74 Port Information Trunk Information ト ラ ン ク接続ス テー タ ス を表示 し ます。 3-74 Port Configuration ポー ト 接続設定を構成 し ます。 3-77 Trunk Configuration ト ラ ン ク接続設定を構成 し ます。 3-77 Trunk Membership ス タ テ ィ ッ ク ト ラ ン ク にグループ化するポー ト を指定 し ます。 3-80 LACP 3-81 Configuration ポー ト を動的に ト ラ ン ク に参加 さ せる こ と がで き ます。 3-81 Aggregation Port リ ン ク アグ レ ゲーシ ョ ン グループ メ ンバーのパ ラ メ ー タ を構 成 し ます。 3-83 3-5 3 ス イ ッ チの構成 表 3-2. メ イ ン メ ニ ュ ー (続き) メ ニ ュー 説明 ページ Port Counters Information LACP プ ロ ト コル メ ッ セージの統計情報を表示 し ます。 3-85 Port Internal Information ロー カル側の設定 と オペ レーシ ョ ン状態を表示 し ます。 3-87 Port Neighbors Information リ モー ト 側の設定 と オペ レーシ ョ ン状態を表示 し ます。 3-89 Port Broadcast Control 各ポー ト のブ ロー ド キ ャ ス ト ス ト ーム し き い値を設定 し ます。 3-90 Trunk Broadcast Control 各 ト ラ ン クのブ ロー ド キ ャ ス ト ス ト ーム し き い値を設定 し ます。 3-90 Mirror Port Configuration ミ ラ ー リ ングのソ ースおよび タ ーゲ ッ ト ポー ト を設定 し ます。 3-92 Rate Limit Input Port Configuration 3-93 各ポー ト の入力レー ト リ ミ ッ ト を設定 し ます。 3-93 Input 各 ト ラ ン クの入力レー ト リ ミ ッ ト を設定 し ます。 Trunk Configuration 3-93 Output Port Configuration ポー ト の出力レー ト リ ミ ッ ト を設定 し ます。 3-93 Output Trunk Configuration ト ラ ン クの出力レー ト リ ミ ッ ト を設定 し ます。 3-93 Port Statistics イ ーサネ ッ ト および RMON ポー ト の統計情報を表示 し ます。 Address Table 3-94 3-98 Static Addresses イ ン タ ー フ ェ ース、 ア ド レ ス、 ま たは VLAN のエ ン ト リ を表示 し ます。 3-98 Dynamic Addresses ア ド レ ス テーブルのス タ テ ィ ッ ク エ ン ト リ を表示ま たは編集 し ます。 3-99 Address Aging 動的に学習 し たエ ン ト リ の タ イムアウ ト を設定 し ます。 3-100 Spanning Tree 3-101 STA 3-101 Information ブ リ ッ ジに使用 さ れる STA 値を表示 し ます。 3-102 Configuration STA および RSTP のグローバル ブ リ ッ ジ設定を構成 し ます。 3-104 Port Information STA の個々のポー ト 設定を表示 し ます。 3-108 Trunk Information STA の個々の ト ラ ン ク設定を表示 し ます。 3-108 Port Configuration STA の個々のポー ト 設定を構成 し ます。 3-111 Trunk Configuration STA の個々の ト ラ ン ク設定を構成 し ます。 MSTP VLAN Configuration スパニ ン グ ツ リ ー イ ン ス タ ン スのプ ラ イ オ リ テ ィ と VLAN を 構成 し ます。 3-6 3-111 3-113 3-113 メ イ ン メ ニュー 3 表 3-2. メ イ ン メ ニ ュ ー (続き) メ ニ ュー Port Information 説明 ページ 指定 さ れた MST イ ン ス タ ン スのポー ト 設定を表示 し ます。 3-116 Trunk Information 指定 さ れた MST イ ン ス タ ン スの ト ラ ン ク設定を表示 し ます。 3-116 Port Configuration 指定 さ れた MST イ ン ス タ ン スのポー ト 設定を構成 し ます。 3-117 Trunk Configuration 指定 さ れた MST イ ン ス タ ン スの ト ラ ン ク設定を構成 し ます。 VLAN 3-117 3-119 802.1Q VLAN 3-119 Basic Information こ のス イ ッ チでサポー ト さ れている VLAN タ イ プに関する情報 3-122 を表示 し ます。 Current Table 各 VLAN の現在のポー ト メ ンバー と 、 そのポー ト が タ グ付きか 3-123 タ グな し かを表示 し ます。 Static List VLAN グループ を作成または削除する際に使用 し ます。 3-125 Static Table 既存の VLAN の設定を変更 し ます。 3-126 Static Membership by Port タ グ付き、 タ グな し 、 禁止な ど、 イ ン タ ー フ ェ ースの メ ンバー シ ッ プ タ イ プ を構成 し ます。 3-128 Port Configuration デ フ ォル ト の PVID および VLAN 属性を指定 し ます。 Trunk Configuration デ フ ォル ト の ト ラ ン ク VID および VLAN 属性を指定 し ます。 Private VLAN 3-129 3-129 3-131 Information プ ラ イ ベー ト VLAN 機能情報を表示 し ます。 Configuration こ のページは、 プ ラ イ マ リ ま たは コ ミ ュ ニ テ ィ VLAN を作成 / 3-133 削除する際に使用 し ます。 Association 各コ ミ ュ ニ テ ィ VLAN はプ ラ イ マ リ VLAN に関連付ける必要が 3-134 あ り ます。 Port Information VLAN ポー ト タ イ プ と 、 関連付け られている プ ラ イ マ リ または 3-135 セ カ ン ダ リ VLAN を表示 し ます。 Port Configuration プ ラ イ ベー ト VLAN イ ン タ ー フ ェ ース タ イ プ を設定 し 、 イ ン タ ー フ ェ ース を プ ラ イ ベー ト VLAN に関連付けます。 Trunk Information VLAN ポー ト タ イ プ と 、 関連付け られている プ ラ イ マ リ または 3-135 セ カ ン ダ リ VLAN を表示 し ます。 Trunk Configuration プ ラ イ ベー ト VLAN イ ン タ ー フ ェ ース タ イ プ を設定 し 、 イ ン タ ー フ ェ ース を プ ラ イ ベー ト VLAN に関連付けます。 Protocol VLAN 3-132 3-136 3-136 3-137 Configuration プ ロ ト コ ル VLAN を構成 し ます。 Port Configuration プ ロ ト コ ル VLAN のポー ト タ イ プ と 、 関連付け る プ ロ ト コ ル 3-138 VLAN を構成 し ます。 Priority 3-137 3-139 Default Port Priority 各ポー ト のデ フ ォル ト プ ラ イ オ リ テ ィ を設定 し ます。 3-139 Default Trunk Priority 各 ト ラ ン クのデ フ ォル ト プ ラ イ オ リ テ ィ を設定 し ます。 3-139 3-7 3 ス イ ッ チの構成 表 3-2. メ イ ン メ ニ ュ ー (続き) メ ニ ュー 説明 ページ Traffic Classes IEEE 802.1p プ ラ イ オ リ テ ィ タ グ を出力キ ュ ーにマ ッ ピ ング し ます。 3-140 Traffic Classes Status ト ラ フ ィ ッ ク ク ラ ス プ ラ イ オ リ テ ィ を有効 / 無効に し ます (未 3-142 実装)。 Queue Mode キ ュ ー モー ド を ス ト リ ク ト プ ラ イ オ リ テ ィ ま たは加重 ラ ウ ン ド ロ ビ ンに設定 し ます。 3-142 Queue Scheduling 加重ラ ウン ド ロ ビ ン キ ュ ー イ ングを構成 し ます。 3-143 IP DSCP Priority Status DSCP プ ラ イ オ リ テ ィ をグローバルに選択するか、無効に し ます。 3-144 IP DSCP Priority DSCP タ グをサービ ス ク ラ ス値にマ ッ ピ ング し 、 IP 差別化サー 3-145 ビ ス コ ー ド ポ イ ン ト プ ラ イ オ リ テ ィ を設定 し ます。 QoS 3-147 DiffServ 3-147 Class Map ク ラ ス マ ッ プ を設定 し ます。 3-148 Policy Map ポ リ シー マ ッ プ を設定 し ます。 3-150 Service Policy ポー ト のサービ ス ポ リ シー設定を定義 し ます。 3-153 IGMP Snooping 3-154 IGMP Configuration マルチキ ャ ス ト フ ィ ル タ リ ングを有効に し 、マルチキ ャ ス ト ク エ リ ーのパラ メ ー タ を構成 し ます。 3-155 IGMP Immediate Leave 即時 リ ーブ機能を有効に し ます。 3-157 Multicast Router Port Information VLAN ID ご と に、隣接マルチキ ャ ス ト ルー タ に接続 さ れたポー ト を表示 し ます。 3-157 Static Multicast Router 隣接マルチキ ャ ス ト ルー タ に接続 さ れたポー ト の割当て を 行 3-158 Port Configuration います。 IP Multicast Registration Table マルチキ ャ ス ト IP ア ド レ スや VLAN ID な ど、 こ のス イ ッ チで ア ク テ ィ ブ なマルチキ ャ ス ト グループ をすべて表示 し ます。 3-159 IGMP Member Port Table 選択 さ れた VLAN に関連付け ら れてい る マルチキ ャ ス ト ア ド レ ス を表示 し ます。 3-160 MVR 3-162 Configuration MVR のグローバルな有効化、 MVR VLAN の設定、 マルチキ ャ ス ト ス ト リ ーム ア ド レ スの追加を行います。 Port Information MVR イ ン タ ー フ ェ ース タ イ プ、 MVR のオペ レーシ ョ ン と ア ク 3-164 テ ィ ビ テ ィ のス テー タ ス、 および即時 リ ーブ ス テー タ ス を表示 し ます。 Trunk Information MVR イ ン タ ー フ ェ ース タ イ プ、 MVR のオペ レーシ ョ ン と ア ク 3-164 テ ィ ビ テ ィ のス テー タ ス、 および即時 リ ーブ ス テー タ ス を表示 し ます。 Group IP Information MVR マルチキ ャ ス ト ス ト リ ームに接続 さ れたポー ト を表示 し ます。 3-8 3-163 3-165 メ イ ン メ ニュー 3 表 3-2. メ イ ン メ ニ ュ ー (続き) メ ニ ュー 説明 ページ Port Configuration MVR イ ン タ ー フ ェ ース タ イ プ と 即時 リ ーブ ス テー タ ス を構成 3-166 し ます。 Trunk Configuration MVR イ ン タ ー フ ェ ース タ イ プ と 即時 リ ーブ ス テー タ ス を構成 3-166 し ます。 Group Member Configuration イ ン タ ー フ ェ ースに MVR マルチキ ャ ス ト ス ト リ ームを静的に 割 り 当てます。 DHCP Snooping 3-167 3-168 Configuration DHCP ス ヌ ーピ ング と DHCP ス ヌ ーピ ング MAC ア ド レ ス照合 3-169 を有効に し ます。 VLAN Configuration VLAN で DHCP ス ヌ ーピ ング を有効に し ます。 3-170 Information Option Configuration DHCP ス ヌ ーピ ング情報オプ シ ョ ン を有効に し ます。 3-171 Port Configuration DHCP ス ヌ ーピ ング情報オプ シ ョ ン ポ リ シーを選択 し ます。 3-172 Binding Information DHCP ス ヌ ーピ ング バイ ンデ ィ ン グ情報を表示 し ます。 3-172 IP Source Guard 3-173 Port Configuration ポー ト ご と に IP ソ ース ガー ド を有効に し 、 フ ィ ル タ タ イ プ を 選択 し ます。 3-173 Static Configuration ソ ースガー ド バイ ンデ ィ ン グ テーブルにス タ テ ィ ッ ク ア ド レ ス を追加 し ます。 3-175 Dynamic Information 選択 さ れた イ ン タ ー フ ェ ー スの ソ ース ガー ド バ イ ン デ ィ ン グ テーブルを表示 し ます。 3-176 Cluster Configuration 3-177 ス イ ッ チでグローバルに ク ラ ス タ リ ング を有効に し ます。 3-177 Member Configuration ク ラ ス タ にス イ ッ チ メ ンバーを追加 し ます。 3-178 Member Information 3-179 ク ラ ス タ メ ンバー ス イ ッ チ情報を表示 し ます。 Candidate Information ネ ッ ト ワー ク候補ス イ ッ チ情報を表示 し ます。 3-179 3-9 3 ス イ ッ チの構成 基本構成 シ ス テム情報の表示 デバイ ス名、位置、および連絡先情報を表示 し て、シ ス テムを簡単に特定する こ と がで き ます。 フ ィ ール ド 属性 • 「System Name」 – ス イ ッ チ シ ス テムに付け られた名前 • 「Object ID」 – ス イ ッ チのネ ッ ト ワー ク管理サブ シ ス テム用の MIB II オブ ジ ェ ク ト ID • 「Location」 – シ ス テム位置を指定 し ます。 • 「Contact」 – シ ス テムを担当する管理者 • 「System Up Time」 – 管理エージ ェ ン ト の稼動時間 CLI では、 さ ら に次のパラ メ ー タ が表示 さ れます。 • 「MAC Address」 – このス イ ッ チの物理レ イ ヤー ア ド レ ス • 「Web server」 – HTTP によ る管理ア ク セスが有効に さ れているかど う かが示 さ れます。 • 「Web server port」 – ウ ェ ブ イ ン タ ーフ ェ ースで使用さ れる TCP ポー ト 番号が示 さ れます。 • 「Web secure server」 – HTTPS によ る管理ア ク セスが有効に さ れていかど う かが示 さ れます。 • 「Web secure server port」 – HTTPS イ ン タ ー フ ェ ースで使用 さ れる TCP ポー ト が示 さ れ ます。 • 「Telnet server」 – Telnet に よ る管理ア ク セ スが有効に さ れているかど う かが示 さ れます。 • 「Telnet port」 – Telnet イ ン タ ー フ ェ ース で使用 さ れる TCP ポー ト が示 さ れます。 • 「Jumbo Frame」 – ジ ャ ンボ フ レームが有効に さ れているかど う かが示 さ れます。 • 「POST result」 – パワーオ ン セル フ テ ス ト の結果が示 さ れます。 ウ ェ ブ – 「System」 、 「System Information」 の順に ク リ ッ ク し ます。 シ ス テム名、 位置、 お よ びシ ス テム管理者の連絡先情報 を指定 し 、 「Apply」 を ク リ ッ ク し ま す ( こ のページ には、 Telnet で コ マ ン ド ラ イ ン イ ン タ ー フ ェ ースにア ク セスする ための 「Telnet」 ボ タ ン も表示 さ れる)。 図 3-3. シ ス テム情報 3-10 基本構成 3 CLI – ホス ト 名、 位置、 および連絡先情報を指定 し ます。 Console(config)#hostname R&D 5 4-25 Console(config)#snmp-server location WC 9 4-103 Console(config)#snmp-server contact Ted 4-103 Console(config)#exit Console#show system 4-63 System description : ES3528M System OID string : 1.3.6.1.4.1.259.6.10.94 System information System Up time : 0 days, 0 hours, 14 minutes, and 32.93 seconds System Name : [NONE] System Location : [NONE] System Contact : [NONE] MAC address : 00-00-35-28-10-03 Web server : enabled Web server port : 80 Web secure server : enabled Web secure server port : 443 Telnet server : enable Telnet port : 23 Jumbo Frame : Disabled POST result UART Loopback Test ........... PASS DRAM Test .................... PASS Timer Test ................... PASS PCI Device 1 Test ............ PASS I2C Bus Initialization ....... PASS Switch Int Loopback Test ..... PASS Fan Speed Test ............... PASS Done All Pass. Console# ス イ ッ チのハー ド ウ ェ ア / ソ フ ト ウ ェ ア バージ ョ ンの表示 メ イ ン ボー ド および管理 ソ フ ト ウ ェ アのハー ド ウ ェ ア / フ ァ ームウ ェ ア バージ ョ ン番号や、 シ ス テムの電源ス テー タ ス を表示する には、 「Switch Information」 ページ を使用 し ます。 フ ィ ール ド 属性 Main Board • 「Serial Number」 – ス イ ッ チのシ リ アル番号 • 「Number of Ports」 – 組込み RJ-45 ポー ト の数 • 「Hardware Version」 – メ イ ン ボー ド のハー ド ウ ェ ア バージ ョ ン • 「Internal Power Status」 – 内部電源のス テー タ スが表示 さ れます。 Management Software • 「EPLD Version」 – EPLD (Electronically Programmable Logic Device) コ ー ド のバージ ョ ン番号 • 「Loader Version」 – ローダー コ ー ド のバージ ョ ン番号 • 「Boot-ROM Version」 – パワーオン セルフ テ ス ト (POST)およびブー ト コ ー ド のバージ ョ ン • 「Operation Code Version」 – ラ ン タ イ ム コ ー ド のバージ ョ ン番号 • 「Role」 – このス イ ッ チがマス タ ーまたはス レーブ と し て動作 し ている こ と が示 さ れます。 3-11 3 ス イ ッ チの構成 ウ ェ ブ – 「System」、 「Switch Information」 の順に ク リ ッ ク し ます。 図 3-4. ス イ ッ チ情報 CLI – バージ ョ ン情報を表示するには、 次の コ マ ン ド を使用 し ます。 Console#show version Unit 1 Serial number: Hardware version: EPLD Version: Number of ports: Main power status: Redundant power status: 4.04 28 Up Not present Agent (master) Unit ID: Loader version: Boot ROM version: Operation code version: 1 0.0.0.5 0.0.0.8 0.0.1.2 Console# 3-12 4-64 基本構成 3 ブ リ ッ ジ拡張機能の表示 ブ リ ッ ジ MIB は、 マルチキ ャ ス ト フ ィ ル タ リ ン グ、 ト ラ フ ィ ッ ク ク ラ ス、 およびバーチ ャ ル LAN をサポー ト する管理対象デバイ ス用の拡張機能を備え ています。 こ れら の拡張機能にア ク セス し 、 キー変数のデ フ ォル ト 設定を表示する こ と がで き ます。 フ ィ ール ド 属性 • 「Extended Multicast Filtering Services」 – こ のス イ ッ チでは、GMRP (GARP マルチキ ャ ス ト 登録プ ロ ト コル) に基づ く 個々のマルチキ ャ ス ト ア ド レ スのフ ィ ル タ リ ングがサポー ト さ れません。 • 「Traffic Classes」 – こ のス イ ッ チでは、ユーザー プ ラ イ オ リ テ ィ を複数の ト ラ フ ィ ッ ク ク ラ スにマ ッ ピ ングで き ます (3-139 ページの 「サービ ス ク ラ スの構成」 を参照)。 • 「Static Entry Individual Port」 – こ のス イ ッ チでは、 ユニキ ャ ス ト およびマルチキ ャ ス ト ア ド レ スのス タ テ ィ ッ ク フ ィ ル タ リ ングが可能です (3-98 ページの 「ス タ テ ィ ッ ク ア ド レ スの設定」 を参照)。 • 「VLAN Learning」 – こ のス イ ッ チでは SVL (Shared VLAN Learning) が使用 さ れます。 す べての VLAN で同 じ ア ド レ ス テーブルが共有 さ れます。 • 「Configurable PVID Tagging」 – このス イ ッ チでは、各ポー ト のデ フ ォル ト のポー ト VLAN ID (フ レーム タ グで使用 さ れる PVID) および イ グ レ ス ス テー タ ス (VLAN タ グ付き また は タ グな し ) を上書き する こ と がで き ます (3-119 ページの 「VLAN の構成」 を参照)。 • 「Local VLAN Capable」 – こ のス イ ッ チでは、802.1Q で定義 さ れた VLAN の範囲外の複数 ロー カル ブ リ ッ ジがサポー ト さ れません。 • 「GMRP」 – GARP マルチキ ャ ス ト 登録プ ロ ト コ ル (GMRP) に よ り 、 ネ ッ ト ワー ク デバイ スはエ ン ド ス テーシ ョ ン を複数のグループに登録で き ます。 こ のス イ ッ チでは GMRP がサ ポー ト さ れません。 イ ン タ ーネ ッ ト グループ マネジ メ ン ト プ ロ ト コ ル (IGMP) を使用す る こ と によ っ て自動マルチキ ャ ス ト フ ィ ル タ リ ング機能が提供 さ れます。 ウ ェ ブ – 「System」、 「Bridge Extension Configuration」 の順に ク リ ッ ク し ます。 図 3-5. ブ リ ッ ジ拡張 コ ン フ ィ ギ ュ レーシ ョ ン 3-13 3 ス イ ッ チの構成 CLI – 次の コ マ ン ド を入力 し ます。 Console#show bridge-ext Max support VLAN numbers: Max support VLAN ID: Extended multicast filtering services: Static entry individual port: VLAN learning: Configurable PVID tagging: Local VLAN capable: Traffic classes: Global GVRP status: GMRP: Console# 4-161 256 4094 No Yes SVL Yes No Enabled Disabled Disabled ス イ ッ チの IP ア ド レ スの設定 こ の項目では、 ネ ッ ト ワー ク を介 し て管理ア ク セス を行 う ための IP イ ン タ ー フ ェ ース を構成 する方法について説明 し ます。 デ フ ォ ル ト では、 ス タ ッ ク の IP ア ド レ スは DHCP に よ っ て取 得 さ れ ま す。 ア ド レ ス を 手動 で 構成す る には、 ス イ ッ チ のデ フ ォ ル ト 設定 (IP ア ド レ ス 192.168.1.1、 ネ ッ ト マ ス ク 255.255.255.0) を、 ご使用のネ ッ ト ワー ク に適 し た値に変更す る必要があ り ます。 さ ら に、 ス タ ッ ク と 別のネ ッ ト ワー ク セグ メ ン ト 上の管理ス テーシ ョ ン 間にデ フ ォル ト ゲー ト ウ ェ イ を設定する こ と が必要にな る場合も あ り ます。 特定の IP ア ド レ ス を手動で構成する こ と も、BOOTP または DHCP サーバーから ア ド レ ス を 取得する よ う デバイ スに指示する こ と も で き ます。 有効な IP ア ド レ スは、 ピ リ オ ド で区切 ら れた 0 ~ 255 の 4 つの 10 進数で構成 さ れます。 この形式に従っ ていないア ド レ スは CLI プ ログ ラ ムで受理 さ れません。 コ マ ン ド 属性 • 「Management VLAN」 – 構成済み VLAN の ID (1 ~ 4094、 先行ゼロは不可)。 デ フ ォル ト では、 ス イ ッ チのすべてのポー ト が VLAN 1 の メ ンバーにな り ます。 ただ し 、 管理ス テー シ ョ ンについては、 IP ア ド レ スが割 り 当て ら れている VLAN であれば、 任意の VLAN に属 するポー ト に接続で き ます。 • 「IP Address Mode」 – IP 機能が手動構成 (ス タ テ ィ ッ ク)、 ダ イ ナ ミ ッ ク ホス ト 構成プ ロ ト コル (DHCP)、 ブー ト プ ロ ト コル (BOOTP) のどれによ っ て有効に さ れるかを指定 し ます。 DHCP/BOOTP が有効に さ れている場合、 サーバーから応答を受信する ま で IP は機 能 し ま せん。 ス イ ッ チ か ら IP ア ド レ ス の要求が定期的 に ブ ロ ー ド キ ャ ス ト さ れ ま す (DHCP/BOOTP 値に IP ア ド レ ス、 サブネ ッ ト マ ス ク 、 およびデ フ ォ ル ト ゲー ト ウ ェ イ を 含める こ と が可能)。 • 「IP Address」 – 管理ア ク セスが許可 さ れている VLAN イ ン タ ー フ ェ ースのア ド レ ス。 有効 な ア ド レ スは、 ピ リ オ ド で区切 られた 0 ~ 255 の 4 つの数値で構成 さ れます (デ フ ォル ト : 0.0.0.0)。 • 「Subnet Mask」 – こ のマス クは、特定サブ ネ ッ ト へのルーテ ィ ングに使用 さ れる ホス ト ア ド レ ス ビ ッ ト を示 し ます (デ フ ォ ル ト : 255.0.0.0)。 • 「Gateway IP address」 – こ のデバイ ス と ほかのネ ッ ト ワー ク セグ メ ン ト 上の管理ス テー シ ョ ン間にあ るゲー ト ウ ェ イ ルー タ の IP ア ド レ ス (デ フ ォル ト : 0.0.0.0)。 • 「MAC Address」 – このス イ ッ チの物理レ イ ヤー ア ド レ ス • 「Restart DHCP」 – DHCP サーバーに新規ア ド レ ス を要求 し ます。 3-14 基本構成 3 手動構成 ウ ェ ブ – 「System」、 「IP Configuration」 の順に ク リ ッ ク し ます。 管理ス テーシ ョ ン を接続す る VLAN を選択 し 、 「IP Address Mode」 を 「Static」 に設定 し ます。 次に、 IP ア ド レ ス、 サ ブネ ッ ト マス ク、 およびゲー ト ウ ェ イ を入力 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-6. 手動によ る IP の構成 CLI – 管理イ ン タ ー フ ェ ース、 IP ア ド レ ス、 およびデ フ ォル ト ゲー ト ウ ェ イ を指定 し ます。 Console#config Console(config)#interface vlan 1 Console(config-if)#ip address 192.168.1.1 255.255.255.0 Console(config-if)#exit Console(config)#ip default-gateway 0.0.0.0 Console(config)# 4-115 4-214 4-215 3-15 3 ス イ ッ チの構成 DHCP/BOOTP の使用 ご使用のネ ッ ト ワー ク で DHCP/BOOTP サービ スが提供 さ れる場合、 ス イ ッ チの構成を こ れ らのサービ スによ っ て動的に行 う よ う 構成する こ と がで き ます。 ウ ェ ブ – 「System」、 「IP Configuration」 の順に ク リ ッ ク し ます。 管理ス テーシ ョ ン を接続す る VLAN を指定 し 、「IP Address Mode」 を 「DHCP」 または 「BOOTP」 に設定 し ます。「Apply」 を ク リ ッ ク し て変更内容を保存 し ます。 次に、 「Restart DHCP」 を ク リ ッ ク し て新規ア ド レ ス を直ちに要求 し ます。 電源を リ セ ッ ト する たびに、 ス イ ッ チから も IP コ ン フ ィ ギ ュ レーシ ョ ン設定要求がブ ロー ド キ ャ ス ト さ れます。 図 3-7. DHCP によ る IP の構成 注 : 管理接続を失っ た場合、 コ ン ソ ール接続を使用 し て 「show ip interface」 と 入力 し 、 新規ス イ ッ チ ア ド レ ス を決定で き ます。 CLI – 管理イ ン タ ー フ ェ ース を指定 し 、IP ア ド レ ス モー ド を DHCP ま たは BOOTP に設定 し て、 「ip dhcp restart」 コ マ ン ド を入力 し ます。 Console#config Console(config)#interface vlan 1 Console(config-if)#ip address dhcp Console(config-if)#end Console#ip dhcp restart Console#show ip interface IP address and netmask: 192.168.1.1 255.255.255.0 on VLAN 1, and address mode: User specified. Console# 4-115 4-214 4-216 4-217 DCHP の更新 – DHCP では、 ク ラ イ ア ン ト にア ド レ ス を無期限に、 または特定期間に渡っ て リ ースする こ と がで き ます。ア ド レ スが期限切れになるかス イ ッ チが別のネ ッ ト ワーク セグ メ ン ト に移動さ れる と 、 このス イ ッ チへの管理ア ク セスが失われます。 この場合、 ス イ ッ チ を リ ブー ト するか、 DHCP サービ ス を再起動する よ う CLI で ク ラ イ ア ン ト 要求を発行で き ます。 3-16 基本構成 3 ウ ェ ブ – DHCP によ っ て割 り 当て ら れたア ド レ スが機能 し な く な っ た場合、 IP 設定の更新を ウ ェ ブ イ ン タ ー フ ェ ースか ら 行 う こ と はで き ません。 ウ ェ ブ イ ン タ ー フ ェ ースか ら DHCP サービ ス を再起動で き るのは、 現在のア ド レ スが使用可能な場合のみです。 CLI – DHCP サービ ス を再起動する には、 次の コ マ ン ド を使用 し ます。 Console#ip dhcp restart Console# 4-216 ジ ャ ン ボ フ レームの有効化 ジ ャ ンボ フ レームを有効にする と 、 最大 9000 バイ ト ま でのデー タ パケ ッ ト をサポー ト で き ます。 コ マ ン ド 属性 • 「Jumbo Packet Status」 – チ ェ ッ ク ボ ッ ク ス を オ ンにする と 、 ジ ャ ンボ フ レームが有効に な り ます。 ウ ェ ブ – 「System」、 「Jumbo Frames」 の順に ク リ ッ ク し ます。 図 3-8. ブ リ ッ ジ拡張 コ ン フ ィ ギ ュ レーシ ョ ン CLI – 次の コ マ ン ド を入力 し ます。 Console#config Console(config)#jumbo frame Console(config)# フ ァ ームウ ェ アの管理 フ ァ ームウ ェ ア を TFTP サーバーにア ッ プ ロー ド し た り 、TFTP サーバーから ダウン ロー ド す る こ と がで き ます。 また、 フ ァ イルを ス タ ッ ク内のス イ ッ チ ユニ ッ ト に コ ピー し た り 、ス イ ッ チ ユニ ッ ト から コ ピーする こ と も可能です。 ラ ン タ イ ム コ ー ド を TFTP サーバー上のフ ァ イ ルに保存する と 、 こ の フ ァ イ ルを後で ス イ ッ チにダウ ン ロ ー ド し て、 オペ レ ーシ ョ ン を復元 す る こ と がで き ます。 以前のバージ ョ ン を上書きせずに、 新規 フ ァ ームウ ェ ア を使用する よ う ス イ ッ チ を設定する こ と も 可能です。 フ ァ イルの転送方法 と 、 必要な場合はフ ァ イル タ イ プ と フ ァ イル名を指定する必要があ り ます。 コ マ ン ド 属性 • 「File Transfer Method」 – フ ァ ームウ ェ アの コ ピー オペ レーシ ョ ン と し て次のオプ シ ョ ン を選択で き ます。 - 「file to file」 – フ ァ イルに新 し い名前を付けてス イ ッ チ デ ィ レ ク ト リ に コ ピー し ます。 3-17 3 ス イ ッ チの構成 - 「file to tftp」 – ス イ ッ チか ら TFTP サーバーに フ ァ イルを コ ピー し ます。 - 「tftp to file」 – TFTP サーバーから ス イ ッ チに フ ァ イルを コ ピー し ます。 • 「TFTP Server IP Address」 – TFTP サーバーの IP ア ド レ ス • 「File Type 」 – フ ァ ームウ ェ ア を コ ピーする オペ コ ー ド (命令) を指定 し ます。 • 「File Name」 – フ ァ イル名にはス ラ ッ シ ュ (\ または /) を含める こ と はで き ません。 また、 フ ァ イル名の先頭文字にはピ リ オ ド (.) を使用で き ません。 フ ァ イル名の最大長は、 TFTP サーバーでは 127 文字、 ス イ ッ チでは 31 文字です (有効な文字 : A ~ Z、 a ~ z 、 0 ~ 9、 「.」、 「-」、 「_」)。 注 : ス イ ッ チ上のフ ァ イル デ ィ レ ク ト リ には、 シ ス テム ソ フ ト ウ ェ ア (ラ ン タ イ ム フ ァ ームウ ェ ア) の コ ピ ー を 2 個ま で保存で き ます。 現在指定 さ れてい る こ の フ ァ イ ルのス タ ー ト ア ッ プ バージ ョ ン を削除する こ と はで き ません。 サーバーから のシ ス テム ソ フ ト ウ ェ アのダウン ロー ド ラ ン タ イ ム コ ー ド を ダウ ン ロー ド する場合、 ダウ ン ロー ド 先 フ ァ イル名を指定 し て現在のイ メ ージ を置換 し た り 、 現在のラ ン タ イ ム コ ー ド フ ァ イル と は異な る名前で フ ァ イルを ダウ ン ロー ド し 、 新規フ ァ イルを ス タ ー ト ア ッ プ フ ァ イル と し て設定する こ と がで き ます。 ウ ェ ブ – 「System」、 「File Management」、 「Copy Operation」 の順に ク リ ッ ク し ます。 フ ァ イル転送方法 と し て 「tftp to file」 を選択 し 、 TFTP サーバーの IP ア ド レ ス を入力 し ます。 フ ァ イル タ イ プ を 「opcode」 に設定 し 、 ダウン ロー ド する ソ フ ト ウ ェ アの フ ァ イル名を入力 し ま す。次に、上書きする ス イ ッ チ上のフ ァ イルを選択するか新規 フ ァ イル名を指定 し て、「Apply」 を ク リ ッ ク し ます。 ス タ ー ト ア ッ プに使用 さ れている現在の フ ァ ームウ ェ ア を置換 し た場合、 新 し いオペレーシ ョ ン コ ー ド を使用 し て起動するには、 「System」 の 「Reset」 メ ニ ュ ーか ら シ ス テムを リ ブー ト し ます。 図 3-9. フ ァ ームウ ェ アの コ ピー 新 し い保存先 フ ァ イルにダウン ロー ド し た場合、 「System」 、 「File」 、 「Set Start-Up」 の順に メ ニ ュ ーを選択 し 、ス タ ー ト ア ッ プ時に使用する オペ レーシ ョ ン コ ー ド フ ァ イルのラ ジオ ボ タ ン を オ ンに し て、 「Apply」 を ク リ ッ ク し ます。 新 し い フ ァ ームウ ェ ア を起動するには、 「System」 の 「Reset」 メ ニ ュ ーから シ ス テムを リ ブー ト し ます。 3-18 基本構成 3 図 3-10. ス タ ー ト ア ッ プ コ ー ド の設定 フ ァ イルを削除するには、 「System」、 「File」、 「Delete」 の順に選択 し ます。 表示 さ れる リ ス ト で該当する フ ァ イ ル名のチ ェ ッ ク ボ ッ ク ス を オ ン に し て フ ァ イ ルを選択 し 、 「Apply」 を ク リ ッ ク し ます。 現在ス タ ー ト ア ッ プ コ ー ド と し て指定 さ れている フ ァ イルを削除する こ と は で き ません。 図 3-11. フ ァ イルの削除 CLI – TFTP サーバーか ら新規 フ ァ ームウ ェ ア を ダウン ロー ド するには、 TFTP サーバーの IP ア ド レ ス を入力 し 、 フ ァ イル タ イ プ と し て 「opcode」 を選択 し ます。 次に、 ダウン ロー ド 元 の フ ァ イ ル名 と ダウ ン ロ ー ド 先 フ ァ イ ル名を入力 し ます。 フ ァ イ ルのダウ ン ロ ー ド が完了 し た ら、 新規フ ァ イルによ っ て シ ス テムを起動する よ う 設定 し 、 ス イ ッ チ を再起動 し ます。 新規フ ァ ームウ ェ ア を起動する には、 「reload」 コ マ ン ド を入力するか、 シ ス テムを リ ブー ト し ます。 Console#copy tftp file TFTP server ip address: 192.168.1.23 Choose file type: 1. config: 2. opcode: <1-2>: 2 Source file name: V2.2.7.1.bix Destination file name: V2271.F \Write to FLASH Programming. -Write to FLASH finish. Success. Console#config Console(config)#boot system opcode:V2271.F Console(config)#exit Console#reload 4-66 4-71 4-22 3-19 3 ス イ ッ チの構成 コ ン フ ィ ギ ュ レ ーシ ョ ン設定の保存または復元 コ ン フ ィ ギ ュ レーシ ョ ン設定を TFTP サーバーにア ッ プ ロー ド し た り 、TFTP サーバーから ダ ウン ロー ド する こ と がで き ます。コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを後でダウン ロー ド し て、 ス イ ッ チの設定を復元する こ と がで き ます。 コ マ ン ド 属性 • 「File Transfer Method」 – コ ン フ ィ ギ ュ レーシ ョ ンの コ ピー オペレーシ ョ ン と し て次のオ プ シ ョ ン を選択で き ます。 - 「file to file」 – フ ァ イルに新 し い名前を付けてス イ ッ チ デ ィ レ ク ト リ に コ ピー し ます。 - 「file to running-config」 – ス イ ッ チの フ ァ イルを実行中の コ ン フ ィ ギ ュ レーシ ョ ンに コ ピー し ます。 - 「file to startup-config」 – ス イ ッ チのフ ァ イルを ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン に コ ピー し ます。 - 「file to tftp」 – ス イ ッ チか ら TFTP サーバーに フ ァ イルを コ ピー し ます。 - 「running-config to file」 – 実行中の コ ン フ ィ ギ ュ レーシ ョ ン を フ ァ イルに コ ピー し ます。 - 「running-config to startup-config」 – 実行中の コ ン フ ィ ギ ュ レ ーシ ョ ン を ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ンに コ ピー し ます。 - 「running-config to tftp」 – 実行中の コ ン フ ィ ギ ュ レーシ ョ ン を TFTP サーバーに コ ピー し ます。 - 「startup-config to file」 – ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン を ス イ ッ チ上のフ ァ イ ルに コ ピー し ます。 - 「startup-config to running-config」 – ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン を実行中の コ ン フ ィ ギ ュ レーシ ョ ンに コ ピー し ます。 - 「startup-config to tftp」 – ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン を TFTP サーバーに コ ピー し ます。 - 「tftp to file」 – TFTP サーバーから ス イ ッ チに フ ァ イルを コ ピー し ます。 - 「tftp to running-config」 – TFTP サーバーから 実行中のコ ン フ ィ ギ ュ レーシ ョ ン に フ ァ イ ルを コ ピー し ます。 - 「tftp to startup-config」 – TFTP サーバーか ら ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン に フ ァ イルを コ ピー し ます。 • 「TFTP Server IP Address」 – TFTP サーバーの IP ア ド レ ス • 「File Type」 – コ ン フ ィ ギ ュ レーシ ョ ン設定を コ ピーする コ ン フ ィ ギ ュ レーシ ョ ン を指定 し ます。 • 「File Name」 – フ ァ イル名にはス ラ ッ シ ュ (\ または /) を含める こ と はで き ません。 また、 フ ァ イル名の先頭文字にはピ リ オ ド (.) を使用で き ません。 フ ァ イル名の最大長は、 TFTP サーバー上では 127 文字、 ス イ ッ チでは 31 文字です (有効な文字 : A ~ Z、 a ~ z 、 0 ~ 9、 「.」、 「-」、 「_」)。 注 : ユーザー定義の コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルの最大数は、 フ ラ ッ シ ュ メ モ リ ーの空き容 量によ っ てのみ制限 さ れます。 3-20 基本構成 3 サーバーから の コ ン フ ィ ギ ュ レーシ ョ ン設定のダウン ロー ド コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ルを 新 し い フ ァ イ ル名で ダ ウ ン ロ ー ド し て ス タ ー ト ア ッ プ フ ァ イル と し て設定 し た り 、 現在のス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを ダウ ン ロー ド 先フ ァ イル と し て指定 し 、 こ のフ ァ イルを直接置換で き ます。 「Factory_Default_Config.cfg」 フ ァ イルを TFTP サーバーに コ ピーする こ と はで き ますが、 ス イ ッ チ上のダウン ロー ド 先フ ァ イル と し て使用する こ と はで き ません。 ウ ェ ブ – 「System」、「File」、「Copy Operation」 の順に ク リ ッ ク し ます。「tftp to startup-config」 または 「tftp to file」 を選択 し 、 TFTP サーバーの IP ア ド レ ス を入力 し ます。 ダウン ロー ド す る フ ァ イ ルの名前を指定 し 、 上書き す る ス イ ッ チ上の フ ァ イ ルを選択するか新規 フ ァ イ ル名 を指定 し て、 「Apply」 を ク リ ッ ク し ます。 図 3-12. ス タ ー ト ア ッ プ用コ ン フ ィ ギ ュ レーシ ョ ン設定のダウン ロー ド 「tftp to startup-config」 または 「tftp to file」 を使用 し て新 し い名前のフ ァ イルにダウ ン ロー ド する と 、 こ のフ ァ イルが自動的にス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イル と し て設 定 さ れます。 新 し い設定を使用するには、 「System」 の 「Reset」 メ ニ ュ ーか ら シ ス テムを リ ブー ト し ます。 注 : 「System」、 「File」、 「Set Start-Up」 の順に選択 し て表示 さ れるページで、 任意のコ ン フ ィ ギ ュ レー シ ョ ン フ ァ イルを ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン と し て選択する こ と も で き ます。 図 3-13. ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン設定の設定 3-21 3 ス イ ッ チの構成 CLI – TFTP サーバーの IP ア ド レ ス を入力 し 、 サーバー上のダウ ン ロー ド 元 フ ァ イルを指定 し ます。 次に、 ス イ ッ チ上のス タ ー ト ア ッ プ フ ァ イル名を設定 し 、 ス イ ッ チ を再起動 し ます。 Console#copy tftp startup-config TFTP server ip address: 192.168.1.19 Source configuration file name: config-1 Startup configuration file name [] : startup \Write to FLASH Programming. -Write to FLASH finish. Success. 4-66 Console#reload 別の コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ルを ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レ ーシ ョ ン と し て選 択するには、 boot system コ マ ン ド を使用 し 、 ス イ ッ チ を再起動 し ます。 Console#config Console(config)#boot system config: startup-new Console(config)#exit Console#reload 4-71 4-22 コ ン ソ ール ポー ト 設定 VT100 互換デバイ ス を ス イ ッ チのシ リ アル コ ン ソ ール ポー ト に接続 し て、オ ンボー ド の構成 プ ログ ラ ムにア ク セ スする こ と がで き ます。 コ ン ソ ール ポー ト を通 じ た管理ア ク セ スは、 パ スワー ド 、 タ イ ムアウ ト 、 基本的な通信設定な ど様々なパ ラ メ ー タ で制御 さ れます。 こ れ ら のパラ メ ー タ は、 ウ ェ ブ または CLI イ ン タ ー フ ェ ースから構成で き ます。 コ マ ン ド 属性 • 「Login Timeout」 – ユーザーに よ る CLI へのロ グ イ ン を シ ス テムが待機する時間を設定 し ます。 タ イ ムアウ ト 時間内に ロ グ イ ンの試行が検知 さ れない場合、 そのセ ッ シ ョ ンの接続 は切断 さ れます (範囲 : 0 ~ 300 秒、 デ フ ォ ル ト : 0 秒)。 • 「Exec Timeout」 – ユーザー入力が検知 さ れる ま でシ ス テムが待機する時間を設定 し ます。 タ イ ムアウ ト 時間内にユーザー入力が検知 さ れない場合、 現在のセ ッ シ ョ ンは終了 し ます (範囲 : 0 ~ 65535 秒、 デ フ ォ ル ト : 600 秒)。 • 「Password Threshold」 – ログオ ン試行の失敗回数を制限するパスワー ド 割込み し き い値 を設定 し ます。 ログオ ン試行の し き い値に達する と 、 指定 さ れた時間 (「Silent Time」 パラ メ ー タ で設定) シ ス テム イ ン タ ー フ ェ ースが応答 し な く な り 、 その後次のログオ ン試行を 行え る よ う にな り ます (範囲 : 0 ~ 120 回、 デ フ ォ ル ト : 3 回)。 • 「Silent Time」 – ロ グオ ン試行の失敗回数に達 し た後に、 管理 コ ン ソ ールにア ク セス で き な く な る時間を設定 し ます (範囲 : 0 ~ 65535、 デ フ ォ ル ト : 0)。 • 「Data Bits」 – コ ン ソ ール ポー ト で解釈、 生成 さ れる文字当た り のデー タ ビ ッ ト 数を設定 し ます。 パ リ テ ィ が生成 さ れる場合、 文字当た り 7 デー タ ビ ッ ト を指定 し ます。 パ リ テ ィ が不要の場合、 文字当た り 8 デー タ ビ ッ ト を指定 し ます (デ フ ォル ト : 8 ビ ッ ト )。 • 「Parity」 – パ リ テ ィ ビ ッ ト の生成を定義 し ます。 一部の端末で提供 さ れる通信プ ロ ト コ ル では、 特定のパ リ テ ィ ビ ッ ト の設定が必要にな り ます。 「Even」、 「Odd」、 ま たは 「None」 を指定 し ます (デ フ ォル ト : 「None」)。 • 「Speed」 – 端末ラ イ ンにおける送信 (端末へ) および受信 (端末から ) のボー レー ト を設 定 し ます。 シ リ アル ポー ト に接続 さ れたデバイ スのボー レー ト と 同 じ ス ピー ド を設定 し ま す (範囲 : 9600、 19200、 38400 ボー、 または 「Auto」、 デ フ ォル ト : 「Auto」)。 3-22 基本構成 3 • 「Stop Bits」 – 1 バイ ト 当た り の伝送ス ト ッ プ ビ ッ ト 数を設定 し ます (範囲 : 1 ~ 2、 デ フ ォ ル ト : 1 ス ト ッ プ ビ ッ ト )。 • 「Password1」 – ラ イ ン接続のパスワー ド を指定 し ます。 パスワー ド 保護 さ れた ラ イ ン で接 続を確立 し よ う と する と 、 シ ス テムに よ り パスワー ド の入力を求め ら れます。 正 し いパス ワー ド を入力する と 、 プ ロ ン プ ト が表示 さ れます (デ フ ォ ル ト : パスワー ド な し )。 • 「Login1」 – ロ グ イ ン時のパスワー ド チ ェ ッ ク を有効に し ます。 「Password」 パラ メ ー タ に 構成 し た単一のグ ローバル パスワー ド によ る認証、 または特定のユーザー名ア カ ウン ト に 設定 さ れたパスワー ド に よ る認証を選択で き ます (デ フ ォ ル ト : 「Local」)。 ウ ェ ブ – 「System」 、 「Line」 、 「Console」 の順に ク リ ッ ク し ます。 必要に応 じ て コ ン ソ ール ポー ト 接続パ ラ メ ー タ を指定 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-14. コ ン ソ ール ポー ト 設定 1. CLI のみ 3-23 3 ス イ ッ チの構成 CLI – コ ン ソ ールのラ イ ン コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド を入力 し 、 必要に応 じ て接続パラ メ ー タ を指定 し ます。 現在の コ ン ソ ール ポー ト 設定を表示する には、 Normal Exec レ ベルで show line コ マ ン ド を使用 し ます。 Console(config)#line console Console(config-line)#login local Console(config-line)#password 0 secret Console(config-line)#timeout login response 0 Console(config-line)#exec-timeout 0 Console(config-line)#password-thresh 3 Console(config-line)#silent-time 60 Console(config-line)#databits 8 Console(config-line)#parity none Console(config-line)#speed 19200 Console(config-line)#stopbits 1 Console(config-line)#end Console#show line Console configuration: Password threshold: 3 times Interactive timeout: Disabled Login timeout: Disabled Silent time: 60 Baudrate: 19200 Databits: 8 Parity: none Stopbits: 1 4-11 4-11 4-12 4-13 4-14 4-14 4-15 4-15 4-16 4-17 4-17 4-18 VTY configuration: Password threshold: 3 times Interactive timeout: 600 sec Login timeout: 300 sec Console# Telnet 設定 Telnet (すなわちバーチ ャル端末) を使用 し て、 ネ ッ ト ワー ク を介 し てオ ンボー ド の構成プ ロ グ ラ ムにア ク セスで き ます。 Telnet に よ る管理ア ク セ スは有効 / 無効にで き ます。 また、 TCP ポー ト 番号、 タ イ ムアウ ト 、 パスワー ド な ど様々なパ ラ メ ー タ を設定で き ます。 こ れ ら のパ ラ メ ー タ は、 ウ ェ ブ または CLI イ ン タ ー フ ェ ースから 構成で き ます。 コ マ ン ド 属性 • 「Telnet Status」 – ス イ ッ チへの Telnet ア ク セス を有効または無効に し ます (デ フ ォル ト : オ ン)。 • 「Telnet Port Number」 – ス イ ッ チの Telnet 用 TCP ポー ト を設定 し ます(デ フ ォ ル ト : 23)。 • 「Login Timeout」 – ユーザーに よ る CLI へのロ グ イ ン を シ ス テムが待機する時間を設定 し ます。 タ イ ムアウ ト 時間内に ロ グ イ ンの試行が検知 さ れない場合、 そのセ ッ シ ョ ンの接続 は切断 さ れます (範囲 : 0 ~ 300 秒、 デ フ ォ ル ト : 300 秒)。 • 「Exec Timeout」 – ユーザー入力が検知 さ れる ま でシ ス テムが待機する時間を設定 し ます。 タ イ ムアウ ト 時間内にユーザー入力が検知 さ れない場合、 現在のセ ッ シ ョ ンは終了 し ます (範囲 : 0 ~ 65535 秒、 デ フ ォ ル ト : 600 秒)。 • 「Password Threshold」 – ログオ ン試行の失敗回数を制限するパスワー ド 割込み し き い値 を設定 し ます。 ログオ ン試行の し き い値に達する と 、 指定 さ れた時間 (「Silent Time」 パラ メ ー タ で設定) シ ス テム イ ン タ ー フ ェ ースが応答 し な く な り 、 その後次のログオ ン試行を 行え る よ う にな り ます (範囲 : 0 ~ 120 回、 デ フ ォ ル ト : 3 回)。 3-24 基本構成 3 • 「Password1」 – ラ イ ン接続のパスワー ド を指定 し ます。 パスワー ド 保護 さ れた ラ イ ン で接 続を確立 し よ う と する と 、 シ ス テムに よ り パスワー ド の入力を求め ら れます。 正 し いパス ワー ド を入力する と 、 プ ロ ン プ ト が表示 さ れます (デ フ ォ ル ト : パスワー ド な し )。 • 「Login1」 – ロ グ イ ン時のパスワー ド チ ェ ッ ク を有効に し ます。 「Password」 パラ メ ー タ に 構成 し た単一のグ ローバル パスワー ド によ る認証、 または特定のユーザー名ア カ ウン ト に 設定 さ れたパスワー ド に よ る認証を選択で き ます (デ フ ォ ル ト : 「Local」)。 ウ ェ ブ – 「System」、 「Line」、 「Telnet」 の順に ク リ ッ ク し ます。 Telnet ア ク セ スの接続パラ メ ー タ を指定 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-15. Telnet の有効化 CLI – バーチ ャ ル端末のラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン モー ド を入力 し 、 必要に応 じ て接続 パ ラ メ ー タ を指定 し ます。 現在のバーチ ャ ル端末設定を表示する には、 Normal Exec レ ベル で show line コ マ ン ド を使用 し ます。 Console(config)#line vty Console(config-line)#login local Console(config-line)#password 0 secret Console(config-line)#timeout login response 300 Console(config-line)#exec-timeout 600 Console(config-line)#password-thresh 3 Console(config-line)#end Console#show line Console configuration: Password threshold: 3 times Interactive timeout: Disabled Login timeout: Disabled Silent time: Disabled Baudrate: 9600 Databits: 8 Parity: none Stopbits: 1 4-11 4-11 4-12 4-13 4-14 4-14 4-18 VTY configuration: Password threshold: 3 times Interactive timeout: 600 sec Login timeout: 300 sec Console# 1. CLI のみ 3-25 3 ス イ ッ チの構成 イ ベン ト ロギン グの構成 ス イ ッ チ では、 ス イ ッ チ メ モ リ ーに記録す る イ ベ ン ト の タ イ プ、 リ モー ト のシ ス テム ロ グ (syslog) サーバーへのロギング、最近のイ ベン ト メ ッ セージ リ ス ト の表示な ど、 エ ラ ー メ ッ セージのロギング を制御で き ます。 ログ メ ッ セージの表示 「Logs」 ページ では、 ログに記録 さ れたシ ス テム メ ッ セージおよび イ ベ ン ト メ ッ セージ を ス ク ロールで き ます。 ス イ ッ チには、 一時 ラ ン ダム ア ク セス メ モ リ ー (RAM、 電源 リ セ ッ ト 時 に フ ラ ッ シ ュ さ れる メ モ リ ー)に最大 2048 件のログ エ ン ト リ ーを、パーマネ ン ト フ ラ ッ シ ュ メ モ リ ーに最大 4096 件のエ ン ト リ を保存で き ます。 ウ ェ ブ – 「System」、 「Log」、 「Logs」 の順に ク リ ッ ク し ます。 図 3-16. ログの表示 CLI – こ の例では、 RAM に保存 さ れている イ ベン ト メ ッ セージ を表示 し ています。 Console#show log ram [1] 00:00:27 2001-01-01 "VLAN 1 link-up notification." level: 6, module: 5, function: 1, and event no.: 1 [0] 00:00:25 2001-01-01 "System coldStart notification." level: 6, module: 5, function: 1, and event no.: 1 Console# 4-48 シ ス テム ログの構成 シ ス テムでは、 イ ベ ン ト ロギン グ を有効ま たは無効に し た り 、 RAM ま たは フ ラ ッ シ ュ メ モ リ ーに記録する ロギング レ ベルを指定で き ます。 フ ラ ッ シ ュ メ モ リ ーに記録 さ れる重大な エ ラ ー メ ッ セージは永久的に ス イ ッ チに保存 さ れ る ため、 ネ ッ ト ワー ク 問題の ト ラ ブルシ ュ ーテ ィ ン グに役立ち ます。 フ ラ ッ シ ュ メ モ リ ーに は最大 4096 件のログ エ ン ト リ を保存で き ます。 使用可能な ログ メ モ リ ー (256 キロバイ ト ) に達する と 、 最も古いエ ン ト リ から上書き さ れます。 「System Logs」 ページ では、 フ ラ ッ シ ュ ま たは RAM メ モ リ ーに記録する シ ス テム メ ッ セー ジ を構成 し た り 、 制限す る こ と がで き ま す。 デ フ ォ ル ト では、 イ ベ ン ト レ ベル 0 ~ 3 は フ ラ ッ シ ュ メ モ リ ーに、 レ ベル 0 ~ 6 は RAM に記録 さ れます。 3-26 基本構成 3 コ マ ン ド 属性 • 「System Log Status」 – ロギング プ ロ セスへのデバ ッ グまたはエ ラ ー メ ッ セージのロギン グ を有効 / 無効に し ます (デ フ ォル ト : オ ン)。 • 「Flash Level」 – ス イ ッ チのパーマネ ン ト フ ラ ッ シ ュ メ モ リ ーに保存 さ れる ログ メ ッ セー ジ を、 指定する レ ベルま での全レ ベルに制限 し ます。 た と えば、 レ ベル 3 を指定 し た場合、 レ ベル 0 ~ 3 のすべての メ ッ セージがフ ラ ッ シ ュ メ モ リ ーに記録 さ れます (範囲 : 0 ~ 7、 デ フ ォ ル ト : 3)。 表 3-3. ロギン グ レ ベル レ ベル 重大度名 説明 7 Debug デバ ッ グ メ ッ セージ 6 Informational 情報 メ ッ セージのみ 5 Notice コ ール ド ス タ ー ト な ど、 標準的だが重要な状態 4 Warning 警告状態 (false の戻 り 、 予測外の戻 り な ど) 3 Error エ ラ ー状態 (無効な入力、 デ フ ォル ト の使用な ど) 2 Critical 重大な状態 ( メ モ リ ー割当て、 メ モ リ ー解放エ ラ ー - リ ソ ースの 枯渇な ど) 1 Alert 即座にア ク シ ョ ンが必要な状態 0 Emergency シ ス テム使用不可 * 現在の フ ァ ームウ ェ ア リ リ ースのエ ラ ー メ ッ セージはレ ベル 2、 5、 お よび 6 のみです。 • 「RAM Level」 – ス イ ッ チの一時 RAM メ モ リ ーに保存 さ れる ログ メ ッ セージ を、 指定する レ ベルま での全レ ベルに制限 し ます。 た と えば、 レ ベル 7 を指定 し た場合、 レ ベル 0 ~ 7 のすべての メ ッ セージが RAM に記録 さ れます (範囲 : 0 ~ 7、 デ フ ォ ル ト : 6)。 注 : 「Flash Level」 は 「RAM Level」 以下である必要があ り ます。 ウ ェ ブ – 「System」、 「Log」、 「System Logs」 の順に ク リ ッ ク し ます。 「System Log Status」 を指定 し 、 RAM および フ ラ ッ シ ュ メ モ リ ーに記録する イ ベン ト メ ッ セージのレベルを設定 し て、 「Apply」 を ク リ ッ ク し ます。 図 3-17. シス テム ログ 3-27 3 ス イ ッ チの構成 CLI – シ ス テム ロギング を有効に し 、RAM および フ ラ ッ シ ュ メ モ リ ーに記録する メ ッ セージ のレ ベル指定 し ます。 現在の設定を表示する には、 show logging コ マ ン ド を使用 し ます。 Console(config)#logging on Console(config)#logging history ram 0 Console(config)#end Console#show logging flash Syslog logging: Enabled History logging in FLASH: level emergencies Console# 4-44 4-44 4-48 リ モー ト ログの構成 「Remote Logs」 ページ では、 syslog サーバーまたはその他の管理ス テーシ ョ ンに送信 さ れる メ ッ セージのロギン グ を構成で き ます。 指定レ ベルよ り 低い レ ベルのエ ラ ー メ ッ セージのみ が送信 さ れる よ う 制限する こ と も で き ます。 コ マ ン ド 属性 • 「Remote Log Status」 – リ モー ト ロギング プ ロ セ スへのデバ ッ グまたはエ ラ ー メ ッ セー ジのロギング を有効 / 無効に し ます (デ フ ォ ル ト : オ ン)。 • 「Logging Facility」 – syslog メ ッ セージの リ モー ト ロギングの機能 タ イ プ を設定 し ます。 機能 タ イ プは 8 種類あ り 、 それぞれ 16 ~ 23 の値で指定 し ます。 機能 タ イ プは、 ログ メ ッ セージ を適切なサービ スにデ ィ スパ ッ チする ために syslog サーバーで使用 さ れます。 こ の属性では、 syslog メ ッ セージ で送信する機能 タ イ プ タ グ を指定 し ます (RFC 3164 を 参照)。 こ の タ イ プは、 ス イ ッ チか ら報告 さ れる メ ッ セージの種類には影響 し ません。 ただ し 、 対応す る デー タ ベー ス内の メ ッ セ ー ジの ソ ー ト や保存な どの メ ッ セ ー ジ処理のため syslog サーバーで使用 さ れる こ と があ り ます (範囲 : 16 ~ 23、 デ フ ォ ル ト : 23)。 • 「Logging Trap」 – リ モー ト の syslog サーバーに送信する ログ メ ッ セージ を、 指定する レ ベルま での全レ ベルに制限 し ます。 た と えば、 レ ベル 3 を指定 し た場合、 レ ベル 0 ~ 3 の すべての メ ッ セージが リ モー ト サーバーに送信 さ れます (範囲 : 0 ~ 7、 デ フ ォ ル ト : 6)。 • 「Host IP List」 – syslog メ ッ セージ を受信する リ モー ト サーバーの IP ア ド レ スの リ ス ト を 表示 し ます。 ホス ト IP ア ド レ スの最大許容数は 5 個です。 • 「Host IP Address」 – 「Host IP List」 に追加する新規サーバー IP ア ド レ ス を指定 し ます。 3-28 基本構成 3 ウ ェ ブ – 「System」 、 「Log」 、 「Remote Logs」 の順に ク リ ッ ク し ます。 「Host IP List」 に IP ア ド レ ス を追加するには、 「Host IP Address」 ボ ッ ク スに新規 IP ア ド レ ス を入力 し て 「Add」 を ク リ ッ ク し ます。 IP ア ド レ ス を削除する には、 「Host IP List」 で該当する エ ン ト リ を ク リ ッ ク し て 「Remove」 を ク リ ッ ク し ます。 図 3-18. リ モー ト ログ CLI – syslog サーバーのホス ト IP ア ド レ ス を入力 し 、機能タ イ プ を選択し て、ロギング ト ラ ッ プ を設定 し ます。 Console(config)#logging host 192.168.1.15 Console(config)#logging facility 23 Console(config)#logging trap 4 Console(config)#end Console#show logging trap Syslog logging: Enabled REMOTELOG status: Enabled REMOTELOG facility type: local use 7 REMOTELOG level type: Warning conditions REMOTELOG server ip address: 192.168.1.15 REMOTELOG server ip address: 0.0.0.0 REMOTELOG server ip address: 0.0.0.0 REMOTELOG server ip address: 0.0.0.0 REMOTELOG server ip address: 0.0.0.0 Console# 4-45 4-46 4-46 4-46 簡易 メ ール転送プ ロ ト コ ル SMTP (簡易 メ ール転送プ ロ ト コ ル) は、 サーバー間で電子 メ ール メ ッ セージ を送信する た めに使用 さ れます。 メ ッ セージは、 POP または IMAP ク ラ イ ア ン ト を使用 し て取得で き ます。 コ マ ン ド 属性 • 「Admin Status」 – SMTP 機能を有効 / 無効に し ます (デ フ ォル ト : オ ン)。 • 「Email Source Address」 – こ の コ マ ン ド では、 ア ラ ー ト メ ッ セージ を送信可能な SMTP サーバーの電子 メ ール ア ド レ ス を指定 し ます。 3-29 3 ス イ ッ チの構成 • 「Severity」 – メ ッ セージ で伝え る緊急度のレ ベルを指定 し ます。 - 「Debugging」 – デバ ッ グ通知を送信 し ます (レ ベル 7)。 - 「Information」 – 情報通知のみを送信 し ます (レ ベル 6)。 - 「Notice」 – コ ール ド ス タ ー ト な ど、正常だが重要な状態の通知を送信 し ます(レ ベル 5)。 - 「Warning」 – false の戻 り や予測外の戻 り などの警告状態の通知を送信し ます(レベル 4)。 - 「Error」 – 無効な入力やデ フ ォル ト の使用な ど、 エ ラ ー状態が発生 し た こ と を示す通知を 送信 し ます (レ ベル 3)。 - 「Critical」 – メ モ リ ー割当てや メ モ リ ー解放エ ラ ー、 リ ソ ースの枯渇な ど、 重大な状態が 発生 し た こ と を示す通知を送信 し ます (レ ベル 2)。 - 「Alert」 – 即座にア ク シ ョ ンが必要な こ と を示す緊急通知を送信 し ます (レ ベル 1)。 - 「Emergency」 – システムが使用不可にな っ た こ と を示す緊急通知を送信し ます(レベル 0)。 • 「SMTP Server List」 – 受信 SMTP サーバーの リ ス ト を指定 し ます。 • 「SMTP Server」 – 「SMTP Server List」 に追加する新規 SMTP サーバー ア ド レ ス を指定 し ます。 • 「Email Destination Address List」 – 受信者の電子 メ ール宛先ア ド レ スの リ ス ト を指定 し ます。 • 「Email Destination Address」 – こ のコ マ ン ド では、 ア ラ ー ト メ ッ セージ を受信可能な SMTP サーバーを指定 し ます。 ウ ェ ブ – 「System」、 「Log」、 「SMTP」 の順に ク リ ッ ク し ます。 「Server IP List」 に IP ア ド レ ス を追加するには、 「Server IP Address」 ボ ッ ク スに新規 IP ア ド レ ス を入力 し て 「Add」 を ク リ ッ ク し ます。 IP ア ド レ ス を削除するには、 「Server IP List」 で該当する エ ン ト リ を ク リ ッ ク し て 「Remove」 を ク リ ッ ク し ます。 図 3-19. SMTP の有効化 と 構成 3-30 基本構成 3 CLI – ホス ト の IP ア ド レ ス、 メ ールの重大度レ ベル、 送信元および宛先電子 メ ール ア ド レ ス の順に入力 し 、 sendmail コ マ ン ド を入力 し て ア ク シ ョ ン を完了 し ます。 SMTP 情報を表示す るには、 show logging コ マ ン ド を使用 し ます。 Console(config)#logging Console(config)#logging Console(config)#logging [email protected] Console(config)#logging [email protected] Console(config)#logging Console# sendmail host 192.168.1.19 sendmail level 3 sendmail source-email sendmail destination-email sendmail シ ス テムの リ セ ッ ト ウ ェ ブ – 「System」 、 「Reset」 の順に ク リ ッ ク し ます。 次に、 「Reset」 ボ タ ン を ク リ ッ ク し て、 ス イ ッ チ を リ ブー ト し ます。 確認 メ ッ セージが表示 さ れた ら、 ス イ ッ チの リ セ ッ ト を確 定 し ます。 図 3-20. シス テムの リ セ ッ ト CLI – ス イ ッ チ を再起動す る には、 reload コ マ ン ド を使用 し ます。 確認 メ ッ セージが表示 さ れた ら 、 ス イ ッ チの リ セ ッ ト を確定 し ます。 Console#reload System will be restarted, continue <y/n>? y 4-22 注 : シ ス テムの再起動時には、 必ずパワーオン セルフ テ ス ト が実行 さ れます。 シ ス テム ク ロ ッ クの設定 簡易ネ ッ ト ワー ク タ イ ム プ ロ ト コ ル (SNTP) によ り 、 ス イ ッ チでは タ イ ムサーバー (SNTP ま たは NTP) か ら 定期的に送信 さ れる更新に基づいて内部ク ロ ッ ク を設定で き ます。 ス イ ッ チで時刻を正確に保つ こ と によ り 、 シ ス テム ログに記録 さ れる イ ベン ト エ ン ト リ の日付や時 刻は意味のあ る ものにな り ます。 CLI を使用 し て、 手動で ク ロ ッ ク を設定する こ と も 可能です (4-57 ページの 「calendar set」 を参照) 。 ク ロ ッ ク を設定 し ない場合、 ス イ ッ チは、 最後の ブー ト ア ッ プ時に設定 さ れた工場出荷時のデ フ ォル ト から の経過時間のみを記録 し ます。 SNTP ク ラ イ ア ン ト が有効に さ れてい る場合、 ス イ ッ チか ら 構成済み タ イ ム サーバーに時刻 更新要求が定期的に送信 さ れます。 最大 3 つの タ イ ム サーバー IP ア ド レ ス を構成で き ます。 ス イ ッ チに よ り 、 構成 さ れている順序で各サーバーがポー リ ング さ れます。 3-31 3 ス イ ッ チの構成 SNTP の構成 ス イ ッ チから タ イ ム サーバーに時刻同期要求を送信する よ う 構成で き ます。 コ マ ン ド 属性 • 「SNTP Client」 – ス イ ッ チが SNTP ク ラ イ ア ン ト と し て動作する よ う 構成 し ます。 そのた めには、 「SNTP Server」 フ ィ ール ド に少な く と も 1 つの タ イ ム サーバーを指定する必要 があ り ます (デ フ ォ ル ト : オ フ )。 • 「SNTP Poll Interval」 – タ イ ム サーバーに時刻更新要求を送信する間隔を設定 し ます (範囲 : 16 ~ 16384 秒、 デ フ ォル ト : 16 秒)。 • 「SNTP Server」 – 最大 3 つの タ イ ム サーバーの IP ア ド レ ス を設定 し ます。 ス イ ッ チでは、 まず最初のサーバーか ら 時刻更新の取得が試行 さ れます。 こ れに失敗 し た場合、 次のサー バーか ら順に更新の取得が試行 さ れます。 ウ ェ ブ – 「SNTP」、 「Configuration」 の順に選択 し ます。 必要なパラ メ ー タ を変更 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-21. SNTP の構成 CLI – こ の例では、 SNTP ユニキ ャ ス ト ク ラ イ ア ン ト と し て動作する よ う ス イ ッ チ を構成 し 、 現在の時刻 と 設定を表示 し ています。 Console(config)#sntp server 10.1.0.19 137.82.140.80 128.250.36.2 Console(config)#sntp poll 60 Console(config)#sntp client Console(config)#exit Console#show sntp Current time: Jan 6 14:56:05 2004 Poll interval: 60 Current mode: unicast SNTP status : Enabled SNTP server 10.1.0.19 137.82.140.80 128.250.36.2 Current server: 128.250.36.2 Console# 4-55 4-56 4-54 タ イ ム ゾーンの設定 SNTP では、 経度 0 度の子午線上の時刻を基準 と し た協定世界時 (UTC、 以前のグ リ ニ ッ ジ 標準時 (GMT)) が使用 さ れます。 現地時間に相当する時刻を表示するには、 該当する タ イ ム ゾーンが UTC の何時間何分東 (前) または西 (後) かを指定する必要があ り ます。 3-32 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 3 コ マ ン ド 属性 • 「Current Time」 – 現在時刻が表示 さ れます。 • 「Name」 – タ イ ム ゾーンに名前を付けます (範囲 : 1 ~ 29 文字)。 • 「Hours (0-12)」 – UTC の何時間前 / 後かを指定 し ます。 • 「Minutes (0-59)」 – UTC の何分前 / 後かを指定 し ます。 • 「Direction」 – タ イ ム ゾーンが UTC の前 (東) か後 (西) かを構成 し ます。 ウ ェ ブ – 「SNTP」 、 「Clock Time Zone」 の順に選択 し ます。 UTC を基準 と し た タ イ ム ゾー ンのオ フ セ ッ ト を設定 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-22. シ ス テム ク ロ ッ クの設定 CLI - この例には、 シス テム ク ロ ッ ク の タ イ ム ゾーンの設定方法が示 さ れています。 Console(config)#clock timezone Atlantic hours 4 minute 0 before-UTC Console(config)# 4-57 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 簡易ネ ッ ト ワー ク管理プ ロ ト コ ル (SNMP) は、 ネ ッ ト ワー ク上のデバイ ス を管理する ために 設計 さ れた通信プ ロ ト コ ルです。 一般に SNMP で管理 さ れる機器 と し て、 ス イ ッ チ、 ルー タ 、 ホス ト コ ン ピ ュ ー タ な どがあ り ます。 通常、 SNMP は、 こ のよ う なデバイ スがネ ッ ト ワー ク 環境で正 し く 動作す る よ う 構成するほか、 デバイ ス を監視する こ と に よ っ て性能を評価 し た り 潜在的な問題を検知する ために使用 し ます。 ス イ ッ チには、 ス イ ッ チのハー ド ウ ェ アのス テー タ スお よびポー ト を通過する ト ラ フ ィ ッ ク を継続的に監視する、 オ ンボー ド の SNMP エージ ェ ン ト が搭載 さ れています。 ネ ッ ト ワー ク 管理ス テーシ ョ ンは、 HP OpenView な どの ソ フ ト ウ ェ ア を使用 し て こ の情報にア ク セ スで き ます。 オ ンボー ド のエージ ェ ン ト に対する ア ク セ ス権は、 コ ミ ュ ニ テ ィ ス ト リ ン グで制御 さ れます。 ス イ ッ チ と 通信を行 う には、 管理ス テーシ ョ ンがまず有効な コ ミ ュ ニ テ ィ ス ト リ ン グ を送信 し 、 認証を受ける必要があ り ます。 コ ミ ュ ニ テ ィ ス ト リ ン グおよび ト ラ ッ プ機能を 構成する ためのオプ シ ョ ン、 指定 さ れた IP ア ド レ ス を持つ ク ラ イ ア ン ト にア ク セス を制限す る ためのオプ シ ョ ンについて、 以降の項目で説明 し ます。 3-33 3 ス イ ッ チの構成 コ ミ ュ ニ テ ィ ア ク セス ス ト リ ン グの設定 管理ア ク セ ス を許可する コ ミ ュ ニ テ ィ ス ト リ ン グ を最大 5 つ構成で き ます。 IP ト ラ ッ プ マ ネージ ャ で使用するすべての コ ミ ュ ニ テ ィ ス ト リ ング を こ のテーブルに登録する必要があ り ます。 セキ ュ リ テ ィ 上、 デ フ ォ ル ト のス ト リ ング を削除する こ と を お勧め し ます。 コ マ ン ド 属性 • 「SNMP Community Capability」 – ス イ ッ チでサポー ト さ れる コ ミ ュ ニ テ ィ ス ト リ ングが 最大 5 つであ る こ と を示 し ます。 • 「Community String」 – パスワー ド と 同様に機能 し 、 SNMP プ ロ ト コ ルへのア ク セ ス を許 可する コ ミ ュ ニ テ ィ ス ト リ ング デ フ ォ ル ト ス ト リ ング : public (読取 り 専用)、 private (読み書き可能) 範囲 : 1 ~ 32 文字、 大文字 と 小文字は区別 さ れます。 • 「Access Mode」 - 「Read-Only」 – 読取 り 専用ア ク セス を指定 し ます。 許可 さ れた管理ス テーシ ョ ンは MIB オブ ジ ェ ク ト の取得のみを行え ます。 - 「Read/Write」 – 読み書き可能ア ク セス を指定 し ます。 許可 さ れた管理ス テーシ ョ ンは、 MIB オブ ジ ェ ク ト の取得および変更を両方行 う こ と がで き ます。 ウ ェ ブ – 「SNMP」、 「Configuration」 の順に ク リ ッ ク し ます。 必要に応 じ て新規 コ ミ ュ ニ テ ィ ス ト リ ン グ を 追加 し 、 「Access Mode」 ド ロ ッ プ ダ ウ ン リ ス ト か ら ア ク セ ス権 を 選択 し て、 「Add」 を ク リ ッ ク し ます。 図 3-23. SNMP コ ミ ュ ニテ ィ ス ト リ ン グの構成 CLI – 次の例では、 読み書き可能ア ク セス権を持つ 「spiderman」 と い う ス ト リ ング を追加 し ています。 Console(config)#snmp-server community spiderman rw Console(config)# 3-34 4-102 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 3 ト ラ ッ プ マネージ ャ および ト ラ ッ プ タ イ プの指定 ス テ ー タ スの変化 を示す ト ラ ッ プがス イ ッ チか ら 指定の ト ラ ッ プ マ ネージ ャ に発行 さ れま す。 こ のス イ ッ チか ら 管理ス テーシ ョ ンに主要な イ ベン ト が報告 さ れる よ う ト ラ ッ プ マネー ジ ャ を指定する必要があ り ます (HP OpenView な どのネ ッ ト ワー ク管理プ ラ ッ ト フ ォ ームを 使用)。ス イ ッ チか ら送信 さ れる認証失敗 メ ッ セージやその他の ト ラ ッ プ メ ッ セージ を受信す る管理ス テーシ ョ ンは、 最大 5 台ま で指定で き ます。 コ マ ン ド 属性 • 「Trap Manager Capability」 – こ のス イ ッ チでは最大 5 つの ト ラ ッ プ マネージ ャ がサポー ト さ れます。 • 「Current」 – 現在構成 さ れている ト ラ ッ プ マネージ ャ の リ ス ト が表示 さ れます。 • 「Trap Manager IP Address」 – ホス ト ( タ ーゲ ッ ト 受信者) の IP ア ド レ ス • 「Trap Manager Community String」 – 通知オペ レーシ ョ ン で送信 さ れる コ ミ ュ ニ テ ィ ス ト リ ング (範囲 : 1 ~ 32 文字、 大文字 と 小文字は区別 さ れる) • 「Trap UDP Port」 – UDP ポー ト 番号を設定 し ます (デ フ ォル ト : 162)。 • 「Trap Version」 – 通知を SNMP v1、 v2c、 v3 のどの ト ラ ッ プ と し て送信するかを指定 し ま す (デ フ ォル ト はバージ ョ ン 1)。 • 「Trap Security Level」 – セキ ュ リ テ ィ レ ベルを指定 し ます。 • 「Enable Authentication Traps」 – SNMP ア ク セスの認証プ ロ セス中、無効な コ ミ ュ ニ テ ィ ス ト リ ングがサブ ミ ッ ト さ れる たびに、 ト ラ ッ プ メ ッ セージ を発行 し ます (デ フ ォル ト : オ ン)。 • 「Enable Link-up and Link-down Traps」 – ポー ト リ ン クが確立または切断 さ れる たびに ト ラ ッ プ メ ッ セージ を発行 し ます (デ フ ォル ト : オ ン)。 ウ ェ ブ – 「SNMP」、 「Configuration」 の順に ク リ ッ ク し ます。 ト ラ ッ プ メ ッ セージ を受信す る各 ト ラ ッ プ マネージ ャ の IP ア ド レ ス と コ ミ ュ ニ テ ィ ス ト リ ング を入力 し 、「Add」 を ク リ ッ ク し ます。「Enable Authentication Traps」および「Enable Link-up and Link-down Traps」チ ェ ッ ク ボ ッ ク ス を使用 し て必要な ト ラ ッ プ タ イ プ を選択 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-24. IP ト ラ ッ プ マネージ ャの構成 3-35 3 ス イ ッ チの構成 CLI – こ の例では、 ト ラ ッ プ マネージ ャ を追加 し 、 認証 ト ラ ッ プ と リ ン ク 確立 / 切断 ト ラ ッ プ を両方有効に し ています。 Console(config)#snmp-server host 192.168.1.19 private version 2c Console(config)#snmp-server enable traps 4-104 4-106 SNMP エージ ェ ン ト ス テー タ スの有効化 すべての管理 ク ラ イ ア ン ト (バージ ョ ン 1、 2c、 3) で SNMPv3 サービ ス を有効に し ます。 コ マ ン ド 属性 • 「SNMP Agent Status」 – チ ェ ッ ク ボ ッ ク ス を オ ンにする と SNMP エージ ェ ン ト が有効に な り ます。 また、 オ フ にする と 無効にな り ます。 ウ ェ ブ – 「SNMP」、 「Agent Status」 の順に ク リ ッ ク し ます。 図 3-25. SNMP エージ ェ ン ト ス テー タ スの有効化 SNMPv3 管理ア ク セスの構成 ス イ ッ チへの SNMPv3 管理ア ク セス を構成するには、 次の手順に従います。 1. デ フ ォ ル ト のエ ン ジ ン ID を変更する場合、ほかのパラ メ ー タ を構成する前に行 う 必要が あ り ます。 2. ス イ ッ チの MIB ツ リ ーの読取 り および書込みア ク セ ス ビ ュ ーを指定 し ます。 3. 必要なセキ ュ リ テ ィ モデル (SNMP v1、 v2c、 または v3) およびセキ ュ リ テ ィ レ ベル (認証およびプ ラ イバシ) を保持する SNMP ユーザー グループ を構成 し ます。 4. SNMP ユーザーを、特定の認証およびプ ラ イバシ パスワー ド と と も にグループに割 り 当 て ます。 ロー カル エ ン ジ ン ID の設定 SNMPv3 エ ン ジ ンは、 ス イ ッ チに存在する独立 し た SNMP エージ ェ ン ト です。 このエ ン ジ ン によ り メ ッ セージの応答、 遅延、 および リ ダ イ レ ク ト が防止 さ れます。 ま た、 エ ン ジ ン ID は、 SNMPv3 パケ ッ ト の認証お よ び暗号化のた めのセ キ ュ リ テ ィ キー を 生成す る た めにユー ザー パスワー ド と と も に使用 さ れます。 ロー カル エ ン ジ ン ID は、 ス イ ッ チで一意の ID と し て自動的に生成 さ れます。 これはデ フ ォ ル ト エ ン ジ ン ID と 呼ばれます。 ロー カル エ ン ジ ン ID が削除ま たは変更 さ れる と 、 すべての SNMP ユーザーが消去 さ れます。 既存のすべてのユーザーを再構成する必要があ り ます。 3-36 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 3 1 ~ 26 文字の 16 進数文字を入力 し て新規エ ン ジ ン ID を指定で き ます。 指定 し た文字が 26 文字未満の場合、 値に後続ゼロが追加 さ れます。 た と えば、 「1234」 と い う 値は、 「1234」 の 後に 22 個のゼロ を付けた値に相当 し ます。 ウ ェ ブ – 「SNMP」、 「SNMPv3」、 「Engine ID」 の順に ク リ ッ ク し ます。 図 3-26. エ ン ジ ン ID の設定 リ モー ト エ ン ジ ン ID の指定 イ ン フ ォ ーム メ ッ セージ を リ モー ト デバイ ス上の SNMPv3 ユーザーに送信する には、 まず ユーザーが存在す る リ モー ト デバ イ ス上の SNMP エージ ェ ン ト のエ ン ジ ン識別子を指定す る必要があ り ます。 リ モー ト エ ン ジ ン ID は、 リ モー ト ホ ス ト 上のユーザーに送信 さ れたパ ケ ッ ト の認証お よび暗号化に使用 さ れる セキ ュ リ テ ィ ダ イ ジ ェ ス ト を計算する ために使用 さ れます。 SNMP パスワー ド は、信頼で き る エージ ェ ン ト のエ ン ジ ン ID を使用 し て ロー カ ラ イ ズ さ れま す。 イ ン フ ォ ームの場合、 権限 SNMP エージ ェ ン ト は リ モー ト エージ ェ ン ト です。 すなわ ち、 プ ロキシ要求ま たはイ ン フ ォ ームを送信する前に、 リ モー ト エージ ェ ン ト の SNMP エ ン ジ ン ID を構成する必要があ り ます。 1 ~ 26 文字の 16 進数文字を入力 し て エ ン ジ ン ID を指定で き ます。 指定 し た文字が 26 文字 未満の場合、 値に後続ゼロが追加 さ れます。 た と えば、 「1234」 と い う 値は、 「1234」 の後に 22 個のゼロ を付けた値に相当 し ます。 ウ ェ ブ – 「SNMP」、 「SNMPv3」、 「Remote Engine ID」 の順に ク リ ッ ク し ます。 図 3-27. リ モー ト エ ン ジ ン ID の設定 3-37 3 ス イ ッ チの構成 SNMPv3 ユーザーの構成 各 SNMPv3 ユーザーは一意の名前で定義 し ます。ユーザーには特定のセキ ュ リ テ ィ レ ベルを 構成 し 、グループに割 り 当て る必要があ り ます。割 り 当てた SNMPv3 グループに よ っ て、ユー ザーは特定の読取 り 、 書込み、 および通知ビ ュ ーに制限 さ れます。 コ マ ン ド 属性 • 「User Name」 – SNMP エージ ェ ン ト に接続するユーザーの名前 (範囲 : 1 ~ 32 文字) • 「Group Name」 – ユーザーを割 り 当て る SNMP グループの名前 (範囲 : 1 ~ 32 文字) • 「Model」 – ユーザーのセキ ュ リ テ ィ モデル (SNMP v1、 v2c、 または v3) • 「Level」 – ユーザーに使用する セキ ュ リ テ ィ レ ベル - 「noAuthNoPriv」 – SNMP 通信に認証または暗号化は使用 さ れません (SNMPv3 のデ フ ォル ト )。 - 「AuthNoPriv」 – SNMP 通信に認証は使用 さ れますが、 デー タ は暗号化 さ れません (SNMPv3 セキ ュ リ テ ィ モデルでのみ使用可能)。 - 「AuthPriv」 – SNMP 通信に認証および暗号化が両方使用 さ れます (SNMPv3 セキ ュ リ テ ィ モデルでのみ使用可能)。 • 「Authentication」 – ユーザー認証に使用する方式 (オプ シ ョ ン : 「MD5」、 「SHA」、 デ フ ォ ル ト : 「MD5」) • 「Authentication Password」 – 少な く と も 8 文字のプ レーン テキス ト 文字が必要です。 • 「Privacy」 – デー タ プ ラ イバシに使用する暗号化アルゴ リ ズム。現時点では 56 ビ ッ ト DES のみを使用で き ます。 • 「Actions」 – ユーザーを別の SNMPv3 グループに割 り 当て る こ と がで き ます。 3-38 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 3 ウ ェ ブ – 「SNMP」、 「SNMPv3」、 「Users」 の順に ク リ ッ ク し ます。 ユーザー名を構成する に は、 「New」 を ク リ ッ ク し ます。 「New User」 ページ で、 名前を定義 し てグループに割 り 当て、 「Add」 を ク リ ッ ク し ます。 コ ン フ ィ ギ ュ レーシ ョ ンが保存 さ れ、 「User Name」 リ ス ト に戻 り ます。 ユーザー を削除する には、 該当す るユーザー名の横にあ る チ ェ ッ ク ボ ッ ク ス を オ ン に し 、 「Delete」 を ク リ ッ ク し ます。 ユーザーが割 り 当て ら れてい る グループ を変更す る には、 ユーザー テーブルの 「Actions」 列で 「Change Group」 を ク リ ッ ク し 、 新規グループ を選択 し ます。 図 3-28. SNMPv3 ユーザーの構成 3-39 3 ス イ ッ チの構成 リ モー ト SNMPv3 ユーザーの構成 各 SNMPv3 ユーザーは一意の名前で定義 し ます。ユーザーには特定のセキ ュ リ テ ィ レ ベルを 構成 し 、グループに割 り 当て る必要があ り ます。割 り 当てた SNMPv3 グループに よ っ て、ユー ザーは特定の読取 り 、 書込み、 および通知ビ ュ ーに制限 さ れます。 イ ン フ ォ ーム メ ッ セージ を リ モー ト デバイ ス上の SNMPv3 ユーザーに送信する には、 まず ユーザーが存在す る リ モー ト デバ イ ス上の SNMP エージ ェ ン ト のエ ン ジ ン識別子を指定す る必要があ り ます。 リ モー ト エ ン ジ ン ID は、 リ モー ト ホ ス ト 上のユーザーに送信 さ れたパ ケ ッ ト の認証および暗号化に使用 さ れる セキ ュ リ テ ィ ダ イ ジ ェ ス ト を計算する ために使用 さ れます。 コ マ ン ド 属性 • 「User Name」 – SNMP エージ ェ ン ト に接続するユーザーの名前 (範囲 : 1 ~ 32 文字) • 「Group Name」 – ユーザーを割 り 当て る SNMP グループの名前 (範囲 : 1 ~ 32 文字) • 「Engine ID」 – リ モー ト ユーザーが存在する リ モー ト デバイ ス上の SNMP エージ ェ ン ト の エ ン ジ ン ID。 リ モー ト エ ン ジ ン ID は、 リ モー ト ユーザーを構成する前に指定 し てお く 必 要があ り ます (44 ページの 「 リ モー ト エ ン ジ ン ID の指定」 を参照)。 • 「Model」 – ユーザーのセキ ュ リ テ ィ モデル (SNMP v1、 v2c、 または v3) • 「Level」 – ユーザーに使用する セキ ュ リ テ ィ レ ベル - 「noAuthNoPriv」 – SNMP 通信に認証または暗号化は使用 さ れません (SNMPv3 のデ フ ォ ル ト )。 - 「AuthNoPriv」 – SNMP 通信に認証は使用 さ れますが、 デー タ は暗号化 さ れません (SNMPv3 セキ ュ リ テ ィ モデルでのみ使用可能)。 - 「AuthPriv」 – SNMP 通信に認証および暗号化が両方使用 さ れます (SNMPv3 セキ ュ リ テ ィ モデルでのみ使用可能)。 • 「Authentication」 – ユーザー認証に使用する方式 (オプ シ ョ ン : 「MD5」、 「SHA」、 デ フ ォ ル ト : 「MD5」) • 「Privacy」 – デー タ プ ラ イバシに使用する暗号化アルゴ リ ズム。現時点では 56 ビ ッ ト DES のみを使用で き ます。 ウ ェ ブ – 「SNMP」、 「SNMPv3」、 「Remote Users」 の順に ク リ ッ ク し ます。 ユーザー名を構 成するには、 「New」 を ク リ ッ ク し ます。 「New User」 ページ で、 名前を定義 し てグループに 割 り 当て、 「Add」 を ク リ ッ ク し ます。 コ ン フ ィ ギ ュ レーシ ョ ンが保存 さ れ、 「User Name」 リ ス ト に戻 り ます。 ユーザー を削除する には、 該当するユーザー名の横にあ る チ ェ ッ ク ボ ッ ク ス を オ ンに し 、 「Delete」 を ク リ ッ ク し ます。 図 3-29. リ モー ト SNMPv3 ユーザーの構成 3-40 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 3 SNMPv3 グループの構成 SNMPv3 グループによ り 、 そのグループに割 り 当て られているユーザーのア ク セス ポ リ シー が設定 さ れ、 ユーザーが特定の読取 り 、 書込み、 お よ び通知ビ ュ ーに制限 さ れます。 事前に 定義 さ れ て い る デ フ ォ ル ト グルー プ を 使用す る こ と も、 新規グルー プ を 作成 し て 一連の SNMP ユーザーを SNMP ビ ュ ーにマ ッ ピ ングする こ と も で き ます。 コ マ ン ド 属性 • 「Group Name」 – ユーザーを割 り 当て る SNMP グループの名前 (範囲 : 1 ~ 32 文字) • 「Model」 – ユーザーのセキ ュ リ テ ィ モデル (SNMP v1、 v2c、 または v3) • 「Level」 – グループに使用する セキ ュ リ テ ィ レ ベル - 「noAuthNoPriv」 – SNMP 通信に認証または暗号化は使用 さ れません (SNMPv3 のデ フ ォ ル ト )。 - 「AuthNoPriv」 – SNMP 通信に認証は使用 さ れますが、 デー タ は暗号化 さ れません (SNMPv3 セキ ュ リ テ ィ モデルでのみ使用可能)。 - 「AuthPriv」 – SNMP 通信に認証および暗号化が両方使用 さ れます (SNMPv3 セキ ュ リ テ ィ モデルでのみ使用可能)。 • 「Read View」 – 読取 り ア ク セ ス用に構成 さ れた ビ ュ ー (範囲 : 1 ~ 64 文字) • 「Write View」 – 書込みア ク セス用に構成 さ れた ビ ュ ー (範囲 : 1 ~ 64 文字) • 「Notify View」 – 通知用に構成 さ れた ビ ュ ー (範囲 : 1 ~ 64 文字) 表 3-4. サポー ト さ れてい る通知 メ ッ セージ オブ ジ ェ ク ト ID 説明 newRoot 1.3.6.1.2.1.17.0.1 newRoot ト ラ ッ プは、 送信側エージ ェ ン ト がスパニ ン グ ツ リ ーの新規ルー ト にな っ た こ と を示 し ます。 ト ラ ッ プは、 新規ルー ト と し て選択 さ れた直後に ト ポ ロ ジ変更 タ イ マーが タ イ ムア ウ ト に な っ た と き な ど、選択直後にブ リ ッ ジか ら送信 さ れます。 topologyChange 1.3.6.1.2.1.17.0.2 topologyChange ト ラ ッ プは、 構成 さ れ ているいずれかのポー ト が Learning 状 態か ら Forwarding 状 態、 ま た は Forwarding 状態から Discarding 状態に 遷移 し た場合に ブ リ ッ ジか ら 送信 さ れ ま す。 同 じ 遷移 に 対 し て newRoot ト ラ ッ プが送信 さ れた場合、この ト ラ ッ プ は送信 さ れません。 1.3.6.1.6.3.1.1.5.1 coldStart ト ラ ッ プ は、 エ ー ジ ェ ン ト ロ ー ル を 実行 し て い る SNMPv2 エ ン テ ィ テ ィ がそれ自体を再初期化 し 、コ ン フ ィ ギ ュ レ ー シ ョ ン が変更 さ れた可能 性のある こ と を示 し ます。 オブ ジ ェ ク ト ラ ベル RFC 1493 ト ラ ッ プ SNMPv2 ト ラ ッ プ coldStart 3-41 3 ス イ ッ チの構成 表 3-4. サポー ト さ れている通知 メ ッ セージ (続き) オブ ジ ェ ク ト ラ ベル オブ ジ ェ ク ト ID 説明 warmStart 1.3.6.1.6.3.1.1.5.2 warmStart ト ラ ッ プは、 エージ ェ ン ト ロ ー ル を 実行 し て い る SNMPv2 エ ン テ ィ テ ィ がそれ自体を再初期化 し たが、 コ ン フ ィ ギ ュ レ ー シ ョ ン は変更 さ れて いない こ と を示 し ます。 linkDown* 1.3.6.1.6.3.1.1.5.3 linkDown ト ラ ッ プは、 エージ ェ ン ト ロールを実行 し ている SNMP エ ン テ ィ テ ィ が、 そのいずれかの通信 リ ン ク の ifOperStatus オ ブ ジ ェ ク ト がほかの状 態 (notPresent 状態以外) から down 状 態に遷移 し よ う と し て い る こ と を 検知 し た こ と を示 し ます。どの状態に遷移 し た かは、 ifOperStatus に含 ま れ る 値 に よ っ て示 さ れます。 linkUp* 1.3.6.1.6.3.1.1.5.4 linkUp ト ラ ッ プは、 エージ ェ ン ト ロー ルを実行 し ている SNMP エ ン テ ィ テ ィ が、 そ の い ず れ か の 通 信 リ ン ク の ifOperStatus オ ブ ジ ェ ク ト が down 状 態か ら ほかの状態 (notPresent 状態以 外)に遷移 し た こ と を検知 し た こ と を示 し ま す。 ど の 状 態 に 遷 移 し た か は、 ifOperStatus に含 ま れ る 値に よ っ て 示 さ れます。 authenticationFailure* 1.3.6.1.6.3.1.1.5.5 authenticationFailure ト ラ ッ プは、 エー ジ ェ ン ト ロールを実行 し てい る SNMPv2 エ ン テ ィ テ ィ が、 正常に認証 さ れていないプ ロ ト コ ル メ ッ セージ を 受信 し た こ と を示 し ま す。 SNMPv2 の どの実装で も こ の ト ラ ッ プの生成が可 能ですが、 snmpEnableAuthenTraps オ ブ ジ ェ ク ト によ っ て、この ト ラ ッ プが生 成 さ れる こ と が示 さ れます。 risingAlarm 1.3.6.1.2.1.16.0.1 この SNMP ト ラ ッ プは、 ア ラ ーム エ ン ト リ が上昇 し き い値を超え、 SNMP ト ラ ッ プ を 送信す る よ う 構成 さ れた イ ベ ン ト が生成 さ れた場合に生成 さ れます。 fallingAlarm 1.3.6.1.2.1.16.0.2 この SNMP ト ラ ッ プは、 ア ラ ーム エ ン ト リ が下降 し き い値を下回 り 、 SNMP ト ラ ッ プ を 送信す る よ う 構成 さ れた イ ベ ン ト が生成 さ れた場合に生成 さ れます。 RMON イ ベ ン ト (V2) 3-42 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 3 表 3-4. サポー ト さ れている通知 メ ッ セージ (続き) オブ ジ ェ ク ト ID 説明 swPowerStatus ChangeTrap 1.3.6.1.4.1.259.6.10.94.2.1.0.1 この ト ラ ッ プは、電源状態が変化 し た場 合に送信 さ れます。 swIpFilterRejectTrap 1.3.6.1.4.1.259.6.10.94.2.1.0.40 この ト ラ ッ プは、 IP フ ィ ル タ によ っ て 不正な IP ア ド レ スが拒否 さ れた場合に 送信 さ れます。 pethPsePortOnOff Notification 1.3.6.1.4.1.259.6.10.94.2.1.0.43 この通知は、 PSE (給電装置) ポー ト か ら PD (電動デバイ ス) に電力が供給 さ れているかど う かを示 し ます。検索モー ド の場合を除き、この通知はス テー タ ス が変化する たびに送信 さ れます。 pethPsePortPower MaintenanceStatus Notification 1.3.6.1.4.1.259.6.10.94.2.1.0.44 この通知は、ポー ト 変更ス テー タ ス を示 し 、ス テー タ スが変化する たびに送信 さ れます。 pethMainPower UsageOnNotification 1.3.6.1.4.1.259.6.10.94.2.1.0.45 こ の通知は、 PSE し き い値使用指示が オ ン であ り 、電力使用が し き い値を超え ている こ と を示 し ます。 pethMainPower UsageOffNotification 1.3.6.1.4.1.259.6.10.94.2.1.0.46 こ の通知は、 PSE し き い値使用指示が オ フ で あ り 、 使用電力が し き い値 を 下 回っ ている こ と を示 し ます。 オブ ジ ェ ク ト ラ ベル プ ラ イ ベー ト ト ラ ッ プ * こ れ ら はレ ガシー通知であ る ため、 「SNMP」 の 「Configuration」 メ ニ ュ ーで対応する ト ラ ッ プ と と も に 有効にする必要があ り ます。 3-43 3 ス イ ッ チの構成 ウ ェ ブ – 「SNMP」、 「SNMPv3」、 「Groups」 の順に ク リ ッ ク し ます。 新規グループ を構成す る には、 「New」 を ク リ ッ ク し ます。 「New Group」 ページ で、 名前を定義 し て セキ ュ リ テ ィ モデルおよびレ ベルを割 り 当て、 読取 り お よび書込みビ ュ ーを選択 し ます。 「Add」 を ク リ ッ ク し 、 新規グループ を保存 し てグループ リ ス ト に戻 り ます。 グループ を削除するには、 該当 するグループ名の横にあ る チ ェ ッ ク ボ ッ ク ス を オ ン に し 、 「Delete」 を ク リ ッ ク し ます。 図 3-30. SNMPv3 グループの構成 SNMPv3 ビ ュ ーの設定 SNMPv3 ビ ュ ーは、ユーザー ア ク セス を MIB ツ リ ーの指定部分に制限する ために使用 さ れま す。 あ らか じ め定義 さ れている 「defaultview」 ビ ュ ーには MIB ツ リ ー全体へのア ク セスが含 まれます。 コ マ ン ド 属性 • 「View Name」 – SNMP ビ ュ ーの名前 (範囲 : 1 ~ 64 文字) • 「View OID Subtrees」 – SNMP ビ ュ ーを定義する MIB ツ リ ー内のブ ラ ン チに現在構成 さ れ ているオブ ジ ェ ク ト 識別子が表示 さ れます。 • 「Edit OID Subtrees」 – MIB ツ リ ー内のブ ラ ン チのオブ ジ ェ ク ト 識別子を構成で き ます。ワ イル ド カ ー ド を使用 し て OID 文字列の特定部分を マス ク する こ と がで き ます。 3-44 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル 3 • 「Type」 – MIB ツ リ ー内のブ ラ ン チのオブ ジ ェ ク ト 識別子を SNMP ビ ュ ーに含めるか、 SNMP ビ ュ ーから 除外するかを指定 し ます。 ウ ェ ブ – 「SNMP」、 「SNMPv3」、 「Views」 の順に ク リ ッ ク し ます。 新規ビ ュ ーを構成する に は、 「New」 を ク リ ッ ク し ます。 「New View」 ページ で、 名前を定義 し 、 ス イ ッ チ MIB の OID サブ ツ リ ー を ビ ュ ーに含め るか、 ビ ュ ーか ら 除外す るかを指定 し ま す。 「Back」 を ク リ ッ ク し 、 新規ビ ュ ーを保存 し て 「SNMPv3 Views」 リ ス ト に戻 り ます。 特定のビ ュ ーについて、 現 在の コ ン フ ィ ギ ュ レーシ ョ ン を表示するには 「View OID Subtrees」 を、 ビ ュ ー設定を変更す る には 「Edit OID Subtrees」 を ク リ ッ ク し ます。 ビ ュ ー を削除する には、 該当する ビ ュ ー名 の横にある チ ェ ッ ク ボ ッ ク ス を オ ンに し 、 「Delete」 を ク リ ッ ク し ます。 図 3-31. SNMPv3 ビ ュ ーの構成 3-45 3 ス イ ッ チの構成 ユーザー認証 次のオプ シ ョ ン を使用 し て、 こ のス イ ッ チへの管理ア ク セス を制限で き ます。 • 「User Accounts」 – 指定 し たユーザーについて、 こ のス イ ッ チに対する ア ク セ ス権を手動で 構成 し ます。 • 「Authentication Settings」 – リ モー ト 認証に よ っ て ア ク セス権を構成 し ます。 • 「HTTPS Settings」 – セキ ュ ア ウ ェ ブ接続を提供 し ます。 • 「SSH Settings」 – セキ ュ ア シ ェ ルを提供 し ます (セキ ュ ア Telnet ア ク セス用)。 • 「Port Security」 – 個々のポー ト のセキ ュ ア ア ド レ ス を構成 し ます。 • 「802.1X」 – IEEE 802.1X ポー ト 認証に よ っ て特定ポー ト へのア ク セス を制御 し ます。 • 「IP Filter」 – ウ ェ ブ、 SNMP、 ま たは Telnet イ ン タ ー フ ェ ースへの管理ア ク セス を フ ィ ル タ リ ング し ます。 ユーザー ア カ ウ ン ト の構成 ゲス ト には多 く の構成パ ラ メ ー タ に対す る読取 り ア ク セ スのみが許可 さ れます。 一方、 管理 者にはオ ンボー ド のエージ ェ ン ト を管理す るすべてのパ ラ メ ー タ への書込みア ク セ ス権が与 え ら れます。 そのため、 で き る限 り 早急に管理者の新規パスワー ド を割 り 当て、 安全な場所 に保管する必要があ り ます。 ゲス ト のデ フ ォル ト の名前は 「guest」、 パスワー ド は 「guest」 です。 管理者のデ フ ォ ル ト の 名前は 「admin」、 パスワー ド は 「admin」 です。 コ マ ン ド 属性 • 「Account List」 – 現在のユーザー ア カ ウン ト と それに関連付け ら れている ア ク セス レ ベ ルの リ ス ト が表示 さ れます (デ フ ォル ト : admin および guest)。 • 「New Account」 – 新規ア カ ウン ト の コ ン フ ィ ギ ュ レーシ ョ ン設定が表示 さ れます。 - 「User Name」 – ユーザーの名前 (最大長 : 8 文字、 最大ユーザー数 : 16) - 「Access Level」 – ユーザー レ ベルを指定 し ます (オプ シ ョ ン : 「Normal」 および 「Privileged」)。 - 「Password」 – ユーザー パスワー ド を指定 し ます (範囲 : 0 ~ 8 文字のプ レ ーン テキス ト 、 大文字 と 小文字は区別 さ れる)。 • 「Change Password 」 – 指定 し たユーザー名の新規パスワー ド を設定 し ます。 • 「Add」 / 「Remove」 – リ ス ト にア カ ウン ト を追加、 または リ ス ト か ら ア カ ウン ト を削除 し ます。 3-46 ユーザー認証 3 ウ ェ ブ – 「Security」、 「User Accounts」 の順に ク リ ッ ク し ます。 新規ユーザー ア カ ウン ト を 構成する には、 ユーザー名を指定 し 、 ユーザーのア ク セス レ ベルを選択 し ます。 次に、 パス ワー ド を入力 し 、 確認のため再入力 し ます。 「Add」 を ク リ ッ ク し 、 新規ユーザー ア カ ウン ト を保存 し て 「Account List」 に追加 し ます。 特定ユーザーのパスワー ド を変更するには、 ユー ザー名 と 新規パスワー ド を入力 し 、 確認のため再度パスワー ド を入力 し て 「Apply」 を ク リ ッ ク し ます。 図 3-32. ア ク セス レ ベル CLI – 1 つのユーザー名を ア ク セス レ ベル 15(管理者)に割 り 当て、パスワー ド を指定 し ます。 Console(config)#username bob access-level 15 Console(config)#username bob password 0 smith Console(config)# 4-26 3-47 3 ス イ ッ チの構成 ロー カル / リ モー ト ロ グオ ン認証の構成 指定 さ れたユーザー名 と パスワー ド に基づいて管理ア ク セス を制限する には、「Authentication Settings」 メ ニ ュ ー を 使用 し ま す。 ス イ ッ チ に対す る ア ク セ ス権 を 手動で構成す る こ と も、 RADIUS ま たは TACACS+ プ ロ ト コ ルに基づ く リ モ ー ト ア ク セ ス認証サーバー を使用す る こ と も で き ます。 リ モー ト 認証ダ イ ヤル イ ン ユーザー サービ ス (RADIUS) および タ ー ミ ナ ル ア ク セス コ ン ト ローラ ア ク セス 制御シ ス テム プ ラ ス (TACACS+)は、 Web 中央サーバー で実行中の ソ フ ト ウ ェ Telnet アに よ っ て、 ネ ッ ト ワー ク上の RADIUS 対 応 ま た は TACACS 対応 デバ イ スへのア ク セ ス を 制御す る ロ RADIUS/ グオ ン認証プ ロ ト コ ルです。認証サー TACACS+ バーには、ス イ ッ チへの管理ア ク セス server を必要 と する各ユーザのユーザー名 / パス ワー ド のペ ア と それに関連付け られている権限レ ベルのデー タ ベースが保持 さ れます。 console 1. Client attempts management access. 2. Switch contacts authentication server. 3. Authentication server challenges client. 4. Client responds with proper password or key. 5. Authentication server approves access. 6. Switch grants management access. RADIUS では UDP が使用 さ れ、 TACACS+ では TCP が使用 さ れます。 UDP ではベス ト エ フ ォ ー ト 型の配信のみが行われ、 TCP では接続指向の転送が行われます。 また、 RADIUS で は ク ラ イ ア ン ト か ら サーバーに送信 さ れる ア ク セ ス要求パケ ッ ト 内のパスワー ド のみが暗号 化 さ れますが、 TACACS+ ではパケ ッ ト 本体全体が暗号化 さ れます。 コ マ ン ド の使用 • デ フ ォ ル ト では、 管理ア ク セスはロー カル ス イ ッ チに保存 さ れている認証デー タ ベース と の照合チ ェ ッ ク を必ず受けます。 リ モー ト 認証サーバーを使用する場合、 認証順序 と 、 リ モ ー ト 認証プ ロ ト コ ルの該当パ ラ メ ー タ を 指定す る 必要があ り ま す。 ロ ー カ ルお よ び リ モー ト ロ グオ ン認証では、 コ ン ソ ール ポー ト 、 ウ ェ ブ ブ ラ ウザ、 または Telnet によ る管 理ア ク セスが制御 さ れます。 • RADIUS および TACACS+ ロ グオ ン認証では、 ユーザー名 / パスワー ド の各ペアに特定の 権限レ ベルが割 り 当て ら れます。 ユーザー名、 パスワー ド 、 および権限レ ベルは、 認証サー バーに構成 さ れている必要があ り ます。 • 各ユーザーに最大 3 つの認証方式を指定 し 、 認証順序を指定する こ と がで き ます。 た と え ば、 (1) RADIUS、 (2) TACACS、 (3) ロー カル と し て選択 し た場合、 まず RADIUS サーバー で ユ ー ザ ー 名 と パ ス ワ ー ド が照合 さ れ ま す。 RADIUS サ ー バ ー を 使用 で き な い 場合、 TACACS+ サーバーでの認証が試行 さ れます。 TACACS+ サーバー も使用で き ない場合は、 最後に ロー カル ユーザー名 と パスワー ド のチ ェ ッ ク が行われます。 コ マ ン ド 属性 • 「Authentication」 – 認証または必要な認証順序を選択 し ます。 - 「Local」 – ユーザー認証はス イ ッ チに よ っ て ロー カルでのみ行われます。 - 「Radius」 – ユーザー認証は RADIUS サーバーのみを使用 し て実行 さ れます。 - 「TACACS」 – ユーザー認証は TACACS+ サーバーのみを使用 し て実行 さ れます。 - 「[authentication sequence]」 – ユーザー認証は最大 3 つの認証方式で指定の順に実行 さ れます。 3-48 ユーザー認証 3 • 「RADIUS Settings」 - 「Global」 – グ ローバルに適用可能な RADIUS 設定を提供 し ます。 - 「ServerIndex」 – 構成 さ れている 5 台の RADIUS サーバーのいずれかを指定 し ます。 ス イ ッ チは リ ス ト に示 さ れたサーバーの順に認証を試行 し ます。 サーバーがユーザーへの ア ク セス を承認ま たは拒否 し た時点で こ のプ ロ セスは終了 し ます。 - 「Server Port Number」 – 認証 メ ッ セージに使用する認証サーバーのネ ッ ト ワー ク (UDP) ポー ト (範囲 : 1 ~ 65535、 デ フ ォ ル ト : 1812) - 「Secret Text String」 – ク ラ イ ア ン ト へのロ グオ ン ア ク セスの認証に使用する暗号キー。 文字列にスペース を含めないで く だ さ い (最大長 : 20 文字)。 - 「Number of Server Transmits」 – ス イ ッ チが認証サーバーによ る ログオ ン ア ク セスの 認証を試行する回数 (範囲 : 1 ~ 30、 デ フ ォル ト : 2) - 「Timeout for a reply」 – ス イ ッ チが要求を再送する前に RADIUS サーバーから の応答を 待機する秒数 (範囲 : 1 ~ 65535、 デ フ ォ ル ト : 5) • 「TACACS Settings」 - 「Server IP Address」 – TACACS+ サーバーのア ド レ ス (デ フ ォル ト : 10.11.12.13) - 「Server Port Number」 – 認証 メ ッ セージに使用する TACACS+ サーバーのネ ッ ト ワー ク (TCP) ポー ト (範囲 : 1 ~ 65535、 デ フ ォル ト : 49) - 「Secret Text String」 – ク ラ イ ア ン ト へのロ グオ ン ア ク セスの認証に使用する暗号キー。 文字列にスペース を含めないで く だ さ い (最大長 : 20 文字)。 注 : CLI を使用 し てユーザー名 と パスワー ド を手動で入力 し 、 ロー カル ス イ ッ チ ユーザー デー タ ベース を設定 し てお く 必要があ り ます (4-26 ページの 「username」 を参照)。 ウ ェ ブ – 「Security」 、 「Authentication Settings」 の順に ク リ ッ ク し ます。 ロー カルまたは リ モー ト 認証のプ リ フ ァ レ ン ス を構成す る には、 認証順序 (1 ~ 3 つの方式) を指定 し 、 認証 方式 と し て RADIUS ま た は TACACS+ を 選択 し た 場合は各認証のパ ラ メ ー タ を 入力 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-33. 認証設定 3-49 3 ス イ ッ チの構成 CLI – ログオ ン認証を有効にする ために必要なパラ メ ー タ をすべて指定 し ます。 Console(config)#authentication login radius Console(config)#radius-server port 181 Console(config)#radius-server key green Console(config)#radius-server retransmit 5 Console(config)#radius-server timeout 10 Console(config)#radius-server 1 host 192.168.1.25 Console(config)#end Console#show radius-server 4-72 4-75 4-76 4-76 4-77 4-75 4-77 Remote RADIUS server configuration: Global settings: Communication key with RADIUS server: ***** Server port number: 181 Retransmit times: 5 Request timeout: 10 Server 1: Server IP address: 192.168.1.25 Communication key with RADIUS server: ***** Server port number: 1812 Retransmit times: 2 Request timeout: 5 Console#configure Console(config)#authentication login tacacs Console(config)#tacacs-server host 10.20.30.40 Console(config)#tacacs-server port 200 Console(config)#tacacs-server key green Console#show tacacs-server Server IP address: 10.20.30.40 Communication key with tacacs server: green Server port number: 200 Console(config)# 4-72 4-78 4-78 4-79 4-79 HTTPS の構成 セ キ ュ ア ソ ケ ッ ト レ イ ヤー (SSL) を 介 し た セ キ ュ ア ハ イ パー テ キ ス ト 転送 プ ロ ト コ ル (HTTPS) を 有効にす る よ う ス イ ッ チ を 構成す る こ と に よ り 、 ス イ ッ チのウ ェ ブ イ ン タ ー フ ェ ースへのセキ ュ ア ア ク セス (暗号化 さ れた接続) を実現する こ と がで き ます。 コ マ ン ド の使用 • ス イ ッ チでは、 HTTP および HTTPS サービ ス を個別に有効にで き ます。 ただ し 、 両方の サービ スが同 じ UDP ポー ト を使用する よ う 構成する こ と はで き ません。 • HTTPS を有効にする場合、 ブ ラ ウザで URL を https:// デバイ ス [: ポー ト 番号 ] の形式で指 定 し て、 この こ と を示す必要があ り ます。 • HTTPS を開始する と 、 次のよ う に接続が確立 さ れます。 - ク ラ イ ア ン ト がサーバーのデジ タ ル証明書を使用 し てサーバーを認証 し ます。 - ク ラ イ ア ン ト と サーバーは、接続に使用する一連のセキ ュ リ テ ィ プ ロ ト コルのネゴ シエー シ ョ ン を行います。 - ク ラ イ ア ン ト と サーバーは、 デー タ の暗号化 と 解読に使用する セ ッ シ ョ ン キーを生成 し ます。 • ク ラ イ ア ン ト と サーバーは、 暗号化 さ れたセキ ュ ア接続を確立 し ます。 3-50 ユーザー認証 3 • Internet Explorer 5.x 以上および Netscape Navigator 6.2 以上では、 ス テー タ ス バーに南京 錠のア イ コ ンが表示 さ れます。 • 現在 HTTPS をサポー ト し ているウ ェ ブ ブ ラ ウザ と オペ レーテ ィ ング シ ス テムは次の と お り です。 表 3-5. HTTPS のシ ステム サポー ト ウ ェ ブ ブ ラ ウザ オペ レーテ ィ ング シ ス テム Internet Explorer 5.0 以上 Windows 98、 Windows NT (サービ ス パ ッ ク 6a)、 Windows 2000、 Windows XP Netscape Navigator 6.2 以上 Windows 98、 Windows NT (サービ ス パ ッ ク 6a)、 Windows 2000、 Windows XP、 Solaris 2.6 • セキ ュ アサイ ト 証明書を指定するには、 3-51 ページの 「デ フ ォ ル ト のセキ ュ アサイ ト 証明 書の置換」 を参照 し て く だ さ い。 コ マ ン ド 属性 • 「HTTPS Status」 – ス イ ッ チで HTTPS サーバー機能を有効 / 無効にで き ます (デ フ ォル ト : オ ン)。 • 「Change HTTPS Port Number」 – ス イ ッ チのウ ェ ブ イ ン タ ー フ ェ ースへの HTTPS 接続に 使用する UDP ポー ト 番号を指定 し ます (デ フ ォ ル ト : ポー ト 443)。 ウ ェ ブ – 「Security」、 「HTTPS Settings」 の順に ク リ ッ ク し ます。 HTTPS を有効に し 、 ポー ト 番号を指定 し て、 「Apply」 を ク リ ッ ク し ます。 図 3-34. HTTPS 設定 CLI – こ の例では、 HTTP セキ ュ ア サーバーを有効に し 、 ポー ト 番号を変更 し ています。 Console(config)#ip http secure-server Console(config)#ip http secure-port 443 Console(config)# 4-31 4-32 デ フ ォル ト のセキ ュ アサイ ト 証明書の置換 (セキ ュ ア ア ク セスのため) HTTPS を使用 し てウ ェ ブ イ ン タ ー フ ェ ースに ログオ ンする と 、 ス イ ッ チ に セ キ ュ ア ソ ケ ッ ト レ イ ヤー (SSL) 証明書が表示 さ れ ま す。 デ フ ォ ル ト では、 Netscape および Internet Explorer に表示 さ れる証明書は、 こ のサイ ト がセキ ュ ア サイ ト と し て認識 さ れない こ と を示す警告に関連付け ら れます。 こ れは、 こ の証明書に承認済み認証機 関に よ る署名がないためです。 こ の警告を、 こ のス イ ッ チへの接続がセキ ュ ア であ る こ と を 示す確認 メ ッ セ ー ジ に置 き 換え る には、 公認の認証機関か ら 一意の証明書、 プ ラ イ ベー ト キー、 およびパスワー ド を取得する必要があ り ます。 3-51 3 ス イ ッ チの構成 注 : 最大限のセキ ュ リ テ ィ を確保する ために、で き る限 り 早急に一意のセキ ュ ア ソ ケ ッ ト レ イヤー 証明書を取得す る こ と を お勧め し ま す。 こ れは、 ス イ ッ チのデ フ ォ ル ト の証明書がご購入の ハー ド ウ ェ アに と っ て一意ではないためです。 証明書、 プ ラ イ ベー ト キー、 お よびパスワー ド を取得 し た ら、 TFTP サーバーに保存 し 、 ス イ ッ チの コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース で次の コ マ ン ド を使用 し てデ フ ォ ル ト (非公認) の証明書を承認済み証明書に置き換え ます。 Console#copy tftp https-certificate TFTP server ip address: <server ip-address> Source certificate file name: <certificate file name> Source private file name: <private key file name> Private password: <password for private key> 4-66 注 : 新 し い証明書を有効にする には、 ス イ ッ チ を リ セ ッ ト する必要があ り ます。 ス イ ッ チ を リ セ ッ ト する には、 Console#reload と 入力 し ます。 セキ ュ ア シ ェ ルの構成 Berkley 標準には、本来 Unix シ ス テム用に設計 さ れた リ モー ト ア ク セス ツールが含まれてい ます。 一部のツールは Microsoft Windows およびその他の環境に も実装 さ れています。 rlogin ( リ モー ト ロ グ イ ン) 、 rsh ( リ モー ト シ ェ ル) 、 rcp ( リ モー ト コ ピー) な どの コ マ ン ド を含 むツールは悪意のあ る攻撃に対 し てセキ ュ ア ではあ り ません。 セキ ュ ア シ ェ ル (SSH) には、 旧式の Berkley リ モー ト ア ク セス ツールに対する セキ ュ ア な 代替機能 と し て開発 さ れたサーバー / ク ラ イ ア ン ト ア プ リ ケーシ ョ ンが含まれています。 ま た、 SSH では、 Telnet のセキ ュ ア な代替機能 と し て、 こ のス イ ッ チへの リ モー ト 管理ア ク セ スが提供 さ れます。 ク ラ イ ア ン ト が SSH プ ロ ト コ ルによ っ てス イ ッ チに接触する と 、 ス イ ッ チに よ り 公開キーが生成 さ れます。 こ のキーは、 ク ラ イ ア ン ト がア ク セ ス認証を受け る ため に ロー カル ユーザー名 と パスワー ド と と も に使用 し ます。 SSH では、 ス イ ッ チ と SSH 対応 の管理ス テーシ ョ ン ク ラ イ ア ン ト 間で転送 さ れるデー タ がすべて暗号化 さ れる ため、 ネ ッ ト ワー ク 上で伝送 さ れるデー タ の改ざんが防止 さ れます。 注 : 管理のため SSH プ ロ ト コルでス イ ッ チにア ク セスするには、管理ス テーシ ョ ン に SSH ク ラ イ ア ン ト を イ ン ス ト ールする必要があ り ます。 注 : ス イ ッ チでは、 SSH バージ ョ ン 1.5 および 2.0 ク ラ イ ア ン ト が両方サポー ト さ れます。 コ マ ン ド の使用 こ のス イ ッ チ上の SSH サーバーでは、 パスワー ド および公開キーによ る認証がサポー ト さ れ ます。 SSH ク ラ イ ア ン ト がパスワー ド 認証を指定 し た場合、 「Authentication Settings」 ペー ジ (3-48 ページ) の指定に従 っ て、 ロー カルで、 あるいは RADIUS または TACACS+ リ モー ト 認証サーバーに よ っ てパスワー ド を認証で き ます。 ク ラ イ ア ン ト が公開キー認証を指定 し た場合、 次の項目の手順に従 っ て ク ラ イ ア ン ト お よ びス イ ッ チの両方に認証キーを構成す る 必要があ り ます。 認証方式 と し て公開キーお よ びパスワー ド のど ち ら を使用す る場合 も、 ス イ ッ チに認証キーを生成 し (「SSH Host Key Settings」)、 SSH サーバーを有効にする (「Authentication Settings」) 必要があ り ます。 3-52 ユーザー認証 3 SSH サーバーを使用するには、 次の手順に従います。 1. ホス ト キー ペアの生成 – 「SSH Host Key Settings」 ページ で、 ホス ト の公開 / プ ラ イ ベー ト キー ペア を作成 し ます。 2. ク ラ イ ア ン ト へのホス ト の公開キーの提供 – 多 く の SSH ク ラ イ ア ン ト プ ロ グ ラ ムで は、 ス イ ッ チ と の初期接続確立時にホ ス ト の公開キーが自動的に イ ン ポー ト さ れま す。 公開キーがイ ンポー ト さ れない場合は、 管理ス テーシ ョ ン に既知のホス ト フ ァ イルを手 動で作成 し 、 こ の フ ァ イルにホス ト の公開キーを保存する必要があ り ます。 既知のホス ト フ ァ イルの公開キーのエ ン ト リ は、 次の例のよ う に表示 さ れます。 10.1.0.54 1024 35 15684995401867669259333946775054617325313674890836547254 15020245593199868544358361651999923329781766065830956 10825913212890233 76546801726272571413428762941301196195566782 59566410486957427888146206 51941746772984865468615717739390164779355942303577413098022737087794545 24083971752646358058176716709574804776117 3. ス イ ッ チへの ク ラ イ ア ン ト の公開キーのイ ンポー ト – copy tftp public-key コ マ ン ド (4-66 ページ) を使用 し て、 SSH ク ラ イ ア ン ト によ るすべての管理ア ク セ スに使用 さ れ る公開キーが保持 さ れた フ ァ イルを ス イ ッ チに コ ピー し ます ( こ れら のク ラ イ ア ン ト は、 3-46 ページの手順に従 っ て 「User Accounts」 ページ で ス イ ッ チ上に ロー カルに構成 さ れている必要があ る)。 以後、 ク ラ イ ア ン ト の認証には こ れらのキーが使用 さ れます。 次 の RSA バージ ョ ン 1 キーの例に示す と お り 、 現行のフ ァ ームウ ェ ア では、 標準の UNIX 形式に準拠 し た公開キー フ ァ イルのみが受理 さ れます。 1024 35 1341081685609893921040944920155425347631641921872958921143173880 05553616163105177594083868631109291232226828519254374603100937187721199 69631781366277414168985132049117204830339254324101637997592371449011938 00609025394840848271781943722884025331159521348610229029789827213532671 31629432532818915045306393916643 [email protected] 4. オプ シ ョ ン パラ メ ー タ の設定 – 「SSH Settings」 ページ で、 認証 タ イ ムアウ ト 、 再試行 回数、 サーバー キー サイ ズな どのオプ シ ョ ン パラ メ ー タ を構成 し ます。 5. SSH サービ スの有効化 – 「SSH Settings」 ページ で、 ス イ ッ チで SSH サーバーを有効 に し ます。 6. チ ャ レ ン ジ / レ スポン ス認証 – SSH ク ラ イ ア ン ト がス イ ッ チに接触 し よ う と する と 、 SSH サーバーではホス ト キー ペア を使用 し てセ ッ シ ョ ン キーおよび暗号化方式のネゴ シ エーシ ョ ンが行われます。 公開キーに対応する プ ラ イ ベー ト キーがス イ ッ チに保存 さ れてい る ク ラ イ ア ン ト のみがア ク セ ス で き ます。 こ のプ ロ セ ス では、 次のよ う にキーが 交換 さ れます。 a. ク ラ イ ア ン ト が公開キーを ス イ ッ チに送信 し ます。 b. ス イ ッ チは ク ラ イ ア ン ト の公開キー と 、 メ モ リ ーに保存 さ れている公開キーを比較 し ます。 c. 合致する公開キーが見つかっ た場合、 ス イ ッ チはその公開キーを使用 し て ラ ン ダム なバイ ト 順序を暗号化 し 、 こ の文字列を ク ラ イ ア ン ト に送信 し ます。 d. ク ラ イ ア ン ト はプ ラ イ ベー ト キーを使用 し てバイ ト を解読 し 、解読 し たバイ ト を ス イ ッ チに戻 し ます。 3-53 3 ス イ ッ チの構成 e. ス イ ッ チは解読 さ れたバイ ト と 、 送信 し た元のバイ ト を比較 し ます。 両者が合致 し た場合、ク ラ イ ア ン ト のプ ラ イ ベー ト キーが正当な公開キーに対応 し ている と 見な さ れ、 ク ラ イ ア ン ト は認証 さ れます。 注 : 1. パスワー ド 認証のみで SSH を使用する場合も、 初期接続確立時または既知のホス ト フ ァ イルに手動で入力 し て、 ホス ト の公開キーを ク ラ イ ア ン ト に与え る必要があ り ます。 ただ し 、 ク ラ イ ア ン ト のキーを構成する必要はあ り ません。 2. SSH サーバーでは最大 4 つの ク ラ イ ア ン ト セ ッ シ ョ ンがサポー ト さ れます。 ク ラ イ ア ン ト セ ッ シ ョ ンの最大数には、 現在の Telnet セ ッ シ ョ ン と SSH セ ッ シ ョ ン も含まれます。 SSH サーバーの構成 SSH サーバーには認証の基本設定が保持 さ れます。 フ ィ ール ド 属性 • 「SSH Server Status」 – ス イ ッ チで SSH サーバーを有効 / 無効にで き ます (デ フ ォル ト : オ フ)。 • 「Version」 – セキュ ア シ ェ ルのバージ ョ ン番号。バージ ョ ン 2.0 が表示 されますが、 ス イ ッ チ では SSH バージ ョ ン 1.5 または 2.0 ク ラ イ ア ン ト によ る管理ア ク セスがサポー ト さ れます。 • 「SSH Authentication Timeout」 – 認証の試行中に SSH サーバーが ク ラ イ ア ン ト からの応 答を待機する時間を秒単位で指定 し ます (範囲 : 1 ~ 120 秒、 デ フ ォ ル ト : 120 秒)。 • 「SSH Authentication Retries」 – ク ラ イ ア ン ト に許可する認証試行回数を指定 し ます。 こ の回数に達する と 認証は失敗 し 、 ク ラ イ ア ン ト は認証プ ロ セ ス をや り 直す必要があ り ます (範囲 : 1 ~ 5 回、 デ フ ォ ル ト : 3)。 • 「SSH Server-Key Size」 – SSH サーバー キーのサイ ズを指定 し ます (範囲 : 512 ~ 896 ビ ッ ト 、 デ フ ォ ル ト : 768)。 - サーバー キーはプ ラ イ ベー ト キーであるため、ス イ ッ チ外で共有 さ れる こ と はあ り ません。 - ホス ト キーは SSH ク ラ イ ア ン ト と 共有さ れ、サイズは 1024 ビ ッ ト に固定 さ れています。 ウ ェ ブ – 「Security」、 「SSH」、 「Settings」 の順に ク リ ッ ク し ます。 SSH を有効に し 、 必要に 応 じ て認証パ ラ メ ー タ を調整 し て、 「Apply」 を ク リ ッ ク し ます。 SSH サーバーを有効にする 前に、 「SSH Host-Key Settings」 ページ でホス ト キー ペア を生成 し てお く 必要があ り ます。 図 3-35. SSH サーバー設定 3-54 ユーザー認証 3 CLI – こ の例では、 SSH を有効に し 、 認証パ ラ メ ー タ を設定 し て、 現在の コ ン フ ィ ギ ュ レ ー シ ョ ン を表示 し ています。 管理者が SHH によ っ て接続を確立 し 、 その後 この接続を無効に し た こ と が示 さ れています。 Console(config)#ip ssh server 4-36 Console(config)#ip ssh timeout 100 4-37 Console(config)#ip ssh authentication-retries 5 4-37 Console(config)#ip ssh server-key size 512 4-38 Console(config)#end Console#show ip ssh 4-41 SSH Enabled - version 2.0 Negotiation timeout: 120 secs; Authentication retries: 5 Server key size: 512 bits Console#show ssh 4-41 Connection Version State Username Encryption 0 2.0 Session-Started admin ctos aes128-cbc-hmac-md5 stoc aes128-cbc-hmac-md5 Console#disconnect 0 4-18 Console# ホス ト キー ペアの生成 ホス ト の公開 / プ ラ イ ベー ト キー ペアは、SSH ク ラ イ ア ン ト と ス イ ッ チ間にセキ ュ ア な通信 を実現する ために使用 さ れます。 こ のキー ペアの生成後、 前の項目 (「 コ マ ン ド の使用」) の 手順に従っ て、 ホス ト の公開キーを SSH ク ラ イ ア ン ト に供給 し 、 ク ラ イ ア ン ト の公開キーを ス イ ッ チに イ ンポー ト する必要があ り ます。 フ ィ ール ド 属性 • 「Public-Key of Host-Key」 – ホス ト の公開キー - 「RSA」 (バージ ョ ン 1) : 最初のフ ィ ール ド はホス ト キーのサイ ズ (た と えば 1024)、 2 番目の フ ィ ール ド は符号化 さ れた公開キー指数 (た と えば 65537)、 最後の文字列は符号 化 さ れたモ ジ ュ ラ ス を示 し ます。 - 「DSA」 (バージ ョ ン 2) : 最初のフ ィ ール ド は、 SSH で使用 さ れる暗号化方式がデジ タ ル署名標準 (DSS) に準拠 し ている こ と を示 し ます。最後の文字列は符号化 さ れたモ ジ ュ ラ スです。 • 「Host-Key Type」 – ホス ト キー ペア (公開キー と プ ラ イ ベー ト キー) の生成に使用する キー タ イ プ (範囲 : 「RSA (Version 1)」、「DSA (Version 2)」、「Both」、デ フ ォル ト : 「RSA」) SSH サーバーでは、 ク ラ イ ア ン ト によ る ス イ ッ チ と の初期接続確立時に RSA または DSA に よ っ てキーが交換 さ れます。 その後、 ク ラ イ ア ン ト と のネ ゴ シ エーシ ョ ン に よ り デー タ 暗号化方式 と し て DES (56 ビ ッ ト ) または 3DES (168 ビ ッ ト ) が選択 さ れます。 • 「Save Host-Key from Memory to Flash」 – ホス ト キーを RAM (揮発性 メ モ リ ー) か ら フ ラ ッ シ ュ メ モ リ ーに保存 し ます。 こ のボ ッ ク ス を選択 し ない場合、 ホ ス ト キー ペアは デ フ ォ ル ト で RAM に保存 さ れます。 こ の項目は、 ホス ト キー ペアの生成前に選択 し てお く 必要があ り ます。 • 「Generate」 – こ のボ タ ン を使用する と 、 ホス ト キー ペアが生成 さ れます。 「SSH Server Settings」 ページ で SSH サーバー を有効にする前に、 ホ ス ト キー ペア を生成 し てお く 必 要があ り ます。 • 「Clear」 – こ のボ タ ン を選択する と 、 揮発性 メ モ リ ー (RAM) および不揮発性 メ モ リ ー ( フ ラ ッ シ ュ) の両方か ら ホス ト キーが消去 さ れます。 3-55 3 ス イ ッ チの構成 ウ ェ ブ – 「Security」、 「SSH」、 「Host-Key Settings」 の順に ク リ ッ ク し ます。 ド ロ ッ プ ダウ ン ボ ッ ク スから ホス ト キー タ イ プ を選択 し 、キーの生成前にホス ト キーを メ モ リ ーか ら フ ラ ッ シ ュ に保存する オプ シ ョ ン を選択 し て (必要な場合)、 「Generate」 を ク リ ッ ク し ます。 図 3-36. SSH ホス ト キー設定 CLI – 次の例では、RSA および DSA アルゴ リ ズムを両方使用 し てホス ト キー ペア を生成 し 、 こ れら のキーを フ ラ ッ シ ュ メ モ リ ーに保存 し 、 ホス ト の公開キーを表示 し ています。 Console#ip ssh crypto host-key generate 4-36 Console#ip ssh save host-key 4-36 Console#show public-key host 4-36 Host: RSA: 1024 65537 127250922544926402131336514546131189679055192360076028653006761 82409690947448320102524878965977592168322225584652387791546479807396314033869 25793105105765212243052807865885485789272602937866089236841423275912127603259 19683697053439336438445223335188287173896894511729290510813919642025190932104 328579045764891 DSA: ssh-dss AAAAB3NzaC1kc3MAAACBAN6zwIqCqDb3869jYVXlME1sHL0EcE/Re6hlasfEthIwmj hLY4O0jqJZpcEQUgCfYlum0Y2uoLka+Py9ieGWQ8f2gobUZKIICuKg6vjO9XTs7XKc05xfzkBiKvi Da+2OrIz6UK+6vFOgvUDFedlnixYTVo+h5v8r0ea2rpnO6DkZAAAAFQCNZn/x17dwpW8RrV DQnSWw4Qk+6QAAAIEAptkGeB6B5hwagH4gUOCY6i1TmrmSiJgfwO9OqRPUMbCAkCC+uzxatOo7drn IZypMx+Sx5RUdMGgKS+9ywsa1cWqHeFY5ilc3lDCNBueeLykZzVS+RS+azTKIk/zrJh8GLG Nq375R55yRxFvmcGIn/Q7IphPqyJ3o9MK8LFDfmJEAAACAL8A6tESiswP2OFqX7VGoEbzVDSOI RTMFy3iUXtvGyQAOVSy67Mfc3lMtgqPRUOYXDiwIBp5NXgilCg5z7VqbmRm28mWc5a//f8TUAg PNWKV6W0hqmshQdotVzDR1e+XKNTZj0uTwWfjO5Kytdn4MdoTHgrbl/DMdAfjnte8MZZs= Console# 3-56 ユーザー認証 3 ポー ト セキ ュ リ テ ィ の構成 ポー ト セキ ュ リ テ ィ は、 ス イ ッ チ ポー ト に対 し 、 そのポー ト を通 じ たネ ッ ト ワー ク ア ク セス を許可するデバイ スの MAC ア ド レ ス を 1 つ以上構成する こ と ので き る機能です。 ポー ト でポー ト セキ ュ リ テ ィ が有効に さ れている場合、ス イ ッ チは指定ポー ト での新規 MAC ア ド レ スの学習を、 構成 さ れてい る最大数に達 し た時点で停止 し ます。 送信元ア ド レ スがダ イ ナ ミ ッ ク ま たはス タ テ ィ ッ ク ア ド レ ス テ ーブルに保存 さ れてい る着信 ト ラ フ ィ ッ ク のみ が、 そのポー ト を通 じ たネ ッ ト ワー ク ア ク セ スが許可 さ れてい る も の と し て受理 さ れます。 未許可の MAC ア ド レ ス を持つデバ イ スがそのス イ ッ チ ポー ト を使用 し よ う と する と 、 侵入 と し て検知 さ れ、 ス イ ッ チはそのポー ト を無効に し て ト ラ ッ プ メ ッ セージ を送信する こ と に よ っ て自動的に対処する こ と がで き ます。 ポー ト セキ ュ リ テ ィ を使用するには、 ポー ト で許可する最大ア ド レ ス数を指定 し 、 そのポー ト で受信する フ レームの < 送信元 MAC ア ド レ ス、 VLAN> のペア を ス イ ッ チに動的に学習 さ せます。 ス タ テ ィ ッ ク ア ド レ ス テーブル (3-98 ページ) を使用 し て、 手動でセキ ュ ア ア ド レ ス をポー ト に追加する こ と も で き ます。 ポー ト の MAC ア ド レ スが最大数に達する と 、 ポー ト では学習が停止 さ れます。 ア ド レ ス テーブルに登録 さ れてい る MAC ア ド レ スはそのま ま 維持 さ れ、 経年処理に よ っ て削除 さ れる こ と はあ り ません。 こ のポー ト を使用 し よ う と す る その他のデバイ スはス イ ッ チにア ク セスで き ません。 コ マ ン ド の使用 • セキ ュ ア ポー ト には次の制約があ り ます。 - ポー ト モニ タ リ ン グ を使用する こ と はで き ません。 - マルチ VLAN ポー ト にする こ と はで き ません。 - ス タ テ ィ ッ ク またはダ イ ナ ミ ッ ク ト ラ ン クの メ ンバー と し て使用する こ と はで き ません。 - ネ ッ ト ワー ク相互接続デバイ スには接続 し ないで く だ さ い。 • セキ ュ ア ポー ト で許可 さ れるデ フ ォル ト の最大 MAC ア ド レ ス数は 0 です。 ア ク セ ス を許 可するポー ト に対 し 、 最大ア ド レ ス数を 1 ~ 1024 の範囲で構成する必要があ り ます。 • セキ ュ リ テ ィ 違反に よ っ てポー ト が無効に (シ ャ ッ ト ダウ ン) さ れた場合、 「Port」 、 「Port Configuration」 の順に選択 し て表示 さ れるページ (3-77 ページ) か ら手動で再度有効にす る必要があ り ます。 コ マ ン ド 属性 • 「Port」 – ポー ト 番号 • 「Name」 – 記述テキス ト (4-115 ページ) • 「Action」 – ポー ト セキュ リ テ ィ 違反が検知 された場合に実行する ア ク シ ョ ン を指定 し ます。 - 「None」 : ア ク シ ョ ン を実行 し ません (デ フ ォル ト )。 - 「Trap」 : SNMP ト ラ ッ プ メ ッ セージ を送信 し ます。 - 「Shutdown」 : ポー ト を無効に し ます。 - 「Trap and Shutdown」 : SNMP ト ラ ッ プ メ ッ セージ を送信 し 、 ポー ト を無効に し ます。 • 「Security Status」 – ポー ト でポー ト セキ ュ リ テ ィ を有効ま たは無効に し ます (デ フ ォル ト : オ フ)。 • 「Max MAC Count」 – ポー ト で学習する最大 MAC ア ド レ ス数 (範囲 : 0 ~ 1024、 0 は無効を示す) • 「Trunk」 – ポー ト が ト ラ ン クの メ ンバーの場合、 ト ラ ン ク 番号 (3-80 ページおよび 3-81 ページ) 3-57 3 ス イ ッ チの構成 ウ ェ ブ – 「Security」、 「Port Security」 の順に ク リ ッ ク し ます。 ポー ト で無効な ア ド レ スが検 知 さ れた場合のア ク シ ョ ン を設定 し 、 「Status」 列のチ ェ ッ ク ボ ッ ク ス を オ ンに し てポー ト で セキ ュ リ テ ィ を有効に し ます。 次に、 ポー ト で許容 さ れる MAC ア ド レ スの最大数を設定 し て、 「Apply」 を ク リ ッ ク し ます。 図 3-37. ポー ト セキ ュ リ テ ィ の構成 CLI – 次の例では、 タ ーゲ ッ ト ポー ト を選択 し 、 ポー ト セキ ュ リ テ ィ ア ク シ ョ ン と し て ト ラ ッ プの送信 と ポー ト の無効を設定 し 、 ポー ト で許可する最大 MAC ア ド レ ス数を設定 し 、 そ のポー ト のポー ト セキ ュ リ テ ィ を有効に し ています。 Console(config)#interface ethernet 1/5 Console(config-if)#port security action trap-and-shutdown Console(config-if)#port security max-mac-count 20 Console(config-if)#port security Console(config-if)# 4-80 4-80 4-80 802.1X ポー ト 認証の構成 ネ ッ ト ワー ク ス イ ッ チでは、 ク ラ イ ア ン ト PC を接続する だけでネ ッ ト ワー ク リ ソ ースへの オープ ン で簡単な ア ク セ スが提供 さ れます。 こ のよ う に自動的に構成 さ れ、 ア ク セ スが可能 にな る こ と は望ま し い機能であ る一方、 未許可の人間が容易に侵入 し 、 機密性の高いネ ッ ト ワー ク デー タ にア ク セスする可能性も あ り ます。 IEEE 802.1X (dot1X) 規格では、 最初にユーザーに認証のための資格情報を要求する こ と に よ っ て不正ア ク セス を防止する、ポー ト ベースのア ク セス制御手順が定義 さ れています。ネ ッ ト ワー クのすべてのス イ ッ チ ポー ト へのア ク セ ス をサーバーか ら一元管理する こ と がで き ま す。 すなわち、 許可 さ れたユーザーであれば、 ネ ッ ト ワー ク のどの場所か ら も 同 じ 資格情報 を使用 し て認証を受ける こ と がで き ます。 3-58 ユーザー認証 3 こ のス イ ッ チは、 EAPOL (Extensible Authentication Protocol over LAN) に よ っ て ク ラ イ ア ン ト と 802.1x 認証 プ ロ ト コ ル メ ッ セ ー ジ を 交換 client し 、 RADIUS 認証サ ー バ ー が ユ ー ザー ア イ デ ン テ ィ テ ィ と ア ク セ ス 1. Client attempts to access a switch port. 権を照合 し ます。 ク ラ イ ア ン ト (要 2. Switch sends client an identity request. 3. Client sends back identity information. RADIUS 求側) がス イ ッ チ ポー ト に接続する 4. Switch forwards this to authentication server. server 5. Authentication server challenges client. と 、 ス イ ッ チ (認証側) は EAPOL 6. Client responds with proper credentials. 7. Authentication server approves access. ア イ デ ン テ ィ テ ィ 要求 で 応答 し ま 8. Switch grants client access to this port. す。 ク ラ イ ア ン ト が EAPOL 応答で ユーザー ア イ デン テ ィ テ ィ (ユーザー名な ど) を ス イ ッ チに供給する と 、 ス イ ッ チは こ の情 報を RADIUS サーバーに転送 し ます。RADIUS サーバーはク ラ イ ア ン ト ア イ デン テ ィ テ ィ を 照合 し 、 ア ク セス チ ャ レ ン ジ を ク ラ イ ア ン ト に送信 し ます。 RADIUS サーバーから送信 さ れ る EAP パケ ッ ト には、 チ ャ レ ン ジのほか、 使用する認証方式が保持 さ れています。 ク ラ イ ア ン ト は、 ク ラ イ ア ン ト ソ フ ト ウ ェ ア と RADIUS サーバーの コ ン フ ィ ギ ュ レ ーシ ョ ン に応 じ て、 こ の認証方式を拒否 し 、 別の方式を要求する こ と も で き ます。 認証方式は MD5 である必 要があ り ます。 認証方式が適切な場合、 ク ラ イ ア ン ト はパスワー ド や証明書な どの資格情報 を送信 し て応答 し ます。 RADIUS サーバーは ク ラ イ ア ン ト の資格情報を照合 し 、 パケ ッ ト を 受理ま たは拒否する こ と で応答 し ます。 認証に成功す る と 、 ク ラ イ ア ン ト はス イ ッ チ経由で ネ ッ ト ワー ク にア ク セス で き る よ う にな り ます。 失敗 し た場合、 ネ ッ ト ワー ク ア ク セ スは拒 否 さ れ、 ポー ト はブ ロ ッ ク さ れたま まにな り ます。 ス イ ッ チで 802.1X を機能 さ せるには、 次の条件が満た さ れている必要があ り ます。 • ス イ ッ チに IP ア ド レ スが割 り 当て られている必要があ り ます。 • ス イ ッ チで RADIUS 認証が有効に さ れ、 RADIUS サーバーの IP ア ド レ スが指定 さ れてい る必要があ り ます。 • ス イ ッ チで 802.1X がグ ローバルに有効に さ れている必要があ り ます。 • 使用する各ス イ ッ チ ポー ト が dot1X 「自動」 モー ド に設定 さ れている必要があ り ます。 • 認証を受ける必要のある各ク ラ イ ア ン ト に dot1X ク ラ イ ア ン ト ソ フ ト ウ ェ アがイ ン ス ト ー ル さ れ、 適切に構成 さ れている必要があ り ます。 • RADIUS サーバーおよび 802.1X ク ラ イ ア ン ト では EAP がサポー ト さ れます (ス イ ッ チで は、 サーバーか ら ク ラ イ ア ン ト への EAP パケ ッ ト の引渡 し において EAPOL のみがサポー ト さ れる)。 • RADIUS サーバーおよび ク ラ イ ア ン ト で も同 じ EAP 認証 タ イ プ、 すなわち MD5 がサポー ト さ れている必要があ り ます (ク ラ イ ア ン ト に よ っ ては Windows でネ イ テ ィ ブ サポー ト が 提供 さ れるが、 それ以外の場合は dot1x ク ラ イ ア ン ト でサポー ト さ れている必要があ る)。 802.1X グローバル設定の表示 802.1X プ ロ ト コルでは ク ラ イ ア ン ト 認証が提供 さ れます。 コ マ ン ド 属性 • 「802.1X System Authentication Control」 – 802.1X のグ ローバル設定 3-59 3 ス イ ッ チの構成 ウ ェ ブ – 「Security」、 「802.1X」、 「Information」 の順に ク リ ッ ク し ます。 図 3-38. 802.1X グローバル情報 CLI – こ の例では、 802.1X のデ フ ォル ト のグ ローバル設定を表示 し ています。 Console#show dot1x Global 802.1X Parameters system-auth-control: enable 4-87 802.1X Port Summary Port Name Status 1/1 disabled 1/2 disabled . . . 802.1X Port Details Operation Mode Single-Host Single-Host Mode ForceAuthorized ForceAuthorized Authorized n/a n/a 802.1X is disabled on port 1/1 . . . 802.1X is disabled on port 1/52 Console# 802.1X グローバル設定の構成 802.1X プ ロ ト コルではポー ト 認証が提供 さ れます。 ポー ト 設定を有効にする前に、 シ ス テム ス イ ッ チで 802.1X プ ロ ト コ ルを グローバルに有効にする必要があ り ます。 コ マ ン ド 属性 • 「802.1X System Authentication Control」 – 802.1X のグ ローバル設定を設定 し ます (デ フ ォル ト : オ フ)。 ウ ェ ブ – 「Security」、 「802.1X」、 「Configuration」 の順に ク リ ッ ク し ます。 ス イ ッ チで 802.1X を グ ローバルに有効に し 、 「Apply」 を ク リ ッ ク し ます。 図 3-39. 802.1X のグローバルな構成 CLI – こ の例では、 ス イ ッ チで 802.1X を グ ローバルに有効に し ています。 Console(config)#dot1x system-auth-control Console(config)# 3-60 4-82 ユーザー認証 3 802.1X のポー ト 設定の構成 802.1X を有効にする場合、 ク ラ イ ア ン ト と ス イ ッ チ (認証側) 間で実行 さ れる認証プ ロ セス お よびス イ ッ チ と 認証サーバー間で実行 さ れる ク ラ イ ア ン ト ア イ デン テ ィ テ ィ のル ッ ク ア ッ プ プ ロ セ スのパラ メ ー タ を構成する必要があ り ます。 こ の項目では、 こ れ らのパ ラ メ ー タ に ついて説明 し ます。 コ マ ン ド 属性 • 「Port」 – ポー ト 番号 • 「Status」 – ポー ト で認証が有効に さ れているか無効に さ れているかが示 さ れます (デ フ ォル ト : 「Disabled」)。 • 「Operation Mode」 – 単一または複数のホス ト (ク ラ イ ア ン ト ) を 1 つの 802.1X 認証ポー ト に接続で き ます(オプ シ ョ ン : 「Single-Host」、「Multi-Host」、デ フ ォ ル ト : 「Single-Host」)。 • 「Max Count」 – 「Multi-Host」 オペレーシ ョ ン モー ド が選択 さ れている場合に、 ポー ト に 接続可能な最大ホス ト 数 (範囲 : 1 ~ 1024、 デ フ ォル ト : 5) • 「Mode」 – 認証モー ド を次のいずれかのオプ シ ョ ンに設定 し ます。 - 「Auto」 – dot1x 対応のク ラ イ ア ン ト は認証サーバーで認証を受ける必要があ り ます。 dot1x 対応でない ク ラ イ ア ン ト はア ク セス を拒否 さ れます。 - 「Force-Authorized」 – dot1x 対応かど う かを問わず、 ポー ト ですべての ク ラ イ ア ン ト に ア ク セス を許可 し ます (デ フ ォ ル ト 設定)。 - 「Force-Unauthorized」 – dot1x 対応かど う かを問わず、 ポー ト ですべてのク ラ イ ア ン ト のア ク セス を拒否 し ます。 • 「Re-authen」 – 「Re-authentication Period」 に指定 さ れた期間の経過後、 ク ラ イ ア ン ト を 再認証する よ う 設定 し ます。 再認証を行 う こ と によ り 、 新規デバイ スがス イ ッ チ ポー ト に プ ラ グ イ ン さ れたかど う かを検知で き ます (デ フ ォ ル ト : オ フ)。 • 「Max-Req」 – ス イ ッ チ ポー ト が ク ラ イ ア ン ト に EAP 要求パケ ッ ト を送信する最大回数を 設定 し ます。 こ の回数に達する と 、 認証セ ッ シ ョ ンは タ イ ムアウ ト にな り ます (範囲 : 1 ~ 10、 デ フ ォ ル ト : 2)。 • 「Quiet Period」 – 最大要求回数を超えた場合に、 ス イ ッ チ ポー ト が新規ク ラ イ ア ン ト の取 得を待機する時間を設定 し ます (範囲 : 1 ~ 65535 秒、 デフ ォ ルト : 60 秒)。 • 「Re-authen Period」 – 接続済みの ク ラ イ ア ン ト に再認証を要求する ま での期間を設定 し ま す (範囲 : 1 ~ 65535 秒、 デ フ ォル ト : 3600 秒)。 • 「Tx Period」 – 認証セ ッ シ ョ ンにおいて ス イ ッ チが EAP パケ ッ ト の再送を待機する期間を 設定し ます (範囲 : 1 ~ 65535、 デフ ォル ト : 30 秒)。 • 「Authorized」 – - 「Yes」 – 接続 さ れている ク ラ イ ア ン ト は認証済みです。 - 「No」 – 接続 さ れている ク ラ イ ア ン ト は認証 さ れていません。 - 空欄 – ポー ト で dot1x が無効に さ れている場合は何 も表示 さ れません。 • 「Supplicant」 – 接続済みク ラ イ ア ン ト の MAC ア ド レ スが表示 さ れます。 • 「Trunk」 – ポー ト が ト ラ ン ク ポー ト と し て構成 さ れているかど う かが示 さ れます。 3-61 3 ス イ ッ チの構成 ウ ェ ブ – 「Security」 、 「802.1X」 、 「Port Configuration」 の順に ク リ ッ ク し ます。 必要なパラ メ ー タ を変更 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-40. 802.1X ポー ト の構成 3-62 ユーザー認証 3 CLI – こ の例では、 ポー ト 2 に 802.1X パラ メ ー タ を設定 し ています。 こ の例に示 さ れている その他のフ ィ ール ド については、 4-87 ページの 「show dot1x」 を参照 し て く だ さ い。 Console(config)#interface ethernet 1/2 Console(config-if)#dot1x port-control auto Console(config-if)#dot1x re-authentication Console(config-if)#dot1x max-req 5 Console(config-if)#dot1x timeout quiet-period 30 Console(config-if)#dot1x timeout re-authperiod 1800 Console(config-if)#dot1x timeout tx-period 40 Console(config-if)#exit Console(config)#exit Console#show dot1x Global 802.1X Parameters system-auth-control: enable 4-115 4-83 4-85 4-83 4-85 4-86 4-86 4-87 802.1X Port Summary Port Name 1/1 1/2 . . . 1/52 Status disabled enabled Operation Mode Single-Host Single-Host Mode ForceAuthorized auto Authorized n/a yes disabled Single-Host ForceAuthorized n/a 802.1X Port Details 802.1X is disabled on port 1/1 802.1X is enabled on port 1/2 reauth-enabled: Enable reauth-period: 1800 quiet-period: 30 tx-period: 40 supplicant-timeout: 30 server-timeout: 10 reauth-max: 2 max-req: 5 Status Authorized Operation mode Single-Host Max count 5 Port-control Auto Supplicant 00-12-CF-49-5e-dc Current Identifier 3 Authenticator State Machine State Authenticated Reauth Count 0 Backend State Machine State Idle Request Count 0 Identifier(Server) 2 Reauthentication State Machine State Initialize . . . 802.1X is disabled on port 1/52 Console# 3-63 3 ス イ ッ チの構成 802.1X 統計情報の表示 こ のス イ ッ チでは、 任意のポー ト で交換 さ れた dot1x プ ロ ト コ ルの統計情報を表示で き ます。 表 3-6. 802.1X 統計情報 パラ メ ー タ 説明 Rx EAPOL Start こ の認証側が受信 し た EAPOL 開始フ レームの数 Rx EAPOL Logoff こ の認証側が受信 し た EAPOL ログオ フ フ レームの数 Rx EAPOL Invalid こ の認証側が受信 し た EAPOL フ レ ームの う ち、 フ レ ーム タ イ プ を認識で き ない ものの数 Rx EAPOL Total こ の認証側が受信 し たすべての タ イ プの有効な EAPOL フ レームの数 Rx EAP Resp/Id こ の認証側が受信 し た EAP 応答 /ID フ レームの数 Rx EAP Resp/Oth こ の認証側が受信 し た有効な EAP 応答 フ レーム(応答 /ID フ レーム以外)の数 Rx EAP LenError こ の認証側が受信 し た EAPOL フ レームの う ち、Packet Body Length フ ィ ール ド が無効な ものの数 Rx Last EAPOLVer 最後に受信 し た EAPOL フ レームに含まれる プ ロ ト コ ル バージ ョ ン番号 Rx Last EAPOLSrc 最後に受信 し た EAPOL フ レームに含まれる送信元 MAC ア ド レ ス Tx EAPOL Total こ の認証側が送信 し たすべての タ イ プの EAPOL フ レームの数 Tx EAP Req/Id こ の認証側が送信 し た EAP 要求 /ID フ レームの数 Tx EAP Req/Oth こ の認証側が送信 し た EAP 要求フ レーム (要求 /ID フ レーム以外) の数 ウ ェ ブ – 「Security」 、 「802.1X」 、 「Statistics」 の順に ク リ ッ ク し ます。 必要なポー ト を選択 し 、 「Query」 を ク リ ッ ク し ます。 統計情報を更新するには、 「Refresh」 を ク リ ッ ク し ます。 図 3-41. 802.1X ポー ト 統計情報の表示 3-64 ア ク セ ス制御 リ ス ト 3 CLI – こ の例では、 ポー ト 4 の 802.1X 統計情報を表示 し ています。 Console#show dot1x statistics interface ethernet 1/4 Eth 1/4 Rx: EAPOL Start 2 Last EAPOLVer 1 Tx: EAPOL Total 2017 Console# EAPOL Logoff 0 EAPOL Invalid 0 EAPOL Total 1007 EAP Resp/Id 672 4-87 EAP EAP Resp/Oth LenError 0 0 Last EAPOLSrc 00-12-CF-94-34-DE EAP Req/Id 1005 EAP Req/Oth 0 ア ク セス制御 リ ス ト ア ク セス制御 リ ス ト (ACL) に よ り 、 IP フ レ ーム (ア ド レ ス、 プ ロ ト コ ル、 レ イ ヤー 4 プ ロ ト コル ポー ト 番号、 ま たは TCP 制御 コ ー ド に基づ く ) または任意の フ レーム (MAC ア ド レ ス またはイ ーサネ ッ ト タ イ プに基づ く ) のパケ ッ ト を フ ィ ル タ リ ングで き ます。 着信パケ ッ ト を フ ィ ル タ リ ングする には、 まずア ク セス リ ス ト を作成 し 、 必要なルールを追加 し て、 こ の リ ス ト を特定のポー ト にバイ ン ド し ます。 ア ク セス制御 リ ス ト の構成 ACL は、 IP ア ド レ ス、 MAC ア ド レ ス、 ま たはよ り 限定的な基準に適用 さ れる許可ま たは拒 否条件のシーケ ン シ ャル リ ス ト です。こ のス イ ッ チでは ACL の条件に従っ て イ ング レ ス また はイ グ レ ス パケ ッ ト が 1 つずつテ ス ト さ れます。 許可ルールに合致 し たパケ ッ ト は即座に受 理 さ れ、 拒否ルールに合致 し たパケ ッ ト は即座に破棄 さ れます。 ま た、 どの許可ルールに も 合致 し ないパケ ッ ト は破棄 さ れ、 どの拒否ルールに も合致 し ないパケ ッ ト は受理 さ れます。 コ マ ン ド の使用 ACL には次の制約が適用 さ れます。 • 各 ACL は最大 100 個のルールで構成で き ます。 • ただ し 、 リ ソ ースの制約上、 ポー ト にバイ ン ド するルールの平均数が 20 個を超えないよ う に し て く だ さ い。 • ACL がイ グ レ ス フ ィ ル タ と し て イ ン タ ー フ ェ ースにバイ ン ド さ れている場合、ACL に含ま れる エ ン ト リ はすべて拒否ルールであ る必要があ り ます。 そ う でない場合、 バイ ン ド オペ レーシ ョ ンは失敗 し ます。 • ス イ ッ チでは、 イ グ レ ス IP ACL において明示的な 「deny any any」 ルールはサポー ト さ れ ません。 こ う し たルールが含まれる ACL を、 イ グ レ ス チ ェ ッ ク 用のイ ン タ ー フ ェ ースに バイ ン ド し よ う と する と 、 バイ ン ド 操作は失敗 し ます。 3-65 3 ス イ ッ チの構成 ア ク テ ィ ブ な ACL のチ ェ ッ ク 順序は次の と お り です。 1. イ グ レ ス ポー ト のイ グ レ ス IP ACL に含まれるユーザー定義のルール 2. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれるユーザー定義のルール 3. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれる明示的なデ フ ォ ル ト ルール (permit any any) 4. どの明示的ルールに も合致 し ない場合の暗黙的デ フ ォ ル ト は permit all です。 ACL の名前お よび タ イ プの設定 ACL の名前および タ イ プ を指定するには、 「ACL Configuration」 ページ を使用 し ます。 コ マ ン ド 属性 • 「Name」 – ACL の名前 (最大長 : 15 文字) • 「Type」 – 次の 3 つのフ ィ ル タ リ ング モー ド があ り ます。 - 「Standard」 – 送信元 IP ア ド レ スに基づいてパケ ッ ト を フ ィ ル タ リ ングする IP ACL モー ド - 「Extended」 – 送信元ま たは宛先 IP ア ド レ スのほか、 プ ロ ト コ ル タ イ プおよびプ ロ ト コ ル ポー ト 番号に基づいてパケ ッ ト を フ ィ ル タ リ ングする IP ACL モー ド - 「MAC 」 – 送信元または宛先 MAC ア ド レ スおよび イ ーサネ ッ ト フ レーム タ イ プ (RFC 1060) に基づいてパケ ッ ト を フ ィ ル タ リ ングする MAC ACL モー ド ウ ェ ブ – 「Security」 、 「ACL」 、 「Configuration」 の順に選択 し ます。 「Name」 フ ィ ール ド に ACL 名を入力 し 、 リ ス ト タ イ プ (「Standard」、 「Extended」、 または 「MAC」) を選択 し ます。 次に、 「Add」 を ク リ ッ ク し て、 新規 リ ス ト の構成ページ を開き ます。 図 3-42. ACL タ イ プの選択 CLI – こ の例では、 david と い う 名前の標準 IP ACL を作成 し ています。 Console(config)#access-list ip standard david Console(config-std-acl)# 3-66 4-91 ア ク セ ス制御 リ ス ト 3 標準 IP ACL の構成 コ マ ン ド 属性 • 「Action」 – ACL には許可ルールまたは拒否ルールを自由に組み合わせて追加で き ます。 • 「Address Type」 – 送信元 IP ア ド レ ス を指定 し ます。 すべてのア ド レ ス を含めるには 「Any」、「Address」 フ ィ ール ド に特定のホス ト ア ド レ ス を指定するには 「Host」、「Address」 および 「SubMask」 フ ィ ール ド で ア ド レ ス範囲を指定するには 「IP」 を使用 し ます (オプ シ ョ ン : 「Any」、 「Host」、 「IP」、 デ フ ォ ル ト : 「Any」)。 • 「IP Address」 – 送信元 IP ア ド レ ス • 「Subnet Mask」 – ピ リ オ ド で区切ら れた 0 ~ 255 の 4 つの整数で構成 さ れるサブ ネ ッ ト マ ス ク 。 マス ク では 1 ビ ッ ト によ っ て 「合致」 、 0 ビ ッ ト によ っ て 「無視」 が示 さ れます。 マ ス ク は指定 さ れた送信元 IP ア ド レ ス と ビ ッ ト ワ イ ズ AND 演算 さ れ、こ の ACL が割 り 当 て られているポー ト に着信する各 IP パケ ッ ト のア ド レ ス と 比較 さ れます。 ウ ェ ブ – ア ク シ ョ ン ( 「Permit」 または 「Deny」 ) を指定 し ます。 ア ド レ ス タ イ プ ( 「Any」 、 「Host」 、 または 「IP」 ) を選択 し ます。 「Host」 を選択 し た場合、 特定のア ド レ ス を入力 し ま す。 「IP」 を選択 し た場合、 サブ ネ ッ ト ア ド レ ス と マス ク を入力 し て ア ド レ ス範囲を指定 し ま す。 次に、 「Add」 を ク リ ッ ク し ます。 図 3-43. 標準 IP ACL の構成 CLI – こ の例では、 特定ア ド レ ス 10.1.1.21 に対 し て 1 つの許可ルールを構成 し 、 ビ ッ ト マス ク を使用 し て 168.92.16.x ~ 168.92.31.x のア ド レ ス範囲に対 し て別のルールを構成 し て い ます。 Console(config-std-acl)#permit host 10.1.1.21 Console(config-std-acl)#permit 168.92.16.0 255.255.240.0 Console(config-std-acl)# 4-92 3-67 3 ス イ ッ チの構成 拡張 IP ACL の構成 コ マ ン ド 属性 • 「Action」 – ACL には許可ルールまたは拒否ルールを自由に組み合わせて追加で き ます。 • 「Source/Destination Address Type」 – 送信元ま たは宛先 IP ア ド レ ス を指定 し ます。すべ てのア ド レ ス を含めるには 「Any」、 「Address」 フ ィ ール ド に特定のホス ト ア ド レ ス を指定 するには 「Host」 、 「Address」 および 「SubMask」 フ ィ ール ド で ア ド レ ス範囲を指定する には 「IP」 を使用 し ます (オプ シ ョ ン : 「Any」、 「Host」、 「IP」、 デ フ ォ ル ト : 「Any」)。 • 「Source/Destination IP Address」 – 送信元ま たは宛先 IP ア ド レ ス • 「Source/Destination Subnet Mask」 – 送信元または宛先ア ド レ スのサブ ネ ッ ト マ ス ク • 「Service Type」 – 次の基準に基づ く パケ ッ ト プ ラ イ オ リ テ ィ 設定 - 「Precedence」 – IP 優先度レ ベル (範囲 : 0 ~ 7) - 「TOS」 – タ イ プ オブ サービ ス レ ベル (範囲 : 0 ~ 15) - 「DSCP」 – DSCP プ ラ イ オ リ テ ィ レ ベル (範囲 : 0 ~ 63) • 「Protocol」 – 合致 さ せる プ ロ ト コル タ イ プ を 「TCP」、 「UDP」、 または 「Others」 と し て 指定 し ます。 「Others」 は特定のプ ロ ト コル番号 (0 ~ 255) を示 し ます (オプ シ ョ ン : 「TCP」、 「UDP」、 「Others」、 デ フ ォ ル ト : 「TCP」)。 • 「Source/Destination Port」 – 指定 し た プ ロ ト コ ル タ イ プの送信元 / 宛先ポー ト 番号 (範囲 : 0 ~ 65535) • 「Source/Destination Port Bitmask」 – 合致 さ せるポー ト ビ ッ ト を表す 10 進数 (範囲 : 0 ~ 65535) • 「Control Code」 – ヘ ッ ダーの 14 バイ ト 目のフ ラ グ ビ ッ ト を指定する (ビ ッ ト 文字列を表 す) 10 進数 (範囲 : 0 ~ 63) • 「Control Code Bit Mask」 – 合致 さ せる コ ー ド ビ ッ ト を表す 10 進数 制御ビ ッ ト マス クは、 制御 コ ー ド に適用 さ れる (同等のバイ ナ リ ビ ッ ト マス ク に対する) 10 進数です。 10 進数を入力 し ます。 同等のバ イ ナ リ ビ ッ ト 「1」 はビ ッ ト の合致を示 し 、 「0」 はビ ッ ト の無視を示 し ます。 次のビ ッ ト を指定で き ます。 - 1 (fin) – 終了 - 2 (syn) – 同期 - 4 (rst) – リ セ ッ ト - 8 (psh) – プ ッ シ ュ - 16 (ack) – 肯定応答 - 32 (urg) – 緊急ポ イ ン タ た と えば、 次の フ ラ グ セ ッ ト を持つパケ ッ ト を捕捉する には、 次の コ ー ド 値 と マス ク を使用 し ます。 - SYN フ ラ グが有効な場合、 制御コ ー ド 2、 制御ビ ッ ト マス ク 2 を使用 - SYN および ACK が両方有効な場合、 制御 コ ー ド 18、 制御ビ ッ ト マス ク 18 を使用 - SYN が有効で ACK が無効な場合、 制御 コ ー ド 2、 制御ビ ッ ト マス ク 18 を使用 3-68 ア ク セ ス制御 リ ス ト 3 ウ ェ ブ – ア ク シ ョ ン (「Permit」 ま たは 「Deny」) を指定 し ます。 送信元または宛先ア ド レ ス、 あるいはその両方を指定 し ます。 ア ド レ ス タ イ プ (「Any」、 「Host」、 または 「IP」) を選択 し ます。 「Host」 を選択 し た場合、 特定のア ド レ ス を入力 し ます。 「IP」 を選択 し た場合、 サブ ネ ッ ト ア ド レ ス と マス ク を入力 し て ア ド レ ス範囲を指定 し ます。 サービ ス タ イ プ、 プ ロ ト コ ル タ イ プ、 TCP 制御 コ ー ド な ど、 必要なその他の基準を設定 し ます。 次に、 「Add」 を ク リ ッ ク し ます。 図 3-44. 拡張 IP ACL の構成 CLI – こ の例では次の 2 つのルールを追加 し ています。 1. 送信元ア ド レ スがサブネ ッ ト 10.7.1.x に属 し ている場合、 着信パケ ッ ト をすべて受理 し ます。 た と えば、 こ のルールに合致、 すなわちルール (10.7.1.0 & 255.255.255.0) がマ ス ク さ れたア ド レ ス (10.7.1.2 & 255.255.255.0) に等 し い場合、 パケ ッ ト は通過 し ます。 2. 宛先が TCP ポー ト 80 (HTTP) に設定 さ れている場合、 ク ラ ス C ア ド レ ス 192.168.1.0 から すべての宛先ア ド レ スへの TCP パケ ッ ト を許可 し ます。 Console(config-ext-acl)#permit 10.7.1.1 255.255.255.0 any Console(config-ext-acl)#permit tcp 192.168.1.0 255.255.255.0 any destination-port 80 Console(config-std-acl)# 4-92 3-69 3 ス イ ッ チの構成 MAC ACL の構成 コ マ ン ド 属性 • 「Action」 – ACL には許可ルールまたは拒否ルールを自由に組み合わせて追加で き ます。 • 「Source/Destination Address Type」 – すべてのア ド レ ス を含める には 「Any」 、 特定の MAC ア ド レ ス を指定するには 「Host」、 「Address」 および 「Bitmask」 フ ィ ール ド で ア ド レ ス範囲を指定するには 「MAC」 を使用 し ます (オプ シ ョ ン : 「Any」、 「Host」、 「MAC」、 デ フ ォ ル ト : 「Any」)。 • 「Source/Destination MAC Address」 – 送信元または宛先 MAC ア ド レ ス • 「Source/Destination Bitmask」 – 送信元または宛先 MAC ア ド レ スの 16 進数のマス ク • 「VID」 – VLAN ID (範囲 : 1 ~ 4094) • 「VID Mask」 – VLAN ビ ッ ト マス ク (範囲 : 1 ~ 4094) • 「Ethernet Type」 – このオプ シ ョ ンは、 イ ーサネ ッ ト II 形式のパケ ッ ト の フ ィ ル タ リ ン グ にのみ使用で き ます (範囲 : 600 ~ fff の 16 進数)。 イ ーサネ ッ ト プ ロ ト コ ル タ イ プの詳細な リ ス ト については、RFC 1060 を参照 し て く だ さ い。 一般的な タ イ プ と し て 0800 (IP)、 0806 (ARP)、 8137 (IPX) な どがあ り ます。 • 「Ethernet Type Bitmask」 – プ ロ ト コ ル ビ ッ ト マス ク (範囲 : 600 ~ fff の 16 進数) • 「Packet Format」 – こ の属性では次のパケ ッ ト タ イ プから選択で き ます。 - 「Any」 – すべてのイ ーサネ ッ ト パケ ッ ト タ イ プ - 「Untagged-eth2」 – タ グな し イ ーサネ ッ ト II パケ ッ ト - 「Untagged-802.3」 – タ グな し イ ーサネ ッ ト 802.3 パケ ッ ト - 「Tagged-802.3」 – タ グ付き イ ーサネ ッ ト 802.3 パケ ッ ト - 「Tagged-802.3」 – タ グ付き イ ーサネ ッ ト 802.3 パケ ッ ト コ マ ン ド の使用 イ グ レ ス MAC ACL は、 宛先 MAC が既知のパケ ッ ト に対 し てのみ機能 し ます。 マルチキ ャ ス ト 、 ブ ロー ド キ ャ ス ト 、 または宛先 MAC が不明なパケ ッ ト では機能 し ません。 3-70 ア ク セ ス制御 リ ス ト 3 ウ ェ ブ – ア ク シ ョ ン (「Permit」 ま たは 「Deny」) を指定 し ます。 送信元または宛先ア ド レ ス、 あるいはその両方を指定 し ます。 ア ド レ ス タ イ プ (「Any」、 「Host」、 ま たは 「MAC」) を選択 し ます。 「Host」 を選択 し た場合、 特定のア ド レ ス (11-22-33-44-55-66 な ど) を入力 し ます。 「MAC」 を選択 し た場合、 基本ア ド レ ス と 16 進数のビ ッ ト マ ス ク を入力 し てア ド レ ス範囲を 指定 し ます。 VID、 イ ーサネ ッ ト タ イ プ、 パケ ッ ト 形式な ど、 必要な その他の基準を設定 し ます。 次に、 「Add」 を ク リ ッ ク し ます。 図 3-45. MAC ACL の構成 ア ク セス制御 リ ス ト へのポー ト のバイ ン ド ア ク セ ス制御 リ ス ト (ACL) を構成 し た ら 、 ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グす る必要のあ る ポー ト を適切な ACL にバイ ン ド で き ます。 各ポー ト に IP ア ク セス リ ス ト を 1 つ割 り 当て る こ と がで き ます。 コ マ ン ド の使用 • 各 ACL は最大 100 個のルールで構成で き ます。 • こ のス イ ッ チではイ ング レ ス フ ィ ル タ リ ング用の ACL のみがサポー ト さ れます。 ま た、各 ポー ト には、 イ ング レ ス フ ィ ル タ リ ング用に IP ACL を 1 つのみバイ ン ド で き ます。 すな わち、 1 つの イ ン タ ー フ ェ ースに ACL と し てバ イ ン ド で き るのは、 1 つの イ ン グ レ ス IP ACL のみです。 コ マ ン ド 属性 • 「Port」 – 固定ポー ト または SFP モ ジ ュ ール (範囲 : 1 ~ 52) • 「IP」 – ポー ト にバイ ン ド する IP ACL を指定 し ます。 • 「MAC」 – ポー ト にバイ ン ド する MAC ACL を指定 し ます。 • 「IN」 – イ ング レ ス パケ ッ ト の ACL 3-71 3 ス イ ッ チの構成 ウ ェ ブ – 「Security」、 「ACL」、 「Port Binding」 の順に ク リ ッ ク し ます。 「Edit」 を ク リ ッ ク し て、ACL タ イ プの構成ページ を開き ます。 イ ン グ レ ス またはイ グ レ ス ト ラ フ ィ ッ クの ACL に バイ ン ド するポー ト の 「Enable」 フ ィ ール ド を オ ンに し 、 ド ロ ッ プ ダウ ン リ ス ト か ら必要な ACL を選択 し て、 「Apply」 を ク リ ッ ク し ます。 図 3-46. ACL と ポー ト のバイ ン ド の構成 CLI – この例では、 ポー ト 1 と ポー ト 3 のそれぞれに IP ア ク セス リ ス ト を割 り 当てています。 Console(config)#interface ethernet Console(config-if)#ip access-group Console(config-if)#exit Console(config)#interface ethernet Console(config-if)#ip access-group Console(config-if)# 1/1 david in 4-115 4-94 1/3 david in 管理ア ク セス用の IP ア ド レ スの フ ィ ル タ リ ン グ ウ ェ ブ イ ン タ ー フ ェ ース、 SNMP、 ま たは Telnet によ る ス イ ッ チへの管理ア ク セス を許可す る IP ア ド レ ス または IP ア ド レ ス グループ を最大 16 個作成 し ます。 コ マ ン ド の使用 • デ フ ォ ル ト では、 管理イ ン タ ー フ ェ ースはすべての IP ア ド レ スに開かれています。 フ ィ ル タ リ ス ト にエ ン ト リ を追加する と 、 そのイ ン タ ー フ ェ ースへのア ク セ スは指定 し たア ド レ スに制限 さ れます。 • 無効な ア ド レ スか ら ス イ ッ チ上の管理イ ン タ ー フ ェ ースにア ク セ ス し よ う と し た場合、 ス イ ッ チによ っ て接続が拒否 さ れます。 また、 イ ベン ト メ ッ セージがシ ス テム ログに記録 さ れ、 ト ラ ッ プ メ ッ セージが ト ラ ッ プ マネージ ャ に送信 さ れます。 • IP ア ド レ スは SNMP、 ウ ェ ブ、 および Telnet ア ク セ ス用に個別に構成で き ます。 こ れら の 各グループには個々のア ド レ ス またはア ド レ ス範囲を最大 5 つ追加で き ます。 3-72 ア ク セ ス制御 リ ス ト 3 • 同 じ グループ (SNMP、 ウ ェ ブ、 または Telnet) のア ド レ ス を入力する際は、 重複 し たア ド レ ス範囲を指定する こ と はで き ません。 グループが異な っ ていれば、 ア ド レ ス範囲が重 複 し ていて も構いません。 • 指定 し た範囲か ら 個々のア ド レ ス を削除する こ と はで き ません。 範囲全体を削除 し 、 ア ド レ ス を再入力する必要があ り ます。 • ア ド レ ス範囲を削除する には、 開始ア ド レ ス を指定するか、 開始ア ド レ ス と 終了ア ド レ ス を両方指定 し ます。 コ マ ン ド 属性 • 「Web IP Filter」 – ウ ェ ブ グループの IP ア ド レ ス を構成 し ます。 • 「SNMP IP Filter」 – SNMP グループの IP ア ド レ ス を構成 し ます。 • 「Telnet IP Filter」 – Telnet グループの IP ア ド レ ス を構成 し ます。 • 「IP Filter List」 – このイ ン タ ー フ ェ ースへの管理ア ク セス を許可する IP ア ド レ ス • 「Start IP Address」 – 単一の IP ア ド レ ス または範囲の開始ア ド レ ス • 「End IP Address」 – 範囲の終了ア ド レ ス • 「Add/Remove Filtering Entry」 – リ ス ト に IP ア ド レ ス を追加、 または リ ス ト から IP ア ド レ ス を削除 し ます。 ウ ェ ブ – 「Security」 、 「IP Filter」 の順に ク リ ッ ク し ます。 イ ン タ ー フ ェ ースへの管理ア ク セ ス を許可する IP ア ド レ ス ま たはア ド レ ス範囲を入力 し 、 「Add IP Filtering Entry」 を ク リ ッ ク し て フ ィ ル タ リ ス ト を更新 し ます。 図 3-47. IP フ ィ ル タ リ ス ト の作成 3-73 3 ス イ ッ チの構成 CLI – こ の例では、 特定ク ラ イ ア ン ト に SNMP ア ク セス を許可 し ています。 Console(config)#management snmp-client 10.1.2.3 Console(config)#end Console#show management all-client Management IP Filter HTTP-Client: Start IP address End IP address ----------------------------------------------- 4-28 SNMP-Client: Start IP address End IP address ----------------------------------------------1. 10.1.2.3 10.1.2.3 TELNET-Client: Start IP address End IP address ----------------------------------------------Console# ポー ト の構成 接続ス テー タ スの表示 ス ピー ド / 二重モー ド 、 フ ロー制御、 自動ネゴ シ エーシ ョ ン な ど、 現在の接続ス テー タ ス を表 示するには、 「Port Information」 または 「Trunk Information」 ページ を使用 し ます。 フ ィ ール ド 属性 (ウ ェ ブ) • 「Name」 – イ ン タ ー フ ェ ース ラ ベル • 「Type」 – ポー ト タ イ プが示 さ れます (「100BASE-TX」、 「1000BASE-T」、 または 「SFP」)。 • 「Admin Status」 – イ ン タ ー フ ェ ースが有効に さ れているか無効に さ れているかが示 さ れ ます。 • 「Oper Status」 – リ ン ク が確立 さ れているか切断 さ れているかが示 さ れます。 • 「Speed Duplex Status」 – 現在のス ピー ド および二重モー ド が示 さ れます (「Auto」 ま たは 固定選択)。 • 「Flow Control Status」 – 現在使用中のフ ロー制御の タ イ プが示 さ れます (「IEEE 802.3x」、 「Back-Pressure」、 または 「None」)。 • 「Autonegotiation」 – 自動ネゴ シ エーシ ョ ンが有効に さ れているか無効に さ れているかが 示 さ れます。 • 「Media Type1」 – コ ンボ ポー ト に使用する メ デ ィ ア タ イ プ(オプシ ョ ン : 「Coppper-Forced」、 「SFP-Forced」、 または 「SFP-Preferred-Auto」、 デ フ ォ ル ト : 「SFP-Preferred-Auto」) • 「Trunk Member2」 – ポー ト が ト ラ ン ク メ ンバーかど う かが示 さ れます。 • 「Creation3」 – ト ラ ン ク が手動で構成 さ れたか LACP によ っ て動的に設定 さ れたかが示 さ れます。 1. 2. 3. 「Port Information」 のみ 「Port Information」 のみ 「Trunk Information」 のみ 3-74 ポー ト の構成 3 ウ ェ ブ – 「Port」、 「Port Information」 または 「Trunk Information」 の順に ク リ ッ ク し ます。 図 3-48. ポー ト / ト ラ ン ク情報の表示 フ ィ ール ド 属性 (CLI) 「Basic Information」 : • 「Port type」 – ポー ト タ イ プが示 さ れます (「100BASE-TX」、 「1000BASE-T」、 ま たは 「SFP」)。 • 「MAC address」 – こ のポー ト の物理レ イ ヤー ア ド レ ス (ウ ェ ブ で こ の項目にア ク セスす るには、 3-14 ページの 「ス イ ッ チの IP ア ド レ スの設定」 を参照) 「Configuration」 : • 「Name」 – イ ン タ ー フ ェ ース ラ ベル • 「Port admin」 – イ ン タ ー フ ェ ースが有効に さ れているか無効に さ れているか (稼動中か非 稼動か) が示 さ れます。 • 「Speed-duplex」 – 現在のス ピー ド および二重モー ド が示 さ れます(「Auto」または固定選択)。 • 「Capabilities」 – 自動ネゴ シ エーシ ョ ン中にア ド バ タ イ ズするポー ト の能力を指定 し ます (ウ ェ ブ で こ の項目にア ク セスするには、 3-77 ページの 「イ ン タ ー フ ェ ース接続の構成」 を 参照)。 次の能力がサポー ト さ れます。 - 10half - 10 Mbps 半二重動作をサポー ト し ます。 - 10full - 10 Mbps 全二重動作をサポー ト し ます。 - 100half - 100 Mbps 半二重動作をサポー ト し ます。 - 100full - 100 Mbps 全二重動作をサポー ト し ます。 - 1000full - 1000 Mbps 全二重動作をサポー ト し ます。 - Sym - フ ロー制御用のポーズ フ レームを送受信 し ます。 - FC - フ ロー制御をサポー ト し ます。 • 「Broadcast storm」 – ブ ロー ド キ ャ ス ト ス ト ーム制御が有効に さ れているか無効に さ れて いるかが示 さ れます。 3-75 3 ス イ ッ チの構成 • 「Broadcast storm limit」 – ブ ロー ド キ ャ ス ト ス ト ーム し き い値が示 さ れます (240 ~ 1488100 パケ ッ ト / 秒)。 • 「Flow control」 – フ ロー制御が有効に さ れているか無効に さ れているかが示 さ れます。 • 「LACP」 – LACP が有効に さ れているか無効に さ れているかが示 さ れます。 • 「Port Security」 – ポー ト セキ ュ リ テ ィ が有効に さ れているか無効に さ れているかが示 さ れます。 • 「Max MAC count」 – ポー ト が学習で き る最大 MAC ア ド レ ス数が示 さ れます (0 ~ 1024 ア ド レ ス)。 • 「Port security action」 – セキ ュ リ テ ィ 違反が検知 さ れた場合の対応が示 さ れます (「shutdown」、 「trap」、 「trap-and-shutdown」、 または 「none」)。 「Current Status」 : • 「Link Status」 – リ ン ク が確立 さ れているか切断 さ れているかが示 さ れます。 • 「Port Operation Status」 – ポー ト 状態に関する詳細情報が表示 さ れます ( リ ン クが確立 さ れている場合のみ表示)。 • 「Operation speed-duplex」 – 現在のス ピー ド および二重モー ド が示 さ れます。 • 「Flow control type」 – 現在使用中の フ ロー制御の タ イ プが示 さ れます (「IEEE 802.3x」、 「Back-Pressure」、 または 「none」)。 CLI – こ の例では、 ポー ト 5 の接続ス テー タ ス を表示 し ています。 Console#show interfaces status ethernet 1/5 Information of Eth 1/5 Basic information: Port type: 100TX Mac address: 00-12-CF-12-34-61 Configuration: Name: Port admin: Up Speed-duplex: Auto Capabilities: 10half, 10full, 100half, 100full Broadcast storm: Enabled Broadcast storm limit: 500 packets/second Flow control: Disabled Lacp: Disabled Port security: Disabled Max MAC count: 0 Port security action: None Current status: Link status: Down Operation speed-duplex: 100full Flow control type: None Console# 3-76 4-121 ポー ト の構成 3 イ ン タ ー フ ェ ース接続の構成 イ ン タ ー フ ェ ー スの有効 / 無効、 自動ネ ゴ シ エ ー シ ョ ン お よ び ア ド バ タ イ ズす る イ ン タ ー フ ェ ース能力の設定、 ま たは手動に よ る ス ピー ド 、 二重モー ド 、 お よび フ ロ ー制御の設定を 行 う には、 「Port Configuration」 または 「Trunk Configuration」 ページ を使用 し ます。 コ マ ン ド 属性 • 「Name」 – イ ン タ ー フ ェ ースに ラ ベルを付ける こ と がで き ます (範囲 : 1 ~ 64 文字)。 • 「Admin」 – 手動で イ ン タ ー フ ェ ース を無効にで き ます。 異常動作 (過剰な コ リ ジ ョ ン な ど) が発生 し た場合に イ ン タ ー フ ェ ース を無効に し 、 問題解決後に再度有効にする こ と がで き ます。 セキ ュ リ テ ィ 上の理由で イ ン タ ー フ ェ ース を無効にする こ と も可能です。 • 「Speed/Duplex」 – 手動でポー ト ス ピー ド および二重モー ド を設定で き ます (自動ネゴ シ エーシ ョ ンは無効)。 • 「Flow Control」 – フ ロー制御を自動または手動で選択で き ます。 • 「Autonegotiation」 (ポー ト 能力) – 自動ネゴ シ エーシ ョ ン を有効 / 無効にで き ます。 自動 ネゴ シ エーシ ョ ン を有効にする場合、ア ド バ タ イ ズする能力を指定する必要があ り ます。自 動ネ ゴ シ エーシ ョ ン を無効にする場合、 ス ピー ド 、 モー ド 、 お よび フ ロー制御を強制的に 設定で き ます。 次の能力がサポー ト さ れます。 - 10half - 10 Mbps 半二重動作をサポー ト し ます。 - 10full - 10 Mbps 全二重動作をサポー ト し ます。 - 100half - 100 Mbps 半二重動作をサポー ト し ます。 - 100full - 100 Mbps 全二重動作をサポー ト し ます。 - 1000full ( コ ンボ ポー ト のみ) - 1000 Mbps 全二重動作をサポー ト し ます。 (デ フ ォル ト : 自動ネゴ シ エーシ ョ ンは有効、 ア ド バ タ イ ズする能力は 100BASE-TX – 10half、 10full、 100half、 100full、 1000BASE-T – 10half、 10full、 100half、 100full、 1000full、 1000BASE-SX/LX/LH – 1000full) • 「Media Type」 – コ ンボ ポー ト に使用する メ デ ィ ア タ イ プ(オプシ ョ ン : 「Coppper-Forced」、 「SFP-Forced」、 または 「SFP-Preferred-Auto」、 デ フ ォ ル ト : 「SFP-Preferred-Auto」) • 「Trunk」 – ポー ト が ト ラ ン クの メ ンバーであるかど う かが示 さ れます。 ト ラ ン ク を作成 し てポー ト メ ンバーを選択する には、 3-79 ページの 「 ト ラ ン ク グループの作成」 を参照 し て く だ さ い。 注 : ス ピー ド / 二重モー ド またはフ ロー制御オプ シ ョ ン を使用する よ う イ ン タ ー フ ェ ース を構成ま たは強制設定する前に、 自動ネゴ シ エーシ ョ ン を無効にする必要があ り ます。 3-77 3 ス イ ッ チの構成 ウ ェ ブ – 「Port」 、 「Port Configuration」 ま たは 「Trunk Configuration」 の順に ク リ ッ ク し ま す。 必要な イ ン タ ー フ ェ ース設定を変更 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-49. ポー ト / ト ラ ン クの構成 CLI – イ ン タ ー フ ェ ース を選択 し 、 必要な設定を入力 し ます。 Console(config)#interface ethernet 1/13 Console(config-if)#description RD SW#13 Console(config-if)#shutdown . Console(config-if)#no shutdown Console(config-if)#no negotiation Console(config-if)#speed-duplex 100half Console(config-if)#flowcontrol . Console(config-if)#negotiation Console(config-if)#capabilities 100half Console(config-if)#capabilities 100full Console(config-if)#capabilities flowcontrol 3-78 4-115 4-115 4-119 4-117 4-116 4-118 4-117 ポー ト の構成 3 ト ラ ン ク グループの作成 デバイ ス間に、 1 つのバーチ ャ ル アグ レゲー ト リ ン ク と し て機能する複数の リ ン ク を確立す る こ と がで き ます。 ポー ト ト ラ ン ク によ り 、 ボ ト ルネ ッ クが存在する ネ ッ ト ワー ク セグ メ ン ト の帯域幅が大幅に拡張 さ れ、2 台のデバイ ス間に フ ォ ール ト ト レ ラ ン ト な リ ン ク を実現で き ます。 一度に作成で き る ト ラ ン クは最大 4 つです。 ス イ ッ チでは、 ス タ テ ィ ッ ク ト ラ ンキングおよび動的な リ ン ク アグ レゲーシ ョ ン制御プ ロ ト コ ル (LACP) が両方サポー ト さ れます。 ス タ テ ィ ッ ク ト ラ ン ク は リ ン クの両端に手動で構成 する必要があ り 、 ス イ ッ チが Cisco EtherChannel 標準に準拠 し ている必要があ り ます。一方、 LACP を構成 し たポー ト では、 別のデバイ ス上の LACP 構成ポー ト と ト ラ ン ク 接続 さ れた リ ン ク のネ ゴ シ エーシ ョ ン を自動的に実行で き ます。 ス タ テ ィ ッ ク ト ラ ン ク の メ ンバー と し て 構成 さ れていないポー ト であれば、 ス イ ッ チのポー ト を い く つで も LACP と し て構成で き ま す。 別のデバイ ス上のポー ト も LACP と し て構成 さ れている場合、 ス イ ッ チ と 他方のデバイ ス では相互を結ぶ ト ラ ン ク リ ン クのネ ゴ シ エーシ ョ ンが行われます。 LACP ト ラ ン ク を構成 するポー ト が 8 個を超えている場合、その他すべてのポー ト はス タ ンバイ モー ド にな り ます。 ト ラ ン クの特定 リ ン クが障害にな る と 、ス タ ンバイ ポー ト のいずれかが自動的に有効にな り 、 障害にな っ た リ ン クの処理を引き継ぎ ます。 コ マ ン ド の使用 その他のポー ト は、ト ラ ン ク 内の各ポー ト のロー ド バラ ン シ ング を行 う ほか、ト ラ ン クのポー ト が障害にな っ た場合にその負荷を引き継 ぐ こ と に よ っ て冗長性を提供 し ます。 ただ し 、 デ バイ ス間に物理的な接続を確立する前に、 ウ ェ ブ イ ン タ ー フ ェ ース または CLI を使用 し て両 端のデバイ スで ト ラ ン クの指定を行 う 必要があ り ます。 ポー ト ト ラ ン ク を使用する際は、 次 の点に注意 し て く だ さ い。 • ループの発生を防ぐ ために、対応する ネ ッ ト ワー ク ケーブルで ス イ ッ チ間を接続する前に、 ポー ト ト ラ ン クの構成を完了 し て く だ さ い。 • ス イ ッ チには最大 8 つの ト ラ ン ク を作成で き、 1 つの ト ラ ン クは最大 8 個のポー ト で構成 で き ます。 • 接続の両端のポー ト を ト ラ ン ク ポー ト と し て構成する必要があ り ます。 • タ イ プが異な る ス イ ッ チ上にス タ テ ィ ッ ク ト ラ ン ク を構成する場合、 ス イ ッ チは Cisco EtherChannel 標準に準拠 し ている必要があ り ます。 • ト ラ ン ク の両端のポー ト は、 通信モ ー ド (ス ピ ー ド 、 二重モー ド 、 お よ び フ ロ ー制御) 、 VLAN 割当て、 CoS 設定な ど、 同 じ 設定にする必要があ り ます。 • ト ラ ン ク内のすべてのポー ト は、 VLAN から、 または VLAN に移動、 追加、 ま たは削除す る際にま と めて扱 う 必要があ り ます。 • STP、 VLAN、 および IGMP 設定は ト ラ ン ク全体に対 し てのみ行え ます。 3-79 3 ス イ ッ チの構成 ト ラ ン ク の静的構成 コ マ ン ド の使用 • ス タ テ ィ ッ ク ト ラ ン ク を構成する場合、 製造元によ る 実装状況に よ っ ては異な る タ イ プのス イ ッ チ を リ ン ク で き な い場合があ り ま す。 こ のス イ ッ チのス タ テ ィ ッ ク ト ラ ン ク は Cisco EtherChannel に準拠 し て います。 • ネ ッ ト ワー ク でのループの発生を防ぐ ために、 ポー ト を 接続す る前に構成 イ ン タ ー フ ェ ー ス で ス タ テ ィ ッ ク ト ラ ン ク を追加 し 、 ま た構成 イ ン タ ー フ ェ ース で ス タ テ ィ ッ ク ト ラ ン ク を削除す る前にポー ト を切断 し て く だ さ い。 } statically configured active links コ マ ン ド 属性 • 「Member List (Current)」 – 構成済みの ト ラ ン ク ( ト ラ ン ク ID、 ユニ ッ ト 、 ポー ト ) が示 さ れます。 • 「New」 – 新規 ト ラ ン ク を作成する ための入力 フ ィ ール ド が表示 さ れます。 - 「Trunk」 – ト ラ ン ク識別子 (範囲 : 1 ~ 8) - 「Port」 – ポー ト 識別子 ウ ェ ブ – 「Port」、 「Trunk Membership」 の順に ク リ ッ ク し ます。 「Trunk」 フ ィ ール ド に 1 ~ 8 の ト ラ ン ク ID を入力 し 、 ポー ト のス ク ロールダウ ン リ ス ト か ら ス イ ッ チ ポー ト を選択 し て、 「Add」 を ク リ ッ ク し ます。 メ ンバー リ ス ト へのポー ト の追加を完了 し た ら、 「Apply」 を ク リ ッ ク し ます。 図 3-50. ス タ テ ィ ッ ク ト ラ ン クの構成 3-80 ポー ト の構成 3 CLI – こ の例では、 ポー ト 1 および 2 で構成 さ れる ト ラ ン ク 2 を作成 し ています。 こ れ ら の ポー ト を別のス イ ッ チ上の 2 つのス タ テ ィ ッ ク ト ラ ン ク ポー ト に接続する だけで、 ト ラ ン ク が形成 さ れます。 Console(config)#interface port-channel 2 Console(config-if)#exit Console(config)#interface ethernet 1/1 Console(config-if)#channel-group 2 Console(config-if)#exit Console(config)#interface ethernet 1/2 Console(config-if)#channel-group 2 Console(config-if)#end Console#show interfaces status port-channel 2 Information of Trunk 2 Basic information: Port type: 100TX Mac address: 00-12-CF-12-34-84 Configuration: Name: Port admin: Up Speed-duplex: Auto Capabilities: 10half, 10full, 100half, 100full Flow control: Disabled Port security: Disabled Max MAC count: 0 Current status: Created by: User Link status: Up Port operation status: Up Operation speed-duplex: 100full Flow control type: None Member Ports: Eth1/1, Eth1/2, Console# 4-115 4-115 4-129 4-121 選択 し たポー ト での LACP の有効化 コ マ ン ド の使用 • ネ ッ ト ワー ク でのループの発生を防 ぐ ために、 ポー ト を 接続する前に LACP を有効に し 、 ま た LACP を無効にす る前にポー ト を切断 し て く だ さ い。 • LACP を使用 し て別のス イ ッ チ と の間に形成 さ れた ト ラ ン ク には、次に使用可能な ト ラ ン ク ID が自動的に割 り 当 て られます。 • 同一の タ ーゲ ッ ト ス イ ッ チに接続 さ れ、 LACP が有効に さ れているポー ト が 8 個を超え る場合、 追加のポー ト は ス タ ンバイ モー ド にな り 、いずれかのア ク テ ィ ブ リ ン ク で障害が発生 し た場合のみ有効に さ れます。 } active links backup link } • タ ーゲ ッ ト ス イ ッ チの接続先ポー ト で も LACP が有効 に さ れている場合、 ト ラ ン クは自動的に有効にな り ます。 dynamically enabled configured members • LACP ト ラ ン クの両端の全ポー ト は、 全二重モー ド 、 自動ネゴ シ エーシ ョ ンに構成 さ れて いる必要があ り ます。 • LACP によ っ て動的に確立 さ れた ト ラ ン クは、 「Trunk Membership」 メ ニ ュ ーの 「Member List」 に も表示 さ れます (3-80 ページ を参照)。 3-81 3 ス イ ッ チの構成 コ マ ン ド 属性 • 「Member List (Current)」 – 構成済みの ト ラ ン ク (ポー ト ) が示 さ れます。 • 「New」 – 新規 ト ラ ン ク を作成する ための入力 フ ィ ール ド が表示 さ れます。 - 「Port」 – ポー ト 識別子 (範囲 : 1 ~ 52) ウ ェ ブ – 「Port」、 「LACP」、 「Configuration」 の順に ク リ ッ ク し ます。 ポー ト のス ク ロールダ ウ ン リ ス ト か ら ス イ ッ チ ポー ト を選択 し 、 「Add」 を ク リ ッ ク し ます。 メ ンバー リ ス ト への ポー ト の追加を完了 し た ら、 「Apply」 を ク リ ッ ク し ます。 図 3-51. LACP ト ラ ン クの構成 3-82 ポー ト の構成 3 CLI – こ の例では、 ポー ト 1 ~ 6 で LACP を有効に し ています。 LACP が有効に さ れた別の ス イ ッ チ上のポー ト に こ れらのポー ト を接続する だけで、 ト ラ ン クが形成 さ れます。 Console(config)#interface ethernet 1/1 Console(config-if)#lacp Console(config-if)#exit . . . Console(config)#interface ethernet 1/6 Console(config-if)#lacp Console(config-if)#end Console#show interfaces status port-channel 1 Information of Trunk 1 Basic information: Port type: 100TX Mac address: 00-12-CF-12-34-89 Configuration: Name: Port admin: Up Speed-duplex: Auto Capabilities: 10half, 10full, 100half, 100full Flow control status: Disabled Port security: Disabled Max MAC count: 0 Current status: Created by: Lacp Link status: Up Port operation status: Up Operation speed-duplex: 100full Flow control type: None Member Ports: Eth1/1, Eth1/2, Eth1/3, Eth1/4, Eth1/5, Eth1/6, Console# 4-115 4-129 4-121 LACP パ ラ メ ー タ の構成 ポー ト チ ャ ネルの動的作成 共通ポー ト チ ャ ネルに割 り 当て るポー ト は次の基準を満た し ている必要があ り ます。 • ポー ト の LACP シ ス テム プ ラ イ オ リ テ ィ が同 じ であ る必要があ り ます。 • ポー ト の LACP ポー ト 管理キーが同 じ であ る必要があ り ます。 • ただ し 、 「ポー ト チ ャ ネル」 管理キーが設定 さ れている場合 (4-142 ページ)、 ポー ト 管理 キーは、チ ャ ネル グループに参加可能なポー ト と 同 じ 値に設定 さ れている必要があ り ます。 注 : チ ャ ネル グループの形成時にポー ト チ ャ ネル管理キー (LACP 管理キー、 4-133 ページ) が (CLI によ っ て) 設定 さ れていない場合 (すなわち、 0 の Null 値が含まれる)、 このキーは、 グループ に参加す る イ ン タ ー フ ェ ース で使用 さ れてい る ポー ト 管理キー と 同 じ 値に設定 さ れます (LACP 管理キー、 こ の項目および 4-132 ページ で説明)。 コ マ ン ド 属性 「Set Port Actor」 – こ の メ ニ ュ ーでは、 ア グ レ ゲー ト リ ン ク のロ ー カ ル側、 すなわち こ のス イ ッ チ上のポー ト を設定 し ます。 • 「Port」 – ポー ト 番号 (範囲 : 1 ~ 52) • 「System Priority」 – LACP シ ス テム プ ラ イ オ リ テ ィ は、 リ ン ク アグ レゲーシ ョ ン グルー プ (LAG) の メ ンバーシ ッ プ を決定する ため、 また LAG ネゴ シ エーシ ョ ン中に こ のデバイ ス をほかのス イ ッ チに示すために使用 さ れます (範囲 : 0 ~ 65535、 デ フ ォ ル ト : 32768)。 3-83 3 ス イ ッ チの構成 - 同一の LAG に参加するには、 ポー ト に同 じ シ ス テム プ ラ イ オ リ テ ィ が設定 さ れている 必要があ り ます。 - シ ス テム プ ラ イ オ リ テ ィ と ス イ ッ チの MAC ア ド レ ス を組み合わせる こ と によ っ て LAG 識別子が形成 さ れます。 こ の識別子は、 ほかのシ ス テム と の LACP ネゴ シ エーシ ョ ン中 に特定の LAG を示すために使用 さ れます。 • 「Admin Key」 – 同一の LAG に属するポー ト の LACP 管理キーは同 じ 値に設定する必要が あ り ます (範囲 : 0 ~ 65535、 デ フ ォ ル ト : 1)。 • 「Port Priority」 – LACP ポー ト プ リ オ リ テ ィ は、 リ ン クの切断時にバ ッ ク ア ッ プ リ ン ク を 選択する ために使用 さ れます (範囲 : 0 ~ 65535、 デ フ ォ ル ト : 32768)。 「Set Port Partner」 – こ の メ ニ ュ ーでは、 アグ レゲー ト リ ン ク の リ モー ト 側、 すなわち接続先 デバイ ス上のポー ト を設定 し ます。コ マ ン ド 属性の意味はポー ト ア ク タ ーのもの と 同 じ です。 ただ し 、パー ト ナの LACP 設定はオペ レーシ ョ ン状態ではな く 管理状態にのみ適用 さ れ、パー ト ナ と のアグ レゲー ト リ ン クが次回確立 さ れた と き に有効にな り ます。 ウ ェ ブ – 「Port」、 「LACP」、 「Aggregation Port」 の順に ク リ ッ ク し ます。 ポー ト ア ク タ ーの 「System Priority」、 「Admin Key」、 および 「Port Priority」 を設定 し ます。 オプ シ ョ ン で、 パー ト ナ ポー ト について こ れ ら のオプ シ ョ ン を構成する こ と も で き ます ( こ れ ら の設定はパー ト ナの管理状態にのみ影響 し 、 こ のデバイ ス と のアグ レ ゲー ト リ ン ク が次回確立 さ れる ま で有 効にな ら ない)。 ポー ト の LACP パラ メ ー タ の設定を完了し た ら、 「Apply」 を ク リ ッ ク し ます。 図 3-52. LACP ポー ト の構成 3-84 ポー ト の構成 3 CLI – 次の例では、 ポー ト 1 ~ 4 の LACP パラ メ ー タ を構成 し ています。 ポー ト 1 ~ 4 は LAG のア ク テ ィ ブ メ ンバー と し て使用 さ れます。 Console(config)#interface ethernet 1/1 4-115 Console(config-if)#lacp actor system-priority 3 4-131 Console(config-if)#lacp actor admin-key 120 4-132 Console(config-if)#lacp actor port-priority 128 4-133 Console(config-if)#exit . . . Console(config)#interface ethernet 1/4 Console(config-if)#lacp actor system-priority 3 Console(config-if)#lacp actor admin-key 120 Console(config-if)#lacp actor port-priority 512 Console(config-if)#end Console#show lacp sysid 4-134 Port Channel System Priority System MAC Address ------------------------------------------------------------------------1 3 00-12-CF-31-31-31 2 32768 00-12-CF-31-31-31 3 32768 00-12-CF-31-31-31 4 32768 00-12-CF-31-31-31 Console#show lacp 1 internal 4-134 Port channel : 1 ------------------------------------------------------------------------Oper Key : 120 Admin Key : 0 Eth 1/1 ------------------------------------------------------------------------LACPDUs Internal: 30 sec LACP System Priority: 3 LACP Port Priority: 128 Admin Key: 120 Oper Key: 120 Admin State : defaulted, aggregation, long timeout, LACP-activity Oper State: distributing, collecting, synchronization, aggregation, long timeout, LACP-activity . . . LACP ポー ト カ ウン タ の表示 LACP プ ロ ト コ ル メ ッ セージの統計情報を表示で き ます。 表 3-7. LACP ポー ト カ ウン タ フ ィ ール ド 説明 LACPDUs Sent こ のチ ャ ネル グループから送信 さ れた有効な LACPDU の数 LACPDUs Received こ のチ ャ ネル グループが受信 し た有効な LACPDU の数 Marker Sent こ のチ ャ ネル グループから送信 さ れた有効なマー カ ー PDU の数 Marker Received こ のチ ャ ネル グループが受信 し た有効なマー カ ー PDU の数 Marker Unknown Pkts 受信 し た フ レームの う ち、 (1) Slow Protocols Ethernet Type 値を持つが 不明な PDU が含まれる もの、または (2) Slow Protocols グループの MAC ア ド レ ス宛だが、 Slow Protocols Ethernet Type を持たない ものの数 Marker Illegal Pkts Slow Protocols Ethernet Type 値 を 持つが、 PDU の形式が不正 ま たは Protocol Subtype の値が無効な フ レームの数 3-85 3 ス イ ッ チの構成 ウ ェ ブ – 「Port」 、 「LACP」 、 「Port Counters Information」 の順に ク リ ッ ク し ます。 情報を表 示する メ ンバー ポー ト を選択 し ます。 図 3-53. LACP - ポー ト カ ウン タ 情報 CLI – 次の例では、 LACP カ ウ ン タ を表示 し ています。 Console#show lacp counters 4-134 Port channel : 1 ------------------------------------------------------------------------Eth 1/ 1 ------------------------------------------------------------------------LACPDUs Sent: 91 LACPDUs Receive: 43 Marker Sent: 0 Marker Receive: 0 LACPDUs Unknown Pkts: 0 LACPDUs Illegal Pkts: 0 . . . 3-86 ポー ト の構成 3 ロー カル側の LACP 設定 と ス テー タ スの表示 リ ン ク アグ レゲーシ ョ ンのロー カル側の コ ン フ ィ ギ ュ レーシ ョ ン設定お よびオペ レーシ ョ ン 状態を表示で き ます。 表 3-8. LACP 内部コ ン フ ィ ギ ュ レーシ ョ ン情報 フ ィ ール ド 説明 Oper Key アグレゲーシ ョ ン ポー ト のキーの現在のオペ レーシ ョ ン値 Admin Key アグレゲーシ ョ ン ポー ト のキーの現在の管理値 LACPDUs Interval 受信 し た LACPDU 情報を無効化する ま での秒数 LACP System Priority このポー ト チ ャ ネルに割 り 当て られた LACP シス テム プ ラ イ オ リ テ ィ LACP Port Priority チ ャ ネル グループ内で こ の イ ン タ ー フ ェ ースに割 り 当て ら れた LACP ポー ト プ ラ イオリ テ ィ Admin State、 Oper State ア ク タ ーの状態パラ メ ー タ の管理値またはオペ レーシ ョ ン値 • 「Expired」 – ア ク タ ーの受信マシ ンは期限切れ状態です。 • 「Defaulted」 – ア ク タ ーの受信マシ ンは、 管理上パー ト ナに構成 さ れたデ フ ォル ト のパー ト ナー情報を使用 し ています。 • 「Distributing」 – false の場合、 この リ ン ク での発信フ レームの配信は無効 に さ れます。 すなわち、 配信は現在無効に さ れてお り 、 管理の変更または受 信 し た プ ロ ト コ ル情報の変更がない限 り 、有効に さ れない と 考え られます。 • 「Collecting」 – この リ ン ク での着信フ レームの収集は有効に さ れていま す。 すなわち、 収集は現在有効に さ れてお り 、 管理の変更または受信 し た プ ロ ト コル情報の変更がない限 り 、 無効に さ れない と 考え られます。 • 「Synchronization」 – こ の リ ン クはシ ス テムで IN_SYNC と 見な さ れてい ます。 すなわち、 リ ン クは正 し い リ ン ク アグレ ゲーシ ョ ン グループに割 り 当て られています。 また、 このグループは互換性のある アグレゲー タ に 関連付け られてお り 、 リ ン ク アグレ ゲーシ ョ ン グループのア イ デン テ ィ テ ィ は送信 さ れた シ ス テム ID お よ びオペ レ ーシ ョ ン キー情報 と 一致 し ています。 • 「Aggregation」 – この リ ン クはシ ス テムでアグレゲー ト 可能、 すなわち ア グレゲーシ ョ ンの潜在的候補 と 見な さ れています。 • 「Long timeout」 – 定期的な LACPDU の送信に低送信レー ト が使用 さ れて います。 • 「LACP-Activity」 – この リ ン ク に関する ア ク テ ィ ビ テ ィ 制御値 (0: パ ッ シ ブ、 1: ア ク テ ィ ブ) 3-87 3 ス イ ッ チの構成 ウ ェ ブ – 「Port」、 「LACP」、 「Port Internal Information」 の順に ク リ ッ ク し ます。 情報を表示 するポー ト チ ャ ネルを選択 し ます。 図 3-54. LACP - ポー ト 内部情報 CLI – 次の例では、 ポー ト チ ャ ネル 1 のロー カル側の コ ン フ ィ ギ ュ レ ーシ ョ ン設定およびオ ペ レーシ ョ ン状態を表示 し ています。 Console#show lacp 1 internal 4-134 Port channel : 1 ------------------------------------------------------------------------Oper Key : 120 Admin Key : 0 Eth 1/1 ------------------------------------------------------------------------LACPDUs Internal: 30 sec LACP System Priority: 3 LACP Port Priority: 128 Admin Key: 120 Oper Key: 120 Admin State : defaulted, aggregation, long timeout, LACP-activity Oper State: distributing, collecting, synchronization, aggregation, long timeout, LACP-activity . . . 3-88 ポー ト の構成 3 リ モー ト 側の LACP 設定 と ス テー タ スの表示 リ ン ク アグ レゲーシ ョ ンの リ モー ト 側の コ ン フ ィ ギ ュ レーシ ョ ン設定お よびオペ レーシ ョ ン 状態を表示で き ます。 表 3-9. LACP 隣接機器コ ン フ ィ ギ ュ レーシ ョ ン情報 フ ィ ール ド 説明 Partner Admin System ID ユーザーが割 り 当てた LAG パー ト ナのシ ス テム ID Partner Oper System ID LACP プ ロ ト コルによ っ て割 り 当て られた LAG パー ト ナのシス テム ID Partner Admin Port Number プ ロ ト コル パー ト ナのポー ト 番号の現在の管理値 Partner Oper Port Number ポー ト のプ ロ ト コ ル パー ト ナによ っ て こ のアグ レゲーシ ョ ン ポー ト に 割 り 当て られたオペレ ーシ ョ ン ポー ト 番号 Port Admin Priority プ ロ ト コル パー ト ナのポー ト プ ラ イ オ リ テ ィ の現在の管理値 Port Oper Priority パー ト ナに よ っ て こ のアグ レ ゲーシ ョ ン ポー ト に割 り 当て ら れた プ ラ イオ リ テ ィ 値 Admin Key プ ロ ト コル パー ト ナのキーの現在の管理値 Oper Key プ ロ ト コル パー ト ナのキーの現在のオペ レーシ ョ ン値 Admin State パー ト ナの状態パラ メ ー タ の管理値 (前の表を参照) Oper State パー ト ナの状態パラ メ ー タ のオペレ ーシ ョ ン値 (前の表を参照) ウ ェ ブ – 「Port」、 「LACP」、 「Port Neighbors Information」 の順に ク リ ッ ク し ます。 情報を表 示するポー ト チ ャ ネルを選択 し ます。 図 3-55. LACP - ポー ト 隣接機器情報 3-89 3 ス イ ッ チの構成 CLI – 次の例では、 ポー ト チ ャ ネル 1 の リ モー ト 側の コ ン フ ィ ギ ュ レ ーシ ョ ン設定およびオ ペ レーシ ョ ン状態を表示 し ています。 Console#show lacp 1 neighbors 4-134 Port channel 1 neighbors ------------------------------------------------------------------------Eth 1/1 ------------------------------------------------------------------------Partner Admin System ID: 32768, 00-00-00-00-00-00 Partner Oper System ID: 3, 00-12-CF-CE-2A-20 Partner Admin Port Number: 5 Partner Oper Port Number: 3 Port Admin Priority: 32768 Port Oper Priority: 128 Admin Key: 0 Oper Key: 120 Admin State: defaulted, distributing, collecting, synchronization, long timeout, Oper State: distributing, collecting, synchronization, aggregation, long timeout, LACP-activity . . . ブ ロー ド キ ャ ス ト ス ト ーム し き い値の設定 ネ ッ ト ワー ク 上のデバイ スが誤動作 し ている場合、 またはア プ リ ケーシ ョ ン プ ロ グ ラ ムの設 計に不備があ るか正 し く 構成 さ れていない場合、 ブ ロー ド キ ャ ス ト ス ト ームが発生する こ と があ り ます。 ネ ッ ト ワー ク上に過剰な ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク が送出 さ れる と 、 性能 が大幅に低下 し た り 、 すべての処理が完全に停止する場合があ り ます。 ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク の し き い値を設定する こ と に よ り 、 ネ ッ ト ワー ク でのブ ロー ド キ ャ ス ト ス ト ームの発生を防ぐ こ と がで き ます。 指定 し た し き い値を超え る ブ ロー ド キ ャ ス ト パケ ッ ト は破棄 さ れます。 コ マ ン ド の使用 • ブ ロー ド キ ャ ス ト ス ト ーム制御はデ フ ォ ル ト で有効に さ れています。 • ブ ロー ド キ ャ ス ト 制御は IP マルチキ ャ ス ト ト ラ フ ィ ッ ク には影響 し ません。 コ マ ン ド 属性 • 「Port」 - ポー ト 番号 • 「Type」 – ポー ト タ イ プが示 さ れます (「100BASE-TX」、 「1000BASE-T」、 または 「SFP」)。 • 「Protect Status」 – ブ ロー ド キ ャ ス ト ス ト ーム制御が有効に さ れているかど う かが示 さ れ ます (デ フ ォ ル ト : オ ン)。 • 「Threshold」 – ポー ト 帯域幅の割合 (%) で指定 し た し き い値 (範囲 : フ ァ ース ト イ ーサネ ッ ト ポー ト の場合は 64 ~ 100000 キロ ビ ッ ト / 秒、 ギガ ビ ッ ト ポー ト の場合は 64 ~ 1000000 キロ ビ ッ ト / 秒) • 「Trunk」 – ポー ト が ト ラ ン ク メ ンバーかど う かが示 さ れます。 3-90 ポー ト の構成 3 ウ ェ ブ – 「Port」、 「Port Broadcast Control」 ま たは 「Trunk Broadcast Control」 の順に ク リ ッ ク し ます。 し き い値を設定 し 、 目的のイ ン タ ー フ ェ ースの 「Enabled」 フ ィ ール ド を オ ンに し て、 「Apply」 を ク リ ッ ク し ます。 図 3-56. ポー ト のブ ロー ド キ ャ ス ト 制御 CLI – イ ン タ ー フ ェ ース を指定 し 、 し き い値を入力 し ます。 次の例では、 ポー ト 1 で ブ ロー ド キ ャ ス ト ス ト ーム制御を無効に し 、 ポー ト 2 で 500 キロ ビ ッ ト / 秒にな る と ブ ロー ド キ ャ ス ト を禁止する よ う 設定 し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#no switchport broadcast Console(config-if)#exit Console(config)#interface ethernet 1/2 Console(config-if)#switchport broadcast packet-rate 500 Console(config-if)#end Console#show interfaces switchport ethernet 1/2 Information of Eth 1/2 Broadcast threshold: Enabled, 500 Kbits/second LACP status: Disabled Ingress Rate Limit: Disabled, 100000 Kbits per second Egress Rate Limit: Disabled, 100000 Kbits per second VLAN membership mode: Hybrid Ingress rule: Enabled Acceptable frame type: All frames Native VLAN: 1 Priority for untagged traffic: 0 GVRP status: Disabled Allowed VLAN: 1(u), Forbidden VLAN: Private-VLAN mode: NONE Private-VLAN host-association: NONE Private-VLAN mapping: NONE Console# 4-115 4-120 4-120 4-123 3-91 3 ス イ ッ チの構成 ポー ト ミ ラ ー リ ン グの構成 任意の ソ ース ポー ト か ら タ ーゲ ッ ト ポー ト に送信 さ れ る ト ラ フ ィ ッ ク を ミ ラ ー リ ング し 、 リ アル タ イ ム分析を 行 う こ と がで き ます。 タ ーゲ ッ ト ポー ト に ロ ジ ッ ク ア ナ ラ イ ザま たは RMON プ ロ ーブ を接続 し て、 機器の処 理に ま っ た く 影響 し な い方法で ソ ース ポー ト を通過す る ト ラ フ ィ ッ ク を観察で き ます。 Source port(s) Single target port コ マ ン ド の使用 • モニ タ ー ポー ト のス ピー ド はソ ース ポー ト のス ピー ド と 同 じ かそれ以上である必要があ り ます。 そ う し ない と 、 モ ニ タ ー ポー ト から ト ラ フ ィ ッ ク が破棄 さ れる可能性があ り ます。 • すべての ミ ラ ー セ ッ シ ョ ン で同一の宛先ポー ト を共有する必要があ り ます。 • ポー ト ト ラ フ ィ ッ ク を ミ ラ ー リ ングする際は、 タ ーゲ ッ ト ポー ト がソ ース ポー ト と 同 じ VLAN に属 し ている必要があ り ます。 コ マ ン ド 属性 • 「Mirror Sessions」 – 現在の ミ ラ ー セ ッ シ ョ ンの リ ス ト が表示 さ れます。 • 「Source Port 」 – ト ラ フ ィ ッ ク を監視するポー ト (範囲 : 1 ~ 52) • 「Type」 – ミ ラ ー リ ングする タ ーゲ ッ ト ポー ト への ト ラ フ ィ ッ ク を 「Rx」 (受信)、 「Tx」 (送信) から選択で き ます (デ フ ォ ル ト : 「Rx」)。 • 「Target Port」 – ソ ース ポー ト の ト ラ フ ィ ッ ク を ミ ラ ー リ ン グするポー ト (範囲 : 1 ~ 52) ウ ェ ブ – 「Port」、 「Mirror Port Configuration」 の順に ク リ ッ ク し ます。 ソ ース ポー ト 、 ミ ラ ー リ ングする ト ラ フ ィ ッ ク タ イ プ、およびモニ タ ー ポー ト を指定 し 、「Add」 を ク リ ッ ク し ます。 図 3-57. ミ ラ ー ポー ト の構成 CLI – interface コ マ ン ド を使用 し て モニ タ ー ポー ト を選択 し 、port monitor コ マ ン ド を使用 し て ソ ース ポー ト と ト ラ フ ィ ッ ク タ イ プ を指定 し ます。 Console(config)#interface ethernet 1/10 Console(config-if)#port monitor ethernet 1/13 tx Console(config-if)# 3-92 4-115 4-125 ポー ト の構成 3 レ ー ト リ ミ ッ ト の構成 ネ ッ ト ワー ク 管理者は こ の機能を使用 し て、 ポー ト で送信ま たは受信 さ れる ト ラ フ ィ ッ ク の 最大レ ー ト を制御す る こ と がで き ます。 ネ ッ ト ワー ク に着信お よびネ ッ ト ワー ク か ら 発信 さ れる ト ラ フ ィ ッ ク を制限する には、 ネ ッ ト ワー ク のエ ッ ジに位置する ポー ト に レ ー ト リ ミ ッ ト を構成 し ます。 許容可能な ト ラ フ ィ ッ ク量を超え るパケ ッ ト は破棄 さ れます。 レー ト リ ミ ッ ト はポー ト ま たは ト ラ ン ク ご と に適用で き ます。 イ ン タ ー フ ェ ースに こ の機能 が構成 さ れている場合、 ハー ド ウ ェ ア で ト ラ フ ィ ッ ク レ ー ト が監視 さ れ、 リ ミ ッ ト 内であ る かど う かが確認 さ れま す。 リ ミ ッ ト を 超え る ト ラ フ ィ ッ ク は破棄 さ れ、 リ ミ ッ ト 内の ト ラ フ ィ ッ クはそのま ま転送 さ れます。 レー ト リ ミ ッ ト の構成 レー ト リ ミ ッ ト を適用するには、 レー ト リ ミ ッ ト 構成ページ を使用 し ます。 コ マ ン ド の使用 • イ ン タ ー フ ェ ース ご と に、 入力および出力レー ト リ ミ ッ ト を有効または無効にで き ます。 コ マ ン ド 属性 • 「Port」 / 「Trunk」 – ポー ト / ト ラ ン ク番号が表示 さ れます。 • 「Input/Output Rate Limit Status」 – レー ト リ ミ ッ ト を有効または無効に し ます (デ フ ォル ト : オ ン)。 • 「Input/Output Rate Limit」 – レー ト リ ミ ッ ト レ ベルを設定 し ます。 ウ ェ ブ – 「Port」、 「Rate Limit」、 「Input/Output Port/Trunk Configuration」 の順に ク リ ッ ク し ます。 必要な イ ン タ ー フ ェ ースの 「Rate Limit Status」 を有効に し 、 「Rate Limit Level」 を設 定 し て、 「Apply」 を ク リ ッ ク し ます。 図 3-58. ポー ト の入力レー ト リ ミ ッ ト の構成 CLI - こ の例では、 ポー ト 3 を通過する入力 ト ラ フ ィ ッ ク のレ ー ト リ ミ ッ ト レ ベルを設定 し ています。 Console(config)#interface ethernet 1/3 Console(config-if)#rate-limit input 500 Console(config-if)# 4-115 4-127 3-93 3 ス イ ッ チの構成 ポー ト 統計情報の表示 イ ン タ ー フ ェ ース グループ お よび イ ーサネ ッ ト ラ イ ク MIB か ら 送信 さ れる ネ ッ ト ワー ク ト ラ フ ィ ッ ク に関する標準の統計情報、 および RMON MIB に基づ く ト ラ フ ィ ッ クの詳細な明細 を表示で き ます。 イ ン タ ー フ ェ ースおよび イ ーサネ ッ ト ラ イ ク に関する統計情報には、各ポー ト を通過する ト ラ フ ィ ッ ク のエ ラ ーが表示 さ れます。 こ の情報は、 ス イ ッ チの潜在的な問題 (障害のあ る ポー ト 、 異常に高い負荷な ど) を特定す る際に役立ち ます。 RMON 統計情報で は、 様々な フ レ ーム タ イ プの合計数や各ポー ト を通過するサイ ズな ど、 幅広い統計情報が提 供 さ れます。 表示 さ れるすべての値は最後のシ ス テム リ ブー ト か ら の累計値であ り 、 1 秒当 た り の数 と し て表示 さ れます。 デ フ ォ ル ト では、 統計情報は 60 秒ご と に更新 さ れます。 注 : RMON グループ 2、 3、 および 9 には、 HP OpenView な どの SNMP 管理ソ フ ト ウ ェ アからの みア ク セスで き ます。 表 3-10. ポー ト 統計情報 パラ メ ー タ 説明 Interface Statistics Received Octets イ ン タ ー フ ェ ース で受信 さ れた、 フ レ ー ミ ン グ文字を含むオ ク テ ッ ト の総数 Received Unicast Packets 上位レ イヤー プ ロ ト コ ルに配信 さ れたサブネ ッ ト ワー ク ユニキ ャ ス ト パケ ッ ト の数 Received Multicast Packets こ のサブ レ イ ヤーか ら 上位 (サブ) レ イ ヤーに配信 さ れた、 こ のサ ブ レ イヤーのマルチキ ャ ス ト ア ド レ ス宛のパケ ッ ト 数 Received Broadcast Packets こ のサブ レ イ ヤーか ら 上位 (サブ) レ イ ヤーに配信 さ れた、 こ のサ ブ レ イヤーのブ ロー ド キ ャ ス ト ア ド レ ス宛のパケ ッ ト 数 Received Discarded Packets 上位 レ イ ヤー プ ロ ト コ ルへの配送 を 阻止す る エ ラ ーが検知 さ れな かっ たに も関わ ら ず廃棄 さ れた イ ンバウン ド パケ ッ ト の数。 こ のよ う なパケ ッ ト の廃棄理由 と し て、 バ ッ フ ァ スペースの解放が考え ら れます。 Received Unknown Packets こ の イ ン タ ー フ ェ ース で受信 さ れたパケ ッ ト の う ち、 プ ロ ト コ ルが 不明またはサポー ト さ れていないために廃棄 さ れた ものの数 Received Errors 上位レ イヤー プ ロ ト コ ルへの配信を阻止する エ ラ ーが含まれていた イ ンバウン ド パケ ッ ト の数 Transmit Octets こ の イ ン タ ー フ ェ ースか ら 送信 さ れた、 フ レ ー ミ ン グ文字を含むオ ク テ ッ ト の総数 Transmit Unicast Packets 上位プ ロ ト コルがサブ ネ ッ ト ワー ク ユニキ ャ ス ト ア ド レ スへの送信 を要求 し た、 廃棄または未送信のものを含むパケ ッ ト の総数 Transmit Multicast Packets 上位プ ロ ト コルが送信を要求 し た、 廃棄または未送信の ものを含む、 このサブ レ イヤーのマルチキ ャ ス ト ア ド レ ス宛のパケ ッ ト の総数 Transmit Broadcast Packets 上位プ ロ ト コルが送信を要求 し た、 廃棄または未送信の ものを含む、 このサブ レ イヤーのブ ロー ド キ ャ ス ト ア ド レ ス宛のパケ ッ ト の総数 Transmit Discarded Packets 送信を阻止す る エ ラ ーが検知 さ れなか っ たに も 関わ ら ず廃棄 さ れた アウ ト バウン ド パケ ッ ト の数。 このよ う なパケ ッ ト の廃棄理由 と し て、 バ ッ フ ァ スペースの解放が考え られます。 Transmit Errors エ ラ ーが原因で送信で き なかっ たアウ ト バウン ド パケ ッ ト の数 Etherlike Statistics Alignment Errors 3-94 ア ラ イ メ ン ト エ ラ ー (同期はずれデー タ パケ ッ ト ) の数 ポー ト の構成 3 表 3-10. ポー ト 統計情報 (続き) パラ メ ー タ 説明 Late Collisions パケ ッ ト の送信後、 512 ビ ッ ト 時間よ り 後に検知 さ れた コ リ ジ ョ ン の回数 FCS Errors 特定 イ ン タ ー フ ェ ース で受信 さ れた フ レ ームの う ち、 長 さ が整数の オ ク テ ッ ト 長であるが FCS チ ェ ッ ク に合格 し なかっ た ものの数。 こ の数には、 frame-too-long ま たは frame-too-short エ ラ ーを伴 う 受信 フ レームは含まれません。 Excessive Collisions 過剰な コ リ ジ ョ ンが原因で特定 イ ン タ ー フ ェ ース での送信に失敗 し た フ レ ームの数。 こ の カ ウ ン タ は、 イ ン タ ー フ ェ ースが全二重モー ド で動作 し ている と きは増加 し ません。 Single Collision Frames 1 つの コ リ ジ ョ ンによ っ て送信が阻止 さ れるが、正常に送信 さ れた フ レームの数 Internal MAC Transmit Errors 内部 MAC サブ レ イ ヤー送信エ ラ ーが原因で特定 イ ン タ ー フ ェ ース での送信に失敗 し た フ レームの数 Multiple Collision Frames 複数の コ リ ジ ョ ン に よ っ て送信が阻止 さ れるが、 正常に送信 さ れた フ レームの数 Carrier Sense Errors フ レ ームの送信時にキ ャ リ ア セ ン ス状態が失われたかアサーシ ョ ン が行われなかっ た回数 SQE Test Errors 特定 イ ン タ ー フ ェ ー ス に つ い て PLS サ ブ レ イ ヤ ー で SQE TEST ERROR メ ッ セージが生成 さ れた回数 Frames Too Long 特定 イ ン タ ー フ ェ ー ス で 受信 さ れた フ レ ームの う ち、 最大許容 フ レーム サイ ズを超えていた ものの数 Deferred Transmissions メ デ ィ アがビ ジーだ っ たため、 特定 イ ン タ ー フ ェ ース での最初の送 信が遅れた フ レームの数 Internal MAC Receive Errors 内部 MAC サブ レ イ ヤー受信エ ラ ーが原因で特定 イ ン タ ー フ ェ ース での受信に失敗 し た フ レームの数 RMON Statistics Drop Events リ ソ ース不足が原因でパケ ッ ト が廃棄 さ れた イ ベ ン ト の総数 Jabbers 受信 さ れた フ レ ームの う ち、 1518 オ ク テ ッ ト よ り 長 く (フ レ ーム ビ ッ ト は含ま ないが FCS オ ク テ ッ ト は含む)、 FCS またはア ラ イ メ ン ト エ ラ ーを伴 う ものの総数 Received Bytes ネ ッ ト ワー ク で受信 さ れたデー タ の総バ イ ト 数。 こ の統計情報は、 イ ーサネ ッ ト の利用率を示す目安 と し て利用で き ます。 Collisions イ ーサネ ッ ト セグ メ ン ト でのコ リ ジ ョ ンの総数を表す最善の推定値 Received Frames 受信 さ れた フ レ ームの総数 (不良、 ブ ロ ー ド キ ャ ス ト 、 お よ びマル チキ ャ ス ト ) Broadcast Frames 受信 さ れた正常 フ レ ームの う ち、 ブ ロー ド キ ャ ス ト ア ド レ ス宛のも のの総数。 これにはマルチキ ャ ス ト パケ ッ ト は含まれません。 Multicast Frames 受信 さ れた正常 フ レ ームの う ち、 このマルチキ ャ ス ト ア ド レ ス宛の ものの総数 CRC/Alignment Errors CRC/ ア ラ イ メ ン ト エ ラ ー (FCS またはア ラ イ メ ン ト エ ラ ー) の数 3-95 3 ス イ ッ チの構成 表 3-10. ポー ト 統計情報 (続き) パラ メ ー タ 説明 Undersize Frames 受信 さ れた フ レームの う ち、 64 オ ク テ ッ ト よ り 短いが (フ レー ミ ン グ ビ ッ ト は含ま ないが FCS オ ク テ ッ ト は含む)、 それ以外は正常な ものの総数 Oversize Frames 受信 さ れた フ レームの う ち、 1518 オ ク テ ッ ト よ り 長いが (フ レー ミ ン グ ビ ッ ト は含ま ないが FCS オ ク テ ッ ト は含む)、 それ以外は正常 な ものの総数 Fragments 受信 さ れた フ レームの う ち、 64 オ ク テ ッ ト よ り 短 く (フ レーム ビ ッ ト は含ま ないが FCS オ ク テ ッ ト は含む)、 FCS またはア ラ イ メ ン ト エ ラ ーを伴 う ものの総数 64 Bytes Frames 受信および送信 さ れた フ レームの う ち (不良パケ ッ ト を含む)、 64 オ ク テ ッ ト 長(フ レ ー ミ ング ビ ッ ト は含ま ないが FCS オ ク テ ッ ト は含 む) のものの総数 65-127 Byte Frames 128-255 Byte Frames 256-511 Byte Frames 512-1023 Byte Frames 1024-1518 Byte Frames 1519-1536 Byte Frames 受信および送信 さ れた フ レームの う ち (不良パケ ッ ト を含む)、 オ ク テ ッ ト 長 (フ レ ー ミ ン グ ビ ッ ト は含ま ないが FCS オ ク テ ッ ト は含 む) が指定 さ れた範囲内である ものの総数 3-96 ポー ト の構成 3 ウ ェ ブ – 「Port」 、 「Port Statistics」 の順に ク リ ッ ク し ます。 必要な イ ン タ ー フ ェ ース を選択 し 、 「Query」 を ク リ ッ ク し ます。 ページ下部にある 「Refresh」 ボ タ ン を使用 し て画面を更新 する こ と も で き ます。 図 3-59. ポー ト 統計情報 3-97 3 ス イ ッ チの構成 CLI – こ の例では、 ポー ト 13 の統計情報を表示 し ています。 Console#show interfaces counters ethernet 1/13 4-122 Ethernet 1/13 Iftable stats: Octets input: 868453, Octets output: 3492122 Unicast input: 7315, Unitcast output: 6658 Discard input: 0, Discard output: 0 Error input: 0, Error output: 0 Unknown protos input: 0, QLen output: 0 Extended iftable stats: Multi-cast input: 0, Multi-cast output: 17027 Broadcast input: 231, Broadcast output: 7 Ether-like stats: Alignment errors: 0, FCS errors: 0 Single Collision frames: 0, Multiple collision frames: 0 SQE Test errors: 0, Deferred transmissions: 0 Late collisions: 0, Excessive collisions: 0 Internal mac transmit errors: 0, Internal mac receive errors: 0 Frame too longs: 0, Carrier sense errors: 0 Symbol errors: 0 RMON stats: Drop events: 0, Octets: 4422579, Packets: 31552 Broadcast pkts: 238, Multi-cast pkts: 17033 Undersize pkts: 0, Oversize pkts: 0 Fragments: 0, Jabbers: 0 CRC align errors: 0, Collisions: 0 Packet size <= 64 octets: 25568, Packet size 65 to 127 octets: 1616 Packet size 128 to 255 octets: 1249, Packet size 256 to 511 octets: 1449 Packet size 512 to 1023 octets: 802, Packet size 1024 to 1518 octets: 871 Console# ア ド レ ス テ ーブ ルの設定 ス イ ッ チには既知の全デバイ スのア ド レ スが保存 さ れます。 こ の情報は、 ト ラ フ ィ ッ ク を イ ンバウ ン ド およびアウ ト バウ ン ド ポー ト 間で直接渡すために使用 さ れます。 ト ラ フ ィ ッ ク を 監視す る こ と に よ っ て学習 し たすべてのア ド レ スはダ イ ナ ミ ッ ク ア ド レ ス テーブルに保存 さ れます。 また、 特定ポー ト にバイ ン ド する ス タ テ ィ ッ ク ア ド レ ス を手動で構成する こ と も で き ます。 ス タ テ ィ ッ ク ア ド レ スの設定 こ のス イ ッ チ上の特定イ ン タ ー フ ェ ースにス タ テ ィ ッ ク ア ド レ ス を割 り 当て る こ と がで き ま す。 ス タ テ ィ ッ ク ア ド レ スは割 り 当てた イ ン タ ー フ ェ ースにバイ ン ド さ れ、 移動 さ れる こ と はあ り ません。 別のイ ン タ ー フ ェ ースで同 じ ス タ テ ィ ッ ク ア ド レ スが検知 さ れた場合、 こ の ア ド レ スは無視 さ れ、 ア ド レ ス テーブルに書き込まれません。 コ マ ン ド 属性 • 「Static Address Counts1」 – 手動で構成 さ れたア ド レ スの数 • 「Current Static Address Table」 – 全ス タ テ ィ ッ ク ア ド レ スの リ ス ト • 「Interface」 – ス タ テ ィ ッ ク ア ド レ ス を割 り 当て るデバイ スに関連付け ら れたポー ト また はト ランク 1. ウ ェ ブのみ 3-98 ア ド レ ス テーブルの設定 3 • 「MAC Address」 – このイ ン タ ー フ ェ ースにマ ッ ピ ング さ れたデバイ スの物理ア ド レ ス • 「VLAN」 – 構成済み VLAN の ID (1 ~ 4094) ウ ェ ブ – 「Address Table」、 「Static Addresses」 の順に ク リ ッ ク し ます。 イ ン タ ー フ ェ ース、 MAC ア ド レ ス、 および VLAN を指定 し 、 「Add Static Address」 を ク リ ッ ク し ます。 図 3-60. ス タ テ ィ ッ ク ア ド レ ス テーブルの構成 CLI – この例では、 ス タ テ ィ ッ ク ア ド レ ス テーブルにア ド レ ス を追加 し 、 ス イ ッ チの リ セ ッ ト 時にそのア ド レ ス を削除する よ う 設定 し ています。 Console(config)#mac-address-table static 00-12-cf-94-34-de interface ethernet 1/1 vlan 1 delete-on-reset 4-138 Console(config)# ア ド レ ス テーブルの表示 ダ イ ナ ミ ッ ク ア ド レ ス テーブルには、 ス イ ッ チに着信する ト ラ フ ィ ッ クの送信元ア ド レ ス を 監視する こ と に よ っ て学習 し た MAC ア ド レ スが保持 さ れます。 イ ンバウ ン ド ト ラ フ ィ ッ ク の宛先ア ド レ スがデー タ ベース で見つか っ た場合、 そのア ド レ ス宛のパケ ッ ト は関連付け ら れたポー ト に直接転送 さ れます。 それ以外の場合、 ト ラ フ ィ ッ ク はすべてのポー ト に フ ラ ッ デ ィ ング さ れます。 コ マ ン ド 属性 • 「Interface」 – ポー ト または ト ラ ン ク を指定 し ます。 • 「MAC Address」 – このイ ン タ ー フ ェ ースに関連付け られた物理ア ド レ ス • 「VLAN」 – 構成済み VLAN の ID (1 ~ 4094) • 「Address Table Sort Key」 – 表示 さ れる情報を MAC ア ド レ ス、 VLAN 、 またはイ ン タ ー フ ェ ース (ポー ト または ト ラ ン ク) を基準に ソ ー ト で き ます。 • 「Dynamic Address Counts」 – 動的に学習 さ れたア ド レ スの数 • 「Current Dynamic Address Table」 – 全ダ イ ナ ミ ッ ク ア ド レ スの リ ス ト 3-99 3 ス イ ッ チの構成 ウ ェ ブ – 「Address Table」、 「Dynamic Addresses」 の順に ク リ ッ ク し ます。 検索 タ イ プ を指 定 し (「Interface」、 「MAC Address」、 ま たは 「VLAN」 チ ェ ッ ク ボ ッ ク ス を オ ン)、 表示 さ れ る ア ド レ スの ソ ー ト 方法を選択 し て、 「Query」 を ク リ ッ ク し ます。 図 3-61. ダ イ ナ ミ ッ ク ア ド レ ス テーブルの構成 CLI – こ の例で も、 ポー ト 1 のア ド レ ス テーブルのエ ン ト リ を表示 し ています。 Console#show mac-address-table interface ethernet 1/1 Interface Mac Address Vlan Type --------- ----------------- ---- ----------------Eth 1/ 1 00-12-CF-48-82-93 1 Delete-on-reset Eth 1/ 1 00-12-CF-94-34-DE 2 Learned Console# エージ ン グ タ イ ムの変更 ダ イ ナ ミ ッ ク ア ド レ ス テーブルのエ ン ト リ にエージ ング タ イ ムを設定で き ます。 コ マ ン ド 属性 • 「Aging Status」 – この機能を有効 / 無効に し ます。 • 「Aging Time」 – エ ン ト リ が学習 さ れてか ら廃棄 さ れる ま での時間 (範囲 : 10 ~ 630 秒、 デ フ ォル ト : 300 秒) 3-100 4-139 スパニ ング ツ リ ー アルゴ リ ズムの構成 3 ウ ェ ブ – 「Address Table」、 「Address Aging」 の順に ク リ ッ ク し ます。 新 し いエージ ング タ イ ムを指定 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-62. ア ド レ スのエージ ング タ イ ムの設定 CLI – こ の例では、 エージ ング タ イ ムを 300 秒に設定 し ています。 Console(config)#mac-address-table aging-time 300 Console(config)# 4-140 スパニン グ ツ リ ー ア ルゴ リ ズムの構成 スパニ ング ツ リ ー アルゴ リ ズム (STA) を使用する と 、 ネ ッ ト ワー ク ループ を検知 し て無効 に し た り 、 ス イ ッ チ、 ブ リ ッ ジ、 またはルー タ 間にバ ッ ク ア ッ プ リ ン ク を提供で き ます。 こ れに よ り 、 ス イ ッ チはネ ッ ト ワー ク 上のほかのブ リ ッ ジ デバイ ス (STA 準拠のス イ ッ チ、 ブ リ ッ ジ、 ま たはルー タ ) と 連携 し 、 ネ ッ ト ワー ク 上の任意の 2 台のス テーシ ョ ン間にルー ト が 1 つのみ存在する よ う に し ます。 また、 プ ラ イ マ リ リ ン クのダウン時にはバ ッ ク ア ッ プ リ ン クが自動的に処理を引き継ぐ こ と がで き ます。 こ のス イ ッ チ でサポー ト さ れる スパニ ン グ ツ リ ー アルゴ リ ズムには次のバージ ョ ンがあ り ます。 • STP – スパニ ング ツ リ ー プ ロ ト コル (IEEE 802.1D) • RSTP – 高速スパニ ング ツ リ ー プ ロ ト コ ル (IEEE 802.1w) • MSTP – マルチ プル スパニ ング ツ リ ー プ ロ ト コ ル (IEEE 802.1s) 注 : 現在のソ フ ト ウ ェ ア では、 MSTP はサポー ト さ れません。 STA では、 分散アルゴ リ ズムによ っ て、 スパニ ング ツ リ ー ネ ッ ト ワー クのルー ト と し て機能 す る ブ リ ッ ジ デバイ ス (STA 準拠のス イ ッ チ、 ブ リ ッ ジ、 ま たはルー タ ) が選択 さ れます。 各ブ リ ッ ジ デバ イ ス (ルー ト デバ イ ス以外) か ら ルー ト デバ イ スにパケ ッ ト を転送す る際 は、 そのデバ イ ス でパス コ ス ト が最 も 低いルー ト ポー ト が選択 さ れます。 ま た、 各 LAN か ら ルー ト デバ イ ス にパケ ッ ト を 転送す る 際は、 その LAN でパス コ ス ト が最 も 低い指定ブ リ ッ ジ デバイ スが選択 さ れます。 指定ブ リ ッ ジ デバイ スに接続 さ れたすべてのポー ト は指定 ポー ト と し て割 り 当て られます。 最低 コ ス ト のスパニ ング ツ リ ーが決定 さ れる と 、 すべての ルー ト ポー ト および指定ポー ト が有効に さ れ、 その他すべてのポー ト は無効に さ れます。 こ れに よ り 、 ネ ッ ト ワー ク パケ ッ ト はルー ト ポー ト と 指定ポー ト 間でのみ転送 さ れ る ため、 ネ ッ ト ワー ク ループが防止 さ れます。 3-101 3 ス イ ッ チの構成 Designated Root x x x Designated Bridge x Designated Port Root Port x 安定 し たネ ッ ト ワー ク ト ポロ ジが確立 さ れる と 、 すべてのブ リ ッ ジはルー ト ブ リ ッ ジから 送 信 さ れる Hello BPDU (ブ リ ッ ジ プ ロ ト コ ル デー タ ユニ ッ ト ) を リ スニ ング し ます。 あ ら か じ め定義 さ れた期間 ( 「Maximum Age」 ) 内にブ リ ッ ジ で Hello BPDU が受信 さ れない場合、 ブ リ ッ ジはルー ト ブ リ ッ ジへの リ ン ク が切断 さ れている も の と 見な し ます。こ の場合、ブ リ ッ ジはほかのブ リ ッ ジ と のネ ゴ シ エーシ ョ ン を開始 し 、 ネ ッ ト ワー ク を再構成 し て有効なネ ッ ト ワー ク ト ポロ ジ を再確立 し ます。 RSTP は、 よ り 低速な レ ガ シー STP の汎用代替プ ロ ト コ ル と し て設計 さ れています。 RSTP は MSTP に も組み込まれています。 RSTP は、 ア ク テ ィ ブ なポー ト に よ る学習開始前の状態 変化回数を低減 し 、 ノ ー ド ま たはポー ト の障害時に使用可能な代替ルー ト を あ ら か じ め定義 し 、 ま た再構成に よ る ツ リ ー構造の変化に適応 し な い ノ ー ド 用に フ ォ ワーデ ィ ン グ デー タ ベース を維持する こ と に よ っ て、 高速な再構成を実現 し ます (30 秒以上かかる STP に対 し 、 1 ~ 3 秒)。 STP ま たは RSTP を使用する場合、 すべての VLAN メ ンバー間に安定 し たパス を維持する こ と が困難な場合があ り ます。 ツ リ ー構造が頻繁に変更 さ れる と 、 一部のグループ メ ンバーが 隔離 さ れる可能性が高ま り ます。 MSTP (RSTP の拡張) は、 VLAN グループに基づ く 独立 し たスパニ ング ツ リ ーをサポー ト する よ う 設計 さ れています。 VLAN を マルチ プル スパニ ング ツ リ ー イ ン ス タ ン ス (MSTI) に含める よ う 指定 し た場合、 プ ロ ト コ ルに よ っ て 自動的に MSTI ツ リ ーが構築 さ れ、 各 VLAN 間の接続が維持 さ れ ま す。 MSTP では、 各イ ン ス タ ン スが共通スパニ ング ツ リ ー (CST) の RSTP ノ ー ド と し て扱われ る ため、 グ ローバル ネ ッ ト ワー クへのア ク セスが確保 さ れます。 グ ローバル設定の表示 「STA Information」 画面を使用 し て、 ス イ ッ チ全体に適用 さ れる現在のブ リ ッ ジ STA 情報の サマ リ ーを表示で き ます。 フ ィ ール ド 属性 • 「Spanning Tree State」 – ス イ ッ チで STA 準拠ネ ッ ト ワー ク への参加が有効に さ れている かど う かが示 さ れます。 • 「Bridge ID」 – ブ リ ッ ジ プ ラ イ オ リ テ ィ と MAC ア ド レ ス (ア ド レ スはス イ ッ チ シ ス テム から取得) で構成 さ れる、 こ のブ リ ッ ジのユニー ク な識別子 • 「Max Age」 – 再構成前にデバイ スが コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージの受信を待機で き る最大時間 (秒単位) 。 すべてのデバイ ス ポー ト (指定ポー ト 以外) は定期的に コ ン フ ィ ギ ュ レ ーシ ョ ン メ ッ セージ を受信する必要があ り ます。 (最後の コ ン フ ィ ギ ュ レ ーシ ョ ン メ ッ セージ で供給 さ れた) STA 情報が経年処理によ っ て無効にな っ たポー ト は、 接続 さ れ た LAN の指定ポー ト にな り ます。 こ れがルー ト ポー ト の場合、 ネ ッ ト ワー ク に接続 さ れ た デバ イ ス ポー ト の中か ら 新 し いルー ト ポー ト が選択 さ れ ま す (こ の項目で使用す る 「ポー ト 」 と い う 用語は 「イ ン タ ー フ ェ ース」 を指 し 、ポー ト および ト ラ ン ク を両方を含む)。 • 「Hello Time」 – ルー ト デバイ スが コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を送信する間隔(秒 単位) 3-102 スパニ ング ツ リ ー アルゴ リ ズムの構成 3 • 「Forward Delay」 – ルー ト デバイ スが状態を変化 さ せる (Discarding から Learning、 さ ら に Forwarding) 前に待機する最大時間 (秒単位)。 こ の遅延は、 すべてのデバイ スがフ レー ムの転送を開始する前に ト ポ ロ ジ変化に関する情報を受信する必要があ る ため必要にな り ます。 また、 各ポー ト には、 そのポー ト を Discarding 状態に戻すよ う な矛盾 し た情報がな いか リ スニ ングする ための時間が必要です。 こ の時間がない と 、 一時的にデー タ ループが 発生する場合があ り ます。 • 「Designated Root」 – このス イ ッ チがルー ト デバイ ス と し て受理 し た、スパニ ン グ ツ リ ー 内のデバイ スのプ ラ イ オ リ テ ィ と MAC ア ド レ ス - 「Root Port」 – ルー ト に最も近い、 こ のス イ ッ チ上のポー ト 番号。 ス イ ッ チは こ のポー ト を通 じ てルー ト デバイ ス と 通信 し ます。 ルー ト ポー ト が存在 し ない場合、 こ のス イ ッ チはスパニ ング ツ リ ー ネ ッ ト ワー クのルー ト デバイ ス と し て受理 さ れています。 - 「Root Path Cost」 – このス イ ッ チのルー ト ポー ト からルー ト デバイ スまでのパス コ ス ト • 「Configuration Changes」 – スパニ ング ツ リ ーが再構成 さ れた回数 • 「Last Topology Change」 – スパニ ング ツ リ ーが最後に再構成 さ れてから の時間 次の追加パラ メ ー タ は CLI でのみ表示 さ れます。 • 「Spanning tree mode」 – このス イ ッ チで使用 さ れている スパニ ング ツ リ ーの タ イ プが示 さ れます。 - 「STP」 : スパニ ング ツ リ ー プ ロ ト コ ル (IEEE 802.1D) - 「RSTP」 : 高速スパニ ング ツ リ ー (IEEE 802.1w) - 「MSTP」 : マルチ プル スパニ ング ツ リ ー (IEEE 802.1s) • 「Priority」 – ブ リ ッ ジ プ ラ イ オ リ テ ィ はルー ト デバイ ス、 ルー ト ポー ト 、 および指定ポー ト の選択に使用 さ れます。 プ ラ イ オ リ テ ィ が最 も 高いデバ イ スが STA ルー ト デバイ スに な り ます。 すべてのデバイ スのプ ラ イ オ リ テ ィ が同 じ 場合は、 MAC ア ド レ スが最 も小 さ い デバイ スがルー ト デバイ スにな り ます • 「Root Hello Time」 – こ のデバイ スが コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を送信する間隔 (秒単位) • 「Root Maximum Age」 – 再構成前に こ のデバイ スが コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ の受信を待機で き る最大時間 (秒単位) 。 すべてのデバイ ス ポー ト (指定ポー ト 以外) は 定期的に コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を受信する必要があ り ます。ルー ト ポー ト で (最後の コ ン フ ィ ギ ュ レ ーシ ョ ン メ ッ セージ で供給 さ れた) STA 情報が経年処理に よ っ て 無効にな っ た場合、ネ ッ ト ワー ク に接続 さ れたデバイ ス ポー ト の中から新 し いルー ト ポー ト が選択 さ れます ( こ の項目で使用する 「ポー ト 」 と い う 用語は 「イ ン タ ー フ ェ ース」 を 指 し 、 ポー ト および ト ラ ン ク を両方を含む)。 • 「Root Forward Delay」 – このデバイ スが状態を変化 さ せる (Discarding から Learning、 さ ら に Forwarding) 前に待機する最大時間 (秒単位) 。 こ の遅延は、 すべてのデバイ スが フ レ ームの転送を開始する前に ト ポロ ジ変化に関する情報を受信する必要があ る ため必要に な り ます。 また、 各ポー ト には、 そのポー ト を Discarding 状態に戻すよ う な矛盾 し た情報 がないか リ スニ ングする ための時間が必要です。 この時間がない と 、 一時的にデー タ ルー プが発生する場合があ り ます。 • 「Transmission limit」 – 連続 し た RSTP/MSTP BPDU の最小送信間隔 • 「Path Cost Method」 – パス コ ス ト はデバイ ス間の最善パス を決定する ために使用 さ れま す。 こ のパス コ ス ト 方式は、 各イ ン タ ー フ ェ ースに割当て可能な値範囲を決定する ために 使用 さ れます。 3-103 3 ス イ ッ チの構成 ウ ェ ブ – 「Spanning Tree」、 「STA」、 「Information」 の順に ク リ ッ ク し ます。 図 3-63. スパニ ン グ ツ リ ー情報の表示 CLI – このコ マ ン ド によ り 、 グローバル STA 設定に続いて各ポー ト の設定が表示 さ れます。 Console#show spanning-tree Spanning-tree information --------------------------------------------------------------Spanning tree mode: RSTP Spanning tree enabled/disabled: enabled Priority: 32768 Bridge Hello Time (sec.): 2 Bridge Max Age (sec.): 20 Bridge Forward Delay (sec.): 15 Root Hello Time (sec.): 2 Root Max Age (sec.): 20 Root Forward Delay (sec.): 15 Designated Root: 32768.0012CF0B0D00 Current root port: 0 Current root cost: 0 Number of topology changes: 1 Last topology changes time (sec.):2262 Transmission limit: 3 Path Cost Method: long . . . 4-158 注 : このデバイ スがネ ッ ト ワー ク に接続 さ れていない場合、 現在のルー ト ポー ト と 現在のルー ト コ ス ト は 0 と し て表示 さ れます。 グ ローバル設定の構成 グローバル設定はス イ ッ チ全体に適用 さ れます。 コ マ ン ド の使用 • スパニ ング ツ リ ー プ ロ ト コ ル1 内部の状態マ シ ン には RSTP を使用 し ますが、 802.1D BPDU のみを送信 し ます。 こ れに よ り 、 ネ ッ ト ワー ク 全体で 1 つのスパニ ン グ ツ リ ー イ ン ス タ ン スが作成 さ れます。 ネ ッ ト ワー ク に複数の VLAN が実装 さ れている場合、ネ ッ ト ワー ク ループ を防ぐ ために特定の VLAN メ ンバー間のパスが無効に さ れ、 グループ メ ンバーが隔離 さ れる場合があ り ます。 複数の VLAN を運用する場合は、 「MSTP」 オプ シ ョ ン を選択する こ と をお勧め し ます。 1. STP および RSTP BPDU は タ グな し フ レーム と し て送信 さ れ、 すべての VLAN 境界を越え ます。 3-104 3 スパニ ング ツ リ ー アルゴ リ ズムの構成 • 高速スパニ ング ツ リ ー プ ロ ト コ ル1 RSTP では、 次に説明する よ う に、 着信プ ロ ト コ ル メ ッ セージ を監視 し て RSTP ノ ー ド が 送信する プ ロ ト コル メ ッ セージの タ イ プ を動的に調整する こ と によ り 、STP ま たは RSTP ノ ー ド への接続がサポー ト さ れます。 - STP モー ド – ポー ト の移行遅延 タ イ マーが期限切れにな っ た後にス イ ッ チが 802.1D BPDU (STP BPDU) を受信 し た場合、 ス イ ッ チは 802.1D ブ リ ッ ジに接続 さ れている も の と 見な し 、 802.1D BPDU のみを使用 し 始めます。 - RSTP モー ド – RSTP がポー ト で 802.1D BPDU を使用 し てお り 、 移行遅延 タ イ マーが 期限切れにな っ た後に RSTP BPDU を受信 し た場合、 RSTP は移行遅延 タ イ マーを再度 開始 し 、 そのポー ト で RSTP BPDU を使用 し 始めます。 • マルチ プル スパニ ング ツ リ ー プ ロ ト コ ル - ネ ッ ト ワー ク上で複数のスパニ ング ツ リ ーを機能 さ せるには、 関連する一連のブ リ ッ ジ に同一の MSTP コ ン フ ィ ギ ュ レーシ ョ ン を構成 し 、 特定のスパニ ング ツ リ ー イ ン ス タ ン ス セ ッ ト に参加で き る よ う にする必要があ り ます。 - スパニ ング ツ リ ー イ ン ス タ ン スは、 互換性のあ る VLAN イ ン ス タ ン スが割 り 当て ら れ た ブ リ ッ ジにのみ存在で き ます。 - スパニ ング ツ リ ー モー ド を切 り 替え る際は注意が必要です。 モー ド を変更する と 、 以前 のモー ド のすべてのスパニ ング ツ リ ー イ ン ス タ ン スが停止 し 、新規モー ド でシ ス テムが 再起動する ため、 ユーザー ト ラ フ ィ ッ ク に一時的に影響 し ます。 コ マ ン ド 属性 グローバル設定の基本構成 • 「Spanning Tree State」 – こ のス イ ッ チで STA を有効 / 無効に し ます(デ フ ォル ト : オ ン)。 • 「Spanning Tree Type」 – このス イ ッ チで使用する スパニ ング ツ リ ーの タ イ プ を指定 し ます。 - 「STP」 : スパニ ング ツ リ ー プ ロ ト コ ル (IEEE 802.1D)。 こ のオプ シ ョ ン を選択する と 、 ス イ ッ チでは STP 強制互換モー ド に設定 さ れた RSTP が使用 さ れます。 - 「RSTP」 : 高速スパニ ング ツ リ ー (IEEE 802.1w)。 RSTP はデ フ ォル ト です。 - 「MSTP」 : マルチ プル スパニ ング ツ リ ー (IEEE 802.1s) • 「Priority」 – ブ リ ッ ジ プ ラ イ オ リ テ ィ はルー ト デバイ ス、 ルー ト ポー ト 、 および指定ポー ト の選択に使用 さ れます。 プ ラ イ オ リ テ ィ が最 も 高いデバ イ スが STA ルー ト デバイ スに な り ます。 すべてのデバイ スのプ ラ イ オ リ テ ィ が同 じ 場合は、 MAC ア ド レ スが最 も小 さ い デバイ スがルー ト デバイ スにな り ます (数値が小 さ い程、 プ ラ イ オ リ テ ィ は高い)。 - デ フ ォ ル ト : 32768 - 範囲 : 0 ~ 61440、 4096 刻み - オプ シ ョ ン : 0、 4096、 8192、 12288、 16384、 20480、 24576、 28672、 32768、 36864、 40960、 45056、 49152、 53248、 57344、 61440 ルー ト デバイ スの構成 • 「Hello Time」 – ルー ト デバイ スが コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を送信する間隔(秒 単位) - デフ ォル ト : 2 - 最小 : 1 1. STP および RSTP BPDU は タ グな し フ レーム と し て送信 さ れ、 すべての VLAN 境界を越え ます。 3-105 3 ス イ ッ チの構成 - 最大 : 10 ま たは [( メ ッ セージの最大経過時間 / 2) -1] のいずれか小 さ い方 • 「Maximum Age」 – 再構成前にデバイ スが コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージの受信を待 機で き る最大時間 (秒単位) 。 すべてのデバイ ス ポー ト (指定ポー ト 以外) は定期的に コ ン フ ィ ギ ュ レ ーシ ョ ン メ ッ セージ を受信す る必要があ り ます。 (最後の コ ン フ ィ ギ ュ レ ー シ ョ ン メ ッ セージ で供給 さ れた) STA 情報が経年処理によ っ て無効にな っ たポー ト は、 接 続 さ れた LAN の指定ポー ト にな り ます。 こ れがルー ト ポー ト の場合、 ネ ッ ト ワー ク に接 続 さ れたデバイ ス ポー ト の中か ら新 し いルー ト ポー ト が選択 さ れます ( こ の項目で使用す る 「ポー ト 」 と い う 用語は 「イ ン タ ー フ ェ ース」 を指 し 、 ポー ト お よび ト ラ ン ク を両方を 含む)。 - デ フ ォ ル ト : 20 - 最小 : 6 ま たは [2 x ( 「Hello Time」 + 1)] のいずれか大き い方 - 最大 : 40 ま たは [2 x ( 「Forward Delay」 -1)] のいずれか小 さ い方 • 「Forward Delay」 – こ のデバイ スが状態を変化 さ せる (Discarding か ら Learning、 さ ら に Forwarding) 前に待機する最大時間 (秒単位)。 この遅延は、 すべてのデバイ スが フ レーム の転送を開始する前に ト ポロ ジ変化に関する情報を受信する必要があ る ため必要にな り ま す。 また、 各ポー ト には、 そのポー ト を Discarding 状態に戻すよ う な矛盾 し た情報がない か リ スニ ングする ための時間が必要です。 この時間がない と 、 一時的にデー タ ループが発 生する場合があ り ます。 - デ フ ォ ル ト : 15 - 最小 : 4 ま たは [( メ ッ セージの最大経過時間 / 2) +1] のいずれか大き い方 - 最大 : 30 RSTP の コ ン フ ィ ギ ュ レーシ ョ ン設定 次の属性は RSTP および MSTP の両方に適用 さ れます。 • 「Path Cost Method」 – パス コ ス ト はデバイ ス間の最善パス を決定する ために使用 さ れま す。 こ のパス コ ス ト 方式は、 各イ ン タ ー フ ェ ースに割当て可能な値範囲を決定する ために 使用 さ れます。 - 「Long」 : 1 ~ 200,000,000 (デ フ ォ ル ト ) の範囲の 32 ビ ッ ト ベースの値を指定 し ます。 - 「Short」 : 1 ~ 65535 の範囲の 16 ビ ッ ト ベースの値を指定 し ます。 • 「Transmission Limit」 – BPDU の最大送信レー ト は、連続する プ ロ ト コ ル メ ッ セージの最 小送信間隔を設定する こ と によ り 指定 し ます (範囲 : 1 ~ 10、 デ フ ォ ル ト : 3)。 MSTP の コ ン フ ィ ギ ュ レーシ ョ ン設定 • 「Max Instance Numbers」 – このス イ ッ チ を割 り 当て可能な MSTP イ ン ス タ ン スの最大数 • 「Region Revision」 – こ の MSTI の リ ビ ジ ョ ン (範囲 : 0 ~ 65535、 デ フ ォル ト : 0) • 「Region Name」 – こ の MSTI の名前 (最大長 : 32 文字) • 「Maximum Hop Count」 – BPDU の破棄前に MST リ ージ ョ ン で許可 さ れる最大ホ ッ プ数 (範囲 : 1 ~ 40、 デ フ ォ ル ト : 20) 注 : MST リ ージ ョ ン を一意に識別するには、 MST 名 と リ ビ ジ ョ ン番号が両方必要です。 3-106 スパニ ング ツ リ ー アルゴ リ ズムの構成 3 ウ ェ ブ – 「Spanning Tree」、 「STA」、 「Configuration」 の順に ク リ ッ ク し ます。 必要な属性を 変更 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-64. スパニ ン グ ツ リ ーの構成 CLI – こ の例では、スパニ ング ツ リ ー プ ト ロ コ ルを有効に し 、モー ド を RSTP に設定 し 、STA および RSTP パラ メ ー タ を構成 し ています。 Console(config)#spanning-tree Console(config)#spanning-tree Console(config)#spanning-tree Console(config)#spanning-tree Console(config)#spanning-tree Console(config)#spanning-tree Console(config)#spanning-tree Console(config)#spanning-tree Console(config)# mode rstp priority 45056 hello-time 5 max-age 38 forward-time 20 pathcost method long transmission-limit 4 4-142 4-143 4-146 4-145 4-145 4-144 4-147 4-147 3-107 3 ス イ ッ チの構成 イ ン タ ー フ ェ ース設定の表示 「STA Port Information」 お よび 「STA Trunk Information」 ページには、 スパニ ン グ ツ リ ー内 のポー ト および ト ラ ン クの現在のス テー タ スが表示 さ れます。 フ ィ ール ド 属性 • 「Spanning Tree」 – このス イ ッ チで STA が有効に さ れているかど う かが示 さ れます。 • 「STA Status」 – スパニ ング ツ リ ーにおける こ のポー ト の現在の状態が表示 さ れます。 • 「Discarding」 - ポー ト は STA コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を受信 し ますが、 パ ケ ッ ト の転送は行いません。 • 「Learning」 - ポー ト は 「Forward Delay」 パラ メ ー タ で設定 さ れた期間、 矛盾する情報を 受信する こ と な く コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を送信 し ま し た。ポー ト ア ド レ ス テーブルが消去 さ れ、 ポー ト はア ド レ スの学習を開始 し ます。 • 「Forwarding」 - ポー ト はパケ ッ ト を転送 し 、 引き続き ア ド レ ス を学習 し ます。 ポー ト ス テー タ スは次のルールで定義 さ れます。 - ほかに STA 準拠ブ リ ッ ジ デバイ スのないネ ッ ト ワー ク セグ メ ン ト 上のポー ト は常に Forwarding にな り ます。 - ス イ ッ チの 2 つのポー ト が同一セグ メ ン ト に接続 さ れてお り 、 こ のセグ メ ン ト にほかの STA デバイ スが接続 さ れていない場合、 ID が小 さ い方のポー ト がパケ ッ ト を転送 し 、 も う 一方のポー ト は Discarding にな り ます。 - ス イ ッ チがブー ト さ れる と 、 すべてのポー ト は Discarding にな り 、 その後一部のポー ト の状態が Learning、 Forwarding の順に変化 し ます。 • 「Forward Transitions」 – このポー ト が Learning 状態から Forwarding 状態に遷移 し た回数 • 「Designated Cost」 – 現在のスパニング ツ リ ー コ ン フ ィ ギュ レーシ ョ ン でパケ ッ ト がこの ポー ト からルー ト に移動するためのコ ス ト 。メ デ ィ アが低速なほど、コ ス ト は高 く な り ます。 • 「Designated Bridge」 – こ のポー ト がスパニ ン グ ツ リ ーのルー ト に到達する ために通信す る必要のあ るデバイ スのブ リ ッ ジ プ ラ イ オ リ テ ィ と MAC ア ド レ ス • 「Designated Port」 – こ のス イ ッ チがスパニ ング ツ リ ーのルー ト と 通信する ために経由す る必要のあ る指定ブ リ ッ ジ デバイ ス上のポー ト のポー ト プ ラ イ オ リ テ ィ と ポー ト 番号 • 「Oper Link Type」 – このイ ン タ ー フ ェ ースに接続 さ れた LAN セグ メ ン ト のポ イ ン ト 対ポ イ ン ト のオペ レーシ ョ ン ス テー タ ス。 こ のパラ メ ー タ は、 手動構成または自動検知によ っ て決定 さ れます。 3-111 ページに記載 さ れている 「イ ン タ ー フ ェ ース設定の構成」 ページ の 「Admin Link Type」 の説明を参照 し て く だ さ い。 • 「Oper Edge Port」 – こ のパラ メ ー タ は、 3-111 ページに記載 さ れている 「イ ン タ ー フ ェ ー ス設定の構成」 ページの「Admin Edge Port」の設定に初期化 さ れますが(true ま たは false)、 BPDU を受信 し た場合は false に設定 さ れ、こ のポー ト に別のブ リ ッ ジが接続 さ れている こ と が示 さ れます。 • 「Port Role」 – ポー ト が、 ブ リ ッ ジ をルー ト ブ リ ッ ジに接続 し (ルー ト ポー ト ) 、 このブ リ ッ ジ を介 し て LAN をルー ト ブ リ ッ ジに接続 し てい る (指定ポー ト ) ア ク テ ィ ブ な ト ポ ロ ジの一部か、 ほかのブ リ ッ ジ、 ブ リ ッ ジ ポー ト 、 ま たは LAN の障害あ る いは削除時に コ ネ ク テ ィ ビ テ ィ を提供する代替またはバ ッ ク ア ッ プ ポー ト かに従っ て、 ロールが割 り 当 て られます。 スパニ ング ツ リ ー内でポー ト に ロールが割 り 当て られていない場合、 ロール は 「Disabled」 に設定 さ れます (無効ポー ト )。 3-108 3 スパニ ング ツ リ ー アルゴ リ ズムの構成 R: Root Port A: Alternate Port D: Designated Port B: Backup Port Alternate port receives more useful BPDUs from another bridge and is therefore not selected as the designated R port. R A D x R A x Backup port receives more useful BPDUs from the same bridge and is therefore not selected as the designated port. R D B B • 「Trunk Member」 – ポー ト が ト ラ ン クの メ ンバーであ るかど う かが示 さ れます (「STA Port Information」 のみ)。 次の追加パラ メ ー タ は CLI でのみ表示 さ れます。 • 「Admin status」 – こ のイ ン タ ー フ ェ ースが有効に さ れているかど う かが示 さ れます。 • 「Path cost」 – こ のパラ メ ー タ はデバイ ス間の最善パス を決定する ために STA で使用 さ れ ます。 すなわち、 高速な メ デ ィ アに接続 さ れたポー ト には低い値が割 り 当て ら れ、 低速な メ デ ィ アに接続 さ れたポー ト には高い値が割 り 当て られます (パス コ ス ト はポー ト プ ラ イ オ リ テ ィ よ り 優先 さ れる)。 • 「Priority」 – スパニ ング ツ リ ー アルゴ リ ズムで こ のポー ト に使用 さ れる プ ラ イ オ リ テ ィ が 定義 さ れます。 ス イ ッ チ上のすべてのポー ト のパス コ ス ト が同一の場合、 プ ラ イ オ リ テ ィ が最も 高い (値が最も低い) ポー ト がスパニ ング ツ リ ーのア ク テ ィ ブ リ ン ク と し て構成 さ れます。 こ れに よ り 、 スパニ ン グ ツ リ ー アルゴ リ ズムに よ っ てネ ッ ト ワー ク ループが検 知 さ れる場合、 高いプ ラ イ オ リ テ ィ のポー ト がブ ロ ッ ク さ れる可能性は低 く な り ます。 最 高のプ ラ イ オ リ テ ィ に割 り 当て ら れてい るポー ト が複数存在する場合、 数値識別子が最 も 低いポー ト が有効に さ れます。 • 「Designated root」 – こ のス イ ッ チがルー ト デバイ ス と し て受理 し た、 スパニ ン グ ツ リ ー 内のデバイ スのプ ラ イ オ リ テ ィ と MAC ア ド レ ス • 「Fast forwarding」 – こ の フ ィ ール ド には 「Admin Edge Port」 と 同 じ 情報が表示 さ れます。 従来製品 と の下位互換性を提供する目的で含まれています。 3-109 3 ス イ ッ チの構成 • 「Admin Edge Port」 – ブ リ ッ ジ LAN の終端に位置する LAN セグ メ ン ト またはエ ン ド ノ ー ド に イ ン タ ー フ ェ ースが接続 さ れている場合、 こ のオ プ シ ョ ン を有効にで き ます。 エ ン ド ノ ー ド では転送ループが発生する こ と がないため、 スパニ ン グ ツ リ ーの Forwarding 状態 に直接遷移で き ま す。 エ ッ ジ ポー ト を指定す る こ と に よ り 、 ワー ク ス テ ー シ ョ ンやサー バーな どのデバ イ スの コ ンバージ ェ ン スが高速化 さ れ、 最新の フ ォ ワーデ ィ ン グ デー タ ベー ス を 維持 し て再構成時のア ド レ ス テ ー ブ ルの再構築に必要 と な る フ レ ーム フ ラ ッ デ ィ ン グ量を低減で き ます。 ま た、 イ ン タ ー フ ェ ースの状態が変化 し た と き にスパニ ン グ ツ リ ーを再構成する必要がな く 、 STA に関連する その他の タ イ ムアウ ト の問題を解決で き ます。 ただ し 、 エ ッ ジ ポー ト は、 エ ン ド ノ ー ド デバイ スに接続 さ れたポー ト でのみ有効に し て く だ さ い。 • 「Admin Link Type」 – このイ ン タ ー フ ェ ースに接続 さ れている リ ン ク タ イ プ - 「Point-to-Point」 – 正確に 1 つのブ リ ッ ジへの接続 - 「Shared」 – 2 つ以上のブ リ ッ ジへの接続 - 「Auto」 – ス イ ッ チは、 イ ン タ ー フ ェ ースがポ イ ン ト 対ポ イ ン ト リ ン ク に接続 さ れている か共有 メ デ ィ アに接続 さ れているかを自動的に判断 し ます。 ウ ェ ブ – 「Spanning Tree」、 「STA」、 「Port Information」 ま たは 「STA Trunk Information」 の 順に ク リ ッ ク し ます。 図 3-65. スパニ ング ツ リ ー ポー ト 情報の表示 CLI – こ の例では、 ポー ト 5 の STA 属性を表示 し ています。 Console#show spanning-tree ethernet 1/5 Eth 1/ 5 information -------------------------------------------------------------Admin status: enabled Role: disable State: discarding Path cost: 10000 Priority: 128 Designated cost: 0 Designated port : 128.5 Designated root: 32768.0012CF0B0D00 Designated bridge: 32768.0012CF0B0D00 Fast forwarding: disabled Forward transitions: 0 Admin edge port: disabled Oper edge port: disabled Admin Link type: auto Oper Link type: point-to-point Spanning Tree Status: enabled Console# 3-110 4-158 3 スパニ ング ツ リ ー アルゴ リ ズムの構成 イ ン タ ー フ ェ ース設定の構成 特定イ ン タ ー フ ェ ースについて、 ポー ト プ ラ イ オ リ テ ィ 、 パス コ ス ト 、 リ ン ク タ イ プ、 エ ッ ジ ポー ト な どの RSTP お よび MSTP 属性を構成で き ます。 同 じ メ デ ィ ア タ イ プのポー ト に 対 し 、 異な る プ ラ イ オ リ テ ィ やパス コ ス ト を使用す る こ と に よ っ て優先パス を指定 し た り 、 リ ン ク タ イ プによ っ てポ イ ン ト 対ポ イ ン ト 接続または共有 メ デ ィ ア接続を指定 し た り 、 ま た エ ッ ジ ポー ト に よ っ て接続済みデバイ スが高速転送に対応可能かど う かを指定する こ と がで き ます ( こ の項目で使用す る 「ポー ト 」 と い う 用語は 「イ ン タ ー フ ェ ース」 を指 し 、 ポー ト および ト ラ ン ク を両方を含む)。 コ マ ン ド 属性 次の属性は読取 り 専用です。 変更する こ と はで き ません。 • 「STA State」 – スパニ ン グ ツ リ ーにおける こ のポー ト の現在の状態が表示 さ れます (詳細 については、 3-108 ページの 「イ ン タ ー フ ェ ース設定の表示」 を参照)。 - 「Discarding」 - ポー ト は STA コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を受信 し ますが、 パ ケ ッ ト の転送は行いません。 - 「Learning」 - ポー ト は 「Forward Delay」 パラ メ ー タ で設定 さ れた期間、 矛盾する情報を 受信する こ と な く コ ン フ ィ ギ ュ レ ーシ ョ ン メ ッ セージ を送信 し ま し た。ポー ト ア ド レ ス テーブルが消去 さ れ、 ポー ト はア ド レ スの学習を開始 し ます。 - 「Forwarding」 - ポー ト はパケ ッ ト を転送 し 、 引き続き ア ド レ ス を学習 し ます。 • 「Trunk」 – ポー ト が ト ラ ン クの メ ンバーであ るかど う かが示 さ れます (「STA Port Configuration」 のみ)。 次のイ ン タ ー フ ェ ース属性は構成可能です。 • 「Spanning Tree」 – このス イ ッ チで STA を有効 / 無効に し ます (デ フ ォ ル ト : オ ン)。 • 「Priority」 – スパニ ング ツ リ ー プ ロ ト コ ルで こ のポー ト に使用する プ ラ イ オ リ テ ィ を定義 し ます。 ス イ ッ チ上のすべてのポー ト のパス コ ス ト が同一の場合、 プ ラ イ オ リ テ ィ が最 も 高い (値が最 も 低い) ポー ト がスパニ ン グ ツ リ ーのア ク テ ィ ブ リ ン ク と し て構成 さ れま す。 こ れに よ り 、 スパニ ン グ ツ リ ー プ ロ ト コ ルに よ っ てネ ッ ト ワー ク ループが検知 さ れ る場合、 高いプ ラ イ オ リ テ ィ のポー ト がブ ロ ッ ク さ れる可能性は低 く な り ます。 最高のプ ラ イ オ リ テ ィ に割 り 当て ら れてい るポー ト が複数存在する場合、 数値識別子が最 も 小 さ い ポー ト が有効に さ れます。 • デ フ ォ ル ト : 128 • 範囲 : 0 ~ 240、 16 刻み • 「Path Cost」 – こ のパラ メ ー タ はデバイ ス間の最善パス を決定する ために STP で使用 さ れ ます。 すなわち、 高速な メ デ ィ アに接続 さ れたポー ト には低い値が割 り 当て ら れ、 低速な メ デ ィ アに接続 さ れたポー ト には高い値が割 り 当て られます (パス コ ス ト はポー ト プ ラ イ オ リ テ ィ よ り 優先 さ れる)。 「Path Cost Method」 が 「short」 に設定 さ れている場合、 最大 パス コ ス ト は 65,535 です。 • 範囲 - イ ーサネ ッ ト : 200,000 ~ 20,000,000 - フ ァ ース ト イ ーサネ ッ ト : 20,000 ~ 2,000,000 - ギガ ビ ッ ト イ ーサネ ッ ト : 2,000 ~ 200,000 3-111 3 ス イ ッ チの構成 • デフ ォル ト - イ ーサネ ッ ト – 半二重 : 2,000,000、 全二重 : 1,000,000、 ト ラ ン ク : 500,000 - フ ァ ース ト イ ーサネ ッ ト – 半二重 :200,000、 全二重 : 100,000、 ト ラ ン ク : 50,000 - ギガ ビ ッ ト イ ーサネ ッ ト – 全二重 :10,000、 ト ラ ン ク : 5,000 • 「Admin Link Type」 – このイ ン タ ー フ ェ ースに接続 さ れている リ ン ク タ イ プ - 「Point-to-Point」 – 正確に 1 つのブ リ ッ ジへの接続 - 「Shared」 – 2 つ以上のブ リ ッ ジへの接続 - 「Auto」 – ス イ ッ チは、 イ ン タ ー フ ェ ースがポ イ ン ト 対ポ イ ン ト リ ン ク に接続 さ れている か共有 メ デ ィ アに接続 さ れているかを自動的に判断 し ます (デ フ ォ ル ト 設定)。 • 「Admin Edge Port (Fast Forwarding)」 – ブ リ ッ ジ LAN の終端に位置する LAN セグ メ ン ト またはエ ン ド ノ ー ド に イ ン タ ー フ ェ ースが接続 さ れている場合、 こ のオプ シ ョ ン を有効に で き ます。 エ ン ド ノ ー ド では転送ループが発生する こ と がないため、 スパニ ング ツ リ ーの Forwarding 状態に直接遷移で き ます。 エ ッ ジ ポー ト を指定する こ と に よ り 、 ワー ク ス テー シ ョ ンやサーバーな どのデバイ スの コ ンバージ ェ ン スが高速化 さ れ、 最新の フ ォ ワーデ ィ ン グ デー タ ベース を維持 し て再構成時のア ド レ ス テーブルの再構築に必要 と な る フ レ ー ム フ ラ ッ デ ィ ング量を低減で き ます。 また、 イ ン タ ー フ ェ ースの状態が変化 し た と き にス パニ ング ツ リ ーの再構成を開始する必要がな く 、 STA に関連する その他の タ イ ムアウ ト の 問題を解決で き ます。 ただ し 、 エ ッ ジ ポー ト は、 エ ン ド ノ ー ド デバイ スに接続 さ れたポー ト でのみ有効に し て く だ さ い (デ フ ォ ル ト : オ フ)。 • 「Migration」 – ス イ ッ チは構成ま たは ト ポロ ジ変更通知 BPDU な どの STP BPDU を検出す る と 、 選択 さ れた イ ン タ ー フ ェ ース を強制 STP 互換モー ド に自動的に設定 し ます。 「Protocol Migration」 ボ タ ン を使用 し て、 選択 さ れた イ ン タ ー フ ェ ース での送信に適 し た BPDU 形式 (RSTP または STP 互換) を手動で再チ ェ ッ ク する こ と も で き ます (デ フ ォル ト : オ フ)。 ウ ェ ブ – 「Spanning Tree」、 「STA」、 「Port Configuration」 または 「Trunk Configuration」 の 順に ク リ ッ ク し ます。 必要な属性を変更 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-66. 各ポー ト のスパニ ング ツ リ ーの構成 CLI – こ の例では、 ポー ト 7 の STA 属性を設定 し ています。 Console(config)#interface ethernet 1/7 Console(config-if)#spanning-tree port-priority 0 Console(config-if)#spanning-tree cost 50 Console(config-if)#spanning-tree link-type auto Console(config-if)#no spanning-tree edge-port Console(config-if)# 3-112 4-115 4-153 4-152 4-155 4-153 3 スパニ ング ツ リ ー アルゴ リ ズムの構成 マルチ プル スパニ ン グ ツ リ ーの構成 MSTP は、各イ ン ス タ ン スに対 し て固有のスパニ ン グ ツ リ ーを作成 し ます。こ れによ っ てネ ッ ト ワー ク 上に複数のパス を提供 し 、 ト ラ フ ィ ッ クのロー ド バラ ン シ ング を行 っ た り 、 単一イ ン ス タ ン スのブ リ ッ ジ ノ ー ド が障害にな っ た場合に広範囲な中断を回避で き ます。 また、 イ ン ス タ ン スの障害に対する新規 ト ポロ ジの コ ンバージ ェ ン ス を高速化する こ と も で き ます。 デ フ ォ ル ト では、 すべての VLAN は、 MST リ ージ ョ ン内のすべてのブ リ ッ ジおよび LAN を 接続する内部スパニ ング ツ リ ー (MST イ ン ス タ ン ス 0) に割 り 当て られます。 このス イ ッ チ では最大 65 個のイ ン ス タ ン スがサポー ト さ れます。 ネ ッ ト ワー ク において同 じ 全般エ リ ア を カバー し てい る VLAN を グループ化する よ う に し て く だ さ い。 ただ し 、 同 じ MSTI リ ージ ョ ン (3-133 ページ) 内のすべてのブ リ ッ ジは同 じ イ ン タ ン ス セ ッ ト で、 (各ブ リ ッ ジ上の) 同 じ イ ン ス タ ン スは同 じ VLAN セ ッ ト で構成す る必要があ り ます。 ま た、 RSTP では各 MSTI リ ージ ョ ンが単一 ノ ー ド と し て扱われ、 すべての リ ージ ョ ンが共通スパニ ン グ ツ リ ーに接続 さ れる こ と に注意 し て く だ さ い。 マルチ プル スパニ ング ツ リ ーを使用するには、 次の手順に従います。 1. スパニ ング ツ リ ー タ イ プ を 「MSTP」 に設定 し ます (「STA Configuration」、 3-130 ページ)。 2. 選択 し た MST イ ン ス タ ン スのスパニ ング ツ リ ー プ ラ イ オ リ テ ィ を入力 し ます (「MSTP VLAN Configuration」)。 3. こ の MSTI を共有する VLAN を追加 し ます (「MSTP VLAN Configuration」)。 注 : すべての VLAN は自動的に IST (イ ン ス タ ン ス 0) に追加 さ れます。 MSTI に よ っ てネ ッ ト ワー ク 上の コ ネ ク テ ィ ビ テ ィ を確保する には、関連する一連のブ リ ッ ジ に同 じ MSTI 設定を構成する必要があ り ます。 コ マ ン ド 属性 • 「MST Instance」 – こ のスパニ ング ツ リ ーのイ ン ス タ ン ス識別子 (デ フ ォ ル ト : 0) • 「Priority」 – スパニ ング ツ リ ー イ ン ス タ ン スのプ ラ イ オ リ テ ィ (範囲 : 0 ~ 61440 ま で 4096 刻み、 オプ シ ョ ン : 0、 4096、 8192、 12288、 16384、 20480、 24576、 28672、 32768、 36864、 40960、 45056、 49152、 53248、 57344、 61440、 デ フ ォ ル ト : 32768) • 「VLANs in MST Instance」 – こ のイ ン ス タ ン スに割 り 当て られている VLAN • 「MST ID」 – 構成する イ ン ス タ ン ス識別子 (範囲 : 0 ~ 57、 デ フ ォ ル ト : 0) • 「VLAN ID」 – 選択 し た こ の MST イ ン ス タ ン スに割 り 当て る VLAN (範囲 : 1 ~ 4094) 3-113 3 ス イ ッ チの構成 ウ ェ ブ – 「Spanning Tree」、 「MSTP」、 「VLAN Configuration」 の順に ク リ ッ ク し ます。 リ ス ト から イ ン ス タ ン ス識別子を選択 し 、 イ ン ス タ ン ス プ ラ イ オ リ テ ィ を設定 し て、 「Apply」 を ク リ ッ ク し ます。 MSTI イ ン ス タ ン スに VLAN メ ンバーを追加するには、 イ ン ス タ ン ス識別子 と VLAN 識別子を入力 し て、 「Add」 を ク リ ッ ク し ます。 図 3-67. マルチプル スパニ ング ツ リ ーの構成 CLI – こ の例では、 MSTI 1 のプ ラ イ オ リ テ ィ を設定 し 、 こ の MSTI に VLAN 1 ~ 5 を追加 し ています。 Console(config)#spanning-tree mst-configuration Console(config-mst)#mst 1 priority 4096 Console(config-mstp)#mst 1 vlan 1-5 Console(config-mst)# 3-114 スパニ ング ツ リ ー アルゴ リ ズムの構成 3 CLI – こ の例では、 ポー ト 1 の STA 属性に続いて各ポー ト の設定を設定 し ています。 Console#show spanning-tree mst 2 Spanning-tree information --------------------------------------------------------------Spanning tree mode :MSTP Spanning tree enable/disable :enable Instance :2 Vlans configuration :2 Priority :4096 Bridge Hello Time (sec.) :2 Bridge Max Age (sec.) :20 Bridge Forward Delay (sec.) :15 Root Hello Time (sec.) :2 Root Max Age (sec.) :20 Root Forward Delay (sec.) :15 Max hops :20 Remaining hops :20 Designated Root :4096.2.0000E9313131 Current root port :0 Current root cost :0 Number of topology changes :0 Last topology changes time (sec.):646 Transmission limit :3 Path Cost Method :long --------------------------------------------------------------Eth 1/ 7 information --------------------------------------------------------------Admin status : enable Role : disable State : discarding External path cost : 10000 Internal path cost : 10000 Priority : 128 Designated cost : 0 Designated port : 128.7 Designated root : 4096.2.0000E9313131 Designated bridge : 4096.2.0000E9313131 Fast forwarding : enable Forward transitions : 0 Admin edge port : enable Oper edge port : enable Admin Link type : auto Oper Link type : point-to-point Spanning Tree Status : enable ... 3-115 3 ス イ ッ チの構成 MSTP のイ ン タ ー フ ェ ース設定の表示 「MSTP Port Information」 および 「MSTP Trunk Information」 ページには、 選択 し た MST イ ン ス タ ン ス内のポー ト および ト ラ ン ク の現在のス テー タ スが表示 さ れます。 コ マ ン ド 属性 • 「MST Instance ID」 – 構成する イ ン ス タ ン ス識別子 (デ フ ォル ト : 0) 注 : その他の属性については、 3-108 ページの 「イ ン タ ー フ ェ ース設定の表示」 で説明 し ます。 ウ ェ ブ – 「Spanning Tree」、 「MSTP」、 「Port Information」 ま たは 「Trunk Information」 の順 に ク リ ッ ク し ます。 必要な MST イ ン ス タ ン ス を選択 し て現在のスパニ ン グ ツ リ ーの値を表 示 し ます。 図 3-68. MSTP イ ン タ ー フ ェ ース設定の表示 3-116 スパニ ング ツ リ ー アルゴ リ ズムの構成 3 CLI – こ の例では、 イ ン ス タ ン ス 0 の STA 設定に続いて各ポー ト の設定を表示 し ています。 イ ン ス タ ン ス 0 の設定は IST に適用 さ れる グローバル設定です。 その他のイ ン ス タ ン スの設 定はロー カル スパニ ング ツ リ ーにのみ適用 さ れます。 Console#show spanning-tree mst 0 4-231 Spanning-tree information --------------------------------------------------------------Spanning tree mode :MSTP Spanning tree enable/disable :enable Instance :0 Vlans configuration :1-4094 Priority :32768 Bridge Hello Time (sec.) :2 Bridge Max Age (sec.) :20 Bridge Forward Delay (sec.) :15 Root Hello Time (sec.) :2 Root Max Age (sec.) :20 Root Forward Delay (sec.) :15 Max hops :20 Remaining hops :20 Designated Root :32768.0.0000ABCD0000 Current root port :1 Current root cost :200000 Number of topology changes :1 Last topology changes time (sec.):645 Transmission limit :3 Path Cost Method :long --------------------------------------------------------------Eth 1/ 1 information --------------------------------------------------------------Admin status : enable Role : root State : forwarding External path cost : 100000 Internal path cost : 100000 Priority : 128 Designated cost : 200000 Designated port : 128.24 Designated root : 32768.0.0000ABCD0000 Designated bridge : 32768.0.0030F1552000 Fast forwarding : disable Forward transitions : 1 Admin edge port : enable Oper edge port : disable Admin Link type : auto Oper Link type : point-to-point Spanning Tree Status : enable ... MSTP のイ ン タ ー フ ェ ース設定の構成 MST イ ン ス タ ン スの STA イ ン タ ー フ ェ ース設定を構成するには、「MSTP Port Configuration」 および 「MSTP Trunk Configuration」 ページ を使用 し ます。 フ ィ ール ド 属性 次の属性は読取 り 専用です。 変更する こ と はで き ません。 • 「STA State」 – スパニ ン グ ツ リ ーにおける こ のポー ト の現在の状態が表示 さ れます (詳細 については、 3-108 ページの 「イ ン タ ー フ ェ ース設定の表示」 を参照)。 3-117 3 ス イ ッ チの構成 - 「Discarding」 – ポー ト は STA コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を受信 し ますが、 パ ケ ッ ト の転送は行いません。 - 「Learning」 – ポー ト は 「Forward Delay」 パラ メ ー タ で設定 さ れた期間、 矛盾する情報 を受信する こ と な く コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を送信 し ま し た。ポー ト ア ド レ ス テーブルが消去 さ れ、 ポー ト はア ド レ スの学習を開始 し ます。 - 「Forwarding」 – ポー ト はパケ ッ ト を転送 し 、 引き続き ア ド レ ス を学習 し ます。 • 「Trunk」 – ポー ト が ト ラ ン クの メ ンバーであ るかど う かが示 さ れます (「STA Port Configuration」 のみ)。 次のイ ン タ ー フ ェ ース属性は構成可能です。 • 「MST Instance ID」 – 構成する イ ン ス タ ン ス識別子 (デ フ ォル ト : 0) • 「Priority」 – スパニ ング ツ リ ー プ ロ ト コ ルで こ のポー ト に使用する プ ラ イ オ リ テ ィ を定義 し ます。 ス イ ッ チ上のすべてのポー ト のパス コ ス ト が同一の場合、 プ ラ イ オ リ テ ィ が最 も 高い (値が最 も 低い) ポー ト がスパニ ン グ ツ リ ーのア ク テ ィ ブ リ ン ク と し て構成 さ れま す。 こ れに よ り 、 スパニ ン グ ツ リ ー プ ロ ト コ ルに よ っ てネ ッ ト ワー ク ループが検知 さ れ る場合、 高いプ ラ イ オ リ テ ィ のポー ト がブ ロ ッ ク さ れる可能性は低 く な り ます。 最高のプ ラ イ オ リ テ ィ に割 り 当て ら れてい るポー ト が複数存在する場合、 数値識別子が最 も 小 さ い ポー ト が有効に さ れます (デ フ ォ ル ト : 128、 範囲 : 0 ~ 240、 16 刻み)。 • 「MST Path Cost」 – このパラ メ ー タ はデバイ ス間の最善パス を決定する ために MSTP で使 用 さ れます。 すなわち、高速な メ デ ィ アに接続 さ れたポー ト には低い値が割 り 当て られ、低 速な メ デ ィ アに接続 さ れたポー ト には高い値が割 り 当て ら れます (パス コ ス ト はポー ト プ ラ イ オ リ テ ィ よ り 優先 さ れる) 。 「Path Cost Method」 が 「short」 に設定 さ れてい る場合 (3-63 ページ)、 最大パス コ ス ト は 65,535 です。 - 範囲 : イ ーサネ ッ ト : 200,000 ~ 20,000,000 フ ァ ース ト イ ーサネ ッ ト : 20,000 ~ 2,000,000 ギガ ビ ッ ト イ ーサネ ッ ト : 2,000 ~ 200,000 - デフ ォル ト イ ーサネ ッ フ ァ ース ト ギガ ビ ッ ト 3-118 : ト – 半二重 : 2,000,000、 全二重 : 1,000,000、 ト ラ ン ク : 500,000 イ ーサネ ッ ト – 半二重 :200,000、 全二重 : 100,000、 ト ラ ン ク : 50,000 イ ーサネ ッ ト – 全二重 :10,000、 ト ラ ン ク : 5,000 VLAN の構成 3 ウ ェ ブ – 「Spanning Tree」 、 「MSTP」 、 「Port Configuration」 ま たは 「Trunk Configuration」 の順に ク リ ッ ク し ま す。 イ ン タ ー フ ェ ー スの プ ラ イ オ リ テ ィ お よ びパス コ ス ト を 入力 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-69. MSTP イ ン タ ー フ ェ ース設定の表示 CLI – こ の例では、 ポー ト 4 の MSTP 属性を設定 し ています。 Console(config)#interface ethernet 1/4 Console(config-if)#spanning-tree mst port-priority 0 Console(config-if)#spanning-tree mst cost 50 Console(config-if) VLAN の構成 IEEE 802.1Q VLAN 大規模なネ ッ ト ワー ク では、 各サブ ネ ッ ト へのブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク を別々の ド メ イ ンへ と 振 り 分ける ためにルー タ が使用 さ れます。 このス イ ッ チでは、 VLAN を使用 し てネ ッ ト ワー ク ノ ー ド のグループ を個別のブ ロー ド キ ャ ス ト ド メ イ ン と し て編成する こ と に よ り 、 レ イ ヤー 2 と 同様のサービ スが提供 さ れます。 VLAN によ り ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク が送信元グループ内に限定 さ れる ため、 大規模なネ ッ ト ワー ク でのブ ロー ド キ ャ ス ト ス ト ー ムの発生を防 ぐ こ と がで き ます。 ま た、 ネ ッ ト ワー ク 環境のセキ ュ リ テ ィ を高め、 よ り 明確 な環境を実現で き ます。 IEEE 802.1Q VLAN は、 ネ ッ ト ワー ク 上のど こ にあ っ て も、 同 じ 物理セグ メ ン ト に属するか のよ う に通信する こ と ので き るポー ト のグループ です。 VLAN では、 デバイ ス を新 し い VLAN に移動 し た場合 も物理接続を変更する必要がないため、 ネ ッ ト ワー ク 管理が容易です。VLAN は、組織における部門グループ (マーケテ ィ ングや R&D な ど)、 用途グループ (電子 メ ールな ど)、 またはマルチキ ャ ス ト グループ (ビデオ会議な ど のマルチ メ デ ィ ア ア プ リ ケーシ ョ ンに使用) に合わせて簡単に編成で き ます。 VLAN に よ っ て ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク が低減 さ れる ため、 ネ ッ ト ワー ク 効率が向上 し ます。 また、 ネ ッ ト ワー ク を変更 し た場合も、 IP ア ド レ スや IP サブネ ッ ト を更新する必要 があ り ません。 ト ラ フ ィ ッ ク が別の VLAN に到達する ためには、 構成 さ れた レ イ ヤー 3 リ ン ク を経由する必要がある ため、 高度なネ ッ ト ワー ク セキ ュ リ テ ィ も提供 さ れます。 3-119 3 ス イ ッ チの構成 こ のス イ ッ チでは次の VLAN 機能がサポー ト さ れます。 • IEEE 802.1Q 規格に準拠 し た最大 255 個の VLAN • 明示的または暗黙的 タ ギングおよび GVRP プ ロ ト コルによ る、 複数のス イ ッ チに渡る分散 型 VLAN 学習 • ポー ト を複数の VLAN に参加 さ せる こ と が可能なポー ト オーバー ラ ッ ピ ング • エ ン ド ス テーシ ョ ンは複数の VLAN に従属可能 • VLAN 対応および VLAN 非対応デバイ ス間での ト ラ フ ィ ッ クの受渡 し • プ ラ イ オ リ テ ィ タ ギング VLAN へのポー ト の割当て ス イ ッ チで VLAN を有効にする前に、 まず各ポー ト を参加先の VLAN グループに割 り 当て る 必要があ り ます。 デ フ ォ ル ト では、 すべてのポー ト は タ グな し ポー ト と し て VLAN 1 に割 り 当て ら れます。 ポー ト で 1 つ以上の VLAN に ト ラ フ ィ ッ ク を伝送 し 、 中継ネ ッ ト ワー ク デバ イ ス ま たは接続の反対側に位置する ホ ス ト で VLAN がサポー ト さ れている場合、 そのポー ト を タ グ付き ポー ト と し て追加 し ます。 次に、 手動または GVRP を使用 し て動的に、 こ の ト ラ フ ィ ッ ク を伝送す るパス上にあ るほかの VLAN 対応ネ ッ ト ワー ク デバ イ スのポー ト を同 じ VLAN に割 り 当て ます。 ただ し 、 こ のス イ ッ チのポー ト を 1 つ以上の VLAN に参加 さ せ、 中 継ネ ッ ト ワー ク デバイ スおよび接続の反対側に位置する ホス ト がど ち ら も VLAN をサポー ト し ていない場合は、 こ のポー ト を タ グな し ポー ト と し て VLAN に追加 し て く だ さ い。 注 : VLAN タ グ付き フ レームは VLAN 対応または VLAN 非対応ネ ッ ト ワー ク相互接続デバイ ス を 通過で き ます。 ただ し 、 VLAN タ ギ ン グ をサポー ト し ていない エ ン ド ノ ー ド ホ ス ト に渡す前 に、 VLAN タ グ を除去する必要があ り ます。 tagged frames VA VA VA: VLAN Aware VU: VLAN Unaware tagged frames VA untagged frames VA VU VLAN の分類 – ス イ ッ チは フ レ ームを受信する と 、 こ の フ レ ームを次のいずれかの方法で分 類 し ます。 フ レームが タ グな し の場合、 ス イ ッ チは こ の フ レ ームを関連付け ら れた VLAN に 割 り 当て ます (受信ポー ト のデ フ ォル ト の VLAN ID に基づ く )。 フ レ ームが タ グ付きの場合、 ス イ ッ チは タ グ付き VLAN ID を使用 し て フ レ ームのポー ト ブ ロー ド キ ャ ス ト ド メ イ ン を識 別 し ます。 ポー ト オーバー ラ ッ ピ ン グ – ポー ト オーバー ラ ッ ピ ングに よ り 、複数の VLAN グループに よ る フ ァ イ ル サーバーやプ リ ン タ な どの共有ネ ッ ト ワー ク リ ソ ースへのア ク セ スが可能にな り ます。オーバー ラ ッ プ し ていないが相互に通信が必要な VLAN を実装する場合、こ のス イ ッ チでルーテ ィ ング を有効にする こ と に よ っ て こ れら の VLAN を接続する こ と はで き ません。 3-120 VLAN の構成 3 タ グな し VLAN – 通常、 タ グな し (ま たはス タ テ ィ ッ ク) VLAN はブ ロー ド キ ャ ス ト を低減 し 、 セキ ュ リ テ ィ を高める ために使用 さ れます。 同 じ VLAN に割 り 当て ら れたネ ッ ト ワー ク ユーザーのグルー プ に よ っ て、 ス イ ッ チ に構成 さ れて い るほかの VLAN と は別のブ ロ ー ド キ ャ ス ト ド メ イ ンが形成 さ れます。 パケ ッ ト の転送は同 じ VLAN に指定 さ れたポー ト 間での み行われます。 タ グな し VLAN は、 ユーザー グループやサブネ ッ ト を手動で隔離する ために 使用で き ます。 ただ し 、 完全な自動 VLAN 登録が可能な場合は、 IEEE 802.3 タ グ付き VLAN を GVRP と と も に使用 し て く だ さ い。 自動 VLAN 登録 – GVRP (GARP VLAN 登録プ ロ ト コ ル) に よ り 、 ス イ ッ チが各エ ン ド ス テーシ ョ ンの割当て先 VLAN を自動的に学習で き る シ ス テムが定義 さ れます。 エ ン ド ス テー シ ョ ン (またはそのネ ッ ト ワー ク アダ プ タ ) で IEEE 802.1Q VLAN プ ロ ト コ ルがサポー ト さ れている場合、 参加希望の VLAN グループ を指定 し た メ ッ セージ を ネ ッ ト ワー ク にブ ロー ド キ ャ ス ト する よ う 構成で き ます。 ス イ ッ チは こ のよ う な メ ッ セージ を受信する と 、 受信ポー ト を指定の VLAN に自動的に割 り 当て、 メ ッ セージ を その他すべてのポー ト に転送 し ま す。 GVRP をサポー ト する別のス イ ッ チに メ ッ セージが着信する と 、 このス イ ッ チで も受信ポー ト を指定の VLAN に自動的に割 り 当て、 メ ッ セージ を その他すべてのポー ト に送信 し ます。 こ のよ う に し て、 VLAN 要求がネ ッ ト ワー ク全体に伝搬 さ れます。 これによ り 、 エ ン ド ステーシ ョ ンの要求のみに基づいて、 GVRP 準拠デバイ ス を自動的に VLAN グループに構成で き ます。 ネ ッ ト ワー ク に GVRP を実装する には、 まず必要な VLAN にホス ト デバイ ス を追加 し (オペ レ ーテ ィ ン グ シ ス テムま たはその他のア プ リ ケーシ ョ ン ソ フ ト ウ ェ ア を使用) 、 こ れ ら の VLAN を ネ ッ ト ワー ク に伝搬で き る よ う に し ます。 こ れ ら のホ ス ト に直接接続 さ れた エ ッ ジ ス イ ッ チおよびネ ッ ト ワー クの コ ア ス イ ッ チについて、デバイ ス間の リ ン ク で GVRP を有効 に し ます。 また、 ネ ッ ト ワー ク のセキ ュ リ テ ィ 境界を決定 し 、 境界ポー ト で GVRP を無効に する こ と に よ り 、 ア ド バ タ イ ズ メ ン ト の伝搬を防いだ り 、 制限 さ れた VLAN への境界ポー ト の参加を禁止する必要があ り ます。 注 : GVRP がサポー ト さ れていないホス ト デバイ ス を使用する場合、 これらのデバイ スに接続 さ れたス イ ッ チ ポー ト にス タ テ ィ ッ ク ま たは タ グな し VLAN を構成する必要があ り ます (3-126 ページの 「VLAN へのス タ テ ィ ッ ク メ ンバーの追加 (VLAN イ ンデ ッ ク ス) 」 を参照) 。 この 場合も、 これらのエ ッ ジ ス イ ッ チおよびネ ッ ト ワー クの コ ア ス イ ッ チで GVRP を有効にで き ます。 Port-based VLAN 2 1 9 10 11 3 4 5 13 12 14 6 15 16 7 8 18 19 タ グ付き / タ グな し フ レームの転送 単一のス イ ッ チに直接接続 さ れたデバイ スに対 し てポー ト ベースの小規模な VLAN を構築す る には、 ポー ト を同一の タ グな し VLAN に割 り 当て ます。 ただ し 、 複数のス イ ッ チにま たが る VLAN グループに参加 さ せるには、 そのグループの VLAN を構築 し 、 すべてのポー ト で タ ギング を有効にする必要があ り ます。 3-121 3 ス イ ッ チの構成 ポー ト は複数の タ グ付き VLAN に割 り 当て る こ と がで き ますが、 タ グな し VLAN については 1 つのみです。 これによ り 、 ス イ ッ チ上の各ポー ト で タ グ付き または タ グな し フ レームを送信 で き る よ う にな り ます。 こ のス イ ッ チか ら フ レームを転送するパス上に VLAN 対応デバイ ス が含まれている場合、 ス イ ッ チ で VLAN タ グ を含める必要があ り ます。 こ のス イ ッ チか ら フ レ ームを転送す るパス上に VLAN 対応デバイ ス (宛先ホ ス ト を含む) がない場合、 ス イ ッ チ では フ レームの転送前に VLAN タ グ を消去する必要があ り ます。 ス イ ッ チは タ グ付き フ レ ー ムを受信する と 、 フ レ ーム タ グで指定 さ れた VLAN に こ の フ レ ームを送信 し ます。 ただ し 、 VLAN 非対応デバイ スか ら タ グな し フ レームを受信 し た場合は、まず フ レームの転送先を決定 し てか ら、 イ ング レ ス ポー ト のデ フ ォ ル ト VID に応 じ た VLAN タ グ を挿入 し ます。 GVRP の有効化または無効化 (グローバル設定) GARP VLAN 登録プ ロ ト コ ル (GVRP) では、 VLAN メ ンバーを ネ ッ ト ワー ク 上のポー ト に登 録する ための、 ス イ ッ チに よ る VLAN 情報の交換方法が定義 さ れています。 VLAN は、 ホ ス ト デバイ スか ら発行 さ れ、 ネ ッ ト ワー ク 全体に伝搬 さ れた メ ッ セージに基づいて動的に構成 さ れます。 自動 VLAN 登録を許可 し 、 範囲がロー カル ス イ ッ チ外におよぶ VLAN をサポー ト するには、 GVRP を有効にする必要があ り ます (デ フ ォ ル ト : オ フ )。 注 : 現在のソ フ ト ウ ェ ア では、 GVRP はサポー ト さ れません。 ウ ェ ブ – 「VLAN」 、 「802.1Q VLAN」 、 「GVRP Status」 の順に ク リ ッ ク し ます。 GVRP を有 効ま たは無効に し 、 「Apply」 を ク リ ッ ク し ます。 図 3-70. GVRP のグローバルな有効化 CLI – こ の例では、 ス イ ッ チで GVRP を有効に し ています。 Console(config)#bridge-ext gvrp Console(config)# 4-161 VLAN 基本情報の表示 「VLAN Basic Information」 ページには、 ス イ ッ チでサポー ト さ れている VLAN タ イ プに関す る基本情報が表示 さ れます。 フ ィ ール ド 属性 • 「VLAN Version Number1」 – こ のス イ ッ チで使用 さ れている、 IEEE 802.1Q 規格で規定 さ れている VLAN バージ ョ ン • 「Maximum VLAN ID」 – このス イ ッ チが認識する最大の VLAN ID • 「Maximum Number of Supported VLANs」 – こ のス イ ッ チで構成可能な VLAN の最大数 1. ウ ェ ブのみ 3-122 VLAN の構成 3 ウ ェ ブ – 「VLAN」、 「802.1Q VLAN」、 「Basic Information」 の順に ク リ ッ ク し ます。 図 3-71. VLAN 基本情報の表示 CLI – 次の コ マ ン ド を入力 し ます。 Console#show bridge-ext Max support vlan numbers: Max support vlan ID: Extended multicast filtering services: Static entry individual port: VLAN learning: Configurable PVID tagging: Local VLAN capable: Traffic classes: Global GVRP status: GMRP: Console# 4-161 255 4094 No Yes SVL Yes No Enabled Enabled Disabled 現在の VLAN の表示 「VLAN Current Table」 には、 各 VLAN の現在のポー ト メ ンバー と 、 各ポー ト で VLAN タ ギ ン グがサポー ト さ れて い る か ど う かが表示 さ れま す。 複数のス イ ッ チ に ま たが る 大規模な VLAN グループに割 り 当て られたポー ト では、 VLAN タ ギング を使用する必要があ り ます。 た だ し 、 1 つま たは 2 つのス イ ッ チに対 し てポー ト ベースの小規模な VLAN を構築する場合は、 タ ギング を無効にする こ と がで き ます。 コ マ ン ド 属性 (ウ ェ ブ) • 「VLAN ID」 – 構成済み VLAN の ID (1 ~ 4094) • 「Up Time at Creation」 – この VLAN が構築 さ れてから の時間 (シ ス テム稼動時間) • 「Status」 – こ の VLAN がス イ ッ チにどのよ う に追加 さ れたかが示 さ れます。 - 「Dynamic GVRP」 : GVRP によ る自動学習 - 「 Permanent」 : ス タ テ ィ ッ ク エ ン ト リ と し て追加 • 「Egress Ports」 – すべての VLAN ポー ト メ ンバーが示 さ れます。 • 「Untagged Ports」 – タ グな し VLAN ポー ト メ ンバーが示 さ れます。 3-123 3 ス イ ッ チの構成 ウ ェ ブ – 「VLAN」 、 「802.1Q VLAN」 、 「Current Table」 の順に ク リ ッ ク し ます。 ス ク ロール ダウ ン リ ス ト から ID を選択 し ます。 図 3-72. 現在の VLAN の表示 コ マ ン ド 属性 (CLI) • 「VLAN」 – 構成済み VLAN の ID (1 ~ 4094、 先行ゼロは不可) • 「Type」 – こ の VLAN がス イ ッ チにどのよ う に追加 さ れたかが示 さ れます。 - 「Dynamic」 : GVRP に よ る自動学習 - 「Static」 : ス タ テ ィ ッ ク エ ン ト リ と し て追加 • 「Name」 – VLAN の名前 (1 ~ 32 文字) • 「Status」 – VLAN が有効に さ れているか無効に さ れているかが示 さ れます。 - 「Active」 : VLAN は稼動 し ています。 - 「Suspend」 : VLAN は中断 さ れています。 パケ ッ ト は渡 さ れません。 • 「Ports / Channel groups」 – VLAN イ ン タ ー フ ェ ース メ ンバーが示 さ れます。 3-124 VLAN の構成 3 CLI – 次の コ マ ン ド によ り 、 現在の VLAN 情報を表示で き ます。 Console#show vlan id 1 Vlan ID: 1 Type: Static Name: DefaultVlan Status: Active Ports/Port channel: Eth1/ 1(S) Eth1/ 2(S) Eth1/ 6(S) Eth1/ 7(S) Eth1/11(S) Eth1/12(S) Eth1/16(S) Eth1/17(S) Eth1/21(S) Eth1/22(S) Eth1/26(S) Eth1/27(S) Eth1/31(S) Eth1/32(S) Eth1/36(S) Eth1/37(S) Eth1/41(S) Eth1/42(S) Eth1/46(S) Eth1/47(S) Eth1/51(S) Eth1/52(S) Console# 4-172 Eth1/ 3(S) Eth1/ 8(S) Eth1/13(S) Eth1/18(S) Eth1/23(S) Eth1/28(S) Eth1/33(S) Eth1/38(S) Eth1/43(S) Eth1/48(S) Eth1/ 4(S) Eth1/ 9(S) Eth1/14(S) Eth1/19(S) Eth1/24(S) Eth1/29(S) Eth1/34(S) Eth1/39(S) Eth1/44(S) Eth1/49(S) Eth1/ 5(S) Eth1/10(S) Eth1/15(S) Eth1/20(S) Eth1/25(S) Eth1/30(S) Eth1/35(S) Eth1/40(S) Eth1/45(S) Eth1/50(S) VLAN の構築 VLAN グループ を作成または削除する には、 「VLAN Static List」 を使用 し ます。 このス イ ッ チ で使用する VLAN グループの情報を外部ネ ッ ト ワー ク デバイ スに伝搬するには、 各グループ の VLAN ID を指定する必要があ り ます。 コ マ ン ド 属性 • 「Current」 – このシ ス テムに現在作成 さ れているすべての VLAN グループが表示 さ れます。 最大 255 個の VLAN グループ を定義で き ます。VLAN 1 はデ フ ォル ト の タ グな し VLAN です。 • 「New」 – 新規 VLAN グループの名前および数値識別子を指定で き ます (VLAN 名は このシ ス テムの管理目的でのみ使用 さ れ、 VLAN タ グには追加 さ れない)。 • 「VLAN ID」 – 構成済み VLAN の ID (1 ~ 4094、 先行ゼロは不可) • 「VLAN Name」 – VLAN の名前 (1 ~ 32 文字) • 「Status」 (ウ ェ ブ) – 指定 し た VLAN を有効または無効に し ます。 - 「Enabled」 を オ ン : VLAN を稼動 さ せます。 - 「Enabled」 を オ フ : VLAN を中断 し ます。 パケ ッ ト は渡 さ れません。 • 「State」 (CLI) – 指定 し た VLAN を有効ま たは無効に し ます。 - 「Active」 : VLAN を稼動 さ せます。 - 「Suspend」 : VLAN を中断 し ます。 パケ ッ ト は渡 さ れません。 • 「Add」 – 新規 VLAN グループ を現在の リ ス ト に追加 し ます。 • 「Remove」 – 現在の リ ス ト から VLAN グループ を削除 し ます。このグループに タ グな し と し て割 り 当て られているポー ト は、 VLAN グループ 1 に タ グな し と し て再割 り 当て さ れます。 3-125 3 ス イ ッ チの構成 ウ ェ ブ – 「VLAN」、 「802.1Q VLAN」、 「Static List」 の順に ク リ ッ ク し ます。 新規 VLAN を構 築するには、 VLAN ID と VLAN 名を入力 し 、 「Enable」 チ ェ ッ ク ボ ッ ク ス を オ ンに し て VLAN を有効に し 、 「Add」 を ク リ ッ ク し ます。 図 3-73. VLAN ス タ テ ィ ッ ク リ ス ト の構成 CLI – こ の例では、 新規 VLAN を構築 し ています。 Console(config)#vlan database Console(config-vlan)#vlan 2 name R&D media Console(config-vlan)#end Console#show vlan Vlan ID: 1 Type: Static Name: DefaultVlan Status: Active Ports/Port channel: Eth1/ 1(S) Eth1/ 2(S) Eth1/ 6(S) Eth1/ 7(S) Eth1/11(S) Eth1/12(S) Eth1/16(S) Eth1/17(S) Eth1/21(S) Eth1/22(S) Eth1/26(S) Eth1/27(S) Eth1/31(S) Eth1/32(S) Eth1/36(S) Eth1/37(S) Eth1/41(S) Eth1/42(S) Eth1/46(S) Eth1/47(S) Eth1/51(S) Eth1/52(S) Vlan ID: Type: Name: Status: Ports/Port Channel: ethernet state active 4-165 4-165 4-172 Eth1/ 3(S) Eth1/ 8(S) Eth1/13(S) Eth1/18(S) Eth1/23(S) Eth1/28(S) Eth1/33(S) Eth1/38(S) Eth1/43(S) Eth1/48(S) Eth1/ 4(S) Eth1/ 9(S) Eth1/14(S) Eth1/19(S) Eth1/24(S) Eth1/29(S) Eth1/34(S) Eth1/39(S) Eth1/44(S) Eth1/49(S) Eth1/ 5(S) Eth1/10(S) Eth1/15(S) Eth1/20(S) Eth1/25(S) Eth1/30(S) Eth1/35(S) Eth1/40(S) Eth1/45(S) Eth1/50(S) 2 Static R&D Active Console# VLAN へのス タ テ ィ ッ ク メ ンバーの追加 (VLAN イ ンデ ッ ク ス) 選択 し た VLAN イ ンデ ッ ク スのポー ト メ ンバーを構成するには、 「VLAN Static Table」 を使 用 し ます。 ポー ト が 802.1Q VLAN 準拠デバイ スに接続 さ れている場合は タ グ付き と し て、 ま た VLAN 対応デバイ スに接続 さ れていない場合は タ グな し と し てポー ト を割 り 当て ます。 ま たは、 ス イ ッ チが GVRP プ ロ ト コ ルに よ っ てポー ト を VLAN に自動的に追加 し ないよ う にす るには、 ポー ト を禁止 と し て構成 し ます。 注 : 1. 「VLAN Static Membership by Port」 ページ で も、 ポー ト イ ンデ ッ ク スに基づいて VLAN グ ループ を構成で き ます (3-128 ページ)。 ただ し 、 この構成ページ では、 ポー ト を タ グ付き メ ンバー と し てのみ VLAN に追加で き ます。 3-126 VLAN の構成 3 2. VLAN 1 はデ フ ォル ト の タ グな し VLAN で、 ス イ ッ チ上のすべてのポー ト が含まれます。 こ の VLAN を変更する には、 まず 3-129 ページの 「イ ン タ ー フ ェ ースの VLAN 動作の構 成」 の手順に従っ てデ フ ォル ト ポー ト の VLAN ID を再割当てする必要があ り ます。 コ マ ン ド 属性 • 「VLAN」 – 構成済み VLAN の ID (1 ~ 4094) • 「Name」 – VLAN の名前 (1 ~ 32 文字) • 「Status」 – 指定 し た VLAN を有効ま たは無効に し ます。 - 「Enable」 を オ ン : VLAN を稼動 さ せます。 - 「Enable」 を オ フ : VLAN を中断 し ます。 パケ ッ ト は渡 さ れません。 • 「Port」 – ポー ト 識別子 • 「Membership Type」 – ポー ト ま たは ト ラ ン ク の該当する ラ ジオ ボ タ ン を オ ンに し て、 各 イ ン タ ー フ ェ ースの VLAN メ ンバーシ ッ プ を選択 し ます。 - 「Tagged」 : イ ン タ ー フ ェ ースは VLAN の メ ンバーです。 こ のポー ト か ら送信 さ れるパ ケ ッ ト はすべて タ グ付き です。すなわち、パケ ッ ト には タ グが含まれ、VLAN または CoS 情報が伝送 さ れます。 - 「Untagged」 : イ ン タ ー フ ェ ースは VLAN の メ ンバーです。 こ のポー ト から送信 さ れる パケ ッ ト はすべて タ グな し です。 すなわち、 パケ ッ ト には タ グが含まれず、 VLAN ま た は CoS 情報は伝送 さ れません。 イ ン タ ー フ ェ ースに割 り 当て る こ と ので き る タ グな し VLAN は 1 つのみで、 ポー ト VID と 同 じ であ る必要があ り ます。 PVID の構成について は、 3-129 ページの 「イ ン タ ー フ ェ ースの VLAN 動作の構成」 を参照 し て く だ さ い。 - 「Forbidden」 : イ ン タ ー フ ェ ースは、GVRP によ る VLAN への自動参加が禁止 さ れます。 詳細については、 3-121 ページ の 「自動 VLAN 登録」 を参照 し て く だ さ い。 - 「None」 : イ ン タ ー フ ェ ースは VLAN の メ ンバーではあ り ません。 こ の VLAN に関連付 け られたパケ ッ ト は こ のイ ン タ ー フ ェ ース で送信 さ れません。 - 「Trunk Member」 – ポー ト が ト ラ ン ク の メ ンバーであるかど う かが示 さ れます。 選択 し た VLAN に ト ラ ン ク を追加する には、 「VLAN Static Table」 ページの最後のテーブルを 使用 し ます。 3-127 3 ス イ ッ チの構成 ウ ェ ブ – 「VLAN」、 「802.1Q VLAN」、 「Static Table」 の順に ク リ ッ ク し ます。 ス ク ロールダ ウン リ ス ト から VLAN ID を選択 し ます。 必要に応 じ て VLAN 名 と ス テー タ ス を変更 し ます。 ポー ト または ト ラ ン クの リ ス ト で該当する ラ ジオ ボ タ ン を オ ンに し て、 メ ンバーシ ッ プ タ イ プ を選択 し ます。 「Apply」 を ク リ ッ ク し ます。 図 3-74. VLAN ス タ テ ィ ッ ク テーブルの構成 CLI – 次の例では、 VLAN 2 に タ グ付き および タ グな し ポー ト を追加 し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#switchport allowed vlan add 2 tagged Console(config-if)#exit Console(config)#interface ethernet 1/2 Console(config-if)#switchport allowed vlan add 2 untagged Console(config-if)#exit Console(config)#interface ethernet 1/13 Console(config-if)#switchport allowed vlan add 2 tagged 4-115 4-170 VLAN へのス タ テ ィ ッ ク メ ンバーの追加 (ポー ト イ ンデ ッ ク ス) 選択 し た イ ン タ ー フ ェ ー ス に VLAN グルー プ を タ グ付 き メ ン バー と し て 割 り 当て る には、 「VLAN Static Membership by Port」 メ ニ ュ ーを使用 し ます。 コ マ ン ド 属性 • 「Interface」 – ポー ト または ト ラ ン クの識別子 • 「Member」 – 選択 し た イ ン タ ー フ ェ ース を タ グ付き メ ンバー と し て割 り 当て る VLAN • 「Non-Member」 – 選択 し た イ ン タ ー フ ェ ース を タ グ付き メ ンバー と し て割 り 当てない VLAN 3-128 VLAN の構成 3 ウ ェ ブ – 「VLAN」 、 「802.1Q VLAN」 、 「Static Membership by Port」 の順に開き ます。 ス ク ロールダウ ン ボ ッ ク ス (「Port」 または 「Trunk」) から イ ン タ ー フ ェ ース を選択 し ます。 イ ン タ ー フ ェ ースの メ ンバーシ ッ プ情報を表示する には、 「Query」 を ク リ ッ ク し ます。 VLAN ID を選択 し 、 「Add」 を ク リ ッ ク し て イ ン タ ー フ ェ ース を タ グ付き メ ンバー と し て追加す るか、 「Remove」 を ク リ ッ ク し て イ ン タ ー フ ェ ース を削除 し ます。 各イ ン タ ー フ ェ ースの VLAN メ ンバーシ ッ プ を構成 し た ら、 「Apply」 を ク リ ッ ク し ます。 図 3-75. ポー ト 別 VLAN ス タ テ ィ ッ ク メ ンバーシ ッ プ CLI – こ の例では、 ポー ト 3 を タ グ付き ポー ト と し て VLAN 1 に追加 し 、 VLAN 2 か ら ポー ト 3 を削除 し ています。 Console(config)#interface ethernet 1/3 Console(config-if)#switchport allowed vlan add 1 tagged Console(config-if)#switchport allowed vlan remove 2 4-115 4-170 イ ン タ ー フ ェ ースの VLAN 動作の構成 特定イ ン タ ー フ ェ ースについて、 デ フ ォ ル ト の VLAN 識別子 (PVID)、 受理する フ レーム タ イ プ、 イ ング レ ス フ ィ ル タ リ ング、 GVRP ス テー タ ス、 GARP タ イ マーな どの VLAN 動作を 構成で き ます。 コ マ ン ド の使用 • GVRP – GARP VLAN 登録プ ロ ト コ ルでは、 VLAN メ ンバーを ネ ッ ト ワー ク上のイ ン タ ー フ ェ ースに自動登録する ための、ス イ ッ チによ る VLAN 情報の交換方法が定義 さ れています。 • GARP – グループ ア ド レ ス登録プ ロ ト コルは、 ブ リ ッ ジ LAN 内で ク ラ イ ア ン ト サービ ス のク ラ イ ア ン ト 属性を登録 し た り 登録解除する ために GVRP で使用 さ れます。 GARP タ イ マーのデ フ ォ ル ト 値は、メ デ ィ ア ア ク セス方法やデー タ レ ー ト の影響は受けません。GVRP によ る登録 / 登録解除において問題が発生 し た場合を除き、 こ れら の値を変更 し ないで く だ さ い。 3-129 3 ス イ ッ チの構成 コ マ ン ド 属性 • 「PVID」 – イ ン タ ーフ ェ ースで受信 し た タ グな し フ レームに割 り 当て る VLAN ID (デ フ ォル ト : 1) - イ ン タ ー フ ェ ースが VLAN 1 の メ ンバーではない場合に こ の VLAN に VLAN 1 の PVID を割 り 当て る と 、 イ ン タ ー フ ェ ースは タ グな し メ ンバー と し て自動的に VLAN 1 に追加 さ れます。 その他すべての VLAN については、 最初に PVID を定義する必要があ り ます。 その後、 VLAN のス テー タ ス を タ グ付き ま たは タ グな し メ ンバー と し て構成で き ます。 • 「Acceptable Frame Type」 – タ グ付き または タ グな し を問わずすべての フ レーム タ イ プ、 ま たは タ グ付き フ レ ームのみを受信する よ う イ ン タ ー フ ェ ース を設定 し ます。 すべての フ レ ーム タ イ プ を 受信す る よ う 設定す る と 、 受信 し た タ グ な し フ レ ームはデ フ ォ ル ト の VLAN に割 り 当て られます (オプ シ ョ ン : 「All」、 「Tagged」、 デ フ ォル ト : 「All」)。 • 「Ingress Filtering」 – イ ング レ ス ポー ト が メ ンバーでない VLAN の タ グが付け られた フ レームの処理方法を決定 し ます。 イ ン グ レ ス フ ィ ル タ リ ン グは常に有効にな り ます (デ フ ォル ト : オ ン)。 - イ ング レ ス フ ィ ル タ リ ン グは タ グ付き フ レームにのみ影響 し ます。 - ポー ト が メ ンバーでない VLAN の タ グが付け られた フ レームを受信 し た場合、 こ れら の フ レームは破棄 さ れます。 - イ ング レ ス フ ィ ル タ リ ングは、 GVRP や STP な ど VLAN の影響を受けない BPDU フ レームには影響 し ません。 ただ し 、 GMRP な ど VLAN に依存する BPDU フ レームには 影響 し ます。 • 「Mode」 – イ ン タ ー フ ェ ースの VLAN メ ンバーシ ッ プ モー ド を指定 し ます (デ フ ォル ト : 「Hybrid」)。 - 「1Q Trunk」 – ポー ト を VLAN ト ラ ン クのエ ン ド ポ イ ン ト と し て指定 し ます。 ト ラ ン ク は 2 つのス イ ッ チ間の直接 リ ン ク であ る ため、 ポー ト は送信元 VLAN を特定する タ グ付 き フ レ ームを送信 し ます。 ポー ト のデ フ ォ ル ト VLAN (すなわち、 その PVID が関連付 け られている) に属する フ レーム も タ グ付き フ レーム と し て送信 さ れます。 - 「Hybrid」 – ハイ ブ リ ッ ド VLAN イ ン タ ー フ ェ ース を指定 し ます。ポー ト は タ グ付き また は タ グな し フ レームを送信 し ます。 • 「Trunk Member」 – ポー ト が ト ラ ン クの メ ンバーであ るかど う かが示 さ れます。 選択 し た VLAN に ト ラ ン ク を追加するには、 「VLAN Static Table」 ページの最後のテーブルを使用 し ます。 3-130 VLAN の構成 3 ウ ェ ブ – 「VLAN」、 「802.1Q VLAN」、 「Port Configuration」 ま たは 「Trunk Configuration」 の 順に ク リ ッ ク し ます。 各 イ ン タ ー フ ェ ースについて必要な設定を指定 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-76. ポー ト ご と の VLAN の構成 CLI – この例では、 タ グ付き フ レームのみを受理する よ う ポー ト 3 を設定 し、PVID 3 をネ イ テ ィ ブ VLAN ID と し て割 り 当て て、 ス イ ッ チ ポー ト モー ド をハイ ブ リ ッ ド に設定 し ています。 Console(config)#interface ethernet 1/3 Console(config-if)#switchport acceptable-frame-types tagged Console(config-if)#switchport ingress-filtering Console(config-if)#switchport native vlan 3 Console(config-if)#switchport mode hybrid Console(config-if)# 4-115 4-168 4-169 4-170 4-168 プ ラ イ ベー ト VLAN プ ラ イ ベー ト VLAN では、 割 り 当て ら れた VLAN 内のポー ト 間で ポー ト ベースのセキ ュ リ テ ィ および隔離が実現 さ れます。 こ のス イ ッ チでは、 プ ラ イ マ リ / セ カ ン ダ リ 関連グループ と ス タ ン ド ア ローン隔離 VLAN の 2 つの タ イ プのプ ラ イ ベー ト VLAN がサポー ト さ れます。 プ ラ イ マ リ VLAN には、 プ ラ イ ベー ト VLAN グループ内のその他すべてのポー ト と 通信可能な 無差別ポー ト が含まれ、 セ カ ン ダ リ (ま たは コ ミ ュ ニ テ ィ ) VLAN は、 セ カ ン ダ リ VLAN 内 のほかのホス ト お よび関連付け られた プ ラ イ マ リ VLAN 内の無差別ポー ト と のみ通信可能な コ ミ ュ ニ テ ィ ポー ト で構成 さ れます。 一方、 隔離 VLAN は、 1 つの無差別ポー ト と 1 つ以上 の隔離 (ま たはホ ス ト ) ポー ト が含まれる単一のス タ ン ド ア ロ ー ン VLAN で構成 さ れま す。 どの場合 も、 無差別ポー ト はイ ン タ ーネ ッ ト な ど外部ネ ッ ト ワー ク へのオープ ン な ア ク セ ス を提供する よ う 設計 さ れてお り 、 コ ミ ュ ニ テ ィ ま たは隔離ポー ト ではロー カル ユーザーに制 限付き ア ク セスが提供 さ れます。 こ のス イ ッ チには複数のプ ラ イ マ リ VLAN を構成で き ます。 また、 各プ ラ イ マ リ VLAN に複 数の コ ミ ュ ニ テ ィ VLAN を関連付ける こ と がで き ます。 1 つ以上の隔離 VLAN を構成する こ と も可能です (プ ラ イ ベー ト VLAN と 通常の VLAN を同一ス イ ッ チ内に共存 さ せる こ と も 可 能)。 3-131 3 ス イ ッ チの構成 プ ラ イ マ リ / セ カ ン ダ リ 関連グループ を構成する には、 次の手順に従います。 1. 「Private VLAN Configuration」 メ ニ ュ ー (3-133 ページ) を使用 し て、 1 つ以上の コ ミ ュ ニ テ ィ VLAN と 、 VLAN グループ外に ト ラ フ ィ ッ ク を送信する プ ラ イ マ リ VLAN を指定 し ます。 2. 「Private VLAN Association」 メ ニ ュ ー (3-134 ページ) を使用 し て、 セ カ ン ダ リ ( コ ミ ュ ニ テ ィ ) VLAN を プ ラ イ マ リ VLAN にマ ッ ピ ング し ます。 3. 「Private VLAN Port Configuration」 メ ニ ュ ー (3-136 ページ) を使用 し て、 ポー ト タ イ プ を無差別 (プ ラ イ マ リ VLAN 内のすべてのポー ト にア ク セス可能) ま たはホス ト ( コ ミ ュ ニ テ ィ VLAN メ ンバーへの制限付き ア ク セ スが可能で、 無差別ポー ト を通 し てその 他すべての ト ラ フ ィ ッ ク を送信) に設定 し ます。次に、無差別ポー ト を プ ラ イ マ リ VLAN に、 ホス ト ポー ト を コ ミ ュ ニ テ ィ VLAN に割 り 当て ます。 隔離 VLAN を構成するには、 次の手順に従います。 1. 「Private VLAN Configuration」 メ ニ ュ ー (3-133 ページ) を使用 し て、 単一の無差別ポー ト を通 し てすべての ト ラ フ ィ ッ ク を送信する隔離 VLAN を指定 し ます。 2. 「Private VLAN Port Configuration」 メ ニ ュ ー (3-136 ページ) を使用 し て、 ポー ト タ イ プ を無差別 (外部ネ ッ ト ワー ク への単一チ ャ ネル) ま たは隔離 (同 じ VLAN 内の無差別 ポー ト にのみア ク セ ス可能) に設定 し ます。 次に、 無差別ポー ト およびすべてのホス ト ポー ト を隔離 VLAN に割 り 当て ます。 現在のプ ラ イ ベー ト VLAN の表示 「Private VLAN Information」 ページ には、 ス イ ッ チに構成 さ れてい る プ ラ イ ベー ト VLAN に 関する プ ラ イ マ リ 、 コ ミ ュ ニ テ ィ 、 および隔離 VLAN や、割 り 当て られている イ ン タ ー フ ェ ー ス な どの情報が表示 さ れます。 コ マ ン ド 属性 • 「VLAN ID」 – 構成済み VLAN の ID (1 ~ 4094) および VLAN タ イ プ • 「Primary VLAN」 – 選択 し た VLAN ID が関連付け られている VLAN。 プ ラ イ マ リ VLAN の 場合はその ID が、 コ ミ ュ ニテ ィ VLAN の場合は関連付け ら れている プ ラ イ マ リ VLAN が、 また隔離 VLAN の場合はス タ ン ド ア ローン VLAN が表示 さ れます。 • 「Ports List」 – 選択 し た プ ラ イ ベー ト VLAN 内のポー ト の リ ス ト (および割 り 当て られた ポー ト タ イ プ) 3-132 VLAN の構成 3 ウ ェ ブ – 「VLAN」、 「Private VLAN」、 「Information」 の順に ク リ ッ ク し ます。 「VLAN ID」 ド ロ ッ プ ダウ ン メ ニ ュ ーか ら目的のポー ト を選択 し ます。 図 3-77. プ ラ イ ベー ト VLAN 情報 CLI – こ の例には、プ ラ イ マ リ VLAN 5 およびセ カ ン ダ リ VLAN 6 で構成 さ れる ス イ ッ チが示 さ れています。 ポー ト 3 は無差別ポー ト と し て構成 さ れ、 VLAN 5 にマ ッ ピ ン グ さ れていま す。 また、 ポー ト 4 および 5 はホス ト ポー ト と し て構成 さ れ、 VLAN 6 に関連付け られてい ます。 すなわち、 ポー ト 4 および 5 の ト ラ フ ィ ッ クはポー ト 3 のみを通過で き ます。 Console#show vlan private-vlan Primary Secondary Type -------- ----------- ---------5 primary 5 6 community 4-178 Interfaces -------------------------------------Eth1/ 3 Eth1/ 4 Eth1/ 5 プ ラ イ ベー ト VLAN の構成 プ ラ イ マ リ 、 コ ミ ュ ニ テ ィ 、 ま たは隔離 VLAN を構築 / 削除するには、 「Private VLAN Configuration」 ページ を使用 し ます。 コ マ ン ド 属性 • 「VLAN ID」 – 構成済み VLAN の ID (2 ~ 4094) • 「Type」 – プ ラ イ ベー ト VLAN には次の 3 つの タ イ プがあ り ます。 - プ ラ イ マ リ VLAN – 無差別ポー ト 間およびセ カ ン ダ リ (ま たは コ ミ ュ ニ テ ィ ) VLAN 内 の コ ミ ュ ニ テ ィ ポー ト へ ト ラ フ ィ ッ ク を伝送 し ます。 - コ ミ ュ ニ テ ィ VLAN - コ ミ ュ ニ テ ィ ポー ト 間および関連付け られた プ ラ イ マ リ VLAN 内 の無差別ポー ト へ ト ラ フ ィ ッ ク を伝送 し ます。 • 「Current」 – 現在構成 さ れている VLAN の リ ス ト が表示 さ れます。 3-133 3 ス イ ッ チの構成 ウ ェ ブ – 「VLAN」、 「Private VLAN」、 「Configuration」 の順に ク リ ッ ク し ます。 VLAN ID 番号 を入力 し 、 タ イ プ と し て 「Primary」、 「Isolated」、 ま たは 「Community」 を選択 し て、 「Add」 を ク リ ッ ク し ます。ス イ ッ チか ら プ ラ イ ベー ト VLAN を削除するには、「Current」 リ ス ト ボ ッ ク ス で該当する エ ン ト リ を強調表示 し 、 「Remove」 を ク リ ッ ク し ます。 VLAN を削除する前 に、 その VLAN か ら メ ンバー ポー ト をすべて削除する必要があ り ます。 図 3-78. プ ラ イ ベー ト VLAN の構成 CLI – こ の例では、 VLAN 5 を プ ラ イ マ リ VLAN と し て、 また VLAN 6 を コ ミ ュ ニ テ ィ VLAN と し て構成 し ています。 Console(config)#vlan database Console(config-vlan)#private-vlan 5 primary Console(config-vlan)#private-vlan 6 community Console(config-vlan)# 4-165 4-174 VLAN の関連付け 各 コ ミ ュ ニ テ ィ VLAN はプ ラ イ マ リ VLAN に関連付ける必要があ り ます。 コ マ ン ド 属性 • 「Primary VLAN ID」 – プ ラ イ マ リ VLAN の ID (1 ~ 4094) • 「Association」 – 選択 し た プ ラ イ マ リ VLAN に関連付ける コ ミ ュ ニ テ ィ VLAN • 「Non-Association」 – 選択 し た VLAN に関連付けない コ ミ ュ ニ テ ィ VLAN ウ ェ ブ – 「VLAN」、 「Private VLAN」、 「Association」 の順に ク リ ッ ク し ます。 ス ク ロールダウ ン ボ ッ ク スから必要な プ ラ イ マ リ VLAN を選択 し 、 「Non-Association」 リ ス ト ボ ッ ク スで コ ミ ュ ニ テ ィ VLAN を 1 つ以上強調表示 し て 「Add」 を ク リ ッ ク し 、 選択 し た プ ラ イ マ リ VLAN に これ らのエ ン ト リ を関連付けます ( コ ミ ュ ニ テ ィ VLAN は 1 つのプ ラ イ マ リ VLAN にのみ 関連付け可能)。 図 3-79. プ ラ イ ベー ト VLAN の関連付け 3-134 VLAN の構成 3 CLI – この例では、 コ ミ ュ ニテ ィ VLAN 6 および 7 を プ ラ イ マ リ VLAN 5 に関連付けています。 Console(config)#vlan database Console(config-vlan)#private-vlan 5 association 6 Console(config-vlan)#private-vlan 5 association 7 Console(config)# 4-165 4-175 4-175 プ ラ イ ベー ト VLAN イ ン タ ー フ ェ ース情報の表示 プ ラ イ ベー ト VLAN に関連付け られた イ ン タ ー フ ェ ース を表示するには、「Private VLAN Port Information」 および 「Private VLAN Trunk Information」 メ ニ ュ ーを使用 し ます。 コ マ ン ド 属性 • 「Port/Trunk」 – ス イ ッ チ イ ン タ ー フ ェ ース • 「PVLAN Port Type」 – プ ラ イ ベー ト VLAN のポー ト タ イ プが表示 さ れます。 - 「Normal」 – こ のポー ト はプ ラ イ ベー ト VLAN に構成 さ れていません。 - 「Host」 – こ のポー ト は コ ミ ュ ニ テ ィ ポー ト であ り 、 同 じ コ ミ ュ ニテ ィ VLAN 内のほか のポー ト お よび指定 さ れた無差別ポー ト と のみ通信で き ます。 ま たは、 こ のポー ト は隔 離ポー ト であ り 、 同 じ 隔離 VLAN 内の単一の無差別ポー ト と のみ通信で き ます。 - 「Promiscuous」 – 無差別ポー ト はプ ラ イ ベー ト VLAN 内のすべてのイ ン タ ー フ ェ ース と 通信で き ます。 • 「Primary VLAN」 – 無差別ポー ト 間および無差別ポー ト と 関連付け ら れたセ カ ン ダ リ VLAN 内の コ ミ ュ ニ テ ィ ポー ト 間で ト ラ フ ィ ッ ク を伝送 し ます。 • 「Community VLAN」 – コ ミ ュ ニ テ ィ VLAN は、コ ミ ュ ニ テ ィ ポー ト 間および コ ミ ュ ニ テ ィ ポー ト から指定の無差別ポー ト へ ト ラ フ ィ ッ ク を伝送 し ます。 • 「Trunk」 – ト ラ ン ク識別子 (「Port Information」 のみ) ウ ェ ブ – 「VLAN」、 「Private VLAN」、 「Port Information」 または 「Trunk Information」 の順に ク リ ッ ク し ます。 図 3-80. プ ラ イ ベー ト VLAN ポー ト 情報 3-135 3 ス イ ッ チの構成 CLI – こ の例には、プ ラ イ マ リ VLAN 5 および コ ミ ュ ニ テ ィ VLAN 6 で構成 さ れる ス イ ッ チが 示 さ れています。 ポー ト 3 は無差別ポー ト と し て構成 さ れ、 VLAN 5 にマ ッ ピ ング さ れていま す。 また、 ポー ト 4 および 5 はホス ト ポー ト と し て構成 さ れ、 VLAN 6 に関連付け られてい ます。 すなわち、 ポー ト 4 および 5 の ト ラ フ ィ ッ クはポー ト 3 のみを通過で き ます。 Console#show vlan private-vlan Primary Secondary Type -------- ----------- ---------5 primary 5 6 community Console# 4-178 Interfaces -----------------------------Eth1/ 3 Eth1/ 4 Eth1/ 5 プ ラ イ ベー ト VLAN イ ン タ ー フ ェ ースの構成 プ ラ イ ベー ト VLAN イ ン タ ー フ ェ ース タ イ プ を設定 し た り 、 イ ン タ ー フ ェ ース を プ ラ イ ベー ト VLAN に割 り 当て るには、 「Private VLAN Port Configuration」 および 「Private VLAN Trunk Configuration」 メ ニ ュ ーを使用 し ます。 コ マ ン ド 属性 • 「Port/Trunk」 – ス イ ッ チ イ ン タ ー フ ェ ース • 「PVLAN Port Type」 – プ ラ イ ベー ト VLAN のポー ト タ イ プ を設定 し ます。 - 「Normal」 – ポー ト はプ ラ イ ベー ト VLAN に割 り 当て られません。 - 「Host」 – ポー ト は コ ミ ュ ニ テ ィ ポー ト ま たは隔離ポー ト です。 コ ミ ュ ニ テ ィ ポー ト は 同 じ コ ミ ュ ニテ ィ VLAN 内のほかのポー ト および指定 さ れた無差別ポー ト と のみ通信で き ます。 隔離ポー ト は隔離 VLAN 内の指定 さ れた単一の無差別ポー ト と のみ通信で き、 ほかのホス ト ポー ト と 通信する こ と はで き ません。 - 「Promiscuous」 – 無差別ポー ト はプ ラ イ ベー ト VLAN 内のすべてのイ ン タ ー フ ェ ース と 通信で き ます。 • 「Primary VLAN」 – 無差別ポー ト 間および無差別ポー ト と 関連付け られたセ カ ン ダ リ VLAN 内 の コ ミ ュ ニ テ ィ ポ ー ト 間 で ト ラ フ ィ ッ ク を 伝 送 し ま す。 PVLAN タ イ プ が 「Promiscuous」 の場合、 関連付ける プ ラ イ マ リ VLAN を指定 し ます。 • 「Community VLAN」 – コ ミ ュ ニ テ ィ VLAN は、コ ミ ュ ニ テ ィ ポー ト 間および コ ミ ュ ニ テ ィ ポ ー ト か ら 指定の無差別ポ ー ト へ ト ラ フ ィ ッ ク を 伝送 し ま す。 「PVLAN Port Type」 を 「Host」 に設定 し 、 関連付ける コ ミ ュ ニ テ ィ VLAN を指定 し ます。 3-136 VLAN の構成 3 ウ ェ ブ – 「VLAN」、 「Private VLAN」、 「Port Configuration」 または 「Trunk Configuration」 の 順に ク リ ッ ク し ます。 プ ラ イ ベー ト VLAN に参加 さ せる各ポー ト の 「PVLAN Port Type」 を 設定 し ま す。 無差別ポー ト を プ ラ イ マ リ VLAN に割 り 当て ま す。 ホ ス ト ポー ト を コ ミ ュ ニ テ ィ VLAN に割 り 当て ます。 ポー ト をすべて構成 し た ら、 「Apply」 を ク リ ッ ク し ます。 図 3-81. プ ラ イ ベー ト VLAN ポー ト の構成 CLI – こ の例には、プ ラ イ マ リ VLAN 5 およびセ カ ン ダ リ VLAN 6 で構成 さ れる ス イ ッ チが示 さ れています。 ポー ト 3 は無差別ポー ト と し て構成 さ れ、 VLAN 5 にマ ッ ピ ン グ さ れていま す。 また、 ポー ト 4 および 5 はホス ト ポー ト と し て構成 さ れ、 VLAN 6 に関連付け られてい ます。 すなわち、 ポー ト 4 および 5 の ト ラ フ ィ ッ クはポー ト 3 のみを通過で き ます。 Console(config)#interface ethernet 1/3 Console(config-if)#switchport mode private-vlan promiscuous Console(config-if)#switchport private-vlan mapping 5 Console(config-if)#exit Console(config)#interface ethernet 1/4 Console(config-if)#switchport mode private-vlan host Console(config-if)#switchport private-vlan host-association 6 Console(config-if)#exit Console(config)#interface ethernet 1/5 Console(config-if)#switchport mode private-vlan host Console(config-if)#switchport private-vlan host-association 6 Console(config-if)# 4-176 4-178 4-176 4-177 プ ロ ト コ ル VLAN 複数のプ ロ ト コ ルをサポー ト し 、 ト ラ フ ィ ッ クが複数の VLAN を通過で き る よ う VLAN の動 作を構成で き ます。 ポー ト でパケ ッ ト が受信 さ れる と 、 パケ ッ ト のプ ロ ト コ ル タ イ プに よ っ て VLAN メ ンバーシ ッ プが判断 さ れます。 プ ロ ト コ ル VLAN グループの構成 コ マ ン ド 属性 • 「Protocol Group ID」 – プ ロ ト コル VLAN グループに割 り 当て る プ ロ ト コ ル グループ ID (範囲 : 1 ~ 2147483647) 3-137 3 ス イ ッ チの構成 • 「Frame Type」 – こ のプ ロ ト コルが使用する フ レーム タ イ プ を 「Ethernet」、 「RFC 1042」、 または 「LLC Other」 か ら選択 し ます。 • 「Protocol Type」 – フ レーム タ イ プが 「LLC Other」 の場合に選択で き る オプ シ ョ ンは 「IPX Raw」 のみです。 その他すべての フ レーム タ イ プ では、 「IP」 、 「ARP」 、 または 「RARP」 を選択で き ます。 ウ ェ ブ – 「VLAN」、 「Protocol VLAN」、 「Configuration」 の順に ク リ ッ ク し ます。 図 3-82. プ ロ ト コル VLAN の構成 プ ロ ト コ ル VLAN イ ン タ ー フ ェ ースの構成 各ポー ト の プ ロ ト コ ル VLAN 設定 を 構成す る には、 「Protocol VLAN Port Configuration」 メ ニ ュ ーを使用 し ます。 コ マ ン ド 属性 • 「Interface」 – ポー ト または ト ラ ン クの識別子 • 「Protocol Group ID」 – プ ロ ト コル VLAN グループに割 り 当て る プ ロ ト コ ル グループ ID (範囲 : 1 ~ 2147483647) • 「VLAN ID」 – 合致 し た プ ロ ト コ ル ト ラ フ ィ ッ ク を転送する VLAN (範囲 : 1 ~ 4094) ウ ェ ブ – 「VLAN」、 「Protocol VLAN」、 「Port Configuration」 の順に ク リ ッ ク し ます。 図 3-83. ポー ト のプ ロ ト コル VLAN の構成 3-138 サービ ス ク ラ スの構成 3 サービ ス ク ラ スの構成 サービ ス ク ラ ス (CoS) に よ り 、 輻輳時に ト ラ フ ィ ッ ク を ス イ ッ チにバ ッ フ ァ リ ン グする際 のデー タ パケ ッ ト の優先度を指定で き ます。 このス イ ッ チでは、 各ポー ト で 4 つのプ ラ イ オ リ テ ィ キ ュ ーに よ る CoS がサポー ト さ れます。 ポー ト の高プ ラ イ オ リ テ ィ キ ュ ー内のデー タ パケ ッ ト は、 低 プ ラ イ オ リ テ ィ キ ュ ーのパケ ッ ト よ り 先に送信 さ れ ま す。 各 イ ン タ ー フ ェ ースにデ フ ォル ト プ ラ イ オ リ テ ィ を設定 し 、フ レーム プ ラ イ オ リ テ ィ タ グ と ス イ ッ チの プ ラ イ オ リ テ ィ キ ュ ーのマ ッ ピ ング を構成する こ と がで き ます。 レ イ ヤー 2 キ ュ ーの設定 イ ン タ ー フ ェ ースのデ フ ォル ト プ ラ イ オ リ テ ィ の設定 ス イ ッ チ上の各イ ン タ ー フ ェ ースにデ フ ォル ト のポー ト プ ラ イ オ リ テ ィ を指定で き ます。 こ のス イ ッ チに着信するすべての タ グな し パケ ッ ト には、 指定 し たデ フ ォ ル ト のポー ト プ ラ イ オ リ テ ィ が タ グ付け さ れ、 出力ポー ト で適切な プ ラ イ オ リ テ ィ キ ュ ーに振 り 分け られます。 コ マ ン ド の使用 • こ のス イ ッ チでは、 各ポー ト に 4 つのプ ラ イ オ リ テ ィ キ ュ ーが提供 さ れます。 キ ュ ー先頭 のパケ ッ ト に よ る ブ ロ ッ ク を防止する ために、 加重ラ ウン ド ロ ビ ン方式が使用 さ れます。 • デ フ ォ ル ト プ ラ イ オ リ テ ィ は、 すべてのフ レ ーム タ イ プ を受理 ( タ グな し および タ グ付き フ レ ームを両方受信) する よ う 設定 さ れたポー ト で受信 し た タ グな し フ レ ームに適用 さ れ ます。 こ のプ ラ イ オ リ テ ィ は IEEE 802.1Q VLAN タ グ付き フ レ ームには適用 さ れません。 着信フ レームが IEEE 802.1Q VLAN タ グ付き フ レームの場合は、 IEEE 802.1p ユーザー プ ラ イ オ リ テ ィ ビ ッ ト が使用 さ れます。 • 出力ポー ト が、 関連付け られた VLAN の タ グな し メ ンバーの場合、 これ らのフ レームの VLAN タ グは送信前にすべて除去 さ れます。 コ マ ン ド 属性 • 「Default Priority1」 – 指定 し た イ ン タ ー フ ェ ースで受信 し た タ グな し フ レームに割 り 当て る プ ラ イ オ リ テ ィ (範囲 : 0 ~ 7、 デ フ ォ ル ト : 0) • 「Number of Egress Traffic Classes」 – 各ポー ト に提供 さ れるキ ュ ー バ ッ フ ァ の数 1. CLI では、 こ の情報が 「Priority for untagged traffic」 と し て表示 さ れます。 3-139 3 ス イ ッ チの構成 ウ ェ ブ – 「Priority」、 「Default Port Priority」 または 「Default Trunk Priority」 の順に ク リ ッ ク し ます。イ ン タ ー フ ェ ースのデ フ ォ ル ト プ ラ イ オ リ テ ィ を変更 し 、「Apply」 を ク リ ッ ク し ます。 図 3-84. ポー ト プ ラ イ オ リ テ ィ の構成 CLI – こ の例では、 ポー ト 3 にデ フ ォル ト プ ラ イ オ リ テ ィ 5 を割 り 当て ています。 Console(config)#interface ethernet 1/3 Console(config-if)#switchport priority default 5 Console(config-if)#end Console#show interfaces switchport ethernet 1/3 Information of Eth 1/3 Broadcast threshold: Enabled, 500 packets/second LACP status: Disabled Ingress rate limit: enable, K bits per second: 25 VLAN membership mode: Hybrid Ingress rule: Enabled Acceptable frame type: All frames Native VLAN: 1 Priority for untagged traffic: 5 GVRP status: Disabled Allowed VLAN: 1(u), Forbidden VLAN: Private-VLAN mode: NONE Private-VLAN host-association: NONE Private-VLAN mapping: NONE Console# 4-115 4-184 4-123 イ グ レ ス キ ュ ーへの CoS 値のマ ッ ピ ング こ のス イ ッ チ では、 ス ト リ ク ト ま たは加重 ラ ウ ン ド ロ ビ ン (WRR) に基づ く サー ビ ス スケ ジ ュ ールに従い、 サービ ス ク ラ ス (CoS) プ ラ イ オ リ テ ィ タ グが付け られた ト ラ フ ィ ッ ク が 各ポー ト の 4 つのプ ラ イ オ リ テ ィ キ ュ ーに よ っ て処理 さ れます。 IEEE 802.1p では、 最大 8 個の ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ が定義 さ れています。 次の表に示すよ う に、 デ フ ォ ル ト の プ ラ イ オ リ テ ィ レ ベルは IEEE 802.1p 規格の勧告に従っ て割 り 当て ら れます。 表 3-11. イ グ レ ス キ ュ ーへの CoS 値のマ ッ ピ ング キュー プ ラ イオ リ テ ィ 3-140 0 1 2 3 1,2 0,3 4,5 6,7 サービ ス ク ラ スの構成 3 次の表に、 様々なネ ッ ト ワー ク ア プ リ ケーシ ョ ン を対象に IEEE 802.1p 規格で推奨 さ れてい る プ ラ イ オ リ テ ィ レ ベルを示 し ます。 実際には、 ご使用のネ ッ ト ワー ク における ア プ リ ケー シ ョ ン ト ラ フ ィ ッ ク に適 し た形で プ ラ イ オ リ テ ィ レ ベルを ス イ ッ チの出力キ ュ ーに マ ッ ピ ングする こ と がで き ます。 表 3-12. CoS プ ラ イ オ リ テ ィ レ ベル プ ラ イ オ リ テ ィ レ ベル ト ラ フ ィ ッ ク タ イプ 1 バ ッ ク グ ラ ウン ド 2 (予備) 0 (デ フ ォル ト ) ベス ト エ フ ォ ー ト 3 エ クセレン ト エ フ ォー ト 4 制御 さ れた負荷 5 ビデオ、 100 ミ リ 秒未満のレ イ テ ン シ と ジ ッ タ ー 6 ビデオ、 10 ミ リ 秒未満のレ イ テ ン シ と ジ ッ タ ー 7 ネ ッ ト ワー ク制御 コ マ ン ド 属性 • 「Priority」 – CoS 値 (範囲 : 0 ~ 7、 7 が最高プ ラ イ オ リ テ ィ ) • 「Traffic Class1」 – 出力キ ュ ー バ ッ フ ァ (範囲 : 0 ~ 3、 3 が最高 CoS プ ラ イ オ リ テ ィ キ ュ ー) ウ ェ ブ – 「Priority」 、 「Traffic Classes」 の順に ク リ ッ ク し ます。 出力キ ュ ーに対する現在の CoS 値のマ ッ ピ ングが表示 さ れます。 ト ラ フ ィ ッ ク ク ラ ス (出力キ ュ ー) にプ ラ イ オ リ テ ィ を割 り 当て、 「Apply」 を ク リ ッ ク し ます。 図 3-85. ト ラ フ ィ ッ ク ク ラ ス 1. CLI ではキ ュ ー ID が表示 さ れます。 3-141 3 ス イ ッ チの構成 CLI – こ の例には、 CoS の割当て を変更する方法が示 さ れています。 Console(config)#interface ethernet 1/1 Console(config-if)#queue cos-map 0 0 Console(config-if)#queue cos-map 1 1 Console(config-if)#queue cos-map 2 2 Console(config-if)#end Console#show queue cos-map ethernet 1/1 Information of Eth 1/1 CoS Value: 0 1 2 3 4 5 6 7 Priority Queue: 0 1 2 1 2 2 3 3 Console# * 4-115 4-186 4-188 CoS プ ラ イ オ リ テ ィ への特定値のマ ッ ピ ン グはイ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド で実行 さ れていますが、 変更内容はス イ ッ チ上のすべてのイ ン タ ー フ ェ ースに適用 さ れます。 CoS の有効化 サービ ス ク ラ ス (CoS) を有効ま たは無効に し ます。 コ マ ン ド 属性 • 「Traffic Classes」 – オ ン にする と 、サービ ス ク ラ スが有効にな り ます(デ フ ォ ル ト : オ ン)。 ウ ェ ブ – 「Priority」、 「Traffic Classes Status」 の順に ク リ ッ ク し ます。 図 3-86. ト ラ フ ィ ッ ク ク ラ スの有効化 キ ュ ー モー ド の選択 高プ ラ イ オ リ テ ィ キ ュ ー内のすべての ト ラ フ ィ ッ ク を低プ ラ イ オ リ テ ィ キ ュ ーの も のよ り 先に処理する ス ト リ ク ト ルールに従っ てキ ュ ーを処理するか、 各キ ュ ーの相対的重みを指定 す る 加重 ラ ウ ン ド ロ ビ ン (WRR) キ ュ ー イ ン グ を 使用す る よ う ス イ ッ チ を 設定で き ま す。 WRR では、 各キ ュ ーにあ ら か じ め定義 さ れた相対的重みに よ っ て、 ス イ ッ チが次のキ ュ ーに 移る前に各キ ュ ーを処理するサービ ス時間の割合 (%) が決定 さ れます。 こ れによ り 、 ス ト リ ク ト プ ラ イ オ リ テ ィ キ ュ ー イ ン グで発生す る可能性のあ る キ ュ ー先頭のパケ ッ ト に よ る ブ ロ ッ ク を防ぐ こ と がで き ます。 コ マ ン ド 属性 • 「WRR」 - 加重ラ ウ ン ド ロ ビ ン では、 キ ュ ー 0 ~ 3 に対 し てそれぞれ 1、 2、 4、 8 のスケ ジ ュ ー リ ン グの重みを 使用す る こ と に よ り 、 イ グ レ ス ポー ト の帯域幅 を共有 し ま す (デ フ ォル ト の選択肢)。 • 「Strict」 - イ グ レ ス キ ュ ーを順次処理 し 、高プ ラ イ オ リ テ ィ キ ュ ー内のすべての ト ラ フ ィ ッ ク を送信 し てから低プ ラ イ オ リ テ ィ キ ュ ーを処理 し ます。 3-142 サービ ス ク ラ スの構成 3 ウ ェ ブ – 「Priority」 、 「Queue Mode」 の順に ク リ ッ ク し ます。 「Strict」 または 「WRR」 を選 択 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-87. キ ュ ー モー ド CLI – こ の例では、キ ュ ー モー ド を ス ト リ ク ト プ ラ イ オ リ テ ィ サービ ス モー ド に設定 し てい ます。 Console(config)#queue mode wrr Console(config)#exit Console#show queue mode Queue mode: wrr Console# 4-183 4-187 ト ラ フ ィ ッ ク ク ラ スのサービ スの重みの設定 こ のス イ ッ チでは、 加重ラ ウ ン ド ロ ビ ン (WRR) アルゴ リ ズムに よ っ て、 各プ ラ イ オ リ テ ィ キ ュ ーを処理する頻度が決定 さ れます。 3-140 ページの 「イ グ レ ス キ ュ ーへの CoS 値のマ ッ ピ ング」 で説明 し た よ う に、 ト ラ フ ィ ッ ク ク ラ スは、 各ポー ト で提供 さ れる 8 つのイ グ レ ス キ ュ ーのいずれかにマ ッ ピ ン グ さ れます。 こ れ ら の各キ ュ ー ( こ れに よ り 、 さ ら に対応す る ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ )に重みを割 り 当て る こ と がで き ます。こ の重みによ り 各キ ュ ー がサービ スのためにポー リ ン グ さ れる頻度が設定 さ れ、 結果的に特定のプ ラ イ オ リ テ ィ 値が 割 り 当て られた ソ フ ト ウ ェ ア ア プ リ ケーシ ョ ンの応答時間に影響を与え ます。 注 : このス イ ッ チでは、 キ ュ ー サービ スの重みを設定する こ と はで き ません。 重みは、 キ ュ ー 1 ~ 3 に対 し てそれぞれ 1、 2、 4、 8 に固定 さ れています。 コ マ ン ド 属性 • 「Interface」 – ポー ト または ト ラ ン ク を イ ン タ ー フ ェ ース と し て選択 し ます。 • 「WRR Setting Table1」 – 各 ト ラ フ ィ ッ ク ク ラ ス(キ ュ ー)の重みの リ ス ト が表示 さ れます。 • 「Weight Value」 – 選択 し た ト ラ フ ィ ッ ク ク ラ スに新 し い重みを設定 し ます (範囲 : 1 ~ 15)。 1. CLI ではキ ュ ー ID が表示 さ れます。 3-143 3 ス イ ッ チの構成 ウ ェ ブ – 「Priority」、 「Queue Scheduling」 の順に ク リ ッ ク し ます。 必要な イ ン タ ー フ ェ ース を選択 し 、 ト ラ フ ィ ッ ク ク ラ ス (出力キ ュ ー) を強調表示 し ます。 次に、 重みを入力 し て、 「Apply」 を ク リ ッ ク し ます。 図 3-88. キ ュ ー スケジ ュ ー リ ングの構成 CLI – こ の例には、 各プ ラ イ オ リ テ ィ キ ュ ーに割 り 当て ら れてい る WRR 重みを表示する方 法が示 さ れています。 Console#show queue bandwidth Queue ID Weight -------- -----0 1 1 2 2 4 3 8 Console 4-187 レ イ ヤー 3/4 プ ラ イ オ リ テ ィ の設定 CoS 値へのレ イ ヤー 3/4 プ ラ イ オ リ テ ィ のマ ッ ピ ング こ のス イ ッ チ では、 ア プ リ ケーシ ョ ン要件に応 じ て レ イ ヤー 3/4 ト ラ フ ィ ッ ク のプ ラ イ オ リ テ ィ を設定する 1 つの方法がサポー ト さ れます。 ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ は、 TCP ポー ト 番号を使用 し て、 フ レームの IP ヘ ッ ダーに指定で き ます。 こ のサービ スが有効に さ れてい る場合、 ス イ ッ チに よ っ て こ れ ら のプ ラ イ オ リ テ ィ がサー ビ ス ク ラ ス値にマ ッ ピ ン グ さ れ、 対応する出力キ ュ ーに ト ラ フ ィ ッ クが送信 さ れます。 ト ラ フ ィ ッ ク には異な る プ ラ イ オ リ テ ィ 情報が含まれる場合があ る ため、 こ のス イ ッ チ では 次の方法で プ ラ イ オ リ テ ィ 値が出力キ ュ ーにマ ッ ピ ング さ れます。 • プ ラ イ オ リ テ ィ マ ッ ピ ン グの優先順位は、 IP DSCP プ ラ イ オ リ テ ィ 、 デ フ ォ ル ト のポー ト プ ラ イ オ リ テ ィ の順です。 IP DSCP プ ラ イ オ リ テ ィ の有効化 こ のス イ ッ チでは、 IP DSCP プ ラ イ オ リ テ ィ を有効または無効にで き ます。 コ マ ン ド 属性 • 「IP DSCP Priority Status」 – 次のオプ シ ョ ンから選択で き ます。 - 「Disabled」 – プ ラ イ オ リ テ ィ サービ ス を無効に し ます (デ フ ォル ト 設定 : 「Disabled」)。 - 「IP DSCP」 – 差別化サービ ス コ ー ド ポ イ ン ト マ ッ ピ ング を使用 し て レ イ ヤー 3/4 プ ラ イ オ リ テ ィ を マ ッ ピ ング し ます。 3-144 サービ ス ク ラ スの構成 3 ウ ェ ブ – 「Priority」 、 「IP DSCP Priority Status」 の順に ク リ ッ ク し ます。 ド ロ ッ プ ダウ ン メ ニ ュ ーから 「IP DSCP」 を選択 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-89. IP DSCP プ ラ イ オ リ テ ィ ス テー タ ス DSCP プ ラ イ オ リ テ ィ のマ ッ ピ ング DSCP は 6 ビ ッ ト 幅で、 最大 64 種類の転送動作を コ ーデ ィ ングで き ます。 DSCP は、 3 ビ ッ ト の優先度 ビ ッ ト と の下位互換性が維持 さ れて い る ため、 DSCP に準拠 し て い な い場合 も DSCP マ ッ ピ ング と 競合する こ と はあ り ません。ネ ッ ト ワー ク ポ リ シーに基づ き、ト ラ フ ィ ッ ク の種類に応 じ て マー ク を付け る こ と に よ り 、 異な る種類の転送を行 う こ と がで き ます。 次 の表に、DSCP のデ フ ォル ト 値を示 し ます。表に記載 さ れていない DSCP 値はすべて CoS 値 0 にマ ッ ピ ン グ さ れます。 表 3-13. DSCP プ ラ イ オ リ テ ィ 値のマ ッ ピ ン グ IP DSCP 値 CoS 値 0 0 8 1 10, 12, 14, 16 2 18, 20, 22, 24 3 26, 28, 30, 32, 34, 36 4 38, 40, 42 5 48 6 46, 56 7 コ マ ン ド 属性 • 「DSCP Priority Table」 – DSCP プ ラ イ オ リ テ ィ と CoS のマ ッ ピ ングが表示 さ れます。 • 「Class of Service Value」 – 選択 し た DSCP プ ラ イ オ リ テ ィ 値に CoS 値を マ ッ ピ ング し ま す。 「0」 は低プ ラ イ オ リ テ ィ 、 「7」 は高プ ラ イ オ リ テ ィ を表 し ます。 注 : IP DSCP 設定はすべてのイ ン タ ー フ ェ ースに適用 さ れます。 3-145 3 ス イ ッ チの構成 ウ ェ ブ – 「Priority」、 「IP DSCP Priority」 の順に ク リ ッ ク し ます。 DSCP テーブルか ら エ ン ト リ を選択 し 、「Class of Service Value」 フ ィ ール ド に値を入力 し て、「Apply」 を ク リ ッ ク し ます。 図 3-90. IP DSCP プ ラ イ オ リ テ ィ 値のマ ッ ピ ン グ CLI – 次の例では、 ス イ ッ チ で グ ロ ーバルに DSCP プ ラ イ オ リ テ ィ サー ビ ス を 有効に し 、 DSCP 値 0 を CoS 値 1 にマ ッ ピ ング し て (ポー ト 1)、 DSCP プ ラ イ オ リ テ ィ 設定を表示 し ています。 Console(config)#map ip dscp Console(config)#interface ethernet 1/1 Console(config-if)#map ip dscp 1 cos 0 Console(config-if)#end Console#show map ip dscp ethernet 1/1 DSCP mapping status: disabled 4-188 4-115 4-189 4-190 Port DSCP COS --------- ---- --Eth 1/ 1 0 0 Eth 1/ 1 1 0 Eth 1/ 1 2 0 Eth 1/ 1 3 0 . . . Eth 1/ 1 Eth 1/ 1 Eth 1/ 1 Console# * 61 62 63 0 0 0 IP DSCP への特定値のマ ッ ピ ン グはイ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レ ーシ ョ ン コ マ ン ド で実行 さ れていますが、 変更内容はス イ ッ チ上のすべてのイ ン タ ー フ ェ ースに適用 さ れます。 3-146 サービ ス品質 3 サービ ス品質 サービ ス品質 (QoS) 分類基準およびサービ ス ポ リ シーを構成するには、 こ の項目で説明す る コ マ ン ド を使用 し ます。 差別化サービ ス (DiffServ) では、 ホ ッ プ ご と に特定 ト ラ フ ィ ッ ク タ イ プの要件に応 じ てネ ッ ト ワー ク リ ソ ースのプ ラ イ オ リ テ ィ を設定する、 ポ リ シーベース の管理 メ カ ニズムが提供 さ れます。各パケ ッ ト はネ ッ ト ワー クへの着信時にア ク セス リ ス ト 、 IP 優先度、 DSCP 値、 または VLAN リ ス ト に基づいて分類 さ れます。 ア ク セス リ ス ト では、 各パケ ッ ト に含まれる レ イ ヤー 2、 レ イ ヤー 3、 またはレ イ ヤー 4 情報に基づいて ト ラ フ ィ ッ ク を選択で き ます。 構成 さ れてい る ネ ッ ト ワー ク ポ リ シーに基づ き、 ト ラ フ ィ ッ ク の種類に 応 じ てマー ク を付ける こ と によ り 、 異な る種類の転送を行 う こ と がで き ます。 イ ン タ ーネ ッ ト にア ク セ スす るすべてのス イ ッ チ ま たはルー タ では、 同一 ク ラ スのパケ ッ ト を同 じ よ う に転送する ために ク ラ ス情報が使用 さ れます。 ク ラ ス情報の割当ては、 エ ン ド ホ ス ト ま たはパス上にあ る ス イ ッ チやルー タ で行 う こ と がで き ます。 その後、 一般ポ リ シーま たは詳細なパケ ッ ト 検査に基づいて プ ラ イ オ リ テ ィ を割 り 当て る こ と がで き ます。ただ し 、 コ ア ス イ ッ チおよびルー タ の過負荷を防ぐ ために、 詳細なパケ ッ ト 検査はネ ッ ト ワー ク エ ッ ジ の近 く で実行 し て く だ さ い。 パス上にあ る ス イ ッ チおよびルー タ では、 ク ラ ス情報によ っ て、 様々な ト ラ フ ィ ッ ク ク ラ ス に割 り 当て ら れた リ ソ ースのプ ラ イ オ リ テ ィ を設定で き ます。DiffServ アーキテ ク チ ャ で個々 のデバ イ スが ト ラ フ ィ ッ ク を処理する方法は、 ホ ッ プ ご と の動作 と 呼ばれます。 矛盾のない エ ン ド ツーエ ン ド QoS ソ リ ュ ーシ ョ ン を構築する ために、 パス上にあ るすべてのデバイ ス を 同 じ 方法で構成 し て く だ さ い。 注 : 1. ク ラ ス マ ッ プ ご と に構成で き るルールは最大 16 個です。 また、 ポ リ シー マ ッ プは複数の ク ラ スで構成する こ と がで き ます。 2. ポ リ シー マ ッ プ を作成する前に、 ク ラ ス マ ッ プ を作成する必要があ り ます。 そ う し ない と 、 「Policy Rule Settings」 画面 (3-152 ページ を参照) で ク ラ ス マ ッ プ を選択する こ と が で き ません。 サービ ス品質パラ メ ー タ の構成 特定のカ テ ゴ リ ま たはイ ング レ ス ト ラ フ ィ ッ クのサービ ス ポ リ シーを作成するには、 次の手 順に従います。 1. 「ク ラ ス マ ッ プ」 を使用 し て、 ト ラ フ ィ ッ クの特定カ テ ゴ リ の ク ラ ス名を指定 し ます。 2. 各ク ラ スのルールを編集 し 、 ア ク セス リ ス ト 、 DSCP ま たは IP 優先度値、 あるいは VLAN に基づいて ト ラ フ ィ ッ ク タ イ プ を指定 し ます。 3. 「ポ リ シー マ ッ プ」 を使用 し て、イ ング レ ス ト ラ フ ィ ッ ク を処理する特定方法のポ リ シー 名を指定 し ます。 4. ポ リ シー マ ッ プに ク ラ ス を 1 つ以上追加 し ます。 合致 し た ト ラ フ ィ ッ ク ク ラ スに割 り 当て る QoS 値を 「設定」 し て、 各 ク ラ スにポ リ シー ルールを割 り 当て ます。 平均フ ロー およびバース ト レー ト を監視 し 、 指定のレー ト を超え る ト ラ フ ィ ッ ク を破棄するか、 指 定の レ ー ト を 超え る ト ラ フ ィ ッ ク の DSCP サー ビ ス レ ベル を 低 く す る よ う ポ リ シ ー ルールを構成する こ と も で き ます。 5. 「サービ ス ポ リ シー」 を使用 し て、 ポ リ シー マ ッ プ を特定のイ ン タ ー フ ェ ースに割 り 当 て ます。 3-147 3 ス イ ッ チの構成 ク ラ ス マ ッ プの構成 ク ラ ス マ ッ プは、 指定 さ れた ク ラ スにパケ ッ ト が合致するかど う かを調べる ために使用 さ れ ます。 コ マ ン ド の使用 • ク ラ ス マ ッ プ を構成する には、 次の手順に従います。 - 「Class Map」 ページ を開き、 「Add Class」 を ク リ ッ ク し ます。 - 「Class Configuration」 ページが開いた ら、 「Class Name」 フ ィ ール ド に入力 し 、 「Add」 を ク リ ッ ク し ます。 - 「Match Class Settings」 ページが開いた ら、 ア ク セス リ ス ト 、 DSCP または IP 優先度 値、 あるいは VLAN に基づいて この ク ラ スの ト ラ フ ィ ッ ク タ イ プ を指定 し 、 選択 し た ト ラ フ ィ ッ ク 基準の フ ィ ール ド の横にあ る 「Add」 ボ タ ン を ク リ ッ ク し ます。 イ ン グ レ ス ト ラ フ ィ ッ ク を ク ラ ス マ ッ プに割 り 当て る際に合致 さ せる項目は、 最大 16 個ま で指定 で き ます。 • ク ラ ス マ ッ プ をポ リ シー マ ッ プ (3-150 ページ) と 連携 し て使用する こ と に よ り 、 特定イ ン タ ー フ ェ ースのサー ビ ス ポ リ シー (3-153 ページ) を作成 し 、 パケ ッ ト の ク ラ ス分け、 サービ ス タ グ付け、 帯域幅ポ リ シ ン グ を定義する こ と がで き ます。 1 つのポ リ シー マ ッ プ には 1 つ以上のク ラ ス マ ッ プ を割 り 当て る こ と がで き ます。 コ マ ン ド 属性 「Class Map」 • 「Modify Name and Description」 – ク ラ ス マ ッ プの名前 と 簡単な説明を構成 し ます (範囲 : 名前は 1 ~ 16 文字、 説明は 1 ~ 64 文字)。 • 「Edit Rules」 – 選択 し た ク ラ ス エ ン ト リ の 「Match Class Settings」 ページ を開き ます。 こ のページ で、 イ ング レ ス ト ラ フ ィ ッ ク を分類する ための基準を変更 し ます。 • 「Add Class」 – 「Class Configuration」 ページ を開き ます。 こ のページ で ク ラ ス名 と 説明を 入力 し て 「Add」 を ク リ ッ ク する と 、 「Match Class Settings」 ページが開き ます。 こ のペー ジ で、 イ ン グ レ ス ト ラ フ ィ ッ ク を分類する ための基準を入力 し ます。 • 「Remove Class」 – 選択 し た ク ラ ス を削除 し ます。 「Class Configuration」 • 「Class Name」 – ク ラ ス マ ッ プの名前 (範囲 : 1 ~ 16 文字) • 「Type」 – 1 つの ク ラ ス マ ッ プに使用で き る match コ マ ン ド は 1 つのみです。 そのため、 match-any フ ィ ール ド は単一の match コ マ ン ド で指定 さ れた基準を参照 し ます。 • 「Description」 – ク ラ ス マ ッ プの簡単な説明 (範囲 : 1 ~ 64 文字) • 「Add」 – 指定 し た ク ラ ス を追加 し ます。 • 「Back」 – 変更を適用 し て前のページに戻 り ます。 「Match Class Settings」 • 「Class Name」 – ク ラ ス マ ッ プの リ ス ト • 「ACL List」 – ア ク セス制御 リ ス ト の名前。 標準ま たは拡張 IP ACL および MAC ACL な ど、 任意の タ イ プの ACL を指定で き ます (範囲 : 1 ~ 16 文字)。 • 「IP DSCP」 – DSCP 値 (範囲 : 0 ~ 63) • 「IP Precedence 」 – IP 優先度値 (範囲 : 0 ~ 7) 3-148 サービ ス品質 3 • 「VLAN」 – VLAN (範囲 : 1 ~ 4094) • 「Add」 – 指定 し た基準を ク ラ スに追加 し ます。 各 ク ラ スでは最大 16 項目を使用で き ます。 • 「Remove」 – 選択 し た基準を ク ラ スから 削除 し ます。 ウ ェ ブ – 新規 ク ラ ス を作成する には、 「QoS」 、 「DiffServ」 の順に ク リ ッ ク し 、 「Add Class」 を ク リ ッ ク し ます。 既存のク ラ スのルールを変更するには、 「Edit Rules」 を ク リ ッ ク し ます。 図 3-91. ク ラ ス マ ッ プの構成 3-149 3 ス イ ッ チの構成 CLI - こ の例では、 「rd-class」 と い う 名前の ク ラ ス マ ッ プ を作成 し 、 DSCP サー ビ ス値 3 の マー ク が付け られたパケ ッ ト に合致 さ せる よ う 設定 し ています。 Console(config)#class-map rd_class match-any Console(config-cmap)#match ip dscp 3 Console(config-cmap)# 4-192 4-193 QoS ポ リ シーの作成 こ の機能では、 複数のイ ン タ ー フ ェ ースに関連付ける こ と ので き るポ リ シー マ ッ プ を作成 し ます。 コ マ ン ド の使用 • ポ リ シー マ ッ プ を構成するには、 次の手順に従います。 - 3-148 ページの手順に従 っ て ク ラ ス マ ッ プ を作成 し ます。 - 「Policy Map」 ページ を開き、 「Add Policy」 を ク リ ッ ク し ます。 - 「Policy Configuration」 ページが開いた ら、 「Policy Name」 フ ィ ール ド に入力 し 、 「Add」 を ク リ ッ ク し ます。 - 「Policy Rule Settings」 ページが開いた ら、 ス ク ロールダウン リ ス ト (「Class Name」 フ ィ ール ド ) から ク ラ ス名を選択 し ます。 IP パケ ッ ト に割 り 当て るサービ ス品質を設定 し (「Action」 フ ィ ール ド )、 最大スループ ッ ト と バース ト レー ト (「Meter」 フ ィ ール ド )、 およびポ リ シー違反が検知 さ れた場合のア ク シ ョ ン ( 「Exceed」 フ ィ ール ド ) を定義 し て、こ のク ラ スで定義 さ れている基準に合致 し た ト ラ フ ィ ッ ク のポ リ シーを構成 し ます。 最後に 「Add」 を ク リ ッ ク し て、 新規ポ リ シーを登録 し ます。 • 1 つのポ リ シー マ ッ プに複数の class ス テー ト メ ン ト を含め、 「Service Policy Settings」 (3-153 ページ) を使用 し て こ れ ら を同一のイ ン タ ー フ ェ ースに適用する こ と がで き ます。 MAC ACL、 IP ACL (標準 ACL および拡張 ACL を含む)、 IPv6 標準 ACL、 および IPv6 の ア ク セス リ ス ト タ イ プに対 し て最大 64 個のポ リ サー ( メ ー タ ーまたはク ラ ス マ ッ プ) を 構成する こ と がで き ます。 こ の制限は、各ス イ ッ チ チ ッ プに適用 さ れます (ES4524D: ポー ト 1 ~ 26、 ES4548D: ポー ト 1 ~ 25、 ポー ト 26 ~ 50)。 ま た、 1 つのポ リ シー マ ッ プに 適用で き る ク ラ スの最大数が 16 個であ る こ と に注意 し て く だ さ い。 ポ リ シ ングは ト ー ク ン バケ ッ ト に基づき ます。 こ の と き、 バケ ッ ト 深 さ (バケ ッ ト のオー バー フ ロ ー前の最大バース ト ) は 「Burst」 フ ィ ール ド で指定 し 、 「Rate」 オ プ シ ョ ン に指 定 し た分だけバケ ッ ト か ら平均レー ト ト ー ク ンが削除 さ れます。 • ポ リ シー マ ッ プに よ るパケ ッ ト 分類、 サービ ス タ ギング、 および帯域幅ポ リ シ ン グの定義 後、 有効にするには、 サービ ス ポ リ シー (3-153 ページ) に よ っ て特定のイ ン タ ー フ ェ ー スに割 り 当て る必要があ り ます。 コ マ ン ド 属性 「Policy Map」 • 「Modify Name and Description」 – ポ リ シー マ ッ プの名前 と 簡単な説明を構成 し ます (範囲 : 名前は 1 ~ 16 文字、 説明は 1 ~ 64 文字)。 • 「Edit Classes」 – 選択 し た ク ラ ス エ ン ト リ の 「Policy Rule Settings」 ページ を開き ます。 こ のページ で、 イ ング レ ス ト ラ フ ィ ッ ク を処理する ための基準を変更 し ます。 3-150 サービ ス品質 3 • 「Add Policy」 – 「Policy Configuration」 ページ を開き ます。 こ のページ でポ リ シー名 と 説 明を入力 し て 「Add」 を ク リ ッ ク する と 、 「Policy Rule Settings」 ページが開き ます。 こ の ページ で、 イ ング レ ス ト ラ フ ィ ッ ク を処理する ための基準を入力 し ます。 • 「Remove Policy」 – 指定 し たポ リ シーを削除 し ます。 「Policy Configuration」 • 「Policy Name」 – ポ リ シー マ ッ プの名前 (範囲 : 1 ~ 16 文字) • 「Description」 – ポ リ シー マ ッ プの簡単な説明 (範囲 : 1 ~ 64 文字) • 「Add」 – 指定 し たポ リ シーを追加 し ます。 • 「Back」 – 変更を適用 し て前のページに戻 り ます。 「Policy Rule Settings」 - ク ラ ス設定 • 「Class Name」 – ク ラ ス マ ッ プの名前 • 「Action」 – 合致 さ せるパケ ッ ト の CoS、 DSCP、 または IP 優先度値を設定する こ と によ っ て イ ング レ ス ト ラ フ ィ ッ ク に提供するサービ スが示 さ れます(3-148 ページの「Match Class Settings」 を参照)。 • 「Meter」 – 最大スループ ッ ト およびバース ト レー ト - 「Rate (kbps)」 – キロ ビ ッ ト / 秒単位で レー ト を指定 し ます。 - 「Burst (byte)」 – バイ ト 単位でバース ト を指定 し ます。 • 「Exceed Action」 – 指定のレー ト を超えた ト ラ フ ィ ッ ク を破棄するか、 DSCP サービ ス レ ベルを低 く するかを指定 し ます。 • 「Remove Class」 – ク ラ ス を削除 し ます。 - ポ リ シー オプ シ ョ ン • 「Class Name」 – ク ラ ス マ ッ プの名前 • 「Action」 – 合致 さ せるパケ ッ ト の CoS、 DSCP、 または IP 優先度値を設定する こ と に よ り 、 イ ング レ ス ト ラ フ ィ ッ ク に提供するサービ ス を構成 し ます (3-148 ページの 「Match Class Settings」 を参照) (範囲 - CoS: 0 ~ 7、 DSCP: 0 ~ 63、 IP 優先度 : 0 ~ 7、 IPv6 DSCP: 0 ~ 63)。 • 「Meter」 – 最大スループ ッ ト 、 バース ト レ ー ト 、 およびポ リ シー違反に対する ア ク シ ョ ン を定義するには、 こ のチ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 - 「Rate (kbps)」 – キロ ビ ッ ト / 秒単位で レー ト を指定 し ます (範囲 : 1 ~ 100000 kbps または最大ポー ト ス ピー ド の う ちいずれか小 さ い方)。 - 「Burst (byte)」 – バイ ト 単位でバース ト を指定 し ます (範囲 : 64 ~ 1522)。 • 「Exceed」 – 指定のレー ト ま たはバース ト を超えた ト ラ フ ィ ッ ク を破棄するか、DSCP サー ビ ス レ ベルを低 く するかを指定 し ます。 - 「Set」 – 適合 し ない ト ラ フ ィ ッ クの DSCP プ ラ イ オ リ テ ィ を低 く し ます (範囲 : 0 ~ 63)。 - 「Drop」 – 適合 し ない ト ラ フ ィ ッ ク を破棄 し ます。 • 「Add」 – 指定 し た基準をポ リ シー マ ッ プに追加 し ます。 3-151 3 ス イ ッ チの構成 ウ ェ ブ – 「QoS」、 「DiffServ」、 「Policy Map」 の順に ク リ ッ ク し て、 既存のポ リ シー マ ッ プの リ ス ト を表示 し ます。 新規ポ リ シー マ ッ プ を追加するには、 「Add Policy」 を ク リ ッ ク し ます。 ポ リ シー ルール設定を構成する には、 「Edit Classes」 を ク リ ッ ク し ます。 図 3-92. ポ リ シー マ ッ プの構成 3-152 サービ ス品質 3 CLI – こ の例では、「rd-policy」 と い う 名前のポ リ シー マ ッ プ を作成 し 、平均帯域幅を 1 Mbps、 バース ト レー ト を 1522 bps に設定 し 、 違反パケ ッ ト に対 し て DSCP 値を 0 に引き下げる よ う 設定 し ています。 Console(config)#policy-map rd_policy#3 Console(config-pmap)#class rd_class#3 Console(config-pmap-c)#set ip dscp 4 Console(config-pmap-c)#police 100000 1522 exceed-action set ip dscp 0 Console(config-pmap-c)# 4-194 4-194 4-195 4-196 イ ング レ ス キ ュ ーへのポ リ シー マ ッ プの割当て この機能では、ポ リ シー マ ッ プ を特定イ ン タ ーフ ェ ースのイ ングレ ス キューにバイ ン ド し ます。 コ マ ン ド の使用 • 最初に ク ラ ス マ ッ プ を定義 し てから、 ポ リ シー マ ッ プ を定義 し 、 最後に必要な イ ン タ ー フ ェ ースにポ リ シー マ ッ プ をバイ ン ド する必要があ り ます。 • 1 つのイ ン タ ー フ ェ ースにバイ ン ド で き るポ リ シー マ ッ プは 1 つのみです。 • 現在の フ ァ ームウ ェ ア では、 イ グ レ ス キ ュ ーにポ リ シー マ ッ プ をバイ ン ド する こ と はで き ません。 コ マ ン ド 属性 • 「Ports」 – ポー ト を指定 し ます。 • 「Ingress」 – イ ング レ ス ト ラ フ ィ ッ ク にルールを適用 し ます。 • 「Enabled」 – 指定 し たポー ト でポ リ シー マ ッ プ を有効にするには、 こ のチ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 • ポ リ シー マ ッ プ – ス ク ロールダウ ン ボ ッ ク スから適切なポ リ シー マ ッ プ を選択 し ます。 ウ ェ ブ – 「QoS」、 「DiffServ」、 「Service Policy Settings」 の順に ク リ ッ ク し ます。 「Enabled」 を オ ン に し 、 ス ク ロールダウ ン ボ ッ ク スか ら ポー ト のポ リ シー マ ッ プ を選択 し て、 「Apply」 を ク リ ッ ク し ます。 図 3-93. サービ ス ポ リ シーの設定 CLI - この例では、 イ ン グ レ ス イ ン タ ー フ ェ ースにサービ ス ポ リ シーを適用 し ています。 Console(config)#interface ethernet 1/5 Console(config-if)#service-policy input rd_policy#3 Console(config-if)# 4-115 4-197 3-153 3 ス イ ッ チの構成 マルチキャ スト フ ィ ルタ リ ン グ マルチキ ャ ス テ ィ ン グは、 ビ デオ会議やス ト リ ー ミ ン グ オ ーデ ィ オ な ど の リ ア ル タ イ ム ア プ リ ケ ー シ ョ ン を サ ポー ト す る ために使用 さ れます。 こ の と き、 マルチキ ャ ス ト サーバーで各 ク ラ イ ア ン ト と の接続を別途確立する 必要はあ り ません。 サーバーではネ ッ ト ワー ク へのサー ビ スのブ ロ ー ド キ ャ ス ト のみを行い、 マルチキ ャ ス ト の 受信 を 希望す る ホ ス ト が ロ ー カ ルのマ ルチ キ ャ ス ト ス イ ッ チ / ルー タ に登録 し ます。 こ の方法に よ り 、 マルチ キ ャ ス ト サーバー で必要 と な る ネ ッ ト ワー ク オーバー ヘ ッ ド は低減 し ますが、 こ のサー ビ スにサブ ス ク ラ イ ブ し た ホ ス ト にのみ ト ラ フ ィ ッ ク が渡 さ れる よ う 、 中継す るすべてのマルチキ ャ ス ト ス イ ッ チ / ルー タ で ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク のプルーニ ン グ を慎重に行 う 必要 があ り ます。 Unicast Flow Multicast Flow こ のス イ ッ チ では、 IGMP (イ ン タ ーネ ッ ト グループ マ ネ ジ メ ン ト プ ロ ト コ ル) に よ っ て、 特定のマルチキ ャ ス ト サービ スの受信を希望 し ている接続ホス ト の問合わせ が行われます。 サー ビ スへの加入要求ホ ス ト が接続 さ れ てい る ポー ト が特定 さ れ、 こ れ ら のポー ト にのみデー タ が送信 さ れます。 その後、 サー ビ ス 要求は隣接マルチキ ャ ス ト ス イ ッ チ / ルー タ に伝搬 さ れ、 引き続き マルチキ ャ ス ト サービ ス を受け られる よ う に し ます。 こ の手順はマルチキ ャ ス ト フ ィ ル タ リ ング と 呼ばれます。 IP マルチキ ャ ス ト フ ィ ル タ リ ングの目的は、 交換ネ ッ ト ワー ク の性能を最大限に高める こ と です。 こ れは、 ト ラ フ ィ ッ ク をサブネ ッ ト (VLAN) 内のすべてのポー ト に フ ラ ッ デ ィ ングす るのではな く 、マルチキ ャ ス ト パケ ッ ト を マルチキ ャ ス ト グループ ホス ト またはマルチキ ャ ス ト ルー タ / ス イ ッ チが接続 さ れているポー ト にのみ転送する こ と に よ っ て実現 さ れます。 レ イ ヤー 2 IGMP (ス ヌ ーピ ン グおよび ク エ リ ー) IGMP ス ヌ ーピ ングおよび ク エ リ ー – ネ ッ ト ワー ク のほかのス イ ッ チで マルチキ ャ ス ト ルー テ ィ ングがサポー ト さ れていない場合、 IGMP ス ヌ ーピ ングおよび ク エ リ ー (3-155 ページ) を使用 し て、 マルチキ ャ ス ト ク ラ イ ア ン ト と サーバー間で送信 さ れる IGMP サービ ス要求を 監視 し 、 マルチキ ャ ス ト ト ラ フ ィ ッ ク を転送する必要のあ る ス イ ッ チ ポー ト を動的に構成す る こ と がで き ます。 ス タ テ ィ ッ ク IGMP ルー タ イ ン タ ー フ ェ ース – IGMP ス ヌ ーピ ン グによ っ て IGMP ク エ リ ア を特定で き ない場合、 ス イ ッ チ上の イ ン タ ー フ ェ ースにネ ッ ト ワー ク 経由で接続 さ れた既知 の IGMP ク エ リ ア (マルチキ ャ ス ト ルー タ / ス イ ッ チ) を手動で指定で き ます (3-158 ペー ジ)。 これによ り 、 このイ ン タ ー フ ェ ースは接続 さ れたルー タ / ス イ ッ チによ っ てサポー ト さ れている現在の全マルチキ ャ ス ト グループに加わ り 、 ス イ ッ チ内の適切なすべてのイ ン タ ー フ ェ ースにマルチキ ャ ス ト ト ラ フ ィ ッ クが送信 さ れる よ う にな り ます。 ス タ テ ィ ッ ク IGMP ホス ト イ ン タ ー フ ェ ース – よ り 慎重な制御が必要 と な る マルチキ ャ ス ト ア プ リ ケーシ ョ ンの場合、 ス イ ッ チ上の特定イ ン タ ー フ ェ ースに手動で マルチキ ャ ス ト サー ビ ス を割 り 当て る こ と がで き ます (3-160 ページ)。 3-154 マルチキ ャ ス ト フ ィ ル タ リ ン グ 3 IGMP ス ヌ ーピ ングお よび ク エ リ ー パラ メ ー タ の構成 マルチキ ャ ス ト ト ラ フ ィ ッ ク を イ ン テ リ ジ ェ ン ト に転送す る よ う ス イ ッ チ を構成で き ます。 ス イ ッ チでは、 IGMP ク エ リ ーおよびレポー ト メ ッ セージに基づいて、 マルチキ ャ ス ト ト ラ フ ィ ッ ク を要求する ポー ト にのみ ト ラ フ ィ ッ ク が転送 さ れます。 こ れに よ り 、 ス イ ッ チか ら すべてのポー ト に ト ラ フ ィ ッ ク がブ ロー ド キ ャ ス ト さ れ、 ネ ッ ト ワー ク 性能に悪影響がお よ ぶよ う な状況を防ぐ こ と がで き ます。 コ マ ン ド の使用 • IGMP ス ヌ ーピ ング – こ のス イ ッ チでは、IP マルチキ ャ ス ト ルー タ / ス イ ッ チ と IP マルチ キ ャ ス ト ホス ト グループ間で転送 さ れる IGMP ク エ リ ーおよびレ ポー ト パケ ッ ト を受動 的にス ヌ ープ し て、 IP マルチキ ャ ス ト グループ メ ンバーを特定で き ます。 通過する IGMP パケ ッ ト を監視 し てグループ登録情報を取 り 出 し 、 それに従 っ て マルチキ ャ ス ト フ ィ ル タ を構成 し ます。 • IGMP ク エ リ ア – ルー タ 、 すなわち マルチキ ャ ス ト 対応ス イ ッ チでは、 マルチキ ャ ス ト ト ラ フ ィ ッ ク の受信を希望す るかど う かを定期的にホ ス ト に問い合わせる こ と がで き ま す。 LAN 上に IP マルチキ ャ ス テ ィ ング を実行するルー タ / ス イ ッ チが複数存在する場合、 その いずれかのデバイ スが 「 ク エ リ ア」 と し て選択 さ れ、 LAN にグループ メ ンバーを問い合わ せる ロールが割 り 当て ら れます。 その後、 サービ ス要求がア ッ プ ス ト リ ーム マルチキ ャ ス ト ス イ ッ チ / ルー タ に伝搬 さ れ、 引き続き マルチキ ャ ス ト サービ ス を受け られる よ う に し ます。 注 : マルチキ ャ ス ト ルー タ では DVMRP や PIM な どのマルチキ ャ ス ト ルーテ ィ ング プ ロ ト コル と と も に こ の情報が使用 さ れ、 イ ン タ ーネ ッ ト 上で IP マルチキ ャ ス テ ィ ン グがサポー ト さ れ ます。 コ マ ン ド 属性 • 「IGMP Status」 – オ ンに し た場合、 ス イ ッ チではマルチキ ャ ス ト ト ラ フ ィ ッ クの受信を希 望する ホス ト を判断する ためにネ ッ ト ワー ク ト ラ フ ィ ッ クが監視 さ れます。 こ れは IGMP ス ヌ ーピ ング と も呼ばれます (デ フ ォ ル ト : オ ン)。 • 「Act as IGMP Querier」 – オ ンに し た場合、 こ のス イ ッ チは、 マルチキ ャ ス ト ト ラ フ ィ ッ クの受信を希望するかど う かを ホス ト に問い合わせる ク エ リ ア と し て機能で き ます (デ フ ォル ト : オ ン)。 • 「IGMP Query Count」 – 応答がない状態で ク エ リ ーを発行する最大回数を設定 し ます。 こ の回数に達する と 、 ス イ ッ チによ っ て マルチキ ャ ス ト グループから ク ラ イ ア ン ト を破棄す る ア ク シ ョ ンが実行 さ れます (範囲 : 2 ~ 10、 デ フ ォ ル ト : 2)。 • 「IGMP Query Interval」 – ス イ ッ チが IGMP ホス ト ク エ リ ー メ ッ セージ を送信する頻度を 設定 し ます (範囲 : 60 ~ 125 秒、 デ フ ォ ル ト : 125)。 • 「IGMP Report Delay」 – ポー ト で IP マルチキ ャ ス ト ア ド レ スの IGMP レ ポー ト を受信 し てか ら、 ス イ ッ チがそのポー ト から IGMP ク エ リ ーを送信 し 、 リ ス ト か ら エ ン ト リ を削除 する ま での時間を設定 し ます (範囲 : 5 ~ 25 秒、 デ フ ォル ト : 10)。 • 「IGMP Query Timeout」 – 前のク エ リ アが停止 し てか ら、 ルー タ ポー ト ( ク エ リ ー パケ ッ ト を受信 し ていた イ ン タ ー フ ェ ース) が期限切れにな っ た と 見なすま で ス イ ッ チが待機す る時間を設定 し ます (範囲 : 300 ~ 500 秒、 デ フ ォ ル ト : 300)。 • 「IGMP Version」 – ネ ッ ト ワー ク 上のほかのデバイ ス と の互換性を確保する ためのプ ロ ト コ ル バージ ョ ン を設定 し ます (範囲 : 1 ~ 2、 デ フ ォ ル ト : 2)。 3-155 3 ス イ ッ チの構成 注 : 1. サブネ ッ ト 上のすべてのシ ス テムは同一バージ ョ ン をサポー ト し てい る必要があ り ます。 2. 「IGMP Report Delay」 や 「IGMP Query Timeout」 な ど一部の属性は IGMPv2 でのみ有効 です。 ウ ェ ブ – 「IGMP Snooping」 、 「IGMP Configuration」 の順に ク リ ッ ク し ます。 必要に応 じ て IGMP 設定を調整 し て、 「Apply」 を ク リ ッ ク し ます (次の図はデ フ ォ ル ト 設定)。 図 3-94. IGMP の構成 CLI – こ の例では、 マルチキ ャ ス ト フ ィ ル タ リ ン グの設定を変更 し 、 現在のス テー タ ス を表 示 し ています。 Console(config)#ip igmp snooping Console(config)#ip igmp snooping querier Console(config)#ip igmp snooping query-count 10 Console(config)#ip igmp snooping query-interval 100 Console(config)#ip igmp snooping query-max-response-time 20 Console(config)#ip igmp snooping router-port-expire-time 300 Console(config)#ip igmp snooping version 2 Console(config)#exit Console#show ip igmp snooping Service status: Enabled Querier status: Enabled Leave proxy status: Disabled Query count: 10 Query interval: 100 sec Query max response time: 20 sec Router port expire time: 300 sec Immediate Leave Processing: Disabled on all VLAN IGMP snooping version: Version 2 Console# 3-156 4-200 4-204 4-205 4-205 4-206 4-206 4-201 4-202 マルチキ ャ ス ト フ ィ ル タ リ ン グ 3 IGMP 即時 リ ーブの有効化 IGMP ス ヌ ーピ ン グ即時 リ ーブ機能では、 最初に IGMP グループ固有の ク エ リ ー を イ ン タ ー フ ェ ースに送信 し な く て も、 マルチキ ャ ス ト フ ォ ワーデ ィ ング テーブルから レ イ ヤー 2 LAN イ ン タ ー フ ェ ース を削除で き ます。 ス イ ッ チは、 グループ固有の IGMPv2 leave メ ッ セージ を 受信する と 、 ポー ト で マルチキ ャ ス ト ルー タ が学習 さ れていなければ、 そのマルチキ ャ ス ト グループのレ イ ヤー 2 フ ォ ワーデ ィ ン グ テーブル エ ン ト リ か ら 即座に イ ン タ ー フ ェ ース を 削除 し ます。 IGMP 即時 リ ーブに よ り 、 ス イ ッ チ ド ネ ッ ト ワー ク 上にあ るすべてのホ ス ト の帯域幅管理が 向上 し ます。 コ マ ン ド 属性 • 「VLAN ID」 – 構成済み VLAN の ID (1 ~ 4094) • 「Immediate Leave」 – 選択 し た VLAN で IGMP 即時 リ ーブ を有効または無効に し ます。 ウ ェ ブ – 「IGMP Snooping」、 「IGMP Immediate Leave」 の順に ク リ ッ ク し ます。 図 3-95. IGMP 即時 リ ーブ CLI – こ の例では、 VLAN 1 で IGMP 即時 リ ーブ を有効に し 、 現在の IGMP ス ヌ ーピ ン グ ス テー タ ス を表示 し ています。 Console(config)#interface vlan 1 Console(config-if)#ip igmp snooping immediate-leave Console(config-if)#end Console#show ip igmp snooping Service Status: Enabled Querier Status: Disabled Leave proxy status: Enabled Query Count: 2 Query Interval: 125 sec Query Max Response Time: 10 sec Router Port Expire Time: 300 sec Immediate Leave Processing: Enabled on VLAN 1, IGMP Snooping Version: Version 2 Console# 4-202 4-202 マルチキ ャ ス ト ルー タ に接続 さ れた イ ン タ ー フ ェ ースの表示 ス イ ッ チ上のポー ト に接続 さ れた マルチキ ャ ス ト ルー タ では、 IGMP か ら 取得 し た情報 と 、 DVMRP や PIM な どのマルチキ ャ ス ト ルーテ ィ ン グ プ ロ ト コルによ っ て、イ ン タ ーネ ッ ト 上 で IP マルチキ ャ ス テ ィ ングがサポー ト さ れます。 こ れらのルー タ は、 ス イ ッ チで動的に検知 する こ と も、 ス イ ッ チ上のイ ン タ ー フ ェ ースに静的に割 り 当て る こ と も で き ます。 3-157 3 ス イ ッ チの構成 「Multicast Router Port Information」 ページ では、 隣接マルチキ ャ ス ト ルー タ / ス イ ッ チに接 続 さ れた、 こ のス イ ッ チ上のポー ト を VLAN ID ご と に表示で き ます。 コ マ ン ド 属性 • 「VLAN ID」 – 構成済み VLAN の ID (1 ~ 4094) • 「Multicast Router List」 – こ のス イ ッ チで動的に検知 さ れた、 または このス イ ッ チ上のイ ン タ ー フ ェ ースに静的に割 り 当て られたマルチキ ャ ス ト ルー タ ウ ェ ブ – 「IGMP Snooping」、 「Multicast Router Port Information」 の順に ク リ ッ ク し ます。 ス ク ロールダウ ン リ ス ト か ら、 関連付け られたマルチキ ャ ス ト ルー タ を表示する必要な VLAN ID を選択 し ます。 図 3-96. マルチキ ャ ス ト ルー タ のポー ト 情報の表示 CLI – こ の例では、 マルチキ ャ ス ト ルー タ に接続 さ れたポー ト と し てポー ト 11 が静的に構成 さ れています。 Console#show ip igmp snooping mrouter vlan 1 VLAN M'cast Router Port Type ---- ------------------ ------1 Eth 1/11 Static Console# 4-208 マルチキ ャ ス ト ルー タ のス タ テ ィ ッ ク イ ン タ ー フ ェ ースの指定 ネ ッ ト ワー ク 接続に よ っ ては、 IGMP ス ヌ ーピ ン グで IGMP ク エ リ ア を特定で き る と は限 り ません。 そのため、 IGMP ク エ リ アが、 ス イ ッ チ上のイ ン タ ー フ ェ ース (ポー ト ま たは ト ラ ン ク) にネ ッ ト ワー ク経由で接続 さ れた既知のマルチキ ャ ス ト ルー タ / ス イ ッ チの場合、 接続 さ れたルー タ でサポー ト さ れる現在の全マルチキ ャ ス ト グループに参加する よ う 手動で イ ン タ ー フ ェ ース (お よび指定 し た VLAN) を構成で き ます。 こ れに よ り 、 マルチキ ャ ス ト ト ラ フ ィ ッ ク を ス イ ッ チ内の適切なすべてのイ ン タ ー フ ェ ースに送信する こ と がで き ます。 コ マ ン ド 属性 • 「Interface」 – 「Port」 または 「Trunk」 ス ク ロールダウ ン リ ス ト を有効に し ます。 • 「VLAN ID」 – 接続 さ れたマルチキャ ス ト ルー タ から着信するすべてのマルチキ ャ ス ト ト ラ フ ィ ッ ク を伝搬する VLAN を選択 し ます。 • 「Port」 または 「Trunk」 – マルチキ ャ ス ト ルー タ に接続 さ れている イ ン タ ー フ ェ ース を指 定 し ます。 3-158 マルチキ ャ ス ト フ ィ ル タ リ ン グ 3 ウ ェ ブ – 「IGMP Snooping」、 「Static Multicast Router Port Configuration」 の順に ク リ ッ ク し ます。 マルチキ ャ ス ト ルー タ に接続 さ れている イ ン タ ー フ ェ ース を指定 し 、 該当するすべて のマルチキ ャ ス ト ト ラ フ ィ ッ ク を転送する VLAN を指定 し て、 「Add」 を ク リ ッ ク し ます。 リ ス ト へのイ ン タ ー フ ェ ースの追加を完了 し た ら、 「Apply」 を ク リ ッ ク し ます。 図 3-97. マルチキ ャ ス ト ルー タ のス タ テ ィ ッ ク ポー ト の構成 CLI – こ の例では、 ポー ト 11 を VLAN 1 内のマルチキ ャ ス ト ルー タ ポー ト と し て構成 し て います。 Console(config)#ip igmp snooping vlan 1 mrouter ethernet 1/11 Console(config)#exit Console#show ip igmp snooping mrouter vlan 1 VLAN M'cast Router Port Type ---- ------------------ ------1 Eth 1/11 Static Console# 4-207 4-208 マルチキ ャ ス ト サービ スのポー ト メ ンバーの表示 指定 し た VLAN お よ びマルチキ ャ ス ト サー ビ スに関連付け ら れたポー ト メ ンバー を表示で き ます。 コ マ ン ド 属性 • 「VLAN ID」 – ポー ト メ ンバーを表示する VLAN を選択 し ます。 • 「Multicast IP Address」 – 特定のマルチキ ャ ス ト サービ スの IP ア ド レ ス • 「Multicast Group Port List」 – 特定のマルチキ ャ ス ト サービ ス を伝搬する よ う 選択 し た VLAN に割 り 当て られている イ ン タ ー フ ェ ースが表示 さ れます。 3-159 3 ス イ ッ チの構成 ウ ェ ブ – 「IGMP Snooping」、 「IP Multicast Registration Table」 の順に ク リ ッ ク し ます。 ス ク ロールダウ ン リ ス ト から VLAN ID およびマルチキ ャ ス ト サービ スの IP ア ド レ ス を選択 し ま す。 こ のマルチキ ャ ス ト サービ ス を伝搬するすべてのイ ン タ ー フ ェ ースがス イ ッ チに表示 さ れます。 図 3-98. IP マルチキ ャ ス ト 登録テーブル CLI – こ の例では、 VLAN 1 でサポー ト さ れてい る既知の全マルチキ ャ ス ト サー ビ ス と 、 各 サービ ス を伝搬するポー ト を表示 し ています。 「Type」 フ ィ ール ド には、 このエ ン ト リ が動的 に学習 さ れたか、 静的に構成 さ れたかが示 さ れます。 Console#show bridge 1 multicast vlan 1 VLAN M'cast IP addr. Member ports Type ---- --------------- ------------ ------1 224.1.1.12 Eth1/12 USER 1 224.1.2.3 Eth1/12 IGMP Console# 4-203 マルチキ ャ ス ト サービ スへのポー ト の割当て 3-133 ページの 「IGMP ス ヌ ー ピ ン グお よ び ク エ リ ー パ ラ メ ー タ の構成」 で説明 し た IGMP ス ヌ ーピ ングおよび IGMP ク エ リ ー メ ッ セージ を使用 し て、 マルチキ ャ ス ト フ ィ ル タ リ ン グ を動的に構成で き ます。 よ り 厳密な制御を必要 と す る ア プ リ ケーシ ョ ン では、 ス イ ッ チ で マ ルチキ ャ ス ト サービ ス を静的に構成する こ と が必要にな る場合があ り ます。 まず、 参加ホス ト に接続 さ れているすべてのポー ト を共通の VLAN に追加 し 、 次にその VLAN グループにマ ルチキ ャ ス ト サービ ス を割 り 当て ます。 コ マ ン ド の使用 • ス タ テ ィ ッ ク マルチキ ャ ス ト ア ド レ スは経年処理に よ っ て期限切れにな る こ と はあ り ま せん。 • 特定の VLAN 内のイ ン タ ー フ ェ ースにマルチキ ャ ス ト ア ド レ スが割 り 当て られている場 合、 該当する ト ラ フ ィ ッ クはその VLAN 内のポー ト にのみ転送で き ます。 3-160 マルチキ ャ ス ト フ ィ ル タ リ ン グ 3 コ マ ン ド 属性 • 「Interface」 – 「Port」 または 「Trunk」 ス ク ロールダウ ン リ ス ト を有効に し ます。 • 「VLAN ID」 – 接続さ れたマルチキャ ス ト ルー タ / ス イ ッ チから着信するすべてのマルチキャ ス ト ト ラ フ ィ ッ ク を伝搬する VLAN を選択 し ます。 • 「Multicast IP」 – 特定のマルチキ ャ ス ト サービ スの IP ア ド レ ス • 「Port」 または 「Trunk」 – マルチキ ャ ス ト ルー タ / ス イ ッ チに接続 さ れている イ ン タ ー フ ェ ース を指定 し ます。 ウ ェ ブ – 「IGMP Snooping」、 「IGMP Member Port Table」 の順に ク リ ッ ク し ます。 (IGMP 対 応ス イ ッ チ またはマルチキ ャ ス ト ルー タ を介 し て) マルチキ ャ ス ト サービ スに接続 さ れてい る イ ン タ ー フ ェ ース を指定 し 、 マルチキ ャ ス ト サービ ス を伝搬する VLAN を指定 し ます。 次 に、 マルチキ ャ ス ト IP ア ド レ ス を指定 し て、 「Add」 を ク リ ッ ク し ます。 メ ンバー リ ス ト へ のポー ト の追加を完了 し た ら、 「Apply」 を ク リ ッ ク し ます。 図 3-99. IGMP メ ンバー ポー ト テーブル CLI – こ の例では、 VLAN 1 にマルチキ ャ ス ト ア ド レ ス を割 り 当て、 VLAN 1 でサポー ト さ れ ている既知の全マルチキ ャ ス ト サービ ス を表示 し ています。 Console(config)#ip igmp snooping vlan 1 static 224.1.1.12 ethernet 1/12 Console(config)#exit Console#show mac-address-table multicast vlan 1 VLAN M'cast IP addr. Member ports Type ---- --------------- ------------ ------1 224.1.1.12 Eth1/12 USER 1 224.1.2.3 Eth1/12 IGMP Console# 4-200 4-203 3-161 3 ス イ ッ チの構成 マルチキャ スト VLAN 登録 マルチキ ャ ス ト 登録 (MVR) は、 サービ ス プ ロバイ ダのネ ッ ト ワー ク 全域にマルチキ ャ ス ト ト ラ フ ィ ッ ク (テ レ ビ チ ャ ン ネル、 ビデオオ ンデマ ン ド な ど) を送信する ために一般的に使 用 さ れる、ネ ッ ト ワー ク 全体に及ぶ単一 VLAN へのア ク セ ス を制御する プ ロ ト コルです。MVR VLAN に入る マルチキ ャ ス ト ト ラ フ ィ ッ ク は、 接続 さ れたすべてのサブ ス ク ラ イ バに送信 さ れます。 こ のプ ロ ト コ ルに よ り 、 通常のマルチキ ャ ス ト VLAN において分散ツ リ ーを動的に 監視、 確立する ために必要 と な る処理オーバーヘ ッ ド を大幅に低減で き ます。 こ れを通 じ 、 マ ルチキ ャ ス ト ルーテ ィ ン グ プ ロ ト コルを使用 し な く て も、 ネ ッ ト ワー クの広い領域に渡っ て 一般的な マルチキ ャ ス ト サービ ス をサポー ト する こ と が可能にな り ます。 MVR では、 サブ ス ク ラ イ バが属するほかの VLAN にのみマルチキ ャ ス ト ト ラ フ ィ ッ ク が渡 さ れる ため、 VLAN 分離に よ り 提供 さ れるユーザーの隔離 と デー タ セキ ュ リ テ ィ が確保 さ れ ます。 一般的な マルチキ ャ ス ト ス ト リ ームは MVR VLAN か ら 様々な VLAN グループに渡 さ れますが、 異な る IEEE 802.1Q またはプ ラ イ ベー ト VLAN のユーザーが情報を交換する こ と はで き ません (上位のルーテ ィ ング サービ ス を使用する場合を除 く )。 Multicast Router Satellite Services Multicast Server Layer 2 Switch Source Port Service Network Receiver Ports Set-top Box PC TV Set-top Box TV MVR 構成の一般的ガ イ ド ラ イ ン 1. ス イ ッ チでグ ローバルに MVR を有効に し 、 MVR VLAN を選択 し ます。 次に、 接続 さ れ てい る ホ ス ト に ト ラ フ ィ ッ ク を送信する マルチキ ャ ス ト グループ を追加 し ます (3-163 ページの 「グ ローバルな MVR 設定の構成」 を参照)。 2. MVR に参加する イ ン タ ー フ ェ ース を送信元ポー ト または受信ポー ト と し て設定 し ます (3-166 ページの 「MVR イ ン タ ー フ ェ ース ス テー タ スの構成」 を参照)。 3. IGMP ス ヌ ーピ ング を有効に し 、サブ ス ク ラ イバが MVR グループに動的に参加または離 脱で き る よ う に し ます (3-155 ページの 「IGMP ス ヌ ーピ ングおよび ク エ リ ー パラ メ ー タ の構成」 を参照) 。 マルチキ ャ ス ト join ま たは leave メ ッ セージ を発行で き るのは、 IGMP バージ ョ ン 2 または 3 ホス ト のみです。 3-162 マルチキ ャ ス ト VLAN 登録 4. 3 長期的に実行 さ れ、一定のホス ト セ ッ ト に関連付け られる マルチキ ャ ス ト ス ト リ ームに ついては、 マルチキ ャ ス ト グループ を参加イ ン タ ー フ ェ ースに静的にバイ ン ド する こ と がで き ます (3-167 ページの 「イ ン タ ー フ ェ ースへのス タ テ ィ ッ ク マルチキ ャ ス ト グ ループの割当て」 を参照)。 グ ローバルな MVR 設定の構成 マルチキ ャ ス ト VLAN 登録 (MVR) のグ ローバル設定では、 ス イ ッ チ での MVR の有効化ま たは無効化、 サービ ス プ ロバイ ダがサポー ト する一般的なマルチキ ャ ス ト ス ト リ ーム用の唯 一のチ ャ ネル と し て機能する VLAN の選択、MVR VLAN への各サービ スのマルチキ ャ ス ト グ ループ ア ド レ スの割当てな ど を行ないます。 コ マ ン ド 属性 • 「MVR Status」 – MVR が両方のス イ ッ チで有効な場合、MVR グループに関連付け られたマ ルチキ ャ ス ト デー タ は、 指定 さ れたすべての送信元ポー ト か ら、 そのマルチキ ャ ス ト グ ループから デー タ を受信する よ う 登録 し たすべての受信ポー ト に送信 さ れます (デ フ ォル ト : オ フ)。 • 「MVR Running Status」 – MVR 環境の必要条件がすべて満た さ れているかど う かが示 さ れ ます。 • 「MVR VLAN」 – MVR を使用 し たス ト リ ー ミ ング マルチキ ャ ス ト サービ スのチ ャ ネル と し て機能する VLAN の識別子 (範囲 : 1 ~ 4094、 デ フ ォ ル ト : 1) • 「MVR Group IP」 – MVR マルチキ ャ ス ト グループの IP ア ド レ ス。 マルチキ ャ ス ト ス ト リ ームには、 IP ア ド レ ス範囲 224.0.0.0 ~ 239.255.255.255 が使用 さ れます。 MVR グルー プ ア ド レ スには、予約 さ れている IP マルチキ ャ ス ト ア ド レ ス範囲 224.0.0.x 内のア ド レ ス を使用で き ません (範囲 : 224.0.1.0 ~ 239.255.255.255、 デ フ ォル ト : MVR VLAN に割 り 当て ら れているグループはない)。 • 「Count」 – 連続する MVR グループ ア ド レ スの数 (範囲 : 1 ~ 255、 デ フ ォ ル ト : 0) ウ ェ ブ – 「MVR」 、 「Configuration」 の順に ク リ ッ ク し ます。 ス イ ッ チでグ ローバルに MVR を有効に し 、 MVR VLAN を選択 し ます。 次に、 接続 さ れている ホス ト に ト ラ フ ィ ッ ク を送信 する マルチキ ャ ス ト グループ を追加 し 、 「Apply」 を ク リ ッ ク し ます。 図 3-100. MVR のグローバルな構成 3-163 3 ス イ ッ チの構成 CLI – こ の例では、まず IGMP ス ヌ ーピ ン グ を有効に し 、次に MVR を グローバルに有効に し 、 その後 MVR グループ ア ド レ スの範囲を構成 し ています。 Console(config)#ip igmp snooping Console(config)#mvr Console(config)#mvr group 228.1.23.1 10 Console(config)# 4-200 4-209 4-209 MVR イ ン タ ー フ ェ ース ス テー タ スの表示 MVR VLAN に接続 さ れている イ ン タ ー フ ェ ースに関する情報を表示で き ます。 フ ィ ール ド 属性 • 「Type」 – MVR ポー ト タ イ プが示 さ れます。 • 「Oper Status」 – リ ン ク ス テー タ スが示 さ れます。 • 「MVR Status」 – MVR ス テー タ スが示 さ れます。 ス イ ッ チで MVR がグローバルに有効に な っ ている場合、 送信元ポー ト の MVR ス テー タ スは 「ACTIVE」 にな り ます。 受信ポー ト の MVR ス テー タ スが 「ACTIVE」 と な るのは、 いずれかの MVR グループから マルチキ ャ ス ト ト ラ フ ィ ッ ク を受信 し ているサブ ス ク ラ イバが存在するか、 またはマルチキ ャ ス ト グ ループがイ ン タ ー フ ェ ースに静的に割 り 当て られている場合のみです。 • 「Immediate Leave」 – 即時 リ ーブが有効か無効かが示 さ れます。 • 「Trunk Member1」 – ポー ト が ト ラ ン ク メ ンバーかど う かが示 さ れます。 ウ ェ ブ – 「MVR」、 「Port Information」 または 「Trunk Information」 の順に ク リ ッ ク し ます。 図 3-101. MVR ポー ト 情報 1. 「Port Information」 のみ 3-164 マルチキ ャ ス ト VLAN 登録 3 CLI – こ の例では、 MVR VLAN に接続 さ れている イ ン タ ー フ ェ ースに関する情報を表示 し て います。 Console#show mvr Port Type ------- -------eth1/1 SOURCE eth1/2 RECEIVER Console# interface Status ------------ACTIVE/UP ACTIVE/UP 4-212 Immediate Leave --------------Disable Disable マルチキ ャ ス ト グループのポー ト メ ンバーの表示 IGMP ス ヌ ーピ ングまたは静的な構成によ っ て MVR VLAN に割 り 当て られたマルチキ ャ ス ト グループ を表示で き ます。 フ ィ ール ド 属性 • 「Group IP」 – MVR VLAN に割 り 当て られたマルチキ ャ ス ト グループ • 「Group Port List」 – MVR VLAN に よ っ て提供 さ れる マルチキ ャ ス ト サービ スのサブ ス ク ラ イバが接続 さ れている イ ン タ ー フ ェ ースが示 さ れます。 ウ ェ ブ – 「MVR」、 「Group IP Information」 の順に ク リ ッ ク し ます。 図 3-102. MVR グループ IP 情報 3-165 3 ス イ ッ チの構成 CLI – 次の例では、 MVR VLAN に割 り 当て られたマルチキ ャ ス ト グループに関連付け られて いる イ ン タ ー フ ェ ースに関する情報を表示 し ています。 Console#show mvr MVR Group IP ---------------225.0.0.1 225.0.0.2 225.0.0.3 225.0.0.4 225.0.0.5 225.0.0.6 225.0.0.7 225.0.0.8 225.0.0.9 225.0.0.10 Console# interface Status Members -------- ------ACTIVE eth1/1(d), eth1/2(s) INACTIVE None INACTIVE None INACTIVE None INACTIVE None INACTIVE None INACTIVE None INACTIVE None INACTIVE None INACTIVE None 4-212 MVR イ ン タ ー フ ェ ース ス テー タ スの構成 MVR VLAN に参加する各イ ン タ ー フ ェ ースは、MVR 送信元ポー ト ま たは受信ポー ト と し て構 成する必要があ り ます。 イ ン タ ー フ ェ ースに接続 さ れた 1 つのサブ ス ク ラ イ バのみがマルチ キ ャ ス ト サービ ス を受信する場合、 即時 リ ーブ機能を有効にで き ます。 コ マ ン ド の使用 • 1 つ以上のイ ン タ ー フ ェ ース を MVR 送信元ポー ト と し て構成で き ます。 • MVR 受信ポー ト を ト ラ ン クの メ ンバーにする こ と はで き ません。 受信ポー ト は複数の VLAN に属する こ と がで き ますが、 MVR VLAN の メ ンバー と し て構成 し ないで く だ さ い。 • IGMP ス ヌ ーピ ングに よ り 、 受信ポー ト または送信ポー ト は、 マルチキ ャ ス ト フ ィ ル タ リ ングの標準ルールに従っ て MVR VLAN 内のマルチキ ャ ス ト グループに動的に参加または 離脱する こ と がで き ます。 送信元ポー ト または受信ポー ト にマルチキ ャ ス ト グループ を静 的に割 り 当て る こ と も で き ます (3-167 ページの 「イ ン タ ー フ ェ ースへのス タ テ ィ ッ ク マ ルチキ ャ ス ト グループの割当て」 を参照)。 • 即時 リ ーブは受信ポー ト にのみ適用 さ れます。こ の機能が有効な場合、受信ポー ト は、leave メ ッ セージに指定 さ れたマルチキ ャ ス ト グループか ら即座に削除 さ れます。 即時 リ ーブが 無効な場合、 ス イ ッ チは標準ルールに従い、 ポー ト をグループ リ ス ト から 削除する前にグ ループ固有の ク エ リ ーを受信ポー ト に送信 し て応答を待機 し 、 そのマルチキ ャ ス ト グルー プにサブ ス ク ラ イバが残 っ ているかど う かを判断 し ます。即時 リ ーブ機能を使用する と 、離 脱時の遅延を短縮で き ま すが、 同 じ イ ン タ ー フ ェ ース に接続 さ れたほかのグルー プ メ ン バーに対するサービ スに悪影響を与え ないよ う 、 1 つのマルチキ ャ ス ト サブ ス ク ラ イバに 接続 さ れたポー ト でのみ有効に し て く だ さ い。 即時 リ ーブは、 ポー ト に静的に割 り 当て ら れたマルチキ ャ ス ト グループには適用 さ れません。 コ マ ン ド 属性 • 「MVR Type」 – 次のイ ン タ ー フ ェ ース タ イ プがサポー ト さ れます。 - 「Source」 – VR VLAN に割 り 当て られたグループにマルチキ ャ ス ト デー タ を送受信可能 な ア ッ プ リ ン ク ポー ト - 「Receiver」 – VR VLAN に よ っ て送信 さ れたマルチキ ャ ス ト デー タ を受信可能なサブ ス ク ラ イバ ポー ト - 「Non-MVR」 – VR VLAN に参加 し ない イ ン タ ー フ ェ ース (デ フ ォ ル ト タ イ プ) 3-166 3 マルチキ ャ ス ト VLAN 登録 • 「Immediate Leave」 – グループの leave メ ッ セージ を受信 し た ら、 即座にマルチキ ャ ス ト ス ト リ ームか ら イ ン タ ー フ ェ ース を削除する よ う ス イ ッ チ を構成 し ます。 • 「Trunk1」 – ポー ト が ト ラ ン ク メ ンバーかど う かが示 さ れます。 ウ ェ ブ – 「MVR」、「Port Configuration」 または 「Trunk Configuration」 の順に ク リ ッ ク し ます。 図 3-103. MVR ポー ト の構成 CLI – こ の例では、 MVR 送信元ポー ト お よび受信ポー ト を構成 し 、 受信ポー ト で即時 リ ーブ を有効に し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#mvr type source Console(config-if)#exit Console(config)#interface ethernet 1/2 Console(config-if)#mvr type receiver Console(config-if)#mvr immediate Console(config-if)# 4-210 4-210 4-210 イ ン タ ー フ ェ ースへのス タ テ ィ ッ ク マルチキ ャ ス ト グループの割当て 長期的に実行 さ れ、一定のホス ト セ ッ ト に関連付け られる マルチキ ャ ス ト ス ト リ ームについて は、 マルチキ ャ ス ト グループ を参加イ ン タ ー フ ェ ースに静的にバイ ン ド する こ と がで き ます。 コ マ ン ド の使用 • MVR VLAN を使用する マルチキ ャ ス ト グループは、 「MVR Configuration」 メ ニ ュ ーでその MVR VLAN に静的に割 り 当て る必要があ り ます (3-163 ページの 「グローバルな MVR 設 定の構成」 を参照)。 • マルチキ ャ ス ト ス ト リ ームには、 IP ア ド レ ス範囲 224.0.0.0 ~ 239.255.255.255 が使用 さ れます。 MVR グループ ア ド レ スには、 予約 さ れてい る IP マルチキ ャ ス ト ア ド レ ス範囲 224.0.0.x 内のア ド レ ス を使用で き ません。 1. 「Port Information」 のみ 3-167 3 ス イ ッ チの構成 コ マ ン ド 属性 • 「Interface」 – ポー ト または ト ラ ン ク を指定 し ます。 • 「Member」 – 選択 し た イ ン タ ー フ ェ ースに静的に割 り 当て られている MVR マルチキ ャ ス ト グループの IP ア ド レ スが示 さ れます。 • 「Non-Member」 – 選択 し た イ ン タ ー フ ェ ースに静的に割 り 当て ら れていないすべての MVR マルチキ ャ ス ト グループの IP ア ド レ スが示 さ れます。 ウ ェ ブ – 「MVR」、 「Group Member Configuration」 の順に ク リ ッ ク し ます。 割 り 当て られて いる マルチキ ャ ス ト グループ を表示するには、 「Interface」 フ ィ ール ド でポー ト ま たは ト ラ ン ク を選択 し 、 「Query」 を ク リ ッ ク し ます。 「Member」 リ ス ト を変更するには、 表示 さ れた リ ス ト か ら マルチキ ャ ス ト ア ド レ ス を選択 し 、 「Add」 ま たは 「Remove」 ボ タ ン を ク リ ッ ク し ます。 図 3-104. MVR グループ メ ンバーの構成 CLI – こ の例では、 マルチキ ャ ス ト グループ を受信ポー ト に静的に割 り 当て ています。 Console(config)#interface ethernet 1/2 Console(config-if)#mvr group 228.1.23.1 Console(config-if)# 4-210 DHCP スヌ ーピ ン グ DHCP ス ヌ ーピ ング を使用する と 、 ス イ ッ チは、 不正な DHCP サーバーや、 ポー ト 関連情報 を DHCP サーバーに送信す る その他のデバ イ スか ら ネ ッ ト ワー ク を 保護す る こ と がで き ま す。 こ の情報は、 IP ア ド レ ス を物理ポー ト ま で さ かのぼっ て追跡する際に役立ち ます。 外部の送信元から悪意のあ る DHCP メ ッ セージ を受信 し た場合、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク に悪影響がお よぶ こ と があ り ます。 DHCP ス ヌ ーピ ン グ を使用 し て、 非セキ ュ ア な イ ン タ ー フ ェ ース で受信 し た ネ ッ ト ワー ク ま たは フ ァ イ ア ウ ォ ール外部か ら の DHCP メ ッ セー ジ を フ ィ ル タ リ ング し ます。 DHCP ス ヌ ーピ ングがグ ローバルに、 また VLAN イ ン タ ー フ ェ ース で有効に さ れている場合、 非 ト ラ ス テ ッ ド イ ン タ ー フ ェ ースで受信 し た、 DHCP ス ヌ ーピ ン グ テーブルに登録 さ れていないデバイ スから の DHCP メ ッ セージは破棄 さ れます。 こ の機能が有効な場合、 非 ト ラ ス テ ッ ド イ ン タ ー フ ェ ー ス に入 っ た DHCP メ ッ セ ー ジは、 DHCP ス ヌ ーピ ングに よ っ て学習 さ れたダ イ ナ ミ ッ ク エ ン ト リ に基づいて フ ィ ル タ リ ング さ れます。 3-168 DHCP ス ヌ ーピ ン グ 3 フ ィ ル タ リ ング ルールは次のよ う に実装 さ れます。 • グローバルな DHCP ス ヌーピ ングが無効な場合、すべての DHCP パケ ッ ト が転送 さ れます。 • DHCP ス ヌ ーピ ングがグローバルに有効で、 DHCP パケ ッ ト を受信 し た VLAN で も有効に な っ ている場合、 すべての DHCP パケ ッ ト が ト ラ ス テ ッ ド ポー ト に転送 さ れます。 受信 し たパケ ッ ト が DHCP ACK メ ッ セージの場合、 ダ イ ナ ミ ッ ク DHCP ス ヌ ーピ ング エ ン ト リ はバイ ンデ ィ ング テーブルに も 追加 さ れます。 • DHCP ス ヌ ーピ ングがグローバルに有効で、 DHCP パケ ッ ト を受信 し た VLAN で も有効に な っ ているが、 ポー ト が ト ラ ステ ッ ド でない 場合、 次のよ う に処理 さ れます。 • DHCP パケ ッ ト が DHCP サーバーから の応答パケ ッ ト (OFFER、 ACK、 NAK メ ッ セー ジ な ど) の場合、 パケ ッ ト は破棄 さ れます。 • DHCP パケ ッ ト が、 ク ラ イ ア ン ト から送信 さ れた DECLINE または RELEASE メ ッ セー ジ な どの場合、 対応する エ ン ト リ がバイ ンデ ィ ング テーブルで見つか っ た と きのみ、 ス イ ッ チはパケ ッ ト を転送 し ます。 • DHCP パケ ッ ト が、 ク ラ イ ア ン ト か ら送信 さ れた DISCOVER、 REQUEST、 INFORM、 DECLINE、 RELEASE メ ッ セージ な どの場合、 MAC ア ド レ スの照合が無効にな っ てい れば、 パケ ッ ト は転送 さ れます。 ただ し 、 MAC ア ド レ スの照合が有効にな っ ている と き は、 DHCP パケ ッ ト に保存 さ れてい る ク ラ イ ア ン ト のハー ド ウ ェ ア ア ド レ スが イ ーサ ネ ッ ト ヘ ッ ダー内の送信元 MAC ア ド レ ス と 同 じ 場合のみ、 パケ ッ ト が転送 さ れます。 • DHCP パケ ッ ト の タ イ プ を認識で き ない場合、 パケ ッ ト は破棄 さ れます。 • ク ラ イ ア ン ト から送信 さ れた DHCP パケ ッ ト が上記の フ ィ ル タ リ ン グ基準を満た し ている 場合、 同 じ VLAN 内の ト ラ ス テ ッ ド ポー ト にのみ転送 さ れます。 • サーバーか らの DHCP パケ ッ ト が ト ラ ス テ ッ ド ポー ト で受信 さ れた場合、 同 じ VLAN 内 の ト ラ ス テ ッ ド ポー ト および非 ト ラ ス テ ッ ド ポー ト の両方に転送 さ れます。 DHCP ス ヌ ーピ ングがグローバルに無効にな っ ている場合、 バイ ンデ ィ ング テーブルから す べてのダ イ ナ ミ ッ ク バイ ンデ ィ ングが削除 さ れます。 ス イ ッ チ自体が DHCP ク ラ イ ア ン ト であ る場合の追加考慮事項 - ス イ ッ チがク ラ イ ア ン ト 要 求を DHCP サーバーにサブ ミ ッ ト する際に経由するポー ト は、 ト ラ ス テ ッ ド と し て構成 さ れ ている必要があ り ます。 ス イ ッ チは、 DHCP サーバーから ACK メ ッ セージ を受信 し た場合、 ス イ ッ チ自体のダ イ ナ ミ ッ ク エ ン ト リ をバ イ ン デ ィ ン グ テーブルに追加 し ない こ と に注意 し て く だ さ い。 ま た、 ス イ ッ チがそれ自体の DHCP ク ラ イ ア ン ト パケ ッ ト を送信する場合、 フ ィ ル タ リ ングは行われません。 ただ し 、 ス イ ッ チが DHCP サーバーから メ ッ セージ を受信 する と きは、 非 ト ラ ス テ ッ ド ポー ト か ら受信 し たパケ ッ ト はすべて破棄 さ れます。 DHCP ス ヌ ーピ ン グの構成 コ マ ン ド 属性 • 「DHCP Snooping Status」 – DHCP ス ヌーピ ングをグローバルに有効または無効に し ます。 • 「DHCP Snooping MAC-Address Verification」 – MAC ア ド レ スの照合を有効または無効 に し ます。DHCP パケ ッ ト のイ ーサネ ッ ト ヘ ッ ダーに指定 さ れた送信元 MAC ア ド レ スが、 DHCP パケ ッ ト 内の ク ラ イ ア ン ト のハー ド ウ ェ ア ア ド レ ス と 一致 し ない場合、 DHCP パ ケ ッ ト は破棄 さ れます。 3-169 3 ス イ ッ チの構成 ウ ェ ブ – 「DHCP Snooping」、 「Configuration」 の順に ク リ ッ ク し ます。 図 3-105. DHCP ス ヌ ーピ ングの構成 CLI – こ の例では、 まず DHCP ス ヌ ーピ ン グ を有効に し 、 次に DHCP ス ヌ ーピ ン グの MAC ア ド レ スの照合を有効に し ています。 Console(config)#ip dhcp snooping Console(config)#ip dhcp snooping verify mac-address Console(config)# 4-223 4-227 VLAN での DHCP ス ヌ ーピ ン グの構成 指定 し た VLAN で DHCP ス ヌ ーピ ング を有効に し ます。 コ マ ン ド 属性 • 「VLAN ID」 – 構成済み VLAN の ID (1 ~ 4094) • 「DHCP Snooping Status」 – 指定 し た VLAN で DHCP ス ヌ ーピ ング を有効または無効に し ます。 DHCP ス ヌ ーピ ングがス イ ッ チでグ ローバルに、 また指定 し た VLAN で有効にな っ ている場合、 VLAN 内のすべての非 ト ラ ス テ ッ ド ポー ト で DHCP パケ ッ ト フ ィ ル タ リ ン グが実行 さ れます。 ウ ェ ブ – 「DHCP Snooping」、 「VLAN Configuration」 の順に ク リ ッ ク し ます。 図 3-106. VLAN での DHCP ス ヌ ーピ ン グの構成 CLI – こ の例では、 まず VLAN 1 で DHCP ス ヌ ーピ ング を有効に し ています。 Console(config)#ip dhcp snooping vlan 1 Console(config)# 3-170 4-225 DHCP ス ヌ ーピ ン グ 3 DHCP ス ヌ ーピ ン グ情報オプ シ ョ ンの構成 DHCP では、ス イ ッ チ と その DHCP ク ラ イ ア ン ト に関する情報を DHCP サーバーに送信する ための リ レー メ カ ニズムが提供 さ れます。 これは DHCP オプ シ ョ ン 82 と し て知ら れ、 互換 性のあ る DHCP サーバーが IP ア ド レ ス を割 り 当て る際に こ の情報を使用 し た り 、ク ラ イ ア ン ト に対 し てほかのサービ スやポ リ シーを設定する こ と がで き ます。 DHCP ス ヌ ーピ ン グ情報オ プ シ ョ ンが有効な場合、 ク ラ イ ア ン ト の MAC ア ド レ ス だけで な く 、 ク ラ イ ア ン ト が接続 さ れている ス イ ッ チ ポー ト に よ っ て、 ク ラ イ ア ン ト を識別で き ます。 こ の場合、DHCP ク ラ イ ア ン ト / サーバー交換 メ ッ セージは、サーバー と ク ラ イ ア ン ト 間で直 接転送 さ れる ため、 VLAN 全体に フ ラ ッ デ ィ ングする必要があ り ません。 場合に よ っ ては、 ス イ ッ チが、 すでに DHCP オプ シ ョ ン 82 情報が保持 さ れている DHCP パ ケ ッ ト を ク ラ イ ア ン ト か ら 受信する こ と があ り ます。 こ のよ う なパケ ッ ト に対する ア ク シ ョ ン ポ リ シーを設定する よ う ス イ ッ チ を構成で き ます。 ス イ ッ チでは、 パケ ッ ト を破棄、 既存 の情報を維持、 ま たはその情報を ス イ ッ チの リ レー情報で置換する こ と がで き ます。 注 : DHCP オプ シ ョ ン 82 情報をパケ ッ ト に挿入するには、ス イ ッ チで DHCP ス ヌ ーピ ングを有効 にする必要があ り ます。 コ マ ン ド 属性 • 「DHCP Snooping Information Option Status」 – DHCP オプ シ ョ ン 82 情報 リ レーを有効 または無効に し ます。 • 「DHCP Snooping Information Option Policy」 – オプ シ ョ ン 82 情報が保持 さ れる DHCP ク ラ イ ア ン ト パケ ッ ト に対する DHCP ス ヌ ーピ ング情報オプシ ョ ン ポ リ シーを設定 し ます。 • 「Replace」 – DHCP ク ラ イ ア ン ト パケ ッ ト 情報を ス イ ッ チの リ レー情報で上書き し ます。 • 「Keep」 – ク ラ イ ア ン ト の DHCP 情報を維持 し ます。 • 「Drop」 – オプ シ ョ ン 82 情報が保持 さ れた DHCP ク ラ イ ア ン ト パケ ッ ト をすべて破棄 し ます。 ウ ェ ブ – 「DHCP Snooping」、 「Information Option Configuration」 の順に ク リ ッ ク し ます。 図 3-107. DHCP ス ヌ ーピ ング情報オプ シ ョ ンの構成 CLI – こ の例では、 DHCP ス ヌ ーピ ング情報オプ シ ョ ン を有効に し 、 ポ リ シーを replace (置 換) に設定 し ています。 Console(config)#ip dhcp snooping information option Console(config)#ip dhcp snooping information policy replace Console(config)# 4-227 4-228 3-171 3 ス イ ッ チの構成 ポー ト での DHCP ス ヌ ーピ ン グの構成 ス イ ッ チ ポー ト を ト ラ ス テ ッ ド または非 ト ラ ス テ ッ ド と し て構成 し ます。 非 ト ラ ス テ ッ ド イ ン タ ー フ ェ ース と は、 ネ ッ ト ワー ク ま たは フ ァ イ アウ ォ ールの外部か ら メ ッ セージ を受信す る よ う 構成 さ れている イ ン タ ー フ ェ ース です。 ト ラ ス テ ッ ド イ ン タ ー フ ェ ース と は、 ネ ッ ト ワー ク 内から のみ メ ッ セージ を受信する よ う 構成 さ れている イ ン タ ー フ ェ ースです。 コ マ ン ド 属性 • 「Trust Status」 – ト ラ ス テ ッ ド と し てのポー ト 設定を有効または無効に し ます。 ウ ェ ブ – 「DHCP Snooping」、 「Information Option Configuration」 の順に ク リ ッ ク し ます。 図 3-108. ポー ト での DHCP ス ヌ ーピ ングの構成 CLI – こ の例では、ポー ト で DHCP ス ヌ ーピ ングの ト ラ ス ト ス テー タ ス を有効に し ています。 Console(config)#interface ethernet 1/5 Console(config-if)#ip dhcp snooping trust Console(config-if)# DHCP ス ヌ ーピ ン グ バイ ンデ ィ ン グ情報 DHCP ス ヌ ーピ ング バイ ンデ ィ ング情報を表示 し ます。 コ マ ン ド 属性 • 「No.」 – DHCP ス ヌ ーピ ング バイ ンデ ィ ング情報のエ ン ト リ 番号 • 「Unit」 – ス タ ッ ク ユニ ッ ト • 「Port」 – ポー ト 番号 • 「VLAN ID」 – 構成済み VLAN の ID (1 ~ 4094) • 「MAC Address」 – 有効なユニキ ャ ス ト MAC ア ド レ ス • 「IP Address 」 – 有効なユニキ ャ ス ト IP ア ド レ ス • 「IP Address Type」 – IPv4 または IPv6 ア ド レ ス タ イ プが示 さ れます。 • 「Lease Time (Seconds)」 – エ ン ト リ がテーブルから削除 さ れる ま での時間 3-172 4-226 3 IP ソ ース ガー ド ウ ェ ブ – 「DHCP Snooping」、「DHCP Snooping Binding Information」 の順に ク リ ッ ク し ます。 図 3-109. DHCP ス ヌ ーピ ング バイ ンデ ィ ング情報 CLI – こ の例では、 DHCP ス ヌ ーピ ング バイ ンデ ィ ング テーブルのエ ン ト リ を表示する方法 を示 し ています。 Console#show ip dhcp snooping binding 4-229 MacAddress IpAddress Lease(sec) Type VLAN Interface ----------------- --------------- ---------- -------------------- ---- --------11-22-33-44-55-66 192.168.0.99 0 Dynamic 1 Eth 1/5 Console# IP ソ ース ガード IP ソ ース ガー ド は、 IP ソ ース ガー ド テーブルに手動で構成 さ れたエ ン ト リ 、 ま たは DHCP ス ヌ ーピ ングが有効な場合は (3-168 ページの 「DHCP ス ヌ ーピ ング」 を参照) DHCP ス ヌ ー ピ ン グ テ ー ブルに登録 さ れて い る ス タ テ ィ ッ ク お よ びダ イ ナ ミ ッ ク エ ン ト リ に基づい て、 ネ ッ ト ワー ク イ ン タ ー フ ェ ース上で IP ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グす る セキ ュ リ テ ィ 機 能です。 IP ソ ース ガー ド を使用する こ と に よ り 、 ホ ス ト が隣接機器の IP ア ド レ ス を使用 し てネ ッ ト ワー ク にア ク セ ス し よ う と し た場合に生 じ る ト ラ フ ィ ッ ク 攻撃を防 ぐ こ と がで き ま す。 こ の項目では、 IP ソ ース ガー ド を構成する ための コ マ ン ド について説明 し ます。 ポー ト の IP ソ ース ガー ド の構成 IP ソ ース ガー ド を使用する と 、 非セキ ュ ア なポー ト で ト ラ フ ィ ッ クが フ ィ ル タ リ ン グ さ れま す。 非セキ ュ ア なポー ト と は、 ネ ッ ト ワー ク ま たは フ ァ イ アウ ォ ールの外部か ら メ ッ セージ を受信する ため、 隣接の IP ア ド レ ス を使用 し よ う と する ホス ト によ っ て引き起 こ さ れる ト ラ フ ィ ッ ク攻撃を受けやすいポー ト です。 こ の機能が有効な場合、 DHCP ス ヌ ーピ ン グによ っ て学習 さ れたダ イ ナ ミ ッ ク エ ン ト リ また は ソ ース ガー ド バ イ ン デ ィ ン グ テーブルに構成 さ れた ス タ テ ィ ッ ク ア ド レ スに基づいて、 ト ラ フ ィ ッ ク がフ ィ ル タ リ ング さ れます。イ ンバウ ン ド パケ ッ ト の IP ア ド レ ス(sip オプ シ ョ ン) または IP ア ド レ ス と 対応する MAC ア ド レ スの両方 (sip-mac オプ シ ョ ン) がバイ ンデ ィ ング テーブルで照合 さ れます。 合致する エ ン ト リ が見つか ら ない場合、 パケ ッ ト は破棄 さ れ ます。 3-173 3 ス イ ッ チの構成 コ マ ン ド 属性 • 「Filter Type」 – 送信元 IP ア ド レ ス または送信元 IP ア ド レ ス と 対応する MAC ア ド レ スに 基づいて イ ンバウ ン ド ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グする よ う ス イ ッ チ を構成 し ます (デ フ ォル ト : 「None」)。 • 「None」 – ポー ト で IP ソ ース ガー ド フ ィ ル タ リ ング を無効に し ます。 • 「SIP」 – バイ ンデ ィ ング テーブルに保存 さ れている IP ア ド レ スに基づ く ト ラ フ ィ ッ ク フ ィ ル タ リ ング を有効に し ます。 • 「SIP-MAC」 – バイ ンデ ィ ング テーブルに保存 さ れている IP ア ド レ ス と 対応する MAC ア ド レ スに基づ く ト ラ フ ィ ッ ク フ ィ ル タ リ ン グ を有効に し ます。 ウ ェ ブ – 「IP Source Guard」、 「Port Configuration」 の順に ク リ ッ ク し ます。 図 3-110. ポー ト での IP ソ ース ガー ド の構成 CLI – こ の例では、 ポー ト 5 で IP ソ ース ガー ド を有効にする方法を示 し ています。 Console(config)#interface ethernet 1/5 Console(config-if)#ip source-guard sip Console(config-if)#end Console#show ip source-guard Interface Filter-type ------------------Eth 1/1 DISABLED Eth 1/2 DISABLED Eth 1/3 DISABLED Eth 1/4 DISABLED Eth 1/5 SIP Eth 1/6 DISABLED . . . 3-174 4-219 4-222 IP ソ ース ガー ド 3 ス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グの構成 ソ ースガー ド バイ ンデ ィ ン グ テーブルにス タ テ ィ ッ ク ア ド レ ス を追加 し ます。 テーブル エ ン ト リ は、 MAC ア ド レ ス、 IP ア ド レ ス、 リ ース時間、 エ ン ト リ タ イ プ (ス タ テ ィ ッ ク、 ダ イ ナ ミ ッ ク)、 VLAN 識別子、 およびポー ト 識別子で構成 さ れます。 すべてのス タ テ ィ ッ ク エ ン ト リ には無制限の リ ース時間が構成 さ れ、 こ の こ と はテーブルに値 0 で示 さ れます。 コ マ ン ド 属性 • 「Static Binding Table Counts」 – テーブルに登録さ れている ス タ テ ィ ッ ク エ ン ト リ の総数 • 「Port」 – ス イ ッ チ ポー ト 番号 (範囲 : 1 ~ 28) • 「VLAN ID」 – 構成済み VLAN の ID (1 ~ 4094) • 「MAC Address」 – 有効なユニキ ャ ス ト MAC ア ド レ ス • 「IP Address」 – ク ラ ス フル タ イ プ A、B、または C を含む、有効なユニキ ャ ス ト IP ア ド レ ス ウ ェ ブ – 「IP Source Guard」、 「Static Configuration」 の順に ク リ ッ ク し ます。 図 3-111. ス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グの構成 CLI – こ の例では、 ポー ト 5 で ス タ テ ィ ッ ク ソ ースガー ド バイ ンデ ィ ング を構成する方法を 示 し ています。 Console(config)#ip source-guard binding 11-22-33-44-55-66 vlan 1 192.168.0.99 interface ethernet 1/5 Console(config)# 4-221 3-175 3 ス イ ッ チの構成 ダ イ ナ ミ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グ情報 選択 さ れた イ ン タ ー フ ェ ースの ソ ースガー ド バイ ンデ ィ ン グ テーブルを表示 し ます。 コ マ ン ド 属性 • 「Query by」 – ソ ースガー ド バイ ンデ ィ ング を表示する イ ン タ ー フ ェ ース を選択 し ます (オプ シ ョ ン : 「Port」、 「VLAN」、 「MAC Address」、 または 「IP Address」)。 • 「Dynamic Binding Table Counts」 – ソ ースガー ド バイ ンデ ィ ング テーブルに登録 さ れて いる IP ア ド レ スの数が表示 さ れます。 • 「Current Dynamic Binding Table」 – ソ ースガー ド バイ ンデ ィ ング テーブルに登録 さ れて いる IP ア ド レ スが表示 さ れます。 ウ ェ ブ – 「IP Source Guard」、 「Dynamic Information」 の順に ク リ ッ ク し ます。 図 3-112. ダ イ ナ ミ ッ ク IP ソ ース ガー ド バイ ンデ ィ ング情報 CLI – この例では、 ポー ト 5 で ス タ テ ィ ッ ク ソ ースガー ド バイ ンデ ィ ング を構成する方法を 示 し ています。 Console#show ip source-guard binding 4-222 MacAddress IpAddress Lease(sec) Type VLAN Interface ----------------- --------------- ---------- -------------------- ---- -------11-22-33-44-55-66 192.168.0.99 0 Static 1 Eth 1/5 Console# 3-176 スイ ッ チ ク ラ ス タ リ ング 3 スイ ッ チ ク ラ スタ リ ン グ ス イ ッ チ ク ラ ス タ リ ングは、 複数のス イ ッ チ を グループにま と め、 単一のユニ ッ ト から 一元 管理を行え る よ う にする方法です。 ク ラ ス タ リ ン グ をサポー ト し てい る ス イ ッ チは、 同一の ロー カル ネ ッ ト ワー ク に接続 さ れていれば、 物理的な位置やス イ ッ チ タ イ プに関係な く 、 グ ループにま と める こ と がで き ます。 各ス イ ッ チ ク ラ ス タ には、 ク ラ ス タ 内のその他すべての 「 メ ンバー」 ス イ ッ チ を管理する た めに使用 さ れる 「 コ マ ン ダ」 ユニ ッ ト が含まれます。 管理ス テーシ ョ ンは、 コ マ ン ダの IP ア ド レ ス を使用 し て コ マ ン ダ と 直接 Telnet 通信 し 、 コ マ ン ダは、 ク ラ ス タ の 「内部」 IP ア ド レ ス を 使用 し て メ ン バー ス イ ッ チ を 管理 し ま す。 1 つの ク ラ ス タ に最大 36 個の メ ン バー ス イ ッ チ を構成で き ます。 ク ラ ス タ ス イ ッ チは、 単一の IP サブネ ッ ト 内に制限 さ れます。 ク ラ ス タ コ マ ン ダ と し て構成 さ れたス イ ッ チは、 ネ ッ ト ワー ク 上の ク ラ ス タ 対応ス イ ッ チ を 自動的に検知 し ます。 こ れ ら の 「候補」 ス イ ッ チは、 管理者が管理ス テーシ ョ ンか ら 手動で 選択 し た場合に ク ラ ス タ メ ンバーにな り ます。 注 : ク ラ ス タ メ ンバー ス イ ッ チは、 コ マ ン ダへの Telnet 接続でのみ管理で き ます。 メ ンバー ス イ ッ チに接続する には、 コ マ ン ダの CLI プ ロ ン プ ト から 「rcommand id」 コ マ ン ド (4-233 ペー ジ を参照) を使用 し ます。 ク ラ ス タ の構成 ス イ ッ チ ク ラ ス タ を作成するには、 まずス イ ッ チ で ク ラ ス タ リ ン グ を有効に し (デ フ ォ ル ト で有効)、 ス イ ッ チ を ク ラ ス タ コ マ ン ダ と し て設定 し ます。 次に、 ネ ッ ト ワー ク IP サブネ ッ ト と 競合 し ないよ う ク ラ ス タ IP プールを設定 し ます。 ス イ ッ チが メ ンバーにな る と 、 ク ラ ス タ IP ア ド レ スがス イ ッ チに割 り 当て られ、メ ンバー ス イ ッ チ と コ マ ン ダ間の通信に使用 さ れ ます。 コ マ ン ド 属性 • 「Cluster Status」 – ス イ ッ チで ク ラ ス タ リ ング を有効または無効に し ます。 • 「Cluster Commander」 – ス イ ッ チのク ラ ス タ コ マ ン ダ と し ての設定を有効ま たは無効に し ます。 • 「Role」 – ク ラ ス タ における ス イ ッ チの現在のロールを 「Commander」 、 「Member」 、 また は 「Candidate」 に指定 し ます。 • 「Cluster IP Pool」 – ク ラ ス タ 内の メ ンバー ス イ ッ チに IP ア ド レ ス を割 り 当て る際に使用 さ れる 「内部」 IP ア ド レ ス プール。 内部ク ラ ス タ IP ア ド レ スは、 10.x.x.member-ID の形 式です。 メ ンバー ID の範囲は 1 ~ 36 であ る ため、 設定する必要があるのはプールの基本 IP ア ド レ スのみです。 ス イ ッ チが コ マ ン ダ モー ド の と きは、 ク ラ ス タ IP プールを変更で き ません。 最初に、 コ マ ン ダ モー ド を無効にする必要があ り ます。 • 「Number of Members」 – ク ラ ス タ 内の現在の メ ンバー ス イ ッ チ数 • 「Number of Candidates」 – ネ ッ ト ワー ク で検知 さ れた、メ ンバーにな る こ と ので き る候補 ス イ ッ チの現在の数 3-177 3 ス イ ッ チの構成 ウ ェ ブ – 「Cluster」、 「Configuration」 の順に ク リ ッ ク し ます。 図 3-113. ク ラ ス タ の構成 CLI – こ の例では、 まずス イ ッ チ で ク ラ ス タ リ ン グ を有効に し 、 ス イ ッ チ を ク ラ ス タ コ マ ン ダ と し て設定 し 、 次に ク ラ ス タ IP プールを構成 し ています。 Console(config)#cluster Console(config)#cluster commander Console(config)#cluster ip-pool 10.2.3.4 Console(config)# 4-230 4-231 4-231 ク ラ ス タ メ ンバーの構成 候補ス イ ッ チ を メ ンバー と し て ク ラ ス タ に追加 し ます。 コ マ ン ド 属性 • 「Member ID」 – 選択 し た候補ス イ ッ チの メ ンバー ID 番号を指定 し ます (範囲 : 1 ~ 36)。 • 「MAC Address」 – 検知 さ れたス イ ッ チの MAC ア ド レ ス を 「Candidate Table」 か ら選択す るか、 既知のス イ ッ チの MAC ア ド レ ス を入力 し ます。 ウ ェ ブ – 「Cluster」、 「Member Configuration」 の順に ク リ ッ ク し ます。 図 3-114. ク ラ ス タ メ ンバーの構成 3-178 スイ ッ チ ク ラ ス タ リ ング 3 CLI – こ の例では、 候補ス イ ッ チの MAC ア ド レ ス を指定 し て メ ンバー ID を設定 し 、 新規 ク ラ ス タ メ ンバーを作成 し ています。 Console(config)#cluster member mac-address 00-12-34-56-78-9a id 5 Console(config)# 4-232 ク ラ ス タ メ ンバー情報 現在の ク ラ ス タ メ ンバー ス イ ッ チ情報を表示 し ます。 コ マ ン ド 属性 • 「Member ID」 – メ ンバー ス イ ッ チの ID 番号 (範囲 : 1 ~ 36) • 「Role」 – ク ラ ス タ における ス イ ッ チの現在のス テー タ スが示 さ れます。 • 「IP Address」 – メ ンバー ス イ ッ チに割 り 当て られた内部 ク ラ ス タ IP ア ド レ ス • 「MAC Address」 – メ ンバー ス イ ッ チの MAC ア ド レ ス • 「Description」 – メ ンバー ス イ ッ チのシ ス テム説明文字列 ウ ェ ブ – 「Cluster」、 「Member Information」 の順に ク リ ッ ク し ます。 図 3-115. ク ラ ス タ メ ンバー情報 CLI – こ の例では、 ク ラ ス タ メ ンバー ス イ ッ チに関する情報を表示 し ています。 Vty-0#sh cluster members Cluster Members: ID: 1 Role: Active member IP Address: 10.254.254.2 MAC Address: 00-12-cf-23-49-c0 Description: 24/48 L2/L4 IPV4/IPV6 GE Switch Vty-0# 4-233 ク ラ ス タ 候補情報 ネ ッ ト ワー ク で検知 さ れた、 すでに ク ラ ス タ メ ンバーにな っ ている ス イ ッ チ、 ま たはク ラ ス タ メ ンバーにな る こ と ので き る ス イ ッ チに関する情報を表示 し ます。 コ マ ン ド 属性 • 「Role」 – ネ ッ ト ワー ク上にある候補ス イ ッ チの現在のス テー タ スが示 さ れます。 • 「MAC Address」 – 候補ス イ ッ チの MAC ア ド レ ス • 「Description」 – 候補ス イ ッ チのシ ス テム説明文字列 3-179 3 ス イ ッ チの構成 ウ ェ ブ – 「Cluster」、 「Candidate Information」 の順に ク リ ッ ク し ます。 図 3-116. ク ラ ス タ 候補情報 CLI – こ の例では、 ク ラ ス タ 候補ス イ ッ チに関する情報を表示 し ています。 Vty-0#show cluster candidates Cluster Candidates: Role Mac --------------- ----------------ACTIVE MEMBER 00-12-cf-23-49-c0 CANDIDATE 00-12-cf-0b-47-a0 Vty-0# 3-180 4-234 Description ----------------------------------------24/48 L2/L4 IPV4/IPV6 GE Switch 24/48 L2/L4 IPV4/IPV6 GE Switch 第 4 章 : コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース こ の章では、 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース (CLI) の使用方法について説明 し ます。 コ マン ド ラ イ ン イ ン タ ーフ ェ ースの使用 CLI へのア ク セス サーバーの コ ン ソ ール ポー ト への直接接続、 または Telnet 接続によ っ て ス イ ッ チの管理イ ン タ ー フ ェ ースにア ク セ スする場合、 プ ロ ン プ ト で コ マ ン ド のキーワー ド お よびパ ラ メ ー タ を 入力する こ と によ り 、 ス イ ッ チ を管理する こ と がで き ます。 ス イ ッ チのコ マ ン ド ラ イ ン イ ン タ ー フ ェ ース (CLI) の使用方法は、 UNIX シ ス テムでのコ マ ン ド 入力の方法 と ほぼ同様です。 コ ン ソ ール接続 コ ン ソ ール ポー ト から ス イ ッ チにア ク セスするには、 次の手順を実行 し ます。 1. コ ン ソ ール プ ロ ン プ ト で、 ユーザー名およびパスワー ド を入力 し ます (デ フ ォ ル ト の ユーザー名は、 「admin」 と 「guest」 です。 それぞれのパスワー ド は 「admin」 と 「guest」 です)。 管理者のユーザー名 と パスワー ド を入力する と 、 CLI に 「Console#」 プ ロ ン プ ト が表示 さ れ、 特権ア ク セス モー ド (Privileged Exec) に入 り ます。 一方、 ゲス ト のユー ザー名 と パスワー ド を入力する と 、 CLI に 「Console>」 プ ロ ン プ ト が表示 さ れ、 通常ア ク セス モー ド (Normal Exec) に入 り ます。 2. 必要な コ マ ン ド を入力 し て、 目的の タ ス ク を完了 し ます。 3. 完了 し た ら、 「quit」 または 「exit」 コ マ ン ド を使用 し て、 セ ッ シ ョ ン を終了 し ます。 コ ン ソ ール ポー ト から シ ス テムに接続する と 、 次のログ イ ン画面が表示 さ れます。 User Access Verification Username: admin Password: CLI session with the ES3528M is opened. To end the CLI session, enter [Exit]. Console# Telnet 接続 Telnet は、IP 転送プ ロ ト コルを介 し て動作 し ます。Telnet 環境では、使用 し ている管理ス テー シ ョ ン、およびネ ッ ト ワー ク 上で管理するすべてのネ ッ ト ワー ク デバイ スが有効な IP ア ド レ ス を持 っ ている必要があ り ます。 有効な ア ド レ スは、 ピ リ オ ド で区切ら れた 0 ~ 255 の 4 つ の数値で構成 さ れます。 各ア ド レ スは、 ネ ッ ト ワー ク 部分 と ホス ト 部分に分かれています。 た と えば、 ス イ ッ チ に割 り 当て ら れて い る IP ア ド レ スが 10.1.0.1 で、 サ ブ ネ ッ ト マ ス ク が 255.255.255.0 の場合、 こ の IP ア ド レ スはネ ッ ト ワー ク部分 (10.1.0) と ホス ト 部分 (1) で 構成 さ れています。 注 : デ フ ォル ト では、 このス イ ッ チの IP ア ド レ スは DHCP によ っ て取得 さ れます。 4-1 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース Telnet セ ッ シ ョ ン を介 し て ス イ ッ チにア ク セスするには、マス タ ー ユニ ッ ト の IP ア ド レ ス を 設定 し てから 、 (別の IP サブ ネ ッ ト か ら ス イ ッ チ を管理する場合) デ フ ォル ト ゲー ト ウ ェ イ を設定する必要があ り ます。 次に例を示 し ます。 Console(config)#interface vlan 1 Console(config-if)#ip address 10.1.0.254 255.255.255.0 Console(config-if)#exit Console(config)#ip default-gateway 10.1.0.254 企業ネ ッ ト ワー クが、 社外の別のネ ッ ト ワー ク またはイ ン タ ーネ ッ ト に接続 さ れている場合、 登録済み IP ア ド レ スの申込みが必要です。 ただ し 、 隔離ネ ッ ト ワー ク に接続 し てい る場合、 接続先のネ ッ ト ワー ク セグ メ ン ト に適合する任意の IP ア ド レ ス を使用で き ます。 ス イ ッ チの IP ア ド レ ス を構成 し た ら、次の手順を実行 し て Telnet セ ッ シ ョ ン を開 く こ と がで き ます。 1. リ モー ト ホス ト から、 Telnet コ マ ン ド 、 およびア ク セスするデバイ スの IP ア ド レ ス を 入力 し ます。 2. プ ロ ン プ ト で、 ユーザー名およびシ ス テム パスワー ド を入力 し ます。 管理者の場合、 特 権ア ク セ ス モー ド (Privileged Exec) であ る こ と を示す 「Vty-n#」 プ ロ ン プ ト が表示 さ れます。 ゲス ト の場合、通常ア ク セス モー ド (Normal Exec) であ る こ と を示す 「Vty-n>」 が表示 さ れます。 こ こ で、 n は、 現在の Telnet セ ッ シ ョ ンの番号です。 3. 必要な コ マ ン ド を入力 し て、 目的の タ ス ク を完了 し ます。 4. 完了 し た ら、 「quit」 または 「exit」 コ マ ン ド を使用 し て、 セ ッ シ ョ ン を終了 し ます。 Telnet コ マ ン ド を入力する と 、 次のログ イ ン画面が表示 さ れます。 Username: admin Password: CLI session with the ES3528M is opened. To end the CLI session, enter [Exit]. Vty-0# 注 : Telnet 経由でデバイ スに対 し て開 く こ と がで き る セ ッ シ ョ ンは最大で 4 つです。 4-2 コ マ ン ド の入力 4 コ マン ド の入力 こ のセ ク シ ョ ン では、 CLI コ マ ン ド の入力方法について説明 し ます。 キーワー ド および引数 CLI コ マ ン ド は、 一連のキーワー ド と 引数から成 り ます。 キーワー ド はコ マ ン ド を特定 し 、 引 数は コ ン フ ィ ギ ュ レ ーシ ョ ン パ ラ メ ー タ を指定 し ま す。 た と えば、 「show interfaces status ethernet 1/5」 と い う コ マ ン ド の場合、 show interfaces と status がキーワー ド で、 ethernet はイ ン タ ー フ ェ ース タ イ プ を指定する引数、 1/5 はユニ ッ ト / ポー ト を指定する引数です。 コ マ ン ド は次のよ う に入力 し ます。 • 簡単な コ マ ン ド を入力する場合、 コ マ ン ド キーワー ド を入力 し ます。 • 複数の コ マ ン ド を 入力 す る 場合、 各 コ マ ン ド を 必要 な 順序 で 入力 し ま す。 た と え ば、 Privileged Exec コ マ ン ド モー ド を有効に し て、ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン を 表示する場合、 次のよ う に入力 し ます。 Console>enable Console#show startup-config • パラ メ ー タ を必要 と する コ マ ン ド を入力する場合、 コ マ ン ド キーワー ド の後に必要なパラ メ ー タ を入力 し ます。た と えば、管理者パスワー ド を設定する場合、次のよ う に入力 し ます。 Console(config)#username admin password 0 smith コ マ ン ド の省略入力 CLI は、 コ マ ン ド を一意に識別する ために必要な最小限の文字入力のみで も受け付けます。 た と えば、 コ マ ン ド 「configure」 は、 con と 入力で き ます。 入力を識別で き ない場合、 さ ら に 入力を求める プ ロ ン プ ト が表示 さ れます。 コ マ ン ド の入力補完 CLI では、 入力の最後に [Tab] キーを押す と 、 一部入力 さ れたキーワー ド の残 り の文字が一意 に識別で き る範囲ま で出力 さ れま す。 た と えば、 「logging history」 の場合、 log と 入力 し て [Tab] キーを押す と 、 コ マ ン ド が 「logging」 ま で出力 さ れます。 コ マ ン ド のヘルプの使用 help コ マ ン ド を入力する と 、 ヘルプ シ ス テムの簡単な説明を表示で き ます。 ま た、 キーワー ド やパ ラ メ ー タ を リ ス ト 表示する 「?」 文字を使用する こ と で、 コ マ ン ド 構文を表示する こ と も で き ます。 4-3 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の表示 コ マ ン ド プ ロ ン プ ト で 「?」 を入力する と 、現在のコ マ ン ド ク ラ ス (Normal Exec か Privileged Exec) ま たは コ ン フ ィ ギ ュ レーシ ョ ン ク ラ ス (グ ローバル、 ACL、 イ ン タ ー フ ェ ース、 ラ イ ン、 VLAN デー タ ベース) の最初のレ ベルのキーワー ド が表示 さ れます。 また、 特定の コ マ ン ド の有効なキーワー ド を リ ス ト 表示す る こ と も で き ます。 た と えば、 「show ?」 コ マ ン ド を 入力する と 、 使用可能な show コ マ ン ド が リ ス ト 表示 さ れます。 Console#show ? access-group access-list bridge-ext calendar dot1x garp gvrp history interfaces ip lacp line log logging mac-address-table management map port public-key queue radius-server running-config snmp sntp spanning-tree ssh startup-config system tacacs-server users version vlan Console#show Access groups Access lists Bridge extension information Date and time information 802.1x content GARP properties GVRP interface information History information Interface information IP information LACP statistics TTY line information Login records Login setting Configuration of the address table Management IP filter Maps priority Port characteristics Public key information Priority queue information RADIUS server information Information on the running configuration Simple Network Management Protocol statistics Simple Network Time Protocol configuration Spanning-tree configuration Secure shell server connections Startup system configuration System information TACACS server settings Information about terminal lines System hardware and software versions Virtual LAN settings 「show interfaces ?」 コ マ ン ド では、 次の情報が表示 さ れます。 Console#show interfaces ? counters Interface counters information status Interface status information switchport Interface switchport information Console#show interfaces 4-4 コ マ ン ド の入力 4 部分キーワー ド 検索 キーワー ド の一部を入力 し て、 疑問符で終了する と 、 最初の文字に一致するキーワー ド が表 示 さ れます ( コ マ ン ド と 疑問符の間にはスペース を入れないよ う に注意 し て く だ さ い)。 た と えば、 「s?」 と 入力する と 、 「s」 で始ま るキーワー ド がすべて リ ス ト 表示 さ れます。 Console#show s? snmp sntp system Console#show s spanning-tree ssh startup-config コ マ ン ド の無効化 コ ン フ ィ ギ ュ レ ーシ ョ ン コ マ ン ド の多 く では、 プ レ フ ィ ッ ク ス キーワー ド 「no」 を入力 し て、 コ マ ン ド の効果を取 り 消 し た り 、 コ ン フ ィ ギ ュ レ ーシ ョ ン をデ フ ォ ル ト 値に リ セ ッ ト し た り する こ と がで き ます。た と えば、logging コ マ ン ド は、シ ス テム メ ッ セージ を ホス ト サー バーに ロギング さ せる コ マ ン ド です。 ロギン グ を無効にする には、 no logging コ マ ン ド を指 定 し ます。 本書では、 適用可能なすべてのコ マ ン ド について無効化の説明を提供 し ています。 コ マ ン ド 履歴の使用 CLI では、 入力 し た コ マ ン ド の履歴が保存 さ れています。 コ マ ン ド の履歴を ス ク ロール バ ッ ク し て確認するには、 上矢印キーを押 し ます。 履歴 リ ス ト に表示 さ れる コ マ ン ド はいずれも、 再実行する こ と も、 変更 し て実行する こ と も で き ます。 show history コ マ ン ド を使用する と 、最近実行 さ れた コ マ ン ド の長い リ ス ト が表示 さ れます。 コ マ ン ド モー ド について コ マ ン ド 一式は、Exec (実行) ク ラ ス と コ ン フ ィ ギ ュ レーシ ョ ン ク ラ スに分け られます。Exec コ マ ン ド では通常、 シ ス テム ス テー タ ス情報の表示や、 統計カ ウン タ のク リ ア を実行 し ます。 一方、 コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド は、 イ ン タ ー フ ェ ース パラ メ ー タ の変更や、 特定の ス イ ッ チ ン グ機能の有効化に使用 さ れます。 こ れ ら の ク ラ スは、 さ ら にい く つかのモー ド に 分類 さ れます。 使用で き る コ マ ン ド は、 選択 し た モー ド に よ り 異な り ます。 プ ロ ン プ ト で疑 問符 「?」 を入力する と 、 現在のモー ド で使用可能な コ マ ン ド を いつで も リ ス ト 表示で き ます。 コ マ ン ド ク ラ スおよび対応する モー ド を次の表に示 し ます。 表 4-1. コ マ ン ド モー ド ク ラス モー ド Exec Normal Exec Privileged Exec コ ン フ ィ ギ ュ レーシ ョ ン グローバル* ア ク セス制御 リ ス ト ク ラス マッ プ イ ン タ ー フ ェ ース ライン マルチプル スパニ ン グ ツ リ ー ポ リ シー マ ッ プ VLAN デー タ ベース * グ ローバル コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド にア ク セ スする には、Privileged Exec モー ド であ る必要があ り ます。 他のすべての コ ン フ ィ ギ ュ レーシ ョ ン モー ド にア ク セスする には、 グ ローバル コ ン フ ィ ギ ュ レーシ ョ ン モー ド であ る必要があ り ます。 4-5 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース Exec コ マ ン ド ユーザー名およびパスワー ド に 「guest」 を使用 し て、 ス イ ッ チで新 し い コ ン ソ ール セ ッ シ ョ ン を開 く と 、 シ ス テムは Normal Exec コ マ ン ド モー ド (ゲス ト モー ド ) にな り 、 「Console>」 コ マ ン ド プ ロ ン プ ト が表示 さ れます。こ のモー ド で使用で き る コ マ ン ド には制限があ り ます。 すべての コ マ ン ド にア ク セ ス で き るのは、 Privileged Exec コ マ ン ド モー ド (管理者モー ド ) からのみです。 Privilege Exec モー ド にア ク セスする には、 「admin」 のユーザー名およびパス ワー ド で、 新 し い コ ン ソ ール セ ッ シ ョ ン を開き ます。 「Console#」 コ マ ン ド プ ロ ン プ ト が表 示 さ れます。 また、 「enable」 コ マ ン ド の後に特権レ ベル パスワー ド の 「super」 を入力する こ と に よ っ て も、Normal Exec モー ド か ら Privileged Exec モー ド へ入る こ と がで き ます(4-27 ページ を参照 し て く だ さ い)。 Privileged Exec モー ド に入るには、 次のユーザー名およびパスワー ド を入力 し ます。 Username: admin Password: [admin login password] CLI session with the ES3528M is opened. To end the CLI session, enter [Exit]. Console# Username: guest Password: [guest login password] CLI session with the ES3528M is opened. To end the CLI session, enter [Exit]. Console>enable Password: [privileged level password] Console# コ ン フ ィ ギ ュ レ ーシ ョ ン コ マ ン ド コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド は、 ス イ ッ チ設定の変更に使用 さ れる特権レ ベルの コ マ ン ド です。 こ れ ら の コ マ ン ド は、 実行中の コ ン フ ィ ギ ュ レ ーシ ョ ンのみを変更する も ので、 ス イ ッ チの リ ブー ト 時には保存 さ れません。 実行中の コ ン フ ィ ギ ュ レ ーシ ョ ン を不揮発性記憶 装置に保存するには、 copy running-config startup-config コ マ ン ド を使用 し ます。 コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド には、 次に示すい く つかのモー ド があ り ます。 • グローバル コ ン フ ィ ギ ュ レーシ ョ ン - シ ス テム レ ベルのコ ン フ ィ ギ ュ レーシ ョ ン を変更 し ます。 hostname コ マ ン ド や snmp-server community コ マ ン ド な どがあ り ます。 • ア ク セス制御 リ ス ト コ ン フ ィ ギ ュ レーシ ョ ン - パケ ッ ト フ ィ ル タ リ ングに使用 さ れます。 • イ ン タ ー フ ェ ース コ ン フ ィ ギュ レーシ ョ ン - ポー ト コ ン フ ィ ギュ レーシ ョ ン を変更 し ます。 speed-duplex や negotiation な どがあ り ます。 • ラ イ ン コ ン フ ィ ギュ レーシ ョ ン - コ ン ソール ポー ト および Telnet のコ ン フ ィ ギュ レーシ ョ ン を変更 し ます。 parity や databits な どの コ マ ン ド があ り ます。 • VLAN コ ン フ ィ ギ ュ レーシ ョ ン - VLAN グループ を作成する ための コ マ ン ド です。 グローバル コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド に入るには、 Privileged Exec モー ド で configure コ マ ン ド を入力 し ます。 シ ス テム プ ロ ン プ ト が 「Console(config)#」 に変わ り 、 すべての グ ローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド へのア ク セ ス権限が付与 さ れます。 Console#configure Console(config)# 4-6 コ マ ン ド の入力 4 他のモー ド に入るには、 コ ン フ ィ ギ ュ レーシ ョ ン プ ロ ン プ ト で、 次のいずれかの コ マ ン ド を 入力 し ます。 Privileged Exec モー ド に戻るには、 exit または end コ マ ン ド を使用 し ます。 表 4-2. コ ン フ ィ ギ ュ レーシ ョ ン モー ド モー ド コマン ド プロンプ ト ページ ライン line {console | vty} Console(config-line)# 4-10 ア ク セス 制御 リ ス ト access-list ip standard access-list ip extended access-list mac Console(config-std-acl) Console(config-ext-acl) Console(config-mac-acl) 4-90 4-92 4-96 ク ラス マップ class map Console(config-cmap) 4-192 イン ター フ ェ ース interface {ethernet port | port-channel id| vlan id} Console(config-if)# 4-114 MSTP spanning-tree mst-configuration Console(config-mstp)# 4-148 ポ リ シー マップ policy map Console(config-pmap) 4-194 VLAN vlan database Console(config-vlan) 4-160 た と えば、 次の コ マ ン ド を使用する と 、 イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン モー ド に 入 り 、 その後 Privileged Exec モー ド に戻る こ と がで き ます。 Console(config)#interface ethernet 1/5 . . . Console(config-if)#exit Console(config)# 4-7 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド ラ イ ン処理 コ マ ン ド は、 大文字小文字を区別 し ません。 現在使用可能な他の コ マ ン ド やパ ラ メ ー タ と 区 別で き る長 さ の文字が含まれている限 り 、 コ マ ン ド やパラ メ ー タ を省略する こ と がで き ます。 [Tab] キーを押す と 、 一部入力 し た コ マ ン ド の全体が補完 さ れます。 ま た、 一部入力 し た コ マ ン ド の後に 「?」 を入力する と 、 一致する コ マ ン ド の候補が リ ス ト 表示 さ れます。 コ マ ン ド ラ イ ン処理では、 次の編集キース ト ロー ク を使用する こ と も で き ます。 表 4-3. コ マ ン ド ラ イ ン処理 キース ト ロー ク 機能 Ctrl-A カ ー ソ ルを コ マ ン ド ラ イ ンの先頭に移動 し ます。 Ctrl-B カ ー ソ ルを 1 文字左に移動 し ます。 Ctrl-C 現在の タ ス ク を終了 し 、 コ マ ン ド プ ロ ン プ ト を表示 し ます。 Ctrl-E カ ー ソ ルを コ マ ン ド ラ イ ン末尾に移動 し ます。 Ctrl-F カ ー ソ ルを 1 文字右に移動 し ます。 Ctrl-K カ ー ソルから ラ イ ン末尾ま でのすべての文字を削除 し ます。 Ctrl-L 現在のコ マ ン ド ラ イ ン を新 し い行で繰 り 返 し ます。 Ctrl-N 履歴バ ッ フ ァ 内の次のコ マ ン ド ラ イ ン を入力 し ます。 Ctrl-P 最後のコ マ ン ド を入力 し ます。 Ctrl-R 現在のコ マ ン ド ラ イ ン を新 し い行で繰 り 返 し ます。 Ctrl-U カ ー ソ ルから ラ イ ン先頭ま で を削除 し ます。 Ctrl-W 最後に入力 さ れた単語を削除 し ます。 Esc-B カ ー ソ ルを 1 単語分後退 し ます。 Esc-D カ ー ソルから単語末尾ま で を削除 し ます。 Esc-F カ ー ソ ルを 1 単語分前に進めます。 [Delete] キーまたは [backspace] キー コ マ ン ド 入力時の誤 り を消去 し ます。 4-8 4 コ マ ン ド グループ コ マン ド グループ シ ス テム コ マ ン ド は、 機能ご と に、 次の表に示すグループに分類する こ と がで き ます。 表 4-4. コ マ ン ド グループ コ マ ン ド グループ 説明 ライン ボー レ ー ト や コ ン ソ ール タ イ ムアウ ト を含め、 シ リ アル ポー ト 4-10 お よび Telnet の通信パラ メ ー タ を設定 し ます。 ページ 一般 特権ア ク セス モー ド への移行、 シ ス テムの再起動、 CLI の終了に 4-19 使用 さ れる基本 コ マ ン ド です。 シ ス テム管理 システム ログ、 シス テム パスワー ド 、 ユーザー名、 ブ ラ ウザ管理 4-24 オプ シ ョ ン、 およびその他の様々なシス テム情報を制御 し ます。 フ ラ ッ シ ュ / フ ァ イル コ ー ド イ メ ージ ま たはス イ ッ チ コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ 4-66 ルを管理 し ます。 認証 ロー カル認証または リ モー ト 認証を使用 し た ログオ ン ア ク セス を 4-72 構成 し ます。 また、 ポー ト セキ ュ リ テ ィ お よび IEEE 802.1X ポー ト ア ク セス制御を構成 し ます。 ア ク セス制御 リ ス ト IP フ レ ーム (ア ド レ ス、 プ ロ ト コ ル、 TCP/UDP ポー ト 番号に基 4-90 く ) および非 IP フ レーム (MAC ア ド レ ス またはイ ーサネ ッ ト タ イ プに基 く ) のフ ィ ル タ リ ングを提供 し ます。 SNMP 認証失敗 ト ラ ッ プ を ア ク テ ィ ブ化 し 、 コ ミ ュ ニテ ィ ア ク セス ス ト 4-100 リ ング と ト ラ ッ プ マネージ ャの構成を行います。 また、 IP ア ド レ ス フ ィ ル タ リ ング を構成 し ます。 イ ン タ ー フ ェ ース すべてのイ ーサネ ッ ト ポー ト 、アグレゲー ト リ ン ク、お よび VLAN 4-114 の接続パラ メ ー タ を構成 し ます。 ミ ラ ー ポー ト デー タ 通過や監視 さ れる ポー ト の性能に影響す る こ と な く 、 分析 4-125 のためにデー タ を別のポー ト に ミ ラ ー リ ング し ます。 レー ト リ ミ ッ テ ィ ング ポー ト 上で送受信 さ れる ト ラ フ ィ ッ クの最大レー ト を制御 し ます。 4-126 リンク アグレゲーシ ョ ン 単一の論理 ト ラ ン ク に複数のポー ト を静的にグルー プ化 し ま す。 4-128 また、ポー ト ト ラ ン クの リ ン ク アグ レゲーシ ョ ン制御プ ロ ト コル (LACP) を構成 し ます。 ア ド レ ス テーブル 指定ア ド レ ス を フ ィ ル タ リ ングする ア ド レ ス テーブルの構成、 現 4-138 在のエ ン ト リ の表示、 テーブルの ク リ ア、 エージ ング タ イムの設 定を行います。 スパニ ン グ ツ リ ー ス イ ッ チのスパニ ング ツ リ ー設定を構成 し ます。 VLAN VLAN 設定の構成、 VLAN グループのポー ト メ ンバーシ ッ プの定 4-160 義、 およびプ ラ イ ベー ト VLAN の有効化または構成を行います。 CoS (サービ ス ク ラ ス) タ グな し フ レ ームのポー ト プ ラ イ オ リ テ ィ の設定、ス ト リ ク ト プ 4-183 ラ イ オ リ テ ィ ま たは WRR (加重 ラ ウ ン ド ロ ビ ン) の選択、 各プ ラ イ オ リ テ ィ キ ュ ーに対する相対的荷重の選択を行います。また、 TCP/UDP ト ラ フ ィ ッ ク タ イ プ、 DSCP に対する プ ラ イ オ リ テ ィ を設定 し ます。 QoS (サービ ス品質) Differentiated Services (差別化 さ れたサービ ス) を構成 し ます。 マルチキ ャ ス ト フ ィ ルタ リ ング IGMP マルチキ ャ ス ト フ ィ ル タ リ ングおよび ク エ リ ー パラ メ ー タ 4-199 の構成を行い、 マルチキ ャ ス ト ルー タ の接続ポー ト を指定 し 、 マ ルチキ ャ ス ト VLAN レ ジ ス レーシ ョ ン を有効に し ます。 4-141 4-191 IP イ ン タ ー フ ェ ース ス イ ッ チの IP ア ド レ ス を構成 し ます。 4-214 DHCP ス ヌ ーピ ング DHCP ス ヌ ーピ ング を構成 し ます。 4-223 4-9 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 表 4-4. コ マ ン ド グループ (続き) コ マ ン ド グループ 説明 ページ IP ソ ース ガー ド IP ソ ース ガー ド セキ ュ リ テ ィ を構成 し ます。 4-219 IP ク ラ ス タ ス イ ッ チ ク ラ ス タ リ ン グを構成 し ます。 4-230 以下の表内で、 各ア ク セス モー ド は次の略語で示 さ れます。 ACL ( ア ク セス制御リ ス ト コ ン フ ィ ギュ レーシ ョ ン ) CM ( ク ラ ス マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン ) GC ( グローバル コ ン フ ィ ギュ レーシ ョ ン ) IC ( イ ン タ ーフ ェ ース コ ン フ ィ ギュ レーシ ョ ン ) LC ( ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン ) MST (Multiple Spanning Tree) NE (Normal Exec) PE (Privileged Exec) PM ( ポ リ シー マ ッ プ コ ン フ ィ ギュ レーシ ョ ン ) VC (VLAN デー タ ベース コ ン フ ィ ギュ レーシ ョ ン ) ラ イ ン コ マン ド VT100 互換デバイ ス をサーバーのシ リ アル ポー ト に接続する と 、 オ ンボー ド の コ ン フ ィ ギ ュ レ ーシ ョ ン プ ロ グ ラ ムに ア ク セ ス で き ます。 こ れ ら の コ マ ン ド は、 シ リ アル ポー ト ま たは Telnet (バーチ ャ ル端末) の通信パラ メ ー タ を設定するのに使用 さ れます。 表 4-5. ラ イ ン コ マ ン ド コマン ド 機能 line コ ン フ ィ ギ ュ レ ーシ ョ ン に対する特定の ラ イ ン を識別 し 、 ラ GC イ ン コ ン フ ィ ギ ュ レーシ ョ ン モー ド を開始 し ます。 モー ド 4-11 ページ login ログ イ ン時のパスワー ド チ ェ ッ ク を有効に し ます。 LC 4-11 password ラ イ ン上でパスワー ド を指定 し ます。 LC 4-12 timeout login response ユーザーが CLI にログ イ ンする ま でのシ ス テムの待機時間を LC 設定 し ます。 4-13 exec-timeout ユーザー入力が検知 さ れ る ま での コ マ ン ド イ ン タ プ リ タ の LC 待機時間を設定 し ます。 4-14 password-thresh ロ グオ ンの失敗回数を制限する、 パスワー ド 割込み し き い値 LC を設定 し ます。 4-14 silent-time* ロ グオ ン失敗回数が password-thresh コ マ ン ド で設定 さ れ LC てい る し き い値を超えた場合、 その後管理 コ ン ソ ールにア ク セスで き な く な る時間を設定 し ます。 4-15 databits* ハー ド ウ ェ ア に よ り 解釈お よ び生成 さ れ る 各文字あ た り の LC デー タ ビ ッ ト 数を設定 し ます。 4-15 parity* パ リ テ ィ ビ ッ ト の生成を定義 し ます。 LC 4-16 speed* 端末のボー レー ト を設定 し ます。 LC 4-17 stopbits* 1 バイ ト あた り に送信 さ れる ス ト ッ プ ビ ッ ト 数を設定 し ます。 LC 4-17 4-18 disconnect ラ イ ン接続を終了 し ます。 PE show line 端末ラ イ ンのパラ メ ー タ を表示 し ます。 NE、PE 4-18 * この コ マ ン ド は、 シ リ アル ポー ト にのみ適用 さ れます。 4-10 ラ イ ン コ マン ド 4 line こ の コ マ ン ド では、 コ ン フ ィ ギ ュ レ ーシ ョ ンの特定のラ イ ン を識別 し て、 以降の ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド を処理 し ます。 構文 line {console | vty} • console - コ ン ソ ール端末ラ イ ン です。 • vty - リ モー ト コ ン ソ ール ア ク セ ス (Telnet) 用のバーチ ャル端末です。 デ フ ォ ル ト 設定 デ フ ォ ル ト の ラ イ ンはあ り ません。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 Telnet はバーチ ャル端末接続 と し てみな さ れてお り 、show users な どの画面表示では、 「Vty」 と 表示 さ れま す。 た だ し 、 シ リ アル通信パ ラ メ ー タ (databits な ど) は、 Telnet 接続に影響 し ません。 例 コ ン ソ ール ラ イ ン モー ド に入る には、 次の コ マ ン ド を入力 し ます。 Console(config)#line console Console(config-line)# 関連 コ マ ン ド show line (4-18) show users (4-63) login こ の コ マ ン ド では、 ロ グ イ ン時のパスワー ド チ ェ ッ ク を有効に し ます。 no 形式を使用す る と 、 パスワー ド チ ェ ッ ク が無効にな り 、 パスワー ド な し で接続で き る よ う にな り ます。 構文 login [local] no login local - ロー カル パスワー ド チ ェ ッ ク を選択 し ます。 認証は、 username コ マ ン ド で 指定 さ れたユーザー名に基いて行われます。 デ フ ォ ル ト 設定 login local コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ログ イ ン時には、 ス イ ッ チ自体によ り 、 次の 3 つの認証モー ド が提供 さ れます。 4-11 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース - login - password ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド で指定 さ れている単一 のグ ローバル パスワー ド によ る認証を選択 し ます。 こ の方法を使用する と 、 管理イ ン タ ー フ ェ ースは、 Normal Exec (NE) モー ド で開始 し ます。 - login local - username コ マ ン ド で指定 さ れたユーザー名およびパスワー ド によ る 認証を選択 し ます (デ フ ォ ル ト 設定) 。 こ の方法を使用する と 、 管理イ ン タ ー フ ェ スは、 ユーザーの権限レ ベル (0 ま たは 15) に基づいて、 Normal Exec (NE) また は Privileged Exec (PE) モー ド で開始 し ます。 - no login - 認証な し を選択 し ます。 こ の方法を使用する と 、 管理イ ン タ ー フ ェ ース は、 Normal Exec (NE) モー ド で開始 し ます。 • この コ マ ン ド は、 ス イ ッ チ自体を介 し た ロ グ イ ン認証を制御する ものです。 リ モー ト 認証サーバーのユーザー名 と パスワー ド を構成するには、 これらのサーバーに イ ン ス ト ールさ れている RADIUS または TACACS ソ フ ト ウ ェ ア を使用する必要があ り ます。 例 Console(config-line)#login local Console(config-line)# 関連 コ マ ン ド username (4-26) password (4-12) password こ の コ マ ン ド では、 ラ イ ンのパスワー ド を指定 し ます。 no 形式を使用する と 、 パスワー ド が 削除 さ れます。 構文 password {0 | 7} password no password • {0 | 7} - 0 はプ レーン パスワー ド 、 7 は暗号化パスワー ド を表 し ます。 • password - ラ イ ン パスワー ド を指定する文字列です (最大長 : プ レーン テキス ト では 8 文字、 暗号化では 32 文字、 大文字小文字を区別)。 デ フ ォ ル ト 設定 パスワー ド は指定 さ れていません。 コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • パスワー ド 保護 さ れた ラ イ ン で接続が開始 さ れる と 、 シ ス テムは、 パスワー ド を要求 する プ ロ ン プ ト を表示 し ます。 正 し いパスワー ド を入力する と 、 プ ロ ン プ ト が表示 さ れます password-thresh コ マ ン ド は、 ユーザーがパスワー ド 入力に何回失敗する と 、 シ ス テムがラ イ ン接続を終了 し て端末を ア イ ド ル状態に戻すかを設定するのに使用 し ます。 4-12 ラ イ ン コ マン ド 4 • シ ス テムのブー ト ア ッ プ中に コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを読み取る時、 ま たは TFTP サーバーか ら コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを ダウン ロー ド する時に、 レ ガ シーのパスワー ド 設定 (プ レーン テキス ト ま たは暗号化) と の互換性を保つため、 暗 号化パスワー ド が必要にな り ます。 暗号化パスワー ド を手動で構成する必要はあ り ま せん。 例 Console(config-line)#password 0 secret Console(config-line)# 関連 コ マ ン ド login (4-11) password-thresh (4-14) timeout login response こ の コ マ ン ド では、 ユーザーが CLI にロ グ イ ンする ま でのシ ス テムの待機時間を設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 timeout login response [seconds] no timeout login response seconds - タ イ ムアウ ト 間隔を指定する整数です (範囲 : 0 ~ 300 秒、 0: 無効)。 デ フ ォ ル ト 設定 • CLI: タ イ ムアウ ト な し (0 秒) • Telnet: 600 秒 コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ログ イ ン試行が タ イ ムアウ ト 間隔内に検知 さ れない場合、 そのセ ッ シ ョ ンの接続は終 了 し ます。 • こ の コ マ ン ド は、 ロー カル コ ン ソ ールおよび Telnet 接続の両方に適用 さ れます。 • Telnet の タ イ ムアウ ト を無効にする こ と はで き ません。 • タ イムアウ ト を指定せずに このコ マン ド を使用する と、デ フ ォル ト 設定が使用されます。 例 タ イ ムアウ ト を 2 分に設定するには、 次の コ マ ン ド を入力 し ます。 Console(config-line)#timeout login response 120 Console(config-line)# 関連 コ マ ン ド silent-time (4-15) exec-timeout (4-14) 4-13 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース exec-timeout ユーザー入力が検知 さ れる ま でのシ ス テムの待機時間を設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 exec-timeout [seconds] no exec-timeout seconds - 秒数を指定する整数です (範囲 : 0 ~ 65535 秒 ; 0: タ イ ムアウ ト な し )。 デ フ ォ ル ト 設定 CLI: タ イ ムアウ ト な し Telnet:10 分 コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ユーザー入力が タ イ ムアウ ト 間隔内に検知 さ れた場合、 セ ッ シ ョ ンは開いた ま まにな り ます。 検知 さ れない場合、 セ ッ シ ョ ンは終了 し ます。 • こ の コ マ ン ド は、 ロー カル コ ン ソ ールおよび Telnet 接続の両方に適用 さ れます。 • Telnet の タ イ ムアウ ト を無効にする こ と はで き ません。 • タ イムアウ ト を指定せずに このコ マ ン ド を使用する と 、 デ フ ォル ト 設定が使用 さ れます。 例 タ イ ムアウ ト を 2 分に設定するには、 次の コ マ ン ド を入力 し ます。 Console(config-line)#exec-timeout 120 Console(config-line)# 関連 コ マ ン ド silent-time (4-15) timeout login response (4-13) password-thresh ログオ ンの失敗回数を制限する、 パスワー ド 割込み し き い値を設定 し ます。 no 形式を使用す る と 、 し き い値が削除 さ れます。 構文 password-thresh [threshold] no password-thresh threshold - 許可 さ れるパスワー ド 試行回数です (範囲 : 1 ~ 120、 0: し き い値な し )。 デ フ ォ ル ト 設定 デ フ ォ ル ト の試行回数は 3 回です。 コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン 4-14 ラ イ ン コ マン ド 4 コ マ ン ド の使用 • ログオ ン試行回数の し き い値に達する と 、 シ ス テム イ ン タ ー フ ェ ースは、 次のログオ ン試行が可能にな る ま での一定時間、 サイ レ ン ト にな り ます ( こ のサイ レ ン ト 時間の 設定は、 silent-time コ マ ン ド を使用 し て行います)。 Telnet の場合、 こ の し き い値に 達する と 、 Telnet ロ グオ ン イ ン タ ー フ ェ ースがシ ャ ッ ト ダウ ン さ れます。 • こ の コ マ ン ド は、 ロー カル コ ン ソ ールおよび Telnet 接続の両方に適用 さ れます。 例 パスワー ド 試行の し き い値を 5 回に設定するには、 次の コ マ ン ド を入力 し ます。 Console(config-line)#password-thresh 5 Console(config-line)# 関連 コ マ ン ド silent-time (4-15) timeout login response (4-13) silent-time ロ グオ ンの失敗回数が password-thresh コ マ ン ド で設定 さ れてい る し き い値を超えた場合、 その後に管理 コ ン ソ ールにア ク セ ス で き な く な る時間を設定 し ます。 no 形式を使用する と 、 サイ レ ン ト 時間の設定値が削除 さ れます。 構文 silent-time [seconds] no silent-time seconds - コ ン ソ ールの応答を無効にする時間 (秒数) です (範囲 : 0 ~ 65535、 0: サイ レ ン ト 時間な し )。 デ フ ォ ル ト 設定 デ フ ォ ル ト 値は、 サイ レ ン ト 時間な し です。 コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン 例 サイ レ ン ト 時間を 60 秒に設定するには、 次の コ マ ン ド を入力 し ます。 Console(config-line)#silent-time 60 Console(config-line)# 関連 コ マ ン ド password-thresh (4-14) databits こ の コ マ ン ド では、 コ ン ソ ール ポー ト に よ り 解釈お よ び生成 さ れる各文字あた り のデー タ ビ ッ ト 数を設定 し ます。 no 形式を使用する と 、 デ フ ォル ト 値に戻 り ます。 4-15 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 構文 databits {7 | 8} no databits • 7 - 文字あた り のデー タ ビ ッ ト 数は 7 です。 • 8 - 文字あた り のデー タ ビ ッ ト 数は 8 です。 デ フ ォ ル ト 設定 1 文字あた り 8 デー タ ビ ッ ト コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 databits コ マ ン ド を使用する と 、 パ リ テ ィ 付き 7 デー タ ビ ッ ト を生成するデバイ スか ら の入力で上位ビ ッ ト を マス ク する こ と がで き ます。 パ リ テ ィ が生成 さ れる場合、 文字 当た り 7 デー タ ビ ッ ト を指定 し ます。パ リ テ ィ が不要の場合、文字当た り 8 デー タ ビ ッ ト を指定 し ます 例 7 デー タ ビ ッ ト を指定するには、 次の コ マ ン ド を入力 し ます。 Console(config-line)#databits 7 Console(config-line)# 関連 コ マ ン ド parity (4-16) parity こ の コ マ ン ド では、 パ リ テ ィ ビ ッ ト の生成を定義 し ます。 no 形式を使用する と 、 デ フ ォル ト 設定に戻 り ます。 構文 parity {none | even | odd} no parity • none - パ リ テ ィ な し • even - 偶数パ リ テ ィ • odd - 奇数パ リ テ ィ デ フ ォ ル ト 設定 パリ テ ィ なし コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 端末やモデムな どのデバイ スに よ り 提供 さ れる通信プ ロ ト コ ルでは、 多 く の場合、 特定 のパ リ テ ィ ビ ッ ト 設定が必要です。 4-16 ラ イ ン コ マン ド 4 例 パ リ テ ィ な し を指定するには、 次の コ マ ン ド を入力 し ます。 Console(config-line)#parity none Console(config-line)# speed こ の コ マ ン ド では、 端末ラ イ ンのボー レー ト を設定 し ます。 こ の コ マ ン ド は、 (端末への) 送 信 と (端末か らの) 受信の両方の速度を設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト 設定 に戻 り ます。 構文 speed bps no speed bps - ビ ッ ト / 秒で表 さ れるボー レー ト です (オプ シ ョ ン : 9600、 19200、 38400、 57600、 115200 bps)。 デ フ ォ ル ト 設定 9600 コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 シ リ アル ポー ト に接続 さ れたデバイ スのボー レー ト と 同 じ ス ピー ド を設定 し ますポー ト に接続 さ れているデバイ スで使用で き るボー レー ト がサポー ト さ れていない こ と があ り ます。 選択 さ れた速度がサポー ト さ れていない場合、 シ ス テムはその こ と を表示 し ます。 例 57600 bps を指定するには、 次の コ マ ン ド を入力 し ます。 Console(config-line)#speed 57600 Console(config-line)# stopbits こ の コ マ ン ド では、 1 バイ ト につ き送信 さ れる ス ト ッ プ ビ ッ ト 数を設定 し ます。 no 形式を使 用する と 、 デ フ ォル ト 設定に戻 り ます。 構文 stopbits {1 | 2} • 1 - ス ト ッ プ ビ ッ ト 数は 1 • 2 - ス ト ッ プ ビ ッ ト 数は 2 デ フ ォ ル ト 設定 1 スト ップ ビッ ト コ マ ン ド モー ド ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン 4-17 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 2 ス ト ッ プ ビ ッ ト を指定するには、 次の コ マ ン ド を入力 し ます。 Console(config-line)#stopbits 2 Console(config-line)# disconnect こ の コ マ ン ド では、 SSH、 Telnet、 またはコ ン ソ ール接続を終了 し ます。 構文 disconnect session-id session-id - SSH、 Telnet、 または コ ン ソ ール接続のセ ッ シ ョ ン識別子です (範囲 : 0 ~ 4)。 コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 セ ッ シ ョ ン識別子に 「0」 を指定す る と 、 コ ン ソ ール接続が切断 さ れま す。 ア ク テ ィ ブ セ ッ シ ョ ンに対 し て他の識別子を指定する と 、 SSH ま たは Telnet 接続が切断 さ れます。 例 Console#disconnect 1 Console# 関連 コ マ ン ド show ssh (4-41) show users (4-63) show line こ の コ マ ン ド では、 端末ラ イ ンのパラ メ ー タ を表示 し ます。 構文 show line [console | vty] • console - コ ン ソ ール端末ラ イ ン です。 • vty - リ モー ト コ ン ソ ール ア ク セ ス (Telnet) 用のバーチ ャル端末です。 デ フ ォ ル ト 設定 すべてのラ イ ン を表示 し ます。 コ マ ン ド モー ド Normal Exec、 Privileged Exec 4-18 一般 コ マ ン ド 4 例 すべてのラ イ ン を表示するには、 次の コ マ ン ド を入力 し ます。 Console#show line Console configuration: Password threshold: 3 times Interactive timeout: Disabled Login timeout: Disabled Silent time: Disabled Baudrate: 9600 Databits: 8 Parity: none Stopbits: 1 VTY configuration: Password threshold: 3 times Interactive timeout: 600 sec Login timeout: 300 sec console# 一般コ マン ド 表 4-6. 一般コ マ ン ド コマン ド 機能 モー ド ページ enable 特権モー ド を ア ク テ ィ ブに し ます。 NE 4-19 disable 特権モー ド から通常モー ド に戻 り ます。 PE 4-20 configure グローバル コ ン フ ィ ギ ュ レーシ ョ ン モー ド を ア ク PE テ ィ ブに し ます。 4-21 show history コ マ ン ド 履歴のバ ッ フ ァ を表示 し ます。 NE、 PE 4-21 reload シ ス テムを再起動 し ます。 PE 4-22 end Privileged Exec モー ド に戻 り ます。 任意の コ ン フ ィ ギ ュ 4-22 レーシ ョ ン モー ド exit 直前の コ ン フ ィ ギ ュ レ ー シ ョ ン モ ー ド に戻 る か、 任意 CLI を終了 し ます。 quit CLI セ ッ シ ョ ン を終了 し ます。 NE、 PE 4-23 help ヘルプの使用方法を表示 し ます。 任意 該当 なし ? コ マ ン ド 完了のためのオプ シ ョ ン を表示 し ます (コ ン テキス ト 依存)。 任意 該当 なし 4-23 enable こ の コ マ ン ド では、 Privileged Exec モー ド を ア ク テ ィ ブに し ます。 特権モー ド では、 追加の コ マ ン ド を使用で き ます。 また、 特定の コ マ ン ド を使用する と 、 追加の情報を表示で き ます。 4-5 ページの 「 コ マ ン ド モー ド について」 を参照 し て く だ さ い。 構文 enable [level] level - デバイ スに ログ イ ンする権限レ ベルです。 4-19 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース デバイ スには、 0: Normal Exec (通常) と 15: Privileged Exec (特権) の 2 つの権限 レ ベルが予め定義 さ れています。 Privileged Exec モー ド にア ク セスするには、 レ ベル 15 を入力 し ます。 デ フ ォ ル ト 設定 レ ベル 15 コ マ ン ド モー ド Normal Exec コ マ ン ド の使用 • 「super」 は、 コ マ ン ド モー ド を Normal Exec から Privileged Exec に変更するのに必 要なデ フ ォル ト のパスワー ド です ( こ のパスワー ド を設定するには、 4-27 ページの 「enable password」 を参照 し て く だ さ い)。 • 特権ア ク セス モー ド 時には、 プ ロ ン プ ト の最後に 「#」 が付加 さ れます。 例 Console>enable Password: [privileged level password] Console# 関連 コ マ ン ド disable (4-20) enable password (4-27) disable こ の コ マ ン ド では、 特権モー ド か ら Normal Exec モー ド に戻 り ます。 通常ア ク セス モー ド で 可能なのは、 ス イ ッ チの コ ン フ ィ ギ ュ レ ーシ ョ ン に関す る基本情報や イ ーサネ ッ ト 統計情報 の表示のみです。 すべての コ マ ン ド にア ク セ スする には、 特権モー ド を使用す る必要があ り ます。 4-5 ページの 「 コ マ ン ド モー ド について」 を参照 し て く だ さ い。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 通常ア ク セス モー ド 時には、 プ ロ ン プ ト の最後に 「>」 が付加 さ れます。 例 Console#disable Console> 関連 コ マ ン ド enable (4-19) 4-20 一般 コ マ ン ド 4 configure こ の コ マ ン ド では、 グ ロ ーバル コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド を ア ク テ ィ ブ に し ま す。 ス イ ッ チの設定に何 ら かの変更を加え る には、 こ のモー ド に入る必要があ り ます。 ま た、 イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン、 ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン、 VLAN デー タ ベー ス コ ン フ ィ ギ ュ レ ーシ ョ ン と い っ た他の コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド を有効にする には、 グ ロ ーバル コ ン フ ィ ギ ュ レ ー シ ョ ン モ ー ド を 予めア ク テ ィ ブ に し て お く 必要があ り ま す。 4-5 ページの 「 コ マ ン ド モー ド について」 を参照 し て く だ さ い。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#configure Console(config)# 関連 コ マ ン ド end (4-22) show history こ の コ マ ン ド では、 コ マ ン ド 履歴バ ッ フ ァ の内容を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Normal Exec、 Privileged Exec コ マ ン ド の使用 履歴バ ッ フ ァ のサイ ズは、Exec コ マ ン ド 10 個分、 および コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド 10 個分に固定 さ れています。 例 こ の例では、 show history コ マ ン ド によ り コ マ ン ド 履歴バ ッ フ ァ の内容を リ ス ト 表示 し ます。 Console#show history Execution command history: 2 config 1 show history Configuration command history: 4 interface vlan 1 3 exit 2 interface vlan 1 1 end Console# 4-21 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース ! コ マ ン ド は、 Normal Exec モー ド ま たは Privileged Exec モー ド の時は Exec コ マ ン ド 履歴 バ ッ フ ァ か ら の コ マ ン ド を、 いずれかの コ ン フ ィ ギ ュ レーシ ョ ン モー ド の時は コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド 履歴バ ッ フ ァ から のコ マ ン ド を繰 り 返 し ます。 この例では、 !2 コ マ ン ド で、 Exec コ マ ン ド 履歴バ ッ フ ァ の 2 番目の コ マ ン ド (config) を繰 り 返 し ます。 Console#!2 Console#config Console(config)# reload こ の コ マ ン ド では、 シ ス テムを再起動 し ます。 注 : シ ス テムが再起動する時には必ず、 Power On Self-Test (パワーオ ン セルフ テ ス ト ) が実行 さ れます。 copy running-config startup-config コ マ ン ド を使用する と 、 不揮発性記憶装置に保 存 さ れているすべての コ ン フ ィ ギ ュ レーシ ョ ン情報が保持 さ れます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 こ の コ マ ン ド は、 シ ス テム全体を リ セ ッ ト し ます。 例 こ の例は、 ス イ ッ チ を リ セ ッ ト する方法を示 し ています。 Console#reload System will be restarted, continue <y/n>? y end こ の コ マ ン ド では、 Privileged Exec モー ド に戻 り ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グ ローバル コ ン フ ィ ギ ュ レ ーシ ョ ン、 イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レ ーシ ョ ン、 ラ イ ン コ ン フ ィ ギ ュ レーシ ョ ン、 VLAN デー タ ベース コ ン フ ィ ギ ュ レーシ ョ ン 例 こ の例は、 イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド か ら Privileged Exec モー ド に 戻る方法を示 し ています。 Console(config-if)#end Console# 4-22 一般 コ マ ン ド 4 exit こ の コ マ ン ド では、直前の コ ン フ ィ ギ ュ レーシ ョ ン モー ド に戻るか、または コ ン フ ィ ギ ュ レー シ ョ ン プ ログ ラ ムを終了 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド 任意 例 こ の例は、 グ ロ ーバル コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド か ら Privileged Exec モー ド に戻 り 、 CLI セ ッ シ ョ ン を終了する方法を示 し ています。 Console(config)#exit Console#exit Press ENTER to start session User Access Verification Username: quit こ の コ マ ン ド では、 コ ン フ ィ ギ ュ レーシ ョ ン プ ログ ラ ムを終了 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Normal Exec、 Privileged Exec コ マ ン ド の使用 quit および exit の コ マ ン ド は両方 と も、 コ ン フ ィ ギ ュ レーシ ョ ン プ ログ ラ ムを終了す る こ と がで き ます。 例 こ の例は、 CLI セ ッ シ ョ ン を終了する方法を示 し ています。 Console#quit Press ENTER to start session User Access Verification Username: 4-23 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース シ ステ ム管理コ マン ド こ れら の コ マ ン ド は、 シ ス テム ロ グ、 パスワー ド 、 ユーザー名、 ブ ラ ウザ構成オ プ シ ョ ンの 制御や、 その他様々な シ ス テム情報の表示または構成に使用 さ れます。 表 4-7. シ ス テム管理コ マ ン ド コ マ ン ド グループ 機能 ページ デバイ ス指定 このス イ ッ チ を一意に識別する情報を構成 し ます。 4-24 ユーザー ア ク セス 管理ア ク セス用の基本ユーザー名お よびパスワー ド を構成 し ます。 4-25 IP フ ィ ル タ 管理ア ク セス を可能にする IP ア ド レ ス を構成 し ます。 4-28 ウ ェ ブ サーバー ウ ェ ブ ブ ラ ウザを介 し た管理ア ク セス を有効に し ます。 4-30 Telnet サーバー Telnet を介 し た管理ア ク セス を有効に し ます。 4-33 セキ ュ ア シ ェ ル Telnet に代わる セキ ュ ア な代替機能を提供 し ます。 4-34 イ ベン ト ロギング エ ラ ー メ ッ セージのロギング を制御 し ます。 4-43 時刻 (シ ス テム ク ロ ッ ク) NTP/SNTP サーバー経由で自動的に、または手動で シス テム ク ロ ッ 4-54 ク を設定 し ます。 シ ス テム ス テー タ ス シ ス テム コ ン フ ィ ギ ュ レーシ ョ ン、 ア ク テ ィ ブ なマネージ ャ、 バー 4-59 ジ ョ ン情報を表示 し ます。 フ レーム サイ ズ ジ ャ ンボ フ レームのサポー ト を有効に し ます。 4-65 デバイ ス指定 コ マ ン ド 表 4-8. デバイ ス指定 コ マ ン ド コマン ド 機能 prompt PE および NE モー ド で使用 さ れる プ ロ ン プ ト を カ ス タ マ イ GC ズ し ます。 モー ド ページ 4-24 hostname ス イ ッ チのホス ト 名を指定 し ます。 GC 4-25 snmp-server contact シ ス テム コ ン タ ク ト ス ト リ ングを設定 し ます。 GC 4-103 snmp-server location シ ス テム ロ ケーシ ョ ン ス ト リ ングを設定 し ます。 GC 4-103 prompt こ の コ マ ン ド では、 CLI プ ロ ン プ ト を カ ス タ マ イ ズ し ます。 no 形式を使用する と 、 デ フ ォ ル ト のプ ロ ン プ ト に戻 り ます。 構文 prompt string no prompt string - CLI プ ロ ン プ ト に使用する任意の英数字文字列です (最大長 : 255 文字)。 デ フ ォ ル ト 設定 Console 4-24 シ ス テム管理 コ マ ン ド 4 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#prompt RD2 RD2(config)# hostname こ の コ マ ン ド では、 こ のデバイ スのホス ト 名を指定または変更 し ます。no 形式を使用する と 、 デ フ ォ ル ト のホス ト 名に戻 り ます。 構文 hostname name no hostname name - こ のホス ト の名前です (最大長 : 255 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#hostname RD#1 Console(config)# ユーザー ア ク セス コ マ ン ド こ のセ ク シ ョ ン では、 管理ア ク セ スに必要 と な る基本 コ マ ン ド を リ ス ト し ます。 こ のス イ ッ チでは、 コ ン ソ ールまたは Telnet 接続を介 し たパスワー ド チ ェ ッ ク (4-10 ページ)、 リ モー ト 認証サーバー を介 し たユーザー認証 (4-72 ページ) 、 特定ポー ト のホ ス ト ア ク セ ス認証 (4-81 ページ) に対応する オプ シ ョ ン も 提供 し ています。 表 4-9. ユーザー ア ク セス コ マ ン ド コマン ド 機能 username ロ グ イ ン時のユーザー名に基づいた認証シ ス テム を確立 し GC ます。 モー ド ページ 4-26 enable password Privileged Exec レ ベルへのア ク セ ス を制御す るパスワー ド GC を設定 し ます。 4-27 4-25 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース username こ の コ マ ン ド では、 指定 し たユーザーの追加、 ロ グ イ ン時の認証要求、 ユーザー パスワー ド の指定または変更 (またはパスワー ド 不要の指定) 、 ユーザー ア ク セス レ ベルの指定ま たは 変更を行います。 no 形式を使用する と 、 ユーザー名が削除 さ れます。 構文 username name {access-level level | nopassword | password {0 | 7} password} no username name • name - ユーザーの名前です (最大長 : 8 文字、 大文字小文字を区別、 最大ユーザー数 : 16) • access-level level - ユーザー レ ベルを指定 し ます。 デバイ スには、0: Normal Exec と 15: Privileged Exec の 2 つの権限レ ベルが予め定 義 さ れています。 • nopassword - こ のユーザーのログ イ ンにはパスワー ド を要求 し ません。 • {0 | 7} - 0 はプ レーン パスワー ド 、 7 は暗号化パスワー ド を表 し ます。 • password password - ユーザーの認証パスワー ド です (最大長 : プ レーン テキス ト では 8 文字、暗号化では 32 文字、大文字小文字を区別)。 デ フ ォ ル ト 設定 • デ フ ォ ル ト のア ク セス レ ベルは Normal Exec です。 • 出荷時のユーザー名およびパスワー ド のデ フ ォ ル ト は、 次の と お り です。 表 4-10. デ フ ォル ト のログ イ ン設定 username access-level password guest admin 0 15 guest admin コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 シ ス テムのブ ー ト ア ッ プ中に コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ルを読み取る時、 ま たは TFTP サーバーか ら コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ル を ダ ウ ン ロ ー ド す る時に、 レ ガ シーのパスワー ド 設定 (プ レーン テキス ト または暗号化) と の互換性を保つため、 暗号 化パスワー ド が必要にな り ます。暗号化パスワー ド を手動で構成する必要はあ り ません。 例 こ の例は、 ユーザーのア ク セス レ ベルおよびパスワー ド を設定する方法を示 し ています。 Console(config)#username bob access-level 15 Console(config)#username bob password 0 smith Console(config)# 4-26 シ ス テム管理 コ マ ン ド 4 enable password シ ス テムに最初に ロ グオ ン し た後、 Privileged Exec パスワー ド を設定す る必要があ り ま す。 パス ワー ド は記録 し て、 安全な場所に保管 し て おい て く だ さ い。 こ の コ マ ン ド は、 Normal Exec レ ベルか ら Privileged Exec レ ベルへのア ク セ ス を制御 し ます。 no 形式を使用する と 、 デ フ ォ ル ト のパスワー ド に リ セ ッ ト さ れます。 構文 enable password [level level] {0 | 7} password no enable password [level level] • level level - Privileged Exec はレ ベル 15 です (レ ベル 0 ~ 14 は使用 さ れません)。 • {0 | 7} - 0 はプ レーン パスワー ド 、 7 は暗号化パスワー ド を表 し ます。 • password - こ の権限レ ベルのパスワー ド です (最大長 : プ レーン テキス ト では 8 文字、暗号化では 32 文字、大文字小文字を区別)。 デ フ ォ ル ト 設定 • デ フ ォ ル ト はレ ベル 15 です。 • デ フ ォ ル ト のパスワー ド は 「super」 です。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • Null パスワー ド を設定する こ と はで き ません。 enable コ マ ン ド (4-19 ページ を参照) によ り コ マ ン ド モー ド を Normal Exec か ら Privileged Exec に変更するには、パスワー ド を入力する必要があ り ます。 • シ ス テムのブー ト ア ッ プ中に コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを読み取る時、 ま たは TFTP サーバーか ら コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを ダウン ロー ド する時に、 レ ガ シーのパスワー ド 設定 (プ レーン テキス ト ま たは暗号化) と の互換性を保つため、 暗 号化パスワー ド が必要にな り ます。 暗号化パスワー ド を手動で構成する必要はあ り ま せん。 例 Console(config)#enable password level 15 0 admin Console(config)# 関連 コ マ ン ド enable (4-19) authentication enable (4-73) 4-27 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース IP フ ィ ル タ コ マ ン ド 表 4-11. IP フ ィ ル タ コ マ ン ド コマン ド 機能 モー ド ページ management 管理ア ク セス を可能にする IP ア ド レ ス を構成 し ます。 GC 4-28 show management ブ ラ ウザから監視または構成する ス イ ッ チ を表示 し ます。 PE 4-29 management こ の コ マ ン ド では、 様々な プ ロ ト コ ルを介 し た ス イ ッ チへの管理ア ク セ ス を可能にする ク ラ イ ア ン ト IP ア ド レ ス を指定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト 設定に戻 り ます。 構文 [no] management {all-client | http-client | snmp-client | telnet-client} start-address [end-address] • all-client - SNMP、 ウ ェ ブ、 および Telnet グループに IP ア ド レ ス を追加 し ます。 • http-client - ウ ェ ブ グループに IP ア ド レ ス を追加 し ます。 • snmp-client - SNMP グループに IP ア ド レ ス を追加 し ます。 • telnet-client - Telnet グループに IP ア ド レ ス を追加 し ます。 • start-address - シ ン グル IP ア ド レ ス、 ま たはア ド レ ス範囲の先頭のア ド レ スです。 • end-address - ア ド レ ス範囲の最後のア ド レ スです。 デ フ ォ ル ト 設定 すべてのア ド レ ス コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • 無効な ア ド レ スか ら ス イ ッ チ上の管理 イ ン タ ー フ ェ ー ス に ア ク セ ス し よ う と し た場 合、 ス イ ッ チに よ っ て接続が拒否 さ れます。 また、 イ ベン ト メ ッ セージがシ ス テム ロ グに記録 さ れ、 ト ラ ッ プ メ ッ セージが ト ラ ッ プ マネージ ャ に送信 さ れます。 • IP ア ド レ スは SNMP、 ウ ェ ブ、 および Telnet ア ク セス用に個別に構成で き ます。 こ れらの各グループには個々のア ド レ ス またはア ド レ ス範囲を最大 5 つ追加で き ます。 • 同 じ グループ (SNMP、 ウ ェ ブ、 または Telnet) のア ド レ ス を入力する際は、 重複 し たア ド レ ス範囲を指定する こ と はで き ません。 グループが異な っ ていれば、 ア ド レ ス 範囲が重複 し ていて も構いません。 • 指定 し た範囲か ら 個々のア ド レ ス を削除する こ と はで き ません。 範囲全体を削除 し 、 ア ド レ ス を再入力する必要があ り ます。 • ア ド レ ス範囲を削除する には、 開始ア ド レ ス を指定するか、 開始ア ド レ ス と 終了ア ド レ ス を両方指定 し ます。 4-28 シ ス テム管理 コ マ ン ド 4 例 こ の例は、 示 さ れたア ド レ スへの管理ア ク セス を制限 し ます。 Console(config)#management all-client 192.168.1.19 Console(config)#management all-client 192.168.1.25 192.168.1.30 Console(config)# show management こ の コ マ ン ド では、 様々な プ ロ ト コ ルを介 し た ス イ ッ チへの管理ア ク セ ス を可能にする ク ラ イ ア ン ト IP ア ド レ ス を表示 し ます。 構文 show management {all-client | http-client | snmp-client | telnet-client} • all-client - SNMP、 ウ ェ ブ、 および Telnet グループに IP ア ド レ ス を追加 し ます。 • http-client - ウ ェ ブ グループに IP ア ド レ ス を追加 し ます。 • snmp-client - SNMP グループに IP ア ド レ ス を追加 し ます。 • telnet-client - Telnet グループに IP ア ド レ ス を追加 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show management all-client Management IP Filter HTTP-Client: Start IP address End IP address ----------------------------------------------1. 192.168.1.19 192.168.1.19 2. 192.168.1.25 192.168.1.30 SNMP-Client: Start IP address End IP address ----------------------------------------------1. 192.168.1.19 192.168.1.19 2. 192.168.1.25 192.168.1.30 TELNET-Client: Start IP address End IP address ----------------------------------------------1. 192.168.1.19 192.168.1.19 2. 192.168.1.25 192.168.1.30 Console# 4-29 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース ウ ェ ブ サーバー コ マ ン ド 表 4-12. ウ ェ ブ サーバー コ マ ン ド コマン ド 機能 ip http port ウ ェ ブ ブ ラ ウザ イ ン タ ー フ ェ ース で使用 さ れるポー ト を指 GC 定 し ます。 モー ド ページ 4-30 ip http server ブ ラ ウザからのス イ ッ チの監視または構成を可能に し ます。 GC 4-30 ip http secure-server 暗号化通信の HTTPS を有効に し ます。 GC 4-31 ip http secure-port HTTPS の UDP ポー ト 番号を指定 し ます。 GC 4-32 ip http port ウ ェ ブ ブ ラ ウザ イ ン タ ー フ ェ ース で使用 さ れる TCP ポー ト 番号を指定 し ます。 no 形式を使 用する と 、 デ フ ォル ト ポー ト が使用 さ れます。 構文 ip http port port-number no ip http port port-number - ブ ラ ウザ イ ン タ ー フ ェ ースで使用 さ れる TCP ポー ト です (範囲 : 1 ~ 65535)。 デ フ ォ ル ト 設定 80 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#ip http port 769 Console(config)# 関連 コ マ ン ド ip http server (4-30) ip http server こ の コ マ ン ド では、 こ のデバイ スの監視ま たは構成を ブ ラ ウザか ら 行 う こ と が可能にな り ま す。 no 形式を使用する と 、 こ の機能が無効にな り ます。 構文 [no] ip http server デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-30 シ ス テム管理 コ マ ン ド 4 例 Console(config)#ip http server Console(config)# 関連 コ マ ン ド ip http port (4-30) ip http secure-server こ の コ マ ン ド で は、 SSL (Secure Socket Layer ) 上 で の HTTPS (Secure Hypertext Transfer Protocol) を有効にする こ と で、ス イ ッ チの ウ ェ ブ イ ン タ ー フ ェ ースへのセキ ュ ア なア ク セス (暗号化接続) を提供 し ます。 no 形式を使用する と 、 こ の機能が無効にな り ます。 構文 [no] ip http secure-server デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • HTTP と HTTPS の両方のサービ ス を ス イ ッ チ上で個別に有効にで き ます。 ただ し 、 HTTP サーバー と HTTPS サーバーで同一の UDP ポー ト を使用す る よ う に構成する こ と はで き ません。 • HTTPS を有効にする場合、 指定する URL の中で こ の こ と を示す必要があ り ます。 https://device[:port_number] の形式で、 ブ ラ ウザに入力 し ます。 • HTTPS を開始する と 、 次のよ う に接続が確立 さ れます。 - ク ラ イ ア ン ト がサーバーのデジ タ ル証明書を使用 し てサーバーを認証 し ます。 - ク ラ イ ア ン ト と サーバーは、接続に使用する一連のセキ ュ リ テ ィ プ ロ ト コ ルのネゴ シ エーシ ョ ン を行います。 - ク ラ イ ア ン ト と サーバーは、デー タ の暗号化 と 解読に使用する セ ッ シ ョ ン キーを生 成 し ます。 • ク ラ イ ア ン ト と サーバーは、 暗号化 さ れたセキ ュ ア接続を確立 し ます。 • Internet Explorer 5.x 以上および Netscape Navigator 6.2 以上では、 ス テー タ ス バー に南京錠のア イ コ ンが表示 さ れます。 • 現在 HTTPS をサポー ト し ているウ ェ ブ ブ ラ ウザ と オペ レーテ ィ ング シ ス テムは次 の と お り です。 表 4-13. HTTPS のシ ス テム サポー ト ウ ェ ブ ブ ラ ウザ オペ レーテ ィ ング シ ス テム Internet Explorer 5.0 以上 Windows 98、 Windows NT (サービ ス パ ッ ク 6a)、 Windows 2000、 Windows XP Netscape Navigator 6.2 以上 Windows 98、 Windows NT (サービ ス パ ッ ク 6a)、 Windows 2000、 Windows XP、 Solaris 2.6 4-31 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • セキ ュ アサイ ト 証明書を指定する方法は、 3-51 ページの 「デ フ ォ ル ト のセキ ュ アサイ ト 証明書の置換」 を参照 し て く だ さ い。 また、 4-66 ページの copy コ マ ン ド も参照 し て く だ さ い。 例 Console(config)#ip http secure-server Console(config)# 関連 コ マ ン ド ip http secure-port (4-32) copy tftp https-certificate (4-66) ip http secure-port こ の コ マ ン ド では、 ス イ ッ チのウ ェ ブ イ ン タ ー フ ェ ース と の HTTPS 接続に使用 さ れる UDP ポー ト 番号を指定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト ポー ト に戻 り ます。 構文 ip http secure-port port_number no ip http secure-port port_number - HTTPS に使用 さ れる UDP ポー ト です (範囲 : 1 ~ 65535)。 デ フ ォ ル ト 設定 443 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • HTTP サーバー と HTTPS サーバーで同一のポー ト を使用する よ う に構成する こ と は で き ません。 • HTTPS ポー ト 番号を変更する場合、 HTTPS サーバーに接続 し よ う と する ク ラ イ ア ン ト は、 https://device:port_number の形式で、 URL にポー ト 番号を指定する必要があ り ます。 例 Console(config)#ip http secure-port 1000 Console(config)# 関連 コ マ ン ド ip http secure-server (4-31) 4-32 シ ス テム管理 コ マ ン ド 4 Telnet サーバー コ マ ン ド 表 4-14. Telnet サーバー コ マ ン ド コマン ド 機能 ip telnet port Telnet イ ン タ ー フ ェ ースで使用 さ れるポー ト を指定 し ます。 GC モー ド ページ 4-30 ip telnet server Telnet か らのス イ ッ チの監視または構成を可能に し ます。 GC 4-30 ip telnet port こ の コ マ ン ド では、 Telnet イ ン タ ー フ ェ ース で使用 さ れる TCP ポー ト 番号を指定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト ポー ト が使用 さ れます。 構文 ip telnet port port-number no ip telnet port port-number - ブ ラ ウザ イ ン タ ー フ ェ ースで使用 さ れる TCP ポー ト です (範囲 : 1 ~ 65535)。 デ フ ォ ル ト 設定 23 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#ip telnet port 123 Console(config)# 関連 コ マ ン ド ip telnet server (4-33) ip telnet server こ の コ マ ン ド では、 こ のデバイ スの監視または構成を Telnet 経由で行 う こ と が可能にな り ま す。 no 形式を使用する と 、 こ の機能が無効にな り ます。 構文 [no] ip telnet server デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#ip telnet server Console(config)# 4-33 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 関連 コ マ ン ド ip telnet port (4-33) セキ ュ ア シ ェ ル コ マ ン ド Berkley 標準には、本来 Unix シ ス テム用に設計 さ れた リ モー ト ア ク セス ツールが含まれてい ます。 一部のツールは Microsoft Windows およびその他の環境に も実装 さ れています。 rlogin ( リ モー ト ロ グ イ ン) 、 rsh ( リ モー ト シ ェ ル) 、 rcp ( リ モー ト コ ピー) な どの コ マ ン ド を含 むツールは悪意のあ る攻撃に対 し てセキ ュ ア ではあ り ません。 セキ ュ ア シ ェ ル (SSH) には、 旧式の Berkley リ モー ト ア ク セス ツールに対する セキ ュ ア な 代替機能 と し て開発 さ れたサーバー / ク ラ イ ア ン ト ア プ リ ケーシ ョ ンが含まれています。 ま た、 SSH では、 Telnet のセキ ュ ア な代替機能 と し て、 こ のス イ ッ チへの リ モー ト 管理ア ク セ スが提供 さ れます。 ク ラ イ ア ン ト が SSH プ ロ ト コ ルを介 し てス イ ッ チにア ク セ スする時、 こ のス イ ッ チはア ク セ ス認証のため、 ロー カル ユーザー名およびパスワー ド に加え、 ク ラ イ ア ン ト が一致 さ せる必要のあ る公開キー を使用 し ます。 SSH では、 ス イ ッ チ と SSH 対応の管 理ス テーシ ョ ン ク ラ イ ア ン ト 間で転送 さ れるデー タ がすべて暗号化 さ れる ため、 ネ ッ ト ワー ク上で伝送 さ れるデー タ の改ざんが防止 さ れます。 こ のセ ク シ ョ ン では、 SSH サーバーの構成に使用 さ れる コ マ ン ド について説明 し ます。 ただ し 、 SSH プ ロ ト コ ルを使用 し て ス イ ッ チ を構成する場合、 管理ス テーシ ョ ン に SSH ク ラ イ ア ン ト を イ ン ス ト ールする必要がある こ と に注意 し て く だ さ い。 注 : ス イ ッ チは、 SSH バージ ョ ン 1.5 および 2.0 の両方をサポー ト し ます。 表 4-15. SSH コ マ ン ド コマン ド 機能 モー ド ページ ip ssh server ス イ ッ チ上で SSH サーバーを有効に し ます。 GC 4-36 SSH サーバーの認証 タ イムアウ ト を指定 し ます。 GC 4-37 ip ssh ク ラ イ ア ン ト によ る再試行可能な回数を指定 し ます。 authentication-retries GC 4-37 ip ssh server-key size GC 4-38 copy tftp public-key ユ ーザーの公開キ ー を TFTP サーバーか ら ス イ ッ チ に コ PE ピー し ます。 4-66 ip ssh timeout delete public-key SSH サーバーのキー サイ ズを設定 し ます。 指定ユーザーの公開キーを削除 し ます。 PE 4-38 ip ssh crypto host-key generate ホス ト キーを生成 し ます。 PE 4-39 ip ssh crypto zeroize ホス ト キーを RAM から ク リ ア し ます。 PE 4-40 ip ssh save host-key ホス ト キーを RAM か ら フ ラ ッ シ ュ メ モ リ ーに保存 し ます。 PE 4-40 disconnect ラ イ ン接続を終了 し ます。 PE 4-18 show ip ssh SSH サーバーのス テー タ ス、 お よ び認証 タ イ ムアウ ト と 試 PE 行回数の設定値を表示 し ます。 4-41 show ssh 現在の SSH セ ッ シ ョ ンのステー タ ス を表示 し ます。 PE 4-41 show public-key 指定ユーザーまたはホス ト の公開キーを表示 し ます。 PE 4-42 show users 権限レ ベル と 公開キーの タ イ プ を含め、 SSH ユーザー を表 PE 示 し ます。 4-63 4-34 シ ス テム管理 コ マ ン ド 4 こ のス イ ッ チ上の SSH サーバーでは、 パスワー ド および公開キーによ る認証がサポー ト さ れ ます。 SSH ク ラ イ ア ン ト によ り パスワー ド 認証が指定 さ れている場合、 4-72 ページの authentication login コ マ ン ド で指定する と お り 、ロー カルで、または RADIUS/TACACS+ リ モー ト 認証サーバー を介 し てパスワー ド 認証が可能です。 ク ラ イ ア ン ト が公開キー認証を指 定 し た場合、 次の項目の手順に従 っ て ク ラ イ ア ン ト お よびス イ ッ チの両方に認証キー を構成 する必要があ り ます。公開キー認証ま たはパスワー ド 認証のいずれを使用する場合も 、ス イ ッ チ上で認証キーを生成 し て、SSH サーバーを有効にする必要がある こ と に注意 し て く だ さ い。 SSH サーバーを使用するには、 次の手順に従います。 1. ホス ト キー ペア を生成 し ます。 ip ssh crypto host-key generate コ マ ン ド を使用 し て、 ホス ト の公開キー / プ ラ イ ベー ト キーのキー ペア を作成 し ます。 2. ホス ト の公開キーを ク ラ イ ア ン ト に提供 し ます。 通常、 SSH ク ラ イ ア ン ト プ ロ グ ラ ムで は、 ス イ ッ チ と の初期接続を セ ッ ト ア ッ プ中に、 ホス ト の公開キーを自動的に イ ンポー ト し ま す。 公開キーが イ ン ポー ト さ れな い場合は、 管理ス テ ー シ ョ ン に既知のホ ス ト フ ァ イルを手動で作成 し 、こ のフ ァ イルにホス ト の公開キーを保存する必要があ り ます。 既知のホス ト フ ァ イルの公開キーのエ ン ト リ は、 次の例のよ う に表示 さ れます。 10.1.0.54 1024 35 15684995401867669259333946775054617325313674890836547254 15020245593199868544358361651999923329781766065830956 10825913212890233 76546801726272571413428762941301196195566782 59566410486957427888146206 51941746772984865468615717739390164779355942303577413098022737087794545 24083971752646358058176716709574804776117 3. ク ラ イ ア ン ト の公開キーを ス イ ッ チに イ ンポー ト し ます。 copy tftp public-key コ マ ン ド を使用 し て、すべての SSH ク ラ イ ア ン ト にス イ ッ チへの管理ア ク セス を付与する ため の公開キーが格納 さ れている フ ァ イルを コ ピー し ます ( こ れ ら の ク ラ イ ア ン ト は、 3-46 ページの手順に従 っ て 「User Accounts」 ページ で ス イ ッ チ上にロー カルに構成 さ れてい る必要があ る)。 以後、 ク ラ イ ア ン ト の認証にはこ れ らのキーが使用 さ れます。 次の RSA バージ ョ ン 1 キーの例に示す と お り 、 現行の フ ァ ームウ ェ ア では、 標準の UNIX 形式に 準拠 し た公開キー フ ァ イルのみが受理 さ れます。 1024 35 1341081685609893921040944920155425347631641921872958921143173880 05553616163105177594083868631109291232226828519254374603100937187721199 69631781366277414168985132049117204830339254324101637997592371449011938 00609025394840848271781943722884025331159521348610229029789827213532671 31629432532818915045306393916643 [email protected] 4. オプ シ ョ ン パラ メ ー タ を設定 し ます。 認証 タ イ ムアウ ト 、 再試行回数、 サーバー キーの サイ ズを含め、 その他のオプ シ ョ ン パラ メ ー タ を設定 し ます。 5. SSH サービ ス を有効に し ます。 ip ssh server コ マ ン ド を使用 し て、 ス イ ッ チ上で SSH サーバーを有効に し ます。 6. チ ャ レ ン ジ / レ スポン ス認証 (Challenge-Response Authentication) を構成 し ます。 SSH ク ラ イ ア ン ト がス イ ッ チにア ク セス し よ う と する と 、 SSH サーバーは、 ホス ト のキー ペ ア を使用 し て、 セ ッ シ ョ ン キー と 暗号化方式を ネゴ シ エーシ ョ ン し ます。 ス イ ッ チに保 存 さ れている公開キーに対応する プ ラ イ ベー ト キーを持つ ク ラ イ ア ン ト のみ、 ア ク セス する こ と がで き ます。 こ のプ ロ セス では、 次のよ う にキーが交換 さ れます。 4-35 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース a. ク ラ イ ア ン ト が公開キーを ス イ ッ チに送信 し ます。 b. ス イ ッ チは ク ラ イ ア ン ト の公開キー と 、 メ モ リ ーに保存 さ れている公開キーを比較 し ます。 c. 合致する公開キーが見つかっ た場合、 ス イ ッ チはその公開キーを使用 し て ラ ン ダム なバイ ト 順序を暗号化 し 、 こ の文字列を ク ラ イ ア ン ト に送信 し ます。 d. ク ラ イ ア ン ト はプ ラ イ ベー ト キーを使用 し てバイ ト を解読 し 、解読 し たバイ ト を ス イ ッ チに戻 し ます。 e. ス イ ッ チは解読 さ れたバイ ト と 、 送信 し た元のバイ ト を比較 し ます。 両者が合致 し た場合、ク ラ イ ア ン ト のプ ラ イ ベー ト キーが正当な公開キーに対応 し ている と 見な さ れ、 ク ラ イ ア ン ト は認証 さ れます。 注 : パスワー ド 認証のみで SSH を使用する場合も、 初期接続確立時または既知のホス ト フ ァ イル に手動で入力 し て、 ホス ト の公開キーを ク ラ イ ア ン ト に与え る必要があ り ます。 ただ し 、 ク ラ イ ア ン ト のキーを構成する必要はあ り ません。 ip ssh server こ の コ マ ン ド では、 こ のス イ ッ チ上で SSH (セキ ュ ア シ ェ ル) サーバーを有効に し ます。 no 形式を使用する と 、 こ のサービ スが無効にな り ます。 構文 [no] ip ssh server デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • SSH サーバーでは最大 4 つの ク ラ イ ア ン ト セ ッ シ ョ ンがサポー ト さ れます。 ク ラ イ ア ン ト セ ッ シ ョ ンの最大数には、 現在の Telnet セ ッ シ ョ ン と SSH セ ッ シ ョ ン も含ま れます。 • ク ラ イ ア ン ト が最初にス イ ッ チ と の接続を確立する時、 SSH サーバーは、 キー交換に DSA または RSA を使用 し ます。 次に、 サーバーはク ラ イ ア ン ト と ネゴ シ エーシ ョ ン を行い、 DES (56 ビ ッ ト ) または 3DES (168-ビ ッ ト ) のいずれかのデー タ 暗号化方 式を選択 し ます。 • SSH サーバーを有効にする前に、 ホス ト キーを生成する必要があ り ます。 例 Console#ip ssh crypto host-key generate dsa Console#configure Console(config)#ip ssh server Console(config)# 4-36 シ ス テム管理 コ マ ン ド 4 関連 コ マ ン ド ip ssh crypto host-key generate (4-39) show ssh (4-41) ip ssh timeout こ の コ マ ン ド では、 SSH サーバーの タ イ ムア ウ ト を構成 し ます。 no 形式を使用す る と 、 デ フ ォル ト 設定に戻 り ます。 構文 ip ssh timeout seconds no ip ssh timeout seconds - SSH ネゴ シ エーシ ョ ン時のク ラ イ ア ン ト 応答の タ イ ムアウ ト を秒数で指定 し ます (範囲 : 1 ~ 120)。 デ フ ォ ル ト 設定 10 秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 timeout は、 SSH ネゴ シ エーシ ョ ン中にス イ ッ チが ク ラ イ ア ン ト からの応答を待機する 時間を指定 し ます。 SSH セ ッ シ ョ ンの確立後、 ユーザー入力の タ イ ムアウ ト を制御する には、 vty セ ッ シ ョ ンの exec-timeout コ マ ン ド を使用 し ます。 例 Console(config)#ip ssh timeout 60 Console(config)# 関連 コ マ ン ド exec-timeout (4-14) show ip ssh (4-41) ip ssh authentication-retries こ の コ マ ン ド では、 SSH サーバーがユーザーを再認証する回数を構成 し ます。 no 形式を使用 する と 、 デ フ ォル ト 設定に戻 り ます。 構文 ip ssh authentication-retries count no ip ssh authentication-retries count - 可能な認証試行回数です。 こ の回数を超過する と 、 イ ン タ ー フ ェ ースが リ セ ッ ト さ れます (範囲 : 1 ~ 5)。 デ フ ォ ル ト 設定 3 4-37 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#ip ssh authentication-retires 2 Console(config)# 関連 コ マ ン ド show ip ssh (4-41) ip ssh server-key size こ の コ マ ン ド では、 SSH サーバーのキー サイ ズを設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト 設定に戻 り ます。 構文 ip ssh server-key size key-size no ip ssh server-key size key-size - サーバー キーのサイ ズです (範囲 : 512 ~ 896 ビ ッ ト )。 デ フ ォ ル ト 設定 768 ビ ッ ト コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • サーバー キーはプ ラ イ ベー ト キーである ため、 ス イ ッ チ外で共有 さ れる こ と はあ り ません。 • ホス ト キーは SSH ク ラ イ ア ン ト と 共有 さ れ、 サイ ズは 1024 ビ ッ ト に固定 さ れてい ます。 例 Console(config)#ip ssh server-key size 512 Console(config)# delete public-key こ の コ マ ン ド では、 指定ユーザーの公開キーを削除 し ます。 構文 delete public-key username [dsa | rsa] • username - SSH ユーザーの名前です (範囲 : 1 ~ 8 文字)。 • dsa - 公開キーの タ イ プ (DSA) です。 • rsa - 公開キーの タ イ プ (RSA) です。 デ フ ォ ル ト 設定 DSA および RSA キーの両方を削除 し ます。 4-38 シ ス テム管理 コ マ ン ド 4 コ マ ン ド モー ド Privileged Exec 例 Console#delete public-key admin dsa Console# ip ssh crypto host-key generate こ の コ マ ン ド では、 ホス ト キー ペア (公開キー と プ ラ イ ベー ト キー) を生成 し ます。 構文 ip ssh crypto host-key generate [dsa | rsa] • dsa - キーの タ イ プ (DSA バージ ョ ン 2) です。 • rsa - キーの タ イ プ (RSA バージ ョ ン 1) です。 デ フ ォ ル ト 設定 DSA および RSA 両方のキー ペア を生成 し ます。 コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • こ の コ マ ン ド では、 ホス ト キー ペア を メ モ リ ー (RAM) に保存 し ます。 ホス ト キー ペア を フ ラ ッ シ ュ メ モ リ ーに保存する には、ip ssh save host-key コ マ ン ド を使用 し ます。 • SSH ク ラ イ ア ン ト プ ログ ラ ムの中には、 コ ン フ ィ ギ ュ レーシ ョ ン プ ロ セスの一環 と し て、 既知のホス ト フ ァ イルに公開キーを自動的に追加する もの も あ り ます。 自動的 に追加 さ れないプ ログ ラ ムの場合、 既知のホス ト フ ァ イルを手動で作成 し 、 ホス ト 公 開キーを この フ ァ イルに格納する必要があ り ます。 • SSH サーバーは、 こ のホス ト キーを使用 し て、 接続 し よ う と し ている ク ラ イ ア ン ト と セ ッ シ ョ ン キーおよび暗号化方式を ネゴ シ エーシ ョ ン し ます。 例 Console#ip ssh crypto host-key generate dsa Console# 関連 コ マ ン ド ip ssh crypto zeroize (4-40) ip ssh save host-key (4-40) 4-39 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース ip ssh crypto zeroize ホス ト キーを メ モ リ ー (RAM) から ク リ ア し ます。 構文 ip ssh crypto zeroize [dsa | rsa] • dsa - キーの タ イ プ (DSA) です。 • rsa - キーの タ イ プ (RSA) です。 デ フ ォ ル ト 設定 DSA および RSA キーの両方を ク リ ア し ます。 コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • こ の コ マ ン ド は、 揮発性 メ モ リ ー (RAM) から ホス ト キーを ク リ ア し ます。 フ ラ ッ シ ュ メ モ リ ーから ホス ト キーを ク リ アするには、 no ip ssh save host-key コ マ ン ド を使用 し ます。 • こ の コ マ ン ド を実行するには、 SSH サーバーを無効にする必要があ り ます。 例 Console#ip ssh crypto zeroize dsa Console# 関連 コ マ ン ド ip ssh crypto host-key generate (4-39) ip ssh save host-key (4-40) no ip ssh server (4-36) ip ssh save host-key こ の コ マ ン ド では、 ホス ト キーを RAM から フ ラ ッ シ ュ メ モ リ ーに保存 し ます。 構文 ip ssh save host-key [dsa | rsa] • dsa - キーの タ イ プ (DSA) です。 • rsa - キーの タ イ プ (RSA) です。 デ フ ォ ル ト 設定 DSA および RSA キーの両方を保存 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#ip ssh save host-key dsa Console# 4-40 シ ス テム管理 コ マ ン ド 4 関連 コ マ ン ド ip ssh crypto host-key generate (4-39) show ip ssh こ の コ マ ン ド では、 SSH サーバーにア ク セスする ク ラ イ ア ン ト を認証するのに使用 さ れる接 続設定を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show ip ssh SSH Enabled - version 1.99 Negotiation timeout: 120 secs; Authentication retries: 3 Server key size: 768 bits Console# show ssh こ の コ マ ン ド では、 現在の SSH サーバー接続を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show ssh Connection Version State 0 2.0 Session-Started Username admin Encryption ctos aes128-cbc-hmac-md5 stoc aes128-cbc-hmac-md5 Console# 表 4-16. show ssh - フ ィ ール ド の説明 フ ィ ール ド 説明 Session セ ッ シ ョ ン番号 (範囲 : 0 ~ 3) Version セキ ュ ア シ ェ ルのバージ ョ ン番号 State 認証ネゴ シ エーシ ョ ンの状態 (値 : Negotiation-Started、 Authentication-Started、 Session-Started) Username ク ラ イ ア ン ト のユーザーの名前 4-41 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 表 4-16. show ssh - フ ィ ール ド の説明 (続き) フ ィ ール ド 説明 Encryption 暗号化方式は、 ク ラ イ ア ン ト と サーバー間で自動的にネ ゴ シ エーシ ョ ン さ れます。 SSHv1.5 のオプ シ ョ ンには、 DES、 3DES があ り ます。 SSHv2.0 のオ プ シ ョ ン には、 client-to-server (ctos) お よ び server-to-client (stoc) 用に次の異な る アルゴ リ ズムがあ り ます。 aes128-cbc-hmac-sha1 aes192-cbc-hmac-sha1 aes256-cbc-hmac-sha1 3des-cbc-hmac-sha1 blowfish-cbc-hmac-sha1 aes128-cbc-hmac-md5 aes192-cbc-hmac-md5 aes256-cbc-hmac-md5 3des-cbc-hmac-md5 blowfish-cbc-hmac-md5 用語 : DES - Data Encryption Standard (56 ビ ッ ト キー) 3DES - Triple-DES (DES 暗号化を 3 回実行、 112 ビ ッ ト キー) aes - Advanced Encryption Standard (160 または 224 ビ ッ ト キー) blowfish - Blowfish (32 ~ 448 ビ ッ ト キー) cbc - cypher-block chaining (暗号ブ ロ ッ ク連鎖) sha1 - Secure Hash Algorithm 1 (160 ビ ッ ト ハ ッ シ ュ) md5 - Message Digest algorithm number 5 (128 ビ ッ ト ハ ッ シ ュ) show public-key こ の コ マ ン ド では、 指定 し たユーザーまたはホス ト の公開キーを表示 し ます。 構文 show public-key [user [username]| host] username - SSH ユーザーの名前です (範囲 : 1 ~ 8 文字)。 デ フ ォ ル ト 設定 すべての公開キーを表示 し ます。 コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • パラ メ ー タ を入力 し ない と 、 すべてのキーが表示 さ れます。 user キーワー ド が入力 さ れてい るが、 username が指定 さ れていない場合、 すべてのユーザーの公開キーが表 示 さ れます。 4-42 4 シ ス テム管理 コ マ ン ド • RSA キーの表示で、 最初の フ ィ ール ド はホス ト キーのサイ ズ (た と えば 1024)、 2 番 目の フ ィ ール ド は符号化 さ れた公開指数 (た と えば 35)、 最後のス ト リ ングは符号化 さ れた モ ジ ュ ラ ス を示 し ます。 DSA キーの表示で、 最初の フ ィ ール ド は、 SSH に よ り 使用 さ れる暗号化方式が DSS (デジ タ ル署名標準) に準拠 し ている こ と を示 し 、 最 後のス ト リ ングは、 符号化 さ れたモ ジ ュ ラ ス を示 し ます。 例 Console#show public-key host Host: RSA: 1024 35 1568499540186766925933394677505461732531367489083654725415020245593199868 5443583616519999233297817660658309586108259132128902337654680172627257141 3428762941301196195566782595664104869574278881462065194174677298486546861 5717739390164779355942303577413098022737087794545240839717526463580581767 16709574804776117 DSA: ssh-dss AAAB3NzaC1kc3MAAACBAPWKZTPbsRIB8ydEXcxM3dyV/yrDbKStIlnzD/Dg0h2Hxc YV44sXZ2JXhamLK6P8bvuiyacWbUW/a4PAtp1KMSdqsKeh3hKoA3vRRSy1N2XFfAKxl5fwFfv JlPdOkFgzLGMinvSNYQwiQXbKTBH0Z4mUZpE85PWxDZMaCNBPjBrRAAAAFQChb4vsdfQGNIjw bvwrNLaQ77isiwAAAIEAsy5YWDC99ebYHNRj5kh47wY4i8cZvH+/p9cnrfwFTMU01VFDly3IR 2G395NLy5Qd7ZDxfA9mCOfT/yyEfbobMJZi8oGCstSNOxrZZVnMqWrTYfdrKX7YKBw/Kjw6Bm iFq7O+jAhf1Dg45loAc27s6TLdtny1wRq/ow2eTCD5nekAAACBAJ8rMccXTxHLFAczWS7EjOy DbsloBfPuSAb4oAsyjKXKVYNLQkTLZfcFRu41bS2KV5LAwecsigF/+DjKGWtPNIQqabKgYCw2 o/dVzX4Gg+yqdTlYmGA7fHGm8ARGeiG4ssFKy4Z6DmYPXFum1Yg0fhLwuHpOSKdxT3kk475S7 w0W Console# イ ベン ト ロギン グ コ マ ン ド 表 4-17. イ ベン ト ロギング コ マ ン ド コマン ド 機能 モー ド ページ logging on エ ラ ー メ ッ セージのロギング を制御 し ます。 GC 4-44 logging history 重大度に基づいて、 ス イ ッ チ メ モ リ ーに保存 さ れる syslog GC メ ッ セージ を制限 し ます。 4-44 logging host ロ ギン グ メ ッ セージ を受信す る syslog サーバー ホ ス ト の GC IP ア ド レ ス を追加 し ます。 4-45 logging facility syslog メ ッ セージの リ モー ト ロギングの機能 タ イ プ を設定 GC し ます。 4-46 logging trap 重大度に基づいて、 リ モー ト サーバーに保存 さ れる syslog GC メ ッ セージ を制限 し ます。 4-46 clear logging ロギン グ バ ッ フ ァ から メ ッ セージ を ク リ ア し ます。 PE 4-47 show logging ロギン グの状態を表示 し ます。 PE 4-48 show log ロ グ メ ッ セージ を表示 し ます。 PE 4-49 4-43 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース logging on こ の コ マ ン ド では、デバ ッ グ メ ッ セージ ま たはエ ラ ー メ ッ セージ を ス イ ッ チ メ モ リ ーへ送信 する エ ラ ー メ ッ セージのロギン グ を制御 し ます。 no 形式を使用する と 、 ロギン グ プ ロ セ ス が無効にな り ます。 構文 [no] logging on デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 ロギング プ ロ セスは、ス イ ッ チ メ モ リ ーに保存 さ れる エ ラ ー メ ッ セージ を制御 し ます。 保存 さ れる エ ラ ー メ ッ セージの タ イ プ を制御する には、 logging history コ マ ン ド を使 用 し ます。 例 Console(config)#logging on Console(config)# 関連 コ マ ン ド logging history (4-44) clear logging (4-47) logging history こ の コ マ ン ド では、 重大度に基づいて、 ス イ ッ チ メ モ リ ーに保存 さ れる syslog メ ッ セージ を 制限 し ます。no 形式を使用する と 、syslog メ ッ セージのロギン グがデ フ ォル ト レ ベルに戻 り ます。 構文 logging history {flash | ram} level no logging history {flash | ram} • flash - フ ラ ッ シ ュ メ モ リ ー (永久 メ モ リ ー) に保存 さ れる イ ベン ト 履歴です。 • ram - 一時 RAM (電源 リ セ ッ ト で消去 さ れる メ モ リ ー) に保存 さ れる イ ベン ト 履歴 です。 4-44 シ ス テム管理 コ マ ン ド 4 • level - 次の表で リ ス ト する レ ベルのいずれか 1 つです。 送信 さ れる メ ッ セージは、 選択 し た レ ベルか ら レ ベル 0 ま での メ ッ セージ です (範囲 : 0 ~ 7)。 表 4-18. ロギング レ ベル レ ベル 重大度名 説明 7 debugging デバ ッ グ メ ッ セージ 6 informational 情報 メ ッ セージのみ 5 notifications コ ール ド ス タ ー ト な ど、 標準的だが重要な状態 4 warnings 警告状態 (false の戻 り 、 予測外の戻 り な ど) 3 errors エ ラ ー状態 (無効な入力、 デ フ ォル ト の使用な ど) 2 critical 重大な状態 ( メ モ リ ー割当て、 メ モ リ ー解放エ ラ ー - リ ソ ー スの枯渇な ど) 1 alerts 即座にア ク シ ョ ンが必要な状態 0 emergencies シ ス テム使用不可 * 現在の フ ァ ームウ ェ ア リ リ ースのエ ラ ー メ ッ セージはレ ベル 2、 5、 お よび 6 のみです。 デ フ ォ ル ト 設定 フ ラ ッ シ ュ :errors (レ ベル 3 ~ 0) RAM:warnings (レ ベル 6 ~ 0) コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 フ ラ ッ シ ュ メ モ リ ーには、 RAM よ り も 高いプ ラ イ オ リ テ ィ (小 さ い数字) の メ ッ セー ジ レ ベルを指定する必要があ り ます。 例 Console(config)#logging history ram 0 Console(config)# logging host こ の コ マ ン ド では、 ロギング メ ッ セージ を受信する syslog サーバー ホス ト の IP ア ド レ ス を 追加 し ます。 no 形式を使用する と 、 syslog サーバー ホス ト が削除 さ れます。 構文 [no] logging host host_ip_address host_ip_address - syslog サーバーの IP ア ド レ スです。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-45 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 • こ の コ マ ン ド を複数回使用する こ と で、 ホス ト IP ア ド レ スの リ ス ト を作成で き ます。 • ホス ト IP ア ド レ スの最大許容数は 5 個です。 例 Console(config)#logging host 10.1.0.3 Console(config)# logging facility こ の コ マ ン ド では、syslog メ ッ セージの リ モー ト ロギングに使用する フ ァ シ リ テ ィ タ イ プ を 設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト の タ イ プに戻 り ます。 構文 [no] logging facility type type - syslog サーバーが適切なサーバーに ロ グ メ ッ セージ を送信す る時に使用 さ れ る フ ァ シ リ テ ィ を示す番号です (範囲 : 16 ~ 23)。 デ フ ォ ル ト 設定 23 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 こ の コ マ ン ド では、 syslog メ ッ セージ で送信す る機能 タ イ プ タ グ を指定 し ます (RFC 3164 を参照)。 この タ イ プは、 ス イ ッ チから 報告 さ れる メ ッ セージの種類には影響 し ま せん。 ただ し 、 syslog サーバーは、 メ ッ セージ を ソ ー ト し た り 、 対応するデー タ ベース に メ ッ セージ を保存 し た り する時に、 こ の タ イ プ設定を使用する こ と があ り ます。 例 Console(config)#logging facility 19 Console(config)# logging trap リ モー ト サーバーへのシ ス テム メ ッ セージのロギン グ を有効にする、 または重大度に基づい て リ モー ト サーバーに保存 さ れる syslog メ ッ セージ を制限するには、 こ の コ マ ン ド を使用 し ます。 レ ベル指定な し で こ の コ マ ン ド を使用す る と 、 リ モー ト ロ ギ ン グが有効に な り ます。 no 形式を使用する と 、 リ モー ト ロギングが無効にな り ます。 構文 logging trap [level] no logging trap level - 次の表で リ ス ト する レ ベルのいずれか 1 つです。 送信 さ れる メ ッ セージは、 選 択 し た レ ベルから レ ベル 0 ま での メ ッ セージ です(4-44 ページの表を参照 し て く だ さ い)。 4-46 シ ス テム管理 コ マ ン ド 4 デ フ ォ ル ト 設定 • 有効 • レ ベル 6 ~ 0 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • レ ベルを指定 し て こ の コ マ ン ド を使用する と 、 リ モー ト ロギングが有効にな り 、 保存 さ れる最小の重大度レ ベルが設定 さ れます。 • また、 レ ベルを指定せずに この コ マ ン ド を使用 し て も、 リ モー ト ロギングが有効にな り 、 最小の重大度レ ベルがデ フ ォ ル ト に戻 り ます。 例 Console(config)#logging trap 4 Console(config)# clear logging こ の コ マ ン ド では、 ログ バ ッ フ ァ から メ ッ セージ を ク リ ア し ます。 構文 clear logging [flash | ram] • flash - フ ラ ッ シ ュ メ モ リ ー (永久 メ モ リ ー) に保存 さ れる イ ベン ト 履歴です。 • ram - 一時 RAM (電源 リ セ ッ ト で消去 さ れる メ モ リ ー) に保存 さ れる イ ベン ト 履歴 です。 デ フ ォ ル ト 設定 フ ラ ッ シ ュ および RAM コ マ ン ド モー ド Privileged Exec 例 Console#clear logging Console# 関連 コ マ ン ド show logging (4-48) 4-47 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース show logging こ の コ マ ン ド では、 ロ ー カ ル ス イ ッ チの メ モ リ ー、 SMTP イ ベ ン ト ハン ド ラ 、 リ モー ト の syslog サーバーへのロギング メ ッ セージに対する コ ン フ ィ ギュ レーシ ョ ン設定を表示 し ます。 構文 show logging {flash | ram | sendmail | trap} • flash - フ ラ ッ シ ュ メ モ リ ー (永久 メ モ リ ー) へのイ ベン ト メ ッ セージ保存に関す る設定を表示 し ます。 • ram - 一時 RAM (電源 リ セ ッ ト で消去 さ れる メ モ リ ー) へのイ ベン ト メ ッ セージ 保存に関する設定を表示 し ます。 • sendmail - SMTP イ ベン ト ハン ド ラ の設定を表示 し ます (4-53 ページ を参照 し て く だ さ い)。 • trap - ト ラ ッ プ機能の設定を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 次の例では、 シ ス テ ム ロ ギ ン グ を 有効に し 、 フ ラ ッ シ ュ メ モ リ ーの メ ッ セ ー ジ レ ベル を 「errors」 (デ フ ォ ル ト レ ベル 3 ~ 0) に し 、 RAM の メ ッ セージ レ ベルを 「informational」 (デ フ ォル ト レ ベル 6 ~ 0) に設定 し ます。 Console#show logging flash Syslog logging: Enabled History logging in FLASH: level errors Console#show logging ram Syslog logging: Enabled History logging in RAM: level informational Console# 表 4-19. show logging flash/ram - フ ィ ール ド の説明 フ ィ ール ド 説明 Syslog logging logging on コ マ ン ド に よ り シ ス テム ロ ギン グが有効にな っ てい るか を表示 し ます。 History logging in FLASH logging history コ マ ン ド に基いて報告 さ れる メ ッ セージ レ ベルです。 History logging in RAM 4-48 logging history コ マ ン ド に基いて報告 さ れる メ ッ セージ レ ベルです。 シ ス テム管理 コ マ ン ド 4 次の例では、 ト ラ ッ プ機能の設定を表示 し ます。 Console#show logging trap Syslog logging: Enable REMOTELOG status: disable REMOTELOG facility type: local use 7 REMOTELOG level type: Debugging messages REMOTELOG server IP address: 1.2.3.4 REMOTELOG server IP address: 0.0.0.0 REMOTELOG server IP address: 0.0.0.0 REMOTELOG server IP address: 0.0.0.0 REMOTELOG server IP address: 0.0.0.0 Console# 表 4-20. show logging trap - フ ィ ール ド の説明 フ ィ ール ド 説明 Syslog logging logging on コ マ ン ド に よ り シ ス テム ロ ギン グが有効にな っ てい るか を表示 し ます。 REMOTELOG status logging trap コ マ ン ド によ り リ モー ト ロギン グが有効にな っ ているか を表示 し ます。 REMOTELOG facility type logging facility コ マ ン ド で指定 さ れた syslog メ ッ セージの リ モー ト ロギング用のフ ァ シ リ テ ィ タ イ プ です。 REMOTELOG level type logging trap コ マ ン ド で指定 さ れた、 リ モー ト サーバーに送信 さ れる syslog メ ッ セージの重大度 し き い値です。 REMOTELOG server IP address logging host コ マ ン ド で指定 さ れた、syslog サーバーのア ド レ ス です。 関連 コ マ ン ド show logging sendmail (4-53) show log こ の コ マ ン ド では、 メ モ リ ーに保存 さ れる シ ス テムおよび イ ベン ト メ ッ セージ を表示 し ます。 構文 show log {flash | ram} [login] [tail] • flash - フ ラ ッ シ ュ メ モ リ ー (永久 メ モ リ ー) に保存 さ れる イ ベン ト 履歴です。 • ram - 一時 RAM (電源 リ セ ッ ト で消去 さ れる メ モ リ ー) に保存 さ れる イ ベン ト 履歴 です。 • tail - 最新のエ ン ト リ か ら開始する イ ベン ト 履歴を表示 し ます。 • login - ログ イ ン レ コ ー ド のみを表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 4-49 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 タ イ ム ス タ ン プ、 メ ッ セージ レ ベル (4-44 ページ)、 プ ログ ラ ム モ ジ ュ ール、 機能、 イ ベ ン ト 番号な ど、 メ モ リ ーに保存 さ れてい る シ ス テム メ ッ セージお よび イ ベ ン ト メ ッ セージ を表示 し ます。 例 次の例は、 RAM に保存 さ れているサン プル メ ッ セージ を表示 し ます。 Console#show log ram [5] 00:01:06 2001-01-01 "STA root change notification." level: 6, module: 6, function: 1, and [4] 00:01:00 2001-01-01 "STA root change notification." level: 6, module: 6, function: 1, and [3] 00:00:54 2001-01-01 "STA root change notification." level: 6, module: 6, function: 1, and [2] 00:00:50 2001-01-01 "STA topology change notification." level: 6, module: 6, function: 1, and [1] 00:00:48 2001-01-01 "VLAN 1 link-up notification." level: 6, module: 6, function: 1, and Console# event no.: 1 event no.: 1 event no.: 1 event no.: 1 event no.: 1 SMTP ア ラ ー ト コ マ ン ド こ の コ マ ン ド では、 SMTP イ ベン ト ハン ド リ ン グ、 および指定 SMTP サーバーや電子 メ ール 受信者へのア ラ ー ト メ ッ セージの転送を構成 し ます。 表 4-21. SMTP ア ラ ー ト コ マ ン ド コマン ド 機能 logging sendmail host ア ラ ー ト メ ッ セージ を受信する SMTP サーバーです。 GC モー ド 4-50 ページ logging sendmail level ア ラ ー ト メ ッ セージの ト リ ガーに使用 さ れる重大度 し GC き い値です。 4-51 logging sendmail source-email ア ラ ー ト メ ッ セージの 「From」 フ ィ ール ド に使用 さ れ GC る電子 メ ール ア ド レ スです。 4-52 logging sendmail destination-email ア ラ ー ト メ ッ セージの電子 メ ール受信者です。 GC 4-52 logging sendmail SMTP イ ベン ト ハン ド リ ングを有効に し ます。 GC 4-53 show logging sendmail SMTP イ ベン ト ハン ド ラ設定を表示 し ます。 NE、PE 4-53 logging sendmail host こ の コ マ ン ド では、 ア ラ ー ト メ ッ セージの送信先 SMTP サーバーを指定 し ます。 no 形式を 使用する と 、 SMTP サーバーが削除 さ れます。 構文 [no] logging sendmail host ip_address ip_address - イ ベン ト ハン ド リ ングのア ラ ー ト メ ッ セージが送信 さ れる SMTP サー バーの IP ア ド レ ス です。 4-50 シ ス テム管理 コ マ ン ド 4 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • イ ベン ト ハン ド リ ングの SMTP サーバーは、 最大 3 つま で指定で き ます。 ただ し 、 各 サーバーを指定するには、サーバーご と に個別のコ マ ン ド を入力する必要があ り ます。 • 電子 メ ール ア ラ ー ト を送信する ため、 ス イ ッ チは、 最初に接続を開き ます。 次に、 キ ュ ーで待機 し ているすべての電子 メ ール ア ラ ー ト メ ッ セージ を 1 つずつ送信 し て、 接続を閉 じ ます。 • 接続 を 開 く ため、 ス イ ッ チはま ず、 最後の接続中に メ ール を 正常に送信で き たサー バー、 ま たは こ の コ マ ン ド で構成 し た最初のサーバーを選択 し ます。 メ ールの送信に 失敗する と 、 ス イ ッ チは、 リ ス ト 内の次のサーバーを選択 し て、 メ ール送信を再試行 し ます。 再試行に も 失敗する と 、 シ ス テムは、 こ のプ ロ セス を一定の間隔で繰 り 返 し ます (ス イ ッ チが接続を正常に開けなかっ た場合、 ト ラ ッ プが ト リ ガー さ れます)。 例 Console(config)#logging sendmail host 192.168.1.200 Console(config)# logging sendmail level このコ マン ド では、 ア ラ ー ト メ ッ セージの ト リ ガーに使用される重大度し きい値を設定 し ます。 構文 logging sendmail level level level - シ ス テム メ ッ セージ レ ベル (4-44 ページ) のいずれかです。 送信 さ れる メ ッ セージは、 選択 し た レ ベルから レ ベル 0 ま での メ ッ セージ です (範囲 : 0 ~ 7、 デ フ ォ ル ト : 7)。 デ フ ォ ル ト 設定 レ ベル 7 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 指定 し た レ ベルは、 イ ベン ト し き い値を示 し ます。 こ のレ ベル以上のすべてのイ ベ ン ト が、 構成 さ れている電子 メ ール受信者に送信 さ れます (た と えば、 レ ベル 7 を使用する と 、 レ ベル 7 ~ 0 ま でのすべてのイ ベン ト が報告 さ れます)。 例 この例では、レベル 4 ~ 0 までのシステム エ ラ ーに関する電子 メ ール ア ラ ー ト が送信されます。 Console(config)#logging sendmail level 4 Console(config)# 4-51 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース logging sendmail source-email こ の コ マ ン ド では、 ア ラ ー ト メ ッ セージの 「From」 フ ィ ール ド に使用 さ れる電子 メ ール ア ド レ ス を設定 し ます。 no 形式を使用する と 、 送信元電子 メ ール ア ド レ スが削除 さ れます。 構文 [no] logging sendmail source-email email-address email-address - ア ラ ー ト メ ッ セージ で使用 さ れる送信元電子 メ ール ア ド レ スです (範囲 : 0 ~ 41 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 ス イ ッ チ を特定で き る シ ンボ リ ッ ク な電子 メ ール ア ド レ ス、 ま たはス イ ッ チ を担当する 管理者のア ド レ ス を使用 し ます。 例 こ の例では、 送信元電子 メ ールを [email protected] に設定 し ます。 Console(config)#logging sendmail source-email [email protected] Console(config)# logging sendmail destination-email こ の コ マ ン ド では、 ア ラ ー ト メ ッ セージの電子 メ ール受信者を指定 し ます。 no 形式を使用す る と 、 受信者が削除 さ れます。 構文 [no] logging sendmail destination-email email-address email-address - ア ラ ー ト メ ッ セージ で使用 さ れる送信元電子 メ ール ア ド レ スです (範囲 : 1 ~ 41 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 ア ラ ー ト メ ッ セージの受信者は、 最大で 5 人ま で指定で き ます。 ただ し 、 各受信者を指 定するには、 受信者ご と に個別のコ マ ン ド を入力する必要があ り ます。 例 Console(config)#logging sendmail destination-email [email protected] Console(config)# 4-52 シ ス テム管理 コ マ ン ド 4 logging sendmail こ の コ マ ン ド では、 SMTP イ ベン ト ハン ド リ ング を有効に し ます。 no 形式を使用する と 、 こ の機能が無効にな り ます。 構文 [no] logging sendmail デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#logging sendmail Console(config)# show logging sendmail こ の コ マ ン ド では、 SMTP イ ベン ト ハン ド ラ の設定を表示 し ます。 コ マ ン ド モー ド Normal Exec、 Privileged Exec 例 Console#show logging sendmail SMTP servers ----------------------------------------------1. 192.168.1.200 SMTP minimum severity level: 4 SMTP destination email addresses ----------------------------------------------1. [email protected] SMTP source email address: SMTP status: Console# [email protected] Enabled 4-53 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース タ イム コ マン ド 指定 し た タ イ ム サーバー (NTP または SNTP) セ ッ ト をポー リ ン グする こ と で、 シ ス テム ク ロ ッ ク を動的に設定する こ と がで き ます。 ス イ ッ チ で時刻を正確に保つ こ と に よ り 、 シ ス テ ム ログに記録 さ れる イ ベン ト エ ン ト リ の日付や時刻は意味のあ る ものにな り ます。 ク ロ ッ ク を設定 し ない場合、 ス イ ッ チは、 最後のブー ト ア ッ プ時に設定 さ れた工場出荷時のデ フ ォ ル ト から の経過時間のみを記録 し ます。 表 4-22. タ イム コ マ ン ド コマン ド 機能 モー ド ページ sntp client 指定 し た タ イム サーバーから時刻を受信 し ます。 GC 4-54 sntp server 1 つまたは複数の タ イ ム サーバーを指定 し ます。 GC 4-55 sntp poll ク ラ イ ア ン ト が時刻をポー リ ングする間隔を設定 し ます。 GC 4-56 show sntp 現在の SNTP コ ン フ ィ ギ ュ レーシ ョ ン設定を表示 し ます。 NE、PE 4-56 clock timezone ス イ ッ チの内部ク ロ ッ クの タ イム ゾーン を設定 し ます。 GC 4-57 calendar set シ ス テムの日付 と 時刻を設定 し ます。 PE 4-57 show calendar 現在の日付 と 時刻の設定を表示 し ます。 NE、PE 4-58 sntp client こ の コ マ ン ド では、 SNTP ク ラ イ ア ン ト に、 sntp servers コ マ ン ド で指定 さ れた NTP ま たは SNTP タ イ ム サーバーに対する時刻同期要求を可能に し ます。 no 形式を使用する と 、 SNTP ク ラ イ ア ン ト 要求が無効にな り ます。 構文 [no] sntp client デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • タ イ ム サーバーか ら取得 さ れる時刻は、 ロ グ イ ベン ト の正確な日付および時刻を記 録するのに使用 さ れます。 SNTP を使用 し ない場合、 ス イ ッ チは、 最後のブー ト ア ッ プ時に設定 さ れた工場出荷時のデ フ ォ ル ト (2001/1/1 00:00:00 な ど) からの経過時間 を記録するのみです。 • こ の コ マ ン ド は、sntp servers コ マ ン ド を介 し て指定 さ れた タ イ ム サーバーへのク ラ イ ア ン ト 時刻要求を有効に し ます。 時刻同期要求は、 sntp poll コ マ ン ド によ り 設定 さ れた間隔に基づいて発行 さ れます。 4-54 シ ス テム管理 コ マ ン ド 4 例 Console(config)#sntp server 10.1.0.19 Console(config)#sntp poll 60 Console(config)#sntp client Console(config)#end Console#show sntp Current time: Dec 23 02:52:44 2002 Poll interval: 60 Current mode: unicast SNTP status: Enabled SNTP server: 10.1.0.19 0.0.0.0 0.0.0.0 Current server: 10.1.0.19 Console# 関連 コ マ ン ド sntp server (4-55) sntp poll (4-56) show sntp (4-56) sntp server こ の コ マ ン ド では、 SNTP 時刻要求が発行 さ れるサーバーの IP ア ド レ ス を設定 し ます。 こ の コ マ ン ド を引数な し で使用する と 、 現在の リ ス ト か ら すべての タ イ ム サーバーが ク リ ア さ れ ます。 構文 sntp server [ip1 [ip2 [ip3]]] ip - タ イ ム サーバー (NTP または SNTP) の IP ア ド レ スです。 (範囲 : 1 ~ 3 ア ド レ ス) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 こ の コ マ ン ド では、 ス イ ッ チが SNTP ク ラ イ ア ン ト モー ド に設定 さ れてい る時、 時刻 更新のためにポー リ ングする タ イ ム サーバーを指定 し ます。 ク ラ イ ア ン ト は、 応答を受 信する ま で、 指定 さ れた順序で タ イ ム サーバー を ポー リ ン グ し ます。 時刻同期要求は、 sntp poll コ マ ン ド に よ り 設定 さ れた間隔に基づいて発行 さ れます。 例 Console(config)#sntp server 10.1.0.19 関連 コ マ ン ド sntp client (4-54) sntp poll (4-56) show sntp (4-56) 4-55 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース sntp poll こ の コ マ ン ド では、 ス イ ッ チが SNTP ク ラ イ ア ン ト モー ド に設定 さ れている時、 時刻要求を 送信する間隔を設定 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 sntp poll seconds no sntp poll seconds - 時刻要求の間隔です (範囲 : 16 ~ 16384 秒)。 デ フ ォ ル ト 設定 16 秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#sntp poll 60 Console(config)# 関連 コ マ ン ド sntp client (4-54) show sntp こ の コ マ ン ド では、 SNTP ク ラ イ ア ン ト の現在の時刻 と コ ン フ ィ ギ ュ レ ーシ ョ ン設定を表示 し 、 ロー カル時刻が正 し く 更新 さ れているかど う かを示 し ます。 コ マ ン ド モー ド Normal Exec、 Privileged Exec コ マ ン ド の使用 現在の時刻、 時刻同期要求の送信に使用 さ れ る ポー リ ン グ間隔、 お よ び現在の SNTP モー ド (ユニキ ャ ス ト な ど) を表示 し ます。 例 Console#show sntp Current time: Dec 23 05:13:28 2002 Poll interval: 16 Current mode: unicast SNTP status : Enabled SNTP server 137.92.140.80 0.0.0.0 0.0.0.0 Current server: 137.92.140.80 Console# 4-56 シ ス テム管理 コ マ ン ド 4 clock timezone こ の コ マ ン ド では、 ス イ ッ チの内部ク ロ ッ ク の タ イ ム ゾーン を設定 し ます。 構文 clock timezone name hour hours minute minutes {before-utc | after-utc} • name - タ イ ムゾーンの名前 (通常は頭文字) です (範囲 : 1 ~ 29 文字)。 • hours - UTC 前後の時間 (時) です (範囲 : 0 ~ 12 時間)。 • minutes - UTC 前後の時間 (分) です (範囲 : 0 ~ 59 分)。 • before-utc - UTC 前 (東) のロー カル タ イ ム ゾーン を設定 し ます。 • after-utc - UTC 後 (西) のロー カル タ イ ム ゾーン を設定 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 こ の コ マ ン ド は、 経度 0 の子午線に基づ き、 UTC (Coordinated Universal Time ; 協定 世界時、旧 GMT ; グ リ ニ ッ ジ標準時) に関連 し た ロー カル タ イ ム ゾーン を設定 し ます。 現地時間に相当する時刻を表示するには、 該当する タ イ ム ゾーンが UTC の何時間何分 東 (前) ま たは西 (後) かを指定する必要があ り ます。 例 Console(config)#clock timezone Japan hours 8 minute 0 after-UTC Console(config)# 関連 コ マ ン ド show sntp (4-56) calendar set こ の コ マ ン ド では、 シ ス テム ク ロ ッ ク を設定 し ます。 ネ ッ ト ワー ク上に タ イ ム サーバーがな い場合、 ま たは タ イ ム サーバーか ら 信号を受信す る よ う にス イ ッ チ を構成 し ていない場合、 こ の コ マ ン ド を使用 し ます。 構文 calendar set hour min sec {day month year | month day year} • hour - 24 時間形式で時間を指定 し ます (範囲 : 0 ~ 23)。 • min - 分を指定 し ます (範囲 : 0 ~ 59) • sec - 秒を指定 し ます (範囲 : 0 ~ 59) • day - 日付を指定 し ます (範囲 : 1 ~ 31) • month - january | february | march | april | may | june | july | august | september | october | november | december • year - 年 (4 桁) を指定 し ます (範囲 : 2001 ~ 2100) 4-57 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 こ の例は、 シ ス テム ク ロ ッ ク を 2004 年 4 月 1 日 15 時 12 分 34 秒に設定する方法を示 し て います。 Console#calendar set 15 12 34 1 April 2004 Console# show calendar こ の コ マ ン ド では、 シ ス テム ク ロ ッ ク を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Normal Exec、 Privileged Exec 例 Console#show calendar 15:12:43 April 1 2004 Console# 4-58 シ ス テム管理 コ マ ン ド 4 シ ス テム ス テー タ ス コ マ ン ド 表 4-23. システム ス テー タ ス コ マ ン ド コマン ド 機能 show startup-config シ ス テ ムの ス タ ー ト ア ッ プ に使用 さ れ る コ ン フ ィ ギ ュ PE レーシ ョ ン フ ァ イル (フ ラ ッ シ ュ メ モ リ ーに保存 さ れて いる) の内容を表示 し ます。 モー ド 4-59 ページ show running-config 現在使用 さ れてい る コ ン フ ィ ギ ュ レ ーシ ョ ン デー タ を表 PE 示 し ます。 4-60 show system シ ス テム情報を表示 し ます。 show users Telnet ク ラ イ ア ン ト のユーザー名、 ア イ ド ル時間、 IP ア NE、PE 4-63 ド レ ス を 含め、 ア ク テ ィ ブ なすべての コ ン ソ ールお よ び Telnet セ ッ シ ョ ン を表示 し ます。 show version シ ス テムのバージ ョ ン情報を表示 し ます。 NE、PE 4-63 NE、PE 4-64 show startup-config こ の コ マ ン ド では、 シ ス テムのス タ ー ト ア ッ プに使用 さ れる コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イ ル (不揮発性 メ モ リ ーに保存 さ れている) を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • このコ マン ド を show running-config コ マン ド と組み合わせて使用する と、実行中の メ モ リ ー内の情報を不揮発性 メ モ リ ーに保存 さ れている情報 と 比較する こ と がで き ます。 • こ の コ マ ン ド では、 主要な コ マ ン ド モー ド の設定を表示 し ます。 各モー ド グループ は 「!」 で区切 られ、 コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド コ マ ン ド 、 および対応する コ マ ン ド を含みます。 こ の コ マ ン ド では、 次の情報を表示 し ます。 - SNMP コ ミ ュ ニ テ ィ ス ト リ ング - ユーザー (名前 と ア ク セス レ ベル) - VLAN デー タ ベース (VLAN ID、 名前、 状態) - 各イ ン タ ー フ ェ スの VLAN コ ン フ ィ ギ ュ レーシ ョ ン設定 - ス イ ッ チに構成 さ れている IP ア ド レ ス - スパニ ング ツ リ ー設定 - コ ン ソ ール ポー ト および Telnet の コ ン フ ィ ギ ュ レーシ ョ ン設定 4-59 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console#show startup-config building startup-config, please wait..... ! ! username admin access-level 15 username admin password 0 admin ! username guest access-level 0 username guest password 0 guest ! enable password level 15 0 super ! snmp-server community public ro snmp-server community private rw ! logging history ram 6 logging history flash 3 ! vlan database vlan 1 name DefaultVlan media ethernet state active ! interface ethernet 1/1 switchport allowed vlan add 1 untagged switchport native vlan 1 . . . interface vlan 1 ip address dhcp ! line console ! line vty ! end Console# 関連 コ マ ン ド show running-config (4-60) show running-config こ の コ マ ン ド では、 現在使用 さ れている コ ン フ ィ ギ ュ レーシ ョ ン情報を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 4-60 シ ス テム管理 コ マ ン ド 4 コ マ ン ド の使用 • このコ マン ド を show startup-config コ マン ド と組み合わせて使用する と、 実行中の メ モ リ ー内の情報 と 不揮発性 メ モ リ ーに保存 さ れている情報を比較する こ と がで き ます。 • こ の コ マ ン ド では、 主要な コ マ ン ド モー ド の設定を表示 し ます。 各モー ド グループ は 「!」 で区切 られ、 コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド コ マ ン ド 、 および対応する コ マ ン ド を含みます。 こ の コ マ ン ド では、 次の情報を表示 し ます。 - ス タ ッ ク内の各ス イ ッ チの MAC ア ド レ ス - SNTP サーバー設定 - ロー カル タ イ ム ゾーン - SNMP コ ミ ュ ニ テ ィ ス ト リ ング - ユーザー (名前、 ア ク セス レ ベル、 暗号化パスワー ド ) - イ ベン ト ロ グ設定 - VLAN デー タ ベース (VLAN ID、 名前、 状態) - 各イ ン タ ー フ ェ スの VLAN コ ン フ ィ ギ ュ レーシ ョ ン設定 - ス イ ッ チに構成 さ れている IP ア ド レ ス - レ イ ヤー 4 優先度設定 - コ ン ソ ール ポー ト および Telnet の コ ン フ ィ ギ ュ レーシ ョ ン設定 4-61 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console#show running-config building startup-config, please wait..... ! phymap 00-12-cf-ce-2a-20 00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00 ! SNTP server 0.0.0.0 0.0.0.0 0.0.0.0 ! clock timezone hours 0 minute 0 after-UTC ! ! SNMP-server community private rw SNMP-server community public ro ! ! username admin access-level 15 username admin password 7 21232f297a57a5a743894a0e4a801fc3 username guest access-level 0 username guest password 7 084e0343a0486ff05530df6c705c8bb4 enable password level 15 7 1b3231655cebb7a1f783eddf27d254ca ! ! logging history ram 6 logging history flash 3 ! ! vlan database vlan 1 name DefaultVlan media ethernet state active ! ! interface ethernet 1/1 switchport allowed vlan add 1 untagged switchport native vlan 1 . . . interface VLAN 1 IP address DHCP ! no map IP DSCP ! ! line console ! line vty ! end Console# 関連 コ マ ン ド show startup-config (4-59) 4-62 シ ス テム管理 コ マ ン ド 4 show system こ の コ マ ン ド では、 シ ス テム情報を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Normal Exec、 Privileged Exec コ マ ン ド の使用 • こ の コ マ ン ド によ り 表示 さ れる項目に関する説明は、 3-10 ページの 「シ ス テム情報の 表示」 を参照 し て く だ さ い。 • POST の結果はすべて 「PASS」 が表示 さ れなければな り ません。 POST テ ス ト に 「FAIL」 が表示 さ れる場合、 販売店ま でお問い合わせ く だ さ い。 例 Console#show system System Description: ES3528M System OID String: 1.3.6.1.4.1.259.6.10.94 System Information System Up Time: 0 days, 0 hours, 1 minutes, and 32.18 seconds System Name: [NONE] System Location: [NONE] System Contact: [NONE] MAC Address (Unit1): 00-00-35-28-10-03 Web Server: Enabled Web Server Port: 80 Web Secure Server: Enabled Web Secure Server Port: 443 Telnet Server: Enable Telnet Server Port: 23 Jumbo Frame: Disabled POST Result: DUMMY Test 1 ................. UART Loopback Test ........... DRAM Test .................... Timer Test ................... Switch Int Loopback Test ..... PASS PASS PASS PASS PASS Done All Pass. Console# show users Telnet ク ラ イ ア ン ト のユーザー名、 ア イ ド ル時間、 IP ア ド レ ス を含め、 ア ク テ ィ ブ なすべて の コ ン ソ ールおよび Telnet セ ッ シ ョ ン を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Normal Exec、 Privileged Exec 4-63 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 こ の コ マ ン ド の実行に使用 さ れる セ ッ シ ョ ンは、 ラ イ ン (セ ッ シ ョ ン) イ ンデ ッ ク ス番 号の横に 「*」 が付加 さ れます。 例 Console#show users Username accounts: Username Privilege Public-Key -------- --------- ---------admin 15 None guest 0 None steve 15 RSA Online users: Line Username Idle time (h:m:s) Remote IP addr. ----------- -------- ----------------- --------------0 console admin 0:14:14 * 1 VTY 0 admin 0:00:00 192.168.1.19 2 SSH 1 steve 0:00:06 192.168.1.19 Web online users: Line Remote IP addr Username Idle time (h:m:s). ----------- -------------- -------- -----------------1 HTTP 192.168.1.19 admin 0:00:00 Console# show version こ の コ マ ン ド では、 シ ス テムのハー ド ウ ェ アお よび ソ フ ト ウ ェ アのバージ ョ ン情報を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Normal Exec、 Privileged Exec コ マ ン ド の使用 こ の コ マ ン ド によ り 表示 さ れる項目の詳細については、 3-11 ページの 「ス イ ッ チのハー ド ウ ェ ア / ソ フ ト ウ ェ ア バージ ョ ンの表示」 を参照 し て く だ さ い。 4-64 シ ス テム管理 コ マ ン ド 4 例 Console#show version Unit1 Serial number: Service tag: Hardware version: Module A type: Module B type: Number of ports: Main power status: Redundant power status R01 1000BaseT 1000BaseT 52 up :not present Agent (master) Unit ID: Loader version: Boot ROM version: Operation code version: 1 2.2.1.4 2.2.1.8 2.2.7.1 S416000937 Console# フ レーム サイ ズ コ マ ン ド 表 4-24. フ レーム サイ ズ コ マ ン ド コマン ド 機能 モー ド ページ jumbo frame ジ ャ ンボ フ レームのサポー ト を有効に し ます。 GC 4-65 jumbo frame こ の コ マ ン ド では、 ジ ャ ンボ フ レームのサポー ト を有効に し ます。 no 形式を使用する と 、 無 効にな り ます。 構文 [no] jumbo frame デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • こ のス イ ッ チは、 最大 9216 バイ ト のジ ャ ンボ フ レームをサポー ト する こ と で、 大量 のシーケ ン シ ャル デー タ 転送のスループ ッ ト を効率化 し ています。 最大 1.5 KB で実 行する標準的な イ ーサネ ッ ト フ レ ーム と 比較 し た場合、 ジ ャ ンボ フ レ ームの使用に よ り 、 プ ロ ト コ ル カ プ セル化 フ ィ ール ド の処理に必要なパケ ッ ト あた り のオーバー ヘ ッ ド が大幅に削減 さ れます。 4-65 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • ジ ャ ンボ フ レームを使用するには、 送信元および宛先の両方のエ ン ド ノ ー ド ( コ ン ピ ュ ー タ ま たはサーバーな ど) が こ の機能をサポー ト し ている必要があ り ます。 また、 全二重で接続 し ている場合、 2 つのエ ン ド ノ ー ド 間にあ る ネ ッ ト ワー ク上のすべての ス イ ッ チが、 拡張 フ レ ーム サイ ズに対応で き る必要があ り ます。 半二重接続の場合、 コ リ ジ ョ ン ド メ イ ン内のすべてのデバ イ スが、 ジ ャ ン ボ フ レ ームをサポー ト し てい る必要があ り ます。 • ジ ャ ンボ フ レームを有効にする と 、 ブ ロー ド キ ャ ス ト ス ト ーム制御の最大 し き い値 が 64 パケ ッ ト / 秒に制限 さ れます (4-120 ページ の switchport broadcast コ マ ン ド を参照 し て く だ さ い)。 • ジ ャ ンボ フ レ ームの現在の設定を表示するには、 show system コ マ ン ド (4-63 ペー ジ) を使用 し ます。 例 Console(config)#jumbo frame Console(config)# フ ラ ッ シ ュ / フ ァ イ ル コ マン ド こ れら の コ マ ン ド は、 シ ス テム コ ー ド または コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルの管理に使用 さ れます。 表 4-25. フ ラ ッ シ ュ / フ ァ イル コ マ ン ド コマン ド 機能 copy コ ー ド イ メ ージ またはス イ ッ チ コ ン フ ィ ギ ュ レ ーシ ョ ン を、 PE フ ラ ッ シ ュ メ モ リ ー と TFTP サーバー間で相互に コ ピ ー し ます。 4-66 delete フ ァ イルまたは コ ー ド イ メ ージ を削除 し ます。 PE 4-69 4-70 dir モー ド ページ フ ラ ッ シ ュ メ モ リ ーの フ ァ イルの リ ス ト を表示 し ます。 PE whichboot ブー ト さ れた フ ァ イルを表示 し ます。 PE 4-71 boot system シ ス テ ムのス タ ー ト ア ッ プ に使用 さ れ る フ ァ イ ルま たは イ GC メ ージ を指定 し ます。 4-71 copy こ の コ マ ン ド では、 ス イ ッ チの フ ラ ッ シ ュ メ モ リ ー と TFTP サーバー間で、 コ ー ド イ メ ージ または コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを移動 (ア ッ プ ロー ド / ダウ ン ロー ド ) し ます。 シ ス テム コ ー ド ま たは コ ン フ ィ ギ ュ レ ーシ ョ ン設定 を TFTP サーバーの フ ァ イ ルに保存す る と 、 その フ ァ イ ルを後で ス イ ッ チにダウ ン ロー ド し て、 シ ス テム操作を復元す る こ と がで き ます。 フ ァ イル転送の成功の可否は、 TFTP サーバーのア ク セシ ビ リ テ ィ と ネ ッ ト ワー ク接続 の品質に基づ き ます。 構文 copy copy copy copy copy 4-66 file {file | running-config | startup-config | tftp | unit} running-config {file | startup-config | tftp} startup-config {file | running-config | tftp} tftp {file | running-config | startup-config | https-certificate | public-key} unit file フ ラ ッ シ ュ / フ ァ イル コ マ ン ド 4 • file - フ ァ イル と の間で相互に コ ピーで き る よ う にするキーワー ド です。 • running-config - 現在実行中の コ ン フ ィ ギ ュ レーシ ョ ン と の間で相互に コ ピーで き る よ う にするキーワー ド です。 • startup-config - シ ス テム初期化に使用 さ れる コ ン フ ィ ギ ュ レーシ ョ ン です。 • tftp - TFTP サーバー と の間で相互に コ ピーで き る よ う にするキーワー ド です。 • https-certificate - TFTP サーバーか ら ス イ ッ チへ、HTTPS 証明書を コ ピー し ます。 • public-key - TFTP サーバーか ら SSH キーを コ ピーで き る よ う にするキーワー ド で す (4-34 ページの 「セキ ュ ア シ ェ ル コ マ ン ド 」 を参照 し て く だ さ い)。 • unit - ユニ ッ ト と の間で相互に コ ピーで き る よ う にするキーワー ド です。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • システムは、copy コ マ ン ド の完了に必要なデー タ を要求する プ ロ ン プ ト を表示 し ます。 • 宛先 フ ァ イル名にス ラ ッ シ ュ (\ または /) を含める こ と はで き ません。 また、 フ ァ イ ル名の最初の文字に ド ッ ト (.) を使用す る こ と はで き ません。 フ ァ イ ル名の最大長 は、 TFTP サーバーの場合 127 文字、 ス イ ッ チ上のフ ァ イルの場合 31 文字です (有 効な文字 : A ~ Z、 a ~ z、 0 ~ 9、 「.」、 「-」、 「_」)。 • フ ラ ッ シ ュ メ モ リ ーの容量に制限がある ため、このス イ ッ チでサポー ト さ れるオペレー シ ョ ン コ ー ド フ ァ イルは 2 つのみです。 • ユーザー定義の コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルの最大数は、利用可能な メ モ リ ー容 量に よ り 異な り ます。 • 工場出荷時のデ フ ォ ル ト のコ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルから 「Factory_Default_Config.cfg」 を コ ピ ー元 と し て使用す る こ と はで き ま すが、 コ ピ ー 先 と し て使用する こ と はで き ません。 • ス タ ー ト ア ッ プ コ ン フ ィ ギ ュ レーシ ョ ン を置き換え るには、startup-config を コ ピー 先 と し て使用する必要があ り ます。 • ロー カル フ ァ イルを ス タ ッ ク内の別のス イ ッ チに コ ピーするには、 copy file unit コ マ ン ド を使用 し ます。 copy unit file コ マ ン ド を使用する と 、 ス タ ッ ク 内の別のス イ ッ チか ら フ ァ イルを コ ピーで き ます。 • Boot ROM および Loader を、TFTP サーバーから ア ッ プ ロー ド またはダウン ロー ド す る こ と はで き ません。 新 し い フ ァ ームウ ェ アについては、 リ リ ース ノ ー ト の説明に従 う か、 販売店にお問い合わせ く だ さ い。 • https-certificate の指定に関する詳細は、3-51 ページの 「デ フ ォル ト のセキ ュ アサイ ト 証 明書の置換」 を参照 し て く だ さ い。 セキ ュ アな接続を確保する ため HTTPS の使用を ス イ ッ チで構成する方法の詳細については、 4-31 ページの 「ip http secure-server」 を参 照 し て く だ さ い。 4-67 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 次の例は、TFTP サーバー上の フ ァ イルに コ ン フ ィ ギ ュ レーシ ョ ン設定を ア ッ プ ロー ド する方 法を示 し ています。 Console#copy file tftp Choose file type: 1. config: 2. opcode: <1-2>: 1 Source file name: startup TFTP server ip address: 10.1.0.99 Destination file name: startup.01 TFTP completed. Success. Console# 次の例は、 ス タ ー ト ア ッ プ フ ァ イルに実行中の コ ン フ ィ ギ ュ レーシ ョ ン を コ ピーする方法を 示 し ています。 Console#copy running-config file destination file name: startup Write to FLASH Programming. \Write to FLASH finish. Success. Console# 次の例は、 コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルを ダウ ン ロー ド する方法を示 し ています。 Console#copy tftp startup-config TFTP server ip address: 10.1.0.99 Source configuration file name: startup.01 Startup configuration file name [startup]: Write to FLASH Programming. \Write to FLASH finish. Success. Console# こ の例は、 セキ ュ アサイ ト 証明書を TFTP サーバーか ら コ ピーす る方法を示 し ています。 そ の後、 ス イ ッ チ を リ ブー ト し て、 証明書を ア ク テ ィ ブに し ます。 Console#copy tftp https-certificate TFTP server ip address: 10.1.0.19 Source certificate file name: SS-certificate Source private file name: SS-private Private password: ******** Success. Console#reload System will be restarted, continue <y/n>? y 4-68 フ ラ ッ シ ュ / フ ァ イル コ マ ン ド 4 こ の例は、 SSH に よ り 使用 さ れる公開キーを TFTP サーバーか ら コ ピーする方法を示 し てい ます。 SSH 経由での公開キー認証がサポー ト さ れるのは、 ス イ ッ チ上で ロー カルに構成 さ れ たユーザーのみであ る こ と に注意 し て く だ さ い。 Console#copy tftp public-key TFTP server IP address: 192.168.1.19 Choose public key type: 1. RSA: 2. DSA: <1-2>: 1 Source file name: steve.pub Username: steve TFTP Download Success. Write to FLASH Programming. Success. Console# delete こ の コ マ ン ド では、 フ ァ イルま たはイ メ ージ を削除 し ます。 構文 delete [unit:] filename filename - コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルの名前またはイ メ ージ名 unit - ス タ ッ ク ユニ ッ ト です (Always unit 1) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • フ ァ イル タ イ プがシ ス テムのス タ ー ト ア ッ プに使用 さ れる場合、 この フ ァ イルは削除 で き ません。 • 「Factory_Default_Config.cfg」 は削除で き ません。 • 指定 し たユニ ッ ト 番号の後に コ ロ ン (:) が必要です。 例 こ の例は、test2.cfg コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルをユニ ッ ト 1 の フ ラ ッ シ ュ メ モ リ ーか ら削除する方法を示 し ています。 Console#delete test2.cfg Console# 関連 コ マ ン ド dir (4-70) delete public-key (4-38) 4-69 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース dir こ の コ マ ン ド では、 フ ラ ッ シ ュ メ モ リ ー内の フ ァ イルを リ ス ト 表示 し ます。 構文 dir [unit:] {{boot-rom:| config:| opcode:}[:filename]} 次の タ イ プの フ ァ イルま たはイ メ ージが表示 さ れます。 • boot-rom - Boot ROM (診断) イ メ ージ フ ァ イル • config - ス イ ッ チ コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イル • opcode - ラ ン タ イ ム オペレ ーシ ョ ン コ ー ド イ メ ージ フ ァ イル • filename - コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルま たは コ ー ド イ メ ージの名前 • unit - ス タ ッ ク ユニ ッ ト です (Always unit 1) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • パラ メ ー タ を指定せずに dir コ マ ン ド を入力する と 、すべてのフ ァ イルが表示 さ れます。 • 指定 し たユニ ッ ト 番号の後に コ ロ ン (:) が必要です。 • 次のフ ァ イル情報が表示 さ れます。 表 4-26. フ ァ イル デ ィ レ ク ト リ 情報 列見出 し 説明 file name フ ァ イルの名前です。 file type フ ァ イル タ イ プ です (Boot-Rom、 Operation Code、 Config フ ァ イル)。 startup シ ス テムのス タ ー ト ア ッ プに このフ ァ イルが使用 さ れるかを示 し ます。 size フ ァ イルの長 さ をバイ ト 単位で示 し ます。 例 次の例は、 すべての フ ァ イル情報を表示する方法を示 し ています。 Console#dir 1: file name file type startup size (byte) ------------------------------------------------ ------- ------------D2218 Boot-Rom image Y 214124 V2271 Operation Code Y 1761944 Factory_Default_Config.cfg Config File Y 5197 --------------------------------------------------------------------------Total free space: 5242880 Console# 4-70 フ ラ ッ シ ュ / フ ァ イル コ マ ン ド 4 whichboot こ の コ マ ン ド では、 シ ス テムの電源を オ ンに し た時にブー ト さ れた フ ァ イルを表示 し ます。 構文 whichboot [unit] unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 こ の例は、 whichboot コ マ ン ド に よ り 表示 さ れる情報を示 し ています。 こ の コ マ ン ド で表示 さ れる フ ァ イル情報の説明は、 dir コ マ ン ド の下の表を参照 し て く だ さ い。 Console#whichboot file name (byte) ------------------------------------Unit1: D2218 V2271 Factory_Default_Config.cfg Console# file type startup size -------------- ------------------ Boot-Rom image Operation Code Config File Y Y Y 214124 1761944 5197 boot system こ の コ マ ン ド では、 シ ス テムのス タ ー ト ア ッ プに使用 さ れる イ メ ージ を指定 し ます。 構文 boot system [unit:] {boot-rom| config | opcode}:filename 次の タ イ プの フ ァ イルま たはイ メ ージ をデ フ ォ ル ト と し て設定で き ます。 • boot-rom* - Boot ROM • config* - コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イル • opcode* - ラ ン タ イ ム オペレーシ ョ ン コ ー ド • filename - コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イルま たは コ ー ド イ メ ージの名前 • unit* - ユニ ッ ト 番号を指定 し ます ( 常にユニ ッ ト 1)。 * コ ロ ン (:) が必要です。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • 指定 し たユニ ッ ト 番号および フ ァ イル タ イ プの後に コ ロ ン (:) が必要です。 • フ ァ イルにエ ラ ーが含まれる場合、 デ フ ォル ト フ ァ イル と し て設定で き ません。 4-71 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console(config)#boot system config: startup Console(config)# 関連 コ マ ン ド dir (4-70) whichboot (4-71) 認証コ マン ド こ のス イ ッ チは、 管理ア ク セ スのためにシ ス テムに ロ グ イ ン するユーザー を、 ロー カ ルま た は RADIUS 認証方式を使用 し て認証する よ う 構成する こ と がで き ます。 ま た、 IEEE 802.1X に基づ く ネ ッ ト ワー ク ク ラ イ ア ン ト ア ク セ スに対する ポー ト ベースの認証を有効にす る こ と も で き ます。 表 4-27. 認証コ マ ン ド コ マ ン ド グループ 機能 ページ 認証シーケ ン ス ロ グオン認証方式および優先度を定義 し ます。 4-72 RADIUS ク ラ イ ア ン ト RADIUS サーバーを介 し た認証の構成を行います。 4-74 TACACS+ ク ラ イ ア ン ト TACACS+ サーバーを介 し た認証の構成を行います。 4-78 ポー ト セキ ュ リ テ ィ ポー ト のセキ ュ ア ア ド レ ス を構成 し ます。 4-80 ポー ト 認証 特定ポー ト 上で 802.1X に基づ く ホス ト 認証を構成 し ます。 4-81 認証シーケ ン ス 表 4-28. 認証シーケ ン ス コマン ド 機能 モー ド ページ authentication login ロ グオン認証方式および優先度を定義 し ます。 GC 4-72 authentication enable コ マ ン ド モ ー ド 変更のための認証方式お よ び優先度 GC を定義 し ます。 4-73 authentication login こ の コ マ ン ド では、 ログ イ ン認証方式および優先度を定義 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 authentication login {[local] [radius] [tacacs]} no authentication login • local - ロー カル パスワー ド を使用 し ます。 • radius - RADIUS サーバー パスワー ド を使用 し ます。 • tacacs - TACACS サーバー パスワー ド を使用 し ます。 デ フ ォ ル ト 設定 ロー カル 4-72 認証 コ マ ン ド 4 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • RADIUS は UDP を使用 し 、TACACS+ は TCP を使用 し ます。UDP はベス ト エ フ ォ ー ト 型の送受信を提供 し 、 一方の TCP は コ ネ ク シ ョ ン指向の転送を提供 し ます。 また、 RADIUS は、 ク ラ イ ア ン ト か らサーバーへのア ク セス要求パケ ッ ト 内のパスワー ド の みを暗号化 し ますが、 TACACS+ はパケ ッ ト のボデ ィ 全体を暗号化する こ と に注意 し て く だ さ い。 • RADIUS および TACACS+ ログオ ン認証では、 ユーザー名 と パスワー ド の各ペアに特 定の権限レ ベルを割 り 当て ます。 ユーザー名、 パスワー ド 、 および権限レ ベルは、 認 証サーバーに構成 さ れている必要があ り ます。 • 認証シーケ ン ス を示すため、 1 つの コ マ ン ド で 3 つの認証方式を指定する こ と がで き ます。 た と えば、「authentication login radius tacacs local」 と 入力する と 、RADIUS サーバーのユーザー名およびパスワー ド が最初に検証 さ れます。 RADIUS サーバーが 利用で き ない場合、 TACACS+ サーバーで認証が試行 さ れます。 TACACS+ サーバー も利用で き ない場合、 ロー カルのユーザー名およびパスワー ド がチ ェ ッ ク さ れます。 例 Console(config)#authentication login radius Console(config)# 関連 コ マ ン ド username - ロー カルのユーザー名およびパスワー ド を設定 し ます (4-26)。 authentication enable こ の コ マ ン ド は、 enable コ マ ン ド に よ り コ マ ン ド モー ド を Exec か ら Privileged Exec に変 更する時の認証方式および優先度を定義 し ます (4-19 ページ を参照)。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 authentication enable {[local] [radius] [tacacs]} no authentication enable • local - ロー カルのパスワー ド のみを使用 し ます。 • radius - RADIUS サーバー パスワー ド のみを使用 し ます。 • tacacs - TACACS サーバー パスワー ド を使用 し ます。 デ フ ォ ル ト 設定 ロー カル コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-73 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 • RADIUS は UDP を使用 し 、TACACS+ は TCP を使用 し ます。UDP はベス ト エ フ ォ ー ト 型の送受信を提供 し 、 一方の TCP は コ ネ ク シ ョ ン指向の転送を提供 し ます。 また、 RADIUS は、 ク ラ イ ア ン ト か らサーバーへのア ク セス要求パケ ッ ト 内のパスワー ド の みを暗号化 し ますが、 TACACS+ はパケ ッ ト のボデ ィ 全体を暗号化する こ と に注意 し て く だ さ い。 • RADIUS および TACACS+ ログオ ン認証では、 ユーザー名 と パスワー ド の各ペアに特 定の権限レ ベルを割 り 当て ます。 ユーザー名、 パスワー ド 、 および権限レ ベルは、 認 証サーバーに構成 さ れている必要があ り ます。 • 認証シーケ ン ス を示すため、 1 つの コ マ ン ド で 3 つの認証方式を指定する こ と がで き ます。た と えば、「authentication enable radius tacacs local」 と 入力する と 、RADIUS サーバーのユーザー名およびパスワー ド が最初に検証 さ れます。 RADIUS サーバーが 利用で き ない場合、 TACACS+ サーバーで認証が試行 さ れます。 TACACS+ サーバー も利用で き ない場合、 ロー カルのユーザー名およびパスワー ド がチ ェ ッ ク さ れます。 例 Console(config)#authentication enable radius Console(config)# 関連 コ マ ン ド enable password - コ マ ン ド モー ド 変更用のパスワー ド を設定 し ます (4-27)。 RADIUS ク ラ イ ア ン ト RADIUS ( リ モー ト 認証ダ イ ヤルイ ン ユーザー サービ ス ) は、 中央サーバー上で稼働する ソ フ ト ウ ェ ア を使用 し て、 ネ ッ ト ワー ク上の RADIUS 準拠デバイ スへのア ク セス を制御する ロ グオ ン認証プ ロ ト コ ルです。 認証サーバーのデー タ ベースには、 ユーザー名お よびパスワー ド の複数のペアに加え、 ス イ ッ チへの管理ア ク セ ス を必要 と する各ユーザーま たはグループ に関連付け ら れた権限レ ベルが保管 さ れています。 表 4-29. RADIUS ク ラ イ ア ン ト コ マ ン ド コマン ド 機能 モー ド ページ radius-server host RADIUS サーバーを指定 し ます。 GC 4-75 radius-server port RADIUS サーバー ネ ッ ト ワー ク ポー ト を設定 し ます。 GC 4-75 radius-server key RADIUS 暗号キーを設定 し ます。 GC 4-76 radius-server retransmit 再試行回数を設定 し ます。 GC 4-76 認証要求を送信する間隔を設定 し ます。 GC 4-77 現在の RADIUS 設定を表示 し ます。 PE 4-77 radius-server timeout show radius-server 4-74 認証 コ マ ン ド 4 radius-server host こ の コ マ ン ド では、 各サーバーに適用 さ れる プ ラ イ マ リ / バ ッ ク ア ッ プ RADIUS サーバーお よび認証パラ メ ー タ を指定 し ます。 no 形式を使用する と 、 デ フ ォル ト 値に戻 り ます。 構文 [no] radius-server index host {host_ip_address | host_alias} [auth-port auth_port] [timeout timeout] [retransmit retransmit] [key key] • index - 最大 5 つのサーバーを指定で き ます。サーバーが応答するか、再送信期間が 満了する ま で、 こ れらのサーバーに対 し て順番に ク エ リ ーが実行 さ れます。 • host_ip_address - サーバーの IP ア ド レ ス です。 • host_alias - サーバーのシ ンボ リ ッ ク名です ( 最大長 : 20 文字)。 • port_number - 認証 メ ッ セージに使用 さ れる RADIUS サーバーの UDP ポー ト です (範囲 : 1 ~ 65535)。 • timeout - 要求を再送信する ま で ス イ ッ チが応答を待機する時間 (秒数 ) です (範囲 : 1 ~ 65535) • retransmit - ス イ ッ チが RADIUS サーバーを介 し て ロ グオ ン ア ク セスの認証を試行 する回数です (範囲 : 1 ~ 30) • key - ク ラ イ ア ン ト に対する ロ グオ ン ア ク セ スの認証に使用 さ れる暗号キーです。 文字列にスペース を含めないで く だ さ い (最大長 : 20 文字)。 デ フ ォ ル ト 設定 • auth-port - 1812 • timeout - 5 秒 • retransmit - 2 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#radius-server 1 host 192.168.1.20 auth-port 181 timeout 10 retransmit 5 key green Console(config)# radius-server port こ の コ マ ン ド では、 RADIUS サーバー ネ ッ ト ワー ク ポー ト を設定 し ます。 no 形式を使用す る と 、 デ フ ォ ル ト に戻 り ます。 構文 radius-server port port_number no radius-server port port_number - 認証 メ ッ セージに使用 さ れる RADIUS サーバーの UDP ポー ト です (範囲 : 1 ~ 65535)。 デ フ ォ ル ト 設定 1812 4-75 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#radius-server port 181 Console(config)# radius-server key こ の コ マ ン ド では、 RADIUS 暗号キーを設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 radius-server key key_string no radius-server key key_string - ク ラ イ ア ン ト のロ グオ ン ア ク セ ス を認証するのに使用 さ れる暗号キーで す。 文字列にスペース を含めないで く だ さ い (最大長 : 20 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#radius-server key green Console(config)# radius-server retransmit こ の コ マ ン ド では、 再試行回数を設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 radius-server retransmit number_of_retries no radius-server retransmit number_of_retries - ス イ ッ チが RADIUS サーバーを介 し て ログオ ン ア ク セスの認証 を試行する回数です (範囲 : 1 ~ 30) デ フ ォ ル ト 設定 2 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#radius-server retransmit 5 Console(config)# 4-76 認証 コ マ ン ド 4 radius-server timeout こ の コ マ ン ド では、 RADIUS サーバーに認証要求を送信する間隔を設定 し ます。 no 形式を使 用する と 、 デ フ ォル ト に戻 り ます。 構文 radius-server timeout number_of_seconds no radius-server timeout number_of_seconds - 要求を再送信す る ま で ス イ ッ チが応答を待機す る時間 (秒数) です (範囲 : 1 ~ 65535) デ フ ォ ル ト 設定 5 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#radius-server timeout 10 Console(config)# show radius-server こ の コ マ ン ド では、 RADIUS サーバーの現在の設定を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#show radius-server Remote RADIUS server configuration: Global settings Communication key with RADIUS server: Server port number: 1812 Retransmit times: 2 Request timeout: 5 Sever 1: Server IP address: 192.168.1.1 Communication key with RADIUS server: ***** Server port number: 1812 Retransmit times: 2 Request timeout: 5 Console# 4-77 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース TACACS+ ク ラ イ ア ン ト TACACS+ (Terminal Access Controller Access Control System) は、 中央サーバー上で稼働す る ソ フ ト ウ ェ ア を使 っ て、 ネ ッ ト ワー ク上の TACACS 準拠デバイ スへのア ク セ ス を制御する ログオ ン認証プ ロ ト コ ルです。認証サーバーのデー タ ベースには、ユーザー名およびパスワー ド の複数のペアに加え、 ス イ ッ チへの管理ア ク セ ス を必要 と する各ユーザーま たはグループ に関連付け ら れた権限レ ベルが保管 さ れています。 表 4-30. TACACS コ マ ン ド コマン ド 機能 モー ド ページ tacacs-server host TACACS+ サーバーを指定 し ます。 GC 4-78 tacacs-server port 4-78 TACACS+ サーバー ネ ッ ト ワー ク ポー ト を指定 し ます。 GC tacacs-server key TACACS+ 暗号キーを設定 し ます。 GC 4-79 show tacacs-server 現在の TACACS+ 設定を表示 し ます。 GC 4-79 tacacs-server host こ の コ マ ン ド では、 TACACS+ サーバーを指定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に 戻 り ます。 構文 tacacs-server host host_ip_address no tacacs-server host host_ip_address - TACACS+ サーバーの IP ア ド レ スです。 デ フ ォ ル ト 設定 10.11.12.13 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#tacacs-server host 192.168.1.25 Console(config)# tacacs-server port こ の コ マ ン ド では、 TACACS+ サーバー ネ ッ ト ワー ク ポー ト を指定 し ます。 no 形式を使用 する と 、 デ フ ォル ト に戻 り ます。 構文 tacacs-server port port_number no tacacs-server port port_number - 認証 メ ッ セージに使用 さ れる TACACS+ サーバーの TCP ポー ト です (範囲 : 1 ~ 65535)。 デ フ ォ ル ト 設定 49 4-78 認証 コ マ ン ド 4 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#tacacs-server port 181 Console(config)# tacacs-server key こ の コ マ ン ド では、 TACACS+ 暗号キーを設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に 戻 り ます。 構文 tacacs-server key key_string no tacacs-server key key_string - ク ラ イ ア ン ト のロ グオ ン ア ク セ ス を認証するのに使用 さ れる暗号キーで す。 文字列にスペース を含めないで く だ さ い (最大長 : 20 文字) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#tacacs-server key green Console(config)# show tacacs-server こ の コ マ ン ド では、 TACACS+ サーバーの現在の設定を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#show tacacs-server Remote TACACS server configuration: Server IP address: 10.11.12.13 Communication key with TACACS server: ***** Server port number: 49 Console# 4-79 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース ポー ト セキ ュ リ テ ィ コ マ ン ド こ れ ら の コ マ ン ド を使用する と 、 ポー ト 上でポー ト セキ ュ リ テ ィ を有効にする こ と がで き ま す。 ポー ト セキ ュ リ テ ィ を使用する場合、 MAC ア ド レ ス数が指定ポー ト 上で構成 さ れている 最大数に達する と 、 ス イ ッ チはア ド レ スの学習を停止 し ます。 該当ポー ト のダ イ ナ ミ ッ ク / ス タ テ ィ ッ ク ア ド レ ス テーブルに予め保存 さ れてい る送信元ア ド レ ス を持つ着信 ト ラ フ ィ ッ クのみが、 ネ ッ ト ワー ク へのア ク セス を許可 さ れます。 ポー ト は、 未知の送信元 MAC ア ド レ ス、または別のポー ト から すでに学習 し ている送信元 MAC ア ド レ ス を持つ着信フ レームを廃 棄 し ます。 未許可の MAC ア ド レ ス を持つデバイ スがそのス イ ッ チ ポー ト を使用 し よ う と す る と 、 侵入 と し て検知 さ れ、 ス イ ッ チはそのポー ト を無効に し て ト ラ ッ プ メ ッ セージ を送信 する こ と に よ っ て自動的に対処する こ と がで き ます。 表 4-31. ポー ト セキ ュ リ テ ィ コ マ ン ド コマン ド 機能 モー ド ページ port security セキ ュ ア ポー ト を構成 し ます。 IC mac-address-table static VLAN 内のポー ト にス タ テ ィ ッ ク ア ド レ ス を マ ッ ピ ン GC グ し ます。 4-138 show mac-address-table ブ リ ッ ジ フ ォ ワーデ ィ ン グ デー タ ベースのエ ン ト リ PE を表示 し ます。 4-139 4-80 port security こ の コ マ ン ド では、 ポー ト セキ ュ リ テ ィ の有効化ま たは構成を行います。 キーワー ド を指定 せずに no 形式を使用する と 、 ポー ト セキ ュ リ テ ィ が無効にな り ます。 適切なキーワー ド を 指定 し て no 形式を使用する と 、セキ ュ リ テ ィ 違反への対応および許可 さ れる ア ド レ スの最大 数がデ フ ォル ト 設定に戻 り ます。 構文 port security [action {shutdown | trap | trap-and-shutdown} | max-mac-count address-count] no port security [action | max-mac-count] • action - ポー ト セキ ュ リ テ ィ 違反への応答です。 - shutdown - ポー ト のみを無効に し ます。 - trap - SNMP ト ラ ッ プ メ ッ セージのみを送信 し ます。 - trap-and-shutdown - SNMP ト ラ ッ プ メ ッ セージ を送信 し て、 ポー ト を無効に し ます。 • max-mac-count - address-count - ポー ト で学習可能な MAC ア ド レ スの最大数です (範囲 : 0 ~ 1024) デ フ ォ ル ト 設定 • ス テー タ ス : 無効 • 応答 : な し • 最大ア ド レ ス数 : 0 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) 4-80 認証 コ マ ン ド 4 コ マ ン ド の使用 • ポー ト セキ ュ リ テ ィ が有効にな っ ている場合、 MAC ア ド レ ス数が指定ポー ト 上で構 成 さ れている最大数に達する と 、ス イ ッ チはア ド レ スの学習を停止 し ます。ダ イ ナ ミ ッ ク / ス タ テ ィ ッ ク ア ド レ ス テーブルに予め保存 さ れている送信元ア ド レ ス を持つ着信 ト ラ フ ィ ッ クのみが受け付け ら れます。 • ポー ト 上でセキ ュ リ テ ィ を有効にする には、最初に port security max-mac-count コ マ ン ド によ り ア ド レ ス数を設定 し てか ら、 port security コ マ ン ド を使用 し ます。 • ポー ト セキ ュ リ テ ィ を無効に し て、 ア ド レ スの最大数をデ フ ォ ル ト に リ セ ッ ト する に は、 no port security max-mac-count コ マ ン ド を使用 し ます。 • また、 mac-address-table static コ マ ン ド を使用 し て、 セキ ュ ア ア ド レ ス を手動で追 加する こ と も で き ます。 • セキ ュ ア ポー ト には次の制約があ り ます。 - ポー ト モニ タ リ ン グ を使用で き ません。 - マルチ VLAN ポー ト にする こ と がで き ません。 - ネ ッ ト ワー ク相互接続デバイ スに接続で き ません。 - ト ラ ン ク ポー ト にする こ と がで き ません。 • セキ ュ リ テ ィ 違反に よ り ポー ト が無効にな っ た場合、no shutdown コ マ ン ド を使用 し て、 手動で再び有効にする必要があ り ます。 例 次の例では、 ポー ト 5 上でポー ト セキ ュ リ テ ィ を有効に し 、 セキ ュ リ テ ィ 違反への応答 と し て ト ラ ッ プ メ ッ セージの送信を設定 し ます。 Console(config)#interface ethernet 1/5 Console(config-if)#port security action trap 関連 コ マ ン ド shutdown (4-119) mac-address-table static (4-138) show mac-address-table (4-139) 802.1X ポー ト 認証 こ のス イ ッ チは、IEEE 802.1X (dot1x) ポー ト ベース ア ク セス制御をサポー ト し ています。 こ れは、 認証用証明書のサブ ミ ッ ト を最初にユーザーに要求する こ と で、 不正なネ ッ ト ワー ク ア ク セス を防止する ものです。ク ラ イ ア ン ト 認証は、EAP (Extensible Authentication Protocol) 対応 RADIUS サーバーに よ り 集中管理 さ れます。 表 4-32. 802.1X ポー ト 認証 コマン ド 機能 モー ド ページ dot1x system-auth-control ス イ ッ チ上で dot1x をグローバルに有効に し ます。 GC 4-82 dot1x default すべての dot1x パラ メ ー タ をデ フ ォル ト 値に リ セ ッ ト GC し ます。 4-82 dot1x max-req 認証セ ッ シ ョ ンが タ イ ムアウ ト にな る ま でに、 ス イ ッ IC チがク ラ イ ア ン ト に EAP 要求 /ID パケ ッ ト を再送信す る最大回数を設定 し ます。 4-83 4-81 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 表 4-32. 802.1X ポー ト 認証 (続き) コマン ド 機能 dot1x port-control ポート イ ン タ ーフ ェ ースの dot1x モード を 設定し ま す。 IC モー ド ページ 4-83 dot1x operation-mode dot1x ポー ト 上で 1 つま たは複数のホス ト を可能に し IC ます。 4-84 dot1x re-authenticate 特定のポー ト 上で再認証を強制 し ます。 PE 4-84 dot1x re-authentication すべてのポー ト に対 し て再認証を有効に し ます。 IC 4-85 dot1x timeout quiet-period Max Request Count を超えた後、 ス イ ッ チ ポー ト が新 IC 規 ク ラ イ ア ン ト 取得を試行する ま での待機時間を設定 し ます。 4-85 dot1x timeout re-authperiod 接続 ク ラ イ ア ン ト を再認証 し な く てはな ら な く な る ま IC での時間を設定 し ます。 4-86 dot1x timeout tx-period 認証セ ッ シ ョ ン中、ス イ ッ チが EAP パケ ッ ト を再送信 IC する ま でに待機する時間を設定 し ます。 4-86 show dot1x dot1x 関連情報をすべて表示 し ます。 PE 4-87 dot1x system-auth-control こ の コ マ ン ド では、 ス イ ッ チ上で 802.1X ポー ト 認証を グ ローバルに有効に し ます。 no 形式 を使用する と 、 デ フ ォル ト に戻 り ます。 構文 [no] dotx system-auth-control デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#dot1x system-auth-control Console(config)# dot1x default こ の コ マ ン ド では、 構成可能なすべての dot1x グ ローバル設定お よびポー ト 設定をデ フ ォ ル ト 値に設定 し ます。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#dot1x default Console(config)# 4-82 認証 コ マ ン ド 4 dot1x max-req こ の コ マ ン ド では、 認証セ ッ シ ョ ンが タ イ ムアウ ト にな る ま でに、 ス イ ッ チ ポー ト がク ラ イ ア ン ト に EAP 要求 /ID パケ ッ ト を再送信する最大回数を設定 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 dot1x max-req count no dot1x max-req count - 要求の最大数です (範囲 : 1 ~ 10)。 デフ ォル ト 2 コ マ ン ド モー ド Interface Configuration 例 Console(config)#interface eth 1/2 Console(config-if)#dot1x max-req 2 Console(config-if)# dot1x port-control こ の コ マ ン ド では、 ポー ト イ ン タ ー フ ェ ース上で dot1x モー ド を設定 し ます。 no 形式を使用 する と 、 デ フ ォル ト に戻 り ます。 構文 dot1x port-control {auto | force-authorized | force-unauthorized} no dot1x port-control • auto - dot1x 対応ク ラ イ ア ン ト が RADIUS サーバーで許可さ れる よ う に要求 し ます。 dot1x 対応でない ク ラ イ ア ン ト はア ク セス を拒否 さ れます。 • force-authorized - dot1x 対応または非対応のいずれのク ラ イ ア ン ト に も すべて、ア ク セス を付与する よ う ポー ト を構成 し ます。 • force-unauthorized - dot1x 対応または非対応いずれの ク ラ イ ア ン ト に対 し て も、 ア ク セス を拒否する よ う ポー ト を構成 し ます。 デフ ォル ト force-authorized コ マ ン ド モー ド Interface Configuration 例 Console(config)#interface eth 1/2 Console(config-if)#dot1x port-control auto Console(config-if)# 4-83 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース dot1x operation-mode こ の コ マ ン ド では、 1 つまたは複数のホス ト (ク ラ イ ア ン ト ) が、 802.1X 許可ポー ト に接続 するのを可能に し ます。 キーワー ド を指定せずに no 形式を使用する と 、 デ フ ォル ト の 1 つの ホス ト に戻 り ます。 multi-host max-count キーワー ド を指定 し て no 形式を使用する と 、 デ フ ォル ト の最大数に戻 り ます。 構文 dot1x operation-mode {single-host | multi-host [max-count count]} no dot1x operation-mode [multi-host max-count] • single-host - 1 つのホス ト のみが このポー ト に接続するのを可能に し ます。 • multi-host - 複数のホス ト が こ のポー ト に接続するのを可能に し ます。 • max-count - ホス ト の最大数を指定するキーワー ド です。 - count - ポー ト に接続で き るホス ト の最大数です(範囲: 1 ~ 1024、デフ ォル ト : 5)。 デフ ォル ト 1 つのホス ト コ マ ン ド モー ド Interface Configuration コ マ ン ド の使用 • こ の コ マ ン ド で指定 さ れる 「max-count」 パラ メ ー タ は、 dot1x モー ド が dot1x port-control コ マ ン ド (4-83 ページ) によ り 「auto」 に設定 さ れている場合のみ 有効にな り ます。 • 「multi-host」 モー ド では、 すべてのホス ト にネ ッ ト ワー ク ア ク セ スが付与 さ れる ため には、 ポー ト に接続 さ れている ホス ト のいずれか 1 つが認証を通過する必要があ り ま す。 同様に、 1 つの接続ホス ト が再認証に失敗するか、 EAPOL ロ グオ フ メ ッ セージ を送信する と 、 ポー ト は、 すべてのホス ト に対 し て無許可状態にな り ます。 例 Console(config)#interface eth 1/2 Console(config-if)#dot1x operation-mode multi-host max-count 10 Console(config-if)# dot1x re-authenticate こ の コ マ ン ド では、 すべてのポー ト ま たは特定イ ン タ ー フ ェ ース上で再認証を強制 し ます。 構文 dot1x re-authenticate [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です。 (範囲 : 1 ~ 52) 4-84 認証 コ マ ン ド 4 コ マ ン ド モー ド Privileged Exec 例 Console#dot1x re-authenticate Console# dot1x re-authentication こ の コ マ ン ド では、すべてのポー ト に対 し て定期的な再認証をグ ローバルに有効に し ます。no 形式を使用する と 、 再認証が無効にな り ます。 構文 [no] dot1x re-authentication コ マ ン ド モー ド Interface Configuration 例 Console(config)#interface eth 1/2 Console(config-if)#dot1x re-authentication Console(config-if)# dot1x timeout quiet-period こ の コ マ ン ド では、 Max Request Count を超えた後、 ス イ ッ チ ポー ト が新規 ク ラ イ ア ン ト 取 得を試行する ま での待機時間を設定 し ます。 no 形式を使用する と 、 デ フ ォル ト に リ セ ッ ト さ れます。 構文 dot1x timeout quiet-period seconds no dot1x timeout quiet-period seconds - 秒数です (範囲 : 1 ~ 65535) デフ ォル ト 60 秒 コ マ ン ド モー ド Interface Configuration 例 Console(config)#interface eth 1/2 Console(config-if)#dot1x timeout quiet-period 350 Console(config-if)# 4-85 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース dot1x timeout re-authperiod こ の コ マ ン ド では、 接続 ク ラ イ ア ン ト を再認証 し な く てはな ら な く な る ま での時間を設定 し ます。 構文 dot1x timeout re-authperiod seconds no dot1x timeout re-authperiod seconds - 秒数です (範囲 : 1 ~ 65535) デフ ォル ト 3600 秒 コ マ ン ド モー ド Interface Configuration 例 Console(config)#interface eth 1/2 Console(config-if)#dot1x timeout re-authperiod 300 Console(config-if)# dot1x timeout tx-period こ の コ マ ン ド では、 認証セ ッ シ ョ ン中、 ス イ ッ チが EAP パケ ッ ト を再送信する ま でに待機す る時間を設定 し ます。 no 形式を使用する と 、 デ フ ォル ト 値に リ セ ッ ト さ れます。 構文 dot1x timeout tx-period seconds no dot1x timeout tx-period seconds - 秒数です (範囲 : 1 ~ 65535) デフ ォル ト 30 秒 コ マ ン ド モー ド Interface Configuration 例 Console(config)#interface eth 1/2 Console(config-if)#dot1x timeout tx-period 300 Console(config-if)# 4-86 認証 コ マ ン ド 4 show dot1x こ の コ マ ン ド では、 ス イ ッ チ ま たは特定イ ン タ ー フ ェ ース上のポー ト 認証に関連 し た設定全 般を表示 し ます。 構文 show dot1x [statistics] [interface interface] • statistics - 各ポー ト の dot1x ス テー タ ス を表示 し ます。 • interface - ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です ( 常にユニ ッ ト 1)。 - port - ポー ト 番号です。 (範囲 : 1 ~ 52) コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 こ の コ マ ン ド では、 次の情報を表示 し ます。 • Global 802.1X Parameters - 802.1X ポー ト 認証がス イ ッ チ上でグローバルに有効に さ れているかど う かを示 し ます。 • 802.1X Port Summary - 次の項目を含め、 各イ ン タ ー フ ェ ースのポー ト ア ク セス制 御パラ メ ー タ を表示 し ます。 - Status – ポー ト ア ク セ ス制御の管理状態 - Operation Mode – Dot1x ポー ト 制御の操作モー ド (4-84 ページ) - Mode – Dot1x ポー ト 制御モー ド (4-83 ページ) - Authorized – 許可ス テー タ ス (yes ま たは n/a: 無許可) • 802.1X Port Details - 次の項目を含め、 各イ ン タ ー フ ェ ースのポー ト ア ク セ ス制御 パラ メ ー タ を表示 し ます。 - reauth-enabled – 定期的再認証 (4-85 ページ) - reauth-period – 接続 ク ラ イ ア ン ト を再認証 し な く てはな ら な く な る ま で の時間 (4-86 ページ) - quiet-period – Max Request Count を超えた後、 ス イ ッ チ ポー ト が新規ク ラ イ ア ン ト 取得を試行する ま での待機時間 (4-85 ページ) - tx-period – 認証セ ッ シ ョ ン中、 ス イ ッ チが EAP パケ ッ ト を再送信す る ま でに待機する時間 (4-86 ページ) - supplicant-timeout – ク ラ イ ア ン ト (Supplicant) タ イ ムアウ ト - server-timeout – サーバー タ イ ムアウ ト - reauth-max – 再認証の最大試行回数 - max-req – Maximum 認証セ ッ シ ョ ンが タ イ ムアウ ト にな る ま でに、 ポー ト がク ラ イ ア ン ト に EAP 要求 /ID パケ ッ ト を再送信 する最大回数 (4-83 ページ) - Status – 許可ス テー タ ス (許可または無許可) - Operation Mode – 1 つまたは複数のホス ト ( ク ラ イ ア ン ト ) が 802.1X 許可 ポー ト に接続で き るかど う かを表示 し ます。 4-87 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース - Max Count – ポー ト に接続で き る ホス ト の最大数 (4-84 ページ) - Port-control – ポー ト の dot1x モー ド (auto、 force-authorized、 または force-unauthorized) を表示 し ます (4-83 ページ)。 - Supplicant – 許可 さ れた ク ラ イ ア ン ト の MAC ア ド レ ス - Current Identifier – 現在の認証セ ッ シ ョ ン を特定するのに認証サーバー (Authenticator) が使用する整数 (0 ~ 255) • Authenticator State Machine - State – 現在の状態 (initialize、 disconnected、 connecting、 authenticating、 authenticated、 aborting、 held、 force_authorized、 force_unauthorized を含む) - Reauth Count – connecting 状態に再び入る回数 • Backend State Machine - State – 現在の状態 (request、 response、 success、 fail、 timeout、 idle、 initialize を含む) - Request Count – 応答を受信せずに ク ラ イ ア ン ト (Supplicant) に送信 さ れ た EAP Request パケ ッ ト の数 - Identifier(Server) – 認証サーバーから 受信 し た最新の EAP Success パケ ッ ト 、 Failure パケ ッ ト 、 Request パケ ッ ト 内の識別子 • Reauthentication State Machine - State 4-88 – 現在の状態 (initialize、 reauthenticate を含む) 認証 コ マ ン ド 4 例 Console#show dot1x Global 802.1X Parameters system-auth-control: enable 802.1X Port Summary Port Name 1/1 1/2 . . . 1/52 Status disabled enabled Operation Mode Single-Host Single-Host Mode ForceAuthorized auto Authorized n/a yes disabled Single-Host ForceAuthorized n/a 802.1X Port Details 802.1X is disabled on port 1/1 802.1X is enabled on port 1/2 reauth-enabled: Enable reauth-period: 1800 quiet-period: 30 tx-period: 40 supplicant-timeout: 30 server-timeout: 10 reauth-max: 2 max-req: 5 Status Authorized Operation mode Single-Host Max count 5 Port-control Auto Supplicant 00-12-cf-49-5e-dc Current Identifier 3 Authenticator State Machine State Authenticated Reauth Count 0 Backend State Machine State Idle Request Count 0 Identifier(Server) 2 Reauthentication State Machine State Initialize . . . 802.1X is disabled on port 1/52 Console# 4-89 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース ア ク セス制御リ スト コ マン ド ア ク セ ス制御 リ ス ト (ACL) に よ り 、 IP フ レ ーム (ア ド レ ス、 プ ロ ト コ ル、 ま たはレ イ ヤー 4 プ ロ ト コ ル ポー ト 番号に基づ く ) ま たは任意のフ レーム (MAC ア ド レ ス またはイ ーサネ ッ ト タ イ プに基づ く ) のパケ ッ ト を フ ィ ル タ リ ングで き ます。 パケ ッ ト を フ ィ ル タ リ ングする には、 まずア ク セス リ ス ト を作成 し 、 必要なルールを追加 し て、 特定のポー ト に こ の リ ス ト をバイ ン ド し ます。 ア ク セス制御 リ ス ト ACL は、 IP ア ド レ ス、 MAC ア ド レ ス、 ま たはよ り 限定的な基準に適用 さ れる許可ま たは拒 否条件のシーケ ン シ ャル リ ス ト です。こ のス イ ッ チでは ACL の条件に従っ て イ ング レ ス また はイ グ レ ス パケ ッ ト が 1 つずつテ ス ト さ れます。 許可ルールに合致 し たパケ ッ ト は即座に受 理 さ れ、 拒否ルールに合致 し たパケ ッ ト は即座に破棄 さ れます。 すべての許可ルールの リ ス ト に対 し てルールが一致 し ない場合、 パケ ッ ト は廃棄 さ れ、 すべての拒否ルールの リ ス ト に 対 し てルールが一致 し ない場合、 パケ ッ ト は受け付け られます。 フ ィ ル タ リ ング モー ド には、 次の 3 種類があ り ます。 • 標準 IP ACL モー ド (STD-ACL) – 送信元 IP ア ド レ スに基づいてパケ ッ ト を フ ィ ル タ リ ン グ し ます。 • 拡張 IP ACL モー ド (EXT-ACL) – 送信元または宛先 IP ア ド レ ス、 およびプ ロ ト コ ル タ イ プ と プ ロ ト コ ル ポー ト 番号に基づいて、 パケ ッ ト を フ ィ ル タ リ ン グ し ます。 ACL には次の制約が適用 さ れます。 • 各 ACL は最大 100 個のルールで構成で き ます。 • ただ し 、 リ ソ ースの制約がある ため、 ポー ト にバイ ン ド さ れるルールの平均数は 20 以下に する必要があ り ます。 • こ のス イ ッ チではイ ング レ ス フ ィ ル タ リ ング用の ACL のみがサポー ト さ れます。 イ ン グ レ ス フ ィ ル タ リ ングのために各ポー ト にバイ ン ド で き る IP ACL は 1 つのみです。 すなわ ち、 1 つのイ ン タ ー フ ェ ースには、 イ ング レ ス IP ACL の 1 つの ACL のみをバイ ン ド で き ます。 ア ク テ ィ ブ な ACL のチ ェ ッ ク 順序は次の と お り です。 1. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれるユーザー定義のルール 2. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれる明示的なデ フ ォ ル ト ルール (permit any any) 3. どの明示的ルールに も合致 し ない場合の暗黙的デ フ ォ ル ト は permit all です。 表 4-33. ア ク セス制御 リ ス ト コ マ ン ド グループ 機能 IP ACL IP ア ド レ ス、 TCP/UDP ポー ト 番号、 およびプ ロ ト コル タ イ プに 4-91 基いて ACL を構成 し ます。 MAC ACL ハー ド ウ ェ ア ア ド レ ス、 パケ ッ ト フ ォ ーマ ッ ト 、 お よ び イ ーサ 4-95 ネ ッ ト タ イ プに基づいて ACL を構成 し ます。 ACL 情報 ACL および関連付け られたルールを表示 し ます。 また、 各ポー ト 4-99 に割 り 当て られている ACL を表示 し ます。 4-90 ページ ア ク セス制御 リ ス ト コ マ ン ド 4 IP ACL 表 4-34. IP ACL コマン ド 機能 access-list ip IP ACL を作成 し 、 コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド に GC 入 り ます。 モー ド 4-91 ページ permit、 deny 指定 し た 送信元 IP ア ド レ ス と 一致す る パケ ッ ト を STD-ACL フ ィ ル タ リ ング し ます。 4-92 permit、 deny 送信元お よ び宛先 IP ア ド レ ス、 TCP/UDP ポー ト 番 EXT-ACL 号、 プ ロ ト コ ル タ イ プ な ど指定の基準に基づい てパ ケ ッ ト を フ ィ ル タ リ ング し ます。 4-92 show ip access-list 構成 さ れた IP ACL のルールを表示 し ます。 PE ip access-group IP ACL にポー ト を追加 し ます。 IC 4-94 PE 4-94 show ip access-group IP ACL のポー ト 割当て を表示 し ます。 4-94 access-list ip こ の コ マ ン ド では、IP ア ク セ ス リ ス ト を追加 し 、標準ま たは拡張 IP ACL の コ ン フ ィ ギ ュ レー シ ョ ン モー ド に入 り ます。 no 形式を使用する と 、 指定 し た ACL が削除 さ れます。 構文 [no] access-list ip {standard | extended} acl_name • standard - 送信元 IP ア ド レ スに基いてパケ ッ ト を フ ィ ル タ リ ングする ACL を指定 し ます。 • extended - 送信元または宛先 IP ア ド レ ス、 およびその他のよ り 具体的な基準に基 いてパケ ッ ト を フ ィ ル タ リ ングする ACL を指定 し ます。 • acl_name - ACL の名前です (最大長 : 16 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ACL を新規作成する場合、 または既存の ACL の コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 る場合、 permit または deny コ マ ン ド を使用 し て、 リ ス ト の最後に新規ルールを追加 し ます。 ACL を作成する には、 少な く と も 1 つのルールを リ ス ト に追加する必要があ り ます。 • ルールを削除するには、 no permit または no deny コ マ ン ド の後に、 以前に構成 し た ルールを正確に指定 し ます。 • 各 ACL には最大で 100 のルールを含める こ と がで き ます。 例 Console(config)#access-list ip standard david Console(config-std-acl)# 4-91 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 関連 コ マ ン ド permit、 deny (4-92) ip access-group (4-94) show ip access-list (4-94) permit、 deny (標準 ACL) このコ マ ン ド では、 標準 IP ACL にルールを追加 し ます。 このルールは、 指定 し た送信元から送 られるパケ ッ ト の フ ィ ル タ 条件を設定 し ます。no 形式を使用する と 、ルールが削除 さ れます。 構文 [no] {permit | deny} {any | source bitmask | host source} • any - 任意の送信元 IP ア ド レ スです。 • source - 送信元 IP ア ド レ スです。 • bitmask - 一致 さ せる ア ド レ ス ビ ッ ト を表す 10 進数です。 • host - 特定の IP ア ド レ スの前に指定するキーワー ド です。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド 標準 ACL コ マ ン ド の使用 • 新規ルールは、 リ ス ト の最後に追加 さ れます。 • ア ド レ ス ビ ッ ト マス クは、 サブネ ッ ト マ ス ク と 同様、 ド ッ ト で区切られた 0 ~ 255 の 4 つの整数から 構成 さ れます。 バイ ナ リ マス ク では、 ビ ッ ト 1 で 「一致」 を示 し 、 ビ ッ ト 0 で 「無視」 を示 し ます。 ビ ッ ト マス ク と 指定 さ れた送信元 IP ア ド レ ス を ビ ッ ト 単位で AND 演算 し た結果に対 し て、 ACL が割 り 当て られたポー ト に着信する各 IP パケ ッ ト のア ド レ スが比較 さ れます。 例 こ の例では、 特定のア ド レ ス 10.1.1.21 に 1 つの許可ルールを構成 し 、 ビ ッ ト マ ス ク を使用 し て ア ド レ ス範囲 168.92.16.x ~ 168.92.31.x に別のルールを構成 し ます。 Console(config-std-acl)#permit host 10.1.1.21 Console(config-std-acl)#permit 168.92.16.0 255.255.240.0 関連 コ マ ン ド access-list ip (4-91) permit、 deny (拡張 ACL) こ の コ マ ン ド では、 拡張 IP ACL にルールを追加 し ます。 こ のルールは、 特定の送信元ま たは 宛先 IP ア ド レ ス、 プ ロ ト コ ル タ イ プ、 送信元ま たは宛先プ ロ ト コ ル ポー ト に よ り パケ ッ ト のフ ィ ル タ 条件を設定 し ます。 no 形式を使用する と 、 ルールが削除 さ れます。 4-92 ア ク セス制御 リ ス ト コ マ ン ド 4 構文 [no] {permit | deny} [protocol-number | udp] {any | source address-bitmask | host source} {any | destination address-bitmask | host destination} [source-port sport [end]] [destination-port dport [end]] [no] {permit | deny} tcp {any | source address-bitmask | host source} {any | destination address-bitmask | host destination} [source-port sport [end]] [destination-port dport [end]] • protocol-number - 特定のプ ロ ト コ ル番号です (範囲 : 0 ~ 255) • source - 送信元 IP ア ド レ スです。 • destination - 宛先 IP ア ド レ スです。 • address-bitmask - 一致 さ せる ア ド レ ス ビ ッ ト を表す 10 進数です。 • host - 特定の IP ア ド レ スの前に指定するキーワー ド です。 • sport - プ ロ ト コ ル 1 の送信元ポー ト 番号です (範囲 : 0 ~ 65535) • dport - プ ロ ト コル 1 の宛先ポー ト 番号です (範囲 : 0 ~ 65535) • end - プ ロ ト コ ル ポー ト 範囲の上限です (範囲 : 0 ~ 65535) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド 拡張 ACL コ マ ン ド の使用 • 新規ルールはすべて、 リ ス ト の最後に追加 さ れます。 • ア ド レ ス ビ ッ ト マス クは、 サブネ ッ ト マ ス ク と 同様、 ド ッ ト で区切られた 0 ~ 255 の 4 つの整数から 構成 さ れます。 バイ ナ リ マス ク では、 ビ ッ ト 1 で 「一致」 を示 し 、 ビ ッ ト 0 で 「無視」 を示 し ます。 ビ ッ ト マス ク と 指定 さ れた送信元 IP ア ド レ ス を ビ ッ ト 単位で AND 演算 し た結果に対 し て、 ACL が割 り 当て られたポー ト に着信する各 IP パケ ッ ト のア ド レ スが比較 さ れます。 例 こ の例では、送信元ア ド レ スがサブネ ッ ト 10.7.1.x 内にある着信パケ ッ ト を受け取 り ます。た と えば、 こ のルールに合致、 すなわちルール (10.7.1.0 と 255.255.255.0) がマ ス ク さ れたア ド レ ス (10.7.1.2 と 255.255.255.0) に等 し い場合、 パケ ッ ト は通過 し ます。 Console(config-ext-acl)#permit 10.7.1.1 255.255.255.0 any Console(config-ext-acl)# 1 TCP、 UDP、 ま たはその他のプ ロ ト コル タ イ プ を含みます。 4-93 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース こ の例では、 宛先 TCP ポー ト の番号が 80 (HTTP) に設定 さ れてい る場合、 ク ラ ス C ア ド レ ス 192.168.1.0 から すべての宛先ア ド レ スへの TCP パケ ッ ト が可能にな り ます。 Console(config-ext-acl)#permit 192.168.1.0 255.255.255.0 any destination-port 80 Console(config-ext-acl)# 関連 コ マ ン ド access-list ip (4-91) show ip access-list こ の コ マ ン ド では、 構成 さ れた IP ACL のルールを表示 し ます。 構文 show ip access-list {standard | extended} [acl_name] • standard - 標準 IP ACL を指定 し ます。 • extended - 拡張 IP ACL を指定 し ます。 • acl_name - ACL の名前です (最大長 : 16 文字)。 コ マ ン ド モー ド Privileged Exec 例 Console#show ip access-list standard IP standard access-list david: permit host 10.1.1.21 permit 168.92.0.0 255.255.255.0 Console# 関連 コ マ ン ド permit、 deny (4-92) ip access-group (4-94) ip access-group こ の コ マ ン ド では、 IP ACL にポー ト をバ イ ン ド し ます。 no 形式を使用する と 、 ポー ト が削 除 さ れます。 構文 [no] ip access-group acl_name in • acl_name - ACL の名前です (最大長 : 16 文字)。 • in - こ の リ ス ト がイ ング レ ス パケ ッ ト に適用 さ れる こ と を示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) 4-94 ア ク セス制御 リ ス ト コ マ ン ド 4 コ マ ン ド の使用 • 1 つのポー ト を 1 つの ACL にのみバイ ン ド で き ます。 • すでに ACL にバイ ン ド さ れているポー ト を別の ACL にバイ ン ド する と 、 既存のバイ ン ド が新 し いバイ ン ド に置き換え られます。 • ACL ルールをポー ト にバイ ン ド する前に、ルールのマス ク を構成する必要があ り ます。 例 Console(config)#int eth 1/25 Console(config-if)#ip access-group david in Console(config-if)# 関連 コ マ ン ド show ip access-list (4-94) show ip access-group こ の コ マ ン ド では、 IP ACL に割 り 当て られているポー ト を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show ip access-group Interface ethernet 1/25 IP access-list david in Console# 関連 コ マ ン ド ip access-group (4-94) MAC ACL このコ マン ド では、 ハー ド ウ ェ ア ア ド レ ス、 パケ ッ ト フ ォ ーマ ッ ト 、 およびイーサネ ッ ト タ イ プに基いて ACL を構成 し ます。 MAC ACL を構成する には、 まず必要な許可ルールま たは拒 否ルールを含むア ク セス リ ス ト を作成 し 、この リ ス ト を 1 つ以上のポー ト にバイ ン ド し ます。 表 4-35. MAC ACL コマン ド 機能 access-list mac MAC ACL を作成 し 、 コ ン フ ィ ギ ュ レーシ ョ ン モー ド GC に入 り ます。 permit、 deny 指定の送信元 お よ び宛先 ア ド レ ス、 パ ケ ッ ト 形式、 MAC-ACL 4-96 イ ーサネ ッ ト タ イ プ と 一致す るパケ ッ ト を フ ィ ル タ リ ング し ます。 show mac access-list 構成 さ れた MAC ACL のルールを表示 し ます。 PE mac access-group MAC ACL にポー ト を追加 し ます。 IC 4-98 MAC ACL のポー ト 割当て を表示 し ます。 PE 4-99 show mac access-group モー ド ページ 4-96 4-98 4-95 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース access-list mac こ の コ マ ン ド では、 MAC ア ク セ ス リ ス ト を追加 し 、 MAC ACL コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド に入 り ます。 no 形式を使用する と 、 指定 し た ACL が削除 さ れます。 構文 [no] access-list mac acl_name acl_name - ACL の名前です (最大長 : 16 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ACL を新規作成する場合、 または既存の ACL の コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 る場合、 permit または deny コ マ ン ド を使用 し て、 リ ス ト の最後に新規ルールを追加 し ます。 ACL を作成する には、 少な く と も 1 つのルールを リ ス ト に追加する必要があ り ます。 • ルールを削除するには、 no permit または no deny コ マ ン ド の後に、 以前に構成 し た ルールを正確に指定 し ます。 • 各 ACL には最大で 32 のルールを含める こ と がで き ます。 例 Console(config)#access-list mac jerry Console(config-mac-acl)# 関連 コ マ ン ド permit, deny (MAC ACL) (4-96) mac access-group (4-98) show mac access-list (4-98) permit, deny (MAC ACL) こ の コ マ ン ド では、 MAC ACL にルールを追加 し ます。 こ のルールは、 指定の MAC 送信元ま たは宛先ア ド レ ス (物理的な レ イ ヤー ア ド レ ス)、 またはイ ーサネ ッ ト プ ロ ト コル タ イ プ と 一致するパケ ッ ト を フ ィ ル タ リ ング し ます。 no 形式を使用する と 、 ルールが削除 さ れます。 構文 [no] {permit | deny} {any | host source | source address-bitmask} {any | host destination | destination address-bitmask} [vid vid vid-bitmask] [ethertype protocol [protocol-bitmask]] 注 : デ フ ォル ト は、 Ethernet II パケ ッ ト です。 4-96 ア ク セス制御 リ ス ト コ マ ン ド 4 [no] {permit | deny} tagged-eth2 {any | host source | source address-bitmask} {any | host destination | destination address-bitmask} [vid vid vid-bitmask] [ethertype protocol [protocol-bitmask]] [no] {permit | deny} untagged-eth2 {any | host source | source address-bitmask} {any | host destination | destination address-bitmask} [ethertype protocol [protocol-bitmask]] [no] {permit | deny} tagged-802.3 {any | host source | source address-bitmask} {any | host destination | destination address-bitmask} [vid vid vid-bitmask] [no] {permit | deny} untagged-802.3 {any | host source | source address-bitmask} {any | host destination | destination address-bitmask} • tagged-eth2 – Tagged Ethernet II packets. • untagged-eth2 – Untagged Ethernet II packets. • tagged-802.3 – Tagged Ethernet 802.3 packets. • untagged-802.3 – Untagged Ethernet 802.3 packets. • any - 任意の MAC 送信元ま たは宛先ア ド レ ス です。 • host - 特定の MAC ア ド レ ス です。 • source - 送信元 MAC ア ド レ スです。 • destination - ビ ッ ト マ ス ク を使っ た宛先 MAC ア ド レ ス範囲です。 • address-bitmask1 - MAC ア ド レ スのビ ッ ト マス ク です (16 進数)。 • vid - VLAN ID です (範囲 : 1 ~ 4093)。 • vid-bitmask1 - VLAN ビ ッ ト マス ク (範囲 : 1 ~ 4093)。 • protocol - 特定のイ ーサネ ッ ト プ ロ ト コ ル番号です(範囲 : 600 ~ FFF の 16 進数)。 • protocol-bitmask1 - プ ロ ト コル ビ ッ ト マ ス ク です ( 範囲 : 600 ~ FFF の 16 進数 )。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド MAC ACL コ マ ン ド の使用 • 新規ルールは、 リ ス ト の最後に追加 さ れます。 • ethertype オプ シ ョ ン を使用で き るのは、 Ethernet II 形式のパケ ッ ト フ ィ ル タ リ ン グ に対 し てのみです。 • イ ーサネ ッ ト プ ロ ト コ ル タ イ プの詳細な リ ス ト は、 RFC 1060 に記載 さ れています。 一般的な タ イ プ を次に示 し ます。 1 すべてのビ ッ ト マ ス ク で、 「1」 は有効な ビ ッ ト 、 「0」 は無視する ビ ッ ト を表 し ます。 4-97 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース - 0800 - IP - 0806 - ARP - 8137 - IPX 例 こ のルールは、イ ーサネ ッ ト タ イ プが 0800 である任意の送信元 MAC ア ド レ スから 宛先ア ド レ ス 00-e0-29-94-34-de へのパケ ッ ト を許可 し ます。 Console(config-mac-acl)#permit any host 00-e0-29-94-34-de ethertype 0800 Console(config-mac-acl)# 関連 コ マ ン ド access-list mac (4-96) show mac access-list こ の コ マ ン ド では、 構成 さ れた MAC ACL のルールを表示 し ます。 構文 show mac access-list [acl_name] acl_name - ACL の名前です (最大長 : 16 文字)。 コ マ ン ド モー ド Privileged Exec 例 Console#show mac access-list MAC access-list jerry: permit any 00-e0-29-94-34-de ethertype 0800 Console# 関連 コ マ ン ド permit、 deny (4-96) mac access-group (4-98) mac access-group こ の コ マ ン ド では、 MAC ACL にポー ト をバイ ン ド し ます。 no 形式を使用する と 、 ポー ト が 削除 さ れます。 構文 mac access-group acl_name in • acl_name - ACL の名前です (最大長 : 16 文字)。 • in - こ の リ ス ト がイ ング レ ス パケ ッ ト に適用 さ れる こ と を示 し ます。 デ フ ォ ル ト 設定 なし 4-98 ア ク セス制御 リ ス ト コ マ ン ド 4 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) コ マ ン ド の使用 • 1 つのポー ト を 1 つの ACL にのみバイ ン ド で き ます。 • すでに ACL にバイ ン ド さ れているポー ト を別の ACL にバイ ン ド する と 、 既存のバイ ン ド が新 し いバイ ン ド に置き換え られます。 例 Console(config)#interface ethernet 1/2 Console(config-if)#mac access-group jerry in Console(config-if)# 関連 コ マ ン ド show mac access-list (4-98) show mac access-group こ の コ マ ン ド では、 MAC ACL に割 り 当て られているポー ト を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show mac access-group Interface ethernet 1/5 MAC access-list M5 in Console# 関連 コ マ ン ド mac access-group (4-98) ACL 情報 表 4-36. ACL 情報 コマン ド 機能 show access-list すべての ACL および関連付け られたルールを表示 し ます。 PE show access-group 各ポー ト に割 り 当て られている ACL を表示 し ます。 モー ド ページ PE 4-99 4-100 show access-list こ の コ マ ン ド では、 すべての ACL および関連付け ら れたルール、 ユーザー定義マス ク を表示 し ます。 コ マ ン ド モー ド Privileged Exec 4-99 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 イ ン タ ー フ ェ ースにバイ ン ド さ れた ACL (ア ク テ ィ ブ な ACL) では、 ルールの表示順序 は、 関連付け られたマ ス ク によ っ て決ま り ます。 例 Console#show access-list IP standard access-list david: permit host 10.1.1.21 permit 168.92.16.0 255.255.240.0 IP extended access-list bob: permit 10.7.1.1 255.255.255.0 any permit 192.168.1.0 255.255.255.0 any destination-port 80 80 IP access-list jerry: permit any host 00-30-29-94-34-de ethertype 800 800 IP extended access-list A6: permit any any Console# show access-group こ の コ マ ン ド では、 ACL のポー ト 割当て を表示 し ます。 コ マ ン ド モー ド Privileged Executive 例 Console#show access-group Interface ethernet 1/1 IP access-list jerry in . . . Interface ethernet 1/52 IP access-list jerry in Console# SNMP コ マン ド SNMP ( 簡易ネ ッ ト ワー ク管理プ ロ ト コル ) 経由に よ る管理ス テーシ ョ ンから こ のス イ ッ チへ のア ク セス、 および ト ラ ッ プ マネージ ャ に送信 さ れる エ ラ ー タ イ プ を制御 し ます。 SNMP バージ ョ ン 3 は、 メ ッ セージの完全性、 認証、 暗号化、 および MIB ツ リ ーの特定の領 域に対するユーザー ア ク セスの制御を網羅する セキ ュ リ テ ィ 機能を提供 し ます。 SNMPv3 を 使用する には、 まず SNMP エ ン ジ ン ID を設定 し (ま たはデ フ ォ ル ト を受け入れ) 、 MIB ツ リ ーの読み書き可能ア ク セス ビ ュ ーを指定 し 、 必要なセキ ュ リ テ ィ モデル (SNMP v1、 v2c、 v3) と セキ ュ リ テ ィ レ ベル (認証お よびプ ラ イ バシー) で SNMP ユーザー グループ を構成 し ます。 次に、 こ れら のグループに SNMP ユーザーを、 特定の認証およびプ ラ イバシー パス ワー ド と と も に割 り 当て ます。 表 4-37. SNMP コ マ ン ド コマン ド 機能 モー ド ページ snmp-server SNMP エージ ェ ン ト を有効に し ます。 GC 4-101 show snmp SNMP 通信のス テー タ ス を表示 し ます。 NE、PE 4-101 4-100 SNMP コ マ ン ド 4 表 4-37. SNMP コ マ ン ド (続き) コマン ド 機能 モー ド ページ snmp-server community SNMP コ マ ン ド へのア ク セス を許可する コ ミ ュ ニ テ ィ GC ア ク セス ス ト リ ン グを設定 し ます。 4-102 snmp-server contact シ ス テム コ ン タ ク ト ス ト リ ング を設定 し ます。 GC 4-103 snmp-server location シ ス テム ロ ケーシ ョ ン ス ト リ ング を設定 し ます。 GC 4-103 snmp-server host SNMP 通知操作の受信者を指定 し ます。 GC 4-104 snmp-server enable traps デバイ スによ る SNMP ト ラ ッ プ (SNMP 通知) の送信 GC を有効に し ます。 4-106 snmp-server engine-id SNMP エ ン ジ ン ID を設定 し ます。 GC 4-107 show snmp engine-id SNMP エ ン ジ ン ID を表示 し ます。 PE 4-108 snmp-server view SNMP ビ ュ ーを追加 し ます。 GC 4-108 show snmp view SNMP ビ ュ ーを表示 し ます。 PE 4-109 snmp-server group SNMP グループ を追加 し 、 ビ ュ ーにユーザーを マ ッ ピ GC ング し ます。 4-110 show snmp group SNMP グループ を表示 し ます。 PE 4-111 snmp-server user SNMP グループにユーザーを追加 し ます。 GC 4-112 show snmp user SNMP ユーザーを表示 し ます。 PE 4-113 snmp-server このコ マン ド では、 すべての管理ク ラ イ アン ト (バージ ョ ン 1、 2c、 3) に対し て SNMPv3 エ ン ジ ンおよびサービ ス を有効に し ます。no 形式を使用する と 、 こ のサーバーが無効にな り ます。 構文 [no] snmp-server デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#snmp-server Console(config)# show snmp こ の コ マ ン ド では、 SNMP 通信のス テー タ ス を チ ェ ッ ク し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Normal Exec、 Privileged Exec 4-101 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 こ の コ マ ン ド は、 コ ミ ュ ニ テ ィ ア ク セ ス ス ト リ ン グの情報、 SNMP 入出力プ ロ ト コ ル デー タ ユニ ッ ト の カ ウ ン タ 情報、 お よ び snmp-server enable traps コ マ ン ド に よ り SNMP ロギングが有効に さ れているかど う かを表示 し ます。 例 Console#show snmp SNMP Agent: enabled SNMP traps: Authentication: enable Link-up-down: enable SNMP communities: 1. private, and the privilege is read-write 2. public, and the privilege is read-only 0 SNMP packets input 0 Bad SNMP version errors 0 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 0 Number of requested variables 0 Number of altered variables 0 Get-request PDUs 0 Get-next PDUs 0 Set-request PDUs 0 SNMP packets output 0 Too big errors 0 No such name errors 0 Bad values errors 0 General errors 0 Response PDUs 0 Trap PDUs SNMP logging: disabled Console# snmp-server community こ の コ マ ン ド では、 SNMP v1 お よ び v2c コ ミ ュ ニ テ ィ ア ク セ ス ス ト リ ン グ を定義 し ま す。 no 形式を使用する と 、 指定 し た コ ミ ュ ニ テ ィ ス ト リ ングが削除 さ れます。 構文 snmp-server community string [ro|rw] no snmp-server community string • string - パスワー ド のよ う に機能 し 、 SNMP プ ロ ト コ ルへのア ク セス を許可する コ ミ ュ ニテ ィ ス ト リ ングです (最大長 : 32 文字、 大文字小文字を区別、 ス ト リ ングの最大数 : 5)。 • ro - 読取 り 専用ア ク セス を指定 し ます。 許可 さ れた管理ス テーシ ョ ンは MIB オブ ジ ェ ク ト の取得のみを行え ます。 • rw - 読取 り / 書込みア ク セス を指定 し ます。 許可 さ れた管理ス テーシ ョ ンは、 MIB オブ ジ ェ ク ト の取得および変更を両方行 う こ と がで き ます。 4-102 SNMP コ マ ン ド 4 デ フ ォ ル ト 設定 • public - 読取 り 専用ア ク セ スです。 許可 さ れた管理ス テーシ ョ ンは MIB オブ ジ ェ ク ト の取得のみを行え ます。 • private - 読取 り / 書込みア ク セ スです。許可 さ れた管理ス テーシ ョ ンは、MIB オブ ジ ェ ク ト の取得および変更を両方行 う こ と がで き ます。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#snmp-server community alpha rw Console(config)# snmp-server contact こ の コ マ ン ド では、 シ ス テム コ ン タ ク ト ス ト リ ング を設定 し ます。 no 形式を使用する と 、 シ ス テム コ ン タ ク ト 情報が削除 さ れます。 構文 snmp-server contact string no snmp-server contact string - シ ス テム コ ン タ ク ト 情報を記述する ス ト リ ングです (最大長 : 255 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#snmp-server contact Paul Console(config)# 関連 コ マ ン ド snmp-server location (4-103) snmp-server location こ の コ マ ン ド では、 シ ス テム ロ ケーシ ョ ン ス ト リ ング を設定 し ます。 no 形式を使用する と 、 ロ ケーシ ョ ン ス ト リ ングが削除 さ れます。 構文 snmp-server location text no snmp-server location text - シ ス テム ロ ケーシ ョ ン を記述する ス ト リ ングです (最大長 : 255 文字)。 デ フ ォ ル ト 設定 なし 4-103 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#snmp-server location WC-19 Console(config)# 関連 コ マ ン ド snmp-server contact (4-103) snmp-server host こ の コ マ ン ド では、 SNMP ( 簡易ネ ッ ト ワー ク管理プ ロ ト コル ) 通知操作の受信側ホス ト を指 定 し ます。 no 形式を使用する と 、 指定 し たホス ト が削除 さ れます。 構文 snmp-server host host-addr [inform [retry retries | timeout seconds]] community-string [version {1 | 2c | 3 {auth | noauth | priv} [udp-port port]} no snmp-server host host-addr • host-addr - ホス ト ( タ ーゲ ッ ト の受信側) のイ ン タ ーネ ッ ト ア ド レ ス です (最大ホス ト ア ド レ ス : 5 ト ラ ッ プ宛先 IP ア ド レ ス エ ン ト リ )。 • inform - 通知はイ ン フ ォ ーム メ ッ セージ と し て送信 さ れます。 こ のオプ シ ョ ンは、 バージ ョ ン 2c および 3 ホス ト でのみ利用可能であ る こ と に注意 し て く だ さ い (デ フ ォル ト : ト ラ ッ プ を使用)。 - retries - 受信側が受信を確認 し ない場合に、 イ ン フ ォ ーム メ ッ セージ を送信する 最大回数です (範囲 : 0 ~ 255、 デ フ ォル ト : 3) - seconds - イ ン フ ォ ーム メ ッ セージ を再送信する ま でに肯定応答を待機する時間 (秒数) です (範囲 : 0 ~ 2147483647 セ ン チ秒、 デ フ ォ ル ト : 1500 セ ン チ秒)。 • community-string - SNMP v1 および v2c ホス ト への通知操作に よ り 送信 さ れ、 パス ワー ド のよ う に機能する コ ミ ュ ニテ ィ ス ト リ ングです。 こ のス ト リ ングは、 snmp-server host コ マ ン ド 自体を使用 し て設定で き ます。 ただ し 、 snmp-server host コ マ ン ド を使用する前に、snmp-server community コ マ ン ド を使用 し て こ の ス ト リ ング を定義 し てお く こ と を お勧め し ます (最大長 : 32 文字)。 • version - SNMP バージ ョ ン 1、 2c、 または 3 ト ラ ッ プのどれ と し て通知を送信す るかを指定 し ます (範囲 : 1、 2c、 3; デ フ ォ ル ト : 1)。 - auth | noauth | priv - こ のグループは、 認証あ り 、 認証な し 、 認証およびプ ラ イ バシーのいずれかで SNMPv3 を使用 し ます。 認証お よび暗号化オプ シ ョ ン に関 する詳細は、 3-33 ページの 「簡易ネ ッ ト ワー ク管理プ ロ ト コ ル」 を参照 し て く だ さ い。 • port - 使用する ホス ト UDP ポー ト です (範囲 : 1 ~ 65535、 デ フ ォル ト : 162) デ フ ォ ル ト 設定 • ホス ト ア ド レ ス : な し • 通知 タ イ プ : Traps • SNMP バージ ョ ン : 1 • UDP ポー ト : 162 4-104 SNMP コ マ ン ド 4 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • snmp-server host コ マ ン ド を入力 し ない と 、 通知は送信 さ れません。 SNMP 通知を 送信する よ う ス イ ッ チ を構成するには、 少な く と も 1 つの snmp-server host コ マ ン ド を入力する必要があ り ます。 複数のホス ト を有効にするには、 各ホス ト に対 し 個別 に snmp-server host コ マ ン ド を発行する必要があ り ます。 • snmp-server host コ マ ン ド は、 snmp-server enable traps コ マ ン ド と と も に使用 さ れ ま す。 snmp-server enable traps コ マ ン ド を 使用す る と 、 ト ラ ッ プ ま た は イ ン フ ォ ームの送信を有効に し 、どの SNMP 通知をグ ローバルに送信するかを指定で き ま す。 ホス ト に通知を受信 さ せる には、 少な く と も 1 つの snmp-server enable traps コ マ ン ド と 、 そのホス ト に対する snmp-server host コ マ ン ド を有効にする必要があ り ます。 • snmp-server enable traps コ マ ン ド で制御で き ない通知 タ イ プ も あ り ます。 た と え ば、 一部の通知 タ イ プは常に有効にな っ ています。 • デ フ ォル ト では、通知はス イ ッ チから ト ラ ッ プ メ ッ セージ と し て発行 さ れます。 ト ラ ッ プ メ ッ セージの受信者はス イ ッ チに応答を送信 し ません。 すなわち、 ト ラ ッ プには、 受信の肯定応答要求が含まれる イ ン フ ォ ーム メ ッ セージほどの信頼性はあ り ません。 イ ン フ ォ ーム を使用す る と 、 重要な情報がホ ス ト で受信 さ れた こ と を確認で き ます。 ただ し 、応答を受信する ま で イ ン フ ォ ームを メ モ リ ーに保存 し てお く 必要がある ため、 よ り 多 く のシ ス テム リ ソ ースが消費 さ れます。 ま た、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク も 増加 し ます。 通知を ト ラ ッ プ と イ ン フ ォ ームのど ち ら で発行す るかを決定す る際は、 こ れ らの影響について考慮 し て く だ さ い。 SNMPv2c ホス ト に イ ン フ ォ ームを送信するには、 次の手順に従います。 1. SNMP エージ ェ ン ト を有効に し ます (4-101 ページ)。 2. ス イ ッ チに よ る SNMP ト ラ ッ プ (SNMP の通知) の送信を可能に し ます (4-106 ページ )。 3. こ のセ ク シ ョ ン で説明 し た snmp-server host コ マ ン ド を使用 し て、 イ ン フ ォ ー ム メ ッ セージ を受け取る タ ーゲ ッ ト ホス ト を指定 し ます。 4. 必要な通知 メ ッ セージが含まれる ビ ュ ーを作成 し ます (4-108 ページ)。 5. 必要な通知ビ ュ ーが含まれるグループ を作成 し ます (4-110 ページ)。 SNMPv3 ホス ト に イ ン フ ォ ームを送信するには、 次の手順に従います。 1. SNMP エージ ェ ン ト を有効に し ます (4-101 ページ)。 2. ス イ ッ チに よ る SNMP ト ラ ッ プ (SNMP の通知) の送信を可能に し ます (4-106 ページ)。 3. こ のセ ク シ ョ ン で説明 し た snmp-server host コ マ ン ド を使用 し て、 イ ン フ ォ ー ム メ ッ セージ を受け取る タ ーゲ ッ ト ホス ト を指定 し ます。 4. 必要な通知 メ ッ セージが含まれる ビ ュ ーを作成 し ます (4-108 ページ)。 5. 必要な通知ビ ュ ーが含まれるグループ を作成 し ます (4-110 ページ)。 6. ユーザーが存在する リ モー ト エ ン ジ ン ID を指定 し ます (4-107 ページ)。 7. 次に、 リ モー ト ユーザーを構成 し ます (4-112 ページ)。 4-105 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • ス イ ッ チは、 SNMP バージ ョ ン 1、 2c、 ま たは 3 に よ る通知を ホス ト IP ア ド レ スに 送信する こ と がで き ます。 こ のバージ ョ ンは、 管理ス テーシ ョ ンがサポー ト する SNMP バージ ョ ン によ り 異な り ます。 snmp-server host コ マ ン ド に よ り SNMP バー ジ ョ ンが指定 さ れない場合、 デ フ ォル ト の SNMP バージ ョ ン 1 通知が送信 さ れます。 • SNMP バージ ョ ン 3 ホス ト を指定 し た場合、 コ ミ ュ ニテ ィ ス ト リ ングは SNMP ユー ザー名と し て解釈さ れます。 V3 の 「auth」 または 「priv」 オプシ ョ ン を使用する場合、 最初に snmp-server user コ マ ン ド を使 っ てユーザー名を定義す る必要があ り ます。 ユーザー名が定義 さ れていない場合、 認証パスワー ド またはプ ラ イバシ パスワー ド 、 あるいはその両方が存在し ないため、 ホス ト に対する SNMP ア ク セスがス イ ッ チで許 可さ れません。ただ し 、「noauth」 オプシ ョ ン で V3 ホス ト を指定 し た場合、SNMP ユー ザー ア カ ウン ト が生成 さ れ、 ス イ ッ チはホス ト への SNMP ア ク セス を許可 し ます。 例 Console(config)#snmp-server host 10.1.19.23 batman Console(config)# 関連 コ マ ン ド snmp-server enable traps (4-106) snmp-server enable traps こ の コ マ ン ド では、 こ のデバ イ ス で簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル ト ラ ッ プ ま たは イ ン フ ォ ーム (SNMP 通知) の送信を有効に し ます。 no 形式を使用する と 、 SNMP 通知が無効に な り ます。 構文 [no] snmp-server enable traps [authentication | link-up-down] • authentication - 認証失敗通知を発行するキーワー ド です。 • link-up-down - リ ン ク ア ッ プ または リ ン ク ダウン通知を発行するキーワー ド です。 デ フ ォ ル ト 設定 認証および リ ン ク ア ッ プ / ダウン ト ラ ッ プ を発行 し ます。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • snmp-server enable traps コ マ ン ド を入力 し ない と 、こ のコ マ ン ド で制御 さ れる通知 は送信 さ れません。 SNMP 通知を送信する よ う デバイ ス を構成する には、 少な く と も 1 つの snmp-server enable traps コ マ ン ド を入力する必要があ り ます。 キーワー ド を指定せずに コ マ ン ド を入力する と 、 認証および リ ン ク ア ッ プ / ダウ ンの両方の通知 が有効にな り ます。 キーワー ド を指定 し て コ マ ン ド を入力する と 、 そのキーワー ド に 関連する通知 タ イ プのみが有効にな り ます。 • snmp-server enable traps コ マ ン ド は、 snmp-server host コ マ ン ド と と も に使用 さ れます。snmp-server host コ マ ン ド を使用する と 、SNMP 通知を受信する ホス ト (複 数可) を指定で き ます。 通知を送信するには、 少な く と も 1 つの snmp-server host コ マ ン ド を構成する必要があ り ます。 4-106 SNMP コ マ ン ド 4 • 認証、 リ ン ク ア ッ プ、 リ ン ク ダウン ト ラ ッ プはレ ガシーの通知です。 し たがっ て、 SNMP バージ ョ ン 3 ホス ト で これ ら を使用する場合、 snmp-server group コ マ ン ド (4-110 ページ) で割 り 当て られた Notify View 内の対応する エ ン ト リ と 組み合わせて 有効にする必要があ り ます。 例 Console(config)#snmp-server enable traps link-up-down Console(config)# 関連 コ マ ン ド snmp-server host (4-104) snmp-server engine-id こ の コ マ ン ド では、 SNMPv3 エ ン ジ ンの識別ス ト リ ン グ を構成 し ま す。 no 形式を使用す る と 、 デ フ ォル ト に戻 り ます。 構文 snmp-server engine-id {local | remote {ip-address}} engineid-string no snmp-server engine-id {local | remote {ip-address}} • local - このス イ ッ チ上で SNMP エ ン ジ ン を指定 し ます。 • remote - リ モー ト デバイ ス上で SNMP エ ン ジ ン を指定 し ます。 • ip-address - リ モー ト デバイ スのイ ン タ ーネ ッ ト ア ド レ ス です。 • engineid-string - エ ン ジ ン ID を識別する ス ト リ ングです (範囲 : 10 ~ 64 文字の 16 進数文字)。 デ フ ォ ル ト 設定 MAC ア ド レ スに基づ く 一意のエ ン ジ ン ID がス イ ッ チに よ り 自動的に生成 さ れます。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • SNMP エ ン ジ ンは、 こ のス イ ッ チまたは リ モー ト デバイ ス上に存在する独立 し た SNMP エージ ェ ン ト です。 こ のエ ン ジ ンによ り メ ッ セージの応答、 遅延、 および リ ダ イ レ ク ト が防止 さ れます。 ま た、 エ ン ジ ン ID は、 SNMPv3 パケ ッ ト の認証および暗 号化のためのセキ ュ リ テ ィ キー を生成する ためにユーザー パスワー ド と と も に使用 さ れます。 • SNMPv3 イ ン フ ォ ームを使用する際には、 リ モー ト エ ン ジ ン ID が必要です (4-104 ページの 「snmp-server host」 を参照)。 リ モー ト エ ン ジ ン ID は、 リ モー ト ホス ト 上のユーザーに送信 さ れるパケ ッ ト の認証お よ び暗号化のためのセキ ュ リ テ ィ ダ イ ジ ェ ス ト を算出するのに使用 さ れます。 SNMP パスワー ド は、 信頼で き る エージ ェ ン ト のエ ン ジ ン ID を使用 し て ロー カ ラ イ ズ さ れます。イ ン フ ォ ームの場合、権限 SNMP エ ー ジ ェ ン ト は リ モ ー ト エ ー ジ ェ ン ト で す。 す な わ ち、 プ ロ キ シ 要求 ま た は イ ン フ ォ ームを送信する前に、 リ モー ト エージ ェ ン ト の SNMP エ ン ジ ン ID を構成する必 要があ り ます 4-107 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • エ ン ジ ン ID を一意に指定する際には、 末尾の 0 は入力不要です。 すなわち、 値 「0123456789」 は、 「0123456789」 の後に 22 個の 0 を付けた値 と 同 じ であ る と い う こ と です。 • ロー カル エ ン ジ ン ID は、 ス イ ッ チで一意の ID と し て自動的に生成 さ れます。 こ れ は、 デ フ ォル ト のエ ン ジ ン ID と し て参照 さ れます。 ロー カル エ ン ジ ン ID が削除また は変更 さ れる と 、 すべての SNMP ユーザーはク リ ア さ れます。 こ の場合、 すべての既 存ユーザーを再構成する必要があ り ます (4-112 ページ)。 例 Console(config)#snmp-server engine-id local 12345 Console(config)#snmp-server engineID remote 54321 192.168.1.19 Console(config)# 関連 コ マ ン ド snmp-server host (4-104) show snmp engine-id こ の コ マ ン ド では、 SNMP エ ン ジ ン ID を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 こ の例では、 デ フ ォ ル ト のエ ン ジ ン ID を表示 し ます。 Console#show snmp engine-id Local SNMP engineID: 8000002a8000000000e8666672 Local SNMP engineBoots: 1 Remote SNMP engineID 80000000030004e2b316c54321 Console# IP address 192.168.1.19 表 4-38. show snmp engine-id - フ ィ ール ド の説明 フ ィ ール ド 説明 Local SNMP engineID エ ン ジ ン ID を識別する ス ト リ ングです。 Local SNMP engineBoots SNMP エ ン ジ ン ID が最後に構成 さ れてから、 エ ン ジ ンが (再) 初期化 さ れた回数です。 Remote SNMP engineID リ モー ト デバイ ス上のエ ン ジ ン ID を識別する ス ト リ ン グです。 IP address 対応する リ モー ト SNMP エ ン ジ ン を含むデバイ スの IP ア ド レ スです。 snmp-server view こ の コ マ ン ド では、 MIB へのユーザー ア ク セ ス を制御する SNMP ビ ュ ーを追加 し ます。 no 形式を使用する と 、 SNMP ビ ュ ーが削除 さ れます。 構文 snmp-server view view-name oid-tree {included | excluded} no snmp-server view view-name • view-name - SNMP ビ ュ ーの名前です (範囲 : 1 ~ 64 文字)。 4-108 SNMP コ マ ン ド 4 • oid-tree - MIB ツ リ ー内のブ ラ ン チのオブ ジ ェ ク ト 識別子。ワ イル ド カ ー ド を使用 し て OID 文字列の特定部分を マス ク する こ と がで き ます。 (例を参照)。 • included - 含まれる ビ ュ ーを定義 し ます。 • excluded - 除外する ビ ュ ーを定義 し ます。 デ フ ォ ル ト 設定 defaultview (MIB ツ リ ー全体へのア ク セス を含む) コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ビ ュ ーは、 MIB ツ リ ーの特定部分へのユーザー ア ク セス を制限する ため、 snmp-server group コ マ ン ド で使用 さ れます。 • あ らか じ め定義 さ れている 「defaultview」 ビ ュ ーには MIB ツ リ ー全体へのア ク セスが 含まれます。 例 こ のビ ュ ーは、 MIB-2 を含みます。 Console(config)#snmp-server view mib-2 1.3.6.1.2.1 included Console(config)# こ のビ ュ ーは、 MIB-2 イ ン タ ー フ ェ ース テーブル、 ifDescr を含みます。 ワ イル ド カ ー ド を使 用 し て、 このテーブルのすべてのイ ンデ ッ ク ス値を選択 し ます。 Console(config)#snmp-server view ifEntry.2 1.3.6.1.2.1.2.2.1.*.2 included Console(config)# こ のビ ュ ーは、 MIB-2 イ ン タ ー フ ェ ース テーブルを含みます。 ま た、 マス ク はすべてのイ ン デ ッ ク ス値を選択 し ます。 Console(config)#snmp-server view ifEntry.a 1.3.6.1.2.1.2.2.1.1.* included Console(config)# show snmp view こ の コ マ ン ド では、 SNMP ビ ュ ーに関する情報を表示 し ます。 コ マ ン ド モー ド Privileged Exec 4-109 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console#show snmp view View Name: mib-2 Subtree OID: 1.2.2.3.6.2.1 View Type: included Storage Type: permanent Row Status: active View Name: defaultview Subtree OID: 1 View Type: included Storage Type: volatile Row Status: active Console# 表 4-39. show snmp view - フ ィ ール ド の説明 フ ィ ール ド 説明 View Name SNMP ビ ュ ーの名前です。 Subtree OID MIB ツ リ ー内のブ ラ ン チです。 View Type ビ ュ ーを含めるか除外するかを示 し ます。 Storage Type このエ ン ト リ のス ト レージ タ イ プ です。 Row Status このエ ン ト リ の行ス テー タ スです。 snmp-server group こ の コ マ ン ド では、 SNMP グループ を追加 し 、 SNMP ユーザーを SNMP ビ ュ ーにマ ッ ピ ン グ し ます。 no 形式を使用する と 、 SNMP グループが削除 さ れます。 構文 snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} [read readview] [write writeview] [notify notifyview] no snmp-server group groupname • groupname - SNMP グループの名前です (範囲 : 1 ~ 32 文字) • v1 | v2c | v3 - SNMP バージ ョ ン 1、 2c、 または 3 を使用 し ます。 • auth | noauth | priv - こ のグループは、 認証あ り 、 認証な し 、 認証およびプ ラ イバ シーのいずれかで SNMPv3 を使用 し ます。 認証お よび暗号化オ プ シ ョ ン に関する 詳細は、 3-33 ページの 「簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル」 を参照 し て く だ さ い。 • readview - 読取 り ア ク セスのビ ュ ーを定義 し ます (1 ~ 64 文字)。 • writeview - 書込みア ク セスのビ ュ ーを定義 し ます (1 ~ 64 文字)。 • notifyview - 通知のビ ュ ーを定義 し ます (1 ~ 64 文字)。 デ フ ォ ル ト 設定 • デ フ ォ ル ト グループ : public1 (読取 り 専用)、 private2 (読み書き可能) • readview - イ ン タ ーネ ッ ト OID スペース (1.3.6.1) に属する各オブ ジ ェ ク ト です。 • writeview - 何も 定義 さ れていません。 1 2 定義 さ れてい る ビ ュ ーはあ り ません。 defaultview にマ ッ ピ ン グ し ます。 4-110 4 SNMP コ マ ン ド • notifyview - 何 も定義 さ れていません。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • グループは、 割 り 当て ら れたユーザーに対する ア ク セス ポ リ シーを設定 し ます。 • 認証を選択する と 、snmp-server user コ マ ン ド で指定 し た と お り に MD5 または SHA アルゴ リ ズムが使用 さ れます。 • プ ラ イバシーを選択する と、デー タ 暗号化用に DES 56-bit アルゴ リ ズムが使用されます。 • こ のス イ ッ チでサポー ト さ れる通知 メ ッ セージに関する詳細は、 3-41 ページの 「サ ポー ト さ れている通知 メ ッ セージ」 を参照 し て く だ さ い。 ま た、 認証、 リ ン ク ア ッ プ および リ ン ク ダウ ン メ ッ セージはレ ガシーの ト ラ ッ プ です。 し たがっ て、 snmp-server enable traps コ マ ン ド (4-106 ページ) と 組み合わせて有効にする必要 があ り ます。 例 Console(config)#snmp-server group r&d v3 auth write daily Console(config)# show snmp group 次の 4 つのデ フ ォ ル ト グルー プ (SNMPv1 読取 り 専用ア ク セ ス と 読み書 き 可能ア ク セ ス、 SNMPv2c 読取 り 専用ア ク セス と 読み書き可能ア ク セス) が提供 さ れています。 コ マ ン ド モー ド Privileged Exec 例 Console#show snmp group Group Name: r&d Security Model: v3 Read View: defaultview Write View: daily Notify View: none Storage Type: permanent Row Status: active Group Name: public Security Model: v1 Read View: defaultview Write View: none Notify View: none Storage Type: volatile Row Status: active Group Name: public Security Model: v2c Read View: defaultview Write View: none Notify View: none Storage Type: volatile Row Status: active 4-111 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース Group Name: private Security Model: v1 Read View: defaultview Write View: defaultview Notify View: none Storage Type: volatile Row Status: active Group Name: private Security Model: v2c Read View: defaultview Write View: defaultview Notify View: none Storage Type: volatile Row Status: active Console# 表 4-40. show snmp group - フ ィ ール ド の説明 フ ィ ール ド 説明 groupname SNMP グループの名前です。 security model SNMP バージ ョ ン です。 readview 関連付け られた読取 り ビ ュ ーです。 writeview 関連付け られた書込みビ ュ ーです。 notifyview 関連付け られた通知ビ ュ ーです。 storage-type このエ ン ト リ のス ト レージ タ イ プ です。 Row Status このエ ン ト リ の行ス テー タ スです。 snmp-server user こ の コ マ ン ド では、 SNMP グルー プ にユーザー を追加 し 、 特定の SNMP Read View、 Write View、 または Notify View へのユーザーを制限 し ます。 no 形式を使用する と 、 SNMP グルー プから ユーザーが削除 さ れます。 構文 snmp-server user username groupname [remote ip-address] {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password [priv des56 priv-password]] no snmp-server user username {v1 | v2c | v3 | remote} • username - SNMP エージ ェ ン ト に接続 し ているユーザーの名前です (範囲 : 1 ~ 32 文字)。 • groupname - ユーザーが割 り 当て ら れている SNMP グループの名前です (範囲 : 1 ~ 32 文字)。 • remote - リ モー ト デバイ ス上で SNMP エ ン ジ ン を指定 し ます。 • ip-address - リ モー ト デバイ スのイ ン タ ーネ ッ ト ア ド レ ス です。 • v1 | v2c | v3 - SNMP バージ ョ ン 1、 2c、 または 3 を使用 し ます。 • encrypted - 暗号化入力 と し てパスワー ド を受理 し ます。 • auth - SNMPv3 を認証あ り で使用 し ます。 • md5 | sha - MD5 ま たは SHA 認証 を使用 し ます。 4-112 SNMP コ マ ン ド 4 • auth-password - 認証パスワー ド です。encrypted オプ シ ョ ン を使用 し ない場合、プ レーン テキス ト を入力 し ます。 使用する場合、 暗号化パスワー ド を入力 し ます (最 小で も 8 文字必要です)。 • priv des56 - DES56 暗号化によ る プ ラ イバシーあ り で SNMPv3 を使用 し ます。 • priv-password - プ ラ イバシー パスワー ド です。 encrypted オプ シ ョ ン を使用 し な い場合、 プ レーン テキス ト を入力 し ます。 使用する場合、 暗号化パスワー ド を入力 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • SNMP エ ン ジ ン ID は、 パスワー ド から 認証 / プ ラ イバシー ダ イ ジ ェ ス ト を算出する のに使用 さ れます。 し たがっ て、 この コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド を使用する前 に、 snmp-server engine-id コ マ ン ド を使 っ て、 エ ン ジ ン ID を構成 し てお く 必要が あ り ます。 • リ モー ト ユーザーを構成する前に、snmp-server engine-id コ マ ン ド (4-107 ページ) を使用 し て、 ユーザーが存在する リ モー ト デバイ スのエ ン ジ ン ID を指定 し ます。 次 に、 snmp-server user コ マ ン ド を使用 し て、 ユーザーが存在する リ モー ト デバイ ス のユーザー と IP ア ド レ ス を指定 し ます。リ モー ト エージ ェ ン ト の SNMP エ ン ジ ン ID は、 ユーザーのパスワー ド から 認証 / プ ラ イバシー ダ イ ジ ェ ス ト を算出するのに使用 さ れます。 リ モー ト エ ン ジ ン ID を最初に構成し ておかない と 、 リ モー ト ユーザーを 指定する snmp-server user コ マ ン ド は失敗 し ます。 • SNMP パスワー ド は、 信頼で き る エージ ェ ン ト のエ ン ジ ン ID を使用 し て ロー カ ラ イ ズ さ れます。 イ ン フ ォ ームの場合、 権限 SNMP エージ ェ ン ト は リ モー ト エージ ェ ン ト です。 すなわち、 プ ロキシ要求またはイ ン フ ォ ームを送信する前に、 リ モー ト エー ジ ェ ン ト の SNMP エ ン ジ ン ID を構成する必要があ り ます 例 Console(config)#snmp-server user steve group r&d v3 auth md5 greenpeace priv des56 einstien Console(config)#snmp-server user mark group r&d remote 192.168.1.19 v3 auth md5 greenpeace priv des56 einstien Console(config)# show snmp user こ の コ マ ン ド では、 SNMP ユーザーに関する情報を表示 し ます。 コ マ ン ド モー ド Privileged Exec 4-113 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console#show snmp user EngineId: 800000ca030030f1df9ca00000 User Name: steve Authentication Protocol: md5 Privacy Protocol: des56 Storage Type: nonvolatile Row Status: active SNMP remote user EngineId: 80000000030004e2b316c54321 User Name: mark Authentication Protocol: mdt Privacy Protocol: des56 Storage Type: nonvolatile Row Status: active Console# 表 4-41. show snmp user - フ ィ ール ド の説明 フ ィ ール ド 説明 EngineId エ ン ジ ン ID を識別する ス ト リ ングです。 User Name SNMP エージ ェ ン ト に接続 し ているユーザーの名前です。 Authentication Protocol SNMPv3 で使用 さ れる認証プ ロ ト コルです。 Privacy Protocol SNMPv3 で使用 さ れる プ ラ イバシー プ ロ ト コルです。 Storage Type このエ ン ト リ のス ト レージ タ イ プ です。 Row Status このエ ン ト リ の行ス テー タ スです。 SNMP remote user リ モー ト デバイ ス上の SNMP エ ン ジ ン と 関連付け られたユーザーです。 イ ン タ ーフ ェ ース コ マン ド こ れら の コ マ ン ド は、 イ ーサネ ッ ト ポー ト 、 アグ レゲー ト リ ン ク 、 VLAN の通信パラ メ ー タ を表示または設定するのに使用 さ れます。 表 4-42. イ ン タ ー フ ェ ース コ マ ン ド コマン ド 機能 interface イ ン タ ー フ ェ ース タ イ プ を構成 し 、 イ ン タ ー フ ェ ース GC コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 り ます。 4-115 description イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レ ーシ ョ ン に説明を追 IC 加 し ます。 4-115 speed-duplex 自動ネゴ シ エーシ ョ ンが無効にな っ ている と き に、特定 IC イ ン タ ー フ ェ ースのス ピー ド と 二重動作を構成 し ます。 4-116 negotiation 特定 イ ン タ ー フ ェ ースの自動ネ ゴ シ エ ーシ ョ ン を有効 IC に し ます。 4-117 capabilities 自動ネ ゴ シ エ ーシ ョ ン で使用す る特定 イ ン タ ー フ ェ ー IC スの能力を ア ド バ タ イ ズ し ます。 4-117 flowcontrol 特定イ ン タ ー フ ェ ース上で フ ロー制御を有効に し ます。 IC 4-118 4-114 モー ド ページ イ ン タ ー フ ェ ース コ マ ン ド 4 表 4-42. イ ン タ ー フ ェ ース コ マ ン ド コマン ド 機能 モー ド ページ shutdown イ ン タ ー フ ェ ース を無効に し ます。 IC 4-119 switchport broadcast packet-rate ブ ロー ド キ ャ ス ト ス ト ーム制御 し き い値を構成 し ます。 IC 4-120 clear counters イ ン タ ー フ ェ ースの統計情報を ク リ ア し ます。 PE show interfaces status 指定イ ン タ ー フ ェ ースのス テー タ ス を表示 し ます。 NE、PE 4-121 4-120 show interfaces counters 指定イ ン タ ー フ ェ ースの統計情報を表示 し ます。 NE、PE 4-122 show interfaces switchport イ ン タ ー フ ェ ースの管理上お よ び動作上のス テ ー タ ス NE、PE 4-123 を表示 し ます。 interface こ の コ マ ン ド では、イ ン タ ー フ ェ ースの タ イ プ を構成 し 、イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レー シ ョ ン モー ド に入 り ます。 no 形式を使用する と 、 ト ラ ン クが削除 さ れます。 構文 interfae interface no interface port-channel channel-id interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) • vlan vlan-id (範囲 : 1 ~ 4094) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 ポー ト 24 を指定するには、 次の コ マ ン ド を入力 し ます。 Console(config)#interface ethernet 1/24 Console(config-if)# description イ ン タ ー フ ェ ースに説明を追加 し ます。 no 形式を使用する と 、 説明が削除 さ れます。 構文 description string no description string - こ のイ ン タ ー フ ェ ースの接続内容を覚えやす く する コ メ ン ト ま たは説明です (範囲 : 1 ~ 64 文字)。 4-115 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース デ フ ォ ル ト 設定 なし コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) 例 次の例では、 ポー ト 24 に説明を追加 し ます。 Console(config)#interface ethernet 1/24 Console(config-if)#description RD-SW#3 Console(config-if)# speed-duplex こ の コ マ ン ド では、 自動ネ ゴ シ エーシ ョ ンが無効にな っ てい る と き に、 指定イ ン タ ー フ ェ ー スのス ピー ド と 二重モー ド を構成 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 speed-duplex {1000full | 100full | 100half | 10full | 10half} no speed-duplex • 1000full - 1000 Mbps 全二重動作を強制 し ます。 • 100full - 100 Mbps 全二重動作を強制 し ます。 • 100half - 100 Mbps 半二重動作を強制 し ます。 • 10full - 10 Mbps 全二重動作を強制 し ます。 • 10half - 10 Mbps 半二重動作を強制 し ます。 デ フ ォ ル ト 設定 • デ フ ォ ル ト では、 自動ネゴ シ エーシ ョ ンが有効です。 • 自動ネゴ シ エーシ ョ ンが無効にな っ ている場合、 デ フ ォル ト の speed-duplex 設定は、 100BASE-TX ポー ト では 100half、ギガ ビ ッ ト イ ーサネ ッ ト ポー ト では 1000full にな り ます。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • speed-duplex コ マ ン ド で指定 し たス ピー ド と 二重モー ド に動作を強制する には、 選 択 し た イ ン タ ー フ ェ ース上で no negotiation コ マ ン ド を使用 し て、 自動ネ ゴ シ エー シ ョ ン を無効に し ます。 • negotiation コ マ ン ド を使用 し て自動ネゴ シ エーシ ョ ン を有効にする と 、 capabilities コ マ ン ド に よ り 最適な設定が決定 さ れます。 自動ネゴ シ エーシ ョ ン でのス ピー ド / 二 重モー ド を設定する には、 イ ン タ ー フ ェ ースの能力 リ ス ト で必要なモー ド を指定する 必要があ り ます。 4-116 イ ン タ ー フ ェ ース コ マ ン ド 4 例 次の例では、 ポー ト 5 を 100 Mbps、 半二重動作に構成 し ます。 Console(config)#interface ethernet 1/5 Console(config-if)#speed-duplex 100half Console(config-if)#no negotiation Console(config-if)# 関連 コ マ ン ド negotiation (4-117) capabilities (4-117) negotiation こ の コ マ ン ド では、 指定イ ン タ ー フ ェ ースの自動ネゴ シ エーシ ョ ン を有効に し ます。 no 形式 を使用する と 、 自動ネゴ シ エーシ ョ ンが無効にな り ます。 構文 [no] negotiation デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • 自動ネゴ シ エーシ ョ ンが有効にな っ ている場合、 ス イ ッ チは、 capabilities コ マ ン ド に基づいて リ ン ク に最適な設定を ネゴ シ エーシ ョ ン し ます。 自動ネゴ シ エーシ ョ ンが 無効にな っ てい る場合、 speed-duplex お よび flowcontrol コ マ ン ド を使用 し て、 リ ン ク属性を手動で指定する必要があ り ます。 • 自動ネゴ シ エーシ ョ ン を無効にする と 、RJ-45 ポー ト の自動 MDI/MDI-X ピ ン信号 コ ン フ ィ ギ ュ レーシ ョ ン も無効にな り ます。 例 次の例では、 ポー ト 11 で自動ネゴ シ エーシ ョ ン を使用する よ う 構成 し ます。 Console(config)#interface ethernet 1/11 Console(config-if)#negotiation Console(config-if)# 関連 コ マ ン ド capabilities (4-117) speed-duplex (4-116) capabilities こ の コ マ ン ド では、 自動ネ ゴ シ エーシ ョ ン中に指定 イ ン タ ー フ ェ ースのポー ト 能力を ア ド バ タ イ ズ し ます。 パラ メ ー タ を指定 し て no 形式を使用する と 、 ア ド バ タ イ ズ さ れた能力が削除 さ れます。 パ ラ メ ー タ を指定せずに no 形式を使用する と 、 デ フ ォル ト 値に戻 り ます。 4-117 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 構文 [no] capabilities {1000full | 100full | 100half | 10full | 10half | flowcontrol | symmetric} • 1000full - 1000 Mbps 全二重動作をサポー ト し ます。 • 100full - 100 Mbps 全二重動作をサポー ト し ます。 • 100half - 100 Mbps 半二重動作をサポー ト し ます。 • 10full - 10 Mbps 全二重動作をサポー ト し ます。 • 10half - 10 Mbps 半二重動作をサポー ト し ます。 • flowcontrol - フ ロー制御をサポー ト し ます。 • symmetric (ギガ ビ ッ ト のみ) - 指定する と 、 ポー ト は、 ポーズ フ レームを送受信 し ます。 指定 し ない と 、 ポー ト は、 自動ネゴ シ エーシ ョ ン を行っ て非対称ポーズ フ レームの送信者 と 受信者を決定 し ます (現在のス イ ッ チ ASIC は対称ポーズ フ レー ムのみサポー ト )。 デ フ ォ ル ト 設定 • 100BASE-TX: 10half、 10full、 100half、 100full • 1000BASE-T: 10half、 10full、 100half、 100full、 1000full • SFP: 1000full コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 negotiation コ マ ン ド に よ り 自 動 ネ ゴ シ エ ー シ ョ ン が有 効 に な る と 、 ス イ ッ チ は、 capabilites コ マ ン ド に基づいて リ ン ク に最適な設定を ネゴ シ エーシ ョ ン し ます。自動ネ ゴ シ エーシ ョ ンが無効にな っ てい る場合、 speed-duplex および flowcontrol コ マ ン ド を使用 し て、 リ ン ク属性を手動で指定する必要があ り ます。 例 次の例では、イ ーサネ ッ ト ポー ト 5 の能力を 100half、100full、および フ ロー制御に構成 し ます。 Console(config)#interface ethernet 1/5 Console(config-if)#capabilities 100half Console(config-if)#capabilities 100full Console(config-if)#capabilities flowcontrol Console(config-if)# 関連 コ マ ン ド negotiation (4-117) speed-duplex (4-116) flowcontrol (4-118) flowcontrol こ の コ マ ン ド では、 フ ロー制御を有効に し ます。 no 形式を使用する と 、 フ ロー制御が無効に な り ます。 4-118 イ ン タ ー フ ェ ース コ マ ン ド 4 構文 [no] flowcontrol デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • フ ロー制御では、バ ッ フ ァ が一杯にな っ た場合にス イ ッ チに直接接続 さ れた エ ン ド ス テーシ ョ ン ま たはセグ メ ン ト からの ト ラ フ ィ ッ ク を 「ブ ロ ッ ク」 する こ と に よ り 、 フ レームの損失を防止で き ます。 有効な場合、 半二重動作時はバ ッ ク プ レ ッ シ ャが、 全 二重動作時は IEEE 802.3x が使用 さ れます。 • (flowcontrol または no flowcontrol コ マ ン ド に よ り ) フ ロー制御を強制的にオ ン ま たはオ フ にするには、選択 し た イ ン タ ー フ ェ ース上で no negotiation コ マ ン ド を使用 し て、 自動ネゴ シ エーシ ョ ン を無効に し ます。 • negotiation コ マ ン ド を使用 し て自動ネゴ シ エーシ ョ ン を有効にする と 、 capabilities コ マ ン ド に よ り 最適な設定が決定 さ れます。 自動ネゴ シ エーシ ョ ン有効時に フ ロー制 御を有効にする には、 任意のポー ト の能力 リ ス ト に 「flowcontrol」 を含める必要があ り ます。 • 実際に問題を解決する ために必要でない限 り 、 ハブに接続 さ れたポー ト 上では フ ロー 制御の使用を避けて く だ さ い。 使用する と 、 バ ッ ク プ レ ッ シ ャの妨害電波によ り 、 ハ ブに接続 さ れたセグ メ ン ト の全体的な性能が低下する こ と があ り ます。 例 次の例では、 ポー ト 5 上で フ ロー制御を有効に し ます。 Console(config)#interface ethernet 1/5 Console(config-if)#flowcontrol Console(config-if)#no negotiation Console(config-if)# 関連 コ マ ン ド negotiation (4-117) capabilities (flowcontrol、 symmetric) (4-117) shutdown こ の コ マ ン ド では、 イ ン タ ー フ ェ ース を無効に し ます。 無効に さ れた イ ン タ ー フ ェ ース を再 開するには、 no 形式を使用 し ます。 構文 [no] shutdown デ フ ォ ル ト 設定 すべてのイ ン タ ー フ ェ ースが有効です。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) 4-119 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 こ の コ マ ン ド を使用する と 、異常な振舞い (過度の コ リ ジ ョ ン な ど) があ っ た場合にポー ト を無効に し 、問題解決後に再び このポー ト を有効にする こ と がで き ます。 また、 セキ ュ リ テ ィ 上の理由でポー ト を無効にする こ と も で き ます。 例 次の例では、 ポー ト 5 を無効に し ます。 Console(config)#interface ethernet 1/5 Console(config-if)#shutdown Console(config-if)# switchport broadcast packet-rate こ の コ マ ン ド では、 ブ ロー ド キ ャ ス ト ス ト ーム制御を構成 し ます。 no 形式を使用する と 、 ブ ロー ド キ ャ ス ト ス ト ーム制御が無効にな り ます。 構文 switchport broadcast octet-rate rate no switchport broadcast rate - し き い値レ ベルを レー ト (キロ ビ ッ ト / 秒) で指定 し ます (範囲 : 100 Mbps ポー ト の場合は 64 ~ 100000、 1 Gbps ポー ト の場合は 64 ~ 1000000)。 デ フ ォ ル ト 設定 すべてのポー ト で有効 パケ ッ ト レー ト リ ミ ッ ト : 64 キロ ビ ッ ト / 秒 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) コ マ ン ド の使用 • ブ ロー ド キ ャ ス ト ト ラ フ ィ ッ ク が指定 し き い値を超え る と 、該当の し き い値を超えた パケ ッ ト は破棄 さ れます。 • こ の コ マ ン ド では、選択 し た イ ン タ ー フ ェ ースのブ ロー ド キ ャ ス ト ス ト ーム制御を有 効または無効にで き ます。 ただ し 、 指定 し た し き い値は、 ス イ ッ チ上のすべてのポー ト に適用 さ れます。 例 次の例は、 ブ ロー ド キ ャ ス ト ス ト ーム制御を 500 キロ ビ ッ ト / 秒に構成する方法を示 し てい ます。 Console(config)#interface ethernet 1/5 Console(config-if)#switchport broadcast packet-rate 500 Console(config-if)# clear counters こ の コ マ ン ド では、 イ ン タ ー フ ェ ースの統計情報を ク リ ア し ます。 4-120 イ ン タ ー フ ェ ース コ マ ン ド 4 構文 clear counters interface interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 統計情報は、 電源 リ セ ッ ト に よ っ てのみ初期化 さ れます。 こ の コ マ ン ド では、 現在の管 理セ ッ シ ョ ン で表示 さ れる統計情報の基本値を 0 に設定 し ます。 ただ し 、 ログアウ ト し た後、 再び管理イ ン タ ー フ ェ ースに戻る と 、 最後に電源を リ セ ッ ト し てか ら 収集 さ れた 絶対値を示す統計情報が表示 さ れます。 例 次の例では、 ポー ト 5 上の統計情報を ク リ ア し ます。 Console#clear counters ethernet 1/5 Console# show interfaces status こ の コ マ ン ド では、 イ ン タ ー フ ェ ースのス テー タ ス を表示 し ます。 構文 show interfaces status [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) • vlan vlan-id (範囲 : 1 ~ 4094) デ フ ォ ル ト 設定 すべてのイ ン タ ー フ ェ ースのス テー タ ス を表示 し ます。 コ マ ン ド モー ド Normal Exec、 Privileged Exec 4-121 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 イ ン タ ー フ ェ ース を指定 し ない場合、すべてのイ ン タ ー フ ェ ースの情報が表示 さ れます。 こ の コ マ ン ド によ り 表示 さ れる項目については、3-74 ページの 「接続ス テー タ スの表示」 を参照 し て く だ さ い。 例 Console#show interfaces status ethernet 1/5 Information of Eth 1/5 Basic information: Port type: 100TX Mac address: 00-12-CF-12-34-61 Configuration: Name: Port admin: Up Speed-duplex: Auto Capabilities: 10half, 10full, 100half, 100full, Broadcast storm: Enabled Broadcast storm limit: 64 Kbits/second Flow control: Disabled Lacp: Disabled Port security: Disabled Max MAC count: 0 Port security action: None Current status: Link status: Up Port operation status: Up Operation speed-duplex: 100full Flow control type: None Console#show interfaces status vlan 1 Information of VLAN 1 MAC address: 00-12-CF-12-34-56 Console# show interfaces counters こ の コ マ ン ド では、 イ ン タ ー フ ェ ース統計情報を表示 し ます。 構文 show interfaces counters [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) デ フ ォ ル ト 設定 すべてのイ ン タ ー フ ェ ースのカ ウ ン タ を表示 し ます。 コ マ ン ド モー ド Normal Exec、 Privileged Exec 4-122 イ ン タ ー フ ェ ース コ マ ン ド 4 コ マ ン ド の使用 イ ン タ ー フ ェ ース を指定 し ない場合、すべてのイ ン タ ー フ ェ ースの情報が表示 さ れます。 こ の コ マ ン ド によ り 表示 さ れる項目については、3-94 ページの 「ポー ト 統計情報の表示」 を参照 し て く だ さ い。 例 Console#show interfaces counters ethernet 1/7 Ethernet 1/7 Iftable stats: Octets input: 30658, Octets output: 196550 Unicast input: 6, Unicast output: 5 Discard input: 0, Discard output: 0 Error input: 0, Error output: 0 Unknown protos input: 0, QLen output: 0 Extended iftable stats: Multi-cast input: 0, Multi-cast output: 3064 Broadcast input: 262, Broadcast output: 1 Ether-like stats: Alignment errors: 0, FCS errors: 0 Single Collision frames: 0, Multiple collision frames: 0 SQE Test errors: 0, Deferred transmissions: 0 Late collisions: 0, Excessive collisions: 0 Internal mac transmit errors: 0, Internal mac receive errors: 0 Frame too longs: 0, Carrier sense errors: 0 Symbol errors: 0 RMON stats: Drop events: 0, Octets: 227208, Packets: 3338 Broadcast pkts: 263, Multi-cast pkts: 3064 Undersize pkts: 0, Oversize pkts: 0 Fragments: 0, Jabbers: 0 CRC align errors: 0, Collisions: 0 Packet size <= 64 octets: 3150, Packet size 65 to 127 octets: 139 Packet size 128 to 255 octets: 49, Packet size 256 to 511 octets: 0 Packet size 512 to 1023 octets: 0, Packet size 1024 to 1518 octets: 0 Console# show interfaces switchport こ の コ マ ン ド では、 指定イ ン タ ー フ ェ ースの管理上および動作上のス テー タ ス を表示 し ます。 構文 show interfaces switchport [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) デ フ ォ ル ト 設定 すべてのイ ン タ ー フ ェ ース を表示 し ます。 コ マ ン ド モー ド Normal Exec、 Privileged Exec 4-123 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 イ ン タ ー フ ェ ース を指定 し ない場合、すべてのイ ン タ ー フ ェ ースの情報が表示 さ れます。 例 こ の例では、 ポー ト 24 の コ ン フ ィ ギ ュ レーシ ョ ン設定を表示 し ます。 Console#show interfaces switchport ethernet 1/24 Broadcast threshold: Enabled, 64 Kbits/second LACP status: Enabled Ingress Rate Limit: Disabled, 100000 Kbits per second Egress Rate Limit: Disabled, 100000 Kbits per second VLAN membership mode: Hybrid Ingress rule: Enabled Acceptable frame type: All frames Native VLAN: 1 Priority for untagged traffic: 0 Gvrp status: Disabled Allowed Vlan: 1(u), Forbidden Vlan: Private-VLAN mode: NONE Private-VLAN host-association: NONE Private-VLAN mapping: NONE Console# 表 4-43. Interfaces Switchport の統計情報 フ ィ ール ド 説明 Broadcast threshold ブ ロ ー ド キ ャ ス ト ス ト ーム抑制が有効か無効かを示 し ます。 有効な場 合、 し き い値レ ベル (4-120 ページ) も表示 さ れます。 Lacp status LACP ( リ ン ク アグレ ゲーシ ョ ン制御プ ロ ト コル) が有効か無効かを示 し ます (4-129 ページ)。 Ingress rate limit イ ン グ レ ス レ ー ト リ ミ テ ィ ン グが有効かど う かを示 し ます。 有効な場 合、 現在のレー ト リ ミ ッ ト を表示 し ます (4-127 ページ)。 Egress rate limit イ グ レ ス レー ト リ ミ テ ィ ングが有効かど う かを示 し ます。 有効な場合、 現在のレー ト リ ミ ッ ト を表示 し ます (4-127 ページ)。 VLAN membership mode メ ンバーシ ッ プ モー ド を Trunk または Hybrid で示 し ます(4-168ページ)。 Ingress rule イ ング レ ス フ ィ ル タ リ ングが有効か無効かを示 し ます (4-169 ページ)。 注 : イ ングレ ス フ ィ ル タ リ ングは常に有効です。 Acceptable frame type 受信可能な VLAN フ レームの タ イ プがすべての タ イ プ であるか、 または タ グ付き フ レームのみであるかを示 し ます (4-168 ページ)。 Native VLAN デ フ ォル ト のポー ト VLAN ID を示 し ます (4-170 ページ)。 Priority for untagged traffic タ グな し フ レームのデ フ ォル ト プ ラ イ オ リ テ ィ を示 し ます (4-183 ページ)。 Gvrp status GVRP (GARP VLAN 登録プ ロ ト コル) が有効か無効かを示 し ます (4-162 ページ)。 Allowed Vlan こ のイ ン タ ー フ ェ ースが参加 し ている VLAN を示 し ます。 こ こ で、「(u)」 は タ グな し を、 「(t)」 は タ グ付き を示 し ます (4-170 ページ)。 Forbidden Vlan こ のイ ン タ ー フ ェ ースが GVRP によ っ て動的に参加で き ない VLAN を 示 し ます (4-171 ページ)。 Private VLAN mode プ ラ イ ベー ト VLAN モー ド を、 host (ホス ト )、 promiscuous (無差別)、 none (な し ) で示 し ます (4-176 ページ)。 4-124 ミ ラ ー ポー ト コ マ ン ド 4 表 4-43. Interfaces Switchport の統計情報 フ ィ ール ド 説明 Private VLAN host-association こ のポー ト が関連付け ら れ て い る セ カ ン ダ リ (ま たは コ ミ ュ ニ テ ィ ) VLAN を示 し ます (4-177 ページ)。 Private VLAN mapping 無差別ポー ト のプ ラ イ マ リ VLAN マ ッ ピ ングを示 し ます (4-178 ページ)。 ミ ラ ー ポート コ マン ド こ のセ ク シ ョ ン では、 送信元ポー ト か ら タ ーゲ ッ ト ポー ト に ト ラ フ ィ ッ ク を ミ ラ ー リ ン グす る方法について説明 し ます。 表 4-44. ミ ラ ー ポー ト コ マ ン ド コマン ド 機能 モー ド ページ port monitor ミ ラ ー セ ッ シ ョ ン を構成 し ます。 IC 4-125 show port monitor ミ ラ ー ポー ト の コ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 PE 4-126 port monitor こ の コ マ ン ド では、 ミ ラ ー セ ッ シ ョ ン を構成 し ます。 no 形式を使用する と 、 ミ ラ ー セ ッ シ ョ ンがク リ ア さ れます。 構文 port monitor interface [rx | tx] no port monitor interface • interface - ethernet unit/port (source port) - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • rx - 受信パケ ッ ト を ミ ラ ー リ ング し ます。 • tx - 送信パケ ッ ト を ミ ラ ー リ ング し ます。 デ フ ォ ル ト 設定 ミ ラ ー セ ッ シ ョ ンは定義 さ れていません。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 宛先ポー ト ) コ マ ン ド の使用 • リ アル タ イ ム解析を行 う ために、 任意の送信元ポー ト から 宛先ポー ト に ト ラ フ ィ ッ ク を ミ ラ ー リ ングで き ます。 次に、 ロ ジ ッ ク アナ ラ イザま たは RMON プ ローブ を宛先 ポー ト に接続 し 、 送信元ポー ト を通過する ト ラ フ ィ ッ ク をほかに全 く 影響を与えずに 解析する こ と がで き ます。 • 宛先ポー ト の設定は、イーサネ ッ ト イ ン タ ーフ ェ ース を指定する こ と によ り 行います。 • ミ ラ ー ポー ト と 監視ポー ト のス ピー ド は一致 し ている必要があ り ます。一致 し ていな い と 、 監視ポー ト から ト ラ フ ィ ッ クが破棄 さ れる こ と があ り ます。 • すべての ミ ラ ー セ ッ シ ョ ン で同一の宛先ポー ト を共有する必要があ り ます。 4-125 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • ポー ト ト ラ フ ィ ッ ク を ミ ラ ー リ ングする場合、 タ ーゲ ッ ト ポー ト が送信元ポー ト と 同 じ VLAN に含まれている必要があ り ます。 例 次の例では、ポー ト 6 の受信パケ ッ ト をポー ト 11 に ミ ラ ー リ ン グする よ う ス イ ッ チ を構成 し ます。 Console(config)#interface ethernet 1/11 Console(config-if)#port monitor ethernet 1/6 rx Console(config-if)# show port monitor こ の コ マ ン ド では、 ミ ラ ー情報を表示 し ます。 構文 show port monitor [interface] interface - ethernet unit/port (source port) • unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 • port - ポー ト 番号です (範囲 : 1 ~ 52)。 デ フ ォ ル ト 設定 すべてのセ ッ シ ョ ン を表示 し ます。 コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 現在構成 さ れている送信元ポー ト 、 宛先ポー ト 、 および ミ ラ ー モー ド (RX、 TX) を表 示 し ます。 例 次の例は、 ポー ト 6 から ポー ト 11 への ミ ラ ー リ ング を構成する方法を示 し ています。 Console(config)#interface ethernet 1/11 Console(config-if)#port monitor ethernet 1/6 rx Console(config-if)#end Console#show port monitor Port Mirroring ------------------------------------Destination port(listen port):Eth1/11 Source port(monitored port) :Eth1/6 Mode :RX Console# レ ート リ ミ ッ ト コ マン ド こ の機能を使用する こ と に よ り 、 ネ ッ ト ワー ク 管理者は、 イ ン タ ー フ ェ ース で受信 さ れる ト ラ フ ィ ッ クの最大レー ト を制御で き ます。 ネ ッ ト ワー ク に入る ト ラ フ ィ ッ ク を制限する には、 ネ ッ ト ワー ク エ ッ ジに位置する各イ ン タ ー フ ェ ースに レー ト リ ミ テ ィ ング を構成 し ます。 許 容可能な ト ラ フ ィ ッ ク量を超え るパケ ッ ト は破棄 さ れます。 4-126 レー ト リ ミ ッ ト コ マ ン ド 4 レー ト リ ミ テ ィ ン グはポー ト または ト ラ ン ク ご と に適用で き ます。 イ ン タ ー フ ェ ースに こ の 機能が構成 さ れている場合、 ハー ド ウ ェ ア で ト ラ フ ィ ッ ク レー ト が監視 さ れ、 リ ミ ッ ト 内で あるかど う かが確認 さ れます。 リ ミ ッ ト を超え る ト ラ フ ィ ッ クは破棄 さ れます。 表 4-45. レー ト リ ミ ッ ト コ マ ン ド コマン ド 機能 モー ド ページ rate-limit ポー ト の最大入力レー ト を構成 し ます。 IC 4-127 rate-limit こ の コ マ ン ド を使用 し て、 特定のイ ン タ ー フ ェ ースのレ ー ト リ ミ ッ ト レ ベルを定義 し ます。 レー ト を指定せずに こ の コ マ ン ド を使用する と 、 デ フ ォル ト のレー ト リ ミ ッ ト レ ベルに戻 り ます。 no 形式を使用する と 、 デ フ ォ ル ト ス テー タ スの無効に戻 り ます。 構文 rate-limit <input | output> [rate] no rate-limit <input | output> • input - 入力レー ト リ ミ ッ ト です。 • output - 入力レー ト リ ミ ッ ト です。 • rate - ト ラ フ ィ ッ クのレー ト リ ミ ッ ト レ ベルです。 範囲 : 100 Mbps ポー ト の場合 は 64 ~ 100000 キロ ビ ッ ト / 秒、 1 Gbps ポート の場合は 64 ~ 1000000 キロ ビッ ト / 秒 デ フ ォ ル ト 設定 入力 / 出力レー ト リ ミ ッ ト ス テー タ ス : 無効 レー ト レ ベル : 100 Mbps ポー ト の場合は 100000 キロ ビ ッ ト / 秒、 1 Gbps ポー ト の場 合は 1000000 キロ ビ ッ ト / 秒 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) 例 Console(config)#interface ethernet 1/1 Console(config-if)#rate-limit input 2000 Console(config-if)# 4-127 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース リ ン ク ア グレ ゲーシ ョ ン コ マン ド アグ レ ゲー ト リ ン ク ( ト ラ ン ク) にポー ト を静的にグループ化する こ と で、 ネ ッ ト ワー ク 接 続の帯域幅を拡張 し た り 、 障害回復を確保 し た り する こ と がで き ます。 また、 LACP ( リ ン ク アグ レゲーシ ョ ン制御プ ロ ト コ ル) を使用 し て、 こ のス イ ッ チ と 別のネ ッ ト ワー ク デバイ ス 間で ト ラ ン ク リ ン クの自動ネゴ シ エーシ ョ ン を行 う こ と も で き ます。 ス タ テ ィ ッ ク ト ラ ン ク の場合、 ス イ ッ チが Cisco EtherChannel 規格に準拠 し ている必要があ り ます。 ダ イ ナ ミ ッ ク ト ラ ン クの場合、 ス イ ッ チは、 LACP に準拠する必要があ り ます。 このス イ ッ チは、 最大 4 つ の ト ラ ン ク をサポー ト し ています。 た と えば、 2 つの 1000 Mbps ポー ト で構成 さ れる ト ラ ン クは、 全二重で動作時、 4 Gbps の集約帯域幅をサポー ト し ます。 表 4-46. リ ン ク アグ レゲーシ ョ ン コ マ ン ド コマン ド 機能 モー ド ページ 手動 コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド interface port-channel ト ラ ン ク を 構成 し 、 ト ラ ン ク の イ ン タ ー GC フ ェ ース コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド を有効に し ます。 channel-group ト ラ ン ク にポー ト を追加 し ます。 4-115 IC (イ ーサネ ッ ト ) 4-129 lacp 現在のイ ン タ ー フ ェ ースで LACP を構成 し IC (イ ーサネ ッ ト ) ます。 4-129 lacp system-priority ポー ト の LACP シ ス テム プ ラ イ オ リ テ ィ IC (イ ーサネ ッ ト ) を構成 し ます。 4-131 lacp admin-key ポー ト の管理キーを構成 し ます。 IC (イ ーサネ ッ ト ) 4-132 lacp admin-key ポー ト チ ャ ネルの管理キーを構成 し ます。 IC (ポー ト チ ャ ネル) 4-133 lacp port-priority ポー ト の LACP ポー ト プ ラ イ オ リ テ ィ を IC (イ ーサネ ッ ト ) 構成 し ます。 ダ イ ナ ミ ッ ク コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド 4-133 ト ラ ン ク ス テー タ ス表示コ マ ン ド show interfaces status ト ラ ン ク情報を表示 し ます。 port-channel NE、 PE 4-121 show lacp PE 4-134 LACP 情報を表示 し ます。 ト ラ ン ク作成のガ イ ド ラ イ ン 一般的ガ イ ド ラ イ ン — • ループの発生を防ぐ ために、 対応する ネ ッ ト ワー ク ケーブルで ス イ ッ チ間を接続する前 に、 ポー ト ト ラ ン クの構成を完了 し て く だ さ い。 • 各 ト ラ ン ク には最大 8 つのポー ト を含める こ と がで き ます。 • 接続の両端のポー ト を ト ラ ン ク ポー ト と し て構成する必要があ り ます。 • ト ラ ン ク 内のすべてのポー ト は、 通信モー ド (ス ピ ー ド 、 二重モー ド 、 フ ロ ー制御) 、 VLAN 割当て、 CoS な どの設定を同 じ に構成する必要があ り ます。 • ト ラ ン ク内のすべてのポー ト は、 指定ポー ト チ ャ ネルを介 し て VLAN 間で移動、 追加、 または削除する場合、 1 つの全体 と し て扱 う 必要があ り ます。 • STP、 VLAN、 および IGMP 設定は、 指定ポー ト チ ャ ネルを介 し て ト ラ ン ク全体に対 し てのみ適用で き ます。 4-128 4 リ ン ク アグ レ ゲーシ ョ ン コ マ ン ド ポー ト チ ャ ネルの動的作成 — 共通ポー ト チ ャ ネルに割 り 当て るポー ト は次の基準を満た し ている必要があ り ます。 • ポー ト の LACP シ ス テム プ ラ イ オ リ テ ィ は同 じ にする必要があ り ます。 • ポー ト の管理キー (イ ーサネ ッ ト イ ン タ ー フ ェ ース) は同 じ にする必要があ り ます。 • チ ャ ネル グループ形成時にポー ト チ ャ ネルの管理キー (lacp admin key - ポー ト チ ャ ネ ル) が設定 さ れていない場合 (値が 0 の Null 値の場合)、 こ のキーは、 グループに参加 し ている イ ン タ ー フ ェ ースで使用 さ れるポー ト 管理キー (lacp admin key - イ ーサネ ッ ト イ ン タ ー フ ェ ース) と 同 じ 値に設定 さ れます。 • ただ し 、 ポー ト チ ャ ネルの管理キーが設定 さ れている場合、 ポー ト がチ ャ ネル グループ への参加を許可 さ れるには、ポー ト 管理キーが同 じ 値に設定 さ れている必要があ り ます。 • リ ン ク のダウ ン時には、 LACP ポー ト プ ラ イ オ リ テ ィ に基づいて、 バ ッ ク ア ッ プ リ ン ク が選択 さ れます。 channel-group こ の コ マ ン ド では、 ト ラ ン ク にポー ト を追加 し ます。 no 形式を使用する と 、 ポー ト が ト ラ ン クから 削除 さ れます。 構文 channel-group channel-id no channel-group channel-id - ト ラ ン ク イ ンデ ッ ク スです (範囲 : 1 ~ 8)。 デ フ ォ ル ト 設定 現在のポー ト が、 こ の ト ラ ン ク に追加 さ れます。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) コ マ ン ド の使用 • ス タ テ ィ ッ ク ト ラ ン ク を構成する場合、 ス イ ッ チは、 Cisco EtherChannel 規格に準拠 し ている必要があ り ます。 • ポー ト グループ を ト ラ ン クから 削除するには、 no channel-group を使用 し ます。 • ス イ ッ チか ら ト ラ ン ク を削除するには、 no interfaces port-channel を使用 し ます。 例 次の例では、 ト ラ ン ク 1 を作成 し て、 ポー ト 11 を追加 し ます。 Console(config)#interface port-channel 1 Console(config-if)#exit Console(config)#interface ethernet 1/11 Console(config-if)#channel-group 1 Console(config-if)# lacp こ の コ マ ン ド では、 現在の イ ン タ ー フ ェ ース で 802.3ad LACP ( リ ン ク アグ レ ゲーシ ョ ン制 御プ ロ ト コル) を有効に し ます。 no 形式を使用する と 、 無効にな り ます。 4-129 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 構文 [no] lacp デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) コ マ ン ド の使用 • LACP ト ラ ン クの両端のポー ト は、 全二重、 自動ネゴ シ エーシ ョ ンに構成する必要が あ り ます。 • LACP を使用 し て別のス イ ッ チで ト ラ ン ク を形成する と 、 使用可能な次のポー ト チ ャ ネル ID が自動的に割 り 当て られます。 • タ ーゲ ッ ト ス イ ッ チの接続先ポー ト で も LACP が有効に さ れている場合、ト ラ ン ク は 自動的に有効にな り ます。 • 同一の タ ーゲ ッ ト ス イ ッ チに接続 さ れ、LACP が有効に さ れているポー ト が 8 個を超 え る場合、 追加のポー ト はス タ ンバイ モー ド にな り 、 いずれかのア ク テ ィ ブ リ ン ク で障害が発生 し た場合のみ有効に さ れます。 4-130 リ ン ク アグ レ ゲーシ ョ ン コ マ ン ド 4 例 次の例では、 ポー ト 11 ~ 13 で LACP を有効に し ます。 リ ン ク のも う 一方の端のポー ト で も LACP が有効にな っ てい る ため、 show interfaces status port-channel 1 を使用する と 、 ト ラ ン ク 1 が確立 さ れている こ と が表示 さ れます。 Console(config)#interface ethernet 1/11 Console(config-if)#lacp Console(config-if)#exit Console(config)#interface ethernet 1/12 Console(config-if)#lacp Console(config-if)#exit Console(config)#interface ethernet 1/13 Console(config-if)#lacp Console(config-if)#exit Console(config)#exit Console#show interfaces status port-channel 1 Information of Trunk 1 Basic information: Port type: 100TX Mac address: 00-12-CF-12-34-72 Configuration: Name: Port admin: Up Speed-duplex: Auto Capabilities: 10half, 10full, 100half, 100full Flow control status: Disabled Port security: Disabled Max MAC count: 0 Current status: Created by: LACP Link status: Up Operation speed-duplex: 100full Flow control type: None Member Ports: Eth1/11, Eth1/12, Eth1/13, Console# lacp system-priority こ の コ マ ン ド では、 ポー ト の LACP シ ス テム プ ラ イ オ リ テ ィ を構成 し ます。 no 形式を使用 する と 、 デ フ ォル ト 設定に戻 り ます。 構文 lacp {actor | partner} system-priority priority no lacp {actor | partner} system-priority • actor - アグ レゲー ト リ ン クのロー カル側です。 • partner - アグ レゲー ト リ ン クの リ モー ト 側です。 • priority - このプ ラ イ オ リ テ ィ に よ り 、 リ ン ク アグ レゲーシ ョ ン グループ (LAG) の メ ンバーシ ッ プが決定 さ れます。 ま た、 LAG ネゴ シ エーシ ョ ン中に、 このデバイ ス をほかのス イ ッ チに対 し て特定するのに使用 さ れます (範囲 : 0 ~ 65535)。 デ フ ォ ル ト 設定 32768 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) 4-131 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 • ポー ト が同 じ LAG に参加するには、 シ ス テム プ ラ イ オ リ テ ィ が同 じ に構成 さ れてい る必要があ り ます。 • シ ス テム プ ラ イ オ リ テ ィ と ス イ ッ チの MAC ア ド レ ス を組み合わせる こ と によ っ て LAG 識別子が形成 さ れます。 こ の識別子は、 ほかのシ ス テム と の LACP ネ ゴ シ エー シ ョ ン中に特定の LAG を示すために使用 さ れます。 • リ ン ク の リ モー ト 側が確立 さ れれば、 LACP 動作設定はすでにその側で使用 さ れてい ます。 パー ト ナに対 し て構成 さ れた LACP 設定は、 (動作上の状態ではな く ) 管理上 の状態にのみ適用 さ れます。 こ れが有効にな るのは、 次回パー ト ナ と のアグ レゲー ト リ ン ク が確立 さ れた と きのみです。 例 Console(config)#interface ethernet 1/5 Console(config-if)#lacp actor system-priority 3 Console(config-if)# lacp admin-key (イ ーサネ ッ ト イ ン タ ー フ ェ ース) こ の コ マ ン ド では、 ポー ト の LACP 管理キーを構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト 設定に戻 り ます。 構文 lacp {actor | partner} admin-key key [no] lacp {actor | partner} admin-key • actor - アグ レゲー ト リ ン クのロー カル側です。 • partner - アグ レゲー ト リ ン クの リ モー ト 側です。 • key - 同 じ リ ン ク アグ レゲーシ ョ ン グループ (LAG) に属するポー ト は、 ポー ト 管 理キーを同 じ 値に設定する必要があ り ます (範囲 : 0 ~ 65535)。 デ フ ォ ル ト 設定 0 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) コ マ ン ド の使用 • ポー ト が同 じ LAG に参加で き るのは、 (1) LACP シ ス テム プ ラ イ オ リ テ ィ が一致す る、 (2) LACP ポー ト 管理キーが一致する、 (3) (構成 さ れている場合) LACP ポー ト チ ャ ネルのキーが一致する場合のみです。 • チ ャ ネル グループ形成時にポー ト チ ャ ネルの管理キー(lacp admin key - ポー ト チ ャ ネル) が設定 さ れていない場合 (値が 0 の Null 値の場合)、 こ のキーは、 グループに 参加 し ている イ ン タ ー フ ェ ースで使用 さ れるポー ト 管理キー (lacp admin key - イ ー サネ ッ ト イ ン タ ー フ ェ ース) と 同 じ 値に設定 さ れます。 • リ ン ク の リ モー ト 側が確立 さ れれば、 LACP 動作設定はすでにその側で使用 さ れてい ます。 パー ト ナに対 し て構成 さ れた LACP 設定は、 (動作上の状態ではな く ) 管理上 の状態にのみ適用 さ れます。 こ れが有効にな るのは、 次回パー ト ナ と のアグ レゲー ト リ ン ク が確立 さ れた と きのみです。 4-132 リ ン ク アグ レ ゲーシ ョ ン コ マ ン ド 4 例 Console(config)#interface ethernet 1/5 Console(config-if)#lacp actor admin-key 120 Console(config-if)# lacp admin-key (ポー ト チ ャ ネル) こ の コ マ ン ド では、 ポー ト チ ャ ネルの LACP 管理キー ス ト リ ング を構成 し ます。 no 形式を 使用する と 、 デ フ ォ ル ト 設定に戻 り ます。 構文 lacp {actor | partner} admin-key key [no] lacp {actor | partner} admin-key key - ポー ト チ ャ ネルの管理キーは、 こ のス イ ッ チ上で ロ ー カ ル LACP を セ ッ ト ア ッ プ中に特定の リ ン ク アグ レ ゲーシ ョ ン グループ (LAG) を識別するのに使用 さ れます (範囲 : 0 ~ 65535)。 デ フ ォ ル ト 設定 0 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (ポー ト チ ャ ネル) コ マ ン ド の使用 • ポー ト が同 じ LAG に参加で き るのは、 (1) LACP シ ス テム プ ラ イ オ リ テ ィ が一致す る、 (2) LACP ポー ト 管理キーが一致する、 (3) (構成 さ れている場合) LACP ポー ト チ ャ ネルのキーが一致する場合のみです。 • チ ャ ネル グループ形成時にポー ト チ ャ ネルの管理キー(lacp admin key - ポー ト チ ャ ネル) が設定 さ れていない場合 (値が 0 の Null 値の場合)、 こ のキーは、 グループに 参加 し ている イ ン タ ー フ ェ ースで使用 さ れるポー ト 管理キー (lacp admin key - イ ー サネ ッ ト イ ン タ ー フ ェ ース) と 同 じ 値に設定 さ れます。 LAG が使用 さ れな く な る と 、 ポー ト チ ャ ネルの管理キーは 0 に リ セ ッ ト さ れる こ と に注意 し て く だ さ い。 例 Console(config)#interface port-channel 1 Console(config-if)#lacp actor admin-key 3 Console(config-if)# lacp port-priority こ の コ マ ン ド では、 LACP ポー ト プ ラ イ オ リ テ ィ を構成 し ま す。 no 形式を使用す る と 、 デ フ ォル ト 設定に戻 り ます。 構文 lacp {actor | partner} port-priority priority no lacp {actor | partner} port-priority • actor - アグ レゲー ト リ ン クのロー カル側です。 • partner - アグ レゲー ト リ ン クの リ モー ト 側です。 4-133 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • priority - LACP ポー ト プ ラ イ オ リ テ ィ は、バ ッ ク ア ッ プ リ ン ク を選択するのに使用 さ れます (範囲 : 0 ~ 65535)。 デ フ ォ ル ト 設定 32768 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) コ マ ン ド の使用 • 設定値が低いほど、 プ ラ イ オ リ テ ィ は高 く な り ます。 • ア ク テ ィ ブ ポー ト リ ン クがダウンする と 、 プ ラ イ オ リ テ ィ が最も高いバ ッ ク ア ッ プ ポー ト が選択 さ れ、 ダウン し た リ ン ク に置き換わ り ます。 ただ し 、 同 じ LACP ポー ト プ ラ イ オ リ テ ィ を持つポー ト が複数あ る場合、 物理ポー ト 番号が最 も 低いポー ト が、 バ ッ ク ア ッ プ ポー ト と し て選択 さ れます。 • リ ン ク の リ モー ト 側が確立 さ れれば、 LACP 動作設定はすでにその側で使用 さ れてい ます。 パー ト ナに対 し て構成 さ れた LACP 設定は、 (動作上の状態ではな く ) 管理上 の状態にのみ適用 さ れます。 こ れが有効にな るのは、 次回パー ト ナ と のアグ レゲー ト リ ン ク が確立 さ れた と きのみです。 例 Console(config)#interface ethernet 1/5 Console(config-if)#lacp actor port-priority 128 show lacp こ の コ マ ン ド では、 LACP 情報を表示 し ます。 構文 show lacp [port-channel] {counters | internal | neighbors | sysid} • port-channel - リ ン ク アグ レゲーシ ョ ン グループのロー カル識別子です (範囲 : 1 ~ 8)。 • counters - LACP プ ロ ト コ ル メ ッ セージの統計情報です。 • internal - ロー カル側の コ ン フ ィ ギ ュ レーシ ョ ン設定および動作状態です。 • neighbors - リ モー ト 側の コ ン フ ィ ギ ュ レ ーシ ョ ン設定および動作状態です。 • sysid - すべてのチ ャ ネル グループに対する シ ス テム プ ラ イ オ リ テ ィ および MAC ア ド レ スのサマ リ ーです。 デ フ ォ ル ト 設定 ポー ト チ ャ ネル : すべて コ マ ン ド モー ド Privileged Exec 4-134 リ ン ク アグ レ ゲーシ ョ ン コ マ ン ド 4 例 Console#show lacp 1 counters Port channel : 1 ------------------------------------------------------------------------Eth 1/ 1 ------------------------------------------------------------------------LACPDUs Sent : 21 LACPDUs Received : 21 Marker Sent : 0 Marker Received : 0 LACPDUs Unknown Pkts : 0 LACPDUs Illegal Pkts : 0 . . . 表 4-47. show lacp counters - フ ィ ール ド の説明 フ ィ ール ド 説明 LACPDUs Sent このチ ャ ネル グループから送信 さ れた有効な LACPDU の数 LACPDUs Received このチ ャ ネル グループが受信 し た有効な LACPDU の数 Marker Sent このチ ャ ネル グループから送信 さ れた有効なマー カ ー PDU の数 Marker Received LACPDUs Pkts このチ ャ ネル グループが受信 し た有効なマー カ ー PDU の数 Unknown 受信 し た フ レ ームの う ち、 (1) Slow Protocols Ethernet Type 値を持つが 不明な PDU が含まれる もの、または (2) Slow Protocols グループの MAC ア ド レ ス宛だが、 Slow Protocols Ethernet Type を持たない ものの数 LACPDUs Illegal Pkts Slow Protocols Ethernet Type 値 を 持つが、 PDU の形式が不正 ま たは Protocol Subtype の値が無効な フ レームの数 Console#show lacp 1 internal Port channel : 1 ------------------------------------------------------------------------Oper Key : 4 Admin Key : 0 Eth 1/1 ------------------------------------------------------------------------LACPDUs Internal : 30 sec LACP System Priority : 32768 LACP Port Priority : 32768 Admin Key : 4 Oper Key : 4 Admin State : defaulted, aggregation, long timeout, LACP-activity Oper State : distributing, collecting, synchronization, aggregation, long timeout, LACP-activity . . . 表 4-48. show lacp internal - フ ィ ール ド の説明 フ ィ ール ド 説明 Oper Key アグレ ゲーシ ョ ン ポー ト のキーの現在のオペ レーシ ョ ン値 Admin Key アグレ ゲーシ ョ ン ポー ト のキーの現在の管理値 LACPDUs Internal 受信 し た LACPDU 情報を無効化する ま での秒数 LACP System Priority このポー ト チ ャ ネルに割 り 当て られた LACP シ ス テム プ ラ イ オ リ テ ィ 4-135 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 表 4-48. show lacp internal - フ ィ ール ド の説明 (続き) フ ィ ール ド 説明 LACP Port Priority チ ャ ネル グルー プ内で こ の イ ン タ ー フ ェ ースに割 り 当て ら れた LACP ポー ト プ ラ イ オ リ テ ィ Admin State、 Oper State ア ク タ ーの状態パラ メ ー タ の管理値またはオペレ ーシ ョ ン値 • Expired – ア ク タ ーの受信マ シ ンは期限切れ状態です。 • Defaulted – ア ク タ ーの受信マシ ンは、 管理上パー ト ナに構成 さ れた デ フ ォル ト のパー ト ナー情報を使用 し ています。 • Distributing – false の場合、 こ の リ ン ク での発信フ レームの配信は無 効に さ れます。 すなわち、 配信は現在無効に さ れてお り 、 管理の変 更ま たは受信 し た プ ロ ト コ ル情報の変更がない限 り 、 有効に さ れな い と 考え られます。 • Collecting – こ の リ ン ク での着信フ レームの収集は有効に さ れていま す。 すなわち、 収集は現在有効に さ れてお り 、 管理の変更ま たは受 信 し た プ ロ ト コ ル情報の変更がない限 り 、 無効に さ れない と 考え ら れます。 • Synchronization – こ の リ ン クはシ ス テムで IN_SYNC と 見な さ れて います。 すなわち、 リ ン クは正 し い リ ン ク アグレゲーシ ョ ン グルー プ に割 り 当て ら れてい ます。 ま た、 こ のグルー プは互換性のあ る ア グレ ゲー タ に関連付け られてお り 、 リ ン ク アグレゲーシ ョ ン グルー プのア イ デン テ ィ テ ィ は送信 さ れたシス テム ID およびオペ レーシ ョ ン キー情報 と 一致 し ています。 • Aggregation – この リ ン クはシス テムで アグ レゲー ト 可能、 すなわち アグレ ゲーシ ョ ンの潜在的候補 と 見な さ れています。 • Long timeout – 定期的な LACPDU の送信に低送信レー ト が使用 さ れ ています。 • LACP-Activity – この リ ン ク に関する ア ク テ ィ ビ テ ィ 制御値 (0: パ ッ シ ブ、 1: ア ク テ ィ ブ) Console#show lacp 1 neighbors Port channel 1 neighbors ------------------------------------------------------------------------Eth 1/1 ------------------------------------------------------------------------Partner Admin System ID : 32768, 00-00-00-00-00-00 Partner Oper System ID : 32768, 00-00-00-00-00-01 Partner Admin Port Number : 1 Partner Oper Port Number : 1 Port Admin Priority : 32768 Port Oper Priority : 32768 Admin Key : 0 Oper Key : 4 Admin State : defaulted, distributing, collecting, synchronization, long timeout, Oper State : distributing, collecting, synchronization, aggregation, long timeout, LACP-activity . . . 4-136 リ ン ク アグ レ ゲーシ ョ ン コ マ ン ド 4 表 4-49. show lacp neighbors - フ ィ ール ド の説明 フ ィ ール ド 説明 Partner Admin System ID ユーザーが割 り 当てた LAG パー ト ナのシ ス テム ID Partner Oper System ID LACP プ ロ ト コルによ っ て割 り 当て られた LAG パー ト ナのシス テム ID Partner Admin Port Number プ ロ ト コル パー ト ナのポー ト 番号の現在の管理値 Partner Oper Port Number ポー ト のプ ロ ト コ ル パー ト ナに よ っ て こ のアグ レ ゲーシ ョ ン ポー ト に 割 り 当て られたオペレ ーシ ョ ン ポー ト 番号 Port Admin Priority プ ロ ト コル パー ト ナのポー ト プ ラ イ オ リ テ ィ の現在の管理値 Port Oper Priority パー ト ナに よ っ て こ のア グ レ ゲーシ ョ ン ポー ト に割 り 当て ら れた プ ラ イオ リ テ ィ 値 Admin Key プ ロ ト コル パー ト ナのキーの現在の管理値 Oper Key プ ロ ト コル パー ト ナのキーの現在のオペ レーシ ョ ン値 Admin State パー ト ナの状態パラ メ ー タ の管理値 (前の表を参照) Oper State パー ト ナの状態パラ メ ー タ のオペレ ーシ ョ ン値 (前の表を参照) Console#show lacp sysid Port Channel System Priority System MAC Address ------------------------------------------------------------------------1 32768 00-12-CF-8F-2C-A7 2 32768 00-12-CF-8F-2C-A7 3 32768 00-12-CF-8F-2C-A7 4 32768 00-12-CF-8F-2C-A7 Console# 表 4-50. show lacp sysid - フ ィ ール ド の説明 フ ィ ール ド 説明 Channel group このス イ ッ チで構成 さ れている リ ン ク アグレゲーシ ョ ン グループ System Priority* このチ ャ ネル グループの LACP シ ス テム プ ラ イ オ リ テ ィ System MAC Address* シ ス テム MAC ア ド レ ス * LACP シ ス テム プ ラ イ オ リ テ ィ と シ ス テム MAC ア ド レ スは組み合わ さ れ、LAG シ ス テム ID と な り ます。 4-137 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース ア ド レ ス テ ーブ ル コ マン ド こ れ ら の コ マ ン ド は、 ア ド レ ス テーブルで、 指定ア ド レ スの フ ィ ル タ リ ング、 現在のエ ン ト リ の表示、 テーブルのク リ ア、 エージ ング タ イ ム設定を構成するのに使用 さ れます。 表 4-51. ア ド レ ス テーブル コ マ ン ド コマン ド 機能 mac-address-table static VLAN 内のポー ト にス タ テ ィ ッ ク ア ド レ ス を マ ッ ピ ン GC グ し ます。 モー ド ページ 4-138 clear mac-address-table dynamic 学習 し た エ ン ト リ を フ ォ ワーデ ィ ン グ デー タ ベー ス PE から削除 し ます。 4-139 show mac-address-table ブ リ ッ ジ フ ォ ワーデ ィ ン グ デー タ ベー スのエ ン ト リ PE を表示 し ます。 4-139 mac-address-table aging-time ア ド レ ス テーブルのエージ ング タ イ ムを設定 し ます。 GC 4-140 show mac-address-table aging-time ア ド レ ス テーブルのエージ ング タ イ ムを表示 し ます。 PE 4-141 mac-address-table static こ の コ マ ン ド では、 VLAN 内の宛先ポー ト にス タ テ ィ ッ ク ア ド レ ス を マ ッ ピ ング し ます。 no 形式を使用する と 、 ア ド レ スが削除 さ れます。 構文 mac-address-table static mac-address interface interface vlan vlan-id [action] no mac-address-table static mac-address vlan vlan-id • mac-address - MAC ア ド レ スです。 • interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) • vlan-id - VLAN ID です (範囲 : 1 ~ 4094)。 • action - delete-on-reset - 割当ては、 ス イ ッ チが リ セ ッ ト さ れる ま で有効です。 - permanent - 割当ては恒久的に有効です。 デ フ ォ ル ト 設定 ス タ テ ィ ッ ク ア ド レ スは定義 さ れていません。 デ フ ォル ト モー ド は permanent です。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-138 ア ド レ ス テーブル コ マ ン ド 4 コ マ ン ド の使用 ホス ト デバイ スのス タ テ ィ ッ ク ア ド レ ス を、 特定の VLAN 内の特定のポー ト に割 り 当 て る こ と がで き ます。この コ マ ン ド を使用する と 、MAC ア ド レ ス テーブルにス タ テ ィ ッ ク ア ド レ ス を追加す る こ と がで き ます。 ス タ テ ィ ッ ク ア ド レ スには、 次の特徴があ り ます。 • 特定イ ン タ ー フ ェ ースの リ ン クがダウン し て も、 ア ド レ ス テーブルから削除 さ れません。 • 割 り 当て られた イ ン タ ー フ ェ ースにバイ ン ド さ れ、 移動 さ れる こ と はあ り ません。 ス タ テ ィ ッ ク ア ド レ スが別のイ ン タ ー フ ェ ースに割 り 当て ら れて も 、 そのア ド レ スは無 視 さ れ、 ア ド レ ス テーブルには書き込まれません。 • こ の コ マ ン ド の no 形式を使用 し て削除 さ れる ま で、 別のポー ト で学習 さ れる こ と は あ り ません。 例 Console(config)#mac-address-table static 00-12-cf-94-34-de interface ethernet 1/1 vlan 1 delete-on-reset Console(config)# clear mac-address-table dynamic このコ マ ン ド では、 学習 さ れたエ ン ト リ を フ ォ ワーデ ィ ング デー タ ベースから削除 し 、 任意のス タ テ ィ ッ ク エ ン ト リ またはシ ス テム設定 さ れたエ ン ト リ の送受信カ ウン ト を ク リ ア し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#clear mac-address-table dynamic Console# show mac-address-table こ の コ マ ン ド では、 ブ リ ッ ジ フ ォ ワーデ ィ ング デー タ ベース内のエ ン ト リ の ク ラ ス を表示 し ます。 構文 show mac-address-table [address mac-address [mask]] [interface interface] [vlan vlan-id] [sort {address | vlan | interface}] • mac-address - MAC ア ド レ スです。 • mask - ア ド レ ス内で一致する ビ ッ ト です。 • interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) 4-139 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • vlan-id - VLAN ID です (範囲 : 1 ~ 4094)。 • sort - ア ド レ ス、 VLAN、 ま たはイ ン タ ー フ ェ ースで ソ ー ト し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • MAC ア ド レ ス テーブルには、 各イ ン タ ー フ ェ ースに関連付け られた MAC ア ド レ ス が格納 さ れています。 Type フ ィ ール ド に表示 さ れる タ イ プは次の と お り です。 - Learned - ダ イ ナ ミ ッ ク ア ド レ ス エ ン ト リ - Permanent - ス タ テ ィ ッ ク エ ン ト リ - Delete-on-reset - シ ス テムの リ セ ッ ト 時に削除 さ れる ス タ テ ィ ッ ク エ ン ト リ • マ ス ク は、 xx-xx-xx-xx-xx-xx 形式の (相当する ビ ッ ト マス ク を表す) 16 進数で、 指 定 MAC ア ド レ スに適用 さ れます。 16 進数の入力で、 相当するバイ ナ リ ビ ッ ト 「0」 は一致する ビ ッ ト 、 「1」 は無視する ビ ッ ト を表 し ます。 た と えば、 00-00-00-00-00-00 と い う マ ス クは完全一致を表 し 、 FF-FF-FF-FF-FF-FF と い う マス クは 「任意」 を表 し ます。 • ア ド レ ス エ ン ト リ の数は最大 8191 です。 例 Console#show mac-address-table Interface Mac Address Vlan --------- ----------------- ---Eth 1/1 00-12-cf-94-34-de 1 Trunk 2 00-12-cf-8f-aa-1b 1 Console# Type ----------------Delete-on-reset Learned mac-address-table aging-time こ の コ マ ン ド では、 ア ド レ ス テーブル内のエ ン ト リ に対す る エージ ン グ タ イ ム を設定 し ま す。 no 形式を使用する と 、 デ フ ォル ト のエージ ング タ イ ムに戻 り ます。 構文 mac-address-table aging-time seconds no mac-address-table aging-time seconds - エージ ング タ イ ムです (範囲 : 10 ~ 30000 秒、 0 の場合はエージ ングが無効)。 デ フ ォ ル ト 設定 300 秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-140 スパニ ング ツ リ ー コ マ ン ド 4 コ マ ン ド の使用 エージ ング タ イ ムは、 動的に学習 さ れた フ ォ ワーデ ィ ング情報の有効期限設定に使用 さ れます。 例 Console(config)#mac-address-table aging-time 100 Console(config)# show mac-address-table aging-time このコ マ ン ド では、 ア ド レ ス テーブル内のエ ン ト リ に対する エージ ング タ イムを表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#show mac-address-table aging-time Aging time: 100 sec. Console# スパニン グ ツ リ ー コ マン ド こ のセ ク シ ョ ン では、 スパニ ング ツ リ ー アルゴ リ ズム (STA) を グローバルに構成する コ マ ン ド 、 および選択 し た イ ン タ ー フ ェ ースに STA を構成する コ マ ン ド について説明 し ます。 表 4-52. スパニ ング ツ リ ー コ マ ン ド コマン ド spanning-tree 機能 モー ド ページ 4-142 スパニ ン グ ツ リ ー プ ロ ト コルを有効に し ます。 GC spanning-tree mode STP、 RSTP、 または MSTP モー ド を構成 し ます。 GC 4-143 spanning-tree forward-time スパニ ン グ ツ リ ー ブ リ ッ ジの フ ォ ワーデ ィ ン グ時間 GC を構成 し ます。 4-144 spanning-tree hello-time スパニ ング ツ リ ー ブ リ ッ ジのハロー時間を構成 し ます。 GC 4-145 spanning-tree max-age スパニ ン グ ツ リ ー ブ リ ッ ジの最大エージ ン グ タ イ ム GC を構成 し ます。 4-145 spanning-tree priority スパニ ン グ ツ リ ー ブ リ ッ ジのプ ラ イ オ リ テ ィ を構成 GC し ます。 4-146 spanning-tree path-cost method RSTP/MSTP のパス コ ス ト 方式を構成 し ます。 GC 4-147 spanning-tree transmission-limit RSTP/MSTP の送信 リ ミ ッ ト を構成 し ます。 GC 4-147 spanning-tree mst-configuration MSTP コ ン フ ィ ギ ュ レーシ ョ ン モー ド に移行 し ます。 GC 4-148 mst vlan スパニ ング ツ リ ー イ ン ス タ ン スに VLAN を追加 し ます。 MST 4-148 4-141 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 表 4-52. スパニ ング ツ リ ー コ マ ン ド (続き) コマン ド 機能 mst priority スパニ ン グ ツ リ ー イ ン ス タ ン スのプ ラ イ オ リ テ ィ を MST 構成 し ます。 モー ド ページ 4-149 name マルチ プル スパニ ング ツ リ ーの名前を構成 し ます。 MST 4-150 revision マルチ プル スパニ ン グ ツ リ ーの リ ビ ジ ョ ン番号を 構 MST 成 し ます。 4-150 max-hops BPDU が破棄 さ れる前に リ ージ ョ ン内で許容 さ れる最 MST 大ホ ッ プ数を構成 し ます。 4-151 spanning-tree spanning-disabled イ ン タ ー フ ェ ース でスパニ ン グ ツ リ ーを無効に し ます。 IC 4-151 spanning-tree cost イ ン タ ー フ ェ ースのスパニ ン グ ツ リ ー パス コ ス ト を IC 構成 し ます。 4-152 spanning-tree port-priority イ ン タ ー フ ェ ー ス の ス パ ニ ン グ ツ リ ー プ ラ イ オ リ IC テ ィ を構成 し ます。 4-153 spanning-tree edge-port エ ッ ジ ポー ト で高速転送を有効に し ます。 IC 4-153 spanning-tree portfast イ ン タ ー フ ェ ースで高速転送を設定 し ます。 IC 4-154 spanning-tree link-type RSTP/MSTP の リ ン ク タ イ プ を構成 し ます。 IC 4-155 spanning-tree mst cost MST 内のイ ン ス タ ン スのパス コ ス ト を構成 し ます。 IC 4-156 spanning-tree mst port-priority MST 内のイ ン ス タ ン スのプ ラ イ オ リ テ ィ を構成 し ます。 IC 4-157 spanning-tree protocol-migration 適切な BPDU 形式を再チ ェ ッ ク し ます。 PE 4-157 show spanning-tree 共通スパニ ン グ ツ リ ー (ブ リ ッ ジ全体)、 選択 し た イ ン PE タ ー フ ェ ース、 またはマルチ プル スパニ ング ツ リ ー内 の イ ン ス タ ン スのスパニ ン グ ツ リ ー コ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 4-158 show spanning-tree mst configuration マ ル チ プ ル ス パ ニ ン グ ツ リ ー の コ ン フ ィ ギ ュ レ ー PE シ ョ ン を表示 し ます。 4-160 spanning-tree こ の コ マ ン ド では、 スパニ ン グ ツ リ ー アルゴ リ ズム を ス イ ッ チ で グ ロ ーバルに有効に し ま す。 no 形式を使用する と 、 無効にな り ます。 構文 [no] spanning-tree デ フ ォ ル ト 設定 スパニ ング ツ リ ーは有効です。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-142 スパニ ング ツ リ ー コ マ ン ド 4 コ マ ン ド の使用 スパニ ン グ ツ リ ー アルゴ リ ズム (STA) を使用する と 、 ネ ッ ト ワー ク ループ を検知 し て無効に し た り 、 ス イ ッ チ、 ブ リ ッ ジ、 またはルー タ 間にバ ッ ク ア ッ プ リ ン ク を提供で き ます。 こ れに よ り 、 ス イ ッ チはネ ッ ト ワー ク上のほかのブ リ ッ ジ デバイ ス (STA 準拠 のス イ ッ チ、 ブ リ ッ ジ、 ま たはルー タ ) と 連携 し 、 ネ ッ ト ワー ク 上の任意の 2 台のス テーシ ョ ン間にルー ト が 1 つのみ存在する よ う に し ます。 また、 プ ラ イ マ リ リ ン クのダ ウン時にはバ ッ ク ア ッ プ リ ン クが自動的に処理を引き継ぐ こ と がで き ます。 例 こ の例は、 ス イ ッ チのスパニ ング ツ リ ー アルゴ リ ズムを有効にする方法を示 し ています。 Console(config)#spanning-tree Console(config)# spanning-tree mode こ の コ マ ン ド では、 こ のス イ ッ チのスパニ ン グ ツ リ ー モー ド を選択 し ます。 no 形式を使用 する と 、 デ フ ォル ト に戻 り ます。 注 : 現在のソ フ ト ウ ェ ア では、 MSTP はサポー ト さ れません。 構文 spanning-tree mode {stp | rstp | mstp} no spanning-tree mode • stp - スパニ ング ツ リ ー プ ロ ト コル (IEEE 802.1D) • rstp - 高速スパニ ング ツ リ ー プ ロ ト コ ル (IEEE 802.1w) • mstp - マルチ プル スパニ ング ツ リ ー (IEEE 802.1s) デ フ ォ ル ト 設定 rstp コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • スパニ ング ツ リ ー プ ロ ト コ ル 内部の状態マ シ ンには RSTP を使用 し ますが、 802.1D BPDU のみを送信 し ます。 - こ れに よ り 、 ネ ッ ト ワー ク全体で 1 つのスパニ ン グ ツ リ ー イ ン ス タ ン ス を作成 し ます。 ネ ッ ト ワー ク に複数の VLAN が実装 さ れてい る場合、 ネ ッ ト ワー ク ループ を防 ぐ ために特定の VLAN メ ンバー間のパスが無効に さ れ、 グループ メ ンバーが 隔離 さ れる場合があ り ます。 複数の VLAN を運用する場合は、 MSTP オプ シ ョ ン を 選択する こ と をお勧め し ます。 • 高速スパニ ング ツ リ ー プ ロ ト コ ル RSTP では、次に説明する よ う に、着信プ ロ ト コ ル メ ッ セージ を監視 し て RSTP ノ ー ド が送信する プ ロ ト コ ル メ ッ セージの タ イ プ を動的に調整する こ と に よ り 、 STP ま たは RSTP ノ ー ド への接続がサポー ト さ れます。 4-143 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース - STP モー ド – ポー ト のマ イ グ レーシ ョ ン遅延 タ イ マーの期限切れ後、 ス イ ッ チが 802.1D BPDU を受信する と 、ス イ ッ チはポー ト が 802.1D ブ リ ッ ジに接続 さ れてい る と 見な し 、 802.1D BPDU のみを使用 し 始めます。 - RSTP モー ド – RSTP がポー ト で 802.1D BPDU を使用 し てお り 、 移行遅延 タ イ マーが期限切れにな っ た後に RSTP BPDU を受信 し た場合、RSTP は移行遅延 タ イ マーを再度開始 し 、 そのポー ト で RSTP BPDU を使用 し 始めます。 • マルチ プル スパニ ング ツ リ ー プ ロ ト コ ル - ネ ッ ト ワー ク上で複数のスパニ ング ツ リ ーを機能 さ せるには、 関連する一連のブ リ ッ ジ に同一の MSTP コ ン フ ィ ギ ュ レ ー シ ョ ン を 構成 し 、 特定のスパニ ン グ ツ リ ー イ ン ス タ ン ス セ ッ ト に参加で き る よ う にする必要があ り ます。 - スパニ ング ツ リ ー イ ン ス タ ン スは、 互換性のある VLAN イ ン ス タ ン スが割 り 当て られた ブ リ ッ ジにのみ存在で き ます。 - スパニ ング ツ リ ー モー ド を切 り 替え る際は注意が必要です。 モー ド を変更する と 、 以前のモー ド のスパニ ン グ ツ リ ー イ ン ス タ ン スがすべて停止 し 、 新規モー ド で シ ス テムが再起動する ため、 ユーザー ト ラ フ ィ ッ ク に一時的に影響 し ます。 例 次の例では、 ス イ ッ チで高速スパニ ング ツ リ ーの使用を構成 し ます。 Console(config)#spanning-tree mode rstp Console(config)# spanning-tree forward-time こ の コ マ ン ド では、 このス イ ッ チでスパニ ング ツ リ ー ブ リ ッ ジのフ ォ ワーデ ィ ング時間を グ ローバルに構成 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 spanning-tree forward-time seconds no spanning-tree forward-time seconds - 時間を秒単位で指定 し ます (範囲 : 4 ~ 30 秒)。 最小値は、 4 ま たは [(max-age / 2) + 1] のいずれか大き い方の値です。 デ フ ォ ル ト 設定 15 秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 こ の コ マ ン ド では、 ルー ト デバイ スの状態 (Discarding、 Learning、 Forwarding) が変 更 さ れる ま での最大待機時間を秒単位で設定 し ます。 こ の遅延は、 すべてのデバイ スが フ レームの転送を開始する前に ト ポロ ジ変化に関する情報を受信する必要があ る ため必 要にな り ます。 また、 各ポー ト には、 Discarding 状態に戻ら せる矛盾情報を リ ッ ス ンす る時間が必要です。 こ の時間がない と 、 一時的なデー タ ループが発生する可能性があ り ます。 4-144 スパニ ング ツ リ ー コ マ ン ド 4 例 Console(config)#spanning-tree forward-time 20 Console(config)# spanning-tree hello-time こ の コ マ ン ド では、 このス イ ッ チでスパニ ング ツ リ ー ブ リ ッ ジのハロー時間を グローバルに 構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 spanning-tree hello-time time no spanning-tree hello-time time - 時間を秒単位で指定 し ます (範囲 : 1 ~ 10 秒)。 最大値は、 10 ま たは [(max-age / 2) -1] のいずれか小 さ い方の値です。 デ フ ォ ル ト 設定 2秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 こ の コ マ ン ド では、 ルー ト デバ イ スが コ ン フ ィ ギ ュ レ ーシ ョ ン メ ッ セージ を送信す る 間隔を秒単位で設定 し ます。 例 Console(config)#spanning-tree hello-time 5 Console(config)# 関連 コ マ ン ド spanning-tree forward-time (4-144) spanning-tree max-age (4-145) spanning-tree max-age こ の コ マ ン ド では、このス イ ッ チでスパニ ング ツ リ ー ブ リ ッ ジの最大エージ ング タ イ ムを グ ローバルに構成 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 spanning-tree max-age seconds no spanning-tree max-age seconds - 時間を秒単位で指定 し ます (範囲 : 6 ~ 40 秒)。 最小値は、 6 ま たは [2 x (hello-time + 1)] のいずれか大き い方の値です。 最大値は、 40 ま たは [2 x (forward-time - 1)] のいずれか小 さ い方の値です。 デ フ ォ ル ト 設定 20 秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-145 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 こ の コ マ ン ド では、 再構成を試行する前にデバイ スが コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セー ジ を受信する ま で待機で き る最大時間 (秒単位) を設定 し ます。 すべてのデバイ ス ポー ト (指定ポー ト 以外) は定期的に コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ を受信する必要が あ り ます。 (最後の コ ン フ ィ ギ ュ レーシ ョ ン メ ッ セージ で供給 さ れた) STA 情報が経年 処理に よ っ て無効にな っ たポー ト は、 接続 さ れた LAN の指定ポー ト にな り ます。 これが ルー ト ポー ト の場合、 ネ ッ ト ワー ク に接続 さ れたデバイ ス ポー ト の中か ら 新 し いルー ト ポー ト が選択 さ れます。 例 Console(config)#spanning-tree max-age 40 Console(config)# 関連 コ マ ン ド spanning-tree forward-time (4-144) spanning-tree hello-time (4-145) spanning-tree priority こ の コ マ ン ド では、 このス イ ッ チでスパニ ング ツ リ ー プ ラ イ オ リ テ ィ を グローバルに構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 spanning-tree priority priority no spanning-tree priority priority - ブ リ ッ ジのプ ラ イ オ リ テ ィ です (範囲 : 0 ~ 65535)。 (範囲 : 0 ~ 61440 ま で 4096 刻み。 オプ シ ョ ン : 0、 4096、 8192、 12288、 16384、 20480、24576、28672、32768、36864、40960、45056、49152、53248、57344、61440) デ フ ォ ル ト 設定 32768 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 ブ リ ッ ジのプ ラ イ オ リ テ ィ は、 ルー ト デバ イ ス、 ルー ト ポー ト 、 お よ び指定ポー ト の 選択に使用 さ れます。 プ ラ イ オ リ テ ィ が最 も 高い (すなわち数値が小 さ い) デバイ スが STA ルー ト デバ イ ス に な り ま す。 すべてのデバ イ スのプ ラ イ オ リ テ ィ が同 じ 場合は、 MAC ア ド レ スが最も 小 さ いデバイ スがルー ト デバイ スにな り ます。 例 Console(config)#spanning-tree priority 40000 Console(config)# 4-146 スパニ ング ツ リ ー コ マ ン ド 4 spanning-tree pathcost method こ の コ マ ン ド では、高速スパニ ング ツ リ ーおよびマルチ プル スパニ ン グ ツ リ ーに使用 さ れる パス コ ス ト 方式を構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 spanning-tree pathcost method {long | short} no spanning-tree pathcost method • long - 32 ビ ッ ト ベースの値を指定 し ます (範囲 : 1 ~ 200,000,000)。 こ の方式は、 IEEE 802.1w 高速スパニ ング ツ リ ー プ ロ ト コ ルに基づ き ます。 • short - 16 ビ ッ ト ベースの値を指定 し ます (範囲 : 1 ~ 65535)。 こ の方式は、 IEEE 802.1 スパニ ング ツ リ ー プ ロ ト コ ルに基づ き ます。 デ フ ォ ル ト 設定 Long 方式 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 パス コ ス ト 方式は、 デバイ ス間の最適なパス を決定するのに使用 さ れます。 すなわち、 高速な メ デ ィ アに接続 さ れたポー ト には低い値が割 り 当て ら れ、 低速な メ デ ィ アに接続 さ れたポー ト には高い値が割 り 当て ら れます。 パス コ ス ト (4-152 ページ) は、 ポー ト プ ラ イ オ リ テ ィ (4-153 ページ) よ り 優先 さ れる こ と に注意 し て く だ さ い。 例 Console(config)#spanning-tree pathcost method long Console(config)# spanning-tree transmission-limit こ の コ マ ン ド では、 RSTP/MSTP BPDU を連続 し て送信する際の最小間隔を構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 spanning-tree transmission-limit count no spanning-tree transmission-limit count - 送信 リ ミ ッ ト を秒単位で指定 し ます (範囲 : 1 ~ 10)。 デ フ ォ ル ト 設定 3 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 こ の コ マ ン ド は、 BPDU の最大送信レー ト を制限 し ます。 4-147 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console(config)#spanning-tree transmission-limit 4 Console(config)# spanning-tree mst-configuration こ の コ マ ン ド では、 マルチ プル スパニ ン グ ツ リ ー (MST) コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド に移行 し ます。 デ フ ォ ル ト 設定 • MST イ ン ス タ ン スにマ ッ ピ ング さ れた VLAN はあ り ません。 • リ ージ ョ ン名はス イ ッ チの MAC ア ド レ スに設定 さ れます。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 Console(config)#spanning-tree mst-configuration Console(config-mstp)# 関連 コ マ ン ド mst vlan (4-148) mst priority (4-149) name (4-150) revision (4-150) max-hops (4-151) mst vlan こ の コ マ ン ド では、 スパニ ング ツ リ ー イ ン ス タ ン スに VLAN を追加 し ます。 no 形式を使用 する と 、 指定 し た VLAN が削除 さ れます。 VLAN パラ メ ー タ を指定せずに no 形式を使用する と 、 すべての VLAN が削除 さ れます。 構文 [no] mst instance_id vlan vlan-range • instance_id - スパニ ング ツ リ ーのイ ン ス タ ン ス識別子です (範囲 : 0 ~ 4094)。 • vlan-range - VLAN の範囲です (範囲 : 1 ~ 4094)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド MST コ ン フ ィ ギ ュ レ ーシ ョ ン 4-148 スパニ ング ツ リ ー コ マ ン ド 4 コ マ ン ド の使用 • こ の コ マ ン ド では、 VLAN を スパニ ング ツ リ ー イ ン ス タ ン スにグループ分け し ます。 MSTP は、 各 イ ン ス タ ン スに対 し て固有のスパニ ン グ ツ リ ー を作成 し ます。 こ れに よ っ てネ ッ ト ワー ク上に複数のパス を提供 し 、 ト ラ フ ィ ッ クのロー ド バラ ン シ ング を 行っ た り 、単一イ ン ス タ ン スのブ リ ッ ジ ノ ー ド が障害にな っ た場合に広範囲な中断を 回避で き ます。 また、 イ ン ス タ ン スの障害に対する新規 ト ポロ ジの コ ンバージ ェ ン ス を高速化する こ と も で き ます。 • デ フ ォ ル ト では、 すべての VLAN は、 MST リ ージ ョ ン内のすべてのブ リ ッ ジ と LAN を接続する内部スパニ ング ツ リ ー (MSTI 0) に割 り 当て られます。 こ のス イ ッ チでは 最大 58 個のイ ン ス タ ン スがサポー ト さ れます。 ネ ッ ト ワー ク において同 じ 全般エ リ ア を カバー し ている VLAN をグループ化する よ う に し て く だ さ い。ただ し 、同 じ MSTI リ ージ ョ ン内 (4-150 ページ) のすべてのブ リ ッ ジには同 じ イ ン ス タ ン ス セ ッ ト を構 成 し 、 (各ブ リ ッ ジ上の) 同 じ イ ン ス タ ン スには同 じ VLAN セ ッ ト を構成する必要が あ り ます。 また、 RSTP では各 MSTI リ ージ ョ ンが単一 ノ ー ド と し て扱われ、 すべて の リ ージ ョ ンが共通スパニ ング ツ リ ーに接続 さ れる こ と に注意 し て く だ さ い。 例 Console(config-mstp)#mst 1 vlan 2-5 Console(config-mstp)# mst priority こ の コ マ ン ド では、 スパニ ン グ ツ リ ー イ ン ス タ ン スのプ ラ イ オ リ テ ィ を構成 し ます。 no 形 式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 mst instance_id priority priority no mst instance_id priority • instance_id - スパニ ング ツ リ ーのイ ン ス タ ン ス識別子です (範囲 : 0 ~ 4094)。 • priority - スパニ ング ツ リ ー イ ン ス タ ン スのプ ラ イ オ リ テ ィ です • (範囲 : 0 ~ 61440 ま で 4096 刻み。 オプ シ ョ ン : 0、 4096、 8192、 12288、 16384、 20480、24576、28672、32768、36864、40960、45056、49152、53248、57344、61440)。 デ フ ォ ル ト 設定 32768 コ マ ン ド モー ド MST コ ン フ ィ ギ ュ レ ーシ ョ ン コ マ ン ド の使用 • MST プ ラ イ オ リ テ ィ は、 指定 し た イ ン ス タ ン スのルー ト ブ リ ッ ジおよび代替ブ リ ッ ジ を選択するのに使用 さ れます。 プ ラ イ オ リ テ ィ が最も 高い (数値が最 も小 さ い) デ バイ スが MSTI ルー ト デバイ スにな り ます。 すべてのデバイ スのプ ラ イ オ リ テ ィ が同 じ 場合は、 MAC ア ド レ スが最 も小 さ いデバイ スがルー ト デバイ スにな り ます。 • プ ラ イ オ リ テ ィ に 0 を指定する と 、 こ のス イ ッ チ を MSTI ルー ト デバイ ス と し て、 ま た プ ラ イ オ リ テ ィ に 16384 を指定する と 、 MSTI 代替デバイ ス と し て機能する よ う 設 定で き ます。 4-149 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console(config-mstp)#mst 1 priority 4096 Console(config-mstp)# name こ の コ マ ン ド では、このス イ ッ チが配置 さ れる マルチ プル スパニ ング ツ リ ー リ ージ ョ ンの名 前を構成 し ます。 no 形式を使用する と 、 名前がク リ ア さ れます。 構文 name name name - スパニ ング ツ リ ーの名前です。 デ フ ォ ル ト 設定 ス イ ッ チの MAC ア ド レ ス コ マ ン ド モー ド MST コ ン フ ィ ギ ュ レ ーシ ョ ン コ マ ン ド の使用 MST リ ージ ョ ン名お よび リ ビ ジ ョ ン番号 (4-150 ページ) は、 MST リ ージ ョ ン を一意 に指定するのに使用 さ れます。 各ブ リ ッ ジ ( このス イ ッ チのよ う なスパニ ング ツ リ ー準 拠デバ イ ス) は、 1 つの MST リ ージ ョ ン にのみ属する こ と がで き ます。 同 じ リ ージ ョ ン内のすべてのブ リ ッ ジは、 同 じ MST イ ン ス タ ン ス で構成 さ れている必要があ り ます。 例 Console(config-mstp)#name R&D Console(config-mstp)# 関連 コ マ ン ド revision (4-150) revision こ の コ マ ン ド では、このス イ ッ チのマルチ プル スパニ ング ツ リ ー コ ン フ ィ ギ ュ レーシ ョ ン に 対する リ ビ ジ ョ ン番号を構成 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 revision number number - スパニ ング ツ リ ーの リ ビ ジ ョ ン番号です (範囲 : 0 ~ 65535)。 デ フ ォ ル ト 設定 0 コ マ ン ド モー ド MST コ ン フ ィ ギ ュ レ ーシ ョ ン 4-150 スパニ ング ツ リ ー コ マ ン ド 4 コ マ ン ド の使用 MST リ ージ ョ ン名 (4-150 ページ) および リ ビ ジ ョ ン番号は、 MST リ ージ ョ ン を一意 に指定するのに使用 さ れます。 各ブ リ ッ ジ ( このス イ ッ チのよ う なスパニ ング ツ リ ー準 拠デバ イ ス) は、 1 つの MST リ ージ ョ ン にのみ属する こ と がで き ます。 同 じ リ ージ ョ ン内のすべてのブ リ ッ ジは、 同 じ MST イ ン ス タ ン ス で構成 さ れている必要があ り ます。 例 Console(config-mstp)#revision 1 Console(config-mstp)# 関連 コ マ ン ド name (4-150) max-hops こ の コ マ ン ド では、 BPDU が破棄 さ れる前に リ ージ ョ ン内で許容 さ れる最大ホ ッ プ数を構成 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 max-hops hop-number hop-number - マルチ プル スパニ ング ツ リ ーの最大ホ ッ プ数です (範囲 : 1 ~ 40)。 デ フ ォ ル ト 設定 20 コ マ ン ド モー ド MST コ ン フ ィ ギ ュ レ ーシ ョ ン コ マ ン ド の使用 STP および RSTP プ ロ ト コ ルでは、 MSTI リ ージ ョ ンが単一 ノ ー ド し て扱われます。 こ のため、 MSTI リ ージ ョ ン内では、 BPDU メ ッ セージの経過時間が変更 さ れる こ と はあ り ません。 ただ し 、 リ ージ ョ ン内の各スパニ ン グ ツ リ ー イ ン ス タ ン ス、 お よび こ れ ら のイ ン ス タ ン ス を接続する内部スパニ ング ツ リ ー (IST) では、BPDU を伝搬する ブ リ ッ ジの最大数がホ ッ プ カ ウン ト によ っ て指定 さ れます。 各ブ リ ッ ジは、 BPDU を伝搬する 前にホ ッ プ カ ウ ン ト を 1 ずつ減ら し ます。 ホ ッ プ カ ウン ト が 0 にな る と 、 メ ッ セージ は破棄 さ れます。 例 Console(config-mstp)#max-hops 30 Console(config-mstp)# spanning-tree spanning-disabled こ の コ マ ン ド では、 指定 イ ン タ ー フ ェ ースのスパニ ン グ ツ リ ー アルゴ リ ズム を無効に し ま す。 no 形式を使用する と 、 指定 イ ン タ ー フ ェ ースのスパニ ン グ ツ リ ー アルゴ リ ズムが再び 有効にな り ます。 構文 [no] spanning-tree spanning-disabled 4-151 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) 例 こ の例では、 ポー ト 5 のスパニ ング ツ リ ー アルゴ リ ズムを無効に し ます。 Console(config)#interface ethernet 1/5 Console(config-if)#spanning-tree spanning-disabled Console(config-if)# spanning-tree cost こ の コ マ ン ド では、指定イ ン タ ー フ ェ ースのスパニ ング ツ リ ー パス コ ス ト を構成 し ます。no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 spanning-tree cost cost no spanning-tree cost cost - ポー ト のパス コ ス ト です (範囲 : 自動構成の場合は 0、 または 1 ~ 200,000,000)。 推奨範囲 • イ ーサネ ッ ト : 200,000 ~ 20,000,000 • フ ァ ース ト イ ーサネ ッ ト : 20,000 ~ 2,000,000 • ギガ ビ ッ ト イ ーサネ ッ ト : 2,000 ~ 200,000 • 10 ギガ ビ ッ ト イ ーサネ ッ ト : 200 ~ 20,000 デ フ ォ ル ト 設定 デ フ ォ ル ト では、 各ポー ト で使用 さ れてい る ス ピー ド および二重モー ド はシ ス テムで自 動的に検知 さ れ、 次に示す値に従 っ てパス コ ス ト が構成 さ れます。 自動構成モー ド は、 パス コ ス ト 「0」 で示 さ れます。 • イ ーサネ ッ ト - 半二重 : 2,000,000、 全二重 : 1,000,000、 ト ラ ン ク : 500,000 • フ ァ ース ト イ ーサネ ッ ト - 半二重 : 200,000、 全二重 : 100,000、 ト ラ ン ク : 50,000 • ギガ ビ ッ ト イ ーサネ ッ ト - 全二重 : 10,000、 ト ラ ン ク : 5,000 • 10 ギガ ビ ッ ト イ ーサネ ッ ト - 全二重 : 1000、 ト ラ ン ク : 500 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • こ の コ マ ン ド は、 デバイ ス間の最適パス を決定する ためにスパニ ング ツ リ ー アルゴ リ ズムで使用 さ れます。 すなわち、 高速な メ デ ィ アに接続 さ れたポー ト には低い値が 割 り 当て られ、 低速な メ デ ィ アに接続 さ れたポー ト には高い値が割 り 当て られます。 • パス コ ス ト は、 ポー ト プ ラ イ オ リ テ ィ よ り 優先 さ れます。 4-152 スパニ ング ツ リ ー コ マ ン ド 4 • スパニ ング ツ リ ー パス コ ス ト 方式 (4-147 ページ) が short に設定 さ れている場合、 パス コ ス ト の最大値は 65,535 です。 例 Console(config)#interface ethernet 1/5 Console(config-if)#spanning-tree cost 50 Console(config-if)# spanning-tree port-priority こ の コ マ ン ド では、 指定イ ン タ ー フ ェ ースのプ ラ イ オ リ テ ィ を構成 し ます。 no 形式を使用す る と 、 デ フ ォ ル ト に戻 り ます。 構文 spanning-tree port-priority priority no spanning-tree port-priority priority - ポー ト のプ ラ イ オ リ テ ィ です (範囲 : 0 ~ 240、 16 刻み)。 デ フ ォ ル ト 設定 128 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • こ の コ マ ン ド では、 スパニ ング ツ リ ー アルゴ リ ズムでのポー ト 使用に対 し て プ ラ イ オ リ テ ィ を定義 し ます。 ス イ ッ チ上のすべてのポー ト のパス コ ス ト が同 じ 場合、 最 も 高いプ ラ イ オ リ テ ィ (最も 低い値) を持つポー ト が、 スパニ ン グ ツ リ ーにおける ア ク テ ィ ブ リ ン ク と し て構成 さ れます。 • 最高のプ ラ イ オ リ テ ィ が割 り 当て ら れているポー ト が複数存在する場合、 数値識別子 が最 も低いポー ト が有効にな り ます。 例 Console(config)#interface ethernet 1/5 Console(config-if)#spanning-tree port-priority 0 関連 コ マ ン ド spanning-tree cost (4-152) spanning-tree edge-port こ の コ マ ン ド では、 イ ン タ ー フ ェ ース を エ ッ ジ ポー ト と し て指定 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 [no] spanning-tree edge-port デ フ ォ ル ト 設定 無効 4-153 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • ブ リ ッ ジ LAN のエ ッ ジにある LAN セグ メ ン ト またはエ ン ド ノ ー ド に イ ン タ ー フ ェ ー スが接続 さ れている場合、 このオプ シ ョ ン を有効にで き ます。 エ ン ド ノ ー ド ではフ ォ ワーデ ィ ン グ ルー プが発生 し ないため、 エ ン ド ノ ー ド は、 スパニ ン グ ツ リ ー フ ォ ワーデ ィ ング状態に直接移行する こ と がで き ます。 エ ッ ジ ポー ト を指定する こ と に よ り 、ワー ク ス テーシ ョ ンやサーバーな どのデバイ スの コ ンバージ ェ ン スが高速化 さ れ、 最新の フ ォ ワーデ ィ ン グ デー タ ベース を維持 し て再構成時のア ド レ ス テーブルの再 構築に必要 と な る フ レーム フ ラ ッ デ ィ ング量を低減で き ます。 また、 イ ン タ ー フ ェ ー スの状態が変化 し た と き にスパニ ング ツ リ ーの再構成を開始する必要がな く 、STA に 関連する その他の タ イ ムアウ ト の問題を解決で き ます。 ただ し 、 エ ッ ジ ポー ト は、 エ ン ド ノ ー ド デバイ スに接続 さ れたポー ト でのみ有効に し て く だ さ い。 • こ の コ マ ン ド の効果は、 spanning-tree portfast と 同 じ です。 例 Console(config)#interface ethernet ethernet 1/5 Console(config-if)#spanning-tree edge-port Console(config-if)# 関連 コ マ ン ド spanning-tree portfast (4-154) spanning-tree portfast こ の コ マ ン ド では、 イ ン タ ー フ ェ ース で高速転送を設定 し ます。 no 形式を使用する と 、 高速 転送が無効にな り ます。 構文 [no] spanning-tree portfast デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • こ の コ マ ン ド は、選択 し たポー ト の高速スパニ ング ツ リ ー モー ド を有効 / 無効にする のに使用 さ れます。 こ のモー ド では、 ポー ト は、 Discarding および Learning 状態をバ イパス し て、 Forwarding 状態に直接移行 し ます。 • エ ン ド ノ ー ド ではフ ォ ワーデ ィ ング ループが発生 し ないため、 エ ン ド ノ ー ド は、 標 準 コ ンバージ ェ ン ス時間よ り も 大幅に短い時間で、 スパニ ング ツ リ ー状態の変化を通 過で き ます。 高速転送では、 エ ン ド ノ ー ド のワー ク ス テーシ ョ ンやサーバーの コ ン バージ ェ ン ス時間を短縮する だけで な く 、ほかの STA 関連の タ イ ムアウ ト 問題を解決 する こ と も で き ます (高速転送は、 ブ リ ッ ジ LAN のエ ッ ジにあ る LAN セグ メ ン ト ま たはエ ン ド ノ ー ド デバイ スに接続 さ れたポー ト に対 し てのみ有効化可能)。 4-154 スパニ ング ツ リ ー コ マ ン ド 4 • こ の コ マ ン ド は、 spanning-tree edge-port と 同様、 旧製品 と の後方互換性を確保す る目的でのみ実装 さ れています。 この コ マ ン ド は、 今後のソ フ ト ウ ェ ア バージ ョ ン で 削除 さ れる可能性がある こ と に注意 し て く だ さ い。 例 Console(config)#interface ethernet 1/5 Console(config-if)#bridge-group 1 portfast Console(config-if)# 関連 コ マ ン ド spanning-tree edge-port (4-153) spanning-tree link-type こ の コ マ ン ド では、 高速スパニ ン グ ツ リ ーおよびマルチ プル スパニ ン グ ツ リ ーの リ ン ク タ イ プ を構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 spanning-tree link-type {auto | point-to-point | shared} no spanning-tree link-type • auto - 二重モー ド 設定から 自動的に派生 し ます。 • point-to-point - ポ イ ン ト ツーポ イ ン ト リ ン ク です。 • shared - 共有媒体です。 デ フ ォ ル ト 設定 auto コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • イ ン タ ー フ ェ ース をほかの 1 つのブ リ ッ ジのみに接続で き る場合、 ポ イ ン ト ツーポ イ ン ト リ ン ク を指定 し ます。イ ン タ ー フ ェ ース を 2 つまたはそれ以上のブ リ ッ ジに接続 で き る場合、 共有 リ ン ク を指定 し ます。 • 自動検知を選択 し た場合、 リ ン ク タ イ プは二重モー ド と 連動 し ます。 全二重イ ン タ ー フ ェ ースは、 ポ イ ン ト ツーポ イ ン ト リ ン ク と 見な さ れます。 半二重イ ン タ ー フ ェ ース は、 共有 リ ン ク と 見な さ れます。 • RSTP は、 2 つのブ リ ッ ジ間のポ イ ン ト ツーポ イ ン ト リ ン ク上でのみ動作 し ます。 共 有 リ ン ク と し てポー ト を指定する場合、 RSTP は使用で き ません。 MSTP は RSTP の 拡張である ため、 同 じ 制約が適用 さ れます。 例 Console(config)#interface ethernet ethernet 1/5 Console(config-if)#spanning-tree link-type point-to-point 4-155 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース spanning-tree mst cost こ の コ マ ン ド では、 マルチ プル スパニ ン グ ツ リ ー内のスパニ ング イ ン ス タ ン スのパス コ ス ト を構成 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 spanning-tree mst instance_id cost cost no spanning-tree mst instance_id cost • instance_id - スパニ ング ツ リ ーのイ ン ス タ ン ス識別子です (範囲 :0 ~ 4094、 先行ゼロは不可)。 • cost - イ ン タ ー フ ェ ースのパス コ ス ト です (範囲 : 1 ~ 200,000,000)。 推奨範囲 - イ ーサネ ッ ト : 200,000 ~ 20,000,000 - フ ァ ース ト イ ーサネ ッ ト : 20,000 ~ 2,000,000 - ギガ ビ ッ ト イ ーサネ ッ ト : 2,000 ~ 200,000 - 10 ギガ ビ ッ ト イ ーサネ ッ ト : 200 ~ 20,000 デ フ ォ ル ト 設定 デ フ ォ ル ト では、 シ ス テムは各ポー ト で使用 さ れている ス ピー ド と 二重モー ド を自動的 に検知 し 、 次に示す値に従 っ てパス コ ス ト を構成 し ます。 自動構成モー ド は、 パス コ ス ト 「0」 で示 さ れます。 • イ ーサネ ッ ト - 半二重 : 2,000,000、 全二重 : 1,000,000、 ト ラ ン ク : 500,000 • フ ァ ース ト イ ーサネ ッ ト - 半二重 : 200,000、 全二重 : 100,000、 ト ラ ン ク : 50,000 • ギガ ビ ッ ト イ ーサネ ッ ト - 全二重 : 10,000、 ト ラ ン ク : 5,000 • 10 ギガ ビ ッ ト イ ーサネ ッ ト - 全二重 : 1000、 ト ラ ン ク : 500 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • 各スパニ ング ツ リ ー イ ン ス タ ン スには、 一意の VLAN ID が関連付け ら れます。 • こ の コ マ ン ド は、デバイ ス間の最適パス を決定する ために、 マルチ プル スパニ ング ツ リ ー アルゴ リ ズムで使用 さ れます。 すなわち、 高速な メ デ ィ アに接続 さ れた イ ン タ ー フ ェ ースには低い値が割 り 当て られ、 低速な メ デ ィ アに接続 さ れた イ ン タ ー フ ェ ース には高い値が割 り 当て ら れます。 • 自動構成モー ド を指定するには、no spanning-tree mst cost コ マ ン ド を使用 し ます。 • パス コ ス ト は、 イ ン タ ー フ ェ ース プ ラ イ オ リ テ ィ よ り も優先 さ れます。 例 Console(config)#interface ethernet ethernet 1/5 Console(config-if)#spanning-tree mst 1 cost 50 Console(config-if)# 関連 コ マ ン ド spanning-tree mst port-priority (4-157) 4-156 スパニ ング ツ リ ー コ マ ン ド 4 spanning-tree mst port-priority こ の コ マ ン ド では、 マルチ プル スパニ ン グ ツ リ ー内のスパニ ン グ イ ン ス タ ン スの イ ン タ ー フ ェ ース プ ラ イ オ リ テ ィ を構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 spanning-tree mst instance_id port-priority priority no spanning-tree mst instance_id port-priority • instance_id - スパニ ング ツ リ ーのイ ン ス タ ン ス識別子です (範囲 :0 ~ 4094、 先行ゼロは不可)。 • priority - イ ン タ ー フ ェ ースのプ ラ イ オ リ テ ィ です (範囲 : 0 ~ 240、 16 刻み)。 デ フ ォ ル ト 設定 128 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • こ の コ マ ン ド では、 マルチ プル スパニ ング ツ リ ーでのイ ン タ ー フ ェ ース使用に対 し て プ ラ イ オ リ テ ィ を定義 し ます。 ス イ ッ チ上のすべてのイ ン タ ー フ ェ ースのパス コ ス ト が同 じ 場合、 最 も 高いプ ラ イ オ リ テ ィ (最 も 低い値) を持つ イ ン タ ー フ ェ ースが、 スパニ ング ツ リ ーにおける ア ク テ ィ ブ リ ン ク と し て構成 さ れます。 • 最高のプ ラ イ オ リ テ ィ が割 り 当て ら れてい る イ ン タ ー フ ェ ースが複数存在す る場合、 数値識別子が最も 小 さ い イ ン タ ー フ ェ ースが有効に さ れます。 例 Console(config)#interface ethernet ethernet 1/5 Console(config-if)#spanning-tree mst 1 port-priority 0 Console(config-if)# 関連 コ マ ン ド spanning-tree mst cost (4-156) spanning-tree protocol-migration こ の コ マ ン ド では、 選択 し た イ ン タ ー フ ェ ス上で送信する適切な BPDU 形式を再チ ェ ッ ク し ます。 構文 spanning-tree protocol-migration interface interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (範囲 : 1 ~ 8)。 - port - ポー ト 番号です (範囲 : 1 ~ 26/50)。 • port-channel channel-id (範囲 : 1 ~ 32) 4-157 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 ス イ ッ チは、Configuration BPDU や TCN ( ト ポロ ジ変更通知) BPDU を含む STP BPDU を検知す る と 、 選択 し た イ ン タ ー フ ェ ース を自動的に強制 STP 互換モー ド に設定 し ま す。 ただ し 、 spanning-tree protocol-migration コ マ ン ド を使用する と 、 選択 し た イ ン タ ー フ ェ ース上で送信 さ れる BPDU の適切な形式 (RSTP または STP 互換) を いつで も手動で再チ ェ ッ ク する こ と がで き ます。 例 Console#spanning-tree protocol-migration eth 1/5 Console# show spanning-tree こ の コ マ ン ド では、 共通 スパニ ン グ ツ リ ー (CST) ま たはマルチ プ ル ス パニ ン グ ツ リ ー (MST) 内のイ ン ス タ ン スの コ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 構文 show spanning-tree [interface | mst instance_id] • interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (範囲 : 1 ~ 8)。 - port - ポー ト 番号です (範囲 : 1 ~ 26/50)。 • port-channel channel-id (範囲 : 1 ~ 32) • instance_id - マルチ プル スパニ ング ツ リ ーのイ ン ス タ ン ス識別子です (範囲 :0 ~ 4094、 先行ゼロは不可)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • 共通スパニ ング ツ リ ー (CST) のス イ ッ チおよびツ リ ー内のすべてのイ ン タ ー フ ェ ー スについて スパニ ン グ ツ リ ー コ ン フ ィ ギ ュ レ ーシ ョ ン を表示する には、 パ ラ メ ー タ を指定せずに show spanning-tree コ マ ン ド を使用 し ます。 • 共通スパニ ング ツ リ ー (CST) 内のイ ン タ ー フ ェ ースについてスパニ ング ツ リ ー コ ン フ ィ ギ ュ レーシ ョ ン を表示するには、 show spanning-tree interface コ マ ン ド を使 用 し ます。 • マルチ プル スパニ ング ツ リ ー (MST) 内のイ ン ス タ ン スについてスパニ ング ツ リ ー コ ン フ ィ ギ ュ レーシ ョ ン を表示するには、 show spanning-tree mst instance_id コ マ ン ド を使用 し ます。 4-158 スパニ ング ツ リ ー コ マ ン ド 4 • 「Spanning-tree information」 の下に表示 さ れる項目については、 3-104 ページの 「グ ローバル設定の構成」 を参照 し て く だ さ い。 特定イ ン タ ー フ ェ ースについて表示 さ れ る項目については、 3-108 ページの 「イ ン タ ー フ ェ ース設定の表示」 を参照 し て く だ さ い。 例 Console#show spanning-tree Spanning-tree information --------------------------------------------------------------Spanning tree mode: MSTP Spanning tree enable/disable: enable Instance: 0 Vlans configuration: 1-4094 Priority: 32768 Bridge Hello Time (sec.): 2 Bridge Max Age (sec.): 20 Bridge Forward Delay (sec.): 15 Root Hello Time (sec.): 2 Root Max Age (sec.): 20 Root Forward Delay (sec.): 15 Max hops: 20 Remaining hops: 20 Designated Root: 32768.0.0000ABCD0000 Current root port: 1 Current root cost: 10000 Number of topology changes: 1 Last topology changes time (sec.): 22 Transmission limit: 3 Path Cost Method: long --------------------------------------------------------------Eth 1/ 1 information --------------------------------------------------------------Admin status: enable Role: root State: forwarding External admin path cost: 10000 Internal admin cost: 10000 External oper path cost: 10000 Internal oper path cost: 10000 Priority: 128 Designated cost: 200000 Designated port: 128.24 Designated root: 32768.0.0000ABCD0000 Designated bridge: 32768.0.0030F1552000 Fast forwarding: disable Forward transitions: 1 Admin edge port: enable Oper edge port: disable Admin Link type: auto Oper Link type: point-to-point Spanning Tree Status: enable . . . 4-159 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース show spanning-tree mst configuration こ の コ マ ン ド では、 マルチ プル スパニ ング ツ リ ーの コ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show spanning-tree mst configuration Mstp Configuration Information -------------------------------------------------------------Configuration name: R&D Revision level:0 Instance Vlans -------------------------------------------------------------1 2 Console# VLAN コ マン ド VLAN と は、 ネ ッ ト ワー ク上の任意の場所に配置 さ れているが、 あたか も同 じ 物理セグ メ ン ト に属するかのよ う に通信で き るポー ト の集合です。 このセ ク シ ョ ン では、 VLAN グループの作 成、 ポー ト メ ンバーの追加、 VLAN タ ギン グの使用の指定、 選択 し た イ ン タ ー フ ェ ースに対 する自動 VLAN 登録の有効化に使用 さ れる コ マ ン ド について説明 し ます。 表 4-53. VLAN コ マ ン ド グループ 機能 GVRP および ブ リ ッ ジ拡張 自動 VLAN 学習を許可する GVRP 設定を構成 し 、ブ リ ッ ジ拡張 4-160 MIB のコ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 ページ VLAN グループ編集 名前、 VID、 状態を含め、 VLAN グループのセ ッ ト ア ッ プ を行い 4-165 ます。 VLAN イ ン タ ー フ ェ ース イ ン グ レ スお よび イ グ レ ス タ ギン グ モー ド 、 イ ン グ レ ス フ ィ 4-167 構成 ル タ リ ング、PVID、お よび GVRP を含め、VLAN イ ン タ ー フ ェ ー ス パラ メ ー タ の構成を行います。 VLAN 情報表示 VLAN グループ、 ステー タ ス、 ポー ト 番号、 および MAC ア ド レ 4-172 ス を表示 し ます。 プ ラ イ ベー ト VLAN の 構成 ア ッ プ リ ン ク ポー ト およびダウン リ ン ク ポー ト を含め、プ ラ イ 4-173 ベー ト VLAN の構成を行います。 プ ロ ト コル VLAN 構成 フ レ ー ム タ イ プ と プ ロ ト コ ル に 基づ く プ ロ ト コ ル ベ ー ス の 4-179 VLAN を構成 し ます。 GVRP およびブ リ ッ ジ拡張 コ マ ン ド GARP VLAN 登録プ ロ ト コ ルは、VLAN メ ンバーを ネ ッ ト ワー ク 上のイ ン タ ー フ ェ ースに自動 的に登録する ための VLAN 情報を ス イ ッ チ同士が交換する方法を定義 し ます。 こ のセ ク シ ョ ン では、 GVRP を個々のイ ン タ ー フ ェ ース で、 ま たはス イ ッ チ全体でグ ローバルに有効にす る方法を説明 し ます。 また、 ブ リ ッ ジ拡張 MIB に対するデ フ ォ ル ト の コ ン フ ィ ギ ュ レーシ ョ ン設定を表示する方法について も説明 し ます。 4-160 VLAN コ マ ン ド 4 注 : 現在のソ フ ト ウ ェ ア では、 GVRP はサポー ト さ れません。 表 4-54. GVRP およびブ リ ッ ジ拡張コ マ ン ド コマン ド 機能 モー ド ページ bridge-ext gvrp ス イ ッ チで GVRP を グローバルに有効に し ます。 GC 4-161 show bridge-ext グ ローバルな ブ リ ッ ジ拡張 コ ン フ ィ ギ ュ レ ーシ ョ ン を PE 表示 し ます。 4-161 switchport gvrp イ ン タ ー フ ェ ースで GVRP を有効に し ます。 switchport forbidden vlan イ ン タ ー フ ェ ースに禁止 VLAN を構成 し ます。 IC 4-162 IC 4-171 show gvrp configuration 選択 し た イ ン タ ー フ ェ ー ス の GVRP コ ン フ ィ ギ ュ NE、PE 4-162 レーシ ョ ン を表示 し ます。 garp timer 選択 し た機能の GARP タ イ マーを設定 し ます。 IC 選択 し た機能の GARP タ イ マーを表示 し ます。 NE、PE 4-164 show garp timer 4-163 bridge-ext gvrp こ の コ マ ン ド では、 ス イ ッ チ全体で GVRP を グローバルに有効に し ます。 no 形式を使用する と 、 無効にな り ます。 構文 [no] bridge-ext gvrp デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 GVRP は、 ネ ッ ト ワー ク上のポー ト に VLAN メ ンバーを登録する ための VLAN 情報を、 ス イ ッ チ同士が交換す る 方法につい て定義す る も ので す。 自動 VLAN 登録 を 許可 し 、 ロー カル ス イ ッ チ を超え て拡張する VLAN をサポー ト するには、こ の機能を有効にする 必要があ り ます。 例 Console(config)#bridge-ext gvrp Console(config)# show bridge-ext こ の コ マ ン ド では、 ブ リ ッ ジ拡張コ マ ン ド の コ ン フ ィ ギ ュ レ ーシ ョ ン を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 4-161 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 表示 さ れる項目については、 3-122 ページの 「VLAN 基本情報の表示」 および 3-13 ペー ジの 「ブ リ ッ ジ拡張機能の表示」 を参照 し て く だ さ い。 例 Console#show bridge-ext Max support vlan numbers: Max support vlan ID: Extended multicast filtering services: Static entry individual port: VLAN learning: Configurable PVID tagging: Local VLAN capable: Traffic classes: Global GVRP status: GMRP: Console# 255 4094 No Yes SVL Yes No Enabled Enabled Disabled switchport gvrp こ の コ マ ン ド では、ポー ト で GVRP を有効に し ます。no 形式を使用する と 、無効にな り ます。 構文 [no] switchport gvrp デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) 例 Console(config)#interface ethernet 1/6 Console(config-if)#switchport gvrp Console(config-if)# show gvrp configuration こ の コ マ ン ド では、 GVRP が有効かど う かを表示 し ます。 構文 show gvrp configuration [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) 4-162 VLAN コ マ ン ド 4 デ フ ォ ル ト 設定 グ ロ ーバル コ ン フ ィ ギ ュ レ ー シ ョ ン お よ び イ ン タ ー フ ェ ー ス固有 コ ン フ ィ ギ ュ レ ー シ ョ ンの両方を表示 し ます。 コ マ ン ド モー ド Normal Exec、 Privileged Exec 例 Console#show gvrp configuration ethernet 1/6 Eth 1/ 6: GVRP configuration: Enabled Console# garp timer こ の コ マ ン ド では、 join、 leave、 および leaveall タ イ マーの値を設定 し ます。 no 形式を使用 する と 、 タ イ マーのデ フ ォ ル ト 値に戻 り ます。 構文 garp timer {join | leave | leaveall} timer_value no garp timer {join | leave | leaveall} • {join | leave | leaveall} - Which timer to set. • timer_value - タ イ マーの値です。 範囲 : join: 20 ~ 1000 セ ン チ秒 leave: 60 ~ 3000 セ ン チ秒 leaveall: 500 ~ 18000 セ ン チ秒 デ フ ォ ル ト 設定 • join: 20 セ ン チ秒 • leave: 60 セ ン チ秒 • leaveall: 1000 セ ン チ秒 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • グループ ア ド レ ス登録プ ロ ト コ ルは、 ブ リ ッ ジ LAN 内のク ラ イ ア ン ト サービ スに対 する ク ラ イ ア ン ト 属性を登録ま たは登録解除する ため、 GVRP および GMRP に よ っ て使用 さ れます。 GARP タ イ マーのデ フ ォ ル ト 値は、 メ デ ィ ア ア ク セス方法やデー タ レー ト の影響は受けません。 こ れらの値は、 GMRP または GVRP によ る登録 / 登録解 除が困難でない限 り 、 変更 し ないで く だ さ い。 • タ イ マー値は、 すべての VLAN 上にあ るすべてのポー ト の GVRP に適用 さ れます。 • タ イ マー値には次の制約を加え る必要があ り ます。 - leave >= (2 x join) - leaveall > leave 4-163 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 注 : 同 じ ネ ッ ト ワー ク に接続 さ れている レ イヤー 2 デバイ スの GVRP タ イ マーは、すべて 同 じ 値に設定 し て く だ さ い。 設定値が異な る と 、 GVRP が正常に動作 し ない こ と があ り ます。 例 Console(config)#interface ethernet 1/1 Console(config-if)#garp timer join 100 Console(config-if)# 関連 コ マ ン ド show garp timer (4-164) show garp timer こ の コ マ ン ド では、 選択 し た イ ン タ ー フ ェ ースの GARP タ イ マーを表示 し ます。 構文 show garp timer [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) デ フ ォ ル ト 設定 すべての GARP タ イ マーを表示 し ます。 コ マ ン ド モー ド Normal Exec、 Privileged Exec 例 Console#show garp timer ethernet 1/1 Eth 1/ 1 GARP timer status: Join timer: 100 centiseconds Leave timer: 60 centiseconds Leaveall timer: 1000 centiseconds Console# 関連 コ マ ン ド garp timer (4-163) 4-164 VLAN コ マ ン ド 4 VLAN グループ編集 表 4-55. VLAN グループ編集 コマン ド 機能 vlan database VLAN デー タ ベース モー ド に入 り 、 VLAN の追加、 変 GC 更、 削除を行います。 モー ド ページ 4-165 vlan VID、 名前、 状態を含め、 VLAN の構成を行います。 VC 4-165 vlan database こ の コ マ ン ド では、 VLAN デー タ ベース モー ド を有効に し ます。 こ のモー ド では、 すべての コ マ ン ド の効果が即座に有効にな り ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • VLAN デー タ ベース コ マ ン ド モー ド を使用 し て、 VLAN を追加、 変更、 および削除 し ま す。 コ ン フ ィ ギ ュ レ ー シ ョ ン 変更 を 完了後、 show vlan コ マ ン ド を 入力す る と 、 VLAN 設定を表示で き ます。 • ポー ト メ ンバーシ ッ プ モー ド を定義 し て、 VLAN にポー ト を追加ま たは VLAN か ら ポー ト を削除するには、 interface vlan コ マ ン ド モー ド を使用 し ます。 これ らの コ マ ン ド の結果は、 実行中の コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ルに書き 込まれます。 こ の フ ァ イルを表示するには、 show running-config コ マ ン ド を入力 し ます。 例 Console(config)#vlan database Console(config-vlan)# 関連 コ マ ン ド show vlan (4-172) vlan こ の コ マ ン ド では、 VLAN を構成 し ます。 no 形式を使用す る と 、 デ フ ォ ル ト 設定に戻るか、 VLAN が削除 さ れます。 構文 vlan vlan-id [name vlan-name] media ethernet [state {active | suspend}] no vlan vlan-id [name | state] • vlan-id - 構成 さ れた VLAN の ID です (範囲 :1 ~ 4094、 先行ゼロは不可)。 • name - VLAN 名の前に付 く キーワー ド です。 - vlan-name - 1 ~ 32 文字の ASCII ス ト リ ングです。 • media ethernet - イ ーサネ ッ ト メ デ ィ アの タ イ プ です。 4-165 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • state - VLAN 状態の前に付 く キーワー ド です。 - active - VLAN は動作中です。 - suspend - VLAN は停止 し ています。 停止 し た VLAN では、 パケ ッ ト は渡 さ れま せん。 デ フ ォ ル ト 設定 デ フ ォ ル ト では、 VLAN 1 のみ存在 し 、 ア ク テ ィ ブ です。 コ マ ン ド モー ド VLAN デー タ ベース コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • no vlan vlan-id は、 VLAN を削除 し ます。 • no vlan vlan-id name は、 VLAN 名を削除 し ます。 • no vlan vlan-id state は、 VLAN をデ フ ォル ト 状態 (ア ク テ ィ ブ) に戻 し ます。 • ス イ ッ チでは、 最大 255 の VLAN を構成で き ます。 例 次の例では、 VLAN ID に 105、 名前に RD5 を 使用 し て、 VLAN を 追加 し ま す。 VLAN はデ フ ォル ト でア ク テ ィ ブにな っ ています。 Console(config)#vlan database Console(config-vlan)#vlan 105 name RD5 media ethernet Console(config-vlan)# 関連 コ マ ン ド show vlan (4-172) 4-166 VLAN コ マ ン ド 4 VLAN イ ン タ ー フ ェ ース構成 表 4-56. VLAN イ ン タ ー フ ェ ース構成 コマン ド 機能 interface vlan 指定 VLAN のイ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ GC ン モー ド に入 り ます。 モー ド ページ 4-167 switchport mode イ ン タ ー フ ェ ースの VLAN メ ンバーシ ッ プ モー ド を構 IC 成 し ます。 4-168 switchport acceptable-frame-types イ ン タ ー フ ェ ースが受信可能な フ レ ーム タ イ プ を構成 IC し ます。 4-168 switchport ingress-filtering イ ン タ ー フ ェ ース上で イ ン グ レ ス フ ィ ル タ リ ン グ を有 IC 効に し ます。 4-169 switchport native vlan イ ン タ ー フ ェ ースの PVID (ネ イ テ ィ ブ VLAN) を構成 IC し ます。 4-170 switchport allowed vlan イ ン タ ー フ ェ ースに関連付ける VLAN を構成 し ます。 IC 4-170 switchport gvrp イ ン タ ー フ ェ ースで GVRP を有効に し ます。 IC 4-162 switchport forbidden vlan イ ン タ ー フ ェ ースの禁止 VLAN を構成 し ます。 IC 4-171 switchport priority default タ グな し 入力 フ レ ームのポー ト プ ラ イ オ リ テ ィ を設定 IC し ます。 4-184 interface vlan こ の コ マ ン ド では、 物理 イ ン タ ー フ ェ ー ス に対す る VLAN パ ラ メ ー タ の構成に使用 さ れ る VLAN のイ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 り ます。 構文 interface vlan vlan-id vlan-id - 構成 さ れた VLAN の ID です (範囲 :1 ~ 4094、 先行ゼロは不可)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 次の例は、 VLAN 1 に対す る イ ン タ ー フ ェ ー ス コ ン フ ィ ギ ュ レ ー シ ョ ン モ ー ド を 設定 し 、 VLAN に IP ア ド レ ス を割 り 当て る方法を示 し ています。 Console(config)#interface vlan 1 Console(config-if)#ip address 192.168.1.254 255.255.255.0 Console(config-if)# 関連 コ マ ン ド shutdown (4-119) 4-167 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース switchport mode こ の コ マ ン ド では、 ポー ト の VLAN メ ンバーシ ッ プ モー ド を構成 し ます。 no 形式を使用す る と 、 デ フ ォ ル ト に戻 り ます。 構文 switchport mode {trunk | hybrid | private-vlan} no switchport mode • trunk - VLAN ト ラ ン クのエ ン ド ポ イ ン ト と し てポー ト を指定 し ます。 ト ラ ン ク は 2 つのス イ ッ チ間の直接 リ ン ク である ため、ポー ト は送信元 VLAN を特定する タ グ付 き フ レームを送信 し ます。 ポー ト のデ フ ォル ト VLAN (すなわち、 その PVID が関 連付け られている) に属する フ レ ーム も タ グ付き フ レ ーム と し て送信 さ れます。 • hybrid - ハイ ブ リ ッ ド VLAN イ ン タ ー フ ェ ース を指定 し ます。 ポー ト は タ グ付き ま たは タ グな し フ レームを送信 し ます。 • private-vlan - こ の コ マ ン ド については、 4-176 ページの 「switchport mode private-vlan」 を参照 し て く だ さ い。 デ フ ォ ル ト 設定 すべてのポー ト は Hybrid モー ド で、 PVID は VLAN 1 に設定 さ れています。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) 例 次の例は、 ポー ト 1 に対する コ ン フ ィ ギ ュ レーシ ョ ン モー ド を設定 し 、 ス イ ッ チポー ト モー ド を Hybrid にする方法を示 し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#switchport mode hybrid Console(config-if)# 関連 コ マ ン ド switchport acceptable-frame-types (4-168) switchport acceptable-frame-types こ の コ マ ン ド では、 ポー ト で受信可能な フ レ ーム タ イ プ を構成 し ます。 no 形式を使用す る と 、 デ フ ォル ト に戻 り ます。 構文 switchport acceptable-frame-types {all | tagged} no switchport acceptable-frame-types • all - ポー ト は、 すべての タ グ付き または タ グな し フ レ ームを受信可能です。 • tagged - ポー ト は、 タ グ付き フ レームのみ受信 し ます。 デ フ ォ ル ト 設定 すべてのフ レーム タ イ プ 4-168 VLAN コ マ ン ド 4 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 すべての フ レ ーム タ イ プ を受信す る よ う 設定す る と 、 受信 し た タ グ な し フ レ ームはデ フ ォル ト の VLAN に割 り 当て ら れます。 例 次の例は、 ポー ト 1 で受信する ト ラ フ ィ ッ ク を タ グ付き フ レ ームに制限する方法を示 し てい ます。 Console(config)#interface ethernet 1/1 Console(config-if)#switchport acceptable-frame-types tagged Console(config-if)# 関連 コ マ ン ド switchport mode (4-168) switchport ingress-filtering こ の コ マ ン ド では、 イ ン タ ー フ ェ ースで イ ン グ レ ス フ ィ ル タ リ ン グ を有効に し ます。 注 : イ ン グレ ス フ ィ ル タ リ ング コ マ ン ド が用意 さ れていますが、 ス イ ッ チでは、 イ ング レ ス フ ィ ル タ リ ン グが永久的に有効に設定 さ れてい ます。 そのため、 no switchport ingress-filtering コ マ ン ド で フ ィ ル タ リ ン グ を 無 効 に し よ う と す る と 、 「Note: Failed to ingress-filtering on ethernet interface !」 と い う エ ラ ー メ ッ セージが生成 さ れます。 構文 switchport ingress-filtering no switchport ingress-filtering デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • イ ング レ ス フ ィ ル タ リ ン グは タ グ付き フ レームにのみ影響 し ます。 • イ ング レ ス フ ィ ル タ リ ン グが有効な場合、ポー ト が メ ンバーでない VLAN の タ グが付 け られた フ レームを受信する と 、 こ れ らのフ レ ームは破棄 さ れます。 • イ ング レ ス フ ィ ル タ リ ングは、 GVRP や STA と い っ た、 VLAN 非依存の BPDU フ レームには適用 さ れません。 ただ し 、 GMRP な ど、 VLAN に依存する BPDU フ レーム には適用 さ れます。 例 次の例は、 ポー ト 1 を選択 し 、 イ ング レ ス フ ィ ル タ リ ング を有効にする方法を示 し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#switchport ingress-filtering Console(config-if)# 4-169 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース switchport native vlan こ の コ マ ン ド では、 ポー ト に対 し て PVID (デ フ ォル ト VLAN ID) を構成 し ます。 no 形式を 使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 switchport native vlan vlan-id no switchport native vlan vlan-id - ポー ト の デ フ ォル ト VLAN ID です (範囲 :1 ~ 4094、 先行ゼロは不可)。 デ フ ォ ル ト 設定 VLAN 1 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • ポー ト に対する ネ イ テ ィ ブ VLAN の設定は、 ポー ト が VLAN の メ ンバーで、 VLAN が タ グな し の場合のみ行え ます。 no switchport native vlan コ マ ン ド は、 ポー ト のネ イ テ ィ ブ VLAN を タ グな し VLAN 1 に設定 し ます。 • 受信可能な フ レーム タ イ プが all に設定 さ れているか、 またはス イ ッ チポー ト モー ド が hybrid に設定 さ れている場合、 イ ング レ ス ポー ト に入るすべての タ グな し フ レー ムに PVID が挿入 さ れます。 例 次の例は、 ポー ト 1 の PVID を VLAN 3 に設定する方法を示 し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#switchport native vlan 3 Console(config-if)# switchport allowed vlan こ の コ マ ン ド では、 選択 し た イ ン タ ー フ ェ ース上で VLAN グループ を構成 し ます。 no 形式を 使用する と 、 デ フ ォ ル ト に戻 り ます。 注 : 各ポー ト に割 り 当て る こ と ので き る タ グな し VLAN は 1 つのみです。 同 じ ポー ト に対 し 、 タ グな し と し て 2 つ目の VLAN が定義 さ れた場合、 タ グな し ス テー タ スの最初の VLAN は自動 的に タ グ付き に変更 さ れます。 ま た、 VLAN を タ グな し と し て設定する と 、 ポー ト のネ イ テ ィ ブ VLAN は こ の VLAN に変更 さ れます。 構文 switchport allowed vlan {add vlan-list [tagged | untagged] | remove vlan-list} no switchport allowed vlan • add vlan-list - 追加する VLAN 識別子の リ ス ト です。 • remove vlan-list - 削除する VLAN 識別子の リ ス ト です。 • vlan-list - 連続 し ない VLAN 識別子はスペースな し の コ ン マで区切 り ます。 ID の範 囲を指定する場合、 ハイ フ ン を使用 し ます。 先頭に 0 は入力で き ません (範囲 : 1 ~ 4094)。 4-170 VLAN コ マ ン ド 4 デ フ ォ ル ト 設定 デ フ ォ ル ト では、 すべてのポー ト が VLAN 1 に割 り 当て ら れます。 デ フ ォ ル ト の フ レーム タ イ プは タ グな し です。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • ポー ト 、 ま たはス イ ッ チポー ト モー ド が hybrid に設定 さ れた ト ラ ン ク には、 1 つの VLAN を タ グな し と し て割 り 当て る必要があ り ます。 • ト ラ ン クのス イ ッ チポー ト モー ド が trunk (1Q Trunk) に設定 さ れている場合、 イ ン タ ー フ ェ ースは タ グ付 き メ ンバー と し て VLAN グルー プ に割 り 当て る こ と し かで き ません。 • フ レームは、 ス イ ッ チ内では必ず タ グ付き です。 イ ン タ ー フ ェ ースへの VLAN 追加時 に使用 さ れる tagged/untagged パラ メ ー タ は、 イ グ レ スで フ レームの タ グ を保持する かま たは削除するかを ス イ ッ チに通知する も のです。 • イ ン タ ー フ ェ ースに接続 さ れているデバイ スに関係な く 、 そのイ ン タ フ ェ ース を タ グ な し メ ンバー と し て VLAN に追加で き ます。デ フ ォ ル ト 設定は タ グな し VLAN 1 です。 各ポー ト に割 り 当て る こ と ので き る タ グな し VLAN は 1 つのみである こ と に注意 し て く だ さ い。 同 じ ポー ト に対 し 、 タ グな し と し て 2 つ目の VLAN が定義 さ れた場合、 タ グな し ス テー タ スの最初の VLAN は自動的に タ グ付き に変更 さ れます。 また、 VLAN を タ グな し と し て設定する と 、ポー ト のネ イ テ ィ ブ VLAN は この VLAN に変更 さ れま す。 • イ ン タ ー フ ェ ースの禁止 リ ス ト にある VLAN が、 そのイ ン タ ー フ ェ ースに手動で追加 さ れる と 、 VLAN はイ ン タ ー フ ェ ースの禁止 リ ス ト から自動的に削除 さ れます。 例 次の例は、 VLAN 1、 2、 5、 6 をポー ト 1 の タ グ付き VLAN と し て受信可能 リ ス ト に追加する 方法を示 し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#switchport allowed vlan add 1,2,5,6 tagged Console(config-if)# switchport forbidden vlan こ の コ マ ン ド では、 禁止 VLAN を構成 し ます。 no 形式を使用する と 、 禁止 VLAN の リ ス ト が 削除 さ れます。 構文 switchport forbidden vlan {add vlan-list | remove vlan-list} no switchport forbidden vlan • add vlan-list - 追加する VLAN 識別子の リ ス ト です。 • remove vlan-list - 削除する VLAN 識別子の リ ス ト です。 • vlan-list - 連続 し ない VLAN 識別子はスペースな し の コ ン マで区切 り ます。 ID の範 囲を指定する場合、 ハイ フ ン を使用 し ます。 先頭に 0 は入力で き ません (範囲 : 1 ~ 4094)。 4-171 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース デ フ ォ ル ト 設定 禁止 リ ス ト に登録 さ れている VLAN はあ り ません。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • こ の コ マ ン ド では、VLAN が GVRP によ っ て指定イ ン タ ー フ ェ ースに自動的に追加 さ れないよ う に し ます。 • VLAN が、 イ ン タ ー フ ェ ースの受信可能 VLAN リ ス ト に追加 さ れている場合、 こ の VLAN を同 じ イ ン タ ー フ ェ ースの禁止 VLAN リ ス ト に追加する こ と はで き ません。 例 次の例は、 ポー ト 1 が VLAN 3 に追加 さ れないよ う にする方法を示 し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#switchport forbidden vlan add 3 Console(config-if)# VLAN 情報表示 表 4-57. VLAN 表示 コ マ ン ド コマン ド 機能 モー ド show vlan VLAN 情報を表示 し ます。 NE、PE 4-172 ページ show interfaces status vlan 指定 VLAN イ ン タ ー フ ェ ースのステー タ ス を表示 し ます。 NE、PE 4-121 show interfaces switchport イ ン タ ー フ ェ ースの管理上お よ び動作上のス テ ー タ ス を NE、PE 4-123 表示 し ます。 show vlan こ の コ マ ン ド では、 VLAN 情報を表示 し ます。 構文 show vlan [id vlan-id | name vlan-name | private-vlan private-vlan-type] • id - VLAN ID の前に付 く キーワー ド です。 - vlan-id - 構成 さ れた VLAN の ID です (範囲 :1 ~ 4094、 先行ゼロは不可)。 • name - VLAN 名の前に付 く キーワー ド です。 - vlan-name - 1 ~ 32 文字の ASCII ス ト リ ングです。 • private-vlan - こ のコ マ ン ド については、 4-178 ページの 「show vlan private-vlan」 を参照 し て く だ さ い。 - private-vlan-type - プ ラ イ ベー ト VLAN の タ イ プ を示 し ます (オプ シ ョ ン : Community、 Isolated、 Primary)。 デ フ ォ ル ト 設定 すべての VLAN を表示 し ます。 4-172 VLAN コ マ ン ド 4 コ マ ン ド モー ド Normal Exec、 Privileged Exec 例 次の例は、 VLAN 1 の情報を表示する方法を示 し ています。 Console#show vlan id 1 Vlan ID: Type: Name: Status: Ports/Port channel: 1 Static DefaultVlan Active Eth1/ 1(S) Eth1/ 2(S) Eth1/ 3(S) Eth1/ 4(S) Eth1/ 5(S) Eth1/ 6(S) Eth1/ 7(S) Eth1/ 8(S) Eth1/ 9(S) Eth1/10(S) Eth1/11(S) Eth1/12(S) Eth1/13(S) Eth1/14(S) Eth1/15(S) Eth1/16(S) Eth1/17(S) Eth1/18(S) Eth1/19(S) Eth1/20(S) Eth1/21(S) Eth1/22(S) Eth1/23(S) Eth1/24(S) Eth1/25(S) Eth1/26(S) Console# プ ラ イ ベー ト VLAN の構成 プ ラ イ ベー ト VLAN では、 割 り 当て ら れた VLAN 内のポー ト 間で ポー ト ベースのセキ ュ リ テ ィ および隔離が実現 さ れます。 こ のス イ ッ チでは、 プ ラ イ マ リ / セ カ ン ダ リ 関連グループ と ス タ ン ド ア ローン隔離 VLAN の 2 つの タ イ プのプ ラ イ ベー ト VLAN がサポー ト さ れます。 プ ラ イ マ リ VLAN にはプ ラ イ ベー ト VLAN グループ内のその他すべてのポー ト と 通信可能な無 差別ポー ト が含まれ、 セ カ ン ダ リ (ま たは コ ミ ュ ニ テ ィ ) VLAN は、 セ カ ン ダ リ VLAN 内の ほかのホス ト お よび関連付け られた プ ラ イ マ リ VLAN 内の無差別ポー ト と のみ通信可能な コ ミ ュ ニ テ ィ ポー ト で構成 さ れます。 一方、 隔離 VLAN は、 1 つの無差別ポー ト と 1 つ以上の 隔離 (ま たはホ ス ト ) ポー ト が含まれる単一のス タ ン ド ア ローン VLAN で構成 さ れます。 ど の場合 も、 無差別ポー ト は イ ン タ ーネ ッ ト な ど外部ネ ッ ト ワー ク へのオープ ン な ア ク セ ス を 提供する よ う 設計 さ れてお り 、 コ ミ ュ ニ テ ィ または隔離ポー ト ではロー カル ユーザーに制限 付き ア ク セスが提供 さ れます。 こ のス イ ッ チには複数のプ ラ イ マ リ VLAN を構成で き ます。 また、 各プ ラ イ マ リ VLAN に複 数の コ ミ ュ ニ テ ィ VLAN を関連付ける こ と がで き ます。 1 つ以上の隔離 VLAN を構成する こ と も可能です (プ ラ イ ベー ト VLAN と 通常の VLAN を同一ス イ ッ チ内に共存 さ せる こ と も 可 能)。 こ のセ ク シ ョ ン では、 プ ラ イ ベー ト VLAN の構成に使用 さ れる コ マ ン ド について説明 し ます。 表 4-58. プ ラ イ ベー ト VLAN コ マ ン ド コマン ド 機能 モー ド ページ プ ラ イ ベー ト VLAN グループ編集 private-vlan プ ラ イ マ リ 、 コ ミ ュ ニ テ ィ 、 または隔離 VLAN を追加 VC または削除 し ます。 4-174 private-vlan association コ ミ ュ ニテ ィ VLAN を プ ラ イ マ リ VLAN に関連付けま VC す。 4-175 プ ラ イ ベー ト VLAN イ ン タ ー フ ェ ース構成 switchport mode private-vlan イ ン タ ー フ ェ ース を ホス ト モー ド または無差別モー ド IC に設定 し ます。 4-176 4-173 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 表 4-58. プ ラ イ ベー ト VLAN コ マ ン ド コマン ド 機能 switchport private-vlan host-association イ ン タ ー フ ェ ー ス を セ カ ン ダ リ VLAN に関連付け ま IC す。 モー ド 4-177 ページ switchport private-vlan isolated イ ン タ ー フ ェ ース を隔離 VLAN に関連付けます。 IC 4-177 switchport private-vlan mapping イ ン タ ー フ ェ ース を プ ラ イ マ リ VLAN にマ ッ ピ ング し IC ます。 4-178 プ ラ イ ベー ト VLAN 情報表示 show vlan private-vlan プ ラ イ ベー ト VLAN 情報を表示 し ます。 NE、PE 4-178 プ ラ イ マ リ / セ カ ン ダ リ 関連グループ を構成する には、 次の手順に従います。 1. private-vlan コ マ ン ド を使用 し て、 1 つまたは複数の コ ミ ュ ニ テ ィ VLAN、 および コ ミ ュ ニ テ ィ グループ外部に ト ラ フ ィ ッ ク を運ぶプ ラ イ マ リ VLAN を指定 し ます。 2. private-vlan association コ マ ン ド を使用 し て、 コ ミ ュ ニ テ ィ VLAN (複数可) を プ ラ イ マ リ VLAN にマ ッ ピ ング し ます。 3. switchport mode private-vlan コ マ ン ド を使用 し て、 無差別 (プ ラ イ マ リ VLAN 内のす べてのポー ト にア ク セス可能) またはホス ト ( コ ミ ュ ニテ ィ ポー ト ) と し てポー ト を構 成 し ます。 4. switchport private-vlan host-association コ マ ン ド を使用 し て、 セ カ ン ダ リ VLAN に ポー ト を割 り 当て ます。 5. switchport private-vlan mapping コ マ ン ド を使用 し て、 プ ラ イ マ リ VLAN にポー ト を 割 り 当て ます。 6. show vlan private-vlan コ マ ン ド を使用 し て、コ ン フ ィ ギ ュ レーシ ョ ン設定を確認 し ます。 隔離 VLAN を構成するには、 次の手順を実行 し ます。 1. private-vlan コ マ ン ド を使用 し て、 隔離 VLAN を指定 し ます。 この隔離 VLAN には、 単 一の無差別ポー ト および 1 つま たは複数の隔離ポー ト が含まれます。 2. switchport mode private-vlan コ マ ン ド を使用 し て、1 つのポー ト を無差別 (隔離 VLAN 内のすべてのポー ト にア ク セス可能)または 1 つま たは複数のポー ト を ホス ト (隔離ポー ト ) と し て構成 し ます。 3. switchport private-vlan isolated コ マ ン ド を使用 し て、隔離 VLAN にポー ト を割 り 当て ます。 4. show vlan private-vlan コ マ ン ド を使用 し て、コ ン フ ィ ギ ュ レーシ ョ ン設定を確認 し ます。 private-vlan こ の コ マ ン ド では、 プ ラ イ マ リ 、 コ ミ ュ ニ テ ィ 、 ま たはプ ラ イ ベー ト 隔離 VLAN を作成 し ま す。 no 形式を使用する と 、 指定 し た プ ラ イ ベー ト VLAN が削除 さ れます。 構文 private-vlan vlan-id {community | primary | isolated} no private-vlan vlan-id 4-174 4 VLAN コ マ ン ド • vlan-id - プ ラ イ ベー ト VLAN の ID です (範囲 : 1 ~ 4094、 先行ゼロは不可)。 • community - こ の VLAN 内で は、 ト ラ フ ィ ッ ク が同じ VLAN のホス ト メ ン バー、 およ び関連付けら れたプ ラ イ マ リ VLAN の無差別ポート に制限さ れま す。 • primary - こ の VLAN は、 1 つま たは複数のコ ミ ュ ニ テ ィ VLAN を 含み、 コ ミ ュ ニ テ ィ VLAN と ほかの場所と の間でト ラ フ ィ ッ ク を 運ぶチャ ネルと し て機能し ま す。 • isolated - 隔離 VLAN を指定 し ます。 隔離 VLAN に割 り 当て られたポー ト は、 その ポー ト が属する VLAN 内の無差別ポー ト と し か通信で き ません。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド VLAN コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • プ ラ イ ベー ト VLAN は、 同 じ コ ミ ュ ニ テ ィ または隔離 VLAN 内のポー ト への ト ラ フ ィ ッ ク を制限するのに使用 さ れ、 無差別ポー ト を介 し て コ ミ ュ ニ テ ィ 外部へ運ばれ る ト ラ フ ィ ッ ク のチ ャ ネル と し て機能 し ま す。 コ ミ ュ ニ テ ィ VLAN を使用す る と き は、 無差別ポー ト を含む対応 「プ ラ イ マ リ 」 VLAN に、 こ れらの VLAN を マ ッ ピ ン グ する必要があ り ます。 隔離 VLAN を使用する と きは、 単一の無差別ポー ト を含むよ う に構成する必要があ り ます。 • プ ラ イ ベー ト VLAN のポー ト メ ンバーシ ッ プはス タ テ ィ ッ ク です。 プ ラ イ ベー ト VLAN に割 り 当て られたポー ト は、 GVRP によ っ て別の VLAN に動的に移動する こ と はで き ません。 • プ ラ イ ベー ト VLAN ポー ト を ト ラ ン ク モー ド に設定する こ と はで き ません (4-168 ページの 「switchport mode」 を参照)。 例 Console(config)#vlan database Console(config-vlan)#private-vlan 2 primary Console(config-vlan)#private-vlan 3 community Console(config)# private vlan association こ の コ マ ン ド では、 プ ラ イ マ リ VLAN を セ カ ン ダ リ ( コ ミ ュ ニ テ ィ ) VLAN に割 り 当て ます。 no 形式を使用する と 、 指定 し た プ ラ イ マ リ VLAN のすべての関連付けが削除 さ れます。 構文 private-vlan primary-vlan-id association {secondary-vlan-id | add secondary-vlan-id | remove secondary-vlan-id} no private-vlan primary-vlan-id association • primary-vlan-id - プ ラ イ マ リ VLAN の ID です (範囲 :1 ~ 4094、 先行ゼロは不可)。 • secondary-vlan-id - セ カ ン ダ リ ( コ ミ ュ ニ テ ィ ) VLAN の ID です (範囲 : 1 ~ 4094、 先行ゼロは不可)。 4-175 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース デ フ ォ ル ト 設定 なし コ マ ン ド モー ド VLAN コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 セ カ ン ダ リ VLAN は、 グループ メ ンバーにセキ ュ リ テ ィ を提供 し ます。 関連付け られた プ ラ イ マ リ VLAN は、プ ラ イ マ リ VLAN 内のほかのネ ッ ト ワー ク リ ソ ース (無差別ポー ト で構成 さ れて い るサーバーな ど) へのア ク セ ス、 お よ び プ ラ イ マ リ VLAN 外部の リ ソ ースへのア ク セス (無差別ポー ト 経由) を提供する共通イ ン タ ー フ ェ ース と な り ます。 例 Console(config-vlan)#private-vlan 2 association 3 Console(config)# switchport mode private-vlan こ の コ マ ン ド では、 イ ン タ ー フ ェ ースのプ ラ イ ベー ト VLAN モー ド を設定 し ます。 no 形式を 使用する と 、 デ フ ォ ル ト 設定に戻 り ます。 構文 switchport mode private-vlan {host | promiscuous} no switchport mode private-vlan • host - このポー ト タ イ プは、 コ ミ ュ ニ テ ィ または隔離 VLAN に後から割 り 当て る こ と が可能です。 • promiscuous - こ のポー ト タ イ プは、 同 じ プ ラ イ マ リ VLAN 内のほかのすべての 無差別ポー ト 、および関連付け られたセ カ ン ダ リ VLAN 内のすべてのポー ト と 通信 可能です。 デ フ ォ ル ト 設定 Normal VLAN コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • プ ラ イ マ リ VLAN に無差別ポー ト を割 り 当て るには、 switchport private-vlan mapping コ マ ン ド を使用 し ます。 コ ミ ュ ニテ ィ VLAN にホス ト ポー ト を割 り 当て る には、 private-vlan host association コ マ ン ド を使用 し ます。 • 隔離 VLAN に無差別ポー ト ま たはホス ト ポー ト を割 り 当て るには、 switchport private-vlan isolated コ マ ン ド を使用 し ます。 4-176 VLAN コ マ ン ド 4 例 Console(config)#interface ethernet Console(config-if)#switchport mode Console(config-if)#exit Console(config)#interface ethernet Console(config-if)#switchport mode Console(config-if)# 1/2 private-vlan promiscuous 1/3 private-vlan host switchport private-vlan host-association こ の コ マ ン ド では、 セ カ ン ダ リ VLAN に イ ン タ ー フ ェ ース を関連付けます。 no 形式を使用す る と 、 こ の関連付けが削除 さ れます。 構文 switchport private-vlan host-association secondary-vlan-id switchport private-vlan host-association secondary-vlan-id - セ カ ン ダ リ ( コ ミ ュ ニ テ ィ ) VLAN の ID です (範囲 : 1 ~ 4094、 先行ゼロは不可)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 セ カ ンダ リ (コ ミ ュ ニテ ィ ) VLAN に割 り 当て られたすべてのポー ト は、グループ メ ンバー 間で ト ラ フ ィ ッ ク を受け渡 し で き ます。 ただ し 、 グループ外部の リ ソ ース と 通信する場 合は、 関連付け られている プ ラ イ マ リ VLAN の無差別ポー ト を介する必要があ り ます。 例 Console(config)#interface ethernet 1/3 Console(config-if)#switchport private-vlan host-association 3 Console(config-if)# switchport private-vlan isolated こ の コ マ ン ド では、 イ ン タ ー フ ェ ース を隔離 VLAN に割 り 当て ます。 no 形式を使用する と 、 こ の割当てが削除 さ れます。 構文 switchport private-vlan isolated isolated-vlan-id no switchport private-vlan isolated isolated-vlan-id - 隔離 VLAN の ID です (範囲 : 1 ~ 4094)。 デ フ ォ ル ト 設定 なし 4-177 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 隔離 VLAN に割 り 当て ら れたホス ト ポー ト は、 グループ メ ンバー間で ト ラ フ ィ ッ ク を 受け渡 し で き ません。 ま た、 グループ外部の リ ソ ース と 通信する場合、 無差別ポー ト を 介する必要があ り ます。 例 Console(config)#interface ethernet 1/3 Console(config-if)#switchport private-vlan isolated 3 Console(config-if)# switchport private-vlan mapping こ の コ マ ン ド では、 プ ラ イ マ リ VLAN に イ ン タ ー フ ェ ース を マ ッ ピ ング し ます。 no 形式を使 用する と 、 こ のマ ッ ピ ングが削除 さ れます。 構文 switchport private-vlan mapping primary-vlan-id no switchport private-vlan mapping primary-vlan-id - プ ラ イ マ リ VLAN の ID です (範囲 : 1 ~ 4094、 先行ゼロは不可)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 プ ラ イ マ リ VLAN に割 り 当て ら れた無差別ポー ト は、 同 じ VLAN 内の他の無差別ポー ト 、および関連付け ら れている セ カ ン ダ リ VLAN 内のグループ メ ンバー と 通信する こ と がで き ます。 例 Console(config)#interface ethernet 1/2 Console(config-if)#switchport private-vlan mapping 2 Console(config-if)# show vlan private-vlan こ の コ マ ン ド では、 こ のス イ ッ チ上のプ ラ イ ベー ト VLAN の コ ン フ ィ ギ ュ レ ーシ ョ ン設定を 表示 し ます。 構文 show vlan private-vlan [community | isolated | primary] • community - すべての コ ミ ュ ニ テ ィ VLAN を、 関連付け られた プ ラ イ マ リ VLAN、 および割 り 当て ら れたホス ト イ ン タ ー フ ェ ース と と も に表示 し ます。 4-178 VLAN コ マ ン ド 4 • isolated - 隔離 VLAN を、 割 り 当て られた無差別イ ン タ ー フ ェ ースおよびホス ト イ ン タ ー フ ェ ース と と も に表示 し ます。 Primary および Secondary の両フ ィ ール ド に は、 隔離 VLAN ID が表示 さ れます。 • primary - すべてのプ ラ イ マ リ VLAN を、 割 り 当て ら れた無差別イ ン タ ー フ ェ ース と と も に表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Executive 例 Console#show vlan private-vlan Primary Secondary Type -------- ----------- ---------5 primary 5 6 community 0 8 isolated Console# Interfaces -----------------------------Eth1/ 3 Eth1/ 4 Eth1/ 5 プ ロ ト コ ルベース VLAN の構成 複数のプ ロ ト コ ルをサポー ト する ために必要なネ ッ ト ワー ク デバイ スは、 共通 VLAN に簡単 にグループ分けする こ と がで き ません。 特定のプ ロ ト コ ルに参加する すべてのデバイ ス をサ ポー ト する ために、 異な る VLAN 間で ト ラ フ ィ ッ ク を受け渡す非標準のデバイ スが必要にな る こ と があ り ます。 こ のよ う な コ ン フ ィ ギ ュ レ ーシ ョ ン では、 セキ ュ リ テ ィ や簡単な ア ク セ ス な ど VLAN の基本的な利点をユーザーが利用で き な く な り ます。 こ れら の問題を回避する ために、 こ のス イ ッ チにプ ロ ト コ ル ベース VLAN を構成 し 、 必要な プ ロ ト コ ルご と に物理ネ ッ ト ワー ク を論理的な VLAN グループに分割で き ます。 ポー ト で フ レームが受信 さ れる際、 イ ンバウン ド パケ ッ ト に使用 さ れている プ ロ ト コ ル タ イ プに基づい て、 その VLAN メ ンバーシ ッ プが決ま り ます。 表 4-59. プ ロ ト コルベース VLAN コ マ ン ド コマン ド 機能 protocol-vlan protocol-group プ ロ ト コ ル グループ を作成 し 、 サポー ト さ れる プ ロ ト GC コルを指定 し ます。 モー ド ページ protocol-vlan protocol-group プ ロ ト コル グループ を VLAN にマ ッ ピ ング し ます。 show protocol-vlan protocol-group プ ロ ト コ ル グループの コ ン フ ィ ギ ュ レ ーシ ョ ン を表示 PE し ます。 4-181 show interfaces protocol-vlan protocol-group プ ロ ト コル グループおよび対応する VLAN にマ ッ ピ ン PE グ さ れた イ ン タ ー フ ェ ース を表示 し ます。 4-182 IC 4-180 4-180 プ ロ ト コ ルベース VLAN を構成するには、 次の手順に従います。 1. まず、 使用する プ ロ ト コル用の VLAN グループ を構成し ます (4-165 ページ)。 必ず し も 必要ではあ り ませんが、 ネ ッ ト ワー ク で実行 さ れる主な プ ロ ト コ ルご と に別々の VLAN を構成する こ と をお勧め し ます。 この時点ではポー ト メ ンバーを追加 し ないで く だ さ い。 4-179 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 2. protocol-vlan protocol-group コ マ ン ド (一般 コ ン フ ィ ギ ュ レーシ ョ ン モー ド ) を使用 し て、 VLAN に割 り 当て る各プ ロ ト コ ルのプ ロ ト コ ル グループ を作成 し ます。 3. 次に、 protocol-vlan protocol-group コ マ ン ド (イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レー シ ョ ン モー ド ) を使用 し て、 各イ ン タ ー フ ェ ースのプ ロ ト コ ルを適切な VLAN にマ ッ ピ ング し ます。 protocol-vlan protocol-group (グループ構成) こ の コ マ ン ド では、 プ ロ ト コ ル グループ を作成するか、 または特定のプ ロ ト コ ルを グループ に追加 し ます。 no 形式を使用する と 、 プ ロ ト コル グループが削除 さ れます。 構文 protocol-vlan protocol-group group-id [{add | remove} frame-type frame protocol-type protocol] no protocol-vlan protocol-group group-id • group-id - このプ ロ ト コ ル グループのグループ識別子です (範囲 : 1 ~ 2147483647)。 • frame1 - このプ ロ ト コ ルが使用する フ レ ーム タ イ プ です ( オプ シ ョ ン : ethernet、 rfc_1042、 llc_other)。 • protocol - プ ロ ト コル タ イ プ です。llc_other フ レーム タ イ プに対する オプ シ ョ ンは、 ipx_raw のみです。 その他すべての フ レーム タ イ プ では、 ip、 ipv6、 arp、 rarp、 お よびユーザー定義の値 (0801 ~ FFFF の 16 進数) を指定で き ます。 デ フ ォ ル ト 設定 プ ロ ト コ ル グループは構成 さ れていません。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 次の例では、 プ ロ ト コ ル グループ 1 を作成 し 、 プ ロ ト コ ル タ イ プが IP および ARP のイ ーサ ネ ッ ト フ レームを指定 し ます。 Console(config)#protocol-vlan protocol-group 1 add frame-type ethernet protocol-type ip Console(config)#protocol-vlan protocol-group 1 add frame-type ethernet protocol-type arp Console(config)# protocol-vlan protocol-group (イ ン タ ー フ ェ ース構成) こ の コ マ ン ド では、 現在のイ ン タ ー フ ェ ースの VLAN にプ ロ ト コ ル グループ を マ ッ ピ ング し ます。 no 形式を使用する と 、 こ のイ ン タ ー フ ェ ースに対する プ ロ ト コ ル マ ッ ピ ングが削除 さ れます。 構文 protocol-vlan protocol-group group-id vlan vlan-id no protocol-vlan protocol-group group-id vlan 1 ハー ド ウ ェ アの制限に よ り 、 こ のス イ ッ チでは SNAP フ レ ーム タ イ プはサポー ト さ れません。 4-180 VLAN コ マ ン ド 4 • group-id - このプ ロ ト コ ル グループのグループ識別子です (範囲 : 1 ~ 2147483647)。 • vlan-id - 合致 し た プ ロ ト コル ト ラ フ ィ ッ クが転送 さ れる VLAN です (範囲 : 1 ~ 4094)。 デ フ ォ ル ト 設定 どのイ ン タ ー フ ェ ースに も プ ロ ト コ ル グループはマ ッ ピ ング さ れていません。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • プ ロ ト コ ルベースの VLAN を作成する場合、 必ず こ の コ マ ン ド を使用 し て イ ン タ ー フ ェ ース を割 り 当てて く だ さ い。 ほかの VLAN コ マ ン ド (4-165 ページの vlan な ど) を使用 し て イ ン タ ー フ ェ ース を割 り 当て る と 、 こ れ らのイ ン タ ー フ ェ ース では、 関連 付け られた VLAN にすべてのプ ロ ト コ ル タ イ プの ト ラ フ ィ ッ クが許可 さ れます。 • プ ロ ト コ ル VLAN に割 り 当て られているポー ト に着信 し た フ レームは次のよ う に処 理 さ れます。 - フ レームが タ グ付きの場合、 タ グ付き フ レ ームに適用 さ れる標準ルールに従っ て フ レームが処理 さ れます。 - フ レームが タ グな し で、 プ ロ ト コ ル VLAN に転送 さ れます。 タ イ プが合致する場合、 フ レームは適切な - フ レームが タ グな し で、 プ ロ ト コ ル タ イ プが合致 し ない場合、 フ レームは こ のイ ン タ ー フ ェ ースのデ フ ォル ト VLAN に転送 さ れます。 例 次の例では、 ポー ト 1 に入る ト ラ フ ィ ッ クの う ち、 プ ロ ト コル グループ 1 に指定 さ れた プ ロ ト コル タ イ プに合致する ト ラ フ ィ ッ ク を VLAN 2 にマ ッ ピ ング し ます。 Console(config)#interface ethernet 1/1 Console(config-if)#protocol-vlan protocol-group 1 vlan 2 Console(config-if)# show protocol-vlan protocol-group こ の コ マ ン ド では、 プ ロ ト コル グループに関連付け られた フ レームおよびプ ロ ト コ ル タ イ プ を表示 し ます。 構文 show protocol-vlan protocol-group [group-id] group-id - プ ロ ト コ ル グループのグループ識別子です (範囲 : 1 ~ 2147483647)。 デ フ ォ ル ト 設定 すべてのプ ロ ト コル グループが表示 さ れます。 コ マ ン ド モー ド Privileged Exec 4-181 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 こ の例では、 IP over Ethernet に構成 さ れている プ ロ ト コ ル グループ 1 を表示 し ます。 Console#show protocol-vlan protocol-group ProtocolGroup ID Frame Type Protocol Type ------------------ ------------- --------------1 ethernet 08 00 Console# show interfaces protocol-vlan protocol-group こ の コ マ ン ド では、 選択 さ れた イ ン タ ー フ ェ ースについて、 プ ロ ト コル グループ と VLAN の マ ッ ピ ング を表示 し ます。 構文 show interfaces protocol-vlan protocol-group [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (範囲 : 1 ~ 8)。 - port - ポー ト 番号です (範囲 : 1 ~ 26/50)。 • port-channel channel-id (範囲 : 1 ~ 32) デ フ ォ ル ト 設定 すべてのイ ン タ ー フ ェ ースのマ ッ ピ ン グが表示 さ れます。 コ マ ン ド モー ド Privileged Exec 例 こ の例は、 ポー ト 1 に入る ト ラ フ ィ ッ クの う ち、 プ ロ ト コ ル グループ 1 の指定に合致する ト ラ フ ィ ッ クが VLAN 2 にマ ッ ピ ング さ れる こ と を示 し ています。 Console#show interfaces protocol-vlan protocol-group Port ProtocolGroup ID Vlan ID ---------- ------------------ ----------Eth 1/1 1 vlan2 Console# 4-182 プ ラ イオ リ テ ィ コ マン ド 4 プ ラ イ オリ テ ィ コ マン ド こ のセ ク シ ョ ン で説明する コ マ ン ド を使用す る と 、 輻輳が原因で ト ラ フ ィ ッ ク がス イ ッ チに バ ッ フ ァ リ ング さ れた場合、どのデー タ パケ ッ ト に高い優先度を持たせるかを指定で き ます。 こ のス イ ッ チ では、 各ポー ト で 4 つのプ ラ イ オ リ テ ィ キ ュ ーに よ る CoS がサポー ト さ れま す。 ポー ト の高プ ラ イ オ リ テ ィ キ ュ ー内のデー タ パケ ッ ト は、 低プ ラ イ オ リ テ ィ キ ュ ーのパ ケ ッ ト よ り 先に送信 さ れます。 各イ ン タ ー フ ェ ースのデ フ ォ ル ト プ ラ イ オ リ テ ィ 、 各キ ュ ー の相対的加重、ス イ ッ チのプ ラ イ オ リ テ ィ キ ュ ーへのフ レーム プ ラ イ オ リ テ ィ タ グのマ ッ ピ ン グ を設定する こ と がで き ます。 表 4-60. プ ラ イ オ リ テ ィ コ マ ン ド コ マ ン ド グループ 機能 プ ラ イオ リ テ ィ (レ イ ヤー 2) タ グな し フ レ ームのデ フ ォル ト プ ラ イ オ リ テ ィ の構成、 キ ュ ー 4-183 の重みの設定、 CoS (サー ビ ス ク ラ ス) タ グのハー ド ウ ェ ア キ ュ ーへのマ ッ ピ ングを行います。 ページ プ ラ イオ リ テ ィ (レ イ ヤー 3 および 4) IP DSCP タ グを CoS(サービ ス ク ラ ス)値にマ ッ ピ ン グ し ます。 4-188 プ ラ イ オ リ テ ィ コ マ ン ド (レ イ ヤー 2) 表 4-61. プ ラ イ オ リ テ ィ コ マ ン ド (レ イヤー 2) コマン ド 機能 queue mode キ ュ ー モ ー ド を ス ト リ ク ト プ ラ イ オ リ テ ィ ま た は GC WRR (加重ラ ウン ド ロ ビ ン) に設定 し ます。 モー ド ページ 4-183 switchport priority default 着信す る タ グな し フ レ ームのポー ト プ ラ イ オ リ テ ィ を IC 設定 し ます。 4-184 queue bandwidth プ ラ イ オ リ テ ィ キ ュ ーに ラ ウ ン ド ロ ビ ンの重みを割 り GC 当て ます。 4-185 queue cos map プ ラ イ オ リ テ ィ キ ュ ーに CoS (サービ ス ク ラ ス) 値を IC 割 り 当て ます。 4-186 show queue mode 現在のキ ュ ー モー ド を表示 し ます。 PE 4-187 show queue bandwidth プ ラ イ オ リ テ ィ キ ュ ーに割 り 当て ら れた ラ ウン ド ロ ビ PE ン重みを表示 し ます。 4-187 show queue cos-map CoS (サービ ス ク ラ ス) マ ッ ピ ング を表示 し ます。 PE 4-188 show interfaces switchport イ ン タ ー フ ェ ースの管理上お よ び動作上のス テー タ ス PE を表示 し ます。 4-123 queue mode こ の コ マ ン ド では、 CoS (サー ビ ス ク ラ ス) プ ラ イ オ リ テ ィ キ ュ ーに対す る キ ュ ー モー ド を、 ス ト リ ク ト プ ラ イ オ リ テ ィ または WRR (加重ラ ウン ド ロ ビ ン) に設定 し ます。 no 形式 を使用する と 、 デ フ ォル ト 値に戻 り ます。 構文 queue mode {strict | wrr} no queue mode 4-183 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • strict - イ グ レ ス キ ュ ーを順番に処理 し 、 プ ラ イ オ リ テ ィ の低いキ ュ ーを処理する 前に、 プ ラ イ オ リ テ ィ の高いキ ュ ー内のすべての ト ラ フ ィ ッ ク を送信 し ます。 • wrr - 加重ラ ウン ド ロ ビ ンは、 各キ ュ ー 0 ~ 3 に関連付け ら れたスケジ ュ ー リ ン グ 重み 1、 2、 4、 8 を使用 し て、 イ グ レ ス ポー ト で帯域幅を共有 し ます。 デ フ ォ ル ト 設定 WRR (加重ラ ウ ン ド ロ ビ ン) コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 高プ ラ イ オ リ テ ィ キ ュ ー内のすべての ト ラ フ ィ ッ ク を低プ ラ イ オ リ テ ィ キ ュ ーの も の よ り 先に処理する ス ト リ ク ト ルールに従っ てキ ュ ーを処理するか、 各キ ュ ーの相対的重 みを指定す る加重 ラ ウ ン ド ロ ビ ン (WRR) キ ュ ー イ ン グ を使用する よ う ス イ ッ チ を設 定で き ます。 WRR では、 各キ ュ ーにあ らか じ め定義 さ れた相対的重みによ っ て、 ス イ ッ チが次のキ ュ ーに移る前に各キ ュ ーを処理するサービ ス時間の割合 (%) が決定 さ れま す。 こ れに よ り 、 ス ト リ ク ト プ ラ イ オ リ テ ィ キ ュ ー イ ン グ で発生す る 可能性のあ る キ ュ ー先頭のパケ ッ ト に よ る ブ ロ ッ ク を防ぐ こ と がで き ます。 例 次の例では、 キ ュ ー モー ド を ス ト リ ク ト プ ラ イ オ リ テ ィ サービ ス モー ド に設定 し ます。 Console(config)#queue mode strict Console(config)# switchport priority default こ の コ マ ン ド では、 着信する タ グな し フ レームのプ ラ イ オ リ テ ィ を設定 し ます。 no 形式を使 用する と 、 デ フ ォル ト 値に戻 り ます。 構文 switchport priority default default-priority-id no switchport priority default default-priority-id - タ グな し イ ング レ ス ト ラ フ ィ ッ クのプ ラ イ オ リ テ ィ 番号です。 プ ラ イ オ リ テ ィ は 0 ~ 7 の数値です。 7 が最高のプ ラ イ オ リ テ ィ です。 デ フ ォ ル ト 設定 プ ラ イ オ リ テ ィ は設定 さ れていません。 イ ン タ ー フ ェ ースで受信 さ れる タ グな し フ レー ムのデ フ ォル ト 値は 0 です。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • プ ラ イ オ リ テ ィ マ ッ ピ ングの優先度は、 IP DSCP、 デ フ ォル ト のス イ ッ チポー ト プ ラ イ オ リ テ ィ の順です。 4-184 4 プ ラ イオ リ テ ィ コ マン ド • デ フ ォ ル ト プ ラ イ オ リ テ ィ は、 すべてのフ レ ーム タ イ プ を受理 ( タ グな し および タ グ付き フ レ ームを両方受信) する よ う 設定 さ れたポー ト で受信 し た タ グな し フ レーム に適用 さ れます。 こ のプ ラ イ オ リ テ ィ は IEEE 802.1Q VLAN タ グ付き フ レームには適 用 さ れません。着信フ レームが IEEE 802.1Q VLAN タ グ付き フ レームの場合は、IEEE 802.1p ユーザー プ ラ イ オ リ テ ィ ビ ッ ト が使用 さ れます。 • こ のス イ ッ チは、 各ポー ト につ き 8 つのプ ラ イ オ リ テ ィ キ ュ ーをサポー ト し ていま す。 こ のス イ ッ チは、 WRR (加重 ラ ウ ン ド ロ ビ ン) を使用する よ う に構成 さ れてい ます。 こ れを表示するには、 show queue bandwidth コ マ ン ド を使用 し ます。 VLAN タ グのな い イ ンバウ ン ド フ レ ームには、 入力ポー ト のデ フ ォ ル ト イ ン グ レ ス ユー ザー プ ラ イ オ リ テ ィ に よ る タ グが付け ら れ、 出力ポー ト の該当す る プ ラ イ オ リ テ ィ キ ュ ーに置かれます。 すべての イ ン グ レ ス ポー ト に対す る デ フ ォ ル ト のプ ラ イ オ リ テ ィ は 0 です。 し たが っ て、 プ ラ イ オ リ テ ィ タ グのない イ ンバウ ン ド フ レームは、 出 力ポー ト のキ ュ ー 0 に置かれます (出力ポー ト が、 関連付け られた VLAN の タ グな し メ ンバーであ る場合、 こ れら のフ レームは、 送信前にすべての VLAN タ グ を削除 さ れ る こ と に注意)。 例 次の例は、 ポー ト 3 のデ フ ォ ル ト プ ラ イ オ リ テ ィ を 5 に設定する方法を示 し ています。 Console(config)#interface ethernet 1/3 Console(config-if)#switchport priority default 5 queue bandwidth こ の コ マ ン ド では、 WRR (加重 ラ ウ ン ド ロ ビ ン) の重みを 4 つの CoS (サー ビ ス ク ラ ス) プ ラ イ オ リ テ ィ キ ュ ーに割 り 当て ます。no 形式を使用する と 、デ フ ォ ル ト の重みに戻 り ます。 注 : このス イ ッ チでは、 キ ュ ー サービ スの重みを設定する こ と はで き ません。 重みは、 キ ュ ー 0 ~ 3 に対 し てそれぞれ 1、 2、 4、 8 に固定 さ れています。 構文 queue bandwidth weight1...weight4 no queue bandwidth weight1...weight4 - キ ュ ー 0 ~ 3 の重みの割合によ り 、 WRR スケジ ュ ー ラ で使用 さ れる重みが決ま り ます。 (範囲 : 1 ~ 31)。 デ フ ォ ル ト 設定 重み 1、 2、 4、 8 が、 それぞれキ ュ ー 0 ~ 3 に割 り 当て られます。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 WRR は、 スケジ ュ ー リ ングの重みを定義する こ と によ り 、 イ グ レ ス ポー ト で共有 さ れ る帯域幅を制御 し ます。 4-185 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 こ の例は、 プ ラ イ オ リ テ ィ キ ュ ー 0 ~ 2 に WRR 重みを割 り 当て る方法を示 し ています。 Console(config)#queue bandwidth 6 9 12 Console(config)# 関連 コ マ ン ド show queue bandwidth (4-187) queue cos-map こ の コ マ ン ド では、 プ ラ イ オ リ テ ィ キ ュ ー (ハー ド ウ ェ アの出力キ ュ ー 0 ~ 3) に CoS (サー ビ ス ク ラ ス) 値を割 り 当て ます。 no 形式を使用する と 、 CoS マ ッ ピ ン グがデ フ ォ ル ト 値に 設定 さ れます。 構文 queue cos-map queue_id [cos1 ... cosn] no queue cos-map • queue_id - プ ラ イ オ リ テ ィ キ ュ ーの ID です。 範囲は 0 ~ 3 です。 3 が最高のプ ラ イ オ リ テ ィ キ ュ ーです。 • cos1 .. cosn - キ ュ ー ID にマ ッ ピ ング さ れる CoS 値。スペース で区切られた数の リ ス ト です。 CoS 値は 0 ~ 7 の数値で、 7 が最高のプ ラ イ オ リ テ ィ です。 デ フ ォ ル ト 設定 こ のス イ ッ チ では、 WRR (加重 ラ ウ ン ド ロ ビ ン) キ ュ ー イ ン グに よ る プ ラ イ オ リ テ ィ キ ュ ー を各ポー ト につ き 4 つ使用 し て、 CoS (サー ビ ス ク ラ ス) をサポー ト し ていま す。 個別の 8 つの ト ラ フ ィ ッ ク ク ラ スは、 IEEE 802.1p で定義 さ れています。 デ フ ォ ル ト のプ ラ イ オ リ テ ィ レ ベルは、 次に示す と お り 、 IEEE 802.1p 規格の勧告に基づいて割 り 当て られています。 表 4-62. イ グレ ス キ ュ ーに対するデ フ ォル ト の CoS 値 キュー プ ラ イオ リ テ ィ 0 1 2 3 1,2 0,3 4,5 6,7 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • イ ング レ ス ポー ト で割 り 当て ら れた CoS 値は、 イ グ レ ス ポー ト で も 使用 さ れます。 • こ の コ マ ン ド では、 すべてのイ ン タ ー フ ェ ースの CoS プ ラ イ オ リ テ ィ を設定 し ます。 4-186 プ ラ イオ リ テ ィ コ マン ド 4 例 こ の例は、 CoS の割当て を変更する方法を示 し ています。 Console(config)#interface ethernet 1/1 Console(config-if)#queue cos-map 0 0 Console(config-if)#queue cos-map 1 1 Console(config-if)#queue cos-map 2 2 Console(config-if)#exit Console#show queue cos-map ethernet 1/1 Information of Eth 1/1 Traffic Class : 0 1 2 3 4 5 6 7 Priority Queue: 0 1 2 1 2 2 3 3 Console# 関連 コ マ ン ド show queue cos-map (4-188) show queue mode こ の コ マ ン ド では、 現在のキ ュ ー モー ド を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#show queue mode Queue mode: wrr Console# show queue bandwidth こ の コ マ ン ド では、 4 つのプ ラ イ オ リ テ ィ キ ュ ーに対する WRR (加重 ラ ウ ン ド ロ ビ ン) の 帯域幅割当て を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#show queue bandwidth Queue ID Weight -------- -----0 1 1 2 2 4 3 8 Console# 4-187 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース show queue cos-map こ の コ マ ン ド では、 CoS (サービ ス ク ラ ス) プ ラ イ オ リ テ ィ のマ ッ ピ ング を表示 し ます。 構文 show queue cos-map [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#show queue Information of Eth Traffic Class : 0 Priority Queue: 1 Console# cos-map ethernet 1/1 1/1 1 2 3 4 5 6 7 0 0 1 2 2 3 3 プ ラ イ オ リ テ ィ コ マ ン ド (レ イ ヤー 3 および 4) 表 4-63. プ ラ イ オ リ テ ィ コ マ ン ド (レ イ ヤー 3 および 4) コマン ド 機能 map ip dscp IP DSCP の CoS (サービ ス ク ラ ス) マ ッ ピ ング を有効に GC し ます。 モー ド ページ 4-188 map ip dscp IP DSCP の値を CoS (サービ ス ク ラ ス) にマ ッ ピ ン グ し IC ます。 4-189 show map ip dscp IP DSCP マ ッ ピ ング を表示 し ます。 PE 4-190 map ip dscp (グローバル コ ン フ ィ ギ ュ レーシ ョ ン) こ の コ マ ン ド では、 IP DSCP マ ッ ピ ン グ (差別化サービ ス コ ー ド ポ イ ン ト マ ッ ピ ン グ) を 有効に し ます。 no 形式を使用する と 、 IP DSCP マ ッ ピ ングが無効にな り ます。 構文 [no] map ip dscp デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-188 プ ラ イオ リ テ ィ コ マン ド 4 コ マ ン ド の使用 • プ ラ イ オ リ テ ィ マ ッ ピ ングの優先度は、 IP DSCP、 デ フ ォル ト のス イ ッ チポー ト プ ラ イ オ リ テ ィ の順です。 例 次の例は、 IP DSCP マ ッ ピ ング を グローバルに有効にする方法を示 し ています。 Console(config)#map ip dscp Console(config)# map ip dscp (イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン) こ の コ マ ン ド では、 IP DSCP プ ラ イ オ リ テ ィ (差別化サービ ス コ ー ド ポ イ ン ト プ ラ イ オ リ テ ィ ) を設定 し ます。 no 形式を使用する と 、 デ フ ォル ト のテーブルに戻 り ます。 構文 map ip dscp dscp-value cos cos-value no map ip dscp • dscp-value - 8 ビ ッ ト の DSCP 値です (範囲 : 0 ~ 63)。 • cos-value - CoS (サービ ス ク ラ ス) 値です (範囲 : 0 ~ 7)。 デ フ ォ ル ト 設定 次の表に、 DSCP のデ フ ォ ル ト 値を示 し ます。 表に記載 さ れていない DSCP 値はすべて CoS 値 0 にマ ッ ピ ング さ れます。 表 4-64. IP DSCP の CoS 値へのマ ッ ピ ング IP DSCP 値 CoS 値 0 0 8 1 10, 12, 14, 16 2 18, 20, 22, 24 3 26, 28, 30, 32, 34, 36 4 38, 40, 42 5 48 6 46, 56 7 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • プ ラ イ オ リ テ ィ マ ッ ピ ングの優先度は、 IP DSCP、 デ フ ォル ト のス イ ッ チポー ト プ ラ イ オ リ テ ィ の順です。 • DSCP プ ラ イ オ リ テ ィ 値は、IEEE 802.1p 規格の勧告に基いてデ フ ォル ト の CoS(サー ビ ス ク ラ ス) 値に マ ッ ピ ン グ さ れてか ら、 ハー ド ウ ェ ア の 4 つの プ ラ イ オ リ テ ィ キ ュ ーにマ ッ ピ ング さ れています。 4-189 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • こ の コ マ ン ド では、 すべてのイ ン タ ー フ ェ ースの IP DSCP プ ラ イ オ リ テ ィ を設定 し ます。 例 次の例は、 IP DSCP 値 1 を CoS 値 0 にマ ッ ピ ングする方法を示 し ています。 Console(config)#interface ethernet 1/5 Console(config-if)#map ip dscp 1 cos 0 Console(config-if)# show map ip dscp こ の コ マ ン ド では、 IP DSCP プ ラ イ オ リ テ ィ のマ ッ ピ ング を表示 し ます。 構文 show map ip dscp [interface] interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#show map ip dscp ethernet 1/1 DSCP mapping status: disabled Port DSCP COS --------- ---- --Eth 1/ 1 0 0 Eth 1/ 1 1 0 Eth 1/ 1 2 0 Eth 1/ 1 3 0 . . . Eth 1/ 1 Eth 1/ 1 Eth 1/ 1 Console# 61 62 63 0 0 0 関連 コ マ ン ド map ip dscp (グ ローバル コ ン フ ィ ギ ュ レ ーシ ョ ン) (4-188) map ip dscp (イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レ ーシ ョ ン) (4-189) 4-190 QoS (サービ ス品質) コ マ ン ド 4 QoS( サービ ス品質) コ マン ド こ のセ ク シ ョ ン では、 差別化サービ ス (DiffServ) のク ラ ス分けの基準 と サービ ス ポ リ シーを 構成する コ マ ン ド について説明 し ます。ア ク セス リ ス ト 、IP 優先度または DSCP の値、VLAN に基づいて ト ラ フ ィ ッ ク を ク ラ ス分けす る こ と がで き ます。 ア ク セ ス リ ス ト を使用す る と 、 各パケ ッ ト に含まれる レ イ ヤー 2、 レ イ ヤー 3、 またはレ イ ヤー 4 情報に基づいて ト ラ フ ィ ッ ク を選択で き ます。 表 4-65. QoS (サービ ス品質) コ マ ン ド コマン ド 機能 class-map 特定の ト ラ フ ィ ッ ク タ イ プ に対す る ク ラ ス マ ッ プ を作 GC 成 し ます。 モー ド ページ 4-192 match ト ラ フ ィ ッ クのク ラ ス分けに使用 される基準を定義 し ます。 CM 4-193 policy-map 複数のイ ン タ ー フ ェ ースに対するポ リ シー マ ッ プ を作成 GC し ます。 4-194 class 適用するポ リ シーに対 し て ト ラ フ ィ ッ ク ク ラ ス分けを定 PM 義 し ます。 4-194 set パケ ッ ト に CoS、 DSCP、 IP 優先度の値を設定する こ と PM-C によ り 、 IP ト ラ フ ィ ッ ク を ク ラ ス分け し ます。 4-195 police ク ラ ス分け さ れた ト ラ フ ィ ッ ク のエ ン フ ォ ーサを定義 し PM-C ます。 4-196 service-policy policy-map コ マ ン ド で定義 さ れたポ リ シー マ ッ プ を、特 IC 定イ ン タ ー フ ェ ースの入力に適用 し ます。 4-197 show class-map ト ラ フ ィ ッ ク の ク ラ ス分けに使用 さ れる合致基準を定義 PE する QoS ク ラ ス マ ッ プ を表示 し ます。 4-197 show policy-map 着信 ト ラ フ ィ ッ ク の ク ラ ス分け基準を定義す る QoS ポ PE リ シー マ ッ プ を表示 し ます。 帯域幅制限用のポ リ サーを 含める こ と も で き ます。 4-198 show policy-map interface 指定イ ン タ ー フ ェ ース上のすべてのサービ ス ポ リ シーに PE 対 し て 構成 さ れ て い る すべ ての ク ラ ス の コ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 4-199 イ ング レ ス ト ラ フ ィ ッ ク の特定カ テ ゴ リ に対するサービ ス ポ リ シーを作成するには、 次の手 順を実行 し ます。 1. class-map コ マ ン ド を使用 し て、 特定カ テ ゴ リ の ト ラ フ ィ ッ ク に対する ク ラ ス名を指定 し 、 ク ラ ス マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 り ます。 2. match コ マ ン ド を使用 し て、 ア ク セス リ ス ト 、 DSCP または IP 優先度の値、 または VLAN に基づいて ト ラ フ ィ ッ ク の タ イ プ を選択 し ます。 3. match コ マ ン ド で指定 さ れた基準に よ る フ ィ ル タ リ ング を有効にする ために、ACL マス ク を設定 し ます。 4. policy-map コ マ ン ド を使用 し て、 イ ン グ レ ス ト ラ フ ィ ッ ク を処理する特定の方法に対 するポ リ シー名を指定 し 、 ポ リ シー マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 り ます。 5. class コ マ ン ド を使用 し て ク ラ ス マ ッ プ を指定 し 、 ポ リ シー マ ッ プ ク ラ ス コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 り ます。 1 つのポ リ シー マ ッ プに複数の class ス テー ト メ ン ト を含める こ と がで き ます。 4-191 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 6. 合致する ト ラ フ ィ ッ ク ク ラ スの QoS 値を変更するには、 set コ マ ン ド を使用 し ます。 ま た、 平均 フ ロー と バース ト レー ト を監視 し て、 指定レ ー ト を超え る ト ラ フ ィ ッ ク を破棄 するか、または指定レー ト を超え る ト ラ フ ィ ッ クの DSCP サービ ス レ ベルを低 く する に は、 policer コ マ ン ド を使用 し ます。 7. service-policy コ マ ン ド を使用 し て、 特定イ ン タ ー フ ェ ースにポ リ シー マ ッ プ を割 り 当 て ます。 注 : 1. ク ラ ス マ ッ プ ご と に構成で き るルールは最大 16 個です。 また、 1 つのポ リ シー マ ッ プ を 複数のク ラ スで構成する こ と がで き ます。 2. ポ リ シー マ ッ プ (4-194 ページ) を作成する前に、 ク ラ ス マ ッ プ (4-192 ページ) を作成 する必要があ り ます。 そ う し ない と 、 ポ リ シー マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン モー ド に 入っ た後に、 class コ マ ン ド (4-194 ページ) で ク ラ ス マ ッ プ を指定で き ません。 class-map こ の コ マ ン ド では、 指定 し た ク ラ スにパケ ッ ト を合致 さ せる ための ク ラ ス マ ッ プ を作成 し 、 ク ラ ス マ ッ プ コ ン フ ィ ギ ュ レ ーシ ョ ン モ ー ド に入 り ま す。 no 形式 を使用す る と 、 ク ラ ス マ ッ プが削除 さ れ、 グローバル コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド に戻 り ます。 構文 [no] class-map class-map-name [match-any] • match-any - ク ラ ス マ ッ プ内のどの条件に も 合致 し ます。 • class-map-name - ク ラ ス マ ッ プの名前です (範囲 : 1 ~ 16 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ク ラ ス マ ッ プ を指定 し 、 ク ラ ス マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入る には、 最初に こ の コ マ ン ド を入力 し ます。 次に、 match コ マ ン ド (4-193 ページ) を使用 し て、 こ の ク ラ ス マ ッ プ に ク ラ ス分け さ れる イ ン グ レ ス ト ラ フ ィ ッ ク の基準を指定 し ます。 • 1 つの ク ラ ス マ ッ プ で使用で き る match コ マ ン ド は最大 16 個です。 • ク ラ ス マ ッ プ をポ リ シー マ ッ プ (4-194 ページ) と 連携 し て使用する こ と に よ り 、 特 定イ ン タ ー フ ェ ースのサービ ス ポ リ シー (4-197 ページ) を作成 し 、 パケ ッ ト のク ラ ス分け、 サービ ス タ グ付け、 帯域幅ポ リ シ ン グ を定義する こ と がで き ます。 例 こ の例では、 「rd_class」 と い う ク ラ ス マ ッ プ を作成 し 、 DSCP サービ ス値 3 にマー ク さ れた パケ ッ ト に合致する よ う 設定 し ます。 Console(config)#class-map rd_class match-any Console(config-cmap)#match ip dscp 3 Console(config-cmap)# 4-192 4 QoS (サービ ス品質) コ マ ン ド 関連 コ マ ン ド show class map (4-197) match こ の コ マ ン ド では、 ト ラ フ ィ ッ クの ク ラ ス分けに使用 さ れる基準を定義 し ます。 no 形式を使 用する と 、 合致基準が削除 さ れます。 構文 [no] match {access-list acl-name | ip dscp dscp | ip precedence ip-precedence | vlan vlan} • acl-name - ACL (ア ク セス制御 リ ス ト ) の名前です。 標準または拡張 IP ACL およ び MAC ACL な ど、 任意の タ イ プの ACL を指定で き ます (範囲 : 1 ~ 16 文字)。 • dscp - DSCP 値です (範囲 : 0 ~ 63)。 • ip-precedence - IP 優先度の値です (範囲 : 0 ~ 7)。 • vlan - VLAN です (範囲 : 1 ~ 4094)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド ク ラ ス マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ク ラ ス マ ッ プ を指定 し 、 ク ラ ス マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入る には、 最初に class-map コ マ ン ド を入力 し ます。 次に、 match コ マ ン ド を使用 し て、 こ の ク ラ ス マ ッ プ に適合す る ために合致す る 必要のあ る イ ン グ レ ス ト ラ フ ィ ッ ク 内の フ ィ ール ド を指定 し ます。 • 1 つの ク ラ ス マ ッ プに入力で き る match コ マ ン ド は 1 つのみです。 例 こ の例では、 「rd_class#1」 と い う ク ラ ス マ ッ プ を作成 し 、 DSCP サービ ス値 3 にマー ク さ れ たパケ ッ ト に合致する よ う 設定 し ます。 Console(config)#class-map rd_class#1_ match-any Console(config-cmap)#match ip dscp 3 Console(config-cmap)# こ の例では、 「rd_class#2」 と い う ク ラ ス マ ッ プ を作成 し 、 IP 優先度サービ ス値 5 にマー ク さ れたパケ ッ ト に合致する よ う 設定 し ます。 Console(config)#class-map rd_class#2 match-any Console(config-cmap)#match ip precedence 5 Console(config-cmap)# こ の例では、 「rd_class#3」 と い う ク ラ ス マ ッ プ を作成 し 、 VLAN 1 にマー ク さ れたパケ ッ ト に合致する よ う 設定 し ます。 Console(config)#class-map rd_class#3 match-any Console(config-cmap)#match vlan 1 Console(config-cmap)# 4-193 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース policy-map こ の コ マ ン ド では、複数のイ ン タ ー フ ェ ースに適用可能なポ リ シー マ ッ プ を作成 し 、ポ リ シー マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 り ます。 no 形式を使用する と 、 ポ リ シー マ ッ プ が削除 さ れ、 グローバル コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド に戻 り ます。 構文 [no] policy-map policy-map-name policy-map-name - ポ リ シー マ ッ プの名前です (範囲 : 1 ~ 16 文字)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ポ リ シー マ ッ プの名前を指定するには、 policy-map コ マ ン ド を使用 し ます。 次に、 class コ マ ン ド を使用 し て、 ク ラ ス マ ッ プに定義 さ れた基準に合致する ト ラ フ ィ ッ ク 用のポ リ シーを構成 し ます。 • 1 つのポ リ シー マ ッ プに複数の class ス テー ト メ ン ト を含める こ と がで き ます。 こ れ によ り 、 service-policy コ マ ン ド (4-197 ページ) を使用 し て、 こ れら を同 じ イ ン タ ー フ ェ ースに適用する こ と が可能です。 • ク ラ ス マ ッ プ をポ リ シー マ ッ プに割 り 当て る前に、 ク ラ ス マ ッ プ (4-194 ページ) を 作成する必要があ り ます。 例 こ の例では、 「rd_policy」 と い う ポ リ シーを作成 し 、 class コ マ ン ド を使用 し て、 あ ら か じ め 定義 さ れた 「rd_class」 を指定 し ます。 次に、 set コ マ ン ド を使用 し て、 着信パケ ッ ト が受け 取るサービ ス を ク ラ ス分け し 、police コ マ ン ド を使用 し て、平均帯域幅を 100,000 Kbps、バー ス ト レー ト を 1522 バイ ト に制限 し 、 違反パケ ッ ト を破棄する よ う 応答を構成 し ます。 Console(config)#policy-map rd_policy Console(config-pmap)#class rd_class Console(config-pmap-c)#set ip dscp 3 Console(config-pmap-c)#police 100000 1522 exceed-action drop Console(config-pmap-c)# class こ の コ マ ン ド では、 ポ リ シーを適用する ト ラ フ ィ ッ ク ク ラ ス分けを定義 し 、 ポ リ シー マ ッ プ ク ラ ス コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 り ます。 no 形式を使用する と 、 ク ラ ス マ ッ プが 削除 さ れ、 ポ リ シー マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン モー ド に戻 り ます。 構文 [no] class class-map-name class-map-name - ク ラ ス マ ッ プの名前です (範囲 : 1 ~ 16 文字)。 デ フ ォ ル ト 設定 なし 4-194 QoS (サービ ス品質) コ マ ン ド 4 コ マ ン ド モー ド ポ リ シー マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ポ リ シー マ ッ プ コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入るには、policy-map コ マ ン ド を 使用 し てポ リ シー マ ッ プ を指定 し ます。 次に、 class コ マ ン ド を使用 し て、 ポ リ シー マ ッ プ ク ラ ス コ ン フ ィ ギ ュ レーシ ョ ン モー ド に入 り ます。最後に、set および police コ マ ン ド を使用 し て、 合致基準を指定 し ます。 - set コ マ ン ド は、 IP パケ ッ ト が受け取るサービ ス を ク ラ ス分け し ます。 - police コ マ ン ド は、 最大スループ ッ ト 、 バース ト レー ト 、 ポ リ シー違反に対する ア ク シ ョ ン を定義 し ます。 • 1 つの ク ラ ス マ ッ プに構成で き るルールは最大 16 個です。 また、 ポ リ シー マ ッ プは 複数の ク ラ スで構成する こ と がで き ます。 例 こ の例では、 「rd_policy」 と い う ポ リ シーを作成 し 、 class コ マ ン ド を使用 し て、 あ ら か じ め 定義 さ れた 「rd_class」 を指定 し ます。 次に、 set コ マ ン ド を使用 し て、 着信パケ ッ ト が受け 取るサービ ス を ク ラ ス分け し 、police コ マ ン ド を使用 し て、平均帯域幅を 100,000 Kbps、バー ス ト レー ト を 1522 バイ ト に制限 し 、 違反パケ ッ ト を破棄する よ う 応答を構成 し ます。 Console(config)#policy-map rd_policy Console(config-pmap)#class rd_class Console(config-pmap-c)#set ip dscp 3 Console(config-pmap-c)#police 100000 1522 exceed-action drop Console(config-pmap-c)# set こ の コ マ ン ド では、 (4-193 ページの match コ マ ン ド で指定 さ れた と お り ) 合致するパケ ッ ト に CoS、 DSCP、 IP 優先度の値を設定する こ と に よ り 、 IP ト ラ フ ィ ッ ク に ク ラ ス分け を提供 し ます。 no 形式を使用する と 、 ト ラ フ ィ ッ クのク ラ ス分けが削除 さ れます。 構文 [no] set {cos new-cos | ip dscp new-dscp | ip precedence new-precedence | ipv6 dscp new-dscp} • new-cos - 新規 CoS (サービ ス ク ラ ス) 値です (範囲 : 0 ~ 7)。 • new-dscp - 新規 DSCP (差別化サービ ス コ ー ド ポ イ ン ト ) 値です (範囲 : 0 ~ 63)。 • new-precedence- 新規 IP 優先度値です (範囲 : 0 ~ 7)。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド ポ リ シー マ ッ プ ク ラ ス コ ン フ ィ ギ ュ レ ーシ ョ ン 4-195 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 こ の例では、 「rd_policy」 と い う ポ リ シーを作成 し 、 class コ マ ン ド を使用 し て、 あ ら か じ め 定義 さ れた 「rd_class」 を指定 し ます。 次に、 set コ マ ン ド を使用 し て、 着信パケ ッ ト が受け 取るサービ ス を ク ラ ス分け し 、police コ マ ン ド を使用 し て、平均帯域幅を 100,000 Kbps、バー ス ト レー ト を 1522 バイ ト に制限 し 、 違反パケ ッ ト を破棄する よ う 応答を構成 し ます。 Console(config)#policy-map rd_policy Console(config-pmap)#class rd_class Console(config-pmap-c)#set ip dscp 3 Console(config-pmap-c)#police 100000 1522 exceed-action drop Console(config-pmap-c)# police こ の コ マ ン ド では、 ク ラ ス分け さ れた ト ラ フ ィ ッ ク に対するポ リ サーを定義 し ます。 no 形式 を使用する と 、 ポ リ サーが削除 さ れます。 構文 [no] police rate-kbps burst-byte [exceed-action {drop | set}] • rate-kbps - レー ト をキロ ビ ッ ト / 秒単位で指定 し ます (範囲 : 1 ~ 100000 kbps または最大ポー ト ス ピー ド の う ちいずれか小 さ い方)。 • burst-byte - バース ト をバイ ト 単位で指定 し ます (範囲 : 64 ~ 1522 バイ ト )。 • drop - 指定 さ れた レー ト またはバース ト レー ト を超過 し た場合にパケ ッ ト を破棄 し ます。 • set - DSCP サービ ス を指定の値に設定 し ます (範囲 : 0 ~ 63)。 デ フ ォ ル ト 設定 プ ロ フ ァ イル外パケ ッ ト を破棄 し ます。 コ マ ン ド モー ド ポ リ シー マ ッ プ ク ラ ス コ ン フ ィ ギ ュ レ ーシ ョ ン コ マ ン ド の使用 • MAC ACL、 IP ACL (標準 ACL および拡張 ACL を含む)、 IPv6 標準 ACL、 および IPv6 拡張 ACL の各ア ク セス リ ス ト タ イ プに対 し て、 最大 64 個のポ リ サー ( メ ー タ ーま たは ク ラ ス マ ッ プ) を構成す る こ と がで き ます。 こ の制限は、 各ス イ ッ チ チ ッ プ に 適用 さ れます(ES4524D: ポー ト 1 ~ 26、ES4548D: ポー ト 1 ~ 25、ポー ト 26 ~ 50)。 • ポ リ シ ングは、 ト ー ク ン バケ ッ ト に基づいて行われます。 こ の と き、 バケ ッ ト の深 さ (バケ ッ ト がオーバー フ ローする前の最大バース ト ) は、 burst-byte フ ィ ール ド で指定 さ れ た 値 に な り ま す。 ま た、 バ ケ ッ ト か ら ト ー ク ン が削除 さ れ る 平均 レ ー ト は、 rate-bps オプ シ ョ ン で指定 さ れた値にな り ます。 4-196 QoS (サービ ス品質) コ マ ン ド 4 例 こ の例では、 「rd_policy」 と い う ポ リ シーを作成 し 、 class コ マ ン ド を使用 し て、 あ ら か じ め 定義 さ れた 「rd_class」 を指定 し ます。 次に、 set コ マ ン ド を使用 し て、 着信パケ ッ ト が受け 取るサービ ス を ク ラ ス分け し 、police コ マ ン ド を使用 し て、平均帯域幅を 100,000 Kbps、バー ス ト レー ト を 1522 バイ ト に制限 し 、 違反パケ ッ ト を廃棄する よ う 応答を構成 し ます。 Console(config)#policy-map rd_policy Console(config-pmap)#class rd_class Console(config-pmap-c)#set ip dscp 3 Console(config-pmap-c)#police 100000 1522 exceed-action drop Console(config-pmap-c)# service-policy こ の コ マ ン ド では、 policy-map コ マ ン ド で定義 さ れた ポ リ シ ー マ ッ プ を、 特定 イ ン タ ー フ ェ ースのイ ング レ ス キ ュ ーに適用 し ます。 no 形式を使用する と 、 こ のイ ン タ ー フ ェ ースか ら ポ リ シー マ ッ プが削除 さ れます。 構文 [no] service-policy input policy-map-name • input - 入力 ト ラ フ ィ ッ ク に適用 し ます。 • policy-map-name - こ のイ ン タ ー フ ェ ースのポ リ シー マ ッ プの名前です (範囲 : 1 ~ 16 文字)。 デ フ ォ ル ト 設定 イ ン タ ー フ ェ ースに割 り 当て ら れたポ リ シー マ ッ プはあ り ません。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • 1 つのイ ン タ ー フ ェ ースに割 り 当て る こ と ので き るポ リ シー マ ッ プは 1 つのみです。 • 最初に ク ラ ス マ ッ プ を定義 し てから、ポ リ シー マ ッ プ を定義する必要があ り ます。最 後に、 service-policy コ マ ン ド を使用 し て、 ポ リ シー マ ッ プ を必要な イ ン タ ー フ ェ ー スにバイ ン ド し ます。 例 こ の例では、 イ ング レ ス イ ン タ ー フ ェ ースにサービ ス ポ リ シーを適用 し ます。 Console(config)#interface ethernet 1/1 Console(config-if)#service-policy input rd_policy Console(config-if)# show class-map こ の コ マ ン ド では、 ト ラ フ ィ ッ ク を ク ラ ス分けす る ための合致基準を定義す る QoS ク ラ ス マ ッ プ を表示 し ます。 構文 show class-map [class-map-name] class-map-name - ク ラ ス マ ッ プの名前です (範囲 : 1 ~ 16 文字)。 4-197 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース デ フ ォ ル ト 設定 すべてのク ラ ス マ ッ プ を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show class-map Class Map match-any rd_class#1 Match ip dscp 3 Class Map match-any rd_class#2 Match ip precedence 5 Class Map match-any rd_class#3 Match vlan 1 Console# show policy-map こ の コ マ ン ド では、着信 ト ラ フ ィ ッ ク のク ラ ス分け基準を定義する QoS ポ リ シー マ ッ プ を表 示 し ます。 帯域幅制限用のポ リ サーを含める こ と も で き ます。 構文 show policy-map [policy-map-name [class class-map-name]] • policy-map-name - ポ リ シー マ ッ プの名前です (範囲 : 1 ~ 16 文字)。 • class-map-name - ク ラ ス マ ッ プの名前です (範囲 : 1 ~ 16 文字)。 デ フ ォ ル ト 設定 すべてのポ リ シー マ ッ プ と すべての ク ラ ス を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show policy-map Policy Map rd_policy class rd_class set ip dscp 3 Console#show policy-map rd_policy class rd_class Policy Map rd_policy class rd_class set ip dscp 3 Console# 4-198 マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド 4 show policy-map interface こ の コ マ ン ド では、 指定イ ン タ ー フ ェ ースに割 り 当て ら れているサービ ス ポ リ シーを表示 し ます。 構文 show policy-map interface interface input interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (範囲 : 1 ~ 8)。 - port - ポー ト 番号です (範囲 : 1 ~ 26/50)。 • port-channel channel-id (範囲 : 1 ~ 32) コ マ ン ド モー ド Privileged Exec 例 Console#show policy-map interface ethernet 1/5 Service-policy rd_policy input Console# マルチキャ スト フ ィ ルタ リ ン グ コ マン ド こ のス イ ッ チ では、 IGMP (イ ン タ ーネ ッ ト グループ マネジ メ ン ト プ ロ ト コ ル) に よ っ て、 特定のマルチキ ャ ス ト サー ビ スの受信を希望 し てい る接続ホ ス ト の問合わせが行われます。 ス イ ッ チは、 サー ビ ス を要求する ホ ス ト が接続 さ れたポー ト を特定 し 、 こ れ ら のポー ト にの みデー タ を送信 し ます。 その後、 サービ ス要求は隣接マルチキ ャ ス ト ス イ ッ チ / ルー タ に伝 搬 さ れ、 引き続き マルチキ ャ ス ト サービ ス を受け ら れる よ う に し ます。 表 4-66. マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド コ マ ン ド グループ 機能 IGMP ス ヌ ーピ ング IGMP ス ヌ ー ピ ン グ ま たは ス タ テ ィ ッ ク 割当 て に よ る マ ルチ 4-200 キ ャ ス ト グループの構成、 IGMP バージ ョ ンの設定、 現在のス ヌ ーピ ングおよび ク エ リ ー設定の表示、 マルチキ ャ ス ト サービ スおよびグループ メ ンバーの表示を行います。 ページ IGMP ク エ リ ー レ イヤー 2 でのマルチキ ャ ス ト フ ィ ル タ リ ングに対する IGMP 4-204 ク エ リ ー パラ メ ー タ を構成 し ます。 ス タ テ ィ ッ ク マルチ キ ャ ス ト ルーテ ィ ング ス タ テ ィ ッ ク マルチキ ャ ス ト ルー タ ポー ト を構成 し ます。 マルチキ ャ ス ト VLAN 登録 ほかの標準またはプ ラ イ ベー ト VLAN グループに属する ホス ト 4-209 で共有 さ れる、 ネ ッ ト ワー ク 全体に渡る単一のマルチキ ャ ス ト VLAN を構成 し 、 通常の ト ラ フ ィ ッ ク に対 し てセキ ュ リ テ ィ お よびデー タ の隔離を確保 し ます。 4-207 4-199 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース IGMP ス ヌ ーピ ン グ コ マ ン ド 表 4-67. IGMP ス ヌ ーピ ング コ マ ン ド コマン ド 機能 モー ド ページ ip igmp snooping IGMP ス ヌ ーピ ングを有効に し ます。 GC 4-200 ip igmp snooping vlan static イ ン タ ー フ ェ ー ス を マルチキ ャ ス ト グルー プ の メ ン GC バー と し て追加 し ます。 4-200 ip igmp snooping version ス ヌ ーピ ングの IGMP バージ ョ ン を構成 し ます。 GC 4-201 ip igmp snooping leave-proxy ス イ ッ チで IGMP リ ーブ プ ロキシ を有効に し ます。 GC 4-202 ip igmp snooping immediate-leave VLAN イ ン タ ー フ ェ ースで IGMP 即時 リ ーブ を有効に IC し ます。 4-202 show ip igmp snooping IGMP ス ヌ ーピ ングおよび ク エ リ ー コ ン フ ィ ギ ュ レー PE シ ョ ン を表示 し ます。 4-202 show mac-address-table IGMP ス ヌ ーピ ン グ MAC マルチキ ャ ス ト リ ス ト を表 PE multicast 示 し ます。 4-203 ip igmp snooping こ の コ マ ン ド では、 こ のス イ ッ チで IGMP ス ヌ ーピ ン グ を有効に し ます。 no 形式を使用する と 、 無効にな り ます。 構文 [no] ip igmp snooping デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 次の例では、 IGMP ス ヌ ーピ ング を有効に し ます。 Console(config)#ip igmp snooping Console(config)# ip igmp snooping vlan static こ の コ マ ン ド では、 マルチキ ャ ス ト グループにポー ト を追加 し ます。 no 形式を使用する と 、 ポー ト が削除 さ れます。 構文 [no] ip igmp snooping vlan vlan-id static ip-address interface • vlan-id - VLAN ID です (範囲 : 1 ~ 4094)。 • ip-address - マルチキ ャ ス ト グループの IP ア ド レ スです。 • interface 4-200 マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド 4 • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) デ フ ォ ル ト 設定 なし コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 例 次の例は、 ポー ト でマルチキ ャ ス ト グループ を静的に構成する方法を示 し ています。 Console(config)#ip igmp snooping vlan 1 static 224.0.0.12 ethernet 1/5 Console(config)# ip igmp snooping version こ の コ マ ン ド では、 IGMP ス ヌ ー ピ ン グのバージ ョ ン を構成 し ます。 no 形式を使用す る と 、 デ フ ォ ル ト に戻 り ます。 構文 ip igmp snooping version {1 | 2} no ip igmp snooping version • 1 - IGMP バージ ョ ン 1 • 2 - IGMP バージ ョ ン 2 デ フ ォ ル ト 設定 IGMP バージ ョ ン 2 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • サブネ ッ ト 上のすべてのシ ス テムは同一バージ ョ ン をサポー ト し ている必要があ り ま す。バージ ョ ン 1 のみをサポー ト する レ ガシー デバイ スがネ ッ ト ワー ク上に存在する 場合、 こ のス イ ッ チで も バージ ョ ン 1 を使用する よ う 構成する必要があ り ます。 • ip igmp query-max-response-time や ip igmp query-timeout な ど、 IGMPv2 でのみ 使用可能な コ マ ン ド も あ り ます。 例 次の例では、 IGMP バージ ョ ン 1 を使用する よ う ス イ ッ チ を構成 し ます。 Console(config)#ip igmp snooping version 1 Console(config)# 4-201 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース ip igmp snooping leave-proxy こ の コ マ ン ド では、 ス イ ッ チ で IGMP リ ーブ プ ロキシ を有効に し ます。 no 形式を使用す る と 、 こ の機能が無効にな り ます。 構文 [no] ip igmp snooping leave-proxy デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • IGMP ス ヌ ーピ ング リ ーブ プ ロキシ機能は、 不要な IGMP leave メ ッ セージ をすべて 抑止する こ と によ り 、 最後のダ イ ナ ミ ッ ク メ ンバー ポー ト がマルチキ ャ ス ト グルー プか ら離脱 し た場合のみ、 ク エ リ ア以外のス イ ッ チが IGMP leave パケ ッ ト を転送す る よ う に し ます。 • リ ーブプ ロキシ機能は、ス イ ッ チがク エ リ ア と し て設定 されている場合は機能し ません。 例 Console(config)#ip igmp snooping leave-proxy Console(config)# ip igmp snooping immediate-leave こ の コ マ ン ド では、 特定の VLAN で IGMP 即時 リ ーブ を有効に し ます。 no 形式を使用す る と 、 VLAN で こ の機能が無効にな り ます。 構文 [no] ip igmp snooping immediate-leave デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (VLAN) コ マ ン ド の使用 IGMP ス ヌ ーピ ング即時 リ ーブ機能では、 最初に IGMP グループ固有の ク エ リ ーを イ ン タ ー フ ェ ースに送信 し な く て も、 マルチキ ャ ス ト フ ォ ワーデ ィ ン グ テーブルか ら レ イ ヤー 2 LAN イ ン タ ー フ ェ ース を削除で き ます。 ス イ ッ チは、 グルー プ固有の IGMPv2 leave メ ッ セージ を受信する と 、 ポー ト でマルチキ ャ ス ト ルー タ が学習 さ れていなけれ ば、 そのマルチキ ャ ス ト グループのレ イ ヤー 2 フ ォ ワーデ ィ ング テーブル エ ン ト リ か ら即座に イ ン タ ー フ ェ ース を削除 し ます。 4-202 マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド 4 例 Console(config)#interface vlan 1 Console(config-if)#ip igmp snooping immediate-leave Console(config-if)# show ip igmp snooping こ の コ マ ン ド では、 IGMP ス ヌ ーピ ング コ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 表示 さ れる項目については、 3-155 ページの 「IGMP ス ヌ ーピ ン グおよび ク エ リ ー パラ メ ー タ の構成」 を参照 し て く だ さ い。 例 次の例では、 IGMP ス ヌ ーピ ングの現在のコ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 Console#show ip igmp snooping Service status: Enabled Querier status: Enabled Leave proxy status: Disabled Query count: 10 Query interval: 100 sec Query max response time: 20 sec Router port expire time: 300 sec Immediate Leave Processing: Disabled on all VLAN IGMP snooping version: Version 2 Console# show mac-address-table multicast こ の コ マ ン ド では、 既知のマルチキ ャ ス ト ア ド レ ス を表示 し ます。 構文 show mac-address-table multicast [vlan vlan-id] [user | igmp-snooping] • vlan-id - VLAN ID です (1 ~ 4094)。 • user - ユーザーが構成 し たマルチキ ャ ス ト エ ン ト リ のみ表示 し ます。 • igmp-snooping - IGMP ス ヌーピ ングによ っ て学習し たエ ン ト リ のみを表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 4-203 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 表示 さ れる メ ンバー タ イ プは IGMP または USER です。 こ れは、 選択 さ れている オプ シ ョ ンによ り 異な り ます。 例 次の例では、 IGMP ス ヌ ーピ ン グに よ っ て学習 し た、 VLAN 1 の マルチキ ャ ス ト エ ン ト リ を 表示 し ます。 Console#show mac-address-table multicast vlan 1 igmp-snooping VLAN M'cast IP addr. Member ports Type ---- --------------- ------------ ------1 224.1.2.3 Eth1/11 IGMP Console# IGMP ク エ リ ー コ マ ン ド (レ イヤー 2) 表 4-68. IGMP ク エ リ ー コ マ ン ド (レ イヤー 2) コマン ド 機能 ip igmp snooping querier こ のデバ イ スが IGMP ス ヌ ー ピ ン グの ク エ リ ア と し GC て機能で き る よ う に し ます。 4-204 ip igmp snooping query-count ク エ リ ー カ ウン ト を構成 し ます。 GC 4-205 ip igmp snooping query-interval ク エ リ ー間隔を構成 し ます。 GC 4-205 ip igmp snooping レポー ト 遅延を構成 し ます。 query-max-response-time GC 4-206 ip igmp snooping router-port-expire-time GC 4-206 ク エ リ ー タ イムアウ ト を構成 し ます。 モー ド ページ ip igmp snooping querier こ の コ マ ン ド では、 こ のス イ ッ チ を IGMP ク エ リ ア と し て有効に し ます。 no 形式を使用する と 、 無効にな り ます。 構文 [no] ip igmp snooping querier デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 有効にな っ ている場合、 選出さ れる と 、 ス イ ッ チはク エ リ ア と し て機能し ます。 ク エ リ ア は、マルチキャ ス ト ト ラ フ ィ ッ ク を受信するかど う かをホス ト に問い合わせる ものです。 例 Console(config)#ip igmp snooping querier Console(config)# 4-204 マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド 4 ip igmp snooping query-count こ の コ マ ン ド では、 ク エ リ ー カ ウン ト を構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 ip igmp snooping query-count count no ip igmp snooping query-count count - ス イ ッ チがマルチキ ャ ス ト グループか ら ク ラ イ ア ン ト を削除する前に、 応答 を受け取ら ないま ま ク エ リ ーを発行で き る最大回数です (範囲 : 2 ~ 10)。 デ フ ォ ル ト 設定 2回 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 ク エ リ ー カ ウン ト は、 ク エ リ アがグループか ら ク ラ イ ア ン ト を削除する と い う ア ク シ ョ ン を取る前に、 マルチキ ャ ス ト ク ラ イ ア ン ト か ら の応答を待機で き る時間を定義 し ま す。 ク エ リ アが、 こ の コ マ ン ド で定義 さ れた回数 ク エ リ ーを送信 し て も ク ラ イ ア ン ト が 応答 し ない場合、 ip igmp snooping query-max- response-time で定義 さ れた時間に 基づいて、 カ ウン ト ダウン タ イ マーが開始 し ます。 カ ウン ト ダウ ンが終了 し て も ク ラ イ ン ト か ら応答がない場合、 そのク ラ イ ア ン ト は、 マルチキ ャ ス ト グループから 離脱 し た もの と 見な さ れます。 例 次の例は、 ク エ リ ー カ ウ ン ト を 10 回に構成する方法を示 し ています。 Console(config)#ip igmp snooping query-count 10 Console(config)# 関連 コ マ ン ド ip igmp snooping query-max-response-time (4-206) ip igmp snooping query-interval このコ マ ン ド では、ク エ リ ー間隔を構成 し ます。no 形式を使用する と 、デフ ォル ト に戻 り ます。 構文 ip igmp snooping query-interval seconds no ip igmp snooping query-interval seconds - ス イ ッ チが IGMP ホス ト ク エ リ ー メ ッ セージ を送信する頻度です (範囲 : 60 ~ 125)。 デ フ ォ ル ト 設定 125 秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-205 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 次の例は、 ク エ リ ー間隔を 100 秒に構成する方法を示 し ています。 Console(config)#ip igmp snooping query-interval 100 Console(config)# ip igmp snooping query-max-response-time こ の コ マ ン ド では、 ク エ リ ー レ ポー ト の最大遅延時間を構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト に戻 り ます。 構文 ip igmp snooping query-max-response-time seconds no ip igmp snooping query-max-response-time seconds - IGMP ク エ リ ーで ア ド バ タ イ ズ さ れる レ ポー ト 遅延です (範囲 : 5 ~ 25)。 デ フ ォ ル ト 設定 10 秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • このコ マ ン ド を有効にするには、 ス イ ッ チが IGMPv2 を使用し ている必要があ り ます。 • こ の コ マ ン ド では、 ク エ リ ー送信後にマルチキ ャ ス ト ク ラ イ ア ン ト か らの応答を待機 する最大時間を定義 し ます。 ク エ リ アが、 ip igmp snooping query-count で定義 さ れた回数 ク エ リ ーを送信 し て も ク ラ イ ア ン ト が応答 し ない場合、 こ の コ マ ン ド で設定 さ れた初期値に基づいて、 カ ウ ン ト ダウン タ イ マーが開始 し ます。 カ ウン ト ダウンが 終了 し て も ク ラ イ ン ト か ら応答がない場合、 そのク ラ イ ア ン ト は、 マルチキ ャ ス ト グ ループから離脱 し た もの と 見な さ れます。 例 次の例は、 最大応答時間を 20 秒に構成する方法を示 し ています。 Console(config)#ip igmp snooping query-max-response-time 20 Console(config)# 関連 コ マ ン ド ip igmp snooping version (4-201) ip igmp snooping query-max-response-time (4-206) ip igmp snooping router-port-expire-time こ の コ マ ン ド では、 ク エ リ ー タ イ ムアウ ト を構成 し ます。 no 形式を使用する と 、 デ フ ォル ト に戻 り ます。 構文 ip igmp snooping router-port-expire-time seconds no ip igmp snooping router-port-expire-time 4-206 マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド 4 seconds - 直前のク エ リ アが停止 し た後、 ルー タ ポー ト ( ク エ リ ー パケ ッ ト を受信 し ていた イ ン タ ー フ ェ ース)の期限が切れた と 見なすま で、ス イ ッ チが待機する時間です (範囲 : 300 ~ 500)。 デ フ ォ ル ト 設定 300 秒 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 こ の コ マ ン ド を有効にするには、 ス イ ッ チが IGMPv2 を使用 し ている必要があ り ます。 例 次の例は、 デ フ ォル ト の タ イ ムアウ ト を 300 秒に構成する方法を示 し ています。 Console(config)#ip igmp snooping router-port-expire-time 300 Console(config)# 関連 コ マ ン ド ip igmp snooping version (4-201) ス タ テ ィ ッ ク マルチキ ャ ス ト ルーテ ィ ン グ コ マ ン ド 表 4-69. ス タ テ ィ ッ ク マルチキ ャ ス ト ルーテ ィ ング コ マ ン ド コマン ド 機能 モー ド ページ ip igmp snooping vlan mrouter マルチキ ャ ス ト ルー タ ポー ト を追加 し ます。 GC 4-207 show ip igmp snooping mrouter マルチキ ャ ス ト ルー タ ポー ト を表示 し ます。 PE 4-208 ip igmp snooping vlan mrouter こ の コ マ ン ド では、 マルチキ ャ ス ト ルー タ ポー ト を静的に構成 し ます。 no 形式を使用する と 、 コ ン フ ィ ギ ュ レーシ ョ ンが削除 さ れます。 構文 [no] ip igmp snooping vlan vlan-id mrouter interface • vlan-id - VLAN ID です (範囲 : 1 ~ 4094)。 • interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 52)。 • port-channel channel-id (範囲 : 1 ~ 8) デ フ ォ ル ト 設定 ス タ テ ィ ッ ク マルチキ ャ ス ト ルー タ ポー ト は構成 さ れていません。 4-207 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 ネ ッ ト ワー ク接続に よ っ ては、 IGMP ス ヌ ーピ ングで IGMP ク エ リ ア を特定で き る と は 限 り ません。 こ のため、 IGMP ク エ リ アが、 ルー タ 上のイ ン タ ー フ ェ ース (ポー ト ま た は ト ラ ン ク) にネ ッ ト ワー ク接続 さ れた既知のマルチキ ャ ス ト ルー タ / ス イ ッ チであ る 場合、 こ のイ ン タ ー フ ェ ースが現在のすべてのマルチキ ャ ス ト グループに参加する よ う 手動で構成する こ と がで き ます。 例 次の例は、 ポー ト 11 を VLAN 1 内のマルチキ ャ ス ト ルー タ ポー ト と し て構成する方法を示 し ています。 Console(config)#ip igmp snooping vlan 1 mrouter ethernet 1/11 Console(config)# show ip igmp snooping mrouter こ の コ マ ン ド では、 静的に構成 さ れたマルチキ ャ ス ト ルー タ ポー ト 、 および動的に学習 さ れ たマルチキ ャ ス ト ルー タ ポー ト の情報を表示 し ます。 構文 show ip igmp snooping mrouter [vlan vlan-id] vlan-id - VLAN ID です (範囲 : 1 ~ 4094)。 デ フ ォ ル ト 設定 構成 さ れているすべての VLAN のマルチキ ャ ス ト ルー タ ポー ト を表示 し ます。 コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 表示 さ れる マルチキ ャ ス ト ルー タ ポー ト の タ イ プは Static です。 例 次の例は、VLAN 1 内のポー ト 11 がマルチキ ャ ス ト ルー タ に接続 さ れている こ と を示 し てい ます。 Console#show ip igmp snooping mrouter vlan 1 VLAN M'cast Router Ports Type ---- ------------------- ------1 Eth 1/11 Static 2 Eth 1/12 Static Console# 4-208 マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド 4 マルチキ ャ ス ト VLAN 登録 コ マ ン ド こ のセ ク シ ョ ン では、 マルチキ ャ ス ト VLAN 登録 (MVR) の構成に使用 さ れる コ マ ン ド につ いて説明 し ます。 ネ ッ ト ワー ク 全体に渡る単一の VLAN を使用 し て、 サービ ス プ ロバイ ダの ネ ッ ト ワー ク 全域にマルチキ ャ ス ト ト ラ フ ィ ッ ク (テ レ ビ チ ャ ン ネルな ど) を送信する こ と がで き ます。 MVR VLAN に入る マルチキ ャ ス ト ト ラ フ ィ ッ クは、 すべてのサブ ス ク ラ イバに 送信 さ れます。 こ れに よ り 、 通常のマルチキ ャ ス ト VLAN において分散ツ リ ーを動的に監視、 確立する ために必要 と な る処理オーバーヘ ッ ド を大幅に低減で き ます。 また、 MVR では、 サ ブ ス ク ラ イ バが属す る ほかの VLAN にのみマルチ キ ャ ス ト ト ラ フ ィ ッ ク が渡 さ れ る ため、 VLAN 分離によ り 提供 さ れるユーザーの隔離 と デー タ セキ ュ リ テ ィ が確保 さ れます。 表 4-70. マルチキ ャ ス ト VLAN 登録 コ マ ン ド コマン ド 機能 mvr MVR を グローバルに有効するか、MVR グループ ア ド レ ス を GC 静的に構成するか、 または MVR VLAN 識別子を指定 し ます。 モー ド ページ 4-209 mvr イ ン タ ー フ ェ ース を MVR 受信ポー ト または送信元ポー ト と IC し て構成するか、 即時 リ ーブ機能を有効にするか、 またはイ ン タ ー フ ェ ース を MVR VLAN のス タ テ ィ ッ ク メ ンバー と し て構成 し ます。 4-210 show mvr グ ロ ー バル な MVR コ ン フ ィ ギ ュ レ ー シ ョ ン 設 定、 MVR PE VLAN に 接続 さ れ て い る イ ン タ ー フ ェ ー ス、 ま た は MVR VLAN に割 り 当て ら れて い る マルチキ ャ ス ト グルー プ に関 する情報を表示 し ます。 4-212 mvr (グローバル コ ン フ ィ ギ ュ レーシ ョ ン) こ の コ マ ン ド では、 ス イ ッ チでマルチキ ャ ス ト VLAN 登録 (MVR) を グローバルに有効にす るか、group キーワー ド を使用 し て MVR マルチキ ャ ス ト グループの IP ア ド レ ス を静的に構 成するか、 または vlan キーワー ド を使用 し て MVR VLAN 識別子を指定し ます。 キーワー ド を 指定せずに no 形式を使用する と 、 MVR がグ ローバルに無効にな り ます。 group キーワー ド を指定 し て no 形式を使用する と 、 特定のア ド レ ス またはア ド レ スの範囲が削除 さ れます。 ま た、vlan キーワー ド を指定 し て no 形式を使用する と 、デ フ ォル ト の MVR VLAN に戻 り ます。 構文 [no] mvr [group ip-address [count] | vlan vlan-id] • ip-address - MVR マルチキ ャ ス ト グループの IP ア ド レ ス です (範囲 : 224.0.1.0 ~ 239.255.255.255)。 • count - 連続する MVR グループ ア ド レ スの数です。 (範囲 : 1 ~ 255)。 • vlan-id - MVR VLAN ID です (範囲 : 1 ~ 4094)。 デ フ ォ ル ト 設定 • MVR は無効です。 • MVR グループ ア ド レ スは定義 さ れていません。 • 連続する ア ド レ スのデ フ ォ ル ト 数は 0 です。 • MVR VLAN ID は 1 です。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-209 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 • MVR VLAN に参加するすべてのマルチキ ャ ス ト グループ ア ド レ ス を静的に構成する には、 mvr group コ マ ン ド を使用 し ます。 MVR グループに関連付けれたマルチキ ャ ス ト デー タ は、 すべての送信元ポー ト か ら 、 そのマルチキ ャ ス ト グループか ら デー タ を受信する よ う 登録 し ているすべての受信ポー ト へ送信 さ れます。 • マルチキ ャ ス ト ス ト リ ームには、IP ア ド レ ス範囲 224.0.0.0 ~ 239.255.255.255 が使 用 さ れます。 MVR グループ ア ド レ スには、 予約 さ れた IP マルチキ ャ ス ト ア ド レ ス 範囲 224.0.0.x は使用で き ません。 • サブ ス ク ラ イバが MVR グループに動的に参加または離脱する ためには、IGMP ス ヌ ー ピ ングが有効にな っ ている必要があ り ます (4-200 ページの 「ip igmp snooping」 を 参照) 。 マルチキ ャ ス ト join または leave メ ッ セージ を発行で き るのは、 IGMP バー ジ ョ ン 2 ま たは 3 ホス ト のみです。 例 次の例では、 MVR を グ ローバルに有効に し 、 MVR グループ ア ド レ スの範囲を構成 し ます。 Console(config)#mvr Console(config)#mvr group 228.1.23.1 10 Console(config)# mvr (イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン) こ の コ マ ン ド では、 type キーワー ド を使用 し て イ ン タ ー フ ェ ース を MVR 受信ポー ト ま たは 送信元ポー ト と し て構成するか、 immediate キーワー ド を使用 し て即時 リ ーブ機能を有効に するか、 ま たは group キーワー ド を使用 し て イ ン タ ー フ ェ ース を MVR VLAN のス タ テ ィ ッ ク メ ンバー と し て構成 し ます。 no 形式を使用する と 、 デ フ ォ ル ト 設定に戻 り ます。 構文 [no] mvr {type {receiver | source} | immediate | group ip-address} • receiver - イ ン タ ー フ ェ ース を、 マルチキ ャ ス ト デー タ を受信可能なサブ ス ク ラ イ バ ポー ト と し て構成 し ます。 • source - イ ン タ ー フ ェ ース を、 構成 さ れている マルチキ ャ ス ト グループ宛のマル チキ ャ ス ト デー タ を送受信可能な ア ッ プ リ ン ク ポー ト と し て構成 し ます。 • immediate - イ ン タ ー フ ェ ースが属するグループの leave メ ッ セージ を受信 し た場 合に、即座にそのイ ン タ ー フ ェ ース を マルチキ ャ ス ト ス ト リ ームか ら削除する よ う ス イ ッ チ を構成 し ます。 • ip-address - MVR マルチキ ャ ス ト グループに指定 さ れた IP ア ド レ スか ら マルチ キ ャ ス ト ト ラ フ ィ ッ ク を受信する よ う イ ン タ ー フ ェ ース を静的に構成 し ます (範囲 : 224.0.1.0 ~ 239.255.255.255)。 デ フ ォ ル ト 設定 • ポー ト タ イ プは定義 さ れていません。 • 即時 リ ーブは無効です。 • 構成 さ れたマルチキ ャ ス ト グループの メ ンバーにな っ ている受信ポー ト はあ り ません。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) 4-210 マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド 4 コ マ ン ド の使用 • MVR 受信ポー ト または送信元ポー ト と し て構成 さ れていないポー ト では、 IGMP ス ヌ ーピ ング を使用 し て、 マルチキ ャ ス ト フ ィ ル タ リ ングの標準ルールに従っ て マルチ キ ャ ス ト グループに参加または離脱する こ と がで き ます。 • MVR 受信ポー ト が ト ラ ン クの メ ンバーにな る こ と はで き ません。受信ポー ト は複数の VLAN に属する こ と がで き ますが、MVR VLAN の メ ンバー と し て構成 し ないで く だ さ い。IGMP ス ヌ ーピ ングに よ り 、受信ポー ト は MVR VLAN 内のマルチキ ャ ス ト グルー プに動的に参加ま たは離脱する こ と がで き ます。 group キーワー ド を使用 し て、 マル チキ ャ ス ト グループ を静的に受信ポー ト に割 り 当て る こ と も で き ます。 • 1 つ以上のイ ン タ ー フ ェ ース を MVR 送信元ポー ト と し て構成で き ます。 送信元ポー ト では、 IGMP ス ヌ ーピ ングに よ っ て参加 し たか、 group キーワー ド によ っ て静的に 割 り 当て られたマルチキ ャ ス ト グループ宛のデー タ を送受信で き ます。 • マルチキ ャ ス ト ス ト リ ームには、IP ア ド レ ス範囲 224.0.0.0 ~ 239.255.255.255 が使 用 さ れます。 MVR グループ ア ド レ スには、 予約 さ れた IP マルチキ ャ ス ト ア ド レ ス 範囲 224.0.0.x 内のア ド レ ス を使用で き ません。 • 即時 リ ーブは受信ポー ト にのみ適用 さ れます。 こ の機能が有効な場合、受信ポー ト は、 leave メ ッ セージに指定 さ れたマルチキ ャ ス ト グループから即座に削除 さ れます。 即 時 リ ーブ機能が無効な場合、 ス イ ッ チは標準ルールに従い、 ポー ト を グループ リ ス ト から 削除する前にグループ固有のク エ リ ーを受信ポー ト に送信 し て応答を待機 し 、 そ のマルチキ ャ ス ト グループにサブ ス ク ラ イバが残っ ているかど う かを判断 し ます。 • 即時 リ ーブ機能を使用する と 離脱時の遅延を短縮で き ますが、 同 じ イ ン タ ー フ ェ ース に接続 さ れたほかのグループ メ ンバーに対するサービ スに悪影響を与えない よ う 、 1 つのマルチキ ャ ス ト サブ ス ク ラ イバに接続 さ れたポー ト でのみ有効に し て く だ さ い。 • 即時 リ ーブは、 ポー ト に静的に割 り 当て ら れたマルチキ ャ ス ト グループには適用 さ れ ません。 • サブ ス ク ラ イバが MVR グループに動的に参加または離脱する ためには、IGMP ス ヌ ー ピ ングが有効にな っ ている必要があ り ます (4-200 ページの 「ip igmp snooping」 を 参照) 。 マルチキ ャ ス ト join または leave メ ッ セージ を発行で き るのは、 IGMP バー ジ ョ ン 2 ま たは 3 ホス ト のみです。 例 次の例では、 ス イ ッ チに 1 つの送信元ポー ト と 複数の受信ポー ト を構成 し 、 受信ポー ト の 1 つで即時 リ ーブ を有効に し 、 別の受信ポー ト にマルチキ ャ ス ト グループ を静的に割 り 当て ま す。 Console(config)#interface ethernet 1/5 Console(config-if)#mvr type source Console(config-if)#exit Console(config)#interface ethernet 1/6 Console(config-if)#mvr type receiver Console(config-if)#mvr immediate Console(config-if)#exit Console(config)#interface ethernet 1/7 Console(config-if)#mvr type receiver Console(config-if)#mvr group 225.0.0.5 Console(config-if)# 4-211 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース show mvr こ の コ マ ン ド では、グ ローバルな MVR コ ン フ ィ ギ ュ レーシ ョ ン設定 (キーワー ド な し )、MVR VLAN に接続 さ れた イ ン タ ー フ ェ ース (interface キーワー ド を使用)、 または MVR VLAN に 割 り 当て ら れた マルチキ ャ ス ト グループ (members キーワー ド を使用) に関す る情報を表 示 し ます。 構文 show mvr [interface [interface] | members [ip-address]] • interface • ethernet unit/port - unit - ス タ ッ ク ユニ ッ ト です (範囲 : 1)。 - port - ポー ト 番号です (範囲 : 1 ~ 28)。 • port-channel channel-id (範囲 : 1 ~ 12) • ip-address - MVR マルチキ ャ ス ト グループの IP ア ド レ ス です (範囲 : 224.0.1.0 ~ 239.255.255.255)。 デ フ ォ ル ト 設定 キーワー ド を使用 し ない場合、MVR のグローバルな コ ン フ ィ ギ ュ レーシ ョ ン設定を表示 し ます。 コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 MVR のグローバル設定を表示するには、キーワー ド を指定せずに こ の コ マ ン ド を入力 し ま す。 MVR VLAN に 接 続 さ れ た イ ン タ ー フ ェ ー ス に 関 す る 情報 を 表示 す る に は、 interface キーワー ド を使用 し ます。 ま た、 MVR VLAN に割 り 当て られたマルチキ ャ ス ト グループに関する情報を表示する には、 members キーワー ド を使用 し ます。 例 次の例では、 グローバルな MVR 設定を表示 し ます。 Console#show mvr MVR Status:enable MVR running status:TRUE MVR multicast vlan:1 MVR Max Multicast Groups:255 MVR Current multicast groups:10 Console# 表 4-71. show mvr - フ ィ ール ド の説明 フ ィ ール ド 説明 MVR Status ス イ ッ チで MVR がグ ローバルに有効にな っ てい るかど う かを表示 し ま す。 MVR running status MVR 環境の必要条件がすべて満た さ れているかど う かを示 し ます。 MVR multicast vlan すべての MVR マルチキ ャ ス ト ト ラ フ ィ ッ クの転送に使用 さ れる VLAN を表示 し ます。 4-212 4 マルチキ ャ ス ト フ ィ ル タ リ ング コ マ ン ド 表 4-71. show mvr - フ ィ ール ド の説明 (続き) フ ィ ール ド 説明 MVR Max Multicast Groups MVR VLAN に割当て可能な マルチキ ャ ス ト グループの最大数を表示 し ます。 MVR Current multicast groups 現在 MVR VLAN に割 り 当て られている マルチキ ャ ス ト グループの数を 表示 し ます。 次の例は、 MVR VLAN に接続 さ れた イ ン タ ー フ ェ ースに関する情報を表示 し ています。 Console#show mvr interface Port Type Status ------- -------------------eth1/1 SOURCE ACTIVE/UP eth1/2 RECEIVER ACTIVE/UP eth1/5 RECEIVER INACTIVE/DOWN eth1/6 RECEIVER INACTIVE/DOWN eth1/7 RECEIVER INACTIVE/DOWN Console# Immediate Leave --------------Disable Disable Disable Disable Disable 表 4-72. show mvr interface - フ ィ ール ド の説明 フ ィ ール ド 説明 Port MVR に接続 さ れた イ ン タ ー フ ェ ース を表示 し ます。 Type MVR ポー ト タ イ プ を表示 し ます。 Status MVR ス テー タ ス と イ ン タ ー フ ェ ース ス テー タ ス を表示 し ます。 ス イ ッ チで MVR がグローバルに有効にな っ ている場合、 送信元ポー ト の MVR ス テー タ スは 「ACTIVE」 にな り ます。 受信ポー ト の MVR ス テー タ スが 「ACTIVE」 と な るのは、 いずれかの MVR グループか ら マルチキ ャ ス ト ト ラ フ ィ ッ ク を受信 し てい るサブ ス ク ラ イバが存在するか、 またはマル チキ ャ ス ト グルー プが イ ン タ ー フ ェ ースに静的に割 り 当て ら れてい る 場合のみです。 Immediate Leave 即時 リ ーブが有効か無効かを表示 し ます。 次の例では、MVR VLAN に割 り 当て られたマルチキ ャ ス ト グループに関連付け られている イ ン タ ー フ ェ ースに関する情報を表示 し ています。 Console#show mvr members MVR Group IP Status ---------------- -------225.0.0.1 ACTIVE 225.0.0.2 INACTIVE 225.0.0.3 INACTIVE 225.0.0.4 INACTIVE 225.0.0.5 INACTIVE 225.0.0.6 INACTIVE 225.0.0.7 INACTIVE 225.0.0.8 INACTIVE 225.0.0.9 INACTIVE 225.0.0.10 INACTIVE Console# Members ------eth1/1(d), eth1/2(s) None None None None None None None None None 4-213 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 表 4-73. show mvr members - フ ィ ール ド の説明 フ ィ ール ド 説明 MVR Group IP MVR VLAN に割 り 当て られたマルチキ ャ ス ト グループ Status こ のマルチキ ャ ス ト グループ にア ク テ ィ ブ なサブ ス ク ラ イバが存在する かど う かを表示 し ます。 MVR がグローバルに無効にな っ てい る場合、 こ の フ ィ ール ド には 「INACTIVE」 も表示 さ れます。 Members MVR VLAN によ っ て提供 さ れる マルチキ ャ ス ト サービ スのサブ ス ク ラ イ バが接続 し ている イ ン タ ー フ ェ ース を表示 し ます。イ ン タ ー フ ェ ースがマ ルチキ ャ ス ト グループに動的に参加 し たか (d) 、 イ ン タ ー フ ェ ースにマ ルチキ ャ ス ト グループが静的にバイ ン ド さ れたか (s) も表示 し ます。 IP イ ン タ ーフ ェ ース コ マン ド IP ア ド レ スは、 お使いのネ ッ ト ワー ク を介 し て ス イ ッ チに管理ア ク セスする ために使用 さ れ ます。 デ フ ォ ル ト では、 こ のス イ ッ チの IP ア ド レ スは DHCP によ っ て取得 さ れます。 また、 手動で特定の IP を構成する、 ま たは電源投入時に BOOTP ま たは DHCP サーバーか ら ア ド レ ス を取得する よ う デバ イ ス を設定する こ と も 可能です。 場合に よ っ ては、 別のネ ッ ト ワー ク セグ メ ン ト に存在する管理ス テーシ ョ ンやその他のデバイ ス と こ のデバイ ス間のデ フ ォ ル ト のゲー ト ウ ェ イ を確立する必要があ り ます。 表 4-74. IP イ ン タ ー フ ェ ース コ マ ン ド コマン ド 機能 モー ド ページ ip address 現在のイ ン タ ー フ ェ ースの IP ア ド レ ス を設定 し ます。 IC 4-214 ip default-gateway こ のス イ ッ チがほかのサブ ネ ッ ト ワー ク に ア ク セ ス す る GC のに使用するデ フ ォル ト ゲー ト ウ ェ イ を定義 し ます。 4-215 ip dhcp restart BOOTP ま たは DHCP ク ラ イ ア ン ト 要求をサブ ミ ッ ト し PE ます。 4-216 show ip interface こ のデバイ スの IP 設定を表示 し ます。 PE 4-217 show ip redirects こ のデバ イ スに対 し て構成 さ れてい る デ フ ォ ル ト ゲー ト PE ウ ェ イ を表示 し ます。 4-217 ping ICMP エ コ ー要求パケ ッ ト を ネ ッ ト ワー ク上の別の ノ ー ド NE、PE 4-217 に送信 し ます。 ip address こ の コ マ ン ド では、 現在選択 さ れてい る VLAN イ ン タ ー フ ェ ースの IP ア ド レ ス を設定 し ま す。 no 形式を使用する と 、 デ フ ォル ト の IP ア ド レ スに戻 り ます。 構文 ip address {ip-address netmask | bootp | dhcp} no ip address • ip-address - IP ア ド レ スです。 • netmask - 対応する IP サブネ ッ ト のネ ッ ト ワー ク マス ク です。 こ のマス クは、 特 定のサブ ネ ッ ト へのルーテ ィ ングに使用 さ れる ホス ト ア ド レ ス ビ ッ ト を識別する ものです。 • bootp - BOOTP によ っ て IP ア ド レ ス を取得 し ます。 4-214 IP イ ン タ ー フ ェ ース コ マ ン ド 4 • dhcp - DHCP に よ っ て IP ア ド レ ス を取得 し ます。 デ フ ォ ル ト 設定 DHCP コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (VLAN) コ マ ン ド の使用 • ネ ッ ト ワー ク を介 し て管理ア ク セス を得るには、こ のデバイ スに IP ア ド レ ス を割 り 当 て る必要があ り ま す。 特定の IP ア ド レ ス を手動で構成す る こ と も、 BOOTP ま たは DHCP サーバーから ア ド レ ス を取得する よ う デバイ スに指示する こ と も で き ます。 有 効なア ド レ スは、 ピ リ オ ド で区切 られた 0 ~ 255 の 4 つの数値で構成 さ れます。 こ の 形式以外は、 構成プ ログ ラ ムで受け付けません。 • bootp ま たは dhcp オプ シ ョ ン を選択 し た場合、 IP は有効にはな り ますが、 BOOTP ま たは DHCP 応答が受信 さ れる ま で機能 し ません。 こ のデバイ ス では、 IP ア ド レ ス を学習する ために、 要求を定期的にブ ロー ド キ ャ ス ト し ます (BOOTP および DHCP 値には、 IP ア ド レ ス、 デ フ ォ ル ト ゲー ト ウ ェ イ、 サブネ ッ ト マ ス ク が含まれる)。 • BOOTP または DHCP 要求のブ ロー ド キ ャ ス ト を開始するには、ip dhcp restart コ マ ン ド を入力するか、 またはス イ ッ チ を リ ブー ト し ます。 注 : IP ア ド レ ス を割 り 当て る こ と ので き る VLAN イ ン タ ー フ ェ ースは 1 つのみ (デ フ ォル ト では VLAN 1) です。 この こ と は、 ス イ ッ チへの管理ア ク セス を得る こ と がで き る唯一の VLAN で ある管理 VLAN の定義を意味 し ます。 IP ア ド レ ス をほかの VLAN に割 り 当て る と 、 新 し い IP ア ド レ スによ り 元の IP ア ド レ スが上書き さ れ、 この VLAN が新 し い管理 VLAN にな り ます。 例 次の例では、 デバイ スに VLAN 1 のア ド レ ス を割 り 当て ます。 Console(config)#interface vlan 1 Console(config-if)#ip address 192.168.1.5 255.255.255.0 Console(config-if)# 関連 コ マ ン ド ip dhcp restart (4-216) ip default-gateway このコ マ ン ド では、別のネ ッ ト ワーク セグ メ ン ト に存在するデバイ ス と このス イ ッ チ間のス タ テ ィ ッ ク ルー ト を確立 し ます。 no 形式を使用する と 、 ス タ テ ィ ッ ク ルー ト が削除さ れます。 構文 ip default-gateway gateway no ip default-gateway gateway - デ フ ォル ト ゲー ト ウ ェ イの IP ア ド レ ス です。 デ フ ォ ル ト 設定 ス タ テ ィ ッ ク ルー ト は確立 さ れていません。 4-215 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 管理ス テーシ ョ ンが異な る IP セグ メ ン ト にある場合、ゲー ト ウ ェ イ を定義する必要があ り ます。 例 次の例では、 こ のデバイ スのデ フ ォル ト ゲー ト ウ ェ イ を定義 し ます。 Console(config)#ip default-gateway 10.1.1.254 Console(config)# 関連 コ マ ン ド show ip redirects (4-217) ip dhcp restart こ の コ マ ン ド では、 BOOTP または DHCP ク ラ イ ア ン ト 要求をサブ ミ ッ ト し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • こ の コ マ ン ド では、 ip address コ マ ン ド に よ り BOOTP または DHCP モー ド に設定 さ れている任意の IP イ ン タ ー フ ェ ースに対 し 、 BOOTP または DHCP ク ラ イ ア ン ト 要求を発行 し ます。 • DHCP は、 (利用可能な場合) ク ラ イ ア ン ト の最後のア ド レ ス を再び割 り 当て る よ う サーバーに要求 し ます。 • BOOTP または DHCP サーバーが別の ド メ イ ンに移動 さ れた場合、ク ラ イ ア ン ト に提供 さ れたア ド レ スのネ ッ ト ワー ク部分は、 この新 し い ド メ イ ンに基づ く もの と な り ます。 例 次の例では、 デバイ スに同 じ ア ド レ ス を再び割 り 当て ます。 Console(config)#interface vlan 1 Console(config-if)#ip address dhcp Console(config-if)#end Console#ip dhcp restart Console#show ip interface IP address and netmask: 192.168.1.54 255.255.255.0 on VLAN 1, and address mode: DHCP. Console# 関連 コ マ ン ド ip address (4-214) 4-216 IP イ ン タ ー フ ェ ース コ マ ン ド 4 show ip interface こ の コ マ ン ド では、 IP イ ン タ ー フ ェ ースの設定を表示 し ます。 デ フ ォ ル ト 設定 すべてのイ ン タ ー フ ェ ース コ マ ン ド モー ド Privileged Exec 例 Console#show ip interface IP address and netmask: 192.168.1.54 255.255.255.0 on VLAN 1, and address mode: User specified. Console# 関連 コ マ ン ド show ip redirects (4-217) show ip redirects こ の コ マ ン ド では、 こ のデバイ スに対 し て構成 さ れているデ フ ォル ト ゲー ト ウ ェ イ を表示 し ます。 デ フ ォ ル ト 設定 なし コ マ ン ド モー ド Privileged Exec 例 Console#show ip redirects IP default gateway 10.1.0.254 Console# 関連 コ マ ン ド ip default-gateway (4-215) ping こ の コ マ ン ド では、 ICMP エ コ ー要求パケ ッ ト を ネ ッ ト ワー ク上の別の ノ ー ド に送信 し ます。 構文 ping host [size size] [count count] • host - ホス ト の IP ア ド レ ス または IP 別名です。 • size - パケ ッ ト のバイ ト 数です (範囲 : 32 ~ 512、 デ フ ォ ル ト : 32)。 実際のパケ ッ ト サイ ズは、 ス イ ッ チに よ り ヘ ッ ダー情報が追加 さ れる ため、 指定サ イ ズよ り 8 バイ ト 大き く な り ます。 • count - 送信するパケ ッ ト 数です (範囲 : 1 ~ 16、 デ フ ォル ト : 5)。 4-217 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース デ フ ォ ル ト 設定 ホス ト に対するデ フ ォル ト はあ り ません。 コ マ ン ド モー ド Normal Exec、 Privileged Exec コ マ ン ド の使用 • ネ ッ ト ワー クの別のサイ ト にア ク セスで き るかを確認する には、 ping コ マ ン ド を使用 し ます。 • ping コ マ ン ド の結果を次にい く つか示 し ます。 - Normal response - 通常の応答が 1 ~ 10 秒の間に起 こ り ます (秒数はネ ッ ト ワー ク ト ラ フ ィ ッ ク によ っ て異な る)。 - Destination does not respond - ホス ト が応答 し ない場合、 10 秒で 「 タ イ ムアウ ト 」 が表示 さ れます。 - Destination unreachable - こ の宛先のゲー ト ウ ェ イは、 宛先がア ク セ ス不可であ る こ と を示 し ています。 - Network or host unreachable - ゲー ト ウ ェ イは、 ルー ト テーブル内の対応する エ ン ト リ を発見で き ませんで し た。 • ping を中止するには、 [Esc] キーを押 し ます。 例 Console#ping 10.1.0.9 Type ESC to abort. PING to 10.1.0.9, by 5 32-byte payload ICMP packets, timeout is 5 seconds response time: 10 ms response time: 10 ms response time: 10 ms response time: 10 ms response time: 10 ms Ping statistics for 10.1.0.9: 5 packets transmitted, 5 packets received (100%), 0 packets lost (0%) Approximate round trip times: Minimum = 10 ms, Maximum = 20 ms, Average = 10 ms Console# 関連 コ マ ン ド interface (4-115) 4-218 IP ソ ース ガー ド コ マ ン ド 4 IP ソ ース ガード コ マン ド IP ソ ース ガー ド は、 IP ソ ース ガー ド テーブルに手動で構成 さ れたエ ン ト リ 、 ま たは DHCP ス ヌ ーピ ングが有効な場合は(4-223 ページの「DHCP ス ヌ ーピ ング コ マ ン ド 」 を参照) DHCP ス ヌ ー ピ ン グ テー ブルに登録 さ れてい る ス タ テ ィ ッ ク お よ びダ イ ナ ミ ッ ク エ ン ト リ に基づ いて、 ネ ッ ト ワー ク イ ン タ ー フ ェ ース上で IP ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グする セキ ュ リ テ ィ 機能です。 IP ソ ース ガー ド を使用する こ と に よ り 、 ホ ス ト が隣接機器の IP ア ド レ ス を 使用 し てネ ッ ト ワー ク にア ク セ ス し よ う と し た場合に生 じ る ト ラ フ ィ ッ ク 攻撃を防 ぐ こ と が で き ます。 こ のセ ク シ ョ ン では、 IP ソ ース ガー ド を構成する ための コ マ ン ド について説明 し ます。 表 4-75. IP ソ ース ガー ド コ マ ン ド コマン ド 機能 ip source-guard 送信元 IP ア ド レ ス、または送信元 IP ア ド レ ス と 対応す IC る MAC ア ド レ スに基づいて イ ンバウ ン ド ト ラ フ ィ ッ ク を フ ィ ル タ リ ングする よ う ス イ ッ チ を構成 し ます。 モー ド ページ 4-219 ip source-guard binding ソ ースガー ド バイ ンデ ィ ング テーブルにス タ テ ィ ッ ク GC ア ド レ ス を追加 し ます。 4-221 show ip source-guard 各イ ン タ ー フ ェ ース で ソ ース ガー ド が有効か無効かを PE 表示 し ます。 4-222 show ip source-guard binding ソ ース ガー ド バイ ンデ ィ ング テーブルを表示 し ます。 PE 4-222 ip source-guard こ の コ マ ン ド では、 送信元 IP ア ド レ ス、 または送信元 IP ア ド レ ス と 対応する MAC ア ド レ ス に基づいて、 イ ンバウ ン ド ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グす る よ う ス イ ッ チ を構成 し ます。 no 形式を使用する と 、 こ の機能が無効にな り ます。 構文 ip source-guard {sip | sip-mac} no ip source-guard • sip - バイ ンデ ィ ン グ テーブルに保存 さ れている IP ア ド レ スに基づいて ト ラ フ ィ ッ ク を フ ィ ル タ リ ング し ます。 • sip-mac - バイ ンデ ィ ング テーブルに保存 さ れている IP ア ド レ ス と 対応する MAC ア ド レ スに基づいて ト ラ フ ィ ッ ク を フ ィ ル タ リ ング し ます。 デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト ) コ マ ン ド の使用 • ソ ース ガー ド を使用する と 、非セキ ュ ア なポー ト で ト ラ フ ィ ッ クがフ ィ ル タ リ ング さ れます。 非セキ ュ ア なポー ト と は、 ネ ッ ト ワー ク ま たはフ ァ イ アウ ォ ールの外部か ら メ ッ セージ を受信する ため、隣接機器の IP ア ド レ ス を使用 し よ う と する ホス ト によ っ て引き起 こ さ れる ト ラ フ ィ ッ ク 攻撃を受けやすいポー ト です。 4-219 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • ソ ース ガー ド モー ド を 「sip」 ま たは 「sip-mac」 に設定する と 、 選択 し たポー ト で こ の機能が有効にな り ます。 VLAN ID、 送信元 IP ア ド レ ス、 およびポー ト 番号をバイ ン デ ィ ング テーブルのすべてのエ ン ト リ に対 し て照合するには、 「sip」 オプ シ ョ ン を使 用 し ます。 こ れら のパラ ー メ ー タ に加え、 送信元 MAC ア ド レ ス を チ ェ ッ ク する には、 「sip-mac」 オプ シ ョ ン を使用 し ます。 no source guard コ マ ン ド を使用する と 、 選択 し たポー ト で こ の機能が無効にな り ます。 • こ の機能が有効な場合、DHCP ス ヌ ーピ ングによ っ て学習 さ れたダ イ ナ ミ ッ ク エ ン ト リ 、 DHCP ス ヌ ーピ ン グ テーブルに構成 さ れたス タ テ ィ ッ ク エ ン ト リ 、 ま たは ソ ー ス ガー ド バイ ンデ ィ ン グ テーブルに構成 さ れたス タ テ ィ ッ ク ア ド レ スに基づいて、 ト ラ フ ィ ッ クがフ ィ ル タ リ ング さ れます。 • テーブル エ ン ト リ は、 MAC ア ド レ ス、 IP ア ド レ ス、 リ ース時間、 エ ン ト リ タ イ プ (ス タ テ ィ ッ ク IP SG バイ ンデ ィ ング、ダ イ ナ ミ ッ ク DHCP バイ ンデ ィ ン グ、ス タ テ ィ ッ ク DHCP バイ ンデ ィ ング)、 VLAN 識別子、 およびポー ト 識別子で構成 さ れます。 • ip source-guard binding コ マ ン ド (4-221 ページ) を使用 し て ソ ース ガー ド バイ ン デ ィ ン グ テーブルに入力 さ れた ス タ テ ィ ッ ク ア ド レ スには、 自動的に無期限の リ ー ス時間が構成 さ れます。DHCP ス ヌ ーピ ングによ っ て学習 さ れる ダ イ ナ ミ ッ ク エ ン ト リ は DHCP サーバーに よ っ て構成 さ れ、 ス タ テ ィ ッ ク エ ン ト リ の リ ース時間は手動 で構成 さ れます。 • IP ソ ース ガー ド が有効な場合、 イ ンバウン ド パケ ッ ト の IP ア ド レ ス (sip オプ シ ョ ン) または IP ア ド レ ス と 対応する MAC ア ド レ スの両方 (sip-mac オプ シ ョ ン) がバ イ ン デ ィ ン グ テーブルで照合 さ れます。 合致す る エ ン ト リ が見つか ら ない場合、 パ ケ ッ ト は破棄 さ れます。 • フ ィ ル タ リ ング ルールは次のよ う に実装 さ れます。 - DHCP ス ヌ ーピ ングが無効な場合 (4-223 ページ を参照)、 IP ソ ース ガー ド では、 VLAN ID、 送信元 IP ア ド レ ス、 ポー ト 番号、 および送信元 MAC ア ド レ ス (sip-mac オプ シ ョ ンの場合) がチ ェ ッ ク さ れます。 バイ ンデ ィ ング テーブルで合致する エ ン ト リ が見つか り 、エ ン ト リ タ イ プがス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グ の場合、 パケ ッ ト は転送 さ れます。 - DHCP ス ヌ ーピ ングが有効な場合、 IP ソ ース ガー ド では、 VLAN ID、 送信元 IP ア ド レ ス、 ポー ト 番号、 送信元 MAC ア ド レ ス (sip-mac オプ シ ョ ンの場合) がチ ェ ッ ク さ れます。 バ イ ン デ ィ ン グ テーブルで合致す る エ ン ト リ が見つか り 、 エ ン ト リ タ イ プがス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ン グ、 ス タ テ ィ ッ ク DHCP ス ヌ ーピ ング バイ ンデ ィ ン グ、 またはダ イ ナ ミ ッ ク DHCP ス ヌ ーピ ング バイ ンデ ィ ングの場合、 パケ ッ ト は転送 さ れます。 - (DHCP ス ヌ ーピ ングに よ っ て動的に学習ま たは手動で構成 さ れた) IP ソ ース バイ ン デ ィ ン グが構成 さ れて い な い イ ン タ ー フ ェ ース で IP ソ ース ガー ド が有効な場 合、 ス イ ッ チは、 そのポー ト で DHCP パケ ッ ト を除 く すべての IP ト ラ フ ィ ッ ク を 破棄 し ます。 例 こ の例では、 ポー ト 5 で IP ソ ース ガー ド を有効に し ます。 Console(config)#interface ethernet 1/5 Console(config-if)#ip source-guard sip Console(config-if)# 4-220 IP ソ ース ガー ド コ マ ン ド 4 関連 コ マ ン ド ip source-guard binding (4-221) ip dhcp snooping (4-223) ip dhcp snooping vlan (4-225) ip source-guard binding こ の コ マ ン ド では、ソ ースガー ド バイ ンデ ィ ング テーブルにス タ テ ィ ッ ク ア ド レ ス を追加 し ます。 no 形式を使用する と 、 ス タ テ ィ ッ ク エ ン ト リ が削除 さ れます。 構文 ip source-guard binding mac-address vlan vlan-id ip-address interface ethernet unit/port no ip source-guard binding mac-address vlan vlan-id • mac-address - 有効なユニキ ャ ス ト MAC ア ド レ ス です。 • vlan-id - 構成 さ れた VLAN の ID です (範囲 : 1 ~ 4094)。 • ip-address - ク ラ ス フ ル タ イ プ A、 B、 ま たは C を含む、 有効なユニキ ャ ス ト IP ア ド レ スです。 • unit - ス タ ッ ク ユニ ッ ト です (常にユニ ッ ト 1)。 • port - ポー ト 番号です (範囲 : 1 ~ 28)。 デ フ ォ ル ト 設定 エ ン ト リ は構成 さ れていません。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • テーブル エ ン ト リ は、 MAC ア ド レ ス、 IP ア ド レ ス、 リ ース時間、 エ ン ト リ タ イ プ (ス タ テ ィ ッ ク IP SG バイ ンデ ィ ング、ダ イ ナ ミ ッ ク DHCP バイ ンデ ィ ン グ、ス タ テ ィ ッ ク DHCP バイ ンデ ィ ング)、 VLAN 識別子、 およびポー ト 識別子で構成 さ れます。 • すべてのス タ テ ィ ッ ク エ ン ト リ には無制限の リ ース時間が構成 さ れ、 こ の こ と は show ip source-guard コ マ ン ド (4-222 ページ) によ り 値 0 で示 さ れます。 • ソ ース ガー ド が有効な場合、 DHCP ス ヌ ーピ ン グによ っ て学習 さ れたダ イ ナ ミ ッ ク エ ン ト リ 、 DHCP ス ヌ ーピ ン グ テーブルに構成 さ れたス タ テ ィ ッ ク エ ン ト リ 、 ま た は この コ マ ン ド で ソ ース ガー ド バイ ンデ ィ ング テーブルに構成 さ れたス タ テ ィ ッ ク ア ド レ スに基づいて ト ラ フ ィ ッ クがフ ィ ル タ リ ング さ れます。 • ス タ テ ィ ッ ク バイ ンデ ィ ングは次のよ う に処理 さ れます。 - VLAN ID および MAC ア ド レ スが合致 し ている エ ン ト リ が存在 し ない場合、 新規エ ン ト リ が、ス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ング タ イ プ と し てバイ ンデ ィ ング テーブルに追加 さ れます。 - VLAN ID および MAC ア ド レ スが合致 し ている エ ン ト リ が存在 し 、 エ ン ト リ の タ イ プがス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ングの場合、 新規エ ン ト リ によ り 古 いエ ン ト リ が置換 さ れます。 4-221 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース - VLAN ID および MAC ア ド レ スが合致 し ている エ ン ト リ が存在 し 、 エ ン ト リ の タ イ プがダ イ ナ ミ ッ ク DHCP ス ヌ ーピ ング バイ ンデ ィ ングの場合、 新規エ ン ト リ に よ り 古いエ ン ト リ が置換 さ れ、エ ン ト リ タ イ プがス タ テ ィ ッ ク IP ソ ース ガー ド バイ ンデ ィ ングに変更 さ れます。 例 こ の例では、 ポー ト 5 でス タ テ ィ ッ ク ソ ースガー ド バイ ンデ ィ ン グ を構成 し ます。 Console(config)#ip source-guard binding 11-22-33-44-55-66 vlan 1 192.168.0.99 interface ethernet 1/5 Console(config-if)# 関連 コ マ ン ド ip source-guard (4-219) ip dhcp snooping (4-223) ip dhcp snooping vlan (4-225) show ip source-guard こ の コ マ ン ド では、 各イ ン タ ー フ ェ ースで ソ ース ガー ド が有効か無効かを表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show ip source-guard Interface Filter-type ------------------Eth 1/1 DISABLED Eth 1/2 DISABLED Eth 1/3 DISABLED Eth 1/4 DISABLED Eth 1/5 SIP Eth 1/6 DISABLED . . . show ip source-guard binding こ の コ マ ン ド では、 ソ ース ガー ド バイ ンデ ィ ング テーブルを表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show ip source-guard binding MacAddress IpAddress Lease(sec) Type VLAN Interface ----------------- --------------- ---------- -------------------- -----------11-22-33-44-55-66 192.168.0.99 0 Static 1 Eth 1/ 5 Console# 4-222 DHCP ス ヌ ーピ ング コ マ ン ド 4 DHCP スヌ ーピ ン グ コ マン ド DHCP ス ヌ ーピ ング を使用する と 、 ス イ ッ チは、 不正な DHCP サーバーや、 ポー ト 関連情報 を DHCP サーバーに送信す る その他のデバ イ スか ら ネ ッ ト ワー ク を 保護す る こ と がで き ま す。 こ の情報は、 IP ア ド レ ス を物理ポー ト ま で さ かのぼ っ て追跡する際に役立ち ます。 こ の セ ク シ ョ ン では、 DHCP ス ヌ ーピ ング を構成する ための コ マ ン ド について説明 し ます。 表 4-76. DHCP ス ヌ ーピ ング コ マ ン ド コマン ド 機能 モー ド ページ ip dhcp snooping DHCP ス ヌ ーピ ング をグローバルに有効に し ます。 GC 4-223 GC 4-225 ip dhcp snooping vlan 指定 VLAN で DHCP ス ヌ ーピ ン グを有効に し ます。 ip dhcp snooping trust 指定イ ン タ ー フ ェ ース を ト ラ ス テ ッ ド と し て構成 し ます。 IC 4-226 ip dhcp snooping verify mac-address DHCP パケ ッ ト に保存 さ れてい る ク ラ イ ア ン ト のハー ド GC ウ ェ ア ア ド レ ス を、 イ ーサネ ッ ト ヘ ッ ダ ー内の送信元 MAC ア ド レ ス と 照合 し ます。 4-227 ip dhcp snooping information option DHCP オ プ シ ョ ン 82 情報 リ レ ー を有効ま たは無効に し GC ます。 4-227 ip dhcp snooping information policy オ プ シ ョ ン 82 情報が含 ま れ る DHCP ク ラ イ ア ン ト パ GC ケ ッ ト に対する情報オプ シ ョ ン ポ リ シーを設定 し ます。 4-228 ip dhcp snooping database flash 動的に学習 さ れた すべ ての ス ヌ ー ピ ン グ エ ン ト リ を フ GC ラ ッ シ ュ メ モ リ ーに書き込みます。 4-229 show ip dhcp snooping DHCP ス ヌ ーピ ン グ コ ン フ ィ ギ ュ レーシ ョ ン設定を表示 PE し ます。 4-229 show ip dhcp snooping binding DHCP ス ヌ ーピ ング バイ ンデ ィ ング テーブルのエ ン ト リ PE を表示 し ます。 4-229 ip dhcp snooping こ の コ マ ン ド では、DHCP ス ヌ ーピ ング を グローバルに有効に し ます。no 形式を使用する と 、 デ フ ォ ル ト 設定に戻 り ます。 構文 [no] ip dhcp snooping デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-223 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド の使用 • 外部の送信元から悪意のあ る DHCP メ ッ セージ を受信 し た場合、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク に悪影響がお よぶ こ と があ り ま す。 DHCP ス ヌ ー ピ ン グ を 使用 し て、 非セ キ ュ ア な イ ン タ ー フ ェ ース で受信 し た、 ネ ッ ト ワー ク ま たはフ ァ イ アウ ォ ール外部か らの DHCP メ ッ セージ を フ ィ ル タ リ ング し ます。DHCP ス ヌ ーピ ングが この コ マ ン ド によ っ てグ ローバルに、また ip dhcp snooping vlan コ マ ン ド (4-225 ページ) によ っ て VLAN イ ン タ ー フ ェ ース で有効に さ れている場合、 非セキ ュ ア な イ ン タ ー フ ェ ース (no ip dhcp snooping trust コ マ ン ド で 指定。 4-226 ペ ー ジ を 参照) で 受信 し た、 DHCP ス ヌ ーピ ング テーブルに登録 さ れていないデバイ スから の DHCP メ ッ セージ は破棄 さ れます。 • こ の機能が有効な場合、 非 ト ラ ス テ ッ ド イ ン タ ー フ ェ ースに入っ た DHCP メ ッ セー ジは、DHCP ス ヌ ーピ ングに よ っ て学習 さ れたダ イ ナ ミ ッ ク エ ン ト リ に基づいて フ ィ ル タ リ ング さ れます。 • テーブル エ ン ト リ は、 非 ト ラ ス テ ッ ド イ ン タ ー フ ェ ースについてのみ学習 さ れます。 各エ ン ト リ は、 MAC ア ド レ ス、 IP ア ド レ ス、 リ ース時間、 エ ン ト リ タ イ プ (ダ イ ナ ミ ッ ク DHCP バイ ンデ ィ ング、ス タ テ ィ ッ ク DHCP バイ ンデ ィ ング)、VLAN 識別子、 およびポー ト 識別子で構成 さ れます。 • DHCP ス ヌ ーピ ングが有効な場合、ス イ ッ チで処理可能な DHCP メ ッ セージ数に対す る レー ト リ ミ ッ ト は、 100 パケ ッ ト / 秒にな り ます。 こ の制限を超え る DHCP パケ ッ ト は破棄 さ れます。 • フ ィ ル タ リ ング ルールは次のよ う に実装 さ れます。 - グローバルな DHCP ス ヌ ーピ ン グが無効な場合、 すべての DHCP パケ ッ ト が転送 さ れます。 - DHCP ス ヌ ーピ ングがグローバルに有効で、DHCP パケ ッ ト を受信 し た VLAN で も 有効にな っ ている場合、 すべての DHCP パケ ッ ト が ト ラ ス テ ッ ド ポー ト に転送 さ れます。 受信 し たパケ ッ ト が DHCP ACK メ ッ セージの場合、 ダ イ ナ ミ ッ ク DHCP ス ヌ ーピ ング エ ン ト リ はバイ ンデ ィ ン グ テーブルに も追加 さ れます。 - DHCP ス ヌ ーピ ングがグローバルに有効で、DHCP パケ ッ ト を受信 し た VLAN で も 有効にな っ ているが、ポー ト が ト ラ ス テ ッ ド でない場合、次のよ う に処理 さ れます。 * DHCP パケ ッ ト が DHCP サーバーから の応答パケ ッ ト (OFFER、 ACK、 NAK メ ッ セージ な ど) の場合、 パケ ッ ト は破棄 さ れます。 * DHCP パケ ッ ト が、 ク ラ イ ア ン ト か ら送信 さ れた DECLINE ま たは RELEASE メ ッ セージ な どの場合、 対応する エ ン ト リ がバイ ン デ ィ ン グ テーブルで見つ かっ た と きのみ、 ス イ ッ チはパケ ッ ト を転送 し ます。 * DHCP パケ ッ ト が、 ク ラ イ ア ン ト から 送信 さ れた DISCOVER、 REQUEST、 INFORM、 DECLINE、 RELEASE メ ッ セージ な どの場合、 MAC ア ド レ スの照 合が無効にな っ ていれば (ip dhcp snooping verify mac-address コ マ ン ド で 指定。 4-227 ページ を参照)、 パケ ッ ト は転送 さ れます。 ただ し 、 MAC ア ド レ スの照合が有効にな っ ている と きは、DHCP パケ ッ ト に保存 さ れている ク ラ イ ア ン ト のハー ド ウ ェ ア ア ド レ スがイ ーサネ ッ ト ヘ ッ ダー内の送信元 MAC ア ド レ ス と 同 じ 場合のみ、 パケ ッ ト が転送 さ れます。 * DHCP パケ ッ ト の タ イ プ を認識で き ない場合、 パケ ッ ト は破棄 さ れます。 - ク ラ イ ア ン ト から 送信 さ れた DHCP パケ ッ ト が上記のフ ィ ル タ リ ング基準を満た し ている場合、 同 じ VLAN 内の ト ラ ス テ ッ ド ポー ト にのみ転送 さ れます。 4-224 DHCP ス ヌ ーピ ング コ マ ン ド 4 - サーバーか らの DHCP パケ ッ ト が ト ラ ス テ ッ ド ポー ト で受信 さ れた場合、 同 じ VLAN 内の ト ラ ス テ ッ ド ポー ト お よび非 ト ラ ス テ ッ ド ポー ト の両方に転送 さ れま す。 • DHCP ス ヌ ーピ ングがグローバルに無効にな っ ている場合、バイ ンデ ィ ング テーブル から すべてのダ イ ナ ミ ッ ク バイ ンデ ィ ングが削除 さ れます。 • ス イ ッ チ自体が DHCP ク ラ イ ア ン ト であ る場合の追加考慮事項 - ス イ ッ チが ク ラ イ ア ン ト 要求を DHCP サーバーにサブ ミ ッ ト する際に経由するポー ト は、 ト ラ ス テ ッ ド と し て構成 さ れている必要があ り ます (4-226 ページの 「ip dhcp snooping trust」 を 参照)。 ス イ ッ チは、 DHCP サーバーか ら ACK メ ッ セージ を受信 し た場合、 ス イ ッ チ 自体のダ イ ナ ミ ッ ク エ ン ト リ をバイ ンデ ィ ン グ テーブルに追加 し ない こ と に注意 し て く だ さ い。 ま た、 ス イ ッ チがそれ自体の DHCP ク ラ イ ア ン ト パケ ッ ト を送信する 場合、 フ ィ ル タ リ ングは行われません。 ただ し 、 ス イ ッ チが DHCP サーバーから メ ッ セージ を受信する と きは、非 ト ラ ス テ ッ ド ポー ト から受信 し たパケ ッ ト はすべて破棄 さ れます。 例 こ の コ マ ン ド では、 ス イ ッ チでグ ローバルに DHCP ス ヌ ーピ ング を有効に し ます。 Console(config)#ip dhcp snooping Console(config)# 関連 コ マ ン ド ip dhcp snooping vlan (4-225) ip dhcp snooping trust (4-226) ip dhcp snooping vlan こ の コ マ ン ド では、 指定 し た VLAN で DHCP ス ヌ ーピ ン グ を有効に し ます。 no 形式を使用 する と 、 デ フ ォル ト 設定に戻 り ます。 構文 [no] ip dhcp snooping vlan vlan-id vlan-id - 構成 さ れた VLAN の ID です (範囲 : 1 ~ 4094)。 デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • DHCP ス ヌ ーピ ングが ip dhcp snooping コ マ ン ド (4-223 ページ) によ っ てグロー バル に、 ま た こ の コ マ ン ド に よ っ て VLAN で 有 効 に な っ て い る 場合、 ip dhcp snooping trust コ マ ン ド (4-226 ページ) で指定 さ れた VLAN 内のすべての非 ト ラ ス テ ッ ド ポー ト で DHCP パケ ッ ト フ ィ ル タ リ ングが実行 さ れます。 • DHCP ス ヌ ーピ ングがグローバルに無効にな っ ている場合も 、特定の VLAN に対 し て DHCP ス ヌ ーピ ング を構成で き ますが、 DHCP ス ヌ ーピ ングが再度グ ローバルに有効 に さ れる ま で こ の変更は有効にな り ません。 4-225 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース • DHCP ス ヌ ーピ ングがグローバルに有効にな っ ている場合、特定の VLAN に対 し て コ ン フ ィ ギ ュ レーシ ョ ン を変更する と 、 次のよ う な影響があ り ます。 - DHCP ス ヌ ーピ ングが VLAN で無効にな っ ている場合、 こ の VLAN について学習 さ れたすべてのダ イ ナ ミ ッ ク バイ ンデ ィ ン グはバイ ンデ ィ ン グ テーブルか ら 削除 さ れます。 例 こ の例では、 VLAN 1 で DHCP ス ヌ ーピ ング を有効に し ます。 Console(config)#ip dhcp snooping vlan 1 Console(config)# 関連 コ マ ン ド ip dhcp snooping (4-223) ip dhcp snooping trust (4-226) ip dhcp snooping trust こ の コ マ ン ド では、 指定イ ン タ ー フ ェ ース を ト ラ ス テ ッ ド と し て構成 し ます。 no 形式を使用 する と 、 デ フ ォル ト 設定に戻 り ます。 構文 [no] ip dhcp snooping trust デ フ ォ ル ト 設定 すべてのイ ン タ ー フ ェ ースは非 ト ラ ス テ ッ ド です。 コ マ ン ド モー ド イ ン タ ー フ ェ ース コ ン フ ィ ギ ュ レーシ ョ ン (イ ーサネ ッ ト 、 ポー ト チ ャ ネル) コ マ ン ド の使用 • 非 ト ラ ス テ ッ ド イ ン タ ー フ ェ ース と は、 ネ ッ ト ワー ク またはフ ァ イ アウ ォ ールの外部 から メ ッ セージ を受信する よ う 構成 さ れている イ ン タ ー フ ェ ース です。 ト ラ ス テ ッ ド イ ン タ ー フ ェ ース と は、 ネ ッ ト ワー ク内か らのみ メ ッ セージ を受信する よ う 構成 さ れ ている イ ン タ ー フ ェ ースです。 • DHCP ス ヌ ーピ ングが、 ip dhcp snooping コ マ ン ド (4-223 ページ) によ っ てグロー バルに、 ま た こ の コ マ ン ド に よ っ て VLAN で有効にな っ てい る場合、 デ フ ォ ル ト ス テー タ スに従 っ て、 または no ip dhcp snooping trust コ マ ン ド によ っ て明確に イ ン タ ー フ ェ ース に構成 さ れた と お り に、 VLAN 内のすべての非 ト ラ ス テ ッ ド ポー ト で DHCP パケ ッ ト フ ィ ル タ リ ングが実行 さ れます。 • 非 ト ラ ス テ ッ ド ポー ト が ト ラ ス テ ッ ド ポー ト に変更 さ れる と 、 このポー ト に関連付 け られたすべてのダ イ ナ ミ ッ ク DHCP ス ヌ ーピ ング バイ ンデ ィ ン グが削除 さ れます。 • ス イ ッ チ自体が DHCP ク ラ イ ア ン ト であ る場合の追加考慮事項 - ク ラ イ ア ン ト 要求を DHCP サーバーにサブ ミ ッ ト する際に経由するポー ト は、 ト ラ ス テ ッ ド と し て構成 さ れている必要があ り ます。 4-226 DHCP ス ヌ ーピ ング コ マ ン ド 4 例 こ の例では、 ポー ト 5 を非 ト ラ ス テ ッ ド に設定 し ます。 Console(config)#interface ethernet 1/5 Console(config-if)#no ip dhcp snooping trust Console(config-if)# 関連 コ マ ン ド ip dhcp snooping (4-223) ip dhcp snooping vlan (4-225) ip dhcp snooping verify mac-address こ の コ マ ン ド では、 DHCP パケ ッ ト に保存 さ れている ク ラ イ ア ン ト のハー ド ウ ェ ア ア ド レ ス を、 イ ーサネ ッ ト ヘ ッ ダー内の送信元 MAC ア ド レ ス と 照合 し ます。 no 形式を使用する と 、 こ の機能が無効にな り ます。 構文 [no] ip dhcp snooping verify mac-address デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 MAC ア ド レ スの照合が有効で、 パケ ッ ト のイ ーサネ ッ ト ヘ ッ ダー内の送信元 MAC ア ド レ スが、 DHCP パケ ッ ト 内の ク ラ イ ア ン ト のハー ド ウ ェ ア ア ド レ ス と 同 じ で ない場 合、 パケ ッ ト は破棄 さ れます。 例 こ の例では、 MAC ア ド レ スの照合を有効に し ます。 Console(config)#ip dhcp snooping verify mac-address Console(config)# 関連 コ マ ン ド ip dhcp snooping (4-223) ip dhcp snooping vlan (4-225) ip dhcp snooping trust (4-226) ip dhcp snooping information option こ の コ マ ン ド では、 ス イ ッ チで DHCP オプ シ ョ ン 82 情報 リ レーを有効に し ます。 no 形式を 使用する と 、 こ の機能が無効にな り ます。 構文 [no] ip dhcp snooping information option デ フ ォ ル ト 設定 無効 4-227 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • DHCP では、 ス イ ッ チ と その DHCP ク ラ イ ア ン ト に関する情報を DHCP サーバーに 送信する ための リ レー メ カ ニズムが提供 さ れます。 こ れは DHCP オプ シ ョ ン 82 と し て知ら れ、 互換性のある DHCP サーバーが IP ア ド レ ス を割 り 当て る際に こ の情報を 使用 し た り 、 ク ラ イ ア ン ト に対 し てほかのサービ スやポ リ シーを設定する こ と がで き ます。 • DHCP ス ヌ ーピ ング情報オプ シ ョ ンが有効な場合、 ク ラ イ ア ン ト の MAC ア ド レ スだ けでな く 、 ク ラ イ ア ン ト が接続 さ れている ス イ ッ チ ポー ト によ っ て、 ク ラ イ ア ン ト を 識別で き ます。 こ の場合、DHCP ク ラ イ ア ン ト / サーバー交換 メ ッ セージは、サーバー と ク ラ イ ア ン ト 間で直接転送 さ れる ため、 VLAN 全体に フ ラ ッ デ ィ ングする必要があ り ません。 • DHCP オプ シ ョ ン 82 情報をパケ ッ ト に挿入するには、 ス イ ッ チで DHCP ス ヌ ーピ ン グ を有効にする必要があ り ます。 例 こ の例では、 DHCP ス ヌ ーピ ング情報オプ シ ョ ン を有効に し ます。 Console(config)#ip dhcp snooping information option Console(config)# ip dhcp snooping information policy こ の コ マ ン ド では、 オ プ シ ョ ン 82 情報 を保持す る DHCP ク ラ イ ア ン ト パケ ッ ト に対す る DHCP ス ヌ ーピ ング情報オプ シ ョ ン ポ リ シーを設定 し ます。 構文 ip dhcp snooping information policy <drop | keep | replace> • drop - オプ シ ョ ン 82 情報を保持するすべての DHCP ク ラ イ ア ン ト パケ ッ ト を破 棄 し ます。 • keep - ク ラ イ ア ン ト の DHCP 情報を維持 し ます。 • replace - DHCP ク ラ イ ア ン ト パケ ッ ト 情報を ス イ ッ チの リ レー情報で上書き し ます。 デ フ ォ ル ト 設定 replace コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 ス イ ッ チが、DHCP オプ シ ョ ン 82 情報がすでに保持 さ れている DHCP パケ ッ ト を ク ラ イ ア ン ト か ら受信 し た と き に、 これ らのパケ ッ ト に対 し て ア ク シ ョ ン ポ リ シーを設定す る よ う ス イ ッ チ を構成で き ます。 ス イ ッ チ では、 パケ ッ ト を破棄、 既存の情報を維持、 またはその情報を ス イ ッ チの リ レー情報で置換する こ と がで き ます。 4-228 DHCP ス ヌ ーピ ング コ マ ン ド 4 例 Console(config)#ip dhcp snooping information policy drop Console(config)# ip dhcp snooping database flash こ の コ マ ン ド では、 動的に学習 さ れたすべてのス ヌ ーピ ング エ ン ト リ を フ ラ ッ シ ュ メ モ リ ー に書き込みます。 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 こ の コ マ ン ド を使用する と 、 学習 さ れた現在のダ イ ナ ミ ッ ク DHCP ス ヌ ーピ ン グ エ ン ト リ を フ ラ ッ シ ュ メ モ リ ーに保存で き ます。 こ れら のエ ン ト リ は、 ス イ ッ チの リ セ ッ ト 時にス ヌ ー ピ ン グ テーブルに復元 さ れます。 ただ し 、 フ ラ ッ シ ュ メ モ リ ーか ら 復元 さ れた ダ イ ナ ミ ッ ク エ ン ト リ について表示 さ れる リ ース時間は有効で な く な る こ と に注 意 し て く だ さ い。 例 Console(config)#ip dhcp snooping database flash Console(config)# show ip dhcp snooping こ の コ マ ン ド では、 DHCP ス ヌ ーピ ング コ ン フ ィ ギ ュ レーシ ョ ン設定を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show ip dhcp snooping Global DHCP Snooping status: disable DHCP Snooping is configured on the following VLANs: 1 Verify Source Mac-Address: enable Interface ---------Eth 1/1 Eth 1/2 Eth 1/3 Eth 1/4 Eth 1/5 . . . Trusted ---------No No No No Yes show ip dhcp snooping binding こ の コ マ ン ド では、 DHCP ス ヌ ーピ ング バイ ンデ ィ ング テーブルのエ ン ト リ を表示 し ます。 コ マ ン ド モー ド Privileged Exec 4-229 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ----------------- --------------- ---------- -------------------- -----------11-22-33-44-55-66 192.168.0.99 0 Static 1 Eth 1/ 5 Console# スイ ッ チ ク ラ スタ コ マン ド ス イ ッ チ ク ラ ス タ リ ングは、 複数のス イ ッ チ を グループにま と め、 単一のユニ ッ ト から 一元 管理を行え る よ う にする方法です。 各ス イ ッ チ ク ラ ス タ には、 ク ラ ス タ 内のその他すべての 「 メ ンバー」 ス イ ッ チ を管理する ために使用 さ れる 「 コ マ ン ダ」 ユニ ッ ト が含まれます。 管理 ス テーシ ョ ンは、 コ マ ン ダの IP ア ド レ ス を使用 し て コ マ ン ダ と 直接 Telnet 通信 し 、 コ マ ン ダ は、 ク ラ ス タ の 「内部」 IP ア ド レ ス を使用 し て メ ンバー ス イ ッ チ を管理 し ます。 1 つのク ラ ス タ に最大 36 個の メ ンバー ス イ ッ チ を構成で き ます。 ク ラ ス タ ス イ ッ チは、 単一の IP サブ ネ ッ ト 内に制限 さ れます。 表 4-77. ス イ ッ チ ク ラ ス タ コ マ ン ド コマン ド 機能 モー ド ページ cluster ス イ ッ チに ク ラ ス タ リ ングを構成 し ます。 GC cluster commander ス イ ッ チ を ク ラ ス タ コ マ ン ダ と し て構成 し ます。 GC 4-231 cluster ip-pool メ ンバー用のク ラ ス タ IP ア ド レ ス プールを設定 し ます。 GC 4-231 cluster member 候補ス イ ッ チ を ク ラ ス タ メ ンバー と し て設定 し ます。 GC 4-232 rcommand メ ンバー ス イ ッ チに コ ン フ ィ ギ ュ レーシ ョ ン ア ク セス GC を提供 し ます。 4-233 4-233 4-230 show cluster ス イ ッ チのク ラ ス タ リ ング ス テー タ ス を表示 し ます。 PE show cluster members 現在のク ラ ス タ メ ンバーを表示 し ます。 PE 4-233 show cluster candidates ネ ッ ト ワー ク内の現在のク ラ ス タ 候補を表示 し ます。 PE 4-234 cluster こ の コ マ ン ド では、 ス イ ッ チで ク ラ ス タ リ ング を有効に し ます。 no 形式を使用する と 、 ク ラ ス タ リ ングが無効にな り ます。 構文 [no] cluster デ フ ォ ル ト 設定 有効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン 4-230 スイ ッ チ ク ラス タ コ マン ド 4 コ マ ン ド の使用 • ス イ ッ チ ク ラ ス タ を作成する には、 まずス イ ッ チで ク ラ ス タ リ ン グ を有効に し (デ フ ォル ト で有効) 、 次にス イ ッ チ を ク ラ ス タ コ マ ン ダ と し て設定 し ます。 ネ ッ ト ワー ク 上のほかの IP サブ ネ ッ ト と 競合 し な い よ う ク ラ ス タ IP プ ールを設定 し ま す。 ス イ ッ チが メ ンバーにな る と 、 ク ラ ス タ IP ア ド レ スがス イ ッ チに割 り 当て ら れ、 メ ン バー ス イ ッ チ と コ マ ン ダ間の通信に使用 さ れます。 • ス イ ッ チ ク ラ ス タ は、 単一の IP サブネ ッ ト (レ イ ヤー 2 ド メ イ ン) に制限 さ れます。 • 各ス イ ッ チ を メ ンバーにで き る ク ラ ス タ は 1 つのみです。 • 構成 さ れたス イ ッ チ ク ラ ス タ は、 電源 リ セ ッ ト やネ ッ ト ワー クの変更後も維持 さ れます。 例 Console(config)#cluster Console(config)# cluster commander こ の コ マ ン ド では、 ス イ ッ チ を ク ラ ス タ コ マ ン ダ と し て有効に し ます。 no 形式を使用す る と 、 ク ラ ス タ コ マ ン ダ と し てのス イ ッ チの設定が無効にな り ます。 構文 [no] cluster commander デ フ ォ ル ト 設定 無効 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ク ラ ス タ コ マ ン ダ と し て構成 さ れたス イ ッ チは、ネ ッ ト ワー ク上のク ラ ス タ 対応ス イ ッ チ を自動的に検知 し ます。 これ らの 「候補」 ス イ ッ チは、 管理者が管理ス テーシ ョ ン から手動で選択 し た場合に ク ラ ス タ メ ンバーにな り ます。 • ク ラ ス タ メ ンバー ス イ ッ チは、 コ マ ン ダへの Telnet 接続でのみ管理で き ます。 メ ン バー ス イ ッ チに接続する には、 コ マ ン ダの CLI プ ロ ン プ ト か ら rcommand id コ マ ン ド を使用 し ます。 例 Console(config)#cluster commander Console(config)# cluster ip-pool こ の コ マ ン ド では、 ク ラ ス タ IP ア ド レ ス プールを設定 し ます。no 形式を使用する と 、デ フ ォ ル ト ア ド レ スに リ セ ッ ト さ れます。 構文 cluster ip-pool <ip-address> no cluster ip-pool 4-231 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース ip-address - ク ラ ス タ メ ンバーに割 り 当て られる IP ア ド レ スの基本 IP ア ド レ スです。 IP ア ド レ スは 10.x.x.x で始ま っ ている必要があ り ます。 デ フ ォ ル ト 設定 10.254.254.1 コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • 「内部」 IP ア ド レ ス プールは、 ク ラ ス タ 内の メ ンバー ス イ ッ チに IP ア ド レ ス を割 り 当て る ために使用 さ れます。 内部 ク ラ ス タ IP ア ド レ スは、 10.x.x.member-ID 形式で す。 メ ンバー ID は 1 ~ 36 であ る ため、 設定する必要があ るのは、 プールの基本 IP ア ド レ スのみです。 • ク ラ ス タ IP プールは、 ネ ッ ト ワー ク IP サブ ネ ッ ト 内のア ド レ ス と 競合 し ないよ う 設 定 し ます。 ス イ ッ チが メ ンバーにな る と 、 ク ラ ス タ IP ア ド レ スがス イ ッ チに割 り 当て られ、 メ ンバー ス イ ッ チ と コ マ ン ダ間の通信に使用 さ れます。 • ス イ ッ チが コ マ ン ダ モー ド の と きは、 ク ラ ス タ IP プールを変更で き ません。 最初に コ マ ン ダ モー ド を無効にする必要があ り ます。 例 Console(config)#cluster ip-pool 10.2.3.4 Console(config)# cluster member こ の コ マ ン ド では、 候補ス イ ッ チ を ク ラ ス タ メ ンバー と し て構成 し ます。 no 形式を使用する と 、 メ ンバー ス イ ッ チが ク ラ ス タ から 削除 さ れます。 構文 cluster member mac-address <mac-address> id <member-id> no cluster member id <member-id> mac-address - 候補ス イ ッ チの MAC ア ド レ ス です。 member-id - メ ンバー ス イ ッ チに割 り 当て る ID 番号です (範囲 : 1 ~ 36)。 デ フ ォ ル ト 設定 メ ンバーな し コ マ ン ド モー ド グローバル コ ン フ ィ ギ ュ レーシ ョ ン コ マ ン ド の使用 • ク ラ ス タ メ ンバーの最大数は 36 です。 • ス イ ッ チ候補の最大数は 100 です。 例 Console(config)#cluster member mac-address 00-12-34-56-78-9a id 5 Console(config)# 4-232 スイ ッ チ ク ラス タ コ マン ド 4 rcommand こ の コ マ ン ド では、 構成のためのク ラ ス タ メ ンバー CLI へのア ク セス を提供 し ます。 構文 rcommand id <member-id> member-id - メ ンバー ス イ ッ チの ID 番号です (範囲 : 1 ~ 36)。 コ マ ン ド モー ド Privileged Exec コ マ ン ド の使用 • こ の コ マ ン ド は、 コ マ ン ダ ス イ ッ チへの Telnet 接続でのみ機能 し ます。 コ マ ン ダの ロー カル コ ン ソ ール CLI に よ る ク ラ ス タ メ ンバーの管理はサポー ト さ れません。 • メ ンバー ス イ ッ チの CLI にア ク セスする ために、ユーザー名 と パスワー ド を入力する 必要はあ り ません。 例 Vty-0#rcommand id 1 CLI session with the 24/48 L2/L4 GE Switch is opened. To end the CLI session, enter [Exit]. Vty-0# show cluster こ の コ マ ン ド では、 ス イ ッ チの ク ラ ス タ リ ン グ コ ン フ ィ ギ ュ レーシ ョ ン を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show cluster Role: Interval heartbeat: Heartbeat loss count: Number of Members: Number of Candidates: Console# commander 30 3 1 2 show cluster members こ の コ マ ン ド では、 現在のス イ ッ チ ク ラ ス タ メ ンバーを表示 し ます。 コ マ ン ド モー ド Privileged Exec 4-233 4 コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 例 Console#show cluster members Cluster Members: ID: 1 Role: Active member IP Address: 10.254.254.2 MAC Address: 00-12-cf-23-49-c0 Description: 24/48 L2/L4 IPV4/IPV6 GE Switch Console# show cluster candidates こ の コ マ ン ド では、 ネ ッ ト ワー ク上で検知 さ れた候補ス イ ッ チ を表示 し ます。 コ マ ン ド モー ド Privileged Exec 例 Console#show cluster candidates Cluster Candidates: Role Mac --------------- ----------------ACTIVE MEMBER 00-12-cf-23-49-c0 CANDIDATE 00-12-cf-0b-47-a0 Console# 4-234 Description ----------------------------------------24/48 L2/L4 IPV4/IPV6 GE Switch 24/48 L2/L4 IPV4/IPV6 GE Switch 付録 A : ソ フ ト ウ ェ ア仕様 ソ フ ト ウェ ア 機能 認証 ロー カル、 RADIUS、 TACACS、 ポー ト (802.1X)、 HTTPS、 SSH、 ポー ト セキ ュ リ テ ィ ア ク セス制御 リ ス ト IP、 MAC: シ ス テム当た り 100 ルール DHCP ク ラ イ ア ン ト ポー ト コ ン フ ィ ギ ュ レーシ ョ ン 100BASE-TX:10/100 Mbps、 半二重 / 全二重 1000BASE-T: 10/100 Mbps 半二重 / 全二重、 1000 Mbps 全二重 1000BASE-SX/LX/LH - 1000 Mbps 全二重 (SFP) フ ロー制御 全二重 : IEEE 802.3-2002 半二重 : バ ッ ク プ レ ッ シ ャ ブ ロー ド キ ャ ス ト ス ト ーム制御 ク リ テ ィ カル し き い値超過 ト ラ フ ィ ッ ク を抑制 ポー ト ミ ラ ー リ ン グ 送信元ポー ト 複数、 宛先ポー ト 1 つ レー ト リ ミ ッ ト 入力制限 出力制限 ポー ト ト ラ ンキン グ ス タ テ ィ ッ ク ト ラ ン ク (Cisco EtherChannel 準拠) ダ イ ナ ミ ッ ク ト ラ ン ク ( リ ン ク アグ レゲーシ ョ ン制御プ ロ ト コ ル) スパニ ング ツ リ ー アルゴ リ ズム スパニ ング ツ リ ー プ ロ ト コ ル (STP、 IEEE 802.1D) 高速スパニ ング ツ リ ー プ ロ ト コル (RSTP、 IEEE 802.1w) VLAN サポー ト 最大 255 グループのポー ト ベース または タ グベース (802.1Q) プ ラ イ ベー ト VLAN プ ロ ト コ ルベースの VLAN CoS (サービ ス ク ラ ス) 4 つのプ ラ イ オ リ テ ィ レ ベルおよび WRR(加重 ラ ウ ン ド ロ ビ ン)キ ュ ー イ ング をサポー ト (VLAN タ グまたはポー ト によ り 構成可能) レ イ ヤー 3/4 プ ラ イ オ リ テ ィ マ ッ ピ ング :IP DSCP A -1 A ソ フ ト ウ ェ ア仕様 マルチキ ャ ス ト フ ィ ル タ リ ング IGMP ス ヌ ーピ ン グ (レ イ ヤー 2) マルチキ ャ ス ト VLAN 登録 QoS (サービ ス品質) 差別化サービ ス (DiffServ)は、ク ラ ス マ ッ プポ リ シー マ ッ プサービ ス ポ リ シーをサポー ト その他の機能 BOOTP ク ラ イ ア ン ト SNTP (簡易ネ ッ ト ワー ク タ イ ム プ ロ ト コ ル) SNMP (簡易ネ ッ ト ワー ク管理プ ロ ト コ ル) RMON ( リ モー ト モニ タ リ ング、 グループ 1、 2、 3、 9) SMTP 電子 メ ール ア ラ ー ト DHCP ス ヌ ーピ ング IP ソ ース ガー ド ス イ ッ チ ク ラ ス タ リ ング 管理機能 帯域内管理 Telnet、ウ ェ ブベースの HTTP または HTTPS、SNMP マネージ ャ 、ま たはセキ ュ ア シ ェ ル 帯域外管理 RS-232 DB-9 コ ン ソ ール ポー ト ソ フ ト ウ ェ アのロー ド TFTP 帯域内または XModem 帯域外 SNMP MIB デー タ ベースに よ る管理ア ク セス 指定ホス ト に対する ト ラ ッ プ管理 RMON グループ 1、 2、 3、 9 (統計情報、 ヒ ス ト リ 、 ア ラ ーム、 イ ベン ト ) A -2 規格 A 規格 IEEE 802.1D スパニ ング ツ リ ー プ ロ ト コ ルおよび ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ IEEE 802.1p プ ラ イ オ リ テ ィ タ グ IEEE 802.1Q VLAN IEEE 802.1v プ ロ ト コ ルベース VLAN IEEE 802.1w 高速スパニ ング ツ リ ー プ ロ ト コ ル IEEE 802.1X ポー ト 認証 IEEE 802.3-2005 イ ーサネ ッ ト 、 フ ァ ース ト イ ーサネ ッ ト 、 ギガ ビ ッ ト イ ーサネ ッ ト 全二重 フ ロー制御 LACP ( リ ン ク アグ レゲーシ ョ ン制御プ ロ ト コル) IEEE 802.3ac VLAN タ ギング DHCP ク ラ イ ア ン ト (RFC 1541) HTTPS IGMP (RFC 1112) IGMPv2 (RFC 2236) RADIUS+ (RFC 2618) RMON (RFC 1757 グループ 1、 2、 3、 9) SNMP (RFC 1157) SNMPv2 (RFC 2571) SNMPv3 (RFC 草稿 3414、 3410、 2273、 3411、 3415) SNTP (RFC 2030) SSH (バージ ョ ン 2.0) TFTP (RFC 1350) A -3 A ソ フ ト ウ ェ ア仕様 MIB( 管理情報ベース) ブ リ ッ ジ MIB (RFC 1493) 差別化サービ ス MIB (RFC 3289) エ ン テ ィ テ ィ MIB (RFC 2737) イ ーサ ラ イ ク MIB (RFC 2665) 拡張ブ リ ッ ジ MIB (RFC 2674) SNMP 拡張エージ ェ ン ト MIB (RFC 2742) フ ォ ワーデ ィ ング テーブル MIB (RFC 2096) IGMP MIB (RFC 2933) イ ン タ ー フ ェ ース グループ MIB (RFC 2233) イ ン タ ー フ ェ ース拡張 MIB (RFC 2863) IP マルチキ ャ ス テ ィ ング関連 MIB MAU MIB (RFC 2668) MIB II (RFC 1213) ポー ト ア ク セス エ ン テ ィ テ ィ MIB (IEEE 802.1X) ポー ト ア ク セス エ ン テ ィ テ ィ 装置 MIB プ ラ イ ベー ト MIB サービ ス品質 MIB RADIUS 認証ク ラ イ ア ン ト MIB (RFC 2621) RMON MIB (RFC 2819) RMON II プ ローブ コ ン フ ィ ギ ュ レーシ ョ ン グループ (RFC 2021、 一部実装) SNMPv2 IP MIB (RFC 2011) SNMP Community MIB (RFC 3584) SNMP Framework MIB (RFC 3411) SNMP-MPD MIB (RFC 3412) SNMP Target MIB、 SNMP Notification MIB (RFC 3413) SNMP User-Based SM MIB (RFC 3414) SNMP View Based ACM MIB (RFC 3415) TACACS+ 認証ク ラ イ ア ン ト MIB TCP MIB (RFC 2013) ト ラ ッ プ (RFC 1215) UDP MIB (RFC 2012) A -4 付録 B : ト ラ ブルシ ュ ーテ ィ ング 管理イ ン タ ーフ ェ ースへのア ク セスに関する 問題 表 B -1. ト ラ ブルシ ュ ーテ ィ ング一覧表 症状 アクシ ョ ン Telnet、ウ ェ ブ ブ ラ ウザ、 • ま た は SNMP ソ フ ト • ウ ェ ア を使用 し て接続で き ない • • • • • セ キ ュ ア シ ェ ル を 使用 • し て接続で き ない • • • • シ リ アルポー ト 接続でオ • ン ボー ド の構成プ ロ グ ラ ムにア ク セスで き ない • パスワー ド を忘れた • ス イ ッ チの電源がオン にな っ ているか確認 し ます。 管理ス テーシ ョ ン と ス イ ッ チ間のネ ッ ト ワー ク ケーブル接続を確 認 し ます。 ス イ ッ チに対 し て有効なネ ッ ト ワー ク 接続が確立 さ れてい るか、 使 用 し ているポー ト が無効に さ れていないか確認 し ます。 管理ス テーシ ョ ンが接続 さ れている VLAN イ ン タ ー フ ェ ースに有効 な IP ア ド レ ス、 サブネ ッ ト マス ク、 デ フ ォル ト ゲー ト ウ ェ イが構 成 さ れているか確認 し ます。 管理ス テーシ ョ ンの IP ア ド レ スが、 接続先のス イ ッ チの IP イ ン タ ー フ ェ ース と 同 じ サブネ ッ ト に属 し てい るか確認 し ます。 タ グ付き VLAN グループの IP ア ド レ ス を使用 し てス イ ッ チに接続 し よ う と し てい る場合、 管理ス テーシ ョ ン、 お よびネ ッ ト ワー ク 内 の中継ス イ ッ チ を接続するポー ト には適切な タ グが構成 さ れている 必要があ り ます。 Telnet を使用 し て接続で き ない場合、Telnet/SSH 同時セ ッ シ ョ ンの 許容最大数を超え てい る可能性があ り ます。 し ば ら く し てか ら 接続 を再試行 し て く だ さ い。 SSH を使用 し て接続で き ない場合、 Telnet/SSH 同時セ ッ シ ョ ンの 許容最大数を超え てい る可能性があ り ます。 し ば ら く し てか ら 接続 を再試行 し て く だ さ い。 ス イ ッ チで SSH サーバーの制御パラ メ ー タ が正 し く 構成 さ れてい るか、 また管理ス テーシ ョ ン で SSH ク ラ イ ア ン ト ソ フ ト ウ ェ アが 正 し く 構成 さ れているか確認 し ます。 ス イ ッ チで公開キーが作成 さ れているか、また こ のキーが SSH ク ラ イ ア ン ト にエ ク スポー ト さ れているか確認 し ます。 ス イ ッ チで各 SSH ユーザーのア カ ウン ト (ユーザー名、 認証レ ベ ル、 パスワー ド を含む) が設定 さ れてい るか確認 し ます。 ク ラ イ ア ン ト の公開キーがス イ ッ チに イ ン ポー ト さ れてい るか確認 し ます (公開キー認証方式を使用する場合)。 端末エ ミ ュ レーシ ョ ン プ ログ ラ ムが VT100 互換、 8 デー タ ビ ッ ト 、 1 ス ト ッ プ ビ ッ ト 、 パ リ テ ィ な し 、 9600 bps に設定 さ れているか確 認 し ます。 ヌルモデム シ リ アル ケーブルが、 『イ ン ス ト ール ガ イ ド 』 に記載 さ れている ピ ン アウ ト 接続に適合 し てい るか確認 し ます。 お近 く の販売店にご連絡 く だ さ い。 B -1 B ト ラ ブルシ ュ ーテ ィ ング システ ム ロ グの使用 障害が発生 し た場合、 『イ ン ス ト ール ガ イ ド 』 を参照 し て、 その問題が実際にス イ ッ チによ っ て引き起 こ さ れてい るかど う かを確認 し て く だ さ い。 問題の原因がス イ ッ チ であ る こ と が判 明 し た ら、 次の手順を実行 し ます。 1. ロギング を有効に し ます。 2. すべてのカ テ ゴ リ のエ ラ ー メ ッ セージが報告 さ れる よ う 設定 し ます。 3. エ ラ ー メ ッ セージ を受信する SNMP ホス ト を指定 し ます。 4. エ ラ ーを引き起 こ し た コ マ ン ド シーケ ン ス またはその他のア ク シ ョ ン を繰 り 返 し ます。 5. 障害が発生 し た コ マ ン ド または状況の リ ス ト を作成 し ます。 表示 さ れた エ ラ ー メ ッ セー ジの リ ス ト も作成 し ます。 6. お近 く の販売店のサービ ス エ ン ジ ニアにご連絡 く だ さ い。 例: Console(config)#logging on Console(config)#logging history flash 7 Console(config)#snmp-server host 192.168.1.23 . . . B -2 用語集 ア ク セ ス制御 リ ス ト (ACL) ACL では、 各パケ ッ ト の特定の IP 情報ま たは MAC (レ イ ヤー 2) 情報を チ ェ ッ ク す る こ と に よ り 、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を制限 し た り 、 特定のユーザーま たはデバイ スへのア ク セス を制限する こ と がで き ます。 ブー ト プ ロ ト コ ル (BOOTP) BOOTP は、 ネ ッ ト ワー ク デバイ スのブー ト ア ッ プ情報 (IP ア ド レ ス情報、 デバイ スのシ ス テム フ ァ イルが保持 さ れている TFTP サーバーのア ド レ ス、 ブー ト フ ァ イルの名前な ど) を 供給する ために使用 さ れます。 サービ ス ク ラ ス (CoS) CoS は、 要求 さ れるサービ ス レ ベルに基づいてパケ ッ ト にプ ラ イ オ リ テ ィ を設定 し 、 適切な 出力キ ュ ーに振 り 分ける こ と に よ っ て実現 さ れます。 デー タ は WRR (加重ラ ウ ン ド ロ ビ ン) サー ビ スに よ っ てキ ュ ーか ら 送信 さ れます。 WRR に よ り プ ラ イ オ リ テ ィ サー ビ スが実行 さ れ、 低レ ベル キ ュ ーのブ ロ ッ ク が防止 さ れます。 プ ラ イ オ リ テ ィ の設定は、 ポー ト デ フ ォ ル ト 、パケ ッ ト のプ ラ イ オ リ テ ィ ビ ッ ト (VLAN タ グ内)、TCP/UDP ポー ト 番号、 または DSCP プ ラ イ オ リ テ ィ ビ ッ ト に基づいて行われます。 差別化サービ ス コ ー ド ポ イ ン ト サービ ス (DSCP) DSCP では、 6 ビ ッ ト の タ グによ っ て最大 64 種類の転送動作が提供 さ れます。 ネ ッ ト ワー ク ポ リ シーに基づ き、 ト ラ フ ィ ッ ク の種類に応 じ て マー ク を付け る こ と に よ り 、 異な る種類の 転送を行 う こ と がで き ます。 DSCP ビ ッ ト は CoS (サービ ス ク ラ ス) カ テ ゴ リ にマ ッ プ さ れ、 次に出力キ ュ ーに配置 さ れます。 ド メ イ ン ネーム サービ ス (DNS) ネ ッ ト ワー ク ノ ー ド のホス ト 名を IP ア ド レ スに変換する シ ス テム。 ダ イ ナ ミ ッ ク ホス ト 制御プ ロ ト コ ル (DHCP) TCP/IP ネ ッ ト ワー ク 上のホ ス ト に コ ン フ ィ ギ ュ レ ーシ ョ ン情報を渡すための フ レ ームワー ク を提供し ます。 DHCP は BOOTP (ブー ト ス ト ラ ッ プ プ ロ ト コル) に基づいてお り 、 再利用 可能なネ ッ ト ワーク ア ド レ スの自動割当て機能 と 追加の構成オプシ ョ ンが追加さ れています。 Extensible Authentication Protocol over LAN (EAPOL) EAPOL は こ のス イ ッ チで採用 さ れている ク ラ イ ア ン ト 認証プ ロ ト コルであ り 、 ス イ ッ チにプ ラ グ イ ン さ れるあ ら ゆるデバイ スのネ ッ ト ワー ク ア ク セ ス権を検証 し ます。 ス イ ッ チが要求 し たユーザー名 と パスワー ド は、 確認のため RADIUS な どの認証サーバーに転送 さ れます。 EAPOL は IEEE 802.1X ポー ト 認証規格の一部 と し て実装 さ れます。 GARP VLAN 登録プ ロ ト コ ル (GVRP) 必要な VLAN メ ンバーを スパニ ング ツ リ ー上のポー ト に登録する ために、 ス イ ッ チ間で VLAN 情報を交換す る方法を定義 し ています。 こ れに よ り 、 各ス イ ッ チ で定義 さ れた VLAN は、 スパニ ング ツ リ ー ネ ッ ト ワー ク を介 し て自動的に機能する こ と がで き ます。 用語集 -1 用語集 汎用属性登録プ ロ ト コ ル (GARP) GARP はエ ン ド ス テーシ ョ ンやス イ ッ チ で使用 さ れる プ ロ ト コ ルです。 ス イ ッ チ ド 環境で マ ルチキ ャ ス ト グループ メ ンバーシ ッ プ情報の登録および伝搬を行い、マルチキ ャ ス ト デー タ フ レームが、 ス イ ッ チ ド LAN の中の登録エ ン ド ス テーシ ョ ン を含む部分にのみ伝搬 さ れる よ う に し ます。 旧称はグループ ア ド レ ス登録プ ロ ト コ ル。 汎用マルチキ ャ ス ト 登録プ ロ ト コ ル (GMRP) GMRP に よ り 、 ネ ッ ト ワー ク デバイ スはエ ン ド ス テーシ ョ ン を マルチキ ャ ス ト グループ に 登録で き ます。 GMRP を使用するには、 参加ネ ッ ト ワー ク デバイ ス またはエ ン ド ス テーシ ョ ンが IEEE 802.1p 規格に準拠 し ている こ と が必須条件にな り ます。 グループ属性登録プ ロ ト コ ル (GARP) 「汎用属性登録プ ロ ト コ ル」 を参照。 IEEE 802.1D スパニ ング ツ リ ー プ ロ ト コ ルを含め、 MAC ブ リ ッ ジの一般的な運用方法を定義 し ています。 IEEE 802.1Q VLAN タ ギング — VLAN 情報を格納する イ ーサネ ッ ト フ レ ーム タ グ を定義 し ます。こ れに よ り 、 ス イ ッ チは異な るバーチ ャ ル LAN にエ ン ド ス テーシ ョ ン を割 り 当て る こ と がで き ます。 こ の規格では、交換ネ ッ ト ワー ク を介 し て VLAN が通信を行 う 標準の方法を定義 し ています。 IEEE 802.1p イ ーサネ ッ ト ネ ッ ト ワー ク において QoS(サービ ス品質) を実現する ための IEEE 規格。IEEE 802.1p では、 パケ ッ ト タ グ を使用 し て最大 8 つの異な る ト ラ フ ィ ッ ク ク ラ ス を定義可能で す。 こ れに よ り 、 ス イ ッ チは タ グ付け さ れた プ ラ イ オ リ テ ィ 値に基づいてパケ ッ ト を送信で き ます。 IEEE 802.1X IEEE 802.1X ポー ト 認証では、 ユーザーに対 し て最初に認証のためのユーザー ID と パスワー ド の入力を求める こ と で、 ス イ ッ チ ポー ト へのア ク セ スが制御 さ れます。 IEEE 802.3ac VLAN タ ギングのための フ レーム拡張方式を定義 し ています。 IEEE 802.3x 全二重 リ ン ク のフ ロー制御に使用 さ れる イ ーサネ ッ ト フ レームの開始 / 停止要求 と タ イ マー を定義 し ています (現在は IEEE 802.3-2002 に包括)。 IGMP Snooping IP マルチキ ャ ス ト グループの メ ンバーを識別する ために、 IP マルチキ ャ ス ト ルー タ と IP マ ルチキ ャ ス ト ホ ス ト グループ と の間で転送 さ れる IGMP ク エ リ ーおよび IGMP レ ポー ト パ ケ ッ ト を リ スニ ングする こ と 。 用語集 -2 用語集 IGMP ク エ リ ー 各サブ ネ ッ ト ワー ク 上では、 1 台の IGMP 対応デバ イ スが ク エ リ ア と し て動作 し ます。 ク エ リ アは、 すべてのホス ト に対 し 、 参加希望の、 またはすでに属 し ている IP マルチキ ャ ス ト グ ループ を報告する よ う 要求 し ます。 ク エ リ アには、 サブネ ッ ト ワー ク内で最も小 さ い IP ア ド レ ス を持つデバイ スが選択 さ れます。 イ ン タ ーネ ッ ト グループ マネジ メ ン ト プ ロ ト コ ル (IGMP) ホス ト がマルチキ ャ ス ト サービ ス を受ける ために、 それぞれのロー カル ルー タ に登録する際 に使用する プ ロ ト コ ル。 サブネ ッ ト ワー ク内に 2 つ以上のマルチキ ャ ス ト ス イ ッ チ / ルー タ が存在する場合、 1 つのデバイ スが 「 ク エ リ ア」 と な り 、 グループ メ ンバーシ ッ プ を追跡す る役割を担います。 帯域内管理 ネ ッ ト ワー ク に直接接続 さ れたス テーシ ョ ンから ネ ッ ト ワー ク管理を行 う こ と 。 IP マルチキ ャ ス ト フ ィ ル タ リ ン グ こ のス イ ッ チが参加ホス ト にマルチキ ャ ス ト ト ラ フ ィ ッ ク を渡すプ ロ セス。 レ イヤー 2 ISO の定める、 7 階層から成るデー タ 通信プ ロ ト コ ルにおけるデー タ リ ン ク レ イ ヤー。 ネ ッ ト ワー ク デバイ スのハー ド ウ ェ ア イ ン タ ー フ ェ ースに直接関連付け ら れ、 MAC ア ド レ スに 基づいて ト ラ フ ィ ッ ク を渡 し ます。 リ ン ク アグ レゲーシ ョ ン 「ポー ト ト ラ ン ク」 を参照。 リ ン ク アグ レゲーシ ョ ン制御プ ロ ト コ ル (LACP) LACP に よ り 、 ポー ト は別のデバイ ス上の LACP 構成ポー ト と ト ラ ン ク 接続 さ れた リ ン ク の ネゴ シ エーシ ョ ン を自動的に行 う こ と がで き ます。 管理情報ベース (MIB) Management Information Base の頭文字。 特定のデバ イ スに関す る情報が保持 さ れる一連の デー タ ベース オブ ジ ェ ク ト を指 し ます。 MD5 メ ッ セージダ イ ジ ェ ス ト アルゴ リ ズム 電子署名の作成に使用 さ れる アルゴ リ ズム。32 ビ ッ ト マシ ン で使用する こ と を前提に設計 さ れてお り 、 すでに破 ら れた MD4 アルゴ リ ズムよ り 安全性が向上 し ています。 MD5 は一方向 型のハ ッ シ ュ関数で、 メ ッ セージ を、 メ ッ セージ ダ イ ジ ェ ス ト と 呼ばれる固定長の文字列に 変換 し ます。 マルチキ ャ ス ト ス イ ッ チ ン グ ス イ ッ チが、 着信マルチキ ャ ス ト フ レ ームから どの接続ホス ト も登録 し ていないサービ ス を フ ィ ル タ リ ン グする プ ロ セ ス、 ま たは指定 さ れたマルチキ ャ ス ト VLAN グループ に含まれる すべてのポー ト に こ れら を転送する プ ロ セス。 用語集 -3 用語集 ネ ッ ト ワー ク タ イ ム プ ロ ト コ ル (NTP) NTP では、 ネ ッ ト ワー ク 全体で時刻を同期 さ せる メ カ ニズムが提供 さ れます。 サブネ ッ ト 内 のロ ー カ ル ク ロ ッ ク を 有線ま たは無線で同期 さ せ、 国内標準時刻に合わ る ために、 タ イ ム サーバーはマス タ ー / ス レーブ階層構成で動作 し ます。 帯域外管理 ネ ッ ト ワー ク に接続 さ れていないス テーシ ョ ンから ネ ッ ト ワー ク 管理を行 う こ と 。 ポー ト 認証 「IEEE 802.1X」 を参照。 ポー ト ミ ラ ー リ ン グ タ ーゲ ッ ト ポー ト 上のデー タ を モ ニ タ ー ポー ト に ミ ラ ー リ ン グ し 、 ロ ジ ッ ク アナ ラ イ ザや RMON プ ローブ で ト ラ ブルシ ュ ーテ ィ ング を行 う 方法。ほかの処理に影響を与え る こ と な く 、 タ ーゲ ッ ト ポー ト のデー タ を観察で き ます。 ポー ト ト ラ ン ク ネ ッ ト ワー ク の リ ン ク アグ レ ゲーシ ョ ン と ト ラ ンキン グの方式を定義する もので、 複数の低 速物理 リ ン ク を統合 し て 1 つの高速論理 リ ン ク を作成する方法を指定 し ます。 プ ラ イ ベー ト VLAN プ ラ イ ベー ト VLAN では、 割 り 当て ら れた VLAN 内のポー ト 間で ポー ト ベースのセキ ュ リ テ ィ および分割が実現 さ れます。 ダウン リ ン ク ポー ト のデー タ ト ラ フ ィ ッ クは、 ア ッ プ リ ン ク ポー ト と の間でのみ転送が可能です。 リ モー ト 認証ダ イ ヤルイ ン ユーザー サービ ス (RADIUS) RADIUS は、 中央サーバー上で稼働する ソ フ ト ウ ェ ア を使用 し てネ ッ ト ワー ク 上の RADIUS 準拠デバイ スへのア ク セス を制御する ログオ ン認証プ ロ ト コ ルです。 リ モー ト モ ニ タ リ ン グ (RMON) RMON では包括的なネ ッ ト ワー ク モ ニ タ リ ン グ機能が提供 さ れます。 標準 SNMP におけ る ポー リ ングの必要性が排除 さ れる だけでな く 、 特定のエ ラ ー タ イ プ な ど様々な ト ラ フ ィ ッ ク 条件で ア ラ ームを設定で き ます。 高速スパニ ン グ ツ リ ー プ ロ ト コ ル (RSTP) RSTP では、ネ ッ ト ワー ク ト ポロ ジ変更の際のコ ンバージ ェ ン ス時間が、従来の IEEE 802.1D STP 規格の約 10 分の 1 に短縮 さ れます。 セキ ュ ア シ ェ ル (SSH) Telnet を初め と す る リ モー ト ア ク セ ス機能の安全な代替手段です。 SSH では、 暗号キーで ユーザーを認証 し 、 管理 ク ラ イ ア ン ト と ス イ ッ チ間のデー タ 接続を暗号化で き ます。 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル (SNMP) イ ン タ ーネ ッ ト プ ロ ト コ ル群の う ち、 ネ ッ ト ワー ク管理サービ ス を提供する ア プ リ ケーシ ョ ン プ ロ ト コ ル。 用語集 -4 用語集 簡易ネ ッ ト ワー ク タ イム プ ロ ト コ ル (SNTP) SNTP に よ り 、 デバイ スでは NTP (ネ ッ ト ワー ク タ イ ム プ ロ ト コル) サーバーから 定期的に 送信 さ れる更新に基づいて内部 ク ロ ッ ク を設定で き ます。 更新は指定の NTP サーバーに要求 する こ と も、 NTP サーバーから送信 さ れる ブ ロー ド キ ャ ス ト で受信する こ と も で き ます。 スパニ ン グ ツ リ ー アルゴ リ ズム (STA) ネ ッ ト ワー ク 内にループが発生 し ていないかを チ ェ ッ ク する テ ク ノ ロ ジ。 複雑なネ ッ ト ワー ク シ ス テムやバ ッ ク ア ッ プ リ ン クのあ る ネ ッ ト ワー ク シ ス テムでは、ループが発生する こ と がよ く あ り ます。 スパニ ング ツ リ ーでは、 検知 さ れたデー タ は利用可能な最短パス で送信 さ れる ため、 ネ ッ ト ワー ク の性能 と 効率を最大限に高める こ と がで き ます。 Telnet TCP/IP ネ ッ ト ワー ク を介 し て端末デバイ ス を操作する ための リ モー ト 通信機能を指 し ます。 タ ー ミ ナル ア ク セス コ ン ト ロー ラ ア ク セ ス制御シ ス テム プ ラ ス (TACACS+) TACACS+ は、 中央サーバー上で稼働する ソ フ ト ウ ェ ア を使用 し てネ ッ ト ワー ク 上の TACACS 準拠デバイ スへのア ク セス を制御する ログオ ン認証プ ロ ト コルです。 伝送制御プ ロ ト コ ル / イ ン タ ーネ ッ ト プ ロ ト コ ル (TCP/IP) TCP を一次的な転送プ ロ ト コ ル と し 、 IP を ネ ッ ト ワー ク レ イ ヤー プ ロ ト コ ル と し た プ ロ ト コ ル群。 簡易 フ ァ イル転送プ ロ ト コ ル (TFTP) ソ フ ト ウ ェ アのダウ ン ロー ド に一般的に使用 さ れている TCP/IP プ ロ ト コ ル。 ユーザー デー タ グ ラ ム プ ロ ト コ ル (UDP) UDP ではパケ ッ ト 交換通信用のデー タ グ ラ ム モー ド が提供 さ れます。基盤の転送 メ カ ニズム と し て IP が使用 さ れ、 IP 系サービ スへのア ク セ スが提供 さ れます。 UDP パケ ッ ト は宛先へ の到達前に廃棄 さ れる可能性のあ る コ ネ ク シ ョ ン レ ス型デー タ グ ラ ムであ り 、 IP パケ ッ ト と 同様に配信 さ れます。 TCP が複雑すぎ る、 遅すぎ る、 ま たは単に必要ない場合に UDP は便 利です。 バーチ ャル LAN (VLAN) バーチ ャル LAN は、 ネ ッ ト ワー ク における物理的位置や接続ポ イ ン ト に関係な く 、 同 じ コ リ ジ ョ ン ド メ イ ン を共有する ネ ッ ト ワー ク ノ ー ド の集合体です。 VLAN は物理的バ リ アのない 論理ワー ク グループ と し て機能する ため、 ユーザーは同一 LAN に存在 し ているかのよ う に情 報や リ ソ ース を共有で き ます。 XModem デバイ ス間の フ ァ イル転送に使用 さ れる プ ロ ト コ ル。 デー タ は 128 バイ ト 単位のブ ロ ッ ク に 分割 さ れ、 エ ラ ーが訂正 さ れます。 用語集 -5 用語集 用語集 -6 索 引 数字 802.1X、 ポー ト 認証 3-58, 3-65 DSCP プ ラ イ オ リ テ ィ のマ ッ ピ ング 3-145, 4-189 有効 3-144, 4-188 A ACL MAC 4-95, 4-96–4-98 拡張 IP 4-90, 4-91, 4-92 標準 IP 4-90, 4-91, 4-92 G B GARP VLAN 登録プ ロ ト コ ル 「GVRP」 を参照 GVRP イ ン タ ー フ ェ ースの構成 4-162 グローバル設定 3-122, 4-161 BOOTP 3-16, 4-214 BPDU 3-102 H C HTTPS 3-50, 4-31 HTTPS、 セキ ュ ア サーバー 3-50, 4-31 CLI、 コ マ ン ド の表示 4-4 CoS DSCP 3-145, 4-188 キ ュ ーへのマ ッ ピ ング 3-140, 4-186 キ ュ ー モー ド 3-142, 4-183 構成 3-139, 4-183, 4-191 ト ラ フ ィ ッ ク ク ラ スの重み 3-143, 4-185 レ イ ヤー 3/4 プ ラ イ オ リ テ ィ 3-144, 4-188 D DHCP 3-16, 4-214 ク ラ イ ア ン ト 3-14 動的構成 2-5 DHCP ス ヌ ーピ ング MAC ア ド レ スの確認 4-227, 4-228 MAC ア ド レ スの照合 4-227 VLAN コ ン フ ィ ギ ュ レーシ ョ ン 4-225 グローバル コ ン フ ィ ギ ュ レ ーシ ョ ン 4-223, 4-230, 4-231 ト ラ ス テ ッ ド イ ン タ ー フ ェ ースの指 定 4-226 DiffServ 3-147, 4-191 イ ン タ ー フ ェ ースへのポ リ シーのバイ ン ド 3-153, 4-197 ク ラ ス マ ッ プ 3-148, 4-192, 4-194 サービ ス ポ リ シー 3-153, 4-197 ポ リ シー マ ッ プ 3-150, 4-194 I IEEE 802.1D 3-101, 4-143 IEEE 802.1s 4-143 IEEE 802.1w 3-101, 4-143 IEEE 802.1X 3-58, 3-65, 4-81 IGMP ク エ リ ー 3-154, 4-204 ク エ リ ー、 レ イ ヤー 2 3-155, 4-204 グループ、 表示 3-159, 4-203 ス ヌ ーピ ン グ 3-154, 4-200 ス ヌ ーピ ン グ、 構成 3-155, 4-200 レ イ ヤー 2 4-200, 3-154 IP ア ド レ ス BOOTP/DHCP 3-16, 4-214, 4-216 設定 2-4, 3-14, 4-214 IP ソ ース ガー ド ス タ テ ィ ッ ク エ ン ト リ の構成 4-221 フ ィ ル タ リ ング基準の設定 4-219 IP 優先度 有効 3-144 L LACP パー ト ナ パラ メ ー タ 4-134 プ ロ ト コ ル メ ッ セージ統計情報 4-134 ロー カル パラ メ ー タ 4-134 索引 -1 索引 M MIB (管理情報ベース) A -4 MSTP 4-143 イ ン タ ー フ ェ ース設定 4-142 グローバル設定 4-141 MVR VLAN の指定 4-209 イ ン タ ー フ ェ ース タ イ プの設定 4-210 即時 リ ーブの使用 4-210 マルチキ ャ ス ト グループの設定 4-209 P PVLAN イ ン タ ー フ ェ ースの構成 3-136, 3-137, 3-138 隔離ポー ト 3-131, 4-173 関連付け 3-134 コ ミ ュ ニ テ ィ ポー ト 3-131, 4-173 プ ラ イ マ リ VLAN 3-132 無差別ポー ト 3-131, 4-173 Q QoS 3-147, 4-191 R RADIUS、 ログオ ン認証 4-74 RSTP 3-101, 4-143 グローバル コ ン フ ィ ギ ュ レ ーシ ョ ン 3-102, 4-143 S SNMP 3-33 IP ア ド レ スのフ ィ ル タ リ ング 3-72 コ ミ ュ ニ テ ィ ス ト リ ング 3-34, 3-38, 3-40, 3-41, 3-44, 4-102 ト ラ ッ プの有効化 3-35, 4-106 ト ラ ッ プ マネージ ャ 3-35, 4-104 SSH、 構成 3-52, 4-37 STA 3-101, 4-141 イ ン タ ー フ ェ ース設定 3-108, 4-152–4-157, 4-158 エ ッ ジ ポー ト 3-110, 3-112, 4-153 グローバル設定、 構成 3-104, 4-142–4-147 グローバル設定、 表示 3-102, 4-158 索引 -2 送信 リ ミ ッ ト 3-106, 4-147 パス コ ス ト 3-103, 3-109, 4-152 パス コ ス ト 方式 3-106, 4-147 プ ロ ト コ ル移行 3-112, 4-157 ポー ト プ ラ イ オ リ テ ィ 3-109, 4-153 リ ン ク タ イ プ 3-110, 3-112, 3-114, 3-116, 3-119, 4-155 STP 3-105, 4-143 「STA」 を参照 T TACACS+、 ログオ ン認証 3-48, 4-78 V VLAN 3-119–3-139, 4-160 イ グ レ ス モー ド 3-130, 4-168 イ ン タ ー フ ェ ースの構成 3-129, 4-168–4-171 基本情報の表示 3-122, 4-161 構築 3-125, 4-165 ス タ テ ィ ッ ク メ ンバーの追加 3-126, 3-128, 4-170 説明 3-119, 3-139 プ ラ イ ベー ト 3-131, 3-137, 4-173 プ ロ ト コ ル 4-179 ポー ト メ ンバーの表示 3-123, 4-172 あ ア ク セス制御 リ ス ト 「ACL」 を参照 ア ド レ ス テーブル 3-98, 4-138 エージ ング タ イ ム 3-100, 4-141 い イ ベン ト ロギング 4-43 イ ン グ レ ス フ ィ ル タ リ ン グ 3-130, 4-169 う ウ ェ ブ イ ン タ ー フ ェ ース ア ク セス要件 3-1 構成ボ タ ン 3-3 パネル表示 3-3 ホーム ページ 3-2 メ ニ ュ ー リ ス ト 3-4 索引 え エ ッ ジ ポー ト 、 STA 3-110, 3-112, 4-153 受信可能な フ レーム タ イ プ 3-130, 4-168 仕様、 ソ フ ト ウ ェ ア A -1 シ リ アル ポー ト 構成 4-10 か 隔離ポー ト 3-131, 4-173 簡易ネ ッ ト ワー ク管理プ ロ ト コ ル 「SNMP」 を参照 き 規格、 IEEE A -3 キ ュ ーの重み 3-143, 4-185 け ゲー ト ウ ェ イ、 デ フ ォル ト 3-14, 4-215 こ コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース 「CLI」 を参照 コ ミ ュ ニ テ ィ VLAN 3-133, 4-174 コ ミ ュ ニ テ ィ ス ト リ ング 2-6, 3-34, 3-38, 3-40, 3-41, 3-44, 4-102 コ ミ ュ ニ テ ィ ポー ト 3-131, 4-173 コ ン ソ ール ポー ト 、 必要な接続 2-2 コ ン フ ィ ギ ュ レーシ ョ ン設定、 保存ま たは 復元 2-8, 3-20, 4-66 さ サービ ス ク ラ ス 「CoS」 を参照 サービ ス品質 「QoS」 を参照 差別化 コ ー ド ポ イ ン ト サービ ス 「DSCP」 を参照 差別化サービ ス 「DiffServ」 を参照 す ス タ ー ト ア ッ プ フ ァ イル 構築 4-66 作成 3-21 設定 3-18, 4-71 表示 3-18, 4-59 ス タ テ ィ ッ ク ア ド レ ス、 設定 3-98, 4-138 スパニ ング ツ リ ー プ ロ ト コ ル 「STA」 を参照 せ セキ ュ ア シ ェ ル 3-52, 4-34 構成 3-52 セキ ュ ア シ ェ ルの構成 4-37 そ ソフ ト ウェア ダウ ン ロー ド 3-18, 4-66 バージ ョ ンの表示 3-11, 4-64 ソ フ ト ウ ェ アのア ッ プグ レー ド 3-18, 4-66 ソ フ ト ウ ェ アのダウン ロー ド 3-18, 4-66 た ダ イ ナ ミ ッ ク ア ド レ ス、 表示 3-99, 4-139 て デ フ ォ ル ト ゲー ト ウ ェ イ、 構成 3-14, 4-215 デ フ ォ ル ト 設定、 シ ス テム 1-5 デ フ ォ ル ト プ ラ イ オ リ テ ィ 、 イ ング レ ス ポー ト 3-139, 4-184 し と 時刻、 設定 3-31, 4-54 シ ス テム ク ロ ッ ク 、 設定 3-31, 4-54 シ ス テム ソ フ ト ウ ェ ア、 サーバーから のダ ウン ロー ド 3-18, 4-66 シ ス テムの再起動 3-31, 4-22 シ ス テム ログ 3-26 ジ ャ ンボ フ レーム 4-65 統計情報 ポー ト 3-94, 4-122 ト ラ ッ プ マネージ ャ 2-7, 3-35, 4-104 ト ラ フ ィ ッ ク ク ラ スの重み 3-143, 4-185 ト ラ ブルシ ュ ーテ ィ ング B -1 ト ランク LACP 3-81, 4-129 索引 -3 索引 構成 3-79, 4-128 ス タ テ ィ ッ ク 3-80, 4-129 は ハー ド ウ ェ ア バージ ョ ン、 表示 3-11, 4-64 パス コ ス ト 3-103, 3-109 STA 3-103, 3-109, 4-147 方式 3-106, 4-147 パスワー ド 2-3 管理者設定 3-46, 4-26 パスワー ド 、 ラ イ ン 4-12, 4-13 ス タ テ ィ ッ ク 3-159, 4-200, 4-202, 4-203 表示 4-203 マルチキ ャ ス ト サービ ス 構成 3-160, 3-163, 3-164, 3-166, 4-200, 4-202 表示 3-159, 4-203 マルチキ ャ ス ト 、 ス タ テ ィ ッ ク ルー タ ポー ト 3-158, 4-207 マルチキ ャ ス ト フ ィ ル タ リ ング 3-154, 3-162, 3-177, 4-199 む ふ フ ァ ームウ ェ ア ア ッ プグ レー ド 3-18, 4-66 バージ ョ ンの表示 3-11, 4-64 プ ラ イ オ リ テ ィ 、 デ フ ォル ト ポー ト イ ング レ ス 3-139, 4-184 プ ラ イ ベー ト VLAN、 構成 3-132, 4-174 プ ラ イ マ リ VLAN 3-132 ブ ロー ド キ ャ ス ト ス ト ーム、 し き い 値 3-90, 4-120 プ ロ ト コ ル移行 3-112, 4-157 ほ ポー ト 自動ネゴ シ エーシ ョ ン 3-77, 4-117 ス ピー ド 3-77, 4-116 二重モー ド 3-77, 4-116 能力 3-77, 4-117 フ ロー制御 3-77, 4-118 ブ ロー ド キ ャ ス ト ス ト ーム し き い 値 3-90, 4-120 ポー ト 、 構成 3-74, 4-114 ポー ト セキ ュ リ テ ィ 、 構成 3-57, 4-80 ポー ト 、 統計情報 3-94, 4-122 ポー ト 認証 3-58, 3-65 ポー ト の ミ ラ ー リ ング、 構成 3-92, 4-125 ポー ト プ ラ イ オ リ テ ィ STA 3-109, 4-153 構成 3-139, 4-183, 4-191 デ フ ォ ル ト イ ング レ ス 3-139, 4-184 ポー ト 、 ミ ラ ー リ ング 3-92, 4-125 ま マルチキ ャ ス ト グループ 3-159, 4-203 索引 -4 無差別ポー ト 3-131, 4-173 め メ イ ン メ ニ ュ ー 3-4 も 問題、 ト ラ ブルシ ュ ーテ ィ ング B -1 ゆ ユーザー パスワー ド 3-46, 4-26, 4-27 り リ モー ト ロギング 4-46 リ ン ク タ イ プ、 STA 3-110, 3-112, 3-114, 3-116, 3-119, 4-155 れ レー ト リ ミ ッ ト 、 設定 3-93, 4-126 ろ ロギング syslog サーバー 4-45 syslog ト ラ ッ プ 4-46 ログ イ ン、 ウ ェ ブ イ ン タ ー フ ェ ース 3-2 ロ グオ ン認証 3-46, 4-72 RADIUS ク ラ イ ア ン ト 4-74 RADIUS サーバー 4-74 TACACS+ ク ラ イ ア ン ト 3-48, 4-78 TACACS+ サーバー 3-48, 4-78 ロ グオ ン認証、 順序 3-48, 4-72, 4-73 ES3528M ES3552M E092006-MT-R01 149100010700H