Catalyst 2948G-L3 スイッチの IP アップリンク リダイレクト設定
内容
概要
この文書では、Catalyst 2948G-L3 スイッチの IP アップリンク リダイレクト機能のサンプル設定を提供します。IP アップリンクのリダイレクトをイネーブルにすると、ファスト イーサネット インターフェイスに接続されているデバイスがレイヤ 3 トラフィックを相互に直接送信するのが制限され、ギガビット イーサネット インターフェイスに直接ルーティングされます。
はじめに
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
前提条件
IPアップリンクリダイレクト機能は、Catalyst 2948G-L3スイッチでのみ、Cisco IOS ®ソフトウェアリリース12.0(10)W5(18e)以降でサポートされています。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
-
Catalyst 2948G-L3 で動作する Cisco IOS 12.0(10)W5(18e)
-
Catalyst 4908G-L3 で動作する Cisco IOS IOS 12.0(10)W5(18e)
-
カスタマー サーバをシミュレートする端末ステーションとして設定された、2つのルータ(特定のハードウェアまたは IOS がない)
注:エンドステーションとして設定された2台のルータには、no ip routing、1つのインターフェイス上のIPアドレス、およびip default-gateway ip_addr文が設定されます。
この文書の設定は、独立しているラボ環境で実行されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。すべてのデバイスの設定は、デフォルトの設定になるように write erase コマンドでクリアし、リロードされています。実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。
背景理論
IPアップリンクリダイレクト機能は、サービスプロバイダーがCatalyst 2948G-L3スイッチのファストイーサネットインターフェイスを異なる顧客にプロビジョニングできるように設計されています。また、この機能により、顧客が他の顧客に割り当てられたインターフェイスに直接アクセスするのを制限できます。この機能を使用できる例として、複数の顧客がファストイーサネットインターフェイスにWebサーバを接続していて、これらのサーバが相互に通信する必要がない場合があります。言い換えれば、トラフィックの大多数は、ギガビット イーサネット インターフェイスを通して接続されたインターネットと、ファスト イーサネット インターフェイスに接続された個々の場所に設置されたウェブサーバとの間にあります。
Catalyst 2948G-L3スイッチでIPアップリンクリダイレクトが設定されている場合、ファストイーサネットインターフェイス上のホストから送信されたトラフィックは、2つのファストイーサネットインターフェイス間でトラフィックを直接ルーティングするのではなく、ギガビットイーサネットインターフェイスの1つにリダイレクトされます。この機能は、リモートのファストイーサネットインターフェイスのIP隣接関係を持つファストイーサネットContent Addressable Memory(CAM)テーブルに設定しないことによって、これを実現します。したがって、ファストイーサネットインターフェイスで設定または学習されたネットワークルートと隣接関係はCAMテーブルに入力されませんが、ルーティングのためにギガビットイーサネットインターフェイスにこれらのルートと隣接関係が入力されます。
注:IPアップリンクリダイレクト機能は、IPレイヤ3スイッチトラフィックにのみ影響します。IPマルチキャストやIPXなどのレイヤ2スイッチまたは非IPレイヤ3スイッチのトラフィックには影響しません。このトラフィックは、通常どおりファストイーサネットインターフェイス間で直接ブリッジまたはルーティングされます。
ファストイーサネットインターフェイスに接続されたホスト間の通信の一部またはすべてを防止する必要がある場合は、ギガビットイーサネットインターフェイスにアクセスコントロールリスト(ACL)を適用して、目的のトラフィックフィルタリングを適用できます。これは、ACLがCatalyst 2948G-L3のファストイーサネットインターフェイスでサポートされていないためです。ホスト間の通信を防ぐ唯一の方法は、IPアップリンクリダイレクト機能を使用してトラフィックをギガビットイーサネットインターフェイスにリダイレクトし、ACLを適用してトラフィックををフィルタ処理します。
ネットワーク図
ネットワークダイアグラムは、お客様がWebサーバを異なるファストイーサネットインターフェイスに接続する一般的なサービスプロバイダーのトポロジを示しています
このトポロジでは、サービスプロバイダーは30ビットサブネットマスクを使用して192.168.1.0/24をサブネット化しました。各サブネットについて、1つのホストアドレスが2948G-L3のファストイーサネットインターフェイスの1つに割り当てられ、もう1つのIPがお客様のサーバに割り当てられます。顧客1のサーバはサブネット192.168.1.0/30にあります。ファストイーサネット1にはIPアドレス192.168.1.1/30が割り当てられ、顧客1のサーバにはIPアドレス192.168.1.2/30が割り当てられています。
注:これは一例にすぎません。別のトポロジでは、複数の顧客デバイスが各ファストイーサネットインターフェイスに接続されている可能性があります(たとえば、26ビットまたは24ビットのサブネットマスクなど、より大きなIPサブネットを使用)。
IP アップリンク リダイレクトのサンプル設定
タスク
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。この文書は Catalyst 2948G-L3 スイッチの IP アップリンク リダイレクト用の典型的なトポロジーと設定を示しています。
手順ごとの説明
このトポロジーにおけるリダイレクトの IPアップリンクを設定するためのプロセスは次のとおりです。
-
Catalyst 2948G-L3 スイッチの IP アップリンク リダイレクトを有効に設定し、システムをリロードします。IP アップリンク リダイレクトを有効または無効にした後は、システムをリロードする必要があります。
2948G-L3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 2948G-L3(config)#ip uplink-redirect Please save configuration and reload for this command to take effect 2948G-L3(config)#^Z 2948G-L3#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] 2948G-L3#reload Proceed with reload? [confirm] ROMMON: Cold Reset frame @0x00000000 ROMMON: Reading reset reason register ROMMON: Valid NVRAM config !--- Output suppressed. Press RETURN to get started!
-
IP アップリンク リダイレクトは show ip uplink-redirect のコマンドを使用することで有効になることを確認します。
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
-
ファスト イーサネット インターフェイスの設定します。各ファスト イーサネット インターフェイスは、30 ビットのサブネットマスクを使用して異なる IP サブネットに割り当てられます(この例のように、サブネット ゼロを使用している場合、ip subnet-zero のグローバル設定コマンドを確実に入力してください)。
2948G-L3(config)#ip subnet-zero 2948G-L3(config)#interface FastEthernet 1 2948G-L3(config-if)#ip address 192.168.1.1 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#exit 2948G-L3(config)#interface FastEthernet 2 2948G-L3(config-if)#ip address 192.168.1.5 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#exit !--- Output suppressed. 2948G-L3(config)#interface FastEthernet 48 2948G-L3(config-if)#ip address 192.168.1.189 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#
-
各サーバに残りのホストIPアドレスを適切なSubnetに設定し、サーバのデフォルト ゲートウェイとして対応するファスト イーサネット IP アドレスを使用してください。
例えば、インターフェイス ファスト1に接続された Customer 1 のサーバ用のサーバ IP アドレスは、192.168.1.2/30 であり、デフォルト ゲートウェイは 192.168.1.1 です(インターフェイス ファスト 1 の IP アドレス)。
-
Catalyst 2948G-L3 スイッチと上流の Catalyst 4908G-L3 スイッチを相互接続するギガビット イーサネット インターフェイスの IP アドレスを設定してください。この例では、Catalyst 2948G-L3 スイッチ上のインターフェイス gig 49 は、Catalyst 4908G-L3スイッチ上のインターフェイス gig 1 に接続します。
Catalyst 2948G-L3:
2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip address 192.168.1.253 255.255.255.252 2948G-L3(config-if)#no shutdown 2948G-L3(config-if)#
Catalyst 4908G-L3:
4908G-L3(config)#interface GigabitEthernet 1 4908G-L3(config-if)#ip address 192.168.1.254 255.255.255.252 4908G-L3(config-if)#no shutdown 4908G-L3(config-if)#
-
この例では、Catalyst 4908G-L3のインターフェイスGigabit Ethernet 8を介してインターネットに到達します。インターフェイスGigabit Ethernet 8に適切なIPアドレスを設定します。
4908G-L3(config)#interface GigabitEthernet 8 4908G-L3(config-if)#ip address 192.168.255.1 255.255.255.0 4908G-L3(config-if)#no shutdown 4908G-L3(config-if)#
-
Catalyst 2948G-L3 スイッチと Catalyst 4908G-L3 スイッチ上のルーティング設定をします。この例では、IP EIGRP が設定されます。受動インターフェイスは、EIGRP hellos がファスト イーサネット インターフェイスで送信されるのを防ぐために Catalyst 2948G-L3 で指定されます。
さらに、ファスト イーサネット インターフェイスで設定される 30 ビットのサブネットは、アップストリーム ルータで管理されるルーティング テーブル エントリ数を減少させるために 192.168.1.0/24 ネットワークのただ 1 つのアドバタイズメントにサマリーされます。
Catalyst 2948G-L3:
2948G-L3(config)#router eigrp 10 2948G-L3(config-router)#network 192.168.1.0 2948G-L3(config-router)#passive-interface FastEthernet 1 2948G-L3(config-router)#passive-interface FastEthernet 2 2948G-L3(config-router)#passive-interface FastEthernet 3 !--- Output suppressed. 2948G-L3(config-router)#passive-interface FastEthernet 46 2948G-L3(config-router)#passive-interface FastEthernet 47 2948G-L3(config-router)#passive-interface FastEthernet 48 2948G-L3(config-router)#exit 2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip summary-address eigrp 10 192.168.1.0 255.255.255.0 2948G-L3(config-if)#
Catalyst 4908G-L3:
4908G-L3(config)#router eigrp 10 4908G-L3(config-router)#network 192.168.1.0 4908G-L3(config-router)#network 192.168.255.0 4908G-L3(config-router)#no auto-summary 4908G-L3(config-router)#
注意:アップストリームルータが、Catalyst 2948G-L3ファストイーサネットインターフェイスを経由して到達したIPネットワークに戻る、より適切な代替パスを持っている場合、そのパスが使用され、ルーティングループが発生する可能性があります。 -
Catalyst 2948G-L3スイッチに IP アップリンク リダイレクトの設定を完成するために、アップストリーム ルータのインターフェイス IP アドレスを示すスタティックデフォルト ルートを設定することが必要です。
この例では、Catalyst 4908G-L3のアップストリームルータインターフェイスはインターフェイスGigabit Ethernet 1です。インターフェイスGigabit Ethernet 1のIPアドレスは192.168.1.254です(ip routeコマンドで発信インターフェイスを指定することはできません。ネクストホップIPアドレスを指定します)。
2948G-L3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 2948G-L3(config)#
この例は、IP アップリンク リダイレクトが設定される前後の、Customer 1 のサーバ(インターフェイス ファスト 1)から Customer 48 のサーバ(インターフェイス ファスト 48)へのトレース ルート パスを示します。
IP アップリンク リダイレクト前のトレースルートは、次のとおりです。
Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 4 msec 2 192.168.1.190 4 msec * 0 msec Customer1[192.168.1.2]#
ここで Catalyst 2948G-L3 のインターフェイス ファスト1 (192.168.1.1) を通過したトレースは、Customer 48 のサーバ (192.168.1.190)へ到達します。
IP アップリンク リダイレクト後のトレースルートは、次のとおりです。
Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 0 msec 2 192.168.1.254 0 msec 0 msec 4 msec 3 192.168.1.253 0 msec 4 msec 0 msec 4 192.168.1.190 4 msec * 0 msec Customer1[192.168.1.2]#
ここで Catalyst 2948G-L3 のインターフェイス ファスト1 (192.168.1.1) を通過したトレースは、アップストリーム Catalyst 4908G-L3 のインターフェイス gig 1 (192.168.1.254) にリダイレクトされ、Catalyst 2948G-L3 のインターフェイス gig 49 へルートバックされ、それから Customer 48 のサーバ (192.168.1.190) へルートバックされます。
アクセス・コントロール・リストの適用
ご希望であれば、カスタマー サーバ間でアクセスを制御するために、ACLs をインターフェイス gig 49 に適用することができます。この例では、出力アクセス リストは、ICMP PING (エコーとエコー応答)を許可するインターフェイス gig 49 に適用されますが、カスタマー サーバ間の他のすべての IP 通信を拒否します。
2948G-L3(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 echo 2948G-L3(config)#access-list 101 permit icmp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply 2948G-L3(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 2948G-L3(config)#access-list 101 permit ip any any 2948G-L3(config)#interface GigabitEthernet 49 2948G-L3(config-if)#ip access-group 101 out 2948G-L3(config-if)#
注意: IPオプションを持つパケットなど、特定の種類のIPパケットがプロセススイッチングされます。CPU は、IOS ルーティング テーブルに基づいてパケットを切り替えます。プロセス交換されたパケットは、IP アップリンク リダイレクトのパスに従わず、ギガビット イーサネット インターフェイスで設定されるどのような ACLs も適用されません。
この例は、Customer 1 のサーバがどのように Customer 48 のサーバを PING できるかを示します。このときトレースルートを実行したり、Telnet セッションを開いたりすることはできません。
Customer1[192.168.1.2]#ping 192.168.1.190 Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 192.168.1.190, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Customer1[192.168.1.2]# Customer1[192.168.1.2]#traceroute 192.168.1.190 Type escape sequence to abort. Tracing the route to 192.168.1.190 1 192.168.1.1 4 msec 0 msec 4 msec 2 * Customer1[192.168.1.2]# Customer1[192.168.1.2]#telnet 192.168.1.190 Trying 192.168.1.190 ... % Connection timed out; remote host not responding Customer1[192.168.1.2]#
確認
ここでは、設定が正しく機能していることを確認するために使用する情報を示します。
-
IP アップリンク リダイレクト機能の現在の設定と実行時のステータスについて検証するために show ip uplink-redirect のコマンドを使用します。
この例は ip uplink-redirect グローバル設定コマンドを入力する前の、show ip uplink-redirect コマンドの出力を示します。
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : no ip uplink-redirect Configuration on next reload : no ip uplink-redirect 2948G-L3#
この例は ip uplink-redirect コマンドを入力した後、Catalyst 2948G-L3 スイッチをリロードする前の show ip uplink-redirect コマンド出力を示します。
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : no ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
この例は ip uplink-redirect コマンドを入力して、Catalyst 2948G-L3 スイッチをリロードした後の show ip uplink-redirect コマンドの出力を示します。
2948G-L3#show ip uplink-redirect IP Uplink Redirect Configuration: Running Configuration : ip uplink-redirect Configuration on next reload : ip uplink-redirect 2948G-L3#
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
トラブルシューティングの手順
次に示すトラブルシューティング情報は、この設定と関連するものです。
-
IP アップリンクリダイレクトが有効にされていて、レイヤ3のIPトラフィックがギガビットイーサネットアップリンクインターフェイスにリダイレクトされていない場合は、ip route 0.0.0.0 0.0.0.0 next_hop_ip コマンドをを使用してスタティックデフォルトルートが設定されていることを確認してください。
スタティックデフォルト ルートを設定する必要があることを覚えておいてください。つまり、動的なルート指定プロトコルを通して通知されるデフォルト ルートは、IP アップリンク リダイレクト機能を有効にするのに十分ではありません。さらに、発信インターフェイス( gig 49など)ではなく、アップストリーム ルータのネクストホップ IP アドレスを指定することをご確認ください。
-
IP アップリンク リダイレクト機能を有効にして、スタティックデフォルト ルートを設定しても、トラフィックがリダイレクトされなければ、リダイレクトしたい特定のトラフィックがレイヤ 3 IP トラフィックであることをご確認ください。オプションのある IP パケット、非 IP レイヤ 3 トラフィック(IPXなど)、そしてレイヤ2のブリッジされるトラフィックは、IP アップリンク リダイレクト機能ではリダイレクトされません。
-
ギガビットイーサネットポートでACLが設定されており、必要なトラフィックが通過しない場合は、ACLが正しく設定されていることを確認します。設定されたACLが目的のトラフィックをフィルタリングしているかどうかがわからない場合は、ACLを削除して、ACLの問題であるかどうかを特定します。
-
アップストリーム ルータには Catalyst 2948G-L3 ファスト イーサネット インターフェイスを通して到達した IP サブネットへのより良い代替ルートがないことを確認ください。そうでなければ、トラフィックは、ギガビット イーサネット アップリンクのアップストリーム ルータから戻されません。これはルーティング ループや、その他の望ましくない動作をもたらす可能性があります。
-
Catalyst 2948G-L3 スイッチ設定が正しそうにみえても、トラフィックがリダイレクトされそうになければ、リモート ファスト イーサネット インターフェイスに対する IP 隣接関係が読み込まれているかどうか確認するために CAM テーブル エントリをチェックしてください。
例えば、IP アップリンク リダイレクトが正しく機能しているなら、インターフェイス ファスト1のIP 隣接 CAMエントリには、インターフェイス ファスト48(または、他のどのようなファスト イーサネット インターフェイス)デバイス用の完全なエントリが含まれていないはずです。
この例は、IP アップリンク リダイレクト機能が有効にされる前(インターフェイス ファスト48の 192.168.1.190 の完全隣接エントリがあることにご注意ください)の、インターフェイス ファスト1の CAM ハードウェアにインストールされた IP 隣接を示しています。
2948G-L3#show epc ip-address interface fast 1 all-entries IPaddr: 192.168.1.2 MACaddr: 0000.0c8c.4e28 FastEthernet1(4) IPaddr: 192.168.1.254 MACaddr: 0030.78fe.a007 GigabitEthernet49(52) IPaddr: 192.168.1.190 MACaddr: 0006.9486.7c05 FastEthernet48(51) Total number of IP adjacency entries: 3 Missing IP adjacency entries: 0 2948G-L3#
この例は、 IP アップリンク リダイレクト機能が有効にされた後のインターフェイス ファスト 1 の CAM ハードウェアにインストールされた IP 隣接を示しています(192.168.1.190 の隣接エントリが "missing" であることにご注意ください)。
2948G-L3#show epc ip-address interface fast 1 all-entries IPaddr: 192.168.1.254 MACaddr: 0030.78fe.a007 GigabitEthernet49(52) Total number of IP adjacency entries: 1 Missing IP adjacency entries: 2 2948G-L3#
フィードバック