- はじめに
- 製品概要
- コマンドライン インターフェイス
- スイッチの初期設定
- スイッチの管理
- Virtual Switching System の設定
- Cisco IOS インサービス ソフトウェア アップグレード プロセスの設定
- Cisco IOS XE インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- Supervisor Engine 6-E および Supervisor Engine 6L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Supervisor Engine 7-E および Supervisor Engine 7L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設定
- SmartPort マクロの設定
- Cisco IOS Auto SmartPort マクロの設定
- STP および MST の設定
- Flex Link および MAC アドレス テーブル移動更新機能の設定
- Resilient Ethernet Protocol の設定
- オプションの STP 機能の設定
- EtherChannel およびリンク ステート トラッキングの設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- 802.1Q トンネリング、VLAN マッピング、およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- LLDP、LLDP-MED、およびロケーション サービスの設定
- UDLD の設定
- 単一方向イーサネットの設定
- レイヤ 3 インターフェイスの設定
- シスコ エクスプレス フォワーディングの設定
- uRPF の設定
- IP マルチキャストの設定
- ANCP クライアントの設定
- 双方向フォワーディング検出の設定
- ポリシーベース ルーティングの設定
- VRF-Lite の設定
- Quality of Service の設定
- 音声インターフェイスの設定
- プライベート VLAN の設定
- MACsec の暗号化設定
- 802.1X ポートベース認証の設定
- PPPoE 中継エージェントの設定
- Web ベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定
- ダイナミック ARP インスペクションの設定
- DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 のサポート
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN および RSPAN の設定
- Wireshark の設定
- 拡張オブジェクト トラッキングの設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- NetFlow-lite の設定
- Flexible NetFlow の設定
- イーサネット OAM と CFM の設定
- Y.1731 の設定(AIS および RDI)
- Call Home の設定
- Cisco IOS IP SLA 動作の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.4.0SG および IOS 15.1(2)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: スイッチの管理
スイッチの管理
この章では、Catalyst 4500 シリーズ スイッチで 1 回だけ行う管理作業の実行方法について説明します。
またこの章では、Catalyst 4500 シリーズ スイッチのグラフィカル表示と、GUI ベースの管理および設定インターフェイスを提供する組み込み CiscoView ネットワーク管理システムのインストールおよび設定方法についても説明します。
•
「バナーの作成」
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html
『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Cisco IOS Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
システム日時の管理
Network Time Protocol(NTP; ネットワーク タイム プロトコル)を使用して手動または自動でスイッチのシステム日時を設定できます。
システム クロック
時刻サービスの中核となるのはシステム クロックで、これによって日時をモニタリングします。このクロックはシステムが起動した瞬間から開始します。
システム クロックは、Universal Time Coordinated(UTC; 協定世界時)(別名 GMT(グリニッジ標準時))に基づいてシステム内部の時刻を常時トラッキングします。現地の時間帯および夏時間に関する情報を設定することにより、時刻が現地の時間帯で正確に表示されるようにできます。
システム クロックは、時刻に 信頼性がある かどうか(つまり、信頼できると見なされる時刻源によって時刻が設定されているか)を常時モニタリングします。信頼性のない場合は、時刻は表示目的でのみ使用され、再配信されません。設定の詳細については、「手動での日時の設定」を参照してください。
NTP の概要
NTP は、ネットワーク上のデバイス間の時刻の同期化を目的に設計されています。NTP は UDP で稼働し、UDP は IP 上で稼働します。NTP は RFC 1305 に規定されています。
NTP ネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。NTP は、ネットワーク全体にこの時刻を配信します。NTP はきわめて効率的で、1 分間に 1 パケットを使用するだけで、2 台のデバイスを 1 ミリ秒以内に同期化できます。
NTP は、 ストラタム(階層) という概念を使用して、信頼できるタイム ソースとデバイスが離れている NTP ホップを記述します。ストラタム 1 タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム 2 タイム サーバは、NTP を使用してストラタム 1 タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTP が稼働するデバイスは、タイム ソースとして、NTP を使用して通信するストラタム番号が最小のデバイスを自動的に選択します。この方法によって、NTP 時刻配信の自動編成型ツリーが効率的に構築されます。
NTP では、同期化されていないデバイスとの同期化を防ぎます。また、NTP では、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻が他のデバイスと大幅に異なるデバイスとは同期化しません。
NTP が稼働するデバイス間の通信( アソシエーション )は、通常静的に設定されます。各デバイスには、アソシエーションを行う全デバイスの IP アドレスが与えられます。アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。各デバイスを、ブロードキャスト メッセージを送受信するように設定すればよいので、この代替手段により設定の複雑さが緩和されます。この場合は、情報の流れは一方向に限られます。
デバイス上で維持される時刻は、重要なリソースです。NTP のセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防止してください。アクセス リストを使用して制限する方式および暗号化認証メカニズムの、2 種類のメカニズムを使用できます。
シスコによる NTP の実装では、ストラタム 1 サービスをサポートしていないため、ラジオ クロックまたはアトミック クロックに接続できません。ネットワークの時刻サービスは、IP インターネット上のパブリック NTP サーバから取得することを推奨します。
図 4-1 に、NTP を使用する一般的なネットワーク例を示します。スイッチ A は、NTP サーバ モードで設定したスイッチ B、C、D の NTP マスターです。スイッチ B、C、D とスイッチ A との間にはサーバ アソシエーションが設定されています。スイッチ E は、アップストリーム スイッチ(スイッチ B)およびダウンストリーム スイッチ(スイッチ F)の NTP ピアとして設定されています。
ネットワークがインターネットから切り離されている場合、シスコによる NTP 実装では、同期化していなくても、デバイスが NTP を使用して同期化しているように動作を設定できます。他のデバイスは、NTP によりこのデバイスと同期化されます。
自社のホスト システムに NTP ソフトウェアを組み入れているメーカーもあり、また、UNIX システム用のパブリック バージョンやその派生ソフトウェアも入手できます。このソフトウェアによって、ホスト システムも時刻が同期化されます。
NTP の設定
NTP のデフォルト設定
表 4-1 に、NTP のデフォルト設定を示します。
|
|
|
|---|---|
NTP は、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTP パケットを受信します。
NTP 認証の設定
この手順は、NTP サーバの管理者と協調する必要があります。この手順で設定する情報は、時刻を NTP サーバと同期化するためにスイッチが使用するサーバに対応している必要があります。
セキュリティ目的で他のデバイスとのアソシエーション(正確な時刻の維持を行うための NTP を実行するデバイス間の通信)を認証するには、次の作業を行います。
NTP 認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証キーを削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。デバイス ID の認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。
次に、NTP パケットに認証キー 42 を設定しているデバイスとだけ同期するようにスイッチを設定する例を示します。
NTP アソシエーションの設定
NTP アソシエーションは、ピア アソシエーション(スイッチを他のデバイスに同期化するか、スイッチに対して他のデバイスを同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他のデバイスに同期化させるのみで、その逆はできない)に設定することもできます。
別のデバイスとの NTP アソシエーションを形成するには、次の作業を行います。
アソシエーションの一端しか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。デフォルトの NTP バージョン(バージョン 3)を使用し、NTP 同期化が実行されない場合は、NTP バージョン 2 を使用してみてください。インターネット上の多くの NTP サーバがバージョン 2 で稼働しています。
ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。
次に、NTP バージョン 2 を使用して、IP アドレス 172.16.22.44 のピアのクロックにシステム クロックを同期化するようにスイッチを設定する例を示します。
NTP ブロードキャスト サービスの設定
NTP が稼働するデバイス間の通信( アソシエーション )は、通常静的に設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスの IP アドレスが与えられます。アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。各デバイスを、ブロードキャスト メッセージを送受信するように設定すればよいので、この代替手段によって設定の複雑さが緩和されます。ただし、この場合は、情報の流れは一方向に限られます。
ルータのようにネットワーク上で時刻情報をブロードキャストする NTP ブロードキャスト サーバがある場合、スイッチはインターフェイスごとに NTP ブロードキャスト パケットを送受信できます。スイッチは NTP ブロードキャスト パケットをピアへ送信できるので、ピアはそのスイッチに同期化できます。スイッチは、NTP ブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTP ブロードキャスト パケットの送信と受信の両方の手順について説明します。
NTP ブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するよう、スイッチを設定するには、次の作業を行います。
インターフェイスによる NTP ブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートが NTP バージョン 2 パケットを送信するように設定する例を示します。
接続したピアから NTP ブロードキャスト パケットを受信するようにスイッチを設定するには、次の作業を行います。
インターフェイスによる NTP ブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。ラウンドトリップ遅延の予測値をデフォルト設定に変更するには、
no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。
次に、ポートが NTP ブロードキャスト パケットを受信するように設定する例を示します。
NTP アクセス制限の設定
以降で説明するように、2 つのレベルで NTP アクセスを制御できます。
アクセス グループの作成と基本 IP アクセス リストの割り当て
アクセス リストを使用して NTP サービスへのアクセスを制御するには、次の作業を行います。
アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。
1. peer :時刻要求と NTP 制御クエリーを許可し、さらに、スイッチがアクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可します。
2. serve :時刻要求と NTP 制御クエリーを許可しますが、スイッチがアクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可しません。
3. serve-only :アクセス リストの基準を満たすアドレスを持つデバイスからの時刻要求に限り許可します。
4. query-only :アクセス リストの基準を満たすアドレスを持つデバイスからの NTP 制御クエリーに限り許可します。
複数のアクセス タイプについて送信元 IP アドレスがアクセス リストに一致する場合は、最初のタイプが認可されます。アクセス グループが指定されなかった場合は、すべてのアクセス タイプがすべてのデバイスに認可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り認可されます。
スイッチ NTP サービスに対するアクセス コントロールを削除するには、
no ntp access-group { query-only | serve-only | serve | peer } グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチがアクセス リスト 99 からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト 42 に対してはアクセスを制限し、時刻要求に限り許可します。
特定のインターフェイスでの NTP サービスのディセーブル化
NTP サービスは、すべてのインターフェイス上でデフォルトでイネーブルに設定されています。
インターフェイスで NTP パケットの受信をディセーブルにするには、次の作業を行います。
NTP パケット用の送信元 IP アドレスの設定
スイッチが NTP パケットを送信すると、送信元 IP アドレスは、通常 NTP パケットが送信されたインターフェイスのアドレスに設定されます。すべての NTP パケットに特定の送信元 IP アドレスを使用するには、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。
送信元 IP アドレスを取得する特定のインターフェイスを設定するには、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、「NTP アソシエーションの設定」 に説明したように、 ntp peer または ntp server グローバル コンフィギュレーション コマンド内で source キーワードを使用します。
NTP 設定の表示
NTP 情報を表示するには、次の特権 EXEC コマンドを使用します。
• show ntp associations [ detail ]
この出力に表示されるフィールドの詳細については、
『 Cisco IOS Configuration Fundamentals Command Reference, Release 12.3 』を参照してください。
手動での日時の設定
他のタイム ソースが使用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。
• 「夏時間の設定」
システム クロックの設定
ネットワーク上に、NTP サーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
|
|
|
|
|---|---|---|
|
|
次のいずれかの形式で、手動でシステム クロックを設定します。 • |
次に、システム クロックを手動で 2001 年の 7 月 23 日午後 1 時 32 分に設定する例を示します。
日時設定の表示
日時の設定を表示するには、 show clock [ detail ] 特権 EXEC コマンドを使用します。
システム クロックは、信頼性がある(正確であると信じられる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソースによって設定された場合は、フラグを設定します。時刻が信頼性のないものである場合は、表示目的でのみ使用されます。クロックの信頼性がない間は、 authoritative フラグが設定され、ピアの時刻が無効でもそのフラグによってピアがクロックと同期しないようにされます。
タイム ゾーンの設定
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンと UTC との時差が分単位である場合に使用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(大西洋標準時(AST))は UTC-3.5 です。この場合、3 は 3 時間、.5 は 50% を意味します。必要なコマンドは、 clock timezone AST -3 30 です。
夏時間の設定
毎年特定の日に夏時間が開始および終了する地域に夏時間を設定するには、次の作業を行います。
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月より後の場合は、システムでは南半球にいると見なされます。
次に、夏時間が 4 月の第一日曜の 2 時に始まり、10 月の最終日曜の 2 時に終わるように指定する例を示します。
ユーザの居住地域の夏時間が定期的なパターンに従わない(次の夏時間の正確な日時を設定する)場合は、次の作業を行います。
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月より後の場合は、システムでは南半球にいると見なされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が 2000 年 10 月 12 日の 02:00 に始まり、2001 年 4 月 26 日の 02:00 に終わるように設定する例を示します。
システム名およびプロンプトの設定
スイッチにシステム名を設定して特定します。デフォルトでは、システム名およびプロンプトは Switch です。
システム プロンプトを設定していない場合は、システム名の最初の 20 文字をシステム プロンプトとして使用します。大なり記号(>)が付加されます。システム名が変更されると、プロンプトは更新されます。
ここで使用するコマンドの構文および使用方法の詳細については、『 Cisco IOS Configuration Fundamentals Command Reference, Release 12.3 』および『 Cisco IOS IP Command Reference, Volume 2 of 3: Routing Protocols, Release 12.3 』を参照してください。
システム名の設定
DNS の概要
Domain Name System(DNS; ドメイン ネーム システム)プロトコルは、分散型データベース DNS を制御し、これによりホスト名を IP アドレスにマッピングできます。スイッチ上に DNS を設定すると、 ping 、 telnet 、 connect などのすべての IP コマンドや、関連する Telnet サポート操作時に、IP アドレスの代わりにホスト名を使用できます。
IP によって定義される階層型の命名方式では、デバイスを場所またはドメインで特定できます。ドメイン名は、ピリオド(.)を区切り文字として使用して構成されています。たとえば、シスコは、IP で com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com となります。このドメイン内の特定のデバイス、たとえば FTP(ファイル転送プロトコル)システムは、 ftp.cisco.com で表されます。
IP ではドメイン名をトラッキングするために、ドメイン ネーム サーバという概念が定義されています。ドメイン ネーム サーバの役割は、名前から IP アドレスへのマッピングをキャッシュ(またはデータベース)に保存することです。ドメイン名を IP アドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNS をイネーブルにします。
DNS のデフォルト設定
表 4-2 に、DNS のデフォルト設定を示します。
|
|
|
|---|---|
DNS の設定
DNS を使用するようにスイッチを設定するには、次の作業を行います。
スイッチの IP アドレスをそのホスト名として使用する場合は、IP アドレスが使用され、DNS クエリーは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、その後で DNS クエリーが行われ、名前を IP アドレスにマッピングします。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、Cisco IOS ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずに IP アドレスを検索します。
DNS の設定の表示
バナーの作成
Message-of-The-Day(MoTD)バナーおよびログイン バナーを作成できます。MoTD バナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザに影響のあるメッセージ(システムのシャットダウン予告など)を送信するのに便利です。
ログイン バナーも、接続しているすべての端末で表示されます。表示されるのは、MoTD バナーの後で、ログイン プロンプトが表示される前です。
(注) ここで使用するコマンドの構文および使用方法の詳細については、『Cisco IOS Configuration Fundamentals Command Reference, Release 12.3』を参照してください。
バナーのデフォルト設定
MoTD ログイン バナーの設定
ユーザがスイッチにログインしたときに、画面に表示される 1 行または複数行のメッセージバナーを作成できます。
MoTD ログイン バナーを設定するには、次の作業を行います。
次に、ポンド記号(#)を開始および終了の区切り文字として使用し、スイッチの MoTD バナーを設定する例を示します。
ログイン バナーの設定
接続されたすべての端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTD バナーの後で、ログイン プロンプトが表示される前です。
次に、ドル記号($)を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する例を示します。
MAC アドレス テーブルの管理
MAC アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。このアドレス テーブルに登録されたすべての MAC アドレスは、1 つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
• ダイナミック アドレス:スイッチが学習し、使用されなくなった時点で期限切れとなる送信元 MAC アドレス
• スタティック アドレス:手動で入力され、期限切れにならず、スイッチのリセット時にも消去されないユニキャスト アドレス
アドレス テーブルは、宛先 MAC アドレス、対応する VLAN ID、アドレスに対応付けられたポート番号、およびタイプ(スタティックまたはダイナミック)のリストです。
(注) ここで使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。
• 「ユニキャスト MAC アドレス フィルタリングの設定」
• 「VLAN の MAC アドレス ラーニングのディセーブル化」
アドレス テーブルの作成
すべてのポートでサポートされる複数の MAC アドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、あるいはその他のネットワークデバイスに接続できます。各ポートで受信するパケットの送信元アドレスを取得し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチは動的なアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。
エージング間隔はグローバルに設定されます。ただし、スイッチは VLAN ごとにアドレス テーブルを維持し、STP(スパニングツリー プロトコル)によって VLAN 単位で有効期間を短縮できます。
スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MAC アドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応付けられたポート(複数可)に限定してパケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストア アンド フォワード方式を使用します。このため、完全なパケットをいったん保存してエラーがないか検査してから伝送します。
MAC アドレスおよび VLAN
アドレスはすべて、VLAN と対応付けられます。1 つのアドレスを複数の VLAN に対応付け、それぞれで異なる宛先を設定できます。たとえば、ユニキャスト アドレスを VLAN 1 のポート 1 および VLAN 5 のポート 9、10、1 に転送するといったことが可能です。
VLAN ごとに、独自の論理アドレス テーブルが維持されます。ある VLAN で認識されているアドレスが別の VLAN で認識されるには、別の VLAN 内のポートによって学習されるか、または別の VLAN 内のポートにスタティックに対応付けられる必要があります。
PVLAN が設定されている場合、アドレス ラーニングは次のように MAC アドレスのタイプに左右されます。
• プライベート PVLAN の 1 つの VLAN で学習したダイナミック MAC アドレスは、関連 VLAN で複製されます。たとえば、プライベート VLAN のセカンダリ VLAN で学習された MAC アドレスはプライマリ VLAN に複製されます。
• プライマリまたはセカンダリ VLAN に設定されたスタティック MAC アドレスは関連 VLAN には複製されません。PVLAN のプライマリまたはセカンダリ VLAN 内にスタティック MAC アドレスを設定した場合、同じスタティック MAC アドレスをすべての関連 VLAN に設定する必要があります。
PVLAN の詳細については、「プライベート VLAN の設定」を参照してください。
MAC アドレス テーブルのデフォルト設定
表 4-3 に、MAC アドレス テーブルのデフォルト設定を示します。
|
|
|
|---|---|
アドレス エージング タイムの変更
ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元 MAC アドレスです。すべての VLAN または指定された VLAN に対して、エージング タイムの設定を変更できます。
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。スイッチは宛先が不明のパケットを受信すると、受信ポートと同じ VLAN 内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響を及ぼす可能性があります。また、エージング タイムを長く設定しすぎると、アドレス テーブルが未使用のアドレスでいっぱいになり、これによって新しいアドレスを学習できなくなります。この結果フラッディングとなり、スイッチのパフォーマンスに悪影響を及ぼす可能性があります。
ダイナミック アドレス テーブルのエージング タイムを設定するには、次の作業を行います。
ダイナミック アドレス エントリの削除
ダイナミック エントリをすべて削除するには、EXEC モードで clear mac address-table dynamic コマンドを使用します。特定の MAC アドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポート チャネル上のすべてのアドレス
( clear mac address-table dynamic interface interface-id )、または指定された VLAN 上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。
ダイナミック エントリが削除されたことを確認するには、 show mac address-table dynamic 特権 EXEC コマンドを使用します。
MAC 変更通知トラップの設定
MAC 変更通知機能により、スイッチに MAC 変更アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチが MAC アドレスを学習または削除するたびに、SNMP 通知を生成してネットワーク管理システムに送信させることができます。ネットワークに多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップをまとめ、ネットワーク トラフィックを削減できます。MAC 通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとの MAC アドレス アクティビティを保存します。MAC アドレス通知は、ダイナミックおよびスタティックの MAC アドレスについて生成されます。自己アドレスまたはマルチキャスト アドレスについては、イベントは生成されません。
NMS ホストに MAC 変更通知トラップを送信するには、次の作業を行います。
次に、ネットワーク管理システムとして 172.69.59.93 を指定し、スイッチによるネットワーク管理システムへの MAC 変更通知トラップの送信をイネーブルにし、MAC 変更通知機能をイネーブルにし、インターバル タイムを 60 秒、履歴サイズを 100 エントリに設定し、特定のポートで MAC アドレスが追加された場合のトラップをイネーブルにする例を示します。
MAC 移動通知トラップの設定
MAC 移動通知を設定すると、MAC アドレスが同一 VLAN 内の特定のポートから別のポートに移動するたびに、SNMP 通知が生成され、ネットワーク管理システムに送信されます。
次に、ネットワーク管理システムとして 172.69.59.93 を指定し、スイッチによる MAC 移動通知トラップの NMS への送信をイネーブルにし、MAC 移動通知機能をイネーブルにし、MAC アドレスが特定のポートから別のポートに移動する場合のトラップをイネーブルにする例を示します。
MAC しきい値通知トラップの設定
MAC しきい値通知を設定すると、MAC Address Table(MAT)しきい値の制限値に達した時点または制限値を超えた時点で、SNMP 通知が生成され、ネットワーク管理システムに送信されます。
MAC アドレスしきい値通知を設定するには、次の作業を行います。
次に、ネットワーク管理システムとして 172.69.59.93 を指定し、MAC しきい値通知機能をイネーブルにし、スイッチによる MAC しきい値通知トラップの NMS への送信をイネーブルにし、間隔を 123 秒に設定し、制限値を 78% に設定する例を示します。
スタティック アドレス エントリの追加および削除
• アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。
• ユニキャストまたはマルチキャスト アドレスとして設定できます。
• 期限切れになることはなく、スイッチが再起動しても維持されます。
スタティック アドレスを追加および削除でき、また、スタティック アドレスの転送動作を定義できます。転送動作は、パケットを受信したポートが、別のポートにパケットを転送する動作を決定します。ポートは必ず少なくとも 1 つの VLAN と対応しているので、スイッチは指定されたポートから、アドレスに対応する VLAN ID を取得します。送信元ポートごとに、宛先ポートのリストを別々に指定できます。
特定のアドレスがスタティックとして入力されていない VLAN に、そのスタティック アドレスを持つパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
アドレス テーブルにスタティック アドレスを追加するには、宛先 MAC ユニキャスト アドレスと、その送信元 VLAN を指定します。この宛先アドレスで受信したパケットは、 interface-id オプションで指定されたインターフェイスに転送されます。
プライベート VLAN のプライマリまたはセカンダリ VLAN 内にスタティック MAC アドレスを設定した場合、同じスタティック MAC アドレスをすべての関連 VLAN に設定する必要があります。プライベート VLAN のプライマリまたはセカンダリ VLAN に設定されたスタティック MAC アドレスは関連 VLAN には複製されません。PVLAN の詳細については、「プライベート VLAN の設定」を参照してください。
次の例では、MAC アドレス テーブルにスタティック アドレス c2f3.220a.12f4 を追加する方法を示します。VLAN 4 でこの MAC アドレスを宛先アドレスとしてパケットを受信すると、パケットは指定されたポートに転送されます。
ユニキャスト MAC アドレス フィルタリングの設定
ユニキャスト MAC アドレス フィルタリングがイネーブルの場合、スイッチは、特定の送信元 MAC アドレスまたは宛先 MAC アドレスを持つパケットをドロップします。この機能はデフォルトではディセーブルで、ユニキャスト スタティック アドレスだけをサポートしています。
ユニキャスト アドレス フィルタリングを使用する場合、次の注意事項に従ってください。
• マルチキャスト MAC アドレス、ブロードキャスト MAC アドレス、およびルータ MAC アドレスはサポートされません。 mac address-table static vlan drop グローバル コンフィギュレーション コマンドを入力するときに、これらのアドレスのいずれかを指定すると、次のいずれかのメッセージが表示されます。
• ユニキャスト MAC アドレスをスタティック アドレスとして追加し、ユニキャスト MAC アドレス フィルタリングを設定する場合は、最後に入力されたコマンドに応じて、スイッチは MAC アドレスをスタティック アドレスとして追加するか、またはその MAC アドレスを持つパケットをドロップします。2 番めに入力したコマンドは、最初のコマンドを上書きします。
たとえば、 mac address-table static vlan interface グローバル コンフィギュレーション コマンドに続けて、 mac address-table static vlan drop コマンドを入力すると、スイッチは、送信元または宛先として指定された MAC アドレスを持つパケットをドロップします。
mac address-table static vlan drop グローバル コンフィギュレーション コマンドに続けて、 mac address-table static vlan interface コマンドを入力すると、スイッチは、スタティック アドレスとして MAC アドレスを追加します。
ユニキャスト MAC アドレス フィルタリングをイネーブルにして、スイッチが特定のアドレスを持つパケットをドロップするように設定するには、送信元または宛先ユニキャスト MAC アドレスおよび受信側の VLAN を指定します。
スイッチが送信元または宛先ユニキャスト スタティック アドレスをドロップするよう設定するには、次の作業を行います。
次の例では、ユニキャスト MAC アドレス フィルタリングをイネーブルにし、c2f3.220a.12f4 の送信元または宛先アドレスを持つパケットをドロップするようにスイッチを設定する方法を示します。送信元または宛先としてこの MAC アドレスを持つパケットが VLAN4 上で受信された場合、パケットがドロップされます。
(注) セカンダリ VLAN で MAC アドレスをフィルタリングするには、上記の設定で、対応するプライマリ VLAN を指定します。指定した VLAN がプライマリ VLAN の場合、このプライマリ VLAN および関連するセカンダリ VLAN で受信されたすべての一致するパケットはドロップされます。
VLAN の MAC アドレス ラーニングのディセーブル化
デフォルトでは、MAC アドレス ラーニングは、スイッチのすべての VLAN でイネーブルです。MAC アドレスを学習できる VLAN を制御することで、利用可能な MAC アドレス テーブル スペースを管理できます。VLAN でラーニングをディセーブルにすると、この VLAN に表示されるすべての MAC アドレスが学習されていないため、MAC アドレス テーブル スペースを節約できます。
MAC アドレス ラーニングをディセーブルにする前に、配備されているネットワーク トポロジと機能を理解する必要があります。多くのレイヤ 2 機能は MAC アドレスを使用し、ラーニングがディセーブルの場合は、正しく動作しない可能性があります。ラーニングをディセーブルにすることはパケットのフラッディングの原因となるため、ネットワークでのフラッディングの影響を理解する必要があります。
• 「導入シナリオ」
• 「導入シナリオ」
• 「機能の互換性」
MAC アドレス ラーニングのディセーブル設定
VLAN で MAC アドレス ラーニングをディセーブルにするには、次の作業を行います。
次に、任意の VLAN または VLAN 範囲でラーニングをディセーブルにする例を示します。
使用上のガイドライン
(注) これらのガイドラインは、アドバイスとしてのみ提供されます。特定のソリューションの実装については、シスコのソリューション プロバイダー チームに問い合わせてください。
VLAN で MAC アドレス ラーニングをディセーブルにする場合は、次のガイドラインに従ってください。
• ラーニングが SVI インターフェイスのある VLAN 上でディセーブルである場合、レイヤ 2 ドメイン内のすべての IP パケットがフラッディングされます。このフラッディングが望ましくない場合があるため、SVI VLAN では MAC アドレス ラーニングを慎重にディセーブルにする必要があります。
• 予約済みの VLAN を含む VLAN 範囲(1000 ~ 1006 など)を指定すると、そのコマンドは受け入れられ、ディセーブルのラーニングは 1002 ~ 005 を除くすべての VLAN(つまり、1000 ~ 1001、1006)でイネーブルになります。ただし、無効な範囲(1 ~ 5000 など)を指定した場合、コマンドは失敗し、ディセーブルのラーニングは VLAN でイネーブルになりません。
• PVLAN では、プライマリ VLAN と、そのプライマリ VLAN に関連付けられたすべてのセカンダリ VLAN で、ラーニングをディセーブルにする必要があります。そうしなければ、一方向でトラフィック フラッディング、その他の方向でユニキャスト フラッディングが発生します。
導入シナリオ
メトロ(ポイント ツー ポイント リンク)
このトポロジでは、VLAN の 2 つのポートがあります。トラフィックは、一方に着信し、他方から発信する必要があります。メトロ ネットワークのポイントツーポイント リンクでは、この 2 つのポートが属する VLAN でラーニングをディセーブルにすることにより、これらのポートのタイプで多数の MAC アドレスが生じ、MAC アドレス テーブル スペースで多数のエントリを節約できます。トラフィック用の出力ポートは 1 つだけであるため、パケットをフラッディングさせ、このポートで認識されるすべての MAC アドレスのラーニングを回避できます。このプロセスによって、MAC アドレス テーブルでかなりのスペースを節約できます。
送信元ラーニングを取得するために、パケットはレイヤ 2 のフラッディング パケットとしてブリッジされます。複製されたパケットは、個別の専用帯域幅を使用します。フラッディング セットのポート数にかかわらず、フラッディング パケットは複製パケット帯域幅を常に消費します。これにより、一部のマルチキャストおよびブロードキャスト パケット処理帯域幅が消費されます(図 4-2)。
図 4-2 MAC アドレス ラーニングのディセーブル化:ポイントツーポイント リンク
ネットワーク ロード バランサ
このトポロジでは、2 台のデバイス(1 台はアクティブ、もう 1 台はスタンバイ)があります。ロード バランシングを実行するには、両方のデバイスがすべてのパケットを受信する必要があります。同じ VLAN に両方のデバイスを配置できます。この VLAN でラーニングをディセーブルにできる場合、パケットはフラッディングされ、両方のデバイスが VLAN 上の MAC アドレスを宛先とするすべてのトラフィックを受信します。または、すべてのパケットが到達するように、両方のロード バランサにマルチキャスト MAC アドレスを割り当てることができます。(図 4-3)。
図 4-3 MAC アドレス ラーニングのディセーブル化:ネットワーク ロード バランサ
レイヤ 2 ファイアウォールまたはキャッシュ
このトポロジでは、書き換えられたレイヤ 3 パケットは、発信する前に、レイヤ 2 ファイアウォール(またはキャッシュ)に戻ります。パケットがファイアウォールからスイッチに再び着信したときに、パケットは、事前にルーティングされたため、スイッチの MAC アドレスを持っています。入力ポートがスイッチ ポートである場合、スイッチはルータの MAC アドレスを学習します。ただし、ルーテッド ポートまたは SVI に対して、スイッチはアドレスを学習しません。送信元のエラーはすべての着信データ パケットで継続して発生し、スイッチでは CPU 使用率が非常に高くなります。
ファイアウォールまたはキャッシュの出力が接続されている VLAN でラーニングをディセーブルにすることによって、定期的に送信元のエラーが抑制され、高い CPU 使用率が生じなくなります(図 4-4)。
図 4-4 MAC アドレス ラーニングのディセーブル化:レイヤ 2 ファイアウォール/キャッシュ
機能の互換性
次の機能は、VLAN での MAC アドレス ラーニングのディセーブル化と互換性があります。
• EtherChannel:MAC ラーニング ステートが EtherChannel ポートの VLAN でディセーブルまたはイネーブルの場合、ラーニングのディセーブル化機能は、EtherChannel に影響しません。
• Switch Virtual Interface(SVI、VLAN のレイヤ 3):ラーニングのディセーブル化機能は、SVI に影響しません。SVI VLAN で MAC アドレス ラーニングをディセーブルにすると、フラッディングが生じますが、レイヤ 3 機能には影響を与えません。
• REP:REP が動作しているポートのアクティブな VLAN で、MAC ラーニング ステートがディセーブルまたはイネーブルの場合、ラーニングのディセーブル化機能は、REP に影響しません。
• ユニキャスト、マルチキャスト、およびブロードキャスト:VLAN でラーニングをイネーブルにすると、ラーニングは、すべてのトラフィック タイプでディセーブルになります。
• DAI、ESMP および IGMP スヌーピング:これらの機能は、ラーニングのディセーブル化機能と相互作用しません。
• 制御パケット:ラーニングがディセーブルになっている場合でも、制御パケットは CPU に到達します。
• RSPAN:VLAN と RSPAN でのラーニングには互換性があります。
• VLAN 変換:変換対象の VLAN でラーニングをディセーブルにするには、変換先 VLAN でラーニングをディセーブルにする必要があります。
機能の非互換性
次の機能は、MAC アドレス ラーニングのディセーブル化と互換性がなく、イネーブルにした場合に正常に動作しません。
• 802.1X:802.1X 機能クラスは、ラーニングがディセーブルな場合は機能しません。これは、一部の機能が、(無視される)送信元のエラーを必要とするためです。
• ポート セキュリティ:ポート セキュリティ VLAN では、ラーニングをイネーブルにする必要があります。MAC アドレスをセキュアにするには、パケットは最初に CPU に着信する必要があります。しかし、VLAN でラーニングをディセーブルにすると、SA の抑制によって、パケットはこのように動作しなくなります。
• ユニキャスト フラッディング ブロック:ユニキャスト フラッディング ブロックがポートでイネーブルの場合、そのポートは、VLAN のフラッディング セットから除外されます。同じ VLAN でラーニングをディセーブルにした場合、そのポートに接続されたホストはトラフィックを受信しません。
• DHCP スヌーピング:DHCP 要求が解決した後にパケットを正しいポートから発信するために、DHCP スヌーピングは MAC アドレスを学習する必要があります。ラーニングをディセーブルにすると、スイッチはパケットを発信するポートを認識しません。つまり、これらの 2 つの機能には、互換性がありません。
部分的な機能の非互換性
次の機能は MAC アドレス ラーニングのディセーブル化と部分的に互換性がありませんが、機能の大部分は保持されます。
• FlexLink:FlexLink は動作し、アップストリーム コンバージェンスは影響を受けません。ただし、ダウンストリーム高速コンバージェンスは、MAC テーブルを使用して、ダウンストリーム コンバージェンスを高速化するために、個々に学習されたアップストリームの MAC アドレスに、ダミーのマルチキャスト パケットを転送します。この状況は、ディセーブルなラーニングをイネーブルにした場合は発生しません。FlexLink のダウンストリーム コンバージェンスは適切に実行されますが、ラーニングがその VLAN でイネーブルの場合は、速度が遅くなります。
• PVLAN:変更の動作を監視するには、プライマリ VLAN と、そのプライマリ VLAN に関連付けられたすべてのセカンダリ VLAN で、ラーニングをディセーブルにする必要があります。
(注) 混乱を避けるために、PVLAN スペース内のプライマリ VLAN とセカンダリ VLAN の両方で、PVLAN を同様に設定します。
• スパニングツリー(STP):UplinkFast 機能を除いて、VLAN 単位のスパニングツリー機能は影響を受けません。より高速なダウンストリーム コンバージェンスを実現するために、UplinkFast は、学習された MAC アドレスを使用して、ダミーのマルチキャスト パケットを転送します。MAC ラーニングがイネーブルでない場合、このアクションは不可能です。
アドレス テーブル エントリの表示
表 4-4 に示す 1 つまたは複数の特権 EXEC コマンドを使用すると、MAC アドレス テーブルを表示できます。
|
|
|
|---|---|
ARP テーブルの管理
デバイスと通信するには(イーサネット上のデバイスなど)、ソフトウェアは最初にそのデバイスの 48 ビット MAC アドレスまたはローカル データ リンク アドレスを学習する必要があります。IP アドレスからローカル データ リンク アドレスを学習するプロセスを、 アドレス解決 といいます。
アドレス解決プロトコル(ARP)は、ホスト IP アドレスを、該当するメディアまたは MAC アドレスおよび VLAN ID に対応付けます。IP アドレスを使用して、ARP は対応する MAC アドレスを見つけます。MAC アドレスが見つかると、IP と MAC アドレスの関連付けは、高速な検索のために ARP キャッシュに保存され、IP データグラムはリンク層フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外の IEEE 802 ネットワークにおける IP データグラムのカプセル化および ARP 要求/応答については、Subnetwork Access Protocol(SNAP; サブネットワーク アクセス プロトコル)で規定されています。IP インターフェイスでは、標準的なイーサネット形式の ARP カプセル化( arpa キーワードで表される)がデフォルトでイネーブルに設定されています。
手動でテーブルに追加された ARP エントリは期限切れにならないので、手動で削除する必要があります。
CLI の手順については、Cisco.com で入手可能な Cisco IOS Release 12.3 のマニュアルを参照してください。
組み込み CiscoView サポートの設定
Catalyst 4500 シリーズ スイッチは、Catalyst Web Interface(CWI)ツールを使用した CiscoView Web ベースの管理機能をサポートしています。CiscoView は、スイッチ フラッシュ上に組み込むことができるデバイス管理アプリケーションで、スイッチのダイナミック ステータス、モニタリング、および設定情報を提供します。CiscoView では、モジュールとポートが色分けされたスイッチ シャーシの物理的ビューを表示します。モニタリング機能を使用すると、スイッチのステータス、パフォーマンス、およびその他の統計情報が表示されます。必要なセキュリティ権限が与えられていれば、設定機能によって、デバイスにさまざまな変更を加えることができます。Catalyst 4500 シリーズ スイッチの設定機能およびモニタリング機能は、CiscoWorks LAN Management Solution(LMS)および CiscoWorks Routed WAN Management Solution(RWAN)を含むすべてのサーバベースの CiscoWorks ソリューションの CiscoView で使用可能な機能と同一です。
ここでは、Cisco IOS Release 12.1(20)EW 以降のリリースで使用できる組み込み CiscoView サポートについて説明します。
• 「組み込み CiscoView のインストールおよび設定」
組み込み CiscoView の概要
組み込み CiscoView ネットワーク管理システムは、Web ベースのインターフェイスであり、HTTP および SNMP を使用してスイッチをグラフィック表示し、GUI ベースの管理および設定インターフェイスを提供します。
組み込み CiscoView のインストールおよび設定
組み込み CiscoView のインストールおよび設定を行うには、次の作業を実行します。
|
|
|
|
|---|---|---|
| 組み込み CiscoView を初めてインストールする場合、または CiscoView ディレクトリが空の場合には、ステップ 5 にスキップしてください。 |
||
Switch# archive tar /xtract tftp:// ip address of tftp server /ciscoview.tar device_name :cv |
Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバ上の tar ファイルから CiscoView ディレクトリに、CiscoView ファイルを抽出します。 |
|
| 冗長構成の場合は、冗長スーパーバイザ エンジンのファイル システムについてステップ 1 ~ステップ 6 を繰り返します。 |
||
(注) スイッチ Web ページにアクセスするためのデフォルトのパスワードは、スイッチのイネーブルレベル パスワードです。
次に、スイッチに組み込み CiscoView をインストールおよび設定する例を示します。
スイッチへの Web アクセスの詳細については、次の URL で『Cisco IOS Configuration Fundamentals Configuration Guide 』の「Using the Cisco Web Browser」の章を参照してください。
http://www.cisco.com/en/US/docs/ios/fundamentals/configuration/guide/12_4t/cf_12_4t_book.html
組み込み CiscoView 情報の表示
組み込み CiscoView 情報を表示するには、次のコマンドを入力します。
|
|
|
|---|---|
次に、組み込み CiscoView ファイルおよびバージョン情報を表示する例を示します。
フィードバック