Cisco Nexus 1000V セキュリティコンフィギュレーションガイドリリース 4.2(1)SV1(5.1)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco Nexus 1000V セキュリティコンフィギュレーションガイドリリース 4.2(1)SV1(5.1)

Chapter Title

不明なユニキャストフラッディングのブロック

PDF - Complete Book (2.88 MB) PDF - This Chapter (338.0 KB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月2日

不明なユニキャストフラッディングのブロック

この章では、転送パスの不明なユニキャストパケットフラッディング（UUFB）をブロックする方法について説明します。次の項で構成されています。

UUFB について

UUFB は、転送パスの不明なユニキャストフラッディングを制限して、VM に到達する望ましくないトラフィックのセキュリティリスクを防ぎます。UUFB は、vEthernet インターフェイスおよびイーサネットインターフェイスの両方で受信された不明なユニキャストアドレス宛てのパケットによって、VLAN でフラッディングが発生しないようにします。UUFB が適用されると、VEM はアップリンクポートに着信した不明なユニキャストパケットをドロップします。

不明なユニキャストパケットをグローバルにディセーブルにした後、ポートプロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでのユニキャストフラッディングを許可できます。

また、インターフェイスまたはポートプロファイルを設定して、不明なユニキャストがブロックされないようにすることもできます。

注意事項および制約事項

UUFB の設定に関する注意事項は次のとおりです。

• UUFB を設定する前に、 show module コマンドを入力して、VSM の HA ペアとすべての VEM がRelease 4.2(1)SV1(5.1) にアップグレードされていることを確認します。

• 仮想サービスドメイン（VSD）ポートに対して UUFB を明示的にディセーブルにする必要があります。これは VSD ポートプロファイルで行うことができます。詳細については、「不明なユニキャストフラッディングを許可するようにポートプロファイルを設定する」を参照してください。

• VMware によって提供される MAC アドレス以外の MAC アドレスを使用して、アプリケーションまたは VM のポートで UUFB を明示的にディセーブルにする必要があります。

• 「不明なユニキャストフラッディングを許可するようにインターフェイスを設定する」に従って、不明なユニキャストがブロックされていないようにインターフェイスを設定できます。

• 不明なユニキャストパケットは、Unified Computing and Servers（UCS）がエンドホストモードで実行されている場合、UCS-Fabric Interconnect によってドロップされます。

デフォルト設定

次の表に、UUFB のデフォルト設定を示します。

パラメータ	デフォルト
uufb enable	ディセーブル
switchport uufb disable	ディセーブル

UUFB の設定

ここでは、次の手順について説明します。

• 「スイッチでの不明なユニキャストフラッディングのグローバルなブロック」

• 「不明なユニキャストフラッディングを許可するようにインターフェイスを設定する」

• 「不明なユニキャストフラッディングを許可するようにポートプロファイルを設定する」

スイッチでの不明なユニキャストフラッディングのグローバルなブロック

スイッチの転送パスがフラッディングしないように不明なユニキャストパケットをグローバルにブロックするには、次の手順を使用します。

はじめる前に

この手順を開始する前に、次のことを確認または実行する必要があります。

• EXEC モードで CLI にログインしていること。

手順の概要

1. config t

2. [no] uufb enable

3. show uufb status

4. copy running-config startup-config

手順の詳細

	コマンド	目的
ステップ 1	config t 例: n1000v# config t n1000v(config)#	CLI グローバルコンフィギュレーションモードを開始します。
ステップ 2	[no] uufb enable 例: n1000v(config)# uufb enable n1000v(config)#	VSM の UUFB をグローバルに設定します。
ステップ 3	show uufb status 例: n1000v(config)# show uufb status UUFB Status: Enabled n1000v(config)#	（任意）VSM の UUFB グローバル設定を表示します。
ステップ 4	copy running-config startup-config 例: n1000v(config)# copy running-config startup-config [########################################] 100% n1000v(config)#	（任意）リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップコンフィギュレーションにコピーして再起動します。

不明なユニキャストフラッディングを許可するようにインターフェイスを設定する

VSM のフラッディングをグローバルにブロックした場合に、不明なユニキャストパケットによって vEthernet インターフェイスがフラッディングするのを許可するには、次の手順を実行します。

はじめる前に

この手順を開始する前に、次のことを確認または実行する必要があります。

• EXEC モードで CLI にログインしていること。

• グローバル設定に関係なく、不明なユニキャストが特定のインターフェイスでブロックされていないことを確認するには、次の手順を実行します。

• すでに不明なユニキャストパケットをグローバルにディセーブルにしている場合は、ポートプロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでのユニキャストフラッディングを許可できます。

ポートプロファイルのすべてのインターフェイスでユニキャストフラッディングを許可するには、「不明なユニキャストフラッディングを許可するようにポートプロファイルを設定する」を参照してください。

手順の概要

1. config t

2. interface vethernet interface-number

3. [no] switchport uufb disable

4. show running-config vethernet interface-number

5. copy running-config startup-config

手順の詳細

	コマンド	目的
ステップ 1	config t 例: n1000v# config t n1000v(config)#	CLI グローバルコンフィギュレーションモードを開始します。
ステップ 2	interface vethernet `interface-number` 例: n1000v(config)# interface vethernet 100 n1000v(config-if)#	指定されたインターフェイスの CLI インターフェイスコンフィギュレーションモードを開始します。
ステップ 3	[no] switchport uufb disable 例: n1000v(config-if)# switchport uufb disable n1000v(config-if)#	指定されたインターフェイスに対するユニキャストパケットフラッディングのブロックをディセーブルにします。
ステップ 4	show running-config vethernet `interface-number` 例: n1000v(config-if)# show running-config interface veth100 !Command: show running-config interface Vethernet100 !Time: Fri Jun 10 12:43:53 2011 version 4.2(1)SV1(4a) interface Vethernet100 description accessvlan switchport access vlan 30 switchport uufb disable n1000v(config-if)#	（任意）確認のため、インターフェイスの実行コンフィギュレーションを表示します。
ステップ 5	copy running-config startup-config 例: n1000v(config-if)# copy running-config startup-config [########################################] 100% n1000v(config-if)#	（任意）リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップコンフィギュレーションにコピーして再起動します。

不明なユニキャストフラッディングを許可するようにポートプロファイルを設定する

VSM のフラッディングをグローバルにブロックした場合に、不明なユニキャストパケットによる既存の vEthernet ポートプロファイルのインターフェイスのフラッディングを許可するには、次の手順を実行します。

はじめる前に

この手順を開始する前に、次のことを確認または実行する必要があります。

• EXEC モードで CLI にログインしていること。

• グローバル設定に関係なく、不明なユニキャストが特定のポートプロファイルでブロックされていないことを確認するには、次の手順を実行します。

単一のインターフェイスでユニキャストフラッディングを許可するには、「不明なユニキャストフラッディングを許可するようにインターフェイスを設定する」を参照してください。

• フラッディングを許可する vEthernet ポートプロファイルを事前に設定しておきます。

手順の概要

1. config t

2. port-profile profile-name

3. [no] switchport uufb disable

4. show running-config port-profile profile-name

5. copy running-config startup-config

手順の詳細

	コマンド	目的
ステップ 1	config t 例: n1000v# config t n1000v(config)#	CLI グローバルコンフィギュレーションモードを開始します。
ステップ 2	port-profile profile-name 例: n1000v(config)# port-profile accessprof n1000v(config-port-prof)#	指定されたポートプロファイルのコンフィギュレーションモードを開始します。
ステップ 3	[no] switchport uufb disable 例: n1000v(config-port-prof)# switchport uufb disable n1000v(config-port-prof)#	指定されたポートプロファイルのすべてのインターフェイスに対するユニキャストパケットフラッディングのブロックをディセーブルにします。
ステップ 4	show running-config port-profile profile-name 例: n1000v(config-port-prof)# show running-config port-profile accessprof !Command: show running-config port-profile accessprof !Time: Fri Jun 10 12:06:38 2011 version 4.2(1)SV1(4a) port-profile type vethernet accessprof vmware port-group switchport mode access switchport access vlan 300 switchport uufb disable no shutdown description all_access n1000v(config-port-prof)#	（任意）確認のため、指定されたポートプロファイルの設定を表示します。
ステップ 5	copy running-config startup-config 例: n1000v(config-port-prof)# copy running-config startup-config [########################################] 100% n1000v(config-port-prof)#	（任意）リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップコンフィギュレーションにコピーして再起動します。

UUFB 設定の確認

次のコマンドを使用して、UUFB 設定を確認できます。

コマンド	目的
show uufb status	VSM の UUFB グローバル設定を表示します。
show running-config port-profile profile-name	特定のポートプロファイルの実行コンフィギュレーションを表示します。
show running-config interface vethernet interface-number	特定のインターフェイスの実行コンフィギュレーションを表示します。
vemcmd show port uufb-override	各ポートの UUFB のディセーブル状態を表示します。

UUFB の設定例

次に、VSM の転送パスがグローバルにフラッディングしないように不明なユニキャストパケットをブロックする例を示します。

例:

n1000v# config t

n1000v(config)# uufb enable

n1000v(config)# show uufb status

UUFB Status: Enabled

n1000v(config)# copy running-config startup-config

[########################################] 100%

n1000v(config)#

次に、VSM の UUFB をグローバルにディセーブルにした場合に、不明なユニキャストパケットによる vEthernet インターフェイス 100 のフラッディングを許可する例を示します。

例:

n1000v# config t

n1000v(config)# interface vethernet 100

n1000v(config-if)# switchport uufb disable

n1000v(config-if)# show running-config interface veth100

!Command: show running-config interface Vethernet100

!Time: Fri Jun 10 12:43:53 2011

version 4.2(1)SV1(4a)

interface Vethernet100

description accessvlan

switchport access vlan 30

switchport uufb disable

n1000v(config-if)#

次に、VSM の UUFB をグローバルにディセーブルにした場合に、不明なユニキャストパケットによる既存のポートプロファイルのインターフェイスのフラッディングを許可する例を示します。

例:

n1000v# config t

n1000v(config)# port-profile accessprof

n1000v(config-port-prof)# switchport uufb disable

n1000v(config-port-prof)# show running-config port-profile accessprof

!Command: show running-config port-profile accessprof

!Time: Fri Jun 10 12:06:38 2011

version 4.2(1)SV1(4a)

port-profile type vethernet accessprof

vmware port-group

switchport mode access

switchport access vlan 300

switchport uufb disable

no shutdown

description all_access

n1000v(config-port-prof)#

その他の関連資料

UUFB の詳細については、次の項を参照してください。

• 「関連資料」

• 「標準」

関連項目	参照先
すべてのコマンド構文、コマンドモード、コマンド履歴、デフォルト、使用上のガイドライン、例	『Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』
インターフェイスコンフィギュレーション	『 Cisco Nexus 1000V Interface Configuration Guide, Release 4.2(1)SV1(5.1) 』
ポートプロファイルコンフィギュレーション	『 Cisco Nexus 1000V Port Profile Configuration Guide, Release 4.2(1)SV1(5.1) 』
レイヤ 2 スイッチングの設定	『 Cisco Nexus 1000V Layer 2 Switching Configuration Guide, Release 4.2(1)SV1(5.1) 』

標準

標準	タイトル
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。	--

UUFB の機能の履歴

ここでは、UUFB のリリース履歴を示します。

機能名	リリース	機能情報
UUFB	4.2(1)SV1(4a)	この機能が導入されました。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)

偏向のない言語

翻訳について

検索結果

章のタイトル： 不明なユニキャスト フラッディングのブロック

不明なユニキャスト フラッディングのブロック

UUFB について

注意事項および制約事項

デフォルト設定

UUFB の設定

スイッチでの不明なユニキャスト フラッディングのグローバルなブロック

はじめる前に

手順の概要

手順の詳細

不明なユニキャスト フラッディングを許可するようにインターフェイスを設定する

はじめる前に

手順の概要

手順の詳細

不明なユニキャスト フラッディングを許可するようにポート プロファイルを設定する

はじめる前に

手順の概要

手順の詳細

UUFB 設定の確認

UUFB の設定例

その他の関連資料

関連資料

標準

UUFB の機能の履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco Nexus 1000V セキュリティコンフィギュレーションガイドリリース 4.2(1)SV1(5.1)

章のタイトル：不明なユニキャストフラッディングのブロック

不明なユニキャストフラッディングのブロック

スイッチでの不明なユニキャストフラッディングのグローバルなブロック

不明なユニキャストフラッディングを許可するようにインターフェイスを設定する

不明なユニキャストフラッディングを許可するようにポートプロファイルを設定する