- はじめに
- 概要
- CLI(コマンドライン インターフェイス)の 使用
- Cisco IE 3000 スイッチ アラームの設定
- スイッチの IP アドレスとデフォルト ゲート ウェイの割り当て
- Cisco IOS Configuration Engine の設定
- スイッチ のクラスタ化
- スイッチの管理
- PTP の設定
- PROFINET の設定
- SDM テンプレートの設定
- スイッチベース認証の設定
- IEEE 802.1X ポートベースの認証の設定
- Web ベースの認証の設定
- インターフェイスの特性の設定
- SmartPort マクロの設定
- VLAN の設定
- VTP の設定
- 音声 VLAN の設定
- プライベート VLAN の設定
- IEEE 802.1Q およびレイヤ 2 プロトコル トンネリングの設定
- STP の設定
- MSTP の設定
- オプションのスパニング ツリー機能の設定
- Resilient Ethernet Protocol の設定
- Flex Link および MAC アドレス テーブル 移行更新機能の設定
- DHCP 機能と IP ソース ガード機能の設定
- ダイナミック ARP 検査の設定
- IGMP スヌーピングおよび MVR の設定
- ポートベースのトラフィック制御の設定
- SPAN および RSPAN の設定
- LLDP、LLDP-MED、および有線のロケー ション サービスの設定
- CDP の設定
- UDLD の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- Embedded Event Manager の設定
- ACL によるネットワーク セキュリティの設定
- QoS の設定
- EtherChannel およびリンクステート トラッキングの設定
- IP ユニキャスト ルーティングの設定
- IPv6 ユニキャスト ルーティング の設定
- IPv6 MLD スヌーピングの設定
- IPv6 ACL の設定
- HSRP の設定
- Cisco IOS IP SLA 動作の設定
- 拡張オブジェクト追跡の設定
- WCCP によるキャッシュ サービスの設定
- IP マルチキャスト ルーティングの設定
- MSDP の設定
- フォールバック ブリッジングの設定
- トラブルシューティング
- サポートされる MIB
- Cisco IOS ファイル システム、コンフィ ギュレーション ファイル、およびソフト ウェア イメージの操作
- Cisco IOS Release 12.2(55)SE でサポート されていないコマンド
- 索引
Cisco IE 3000 スイッチ ソフトウェア コンフィギュ レーション ガイド,12.2(55)SE
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月1日
章のタイトル: スイッチの管理
スイッチの管理
この章では、IE 3000 スイッチを管理するための 1 回限りの手順について説明します。この章で説明する内容は、次のとおりです。
•
「バナーの作成」
システム日時の管理
Network Time Protocol(NTP; ネットワーク タイム プロトコル)などの自動設定方法または手動設定方法を使用して、スイッチのシステム日時を管理できます。
(注) この項で使用しているコマンドの構文と使用方法の詳細については、Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References] にある『Cisco IOS Configuration Fundamentals Command Reference』を参照してください。
システム クロックの概要
時刻サービスの中核となるのは、システム クロックです。このクロックは、システムが起動した瞬間から動作し、日時を追跡します。
システム クロックは、Universal Time Coordinated(UTC; 協定世界時)(または Greenwich Mean Time(GMT; グリニッジ標準時))に基づいて内部で時刻を追跡します。時刻が現地の時間帯に応じて正しく表示されるように、現地の時間帯と夏時間に関する情報を設定できます。
システム クロックは、時刻が 信頼できる かどうか(時刻が信頼できると見なされる時刻源によって設定されているかどうか)を追跡します。時刻が信頼できない場合、時刻は表示目的でだけ使用でき、再配布されません。設定の詳細については、「手動での日時の設定」を参照してください。
ネットワーク タイム プロトコルの概要
NTP は、装置のネットワークの時間を同期するように設計されています。NTP は、IP 上で実行される User Datagram Protocol(UDP; ユーザ データグラム プロトコル)で実行されます。NTP については、RFC 1305 で説明されています。
通常、NTP ネットワークは、タイム サーバに接続されているラジオ クロックやアトミック クロックなど信頼できる時刻源から時刻を取得します。NTP は、ネットワークを介して取得した時刻を配布します。NTP は非常に効率的です。1 分あたり 1 つのパケットを使用するだけで、2 台の装置を 1 ミリ秒以内に同期できます。
NTP は、 ストラタム という概念を使用して、装置と信頼できる時刻源の間にある NTP ホップ数を表します。ストラタム 1 タイム サーバには、ラジオ クロックまたはアトミック クロックが直接接続され、ストラタム 2 タイム サーバは、ストラタム 1 タイム サーバから NTP 経由で時刻を受信するというように、順番に続いていきます。NTP を実行している装置は、その時刻源として、NTP を介して通信するときに使用するストラタム番号が最小の装置を自動的に選択します。この方法によって、NTP スピーカの自己編成型ツリーが効率的に構築されます。
NTP では、同期されていない装置と同期しないようにして、時刻が正確ではない可能性がある装置との同期を回避します。また、複数の装置から報告された時刻を比較し、時刻が他の装置と大幅に異なる装置とは、そのストラタム番号が小さい場合であっても同期しません。
NTP を実行している装置間の通信( アソシエーション )は通常、スタティックに設定されます。各装置には、アソシエーションの作成に使用するすべての装置の IP アドレスが与えられます。アソシエーションのペアとなる装置間で NTP メッセージを交換することで、正確なタイムキーピングが実現されます。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。この代替の方法では、ブロードキャスト メッセージを送受信するように各装置を設定するだけなので、設定の複雑さが解消されます。ただし、この場合は、情報の流れが一方向に限定されます。
装置で維持される時刻は重要なリソースです。NTP のセキュリティ機能を使用して、誤って指定した設定や悪意ある設定で誤った時刻が設定されないようにする必要があります。2 つのメカニズムを利用できます。1 つはアクセス リストに基づく制限方式で、もう 1 つは暗号化認証メカニズムです。
シスコの NTP の実装では、ストラタム 1 サービスはサポートされていません。そのため、ラジオ クロックやアトミック クロックに接続できません。ネットワークの時刻サービスは、IP インターネットで使用できるパブリック NTP サーバから取得することを推奨します。
図 7-1 に、NTP を使用した一般的なネットワークの例を示します。スイッチ A は NTP マスターです。スイッチ B、C、D は NTP サーバ モードで設定され、スイッチ A とのサーバ アソシエーション内にあります。スイッチ E は、アップストリーム スイッチ(スイッチ B)とダウンストリーム スイッチ(スイッチ F)に対する NTP ピアとして設定されています。
ネットワークがインターネットに接続されていない場合、シスコの NTP の実装では、実際には他の方法で時刻を取得している場合でも、NTP を介して同期されているかのように装置を設定できます。この場合、他の装置は、NTP を介してその装置と同期します。
複数の時刻源が使用できる場合、NTP は常に他の時刻源よりも信頼が高いと見なされます。NTP の時刻は、他の方法で設定された時刻よりも優先されます。
いくつかの製造元では、自社のホスト システムに NTP ソフトウェアを組み込んでいます。また、UNIX を実行しているシステム用の公開バージョンおよびその各種派生バージョンもあります。このソフトウェアでは、ホスト システムの時刻も同期できます。
NTP の設定
スイッチには、ハードウェアでサポートされているクロックはありません。また、スイッチは、外部の NTP ソースが使用できない場合に、ペアが自身を同期する NTP マスター クロックとしても機能しません。スイッチには、カレンダーに対するハードウェアのサポートもありません。そのため、ntp update-calendar および ntp master グローバル コンフィギュレーション コマンドは使用できません。
NTP のデフォルト設定
表 7-1 に、NTP のデフォルト設定を示します。
|
|
|
|---|---|
NTP は、すべてのインターフェイスでデフォルトでイネーブルになっています。すべてのインターフェイスが NTP パケットを受信します。
NTP 認証の設定
この手順は、NTP サーバの管理者と調整する必要があります。この手順で設定する情報は、スイッチが時刻を NTP サーバと同期するときに使用するサーバと一致する必要があります。
セキュリティ目的で他の装置とのアソシエーション(正確なタイムキーピングを行うために提供される、NTP を実行している装置間の通信)を認証するには、特権 EXEC モードで次の手順を実行します。
NTP 認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証キーを削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。装置の ID の認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。
次に、装置の NTP パケットで認証キー 42 を提供する装置とだけ同期するようスイッチを設定する例を示します。
NTP アソシエーションの設定
NTP アソシエーションは、ピア アソシエーション(スイッチを他の装置に同期することも、他の装置をスイッチに同期することもできる)、またはサーバ アソシエーション(スイッチだけが他の装置に同期でき、他の装置からは同期することができない)として設定できます。
別の装置との NTP アソシエーションを作成するには、特権 EXEC モードで次の手順を実行します。
アソシエーションの一端の装置だけ設定する必要があります。もう一方の装置では、アソシエーションは自動的に設定されます。デフォルトの NTP バージョン(バージョン 3)を使用しているときに NTP 同期が行われない場合は、NTP バージョン 2 を使用してみてください。インターネット上の多くの NTP サーバがバージョン 2 を実行しています。
ピア アソシエーションまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。
次に、NTP バージョン 2 を使用して、IP アドレス 172.16.22.44 にあるピアのクロックとシステム クロックを同期するようにスイッチを設定する例を示します。
NTP ブロードキャスト サービスの設定
NTP を実行している装置間の通信( アソシエーション )は通常、スタティックに設定されます。各装置には、アソシエーションの作成に使用するすべての装置の IP アドレスが与えられます。アソシエーションのペアとなる装置間で NTP メッセージを交換することで、正確なタイムキーピングが実現されます。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。この代替の方法では、ブロードキャスト メッセージを送受信するように各装置を設定するだけなので、設定の複雑さが解消されます。ただし、情報の流れは一方向に限定されます。
ルータなどの NTP ブロードキャスト サーバがあり、ネットワーク上で時刻の情報をブロードキャストしている場合、スイッチはインターフェイス単位で NTP ブロードキャスト パケットを送受信できます。スイッチは NTP ブロードキャスト パケットをピアに送信して、ピアがスイッチと同期できるようにします。また、スイッチは NTP ブロードキャスト パケットを受信して独自のクロックを同期することもできます。ここでは、NTP ブロードキャスト パケットを送受信する手順について説明します。
NTP ブロードキャスト パケットをピアに送信して、ピアがそれぞれのクロックをスイッチと同期するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
インターフェイスによる NTP ブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。
次に、NTP バージョン 2 パケットを送信するようにポートを設定する例を示します。
接続されているピアから NTP ブロードキャスト パケットを受信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
NTP ブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
インターフェイスによる NTP ブロードキャストの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト値に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。
次に、NTP ブロードキャスト パケットを受信するようにポートを設定する例を示します。
NTP アクセス制限の設定
アクセス グループの作成と基本 IP アクセス リストの割り当て
アクセス リストを使用して NTP サービスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
アクセス グループ キーワードが、次の順序で(最も制限の少ないものから最も制限の大きいものへ)スキャンされます。
1. peer :時刻の要求と NTP 制御クエリーを許可し、スイッチはアドレスがアクセス リスト基準を満たしている装置とスイッチを同期できます。
2. server :時刻の要求と NTP 制御クエリーを許可しますが、スイッチはアドレスがアクセス リスト基準を満たしている装置とスイッチを同期できません。
3. serve-only :アドレスがアドレス リスト基準を満たす装置からの時刻の要求だけ許可します。
4. query-only :アドレスがアクセス リスト基準を満たす装置からの NTP 制御クエリーだけ許可します。
送信元 IP アドレスが、複数のアクセス タイプのアクセス リストと一致した場合、最初のタイプが許可されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべての装置に許可されます。アクセス グループが指定されている場合は、指定されたアクセス タイプだけ許可されます。
スイッチの NTP サービスへのアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer } グローバル コンフィギュレーション コマンドを使用します。
次に、アクセス リスト 99 のピアと同期するためのスイッチを設定する例を示します。ただし、スイッチはアクセス リスト 42 からの時刻の要求だけ許可するようにアクセスを制限します。
特定のインターフェイスでの NTP サービスのディセーブル化
NTP サービスは、すべてのインターフェイスでデフォルトでイネーブルになっています。
NTP パケットのインターフェイス上の受信をディセーブルにするには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
NTP パケットのインターフェイス上の受信を再びイネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。
NTP パケットの送信元 IP アドレスの設定
スイッチで NTP パケットを送信する場合、送信元 IP アドレスは通常、NTP パケットが送信されるときに使用されるインターフェイスのアドレスに設定されます。すべての NTP パケットで特定の送信元 IP アドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは、指定されたインターフェイスから取得されます。このコマンドは、インターフェイス上のアドレスが、応答パケットの宛先として使用できない場合に役に立ちます。
送信元 IP アドレスが取得される特定のインターフェイスを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、「NTP アソシエーションの設定」の説明に従って、 ntp peer または ntp server グローバル コンフィギュレーション コマンドで source キーワードを使用します。
NTP の設定の表示
NTP 情報を表示するには、次の 2 つの特権 EXEC コマンドを使用します。
• show ntp associations [ detail ]
(注) この出力に表示されるフィールドの詳細については、Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References] にある『Cisco IOS Configuration Fundamentals Command Reference, Release 12.2』を参照してください。
手動での日時の設定
他の時刻源が使用できない場合は、システムを再起動した後に、手動で日時を設定できます。次にシステムを再起動するまで、時刻は正確な状態で維持されます。手動設定は、最後の手段としてだけ使用することを推奨します。スイッチが同期できる外部の時刻源がある場合、システム クロックを手動で設定する必要はありません。
• 「時間帯の設定」
• 「夏時間の設定」
システム クロックの設定
NTP サーバなど、時刻サービスを提供する外部の時刻源がネットワーク上にある場合、システム クロックを手動で設定する必要はありません。
システム クロックを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
次のフォーマットのいずれか 1 つを使用して、システム クロックを手動で設定します。 • |
次に、システム クロックを 2001 年 7 月 23 日の午後 1 時 32 分に手動で設定する例を示します。
日時設定の表示
日時の設定を表示するには、 show clock [ detail ] 特権 EXEC コマンドを使用します。
システム クロックでは、時刻が信頼できる(正確であると確信できる)かどうかを示す authoritative フラグが維持されます。システム クロックが NTP などのタイミング ソースにより設定されている場合、フラグが設定されます。時刻が信頼できない場合、時刻は表示目的でだけ使用されます。クロックが信頼でき、 authoritative フラグが設定されるまでは、フラグによって、ピアの時刻が無効な場合にピアはクロックと同期されません。
時間帯の設定
手動で時間帯を設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| スイッチでは、UTC の内部時刻が維持されるため、このコマンドは、表示目的および時刻を手動で設定する場合にだけ使用されます。 • |
||
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地の時間帯が UTC との時間差を 1 時間における割合で表す場合に使用できます。たとえば、カナダ大西洋沿岸のある区域の時間帯の Atlantic Standard Time(AST; 大西洋標準時)が UTC-3.5 の場合、3 は 3 時間、.5 は 50% を意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。
時刻を UTC に設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。
夏時間の設定
毎年の特定の曜日に夏時間が開始および終了する区域に夏時間を設定するには、特権 EXEC モードで次の手順を実行します。
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では、夏時間が開始される日時を指定します。2 つ目の部分では終了する日時を指定します。すべての時刻は、現地の時間帯に基づきます。開始時刻は、標準時間に基づきます。終了時刻は、夏時間に基づきます。開始月が終了月よりあとの場合は、システムでは南半球にいると見なされます。
次に、夏時間が 4 月の第 1 日曜日の 2 時に開始し、10 月の最終日曜日の 2 時に終了するように指定する例を示します。
区域の夏時間が定期的なパターンに従わない(次の夏時間イベントの正確な日時を設定する)場合は、特権 EXEC モードで次の手順を実行します。
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では、夏時間が開始される日時を指定します。2 つ目の部分では終了する日時を指定します。すべての時刻は、現地の時間帯に基づきます。開始時刻は、標準時間に基づきます。終了時刻は、夏時間に基づきます。開始月が終了月よりあとの場合は、システムでは南半球にいると見なされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が 2000 年 10 月 12 日の 2 時に開始し、2001 年 4 月 26 日の 2 時に終了するように設定する例を示します。
システム名とプロンプトの設定
スイッチにシステム名を設定して識別します。デフォルトでは、システム名とプロンプトは Switch です。
システム プロンプトを設定していない場合は、システム名の最初の 20 文字がシステム プロンプトとして使用されます。大なり記号 [>] が追加されます。システム名が変更されるたびにプロンプトが更新されます。
この項で使用しているコマンドの構文と使用方法の詳細については、Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References] にある『 Cisco IOS Configuration Fundamentals Command Reference 』および『 Cisco IOS IP Command Reference, Volume 2 of 3: Routing Protocols 』を参照してください。
デフォルトのシステム名とプロンプトの設定
システム名の設定
手動でシステム名を設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| 名前は、ARPANET ホスト名のルールに従う必要があります。名前の先頭は文字で始まり、文字または数字で終わり、その間には文字、数字、およびハイフンしか使用できません。名前には最大 63 文字を使用できます。 |
||
DNS の概要
Domain Name System(DNS; ドメイン ネーム システム)プロトコルは、DNS を制御します。DNS は、ホスト名を IP アドレスにマッピングできる分散データベースです。スイッチ上に DNS を設定すると、 ping 、 telnet 、 connect などのすべての IP コマンドおよび関連の Telnet サポート 操作時に、IP アドレスの代わりにホスト名を使用できます。
IP は、場所やドメインによって装置を識別できる階層型の命名方式を定義します。ドメイン名は、デリミタにピリオド (.) を使用して連結できます。たとえば、シスコシステムズは、IP が com というドメイン名で識別される商業組織なので、ドメイン名は cisco.com となります。このドメインの特定の装置、たとえば File Transfer Protocol(FTP; ファイル転送プロトコル)システムは ftp.cisco.com として識別されます。
ドメイン名を継続的に追跡するために、IP はドメイン ネーム サーバの概念を定義しています。このサーバには、IP アドレスにマッピングされる名前のキャッシュ(またはデータベース)が保持されます。ドメイン名を IP アドレスにマッピングするには、まずホスト名を識別し、ネットワーク上にあるネーム サーバを指定し、DNS をイネーブルにします。
DNS のデフォルト設定
表 7-2 に、DNS のデフォルト設定を示します。
|
|
|
|---|---|
DNS の設定
DNS を使用するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
スイッチの IP アドレスをそのホスト名として使用する場合は、IP アドレスが使用され、DNS クエリーは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホストに追加され、そのあとで DNS クエリーが行われ、名前が IP アドレスにマッピングされます。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、Cisco IOS ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずに IP アドレスを検索します。
ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネーム サーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチ上の DNS をディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。
DNS の設定の表示
バナーの作成
Message-Of-The-Day(MOTD)とログイン バナーを設定できます。MOTD バナーは、ログイン時に接続されているすべての端末に表示され、すべてのネットワーク ユーザに影響のあるメッセージ(システムのシャットダウン予告など)を送信するのに役立ちます。
ログイン バナーも、接続されているすべての端末で表示されます。表示されるのは、MOTD バナーのあとで、ログイン プロンプトが表示される前です。
(注) この項で使用しているコマンドの構文と使用方法の詳細については、Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References] にある『Cisco IOS Configuration Fundamentals Command Reference, Release 12.2』を参照してください。
• 「Message-Of-The-Day ログイン バナーの設定」
バナーのデフォルト設定
Message-Of-The-Day ログイン バナーの設定
ユーザがスイッチにログインしたときに画面に表示される 1 行または複数行のメッセージ バナーを作成できます。
MOTD ログイン バナーを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| c には、任意のデリミタ、たとえばポンド記号(#)を入力して、Return キーを押します。デリミタは、バナー テキストの始まりと終わりを表します。終わりのデリミタのあとの文字は廃棄されます。 |
||
MOTD バナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。
次に、ポンド記号(#)を始まりのデリミタおよび終わりのデリミタとして使用し、スイッチの MOTD バナーを設定する例を示します。
ログイン バナーの設定
接続されているすべての端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MOTD バナーのあとで、ログイン プロンプトが表示される前です。
ログイン バナーを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| c には、任意のデリミタ、たとえばポンド記号(#)を入力して、Return キーを押します。デリミタは、バナー テキストの始まりと終わりを表します。終わりのデリミタのあとの文字は廃棄されます。 |
||
ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。
次に、ドル記号($)を始まりのデリミタおよび終わりのデリミタとして使用し、スイッチのログイン バナーを設定する例を示します。
MAC アドレス テーブルの管理
Media Access Control(MAC; メディア アクセス制御)アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。アドレス テーブルに登録されたすべての MAC アドレスは、1 つまたは複数のポートに関連付けられます。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
• ダイナミック アドレス:スイッチが学習し、使用されなくなった時点で期限切れとなる送信元 MAC アドレス。
• スタティック アドレス:手動で入力され、期限切れにならず、スイッチのリセット時にも消去されないユニキャスト アドレス。
アドレス テーブルは、宛先 MAC アドレス、関連付けられている VLAN ID、アドレスとタイプ(スタティックまたはダイナミック)に関連付けられているポート番号を示します。
(注) この項で使用しているコマンドの構文と使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
• 「ユニキャスト MAC アドレス フィルタリングの設定」
• 「VLAN での MAC アドレス学習のディセーブル化」
アドレス テーブルの作成
すべてのポートでサポートされる複数の MAC アドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、その他のネットワーク装置に接続できます。各ポートで受信するパケットの送信元アドレスを学習し、アドレス テーブルにアドレスと関連付けられているポート番号を追加することにより、スイッチはダイナミックなアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスを期限切れにします。
エージング インターバルは、グローバルに設定されます。ただし、スイッチは VLAN ごとにアドレス テーブルを維持し、Spanning Tree Protocol(STP; スパニング ツリー プロトコル)によって VLAN 単位でエージング インターバルを短縮できます。
スイッチは、受信したパケットの宛先アドレスに基づいて、組み合わせのポート間でパケットを送信します。MAC アドレス テーブルを使用して、スイッチは宛先アドレスに関連付けられているポートにだけパケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストアアンドフォワード方式を使用します。つまり、完全なパケットを保管して、エラーがないかチェックしてから転送されます。
MAC アドレスと VLAN
すべてのアドレスは VLAN に関連付けられています。1 つのアドレスを複数の VLAN に関連付け、それぞれに異なる宛先を設定できます。たとえば、ユニキャスト アドレスを VLAN 1 のポート 1 および VLAN 5 のポート 9、10、および 1 に転送できます。
VLAN ごとに、独自の論理アドレス テーブルが維持されます。ある VLAN で既知のアドレスが別の VLAN で認識されるには、別の VLAN 内のポートによって学習されるか、スタティックに関連付けられる必要があります。
プライベート VLAN が設定されている場合は、アドレス学習は MAC アドレスのタイプによって異なります。
• プライベート VLAN の 1 つの VLAN で学習されたダイナミック MAC アドレスは、関連する VLAN に複製されます。たとえば、プライベート VLAN のセカンダリ VLAN で学習された MAC アドレスはプライマリ VLAN に複製されます。
• プライマリ VLAN またはセカンダリ VLAN で設定されたスタティック MAC アドレスは、関連付けられている VLAN には複製されません。プライベート VLAN のプライマリ VLAN またはセカンダリ VLAN にスタティック MAC アドレスを設定するときは、同じスタティック MAC アドレスを、関連付けられているすべての VLAN にも設定する必要があります。
プライベート VLAN の詳細については、「プライベート VLAN の設定」を参照してください。
MAC アドレス テーブルのデフォルト設定
表 7-3 に、MAC アドレス テーブルのデフォルト設定を示します。
|
|
|
|---|---|
アドレスのエージング タイムの変更
ダイナミック アドレスは、スイッチが学習し、使用されなくなった時点で期限切れとなる送信元 MAC アドレスです。すべての VLAN または指定された VLAN のエージング タイムの設定を変更できます。
エージング タイムの設定が短すぎると、アドレスがテーブルから削除されるのが早くなります。また、スイッチで不明な宛先のパケットを受信すると、受信ポートと同じ VLAN 内のすべてのポートにパケットがフラッディングします。この不要なフラッディングによって、パフォーマンスに影響を与える可能性があります。エージング タイムの設定が長すぎると、アドレス テーブルは未使用のアドレスで一杯になり、新しいアドレスが学習されなくなります。この結果フラッディングとなり、スイッチのパフォーマンスに影響を与える可能性があります。
ダイナミック アドレス テーブルのエージング タイムを設定するには、特権 EXEC モードで次の手順を実行します。
デフォルト値に戻すには、 no mac address-table aging-time グローバル コンフィギュレーション コマンドを使用します。
ダイナミック アドレス エントリの削除
すべてのダイナミック エントリを削除するには、特権 EXEC モードで clear mac address-table dynamic コマンドを使用します。特定の MAC アドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポート チャネル上のすべてのアドレス( clear mac address-table dynamic interface interface-id )、または指定された VLAN 上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。
ダイナミック エントリが削除されたことを確認するには、 show mac address-table dynamic 特権 EXEC コマンドを使用します。
MAC アドレス変更通知トラップの設定
MAC アドレス変更通知では、MAC アドレスの変更アクティビティを保存して、ネットワーク上のユーザを追跡します。スイッチが MAC アドレスを学習または削除するときに、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)通知トラップを Network Management System(NMS; ネットワーク管理システム)に送信できます。多くのユーザがネットワークに出入りしている場合は、トラップの間隔を設定して通知トラップをバンドルし、ネットワーク トラフィックを削減できます。MAC 通知履歴テーブルには、トラップが設定されている各ポートの MAC アドレス アクティビティが保存されます。MAC アドレス変更通知は、ダイナミック MAC アドレスまたはセキュア MAC アドレスについて許可されます。自アドレス、マルチキャスト アドレス、または他のスタティック アドレスについては、通知は生成されません。
MAC アドレス変更通知トラップを NMS ホストに送信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
MAC アドレス変更通知トラップをディセーブルにするには、 no snmp-server enable traps mac-notification change グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上で MAC アドレス変更通知トラップをディセーブルにするには、 no snmp trap mac-notification change { added | removed } インターフェイス コンフィギュレーション コマンドを使用します。MAC アドレス変更通知機能をディセーブルにするには、 no mac address-table notification change グローバル コンフィギュレーション コマンドを使用します。
次に、172.20.10.10 を NMS として指定し、MAC アドレス通知トラップを NMS に送信するようにスイッチをイネーブルにし、MAC アドレス変更通知機能をイネーブルにし、間隔を 123 秒に設定し、履歴サイズを 100 エントリまでとし、MAC アドレスが指定されたポートに追加されるたびにトラップをイネーブルにする例を示します。
設定を確認するには、 show mac address-table notification change interface および show mac address-table notification change 特権 EXEC コマンドを入力します。
MAC アドレス移行通知トラップの設定
MAC 移行通知を設定すると、MAC アドレスが同じ VLAN 内の別のポートに移行するたびに、SNMP 通知が生成されて、ネットワーク管理システムに送信されます。
MAC アドレス移行通知トラップを NMS ホストに送信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
MAC アドレス移行通知トラップをディセーブルにするには、 no snmp-server enable traps mac-notification move グローバル コンフィギュレーション コマンドを使用します。MAC アドレス移行通知機能をディセーブルにするには、 no mac address-table notification mac-move グローバル コンフィギュレーション コマンドを使用します。
次に、172.20.10.10 を NMS として設定し、MAC アドレス移行通知トラップを NMS に送信するようにスイッチをイネーブルにし、MAC アドレス移行通知機能をイネーブルにし、MAC アドレスが別のポートに移行したときにトラップをイネーブルにする例を示します。
設定を確認するには、 show mac address-table notification mac-move 特権 EXEC コマンドを入力します。
MAC スレッシュホールド通知トラップの設定
MAC スレッシュホールド通知を設定すると、MAC アドレス テーブルのスレッシュホールド制限に達するか、スレッシュホールド制限を超えると、SNMP 通知が生成されて、ネットワーク管理システムに送信されます。
MAC アドレス テーブル スレッシュホールド通知トラップを NMS ホストに送信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
MAC アドレス スレッシュホールド通知トラップをディセーブルにするには、 no snmp-server enable traps mac-notification threshold グローバル コンフィギュレーション コマンドを使用します。MAC アドレス スレッシュホールド通知機能をディセーブルにするには、 no mac address-table notification threshold グローバル コンフィギュレーション コマンドを使用します。
次に、172.20.10.10 を NMS として設定し、MAC アドレス スレッシュホールド通知機能をイネーブルにし、間隔を 123 秒に設定し、制限を 78% に設定する例を示します。
設定を確認するには、 show mac address-table notification threshold 特権 EXEC コマンドを入力します。
スタティック アドレス エントリの追加と削除
• アドレス テーブルに手動で入力し、手動で削除する必要があります。
• ユニキャスト アドレスまたはマルチキャスト アドレスとして使用できます。
スタティック アドレスを追加および削除し、それらのアドレスの転送動作を定義できます。転送動作では、パケットを受信するポートがパケットを別の伝送用ポートに転送する方法を定義します。すべてのポートは少なくとも 1 つの VLAN に関連付けられているため、スイッチは指定したポートからアドレスの VLAN ID を取得します。送信元ポートごとに異なる宛先ポート リストを指定できます。
スタティックに入力されていない VLAN に、スタティック アドレスを持つパケットが着信した場合、そのパケットはすべてのポートにフラッディングされ、学習されません。
宛先 MAC ユニキャスト アドレスと受信元の VLAN を指定して、スタティック アドレスをアドレス テーブルに追加します。この宛先アドレスで受信したパケットは、 interface-id オプションで指定されたインターフェイスに転送されます。
プライベート VLAN のプライマリ VLAN またはセカンダリ VLAN にスタティック MAC アドレスを設定するときは、同じスタティック MAC アドレスを、関連付けられているすべての VLAN にも設定する必要があります。プライベート VLAN のプライマリ VLAN またはセカンダリ VLAN で設定されたスタティック MAC アドレスは、関連付けられている VLAN には複製されません。プライベート VLAN の詳細については、「プライベート VLAN の設定」を参照してください。
スタティック アドレスを追加するには、特権 EXEC モードで次の手順を実行します。
スタティック エントリをアドレス テーブルから削除するには、no mac address-table static mac-addr vlan vlan-id [ interface interface-id ] グローバル コンフィギュレーション コマンドを使用します。
次の例では、MAC アドレス テーブルにスタティック アドレス c2f3.220a.12f4 を追加する方法を示します。VLAN 4 でこの MAC アドレスを宛先アドレスとしてパケットを受信すると、パケットは指定されたポートに転送されます。
ユニキャスト MAC アドレス フィルタリングの設定
ユニキャスト MAC アドレス フィルタリングがイネーブルの場合、スイッチは、特定の送信元または宛先 MAC アドレスのパケットを廃棄します。この機能はデフォルトではディセーブルになっています。また、この機能ではユニキャスト スタティック アドレスだけサポートされます。
• マルチキャスト MAC アドレス、ブロードキャスト MAC アドレス、およびルータ MAC アドレスはサポートされません。 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力するときに、これらのいずれかのアドレスを指定すると、次のいずれかのメッセージが表示されます。
• ユニキャスト MAC アドレスをスタティック アドレスとして追加し、ユニキャスト MAC アドレス フィルタリングを設定する場合は、最後に入力されたコマンドに応じて、スイッチは MAC アドレスをスタティック アドレスとして追加するか、またはその MAC アドレスを持つパケットを廃棄します。2 番めに入力したコマンドは、最初のコマンドを上書きします。
たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドのあとに mac address-table static mac-addr vlan vlan-id drop コマンドを入力した場合は、スイッチは送信元または宛先として指定された MAC アドレスを持つパケットを廃棄します。
mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドのあとに mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力した場合は、スイッチがその MAC アドレスをスタティック アドレスとして追加します。
ユニキャスト MAC アドレス フィルタリングをイネーブルにし、送信元または宛先のユニキャスト MAC アドレスと受信元の VLAN を指定して、特定のアドレスのパケットを廃棄するようにスイッチを設定します。
送信元または宛先のユニキャスト スタティック アドレスを廃棄するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
ユニキャスト MAC アドレス フィルタリングをディセーブルにするには、no mac address -table static mac-addr vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
次の例では、ユニキャスト MAC アドレス フィルタリングをイネーブルにし、c2f3.220a.12f4 の送信元または宛先アドレスを持つパケットを廃棄するようにスイッチを設定する方法を示します。送信元または宛先としてこの MAC アドレスを持つパケットが VLAN4 上で受信された場合、パケットが廃棄されます。
VLAN での MAC アドレス学習のディセーブル化
デフォルトでは、MAC アドレス学習はスイッチのすべての VLAN でイネーブルです。VLAN で MAC アドレス学習を制御して、MAC アドレスを学習できる VLAN、さらにポートを制御することで、利用可能な MAC アドレス テーブル スペースを管理できます。MAC アドレス学習をディセーブルにする前に、ネットワーク トポロジとスイッチ システム設定に詳しいことを確認してください。VLAN で MAC アドレス学習をディセーブルにすると、ネットワークでフラッディングを引き起こす可能性があります。
VLAN で MAC アドレス学習をディセーブルにする場合、次の注意事項に従ってください。
• Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)を設定済みの VLAN で MAC アドレス学習をディセーブルにする場合は十分注意してください。この場合、スイッチは、レイヤ 2 ドメインにすべての IP パケットをフラッディングします。
• MAC アドレス学習は、1 つの VLAN ID(例: no mac address-table learning vlan 223 )または一連の VLAN ID(例: no mac address-table learning vlan 1-20, 15 )でディセーブルにできます。
• MAC アドレス学習のディセーブル化はポートを 2 つ含む VLAN だけで行うことを推奨します。3 つ以上のポートを含む VLAN で MAC アドレス学習をディセーブルにした場合、スイッチに着信するすべてのパケットは、その VLAN ドメインでフラッディングします。
• スイッチが内部的に使用する VLAN で MAC アドレス学習をディセーブルにできません。入力する VLAN ID が内部 VLAN である場合、スイッチはエラー メッセージを生成してコマンドを拒否します。使用している内部 VLAN を表示するには、 show vlan internal usage 特権 EXEC コマンドを使用します。
• プライベート VLAN のプライマリ VLAN として設定された VLAN で MAC アドレス学習をディセーブルにする場合、MAC アドレスは、そのプライベート VLAN に属するセカンダリ VLAN 上で引き続き学習され、プライマリ VLAN に複製されます。プライベート VLAN のプライマリ VLAN ではなくセカンダリ VLAN で MAC アドレス学習をディセーブルにする場合、プライマリ VLAN で MAC アドレス学習が実行され、セカンダリ VLAN に複製されます。
• RSPAN VLAN で MAC アドレス学習はディセーブルにできません。設定すること自体できません。
• セキュア ポートを含む VLAN で MAC アドレス学習をディセーブルにする場合、セキュア ポートで MAC アドレス学習はディセーブルになりません。ポート セキュリティをディセーブルにする場合、設定した MAC アドレス学習の状態がイネーブルになります。
VLAN で MAC アドレス学習をディセーブルにするには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
指定された 1 つまたは複数の VLAN で MAC アドレス学習をディセーブルにします。1 つの VLAN ID を指定するか、一連の VLAN ID をハイフンまたはカンマで区切って指定できます。指定できる VLAN ID は、1 ~ 4094 です。 |
||
VLAN で MAC アドレス学習を再びイネーブルにするには、 default mac address -table learning vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。 mac address -table learning vlan vlan-id グローバル コンフィギュレーション コマンドを入力して、VLAN で MAC アドレス学習を再びイネーブルにすることもできます。1 つ目( デフォルト )のコマンドでは、デフォルト設定の状態に戻るため、 show running-config コマンドを実行しても出力に表示されません。2 つ目のコマンドでは、 show running-config 特権 EXEC コマンドの表示に設定が表示されます。
次に、VLAN 200 で MAC アドレス学習をディセーブルにする例を示します。
すべての VLAN、または指定された VLAN の MAC アドレス学習のステータスを表示するには、 show mac-address-table learning [ vlan vlan-id ] 特権 EXEC コマンドを入力します。
アドレス テーブル エントリの表示
表 7-4 で説明されている 1 つまたは複数の特権 EXEC コマンドを使用して、MAC アドレス テーブルを表示できます。
|
|
|
|---|---|
ARP テーブルの管理
イーサネットなどを介して装置と通信するために、ソフトウェアは最初にその装置の 48 ビットの MAC アドレスまたはローカル データ リンク アドレスを学習する必要があります。IP アドレスからローカル データ リンク アドレスを学習するプロセスは、 アドレス解決 と呼ばれます。
Address Resolution Protocol(ARP; アドレス解決プロトコル)は、ホストの IP アドレスを対応するメディアまたは MAC アドレスおよび VLAN ID に関連付けます。ARP は、IP アドレスを使用して、関連付けられた MAC アドレスを検索します。MAC アドレスが見つかると、IP と MAC アドレスの関連付けが ARP キャッシュに保存され、すぐに取得できます。次に、IP データグラムがリンクレイヤ フレームにカプセル化され、ネットワーク上で送信されます。イーサネット以外の IEEE 802 ネットワークでの IP データグラムおよび ARP 要求および応答のカプセル化は、Subnetwork Access Protocol(SNAP; サブネットワーク アクセス プロトコル)で指定されます。デフォルトでは、IP インターフェイスで標準のイーサネット形式の ARP カプセル化( arpa キーワードで表される)はイネーブルになっています。
テーブルに手動で追加された ARP エントリは期限切れがないため、手動で削除する必要があります。
(注) CLI の手順の詳細については、Cisco.com のページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] にある Cisco IOS Release 12.2 のマニュアルを参照してください。
フィードバック