システム日時の管理
Network Time Protocol(NTP)などの自動設定方式、または手動設定方式を使用して、スイッチのシステム日時を管理します。
(注) このセクションで使用するコマンドの構文および使用方法の詳細については、『Cisco IOS Configuration Fundamentals Command Reference』を参照してください。これには、Cisco.com([Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References])からアクセス可能です。
ここでは、次の設定情報について説明します。
• 「システム クロックの概要」
• 「NTP の概要」
• 「NTP の設定」
• 「手動での日時の設定」
システム クロックの概要
時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼動し、日時を常時トラッキングします。
システム クロックは、次のソースにより設定できます。
• NTP
• 手動設定
システム クロックは、次のサービスに時刻を提供します。
• ユーザの show コマンド
• ログおよびデバッグ メッセージ
システム クロックは、Universal Time Coordinated(UTC; 世界標準時)(別名 Greenwich Mean Time(GMT; グリニッジ標準時))に基づいてシステム内部の時刻を常時トラッキングします。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。
システム クロックは、時刻に 信頼性がある かどうか(つまり、信頼できると見なされるタイム ソースによって時刻が設定されているか)を常時トラッキングします。信頼性のない場合は、時刻は表示目的だけで使用され、再配信されません。設定情報については、「手動での日時の設定」を参照してください。
NTP の概要
NTP は、ネットワーク上のデバイス間の時刻の同期化を目的に設計されています。NTP は UDP で稼動し、UDP は IP 上で稼動します。NTP は RFC 1305 に規定されています。
NTP ネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。そのあと、NTP はネットワークにこの時刻を配信します。NTP はきわめて効率的で、1 分間に 1 パケットを使用するだけで、2 台のデバイスを 1 ミリ秒以内に同期化できます。
NTP は、 ストラタム(階層) という概念を使用して、信頼できるタイム ソースとデバイスが離れている NTP ホップを記述します。ストラタム 1 タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム 2 タイム サーバは、NTP を使用してストラタム 1 タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTP が稼動するデバイスは、タイム ソースとして、NTP を使用して通信するストラタム番号が最小のデバイスを自動的に選択します。この方法によって、NTP 時刻配信の自動編成型ツリーが効率的に構築されます。
NTP では、同期化されていないデバイスと同期化しないことによって、時刻が正確でないデバイスとの同期化を防ぎます。また、NTP では、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻が他のデバイスと大幅に異なるデバイスとは同期化しません。
NTP が稼動するデバイス間の通信( アソシエーション )は、通常静的に設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスの IP アドレスが与えられます。アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。各デバイスを、単にブロードキャスト メッセージを送受信するように設定すればよいので、この代替手段によって設定の複雑さが緩和されます。ただし、この場合は、情報の流れは一方向に限られます。
デバイス上で維持される時刻は、重要なリソースです。NTP のセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防止してください。アクセス リストを使用して制限する方式および暗号化認証メカニズムの、2 種類のメカニズムを使用できます。
シスコの NTP ではストラタム 1 サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。ネットワークの時刻サービスは、IP インターネット上のパブリック NTP サーバから取得することを推奨します。
図 7-1に、NTP を使用する一般的なネットワーク例を示します。スイッチ A は、NTP サーバ モードで設定したスイッチ B、C、D の NTP マスターです。スイッチ B、C、D とスイッチ A との間にはサーバ アソシエーションが設定されています。スイッチ E は、アップストリーム スイッチ(スイッチ B)およびダウンストリーム スイッチ(スイッチ F)の NTP ピアとして設定されています。
図 7-1 一般的な NTP ネットワークの構成
ネットワークがインターネットから切り離されている場合、シスコの NTP によって、実際には、他の方法で時刻を学習しているにもかかわらず、デバイスが NTP を使用して同期化しているように動作を設定できます。他のデバイスは、NTP によりこのデバイスと同期化されます。
複数のタイム ソースがある場合は、NTP は常に、より信頼性があると見なされます。NTP の時刻は、他の方法による時刻に優先します。
自社のホスト システムに NTP ソフトウェアを組み込んでいるメーカーが数社あり、また、UNIX システム用のバージョンやその派生ソフトウェアも一般に入手できます。このソフトウェアによって、ホスト システムも時間が同期化されます。
NTP のデフォルト設定
表 7-1 に、NTP のデフォルト設定を示します。
表 7-1 NTP のデフォルト設定
|
|
NTP 認証 |
ディセーブル 認証鍵は指定されていません。 |
NTP ピアまたはサーバ アソシエーション |
未設定 |
NTP ブロードキャスト サービス |
ディセーブル。どのインターフェイスも NTP ブロードキャスト パケットを送受信しません。 |
NTP アクセス制限 |
アクセス制御は指定されていません。 |
NTP パケット送信元 IP アドレス |
送信元アドレスは、発信インターフェイスによって設定されます。 |
NTP は、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTP パケットを受信します。
NTP 認証の設定
この手順は、NTP サーバの管理者と協調する必要があります。この手順で設定する情報は、時刻を NTP サーバと同期化するためにスイッチが使用するサーバに対応している必要があります。
セキュリティ目的で他のデバイスとのアソシエーション(正確な時間維持を行う NTP 稼動デバイス間の通信)を認証するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ntp authenticate |
デフォルトではディセーブルに設定されている NTP 認証機能をイネーブルにします。 |
ステップ 3 |
ntp authentication-key number md5 value |
認証鍵を定義します。デフォルトでは何も定義されていません。 • number には、鍵の番号を指定します。指定できる範囲は 1 ~ 4294967295 です。 • md5 は、Message Digest Algorithm 5(MD5)を使用してメッセージ認証サポートが行われるように指定します。 • value には、鍵に対する 8 文字までの任意のストリングを入力します。 スイッチとデバイスの双方がいずれかの認証鍵を持ち、 ntp trusted-key key-number コマンドによって鍵番号が指定されていないかぎり、スイッチはデバイスと同期化しません。 |
ステップ 4 |
ntp trusted-key key-number |
1 つまたは複数の鍵番号(ステップ 3 で定義したもの)を指定します。ピア NTP デバイスは、このスイッチと同期化するため、このスイッチへの NTP パケット内にこの鍵番号を設定しなければなりません。 デフォルト設定では、信頼される鍵は定義されていません。 key-number には、ステップ 3 で定義された鍵を指定します。 このコマンドは、スイッチが、信頼されていないデバイスと誤って同期化することを防ぎます。 |
ステップ 5 |
end |
特権 EXEC モードに戻ります。 |
ステップ 6 |
show running-config |
設定を確認します。 |
ステップ 7 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
NTP 認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。デバイス ID の認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。
次に、NTP パケットに認証鍵 42 を設定しているデバイスとだけ同期するようにスイッチを設定する例を示します。
Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 42 md5 aNiceKey
Switch(config)# ntp trusted-key 42
NTP アソシエーションの設定
NTP アソシエーションは、ピア アソシエーション(スイッチを他のデバイスに同期化するか、スイッチに対して他のデバイスを同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他のデバイスに同期化させるだけで、その逆はできない)に設定することもできます。
別のデバイスとの NTP アソシエーションを形成するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ntp peer ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ] または ntp server ip-address [ version number ] [ key keyid ] [ source interface ] [ prefer ] |
スイッチのシステム クロックをピアに同期化するか、ピアによって同期化する(ピア アソシエーション)ように設定します。 または スイッチのシステム クロックをタイム サーバによって同期化する(サーバ アソシエーション)ように設定します。 ピアまたはサーバ アソシエーションはデフォルトでは定義されていません。 • ピア アソシエーションの ip-address には、クロックの同期化を行う、または同期化の対象となるピアの IP アドレスを指定します。サーバ アソシエーションでは、クロックの同期化を行うタイム サーバの IP アドレスを指定します。 • (任意) number には、NTP のバージョン番号を指定します。指定できる範囲は 1 ~ 3 です。デフォルトではバージョン 3 が選択されています。 • (任意) keyid には、 ntp authentication-key グローバル コンフィギュレーション コマンドで定義された認証鍵を入力します。 • (任意) interface には、送信元 IP アドレスを取得するインターフェイスを指定します。デフォルトでは、送信元 IP アドレスは発信インターフェイスから取得します。 • (任意) prefer キーワードを指定すると、このピアまたはサーバが同期化を行う優先ピアまたはサーバになります。このキーワードは、ピアとサーバ間の切り替えを減らします。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show running-config |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
アソシエーションの一端しか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。デフォルトの NTP バージョン(バージョン 3)を使用していて、同期化が発生しない場合は、NTP のバージョン 2 を使用してください。インターネット上の多くの NTP サーバは、バージョン 2 で稼動しています。
ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。
次に、NTP バージョン 2 を使用して、IP アドレス 172.16.22.44 のピアのクロックにシステム クロックを同期化するようにスイッチを設定する例を示します。
Switch(config)# ntp server 172.16.22.44 version 2
NTP ブロードキャスト サービスの設定
NTP が稼動するデバイス間の通信( アソシエーション )は、通常静的に設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスの IP アドレスが与えられます。アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。各デバイスを、単にブロードキャスト メッセージを送受信するように設定すればよいので、この代替手段によって設定の複雑さが緩和されます。ただし、この場合は、情報の流れは一方向に限られます。
ルータのようにネットワーク上で時刻情報をブロードキャストする NTP ブロードキャスト サーバがある場合、スイッチはインターフェイスごとに NTP ブロードキャスト パケットを送受信できます。スイッチは NTP ブロードキャスト パケットをピアへ送信できるので、ピアはそのスイッチに同期化できます。スイッチは、NTP ブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTP ブロードキャスト パケットの送信と受信の両方の手順について説明します。
NTP ブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface interface-id |
NTP ブロードキャスト パケットを送信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
ntp broadcast [ version number ] [ key keyid ] [ destination-address ] |
NTP ブロードキャスト パケットをピアに送信するインターフェイスをイネーブルにします。 デフォルトでは、この機能はすべてのインターフェイスでディセーブルです。 • (任意) number には、NTP のバージョン番号を指定します。指定できる範囲は 1 ~ 3 です。バージョンを指定しなかった場合は、バージョン 3 が使用されます。 • (任意) keyid には、ピアにパケットを送信するときに使用する認証鍵を指定します。 • (任意) destination-address には、スイッチにクロックを同期化しているピアの IP アドレスを指定します。 |
ステップ 4 |
end |
特権 EXEC モードに戻ります。 |
ステップ 5 |
show running-config |
設定を確認します。 |
ステップ 6 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ステップ 7 |
|
次の手順で説明するように、接続されているピアが NTP ブロードキャスト パケットを受信するように設定します。 |
インターフェイスによる NTP ブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートが NTP バージョン 2 パケットを送信するように設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast version 2
接続したピアから NTP ブロードキャスト パケットを受信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface interface-id |
NTP ブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
ntp broadcast client |
インターフェイスが NTP ブロードキャスト パケットを受信できるようにします。 デフォルトでは、インターフェイスは NTP ブロードキャスト パケットを受信しません。 |
ステップ 4 |
exit |
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 5 |
ntp broadcastdelay microseconds |
(任意)スイッチと NTP ブロードキャストサーバとの間の予測されるラウンドトリップ遅延を変更します。 デフォルトは 3000 マイクロ秒です。指定できる範囲は 1 ~ 999999 です。 |
ステップ 6 |
end |
特権 EXEC モードに戻ります。 |
ステップ 7 |
show running-config |
設定を確認します。 |
ステップ 8 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
インターフェイスによる NTP ブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。
次に、ポートが NTP ブロードキャスト パケットを受信するように設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast client
アクセス グループの作成と基本 IP アクセス リストの割り当て
アクセス リストを使用して NTP サービスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ntp access-group { query-only | serve-onl y | serve | peer } access-list-number |
アクセス グループを作成し、基本 IP アクセス リストを割り当てます。 キーワードの意味は次のとおりです。 • query-only :NTP 制御クエリーに限り許可します。 • serve-only :時刻要求に限り許可します。 • serve :時刻要求と NTP 制御クエリーは許可しますが、スイッチがリモートデバイスと同期化することは許可しません。 • peer :時刻要求と NTP 制御クエリーを許可し、スイッチがリモートデバイスと同期化することを許可します。 access-list-number には、1 ~ 99 の範囲で標準の IP アクセス リスト番号を入力します。 |
ステップ 3 |
access-list access-list-number permit source [ source-wildcard ] |
アクセス リストを作成します。 • access-list-number には、ステップ 2 で指定した番号を入力します。 • permit キーワードを入力すると、条件が一致した場合にアクセスを許可します。 • source には、スイッチへのアクセスが許可されたデバイスの IP アドレスを入力します。 • (任意) source-wildcard には、送信元に適用するワイルドカード ビットを入力します。 (注) アクセス リストを作成するときは、アクセス リストの末尾に暗黙の拒否ステートメントがデフォルトで存在し、それ以前のステートメントで一致が見つからなかったすべてのパケットに適用されることに注意してください。 |
ステップ 4 |
end |
特権 EXEC モードに戻ります。 |
ステップ 5 |
show running-config |
設定を確認します。 |
ステップ 6 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。
1. peer :時刻要求と NTP 制御クエリーを許可し、さらに、スイッチがアクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可します。
2. serve :時刻要求と NTP 制御クエリーを許可しますが、スイッチがアクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可しません。
3. serve-only :アクセス リストの基準を満たすアドレスを持つデバイスからの時刻要求に限り許可します。
4. query-only :アクセス リストの基準を満たすアドレスを持つデバイスからの NTP 制御クエリーに限り許可します。
複数のアクセス タイプについて送信元 IP アドレスがアクセス リストに一致する場合は、最初のタイプが認可されます。アクセス グループが指定されなかった場合は、すべてのアクセス タイプがすべてのデバイスに認可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り認可されます。
スイッチ NTP サービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer } グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチがアクセス リスト 99 からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト 42 に対してはアクセスを制限し、時刻要求に限り許可します。
Switch# configure terminal
Switch(config)# ntp access-group peer 99
Switch(config)# ntp access-group serve-only 42
Switch(config)# access-list 99 permit 172.20.130.5
Switch(config)# access list 42 permit 172.20.130.6
特定のインターフェイスでの NTP サービスのディセーブル化
NTP サービスは、すべてのインターフェイス上でデフォルトでイネーブルに設定されています。
インターフェイス上で NTP パケットの受信をディセーブルにするには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface interface-id |
インターフェイス コンフィギュレーション モードを開始し、ディセーブルにするインターフェイスを指定します。 |
ステップ 3 |
ntp disable |
インターフェイス上で NTP パケットの受信をディセーブルにします。 デフォルトでは、すべてのインターフェイスは NTP パケットを受信します。 |
ステップ 4 |
end |
特権 EXEC モードに戻ります。 |
ステップ 5 |
show running-config |
設定を確認します。 |
ステップ 6 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
インターフェイス上で NTP パケットの受信を再びイネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。
NTP パケット用の送信元 IP アドレスの設定
スイッチが NTP パケットを送信すると、送信元 IP アドレスは、通常 NTP パケットが送信されたインターフェイスのアドレスに設定されます。すべての NTP パケットに特定の送信元 IP アドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。
送信元 IP アドレスを取得する特定のインターフェイスを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ntp source type number |
送信元 IP アドレスを取得するインターフェイスのタイプと番号を指定します。 デフォルトでは、送信元アドレスは、発信インターフェイスによって設定されます。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show running-config |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、「NTP アソシエーションの設定」に説明したように、 ntp peer または n tp server グローバル コンフィギュレーション コマンド内で source キーワードを使用します。
NTP 設定の表示
次の 2 つの特権 EXEC コマンドを使用して NTP 情報を表示できます。
• show ntp associations [ detail ]
• show ntp status
(注) これらの表示のフィールドに関する詳細については、『Cisco IOS Configuration Fundamentals Command Reference, Release 12.2』を参照してください。これには、Cisco.com([Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References])からアクセス可能です。
手動での日時の設定
他のタイム ソースが使用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段として使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。
ここでは、次の設定情報について説明します。
• 「システム クロックの設定」
• 「日時設定の表示」
• 「タイム ゾーンの設定」
• 「夏時間の設定」
システム クロックの設定
ネットワーク上に、NTP サーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
システム クロックを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
clock set hh : mm : ss day month year または clock set hh : mm : ss month day year |
次のいずれかのフォーマットで、手動でシステム クロックを設定します。 • hh : mm : ss には、時刻を時間(24 時間形式)、分、秒で指定します。指定された時刻は、設定されたタイム ゾーンに基づきます。 • day には、当月の日付で日を指定します。 • month には、月を名前で指定します。 • year には、年を指定します(常に 4 桁で指定)。 |
次に、システム クロックを手動で 2001 年の 7 月 23 日午後 1 時 32 分に設定する例を示します。
Switch# clock set 13:32:00 23 July 2001
日時設定の表示
日時の設定を表示するには、 show clock [ detail ] 特権 EXEC コマンドを使用します。
システム クロックは、信頼性がある(正確であると信じられる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソースによって設定されている場合は、フラグを設定します。時刻が信頼性のないものである場合は、表示目的でだけ使用されます。クロックが信頼できず、 authoritative フラグも設定されていなければ、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。
show clock の表示の前にある記号は、次の意味があります。
• *:時刻は信頼できません。
• (空白):時刻は信頼できます。
• .:時刻は信頼できますが、NTP は同期していません。
タイム ゾーンの設定
手動でタイム ゾーンを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
clock timezone zone hours-offset [ minutes-offset ] |
タイム ゾーンを設定します。 スイッチは内部時刻を UTC で管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。 • zone には、標準時間が施行されているときに表示されるタイムゾーンの名前を入力します。デフォルトの設定は UTC です。 • hours-offset には、UTC からの時差を入力します。 • (任意) minutes-offset には、UTC からの分差を入力します。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show running-config |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンと UTC との時差が分単位である場合に使用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(Atlantic Standard Time [AST; 大西洋標準時])は UTC-3.5 です。この場合、3 は 3 時間、.5 は 50% を意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。
時刻を UTC に設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。
夏時間の設定
毎年特定の曜日に夏時間が開始して終了する地域に夏時間を設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]] |
毎年指定した日に開始および終了するように夏時間を設定します。 夏時間はデフォルトでディセーブルに設定されています。パラメータなしで clock summer-time zone recurring を指定すると、夏時間の規則は米国の規則をデフォルトにします。 • zone には、夏時間が施行されているときに表示されるタイム ゾーンの名前(たとえば PDT)を入力します。 • (任意) week には、月の何週めかを指定します(1 ~ 5、または last )。 • (任意) day には、曜日を指定します(Sunday、Monday など)。 • (任意) month には、月を指定します(January、February など)。 • (任意) hh : mm には、時刻を時間(24 時間形式)と分で指定します。 • (任意) offset には、夏時間の間、追加する分の数を指定します。デフォルト値は 60 です。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show running-config |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番目の部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいると見なされます。
次に、夏時間が 4 月の第一日曜の 2 時に始まり、10 月の最終日曜の 2 時に終わるように指定する例を示します。
Switch(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
ユーザの居住地域の夏時間が定期的なパターンに従わない(次の夏時間のイベントの正確な日時を設定する)場合は、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]] または clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]] |
最初の日付で夏時間開始の日付を、2 番目の日付で終了の日付を設定します。 夏時間はデフォルトでディセーブルに設定されています。 • zone には、夏時間が施行されているときに表示されるタイム ゾーンの名前(たとえば PDT)を入力します。 • (任意) week には、月の何週めかを指定します(1 ~ 5、または last )。 • (任意) day には、曜日を指定します(Sunday、Monday など)。 • (任意) month には、月を指定します(January、February など)。 • (任意) hh : mm には、時刻を時間(24 時間形式)と分で指定します。 • (任意) offset には、夏時間の間、追加する分の数を指定します。デフォルト値は 60 です。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show running-config |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番目の部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいると見なされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が 2000 年 10 月 12 日の 2 時に始まり、2001 年 4 月 26 日の 2 時に終わるように設定する例を示します。
Switch(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00
システム名およびプロンプトの設定
スイッチにシステム名を設定して特定します。デフォルトでは、システム名およびプロンプトは Switch です。
システム プロンプトを設定していない場合は、システム名の最初の 20 文字をシステム プロンプトとして使用します。大なり記号(>)が付加されます。システム名が変更されると、プロンプトは更新されます。
このセクションで使用するコマンドの構文および使用方法の詳細については、Cisco.com から、[Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References]の順に選択して、『 Cisco IOS Configuration Fundamentals Command Reference 』および『 Cisco IOS IP Command Reference, Volume 2 of 3: Routing Protocols 』を参照してください。
ここでは、次の設定情報について説明します。
• 「デフォルトのシステム名およびプロンプトの設定」
• 「システム名の設定」
• 「DNS の概要」
デフォルトのシステム名およびプロンプトの設定
デフォルトのスイッチのシステム名およびプロンプトは Switch です。
システム名の設定
手動でシステム名を設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
hostname name |
手動でシステム名を設定します。 デフォルト設定は switch です。 名前は ARPANET ホスト名の規則に従う必要があります。この規則ではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、またはハイフンしか使用できません。名前には 63 文字まで使用できます。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show running-config |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
システム名を設定すると、システム プロンプトとしても使用されます。
デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。
DNS の概要
Domain Name System(DNS; ドメイン ネーム システム)プロトコルは、分散型データベース DNS を制御し、これによりホスト名を IP アドレスにマッピングできます。スイッチ上に DNS を設定すると、 ping 、 telnet 、 connect などのすべての IP コマンドや、関連する Telnet サポート操作時に、IP アドレスの代わりにホスト名を使用できます。
IP によって定義される階層型の命名方式では、デバイスを場所またはドメインで特定できます。ドメイン名の区切りとしては、ピリオド(.)を使用します。たとえば、シスコシステムズは、IP で com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com となります。このドメイン内の特定のデバイス、たとえば FTP(ファイル転送プロトコル)システムは、 ftp.cisco.com で表されます。
IP ではドメイン名をトラッキングするために、ドメイン ネーム サーバという概念が定義されています。ドメイン ネーム サーバの役割は、名前から IP アドレスへのマッピングをキャッシュ(またはデータベース)に保存することです。ドメイン名を IP アドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNS をイネーブルにします。
ここでは、次の設定情報について説明します。
• 「DNS のデフォルト設定」
• 「DNS の設定」
• 「DNS の設定の表示」
DNS のデフォルト設定
表 7-2 に、DNS のデフォルト設定を示します。
表 7-2 DNS のデフォルト設定
|
|
DNS イネーブル ステート |
イネーブル |
DNS デフォルト ドメイン名 |
未設定 |
DNS サーバ |
ネーム サーバのアドレスが未設定 |
DNS の設定
DNS を使用するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ip domain-name name |
未修飾のホスト名(ドット付き 10 進表記ドメイン名のない名前)を完成させるためにソフトウェアが使用する、デフォルトのドメイン名を定義します。 ドメイン名を未修飾の名前から区切るために使用される最初のピリオドは入れないでください。 起動時にはドメイン名は設定されていませんが、BOOTP または Dynamic Host Configuration Protocol(DHCP)サーバからスイッチ コンフィギュレーションを取得している場合は、BOOTP または DHCP サーバによってデフォルトのドメイン名が設定されることがあります(サーバにこの情報が設定されている場合)。 |
ステップ 3 |
ip name-server server-address1 [ server-address2 ... server-address6 ] |
1 つまたは複数のネーム サーバのアドレスを指定して、名前およびアドレスの解決に使用します。 最大 6 つのネーム サーバを指定できます。各サーバ アドレスはスペースで区切ります。最初に指定されたサーバが、プライマリ サーバです。スイッチは、最初にプライマリ サーバに DNS クエリーを送信します。そのクエリーが失敗した場合は、バックアップ サーバにクエリーが送信されます。 |
ステップ 4 |
ip domain-lookup |
(任意)スイッチ上で、DNS ベースのホスト名のアドレスへの変換をイネーブルにします。この機能は、デフォルトでイネーブルに設定されています。 ユーザのネットワークデバイスが、名前の割り当てを制御できないネットワーク内のデバイスと接続する必要がある場合、グローバルなインターネットのネーミング方式(DNS)を使用して、ユーザのデバイスを一意に識別するデバイス名を動的に割り当てることができます。 |
ステップ 5 |
end |
特権 EXEC モードに戻ります。 |
ステップ 6 |
show running-config |
設定を確認します。 |
ステップ 7 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
スイッチの IP アドレスをそのホスト名として使用する場合は、IP アドレスが使用され、DNS クエリーは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとで DNS クエリーが行われ、名前を IP アドレスにマッピングします。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、Cisco IOS ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずに IP アドレスを検索します。
ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネームサーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチ上の DNS をディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。
DNS の設定の表示
DNS 設定情報を表示するには、 show running-config 特権 EXEC コマンドを使用します。
MAC アドレス テーブルの管理
MAC(メディア アクセス制御)アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。このアドレス テーブルに登録されたすべての MAC アドレスは、1 つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
• ダイナミック アドレス:スイッチが学習し、使用されなくなった時点で期限切れとなる送信元 MAC アドレス
• スタティック アドレス:手動で入力され、期限切れにならず、スイッチのリセット時にも消去されないユニキャストまたはマルチキャスト アドレス
アドレス テーブルは、宛先 MAC アドレス、対応する VLAN(仮想 LAN)ID、アドレスに対応付けられたポート番号、およびタイプ(スタティックまたはダイナミック)のリストです。
(注) ここで使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。
ここでは、次の設定情報について説明します。
• 「アドレス テーブルの作成」
• 「MAC アドレスおよび VLAN」
• 「MAC アドレス テーブルのデフォルト設定」
• 「アドレス エージング タイムの変更」
• 「ダイナミック アドレス エントリの削除」
• 「MAC アドレス通知トラップの設定」
• 「スタティック アドレス エントリの追加および削除」
• 「ユニキャスト MAC アドレス フィルタリングの設定」
• 「VLAN での MAC アドレス ラーニングのディセーブル化」
• 「アドレス テーブル エントリの表示」
アドレス テーブルの作成
すべてのポートでサポートされる複数の MAC アドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、あるいはその他のネットワークデバイスに接続できます。各ポートで受信するパケットの送信元アドレスを取得し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチは動的なアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。
エージング間隔はグローバルに設定されます。ただし、スイッチは VLAN ごとにアドレス テーブルを維持し、STP(スパニング ツリー プロトコル)によって VLAN 単位で有効期間を短縮できます。
スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MAC アドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応付けられたポート(複数可)に限定してパケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストア アンド フォワード方式を使用します。このため、完全なパケットをいったん保存してエラーがないか検査してから伝送します。
MAC アドレスおよび VLAN
アドレスはすべて、VLAN と対応付けられます。1 つのアドレスを複数の VLAN に対応付け、それぞれで異なる宛先を設定できます。たとえば、ユニキャスト アドレスを VLAN 1 のポート 1 および VLAN 5 のポート 9、10、1 に転送するといったことが可能です。
VLAN ごとに、独自の論理アドレス テーブルが維持されます。ある VLAN で認識されているアドレスが別の VLAN で認識されるには、別の VLAN 内のポートによって学習されるか、または別の VLAN 内のポートにスタティックに対応付けられる必要があります。
プライベート VLAN が設定されている場合、アドレス学習は次のように MAC アドレスのタイプに左右されます。
• プライベート LAN 上にある 1 つの VLAN で学習されたダイナミック MAC アドレスは、関連 VLAN に複製されます。たとえば、プライベート VLAN のセカンダリ VLAN で学習された MAC アドレスはプライマリ VLAN に複製されます。
• プライマリまたはセカンダリ VLAN に設定されたスタティック MAC アドレスは関連 VLAN には複製されません。プライベート VLAN のプライマリまたはセカンダリ VLAN 内にスタティック MAC アドレスを設定した場合、同じスタティック MAC アドレスをすべての関連 VLAN に設定する必要があります。
プライベート VLAN の詳細については、 第 16 章「プライベート VLAN の設定」 を参照してください。
MAC アドレス テーブルのデフォルト設定
表 7-3 に、MAC アドレス テーブルのデフォルト設定を示します。
表 7-3 MAC アドレス テーブルのデフォルト設定
|
|
エージング タイム |
300 秒 |
ダイナミック アドレス |
自動学習 |
スタティック アドレス |
未設定 |
アドレス エージング タイムの変更
ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元 MAC アドレスです。すべての VLAN または指定された VLAN に対して、エージング タイムの設定を変更できます。
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じ VLAN 内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響を及ぼす可能性があります。また、エージング タイムを長く設定しすぎると、アドレス テーブルが未使用のアドレスでいっぱいになり、これによって新しいアドレスを学習できなくなります。この結果フラッディングとなり、スイッチのパフォーマンスに悪影響を及ぼす可能性があります。
ダイナミック アドレス テーブルのエージング タイムを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac address-table aging-time [ 0 | 10-1000000 ] [ vlan vlan-id ] |
ダイナミック エントリが使用または更新されたあと、MAC アドレス テーブル内に保持される時間を設定します。 指定できる範囲は 10 ~ 1000000 秒です。デフォルト値は 300 です。0 を入力して期限切れをディセーブルにすることもできます。スタティック アドレスは、期限切れになることもテーブルから削除されることもありません。 vlan-id の有効範囲は、1 ~ 4094 です。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show mac address-table aging-time |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
デフォルト値に戻すには、 no mac address-table aging-time グローバル コンフィギュレーション コマンドを使用します。
ダイナミック アドレス エントリの削除
ダイナミック エントリをすべて削除するには、特権 EXEC モードで clear mac address-table dynamic コマンドを使用します。特定の MAC アドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポート チャネル上のすべてのアドレス( clear mac address-table dynamic interface interface-id )、または指定された VLAN 上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。
ダイナミック エントリが削除されたことを確認するには、 show mac address-table dynamic 特権 EXEC コマンドを使用します。
MAC アドレス通知トラップの設定
MAC アドレス通知は、スイッチに MAC アドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチが MAC アドレスを学習または削除すると常に、SNMP(簡易ネットワーク管理プロトコル)通知を生成して Network Management System(NMS; ネットワーク管理システム)に送信させることができます。ネットワークから多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC 通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとの MAC アドレス アクティビティを保存します。MAC アドレス通知は、動的でセキュアな MAC アドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。
NMS ホストに MAC アドレス通知トラップを送信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
snmp-server host host-addr { traps | informs } { version { 1 | 2c | 3 }} community-string notification-type |
トラップ メッセージの受信側を指定します。 • host-addr には、NMS の名前または IP アドレスを指定します。 • SNMP トラップをホストに送信するには、 traps (デフォルト)を指定します。SNMP 情報をホストに送信するには、 informs を指定します。 • サポートする SNMP バージョンを指定します。informs にはバージョン 1(デフォルト)を使用できません。 • community-string には、通知動作時に送信するストリングを指定します。 snmp-server host コマンドを使用してこのストリングを設定できますが、このストリングを定義するには、 snmp-server community コマンドを使用し、次に snmp-server host コマンドを使用することを推奨します。 • notification-type には、 mac-notification キーワードを使用します。 |
ステップ 3 |
snmp-server enable traps mac-notification |
スイッチが MAC アドレス トラップを NMS に送信できるようにします。 |
ステップ 4 |
mac address-table notification |
MAC アドレス通知機能をイネーブルにします。 |
ステップ 5 |
mac address-table notification [ interval value ] | [ history-size value ] |
トラップ インターバル タイムと履歴テーブルのサイズを入力します。 • (任意) interval value には、NMS に対して生成される各トラップ セット間の通知トラップ インターバルを秒単位で指定します。指定できる範囲は 0 ~ 2147483647 秒です。デフォルトは 1 秒です。 • (任意) history-size value には、MAC 通知履歴テーブルの最大エントリ数を指定します。指定できる範囲は 0 ~ 500 です。デフォルトは 1 です。 |
ステップ 6 |
interface interface-id |
インターフェイス コンフィギュレーション モードを開始し、SNMP MAC アドレス通知トラップをイネーブルにするレイヤ 2 インターフェイスを指定します。 |
ステップ 7 |
snmp trap mac-notification { added | removed } |
MAC アドレス通知トラップをイネーブルにします。 • added を指定すると、このインターフェイスに MAC アドレスが追加された場合には常に、MAC アドレス通知トラップをイネーブルにします。 • removed を指定すると、このインターフェイスから MAC アドレスが削除された場合には常に、MAC アドレス通知トラップをイネーブルにします。 |
ステップ 8 |
end |
特権 EXEC モードに戻ります。 |
ステップ 9 |
show mac address-table notification interface show running-config |
設定を確認します。 |
ステップ 10 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
スイッチによる MAC アドレス通知トラップの送信をディセーブルにするには、 no snmp-server enable traps mac-notification グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上で MAC アドレス通知トラップをディセーブルにするには、 no snmp trap mac-notification { added | removed } インターフェイス コンフィギュレーション コマンドを使用します。MAC アドレス通知機能をディセーブルにするには、 no mac address-table notification グローバル コンフィギュレーション コマンドを使用します。
次に、NMS として 172.20.10.10 を指定し、スイッチによる NMS への MAC アドレス通知トラップの送信をイネーブルにし、MAC アドレス通知機能をイネーブルにし、インターバルを 60 秒、履歴サイズを 100 エントリに設定し、特定のポートで MAC アドレスが追加された場合のトラップをイネーブルにする例を示します。
Switch(config)# snmp-server host 172.20.10.10 traps private
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac address-table notification
Switch(config)# mac address-table notification interval 60
Switch(config)# mac address-table notification history-size 100
Switch(config)# interface gigabitethernet0/2
Switch(config-if)# snmp trap mac-notification added
これまでのコマンドを確認するには、 show mac address-table notification interface および show mac address-table notification 特権 EXEC コマンドを入力します。
スタティック アドレス エントリの追加および削除
スタティック アドレスには、次の特性があります。
• アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。
• ユニキャストまたはマルチキャスト アドレスとして設定できます。
• 期限切れになることはなく、スイッチが再起動しても維持されます。
スタティック アドレスを追加および削除でき、また、スタティック アドレスの転送動作を定義できます。転送動作は、パケットを受信したポートが、別のポートにパケットを転送する動作を決定します。ポートは必ず少なくとも 1 つの VLAN と対応しているので、スイッチは指定されたポートから、アドレスに対応する VLAN ID を取得します。送信元ポートごとに、宛先ポートのリストを別々に指定できます。
特定のアドレスがスタティックとして入力されていない VLAN に、そのスタティック アドレスを持つパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
アドレス テーブルにスタティック アドレスを追加するには、宛先 MAC ユニキャスト アドレスと、その送信元 VLAN を指定します。この宛先アドレスで受信したパケットは、 interface-id オプションで指定されたインターフェイスに転送されます。
プライベート VLAN のプライマリまたはセカンダリ VLAN 内にスタティック MAC アドレスを設定した場合、同じスタティック MAC アドレスをすべての関連 VLAN に設定する必要があります。プライベート VLAN のプライマリまたはセカンダリ VLAN に設定されたスタティック MAC アドレスは関連 VLAN には複製されません。プライベート VLAN の詳細については、 第 16 章「プライベート VLAN の設定」 を参照してください。
スタティック アドレスを追加するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac address-table static mac-addr vlan vlan-id interface interface-id |
MAC アドレス テーブルにスタティック アドレスを追加します。 • mac-addr には、アドレス テーブルに追加する宛先 MAC ユニキャスト アドレスを指定します。この宛先アドレスを持つパケットが指定した VLAN に着信すると、指定したインターフェイスに転送されます。 • vlan-id には、指定した MAC アドレスを持つパケットを受信する VLAN を指定します。有効な VLAN ID は 1 ~ 4094 です。 • interface-id には、受信したパケットの転送先インターフェイスを指定します。有効なインターフェイスには、物理ポートまたはポートチャネルがあります。スタティック マルチキャスト アドレスの場合、複数のインターフェイス ID を入力できます。スタティック ユニキャスト アドレスの場合、インターフェイスは同時に 1 つしか入力できません。ただし、同じ MAC アドレスおよび VLAN ID を指定すると、コマンドを複数回入力できます。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show mac address-table static |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addr vlan vlan-id [ interface interface-id ] グローバル コンフィギュレーション コマンドを使用します。
次に、MAC アドレス テーブルにスタティック アドレス c2f3.220a.12f4 を追加する例を示します。VLAN 4 でこの MAC アドレスを宛先アドレスとしてパケットを受信すると、パケットは指定されたポートに転送されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet0/1
ユニキャスト MAC アドレス フィルタリングの設定
ユニキャスト MAC アドレス フィルタリングがイネーブルの場合、スイッチは、特定の送信元 MAC アドレスまたは宛先 MAC アドレスを持つパケットを廃棄します。この機能はデフォルトではディセーブルで、ユニキャスト スタティック アドレスだけをサポートしています。
この機能を使用する場合は、次の注意事項に従ってください。
• マルチキャスト MAC アドレス、ブロードキャスト MAC アドレス、およびルータ MAC アドレスはサポートされていません。 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力するときに、これらのアドレスのいずれかを指定すると、次のいずれかのメッセージが表示されます。
% Only unicast addresses can be configured to be dropped
% CPU destined address cannot be configured as drop address
• CPU に転送されるパケットもサポートされていません。
• ユニキャスト MAC アドレスをスタティック アドレスとして追加し、ユニキャスト MAC アドレス フィルタリングを設定すると、最後に入力したコマンドに応じて、スイッチは MAC アドレスをスタティック アドレスとして追加するか、MAC アドレスを持つパケットを廃棄します。2 番目に入力したコマンドは、1 番目のコマンドより優先されます。
たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドに続けて、 mac address-table static mac-addr vlan vlan-id drop コマンドを入力すると、スイッチは、送信元または宛先として MAC アドレスを持つパケットを廃棄します。
mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドに続けて、 mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力すると、スイッチは、スタティック アドレスとして MAC アドレスを追加します。
ユニキャスト MAC アドレス フィルタリングをイネーブルにして、スイッチが特定のアドレスを持つパケットを廃棄するように設定するには、送信元または宛先ユニキャスト MAC アドレスおよび受信側の VLAN を指定します。
スイッチが送信元または宛先ユニキャスト スタティック アドレスを廃棄するよう設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac address-table static mac-addr vlan vlan-id drop |
ユニキャスト MAC アドレス フィルタリングをイネーブルにし、スイッチが指定した送信元または宛先ユニキャスト スタティック アドレスを持つパケットを廃棄するように設定します。 • mac-addr には、送信元または宛先ユニキャスト MAC アドレスを指定します。この MAC アドレスを持つパケットは廃棄されます。 • vlan-id には、指定した MAC アドレスを持つパケットを受信する VLAN を指定します。有効な VLAN ID は 1 ~ 4094 です。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show mac address-table static |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユニキャスト MAC アドレス フィルタリングをディセーブルにするには、no mac address -table static mac-addr vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
次にユニキャスト MAC アドレス フィルタリングをイネーブルにし、送信元または宛先アドレスが c2f3.220a.12f4 であるパケットをスイッチが廃棄するように設定する例を示します。この MAC アドレスを送信元または宛先アドレスとしたパケットを VLAN 4 で受信すると、パケットは廃棄されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 drop
VLAN での MAC アドレス ラーニングのディセーブル化
デフォルトでは、MAC アドレス ラーニングがスイッチのすべての VLAN でイネーブルです。VLAN 上の MAC アドレス ラーニングを制御して、どの VLAN(つまり、ポート)で MAC アドレス ラーニングが可能であるかを指定することにより、使用可能な MAC アドレス テーブル スペースを管理できます。MAC アドレス ラーニングをディセーブルにする前に必ず、ネットワーク トポロジとスイッチ システム設定をよく理解しておいてください。VLAN で MAC アドレス ラーニングをディセーブルにすると、ネットワーク上でフラッディングを引き起こす可能性があります。
VLAN で MAC アドレス ラーニングをディセーブルにするときは、次の注意事項に従ってください。
• Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)が設定された VLAN で MAC アドレス ラーニングをディセーブルにするときは、注意が必要です。スイッチはレイヤ 2 ドメインのすべての IP パケットをフラッドします。
• 単一の VLAN ID( no mac address-table learning vlan 223 など)や一連の VLAN ID( no mac address-table learning vlan 1-20, 15 )での MAC アドレス ラーニングは、ディセーブル化できます
• MAC アドレス ラーニングは、2 つのポートを備えた VLAN でだけディセーブルにすることを推奨します。3 つ以上のポートを備えた VLAN で MAC アドレス ラーニングをディセーブルにすると、スイッチが受信するすべてのパケットが VLAN ドメインでフラッディングされます。
• スイッチにより内部的に使用される VLAN では、MAC アドレス ラーニングをディセーブルにできません。入力した VLAN ID が内部 VLAN である場合は、スイッチがエラー メッセージを生成し、そのコマンドを拒否します。使用中の内部 VLAN を表示するには、 show vlan internal usage 特権 EXEC コマンドを入力します。
• プライベート VLAN、プライマリ VLAN として設定された VLAN で MAC アドレス ラーニングをディセーブルにしても、MAC アドレスは、プライマリ VLAN に属しており、プライマリ VLAN に複製されたセカンダリ VLAN で学習されます。プライベート VLAN のプライマリ VLAN ではないセカンダリ VLAN で MAC アドレス ラーニングをディセーブルにすると、MAC アドレス ラーニングは、プライマリ VLAN 上で発生する VLAN で実行され、セカンダリ VLAN に複製されます。
• RSPAN VLAN で MAC アドレス ラーニングをディセーブルにできません。その設定は許可されていません。
• セキュア ポートを含む VLAN での MAC アドレス ラーニングをディセーブルにしても、そのポートでは MAC アドレス ラーニングはディセーブルになりません。ポート セキュリティをディセーブルにした場合、設定済みの MAC アドレス ラーニング ステートはイネーブルです。
VLAN で MAC アドレス ラーニングをディセーブルにするには、特権 EXEC モードで次の手順を実行します。
|
|
|
ステップ 1 |
configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
no mac address-table learning vlan vlan-id |
特定の VLAN(1 つまたは複数)で MAC アドレス ラーニングをディセーブルにします。ハイフンまたはカンマで区切られた単一または一連の VLAN ID を指定できます。有効な VLAN ID は 1 ~ 4094 です。 |
ステップ 3 |
end |
特権 EXEC モードに戻ります。 |
ステップ 4 |
show mac address-table learning [ vlan vlan-id ] |
設定を確認します。 |
ステップ 5 |
copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
VLAN で MAC アドレス ラーニングを再度イネーブルにするには、 default mac address -table learning vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。また、 mac address -table learning vlan vlan-id グローバル コンフィギュレーション コマンドを使用して、VLAN で MAC アドレス ラーニングを再度イネーブルにすることもできます。前者の( default )コマンドを使用すると、デフォルトの状態に戻ることになるため、設定は show running-config コマンドによる出力には含まれません。後者のコマンドを使用すると、設定が show running-config 特権 EXEC コマンドの表示に含まれます。
次に、VLAN 200 で MAC アドレス ラーニングをディセーブルにする方法の例を示します。
Switch(config)# no mac address-table learning vlan 200
show mac-address-table learning [ vlan vlan-id ] 特権 EXEC コマンドを入力すると、すべての VLAN または特定の VLAN の MAC アドレス ラーニングのステータスを表示することができます。
アドレス テーブル エントリの表示
表 7-4 に示す 1 つまたは複数の特権 EXEC コマンドを使用すると、MAC アドレス テーブルを表示できます。
表 7-4 MAC アドレス テーブル表示用のコマンド
|
|
show ip igmp snooping groups |
すべての VLAN または指定された VLAN に対するレイヤ 2 マルチキャスト エントリを表示します。 |
show mac address-table address |
指定された MAC アドレスに対する MAC アドレス テーブル情報を表示します。 |
show mac address-table aging-time |
すべての VLAN または指定された VLAN のエージング タイムを表示します。 |
show mac address-table count |
すべての VLAN または指定された VLAN に存在するアドレスの数を表示します。 |
show mac address-table dynamic |
ダイナミック MAC アドレス テーブル エントリだけを表示します。 |
show mac address-table interface |
指定されたインターフェイスに対する MAC アドレス テーブル情報を表示します。 |
show mac address-table learning |
すべての VLAN または特定の VLAN での MAC アドレス ラーニングのステータスを表示します。 |
show mac address-table notification |
MAC 通知パラメータおよび履歴テーブルを表示します。 |
show mac address-table static |
スタティック MAC アドレス テーブル エントリだけを表示します。 |
show mac address-table vlan |
指定された VLAN に対する MAC アドレス テーブル情報を表示します。 |