Catalyst 3750 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(19)EA1

システム クロックの概要

時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼働し、日時を常時監視します。

システム クロックは、次のソースにより設定できます。

• NTP

• 手動設定

システム クロックは、次のサービスに時刻を提供します。

• ユーザの show コマンド

• ログおよびデバッグ メッセージ

システム クロックは、Universal Time Coordinated（UTC;協定世界時）（別名GMT[グリニッジ標準時]）に基づいてシステム内部の時刻を常時監視します。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。

システム クロックは、時刻が 信頼できる かどうか（つまり、信頼できるとみなされるタイム ソースによって時刻が設定されているか）を常時監視します。信頼できない場合は、時刻は表示目的でのみ利用され、再配信されません。設定の詳細については、「手動での日時の設定」を参照してください。

NTPの概要

NTPは、ネットワーク上のデバイス間の時刻の同期化を目的に設計されています。NTPはUDPで稼働し、UDPはIP上で稼働します。NTPはRFC 1305に規定されています。

NTPネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。そのあと、NTPはネットワークにこの時刻を配信します。NTPはきわめて効率的で、1分間に1パケットを使用するだけで、2つのデバイスを1ミリ秒以内に同期化することができます。

NTPは、 ストラタム（階層） という概念を使用して、信頼できるタイム ソースとデバイスが離れているNTPホップ数を記述します。ストラタム1タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム2タイム サーバは、NTPを使用してストラタム1タイム サーバから時刻を取得します（以降のストラタムも同様です）。NTPが稼働するデバイスは、タイム ソースとして、NTPを使用して通信するストラタム番号が最少のデバイスを自動的に選択します。この方法によって、NTP時刻配信の自動編成型ツリーが効率的に構築されます。

NTPでは、同期化されていないデバイスと同期化しないことによって、時刻が正確でないデバイスとの同期化を防ぎます。また、NTPでは、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻が他のデバイスと大幅に異なるデバイスとは同期化しません。

NTPが稼働するデバイス間の通信（ アソシエーション ）は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべき全デバイスのIPアドレスが与えられます。アソシエーションのペアとなるデバイス間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは一方向に限られます。

デバイス上で維持される時刻は、重要なリソースです。NTPのセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防いでください。アクセス リスト ベースの制約方式と、暗号化された認証メカニズムの2つのメカニズムが利用できます。

シスコのNTPではストラタム1サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。IPインターネットで利用できるパブリックNTPサーバからネットワークの時刻サービスを受けることを推奨します。

図 7-1に、NTPを使用した一般的なネットワーク例を示します。スイッチAはNTPマスターです。スイッチB、スイッチC、スイッチDは、スイッチAに関連付けされたサーバにおいてNTPサーバ モードで設定されています。スイッチEはアップストリームおよびダウンストリーム スイッチ（スイッチBおよびスイッチF）に対するNTPピアとして設定されます。

図 7-1 一般的なNTPネットワーク構成

ネットワークがインターネットから切り離されている場合、シスコのNTPによって、実際には、他の方法で時刻が決定されているにもかかわらず、デバイスがNTPを使用して同期しているように動作を設定できます。他のデバイスは、NTPによりこのデバイスと同期化されます。

複数のタイム ソースがある場合は、NTPは常により信頼できるとみなされます。NTPの時刻は、他の方法による時刻に優先します。

いくつかのメーカーでは自社のホスト システムにNTPソフトウェアを組み入れており、UNIXシステム用のバージョンやその派生ソフトウェアも一般に入手できます。このソフトウェアによって、ホスト システムも時間が同期化されます。

NTPの設定

スイッチはハードウェアサポート クロックを備えておらず、外部NTPソースが利用できないときに、ピアが自身を同期化するためのNTPマスター クロックとして機能できません。このスイッチは、カレンダーに対するハードウェア サポートも備えていません。そのため、ntp update-calendarおよび ntp master グローバル コンフィギュレーション コマンドが利用できません。

ここでは、次の設定情報について説明します。

• 「NTPのデフォルト設定」

• 「NTP認証の設定」

• 「NTPアソシエーションの設定」

• 「NTPブロードキャスト サービスの設定」

• 「NTPアクセス制限の設定」

• 「NTPパケット用の送信元IPアドレスの設定」

• 「NTP設定の表示」

NTPのデフォルト設定

表 7-1 に、NTPのデフォルト設定を示します。

NTPは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTPパケットを受信します。

NTP認証の設定

この手順は、NTPサーバの管理者と調整する必要があります。この手順で設定する情報は、時刻をNTPサーバと同期化するためにスイッチが使用するサーバに対応している必要があります。

セキュリティ目的で他のデバイスとのアソシエーション（正確な時間の維持を行うNTP稼働デバイス間の通信）を認証するには、イネーブルEXECモードで次の手順を実行します。

NTP認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。デバイスIDの認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。

NTPパケットに認証鍵42を設定しているデバイスとだけ同期するようにスイッチを設定する例を以下に示します。

NTPアソシエーションの設定

NTPアソシエーションは、ピア アソシエーション（スイッチを他のデバイスに同期化するか、他のデバイスをスイッチに同期化させるかのどちらかが可能）に設定することも、サーバ アソシエーション（スイッチを他のデバイスに同期化させるのみで、その逆はできない）に設定することもできます。

別のデバイスとのNTPアソシエーションを形成するには、イネーブルEXECモードで次の手順を実行します。

アソシエーションは、一端のデバイスにしか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。デフォルトのNTPバージョン（バージョン3）を使用していてNTP同期化が発生しない場合は、NTPのバージョン2を使用してみてください。インターネット上の多くのNTPサーバは、バージョン2で稼働しています。

ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。

NTPバージョン2を使用してIPアドレス172.16.22.44のピアのクロックに、システム クロックを同期化するようにスイッチを設定する方法を、以下の例に示します。

NTPブロードキャスト サービスの設定

NTPが稼働するデバイス間の通信（ アソシエーション ）は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスのIPアドレスが与えられます。アソシエーションのペアとなるデバイス間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは一方向に限られます。

ルータのようにネットワーク上で時刻情報をブロードキャストするNTPブロードキャスト サーバがある場合、スイッチはインターフェイスごとにNTPブロードキャスト パケットを送受信できます。スイッチはNTPブロードキャスト パケットをピアへ送信できるので、ピアはそれに同期化できます。スイッチはNTPブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTPブロードキャスト パケットの送信と受信の両方の手順について説明します。

NTPブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するよう、スイッチを設定するには、イネーブルEXECモードで次の手順を実行します。

インターフェイスによるNTPブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートがNTPバージョン2パケットを送信するように設定する例を示します。

接続したピアからNTPブロードキャスト パケットを受信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。

インターフェイスによるNTPブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。

次に、ポートがNTPブロードキャスト パケットを受信するように設定する例を示します。

NTPアクセス制限の設定

以降で説明するように、2つのレベルでNTPアクセスを制御できます。

• 「アクセス グループの作成と基本IPアクセス リストの割り当て」

• 「特定のインターフェイスでのNTPサービスのディセーブル化」

アクセス グループの作成と基本IPアクセス リストの割り当て

アクセス リストを使用してNTPサービスへのアクセスを制御するには、イネーブルEXECモードで次の手順を実行します。

	コマンド	説明
ステップ 1	configure terminal	グローバル コンフィギュレーション モードを開始します。
ステップ 2	ntp access-group { query-only | serve-onl y | serve | peer } access-list-number	アクセス グループを作成し、基本IPアクセス リストを割り当てます。 キーワードの意味は次のとおりです。 • query-only ― NTP制御クエリに限り許可します。 • serve-only ― 時刻要求に限り許可します。 • serve ― 時刻要求とNTP制御クエリは許可しますが、スイッチがリモート デバイスと同期化することは許可しません。 • peer ― 時刻要求とNTP制御クエリを許可し、スイッチがリモート デバイスと同期化することを許可します。 access-list-number には、1～99の範囲で標準のIPアクセス リスト番号を入力します。
ステップ 3	access-list access-list-number permit source [ source-wildcard ]	アクセス リストを作成します。 • access-list-number には、ステップ2で指定した番号を入力します。 • permit キーワードを入力すると、条件が一致した場合にアクセスを許可します。 • source には、スイッチへのアクセスが許可されたデバイスのIPアドレスを入力します。 • （任意） source-wildcard には、送信元に適用するワイルドカード ビットを入力します。 （注） アクセス リストを作成するときは、アクセス リストの末尾に暗黙的な拒否ステートメントがデフォルトで存在し、それ以前のステートメントで一致が見つからなかったすべてのパケットに適用されることに注意してください。
ステップ 4	end	イネーブルEXECモードに戻ります。
ステップ 5	show running-config	設定を確認します。
ステップ 6	copy running-config startup-config	（任意）コンフィギュレーション ファイルに設定を保存します。

アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。

1. peer ― 時刻要求とNTP制御クエリを許可し、さらに、スイッチが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可します。

2. serve ― 時刻要求とNTP制御クエリを許可しますが、スイッチが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可しません。

3. serve-only ― アクセス リストの基準を満たすアドレスを持つデバイスからの時刻要求に限り許可します。

4. query-only ― アクセス リストの基準を満たすアドレスを持つデバイスからのNTP制御クエリに限り許可します。

送信元IPアドレスがアクセス リストの複数のアクセス タイプに一致する場合は、最初のタイプが許可されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべてのデバイスに許可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り許可されます。

スイッチNTPサービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer }グローバル コンフィギュレーション コマンドを使用します。

次に、スイッチがアクセス リスト99からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト42に対してはアクセスを制限し、時刻要求に限り許可します。

特定のインターフェイスでのNTPサービスのディセーブル化

NTPサービスは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。

インターフェイス上でNTPパケットの受信をディセーブルにするには、イネーブルEXECモードで次の手順を実行します。

インターフェイス上でNTPパケットの受信を再度イネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。

NTPパケット用の送信元IPアドレスの設定

スイッチがNTPパケットを送信すると、送信元IPアドレスは、通常NTPパケットが送信されたインターフェイスのアドレスに設定されます。すべてのNTPパケットに特定の送信元IPアドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。

送信元IPアドレスの取得先となる特定のインターフェイスを設定するには、イネーブルEXECモードで次の手順を実行します。

指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、「NTPアソシエーションの設定」に説明したように、 ntp peer または ntp server グローバル コンフィギュレーション コマンド内で source キーワードを使用します。

NTP設定の表示

次の2つのイネーブルEXECコマンドを使用してNTP情報を表示できます。

• show ntp associations [ detail ]

• show ntp status

この出力に表示されるフィールドの詳細については、『 Cisco IOS Configuration Fundamentals Command Reference 』Release 12.1を参照してください。

手動での日時の設定

他のタイム ソースが利用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。

（注） システム クロックを手動で設定し、スタック マスターに障害が生じて別のスタック メンバーがスタック マスターの役割を再開した場合は、この設定をリセットする必要があります。

ここでは、次の設定情報について説明します。

• 「システム クロックの設定」

• 「日時設定の表示」

• 「タイム ゾーンの設定」

• 「夏時間の設定」

システム クロックの設定

ネットワーク上に、NTPサーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。

システム クロックを設定するには、イネーブルEXECモードで次の手順を実行します。

次に、システム クロックを手動で2001年の7月23日午後1時32分に設定する例を示します。

日時設定の表示

日時の設定を表示するには、 show clock [ detail ]イネーブルEXECコマンドを使用します。

システムク ロックは、信頼できる（正確であると確信できる）かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソース（NTPなど）によって設定されている場合は、フラグを設定します。時刻が信頼できないものである場合は、表示目的でのみ使用されます。クロックが信頼でき、 authoritative フラグが設定された状態でないと、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。

show clock の表示の前にある記号は、次の意味があります。

• * ― 時刻は信頼できません。

• （空白） ― 時刻は信頼できます。

• . ― 時刻は信頼できますが、NTPは同期していません。

タイム ゾーンの設定

手動でタイム ゾーンを設定するには、イネーブルEXECモードで次の手順を実行します。

clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンとUTCとの時差が分単位である場合に利用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン（AST［大西洋標準時］）はUTC-3.5です。この場合、3は3時間、.5は50パーセントを意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。

時刻をUTCに設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。

夏時間の設定

毎年特定の曜日に夏時間が開始および終了する地域で夏時間を設定するには、イネーブルEXECモードで次の手順を実行します。

clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。

次に、夏時間が4月の第一日曜の2時に始まり、10月の最終日曜の2時に終わるように指定する例を示します。

ユーザの居住地域の夏時間が定期的なパターンに従わない場合（次の夏時間のイベントの正確な日時を設定する）は、イネーブルEXECモードで次の手順を実行します。

clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。

夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。

次に、夏時間が2000年10月12日の2時に始まり、2001年4月26日の2時に終わるよう設定する例を示します。

デフォルトのシステム名およびプロンプトの設定

デフォルトでは、システム名およびプロンプトは switch です。

システム名の設定

手動でシステム名を設定するには、イネーブルEXECモードで次の手順を実行します。

システム名を設定すると、システム プロンプトとしても使用されます。 prompt グローバル コンフィギュレーション コマンドを使用すると、プロンプトの設定を上書きできます。

デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。

システム プロンプトの設定

手動でシステム プロンプトを設定するには、イネーブルEXECモードで次の手順を実行します。

デフォルトのプロンプトに戻すには、 no prompt [ string ]グローバル コンフィギュレーション コマンドを使用します。

DNSの概要

Domain Name System（DNS;ドメイン ネーム システム）プロトコルは、分散型データベースDNSを制御し、これによりホスト名をIPアドレスに対応付けることができます。スイッチ上にDNSを設定すると、 ping 、 telnet 、 connect などのすべてのIPコマンドや、関連するTelnetサポート操作時に、IPアドレスの代わりにホスト名を使用できます。

IPによって定義される階層型の名前指定は、デバイスを場所またはドメインで識別することができます。ドメイン名の区切りとしては、ピリオド（.）を使用します。たとえばシスコシステムズは、IPで com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com です。このドメイン内の特定のデバイス、たとえばFile Transfer Protocol（FTP）システムは、 ftp.cisco.com で表されます。

IPでドメイン名を追跡するためにドメイン ネーム サーバという概念が定義されています。DNSは、名前とIPアドレスのマッピングをキャッシュ（またはデータベース）に保管します。ドメイン名をIPアドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNSをイネーブルにします。

ここでは、次の設定情報について説明します。

• 「DNSのデフォルト設定」

• 「DNSの設定」

• 「DNS設定の表示」

DNSのデフォルト設定

表 7-2 に、DNSのデフォルト設定を示します。

DNSの設定

DNSを使用するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。

スイッチのIPアドレスをそのホスト名として使用する場合は、IPアドレスが使用され、DNSクエリは発生しません。ピリオド（.）なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとでDNSクエリが行われ、名前をIPアドレスにマッピングします。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド（.）がある場合は、Cisco IOSソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずにIPアドレスを検索します。

ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネーム サーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチ上のDNSをディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。

DNS設定の表示

DNS設定情報を表示するには、 show running-config イネーブルEXECコマンドを使用します。

バナーのデフォルト設定

MoTDバナーおよびログイン バナーは設定されません。

MoTDログイン バナーの設定

あるユーザがスイッチにログインしたときに、画面に表示される1行または複数行のメッセージ バナーを作成できます。

MoTDログイン バナーを設定するには、イネーブルEXECモードで次の手順を実行します。

MoTDバナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。

次に、ポンド記号（#）を開始および終了の区切り文字として使用し、スイッチのMoTDバナーを設定する例を示します。

次に、前の設定により表示されたバナーを示します。

ログイン バナーの設定

すべての接続端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。

ログイン バナーを設定するには、イネーブルEXECモードで次の手順を実行します。

ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。

次に、ドル記号（$）を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する例を示します。

アドレス テーブルの作成

すべてのポートでサポートされる複数のMACアドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、その他のネットワーク デバイスに接続できます。各ポートで受信するパケットの送信元アドレスを学習し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチは動的なアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。

有効期間は、スタンドアロン スイッチまたはスイッチ スタックにグローバルに設定されます。ただし、スイッチはVLANごとにアドレス テーブルを維持し、STPによってVLANごとの有効期間を短縮することができます。

スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MACアドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応付けられたポートにのみ、パケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストアアンドフォワード方式を使用します。このため、完全なパケットをいったん保管してエラーがないか検査してから伝送します。

MACアドレスおよびVLAN

アドレスはすべて、VLANと対応付けられます。1つのアドレスを複数のVLANに対応付け、それぞれで異なる宛先を設定することができます。たとえば、ユニキャスト アドレスは、VLAN 1内のポート1と、VLAN 5内のポート9、ポート10、ポート1へ伝送できます。

（注） マルチポート スタティック アドレスはサポートされていません。

VLANごとに、独自の論理アドレス テーブルが維持されます。あるVLANで認識されているアドレスが他のVLANで認識されるには、アドレスが他のVLAN内のポートによって学習されるか、またはポートにスタティックに対応付けられる必要があります。

MACアドレスおよびスイッチ スタック

すべてのスタック メンバーのMACアドレス テーブルが同期されています。常に、各スタック メンバーは、各VLANに対応するアドレス テーブルの同一のコピーを持っています。アドレスが期限切れになると、そのアドレスはすべてのスタック メンバーのアドレス テーブルから削除されます。スイッチがスイッチ スタックに参加すると、そのスイッチは他のスタック メンバーが学習した各VLANに対応するアドレスを受け取ります。スタック メンバーがスイッチ スタックから削除されると、残りのスタック メンバーは、以前のスタック メンバーが学習したアドレスをすべて期限切れにするか削除します。

MACアドレス テーブルのデフォルト設定

表 7-3 に、MACアドレス テーブルのデフォルト設定を示します。

アドレス エージング タイムの変更

ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元MACアドレスです。すべてのVLANまたは指定されたVLANに対して、エージング タイムの設定を変更できます。

エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じVLAN内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響が出る可能性があります。また、エージング タイムを長く設定しすぎると、アドレス テーブルが未使用のアドレスでいっぱいになり、これによって新しいアドレスを学習できなくなります。この結果フラッディングとなり、スイッチのパフォーマンスに悪影響を与える可能性があります。

ダイナミック アドレス テーブルのエージング タイムを設定するには、イネーブルEXECモードで次の手順を実行します。

デフォルト値に戻すには、 no mac-address-table aging-time グローバル コンフィギュレーション コマンドを使用します。

ダイナミック アドレス エントリの削除

ダイナミック エントリをすべて削除するには、イネーブルEXECモードで clear mac address-table dynamic コマンドを使用します。特定のMACアドレス（ clear mac address-table dynamic address mac-address ）、指定された物理ポートまたはポート チャネル上のすべてのアドレス（ clear mac address-table dynamic interface interface-id ）、または指定されたVLAN上のすべてのアドレス（ clear mac address-table dynamic vlan vlan-id ）の削除もできます。

ダイナミック エントリが削除されたことを確認するには、 show mac-address-table dynamic イネーブルEXECコマンドを使用します。

MACアドレス通知トラップの設定

MACアドレス通知によって、スイッチにMACアドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチがMACアドレスを学習または削除すると常に、SNMP通知を生成してNetwork Management System（NMS;ネットワーク管理システム）に送信させることができます。ネットワークから多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとのMACアドレス アクティビティを保存します。MACアドレス通知は、動的でセキュアなMACアドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。

NMSホストにMACアドレス通知トラップを送信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。

スイッチによるMACアドレス通知トラップの送信をディセーブルにするには、 no snmp-server enable traps mac-notification グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上でMACアドレス通知トラップをディセーブルにするには、 no snmp trap mac-notification { added | removed } インターフェイス コンフィギュレーション コマンドを使用します。MACアドレス通知機能をディセーブルにするには、 no mac address-table notification グローバル コンフィギュレーション コマンドを使用します。

次に、NMSとして172.20.10.10を指定し、スイッチによるNMSへのMACアドレス通知トラップの送信をイネーブルにして、MACアドレス通知機能をイネーブルにし、インターバル タイムを60秒、履歴サイズを100エントリ、特定のポートでMACアドレスが追加されたときはいつでもトラップをイネーブルに設定する例を示します。

以前のコマンドを確認するには、 show mac address-table notification interface および show mac address-table notification イネーブルEXECコマンドを入力します。

スタティック アドレス エントリの追加および削除

スタティック アドレスには、次の特性があります。

• アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。

• ユニキャスト アドレスとして設定できます。

• 期限切れになることはなく、スイッチが再起動しても維持されます。

スタティック アドレスを追加および削除し、転送動作を定義することができます。転送動作とは、パケットを受信したポートが、そのパケットを他のポートに転送する方法のことです。すべてのポートは1つまたは複数のVLANに関連付けられているので、スイッチは、指定されたポートから、そのアドレスに対応するVLAN IDを取得します。

アドレスがスタティックとして入力されていないVLANにスタティック アドレスを持ったパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。

アドレス テーブルにスタティック アドレスを追加するには、宛先MACユニキャスト アドレスおよびその送信先となるVLANを指定します。この宛先アドレスとともに受信されたパケットは、 interface-id オプションで指定されたインターフェイスへ転送されます。

スタティック アドレスを追加するには、イネーブルEXECモードで次の手順を実行します。

アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addr vlan vlan-id [ interface interface-id ]グローバル コンフィギュレーション コマンドを使用します。

次に、MACアドレス テーブルに、スタティック アドレスc2f3.220a.12f4を追加する例を示します。VLAN 4で、このMACアドレスを宛先アドレスとして持つパケットを受信すると、パケットは指定されたポートに転送されます。

ユニキャストMACアドレス フィルタリングの設定

ユニキャストMACアドレス フィルタリングがイネーブルの場合、スイッチは特定の送信元または宛先MACアドレスを持つパケットを廃棄します。デフォルトでは、この機能はディセーブルで、ユニキャスト スタティック アドレスのみをサポートします。

この機能を使用するには、次の手順を実行してください。

• マルチキャストMACアドレス、ブロードキャストMACアドレス、およびルータMACアドレスは、サポートされません。 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力するときに、前述のアドレスのいずれかを指定すると、次のメッセージが表示されます。

• CPUに転送されるパケットも、サポートされません。

• ユニキャストMACアドレスをスタティック アドレスとして追加して、ユニキャストMACアドレス フィルタリングを設定する場合、スイッチは最後に入力されたコマンドに応じて、MACアドレスをスタティック アドレスとして追加するか、またはMACアドレスを持つパケットを廃棄します。2番めに入力したコマンドは、最初のコマンドを上書きします。

たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドを入力して、続いて mac address-table static mac-addr vlan vlan-id drop コマンドを入力する場合、スイッチは、特定の送信元または宛先MACアドレスを持つパケットを廃棄します。

また、 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力して、続いて mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力する場合には、スイッチは、MACアドレスをスタティック アドレスとして追加します。

送信元または宛先ユニキャストMACアドレスおよび受信先のVLANを指定することにより、ユニキャストMACアドレス フィルタリングをイネーブルにして、スイッチが特定のアドレスを持つパケットを廃棄するように設定します。

スイッチが送信元または宛先ユニキャスト スタティック アドレスを廃棄するよう設定するには、イネーブルEXECモードで次の手順を実行します。

ユニキャストMACアドレス フィルタリングをディセーブルにするには、no mac address -table static mac-addr vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。

次に、ユニキャストMACアドレス フィルタリングをイネーブルにして、スイッチがc2f3.220a.12f4の送信元または宛先アドレスを持つパケットを廃棄するように設定する例を示します。このMACアドレスを送信元または宛先として持つVLAN 4で受信されたパケットは、廃棄されます。

アドレス テーブル エントリの表示

表 7-4 に示す1つまたは複数のイネーブルEXECコマンドを使用すると、MACアドレス テーブルを表示できます。