- はじめに
- 概要
- CLI の使用方法
- スイッチの IP アドレスおよびデフォルト ゲー トウェイの割り当て
- Cisco IOS Configuration Engine の設定
- スイッチの管理
- スイッチ アラームの設定
- SDM テンプレートの設定
- スイッチベースの認証の設定
- IEEE 802.1x ポートベースの認証の設定
- インターフェイスの設定
- コマンド マクロの設定
- VLAN の設定
- プライベート VLAN の設定
- IEEE 802.1Q トンネリング、 VLAN マッピン グ、 およびレイヤ 2 プロトコル トンネリング の設定
- STP の設定
- MSTP の設定
- オプションのスパニング ツリー機能の設定方法
- レジリエント イーサネット プロトコルの設定
- Flex Link および MAC アドレス テーブル移 行更新機能の設定
- DHCP 機能および IP ソース ガードの設定
- ダイナミック ARP 検査の設定
- IGMP スヌーピングおよび MVR の設定
- ポートベースのトラフィック制御の設定
- CDP の設定
- LLDP および LLDP-MED の設定
- UDLD の設定
- SPAN および RSPAN の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- Embedded Event Manager の設定
- ACL によるネットワーク セキュリティの設定
- コントロール プレーンのセキュリティ設定
- QoS の設定
- EtherChannel およびリンクステート トラッ キングの設定
- IP ユニキャスト ルーティングの設定
- IPv6 ユニキャスト ルーティングの設定
- IPv6 MLD スヌーピングの設定
- IPv6 ACL の設定
- HSRP の設定
- Cisco IOS IP SLA 動作の設定
- 拡張オブジェクト トラッキングの設定
- イーサネット OAM、CFM、および E-LMI の 設定
- IP マルチキャスト ルーティングの設定
- MSDP の設定
- トラブルシューティング
- オンライン診断の設定
- サポートされている MIB
- Cisco IOS ファイル システム、コンフィギュ レーション ファイル、およびソフトウェア イ メージの操作
- Cisco IOS リリース 12.2(52)SE でサポート されていないコマンド
- 索引
Cisco ME 3400E イーサネット アクセス スイッチ ソ フトウェア コンフィギュレーション ガイド,12.2(52)SE
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月19日
章のタイトル: スイッチの管理
スイッチの管理
この章では、Cisco ME 3400E イーサネット スイッチを管理するための 1 回限りの手順について説明しています。
•
「バナーの作成」
システム日時の管理
Network Time Protocol(NTP)などの自動設定方式、または手動設定方式を使用して、スイッチのシステム日時を管理します。
(注) ここで説明するコマンドの構文および使用方法の詳細については、『Cisco IOS Configuration Fundamentals Command Reference』Release 12.2 を参照してください。
システム クロックの概要
時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼動し、日時を常時監視します。
システム クロックは、Universal Time Coordinated(UTC; 世界標準時)、別名 Greenwich Mean Time(GMT; グリニッジ標準時)に基づいてシステム内部の時刻を常時監視します。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。
システム クロックは、時刻が 信頼できる かどうか(つまり、信頼できると見なされるタイム ソースによって時刻が設定されているか)を常時監視します。信頼できない場合は、時刻は表示目的だけに利用され、再配信されません。設定の詳細については、「手動での日時の設定」を参照してください。
NTP の概要
NTP は、ネットワーク上のデバイス間の時刻の同期化を目的にしています。NTP は UDP で稼動し、UDP は IP 上で稼動します。NTP は RFC 1305 に規定されています。
NTP ネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。そのあと、NTP はネットワークにこの時刻を配信します。NTP はきわめて効率的で、1 分間に 1 パケットを使用するだけで、2 つのデバイスを 1 ミリ秒以内に同期化できます。
NTP は、 ストラタム(階層) という概念を使用して、信頼できるタイム ソースとデバイスが離れている NTP ホップ数を記述します。ストラタム 1 タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム 2 タイム サーバは、NTP を使用してストラタム 1 タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTP が稼動するデバイスは、タイム ソースとして、NTP を使用して通信するストラタム番号が最少のデバイスを自動的に選択します。この方法によって、NTP 時刻配信の自動編成型ツリーが効率的に構築されます。
NTP では、同期化されていないデバイスと同期化しないことによって、時刻が正確でないデバイスとの同期化を防ぎます。また、NTP では、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻が他のデバイスと大幅に異なるデバイスとは同期化しません。
NTP が稼動するデバイス間の通信( アソシエーション )は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべき全デバイスの IP アドレスが与えられます。アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは一方向に限られます。
デバイス上で維持される時刻は重要なリソースです。NTP のセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防いでください。アクセス リスト ベースの制限スキームと暗号化認証メカニズムの、2 つのメカニズムが利用できます。
シスコの NTP はストラタム 1 サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。IP インターネットで利用できるパブリック NTP サーバからネットワークの時刻サービスを受けることを推奨します。
図 5-1 に、NTP を使用した一般的なネットワーク例を示します。スイッチ A は NTP マスターです。スイッチ B、スイッチ C、スイッチ D は、スイッチ A に関連付けられたサーバにおいて NTP サーバ モードで設定されています。スイッチ E はアップストリームおよびダウンストリーム スイッチ(スイッチ B およびスイッチ F)に対する NTP ピアとして設定されています。
ネットワークがインターネットに接続されていない場合、シスコの NTP によって、実際には他の方法で時刻が学習されていても、NTP を使用して同期しているように特定のデバイスの動作を設定できます。他のデバイスは、NTP によりこのデバイスと同期化されます。
複数のタイム ソースがある場合は、NTP は常に、より信頼できると見なされます。NTP の時刻は、他の方法による時刻に優先します。
いくつかのメーカーでは自社のホスト システムに NTP ソフトウェアを組み入れており、UNIX システム用のバージョンやその派生ソフトウェアも利用できます。このソフトウェアによって、ホスト システムも時間が同期化されます。
NTP の設定
スイッチはハードウェアサポート クロックを備えておらず、外部 NTP ソースが利用できないときに、ピアが自身を同期化するための NTP マスター クロックとして機能できません。このスイッチは、カレンダーに対するハードウェア サポートも備えていません。そのため、ntp update-calendar および ntp master の各グローバル コンフィギュレーション コマンドが使用できません。
NTP のデフォルト設定
表 5-1 に、NTP のデフォルト設定を示します。
|
|
|
|---|---|
NTP は、すべてのインターフェイスで、デフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTP パケットを受信します。
NTP 認証の設定
この手順は、NTP サーバの管理者と調整する必要があります。この手順で設定する情報は、時刻を NTP サーバと同期化するためにスイッチが使用するサーバに対応している必要があります。
セキュリティ目的で他のデバイスとのアソシエーション(正確な時間の維持を行う NTP 稼動デバイス間の通信)を認証するには、特権 EXEC モードで次の手順を実行します。
NTP 認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。デバイス ID の認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。
NTP パケットに認証鍵 42 を設定しているデバイスとだけ同期するようにスイッチを設定する例を次に示します。
NTP アソシエーションの設定
NTP アソシエーションは、ピア アソシエーション(スイッチを他のデバイスに同期化するか、他のデバイスをスイッチに同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他のデバイスに同期化させるだけで、その逆はできない)に設定することもできます。
別のデバイスとの NTP アソシエーションを形成するには、特権 EXEC モードで次の手順を実行します。
アソシエーションは、一端のデバイスにしか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。デフォルトの NTP バージョン(バージョン 3)を使用していて NTP が同期化されない場合は、NTP のバージョン 2 を使用してみてください。インターネットで稼動している多くの NTP サーバはバージョン 2 です。
ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address の各グローバル コンフィギュレーション コマンドを使用します。
NTP バージョン 2 を使用して IP アドレス 172.16.22.44 のピアのクロックに、システム クロックを同期化するようにスイッチを設定する方法を、次の例に示します。
NTP ブロードキャスト サービスの設定
NTP が稼動するデバイス間の通信( アソシエーション )は通常、スタティックに設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスの IP アドレスが付与されます。アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは一方向に限られます。
ルータのようにネットワーク上で時刻情報をブロードキャストする NTP ブロードキャスト サーバがある場合、スイッチはインターフェイスごとに NTP ブロードキャスト パケットを送受信できます。スイッチは NTP ブロードキャスト パケットをピアに送信できるので、ピアはそれに同期化できます。スイッチは NTP ブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTP ブロードキャスト パケットの送信と受信の両方の手順について説明します。
NTP ブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するよう、スイッチを設定するには、特権 EXEC モードで次の手順を実行します。
インターフェイスによる NTP ブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートが NTP バージョン 2 パケットを送信するように設定する例を示します。
接続したピアから NTP ブロードキャスト パケットを受信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
NTP ブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
必要に応じて、ポートをイネーブルにします。デフォルトでは、UNI と Enhanced Network Interfaces(ENI; 拡張ネットワーク インターフェイス)はディセーブル、NNI はイネーブルに設定されています。 |
||
インターフェイスによる NTP ブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。
次に、ポートが NTP ブロードキャスト パケットを受信するように設定する例を示します。
NTP アクセス制限の設定
以降で説明するように、2 つのレベルで NTP アクセスを制御できます。
アクセス グループの作成と基本 IP アクセス リストの割り当て
アクセス リストを使用して NTP サービスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。
1. peer :時刻要求と NTP 制御クエリーを許可し、さらに、アクセス リストの一致基準を満たすアドレスを持つデバイスとスイッチの同期化を許可します。
2. serve :時刻要求と NTP 制御クエリーを許可しますが、アクセス リストの一致基準を満たすアドレスを持つデバイスとスイッチの同期は許可しません。
3. serve-only :アクセス リストの一致基準を満たすアドレスを持つデバイスからの時刻要求に限り許可します。
4. query-only :アクセス リストの一致基準を満たすアドレスを持つデバイスからの NTP 制御クエリーに限り許可します。
送信元 IP アドレスがアクセス リストの複数のアクセス タイプに一致する場合は、最初のタイプが許可されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべてのデバイスに許可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り許可されます。
スイッチ NTP サービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer } グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチがアクセス リスト 99 からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト 42 に対してはアクセスを制限し、時刻要求に限り許可します。
特定のインターフェイスでの NTP サービスのディセーブル化
NTP サービスは、すべてのインターフェイスで、デフォルトでイネーブルに設定されています。
インターフェイス上で NTP パケットの受信をディセーブルにするには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
必要に応じて、ポートをイネーブルにします。デフォルトでは、UNI と Enhanced Network Interfaces(ENI; 拡張ネットワーク インターフェイス)はディセーブル、NNI はイネーブルに設定されています。 |
||
インターフェイス上で NTP パケットの受信を再度イネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。
NTP パケット用の送信元 IP アドレスの設定
スイッチが NTP パケットを送信すると、送信元 IP アドレスは、通常 NTP パケットが送信されたインターフェイスのアドレスに設定されます。すべての NTP パケットに特定の送信元 IP アドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。
送信元 IP アドレスの取得先となる特定のインターフェイスを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、「NTP アソシエーションの設定」に説明したように、 ntp peer または n tp server の各グローバル コンフィギュレーション コマンドでキーワード source を使用します。
NTP 設定の表示
次の 2 つの特権 EXEC コマンドを使用して NTP 情報を表示できます。
• show ntp associations [ detail ]
この出力に表示されるフィールドの詳細については、『 Cisco IOS Configuration Fundamentals Command Reference 』 Release 12.2 を参照してください。
手動での日時の設定
他のタイム ソースが利用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてだけ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。
• 「夏時間の設定」
システム クロックの設定
ネットワーク上に、NTP サーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
システム クロックを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
次のいずれかのフォーマットで、手動でシステム クロックを設定します。 • |
次に、システム クロックを手動で 2001 年 の 7 月 23 日午後 1 時 32 分に設定する例を示します。
日時設定の表示
日時の設定を表示するには、 show clock [ detail ] 特権 EXEC コマンドを使用します。
システムク ロックは、信頼できる(正確であると確信できる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソース(NTP など)によって設定されている場合は、フラグを設定します。時刻が信頼できないものである場合は、表示目的だけで使用されます。クロックが信頼でき、 authoritative フラグが設定された状態でないと、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。
タイム ゾーンの設定
手動でタイム ゾーンを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| スイッチは内部時刻を UTC で管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。 • |
||
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンと UTC との時差が分単位である場合に使用します。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(AST; 大西洋標準時)は UTC-3.5 です。この場合、3 は 3 時間、.5 は 30 分 を意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。
時刻を UTC に設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。
夏時間の設定
毎年特定の曜日に夏時間が開始および終了する地域で夏時間を設定するには、特権 EXEC モードで次の手順を実行します。
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番目の部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりもあとの場合は、システムでは南半球にいると見なされます。
次に、夏時間が 4 月の第一日曜の 2 時に始まり、10 月の最終日曜の 2 時に終わるように指定する例を示します。
ユーザの居住地域の夏時間が定期的なパターンに従わない場合(次の夏時間のイベントの正確な日時を設定する)は、特権 EXEC モードで次の手順を実行します。
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番目の部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりもあとの場合は、システムでは南半球にいると見なされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が 2000 年 10 月 12 日の 2 時に始まり、2001 年 4 月 26 日の 2 時に終わるよう設定する例を示します。
システム名およびプロンプトの設定
スイッチにシステム名を設定して識別します。デフォルトでは、システム名およびプロンプトは Switch です。
システム プロンプトを設定していない場合は、システム名の最初の 20 文字がシステム プロンプトとして使用されます。大なり記号 [>] が付加されます。システム名が変更されると、プロンプトが更新されます。
ここで説明するコマンドの構文および使用方法の詳細については、『 Cisco IOS Configuration Fundamentals Command Reference 』 Release 12.2 および『 Cisco IOS IP Command Reference, Volume 2 of 3: Routing Protocols 』 Release 12.2 を参照してください。
デフォルトのシステム名およびプロンプトの設定
システム名の設定
手動でシステム名を設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| 名前は ARPANET ホスト名の規則に従う必要があります。この規則ではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、またはハイフンしか使用できません。名前には 63 文字まで使用できます。 |
||
DNS の概要
Domain Name System(DNS; ドメイン ネーム システム)プロトコルは、分散型データベース DNS を制御し、これによりホスト名を IP アドレスに対応付けることができます。スイッチ上に DNS を設定すると、 ping 、 telnet 、 connect などのすべての IP コマンドや、関連する Telnet サポート操作時に、IP アドレスの代わりにホスト名を使用できます。
IP によって定義される階層型の命名規則では、デバイスを場所またはドメインで識別できます。ドメイン名の区切りには、ピリオド(.)を使用します。たとえばシスコシステムズは、IP で com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com です。このドメイン内の特定のデバイス、たとえば FTP(ファイル転送プロトコル)システムは、 ftp.cisco.com で表されます。
IP でドメイン名を追跡するためにドメイン ネーム サーバという概念が定義されています。DNS は、名前と IP アドレスのマッピングをキャッシュ(またはデータベース)に保管します。ドメイン名を IP アドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNS をイネーブルにします。
DNS のデフォルト設定
表 5-2 に、DNS のデフォルト設定を示します。
|
|
|
|---|---|
DNS の設定
DNS を使用するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
スイッチの IP アドレスをそのホスト名として使用する場合は、IP アドレスが使用され、DNS クエリーは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとで DNS クエリーが行われ、名前が IP アドレスにマッピングされます。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、Cisco IOS ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずに IP アドレスを検索します。
ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネーム サーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチ上の DNS をディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。
DNS 設定の表示
バナーの作成
Message-of-The-Day(MoTD)バナーおよびログイン バナーを作成できます。MoTD バナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザに影響のあるメッセージ(システムのシャットダウン予告など)を送信するのに便利です。
ログイン バナーも、すべての接続端末で表示されます。表示されるのは、MoTD バナーのあとで、ログイン プロンプトが表示される前です。
(注) ここで説明するコマンドの構文および使用方法の詳細については、『Cisco IOS Configuration Fundamentals Command Reference』Release 12.2 を参照してください。
バナーのデフォルト設定
MoTD ログイン バナーの設定
あるユーザがスイッチにログインしたときに、画面に表示される 1 行または複数行のメッセージ バナーを作成できます。
MoTD ログイン バナーを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
MoTD バナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。
次に、ポンド記号(#)を開始および終了の区切り文字として使用し、スイッチの MoTD バナーを設定する例を示します。
ログイン バナーの設定
すべての接続端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTD バナーのあとで、ログイン プロンプトが表示される前です。
ログイン バナーを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
| c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。
次に、ドル記号($)を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する例を示します。
MAC アドレス テーブルの管理
MAC(メディア アクセス制御)アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が格納されています。アドレス テーブルに登録された MAC アドレスはすべて、1 つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
• ダイナミック アドレス:スイッチが学習し、使用されなくなった時点で期限切れとなる送信元 MAC アドレス
• スタティック アドレス:手動で入力するユニキャスト アドレス。これらのアドレスには期限がなく、スイッチがリセットされても失われません。
アドレス テーブルは、宛先 MAC アドレス、対応する VLAN ID、およびアドレスとタイプ(スタティックとダイナミック)に対応付けられたポート番号を保持します。
(注) この章で使用するコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
• 「ユニキャスト MAC アドレス フィルタリングの設定」
• 「VLAN 上での MAC アドレス学習のディセーブル化」
アドレス テーブルの作成
すべてのポートでサポートされる複数の MAC アドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータなどのネットワーク デバイスに接続できます。各ポートで受信するパケットの送信元アドレスを学習し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチは動的なアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。
有効期間はグローバルに設定されます。ただし、スイッチは VLAN ごとにアドレス テーブルを維持し、Spanning-Tree Protocol(STP; スパニングツリー プロトコル)によって VLAN ごとの有効期間を短縮することができます。
スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合せのポート間でパケットを送信します。MAC アドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応付けられたポートにだけ、パケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストアアンドフォワード方式を使用します。このため、完全なパケットをいったん保管してエラーがないかどうかを検査してから転送します。
MAC アドレスと VLAN
アドレスはすべて、VLAN と対応付けられます。1 つのアドレスを複数の VLAN に対応付け、それぞれで異なる宛先を設定することができます。たとえば、ユニキャスト アドレスは VLAN1 内のポート 1 と、VLAN 5 内のポート 1、ポート 9、ポート 10 に転送できます。
VLAN ごとに、独自の論理アドレス テーブルが維持されます。ある VLAN で認識されているアドレスが他の VLAN で認識されるには、アドレスが他の VLAN 内のポートによって学習されるか、またはポートにスタティックに対応付けられる必要があります。
プライベート VLAN が設定されている場合、アドレス学習は次のように MAC アドレスのタイプに左右されます。
• プライベート LAN 上にある 1 つの VLAN で学習されたダイナミック MAC アドレスは、関連 VLAN に複製されます。たとえば、プライベート VLAN のセカンダリ VLAN で学習された MAC アドレスはプライマリ VLAN に複製されます。
• プライマリまたはセカンダリ VLAN に設定されたスタティック MAC アドレスは関連 VLAN には複製されません。プライベート VLAN のプライマリまたはセカンダリ VLAN 内にスタティック MAC アドレスを設定した場合、同じスタティック MAC アドレスをすべての関連 VLAN に設定する必要があります。
プライベート VLAN の詳細については、 第 13 章「プライベート VLAN の設定」 を参照してください。
MAC アドレス学習は VLAN 単位でディセーブルにできます。サービス プロバイダー ネットワーク内のカスタマーは、ネットワークを介して 大量の MAC アドレスをトンネリングし、利用可能な MAC アドレス テーブルのスペースを満たすことができます。MAC アドレスを学習できる VLAN、つまりポートを制御することにより、VLAN 上での MAC アドレス学習を制御し、また、スイッチで利用可能な MAC アドレス テーブル スペースを管理できます。
MAC アドレス学習をディセーブルにする前に、ネットワーク トポロジとスイッチ システム設定に詳しいことを確認してください。VLAN で MAC アドレス学習をディセーブルにすると、ネットワークでフラッディングを引き起こす可能性があります。詳細については、「VLAN 上での MAC アドレス学習のディセーブル化」を参照してください。
MAC アドレス テーブルのデフォルト設定
表 5-3 に、MAC アドレス テーブルのデフォルト設定を示します。
|
|
|
|---|---|
アドレス エージング タイムの変更
ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元 MAC アドレスです。すべての VLAN または指定された VLAN に対して、エージング タイムの設定を変更できます。
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じ VLAN 内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響が出る可能性があります。また、エージング タイムを長く設定しすぎると、アドレス テーブルが未使用のアドレスで満杯になり、新しいアドレスを学習できなくなります。この結果フラッディングとなり、スイッチのパフォーマンスに悪影響を与える可能性があります。
ダイナミック アドレス テーブルのエージング タイムを設定するには、特権 EXEC モードで次の手順を実行します。
デフォルト値に戻すには、 no mac-address-table aging-time グローバル コンフィギュレーション コマンドを使用します。
ダイナミック アドレス エントリの削除
ダイナミック エントリをすべて削除するには、特権 EXEC モードで clear mac address-table dynamic コマンドを使用します。特定の MAC アドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポート チャネル上のすべてのアドレス( clear mac address-table dynamic interface interface-id )、または指定された VLAN 上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。
ダイナミック エントリが削除されたことを確認するには、 show mac-address-table dynamic 特権 EXEC コマンドを使用します。
MAC アドレス変更通知トラップの設定
MAC アドレス変更通知では、MAC アドレスの変更アクティビティを保存することによって、ネットワーク上のユーザが追跡されます。スイッチが MAC アドレスを学習または削除する場合に、SNMP(簡易ネットワーク管理プロトコル)通知トラップを、Network Management System(NMS; ネットワーク管理システム)に送信できます。ネットワークから多数のユーザの出入りがある場合は、トラップインターバル タイムを、通知トラップを組み込むように設定して、ネットワーク トラフィックを削減できます。MAC 通知履歴テーブルには、トラップが設定されたポートごとの MAC アドレス アクティビティが保存されます。MAC アドレス変更通知は、ダイナミックまたはセキュア MAC アドレスに関して生成されます。自アドレス、マルチキャスト アドレス、または他のスタティック アドレスに関しては、通知は生成されません。
NMS ホストに MAC アドレス変更通知トラップを送信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
MAC アドレス変更通知トラップをディセーブルにするには、 no snmp-server enable traps mac-notification change グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上で MAC アドレス変更通知トラップをディセーブルにするには、 no snmp trap mac-notification change { added | removed } インターフェイス コンフィギュレーション コマンドを使用します。MAC アドレス変更通知機能をディセーブルにするには、 no mac address-table notification change グローバル コンフィギュレーション コマンドを使用します。
次に、NMS として 172.20.10.10 を指定し、スイッチによる NMS への MAC アドレス通知トラップの送信をイネーブルにして、MAC アドレス変更通知機能をイネーブルにし、インターバル タイムを 123 秒、履歴サイズを 100 エントリ、指定されたポートで MAC アドレスが追加されたときはいつでもトラップをイネーブルに設定する例を示します。
設定値を確認するには、 show mac address-table notification interface および show mac address-table notification change 特権 EXEC コマンドを入力します。
MAC アドレス移動通知トラップの設定
MAC 移動通知を設定すると、MAC アドレスが、あるポートから同じ LAN 内の別のポートに移動する際には常に SNMP 通知が生成され、ネットワーク管理システムに送信されます。
NMS ホストに MAC アドレス移動通知トラップを送信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
MAC アドレス移動通知トラップをディセーブルにするには、 no snmp-server enable traps mac-notification move グローバル コンフィギュレーション コマンドを使用します。MAC アドレス移動通知機能をディセーブルにするには、 no mac address-table notification mac-move グローバル コンフィギュレーション コマンドを使用します。
次に、NMS として 172.20.10.10 を指定し、スイッチによる NMS への MAC アドレス移動通知トラップの送信をイネーブルにし、MAC アドレス移動通知機能をイネーブルにし、MAC アドレスがあるポートから他のポートへ移動されたときはいつでもトラップをイネーブルに設定する例を示します。
show mac address-table notification mac-move 特権 EXEC コマンドを入力すれば、設定を確認できます。
MAC しきい値通知トラップの設定
MAC しきい値通知を設定すると、MAC アドレス テーブルのしきい値の限度に達するか、超過した場合に、SNMP 通知が生成され、ネットワーク管理システムに送信されます。
NMS ホストに MAC アドレス テーブルしきい値通知トラップを送信するようにスイッチを設定するには、特権 EXEC モードで次の手順を実行します。
MAC アドレスしきい値通知トラップをディセーブルにするには、 no snmp-server enable traps mac-notification threshold グローバル コンフィギュレーション コマンドを使用します。MAC アドレスしきい値通知機能をディセーブルにするには、 no mac address-table notification threshold グローバル コンフィギュレーション コマンドを使用します。
次に、NMS として 172.20.10.10 を指定し、MAC アドレスしきい値通知機能をイネーブルにし、インターバル タイムを 123 秒に設定し、制限を 78 % に設定する例を示します。
show mac address-table notification threshold 特権 EXEC コマンドを入力すれば、設定を確認できます。
スタティック アドレス エントリの追加および削除
• アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。
• ユニキャストまたはマルチキャスト アドレスとして設定できます。
• 期限切れになることはなく、スイッチが再起動しても維持されます。
スタティック アドレスを追加および削除し、転送動作を定義することができます。転送動作とは、パケットを受信したポートが、そのパケットを他のポートに転送する方法を定義するものです。すべてのポートは 1 つまたは複数の VLAN に関連付けられているので、スイッチは、指定されたポートから、そのアドレスに対応する VLAN ID を取得します。各送信元ポートに個別の宛先ポートのリストを指定できます。
アドレスがスタティックとして入力されていない VLAN にスタティック アドレスを持ったパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
アドレス テーブルにスタティック アドレスを追加するには、宛先 MAC ユニキャスト アドレスおよびその送信先となる VLAN を指定します。この宛先アドレスとともに受信されたパケットは、オプション interface-id で指定されたインターフェイスへ転送されます。
プライベート VLAN のプライマリまたはセカンダリ VLAN 内にスタティック MAC アドレスを設定した場合、同じスタティック MAC アドレスをすべての関連 VLAN に設定する必要があります。プライベート VLAN のプライマリまたはセカンダリ VLAN に設定されたスタティック MAC アドレスは関連 VLAN には複製されません。プライベート VLAN の詳細については、 第 13 章「プライベート VLAN の設定」 を参照してください。
スタティック アドレスを追加するには、特権 EXEC モードで次の手順を実行します。
アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addr vlan vlan-id [ interface interface-id] グローバル コンフィギュレーション コマンドを使用します。
次の例では、MAC アドレス テーブルにスタティック アドレス c2f3.220a.12f4 を追加する方法を示します。VLAN 4 で、この MAC アドレスを宛先アドレスとして持つパケットを受信すると、パケットは指定されたポートに転送されます。
ユニキャスト MAC アドレス フィルタリングの設定
ユニキャスト MAC アドレス フィルタリングがイネーブルの場合、スイッチは特定の送信元または宛先 MAC アドレスを持つパケットを廃棄します。デフォルトでは、この機能はディセーブルで、ユニキャスト スタティック アドレスだけをサポートします。
• マルチキャスト MAC アドレス、ブロードキャスト MAC アドレス、およびルータ MAC アドレスはサポートされません。 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力するときに、前述のアドレスのいずれかを指定すると、次のメッセージが表示されます。
• ユニキャスト MAC アドレスをスタティック アドレスとして追加し、ユニキャスト MAC アドレス フィルタリングを設定する場合は、最後に入力されたコマンドに応じて、スイッチは MAC アドレスをスタティック アドレスとして追加するか、またはその MAC アドレスを持つパケットを廃棄します。2 番目に入力したコマンドは、最初のコマンドを上書きします。
たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドのあとに mac address-table static mac-addr vlan vlan-id drop コマンドを入力した場合は、スイッチは送信元または宛先として指定された MAC アドレスを持つパケットを廃棄します。
mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドのあとに mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力した場合は、スイッチがその MAC アドレスをスタティック アドレスとして追加します。
送信元または宛先ユニキャスト MAC アドレスおよび受信先の VLAN を指定することにより、ユニキャスト MAC アドレス フィルタリングをイネーブルにして、スイッチが特定のアドレスを持つパケットを廃棄するように設定します。
スイッチが送信元または宛先ユニキャスト スタティック アドレスを廃棄するよう設定するには、特権 EXEC モードで次の手順を実行します。
ユニキャスト MAC アドレス フィルタリングをディセーブルにするには、no mac address -table static mac-addr vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
次の例では、ユニキャスト MAC アドレス フィルタリングをイネーブルにし、c2f3.220a.12f4 の送信元または宛先アドレスを持つパケットを廃棄するようにスイッチを設定する方法を示します。送信元または宛先としてこの MAC アドレスを持つパケットが VLAN4 上で受信された場合、パケットが廃棄されます。
VLAN 上での MAC アドレス学習のディセーブル化
デフォルトでは、MAC アドレス学習はスイッチのすべての VLAN 上で イネーブルに設定されています。VLAN で MAC アドレス学習を制御する場合、MAC アドレスを学習できる VLAN、つまりポートを制御することで、利用可能な MAC アドレス テーブル スペースを管理できます。MAC アドレス学習をディセーブルにする場合、ネットワーク トポロジおよびスイッチのシステム構成に精通している必要があります。VLAN で MAC アドレス学習をディセーブルにすると、ネットワークでフラッディングを引き起こす可能性があります。
VLAN 上で MAC アドレス学習をディセーブルにする場合は、次の注意事項に従ってください。
• Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)が設定されている VLAN 上で MAC アドレス学習をディセーブルにするには、事前に注意が必要です。スイッチはレイヤ 2 ドメイン内のすべての IP パケットをフラッディングします。
• MAC アドレス学習は、1 から 4094 までの 1 つの VLAN ID(例: no mac address-table learning vlan 223 )、または、ハイフンやカンマで区切られた一連の VLAN ID(例: no mac address-table learning vlan 1-10, 15 )でディセーブルにできます。
• MAC アドレス学習は、2 ポートを装備する VLAN でだけディセーブルにすることを推奨します。3 つ以上のポートを持つ VLAN 上で MAC アドレス学習をディセーブルにすると、スイッチに着信するすべてのパケットがその VLAN ドメイン内でフラッディングされます。
• スイッチが内部的に使用する VLAN では、MAC アドレス学習をディセーブルにできません。入力した VLAN ID が内部 VLAN である場合、スイッチはエラー メッセージを生成して、コマンドを拒否します。使用中の内部 VLAN を表示するには、 show vlan internal usage 特権 EXEC コマンドを入力します。
• 特定のプライベート VLAN のプライマリ VLAN として設定されている VLAN 上で、MAC アドレス学習をディセーブルにした場合でも、MAC アドレスはそのプライベート VLAN に属するセカンダリ VLAN で学習され、その後プライマリ VLAN で複製されます。特定のプライベート VLAN のプライマリ VLAN ではなく、セカンダリ VLAN で MAC アドレス学習をディセーブルにした場合は、MAC アドレスはプライマリ VLAN で学習され、セカンダリ VLAN では複製されます。
• RSPAN VLAN で MAC アドレス学習はディセーブルにできません。設定すること自体できません。
• セキュア ポートを含む VLAN で MAC アドレス学習をディセーブルにする場合、そのポートでは、MAC アドレス学習はディセーブルになりません。ポート セキュリティをディセーブルにすると、設定された MAC アドレス学習ステートがイネーブルになります。
VLAN で MAC アドレス学習をディセーブルにするには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
指定された VLAN(複数可)で、MAC アドレス学習をディセーブルにします。1 つの VLAN ID を指定するか、一連の VLAN ID をハイフンまたはカンマで区切って指定できます。指定できる VLAN ID は 1 ~ 4094 です。内部 VLAN にはできません。 |
||
VLAN 上で MAC アドレス学習を再度イネーブルにするには、 default mac address -table learning vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。また、 mac address -table learning vlan vlan-id グローバル コンフィギュレーション コマンドを使用しても、VLAN 上で MAC アドレス学習を再度イネーブルにできます。最初のコマンド( デフォルト )がデフォルトの状態に戻るので、 show running-config コマンドの出力には表示されません。2 番目のコマンドを使用すると、 show running-config 特権 EXEC コマンドで表示される設定となります。
次に、VLAN 200 上で MAC アドレス学習をディセーブルにする例を示します。
show mac-address-table learning [ vlan vlan-id ] 特権 EXEC コマンドを入力すると、すべての VLAN または指定された VLAN の MAC アドレス学習の状態を表示できます。
アドレス テーブル エントリの表示
表 5-4 に示す 1 つまたは複数の特権 EXEC コマンドを使用すると、MAC アドレス テーブルを表示できます。
|
|
|
|---|---|
ARP テーブルの管理
デバイスと通信するには(たとえば、イーサネットを介して)、ソフトウェアは最初に、そのデバイスの 48 ビット MAC アドレスまたはローカル データ リンク アドレスを学習する必要があります。IP アドレスからローカル データ リンク アドレスを学習するプロセスを、「 アドレス解決 」と呼びます。
Address Resolution Protocol(ARP; アドレス解決プロトコル)は、ホスト IP アドレスを、対応する MAC アドレスと VLAN ID に関連付けます。IP アドレスを使用すると、ARP はそれに関連付けられた MAC アドレスを検索します。MAC アドレスが見つかると、それ以降迅速に検索できるように、IP-MAC アドレス アソシエーションが ARP キャッシュに格納されます。そのあと、IP データグラムはリンクレイヤ フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外の IEEE 802 ネットワークにおけるIPデータグラムのカプセル化、および ARP 要求や応答については、Subnetwork Access Protocol(SNAP)で規定されています。IP インターフェイスでは、標準イーサネット形式の ARP カプセル化(キーワード arpa で表される)がデフォルトでイネーブルに設定されています。
手動でテーブルに追加された ARP エントリは、期限切れにならないため、手動で削除する必要があります。
CLI(コマンドライン インターフェイス)の手順については、Cisco.com で Cisco IOS Release 12.2 のマニュアルを参照してください。
フィードバック