SWP1シリーズ 技術資料
ファームウェアバージョン: Rev.2.01.04
ヤマハ SWP1シリーズをお買い上げいただきありがとうございます。
お使いになる前に本書をよくお読みになり、正しく設置や設定を行ってください。
本書中の警告や注意を必ず守り、正しく安全にお使いください。
ファームウェア更新について
安定した運用をしていただくために、本L2スイッチには新機能の追加、不具合対応が行われている最新のファームウェアを適用することをお勧めします。
お使いのバージョンをご確認の上、対応をお願いします。
- バージョンの確認は show versionコマンドで行ってください。
Web GUI 機能について
本L2スイッチの最新ファームウェアでは、以下の設定機能に対応しています。
- 詳細設定
- VLAN
- MACアドレステーブル
- IGMP Snooping
- QoS
- EEE
- 管理
- 本体の設定
- 時刻の設定
- アクセス管理
- 管理パスワード
- 保守
- コマンド実行 (コマンドの詳細は、 コマンドリファレンス を参照願います。)
- ファームウェアの更新
- CONFIG ファイルの管理
- SYSLOG の管理
- 再起動と初期化
- 本体の設定
サポート窓口のご案内
- Yamaha Pro Audio global website:
http://www.yamahaproaudio.com/ - Yamaha Downloads
http://download.yamaha.com/
ディップスイッチ制御
1 機能概要
本L2スイッチには、 4連ディップスイッチ が搭載されています。
各スイッチには機能が割り当てられており、あらかじめ設定しておくことで、PCからコマンド、GUIで設定を変更することなく本L2スイッチの動作を変更することができます。
なお、ディップスイッチに割り当てられている各機能は、コマンドおよびGUIから設定を変更することができません。
2 機能詳細
ディップスイッチに割り当てられている機能について、以下に示します。
ディップスイッチの設定は、本L2スイッチ起動時に各機能に反映されます。ディップスイッチの設定を本L2スイッチ起動後に変更した場合は、次回起動時に有効となります。
なお、出荷時のディップスイッチの状態は、すべて "上 (OFF)" に設定されています。
2.1 ディップスイッチ #1 : CONFIGモード の選択
本L2スイッチ起動時のモード (これをCONFIGモードと定義) を DANTEモード、 USERモード から選択します。
ディップスイッチ #1 の設定
設定位置 | 設定内容 |
---|---|
上 (OFF) | DANTE モードで起動します。 |
下 (ON) | USER モードで起動します。 |
- DANTE モード選択時の動作
システム起動時、必ず、ディップスイッチ #2/#3で指定したプリセットで起動します。
DANTE モードで起動した場合、copy、writeコマンドを使用して 設定の保存ができません。
ただし、IPv4アドレスなど保守に必要な設定は、 backup-config コマンド により保存することができます。(詳細はコマンドリファレンスを参照ください)
- USER モード選択時の動作
初回(または初期化後)のシステム起動時のみ、ディップスイッチ #2/#3で指定したプリセットで起動します。
USER モードで起動した場合、copy、writeコマンドを使用して 設定を保存することができます。
本モードでは、 ユーザーが保存したデータを使用することになります。
2.2 ディップスイッチ #2 / #3 : プリセットの選択
システム起動時の VLANプリセット を選択します。
システムへのプリセットの反映は、ディップスイッチ#1の設定に依存します。
具体的なプリセットの設定値については、 保守・運用機能 : SWP1 プリセット設定一覧 を参照ください。
ディップスイッチ #2 / #3 の設定
設定位置 | VLAN プリセットタイプ | |
---|---|---|
#2 | #3 | |
上 (OFF) | 上 (OFF) | Normal |
下 (ON) | 上 (OFF) | A |
上 (OFF) | 下 (ON) | B |
下 (ON) | 下 (ON) | C |
2.3 ディップスイッチ #4
現時点で機能は割当てられていません。
3 関連コマンド
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
設定情報を保存する | write |
copy running-config startup-config |
4 コマンド実行例
4.1 設定情報をConfigファイルに保存する
L2SW# write Building configuration... [OK]
5 注意事項
特になし
6 関連文書
特になし
Modeスイッチ制御
1 機能概要
本L2スイッチは、LAN/SFP ポートの状態を LED で表示します。
SWP1-16MMF を例に、MODEスイッチ、ポートLED の配置を以下に示します。
2 用語の定義
- LED点灯凡例
以降の説明で使用するLEDの点灯は、以下で表します。
LED 点灯凡例
3 機能詳細
3.1 表示モードと表示モードの切り替え
本L2スイッチは、以下に示す4つの表示モードを提供します。
モード名 | MODE LED 点灯状態 | 機能概要 |
---|---|---|
LINK/ACT モード | LANポートLED の上部 LED にリンク状態、下部 LED に接続速度を表示します。 SFPポートでは、リンク状態のみを表示します。 | |
STATUS モード | LANポートのループ検出状態を表示します。 本モードでは、SFPポート LED を消灯します。 | |
VLAN モード | LANポートに設定されているVLAN IDを表示します。 本モードでは、SFPポート LED を消灯します。 | |
OFF モード | LAN/SFPポート LED を消灯し、消費電力を落とします。 |
表示モードの切り替えは、MODEスイッチにより行います。
表示モードの切り替えの流れを以下に示します。
- 表示モードの切り替え (初期LEDモードが LINK/ACTモード の場合)
- システム起動後の表示モード 、 ループ解消後の表示モード は、初期 LED モード の設定に依存します。
詳細は、 3.5 システム起動後のLEDモードの変更 を参照ください。
- 独自アルゴリズムによりループを検出すると、ポートLEDの表示が、自動的にSTATUSモードに切り替わります。
本状態でMODEスイッチを押下しても、STATUSモードのままとなります。(ループが解消するまで受け付けません。)
本状態でMODEスイッチを3秒間長押しすると、ループ検出状態がリセットされ、LINK/ACTモードに表示が切り替わります。
(詳細は、*STATUS モード時のLED表示* を参照ください。)
3.2 LINK/ACT モード時のLED表示
LINK/ACTモードでは、ポートLEDに以下を表示します。
- LAN/SFP ポートのリンク状態
- LAN ポートの接続速度
リンク状態のLED表示について、以下に示します。
LAN/SFP ポートのリンク状態 LED表示
リンクダウン中 | リンクアップ中 | データ転送中 |
---|---|---|
( 消灯 ) | ( 緑点灯 ) | ( 緑点滅 ) |
接続速度のLED表示について、以下に示します。
LAN ポートの接続速度 LED表示
10BASE-T | 100BASE-T | 1000BASE-T |
---|---|---|
( 消灯 ) | ( 橙点灯 ) | ( 緑点灯 ) |
3.3 STATUS モード時のLED表示
STATUSモードでは、ポート LED に独自ループ検出機能により検出したループ状態を表示します。(LANポート LED のみ)
本L2スイッチの独自ループ検出機能では、LANポートの状態を4つの状態で管理します。
LANポートのループ検出状態ごとのポート LED 点灯状態について、以下に示します。
LANポートのループ検出状態ごとのポート LED 点灯状態
ループ検出状態 | 検出状態の説明 | LAN ポート LED の 点灯状態 |
---|---|---|
ループ未検出(Normal) | ループが発生していない状態 | ( 消灯 ) |
ループ検出中(Blocking) | スイッチ内のLANポート間でループが発生しているため、通信をブロッキングしている状態 | ( 橙点滅 ) |
ループ検出中(Detected) | スイッチ内のLANポート間でループが発生しているが、もう片方の通信をブロッキングしているため、通信を遮断していない状態 | ( 消灯 ) |
ループ検出中(Shutdown) | LANポートに接続したハブなどでループが発生しているため、該当ポートをシャットダウンしている状態 | ( 橙点滅 ) |
- 本L2スイッチの独自ループ検出機能により、STATUSモード以外の状態でループを検出すると、LANポート LED の表示は、強制的にSTATUSモードに切り替わります。
ループ検出中のSTATUSモードでは、以下の状態になると、自動で 初期 LED モード に切り替わります。
初期 LED モード については、 3.5 システム起動後のLEDモードの変更 を参照ください。
- ループが解消した
- MODEスイッチの長押し(3秒間)を行い、ループ検出状態をリセット(クリア)した
- Shutdown状態から監視時間(5分)が経過した (現時点で監視時間の変更はできない)
- Shutdown状態で ”no shutdown” コマンド実行後、リンクアップした
3.4 VLAN モード時のLED表示
VLANモードでは、ポート LED に VLAN の所属状況を表示します。(LANポートのみ)
ポート LED の点灯状態について、以下に示します。
VLAN モード時のポート LED の点灯状態
LANポートのVLAN所属状況 | LANポート LED の点灯状態 |
---|---|
どのVLANにも所属していない | ( 消灯 ) |
1つのVLANに所属 | VLAN IDのうち、若いIDから6つを特定の点灯パターンで表現します。 7番目以降のVLAN IDはすべて同じ点灯パターンとなります。 |
複数のVLANに所属 | ( 上下のポート LED を 橙色 で点灯 ) |
- デフォルトVLAN(VLAN #1)は、表示対象外とします。所属VLANとしてカウントしません。
- VLANの所属状況は、各LANポートのリンク状態に依存しません。リンクダウン状態のポートも表示対象となります。
- 表示対象となるVLAN IDは、所属するLANポートが存在するもののみとします。
VLAN IDのみが定義されているもの(所属LANポートがない)については、表示対象外となります。
3.5 システム起動後のLEDモードの変更
本L2スイッチは、システム起動後の LED モード (以降、初期 LED モード) を設定することができます。
初期 LED モードの初期値は、 LINK/ACT モード に設定されており、led-mode default コマンド により変更することができます。
また、show led-mode コマンドにより初期 LED モード、現在表示中の LED モード を確認することができます。
なお、ループ検出中の STATUS モード でループが解消されると、 設定した 初期 LED モードに遷移します。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
LAN/SFP ポート 状態表示 | show interface |
ループ検出 設定状態の表示 | show loop-detect |
VLAN 情報の表示 | show vlan brief |
初期LEDモードの設定 | led-mode default |
LEDモードの表示 | show led-mode |
5 コマンド実行例
5.1 LAN/SFP ポートの状態確認
L2SW# show interface Interface ge1 Link is UP Hardware is Ethernet HW addr: 00a0.deae.b818 ifIndex 1, MRU 1522 Speed-Duplex: auto(configured), 1000-full(current) Auto MDI/MDIX: on Interface counter: input packets : 483 bytes : 52551 multicast packets: 380 output packets : 258 bytes : 18640 multicast packets: 252 broadcast packets: 3 Interface ge2 Link is DOWN Hardware is Ethernet HW addr: 00a0.deae.b818 ifIndex 2, MRU 1522 Speed-Duplex: auto(configured), -(current) Auto MDI/MDIX: on Interface counter: : (全LAN/SFPポートの情報が表示される)
5.2 LAN/SFP ポート ループ検出状態の確認
SWP1# show loop-detect loop-detect: Enable port loop-detect port-blocking status ------------------------------------------------------- ge1 enable(*) enable Normal ge2 enable(*) enable Normal ge3 enable(*) enable Normal ge4 enable(*) enable Normal ge5 enable(*) enable Normal ge6 enable(*) enable Normal ge7 enable(*) enable Normal ge8 enable(*) enable Normal ge9 enable(*) enable Normal ge10 enable(*) enable Normal ge11 enable(*) enable Normal ge12 enable(*) enable Normal ge13 enable(*) enable Normal ge14 enable(*) enable Normal ge15 enable(*) enable Normal ge16 enable(*) enable Normal ge17 enable enable Normal ge18 enable enable Normal ------------------------------------------------------- (*): Indicates that the feature is enabled.
5.3 LAN/SFP ポート VLAN 所属状況の確認
L2SW# show vlan brief (u)-Untagged, (t)-Tagged VLAN ID Name State Member ports ======= ================================ ======= ====================== 1 default ACTIVE ge1(u) ge2(u) ge3(u) ge4(u) ge5(u) ge6(u) ge7(u) ge8(u) ge9(u) ge10(u) ge11(u) ge12(u) ge13(u) ge14(u) ge15(u) ge16(u) ge17(u) ge18(u) po1(u)
5.4 初期LEDモードの設定
初期LEDモードをOFFモードに設定します。
L2SW(config)# led-mode default eco … (初期LEDモードの設定) L2SW(config)# exit L2SW# show led-mode … (LEDモードの表示) default mode : eco current mode : eco
6 注意事項
特になし
7 関連文書
起動情報の管理
1 機能概要
- 本L2スイッチは、システム起動情報として下表に示す情報を管理します。
システム起動情報の管理項目
管理項目 説明 システム起動時刻 システムが起動した時刻 起動中のファームウェア情報 現在起動中のファームウェアのバージョン、生成日時 起動要因 起動が行われた要因。以下を記録する。 - 電源投入による起動
- ファームウェア更新による再起動
- reloadコマンドによる再起動
- メモリ枯渇による再起動
- cold startコマンドによる再起動
- カーネルパニックによる再起動
本L2スイッチは、現在の起動情報と過去4件の起動情報、 あわせて5件 の起動情報を保持します。
また、プログラム不具合などが原因でカーネルパニックが発生した際、 解析に有効な情報として、スタックダンプ、レジスタダンプを保存 します。
2 関連コマンド
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
起動情報の表示 | show boot |
起動情報のクリア | clear boot list |
3 コマンド実行例
3.1 起動情報の表示
- 現在の起動情報を表示します。
L2SW>show boot Running EXEC: SWP1 Rev.2.01.01 (Mon Sep 14 10:27:13 2015) Previous EXEC: SWP1 Rev.2.01.01 (Mon Sep 14 10:27:13 2015) Restart by reload command
- 起動履歴の一覧を表示します。
L2SW>show boot list No. Date Time Info --- ---------- -------- ------------------------------------------------- 0 2015/01/01 00:00:00 Restart by reload command 1 2015/01/01 00:00:00 Power-on boot --- ---------- -------- -------------------------------------------------
3.2 起動情報のクリア
- 起動情報をクリアします。
L2SW# clear boot list
4 注意事項
特になし
5 関連文書
特になし
筐体情報の表示
1 機能概要
1.1 コマンドによる筐体情報の表示
本L2スイッチは、下表に示す本体の表示機能を提供します。
筐体情報の表示項目一覧
表示項目 | 説明 | コマンド |
---|---|---|
バージョン情報 | 本L2スイッチで動作しているプログラムバージョンを表示します。 | show version |
製品情報 | 製品名、型番、プロダクトIDなど本L2スイッチ本体の情報を表示します。また、SFPモジュールが挿入されている場合、モジュールの製品情報についても表示します。 | show inventory |
稼働情報 | 起動ソフトウェアの情報、CPU使用率、メモリ使用率、起動時刻など、本L2スイッチのプログラムの稼働情報を表示します。 | show environment |
技術サポート情報 | 技術サポートに必要な解析情報として、稼働情報がわかるものを全て出力します。 | show tech-support |
1.2 技術サポート情報のリモート取得
PCなどのリモート端末にインストールされた tftpクライアント を使用して、本L2スイッチから 技術サポート情報(show tech-supportの出力結果) を取得することができます。
本L2スイッチのtftpサーバーを機能させるために、以下の手順でリモートアクセス可能なネットワーク環境を整備してください。
- 保守に使用するVLANを決めます。
- 保守VLANにIPv4アドレスを設定します。設定には、ip address コマンドを使用します。
- 保守VLANからtftpサーバーへのアクセスを許可します。設定には、tftp-server interface コマンドを使用します。
なお、tftpクライアント使用時、技術サポート情報取得先のリモートパスには、 techinfo を指定します。
2 関連コマンド
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
バージョン情報の表示 | show version |
製品情報の表示 | show inventory |
稼動情報の表示 | show environment |
技術サポート情報の表示 | show tech-support |
3 コマンド実行例
3.1 バージョン情報の表示
バージョン情報(以下の情報)を確認します。
- ブートバージョン
- ファームウェアリビジョン
- MACアドレス
L2SW>show version SWP1-16 BootROM Ver.1.00 SWP1-16 Rev.2.01.01 (Mon Sep 14 11:28:38 2015) Base ethernet MAC Address: 00a0.de00.0000
3.2 製品情報の表示
本体およびSFPモジュールの以下の製品情報を確認します。
- 名称 (NAME)
- 概要 (DESCR)
- ベンダー名 (Vendor)
- プロダクトID (PID)
- バージョンID (VID)
- シリアル番号 (SN) (SFPモジュールのみ)
L2SW>show inventory NAME: L2 switch DESCR: SWP1-16 Vendor: Yamaha PID: SWP1-16 VID: 0000 NAME: SFP1 DESCR: 1000BASE-SX Vendor: AVAGO PID: AFBR-5715APZ VID: SN: 00000000000 NAME: SFP2 DESCR: 1000BASE-SX Vendor: AVAGO PID: AFBR-5715APZ VID: SN: 00000000000
3.3 稼動情報の表示
システムの稼働状態(以下の情報)を確認します。
- ブートバージョン
- ファームウェアリビジョン
- MACアドレス
- CPU使用率
- メモリ使用率
- CONFIGモード
- VLANプリセット (DANTEモード時のみ)
- シリアルボーレート
- 起動時刻
- 現在時刻
- 起動からの経過時間
L2SW>show environment SWP1-16 BootROM Ver.1.00 SWP1-16 Rev.2.01.01 (Mon Sep 14 11:28:38 2015) main=SWP1-16 ver=00 MAC-Address=00a0.de00.0000 CPU: 0%(5sec) 1%(1min) 1%(5min) Memory: 45% used Configuration mode: DANTE VLAN preset: NORMAL Serial Baudrate: 9600 Boot time: 1970/01/01 00:00:00 +09:00 Current time: 1970/01/01 00:00:00 +09:00 Elapsed time from boot: 0days 00:00:00
3.4 技術サポート情報の表示
技術サポートに有用な以下のコマンド実行結果を表示します。
- show running-config
- show environment
- show inventory
- show boot all
- show logging
- show interface
- show frame-counter
- show vlan brief
- show spanning-tree mst detail
- show loop-detect
- show mac-address-table
- show l2ms
- show mls qos queue-counters
- show ddm status
- show errdisable
L2SW# show tech-support # # Information for Yamaha Technical Support # *** show running-config *** ! ip domain-lookup ! spanning-tree mode mstp ! ... # # End of Information for Yamaha Technical Support #
4 注意事項
特になし
5 関連文書
特になし
時刻管理
1 機能概要
本L2スイッチは、日付・時刻を管理する仕組みとして、以下の機能を提供します。
- ユーザーが手動で日付・時刻情報を設定する機能
- ネットワークを介して日付・時刻情報を自動的に設定する機能
- タイムゾーンを設定する機能
なお、サマータイム(DST:Daylight Saving Time)を設定する機能は提供しません。
2 用語の定義
- UTC(Coordinated Universal Time)
全世界で時刻を記録する際に使われる公式な時刻のこと。
世界各国の標準時はこれを基準として決めています。
日本の場合、日本標準時(JST)で、協定世界時より9時間進んでおり、「+0900(JST)」のように表示します。
- SNTP(Simple Network Time Protocol)
SNTPパケットを利用した、簡単な時計補正プロトコル。
RFC4330で規定されています。
3 機能詳細
3.1 日付・時刻の手動設定
clock setコマンドを使用して時刻を直接入力します。
3.2 日付・時刻の自動設定
指定したタイムサーバーから日付・時刻情報を収集し、本L2スイッチに設定します。
通信プロトコルとしては、RFC4330で規定されるSNTP(Simple Network Time Protocol)を利用します。
タイムサーバーは 1つのみ 指定でき、IPv4アドレス、IPv6アドレス、FQDN (Fully Qualified Domain Name) のいずれかを指定できます。
SNTPクライアントのポート番号は、123番を使用します。(ユーザーが設定を変更することはできません)
日付・時刻の自動設定の方法として、 ntpdateコマンド により以下の2つから選択できます。
- ワンショット更新(コマンド入力時に更新をかける機能)
- インターバル更新(コマンド入力から更新を1~24時間の周期で行う機能)
初期状態では、タイムサーバーとして ntp.nict.jp が、インターバル更新周期として 1時間 が設定されています。
ただし、システム起動後、時刻の初回設定ができない状態では、インターバル周期時間に関係なく、1分周期でタイムサーバーに対して問合せを行います。
時刻の初期設定が完了した時点で、インターバル周期に合わせた時刻の周期補正が行われます。
なお、タイムサーバーとの同期は、サンプリング数(サーバーからの応答回数)が1回、タイムアウト1秒で動作します。
コマンド実行中はブロックされ、タイムアウトが発生すると、エラーメッセージを出力します。
3.3 タイムゾーンの設定
生活拠点としている地域の時刻を管理するために、clock timezoneコマンドにより、使用するユーザーのタイムゾーンを管理し、時刻に反映します。
タイムゾーンは、協定世界時(UTC)に対して±1時間単位で設定でき、その範囲は-12時間から+13時間とします。
本L2スイッチのタイムゾーンの初期値は、 +9.0 となっています。
4 関連コマンド
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
時刻の手動設定 | clock set |
タイムゾーンの設定 | clock timezone |
現在時刻の表示 | show clock |
NTPサーバーの設定 | ntpdate server |
NTPサーバーによる時刻同期(1ショット更新) | ntpdate oneshot |
NTPサーバーによる時刻同期(周期更新設定) | ntpdate interval |
NTPサーバーによる時刻同期設定情報の表示 | show ntpdate |
5 コマンド実行例
5.1 時刻の手動設定
タイムゾーンを JST (+9.00) に設定し、現在時刻を 2014.01.21 15:50:59 に設定します。
L2SW# configure terminal L2SW(config)# clock timezone +9:00 … (タイムゾーンの設定) L2SW(config)# exit L2SW# clock set 15:50:59 Jan 21 2014 … (時刻の設定) L2SW# show clock … (現在時刻の表示) 15:50:59 JST Tue Jan 21 2014
5.2 時刻の自動設定
タイムゾーンを JST (+9.00) に設定し、NTPサーバーをローカルの 192.168.1.1 に設定します。
また、NTPサーバーとの更新周期を 24時間に1回 になるように変更します。
L2SW# configure terminal L2SW(config)# clock timezone +9:00 … (タイムゾーンの設定) L2SW(config)# ntpdate server ipv4 192.168.1.1 … (NTPサーバーの設定) L2SW(config)# ntpdate interval 24 … (NTPサーバーとの周期更新を24時間に設定) L2SW(config)# exit L2SW# show clock … (現在時刻の表示) 15:50:59 JST Tue Jan 21 2014 L2SW(config)# show ntpdate … (NTPによる時刻同期設定の表示) NTP server : 192.168.1.1 adjust time : 2015-02-26 01:00 + interval 24 hours
6 注意事項
本L2スイッチは時刻情報の保存ができません。
このため本体を再起動すると、必ず 1970年1月1日 0時0分0秒 にリセットされます。(タイムゾーン設定が ±0.0 の場合)
7 関連文書
RFC 4330: Simple Network Time Protocol (SNTP) Version 4 for IPv4, IPv6 and OSI
ファームウェア更新
1 機能概要
本L2スイッチはプログラム不具合の修正や機能追加を行うために、以下の2つのファームウェア更新機能を提供します。
- PCなどのリモート端末に置かれた更新ファームウェアを本L2スイッチに送付して適用する機能
- 本L2スイッチのHTTPクライアントがHTTPサーバにアクセスし、最新のファームウェアをダウンロードして適用する機能
本更新機能を利用して、バージョンアップ、及び、バージョンダウンを行うことができます。
ファームウェア更新中は、MODEスイッチによるポートランプの表示モードに関係なく、以下の動作となります。
- 旧ファームウェアを消去している際、 LANポートランプを緑色で全点灯 します
- 新ファームウェアを書き込んでいる際、 LANポートランプを緑色で全点滅 します
更新ファームウェアの書き込みが正常に完了すると、 新しいファームウェアを有効にするため、システムを自動で再起動 します。
2 用語の定義
特になし
3 機能詳細
3.1 更新ファームウェア送付による更新
PCなどのリモート端末に置かれたファームウェアを本L2スイッチに送付し、起動ファームウェアとして適用させます。
本更新は、 tftpクライアント または Web GUI を使用して行います。
3.1.1 tftpクライアントを使用したファームウェア更新
PCなどのリモート端末にインストールされた tftpクライアント を使用して、本L2スイッチに更新ファームウェアを送付し、更新することができます。
本L2スイッチのtftpサーバーを機能させるために、以下の手順でリモートアクセス可能なネットワーク環境を整備してください。
- 保守に使用するVLANを決めます。
- 保守VLANにIPv4アドレスを設定します。設定には、ip address コマンドを使用します。
- 保守VLANからtftpサーバーへのアクセスを許可します。設定には、tftp-server interface コマンドを使用します。
tftpクライアントを使用して更新ファームウェアを送信する際は、以下のルールに従ってください。
- 転送モードには、 バイナリモード を指定してください。
- 更新ファームウェアの送信先のリモートパスには、 exec を指定してください。
送付した更新ファームウェアに問題がなければ、更新ファームウェアの書き込みを開始します。
3.1.2 Web GUI ローカルファイル指定によるファームウェア更新
Web GUIアクセス中の端末に置かれた更新ファームウェアを指定して、本L2スイッチに適用させます。
本機能では、新旧バージョンの確認は行わず、指定ファイルを強制的に書き換えます。
ローカルファイル指定によるファームウェアの更新は、Web GUI の [保守] - [ファームウェアの更新] のPCからファームウェアを更新 から行います。(下図の赤枠参照)
具体的な操作方法は、GUI内のヘルプを参照ください。
Web GUI PCからファームウェアを更新 初期画面
3.2 HTTPクライアントを使用した更新
HTTPクライアントを使用したファームウェア更新は、指定したURLから更新ファームウェアを取得し、本L2スイッチに適用します。
本機能はバージョンアップが前提で、リビジョンダウン許可中に限り、現バージョン以前のものを書き込むことを許可します。
同バージョンのファームウェアは書き込むことができません。
HTTPクライアントを使用したファームウェア更新は、以下の方法で実行することができます。
- CLI (Command-line interface)から firmware-updateコマンド を使用する
- Web GUI の ネットワーク経由でファームウェアを更新 を実行する
HTTPクライアントを使用したファームウェア更新は、下表の設定値に従って、動作します。
HTTPクライアントによるファームウェア更新 設定パラメータ
設定パラメータ | 説明 |
---|---|
ダウンロード先のURL | ファームウェアのダウンロード先URLを設定します。URLは最大255文字まで設定することができます。 初期値は、以下に設定されています。 |
リビジョンダウンの許可 | ファーム更新動作において、現在のバージョンより小さいバージョンの書き込みを許可するかどうかを設定します。 初期設定では、”許可しない” に設定されています。 なお、現在と同じバージョンの書き込みは許可しません。 |
タイムアウト | 以下の処理を行う際の処理完了を監視するためのタイマーを指定します。
監視タイマーは、 100秒 ~ 86,400秒 で指定可能で、初期設定は 300秒 に設定されています。 |
firmware-updateコマンド の使用方法は、 "5 コマンド実行例" または "コマンドリファレンス" を参照願います。
Web GUI の ネットワーク経由でファームウェアを更新 は、Web GUI の [保守] - [ファームウェアの更新] から実行します。(下図の赤枠参照)
具体的な操作方法は、GUI内のヘルプを参照ください。
Web GUI ネットワーク経由でファームウェアを更新 初期画面
4 関連コマンド
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
ファームウェア更新サイトの設定 | firmware-update url |
ファームウェア更新の実行 | firmware-update execute |
ファームウェアダウンロードタイムアウト時間の設定 | firmware-update timeout |
リビジョンダウンの許可 | firmware-update revision-down |
ファームウェア更新機能設定の表示 | show firmware-update |
5 コマンド実行例
ローカルのHTTPサーバーに更新ファームウェアを置き、本L2スイッチのファームウェアを管理するようにして、ファームウェア更新を行います。
- ダウンロードのURLを http://192.168.100.1/swp1.bin に変更します。
- リビジョンダウンは、 無効 のままとします。
- タイムアウト値は、 300秒 のままとします。
- ダウンロードURLを変更し、ファームウェア更新の設定を確認します。
L2SW(config)# firmware-update url http://192.168.100.1/swp1.bin … (ダウンロード先URLの設定) L2SW(config)# exit L2SW# show firmware-update … (ファームウェア更新機能設定の表示) url:http://192.168.100.1/swp1.bin timeout:300 (seconds) revision-down:disable
- ファームウェア更新を実行します。
L2SW# firmware-update execute … (ファームウェア更新の実行) Found the new revision firmware Current Revision: Rev.2.01.01 New Revision: Rev.2.01.02 Downloading... Update to this firmware? (Y/N)y … (yを入力) Updating... Finish (自動でリブートします)
- 更新ファームウェアのダウンロード中に、 "CTRL+C" で中断することができます。
L2SW# firmware-update execute Found the new revision firmware Current Revision: Rev.2.01.01 New Revision: Rev.2.01.02 Downloading... … (Ctrl-C を入力) ^CCanceled the firmware download
6 注意事項
特になし
7 関連文書
プリセット設定一覧
SWP1-8/8MMF/16MMF Preset Common Parameters
システム全体の共通設定
カテゴリ | 設定項目 | 設定値 |
---|---|---|
端末設定 | VTY数 | 8 |
VTY Timeout | 600sec | |
Console Timeout | 600sec | |
表示行数 | 24 | |
パスワード | ログインパスワード | なし |
管理者パスワード | なし | |
パスワードの暗号化 | 暗号化しない | |
時刻管理 | タイムゾーン | UTC±0 |
NTP サーバー | ntp.nict.jp | |
NTP 更新周期 | 1時間に1回 | |
Syslog | カーネルログ出力 | OFF |
Debug レベル ログ出力 | OFF | |
Information レベル ログ出力 | ON | |
Error レベル ログ出力 | ON | |
Syslog サーバー | なし | |
ファームウェア更新 | ダウンロードURL | http://www.rtpro.yamaha.co.jp/firmware/revision-up/swp1.bin |
リビジョンダウンの許可 | 許可しない | |
タイムアウト | 300sec | |
L2スイッチング | MACアドレス自動学習 | 有効 |
MACアドレス自動学習 エージング時間 | 300sec | |
スパニングツリー | 有効 | |
独自ループ検出 | 有効 | |
アクセス制御 | Telnet サーバー 状態 | 起動 |
Telnet サーバー アクセス | VLAN #1 のみ許可 | |
Http サーバー 状態 | 起動 | |
Http サーバー アクセス | VLAN #1 のみ許可 | |
Tftp サーバー アクセス | 全て拒否 | |
トラフィック制御 | QoS | 有効 |
QoS DSCP - 送信キューID 変換テーブル | DSCP: 8 → 送信キュー:2 DSCP:46 → 送信キュー:5 DSCP:56 → 送信キュー:7 上記以外 → 送信キュー:0 | |
フロー制御 (IEEE 802.3x) しきい値 | 規制開始: 80%, 規制復帰: 60% |
LAN/SFPポート単位の共通設定
カテゴリ | 設定項目 | 設定値 |
---|---|---|
基本設定 | 速度/通信モード設定 | auto |
クロス/ストレート自動判別 | 有効 | |
MRU | 1,522 Byte | |
ポートの説明 | なし | |
EEE | 無効 | |
L2MS | L2MS フィルター | プリセットに依存 |
L2スイッチング | スパニングツリー | プリセットに依存 |
独自ループ検出 | プリセットに依存 | |
トラフィック制御 | QoS トラストモード | DSCP |
フロー制御 (IEEE 802.3x) | 無効 | |
ストーム制御 | 無効 |
SWP1-8/8MMF Preset Type: Normal
LAN/SFPポートに対する設定
Interface | L2MS Filter | LAG (Static) | Port Mode | VLAN | STP | Loop Detection |
---|---|---|---|---|---|---|
etherCON1 | Disable | - | Access | 1(default) | × | ○ |
etherCON2 | Disable | - | Access | 1(default) | × | ○ |
etherCON3 | Disable | - | Access | 1(default) | × | ○ |
etherCON4 | Disable | - | Access | 1(default) | × | ○ |
etherCON5 | Disable | - | Access | 1(default) | × | ○ |
etherCON6 | Disable | - | Access | 1(default) | × | ○ |
etherCON7 | Disable | - | Access | 1(default) | × | ○ |
etherCON8 | Disable | - | Access | 1(default) | × | ○ |
opticalCON9 | Disable | sa1 | Access | 1(default) | ○ | × |
opticalCON10 | Disable |
- VLAN に対する設定
- VLAN #1 (for Dante & Control)
- IPv4 Address : DHCP
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- VLAN #1 (for Dante & Control)
SWP1-8/8MMF Preset Type: A
LAN/SFPポートに対する設定
Interface | L2MS Filter | LAG (Static) | Port Mode | VLAN | STP | Loop Detection |
---|---|---|---|---|---|---|
etherCON1 | Disable | - | Access | 1(default) | × | ○ |
etherCON2 | Disable | - | Access | 1(default) | × | ○ |
etherCON3 | Disable | - | Access | 2 | × | ○ |
etherCON4 | Disable | - | Access | 2 | × | ○ |
etherCON5 | Disable | - | Access | 1(default) | × | ○ |
etherCON6 | Disable | - | Access | 1(default) | × | ○ |
etherCON7 | Disable | - | Access | 2 | × | ○ |
etherCON8 | Disable | - | Access | 2 | × | ○ |
opticalCON9 | Disable | sa1 | Trunk | 1(native), 2 | ○ | × |
opticalCON10 | Disable |
- VLAN に対する設定
- VLAN #1 (for Dante)
- IPv4 Address : DHCP
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- VLAN #2 (for Control)
- IGMP Snooping: Disable
- VLAN #1 (for Dante)
SWP1-8/8MMF Preset Type: B
LAN/SFPポートに対する設定
Interface | L2MS Filter | LAG (Static) | Port Mode | VLAN | STP | Loop Detection |
---|---|---|---|---|---|---|
etherCON1 | Disable | - | Access | 1(default) | × | ○ |
etherCON2 | Disable | - | Access | 1(default) | × | ○ |
etherCON3 | Disable | - | Access | 2 | × | ○ |
etherCON4 | Disable | - | Access | 2 | × | ○ |
etherCON5 | Disable | - | Access | 1(default) | × | ○ |
etherCON6 | Disable | - | Access | 1(default) | × | ○ |
etherCON7 | Disable | sa1 | Trunk | 1(native), 2 | ○ | × |
etherCON8 | Disable | |||||
opticalCON9 | Disable | sa2 | Trunk | 1(native), 2 | ○ | × |
opticalCON10 | Disable |
- VLAN に対する設定
- VLAN #1 (for Dante)
- IPv4 Address : DHCP
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- VLAN #2 (for Control)
- IGMP Snooping: Disable
- VLAN #1 (for Dante)
SWP1-8/8MMF Preset Type: C
LAN/SFPポートに対する設定
Interface | L2MS Filter | LAG (Static) | Port Mode | VLAN | STP | Loop Detection |
---|---|---|---|---|---|---|
etherCON1 | Disable | - | Access | 1(default) | × | ○ |
etherCON2 | Disable | - | Access | 1(default) | × | ○ |
etherCON3 | Enable | - | Access | 2 | × | ○ |
etherCON4 | Enable | - | Access | 2 | × | ○ |
etherCON5 | Disable | - | Access | 1(default) | × | ○ |
etherCON6 | Disable | - | Access | 1(default) | × | ○ |
etherCON7 | Enable | - | Access | 2 | × | ○ |
etherCON8 | Enable | - | Access | 2 | × | ○ |
opticalCON9 | Disable | - | Access | 1(default) | × | ○ |
opticalCON10 | Enable | - | Access | 2 | × | ○ |
- VLAN に対する設定
- VLAN #1 (for Primary Dante & Control)
- IPv4 Address : DHCP
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- VLAN #2 (for Secondary Dante & Control)
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- IGMP Snooping: Enable
- VLAN #1 (for Primary Dante & Control)
SWP1-16MMF Preset Type: Normal
LAN/SFPポートに対する設定
Interface | L2MS Filter | LAG (Static) | Port Mode | VLAN | STP | Loop Detection |
---|---|---|---|---|---|---|
etherCON1 | Disable | - | Access | 1(default) | × | ○ |
etherCON2 | Disable | - | Access | 1(default) | × | ○ |
etherCON3 | Disable | - | Access | 1(default) | × | ○ |
etherCON4 | Disable | - | Access | 1(default) | × | ○ |
etherCON5 | Disable | - | Access | 1(default) | × | ○ |
etherCON6 | Disable | - | Access | 1(default) | × | ○ |
etherCON7 | Disable | - | Access | 1(default) | × | ○ |
etherCON8 | Disable | - | Access | 1(default) | × | ○ |
RJ45 9 | Disable | - | Access | 1(default) | × | ○ |
RJ45 10 | Disable | - | Access | 1(default) | × | ○ |
RJ45 11 | Disable | - | Access | 1(default) | × | ○ |
RJ45 12 | Disable | - | Access | 1(default) | × | ○ |
etherCON13 | Disable | - | Access | 1(default) | × | ○ |
etherCON14 | Disable | - | Access | 1(default) | × | ○ |
etherCON15 | Disable | - | Access | 1(default) | × | ○ |
etherCON16 | Disable | - | Access | 1(default) | × | ○ |
opticalCON17 | Disable | sa1 | Access | 1(default) | ○ | × |
opticalCON18 | Disable |
- VLAN に対する設定
- VLAN #1 (for Dante & Control)
- IPv4 Address : DHCP
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- VLAN #1 (for Dante & Control)
SWP1-16MMF Preset Type: A
LAN/SFPポートに対する設定
Interface | L2MS Filter | LAG (Static) | Port Mode | VLAN | STP | Loop Detection |
---|---|---|---|---|---|---|
etherCON1 | Disable | - | Access | 1(default) | × | ○ |
etherCON2 | Disable | - | Access | 1(default) | × | ○ |
etherCON3 | Disable | - | Access | 1(default) | × | ○ |
etherCON4 | Disable | - | Access | 1(default) | × | ○ |
etherCON5 | Disable | - | Access | 1(default) | × | ○ |
etherCON6 | Disable | - | Access | 1(default) | × | ○ |
etherCON7 | Disable | - | Access | 2 | × | ○ |
etherCON8 | Disable | - | Access | 2 | × | ○ |
RJ45 9 | Disable | - | Access | 1(default) | × | ○ |
RJ45 10 | Disable | - | Access | 1(default) | × | ○ |
RJ45 11 | Disable | - | Access | 2 | × | ○ |
RJ45 12 | Disable | - | Access | 2 | × | ○ |
etherCON13 | Disable | - | Access | 1(default) | × | ○ |
etherCON14 | Disable | - | Access | 1(default) | × | ○ |
etherCON15 | Disable | - | Access | 2 | × | ○ |
etherCON16 | Disable | - | Access | 2 | × | ○ |
opticalCON17 | Disable | sa1 | Trunk | 1(native), 2 | ○ | × |
opticalCON18 | Disable |
- VLAN に対する設定
- VLAN #1 (for Dante & Control)
- IPv4 Address : DHCP
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- VLAN #2 (for Control)
- IGMP Snooping: Disable
- VLAN #1 (for Dante & Control)
SWP1-16MMF Preset Type: B
LAN/SFPポートに対する設定
Interface | L2MS Filter | LAG (Static) | Port Mode | VLAN | STP | Loop Detection |
---|---|---|---|---|---|---|
etherCON1 | Disable | - | Access | 1(default) | × | ○ |
etherCON2 | Disable | - | Access | 1(default) | × | ○ |
etherCON3 | Disable | - | Access | 1(default) | × | ○ |
etherCON4 | Disable | - | Access | 1(default) | × | ○ |
etherCON5 | Disable | - | Access | 1(default) | × | ○ |
etherCON6 | Disable | - | Access | 1(default) | × | ○ |
etherCON7 | Disable | - | Access | 2 | × | ○ |
etherCON8 | Disable | - | Access | 2 | × | ○ |
RJ45 9 | Disable | - | Access | 1(default) | × | ○ |
RJ45 10 | Disable | - | Access | 1(default) | × | ○ |
RJ45 11 | Disable | - | Access | 2 | × | ○ |
RJ45 12 | Disable | - | Access | 2 | × | ○ |
etherCON13 | Disable | - | Access | 1(default) | × | ○ |
etherCON14 | Disable | - | Access | 2 | × | ○ |
etherCON15 | Disable | sa1 | Trunk | 1(native), 2 | ○ | × |
etherCON16 | Disable | |||||
opticalCON17 | Disable | sa2 | Trunk | 1(native), 2 | ○ | × |
opticalCON18 | Disable |
- VLAN に対する設定
- VLAN #1 (for Dante)
- IPv4 Address : DHCP
- IGMP Snooping: Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Querier : Enable
- Check TTL : Disable
- VLAN #2 (for Control)
- IGMP Snooping: Disable
- VLAN #1 (for Dante)
SWP1-16MMF Preset Type: C
LAN/SFPポートに対する設定
Interface | L2MS Filter | LAG (Static) | Port Mode | VLAN | STP | Loop Detection |
---|---|---|---|---|---|---|
etherCON1 | Disable | - | Access | 1(default) | × | ○ |
etherCON2 | Disable | - | Access | 1(default) | × | ○ |
etherCON3 | Disable | - | Access | 1(default) | × | ○ |
etherCON4 | Disable | - | Access | 1(default) | × | ○ |
etherCON5 | Enable | - | Access | 2 | × | ○ |
etherCON6 | Enable | - | Access | 2 | × | ○ |
etherCON7 | Enable | - | Access | 2 | × | ○ |
etherCON8 | Enable | - | Access | 2 | × | ○ |
RJ45 9 | Disable | - | Access | 1(default) | × | ○ |
RJ45 10 | Disable | - | Access | 1(default) | × | ○ |
RJ45 11 | Enable | - | Access | 2 | × | ○ |
RJ45 12 | Enable | - | Access | 2 | × | ○ |
etherCON13 | Disable | - | Access | 1(default) | × | ○ |
etherCON14 | Disable | - | Access | 1(default) | × | ○ |
etherCON15 | Enable | - | Access | 2 | × | ○ |
etherCON16 | Enable | - | Access | 2 | × | ○ |
opticalCON17 | Disable | - | Access | 1(default) | × | ○ |
opticalCON18 | Enable | - | Access | 2 | × | ○ |
- VLAN に対する設定
- VLAN #1 (for Primary Dante & Control)
- IPv4 Address : DHCP
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- VLAN #2 (for Secondary Dante & Control)
- IGMP Snooping: Enable
- Querier : Enable
- Query Interval : 30sec
- Fast-Leave : Disable
- Check TTL : Disable
- IGMP Snooping: Enable
- VLAN #1 (for Primary Dante & Control)
IPv4/IPv6共通設定
1 機能概要
本L2スイッチは、主に保守 (L2スイッチの設定操作) を行うために 以下に示す IPv4/IPv6ネットワーク共通の環境設定 に対応します。
- DNS クライアントの設定
2 用語の定義
特になし
3 機能詳細
3.1 DNS クライアントの設定
本L2スイッチは、 DNS (Domain Name System)クライアント に対応します。
NTPサーバー、Syslogサーバーなどに FQDN (Fully Qualified Domain Name) が設定されている場合にDNS サーバーに問合せを行うことでIPv4/IPv6アドレスを取得します。
本L2スイッチは、DNSクライアントの制御機能として、以下を提供します。
- DNS サーバーのIPアドレス設定
- デフォルトドメイン名の設定
- 検索ドメインリストの設定
なお、DNS サーバーへの問い合わせは、初期状態で 有効 となっており、 ip domain-lookupコマンド で設定を変更することができます。
3.1.1 DNS サーバーのIPアドレス設定
DNS サーバーのIPアドレスは、以下の方法で 最大3件 まで設定することができます。
- ip name-serverコマンド による手動設定
- IPv4/IPv6アドレスを設定することができます。
- DHCPによる自動設定
本L2スイッチでは、 コマンドで設定した情報を必ず優先的に扱います 。
設定されているDNS サーバーは、 show ip name-serverコマンド で確認します。
3.1.2 デフォルトドメインの設定
デフォルトドメインは、以下の方法で 1件のみ 設定することができます。設定可能な最大文字数は 255文字 です。
- ip domain-nameコマンド による手動設定
- DHCPによる自動設定
本L2スイッチでは、DNS サーバー のIPアドレスと同様、 コマンドで設定した情報を優先的に扱います 。
設定されているデフォルトドメインは、 show ip domain-nameコマンド で確認します。
なお、デフォルトドメイン名の利用は、検索ドメインリストに登録がない場合に限定されます。
3.1.3 検索ドメインリストの設定
本L2スイッチは、DNS問い合わせ時に使用するドメイン名を、検索ドメインリストで管理します。
ドメイン名は、検索ドメインリストに以下の方法で最大6件まで設定することができます。
- ip domain-listコマンド による手動設定
- DHCPによる自動設定
本L2スイッチでは、DNS サーバー のIPアドレス、デフォルトドメインと同様に、 コマンドで設定した情報を必ず優先的に扱います 。
設定されている検索ドメインリストは、 show ip domain-listコマンド で確認します。
なお、検索ドメインリストは、 登録するすべてのドメイン名の文字数の合計を255文字以内に収める必要があります 。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
機能種別 | 操作項目 | 操作コマンド |
---|---|---|
DNS クライアントの設定 | DNS クライアントの設定 | ip domain-lookup |
DNS サーバーアドレスの設定 | ip name-server | |
DNS サーバーアドレスの表示 | show ip name-server | |
デフォルトドメインの設定 | ip domain-name | |
デフォルトドメインの表示 | show ip domain-name | |
検索ドメインリストの設定 | ip domain-list | |
検索ドメインリストの表示 | show ip domain-list |
5 コマンド実行例
5.1 DNSクライアントの設定
本L2スイッチにDNSクライアントの設定をして、DNS問い合わせを行う環境を整備します。
- DNS問い合わせ先のサーバーのIPアドレスを 192.168.100.1 と 192.168.100.2 とします。
- DNS問い合わせ時に使用するデフォルトドメインを example.com とします。
- DNSへの問い合わせ機能を有効にします。
L2SW(config)#ip domain-lookup
- 初期値として設定されているため特に設定する必要はありません。
- DNSサーバーを設定します。
L2SW(config)#ip name-server 192.168.100.1 L2SW(config)#ip name-server 192.168.100.2
設定したDNSサーバー情報を確認します。
L2SW#show ip name-server 192.168.100.1 192.168.100.2
- デフォルトドメインを設定します。
L2SW(config)#ip domain-name example.com
設定したデフォルトドメイン情報を確認します。
L2SW#show ip domain-name example.com
6 注意事項
特になし
7 関連文書
特になし
IPv4基本設定
1 機能概要
本L2スイッチは、主に保守 (L2スイッチの設定操作) を行うために 以下に示す IPv4ネットワークの環境設定 に対応します。
- IPv4 アドレスの設定
- ルート情報の設定
- ARP テーブルの設定
2 用語の定義
- IPv4 リンクローカルアドレス
同一のセグメント内でのみ有効なアドレスで 169.254.0.0/16 ~169.254.255.255/16 の範囲のアドレス。
3 機能詳細
3.1 IPv4アドレスの設定
本L2スイッチは、 VLANインターフェース に対して、 IPv4アドレスとサブネットマスク を設定することができます。
設定方法としては、 固定設定 、 DHCPによる自動設定 に対応します。
- IPv4アドレスの固定/自動設定は、ip address コマンド で行います。
- DHCPによる自動設定を指定した際の動作は、以下となります。
- Discover/Requestメッセージに HostNameオプション (オプションコード12)を付加することができます。
- DHCPサーバーに対して要求するリース期間は、 72時間固定 となっています。(実際にリースされる期間はDHCPサーバーの設定に依存します。)
- 自動設定されている状態で no ip addressコマンド を実行すると、取得していたIPv4アドレスの解放メッセージをDHCPサーバーに送ります。
- DHCPサーバーより取得した情報は、 show dhcp leaseコマンド で確認します。
- IPv4アドレスは 1つのVLANインターフェースにのみ 設定することができます。
VLANインターフェースに割り振られているIPv4アドレスは、show ip interfaceコマンド で確認します。
- 初期状態では、 デフォルトVLAN (VLAN #1) に DHCPによる自動設定 を設定してあります。
3.2 Auto IP機能
本L2スイッチは、IPv4アドレスの設定機能として、MACアドレスをベースにIPv4リンクローカルアドレスを自動生成する Auto IP 機能を提供します。
Auto IP機能は、DHCPサーバーからIPv4アドレスが割り当てられない場合にのみ機能します。(前提として、IPv4アドレス設定がDHCPに設定されていること。)
自動生成したIPv4リンクローカルアドレスは、ARPによりネットワーク上で重複していないか確認します。
アドレスが重複していないことを確認できた場合に生成アドレスの使用を開始します。
なお、Auto IPによりIPv4リンクローカルアドレスが決定した後に、DHCPサーバーからIPv4アドレスが割り当てられた場合、IPv4リンクローカルアドレスを破棄して、DHCP サーバーからのアドレスを使用します。
3.3 ルート情報の設定
本L2スイッチは、Syslogメッセージの送信、NTPによる時刻合わせなどのIPv4ホストとして自発的にIPv4パケット送信する際、ルーティングテーブルを参照します。
本L2スイッチでは、以下の機能を使用して、ルーティングテーブルを操作します。
- VLANインターフェースのルート情報の設定
- デフォルトゲートウェイの設定
- スタティックルート情報の設定
- ルート情報の表示
3.3.1 VLANインターフェースのルート情報
本L2スイッチは、VLANインターフェースに対してIPv4アドレスを設定すると、ネットワークアドレスとVLAN ID の対応をルート情報として自動で設定します。
VLANインターフェースに対して設定したIPv4アドレスを解放すると、上記設定を削除します。
3.3.2 デフォルトゲートウェイの設定
本L2スイッチは、ルーティングテーブルに設定されていないネットワークアドレスに対してIPv4パケットを送信する先をデフォルトゲートウェイとして設定することができます。
- デフォルトゲートウェイの設定は、 ip routeコマンド で行います。
- デフォルトゲートウェイの表示は、 show ip routeコマンド で行います。
3.3.3 スタティックルート情報の設定
本L2スイッチは、 宛先ネットワークアドレスへのルート(送信するゲートウェイのアドレス) を静的に設定することができます。
- スタティックルート情報の設定は、ip routeコマンド で行います。
- スタティックルート情報の表示は、show ip routeコマンド で行います。
3.4 ARP テーブルの設定
本L2スイッチは、IPv4パケットを送信する際、ARP (Address Resolution Protocol) を利用して、IPv4アドレスからMACアドレスを取得します。
IPv4アドレス と MACアドレス の対応は、以下の仕様でARP テーブルに保存されます。
- ARP テーブルで保存する ARP エントリー は、以下の情報を管理します。
- IPv4アドレス
- MACアドレス
- VLAN インターフェース
- ARP テーブルは、動的/静的エントリーあわせて、 最大1023エントリー 保存されます。
- ARP テーブルに保存された動的エントリーは、初期状態で 1,200秒 保持する設定になっています。
エントリーの保持時間の変更は、 arp-ageing-timeoutコマンド で行います。
- ARP テーブルに保存された動的エントリーは、保持時間に関係なく clear arp-cacheコマンド でクリアすることができます。
- ARP テーブルに対する静的エントリーの設定は、 arpコマンド で行います。
- ARP テーブルの確認は、 show arp コマンドで行います。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
機能種別 | 操作項目 | 操作コマンド |
---|---|---|
IPv4 アドレスの設定 | IPv4アドレスの設定 | ip address |
IPv4アドレスの表示 | show ip interface | |
DHCPクライアントによる動的IPアドレスの設定 | ip address dhcp | |
DHCPクライアントの状態の表示 | show dhcp lease | |
ルート情報の設定 | デフォルトゲートウェイの設定 | ip route |
デフォルトゲートウェイの表示 | show ip route | |
スタティックルート情報の設定 | ip route | |
スタティックルート情報の表示 | show ip route | |
ルート情報の表示 | show ip route | |
ARP テーブルの設定 | ARP テーブルの表示 | show arp |
動的エントリーの保持時間の設定 | arp-ageing-timeout | |
動的エントリーのクリア | clear arp-cache | |
静的エントリーの設定 | arp |
5 コマンド実行例
5.1 IPv4ネットワーク環境の設定 (固定アドレス設定)
本L2スイッチにIPv4アドレスを設定して、リモート端末からアクセスを行う環境を整備します。
- 本L2スイッチの保守は、デフォルトVLAN (VLAN #1) で行います。
- IPv4アドレスは、デフォルトVLAN (VLAN #1) に対して 192.168.100.240/24 を設定します。
- VLAN #1 につながれたホストからの Web / TFTP アクセスを許可 します。
- デフォルトVLAN (VLAN #1) に対して 192.168.100.240/24 を設定します。
L2SW# configure terminal Enter configuration commands, one per line. End with CNTL/Z. L2SW(config)# interface vlan0.1 L2SW(config-if)# ip address 192.168.100.240/24
- 設定されているIPv4アドレスを確認します。
L2SW(config-if)# end L2SW# show ip interface brief Interface IP-Address Status Protocol vlan0.1 192.168.100.240 up up
- HTTPサーバー、TFTPサーバーに対してデフォルトVLAN (VLAN #1) からのアクセスを許可するように設定します。
設定後、リモートホストからWebアクセスをしてください。L2SW# configure terminal Enter configuration commands, one per line. End with CNTL/Z. L2SW(config)# http-server interface vlan0.1 ... (HTTPサーバーのアクセス許可) L2SW(config)# tftp-server interface vlan0.1 ... (TFTPサーバーのアクセス許可)
6 注意事項
特になし
7 関連文書
IPv6基本設定
1 機能概要
本L2スイッチは、主に保守 (L2スイッチの設定操作) を行うために 以下に示す IPv6ネットワークの環境設定 に対応します。
- IPv6 アドレスの設定
- ルート情報の設定
- Neighbor キャッシュテーブルの設定
2 用語の定義
- RA (Router Advertisement : ルータ広告)
IPv6ネットワークで、ルータが所属するネットワークの機器に対して、アドレス情報やネットワーク設定などを自動設定する仕組み。
- IPv6 アドレス
IPv6アドレスは、128ビットを16進数で表記します。以下のように、16bitごとに「:」で8つのフィールドに区切ります。
- 2001:02f8:0000:0000:1111:2222:0000:4444
以下のルールで表記の省略が可能です。
- 各フィールドの先頭が0の場合、0を省略可
- 0が4個のフィールドは0の記述を1個に省略可
- 0のみが連続する複数のフィールドは 全体で1箇所だけ「::」で省略可
上記のアドレスにこのルールを当てはめると以下のようになります。
- 2001:2f8::1111:2222:0:4444
- IPv6 リンクローカルアドレス
同一のセグメント内でのみ有効なアドレスで、以下の範囲のアドレス。
- [開始] FE80:0000:0000:0000:0000:0000:0000:0000
- [終了] FE80:0000:0000:0000:FFFF:FFFF:FFFF:FFFF
3 機能詳細
3.1 IPv6アドレスの設定
本L2スイッチは、 VLANインターフェース に対して、 IPv6アドレスとプレフィックス長 を設定することができます。
設定方法としては、 固定設定 、 RA (ルータ広告)による自動設定 に対応します。
- IPv6アドレスを設定するには、該当VLANインターフェイスで、IPv6機能を有効にする必要があります。
- IPv6機能の設定は、ipv6 enable コマンドで行います。
- IPv6機能を有効にすると、IPv6リンクローカルアドレスが自動的に割り当てられます。
- IPv6アドレスの固定/自動設定は、ipv6 address コマンド で行います。
- IPv6アドレスは 1つのVLANインターフェースのみ 設定することができます。
1つのVLANインターフェースに設定できるIPv6アドレスは、 固定設定または自動設定のどちらか となります。
VLANインターフェースに割り振られているIPv6アドレスは、show ipv6 interface コマンド で確認します。
3.2 ルート情報の設定
本L2スイッチは、Syslogメッセージの送信、NTPによる時刻合わせなどのIPv6ホストとして自発的にIPv6パケット送信する際、ルーティングテーブルを参照します。
本L2スイッチでは、以下の機能を使用して、ルーティングテーブルを操作します。
- VLANインターフェースのルート情報の設定
- デフォルトゲートウェイの設定
- スタティックルート情報の設定
- ルート情報の表示
3.2.1 VLANインターフェースのルート情報
本L2スイッチは、VLANインターフェースに対してIPv6アドレスを設定すると、ネットワークアドレスとVLAN ID の対応をルート情報として自動で設定します。
VLANインターフェースに対して設定したIPv6アドレスを解放すると、上記設定を削除します。
3.2.2 デフォルトゲートウェイの設定
本L2スイッチは、ルーティングテーブルに設定されていないネットワークアドレスに対してIPv6パケットを送信する先をデフォルトゲートウェイとして設定することができます。
- デフォルトゲートウェイの設定は、 ipv6 routeコマンド で行います。
- デフォルトゲートウェイの表示は、 show ipv6 routeコマンド で行います。
3.2.3 スタティックルート情報の設定
本L2スイッチは、 宛先ネットワークアドレスへのルート(送信するゲートウェイのアドレス) を静的に設定することができます。
- スタティックルート情報の設定は、ipv6 routeコマンド で行います。
- スタティックルート情報の表示は、show ipv6 routeコマンド で行います。
3.3 Neighbor キャッシュテーブルの設定
本L2スイッチは、IPv6パケットを送信する際、Neighbor Discovery (近隣検索)プロトコルを利用して、IPv6アドレスからMACアドレスを取得します。
IPv6アドレス と MACアドレス の対応は、以下の仕様でNeighbor キャッシュテーブルに保存されます。
- Neighbor キャッシュテーブルで保存する Neighbor キャッシュエントリー は、以下の情報を管理します。
- IPv6アドレス
- MACアドレス
- VLAN インターフェース
- Neighbor キャッシュテーブルは、動的/静的エントリーあわせて、 最大1023エントリー 保存されます。
- Neighbor キャッシュテーブルに保存された動的エントリーは、clear ipv6 neighbors コマンド でクリアすることができます。
- Neighbor キャッシュテーブルに対する静的エントリーの設定は、 ipv6 neighbor コマンド で行います。
- Neighbor キャッシュテーブルの確認は、 show ipv6 neighbor コマンドで行います。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
機能種別 | 操作項目 | 操作コマンド |
---|---|---|
IPv6 アドレスの設定 | IPv6アドレスの設定 | ipv6 address |
IPv6アドレスの表示 | show ipv6 interface | |
IPv6アドレスのRA設定 | ipv6 address autoconfig | |
ルート情報の設定 | デフォルトゲートウェイの設定 | ipv6 route |
デフォルトゲートウェイの表示 | show ipv6 route | |
スタティックルート情報の設定 | ipv6 route | |
スタティックルート情報の表示 | show ipv6 route | |
ルート情報の表示 | show ipv6 route | |
Neighbor キャッシュの設定 | 静的Neighbor キャッシュエントリーの設定 | ipv6 neighbors |
Neighbor キャッシュテーブルの表示 | show ipv6 neighbors | |
Neighbor キャッシュテーブルの消去 | clear ipv6 neighbors |
5 コマンド実行例
5.1 IPv6ネットワーク環境の設定 (固定設定)
本L2スイッチにIPv6アドレスを手動設定して、リモート端末からアクセスを行う環境を整備します。
- 本L2スイッチの保守は、デフォルトVLAN (VLAN #1) で行います。
- IPv6アドレスは、デフォルトVLAN (VLAN #1) に対して手動で設定します。
- VLAN #1 につながれたホストからの Web / TFTP アクセスを許可 します。
- デフォルトVLAN (VLAN #1) に対して 2001:db8:1::2/64 を設定します。
L2SW#configure terminal Enter configuration commands, one per line. End with CNTL/Z. L2SW(config)#interface vlan0.1 L2SW(config-if)#ipv6 enable ... (IPv6を有効にする) L2SW(config-if)#ip address 2001:db8:1::2/64 ... (IPv6アドレスを設定する)
- 設定したIPv6アドレス情報を確認します。
L2SW(config-if)#end L2SW#show ipv6 interface brief Interface IP-Address Status Protocol vlan0.1 2001:db8:1::2/64 up up fe80::2a0:deff:fe:2/64
- HTTPサーバー、TFTPサーバーに対してデフォルトVLAN (VLAN #1) からのアクセスを許可するように設定します。
設定後、リモートホストからWebアクセスをしてください。L2SW(config)#http-server interface vlan0.1 ... (HTTPサーバーのアクセス許可) L2SW(config)#tftp-server interface vlan0.1 ... (TFTPサーバーのアクセス許可)
5.2 IPv6ネットワーク環境の設定 (RAによる自動設定)
本L2スイッチにIPv6アドレスを自動設定して、リモート端末からアクセスを行う環境を整備します。
- 本L2スイッチの保守は、デフォルトVLAN (VLAN #1) で行います。
- IPv6アドレスは、デフォルトVLAN (VLAN #1) に対して RA にて自動で設定します。
- VLAN #1 につながれたホストからの Web / TFTP アクセスを許可 します。
- デフォルトVLAN (VLAN #1) に対して RA を設定します。
L2SW#configure terminal Enter configuration commands, one per line. End with CNTL/Z. L2SW(config)#interface vlan0.1 L2SW(config-if)#ipv6 enable ... (IPv6を有効にする) L2SW(config-if)#ip address autoconfig ... (RAを設定する)
- RA により取得したIPv6アドレス情報を確認します。
L2SW(config-if)#end L2SW#show ipv6 interface brief Interface IP-Address Status Protocol vlan0.1 2001:db8::2a0:deff:fe:2/64 up up fe80::2a0:deff:fe:2/64
- HTTPサーバー、TFTPサーバーに対してデフォルトVLAN (VLAN #1) からのアクセスを許可するように設定します。
設定後、リモートホストからWebアクセスをしてください。L2SW(config)#http-server interface vlan0.1 ... (HTTPサーバーのアクセス許可) L2SW(config)#tftp-server interface vlan0.1 ... (TFTPサーバーのアクセス許可)
6 注意事項
特になし
7 関連文書
リモートアクセス制御
1 機能概要
本L2スイッチは、ネットワークサービスを実現する以下のアプリケーションに対して、アクセス制限を行う機能を提供します。
- Telnetサーバー
- Http サーバー
- Tftp サーバー
- Snmpエージェント
2 用語の定義
特になし
3 機能詳細
ネットワークサービスに対するアクセス制限として、以下の3つを可能とします。
- 該当サービスをシステムに常駐させるかどうかの制御(起動・停止制御)
- 受付ポート番号の変更
- サービス起動中のアクセス先の限定
下表にネットワークサービスごとに対応する機能を示します。
ネットワークサービスに対するアクセス制御
ネットワークサービス | 起動・停止制御 | 受付ポート番号の変更 | アクセス先の限定 |
---|---|---|---|
Telnet サーバー | ○ | ○ | ○ |
Http サーバー | ○ | ○ | ○ |
Tftp サーバー | × | × | ○ |
Snmp エージェント | × | × | ○ |
- ファームウェア更新、running-config、startup-configの設定/取得で使用するTftpサーバー、ネットワーク監視のために使用するSnmpエージェントは、本L2スイッチの基本機能として必要であるため常に起動(常駐機能)させます。
- ネットワークサービスの起動は、 原則一つ とします。同一サービスを多重起動させることはできません。
サービス起動中に同一サービスに対して起動制御を行うと、再立ち上げします。このため、接続中のセッションは 切断 されます。
- ネットワークサービスに対してのアクセス先の限定は、 VLANインターフェース に対して行います。
- ネットワークサービスの初期設定は下表のようになっています。
ネットワークサービス 起動・停止状態 受付ポート番号 アクセス先の限定 Telnet サーバー 起動 23 デフォルトVLAN (VLAN #1) のみ許可 Http サーバー 起動 80 デフォルトVLAN (VLAN #1) のみ許可 Tftp サーバー 起動 69 全て拒否 Snmp エージェント 起動 161 デフォルトVLAN (VLAN #1) のみ許可
(SNMPv1およびSNMPv2cによる読み出し専用)
4 関連コマンド
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
ネットワークサービス | 操作項目 | 操作コマンド |
---|---|---|
Telnetサーバー | 起動停止 | service telnet-server |
受付ポート番号変更 | service telnet-server (引数で指定) | |
アクセス制御 | telnet-server interface | |
設定の表示 | show telnet-server | |
Httpサーバー | 起動停止 | service http-server |
受付ポート番号変更 | service http-server (引数で指定) | |
アクセス制御 | http-server interface | |
設定の表示 | show http-server | |
Tftpサーバー | アクセス制御 | tftp-server interface |
Snmpエージェント | アクセス制御 | snmp-server community |
5 コマンド実行例
5.1 Telnetサーバーに対するアクセス制御
Telnetサーバーに対するアクセス制限を実現します。
Telnetサーバーの受付ポートを1024に変更し、保守VLANである VLAN #1000 からのみアクセスを許可します。
L2SW(config)# service telnet-server 1024 ... (受付ポートを1024に変更し、Telnetサーバーを再起動する) L2SW(config)# no telnet-server interface vlan0.1 ... (VLAN #1 からのアクセスを禁止する) L2SW(config)# telnet-server interface vlan0.1000 ... (VLAN #1000 のみアクセスを許可する) L2SW(config)# end L2SW# show telnet-server ... (設定状況の確認) Service:Enable Port:1024
5.2 Httpサーバーに対するアクセス制限
Httpサーバーに対するアクセス制限を実現します。
Httpサーバーの受付ポートを8080に変更し、保守VLANである VLAN #1000 からのみアクセスを許可します。
L2SW(config)# service http-server 8080 ... (受付ポートを8080に変更し、Httpサーバーを再起動する) L2SW(config)# no http-server interface vlan0.1 ... (VLAN #1 からのアクセスを禁止する) L2SW(config)# http-server interface vlan0.1000 ... (VLAN #1000 のみアクセスを許可する) L2SW(config)# end L2SW# show http-server ... (設定状況の確認) Service:Enable Port:8080
5.3 Tftpサーバーに対するアクセス制限
Tftpサーバーに対するアクセス制限を実現します。
Tftpサーバーへのアクセスは、保守VLANである VLAN #1 (デフォルトVLAN) からのみ許可します。
L2SW(config)# tftp-server interface vlan0.1 ... (VLAN #1 のみアクセスを許可する)
5.4 Snmpエージェントに対するアクセス制限
SNMPv1によるネットワーク監視を以下の条件で実現します。
- 読み出し専用のコミュニティ名"public"を設定し、アクセス可能なVLANインターフェースをVLAN #1(vlan0.1)とします。
- トラップの送信先を"192.168.100.11"に設定し、トラップのコミュニティ名を"snmptrapname"とします。
L2SW(config)# snmp-server community public ro interface vlan0.1 ... 1 L2SW(config)# snmp-server host 192.168.100.11 traps version 1 snmptrapname ... 2
6 注意事項
特になし
7 関連文書
SNMP
1 機能概要
SNMP (Simple Network Management Protocol) の設定を行うことにより、SNMP管理ソフトウェアに対してネットワーク管理情報のモニタと変更を行うことができるようになります。
このとき本L2スイッチはSNMPエージェントとして動作します。
本L2スイッチはSNMPv1、SNMPv2c、SNMPv3による通信に対応しています。またMIB (Management information Base) として RFC1213 (MIB-II) に対応しています。
SNMPv1およびSNMPv2では、コミュニティと呼ばれるグループの名前を相手に通知し、同じコミュニティに属するホスト間でのみ通信します。このとき、読み出し専用 (read-only) と読み書き可能 (read-write) の2つのアクセスモードに対して別々にコミュニティ名を設定することができます。
このようにコミュニティ名はある種のパスワードとして機能しますが、その反面、コミュニティ名は必ず平文でネットワーク上を流れるという特性があり、セキュリティ面では脆弱と言えます。よりセキュアな通信が必要な場合はSNMPv3の利用を推奨します。
SNMPv3では通信内容の認証、および暗号化に対応しています。SNMPv3はコミュニティの概念を廃し、新たにUSM (User-based Security Model) とVACM (View-based Access Control Model) と呼ばれるセキュリティモデルを利用することで、より高度なセキュリティを確保しています。
本L2スイッチの状態を通知するSNMPメッセージをトラップと呼びます。本L2スイッチではSNMP標準トラップを送信します。SNMPv1では通知メッセージの形式として、相手の受信確認応答を要求しないtrapリクエストを指定しますが、SNMPv2c, SNMPv3ではtrapリクエストか相手に受信確認応答を要求するinformリクエストかを選択できます。
SNMPv1およびSNMPv2cで利用する読み出し専用と送信トラップ用のコミュニティ名は、本L2スイッチでは特にデフォルト値を決めていませんので、適切なコミュニティ名を設定してください。ただし、上述の通りコミュニティ名はネットワーク上を平文で流れますので、コミュニティ名にログインパスワードや管理パスワードを決して使用しないよう注意してください。
初期設定では、各SNMPバージョンにおいてアクセスが一切できない状態となっています。また、トラップの送信先ホストは設定されておらず、どこにもトラップを送信しません。
2 用語の定義
特になし
3 機能詳細
各SNMPバージョンの主な特徴とルーターの設定方針について以下に説明します。
具体的な設定例については後述する "5 コマンド実行例" をご覧ください。
3.1 SNMPv1
コミュニティ名によりSNMPマネージャとエージェント間の認証を行います。
管理する本L2スイッチをコミュニティというゾーンで分割して管理を行います。
MIBオブジェクトへのアクセス
snmp-server community コマンドで設定されたコミュニティ名でのアクセスを許可します。
IPアドレスが設定されているVLANインターフェースからアクセスすることができます。
SNMPトラップ
snmp-server host コマンドで設定されたホストへ本L2スイッチの状態を送信することが可能です。
snmp-server enable trap コマンドでどのようなトラップを送信するか設定します。
3.2 SNMPv2c
SNMPv1と同様に、コミュニティ名によりSNMPマネージャとエージェント間の認証を行います。
snmp-server community コマンドでSNMPv2cによりアクセスするときに使用するコミュニティ名を設定します。
また、本バージョンから新たにGetBulkリクエストやInformリクエストに対応します。
MIBオブジェクトをまとめて効率よく取得したり、本L2スイッチからの通知パケットに対する応答確認を行うことができます。
MIBオブジェクトへのアクセス
snmp-server community コマンドで設定されたコミュニティ名でのアクセスを許可します。
IPアドレスが設定されているVLANインターフェースからアクセスすることができます。
SNMPトラップ
snmp-server host コマンドで設定されたホストへ本L2スイッチの状態を送信することが可能です。
またコマンドの設定により送信メッセージの形式をトラップかInformリクエストかを選択することができます。
Informリクエストでは相手に受信確認応答を要求します。
3.3 SNMPv3
SNMPv3はSNMPv2までの全機能に加えてセキュリティ機能が強化されています。
ネットワーク上を流れるSNMPパケットを認証・暗号化することによって、SNMPv1、v2cでのコミュニティ名とSNMPマネージャのIPアドレスによるセキュリティ機能では実現できなかった盗聴、なりすまし、改竄、リプレイ攻撃などからSNMPパケットを守ることができます。
セキュリティ
SNMPv3では以下のセキュリティ機能を提供します。
- USM (User-based Security Model)
USMはメッセージレベルのセキュリティ確保を行うためのモデルで、共通鍵暗号に基づく認証と暗号化、メッセージストリーム改竄に対する防御を行います。
- セキュリティレベル
ユーザが所属するグループの設定のパラメータでセキュリティのレベルを指定することができます。
セキュリティレベルは認証・暗号化の組み合わせで以下のように分類できます。- noAuthNoPriv : 認証・暗号化を行わない
- AuthNoPriv : 認証のみ行う
- AuthPriv : 認証・暗号化を行う
- ユーザ認証
認証はデータの完全性 (改竄されていないこと) とデータの送信元の認証を行うための手続きでHMACを使用します。
認証鍵でハッシュを取ることによりメッセージが改竄されていないことと送信者がユーザ本人であることを確認できます。 ハッシュアルゴリズムとしてHMAC-MD5-96とHMAC-SHA-96をサポートします。
- 暗号化
SNMPv3では、管理情報の漏洩を防ぐ目的で、SNMPメッセージの暗号化を行います。
暗号方式はDES-CBCとAES128-CFBをサポートします。
snmp-server user コマンドで、ユーザ名と所属するグループ名、ユーザ認証方式、暗号化方式、パスワードを設定することができます。
グループ設定で指定したセキュリティレベルに応じて、必要な認証と暗号化の設定を行います。
- セキュリティレベル
- VACM (View-based Access Control Model)
VACMはSNMPメッセージのアクセス制御を行うモデルです。
- グループ
VACMでは、後述のアクセスポリシーをユーザ毎ではなくグループ毎に定義します。
snmp-server user コマンドのgroupオプションでユーザが所属するグループを設定します。ここで指定したグループ毎にアクセス可能なMIBビューを設定します。
- MIBビュー
SNMPv3では、グループ毎にアクセスできるMIBオブジェクトの集合を定義できます。このときMIBオブジェクトの集合をMIBビューと呼び、MIBビューは、オブジェクトIDのツリーを表すビューサブツリーを集約することで表現されます。
snmp-server view コマンドでMIBビューの設定を行います。ビューサブツリー毎にMIBビューに含めるか除外するかを選択できます。
- アクセスポリシー
VACMでは、グループ毎に読み込み、書き込みが許可されるMIBビューを設定します。
snmp-server group コマンドでグループ名、セキュリティレベル、MIBビューを設定します。
MIBビューは snmp-server view コマンドで設定されているMIBビューとなります。
- グループ
SNMPトラップ
snmp-server host コマンドで設定されたホストへ本L2スイッチの状態を送信することが可能です。
トラップを送信するには、あらかじめ snmp-server user コマンドでユーザを設定する必要があります。
またコマンドの設定により送信メッセージの形式をトラップかInformリクエストかを選択することができます。
Informリクエストでは相手に受信確認応答を要求します。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
SNMP通知メッセージの送信先ホストの設定 | snmp-server host |
送信する通知メッセージタイプの設定 | snmp-server enable trap |
システムコンタクトの設定 | snmp-server contact |
システムロケーションの設定 | snmp-server location |
SNMPコミュニティの設定 | snmp-server community |
SNMPビューの設定 | snmp-server view |
SNMPグループの設定 | snmp-server group |
SNMPユーザーの設定 | snmp-server user |
SNMPコミュニティの情報の表示 | show snmp community |
SNMPビューの設定内容の表示 | show snmp view |
SNMPグループの設定内容の表示 | show snmp group |
SNMPユーザーの設定内容の表示 | show snmp user |
5 コマンド実行例
5.1 SNMPv1 設定例
SNMPv1によるネットワーク監視を以下の条件で実現します。
- 読み出し専用のコミュニティ名"public"を設定し、アクセス可能なVLANインターフェースをVLAN #1(vlan0.1)とします。
- トラップの送信先を"192.168.100.11"に設定し、トラップのコミュニティ名を"snmptrapname"とします。
L2SW(config)# snmp-server community public ro interface vlan0.1 ... 1 L2SW(config)# snmp-server host 192.168.100.11 traps version 1 snmptrapname ... 2
5.2 SNMPv2c 設定例
SNMPv2cによるネットワーク監視を以下の条件で実現します。
- 読み書き可能なコミュニティ名を "private" とし、アクセス可能なVLANインターフェースをVLAN #1 とします。
- 通知メッセージの送信先を"192.168.100.12"とし、通知タイプをinformリクエスト形式、通知先のコミュニティ名を "snmpinformsname" とします。
L2SW(config)# snmp-server community private rw interface vlan0.1 ...1 L2SW(config)# snmp-server host 192.168.100.12 informs version 2c snmpinformsname ...2
5.3 SNMPv3 設定例
SNMPv3によるネットワーク監視を以下の条件で実現します。
- internetノード(1.3.6.1)以下を表すビューを "most" とします。
- mib-2ノード(1.3.6.1.2.1)以下を表すビューを "standard" とします。
- ユーザーグループ "admins" を作成し、"admins" グループに所属するユーザーに mostビュー へのフルアクセス権を与えます。
- ユーザーグループ "users" を作成し、"users" グループの所属するユーザーに standardビュー への読み出しアクセス権を与えます。
- "admins" グループに所属するユーザー "admin1" を作成します。
認証アルゴリズムに "HMAC-SHA-96" を採用し、パスワードを "passwd1234" とします。
暗号化アルゴリズムに "AES128-CFB" を採用し、暗号パスワードを "passwd1234" とします。 - "users" グループに所属するユーザー "user1" を作成します。
認証アルゴリズムに "HMAC-SHA-96" を採用し、パスワードを "passwd5678" とします。 - トラップ形式(応答確認なし)の通知メッセージを 192.168.10.3 に通知させます。
- Informリクエスト形式の通知メッセージを 192.168.20.3 に通知させます。
L2SW(config)# snmp-server view most 1.3.6.1 include ... 1 L2SW(config)# snmp-server view standard 1.3.6.1.2.1 include ... 2 L2SW(config)# snmp-server group admins priv read most write most ... 3 L2SW(config)# snmp-server group users auth read standard ... 4 L2SW(config)# snmp-server user admin1 admins auth sha passwd1234 priv aes passwd1234 ... 5 L2SW(config)# snmp-server user user1 users auth sha passwd5678 ... 6 L2SW(config)# snmp-server host 192.168.10.13 traps version 3 priv admin1 ... 7 L2SW(config)# snmp-server host 192.168.20.13 informs version 3 priv admin1 ... 8
6 注意事項
- ご使用のSNMPマネージャが対応するSNMPバージョンを事前にご確認ください。使用するSNMPバージョンに合わせて本L2スイッチの設定を行う必要があります。
- SNMPv3に関連する以下の機能には対応していません。
- プロキシ機能
- snmpV2サブツリー (1.3.6.1.6) 以降のMIBオブジェクトへのアクセス。また、SNMP経由によるSNMPv3関連の設定変更はサポートしていません。
- 以下のコマンドは、古いバージョン(Rev.2.01.04より前)に戻すとコマンド設定に失敗します。結果として、SNMPでMIB変数の取得設定ができなくなります。
- snmp-server community COMMUNITY RO_RW [interface IFNAME]
7 関連文書
- SWP1 Series Technical Data (Basic Functions)
- LAN/SFPポート制御
インターフェース基本設定
1 機能概要
本L2スイッチのインターフェース基本機能について説明します。
2 用語の定義
特になし
3 機能詳細
3.1 インターフェースの種類
本L2スイッチでは、下表の5種類のインターフェースを扱います。
インターフェース一覧
インターフェースの種類 | インターフェースID | 説明 |
---|---|---|
LANポート | ge | 本L2スイッチの物理ポート。 固定のLANポートと取り外し可能なSFPポートの2種類があります。 本インターフェースは、 ge に続けて筐体に印刷されているポート番号で表現します。 LANポート#1の指定: ge1 |
SFPポート | ||
VLANインターフェース | vlan | ユーザーが定義したVLAN。 本インターフェースは、 vlan に続けて "ブリッジID(0固定)" + "." + "VLAN ID" で表現します。 VLAN1の指定: vlan0.1 |
スタティック論理インターフェース | sa | ユーザーが定義したリンクアグリゲーション。 複数のLAN/SFPポートを束ねて1つのインターフェースとして使用することができます。 本インターフェースは、 sa または po に続けて "論理リンクID" で表現します。 論理リンクID #1のLACP論理インターフェースの指定:po1 |
LACP論理インターフェース | po |
3.2 インターフェース制御
本L2スイッチでは、インターフェースに対して下表の制御を行うことができます。
インターフェース制御項目
制御項目 | コマンド | 説明 |
---|---|---|
説明文の設定 | description | インターフェースに対して説明文を設定します。 |
有効化 / 無効化 | shutdown | インターフェースを有効化 / 無効化します。 |
通信速度/通信モード | speed-duplex | インターフェースの通信速度と通信モードを設定します。(以下から選択します。)
|
MRU | mru | インターフェースで受信可能な最大フレームサイズを 64~ 10,240 Byte の範囲で設定します。 |
クロス/ストレート自動判別 (Auto MDI/MDI-X機能) | mdix | 接続先のポートタイプ(MDI or MDI-X)を自動判別し、ケーブルの種別(クロス or ストレート)に依存することなく相互接続できるようにする機能です。 |
速度ダウンシフト | - | 1000BASE-Tで使用できないLANケーブルが接続された時に、自動で速度を落としてリンクを試みる機能です。 本機能は、LANポートに対して常に有効となっています。(無効にすることはできません) |
EEE | power | Ethernet向け省電力技術 (EEE: Energy Efficient Ethernet) を使用するかどうかを設定します。 IEEE 802.3az として標準化されています。 |
インターフェースに対するコマンド制御は、下表のようになっています。
インターフェース制御 対応表
インターフェース名 | 説明文の設定 | 有効化 / 無効化 | 通信速度/通信モード | MRU | クロス/ストレート自動判別 | EEE |
---|---|---|---|---|---|---|
LANポート | ○ | ○ | ○ | ○ | ○ | ○ |
SFPポート | ○ | ○ | ○(*1) | ○ | × | × |
VLANインターフェース | ○ | × | × | × | × | × |
スタティック論理インターフェース | ○ | ○ | × | × | × | × |
LACP論理インターフェース | ○ | ○ | × | × | × | × |
*1 : SFPポートに対する通信速度/通信モードの設定は、 オートネゴシエーション か 1000Mbps / 全二重 のどちらかになります。
3.3 LAN/SFPポートの初期状態
本L2スイッチのLAN/SFPは、初期状態でL2スイッチとして機能させるために、以下のようになっています。
- 全てのLAN/SFPポートは、デフォルトブリッジ(ブリッジID #0)に所属しています。
本L2スイッチでは、ブリッジIDを変更することはできません。
- LAN/SFPポートの初期状態は、初回起動時のプリセットで決まります。 (保守・運用機能:プリセット設定一覧 を参照のこと)
3.4 ポートミラーリング
本L2スイッチは、任意のLAN/SFPポートのトラフィックを、指定したポートにコピーするポートミラーリング機能を提供します。
コピーされたパケットを採取することで通信状況の解析を行うことができます。
本L2スイッチでは、ミラーポートの設定を1つすることができ、ミラーポートに対してそれ以外のすべてのLAN/SFPポートをモニターポートとして、割り付けることが可能です。
また、モニターポートに対しては、監視方向(送受信・送信のみ・受信のみ)を選択することが可能です。
ポートミラーリングの設定は、mirrorコマンドで行うことができます。
初期設定では、ミラーポートの設定は 無効 となっています。
3.5 フレームカウンター
本L2スイッチは、LAN/SFPポートごとに送受信したフレーム数をカウントしています。(これをフレームカウンターといいます)
フレームカウンターの参照は、show frame counterコマンドで行います。
下表にフレームカウンタの表示項目とその最大値を示します。
受信フレームカウンターの表示項目
表示項目 | 説明 | 最大値 |
---|---|---|
Octets | 受信オクテット数 | 18,446,744,073,709,551,615 |
Packets (*1) | 受信パケット数 | 34,359,738,360 |
Broadcast packets (*2) | ブロードキャストパケット受信数 | 4,294,967,295 |
Multicast packets (*2) | マルチキャストパケット受信数 | 4,294,967,295 |
Unicast packets (*2) | ユニキャストパケット受信数 | 4,294,967,295 |
Undersize packets (*2) | アンダーサイズパケット受信数 (64オクテット未満のパケット) | 4,294,967,295 |
Oversize packets (*2) | オーバーサイズパケット受信数 (1,523オクテット以上のパケット (*3)) | 4,294,967,295 |
Fragments (*2) | フラグメントパケット受信数 (64オクテット未満でCRCが異常であるパケット) | 4,294,967,295 |
Jabbers (*2) | ジャバーパケット受信数 (1,523オクテット以上でCRCが異常であるパケット (*3)) | 4,294,967,295 |
FCS errors (*2) | FCSエラーパケット受信数 | 4,294,967,295 |
RX errors | 受信エラー数 | 4,294,967,295 |
(*1) : Packetsは (*2) のパケットを合計した値になります。
(*3) : LAN/SFPポートに設定した MRU に依存し、変動します。
送信フレームカウンターの表示項目
表示項目 | 説明 | 最大値 |
---|---|---|
Octets | 送信オクテット数 | 18,446,744,073,709,551,615 |
Packets (*1) | 送信パケット数 | 12,884,901,885 |
Broadcast packets (*2) | ブロードキャストパケット送信数 | 4,294,967,295 |
Multicast packets (*2) | マルチキャストパケット送信数 | 4,294,967,295 |
Unicast packets (*2) | ユニキャストパケット受信数 | 4,294,967,295 |
TX errors | 送信エラー数 | 4,294,967,295 |
Collisions | コリジョン発生回数 | 4,294,967,295 |
(*1) : Packetsは (*2) のパケットを合計した値になります。
送受信フレームカウンターの表示項目
表示項目 | 説明 | 最大値 |
---|---|---|
64 octet packets | 64オクテット長のパケット送受信数 | 4,294,967,295 |
65 ~ 127 octet packets | 65~127オクテット長のパケット送受信数 | 4,294,967,295 |
128 ~ 255 octet packets | 128~255オクテット長のパケット送受信数 | 4,294,967,295 |
256 ~ 511 octet packets | 256~511オクテット長のパケット送受信数 | 4,294,967,295 |
512 ~ 1,023 octet packets | 512~1,023オクテット長のパケット送受信数 | 4,294,967,295 |
1,024 ~ MAX octet packets | 1,024~最大オクテット長 (*1) のパケット送受信数 | 4,294,967,295 |
(*1) : LAN/SFPポートに設定した MRU に依存し、変動します。
フレームカウンターは、clear countersコマンドで消去することもできます。
また、LAN/SFPポートの状態を表示する show interface コマンドを実行すると、送受信フレーム数の情報が表示されますが、
本情報は、フレームカウンターの情報をもとに表示しています。
以下に、show interface コマンドで表示する送受信フレーム数とフレームカウンターの対応について示します。
show interface コマンドで表示する送受信フレーム数とフレームカウンターの対応
表示項目 | 参照するフレームカウンタ情報 | |
---|---|---|
input | packets | 受信フレームカウンター の Packets |
bytes | 受信フレームカウンター の Octets | |
multicast packets | 受信フレームカウンター の Multicast packets | |
output | packets | 送信フレームカウンター の Packets |
bytes | 送信フレームカウンター の Octets | |
multicast packets | 送信フレームカウンター の Multicast packets | |
broadcast packets | 送信フレームカウンター の Broadcast packets |
4 関連コマンド
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照願います。
インターフェース基本機能 関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
説明文の設定 | description |
シャットダウン | shutdown |
通信速度・通信モードの設定 | speed-duplex |
MRU設定 | mru |
クロス/ストレート自動判別設定 | mdix auto |
EEE設定 | power efficient-ethernet auto |
EEE対応可否を表示する | show eee capabilities |
EEEステータス情報を表示する | show eee status |
ポートミラーリングの設定 | mirror |
ミラーリングポートの状態表示 | show mirror |
インターフェースの状態表示 | show interface |
LAN/SFP ポートのVLAN情報の表示 | show interface switchport info |
フレームカウンター表示 | show frame-counter |
フレームカウンターのクリア | clear counters |
SFPの状態表示 | show ddm status |
5 コマンド実行例
5.1 LANポートに対する基本設定
LANポートに対する基本的な設定例を以下に示します。
詳細な設定方法については、コマンドリファレンスを参照してください。
- LANポート#1 (ge1) に説明文を設定します。
L2SW(config)# interface ge1 L2SW(config-if)# description Connected to rtx1200-router
- LANポート#1 (ge1) を無効化します。
L2SW(config)# interface ge1 L2SW(config-if)# shutdown
- LANポート#1 (ge1) を有効化します。
L2SW(config)# interface ge1 L2SW(config-if)# no shutdown
- LANポート#1 (ge1)の通信速度/通信モードを 100Mbps/Full に設定します。
L2SW(config)# interface ge1 L2SW(config-if)# speed-duplex 100-full
5.2 ミラーリング設定
LANポート#1 で LANポート#4 の送受信フレーム、 LANポート#5 の送信フレームを監視できるようにします。
ポートの役割としては、以下のようになります。
- ミラーポート: LANポート#1 (ge1)
- モニターポート: LANポート#4 (ge4) 、LANポート#5 (ge5)
- ミラーポートであるLANポート#1 (ge1) に対して、モニターポートの設定を行います。
L2SW(config)# interface ge1 L2SW(config-if)# mirror interface ge4 direction both ... (送受信フレームの監視) L2SW(config-if)# mirror interface ge5 direction transmit ... (送信フレームの監視)
- ミラーリング設定を確認します。
L2SW# show mirror Mirror Test Port Name: ge1 ... (ge1 - ge4 の設定) Mirror option: Enabled Mirror direction: both Monitored Port Name: ge4 Mirror Test Port Name: ge1 ... (ge1 - ge5 の設定) Mirror option: Enabled Mirror direction: transmit Monitored Port Name: ge5
5.3 LAN/SFPポートの情報表示
- LANポート#1 (ge1) の状態を確認します。
L2SW# show interface ge1 Interface ge1 Link is UP Hardware is Ethernet HW addr: 00a0.deae.b89f Description: Connected to router ifIndex 1, MRU 1522 Speed-Duplex: auto(configured), 1000-full(current) Auto MDI/MDIX: on Interface counter: input packets : 320 bytes : 25875 multicast packets: 301 output packets : 628 bytes : 129895 multicast packets: 628 broadcast packets: 0
6 注意事項
特になし
7 関連文書
特になし
リンクアグリゲーション
1 機能概要
リンクアグリゲーションは、ネットワーク機器間を接続する複数のLAN/SFPポートを束ねて、一つの論理インターフェースとして扱う機能です。
リンクアグリゲーションは、複数の通信が発生する場合に有効な技術です。束ねた回線内でロードバランス機能を利用することで通信を分散させることができます。
また、リンクアグリゲーションで束ねた1つのLAN/SFPポートで障害が発生し、通信不可になった場合でも残りのポートで通信を継続します。
リンクアグリゲーション機能概要
本L2スイッチで提供するリンクアグリゲーションについて以下に示します。
リンクアグリゲーション提供機能
提供機能 | 内容 |
---|---|
スタティックリンクアグリゲーション | 束ねるLAN/SFPポートを手動で設定するリンクアグリゲーション。 LAN/SFPポートがリンクアップしたタイミングで論理インターフェースとして動き始めます。 |
LACPリンクアグリゲーション | LAN/SFPポートを束ねるのに LACP を利用するリンクアグリゲーション。 接続機器間でLACPによるネゴシエーションが成功すると、論理インターフェースとして動き始めます。 |
2 用語の定義
- LACP
Link Aggregation Control Protocol の略。IEEE802.3ad で標準化されている技術。
EtherChannel とも言われることがある。
- ロードバランス
論理インターフェースに所属している LAN/SFPポート 間で転送フレームを分散する機能。
分散するためのルールとしてフレーム内の L2/L3/L4 情報を使用する。
3 機能詳細
3.1 スタティック/LACP リンクアグリゲーション 共通仕様
本L2スイッチのスタティック/LACP リンクアグリゲーションの共通仕様について、以下に示します。
- 本L2スイッチのリンクアグリゲーションは、スタティック/LACPの両方を合わせて、 127インターフェース 定義することができます。
- 収容するLAN/SFPポートは、以下の設定が同じである必要があります。
(MRU の設定が違うポートを収容することはできますが、同じ設定にして収容することを推奨します。)
- 通信速度 / 通信モード
オートネゴシエーションに設定されている場合、収容ポート内で最初にネゴシエーションした結果と同じポートのみ収容します。
- ポートのモード (アクセス / トランク(ネイティブVLAN設定含む))
- 所属しているVLAN
- 通信速度 / 通信モード
- LAN/SFPポートを論理インターフェースに所属させると、以下の動作を行います。
- リンクアップしているLAN/SFPポートは、 リンクダウン します。
安全に論理インターフェースをシステムに組み込むため、論理インターフェースの初期値は シャットダウン 状態となっています。
- MSTP設定は破棄されデフォルト設定に戻ります。
LAN/SFPポートを論理リンクから脱退させた場合も、該当ポートのMSTP設定はデフォルト設定に戻ります。
- リンクアップしているLAN/SFPポートは、 リンクダウン します。
- 論理インターフェースに対して、以下の操作を行うことができます。
- 説明文の追加 (description コマンド)
- インターフェースの有効化/無効化 (shutdown コマンド)
- 動作中の論理インターフェースに対して、新たにLAN/SFPポートを所属させることはできません。
LAN/SFPポートを所属させる場合は、必ず論理インターフェースを シャットダウン してから行うようにしてください。
- 動作中の論理インターフェースから、所属しているLAN/SFPポートを脱退させることはできません。
所属しているLAN/SFPポートを脱退させる場合も、必ず論理インターフェースを シャットダウン してから行うようにしてください。
論理インターフェースから脱退させたLAN/SFPポートは、 シャットダウン 状態となります。必要に応じて、 有効化(no shutdown) してください。
- 論理インターフェースにはロードバランスの設定ができます。そのためのルールを以下の中から設定できます。
論理インターフェースを定義した際の初期値は、 宛先IPアドレス となっています。
- 宛先MACアドレス
- 送信元MACアドレス
- 宛先/送信元MACアドレス
- 宛先IPアドレス
- 送信元IPアドレス
- 宛先/送信元IPアドレス
- 宛先ポート番号
- 送信元ポート番号
- 宛先/送信元ポート番号
3.2 スタティック リンクアグリゲーション
スタティック リンクアグリゲーションの動作仕様について、以下に示します。
- スタティック論理インターフェースのインターフェース番号は、 1 ~ 12 の範囲で付与することができます。
- LAN/SFPポートをスタティック論理リンクインターフェースに所属させるには、static-channel-groupコマンドで行います。
1つのスタティック論理インターフェースに対して 最大8つのLAN/SFPポート を所属させることができます。
- スタティック論理インターフェースが存在しないインターフェース番号に対してLAN/SFPポートを所属させると、新たに論理インターフェースが生成されます。
- スタティック論理インターフェースからLAN/SFPポートを脱退させた結果、所属するポートが無くなった場合、該当論理インターフェースが削除されます。
- スタティック論理インターフェースの状態表示は、"show static-channel-group"コマンドで行います。
3.3 LACP リンクアグリゲーション
LACP リンクアグリゲーションの動作仕様について、以下に示します。
スタティックリンクアグリゲーションとの共通仕様については、 3.1 スタティック/LACPリンクアグリゲーション 共通仕様 を参照願います。
- LACP論理インターフェースのインターフェース番号は、 1 ~ 127 の範囲で付与することができます。
- LAN/SFPポートをLACP論理リンクインターフェースに所属させるには、channel-groupコマンドで行います。
1つのLACP論理インターフェースに対して 最大12のLAN/SFPポート を所属させることができます。
- LAN/SFPを所属させる際、以下の 動作モード を指定します。(アクティブモードの指定を推奨します)
- アクティブモード
LACPフレームを自発的に送信し、対向機器のポートとネゴシエーションを開始します。
- パッシブモード
LACPフレームを自発的に送信しないで、対向機器からのフレームを受信した場合に送信します。
- アクティブモード
- LACP論理インターフェースが存在しないインターフェース番号に対してLAN/SFPポートを所属させると、新たに論理インターフェースが生成されます。
- LACP論理インターフェースからLAN/SFPポートを脱退させた結果、所属するポートが無くなった場合、該当論理インターフェースが削除されます。
- LAN/SFPを所属させる際、以下の 動作モード を指定します。(アクティブモードの指定を推奨します)
- LACPに束ねる LAN/SFP ポートが 8 ポート以上ある場合、8ポートまでは LACP として束ねますが、 8ポートを越えた分については障害発生に備えて待機ポートとなります。
束ねる LAN/SFP ポートは、以下の優先順位に従って決定します。
- LACP ポートプライオリティ値が小さいものを優先します
- LACP ポートプライオリティ値が同じ場合、インターフェース番号が小さいものを優先します
- LACP論理インターフェースの動作に影響を与えるパラメータについて、以下に示します。
- LACP タイムアウト
LACP タイムアウトは、対向機器からのLACP フレームを受信できなかった場合にダウンしたと判断するための時間です。
lacp timeout コマンドで、 Long (90秒) または Short (3秒) のどちらかを指定します。
LACP タイムアウト値は、LACP フレームに格納されて対向機器に送信されます。
フレームを受信した対向機器は、格納されたLACPタイムアウトの 1/3の間隔 でLACPフレームを送信するようになります。
なお、論理インターフェース生成時の初期値は、 Long (90秒) となります。
- LACP システム優先度
LACP システム優先度は、対向機器との間で 論理インターフェースの制御をどちらの機器で行うのか を決める際に使用します。
対向機器との間で交換される システム 優先度 と MACアドレス を組み合わせた値(これを システムID と言います)で、優先度の高い機器が選択されます。
選択された機器では、論理インターフェースに所属するどのLAN/SFPポートを有効(Active)にするのかを決定します。
LACP システム優先度は、lacp system-priorityコマンドで 1 ~ 65,535 の範囲で指定することができます。(小さいほど優先度が高い)
なお、論理インターフェース生成時の初期値は、32,768 (0x8000) が設定されます。
- LACP ポート優先度
LACP ポート優先度は、 論理インターフェースに所属する LAN/SFPポート のアクティブ/スタンバイの制御 に使用します。
論理インターフェースに所属するLAN/SFPポートが最大数 (8ポート) より多い場合に LACP ポート優先度 と ポート番号 の組み合わせた値(これを ポートID と言います)に基づいてポートの状態を制御します。
LACP ポート優先度 と ポート番号 の組み合わせた値(これを ポートID と言います)に基づいてポートの状態を制御します。
LACP ポート優先度は、lacp port-priorityコマンドで 1 ~ 65,535 の範囲で指定することができます。(小さいほど優先度が高い)
なお、論理インターフェース生成時の初期値は、 32,768 (0x8000) が設定されます。
- LACP タイムアウト
- LACP論理インターフェースの状態表示は、"show etherchannel"コマンドで行います。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
スタティック論理インターフェースの設定 | static-channel-group |
スタティック論理インターフェースの状態表示 | show static-channel-group |
LACP論理インターフェースの設定 | channel-group |
LACP システム優先度の設定 | lacp system-priority |
LACP システム優先度の表示 | show lacp sys-id |
LACP ポート優先度の設定 | lacp port-priority |
LACP タイムアウトの設定 | lacp timeout |
LACP パケットカウンタのクリア | clear lacp |
LACP パケットカウンタの表示 | show lacp-counter |
LACP論理インターフェースの状態表示 | show etherchannel |
LACP論理インターフェースのプロトコル状態表示 | show etherchannel status |
ロードバランス機能のルールの設定 | port-channel load-balance |
5 コマンド実行例
5.1 スタティック論理インターフェースの設定
L2スイッチ間の通信のために、LANポート4本を使用したリンクアグリゲーションを設定します。
スタティック論理インターフェースの設定例
- リンクアグリゲーションはスタティック設定とします。
論理インターフェース番号は、スイッチA: #2 、 スイッチB: #5 とします。
- 論理インターフェースに所属するLANポートはすべてアクセスポートとし、VLAN #1000 に所属します。
- [スイッチA] VLAN #1000 を定義し、LANポート(#15, #17, #19, #21, #23)を所属させます。
あわせて、LANポート(#17, #19, #21, #23)を論理インターフェース #2 に所属させます。
L2SW(config)# vlan database ... (VLAN-ID #1000 の定義) L2SW(config-vlan)# vlan 1000 L2SW(config-vlan)# exit L2SW(config)# interface ge15 ... (LANポート #15 の設定) L2SW(config-if)# switchport access vlan 1000 ... (アクセスポートに設定し、VLAN #1000 に所属させる) L2SW(config-if)# interface ge17 ... (LANポート #17 の設定) L2SW(config-if)# switchport access vlan 1000 ... (アクセスポートに設定し、VLAN #1000 に所属させる) L2SW(config-if)# static-channel-group 2 ... (論理インターフェース #2 に所属させる) L2SW(config-if)# interface ge19 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# static-channel-group 2 L2SW(config-if)# interface ge21 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# static-channel-group 2 L2SW(config-if)# interface ge23 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# static-channel-group 2
- [スイッチA] 論理インターフェース #2 の設定状態を確認します。
L2SW# show static-channel-group % Static Aggregator: sa2 % Member: ge17 ge19 ge21 ge23
- [スイッチB] VLAN #1000 を定義し、LANポート(#07, #09, #11, #13, #15)を所属させます。
あわせて、LANポート(#09, #11, #13, #15)を論理インターフェース #5 に所属させます。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 1000 L2SW(config-vlan)# exit L2SW(config)# interface ge7 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# interface ge9 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# static-channel-group 5 L2SW(config-if)# interface ge11 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# static-channel-group 5 L2SW(config-if)# interface ge13 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# static-channel-group 5 L2SW(config-if)# interface ge15 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# static-channel-group 5
- [スイッチB] 論理インターフェース #5 の設定状態を確認します。
L2SW# show static-channel-group % Static Aggregator: sa5 % Member: ge9 ge11 ge13 ge15
- [スイッチA] 論理インターフェースを有効化します。
L2SW(config)# interface sa2 ... (論理インターフェース #2 の設定) L2SW(config-if)# no shutdown ... (論理インターフェースの有効化)
- [スイッチB] 論理インターフェースを有効化します。
L2SW(config)# interface sa5 ... (論理インターフェース #5 の設定) L2SW(config-if)# no shutdown ... (論理インターフェースの有効化)
- [スイッチA] 論理インターフェースの状態を確認します。
L2SW# show interface sa2 Interface sa2 Link is UP ... (有効化されていること) Hardware is AGGREGATE HW addr: (not set) ifIndex 66, MRU 1522 Interface counter: input packets : 1020 bytes : 102432 multicast packets: 1020 output packets : 15 bytes : 1845 multicast packets: 15 broadcast packets: 0
- [スイッチB] 論理インターフェースの状態を確認します。
L2SW# show interface sa5 Interface sa5 Link is UP Hardware is AGGREGATE HW addr: (not set) ifIndex 69, MRU 1522 Interface counter: input packets : 24 bytes : 2952 multicast packets: 24 output packets : 2109 bytes : 211698 multicast packets: 2109 broadcast packets: 0
5.2 LACP 論理インターフェースの設定
L2スイッチ間の通信のために、LANポート4本を使用したリンクアグリゲーションを設定します。
LACP論理インターフェースの設定例
- リンクアグリゲーションには LACP を使用します。
論理インターフェース番号は、スイッチA: #10 、 スイッチB: #20 とします。
スイッチAの論理インターフェースを アクティブ状態 に、スイッチBの論理インターフェースを パッシブ状態 にします。
- 論理インターフェースに所属するLANポートはすべてアクセスポートとし、VLAN #1000 に所属します。
- ロードバランスは、宛先/送信元IPアドレスを設定します。
- [スイッチA] VLAN #1000 を定義し、LANポート(#15, #17, #19, #21, #23)を所属させます。
あわせて、LANポート(#17, #19, #21, #23)を アクティブ状態 で 論理インターフェース #10 に所属させます。
この時点で論理インターフェースは、 シャットダウン 状態となっています。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 1000 ... (VLAN #1000 の定義) L2SW(config-vlan)# exit L2SW(config)# interface ge15 L2SW(config-if)# switchport access vlan 1000 ... (アクセスポートに設定し、VLAN #1000 に所属させる) L2SW(config-if)# interface ge17 L2SW(config-if)# switchport access vlan 1000 ... (アクセスポートに設定し、VLAN #1000 に所属させる) L2SW(config-if)# channel-group 10 mode active ... (論理インターフェース #10 に アクティブ状態 で所属させる) L2SW(config-if)# interface ge19 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# channel-group 10 mode active L2SW(config-if)# interface ge21 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# channel-group 10 mode active L2SW(config-if)# interface ge23 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# channel-group 10 mode active
- [スイッチA] 論理インターフェース #10 の設定状態を確認します。
L2SW# show etherchannel % Lacp Aggregator: po10 % Member: ge17 ge19 ge21 ge23 L2SW# show lacp sys-id ... (LACP システムID の確認: デフォルト値の設定(0x8000)になっている) % System 8000,00-a0-de-ae-b9-1f L2SW# show interface po10 Interface po10 Link is DOWN ... (リンクダウン状態になっている) Hardware is AGGREGATE HW addr: (not set) ifIndex 138, MRU 1522 Interface counter: input packets : 0 bytes : 0 multicast packets: 0 output packets : 0 bytes : 0 multicast packets: 0 broadcast packets: 0
- [スイッチA] VLAN #1000 を定義し、LANポート(#07, #09, #11, #13, #15)を所属させます。
あわせて、LANポート(#09, #11, #13, #15)を パッシブ状態 で 論理インターフェース #20 に所属させます。
この時点で論理インターフェースは、 シャットダウン 状態となっています。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 1000 ... (VLAN #1000 の定義) L2SW(config-vlan)# exit L2SW(config)# interface ge7 L2SW(config-if)# switchport access vlan 1000 ... (アクセスポートに設定し、VLAN #1000 に所属させる) L2SW(config-if)# interface ge9 L2SW(config-if)# switchport access vlan 1000 ... (アクセスポートに設定し、VLAN #1000 に所属させる) L2SW(config-if)# channel-group 20 mode passive ... (論理インターフェース #20 に パッシブ状態 で所属させる) L2SW(config-if)# interface ge11 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# channel-group 20 mode passive L2SW(config-if)# interface ge13 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# channel-group 20 mode passive L2SW(config-if)# interface ge15 L2SW(config-if)# switchport access vlan 1000 L2SW(config-if)# channel-group 20 mode passive
- [スイッチB] 論理インターフェース #20 の設定状態を確認します。
L2SW# show etherchannel % Lacp Aggregator: po20 % Member: ge9 ge11 ge13 ge15 L2SW# show lacp sys-id ... (LACP システムID の確認: デフォルト値の設定(0x8000)になっている) % System 8000,00-a0-de-ae-b8-7e L2SW# show interface po20 Interface po20 Link is DOWN ... (リンクダウン状態) Hardware is AGGREGATE HW addr: (not set) ifIndex 148, MRU 1522 Interface counter: input packets : 0 bytes : 0 multicast packets: 0 output packets : 0 bytes : 0 multicast packets: 0 broadcast packets: 0
- [スイッチA] 論理インターフェース #10 のロードバランスを宛先/送信元IPアドレスに設定し、有効化します。
L2SW(config)# interface po10 ... (論理インターフェース #10 の設定) L2SW(config-if)# port-channel load-labance src-dst-ip ... (論理インターフェースにロードバランスを設定) L2SW(config-if)# no shutdown ... (論理インターフェースの有効化)
- [スイッチB] 論理インターフェース #20 のロードバランスを宛先/送信元IPアドレスに設定し、有効化します。
L2SW(config)# interface po20 ... (論理インターフェース #20 の設定) L2SW(config-if)# port-channel load-labance src-dst-ip ... (論理インターフェースにロードバランスを設定) L2SW(config-if)# no shutdown ... (論理インターフェースの有効化)
- [スイッチA] 論理インターフェースの状態を確認します。
リンクアップし、フレームの送受信が開始されていることを確認します。
L2SW# show interface po10 Interface po10 Link is UP Hardware is AGGREGATE HW addr: (not set) ifIndex 138, MRU 1522 Interface counter: input packets : 560 bytes : 58239 multicast packets: 560 output packets : 98 bytes : 12474 multicast packets: 98 broadcast packets: 0 L2SW# L2SW# show lacp-counter % Traffic statistics Port LACPDUs Marker Pckt err Sent Recv Sent Recv Sent Recv % Aggregator po10 1000000 ge17 50 47 0 0 0 0 ge19 49 46 0 0 0 0 ge21 49 46 0 0 0 0 ge23 49 46 0 0 0 0
- [スイッチB] 論理インターフェースの状態を確認します。
リンクアップし、フレームの送受信が開始されていることを確認します。
L2SW# show interface po20 Interface po20 Link is UP Hardware is AGGREGATE HW addr: (not set) ifIndex 148, MRU 1522 Interface counter: input packets : 78 bytes : 9914 multicast packets: 78 output packets : 438 bytes : 45604 multicast packets: 438 broadcast packets: 0 L2SW# L2SW# show lacp-counter % Traffic statistics Port LACPDUs Marker Pckt err Sent Recv Sent Recv Sent Recv % Aggregator po20 1000000 ge9 55 57 0 0 0 0 ge11 54 56 0 0 0 0 ge13 54 56 0 0 0 0 ge15 54 56 0 0 0 0
6 注意事項
プライベートVLANに属しているポートは、ホストポートに限り、リンクアグリゲーション論理インターフェースとして束ねることができません。
7 関連文書
FDB
1 機能概要
フォワーディングデータベース(以降、FDB)は、 宛先MACアドレスと送出ポートとVLANの組み合わせを管理するもので、本L2スイッチは、受信フレームの転送先ポートを決定する際に使用します。
宛先MACアドレスにより特定のLAN/SFPポートに転送することで、ユニキャストフレームによる無駄なトラフィックを抑止することができます。
本L2スイッチは、FDBに対して以下の機能を提供します。
- 学習機能の有効/無効制御
- 学習したFDBエントリの保持時間の調整
- 学習したFDBエントリのクリア
- FDBエントリの手動登録(スタティックエントリ)
2 用語の定義
- FDB
Forwarding Data Base の略。
宛先MACアドレスと送出ポートと VLAN の組み合わせを管理するデータベースのこと。
- FDBエントリー
FDBに登録するデータのこと。複数の要素で構成される。
3 機能詳細
3.1 FDBエントリー
本L2スイッチは、FDBに対して下表に示す内容を一つのエントリーとして登録します。
FDBエントリー
管理要素 | 説明 |
---|---|
VLAN ID | デバイスの所属するVLAN ID。1~4096の値となります。 |
MACアドレス | デバイスのMACアドレス。 |
ポート番号 | デバイスが存在するインターフェース*。 (*:LAN/SFPポート or スタティック/LACP論理インターフェース) |
アクション | デバイス宛てフレームの処理方法。 処理方法には、破棄(discard)と転送(forward)があります。 |
登録種別 | エントリの登録種別。以下の種別があります。
|
本L2スイッチは、自動学習/手動登録合わせて 最大16,384個のアドレス を登録できます。
すべての受信フレームをMACアドレス学習の対象とし、送信元MACアドレスを学習してFDBに登録します。
登録したMACアドレス情報は、エージングタイムアウトまで保持します。
MACアドレスの学習はVLAN単位に行い、FDB は MACアドレス と VLAN のペアで管理します。
異なるVLANであれば、同一のMACアドレス情報も学習します。
3.2 MACアドレスの自動学習
MACアドレスの自動学習とは、受信フレームの送信元MACアドレスと受信ポートの情報に基づいてFDBエントリーを動的に作成し、登録していくことを指します。
この自動学習により登録されたエントリーを ダイナミックエントリー といいます。
個々のダイナミックエントリーに対して、タイマー(エージングタイム)による監視が行われます。
一定時間フレーム受信がなかったMACアドレスに対するエントリーは、FDBから削除されます。
これにより、電源断、移動などで無効になったデバイスのエントリーが、FDBに残らないようになっています。
なお、時間内に再度受信があった場合は、監視タイマーがリセットされます。
以下に自動学習の制御仕様について示します。
- MACアドレスの自動学習は、mac-address-table acquireコマンドを使用して、有効/無効の制御が可能です。
初期状態では、有効となっています。
- 自動学習が有効な状態から、無効に変更すると、 学習したダイナミックエントリーはすべて削除 されます。
なお、学習機能・無効の設定は、すべての受信フレームを全ポートにフラッディングしたい場合に有用です。
- ダイナミックエントリーに対するエージングタイムの調整は、 10 ~ 634秒 の指定を可能とし、mac-address-table ageing-timeコマンドで行います。
初期状態では、300秒が設定されています。
- 学習したダイナミックエントリーのクリアは、clear mac-address-table dynamicコマンドで行います。
クリアする単位として、全FDB内容を一括クリアする指定のほかに、VLAN番号を指定することで指定VLANとして学習した全MACアドレスをFDBからクリアします。
また、ポート番号を指定することで指定ポートから学習したMACアドレスをFDBからクリアすることもできます。 - 自動学習の状態を確認するには、show mac-address-tableコマンドを使用します。
3.3 MACアドレスの手動設定
本L2スイッチは、受信フレームによる自動学習のほかに、ユーザーのコマンド操作でMACアドレスを設定することができます。
コマンド操作で登録したエントリーを スタティックエントリー といいます。
以下に手動設定についての仕様を示します。
- スタティックエントリーの登録は、mac-address-table staticコマンド を使用します。
- スタティックエントリーの削除は、no mac-address-table staticコマンド を使用します。
- 受信フレームの宛先MACアドレスに対して転送(forward)か廃棄(discard)かを指定可能とします。
- 転送指定を行う場合、転送先のLAN/SFPポート、またはスタティック/LACP論理インターフェースを指定することができます。
- 廃棄指定を行った場合、MACアドレスに対する受信フレームは、どのポートにも転送せずに廃棄します。
- スタティックエントリーの登録を行うと、そのMACアドレスに対してダイナミックな学習は行いません。
学習済みのエントリは、FDBから削除され、スタティックエントリーとして登録されます。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
MACアドレス学習機能の有効・無効設定 | mac-address-table acquire |
ダイナミックエントリー エージングタイムの設定 | mac-address-table ageing-time |
ダイナミックエントリーの削除 | clear mac-address-table dynamic |
スタティックエントリーの登録 | mac-address-table static |
スタティックエントリーの削除 | no mac-address-table static |
IGMP/MDL snooping マルチキャストアドレスの削除 | clear mac-address-table multicast |
MACアドレステーブルの参照 | show mac-address-table |
5 コマンド実行例
5.1 FDBの参照
L2SW# show mac-address-table VLAN port mac fwd type timeout 1 ge2 00a0.de11.2233 forward static 0 1 ge1 1803.731e.8c2b forward dynamic 300 1 ge1 782b.cbcb.218d forward dynamic 300
5.2 ダイナミックエントリーの削除
FDBに登録されているFDBエントリー ( MACアドレス00:a0:de:11:22:33 )を削除する
L2SW# clear mac-address-table dynamic address 00a0.de11.2233
5.3 ダイナミックエントリー エージング時間の変更
ダイナミックエントリーのエージング時間を 600秒 に変更する。
L2SW(config)# mac-address-table ageing-time 600
5.4 スタティックエントリーの登録
VLAN # 10に所属するデバイス (MACアドレス 00:a0:de:11:22:33) 宛てフレームをLANポート2 (ge2) に転送する。
L2SW(config)# mac-address-table static 00a0.de11.2233 forward ge2 vlan 10
VLAN # 10に所属するデバイス (MACアドレス 00:a0:de:11:22:33) 宛てフレームを破棄する。
インターフェース名の指定(例ではge2)は、動作に影響ありません。省略不可のため、LAN/SFPポートを指定してください。
L2SW(config)# mac-address-table static 00a0.de11.2233 discard ge2 vlan 10
5.5 スタティックエントリーの削除
VLAN # 10に所属するデバイス (MACアドレス 00:a0:de:11:22:33)宛ての転送設定を削除する。
L2SW(config)# no mac-address-table static 00a0.de11.2233 forward ge2 vlan 10
6 注意事項
特になし
7 関連文書
特になし
VLAN
1 機能概要
VLAN (Virtual LAN)は、1つの物理ネットワークを複数の論理ネットワークにわける技術です。
L2スイッチでVLANを使用すると、ルーター (L3スイッチ) と同じように複数のブロードキャストドメインに分割することができます。
本L2スイッチでサポートするVLANについて、以下に示します。
サポートVLANの種類
VLANの種類 | 概要 |
---|---|
ポートベースVLAN | LAN/SFPポート単位で通信可能なグループを構成します。 |
タグVLAN | イーサーネットフレームに付加した固定長のタグ情報で通信可能なグループを識別します。 1つのLAN/SFPポートで複数の異なるVLANを通信させることができます。 |
プライベートVLAN | 同一VLAN内で通信可能なグループを分割する。以下の3種類のVLANで構成します。
|
2 用語の定義
- ブロードキャストドメイン
Ethernetなどのネットワークで、ブロードキャストフレームが届く範囲のこと。
スイッチングハブなどのデータリンク層(MAC層)を中継する機器によって接続された端末同士が同じブロードキャストドメインに所属することになります。
一般的にEthernetにおけるネットワークとはこのブロードキャストドメインのことを指します。
3 機能詳細
3.1 VLAN ID の定義
本L2スイッチは、VLAN IDとして2~4094の範囲で最大255個定義することが可能です。(ID #1はデフォルトVLAN IDとして使用します。)
VLAN IDは、vlan databaseコマンドでVLANモード遷移後にvlanコマンドを使用して定義します。
詳細はコマンドリファレンスを参照願います。
3.2 LAN/SFPポートに対するVLAN設定
本L2スイッチでVLANを利用するためには、使用するVLANを定義した後に、以下の設定を行う必要があります。
- LAN/SFPポートのモードを設定する
- LAN/SFPポートの所属VLANを設定する
本L2スイッチのLAN/SFPポートに対するVLANの制御仕様について以下に示します。
なお、コマンド仕様については、コマンドリファレンスを参照願います。
- 本L2スイッチのLAN/SFPポートは、以下に示すどちらかのモードに設定します。
- アクセスポート
タグなしフレームを扱うポート。1つのVLANに所属することができます。 - トランクポート
タグなし/タグ付き両方のフレームを扱うポート。
複数のVLANに所属することができ、主にスイッチ同士を接続する際に使用します。
本L2スイッチでは、 IEEE 802.1Q のみをサポートします。(Cisco ISLについてはサポートしません。)
- アクセスポート
- LAN/SFPポートのモード設定は、switchport mode コマンドで行います。
トランクポートに設定する際、指定したVLAN ID以外のフレームを扱うかどうかを 入力フィルタ(ingress-filter) で制御することができます。
- 入力フィルタ有効時 : 指定したVLAN IDが設定されているフレームのみを扱います。
- 入力フィルタ無効時 : 全VLAN IDを扱います。
- LAN/SFPポートの設定モードの確認は、show interface switchportコマンドで行います。
- アクセスポートの所属VLANは、switchport access vlanコマンドで設定します。
- トランクポートの所属VLANは、switchport trunk allowed vlanコマンドで設定します。
トランクポートは複数のVLANに所属できるため、以下に示す all 、 none 、 except 、 add 、 remove で設定を行います。
- add
指定したVLAN IDを追加します。
追加可能なVLAN IDは、VLANモードで定義されているIDに限定されます。
- remove
指定したVLAN IDを削除します。
- all
VLANモードで定義した全てのVLAN IDを追加します。
本コマンド実行後、VLANモードで追加したVLAN IDも追加の対象となります。
- none
どのVLANにも所属しません。
- except
指定したVLAN ID以外を追加します。
本コマンド実行後、VLANモードで追加したVLAN IDも追加の対象となります。
- add
- トランクポートに対して、タグなしフレームを扱うVLAN( ネイティブVLAN )を指定することができます。
- LAN/SFPポートの所属VLANの確認は、show vlanコマンドで行います。
3.3 VLANに対するアクセス制限
本L2スイッチは、VLANに対するアクセス制御機能として、VLANアクセスマップ機能を提供します。
VLANアクセスマップは、VLAN IDに対するフィルタ条件として、標準/拡張IPアクセス制御リスト、MACアクセス制御リストを関連付けることができます。
VLANアクセスマップの操作は、以下のコマンドで行います。
- VLANアクセスマップの作成 : vlan access-mapコマンド
- VLANアクセスマップの条件設定 : match access-listコマンド
- VLANアクセスマップの割り当て : vlan filterコマンド
- VLANアクセスマップの表示 : show vlan access-mapコマンド
3.4 デフォルトVLAN
デフォルトVLANとは、本スイッチの初期状態から存在する VLAN #1 (vlan0.1) のことです。
デフォルトVLANは特殊なVLANであるため、常に存在し、削除することはできません。
なお、以下の操作を行うと、該当ポートは自動的にデフォルトVLANから削除されます。
- アクセスポートに対してVLAN を設定した
- トランクポートに対してデフォルトVLAN以外をネイティブVLANに設定した
- トランクポートに対してネイティブVLANをなし(none)にした
3.5 ネイティブVLAN
ネイティブVLANとは、トランクポートに設定したLAN/SFPポートで、受信したタグなしフレームを所属させるVLANのことです。
LAN/SFPポートをトランクポートとして定義すると、デフォルトVLAN(VLAN #1)がネイティブVLANとして設定されます。
特定のVLANをネイティブVLANとして定義する場合は、switchport trunk native vlanコマンドを使用します。
該当LAN/SFPポートでタグなしフレームを扱わないようにしたい場合は、ネイティブVLANをなしに設定することも可能です。(switchport trunk native vlanコマンドでnoneを指定)
なお、タグなしフレームを扱わないように設定した場合、以下の機能を使用できなくなりますので、注意が必要です。
- L2MS制御 (LANマップ表示、HTTPプロキシ制御)
- SWX2200 ループ検出
- WLX302 AP連携
3.6 プライベートVLAN
SXWS2300は、同一サブネット内でさらに通信可能なグループを分割する プライベートVLAN を構成できます。
動作仕様について、以下に示します。
- プライベートVLANは、以下に示す3種類のVLANで構成します。
- プライマリーVLAN
セカンダリーVLANの親となるVLANです。
1つのプライベートVLANに 1つだけ 設定することができます。
- アイソレートVLAN
セカンダリーVLANの一つで、プライマリーVLANだけにトラフィックを流します。
1つのプライベートVLANに 1つだけ 設定することができます。
- コミュニティVLAN
セカンダリーVLANの一つで、同じコミュニティVLANとプライマリーVLANにトラフィックを流します。
1つのプライベートVLANに 複数 設定することができます。
- プライマリーVLAN
- プライマリーVLANは、複数のプロミスカスポートを収容することができます。
プロミスカスポートとして使用できるポートは、 アクセスポート、トランクポート、スタティック/LACP論理インターフェース です。
- セカンダリーVLAN(アイソレートVLAN、コミュニティVLAN)のホストポートとして使用できるポートは、 アクセスポート のみとなります。
- セカンダリーVLAN(アイソレートVLAN、コミュニティVLAN)は、 1つのプライマリーVLAN と関連付けすることができます。
関連付けには、switchport private-vlan mappingコマンドを使用します。
- アイソレートVLANは、プライベートVLANに収容されている複数のプロミスカスポートと関連付けることができます。
- コミュニティVLANは、プライベートVLANに収容されている複数のプロミスカスポートと関連付けることができます。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
VLANモードへの遷移 | vlan database |
VLANインターフェースの定義、定義済VLANの変更 | vlan |
プライベートVLANの定義 | private-vlan |
プライベートVLANのセカンダリーVLANの設定 | private-vlan association |
VLANアクセスマップの作成 | vlan access-map |
VLANアクセスマップへの条件設定 | match |
VLANアクセスマップのVLANへの割り当て | vlan filter |
アクセスポート(タグなしポート)の設定 | switchport mode access |
アクセスポート(タグなしポート)の所属VLANの設定 | switchport access vlan |
トランクポート(タグ付きポート)の設定 | switchport mode trunk |
トランクポート(タグ付きポート)の所属VLANの設定 | switchport trunk allowed vlan |
トランクポート(タグ付きポート)のネイティブVLANの設定 | switchport trunk native vlan |
プライベートVLAN用ポート(プロミスカスポート,ホストポート)の設定 | switchport mode private-vlan |
プライベートVLAN用ポート・ホストポートのVLAN設定 | switchport private-vlan host-association |
プライベートVLAN用ポート・プロミスカスポートのVLAN設定 | switchport private-vlan mapping |
VLAN情報の表示 | show vlan |
プライベートVLAN情報の表示 | show vlan private-vlan |
VLANアクセスマップの表示 | show vlan access-map |
VLANアクセスマップフィルタの表示 | show vlan filter |
5 コマンド実行例
5.1 ポートベースVLAN の設定
ホストA~B間、ホストC~D間 の通信を可能にするために、本L2スイッチにポートベースVLANを設定します。
ポートVLANの設定例
本L2スイッチのLANポートの設定は以下とします。
- LANポート #1/#2 : アクセスポートに設定し、VLAN #1000 に所属
- LANポート #3/#4 : アクセスポートに設定し、VLAN #2000 に所属
- vlan database コマンドでVLANモードに移行し、vlanコマンドで2つのVLANを定義します。
L2SW(config)# vlan database … (VLANモードに移行) L2SW(config-vlan)# vlan 1000 … (VLAN #1000の作成) L2SW(config-vlan)# vlan 2000 … (VLAN #2000の作成) L2SW(config-if)# exit
- LANポート #1/#2をアクセスポートに設定し、VLAN #1000 に所属させます。
L2SW(config)# interface ge1 … (interface modeに移行) L2SW(config-if)# switchport mode access … (アクセスポートに設定) L2SW(config-if)# switchport access vlan 1000 … (VLAN IDの指定) L2SW(config-if)# exit (同じ操作をge2に対して適用させます)
- LANポート #3/#4をアクセスポートに設定し、VLAN #2000 に所属させます。
L2SW(config)# interface ge3 L2SW(config-if)# switchport mode access L2SW(config-if)# switchport access vlan 2000 L2SW(config-if)# exit (同じ操作をge4に対して適用させます)
- VLANの設定を確認します。
L2SW# show vlan brief (u)-Untagged, (t)-Tagged VLAN ID Name State Member ports ======= ================ ======= =============================== 1 default ACTIVE ge5(u) ge6(u) ge7(u) ge8(u) 1000 VLAN1000 ACTIVE ge1(u) ge2(u) 2000 VLAN2000 ACTIVE ge3(u) ge4(u)
5.2 タグVLAN の設定
ホストA~B間、ホストC~D間の通信を可能にするために、本L2スイッチの#A~#B間にタグVLANを設定します。
タグVLANの設定例
本L2スイッチ#A/#Bの LANポートの設定は以下とします。
- LANポート #1 : アクセスポートに設定し、VLAN #1000 に所属
- LANポート #2 : アクセスポートに設定し、VLAN #2000 に所属
- LANポート #3 : トランクポートに設定し、LAN #1000、VLAN #2000 に所属
- [スイッチ#A/#B] VLAN を定義します。
L2SW(config)# vlan database … (vlan mode に移行) L2SW(config-vlan)# vlan 1000 … (vlan0.1000の定義) L2SW(config-vlan)# vlan 2000 … (vlan0.2000の定義)
- [スイッチ#A/#B] LANポート1をアクセスポートに設定し、VLAN #1000 に所属させます。
L2SW(config)# interface ge1 … (interface mode に移行) L2SW(config-if)# switchport mode access … (アクセスポートに設定) L2SW(config-if)# switchport access vlan 1000 … (vlan0.1000に所属させる) L2SW(config-if)# exit
- [スイッチ#A/#B] LANポート2をアクセスポートに設定し、VLAN #2000 に所属させます。
L2SW(config)# interface ge2 … (interface modeに移行) L2SW(config-if)# switchport mode access … (アクセスポートに設定) L2SW(config-if)# switchport access vlan 2000 … (vlan0.2000に所属させる) L2SW(config-if)# exit
- [スイッチ#A/#B] LANポート3をトランクポートに設定し、VLAN #1000 / #2000 を所属させます。
L2SW(config)# interface ge3 … (interface mode に移行) L2SW(config-if)# switchport mode trunk … (トランクポートに設定) L2SW(config-if)# switchport trunk allowed vlan add 1000 … (vlan 0.1000を追加) L2SW(config-if)# switchport trunk allowed vlan add 2000 … (vlan 0.2000を追加) L2SW(config-if)# exit
- VLANの設定を確認します。
L2SW# show vlan brief (u)-Untagged, (t)-Tagged VLAN ID Name State Member ports ======= ================================ ======= ====================== 1 default ACTIVE ge3(u) 1000 VLAN1000 ACTIVE ge1(u) ge3(t) 2000 VLAN2000 ACTIVE ge2(u) ge3(t)
5.3 プライベートVLAN の設定
本L2スイッチにプライベートVLANを設定し、以下を実現します。
ポート1~7に接続したホストは、ポート8に接続した回線を介してインターネットなどの外部回線に接続します
ポート1~4に接続したホスト間の通信は遮断します (アイソレートVLAN : VLAN #21)
ポート5~7に接続したホスト間の通信は許可します (コミュニティVLAN : VLAN #22)
ポート1~4に接続したホストとポート5~7に接続したホスト間の通信は遮断します
プライベートVLANの設定例
- プライベートVLANで使用するVLAN IDを定義します。
L2SW(config)# vlan database … (vlanモードに移行) L2SW(config-vlan)# vlan 2 … (VLANの作成) L2SW(config-vlan)# vlan 21 L2SW(config-vlan)# vlan 22 L2SW(config-vlan)# private-vlan 2 primary … (Primary VLANの設定) L2SW(config-vlan)# private-vlan 21 isolated … (Isolated VLANの設定) L2SW(config-vlan)# private-vlan 22 community … (Community VLANの設定) L2SW(config-vlan)# private-vlan 2 association add 21 … (Primary VLANとの関連付け) L2SW(config-vlan)# private-vlan 2 association add 22 L2SW(config-vlan)# exit
- LANポート1~4にアイソレートVLAN(VLAN #21)を設定します。
L2SW(config)# interface ge1 … (interface modeに移行) L2SW(config-if)# switchport mode access … (アクセスポートに設定) L2SW(config-if)# switchport access vlan 21 .. (VLAN #21に所属) L2SW(config-if)# switchport mode private-vlan host … (プライベートVLANのホストポートに設定) L2SW(config-if)# switchport private-vlan host-association 2 add 21 L2SW(config-if)# exit (上記設定をge2~ge4に対しても行います。)
- LANポート5~7にコミュニティVLAN(VLAN #22)を設定します。
L2SW(config)# interface ge5 … (interfaceモードに移行) L2SW(config-if)# switchport mode access … (アクセスポートに設定) L2SW(config-if)# switchport access vlan 22 … (VLAN #22に所属) L2SW(config-if)# switchport mode private-vlan host … (プライベートVLANのホストポートに設定) L2SW(config-if)# switchport private-vlan host-association 2 add 22 L2SW(config-if)# exit (上記設定をge6, ge7に対しても行います。)
- LANポート8にプライマリVLAN(VLAN #2)を設定します。(プロミスカスポート)
L2SW(config)# interface ge8 … (interfaceモードに移行) L2SW(config-if)# switchport mode access … (アクセスポートに設定) L2SW(config-if)# switchport access vlan 2 … (VLAN #2に所属) L2SW(config-if)# switchport mode private-vlan promiscuous … (プライベートVLANのプロミスカスポートに設定) L2SW(config-if)# switchport private-vlan mapping 2 add 21 L2SW(config-if)# switchport private-vlan mapping 2 add 22 L2SW(config-if)# exit
- VLANの設定を確認します。
L2SW# show vlan brief (u)-Untagged, (t)-Tagged VLAN ID Name State Member ports ======= ================================ ======= ====================== 1 default ACTIVE 2 VLAN0002 ACTIVE ge8(u) 21 VLAN0021 ACTIVE ge1(u) ge2(u) ge3(u) ge4(u) 22 VLAN0022 ACTIVE ge5(u) ge6(u) ge7(u) L2SW#show vlan private-vlan PRIMARY SECONDARY TYPE INTERFACES ------- --------- ---------- ---------- 2 21 isolated ge1 ge2 ge3 ge4 2 22 community ge5 ge6 ge7
6 注意事項
- プライベートVLANに属しているポートは、ホストポートに限り、リンクアグリゲーション論理インターフェースとして束ねることができません。
- 以下のコマンドで、VLAN IDに "-" や "," を組み合わせて指定した場合、古いバージョン(Rev.2.01.04より前)に戻すとコマンド設定に失敗します。
結果として、正常に通信できなくなる可能性があります。(設定例:switchport trunk allowed vlan add 101,103-105)
- switchport trunk allowed vlan add VLAN-IDS
- switchport private-vlan mapping PRI-VLAN-ID add 2ND-VLAN-IDS
- private-vlan PRI-VLAN-ID association add 2ND-VLAN-IDS
7 関連文書
特になし
スパニングツリー
1 機能概要
スパニングツリーは、ネットワーク上の経路の冗長性を確保しつつ、ループを防止する機能です。
通常、L2スイッチは、ブロードキャストパケットを隣接するスイッチへフラッディングします。
ループ状にネットワークが構成されていた場合、スイッチは互いにフラッディングし合うため、ループが発生してしまいます。
これにより帯域幅とスイッチのCPUリソースは大幅に減少してしまいます。
スパニングツリーは、このような物理的にループ状に構成された場合でも、論理的にはツリー構造になるように各ポートの役割を決め、ブロードキャストパケットが回り続けることのない構成にします。
またリンク障害が発生した場合でも、障害を検出しツリーを再構築することで回復します。
本L2スイッチでは、STP, RSTP, MSTPをサポートしています。
スパニングツリー機能概要
2 用語の定義
- STP: Spanning Tree Protocol (802.1d)
スパニングツリープロトコル(STP)は、BPDU(ブリッジプロトコルデータユニット)メッセージを交換することで、ループを回避できるようにします。
本L2スイッチでは、 IEEE802.1d と RFC4188 をサポートしています。
- RSTP: Rapid Spanning Tree Protocol (802.1w)
ラピッドスパニングツリープロトコル(RSTP)は、STPを拡張したもので、構成の変更やリンク障害があった場合に、STPよりも高速にスパニングツリーを回復できます。
本L2スイッチでは、 IEEE802.1w と RFC4318 をサポートしています。
- MSTP:Multiple Spanning Tree Protocol (802.1s)
マルチプルスパニングツリープロトコル(MSTP)は、STPとRSTPを更に拡張したもので、VLANをインスタンスというグループにまとめ、そのグループ単位でスパニングツリーを構成します。
これにより経路の負荷を分散することができます。
本L2スイッチでは、 IEEE802.1s をサポートしています。
3 機能詳細
本L2スイッチは、MSTP によるルート構成を柔軟にするため、以下の機能に対応します。
- プライオリティの設定
- ブリッジプライオリティの設定
- ポートプライオリティの設定
- パスコストの設定
- タイムアウトの設定
- 転送遅延時間の設定
- 最大エージング時間の設定
- エッジポートの指定 (Port Fast設定)
- BPDU ガード
- BPDU フィルタリング
- ルートガード
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
システムのスパニングツリーの設定 | spanning-tree shutdown |
転送遅延時間の設定 | spanning-tree forward-time |
最大エージング時間の設定 | spanning-tree max-age |
ブリッジのプライオリティ設定 | spanning-tree priority |
インターフェースのスパニングツリーの設定 | spanning-tree |
インターフェースのリンクタイプの設定 | spanning-tree link-type |
インターフェースのBPDUフィルタリングの設定 | spanning-tree bpdu-filter |
インターフェースのBPDUガードの設定 | spanning-tree bpdu-guard |
インターフェースのパスコストの設定 | spanning-tree path-cost |
インターフェースのプライオリティの設定 | spanning-tree priority |
インターフェースのエッジポートの設定 | spanning-tree edgeport |
スパニングツリーの状態の表示 | show spanning-tree |
スパニングツリーのBPDUの統計情報の表示 | show spanning-tree statistics |
プロトコル互換モードのクリア | clear spanning-tree detected protocols |
MSTモードへの移行 | spanning-tree mst configuration |
MSTインスタンスの生成 | instance |
MSTインスタンスに対するVLANの設定 | instance vlan |
MSTインスタンスのプライオリティの設定 | instance priority |
MSTリージョン名の設定 | region |
MSTリージョンのリビジョン番号の設定 | revision |
インターフェースに対するMSTインスタンスの設定 | spanning-tree instance |
MSTインスタンスにおけるインターフェースのプライオリティの設定 | spanning-tree instance priority |
MSTインスタンスにおけるインターフェースのパスコストの設定 | spanning-tree instance path-cost |
MSTリージョン情報の表示 | show spanning-tree mst config |
MSTP情報の表示 | show spanning-tree mst |
MSTインスタンス情報の表示 | show spanning-tree mst instance |
5 コマンド実行例
5.1 MSTP 設定例
本L2スイッチを使用して、下図の構成を実現します。
MSTP構成図
- MSTインスタンスを使用してスパニングツリーを構成します。
- 負荷分散のため、MSTインスタンス(VLAN)ごとに経路が異なるように設定します。
- PCが接続されるLANポートはエッジポートにします。
- [スイッチ#A] VLAN #2 と VLAN #3 を定義します。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 2 ... (VLAN #2 の定義) L2SW(config-vlan)# vlan 3 ... (VLAN #3 の定義) L2SW(config-vlan)# exit
- [スイッチ#A] CISTのプライオリティを設定します。
L2SW(config)# spanning-tree priority 8192 ... (CISTのプライオリティを8192にする)
- [スイッチ#A] MSTの設定を行います。
L2SW(config)# spanning-tree mst configuration L2SW(config-mst)# region Sample ... (MSTリージョン名を「Sample」にする) L2SW(config-mst)# revision 1 ... (MSTリビジョン番号を1にする) L2SW(config-mst)# instance 2 vlan 2 ... (MSTインスタンス #2 を定義し、VLAN #2 と関連付ける) L2SW(config-mst)# instance 3 vlan 3 ... (MSTインスタンス #3 を定義し、VLAN #3 と関連付ける) L2SW(config-mst)# exit
- [スイッチ#A] LANポート #1 〜 #2 をトランクポートに設定し、VLAN #2 〜 #3 に所属させます。
また、MSTインスタンス #2 〜 #3 を設定します。L2SW(config)# interface ge1 L2SW(config-if)# switchport mode trunk ... (トランクポートに設定する) L2SW(config-if)# switchport trunk allowed vlan add 2,3 ... (VLAN #2 〜 #3 に所属させる) L2SW(config-if)# spanning-tree instance 2 ... (MSTインスタンス #2 を設定する) L2SW(config-if)# spanning-tree instance 3 ... (MSTインスタンス #3 を設定する) L2SW(config-if)# exit (上記設定をLANポート #2に対しても行います。)
- [スイッチ#A] LANポート #3 をアクセスポートに設定し、VLAN #2 に所属させます。
また、MSTインスタンス #2 を設定し、エッジポートにします。L2SW(config)# interface ge3 L2SW(config-if)# switchport mode access ... (アクセスポートに設定する) L2SW(config-if)# switchport access vlan 2 ... (VLAN #2 に所属させる) L2SW(config-if)# spanning-tree instance 2 ... (MSTインスタンス #2 を設定する) L2SW(config-if)# spanning-tree edgeport ... (エッジポートに設定する) L2SW(config-if)# exit
- [スイッチ#A] LANポート #4 をアクセスポートに設定し、VLAN #3 に所属させます。
また、MSTインスタンス #3 を設定し、エッジポートにします。
L2SW(config)# interface ge4 L2SW(config-if)# switchport mode access ... (アクセスポートに設定する) L2SW(config-if)# switchport access vlan 3 ... (VLAN #3 に所属させる) L2SW(config-if)# spanning-tree instance 3 ... (MSTインスタンス #3 を設定する) L2SW(config-if)# spanning-tree edgeport ... (エッジポートに設定する) L2SW(config-if)# exit
- [スイッチ#B] VLAN #2 と VLAN #3 を定義します。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 2 ... (VLAN #2 の定義) L2SW(config-vlan)# vlan 3 ... (VLAN #3 の定義) L2SW(config-vlan)# exit
- [スイッチ#B] CISTのプライオリティを設定します。
L2SW(config)# spanning-tree priority 16384 ... (CISTのプライオリティを16384にする)
- [スイッチ#B] MSTの設定を行います。
L2SW(config)# spanning-tree mst configuration L2SW(config-mst)# region Sample ... (MSTリージョン名を「Sample」にする) L2SW(config-mst)# revision 1 ... (MSTリビジョン番号を1にする) L2SW(config-mst)# instance 2 vlan 2 ... (MSTインスタンス #2 を定義し、VLAN #2 と関連付ける) L2SW(config-mst)# instance 2 priority 8192 ... (MSTインスタンス #2 のプライオリティを8192にする) L2SW(config-mst)# instance 3 vlan 3 ... (MSTインスタンス #3 を定義し、VLAN #3 と関連付ける) L2SW(config-mst)# instance 3 priority 16384 ... (MSTインスタンス #3 のプライオリティを16384にする) L2SW(config-mst)# exit
- [スイッチ#B] LANポート #1 〜 #2 をトランクポートに設定し、VLAN #2 〜 #3 に所属させます。
また、MSTインスタンス #2 〜 #3 を設定します。
L2SW(config)# interface ge1 L2SW(config-if)# switchport mode trunk ... (トランクポートに設定する) L2SW(config-if)# switchport trunk allowed vlan add 2,3 ... (VLAN #2 〜 #3 に所属させる) L2SW(config-if)# spanning-tree instance 2 ... (MSTインスタンス #2 を設定する) L2SW(config-if)# spanning-tree instance 3 ... (MSTインスタンス #3 を設定する) L2SW(config-if)# exit (上記設定をLANポート #2に対しても行います。)
- [スイッチ#B] LANポート #3 をアクセスポートに設定し、VLAN #2 に所属させます。
また、MSTインスタンス #2 を設定し、エッジポートにします。
L2SW(config)# interface ge3 L2SW(config-if)# switchport mode access ... (アクセスポートに設定する) L2SW(config-if)# switchport access vlan 2 ... (VLAN #2 に所属させる) L2SW(config-if)# spanning-tree instance 2 ... (MSTインスタンス #2 を設定する) L2SW(config-if)# spanning-tree edgeport ... (エッジポートに設定する) L2SW(config-if)# exit (上記設定をLANポート #4に対しても行います。)
- [スイッチ#C] VLAN #2 と VLAN #3 を定義します。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 2 ... (VLAN #2 の定義) L2SW(config-vlan)# vlan 3 ... (VLAN #3 の定義) L2SW(config-vlan)# exit
- [スイッチ#C] MSTの設定を行います。
L2SW(config)# spanning-tree mst configuration L2SW(config-mst)# region Sample ... (MSTリージョン名を「Sample」にする) L2SW(config-mst)# revision 1 ... (MSTリビジョン番号を1にする) L2SW(config-mst)# instance 2 vlan 2 ... (MSTインスタンス #2 を定義し、VLAN #2 と関連付ける) L2SW(config-mst)# instance 2 priority 16384 ... (MSTインスタンス #2 のプライオリティを16384にする) L2SW(config-mst)# instance 3 vlan 3 ... (MSTインスタンス #3 を定義し、VLAN #3 と関連付ける) L2SW(config-mst)# instance 3 priority 8192 ... (MSTインスタンス #3 のプライオリティを8192にする) L2SW(config-mst)# exit
- [スイッチ#C] LANポート #1 〜 #2 をトランクポートに設定し、VLAN #2 〜 #3 に所属させます。
また、MSTインスタンス #2 〜 #3 を設定します。
L2SW(config)# interface ge1 L2SW(config-if)# switchport mode trunk ... (トランクポートに設定する) L2SW(config-if)# switchport trunk allowed vlan add 2,3 ... (VLAN #2 〜 #3 に所属させる) L2SW(config-if)# spanning-tree instance 2 ... (MSTインスタンス #2 を設定する) L2SW(config-if)# spanning-tree instance 3 ... (MSTインスタンス #3 を設定する) L2SW(config-if)# exit (上記設定をLANポート #2に対しても行います。)
- [スイッチ#C] LANポート #3 をアクセスポートに設定し、VLAN #3 に所属させます。
また、MSTインスタンス #3 を設定し、エッジポートにします。
L2SW(config)# interface ge3 L2SW(config-if)# switchport mode access ... (アクセスポートに設定する) L2SW(config-if)# switchport access vlan 3 ... (VLAN #3 に所属させる) L2SW(config-if)# spanning-tree instance 3 ... (MSTインスタンス #3 を設定する) L2SW(config-if)# spanning-tree edgeport ... (エッジポートに設定する) L2SW(config-if)# exit (上記設定をLANポート #4に対しても行います。)
- LANケーブルを接続します。
- [スイッチ#A] CISTの構成を確認します。
L2SW>show spanning-tree | include Root Id % Default: CIST Root Id 200100a0deaeb920 ... (プライオリティが高いスイッチ #A がCISTのルートブリッジになる) % Default: CIST Reg Root Id 200100a0deaeb920 L2SW>show spanning-tree | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Designated - State Forwarding % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Designated - State Forwarding % ge3: Port Number 3 - Ifindex 3 - Port Id 8003 - Role Designated - State Forwarding % ge4: Port Number 4 - Ifindex 4 - Port Id 8004 - Role Designated - State Forwarding % ge5: Port Number 5 - Ifindex 5 - Port Id 8005 - Role Disabled - State Discarding % ge6: Port Number 6 - Ifindex 6 - Port Id 8006 - Role Disabled - State Discarding % ge7: Port Number 7 - Ifindex 7 - Port Id 8007 - Role Disabled - State Discarding % ge8: Port Number 8 - Ifindex 8 - Port Id 8008 - Role Disabled - State Discarding % ge9: Port Number 9 - Ifindex 9 - Port Id 8009 - Role Disabled - State Discarding
- [スイッチ#B] CISTの構成を確認します。
L2SW>show spanning-tree | include Root Id % Default: CIST Root Id 200100a0deaeb920 ... (プライオリティが高いスイッチ #A がCISTのルートブリッジになる) % Default: CIST Reg Root Id 200100a0deaeb920 L2SW>show spanning-tree | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Rootport - State Forwarding % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Designated - State Forwarding % ge3: Port Number 3 - Ifindex 3 - Port Id 8003 - Role Designated - State Forwarding % ge4: Port Number 4 - Ifindex 4 - Port Id 8004 - Role Designated - State Forwarding % ge5: Port Number 5 - Ifindex 5 - Port Id 8005 - Role Disabled - State Discarding % ge6: Port Number 6 - Ifindex 6 - Port Id 8006 - Role Disabled - State Discarding % ge7: Port Number 7 - Ifindex 7 - Port Id 8007 - Role Disabled - State Discarding % ge8: Port Number 8 - Ifindex 8 - Port Id 8008 - Role Disabled - State Discarding % ge9: Port Number 9 - Ifindex 9 - Port Id 8009 - Role Disabled - State Discarding
- [スイッチ#C] CISTの構成を確認します。
L2SW>show spanning-tree | include Root Id % Default: CIST Root Id 200100a0deaeb920 ... (プライオリティが高いスイッチ #A がCISTのルートブリッジになる) % Default: CIST Reg Root Id 200100a0deaeb920 L2SW>show spanning-tree | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Alternate - State Discarding ... (プライオリティが低いスイッチ #C のLAN #1 ポートがCISTの代替ポートになる) % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Rootport - State Forwarding % ge3: Port Number 3 - Ifindex 3 - Port Id 8003 - Role Designated - State Forwarding % ge4: Port Number 4 - Ifindex 4 - Port Id 8004 - Role Designated - State Forwarding % ge5: Port Number 5 - Ifindex 5 - Port Id 8005 - Role Disabled - State Discarding % ge6: Port Number 6 - Ifindex 6 - Port Id 8006 - Role Disabled - State Discarding % ge7: Port Number 7 - Ifindex 7 - Port Id 8007 - Role Disabled - State Discarding % ge8: Port Number 8 - Ifindex 8 - Port Id 8008 - Role Disabled - State Discarding % ge9: Port Number 9 - Ifindex 9 - Port Id 8009 - Role Disabled - State Discarding
- [スイッチ#A] MSTインスタンス #2 の構成を確認します。
L2SW>show spanning-tree mst instance 2 | include Root Id % Default: MSTI Root Id 200200a0deaeb879 ... (プライオリティが高いスイッチ #B がMSTインスタンス #2 のルートブリッジになる) L2SW>show spanning-tree mst instance 2 | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Rootport - State Forwarding % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Alternate - State Discarding ... (プライオリティが低いスイッチ #A のLAN #2 ポートがMSTインスタンス #2 の代替ポートになる) % ge3: Port Number 3 - Ifindex 3 - Port Id 8003 - Role Designated - State Forwarding
- [スイッチ#B] MSTインスタンス #2 の構成を確認します。
L2SW>show spanning-tree mst instance 2 | include Root Id % Default: MSTI Root Id 200200a0deaeb879 ... (プライオリティが高いスイッチ #B がMSTインスタンス #2 のルートブリッジになる) L2SW>show spanning-tree mst instance 2 | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Designated - State Forwarding % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Designated - State Forwarding % ge3: Port Number 3 - Ifindex 3 - Port Id 8003 - Role Designated - State Forwarding % ge4: Port Number 4 - Ifindex 4 - Port Id 8004 - Role Designated - State Forwarding
- [スイッチ#C] MSTインスタンス #2 の構成を確認します。
L2SW>show spanning-tree mst instance 2 | include Root Id % Default: MSTI Root Id 200200a0deaeb879 ... (プライオリティが高いスイッチ #B がMSTインスタンス #2 のルートブリッジになる) L2SW>show spanning-tree mst instance 2 | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Rootport - State Forwarding % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Designated - State Forwarding
- [スイッチ#A] MSTインスタンス #3 の構成を確認します。
L2SW>show spanning-tree mst instance 3 | include Root Id % Default: MSTI Root Id 200300a0deaeb83d ... (プライオリティが高いスイッチ #C がMSTインスタンス #3 のルートブリッジになる) L2SW>show spanning-tree mst instance 3 | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Alternate - State Discarding ... (プライオリティが低いスイッチ #A のLAN #1 ポートがMSTインスタンス #3 の代替ポートになる) % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Rootport - State Forwarding % ge4: Port Number 4 - Ifindex 4 - Port Id 8004 - Role Designated - State Forwarding
- [スイッチ#B] MSTインスタンス #3 の構成を確認します。
L2SW>show spanning-tree mst instance 3 | include Root Id % Default: MSTI Root Id 200300a0deaeb83d ... (プライオリティが高いスイッチ #C がMSTインスタンス #3 のルートブリッジになる) L2SW>show spanning-tree mst instance 3 | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Designated - State Forwarding % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Rootport - State Forwarding
- [スイッチ#C] MSTインスタンス #3 の構成を確認します。
L2SW>show spanning-tree mst instance 3 | include Root Id % Default: MSTI Root Id 200300a0deaeb83d ... (プライオリティが高いスイッチ #C がMSTインスタンス #3 のルートブリッジになる) L2SW>show spanning-tree mst instance 3 | include Role % ge1: Port Number 1 - Ifindex 1 - Port Id 8001 - Role Designated - State Forwarding % ge2: Port Number 2 - Ifindex 2 - Port Id 8002 - Role Designated - State Forwarding % ge3: Port Number 3 - Ifindex 3 - Port Id 8003 - Role Designated - State Forwarding % ge4: Port Number 4 - Ifindex 4 - Port Id 8004 - Role Designated - State Forwarding
6 注意事項
- 本L2スイッチの STP 、 RSTP は、 MSTPの下位互換 により対応します。
7 関連文書
- L2スイッチング機能:VLAN
- STP
- IEEE802.1d
- RFC4188
- RSTP
- IEEE802.1w
- RFC4318
- MSTP
- IEEE802.1s
独自ループ検出
1 機能概要
本L2スイッチは、構成したネットワーク環境でループが発生していないかどうかを検出する独自の仕組みを提供します。
LAN/SFPポートから独自のループ検出フレームを送信し、そのフレームが自身に戻ってくるかどうかを監視します。
送信フレームが自身に戻ってきた場合、該当ポートでループが発生していると判断します。
2 用語の定義
- LDF (Loop Detection Frame)
ループ検出のために使用するヤマハ独自のイーサーネットフレーム。
3 機能詳細
3.1 ループ検出 動作仕様
本L2スイッチのループ検出仕様について、以下に示します。
- 本L2スイッチのループ検出は、システム全体の有効・無効制御に加え、LAN/SFP ポートごとに有効・無効制御が行えます。
LAN/SFP ポートでループ検出を機能させる場合は、システム全体の設定が 有効 になっている必要があります。
- システム全体の設定は、グローバルコンフィギュレーションモードで loop-detect コマンド を使用します。
- LAN/SFP ポートごとの設定は、該当ポートのインターフェースモードで loop-detect コマンド を使用します。
- ループ検出機能の初期設定は、以下のようになっています。
- ループ検出、スパニングツリープロトコルともにシステム全体の設定が 有効 に設定されている場合、LAN/SFPポートの設定は、スパニングツリープロトコルを優先的に扱います。
- ループ検出機能が有効となっている本L2スイッチは、以下の動作を行います。
- ループ検出フレーム (以降、LDF) を、リンクアップしているLAN/SFPポートから 2秒間隔 で送信します。
ただし、スタティック/LACP論理インターフェース、ミラーリング設定を行ったポート(ミラーポート)は、 ループ検出機能対象外 とします。
- 送信したLDFを自身で受信した場合、ループが発生したと判断し、以下の動作を行います。
- Port Shutdown
送信したLAN/SFPポートと受信したLAN/SFPポートが同じ場合、該当ポートをシャットダウンします。
シャットダウン後、5分後にリンクアップし、LDFの送信を再開します。(ループが発生している場合は、本動作が繰り返されます。)
5分の監視時間内に該当ポートをリンクアップしたい場合は、”no shutdown”コマンドを使用します。
- Port Blocking
送信したLAN/SFPポートの番号が受信時のポート番号より小さい場合、LDF以外のフレームを遮断します。
LDFは定期的に送信しますが、他機器からのLDFの転送は行いません。
BlockingしたLAN/SFPポートは、5秒間、自身が送信したLDFを検出しなかった場合、ループが解消したと判断し、通常の通信を再開します。
- Port Detected
送信したLAN/SFPポートの番号が受信時のポート番号より大きい場合、他のポートでブロッキングを行っているため、通常の通信を継続します。
- Port Shutdown
- ループを検出すると、本L2スイッチのポートランプ表示を専用の状態に変更し、以下のSYSLOGメッセージを出力します。
- [LOOP]: inf: Detected Loop! : ge1, 3 … (ループ検出開始から5秒周期で表示)
- ループ解消後の通信再開と合わせて、本L2スイッチのポートランプ表示を復旧し、以下のSYSLOGメッセージを出力します。
- [LOOP]: inf: Recovered Loop! : ge1, 3
- ループ検出フレーム (以降、LDF) を、リンクアップしているLAN/SFPポートから 2秒間隔 で送信します。
- ループ検出したLAN/SFPポートで Shutdown / Blocking 動作を行わずに、強制的に Detected 動作にすることができます。
- 本設定は、loop-detect blocking-disableコマンドを使用します。
- 本設定が有効な場合、次に大きな番号のポートでPort Blockingが実施されます。(Shutdown動作は行われません。)
- ループ検出状態(Detected, Blocking)は、MODEスイッチの3秒間長押し、またはloop-detect resetコマンドにより、強制的に解消することができます。
ループ検出中のポートでリンクダウンが発生した場合も同様に、検出状態は解消されます。 (ポートランプ表示を復旧し、SYSLOGメッセージを出力します。)
- ループ検出機能の状態は、show loop-detectコマンドで確認できます。以下を表示します。
- システムの有効/無効状態の表示
- ループ検出状態の表示(LAN/SFPポート単位の状態)
- ループ検出機能が無効な状態で、LAN/SFPポートで LDF を受信すると、他の全ポートから受信フレームをそのまま転送します。
ただし、トランクポート、スタティック/LACP論理インターフェース、ミラーリング設定を行ったポート(ミラーポート)は、転送対象外とします。
- 以下のような場合、本L2スイッチに接続されているハブで発生しているループを検出できないことがあります。
- 接続中のハブでループ検出が行われている
- 接続中のハブでループ検出フレームが転送されない
3.2 ループ検出例
以下に本L2スイッチにおけるループ検出例を示します。
ループ検出例
ループ検出ケース | 構成例 | ループ検出状況 |
---|---|---|
1 | 自分が送信したLDFを受信することでループを検出します。
| |
2 | 同一端末の複数ポートでループを検出した場合、大きい番号のポートをBlockingします。
| |
3 | 複数のポートをBlockingすることで、ループを回避します。 Blocking Portの選択は、Case2と同じ規則となります。
| |
4 | 複数組のループを検出した場合、各組で大きい番号のポートをBlockingします。
| |
5 | スイッチ同士でループが起きた場合、どちらか一方でループが検出されます。 ○スイッチ#Aのge3で検出した場合
○スイッチ#Bのge7で検出した場合
| |
6 | ケーブルが繋がっている6ポートのうち、ループ検出が一番早かった一つのポートをBlockingします。 ○スイッチ#Aのge2で検出した場合
○スイッチ#Bのge4で検出した場合
○スイッチ#Cのge6で検出した場合
| |
7 | 各ポートから送信したLDFが、各ポートに戻ってくるため、ge5, ge6ともにShutdownします。
| |
8 | スイッチ#Bのge6をBlockingします。タイミングによってはスイッチ#Aのge1はShutdownしますが、スイッチ#Bのge6をBlockingすることで、スイッチ#Aのge1のループは解消されます。
|
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
ループ検出機能の有効・無効設定(システム) | loop-detect enable |
ループ検出機能の有効・無効設定(LAN/SFPポート) | loop-detect enable |
ループ検出時のPort Blockingの設定 | loop-detect blocking |
ループ検出状態のリセット | loop-detect reset |
ループ検出 設定状態の参照 | show loop-detect |
5 コマンド実行例
ループ検出機能が有効になっていると、以下のような構成のとき、本L2スイッチ上で発生しているループを検出します。
- [例1] 本L2スイッチ内でループが発生
- [例2] 本L2スイッチに接続されている他社ハブでループが発生
- LANポート #1 と #2 でループを検出するように設定します。
- システム全体のループ検出機能を有効にします。
L2SW(config)# loop-detect enable ... (システム全体のループ検出機能を有効にする)
- LANポート #1 と #2 のループ検出機能を有効にします。
L2SW(config)# interface ge1 L2SW(config-if)# spanning-tree disable ... (LANポートごとのスパニングツリー機能を無効にする) L2SW(config-if)# loop-detect enable ... (LANポートごとのループ検出機能を有効にする) L2SW(config-if)# loop-detect blocking ... (Blockingを有効にする) (上記設定をLANポート #2 に対しても行います。)
- LANポートごとのループ検出機能の有効化、blockingの有効化は、初期値として設定されているため特に設定する必要はありません。
- ループ検出機能の設定を確認します。
LANポート #1 と #2 でループ検出機能が有効(*)になっていることが確認できます。
SWP1>show loop-detect loop-detect: Enable port loop-detect port-blocking status ------------------------------------------------------- ge1 enable(*) enable Normal ge2 enable(*) enable Normal ge3 enable enable Normal ge4 enable enable Normal ge5 enable enable Normal ge6 enable enable Normal ge7 enable enable Normal ge8 enable enable Normal ge9 enable enable Normal ------------------------------------------------------- (*): Indicates that the feature is enabled.
- ループ検出が発生した場合、ループ検出機能の状態が確認できます。
- 例1の場合
SWP1>show loop-detect loop-detect: Enable port loop-detect port-blocking status ------------------------------------------------------- ge1 enable(*) enable Detected ... (LANポート #1 はDetected状態になる) ge2 enable(*) enable Blocking ... (LANポート #2 はBlocking状態になる) ge3 enable enable Normal ge4 enable enable Normal ge5 enable enable Normal ge6 enable enable Normal ge7 enable enable Normal ge8 enable enable Normal ge9 enable enable Normal ------------------------------------------------------- (*): Indicates that the feature is enabled.
- 例2の場合
SWP1>show loop-detect loop-detect: Enable port loop-detect port-blocking status ------------------------------------------------------- ge1 enable(*) enable Shutdown ... (LANポート #1 はShutdown状態になる) ge2 enable(*) enable Normal ge3 enable enable Normal ge4 enable enable Normal ge5 enable enable Normal ge6 enable enable Normal ge7 enable enable Normal ge8 enable enable Normal ge9 enable enable Normal ------------------------------------------------------- (*): Indicates that the feature is enabled.
- 例1の場合
6 注意事項
特になし
7 関連文書
- SWP1 Series Technical Data (Basic Functions)
- IPマルチキャスト機能
IGMP Snooping
1 機能概要
IGMP Snoopingは、VLAN環境において余分なマルチキャストのフラッディングを制御することで、ネットワークの帯域幅の消費を抑える機能です。
L2スイッチでは、マルチキャストパケットはVLAN単位で配送されるため、VLAN内に1つでもマルチキャストパケットを受信したい端末が存在すると、同一VLAN内のすべてのポートにパケットが配送されてしまいます。
マルチキャスト配信時の動作(IGMP Snoopingなし)
IGMP Snooping機能を使用すると、受信端末とマルチキャストルーター間で交換されるIGMPメッセージを監視 (Snooping) することで、マルチキャストパケットを受信したい端末が接続されたポートのみに該当グループのパケットを配信することができます。
マルチキャスト配信時の動作(IGMP Snoopingあり)
2 用語の定義
- IGMP (Internet Group Management Protocol)
マルチキャストグループを制御するためのプロトコル。
マルチキャストルーターはLAN上のどのホストがマルチキャストグループのメンバーであるか判断でき、ホストは自分がどのマルチキャストグループのメンバーかを伝えることができます。
3つのバージョンがあり、 IGMPv1 (RFC1112) 、 IGMPv2 (RFC2236) 、 IGMPv3 (RFC3376) で規定されます。
- マルチキャストルーターポート
マルチキャストルーターが接続されているLAN/SFPポートのこと。
IGMPジェネラルクエリーを受信したLAN/SFPポートをマルチキャストルーターポートとして自動で学習します。
- IGMPレポート抑制機能
マルチキャストルーターとホスト間で行われる通信負荷をL2スイッチで抑制する機能。
抑制するために本L2スイッチがまとめるメッセージは、以下となります。
- マルチキャストルーターから送られる IGMPジェネラルクエリー に対してホストが応答するIGMPレポート
- ホストから通知されるIGMP leaveメッセージ
レポート抑制機能は、IGMPv1/v2/v3に対して動作します。
- IGMPv2 Fast Leave (高速脱退) 機能
IGMP Leaveメッセージを受信したLAN/SFPポートを即座にマルチキャスト受信ポートから外す(転送に必要なFDBエントリーを削除する)機能。
本来、IGMPv2の離脱処理では、IGMP Leaveメッセージを受信した際、グループスペシフィッククエリーを送信し、レシーバーの存在確認が行われますが、
高速脱退機能が 有効 な場合、本動作を行いません。
このため、高速脱退機能は LAN/SFPポート配下に1つのレシーバーが接続されている場合にのみ効果的な機能 です。
- IGMP クエリー送信機能 (IGMP Querier)
IGMP ジェネラルクエリー、スペシフィッククエリーを送信する機能。
マルチキャストルーターがいない環境でIGMP Snoopingを機能させる場合に使用します。
3 機能詳細
IGMP Snoopingの動作仕様について以下に示します。
- 本L2スイッチは、 IGMP v1/v2/v3 に対応したSnooping機能を提供します。
本L2スイッチで機能させる上位バージョンを igmp snooping versionコマンド で設定できます。
バージョン設定は VLANインターフェース に対して行い、初期設定は v3 となっています。
設定バージョンと受信フレームのバージョンの違いによる動作は以下となります。
- 設定したバージョンよりも上位バージョンのIGMPクエリーを受信した場合、設定バージョンに下げてクエリーを転送します。
- 設定したバージョンよりも上位バージョンのIGMPレポートを受信した場合、該当レポートを転送せずに破棄します。
- IGMP Snoopingの 有効 / 無効 設定は、 VLANインターフェース に対して行います。
本設定の初期値は、初回起動時のプリセットで決まります。 (保守・運用機能:プリセット設定一覧 を参照のこと)
- 新規に生成した VLAN インターフェースの初期値は 有効 となっています。
- IGMP Snoopingの機能として、以下の4つに対応します。
- マルチキャストルーターポートの設定
- IGMPレポート抑制
- IGMPv2 Fast-leave(高速脱退)
- IGMPクエリー送信
- IGMP Snoopingが 有効 に設定されているVLANインターフェースでは、 マルチキャストルーターポート を 自動で学習 しますが、igmp snooping mrouter interface コマンドで静的に設定することもできます。
なお、VLANインターフェースに設定されているマルチキャストルーターポートは、show igmp snooping mrouterコマンドで確認します。
- IGMP Snoopingが 有効 に設定されているVLANインターフェースでは、 IGMPレポート抑制機能 が自動で 有効 となります。
IGMPレポート抑制機能を 無効 にすることはできません。
レポート抑制機能により、IGMPレポート、IGMP leaveメッセージを送信する場合、送信元IPv4アドレスには、VLANインターフェースに割り振られているIPv4アドレスを使用します。
(割り振られていない場合は、0.0.0.0を設定して送信します。)
- IGMPv2 Fast-Leave(高速脱退)機能 は、VLANインターフェースに対して igmp snooping fast-leaveコマンド で設定します。
本設定の初期値は、どの VLAN インターフェースも 無効 となっています。
- マルチキャストルーターが存在しない環境でIGMP Snoopingを使用するために、 IGMP クエリー送信機能 に対応します。
IGMP クエリー送信機能は、以下の2つのパラメータで制御します。
- VLAN内に複数の機器がクエリーを送信する場合、VLAN内で最も小さいIPv4アドレスを持つ機器がクエリー送信を行います。
本L2スイッチは、自身のIPv4アドレスより小さなIPv4アドレスを持つ機器からのクエリーを受信した場合、クエリー送信機能を停止します。
なお、クエリー送信時に設定する送信元IPv4アドレスは、VLANインターフェースに割り振られているIPv4アドレスを使用しますが、割り振られていない場合は、他のVLANインターフェースに割り振られているIPv4アドレスを使用します。(すべてのVLANインターフェースにIPv4アドレスが割り当てられていない場合は、0.0.0.0を設定して送信します。)
- 本L2スイッチでは、受信したIGMPパケットのTTL値が不正(1以外)だった場合、破棄をしないで強制的に"1"に変更する機能を提供します。
本機能を "TTLチェック機能" と定義し、VLANインターフェースに対して igmp snooping check ttl コマンド で設定を行うことができます。
TTLチェック機能 の初期値は、初回起動時のプリセットで決まります。 (保守・運用機能:プリセット設定一覧 を参照のこと)
- 新規に生成した VLAN インターフェースの初期値は 有効(TTL不正値のパケットを破棄) となっています。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
IGMPスヌーピングの有効/無効設定 | igmp snooping |
IGMPスヌーピング高速脱退の設定 | igmp snooping fast-leave |
マルチキャストルーターポートの設定 | igmp snooping mrouter interface |
クエリー送信機能の設定 | igmp snooping querier |
IGMPクエリー送信間隔の設定 | igmp snooping query-interval |
IGMPスヌーピングTTLチェックの設定 | igmp snooping check ttl |
IGMPバージョンの設定 | igmp snooping version |
マルチキャストルーターポートの情報の表示 | show igmp snooping mrouter |
IGMPマルチキャスト受信者の情報を表示 | show igmp snooping groups |
インターフェースのIGMP関連情報を表示 | show igmp snooping interface |
IGMPグループメンバーシップのエントリー削除 | clear igmp snooping |
5 コマンド実行例
5.1 IGMP Snooping の設定(マルチキャストルーターあり)
マルチキャストルーターがある環境でIGMP Snooping機能を有効にして、マルチキャストグループに参加しているPC1、PC3にのみデータが配信されるようにします。
IGMP Snooping の設定例(マルチキャストルーターあり)
- LANポート #1 ~ #4 は、 アクセスポートに設定し、VLAN #10 に所属 させます。
- マルチキャストルーターがあるため、 IGMP クエリー送信機能は 無効 のままとします。
- マルチキャストルーターポート の学習は、 自動学習 のみとします。(静的な設定は行わない。)
- IGMPv2 Fast-Leave(高速脱退)機能を有効 にします。
- VLAN #10 を定義して、IGMP Snoopingの設定を行います。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 10 ... (VLAN #10 の定義) L2SW(config-vlan)# exit L2SW(config)# interface vlan0.10 L2SW(config-if)# igmp snooping ... (VLAN #10 のIGMP Snoopingを有効にする) L2SW(config-if)# no igmp snooping querier ... (VLAN #10 のIGMP クエリー送信機能を無効にする) L2SW(config-if)# igmp snooping fast-leave ... (VLAN #10 のIGMP Fast-leave機能を有効にする)
- LANポート #1 ~ #4 を アクセスポートに設定し、VLAN #10 に所属させます。
L2SW(config)# interface ge1 L2SW(config-if)# switchport mode access L2SW(config-if)# switchport access vlan 10 (上記設定をLANポート #2 ~ #4に対しても行います。)
- マルチキャストルーターポートの情報を確認します。(LANポート #1 につながっている)
L2SW# show igmp snooping mrouter vlan0.10 VLAN Interface 10 ge1
- マルチキャスト受信者の情報を確認します。
L2SW# show igmp snooping groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 239.0.0.1 ge2 00:00:13 00:00:41 192.168.100.2 239.0.0.1 ge4 00:00:02 00:00:48 192.168.100.4
5.2 IGMP Snooping の設定(マルチキャストルーターなし)
マルチキャストルーターがいない環境でIGMP Snooping機能を有効にして、マルチキャストグループに参加しているPC1、PC3にのみデータが配信されるようにします。
IGMP Snooping の設定例(マルチキャストルーターなし)
- スイッチ#A
- LANポート #1 ~ #2 は、 アクセスポートに設定し、VLAN #10 に所属 させます。
- IGMP クエリー送信機能を 有効 にします。
IGMPクエリーの送信間隔を 20秒 とします。
- スイッチ#B
- LANポート #1 ~ #4 は、 アクセスポートに設定し、VLAN #10 に所属 させます。
- マルチキャストルーターポート の学習は、 自動学習 のみとします。(静的な設定は行わない。)
- IGMPv2 Fast-Leave(高速脱退)機能を有効 にします。
- IGMPパケットに不正なTTL値を設定する端末があるため、 TTLチェック機能を無効 にします。
- [スイッチ#A] VLAN #10 を定義して、IGMP Snoopingの設定を行います。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 10 ... (VLAN #10 の定義) L2SW(config-vlan)# exit L2SW(config)# interface vlan0.10 L2SW(config-if)# igmp snooping ... (VLAN #10 のIGMP Snoopingを有効にする) L2SW(config-if)# igmp snooping querier ... (VLAN #10 のIGMP クエリー送信機能を有効にする) L2SW(config-if)# igmp snooping query-interval 20 ... (VLAN #10 のIGMP クエリーの送信間隔を20秒にする)
- [スイッチ#A] LANポート #1 ~ #2 を アクセスポートに設定し、VLAN #10 に所属させます。
L2SW(config)# interface ge1 L2SW(config-if)# switchport mode access L2SW(config-if)# switchport access vlan 10 (上記設定をLANポート #2に対しても行います。)
- [スイッチ#B] VLAN #10 を定義して、IGMP Snoopingの設定を行います。
L2SW(config)# vlan database L2SW(config-vlan)# vlan 10 ... (VLAN #10 の定義) L2SW(config-vlan)# exit L2SW(config)# interface vlan0.10 L2SW(config-if)# igmp snooping ... (VLAN #10 のIGMP Snoopingを有効にする) L2SW(config-if)# no igmp snooping querier ... (VLAN #10 のIGMP クエリー送信機能を無効にする) L2SW(config-if)# no igmp snooping check ttl ... (VLAN #10 のTTLチェック機能を無効にする) L2SW(config-if)# igmp snooping fast-leave ... (VLAN #10 のIGMP Fast-leave機能を有効にする)
- [スイッチ#B] LANポート #1 ~ #4 を アクセスポートに設定し、VLAN #10 に所属させます。
L2SW(config)# interface ge1 L2SW(config-if)# switchport mode access L2SW(config-if)# switchport access vlan 10 (上記設定をLANポート #2 ~ #4に対しても行います。)
- [スイッチ#B] マルチキャストルーターポートの情報を確認します。(LANポート #1 につながっている)
L2SW# show igmp snooping mrouter vlan0.10 VLAN Interface 10 ge1
- [スイッチ#B] マルチキャスト受信者の情報を確認します。
L2SW# show igmp snooping groups IGMP Connected Group Membership Group Address Interface Uptime Expires Last Reporter 239.0.0.1 ge2 00:00:13 00:00:41 192.168.100.2 239.0.0.1 ge4 00:00:02 00:00:48 192.168.100.4
6 注意事項
特になし
7 関連文書
MLD Snooping
1 機能概要
MLD Snoopingは、IPv6のVLAN環境において余分なマルチキャストのフラッディングを制御することで、ネットワークの帯域幅の消費を抑える機能です。
L2スイッチでは、マルチキャストパケットはVLAN単位で配送されるため、VLAN内に1つでもマルチキャストパケットを受信したい端末が存在すると、同一VLAN内のすべてのポートにパケットが配送されてしまいます。
マルチキャスト配信時の動作(MLD Snoopingなし)
MLD Snooping機能を使用すると、受信端末とマルチキャストルーター間で交換されるMLDメッセージを監視 (Snooping) することで、マルチキャストパケットを受信したい端末が接続されたポートのみに該当グループのパケットを配信することができます。
マルチキャスト配信時の動作(MLD Snoopingあり)
2 用語の定義
- MLD (Multicast Listener Discovery)
IPv6でマルチキャストグループを制御するためのプロトコル(ICMPv6のサブプロトコル)。
マルチキャストルーターはLAN上のどのホストがマルチキャストグループのメンバーであるか判断でき、ホストは自分がどのマルチキャストグループのメンバーかを伝えることができます。
2つのバージョンがあり、 MLDv1 (RFC2710) 、 MLDv2 (RFC3810) で規定されます。
- マルチキャストルーターポート
マルチキャストルーターが接続されているLAN/SFPポートのこと。
MLDジェネラルクエリーを受信したLAN/SFPポートをマルチキャストルーターポートとして自動で学習します。
- MLDレポート抑制機能
マルチキャストルーターとホスト間で行われる通信負荷をL2スイッチで抑制する機能。
抑制するために本L2スイッチがまとめるメッセージは、以下となります。
- マルチキャストルーターから送られる MLDジェネラルクエリー に対してホストが応答するMLDレポート
- ホストから通知されるMLD DoneメッセージおよびMLDレポート(離脱)
レポート抑制機能は、MLDv1/v2に対して動作します。
- MLD Fast Leave (高速脱退) 機能
MLDv1 DoneメッセージおよびMLDv2のReport(離脱)メッセージを受信したLAN/SFPポートを即座にマルチキャスト受信ポートから外す(転送に必要なFDBエントリーを削除する)機能。
本来、MLDの離脱処理では、MLDv1 DoneメッセージおよびMLDv2 Report(離脱)メッセージを受信した際、グループスペシフィッククエリーを送信し、レシーバーの存在確認が行われますが、高速脱退機能が 有効 な場合、本動作を行いません。
このため、高速脱退機能は LAN/SFPポート配下に1つのレシーバーが接続されている場合にのみ効果的な機能 です。
- MLD クエリー送信機能 (MLD Querier)
MLD ジェネラルクエリー、スペシフィッククエリーを送信する機能。
マルチキャストルーターがいない環境でMLD Snoopingを機能させる場合に使用します。
3 機能詳細
MLD Snoopingの動作仕様について以下に示します。
- 本L2スイッチは、 MLD v1/v2 に対応したSnooping機能を提供します。
本L2スイッチで機能させる上位バージョンを mld snooping versionコマンド で設定できます。
バージョン設定は VLANインターフェース に対して行い、初期設定は v2 となっています。
設定バージョンと受信フレームのバージョンの違いによる動作は以下となります。
- 設定したバージョンよりも上位バージョンのMLDクエリーを受信した場合、設定バージョンに下げてクエリーを転送します。
- 設定したバージョンよりも上位バージョンのMLDレポートを受信した場合、該当レポートを転送せずに破棄します。
- MLD Snoopingの 有効 / 無効 設定は、 VLANインターフェース に対して行います。
デフォルトVLAN (VLAN #1)に対する初期設定、VLAN 生成後の初期設定どちらも 有効 となっています。
- MLD Snoopingの機能として、以下の4つに対応します。
- マルチキャストルーターポートの設定
- MLDレポート抑制
- MLD Fast-leave(高速脱退)
- MLDクエリー送信
- MLD Snoopingが 有効 に設定されているVLANインターフェースでは、 マルチキャストルーターポート を 自動で学習 しますが、mld snooping mrouter interface コマンドで静的に設定することもできます。
なお、VLANインターフェースに設定されているマルチキャストルーターポートは、show mld snooping mrouterコマンドで確認します。
- MLD Snoopingが 有効 に設定されているVLANインターフェースでは、 MLDレポート抑制機能 が自動で 有効 となります。
MLDレポート抑制機能を 無効 にすることはできません。
レポート抑制機能により、MLDレポート、MLD Doneメッセージを送信する場合、送信元IPv6アドレスには、VLANインターフェースに割り振られているIPv6リンクローカルアドレスを使用します。
(割り振られていない場合は、::を設定して送信します。)
- MLD Fast-Leave(高速脱退)機能 は、VLANインターフェースに対して mld snooping fast-leaveコマンド で設定します。
デフォルトVLAN (VLAN #1)に対する初期設定、VLAN 生成後の初期設定どちらも 無効 となっています。
- マルチキャストルーターが存在しない環境でMLD Snoopingを使用するために、 MLD クエリー送信機能 に対応します。
MLD クエリー送信機能は、以下の2つのパラメータで制御します。
- MLD クエリー送信機能の 有効 / 無効
- VLANインターフェースに対して、mld snooping querier コマンド で行います。
- デフォルトVLAN (VLAN #1)に対する初期設定、VLAN 生成後の初期設定どちらも 無効 となっています。
- MLD クエリーの送信間隔
- mld snooping query-interval コマンド で行います。
- 送信間隔は、20 ~ 18,000秒 の範囲で設定可能とし、初期値は 125秒 となっています。
- MLD クエリー送信機能の 有効 / 無効
- VLAN内に複数の機器がクエリーを送信する場合、VLAN内で最も小さいIPv6アドレスを持つ機器がクエリー送信を行います。
本L2スイッチは、自身のIPv6アドレスより小さなIPv6アドレスを持つ機器からのクエリーを受信した場合、クエリー送信機能を停止します。
なお、クエリー送信時に設定する送信元IPv6アドレスは、VLANインターフェースに割り振られているIPv6リンクローカルアドレスを使用しますが、割り振られていない場合は、他のVLANインターフェースに割り振られているIPv6リンクローカルアドレスを使用します。
(すべてのVLANインターフェースにIPv6リンクローカルアドレスが割り当てられていない場合は、送信されません。)
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
MLDスヌーピングの有効/無効設定 | mld snooping |
MLDスヌーピング高速脱退の設定 | mld snooping fast-leave |
マルチキャストルーターポートの設定 | mld snooping mrouter interface |
クエリー送信機能の設定 | mld snooping querier |
MLDクエリー送信間隔の設定 | mld snooping query-interval |
MLDバージョンの設定 | mld snooping version |
マルチキャストルーターポートの情報の表示 | show mld snooping mrouter |
MLDマルチキャスト受信者の情報を表示 | show mld snooping groups |
インターフェースのMLD関連情報を表示 | show mld snooping interface |
MLDグループメンバーシップのエントリー削除 | clear mld snooping |
5 コマンド実行例
5.1 MLD Snooping の設定(マルチキャストルーターあり)
マルチキャストルーターがある環境でMLD Snooping機能を有効にして、マルチキャストグループに参加している
PC1、PC3にのみデータが配信されるようにします。
MLD Snooping の設定例(マルチキャストルーターあり)
- LANポート #1 ~ #4 は、 アクセスポートに設定し、VLAN #10 に所属 させます。
- マルチキャストルーターがあるため、 MLD クエリー送信機能は 無効 のままとします。
- マルチキャストルーターポート の学習は、 自動学習 のみとします。(静的な設定は行わない。)
- MLD Fast-Leave(高速脱退)機能を有効 にします。
- VLAN #10 を定義して、MLD Snoopingの設定を行います。
L2SW(config)# vlan database L2SW(config-vlan)#vlan 10 ... (VLAN #10 の定義) L2SW(config-vlan)#exit L2SW(config)#interface vlan0.10 L2SW(config-if)#ipv6 enable ... (VLAN #10 のIPv6機能を有効にする) L2SW(config-if)#mld snooping ... (VLAN #10 のMLD Snoopingを有効にする) L2SW(config-if)#no mld snooping querier ... (VLAN #10 のMLD クエリー送信機能を無効にする) L2SW(config-if)#mld snooping fast-leave ... (VLAN #10 のMLD Fast-leave機能を有効にする)
- MLD Snoopingの有効化、MLD クエリー送信機能の無効化は、初期値として設定されているため特に設定する必要はありません。
- LANポート #1 ~ #4 を アクセスポートに設定し、VLAN #10 に所属させます。
L2SW(config)# interface ge1 L2SW(config-if)# switchport mode access L2SW(config-if)# switchport access vlan 10 (上記設定をLANポート #2 ~ #4に対しても行います。)
- マルチキャストルーターポートの情報を確認します。(LANポート #1 につながっている)
L2SW#show mld snooping mrouter vlan0.10 VLAN Interface 10 ge1
- マルチキャスト受信者の情報を確認します。
L2SW#show mld snooping groups MLD Connected Group Membership Group Address Interface Uptime Expires Last Reporter ff15::1:1 ge2 00:00:13 00:00:41 fe80::a00:27ff:fe8b:87e2 ff15::1:1 ge4 00:00:02 00:00:48 fe80::a00:27ff:fe8b:87e4
5.2 MLD Snooping の設定(マルチキャストルーターなし)
マルチキャストルーターがいない環境でMLD Snooping機能を有効にして、マルチキャストグループに参加している
PC1、PC3にのみデータが配信されるようにします。
MLD Snooping の設定例(マルチキャストルーターなし)
- スイッチ#A
- LANポート #1 ~ #2 は、 アクセスポートに設定し、VLAN #10 に所属 させます。
- MLD クエリー送信機能を 有効 にします。
MLDクエリーの送信間隔を 20秒 とします。
- スイッチ#B
- LANポート #1 ~ #4 は、 アクセスポートに設定し、VLAN #10 に所属 させます。
- マルチキャストルーターポート の学習は、 自動学習 のみとします。(静的な設定は行わない。)
- MLD Fast-Leave(高速脱退)機能を有効 にします。
- [スイッチ#A] VLAN #10 を定義して、MLD Snoopingの設定を行います。
L2SW(config)# vlan database L2SW(config-vlan)#vlan 10 ... (VLAN #10 の定義) L2SW(config-vlan)#exit L2SW(config)#interface vlan0.10 L2SW(config-if)#ipv6 enable ... (VLAN #10 のIPv6機能を有効にする) L2SW(config-if)#mld snooping ... (VLAN #10 のMLD Snoopingを有効にする) L2SW(config-if)#mld snooping querier ... (VLAN #10 のMLD クエリー送信機能を有効にする) L2SW(config-if)#mld snooping query-interval 20 ... (VLAN #10 のMLD クエリーの送信間隔を20秒にする)
- MLD Snoopingの有効化は、初期値として設定されているため特に設定する必要はありません。
L2SW(config)# interface ge1 L2SW(config-if)# switchport mode access L2SW(config-if)# switchport access vlan 10 (上記設定をLANポート #2に対しても行います。)
L2SW(config)# vlan database L2SW(config-vlan)#vlan 10 ... (VLAN #10 の定義) L2SW(config-vlan)#exit L2SW(config)#interface vlan0.10 L2SW(config-if)#ipv6 enable ... (VLAN #10 のIPv6機能を有効にする) L2SW(config-if)#mld snooping ... (VLAN #10 のMLD Snoopingを有効にする) L2SW(config-if)#no mld snooping querier ... (VLAN #10 のMLD クエリー送信機能を無効にする) L2SW(config-if)#mld snooping fast-leave ... (VLAN #10 のMLD Fast-leave機能を有効にする)
- MLD Snoopingの有効化、MLD クエリー送信機能の無効化は、初期値として設定されているため特に設定する必要はありません。
L2SW(config)# interface ge1 L2SW(config-if)# switchport mode access L2SW(config-if)# switchport access vlan 10 (上記設定をLANポート #2 ~ #4に対しても行います。)
L2SW#show mld snooping mrouter vlan0.10 VLAN Interface 10 ge1
L2SW#show mld snooping groups MLD Connected Group Membership Group Address Interface Uptime Expires Last Reporter ff15::1:1 ge2 00:00:13 00:00:41 fe80::a00:27ff:fe8b:87e2 ff15::1:1 ge4 00:00:02 00:00:48 fe80::a00:27ff:fe8b:87e4
6 注意事項
MLD Snooping機能は、Rev.2.01.04 から使用することができます。
本バージョンより古いバージョンでは使用できませんので、注意ください。
MLD Snooping機能を有効する場合は、使用するIPv6マルチキャストアドレスに注意して下さい。
IPv6マルチキャストアドレスのMACアドレスは、先頭が「3333」固定、それ以降がIPv6マルチキャストアドレスの下位32ビットをそのまま使用したものになります。
例えば、IPv6マルチキャストアドレスに「ff15::1」を使用した場合、FDBに登録されるMACアドレスは「3333.0000.0001」ですが、このMACアドレスはオールノードマルチキャストアドレス「ff02::1」と同じであるため、宛先が「ff02::1」のパケットもフラッディングされなくなってしまいます。
これにより、RA (Router Advertisement)が特定の機器のみに転送されてしまう等の問題が発生します。
7 関連文書
ACL
1 機能概要
アクセスリスト(ACL)とは、フレームの許可・拒否を決めるための条件文のことです。
インターフェースに対してアクセスリストを適用すると、許可したフレームのみを転送し、拒否したフレームを破棄します。
これにより、特定のフレームのみを転送対象とすることができるため、主にセキュリティを確保するために使用されます。
本L2スイッチでは、アクセスリストとして下表に示す4種類をサポートします。
アクセスリストの種類
アクセスリストの種類 | 判断基準 | アクセスリストID | 用途 |
---|---|---|---|
標準IPv4アクセスリスト | 送信元IPv4アドレス | 1~99 1300~1999 | 特定のホスト、ネットワークからのアクセスをフィルタリングします。 |
拡張IPv4アクセスリスト | 送信元IPv4アドレス 宛先IPv4アドレス IPプロトコル種別 | 100~199 2000~2699 | ホストやネットワークだけでなく、TCP/UDPなどのIPプロトコル種別を特定してフィルタリングします。 |
IPv6アクセスリスト | 送信元IPv6アドレス | 3000~3699 | 特定のホスト、ネットワークからのアクセスをフィルタリングします。 |
MACアクセスリスト | 送信元MACアドレス 宛先MACアドレス | 100~199 2000~2699 | 特定のデバイスからのアクセス、転送に対してフィルタリングします。 |
- 拡張IPv4アクセスリストとMACアクセスリストのIDは共用します
2 用語の定義
- ACL
Access Control List の略。
- ワイルドカードマスク
指定したIPv4アドレス, MACアドレスのどこを読み取るかを指定した情報です。ACLの条件で IPv4アドレス, MACアドレスの範囲を指定する際に使用 します。
- ワイルドカードマスクのビットが "0" の場合 : 該当ビットをチェックします
- ワイルドカードマスクのビットが "1" の場合 : 該当ビットをチェックしません
ワイルドカードマスクを使用した設定例を以下に示します。 (下線部分がワイルドカードマスク)
- サブネット 192.168.1.0/24 に対して条件を指定する場合 : 192.168.1.0 0.0.0.255 (10進で指定)
- ベンダーコード 00-A0-DE-*-*-* に対して条件を指定する場合: 00A0.DE00.0000 0000.00FF.FFFF (16進で指定)
3 機能詳細
3.1 アクセスリストの生成
アクセスリストは、各アクセスリストのID数の分、生成することができます。 ( 1 機能概要 の表を参照ください)
アクセスリストは、1つのリストに対して制御条件を 最大で39件 登録することができます。
ただし、登録した制御条件を満たさなかった場合の動作として、 "すべてを破棄する" 条件が自動で付加されます。(これを 暗黙の拒否 といいます)
3.2 インターフェースへの適用
本L2スイッチの入力 (in) / 出力 (out) インターフェースに対するアクセスリストの適用状況は、下表のようになっています。
なお、インターフェースに対して適用可能なアクセスリストは、in / out それぞれに対して 1つ となっています。
インターフェースに対するアクセスリストの適用状況
アクセスリストの 種類 | LAN/SFPポート | VLANインターフェース | スタティック/LACP 論理インターフェース | |||
---|---|---|---|---|---|---|
in | out | in | out | in | out | |
標準IPv4アクセスリスト | ○ | ○ | ○ | × | × | × |
拡張IPv4アクセスリスト | ○ | ○(*) | ○ | × | × | × |
IPv6アクセスリスト | ○ | ○ | ○ | × | × | × |
MACアクセスリスト | ○ | × | ○ | × | × | × |
(*)制約事項として、ポート番号範囲を指定した拡張IPv4アクセスリストは、インターフェースの出力 (out) 側に適用できません。
インターフェースに適用できるアクセスリストの数は、アクセスリストに登録されている制御条件の数に依存します。
本L2スイッチでは、インターフェースに対して制御条件を 最大で512個 登録することができます。
インターフェースにアクセスリストを適用させると "アクセスリストに登録されている制御条件の数だけ" リソースを消費します。
- 例として、5個の制御条件を登録したアクセスリストをLANポートに適用させると、インターフェースに登録できる制御条件数は残り 507個 となります。
ただし、システム内部でも制御条件を使用する場合があり、この時もリソースを消費します。
3.3 LAN/SFPポートに対する設定
LAN/SFPポートにアクセスリストを適用させる場合の手順について、以下に示します。
- フィルタリング条件を決め、アクセスリストを生成します。
- 必要に応じて、名前を付けてください。
- アクセスリストを確認します。
- LAN/SFPポートにアクセスリストを適用します。
- 適用したアクセスリストを確認します。
以下に操作コマンドの一覧を示します。
アクセスリスト操作コマンド (LAN/SFPポート適用時)
アクセスリストの 種類 | アクセスリストの 生成 | アクセスリストの 確認 | アクセスリストの 適用 | 適用アクセスリストの 確認 |
---|---|---|---|---|
標準IPv4アクセスリスト | access-list | show ip access-list | ip access-group | show running-config access-list |
拡張IPv4アクセスリスト | access-list | show ip access-list | ip access-group | show running-config access-list |
IPv6アクセスリスト | access-list | show ipv6 access-list | ip access-group | show running-config access-list |
MACアクセスリスト | access-list | show mac access-list | mac access-group | show running-config access-list |
3.4 VLANインターフェースに対する設定
VLANインターフェースにアクセスリストを適用させる場合の手順について、以下に示します。
- フィルタリング条件を決め、アクセスリストを生成します。
- 必要に応じて、名前を付けてください。
- アクセスリストを確認します。
- VLANアクセスマップを生成します。
- VLANアクセスマップにアクセスリストを設定します。
- VLANアクセスマップを確認します。
- VLAN アクセスマップを VLAN に適用します。
- 標準/拡張IPアクセスリストとMACアクセスリストの適用操作が異なります。
- 適用したVLANアクセスマップを確認します。
1. 2. の操作については、3.3 に示した操作と同じになります。
以下に 3. 以降の操作コマンドの一覧を示します。
VLANアクセスマップ操作コマンド
アクセスリストの種類 | VLANアクセスマップの生成 | VLANアクセスマップへのアクセスリストの設定 | VLANアクセスマップ確認 | VLANアクセスマップの適用 | 適用したVLANアクセスマップの確認 |
---|---|---|---|---|---|
標準IPv4アクセスリスト | vlan access-map | match ip access-list | show vlan access-map | vlan filter | show vlan filter |
拡張IPv4アクセスリスト | vlan access-map | match ip access-list | show vlan access-map | vlan filter | show vlan filter |
IPv6アクセスリスト | vlan access-map | match ip access-list | show vlan access-map | vlan filter | show vlan filter |
MACアクセスリスト | vlan access-map | match mac access-list | show vlan access-map | vlan filter | show vlan filter |
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
標準IPv4アクセスリストの生成 | access-list |
標準IPv4アクセスリストのコメント追加 | access-list remark |
標準IPv4アクセスリストの適用 | ip access-group |
拡張IPv4アクセスリストの生成 | access-list |
拡張IPv4アクセスリストのコメント追加 | access-list remark |
拡張IPv4アクセスリストの適用 | ip access-group |
IPv6アクセスリストの生成 | access-list |
IPv6アクセスリストのコメント追加 | access-list remark |
IPv6アクセスリストの適用 | ip access-group |
MACアクセスリストの生成 | access-list |
MACアクセスリストのコメント追加 | access-list remark |
MACアクセスリストの適用 | mac access-group |
生成した標準IPv4アクセスリストの表示 | show ip access-list |
生成した拡張IPv4アクセスリストの表示 | show ip access-list |
生成したIPv6アクセスリストの表示 | show ipv6 access-list |
生成したMACアクセスリストの表示 | show mac access-list |
生成した全アクセスリストの表示 | show access-list |
インターフェースに適用したMACアクセスリストの表示 | show mac-access-group |
5 コマンド実行例
5.1 標準IPv4アクセスリストの設定
5.1.1 LANポートへの適用例
■ホスト指定
LANポート #1 に対して、ホスト: 192.168.1.1 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #2 とし、アクセスリストの名前を STD-ACL-EX とします。
- アクセスリスト #2 を生成し、確認します。
L2SW(config)#access-list 2 permit host 192.168.1.1 ... (アクセスリストの生成) L2SW(config)#access-list 2 remark STD-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Standard IP access list 2 permit 192.168.1.1
- LANポート #1 に アクセスリスト #2 を適用します。
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 2 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IP access group 2 in
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 192.168.1.0/24 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #2 とし、アクセスリストの名前を STD-ACL-EX とします。
- アクセスリスト #2 を生成し、確認します。
L2SW(config)#access-list 2 permit 192.168.1.0 0.0.0.255 ... (アクセスリストの生成) L2SW(config)#access-list 2 remark STD-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Standard IP access list 2 permit 192.168.1.0, wildcard bits 0.0.0.255
- LANポート #1 に アクセスリスト #2 を適用します。
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 2 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IP access group 2 in
5.1.2 VLANインターフェースへの適用例
■ホスト指定
VLAN #1000 に対して、ホスト: 192.168.1.1 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #2 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #2 を設定します。
- アクセスリスト #2 を生成し、確認します。
L2SW(config)#access-list 2 permit host 192.168.1.1 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Standard IP access list 2 permit 192.168.1.1
- VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #2 を設定します。
L2SW(config)#vlan access-map VAM-001 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 2 ... (アクセスリストの設定) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-001 match ip access-list 2
- VLAN #1000 に VLANアクセスマップ VAM-001 を適用し、状態を確認します。
L2SW(config)#vlan filter VAM-001 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-001 is applied to vlan 1000
■ネットワーク指定
VLAN #1000 に対して、ネットワーク: 192.168.1.0/24 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #2 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #2 を設定します。
- アクセスリスト #2 を生成し、確認します。
L2SW(config)#access-list 2 permit 192.168.1.0 0.0.0.255 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Standard IP access list 2 permit 192.168.1.0, wildcard bits 0.0.0.255
- VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #2 を設定します。
L2SW(config)#vlan access-map VAM-001 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 2 ... (アクセスリストの設定) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-001 match ip access-list 2
- VLAN #1000 に VLANアクセスマップ VAM-001 を適用し、状態を確認します。
L2SW(config)#vlan filter VAM-001 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-001 is applied to vlan 1000
5.2 拡張IPv4アクセスリストの設定
5.2.1 LANポートへの適用例
■ホスト指定
LANポート #1 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を EXT-ACL-EX を追加します。
- アクセスリスト #123 を生成し、確認します。
L2SW(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1 ... (アクセスリストの生成) L2SW(config)#access-list 123 remark EXT-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Extended IP access list 123 permit any host 192.168.1.1 host 10.1.1.1 L2SW#
- LANポート #1 に アクセスリスト #123 を適用します。
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 123 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IP access group 123 in
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を EXT-ACL-EX を追加する。
- アクセスリスト #123 を生成し、確認します。
L2SW(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 ... (アクセスリストの生成) L2SW(config)#access-list 123 remark EXT-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# L2SW#show ip access-list ... (ACLの確認) Extended IP access list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 L2SW#
- LANポート #1 に アクセスリスト #123 を適用します。
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 123 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IP access group 123 in
5.2.2 VLANインターフェースへの適用例
■ホスト指定
VLAN #1000 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。
- アクセスリスト #123 を生成し、確認します。
L2SW(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Extended IP access list 123 permit any host 192.168.1.1 host 10.1.1.1
- VLANアクセスマップ VAM-002 を生成し、 アクセスリスト #123 を設定します。
L2SW(config)#vlan access-map VAM-002 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 123 ... (アクセスリストの登録) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-002 match ip access-list 123
- VLAN #1000 に VLANアクセスマップ VAM-002 を適用し、状態を確認します。
L2SW(config)#vlan filter VAM-002 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-002 is applied to vlan 1000
■ネットワーク指定
VLAN #1000 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #2 を設定します。
- アクセスリスト #123 を生成し、確認します。
L2SW(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Extended IP access list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1
- VLANアクセスマップ VAM-002 を生成し、*アクセスリスト #123* を設定します。
L2SW(config)#vlan access-map VAM-002 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 123 ... (アクセスリストの登録) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-002 match ip access-list 123
- VLAN #1000 に VLANアクセスマップ VAM-002 を適用し、状態を確認します。
L2SW(config)#vlan filter VAM-002 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-002 is applied to vlan 1000
5.3 IPv6アクセスリストの設定
5.3.1 LANポートへの適用例
■ホスト指定
LANポート #1 に対して、ホスト: 2001:db8::1 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #3000 とし、アクセスリストの名前を IPV6-ACL-EX とします。
- アクセスリスト #3000 を生成し、確認します。
L2SW(config)#access-list 3000 permit 2001:db8::1/128 ... (アクセスリストの生成) L2SW(config)#access-list 3000 remark IPV6-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# show ipv6 access-list ... (アクセスリストの確認) IPv6 access list 3000 permit 2001:db8::1/128
- LANポート #1 に アクセスリスト #3000 を適用します。
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 3000 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IPv6 access group 3000 in
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 2001:db8::/64 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #3000 とし、アクセスリストの名前を IPV6-ACL-EX とします。
- アクセスリスト #3000 を生成し、確認します。
L2SW(config)#access-list 3000 permit 2001:db8::/64 ... (アクセスリストの生成) L2SW(config)#access-list 3000 remark IPV6-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# show ipv6 access-list ... (アクセスリストの確認) IPv6 access list 3000 permit 2001:db8::/64
- LANポート #1 に アクセスリスト #3000 を適用します。
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 3000 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IPv6 access group 3000 in
5.3.2 VLANインターフェースへの適用例
■ホスト指定
VLAN #1000 に対して、ホスト: 2001:db8::1 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #3000 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3000 を設定します。
- アクセスリスト #3000 を生成し、確認します。
L2SW(config)#access-list 3000 permit 2001:db8::1/128 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ipv6 access-list ... (アクセスリストの確認) IPv6 access list 3000 permit 2001:db8::1/128
- VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #3000 を設定します。
L2SW(config)#vlan access-map VAM-001 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 3000 ... (アクセスリストの設定) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-001 match ip access-list 3000
- VLAN #1000 に VLANアクセスマップ VAM-001 を適用し、状態を確認します。
L2SW(config)#vlan filter VAM-001 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-001 is applied to vlan 1000
■ネットワーク指定
VLAN #1000 に対して、ネットワーク: 2001:db8::/64 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #3000 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3000 を設定します。
- アクセスリスト #3000 を生成し、確認します。
L2SW(config)#access-list 3000 permit 2001:db8::/64 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ipv6 access-list ... (アクセスリストの確認) IPv6 access list 3000 permit 2001:db8::/64
- VLANアクセスマップ VAM-001 を生成し、 アクセスリスト #2 を設定します。
L2SW(config)#vlan access-map VAM-001 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 3000 ... (アクセスリストの設定) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-001 match ip access-list 3000
- VLAN #1000 に VLANアクセスマップ VAM-001 を適用し、状態を確認します。
L2SW(config)#vlan filter VAM-001 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-001 is applied to vlan 1000
5.4 MACアクセスリストの設定
5.4.1 LANポートへの適用例
■ホスト指定
LANポート #1 に対して、ホスト: 00-A0-DE-12-34-56 からのフレームを破棄し、それ以外を許可します。
使用するアクセスリストのIDは、 #2000 とし、アクセスリストの名前を MAC-ACL-EX を追加する。
- アクセスリスト #2000 を生成し、確認します。
L2SW(config)# access-list 2000 deny mac host 00a0.de12.3456 any ... (アクセスリストの生成) L2SW(config)# access-list 2000 permit mac any any L2SW(config)# access-list 2000 remark MAC-ACL-EX ... (アクセスリストの名前の設定) L2SW(config)# end L2SW# L2SW# show mac access-list ... (アクセスリストの確認) Extended MAC-ACCESS-LIST: 2000 deny mac host 00a0.de12.3456 any permit mac any any
- LANポート #1 に アクセスリスト #2000 を適用します。
L2SW(config)#interface ge1 L2SW(config-if)#mac access-group 2000 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : MAC access group 2000 in
■ベンダー指定
LANポート #1 に対して、ベンダーコード: 00-A0-DE-*-*-* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのフレームを破棄し、それ以外を許可します。
使用するアクセスリストのIDは、 #2000 とし、アクセスリストの名前を MAC-ACL-EX を追加します。
- アクセスリスト #2000 を生成し、確認します。
L2SW(config)#access-list 2000 deny mac 00a0.de00.0000 0000.00ff.ffff any ... (アクセスリストの生成) L2SW(config)#access-list 2000 permit mac any any L2SW(config)#access-list 2000 remark MAC-ACL-EX ... (アクセスリストの名前の設定) L2SW(config)#end L2SW# L2SW#show mac access-list ... (アクセスリストの確認) Extended MAC-ACCESS-LIST: 2000 deny mac 00A0.DE00.0000 0000.00FF.FFFF any permit mac any any
- LANポート #1 に アクセスリスト #2000 を適用します。
L2SW(config)#interface ge1 L2SW(config-if)#mac access-group 2000 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : MAC access group 2000 in
5.4.2 VLANインターフェースへの適用例
■ホスト指定
VLAN #1000 に対して、ホスト: 00-A0-DE-12-34-56 からのフレームを破棄し、それ以外を許可します。
使用するアクセスリストのIDは、 #2000 とします。アクセスリストの名前は MAC-ACL-EX とします。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2000 を設定します。
- アクセスリスト #2000 を生成し、確認します。
L2SW(config)#access-list 2000 deny mac host 00a0.de12.3456 any ... (アクセスリスト #2000 の生成) L2SW(config)#access-list 2000 permit mac any any L2SW(config)#access-list 2000 remark MAC-ACL-EX ... (アクセスリストの名前の設定) L2SW(config)#end L2SW# L2SW#show mac access-list ... (アクセスリストの確認) Extended MAC-ACCESS-LIST: 2000 deny mac host 00A0.DE12.3456 any permit mac any any
- VLANアクセスマップ VAM-003 を生成し、 アクセスリスト #2000 を設定します。
L2SW(config)# vlan access-map VAM-003 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)# match mac access-list 2000 ... (アクセスリストの登録) L2SW(config-vlan-access-map)# end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-003 match ip access-list 2000
- VLAN #1000 に VLANアクセスマップ VAM-003 を適用し、状態を確認します。
L2SW(config)#vlan filter VAM-003 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-003 is applied to vlan 1000
■ベンダー指定
VLAN #1000 に対して、ベンダーコード: 00-A0-DE-*-*-* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのフレームを破棄し、それ以外を許可します。
使用するアクセスリストのIDは、 #2000 とします。アクセスリストの名前は MAC-ACL-EX とします。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2000 を設定します。
- アクセスリスト #2000 を生成し、確認します。
L2SW(config)#access-list 2000 deny mac 00a0.de00.0000 0000.00ff.ffff any ... (アクセスリスト #2000 の生成) L2SW(config)#access-list 2000 permit mac any any L2SW(config)#access-list 2000 remark MAC-ACL-EX ... (アクセスリストの名前の設定) L2SW(config)#end L2SW# L2SW#show mac access-list ... (アクセスリストの確認) Extended MAC-ACCESS-LIST: 2000 deny mac 00A0.DE00.0000 0000.00FF.FFFF any permit mac any any
- VLANアクセスマップ VAM-003 を生成し、 アクセスリスト #2000 を設定します。
L2SW(config)# vlan access-map VAM-003 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)# match mac access-list 2000 ... (アクセスリストの登録) L2SW(config-vlan-access-map)# end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-003 match ip access-list 2000
- VLAN #1000 に VLANアクセスマップ VAM-003 を適用し、状態を確認します。
L2SW(config)#vlan filter VAM-003 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-003 is applied to vlan 1000
6 注意事項
特になし
7 関連文書
QoS
1 機能概要
QoS ( Quality of Service ) とは、ネットワーク上で、ある特定の通信のための帯域を予約し、一定の通信速度を保証する技術です。
アプリケーションデータを分類・グループ化し、IPヘッダ内の DSCP や、IEEE802.1Q タグ内の CoS を参照してグループ毎の優先度に従い、データを転送します。
2 用語の定義
- CoS (IEEE 802.1p Class of Service)
VLANタグヘッダ内にある3ビットのフィールドで優先度を表現し、0 ~ 7 の値をとる。
802.1p ユーザープライオリティとも呼ぶ。
- IP Precedence
IPヘッダの TOS フィールド内にある 3 ビットのフィールドで優先度を表現し、0 ~ 7 の値をとる。
フレームを受信した機器に対して、該当フレームのトラフィッククラスを示すために使われる。
- DSCP (Diffserv Code Point)
IP ヘッダの TOS フィールド内にある 6 ビットのフィールドで優先度を表現し、0 ~ 63 の値をとる。
DSCP は IP Precedence と同じ TOS フィールドを使用しているため、IP-Precedence と互換性がある。
フレームを受信した機器に対して、該当フレームのトラフィッククラスを示すために使われる。
- デフォルト CoS
タグなしフレームに対して内部処理のために付与する CoS 値のこと。
- 送信キュー
本L2スイッチは、ポート毎に 8 個の送信キューをもつ。送信キューには、ID 0 ~ 7 が割り振られており、IDの数値が大きいほど、優先度が高いキューとなる。
- トラストモード
送信キューID の決定を何に基づいて(信頼して)行うかを表す。
受信フレームの CoS 値や DSCP 値を使用して振り分けたり、受信ポート毎に設定された優先度を適用させることができる。
LAN/SFP ポート単位で設定が可能で、初期状態(QoS を有効化したとき)は CoS に設定されている。
- 送信キューID変換テーブル
CoS 値や DSCP 値から、送信キューID を決定するための変換テーブル。
CoS - 送信キューID変換テーブルと DSCP - 送信キューID変換テーブルの 2 種類があり、それぞれのトラストモードで使用される。
マッピングは、ユーザーが自由に変更することができる。
- ポート優先度
受信ポート毎に設定された優先度。トラストモードが"ポート優先"の場合、そのポートで受信したフレームは、ポート優先度の設定に基づいて送信キューへ格納される。
- クラスマップ
パケットをトラフィッククラスに分類するための条件を定義したもの。
ポリシーマップに関連付けて使用し、トラフィッククラス毎の QoS 処理(プレマーキング、送信キュー指定、メータリング・ポリシング・リマーキング)を定義することができる。
- ポリシーマップ
受信ポートに対する一連の QoS 処理を行うための要素。単体では使用せず、1つ ~ 8つのクラスマップを関連付けて使用する。
ポリシーマップを LAN/SFP ポートに適用すると、該当ポートで受信したパケットに対し、ポリシーマップに関連付けられたクラスマップ単位でトラフィック分類が行われる。
また、トラフィッククラス毎に設定されたQoS処理(プレマーキング、送信キュー指定、メータリング・ポリシング・リマーキング)が行われるようになる。
- ポリサー
メータリング、ポリシング、リマーキングの一連の設定の集まり。
1 つのトラフィッククラスを対象としてメータリングを行う個別ポリサーと、複数のトラフィッククラスをひとまとめにしてメータリングを行う集約ポリサーの2種類がある。
3 機能詳細
3.1 QoS の有効・無効制御
本L2スイッチの QoS 制御は、初期設定で 有効 となっています。
QoS 制御の無効化は、 no mls qos コマンドで行います。有効化する場合は、 mls qos enable コマンドで行います。
QoS 制御コマンドのほとんどは、QoS が有効化されていないと実行することができません。
また、QoS 機能の状態は、 show mls qos コマンドで確認することができます。
3.2 QoS 処理フロー
QoSの処理フローは以下のようになります。
3.3 送信キューの割り当て
本L2スイッチはフレームを受信すると、フレーム内の CoS 値や DSCP 値 、受信ポートの ポート優先度 に基づいて、送信キューID の初期値を決定します。
フレームの CoS 値やDSCP 値、ポートの優先度のうち、何に基づいて送信キューを決定するかは、ポートの トラストモード によって決まります。
トラストモード は、mls qos trust コマンドで変更することができ、初期設定は DSCP に設定されています。
送信キューの割り当ては、 トラストモード 毎に以下のルールで行われます。
- トラストモードが "CoS" の場合
- 受信フレームが VLAN タグ付きフレームの場合、タグ内の CoS 値を使用して、送信キューID を決定します。
- 受信フレームが VLAN タグ無しフレームの場合、本L2スイッチで管理する デフォルト CoS を使用して、送信キューID を決定します。
初期設定(QoS 有効化時)、 デフォルト CoS は 0 に設定されています。 mls qos cos コマンドで変更することができます。
- CoS-送信キューID変換テーブルの初期値は下表のとおりです。
本テーブルはシステムで一つ保有し、 mls qos cos-queue コマンドで変更することができます。
CoS 値 送信キューID Traffic Type 0 2 Best Effort 1 0 Background 2 1 Standard(spare) 3 3 Excellent Effort(Business Critical) 4 4 Controlled Load(Streaming Multimedia) 5 5 Video(Interactive Media) less than 100 msec latency and jitter 6 6 Voice(Interactive Media) less than 10 msec latency and jitter 7 7 Network Control(Reserved Traffic)
- トラストモードが "DSCP" の場合
- IPヘッダ内の DSCP 値を使用して、送信キューID を決定します。
- DSCP-送信キューID変換テーブルの初期値は下表のとおりです。 (Dante推奨の設定)
本テーブルはシステムで一つ保有し、 mls qos dscp-queue コマンドで変更することができます。
DSCP 値 送信キューID Traffic Type 8 2 (reserved) 46 5 Audio, PTP 56 7 Time critical PTP events 上記以外 0 Other traffic
- トラストモードが "ポート優先" の場合
トラストモードが "CoS" または "DSCP" の場合、ポリシーマップによる QoS 処理 (以下) により、送信キューID の再割り当てが行われる場合があります。
この場合は、ポートのトラストモードに対応する送信キューID変換テーブルに基づいて、新しい送信キューID が再度割り当てられます。
- プレマーキング
- 詳細は プレマーキング を参照
- 送信キュー指定
- トラストモードが CoS の場合、 set cos-queue コマンドにて送信キューID に対応した CoS 値を指定します。
- トラストモードが DSCP の場合、 set dscp-queue コマンドにて送信キューID に対応した DSCP 値を指定します。
- リマーキング
- 詳細は メータリング・ポリシング・リマーキング を参照
トラストモードが "ポート優先" の場合は、ポリシーマップの QoS 処理によって送信キューID を変更することはできません。(プレマーキング、送信キュー指定、リマーキングの設定を含むポリシーマップを適用することはできません)
3.4 送信キューの割り当て(スイッチ本体から送信されるフレーム)
送信キューの割り当ての例外として、スイッチ本体(CPU)から送信されるフレームは、 システムで決められた送信キュー が自動的に割り当てられます。( トラストモード に基づく送信キュー割り当てはされません)
どの送信キューを割り当てるかは、mls qos queue sent-from-cpu コマンドで変更することができ、初期設定では送信キューID は 7 が設定されています。
3.5 トラフィック分類
トラフィックの分類は、IP ヘッダや TCP ヘッダなどの条件を定義した クラスマップ に基づいて、受信フレームを分類する機能です。
分類可能な条件と、設定コマンドは下表のとおりです。
分類可能な条件と、設定コマンド
分類条件 | 条件設定コマンド | クラスマップ設定コマンド | クラスマップあたりの登録可能数 |
---|---|---|---|
送信元/宛先 MAC アドレス | mac-access-list | match access-group | 1 |
送信元/宛先 IP アドレス | ip-access-list | 1 | |
IP プロトコルタイプ (*注1) | 1 | ||
Ethernet フレームタイプ番号 | match ethertype | 1 | |
VLAN タグヘッダの CoS 値 | match cos | 8 | |
IP ヘッダの Precedence 値 | match ip-precedence | 8 | |
IP ヘッダの DSCP 値 | match ip-dscp | 8 | |
VLAN ID (*注2) | match vlan, match vlan-range | 30 |
(*注1) IP プロトコルタイプによる分類は、IPv6 は対象外となります。
(*注2) プライベート VLAN のアイソレート VLAN 、コミュニティ VLAN は対象外となります。
- トラフィックの分類は クラスマップ 単位で行います。
- 分類条件は 1 つの クラスマップ に対して 1 種類 設定することができ、条件にマッチしたフレームは、ポリサーによる QoS 処理(メータリング・ポリシング・リマーキング)やプレマーキング、送信キューの指定を行うことができます。
- 分類条件を指定しなかった場合は、すべてのフレームが該当のトラフィッククラスに分類されます。
- CoS, IP Precedence, DSCP, VLAN ID による分類は、1 つのクラスマップで複数個を登録することができます。
- ポリシーマップ に複数の クラスマップ を関連付けることで、受信ポートに対して複合的なトラフィックの分類を実現することができます。1 つの ポリシーマップ に関連付けられる クラスマップ は、 最大で 8 個 です。
- 設定されている クラスマップ の情報は、 show class-map コマンドで確認できます。
- 設定されている ポリシーマップ の情報は、show policy-map コマンドで確認できます。
- ポリシーマップ がどのポートに適用されているか、 クラスマップ がどのポリシーマップに関連付けられているかは、show mls qos map-status コマンドで確認できます。
3.6 プレマーキング
プレマーキングとは、トラフィッククラスに分類された受信フレームに対して、CoS 値、IP Precedence 値、DSCP 値を変更する(割り当てる)機能です。
プレマーキングは、ポリシーマップ・クラスモードの以下のコマンドで設定します。プレマーキング設定コマンド
プレマーキング対象 | 設定コマンド |
---|---|
CoS | set cos |
IP Precedence | set ip-precedence |
DSCP | set ip-dscp |
- プレマーキング可能な DSCP 値は、 RFCで推奨されている値 とそれ以外に 4 個まで を扱うことができます。( リマーキングで扱う DSCP 値についても、本ルールが適用されます。 )
- プレマーキングの設定は、 クラスマップ に対して 1 つだけ 設定することができます。また、送信キュー指定 ( set cos-queue, set ip-dscp-queue ) との併用はできません。
- プレマーキングを行うと、変更後の値とトラストモードに対応する 送信キューID変換テーブル に基づいて、送信キューの再割り当てが行われます。
3.7 メータリング・ポリシング・リマーキング
帯域使用量を計測し、得られた結果に応じてパケットの破棄や優先度の変更を行うことにより、帯域制御を実現します。
メータリング、ポリシング、リマーキングの一連の処理は ポリサー と呼ばれる単位で行います。
帯域制御の処理概要
処理名 | 概要 |
---|---|
メータリング | トラフィックレートとバーストサイズを基準に、分類したトラフィックがどの程度帯域を占有しているかを計測し、 3 つの帯域クラス(Green, Yellow, Red)に分類します。 分類された帯域クラス毎に、破棄(ポリシング)やリマーキングなどの動作を指定することができます。 |
ポリシング | 帯域クラスの情報を用いて、フレームを破棄することで、帯域使用量を一定量に抑止します。 |
リマーキング | 帯域クラスの情報を用いて、フレームの CoS 値、IP Precedence 値、DSCP 値を変更します。 |
3.7.1 ポリサーの種類
ポリサーには、メータリング・ポリシング・リマーキングを 1 つのトラフィッククラスを対象として行う 個別ポリサー と、複数のトラフィッククラスをひとまとめにして行う 集約ポリサー の2種類があります。
- 個別ポリサー
トラフィッククラス毎にメータリング・ポリシング・リマーキングを行います。
個別ポリサーの設定には police コマンドを使用します。
- 集約ポリサー
複数のトラフィッククラスをひとまとめにして、メータリング・ポリシング・リマーキングを行います。
集約ポリサーは、aggregate-police コマンドで生成し、集約ポリサーモードの police コマンドと remark-map コマンドで内容を設定します。
生成した集約ポリサーをトラフィッククラスに適用するには、police-aggregate コマンドを使用します。
- 個別ポリサー と 集約ポリサー それぞれの設定において使用するコマンドは以下のとおりです。
設定内容 個別ポリサー 集約ポリサー ポリサーの生成 - aggregate-police ポリサーの設定
(メータリング・ポリシング・リマーキング)police single-rate, police twin-rate
(ポリシーマップ・クラスモード)police single-rate, police twin-rate
(集約ポリサーモード)トラフィッククラスへのポリサーの適用 police-aggregate リマーキングの詳細設定 remark-map
(ポリシーマップ・クラスモード)remark-map
(集約ポリサーモード)
3.7.2 メータリングの種類
メータリングには、 シングルレートポリサー (RFC2697)と ツインレートポリサー (RFC2698)の2種類があります。
使用するメータリングの種類と制御パラメータは、police コマンド(ポリシーマップ・クラスモードまたは集約ポリサーモード)で設定します。
- シングルレートポリサー(RFC2697)
シングルレートポリサーは、 トラフィックレート(CIR) と バーストサイズ(CBS, EBS) に基づいて、トラフィッククラス内のフレームを Green(適合) 、 Yellow(超過) 、 Red(違反) の 3 つの帯域クラスに分類します。
- シングルレートポリサー 制御パラメータ
パラメータ 説明 CIR
(Committed Information Rate)定期的にバケットに貯められるトークンの流量。 1 ~ 102,300,000 kbps で指定することができます。
CBS
(Committed Burst Size)一つ目のトークンバケット(適合トークンバケット)から一度に取り除けるトークンのトラフィック量。 11 ~ 2,097,120 kByteで指定することができます。
EBS
(Exceed Burst Size)二つ目のトークンバケット(超過トークンバケット)から一度に取り除けるトークンのトラフィック量。 11 ~ 2,097,120 kByteで指定することができます。
- シングルレートポリサー 制御パラメータ
- ツインレートポリサー(RFC2698)
ツインレートポリサーは、 トラフィックレート(CIR, PIR) と バーストサイズ(CBS, PBS) に基づいて、トラフィッククラス内のフレームを Green(適合) 、 Yellow(超過) 、 Red(違反) の 3 つの帯域クラスに分類します。
- ツインレートポリサー 制御パラメータ
パラメータ 説明 CIR
(Committed Information Rate)二つ目のトークンバケット(適合トークンバケット) に定期的に貯められるトークンの流量。 1 ~ 102,300,000 kbps で指定することができます。
PIR
(Peak Information Rate)一つ目のトークンバケット(ピークトークンバケット) に定期的に貯められるトークンの流量。 1 ~ 102,300,000 kbps で指定することができます。
ただし、CIR より小さな値は設定できません。CBS
(Committed Burst Size)適合トークンバケットから一度に取り除けるトークンのトラフィック量。 11 ~ 2,097,120 kByteで指定することができます。
PBS
(Peak Burst Size)ピークトークンバケットから一度に取り除けるトークンのトラフィック量。 11 ~ 2,097,120 kByteで指定することができます。
- ツインレートポリサー 制御パラメータ
3.7.3 メータリングアクション(ポリシング・リマーキング)の設定
メータリングで分類された帯域クラスに対する動作の指定は、 police コマンド(ポリシーマップ・クラスモードまたは集約ポリサーモード)で行います。
本L2スイッチでは、帯域クラス毎に以下の動作を定義することができます。
帯域クラスに対する動作の指定
帯域クラス | 転送 | 破棄 | リマーキング |
---|---|---|---|
Green | ○ | × | × |
Yellow | ○ | ○ | ○ (どちらか 片方のみ) |
Red | × | ○ |
- リマーキングの詳細の設定に関しては、 remark-map コマンドで行います。
DSCP 値へのリマーキングは、プレマーキングと同じく、 RFCで推奨されている値 (別表1. 標準 PHB (RFC 推奨値)参照) とそれ以外に 4 個まで を扱うことができます。
また、リマーキングを行うと、変更後の値とトラストモードに対応する 送信キューID変換テーブル に基づいて、送信キューの再割り当てが行われます。 - メータリングを行わない場合、トラフィッククラスに分類された全てのフレームは、帯域クラス Green として扱われます。
3.8 送信キューへの格納
一連の QoS 処理によって最終的に決定した送信キューへ、フレームを格納します。
本L2スイッチでは、送信キュー混雑状況を解消するために、フレームを選択し、破棄する仕組みを提供します。
- テールドロップ
本L2スイッチでは、送信キューの溢れ対策として、 テールドロップ 方式を採用します。メータリングで分類された帯域クラスに対して、以下のしきい値を超えた場合に、該当フレームの破棄を行います。
帯域クラス テールドロップしきい値(%) Green + Yellow 100% Red 60%
- QoS の有効・無効に関わらず、テールドロップは常に機能します。
無効化することや、しきい値を変更することはできません。 - 送信キューの混雑度合いは、 show mls qos queue-counters コマンドで確認することができます。
3.9 スケジューリング
スケジューリングにより、送信キューに格納されたフレームをどのような規則で送出するかを決定します。
輻輳制御の仕組みと合わせて、スケジューリングを適切に制御することによって、QoS を保証するのに役立ちます。(不適切なスケジューリングは QoS を劣化させます。)
本L2スイッチは、送信キューのスケジューリング方式として、 絶対優先方式(SP) と 重み付きラウンドロビン方式(WRR) の2種類をサポートします。
また、SP と WRR をインターフェース内で組み合わせて使用することも可能です。(この場合、SPが優先的に処理されます。)
- 絶対優先方式 (SP : Strict Priority)
キューの優先度の高いものから優先的に送信します。
優先度の高いキューにフレームが格納されている場合には、それより優先度の低いキューからは全く送信することができなくなります。
- 重み付きラウンドロビン方式 (WRR : Weighted Round Robin)
各キューに 重み を設定し、その比率によってフレームを送信します。重みは、 1~32 の範囲で設定することができます。
優先度の低いキューからも、ある一定の割合にて送信をすることができます。
送信キューに対するスケジューリングの設定は、インターフェース単位ではなく、システムで一つの設定となります。
重みの設定は、 mls qos wrr-weight コマンドを使用します。
初期設定(QoS 有効化時)、スケジューリング設定は全てのキューで SP となっています。
3.10 シェーピング
帯域の異なるネットワークを接続している場合、広帯域のネットワークから狭帯域のネットワークにそのままの転送速度でフレームを転送すると、フレームが転送しきれなくなり、帯域不足を招きます。
シェーピングは、フレーム送信時の速度を監視し、速度超過を見つけた場合にフレームを一時的にバッファリングしてから送信することにより、転送レートを一定に抑止する機能です。
本L2スイッチのシェーピングは、シングルトークンバケットにより実現されています。
- シングルトークンバケット
- シェーピングは、ポート単位とキュー単位で設定することができ、それぞれ以下のコマンドを使用します。
シェーピング対象 設定コマンド ポート単位 traffic-shape 送信キュー単位 traffic-shape queue - 送信レートの上限(CIR)とバーストサイズ(BC)を指定します。
- 送信レートの上限(CIR) : 18 - 1,000,000 kbps で指定可能。
- バーストサイズ(BC) : 4 - 16,000 kbyte で指定可能。ただし、4Kbyte単位での設定となります。
- キュー単位とポート単位のシェーピングを併用した場合、キュー単位のシェーピングの後にポート単位のシェーピングが適用されます。
- 初期設定(QoS 有効化時)、シェーピング設定はすべてのポート、すべてのキューで 無効 となっています。
別表1. 標準 PHB (RFC 推奨値)
標準 PHB (RFC 推奨値)
PHB | DSCP値 | RFC | |
---|---|---|---|
Default | 0 | RFC2474 | |
CS (Class Selector) | CS0 | 0 | RFC2474 |
CS1 | 8 | ||
CS2 | 16 | ||
CS3 | 24 | ||
CS4 | 32 | ||
CS5 | 40 | ||
CS6 | 48 | ||
CS7 | 56 | ||
AF (Assured Forwarding) | AF11 | 10 | RFC2597 |
AF12 | 12 | ||
AF13 | 14 | ||
AF21 | 18 | ||
AF22 | 20 | ||
AF23 | 22 | ||
AF31 | 26 | ||
AF32 | 28 | ||
AF33 | 30 | ||
AF41 | 34 | ||
AF42 | 36 | ||
AF43 | 38 | ||
EF (Expedited Forwarding) | 46 | RFC2598 |
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
QoS の有効・無効制御 | mls qos enable |
デフォルト CoS の設定 | mls qos cos |
トラストモードの変更 | mls qos trust |
受信フレームに対するポリシーマップの生成 | policy-map |
受信フレームに対するポリシーマップの適用 | service-policy input |
QoS 機能の設定状態の表示 | show mls qos |
LAN/SFP ポートの QoS 情報の表示 | show mls qos interface |
送信キュー使用率の表示 | show mls qos queue-counters |
ポリシーマップ情報の表示 | show policy-map |
CoS - 送信キューID 変換テーブルの設定 | mls qos cos-queue |
DSCP - 送信キューID 変換テーブルの設定 | mls qos dscp-queue |
ポート優先度の設定 | mls qos port-priority-queue |
スイッチ本体から送信されるフレームの優先度設定 | mls qos queue sent-from-cpu |
クラスマップ(トラフィックの分類条件)の生成 | class-map |
クラスマップの関連付け | class |
トラフィック分類条件の設定(access-group) | match access-group |
トラフィック分類条件の設定(CoS) | match cos |
トラフィック分類条件の設定(TOS優先度) | match ip-precedence |
トラフィック分類条件の設定(DSCP) | match ip-dscp |
トラフィック分類条件の設定(Ethernet Type) | match ethertype |
トラフィック分類条件の設定(VLAN ID) | match vlan |
トラフィック分類条件の設定(VLAN ID レンジ指定) | match vlan-range |
クラスマップ情報の表示 | show class-map |
標準IPv4アクセスリストの生成 | ip-access-list |
拡張IPv4アクセスリストの生成 | ip-access-list |
IPv6アクセスリストの生成 | ip-access-list |
MACアクセスリストの生成 | mac-access-list |
QoSアクセスリストの表示 | show qos-access-list |
プレマーキングの設定(CoS) | set cos |
プレマーキングの設定(TOS優先度) | set ip-precedence |
プレマーキングの設定(DSCP) | set ip-dscp |
個別ポリサー/集約ポリサーの設定(シングルレート) | police single-rate |
個別ポリサー/集約ポリサーの設定(ツインレート) | police twin-rate |
個別ポリサー/集約ポリサーのリマーキングの設定 | remark-map |
集約ポリサーの作成 | aggregate-police |
集約ポリサーの表示 | show aggregate-police |
集約ポリサーの適用 | police-aggregate |
メータリングカウンターの表示 | show mls qos metering-counters |
メータリングカウンターのクリア | clear mls qos metering-counters |
送信キューの指定(CoS-Queue) | set cos-queue |
送信キューの指定(DSCP-Queue) | set ip-dscp-queue |
送信キューのスケジューリング設定 | mls qos wrr-weight |
トラフィックシェーピング(ポート単位)の設定 | traffic-shape rate |
トラフィックシェーピング(キュー単位)の設定 | traffic-shape queue rate |
5 コマンド実行例
5.1 DSCP 値を使用した優先制御(SP)
フレームの DSCP 値に基づき送信キューを振り分け、優先制御(SP)を行います。
DSCP = 56, 46, 8, 0 のフレームを受信するとき、SP 優先制御により、LANポート#3 からは DSCP 値の大きなフレームが優先的に処理されるようにします。
- DSCP 優先制御 (SP) 設定例
- 入力フレームの優先度付けは以下とします。
- DSCP = 56 のフレームを優先度 7 に設定
- DSCP = 46 のフレームを優先度 5 に設定
- DSCP = 8 のフレームを優先度 1 に設定
- DSCP = 0 のフレームを優先度 0 に設定
- QoS の有効化と受信ポート ( LAN ポート #1, #2 ) のトラストモードの設定をする。
L2SW(config)# mls qos enable … (QoS を有効にする) L2SW(config)# interface ge1 … (LAN ポート #1 に対する設定) L2SW(config-if)# mls qos trust dscp … (トラストモードを DSCP に変更) L2SW(config-if)# exit L2SW(config)# interface ge2 … (LAN ポート #2 に対する設定) L2SW(config-if)# mls qos trust dscp … (トラストモードを DSCP に変更) L2SW(config-if)# exit
- DSCP - 送信キューID変換テーブルの設定をする。
DSCP値 = 46, 56 に対応する送信キューID はデフォルト値のため、特に設定の必要はありませんが、明示的に記載しています。
L2SW(config)# mls qos dscp-queue 56 7 … (DSCP = 56 のフレームを送信キュー#7 へ格納) L2SW(config)# mls qos dscp-queue 46 5 … (DSCP = 46 のフレームを送信キュー#5 へ格納) L2SW(config)# mls qos dscp-queue 8 1 … (DSCP = 8 のフレームを送信キュー#1 へ格納) L2SW(config)# mls qos dscp-queue 0 0 … (DSCP = 0 のフレームを送信キュー#0 へ格納)
- 送信キューごとのスケジューリング方式を設定する。
デフォルト値のため、特に設定の必要はありませんが、明示的に記載しています。
L2SW(config)# no mls qos wrr-weight 7 … (Queue:7 SP 方式) L2SW(config)# no mls qos wrr-weight 5 … (Queue:5 SP 方式) L2SW(config)# no mls qos wrr-weight 1 … (Queue:1 SP 方式) L2SW(config)# no mls qos wrr-weight 0 … (Queue:0 SP 方式)
5.2 アクセスリストを使用した優先制御(SP+WRR)
送信元 IP アドレスを使用してトラフィックを分類し、優先制御(WRR)を設定します。
- 優先制御 (SP+WRR) 設定例
- 入力フレームの分類条件と優先度付け
- 192.168.10.2 からのパケットを トラフィックA に分類し、パケット送信時の 優先順位 7 に設定する
- 192.168.20.2 からのパケットを トラフィックB に分類し、パケット送信時の 優先順位 6 に設定する
- 192.168.30.2 からのパケットを トラフィックC に分類し、パケット送信時の 優先順位 5 に設定する
- 192.168.40.2 からのパケットを トラフィックD に分類し、パケット送信時の 優先順位 4 に設定する
- 192.168.50.2 からのパケットを トラフィックE に分類し、パケット送信時の 優先順位 3 に設定する
- 192.168.60.2 からのパケットを トラフィックF に分類し、パケット送信時の 優先順位 2 に設定する
- 192.168.70.2 からのパケットを トラフィックG に分類し、パケット送信時の 優先順位 1 に設定する
- 192.168.80.2 からのパケットを トラフィックH に分類し、パケット送信時の 優先順位 0 に設定する
- スケジューリング方式
SP と WRR を組み合わせた設定を行う。
キューID 方式 重み(%) 7 SP - 6 SP - 5 SP - 4 WRR 8 (40.0%) 3 WRR 6 (30.0%) 2 WRR 3 (15.0%) 1 WRR 2 (10.0%) 0 WRR 1 (5.0%)
- QoS を有効にして、トラフィック A~H のアクセスリストを定義し、LAN ポートに設定するトラフィッククラスを定義します。
L2SW(config)# mls qos enable … (QoS を有効にする) L2SW(config)# ip-access-list 1 permit 192.168.10.2 0.0.0.0 … (トラフィックA) L2SW(config)# class-map cmap-A L2SW(config-cmap)# match access-group 1 L2SW(config-cmap)# exit L2SW(config)# ip-access-list 2 permit 192.168.20.2 0.0.0.0 … (トラフィックB) L2SW(config)# class-map cmap-B L2SW(config-cmap)# match access-group 2 L2SW(config-cmap)# exit L2SW(config)# ip-access-list 3 permit 192.168.30.2 0.0.0.0 … (トラフィックC) L2SW(config)# class-map cmap-C L2SW(config-cmap)# match access-group 3 L2SW(config-cmap)# exit L2SW(config)# ip-access-list 4 permit 192.168.40.2 0.0.0.0 … (トラフィックD) L2SW(config)# class-map cmap-D L2SW(config-cmap)# match access-group 4 L2SW(config-cmap)# exit L2SW(config)# ip-access-list 5 permit 192.168.50.2 0.0.0.0 … (トラフィックE) L2SW(config)# class-map cmap-E L2SW(config-cmap)# match access-group 5 L2SW(config-cmap)# exit L2SW(config)# ip-access-list 6 permit 192.168.60.2 0.0.0.0 … (トラフィックF) L2SW(config)# class-map cmap-F L2SW(config-cmap)# match access-group 6 L2SW(config-cmap)# exit L2SW(config)# ip-access-list 7 permit 192.168.70.2 0.0.0.0 … (トラフィックG) L2SW(config)# class-map cmap-G L2SW(config-cmap)# match access-group 7 L2SW(config-cmap)# exit L2SW(config)# ip-access-list 8 permit 192.168.80.2 0.0.0.0 … (トラフィックH) L2SW(config)# class-map cmap-H L2SW(config-cmap)# match access-group 8 L2SW(config-cmap)# exit
- CoS - 送信キューID変換テーブルを初期設定に戻します。
L2SW(config)# no mls qos cos-queue 0 L2SW(config)# no mls qos cos-queue 1 L2SW(config)# no mls qos cos-queue 2 L2SW(config)# no mls qos cos-queue 3 L2SW(config)# no mls qos cos-queue 4 L2SW(config)# no mls qos cos-queue 5 L2SW(config)# no mls qos cos-queue 6 L2SW(config)# no mls qos cos-queue 7
- LAN ポート #1 (ge1) に対するポリシーを生成し、適用します。
Traffic-A に対して CoS 値 7 の送信キューを、Traffic-B に対して CoS 値 6 の送信キューを設定します。
L2SW(config)# policy-map pmap1 L2SW(config-pmap)# class cmap-A L2SW(config-pmap-c)# set cos-queue 7 … (Traffic-A はローカル優先順位 7) L2SW(config-pmap-c)# exit L2SW(config-pmap)# class cmap-B L2SW(config-pmap-c)# set cos-queue 6 … (Traffic-B はローカル優先順位 6) L2SW(config-pmap-c)# exit L2SW(config-pmap)# exit L2SW(config)# interface ge1 … (LAN ポート #1) L2SW(config-if)# service-policy input pmap1 … (受信フレームに対しポリシーを適用) L2SW(config-if)# exit
- LAN ポート #2 (ge2) に対するポリシーを生成し、適用します。
Traffic-C に対して CoS 値 5 の送信キューを、Traffic-D に対して CoS 値 4 の送信キューを設定します。
L2SW(config)# policy-map pmap2 L2SW(config-pmap)# class cmap-C L2SW(config-pmap-c)# set cos-queue 5 … (Traffic-C はローカル優先順位 5) L2SW(config-pmap-c)# exit L2SW(config-pmap)# class cmap-D L2SW(config-pmap-c)# set cos-queue 4 … (Traffic-D はローカル優先順位 4) L2SW(config-pmap-c)# exit L2SW(config-pmap)# exit L2SW(config)# interface ge2 … (LAN ポート #2) L2SW(config-if)# service-policy input pmap2 … (受信フレームに対しポリシーを適用) L2SW(config-if)# exit
- LAN ポート #3 (ge3) に対するポリシーを生成し、適用します。
Traffic-E に対して CoS 値 3 の送信キューを、Traffic-F に対して CoS 値 0 の送信キューを設定します。
L2SW(config)# policy-map pmap3 L2SW(config-pmap)# class cmap-E L2SW(config-pmap-c)# set cos-queue 3 … (Traffic-E はローカル優先順位 3) L2SW(config-pmap-c)# exit L2SW(config-pmap)# class cmap-F L2SW(config-pmap-c)# set cos-queue 0 … (Traffic-F はローカル優先順位 0) L2SW(config-pmap-c)# exit L2SW(config-pmap)# exit L2SW(config)# interface ge3 … (LAN ポート #3) L2SW(config-if)# service-policy input pmap3 … (受信フレームに対しポリシーを適用) L2SW(config-if)# exit
- LAN ポート #4 (ge4) に対するポリシーを生成し、適用します。
Traffic-E に対して CoS 値 2 の送信キューを、Traffic-F に対して CoS 値 1 の送信キューを設定します。
L2SW(config)# policy-map pmap4 L2SW(config-pmap)# class cmap-G L2SW(config-pmap-c)# set cos-queue 2 … (Traffic-G はローカル優先順位 1) L2SW(config-pmap-c)# exit L2SW(config-pmap)# class cmap-H L2SW(config-pmap-c)# set cos-queue 1 … (Traffic-H はローカル優先順位 1) L2SW(config-pmap-c)# exit L2SW(config-pmap)# exit L2SW(config)# interface ge4 … (LAN ポート #4) L2SW(config-if)# service-policy input pmap4 … (受信フレームに対しポリシーを適用) L2SW(config-if)# exit
- 送信キューのスケジューリング方式を設定します。
キューID 5, 6, 7 は、デフォルト設定のため、特に設定の必要はありませんが、明示的に記載しています。
L2SW(config)# mls qos wrr-weight 0 1 … (送信キュー0: WRR 方式、重み付け 1) L2SW(config)# mls qos wrr-weight 1 2 … (送信キュー1: WRR 方式、重み付け 2) L2SW(config)# mls qos wrr-weight 2 3 … (送信キュー2: WRR 方式、重み付け 3) L2SW(config)# mls qos wrr-weight 3 6 … (送信キュー3: WRR 方式、重み付け 6) L2SW(config)# mls qos wrr-weight 4 8 … (送信キュー4: WRR 方式、重み付け 8) L2SW(config)# no mls qos wrr-weight 5 … (送信キュー5: SP 方式) L2SW(config)# no mls qos wrr-weight 6 … (送信キュー6: SP 方式) L2SW(config)# no mls qos wrr-weight 7 … (送信キュー7: SP 方式)
5.3 ポート優先トラストモードを使用した優先制御
受信ポート毎に指定したポート優先度に基づいて、送信キューを決定します。
- ポート優先度による優先制御 設定例
- 受信ポートごとの優先度の設定
- LAN ポート #1 (ge1) の優先度を 6 に設定する。
- LAN ポート #2 (ge2) の優先度を 4 に設定する。
- LAN ポート #3 (ge3) の優先度を 2 に設定する。
- QoS の有効化と受信ポート( LAN ポート #1, #2, #3 ) のトラストモードの設定をする
L2SW(config)#mls qos enable … (QoS を有効にする) L2SW(config)#interface ge1 … (LAN ポート #1 に対する設定) L2SW(config-if)#mls qos trust port-priority … (トラストモードを "ポート優先" に変更) L2SW(config-if)#mls qos port-priority-queue 6 … (ポート優先度を 6 に設定) L2SW(config-if)#exit L2SW(config)#interface ge2 … (LAN ポート #2 に対する設定) L2SW(config-if)#mls qos trust port-priority … (トラストモードを "ポート優先" に変更) L2SW(config-if)#mls qos port-priority-queue 4 … (ポート優先度を 4 に設定) L2SW(config-if)#exit L2SW(config)#interface ge3 … (LAN ポート #3 に対する設定) L2SW(config-if)#mls qos trust port-priority … (トラストモードを "ポート優先" に変更) L2SW(config-if)#mls qos port-priority-queue 2 … (ポート優先度を 2 に設定) L2SW(config-if)#exit
5.4 アクセスリストを使用した帯域制御(ツインレート・個別ポリサー)
送信元 IP アドレスを使用して帯域制御を設定します。メータリングはツインレートポリサー、個別ポリサーを使用します。
- 帯域制御 設定例
- 入力フレームの分類条件と帯域制限の設定
- 192.168.10.2 からのパケットを トラフィックA に分類し、受信レート (CIR) を 25Mbps に制限する
- 192.168.20.2 からのパケットを トラフィックB に分類し、受信レート (CIR) を 15Mbps に制限する
- 192.168.30.2 からのパケットを トラフィックC に分類し、受信レート (CIR) を 10Mbps に制限する
- QoS を有効にして、トラフィック A~C のアクセスリストを定義し、LAN ポートに設定するトラフィッククラスを定義します。
L2SW(config)#mls qos enable … (QoS を有効にする) L2SW(config)#ip-access-list 1 permit 192.168.10.2 0.0.0.0 … (トラフィックA) L2SW(config)#class-map cmap-A L2SW(config-cmap)#match access-group 1 L2SW(config-cmap)#exit L2SW(config)#ip-access-list 2 permit 192.168.20.2 0.0.0.0 … (トラフィックB) L2SW(config)#class-map cmap-B L2SW(config-cmap)#match access-group 2 L2SW(config-cmap)#exit L2SW(config)#ip-access-list 3 permit 192.168.30.2 0.0.0.0 … (トラフィックC) L2SW(config)#class-map cmap-C L2SW(config-cmap)#match access-group 3 L2SW(config-cmap)#exit
- LAN ポート #1 (ge1) に対するポリシーを生成し、適用します。
トラフィックA から トラフィックC に対して、個別にメータリングを設定します。
ツインレートポリサーにおいて Yellow, Red を破棄することにより、Green の帯域を確保(保証)することができます。
L2SW(config)#policy-map pmap1 L2SW(config-pmap)#class cmap-A … (Traffic-A メータリング設定) L2SW(config-pmap-c)#police twin-rate 25000 25000 156 11 yellow-action drop red-action drop L2SW(config-pmap-c)#exit L2SW(config-pmap)#class cmap-B … (Traffic-B メータリング設定) L2SW(config-pmap-c)#police twin-rate 15000 15000 93 11 yellow-action drop red-action drop L2SW(config-pmap-c)#exit L2SW(config-pmap)#class cmap-C … (Traffic-C メータリング設定) L2SW(config-pmap-c)#police twin-rate 10000 10000 62 11 yellow-action drop red-action drop L2SW(config-pmap-c)#exit L2SW(config-pmap)#exit L2SW(config)#interface ge1… (LAN ポート 1) L2SW(config-if)#service-policy input pmap1 … (受信フレームに対しポリシーを適用) L2SW(config-if)#exit
- メータリングの設定値は、以下となります。
- Traffic-A:CIR ( 25,000 kbps ) 、CBS ( 156 kbyte ) 、EBS ( 11 kbyte )
- Traffic-B:CIR ( 15,000 kbps )、CBS ( 93 kbyte )、EBS ( 11 kbyte )
- Traffic-C:CIR ( 10,000 kbps )、CBS ( 62 kbyte )、EBS ( 11 kbyte )
CBS は 往復時間を 0.05 秒とし、以下の算出式により求めています。
CBS = CIR ( bps ) ÷ 8 ( bit ) × 0.05 ( second )
- メータリングの設定値は、以下となります。
5.5 アクセスリストを使用した帯域制御(シングルレート・集約ポリサー)
送信元 IP アドレスを使用して帯域制御を設定します。メータリングはシングルレートポリサー、集約ポリサーを使用します。
- 帯域制御 設定例
- 入力フレームの分類条件と帯域制限の設定
- 192.168.10.2 からのパケットを トラフィックA に分類する。
- 192.168.20.2 からのパケットを トラフィックB に分類する。
- 192.168.30.2 からのパケットを トラフィックC に分類する。
- トラフィックA, B, C の受信レートを、併せて 25Mbps に制限する。
- 帯域クラス Yellow は DSCP = 0 にリマーキングして、低優先度で送信する。
- QoS を有効にして、トラフィック A~D のアクセスリストを定義し、LAN ポートに設定するトラフィッククラスを定義します。
L2SW(config)#mls qos enable … (QoS を有効にする) L2SW(config)#ip-access-list 1 permit 192.168.10.2 0.0.0.0 … (トラフィックA) L2SW(config)#class-map cmap-A L2SW(config-cmap)#match access-group 1 L2SW(config-cmap)#exit L2SW(config)#ip-access-list 2 permit 192.168.20.2 0.0.0.0 … (トラフィックB) L2SW(config)#class-map cmap-B L2SW(config-cmap)#match access-group 2 L2SW(config-cmap)#exit L2SW(config)#ip-access-list 3 permit 192.168.30.2 0.0.0.0 … (トラフィックC) L2SW(config)#class-map cmap-C L2SW(config-cmap)#match access-group 3 L2SW(config-cmap)#exit
- DSCP-送信キューID変換テーブルを設定します。
Yellow のリマーキングで使用する DSCP値 (0) に対して、最低優先度の送信キューを割り当てます。
L2SW(config)#mls qos dscp-queue 0 0
- 集約ポリサーを作成します。
L2SW(config)#aggregate-police agp1 … (集約ポリサーを作成) L2SW(config-agg-policer)#police single-rate 25000 156 11 yellow-action remark red-action drop L2SW(config-agg-policer)#remark-map yellow ip-dscp 0 L2SW(config-agg-policer)#exit
- 集約ポリサーのメータリングの設定値は、以下となります。
- メータリング種別: シングルレートポリサー
- Yellow は DSCP値 = 0 にリマーキング
- CIR ( 25,000 kbps ) 、CBS ( 156 kbyte ) 、EBS ( 11 kbyte )
CBS は 往復時間を 0.05 秒とし、以下の算出式により求めています。
CBS = CIR ( bps ) ÷ 8 ( bit ) × 0.05 ( second )
- 集約ポリサーのメータリングの設定値は、以下となります。
- LAN ポート #1 (ge1) に対するポリシーを生成し、適用します。
トラフィックA から トラフィックC を一つに集約したメータリング (集約ポリサー) を設定します。
L2SW(config)#policy-map pmap1 L2SW(config-pmap)#class cmap-A … (Traffic-A メータリング設定) L2SW(config-pmap-c)#police-aggregate agp1 L2SW(config-pmap-c)#exit L2SW(config-pmap)#class cmap-B … (Traffic-B メータリング設定) L2SW(config-pmap-c)#police-aggregate agp1 L2SW(config-pmap-c)#exit L2SW(config-pmap)#class cmap-C … (Traffic-C メータリング設定) L2SW(config-pmap-c)#police-aggregate agp1 L2SW(config-pmap-c)#exit L2SW(config-pmap)#exit L2SW(config)#interface ge1… (LAN ポート 1) L2SW(config-if)#service-policy input pmap1 … (受信フレームに対しポリシーを適用) L2SW(config-if)#exit
6 注意事項
- 以下の機能は、Rev.2.01.04 から対応しています。
- ポート優先トラストモード
- スイッチ本体から送信されるフレームの優先度指定
- IPv6 アクセスリスト
- 集約ポリサー、ツインレートポリサー
- シェーピング(送信キュー単位)
- 全送信ポートを合わせて、同時に4つ以上の送信キューが使用率100%になると、全体の通信レートが落ちるという現象が発生します。
7 関連文書
特になし
フロー制御
1 機能概要
スイッチングハブは、受信したフレームを一度メモリに蓄積してから中継処理を行います。
多くのフレームが同時に送られてきたことで中継処理が間に合わない状態(輻輳状態)になり、蓄積可能なメモリ容量を超えてしまうと、中継対象のフレームが破棄されてしまいます。
本L2スイッチは、このような輻輳状態を防ぐ機能として、以下の2つを提供します。
- ポートが全二重で動作している場合 : IEEE 802.3x フロー制御を有効にすることができます。
- ポートが半二重で動作している場合 : バックプレッシャー機能が常に有効になります。
2 用語の定義
- ビット時間
10BASE のネットワークでは 10Mbps であるため、1 ビット時間 = 100msec となる。
同様に、100BASE では 10nsec、1000BASE では 1nsec となる。
- ジャム信号
データの送信と受信を同時に行うことができない半二重通信では、データの衝突が発生する可能性がある。
送信側の端末は、データ送信中に衝突の発生を監視しており、衝突を検出すると、送信を停止してジャム信号を送信する。ジャム信号送信後はランダムな待ち時間待機し、再度送信処理を行う。
なお、IEEE では、ジャム信号について定義されていないが
「10101010101010101010101010101010」のように、1 と 0 が交互に 32 個並んだビット列になっていることが多い。
3 機能詳細
3.1 IEEE 802.3x フロー制御
全二重通信の場合、IEEE802.3x オプションの MAC 制御プロトコルを使用することができます。
フロー制御には、下図の MAC 制御フレーム が使われます。
MAC 制御フレーム
フロー制御では、規制開始閾値と規制解除閾値をもとに、以下の動作を行います。
フロー制御 処理フロー
本L2スイッチは、MAC 制御フレーム送信側、受信側のどちらにもなることができ、それぞれ以下の動作を行います。
- MAC 制御フレーム送信時の処理
- 受信バッファにフレームが蓄積され、規制開始しきい値を超えたとき、中断時間 65535 の PAUSE フレームを送信します。
- 受信バッファの溢れが解消され、規制解除しきい値を下回ったとき、中断時間 0 の PAUSE フレームを送信します。
- MAC 制御フレーム受信時の処理
- 中断時刻 1 ~ 65535 の PAUSEフレームを受信すると、対応した ビット時間 が経過する、または、中断時刻 0 の PAUSE フレームを受信する、のいずれかを満たすまで、送信処理を中断します。
フロー制御(MAC 制御フレームの送受信) の有効・無効の設定は flowcontrol enable コマンドを使用します。
送受信LAN/SFP ポート単位で設定可能で、工場出荷時は無効となっています。
規制開始しきい値、規制解除しきい値は、flowcontrol threshold コマンドで設定します。
初期値は規制開始しきい値 = 80 % 、規制解除しきい値 = 60 % です。しきい値はシステムで共通の値を使用します。
3.2 バックプレッシャー
本L2スイッチは、LANポートの受信バッファがあふれそうになると、 ジャム信号 を送信します。
これにより送り手は、CSMA/CD に従い、ランダムな時間を待機してから再度フレームを送信するようになります。
LANポートが 半二重 で動作している場合、 バックプレッシャー機能は常に有効 になります。
バックプレッシャー 処理フロー
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
フロー制御(IEEE 802.3x PAUSEの送受信)の設定 | flowcontrol enable |
フロー制御しきい値(規制開始/規制解除)の設定 | flowcontrol threshold |
フロー制御の動作状態の表示 | show flowcontrol |
5 コマンド実行例
- 規制開始しきい値を 75 %、規制解除しきい値を 50 % に設定し、LAN ポート #1 のフロー制御を有効にする。
機能を有効にした後、フロー制御の動作状況を確認する。
L2SW(config)# flowcontrol threshold pause 75 cancel 50 L2SW(config)# interface ge1 L2SW(config-if)# flowcontrol enable L2SW(config-if)# end L2SW# show flowcontrol ge1 Port FlowControl Pause Threshold Cancel Threshold RxPause TxPause ----- ----------- --------------- ---------------- ------- ------- ge1 Enable 75 50 0 64
6 注意事項
特になし
7 関連文書
特になし
ストーム制御
1 機能概要
本L2スイッチは、L2ループやDoS攻撃への対策の一つとして、 ストーム制御 機能を提供します。
LAN/SFPポートごとにブロードキャスト、マルチキャスト、宛先不明ユニキャスト(dlf) 宛てフレームを監視し、あらかじめ設定しておいた閾値を超えるとフレームを破棄します。
これにより、LAN/SFPポートにおいて上記フレームによる帯域占有を防ぎます。
なお、 独自ループ検出 機能と ストーム制御 機能を併用して使うと、 ループ検出の精度を高める (未然に防ぐ) ことができます。
2 用語の定義
- ブロードキャストストーム/マルチキャストストーム
ブロードキャストやマルチキャスト宛てフレームが転送され続けてしまうこと。
スイッチは、ブロードキャストやマルチキャストを受信ポート以外の全ポートにフラッディングします。
それを受信したスイッチは、同様に受信したポート以外の全ポートにフラッディングします。
この動作が繰り返されることで、以下のような症状に陥ります。
- ブロードキャスト/マルチキャストフレームで帯域が占有される
- スイッチのCPU負荷が上昇し、正常動作が困難になる
- スイッチに接続されている端末が通信不能に陥る
- ユニキャストストーム
宛先不明ユニキャスト(dlf: Destination Lookup Failure) 宛てフレームが転送され続けてしまうこと。
ARPテーブルに受信デバイスのMACアドレスが登録されていない場合、スイッチは、受信ポート以外の全ポートにフラッディングします。
これにより、ブロードキャスト/マルチキャストストームと同様の症状に陥ります。
3 機能詳細
ストーム制御の動作仕様について、以下に示します。
- LAN/SFPポートに対してストーム制御機能を有効にすることができます。
初期状態では、 全ポート 無効 になっています。
- 本L2スイッチにおけるストーム制御は、ブロードキャストフレーム、マルチキャストフレーム、宛先不明ユニキャストフレームの受信をLAN/SFPポートの帯域に対しどの程度許容するかを百分率で指定します。
(百分率は、小数点以下第2位まで指定可能とし、100%指定は、ストーム機能を無効にしたことと同じになります。)
帯域許容率はフレームに共通となり、どのフレームに適用させるかを選択することができます。
本設定は、storm-controlコマンドで行います。
- ストーム制御の 有効・無効のタイミング で以下の SYSLOG を出力します。
- 有効時:[ STORM]:inf: storm-control ENABLE (port:ge1, type:B M U, level:50. 0%)
- 無効時:[ STORM]:inf: storm-control DISABLE (port:ge1)
- 許可した帯域を上回るフレームを受信した場合、超過分のフレームは破棄されます。
- LAN/SFPポートに設定したストーム制御の情報は、show storm-controlコマンドで確認することができます。
4 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
関連コマンド一覧
操作項目 | 操作コマンド |
---|---|
ストーム制御の設定 | storm-control |
ストーム制御 受信上限値の表示 | show storm-control |
5 コマンド実行例
L2スイッチのLANポート1で受信可能なL2ブロードキャストパケットをポート帯域の30%までに制限します。
ストーム制御コマンド設定例
L2SW(config)# interface ge1 L2SW(config-if)# storm-control broadcast level 30 … (broadcastを帯域の30%までに制限) L2SW(config-if)# end L2SW# L2SW# show storm-control Port BcastLevel McastLevel UcastLevel ge1 30.00% 100.00% 100.00% ge2 100.00% 100.00% 100.00% ge3 100.00% 100.00% 100.00% ge4 100.00% 100.00% 100.00% ge5 100.00% 100.00% 100.00% ge6 100.00% 100.00% 100.00% ge7 100.00% 100.00% 100.00% ge8 100.00% 100.00% 100.00% ge9 100.00% 100.00% 100.00%
6 注意事項
特になし
7 関連文書
ライセンスについて
本製品で使用しているオープンソースソフトウェア
- ライセンス条文については、ヤマハプロオーディオホームページをご覧ください。
- SWP1 Series Technical Data (Basic Functions)
- その他の情報
- Google Analyticsについて