イーサネット スイッチについて
イーサネット スイッチを設定するには、次の概念について理解する必要があります。
• 「VLAN および VLAN Trunk Protocol」
• 「インライン パワー」
• 「レイヤ 2 イーサネット スイッチング」
• 「802.1x 認証」
• 「スパニング ツリー プロトコル」
• 「Cisco Discovery Protocol」
• 「スイッチド ポート アナライザ」
• 「IGMP スヌーピング」
• 「ストーム制御」
インライン パワー
Cisco 860 シリーズ ISR では、インライン パワーはサポートされていません。Cisco 880 シリーズ ISR では、FE スイッチ ポート FE0 および FE1 上で、シスコ IP 電話または外部アクセス ポイントにインライン パワーを供給できます。
FE スイッチ上の検出メカニズムにより、シスコの装置に接続されているかどうかが判別されます。スイッチは、回線に電力が供給されていないことを検知すると、電力を供給します。回路上に電力がある場合、スイッチは電力を供給しません。
シスコの装置に電力を供給しないようにスイッチを設定したり、検出メカニズムをディセーブルにすることができます。
FE スイッチは、 IEEE 802.3af に準拠する受電装置もサポートしています。
Cisco Discovery Protocol
Cisco Discovery Protocol(CDP)は、シスコ製のすべてのルータ、ブリッジ、アクセス サーバ、スイッチで、レイヤ 2(データリンク層)上で動作します。CDP を使用することにより、ネットワーク管理アプリケーションで、既知装置のネイバーであるシスコ製の装置、特に下位レイヤのトランスペアレント プロトコルを実行しているネイバーを検索することができます。ネットワーク管理アプリケーションは CDP によって、近接装置の装置タイプおよび SNMP エージェント アドレスを学習できます。この機能によって、アプリケーションからネイバー デバイスに SNMP クエリを送信できます。
CDP は、サブネットワーク アクセス プロトコル(SNAP)をサポートしているすべての LAN および WAN メディア上で動作します。CDP を設定した各デバイスは、マルチキャスト アドレスに対して定期的にメッセージを送信します。各デバイスは、SNMP メッセージを受信できるアドレスを少なくとも 1 つアドバタイズします。アドバタイズには、存続可能時間(ホールドタイム情報)も含まれています。これは、受信側の装置が CDP 情報を破棄せずに保持する時間の長さを示します。
IGMP スヌーピング
IGMP スヌーピングについては、次を参照してください。
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt1636nm.html#wp1053727
IGMP バージョン 3
Cisco 880 シリーズ ISR は、IGMP スヌーピングのバージョン 3 をサポートしています。
IGMPv3 は、ソース フィルタリングのサポートを提供します。これにより、マルチ キャストのレシーバ ホストは、レシーバ ホストがマルチキャスト トラフィックを受信するグループ、およびこのトラフィックが予期されるソースから、ルータに対して信号を送信することができます。Cisco ISR 上で IGMP スヌーピングとともに IGMPv3 機能を有効にすることで、Basic IGMPv3 Snooping Support(BISS)が提供されます。BISS では、IGMPv3 ホストが存在する場合に、マルチキャスト トラフィックの制約されたフラッディングが可能になります。このサポートは、トラフィックを、IGMPv2 スヌーピングが IGMPv2 ホストで行うのとほぼ同じポート セットに制約します。制約されたフラッディングでは、宛先マルチキャスト アドレスだけが考慮されます。
SNMP MIB の概要
簡易ネットワーク管理プロトコル(SNMP)の開発と使用は MIB を中心とします。SNMP MIB は抽象的なデータベースで、管理アプリケーションが特定の形式で読み取りおよび変更できる、情報の概念的な仕様です。これは、情報が同じ形式で管理対象システムに保持されているという意味は含まれません。SNMP エージェントでは、管理対象システムの内部データ構造と形式、および MIB 用に定義された外部データ構造と形式の間で変換が行われます。
SNMP MIB は、概念的には、概念上のテーブルを使用するツリー構造です。Cisco レイヤ 2 スイッチング インターフェイス MIB については、「レイヤ 2 イーサネット スイッチングの BRIDGE-MIB」で詳しく説明します。このツリー構造に対して、MIB という用語は 2 つの意味で使用されます。MIB の定義の 1 つとして、実際には MIB ブランチであることが挙げられ、伝送メディアやルーティング プロトコルなど、通常はテクノロジーの 1 つの側面に関する情報が含まれます。この意味で使用される MIB は、正確には MIB モジュールと呼ばれ、通常は 1 つのドキュメントで定義されます。MIB の他の定義はこのようなブランチの集合です。このような集合体は、たとえば、該当のエージェントによって実装されたすべての MIB モジュール、または、SNMP で定義された MIB モジュールの全体の集まりで構成されます。
MIB は、オブジェクトと呼ばれる、データの個々の項目に分岐されるツリーです。オブジェクトは、たとえば、カウンターまたはプロトコルのステータスです。MIB オブジェクトも、変数と呼ばれることがあります。
レイヤ 2 イーサネット スイッチングの BRIDGE-MIB
レイヤ 2 イーサネットスイッチング インターフェイス BRIDGE-MIB は Cisco 887、880、および 890 プラットフォームでサポートされます。BRIDGE-MIB により、ユーザはイーサネット スイッチ モジュールのメディア アクセス コントロール(MAC)アドレスとスパニング ツリー情報を把握することができます。ユーザは、SNMP プロトコルを使用して MIB エージェントを照会し、MAC アドレスなどのイーサネット スイッチ モジュールの詳細や、各インターフェイスおよびプロトコル情報に関する詳細を取得できます。
ブリッジ MIB はレイヤ 2 BRIDGE-MIB 情報を取得するために次のアプローチを使用します。
• コミュニティ ストリングに基づくアプローチ
• コンテキストに基づくアプローチ
コミュニティ ストリングに基づくアプローチでは、VLAN ごとに、1 個のコミュニティ ストリング作成されます。クエリに基づいて、各 VLAN MIB が表示されます。
BRIDGE-MIB の詳細情報を取得するには、コンフィギュレーション モードで snmp-server community public RW コマンドを使用します。
Router(config)# snmp-server community public RW
SNMP BRIDGE-MIB の詳細をクエリするには、次の構文を使用します。
snmpwalk -v2c <ip address of the ISR, ...> public .1.3.6.1.2.1.17
snmpwalk -v2c <ip address of the ISR, ...> public@2 .1.3.6.1.2.1.17
snmpwalk -v2c <ip address of the ISR, ...> public@3 .1.3.6.1.2.1.17
(注) VLAN「x」を作成すると、論理エンティティ public@x が追加されます。パブリック コミュニティについてクエリを実行すると、レイヤ 3 MIB が表示されます。public@x についてクエリを実行すると、VLAN「x」のレイヤ 2 MIB が表示されます。
コンテキストに基づくアプローチでは、レイヤ 2 インターフェイスの値を表示するために、SNMP コンテキスト マッピング コマンド使用されます。各 VLAN はコンテキストにマッピングされます。ユーザがコンテキストを使用してクエリを実行すると、MIB は、コンテキストにマッピングされた特定の VLAN のデータを表示します。このアプローチでは、各 VLAN はコンテキストに手動でマッピングされます。
BRIDGE-MIB の詳細情報を取得するには、コンフィギュレーション モードで次のコマンドを使用します。
Router(config)# Routersnmp-server group public v2c context bridge-group
Router(config)# snmp-server community public RW
Router(config)# snmp-server community private RW
Router(config)# snmp-server context bridge-group
Router(config)# snmp mib community-map public context bridge-group
SNMP BRIDGE-MIB の詳細をクエリするには、次の構文を使用します。
snmpwalk -v2c <ip address of the ISR, ...> public@1 .1.3.6.1.2.1.17 ?L2-MIB
snmpwalk -v2c <ip address of the ISR, ...> private .1.3.6.1.2.1.17?L3-MIB
(注) パブリック コミュニティについてクエリすると、レイヤ 2 MIB が表示されます。レイヤ 3 MIB に対してプライベート グループを使用します。
BRIDGE-MIB の詳細を設定および取得する方法の詳細については、次を参照してください。
http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094a9b.
shtml#brgmib
イーサネット スイッチの設定方法
イーサネット スイッチの設定作業については、以降のセクションを参照してください。
• 「VLAN の設定」
• 「レイヤ 2 インターフェイスの設定」
• 「802.1x 認証の設定」
• 「スパニング ツリー プロトコルの設定」
• 「MAC テーブルの操作の設定」
• 「Cisco Discovery Protocol の設定」
• 「スイッチド ポート アナライザ(SPAN)の設定」
• 「インターフェイスでの電力管理の設定」
• 「IP マルチキャスト レイヤ 3 スイッチングの設定」
• 「IGMP スヌーピングの設定」
• 「ポート単位のストーム制御の設定」
• 「個別の音声およびデータ サブネットの設定」
• 「スイッチの管理」
VLAN の設定
ここでは、VLAN の設定方法について説明します。Cisco 860 シリーズ ISR は、2 の VLAN をサポートし、860VAE シリーズ ISR は 5 つの VLAN をサポートします。Cisco 880 シリーズ ISR は 8 の VLAN をサポートします。
• 「FE および GE スイッチ ポートの VLAN」
• 「無線 AP の GE ポートと GE ESW ポートの VLAN」
(注) Cisco 866VAE-K9 および 867VAE-K9 ルータには 4 つのファスト イーサネット(FE)スイッチング ポートと 1 つのギガビット イーサネット(GE)スイッチング ポートがあります。
FE および GE スイッチ ポートの VLAN
VLAN を設定するには、コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface type number
2. shutdown
3. switchport access vlan vlan_id
4. no shutdown
5. end
手順の詳細
|
|
|
ステップ 1 |
interface type number
Router(config)# Interface fastethernet0
|
設定対象のファスト イーサネット ポートを選択します。 |
ステップ 2 |
shutdown
Router(config-if)# shutdown
|
(任意)設定が完了するまでトラフィック フローを防止するために、インターフェイスをシャットダウンします。 |
ステップ 3 |
switchport access vlan vlan_id
Router(config-if)# switchport access vlan 2
|
追加の VLAN のインスタンスを作成します。 vlan_id に指定できる値の範囲は 2 ~ 4094 ですが、値 1002 と 1005 は予約されています。 |
ステップ 4 |
no shutdown
Router(config-if)# no shutdown
|
インターフェイスをイネーブルにします。状態が管理ダウンから管理アップに変化します。 |
ステップ 5 |
end
|
コンフィギュレーション モードを終了します。 |
詳細については、次の URL の情報を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/
layer2.html
無線 AP の GE ポートと GE ESW ポートの VLAN
GE ポートはルータの組み込みアクセス ポイントだけを提供する内部インターフェイスであるため、X が 1 以外の場合は、 switchport access vlan X だけでは設定できません。ただし、トランク モードで設定することはできます。そのためには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface type number
2. switchport mode trunk
3. switchport access vlan vlan_id
手順の詳細
|
|
|
ステップ 1 |
interface type number
Router(config)# Interface gigabitethernet0
|
設定対象のギガビット イーサネット ポートを選択します。 |
ステップ 2 |
switchport mode trunk
Router(config-if)# switchport mode trunk
|
ポートをトランク モードにします。 |
ステップ 3 |
switchport access vlan vlan_id
Router(config-if)# switchport access vlan 2
|
(任意)ポートがトランク モードになったら、1 以外の VLAN 番号を割り当てることができます。 |
802.1x 認証の設定
802.1x ポートに基づく認証を設定する方法の詳細については、次を参照してください。
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_8021x.html
このマニュアルには、次の情報が含まれています。
• Understanding the default 802.1x configuration
• Enabling 802.1x Authentication
• Configuring the switch-to-RADIUS-server comunication
• Enabling periodic reauthentication
• Changing the quiet period
• Changing the switch-to-client retransmission time
• Setting the switch-to-client frame-retransmission number
• Enabling multiple hosts
• Resetting the 802.1x configuration to default values
• Displaying 802.1x statistics and status
スパニング ツリー プロトコルの設定
スパニング ツリー プロトコルの設定方法については、次を参照してください。
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/esw_cfg.html#wp1047906
このマニュアルには、次の情報が含まれています。
• Enabling spanning tree
• Configuring spanning tree port priority
• Configuring spanning tree port cost
• Configuring the bridge priority of a VLAN
• Configuring the Hello Time
• Configuring the forward-delay time for a VLAN
• Configuring the maximum aging time for a VLAN
• Disabling spanning tree
MAC テーブルの操作の設定
MAC テーブル操作を設定する方法については、次を参照してください。
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/esw_cfg.html#wp1048223
このマニュアルには、次の情報が含まれています。
• Enabling known MAC address traffic
• Creating a static entry in the MAC address table
• Configuring the aging timer
• Verifying the aging time
ポート セキュリティ
既知の MAC アドレス トラフィックのイネーブル化に関するトピックでは、ポート セキュリティを扱います。ポート セキュリティには、スタティックなポート セキュリティとダイナミックなポート セキュリティがあります。
スタティックなポート セキュリティでは、指定したスイッチ ポートを通じてアクセスすることを許可する装置を、ユーザが指定できます。指定は、許可する装置の MAC アドレスを MAC アドレス テーブルに格納することで、手動で行います。スタティックなポート セキュリティは、MAC アドレス フィルタリングとも呼ばれます。
ダイナミックなポート セキュリティもこれに似ています。ただし、装置の MAC アドレスを指定する代わりに、ポート上で許可する装置の最大数を指定します。指定した最大数が手動で指定した MAC アドレスの数よりも大きい場合、スイッチは、指定された最大値になるまで、MAC アドレスを自動的に学習します。指定した最大数がスタティックに指定されている MAC アドレスの数よりも小さい場合は、エラー メッセージが生成されます。
スタティックまたはダイナミックなポート セキュリティを指定するには、次のコマンドを使用します。
|
|
Router(config)# mac - address - table secure [ mac - address | maximum maximum addresses ] fastethernet interface-id [ vlan vlan id ] |
mac-address を指定すると、スタティックなポート セキュリティがイネーブルになります。 maximum キーワードを指定すると、ダイナミック ポート セキュリティがイネーブルになります。 |
IGMP スヌーピングの設定
IGMP スヌーピングを設定する方法については、次を参照してください。
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/esw_cfg.html#wp1048777
このマニュアルには、次の情報が含まれています。
• Enabling or disabling IGMP snooping
• Enabling IGMP immediate-leave processing
• Statically configuring an interface to join a group
• Configuring a multicast router port
IGMP バージョン 3
Cisco IOS Release 12.4(15)T で IGMPv3 機能をサポートするため、キーワード groups および count が show ip igmp snooping コマンドに追加されました。また、 show ip igmp snooping コマンドの出力に、IGMP スヌーピング グループに関するグローバル情報が含まれるように変更されました。 show ip igmp snooping コマンドを groups キーワードとともに使用すると、すべての VLAN に対して IGMP スヌーピングによって学習されたマルチキャスト テーブルが表示されます。また、 show ip igmp snooping コマンドを、 groups キーワード、 vlan-id キーワード、 vlan-id 引数とともに使用すると、特定の VLAN に対して IGMP スヌーピングによって学習されたマルチキャスト テーブルが表示されます。 show ip igmp snooping コマンドを groups キーワードおよび count キーワードとともに使用すると、IGMP スヌーピングによって学習されたマルチキャスト グループの数が表示されます。