この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、VLAN 構成においてクライアントとサーバが、ACE を介してレイヤ 2(L2)またはレイヤ 3(L3)で通信する方法について説明します。クライアント側の VLAN とサーバ側の VLAN が同一のサブネットにある場合、シングル サブネット モードでトラフィックをブリッジングするよう ACE を設定できます。
クライアント側の VLAN とサーバ側の VLAN が別々のサブネットにある場合、トラフィックをルーティングするよう ACE を設定できます。詳細については、「ACE のルート設定」を参照してください。
ブリッジ モードでは、ACE は「bump-in-the-wire」として動作し、ルーテッド ホップにはなりません。ダイナミック ルーティング プロトコルは必要ありません。
インターフェイス VLAN にブリッジ グループを設定すると、ACE では自動的にそのインターフェイスをブリッジド インターフェイスとして設定します。ACE は、ブリッジ グループごとに最大 2 つのレイヤ 2 インターフェイス VLAN をサポートします。
(注) ACE では、レイヤ 2 インターフェイスでの共有 VLAN 構成はサポートされていません。
L2 VLAN は IP アドレスとは関連付けされていないので、IP トラフィックを制御するには拡張 Access Control List(ACL; アクセス コントロール リスト)が必要です。また、非 IP トラフィックを通過させるために EtherType ACL を任意で設定できます。ACL の詳細については、『 Cisco Application Control Engine Module Security Configuration Guide 』を参照してください。
ブリッジ グループ VLAN をイネーブルにするには、当該ブリッジ グループに関連付けされた Bridge Group Virtual Interface(BVI; ブリッジ グループ仮想インターフェイス)を設定する必要があります。また、BVI に IP アドレスを設定する必要があります。このアドレスは、Address Resolution Protocol(ARP; アドレス解決プロトコル)要求や管理トラフィックなど、ACE から送信されるトラフィックの送信元 IP アドレスとして使用されます。ACE は、システムごとに 4094 の BVI をサポートします。
(注) ACE は、システムごとに最大 8192 のインターフェイス(VLAN、共有 VLAN、および BVI インターフェイスを含む)をサポートします。
ACE では、ブリッジド インターフェイスでの MAC アドレス ラーニングはサポートされていません。その代わりに、ARP によってラーニングが実行されます。ブリッジ ルックアップは、ブリッジ グループ ID と宛先 MAC アドレスに基づいています。ブリッジド インターフェイスは、ブリッジ グループの他のインターフェイスにマルチキャストおよびブロードキャスト ブリッジド トラフィックを自動的に送信します。
ARP パケットは、確認および検査後に常に L2 インターフェイスを通過します。ACE での ARP の設定については、「ARP の設定」を参照してください。着信インターフェイスからのマルチキャストおよびブロードキャスト パケットは、ブリッジ グループ内の他の L2 インターフェイスにフラッディングされます。
• BVI の設定
表3-1 は、ACE にブリッジ グループを設定するために必要な手順を簡潔に示したものです。各手順には、その作業を完了するために必要な CLI コマンドが示されています。
ブリッジ モードでは、2 つのインターフェイス VLAN をグループ化して、インターフェイス VLAN 間でパケットをブリッジングできます。すべてのインターフェイスが 1 つのブロードキャスト ドメインに属し、一方の VLAN からのパケットは他方の VLAN にスイッチングされます。ACE のブリッジ モードでは、ブリッジ グループごとにサポートされる L2 VLAN は 2 つだけです。このモードでは、L2 VLAN インターフェイスに IP アドレスは設定されていません。
ブリッジ グループを作成する前に、VLAN をコンテキストに割り当て、インターフェイス コンフィギュレーション モードにアクセスしてからアトリビュートを設定します。コンフィギュレーション モードで interface vlan コマンドを使用します。このコマンドの構文は次のとおりです。
number 引数は、コンテキストに割り当てる VLAN 番号です。たとえば、次のように入力します。
VLAN を削除するには、 no interface vlan コマンドを使用します。たとえば、次のように入力します。
VLAN の設定後、次の項目の説明に従ってアトリビュートを設定します。
VLAN にブリッジ グループを設定すると、ACE では自動的にその VLAN をブリッジド VLAN として設定します。ブリッジ グループに VLAN を割り当てるには、インターフェイス コンフィギュレーション モードで bridge-group コマンドを使用します。このコマンドの構文は次のとおりです。
number 引数は 1 ~ 4094 の数字です。たとえば、VLAN にブリッジ グループ 15 を割り当てるには、次のように入力します。
VLAN からブリッジ グループを削除するには、 no bridge group コマンドを使用しますたとえば、次のように入力します。
ブリッジ グループ VLAN では、IP トラフィック用の拡張 ACL または非 IP トラフィック用の EtherType ACL がサポートされます。次に、IP トラフィックを許可する拡張 ACL の例を示します。
非 IP トラフィックには、EtherType ACL を設定します。EtherType ACL はイーサネット V2 フレームをサポートします。Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)、Internet Protocol version 6(IPv6)、および Bridge Protocol Data Unit(BDPU; ブリッジ プロトコル データ ユニット)の非 IP EtherType のうち、1 つまたはすべてを通過させるよう ACE を設定できます。
BPDU を許可または拒否することができます。デフォルトでは、すべての BPDU は拒否されます。ACE のポートはトランク ポートなので、ACE はトランク ポート(シスコ独自)BPDU を受信します。トランク BPDU のペイロードには VLAN 情報が含まれています。そのため、BPDU を許可した場合、ACE はペイロードを発信 VLAN で変更します。
(注) ACE にフェールオーバーを設定した場合、ブリッジング ループを防止するために、EtherType ACL を使用して両方のインターフェイスで BPDU を許可する必要があります。
次に、BPDU を許可する EtherType ACL の例を示します。
拡張 ACL または EtherType ACL の詳細については、『 Cisco Application Control Engine Module Security Configuration Guide 』を参照してください。
トラフィックを許可する ACL を設定したのち、ブリッジ グループ VLAN に割り当てます。VLAN のインバウンドまたはアウトバウンド方向に対して ACL を割り当てるには、インターフェイス コンフィギュレーション モードで access-group コマンドを使用します。このコマンドの構文は次のとおりです。
access-group {input | output} acl_name
• input ― ACL をインターフェイスのインバウンド方向に適用するよう指定します。
• output ― ACL をインターフェイスのアウトバウンド方向に適用するよう指定します。このオプションは EtherType ACL ではサポートされていません。
• acl_name ― インターフェイスに適用する既存の ACL の ID を指定します。
たとえば、インターフェイスのインバウンド トラフィックに ACL1 を割り当てるには、次のように入力します。
インターフェイスのアウトバウンド トラフィックに ACL1 を割り当てるには、次のように入力します。
インターフェイスから ACL を削除するには、 no access-group コマンドを使用しますたとえば、次のように入力します。
インターフェイスを作成しても、イネーブルにするまではシャットダウン状態のままです。インターフェイスを使用できるようイネーブルにするには、 no shutdown コマンドを使用します。たとえば、次のように入力します。
VLAN をディセーブルにするには、 shutdown コマンドを使用します。たとえば、次のように入力します。
ACE からトラフィック(ARP 要求など)を発信したり、管理トラフィックを処理したりするには、ブリッジ グループに対して、同じサブネット上の IP アドレスが設定されたインターフェイスが必要です。このインターフェイスが BVI です。
BVI は対応するブリッジ グループと共に、ルータのルーテッド インターフェイスに関連付けされますが、ブリッジングをサポートしないルーテッド インターフェイスとして動作します。BVI には関連付けされたブリッジ グループの番号が割り当てられます。各ブリッジ グループでサポートされる BVI は 1 つだけです。BVI の MAC アドレスは、関連付けされたブリッジ グループ インターフェイスのアドレスと同じです。トラフィックを転送するには、BVI および関連付けされたブリッジ グループ インターフェイスをイネーブルにする必要があります。
BVI を使用して管理トラフィックを終端させるには、管理トラフィックの送信元となるレイヤ 2 インターフェイスに管理ポリシーを適用します。このポリシーを適用するには、ブリッジ グループ インターフェイス VLAN にサービス ポリシーを設定し、BVI に管理 IP アドレスを設定します。
• ブリッジ グループの仮想ルーテッド インターフェイスの作成
コンフィギュレーション モードで interface bvi コマンドを使用すると、ブリッジ グループの仮想ルーテッド インターフェイスを作成できます。このコマンドの構文は次のとおりです。
group_number 引数は、レイヤ 2 VLAN インターフェイスに設定されたブリッジ グループ番号です。
たとえば、ブリッジ グループ 15 用の BVI を作成するには、次のように入力します。
ブリッジ グループ 15 用の BVI を削除するには、次のように入力します。
BVI のインターフェイス コンフィギュレーション モードで ip address コマンドを使用すると、BVI に IP アドレスを割り当てることができます。このコマンドの構文は次のとおりです。
ip_address mask 引数は、インターフェイスのアドレスとサブネット マスクです。ドット付き 10 進表記で IP アドレスとサブネット マスクを入力します。
BVI の IP アドレスとマスクを設定するには、次の例のように入力します。
BVI の IP アドレスを削除するには、次のように入力します。
アクティブ モジュールおよびスタンバイ モジュールで冗長構成を設定する場合、アクティブおよびスタンバイ モジュールで共有される IP アドレスを持つ VLAN インターフェイスを設定できます。BVI の共有アドレスを設定するには、インターフェイス コンフィギュレーション モードで alias コマンドを使用します。このコマンドの構文は次のとおりです。
ip_address mask 引数は、インターフェイスのアドレスとサブネット マスクです。ドット付き 10 進表記で IP アドレスとサブネット マスクを入力します。
BVI の IP アドレスとマスクを設定するには、次の例のように入力します。
BVI のエイリアス IP アドレスを削除するには、次のように入力します。
冗長構成の場合、スタンバイ モジュールのコンフィギュレーション モードはデフォルトでディセーブルであり、アクティブ モジュールで変更が発生すると、スタンバイ モジュールは自動的に同期されます。ただし、アクティブ モジュールとスタンバイ モジュールの IP アドレスは一意である必要があります。各インターフェイスのアドレスが一意になるよう、アクティブ モジュールのインターフェイスの IP アドレスをピア IP アドレスとしてスタンバイ モジュールに自動的に同期させます。
スタンバイ モジュールのインターフェイスに IP アドレスを設定するには、インターフェイス コンフィギュレーション モードで peer ip address コマンドを使用します。アクティブ モジュールのピア IP アドレスは、スタンバイ モジュールでインターフェイス IP アドレスとして同期化されます。このコマンドの構文は次のとおりです。
peer ip address ip_address mask
ip_address mask 引数は、ピア モジュールのアドレスとサブネット マスクです。
ピア モジュールの IP アドレスとマスクを設定するには、次の例のように入力します。
ピア モジュールの IP アドレスを削除するには、次のように入力します。
BVI に関する説明を設定するには、インターフェイス コンフィギュレーション モードで description コマンドを使用します。このコマンドの構文は次のとおりです。
text 引数は、最大 240 文字の英数字(スペースを含む)からなる文字列です。
BVI に関する説明を設定するには、次の例のように入力します。
BVI をイネーブルにするには、インターフェイス コンフィギュレーション モードで no shutdown コマンドを使用します。このコマンドの構文は次のとおりです。
EXEC モードで show interface vlan コマンドを使用すると、ブリッジ グループ VLAN に関する情報を表示できます。たとえば、次のように入力します。
EXEC モードで show interface bvi コマンドを使用すると、BVI に関する情報を表示できます。たとえば、次のように入力します。
show interface コマンドの各フィールドの詳細については、「VLAN インターフェイスの設定」の 表1-1 を参照してください。