レイヤ 3 プロトコル フィルタリングの機能
レイヤ 3 プロトコル フィルタリングにより、スイッチ ポート上で特定プロトコルのトラフィック転送を禁止できます。レイヤ 3 プロトコル フィルタリングは、スーパバイザ エンジン上で実行されます。Policy Feature Card(PFC; ポリシー フィーチャ カード)または Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)が搭載されている必要はありません。ブロードキャストおよびユニキャスト フラッディング トラフィックは、異なるプロトコル グループ間でのポートのメンバーシップに基づいてフィルタリングされます。このフィルタリングは、ポート VLAN(仮想 LAN)メンバーシップによるフィルタリングに追加されます。レイヤ 3 プロトコル フィルタリングは、非トランクのイーサネット ポート、ファスト イーサネット ポート、およびギガビット イーサネット ポート上でのみサポートされています。
トランキング ポートは常に、すべてのプロトコル グループのメンバーになります。他のネットワーキング装置との互換性の問題を避けるため、レイヤ 3 プロトコル フィルタリングはトランク ポート上では実行されません。Spanning-Tree Protocol(STP; スパニングツリー プロトコル)、Cisco Discovery Protocol(CDP)などのレイヤ 2 プロトコルは、レイヤ 3 プロトコル フィルタリングの影響を受けません。ダイナミック ポートおよびポート セキュリティがイネーブルになっているポートは、すべてのプロトコル グループのメンバーになります。
各プロトコル グループについて、 on 、 off 、 auto のいずれかのモードでポートを設定できます。
on に設定した場合、そのプロトコルに対応するすべてのフラッディング トラフィックが受信されます。 off に設定した場合は、そのプロトコルに対応するフラッディング トラフィックは一切受信されません。
auto に設定した場合、ポートがグループに追加されるのは、指定したプロトコルのパケットがそのポートで受信されたあとです。 自動学習機能を使用した場合、ポートがプロトコル グループのメンバーになるのは、そのポートに接続された装置から対応するプロトコルのパケットを受信したあとです。 自動設定されたポート は、そのプロトコルに対応するパケットを 60 分以内に受信しなかった場合、プロトコル グループから削除されます。また、スーパバイザ エンジンにより、ポート上のリンク ダウンが検出された場合も、ポートはプロトコル グループから削除されます。
たとえば、IP と Internetwork Packet Exchange(IPX)の両方をサポートするホストをスイッチ ポートに接続し、ポートの IPX 処理を auto に設定した場合でも、ホストからの送信が IP トラフィックだけであれば、ホストの接続先ポートからホストに対して IPX フラッディング トラフィックは転送されません。ただし、ホストが IPX パケットを送信すると、スーパバイザ エンジン ソフトウェアによりプロトコル トラフィックが検出され、ポートが IPX グループに追加されるので、ポートは IPX フラッディング トラフィックを受信できるようになります。60 分以上、ホストから IPX トラフィックが送信されない場合、ポートは IPX プロトコル グループから削除されます。
デフォルトでは、ポートは IP プロトコル グループに関して on に設定されます。IP に関して auto を設定するのは、一般に、ポートに直接接続されたエンド ステーションがある場合だけです。IPX およびグループに関するデフォルト ポート設定は、 auto です。
レイヤ 3 プロトコル フィルタリングがイネーブルになっている場合、ポートはプロトコルに基づいて識別されます。ポートは、1 つまたは複数のプロトコル グループのメンバーにすることができます。各プロトコル グループのフラッディング トラフィックが転送されるのは、適切なプロトコル グループに属しているポートからだけです。
パケットは次のプロトコル グループに分類されます。
• IP
• IPX
• AppleTalk、DECnet、および Banyan VINES( group モード)
• 上記のどのプロトコルにも属さないパケット
レイヤ 3 プロトコル フィルタリングのデフォルト設定
表35-1 に、レイヤ 3 プロトコル フィルタリングのデフォルト設定を示します。
表35-1 レイヤ 3 プロトコル フィルタリングのデフォルト設定
|
|
レイヤ 3 プロトコル フィルタリング |
ディセーブル |
ip モード |
on |
ipx モード |
auto |
group モード |
auto |
スイッチ上でのレイヤ 3 プロトコル フィルタリングの設定
ここでは、イーサネット タイプの VLAN およびすべてのタイプのイーサネット ポート上でレイヤ 3 プロトコル フィルタリングを設定する方法について説明します。
• 「レイヤ 3 プロトコル フィルタリングのイネーブル化」
• 「レイヤ 3 プロトコル フィルタリングのディセーブル化」
レイヤ 3 プロトコル フィルタリングのイネーブル化
(注) プロトコル フィルタリングは、イーサネット VLAN および非トランキング EtherChannel ポート上でのみサポートされています。set protocolfilter コマンドは、Network Analysis Module(NAM; ネットワーク解析モジュール)、Supervisor Engine 720、または Supervisor Engine 32 でサポートされていません。
イーサネット ポート上でレイヤ 3 プロトコル フィルタリングをイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でレイヤ 3 プロトコル フィルタリングをイネーブルにします。 |
set protocolfilter enable |
ステップ 2 |
該当するポートのプロトコル メンバーシップを設定します。 |
set port protocol mod/port { ip | ipx | group } { on | off | auto } |
ステップ 3 |
ポート フィルタリングの設定を確認します。 |
show port protocol [ mod [ /port ]] |
次に、レイヤ 3 プロトコル フィルタリングをイネーブルにし、ポートのプロトコル メンバーシップを設定し、設定を確認する例を示します。
Console> (enable) set protocolfilter enable
Protocol filtering enabled on this switch.
Console> (enable) set port protocol 7/1-4 ip on
IP protocol set to on mode on ports 7/1-4.
Console> (enable) set port protocol 7/1-4 ipx off
IPX protocol disabled on ports 7/1-4.
Console> (enable) set port protocol 7/1-4 group auto
Group protocol set to auto mode on ports 7/1-4.
Console> (enable) show port protocol 7/1-4
Port Vlan IP IP Hosts IPX IPX Hosts Group Group Hosts
-------- ---------- -------- -------- -------- --------- -------- -----------
7/1 4 on 1 off 0 auto-off 0
7/2 5 on 1 off 0 auto-on 1
7/3 2 on 1 off 0 auto-off 0
7/4 4 on 1 off 0 auto-on 1
レイヤ 3 プロトコル フィルタリングのディセーブル化
レイヤ 3 プロトコル フィルタリングをディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
スイッチ上でレイヤ 3 プロトコル フィルタリングをディセーブルにします。 |
set protocolfilter disable |
次に、レイヤ 3 プロトコル フィルタリングをディセーブルにする例を示します。
Console> (enable) set protocolfilter disable
Protocol filtering disabled on this switch.