Cisco IP Solution Center L2VPN および Carrier Ethernet ユーザ ガイド 6.0
VPLS ポリシーの作成
VPLS ポリシーの作成
発行日;2012/02/05 | 英語版ドキュメント(2010/09/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

VPLS ポリシーの作成

VPLS ポリシーの定義

CE ありの MPLS/ERMS(EVP-LAN)ポリシーの定義

CE なしの MPLS/ERMS(EVP-LAN)ポリシーの定義

CE ありの MPLS/EMS(EP-LAN)ポリシーの定義

CE なしの MPLS/EMS(EP-LAN)ポリシーの定義

CE ありのイーサネット/ERMS(EVP-LAN)ポリシーの定義

CE なしのイーサネット/ERMS(EVP-LAN)ポリシーの定義

CE ありのイーサネット/EMS(EP-LAN)ポリシーの定義

CE なしのイーサネット/EMS(EP-LAN)ポリシーの定義

VPLS ポリシーの定義

サービスをプロビジョニングする前に、VPLS ポリシーを定義する必要があります。VPLS ポリシーでは、Attachment Circuit(AC; 接続回線)属性で共有する共通特性を定義します。

ポリシーは、類似したサービス要件を持つ 1 つ以上のサービス リクエストで共有できます。[Editable] チェックボックスを使用すると、ネットワーク オペレータはフィールドを編集可能になります。値が編集可能に設定された場合、サービス リクエスト作成者は、特定のポリシー項目を他の有効な値に変更できます。値が、編集可能に設定されていない場合、サービス リクエスト作成者は、ポリシー項目を変更 できません

Cisco IP Solution Center(ISC)テンプレートおよびデータ ファイルをサービス リクエストと関連付けることもできます。サービス リクエストでのテンプレートおよびデータ ファイルの使用について詳しくは、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。

VPLS ポリシーは、VPLS が提供する次のコア タイプの 1 つに対応します。

MPLS コア タイプ:プロバイダー コア ネットワークは MPLS 対応です。

イーサネット コア タイプ:プロバイダー コア ネットワークはイーサネット スイッチを使用します。

また、VPLS ポリシーは、VPLS が提供する次のサービス タイプの 1 つに対応します。

Ethernet Relay Multipoint Service(ERMS; イーサネット リレー マルチポイント サービス)。ERMS のメトロ イーサネット フォーラム名は、Ethernet Virtual Private LAN(EVP-LAN)です。このマニュアルで VPLS サービスを示すのに使用される用語の詳細については、「レイヤ 2 用語の表記法」を参照してください。

Ethernet Multipoint Service(EMS)。EMS の MEF 名は、Ethernet Private LAN(EP-LAN)です。

ポリシーは、VPLS サービス リクエストの定義に必要な大半のパラメータのテンプレートです。VPLS ポリシーを定義した後は、共通する一連の特性を共有するすべての VPLS サービス リクエストで使用できます。

異なるパラメータでサービスまたは新しいタイプ オブ サービスを作成するたびに新しい VPLS ポリシーを作成します。VPLS ポリシーの作成は、通常は経験のあるネットワーク技術者が行います。

Cisco IP Solution Center(ISC)で VPLS ポリシーを定義するには、次の手順を実行します。


ステップ 1 [Service Design] > [Policies] を選択します。

[Policies] ウィンドウが表示されます。

ステップ 2 [Create] をクリックします。

ステップ 3 [VPLS Policy] を選択します。

[VPLS Policy Editor] ウィンドウが表示されます(図 9-1を参照)。

図 9-1 VPLS ポリシーの作成

 

ステップ 4 VPLS ポリシーの [Policy Name] を入力します。

ステップ 5 VPLS ポリシーの [Policy Owner] を選択します。

VPLS ポリシー 所有権には、次の 3 タイプがあります。

[Customer] 所有権

[Provider] 所有権

[Global] 所有権:どのサービス オペレータでもこの VPLS ポリシーを使用できます。

この所有権は、ISC Role-Based Access Control(RBAC; ロールベース アクセス コントロール)が稼動し始めると関連性ができます。たとえば、カスタマーに所有権がある VPLS ポリシーは、カスタマーに所有権があるポリシーの処理を許可されたオペレータからのみ表示できます。

同様に、プロバイダーのネットワークの処理を許可されたオペレータは、特定のプロバイダーに所有権があるポリシーを表示、使用、および導入できます。

ステップ 6 [Select] をクリックして VPLS ポリシーのオーナーを選択します。

ISC セットアップ中にカスタマーまたはプロバイダーを作成したときに、ポリシーのオーナーは設定されます。所有権がグローバルの場合、[Select] 機能は表示されません。

ステップ 7 VPLS ポリシーの [Core Type] を選択します。

VPLS ポリシーには、2 つのコア タイプがあります。

[MPLS]:IP ネットワークで実行されます。

[Ethernet]:すべての PE がイーサネット プロバイダー ネットワーク上にあります。

ステップ 8 VPLS ポリシーの [Service Type] を選択します。

VPLS ポリシーには、2 つのサービス タイプがあります。

[Ethernet Relay Multipoint Service (ERMS)](ERMS の MEF 名は、EVP-LAN です)。

[Ethernet Multipoint Service (EMS)](EMS の MEF 名は、EP-LAN です)。

ステップ 9 ISC がこの VPLS ポリシーを使用するサービス オペレータに、サービス アクティベーション中に CE ルータおよびインターフェイスの提供を求めるように設定するには、[CE Present] チェックボックスをオンにします。

デフォルトでは、サービスに CE 存在ありです。

[CE Present] チェックボックスがオフの場合、ISC は、サービス アクティベーション中にサービス オペレータに、PE ルータおよびカスタマー側のインターフェイスのみを求めます。


 

CE ありの MPLS/ERMS(EVP-LAN)ポリシーの定義

この項では、CE 存在ありで VPLS ポリシーを MPLS コア タイプおよび ERMS(EVP-LAN)サービス タイプで定義する方法について説明します。図 9-2 は、このポリシーの最初のページの例です。

図 9-2 CE ありの MPLS/ERMS(EVP-LAN)ポリシー

 

次の手順を実行します。


ステップ 1 [Next] をクリックします。図 9-3 に示すウィンドウが表示されます。

[Editable] チェックボックスを使うと、フィールドを編集可能にできます。[Editable] チェックボックスをオンにした場合、この VPLS ポリシーを使用するサービス オペレータは、VPLS サービス リクエストの作成中に編集可能なパラメータを変更できます。

図 9-3 CE ポリシー属性ありの MPLS/ERMS(EVP-LAN)

 

ステップ 2 ドロップダウン リストから [Interface Type] を選択します。

サービス プロバイダーの POP 設計に応じて特定のインターフェイスを CE、N-PE、PE-AGG、または U-PE インターフェイスに選択できます。インターフェイスは次のとおりです。

[ANY](いずれのインターフェイスも選択可能)。

[Port-Channel](同じ特性を共有するポートのバンドル。これにより、サービス プロバイダーは帯域幅および保護を集約することが可能になります)。

[Ethernet]

[FastEthernet]

[GE-WAN]

[GigabitEthernet]

[TenGigabitEthernet]

[TenGigE]

ここで定義する値は、VPLS サービス リクエスト作成中に、オペレータが表示できるインターフェイス タイプを制限するためのフィルタとして機能します。[ANY] と定義した場合、オペレータはすべてのインターフェイス タイプを表示できます。

ステップ 3 [Interface Format] には、CE インターフェイスのスロット番号/ポート番号を入力します(たとえば、1/0 は、インターフェイスはスロット 1、ポート 0 にあることを示します)。

サービスのすべてもしくは大半のネットワーク デバイスの特定のインターフェイスのスロットやポート位置を常に通過するリンクがある場合は特に便利です。

ステップ 4 CE の [Encapsulation] タイプを選択します。

選択肢は次のとおりです。

[DOT1Q]

[DEFAULT]

CE カプセル化タイプが [DEFAULT] の場合、ISC は他のフィールドを UNI ポート タイプ用に表示します。

ステップ 5 [Standard UNI Port] チェックボックスをオンにして、ポート セキュリティをイネーブルにします。

これがデフォルトです。チェックボックスがオフの場合、ポートはセキュリティ機能なしのアップリンクとして扱われ、ポート セキュリティに関する項目を除外するためにウィンドウが動的に変化します。

ステップ 6 たとえば、サービス プロバイダーがネットワークにサービスを導入するときに後でサービスをアクティブ化する場合など、サービス アクティベーション中に UNI ポートを閉じたままにするには、[UNI Shutdown] チェックボックスをオンにします。

ステップ 7 [Keep Alive] チェックボックスをオンにして、UNI ポートにキープアライブを設定します。

デフォルトでは、このチェックボックスはオフであり、 no keepalive コマンドが UNI ポートでプロビジョニングされます。これにより、CPE による U-PE へのキープアライブ パケットの送信をセキュリティ目的で防止します。1 つのサービス リクエストごとの変更をサポートするために、この属性は編集可能です。

ステップ 8 [ANY] チェックボックスをオンにして、UNI インターフェイスに対してすべてのインターフェイス タイプを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 9 [UNI] チェックボックスをオンにして、UNI インターフェイスに対して UNI タイプが定義されたすべてのインターフェイスを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 10 [UNI MAC addresses] に 1 つ以上のイーサネット MAC アドレスを入力します。

この選択は、[Use Existing ACL Name] チェックボックスをオフにした場合のみ存在します。[Edit] ボタンをクリックして、ポートで許可または拒否する MAC アドレスを入力するポップアップ ウィンドウを表示します。アドレスの範囲は、ベース MAC アドレスおよびフィルタリングされた MAC アドレスを設定して指定することもできます。

ステップ 11 [Port Type] を選択します。

選択肢は次のとおりです。

[Access Port]

[Trunk with Native VLAN]

ステップ 12 [Link Speed](オプション)に、[None]、[10]、[100]、[1000]、[Auto]、または [nonegotiate] を入力します。

ステップ 13 [Link Duplex](オプション)に、[None]、[Full]、[Half]、または [Auto] を入力します。

ステップ 14 [PE/UNI Interface Description] フィールドに、 Customer-B ERMS (EVP-LAN) Service などのようにオプションの説明を入力します。

ステップ 15 ISC が VLAN ID を選択するように設定するには、[VLAN ID AutoPick] チェックボックスをオンにします。

チェックボックスがオフの場合、サービス アクティベーション中に [Provider VLAN ID] フィールドに VLAN を入力するように求められます。

ステップ 16 VLAN を示す名前を [VLAN NAME](オプション)に入力します。

名前は、1 トークン(スペースなし)である必要があります。VLAN 名の制限は 32 文字です。名前は一意である必要があります。2 つの VLAN で同じ名前を共有できません。

ステップ 17 ポートに独自に名前を付けたアクセス リストを割り当てる場合は、[Use Existing ACL Name] チェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフであり、[UNI MAC addresses](下記を参照)に入力した値に基づいて ISC は MAC ベースの ACL を自動的にカスタマー向きの UNI ポートに割り当てます。

ステップ 18 (前の手順に記載されている [Use Existing ACL Name] チェックボックスをオンにした場合は、)[Port-Based ACL Name] に入力します。


) ISC は、この ACL を自動作成しません。ACL はサービス リクエストの導入前にすでにデバイスに存在する、またはテンプレートの一部として追加される必要があります。そうしないと導入に失敗します。


ステップ 19 UNI ポートで Cisco Discover Protocol(CDP)をディセーブルにするには、[Disable CDP] チェックボックスをオンにします。

ステップ 20 [Filter BPDU] チェックボックスをオンにして、UNI ポートがレイヤ 2 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を処理しないように指定します。

ステップ 21 インターフェイスの通過を許可される MAC アドレスを制御することにより、ポート セキュリティ関係の CLI を UNI ポートにプロビジョニングする場合は、[UNI Port Security] チェックボックス(図 9-4 を参照)をオンにします。

a. [Maximum Number of MAC address] には、ポート セキュリティで許可する MAC アドレス数を入力します。

b. [Aging] には、MAC アドレスがポート セキュリティ テーブルにとどまれる時間の長さを入力します。

c. [Violation Action] では、ポート セキュリティ違反が検出された場合に発生するアクションを選択します。

[PROTECT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップします。

[RESTRICT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップし、[Security Violation] カウンタを増加させます。

[SHUTDOWN]:インターフェイスをすぐにエラーディセーブルの状態にして SNMP トラップ通知を送信します。

d. [Secure MAC Addresses] フィールドには、1 つ以上のイーサネット MAC アドレスを入力します。[Edit] ボタンをクリックしてアドレスを入力します。

図 9-4 [UNI Port Security]

 

ステップ 22 [Enable Storm Control] チェックボックス(図 9-5 を参照)をオンにして、UNI ポートがブロードキャスト ストーム、マルチキャスト ストーム、またはユニキャスト ストームから中断されるのを防止するために役立てます。

トラフィックのタイプごとにしきい値を入力します。有意な 2 桁の数までで指定できるこの値は、ポートの使用可能な帯域幅の合計をパーセンテージで表します。トラフィック タイプのしきい値に達した場合、そのタイプのその後のトラフィックは、着信トラフィックがしきい値レベルを下回るまで抑制されます。

図 9-5 [Enable Storm Control]

 

ステップ 23 ポリシーのテンプレート サポートをイネーブルにするには、[Next] ボタンをクリックします。

[Template Association] ウィンドウが表示されます。このウィンドウでは、テンプレート サポートをイネーブルにできます。また、オプションでテンプレートおよびデータ ファイルをポリシーに関連付けられます。テンプレートをポリシーに関連付ける手順およびこのウィンドウにある機能の使用方法については、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。ポリシーにテンプレートおよびデータ ファイルの設定が完了したら、[Template Association] ウィンドウで [Finish] をクリックしてウィンドウを閉じて [Policy Editor] ウィンドウに戻ります。

ステップ 24 [Finish] をクリックします。


) VC ID は、VPN ID からマッピングされます。デフォルトでは、ISC がこの値を「自動選択」します。必要に応じて、この値を手動で設定できます。これには、関連付けられた VPN コンフィギュレーションを編集します。[Edit VPN] ウィンドウには、[Enable VPLS] チェックボックスがあります。チェックボックスがオンの場合、用意されたフィールドに VPN ID を手動で入力できます。VPN の作成および変更の詳細については、『Cisco IP Solution Center Infrastructure Reference, 6.0』を参照してください。



 

CE なしの MPLS/ERMS(EVP-LAN)ポリシーの定義

この項では、VPLS ポリシーを CE 存在なしの MPLS コア タイプおよび ERMS(EVP-LAN)サービス タイプで定義する方法について説明します。図 9-6 は、このポリシーの最初のページの例です。

図 9-6 CE なしの MPLS/ERMS(EVP-LAN)ポリシー

 

次の手順を実行します。


ステップ 1 [Next] をクリックします。図 9-7 に示すウィンドウが表示されます。

[Editable] チェックボックスを使うと、フィールドを編集可能にできます。[Editable] チェックボックスをオンにした場合、この VPLS ポリシーを使用するサービス オペレータは、VPLS サービス リクエストの作成中に編集可能なパラメータを変更できます。

図 9-7 CE ポリシー属性なしの MPLS/ERMS(EVP-LAN)

 

ステップ 2 ドロップダウン リストから [Interface Type] を選択します。

サービス プロバイダーの POP 設計に応じて特定のインターフェイスを N-PE、U-PE、または PE-AGG インターフェイスに選択できます。インターフェイスは次のとおりです。

[ANY](いずれのインターフェイスも選択可能)。

[Port-Channel](同じ特性を共有するポートのバンドル。これにより、サービス プロバイダーは帯域幅および保護を集約することが可能になります)。

[Ethernet]

[FastEthernet]

[GE-WAN]

[GigabitEthernet]

[TenGigabitEthernet]

[TenGigE]

ここで定義する値は、VPLS サービス リクエスト作成中に、オペレータが表示できるインターフェイス タイプを制限するためのフィルタとして機能します。[ANY] と定義した場合、オペレータはすべてのインターフェイス タイプを表示できます。

ステップ 3 [Standard UNI Port] チェックボックスをオンにして、ポート セキュリティをイネーブルにします。

これがデフォルトです。チェックボックスがオフの場合、ポートはセキュリティ機能なしのアップリンクとして扱われ、ポート セキュリティに関する項目を除外するためにウィンドウが動的に変化します。

ステップ 4 [Interface Format] には、CE インターフェイスのスロット番号/ポート番号を入力します(たとえば、1/0 は、インターフェイスはスロット 1、ポート 0 にあることを示します)。

サービスのすべてもしくは大半のネットワーク デバイスの特定のインターフェイスのスロットやポート位置を常に通過するリンクがある場合は特に便利です。

ステップ 5 CE の [Encapsulation] タイプを選択します。

選択肢は次のとおりです。

[DOT1Q]

[DEFAULT]

CE カプセル化タイプが [DEFAULT] の場合、ISC は他のフィールドを UNI ポート タイプ用に表示します。

ステップ 6 たとえば、サービス プロバイダーがネットワークにサービスを導入するときに後でサービスをアクティブ化する場合など、サービス アクティベーション中に UNI ポートを閉じたままにするには、[UNI Shutdown] チェックボックスをオンにします。

ステップ 7 [Keep Alive] チェックボックスをオンにして、UNI ポートにキープアライブを設定します。

デフォルトでは、このチェックボックスはオフであり、 no keepalive コマンドが UNI ポートでプロビジョニングされます。これにより、CPE による U-PE へのキープアライブ パケットの送信をセキュリティ目的で防止します。1 つのサービス リクエストごとの変更をサポートするために、この属性は編集可能です。

ステップ 8 [ANY] チェックボックスをオンにして、UNI インターフェイスに対してすべてのインターフェイス タイプを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 9 [UNI] チェックボックスをオンにして、UNI インターフェイスに対して UNI タイプが定義されたすべてのインターフェイスを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。デフォルトでは、このチェックボックスはオンです。

ステップ 10 [UNI MAC addresses] に 1 つ以上のイーサネット MAC アドレスを入力します。

この選択は、[Use Existing ACL Name] チェックボックスをオフにした場合のみ存在します。[Edit] ボタンをクリックして、ポートで許可または拒否する MAC アドレスを入力するポップアップ ウィンドウを表示します。アドレスの範囲は、ベース MAC アドレスおよびフィルタリングされた MAC アドレスを設定して指定することもできます。

ステップ 11 [Port Type] を選択します。

選択肢は次のとおりです。

[Access Port]

[Trunk with Native VLAN]

ステップ 12 [Link Speed](オプション)に、[None]、[10]、[100]、[1000]、[Auto]、または [nonegotiate] を入力します。

ステップ 13 [Link Duplex](オプション)に、[None]、[Full]、[Half]、または [Auto] を入力します。

ステップ 14 [PE/UNI Interface Description] フィールドに、 Customer-B ERMS (EVP-LAN) Service などのようにオプションの説明を入力します。

ステップ 15 ISC が VLAN ID を選択するように設定するには、[VLAN ID AutoPick] チェックボックスをオンにします。

チェックボックスがオフの場合、サービス アクティベーション中に [Provider VLAN ID] フィールドに VLAN を入力するように求められます。

ステップ 16 VLAN を示す名前を [VLAN NAME](オプション)に入力します。

名前は、1 トークン(スペースなし)である必要があります。VLAN 名の制限は 32 文字です。名前は一意である必要があります。2 つの VLAN で同じ名前を共有できません。

ステップ 17 ポートに独自に名前を付けたアクセス リストを割り当てる場合は、[Use Existing ACL Name] チェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフであり、[UNI MAC addresses](下記を参照)に入力した値に基づいて ISC は MAC ベースの ACL を自動的にカスタマー向きの UNI ポートに割り当てます。

ステップ 18 (前の手順に記載されている [Use Existing ACL Name] チェックボックスをオンにした場合は、)[Port-Based ACL Name] に入力します。


) ISC は、この ACL を自動作成しません。ACL はサービス リクエストの導入前にすでにデバイスに存在する、またはテンプレートの一部として追加される必要があります。そうしないと導入に失敗します。


ステップ 19 UNI ポートで Cisco Discover Protocol(CDP)をディセーブルにするには、[Disable CDP] チェックボックスをオンにします。

ステップ 20 [Filter BPDU] チェックボックスをオンにして、UNI ポートがレイヤ 2 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を処理しないように指定します。

ステップ 21 インターフェイスの通過を許可される MAC アドレスを制御することにより、ポート セキュリティ関係の CLI を UNI ポートにプロビジョニングする場合は、[UNI Port Security] チェックボックス(図 9-8 を参照)をオンにします。

a. [Maximum Number of MAC address] には、ポート セキュリティで許可する MAC アドレス数を入力します。

b. [Aging] には、MAC アドレスがポート セキュリティ テーブルにとどまれる時間の長さを入力します。

c. [Violation Action] では、ポート セキュリティ違反が検出された場合に発生するアクションを選択します。

[PROTECT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップします。

[RESTRICT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップし、[Security Violation] カウンタを増加させます。

[SHUTDOWN]:インターフェイスをすぐにエラーディセーブルの状態にして SNMP トラップ通知を送信します。

d. [Secure MAC Addresses] フィールドには、1 つ以上のイーサネット MAC アドレスを入力します。

図 9-8 [UNI Port Security]

 

ステップ 22 [Enable Storm Control] チェックボックス(図 9-9 を参照)をオンにして、UNI ポートがブロードキャスト ストーム、マルチキャスト ストーム、またはユニキャスト ストームから中断されるのを防止するために役立てます。

トラフィックのタイプごとにしきい値を入力します。有意な 2 桁の数までで指定できるこの値は、ポートの使用可能な帯域幅の合計をパーセンテージで表します。トラフィック タイプのしきい値に達した場合、そのタイプのその後のトラフィックは、着信トラフィックがしきい値レベルを下回るまで抑制されます。

図 9-9 [Enable Storm Control]

 

ステップ 23 ポリシーのテンプレート サポートをイネーブルにするには、[Next] ボタンをクリックします。

[Template Association] ウィンドウが表示されます。このウィンドウでは、テンプレート サポートをイネーブルにできます。また、オプションでテンプレートおよびデータ ファイルをポリシーに関連付けられます。テンプレートをポリシーに関連付ける手順およびこのウィンドウにある機能の使用方法については、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。ポリシーにテンプレートおよびデータ ファイルの設定が完了したら、[Template Association] ウィンドウで [Finish] をクリックしてウィンドウを閉じて [Policy Editor] ウィンドウに戻ります。

ステップ 24 [Finish] をクリックします。


) VC ID は、VPN ID からマッピングされます。デフォルトでは、ISC がこの値を「自動選択」します。必要に応じて、この値を手動で設定できます。これには、関連付けられた VPN コンフィギュレーションを編集します。[Edit VPN] ウィンドウには、[Enable VPLS] チェックボックスがあります。チェックボックスがオンの場合、用意されたフィールドに VPN ID を手動で入力できます。VPN の作成および変更の詳細については、『Cisco IP Solution Center Infrastructure Reference, 6.0』を参照してください。



 

CE ありの MPLS/EMS(EP-LAN)ポリシーの定義

この項では、VPLS ポリシーを CE 存在ありの MPLS コア タイプおよび EMS(EP-LAN)サービス タイプで定義する方法について説明します。図 9-10 は、このポリシーの最初のページの例です。

図 9-10 CE ありの MPLS/EMS(EP-LAN)ポリシー

 

次の手順を実行します。


ステップ 1 [Next] をクリックします。図 9-11 に示すウィンドウが表示されます。

[Editable] チェックボックスを使うと、フィールドを編集可能にできます。[Editable] チェックボックスをオンにした場合、この VPLS ポリシーを使用するサービス オペレータは、VPLS サービス リクエストの作成中に編集可能なパラメータを変更できます。

図 9-11 CE ポリシー属性ありの MPLS/EMS(EP-LAN)

 

ステップ 2 ドロップダウン リストから [Interface Type] を選択します。

サービス プロバイダーの POP 設計に応じて特定のインターフェイスを CE、N-PE、U-PE、または PE-AGG インターフェイスに選択できます。インターフェイスは次のとおりです。

[ANY](いずれのインターフェイスも選択可能)。

[Port-Channel](同じ特性を共有するポートのバンドル。これにより、サービス プロバイダーは帯域幅および保護を集約することが可能になります)。

[Ethernet]

[FastEthernet]

[GE-WAN]

[GigabitEthernet]

[TenGigabitEthernet]

[TenGigE]

ここで定義する値は、VPLS サービス リクエスト作成中に、オペレータが表示できるインターフェイス タイプを制限するためのフィルタとして機能します。[ANY] と定義した場合、オペレータはすべてのインターフェイス タイプを表示できます。

ステップ 3 [Interface Format] には、CE インターフェイスのスロット番号/ポート番号を入力します(たとえば、1/0 は、インターフェイスはスロット 1、ポート 0 にあることを示します)。

サービスのすべてもしくは大半のネットワーク デバイスの特定のインターフェイスのスロットやポート位置を常に通過するリンクがある場合は特に便利です。

ステップ 4 CE の [Encapsulation] タイプを選択します。

選択肢は次のとおりです。

[DOT1Q]

[DEFAULT]


) CE ポリシーありの MPLS/EMS(EP-LAN)に基づいてサービス リクエストを作成している場合、[Encapsulation] 属性は無視されます。つまり、この値を設定しても無効になります。


ステップ 5 [Standard UNI Port] チェックボックスをオンにして、ポート セキュリティをイネーブルにします。

これがデフォルトです。チェックボックスがオフの場合、ポートはセキュリティ機能なしのアップリンクとして扱われ、ポート セキュリティに関する項目を除外するためにウィンドウが動的に変化します。

ステップ 6 たとえば、サービス プロバイダーがネットワークにサービスを導入するときに後でサービスをアクティブ化する場合など、サービス アクティベーション中に UNI ポートを閉じたままにするには、[UNI Shutdown] チェックボックスをオンにします。

ステップ 7 [Keep Alive] チェックボックスをオンにして、UNI ポートにキープアライブを設定します。

デフォルトでは、このチェックボックスはオフであり、 no keepalive コマンドが UNI ポートでプロビジョニングされます。これにより、CPE による U-PE へのキープアライブ パケットの送信をセキュリティ目的で防止します。1 つのサービス リクエストごとの変更をサポートするために、この属性は編集可能です。

ステップ 8 [ANY] チェックボックスをオンにして、UNI インターフェイスに対してすべてのインターフェイス タイプを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。デフォルトでは、このチェックボックスはオンです。

ステップ 9 [UNI MAC addresses] に 1 つ以上のイーサネット MAC アドレスを入力します。

この選択は、[Use Existing ACL Name] チェックボックスをオフにした場合のみ存在します。[Edit] ボタンをクリックして、ポートで許可または拒否する MAC アドレスを入力するポップアップ ウィンドウを表示します。アドレスの範囲は、ベース MAC アドレスおよびフィルタリングされた MAC アドレスを設定して指定することもできます。

ステップ 10 [UNI] チェックボックスをオンにして、UNI インターフェイスに対して UNI タイプが定義されたすべてのインターフェイスを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 11 [Link Speed](オプション)に、[None]、[10]、[100]、[1000]、[Auto]、または [nonegotiate] を入力します。

ステップ 12 [Link Duplex](オプション)に、[None]、[Full]、[Half]、または [Auto] を入力します。

ステップ 13 [PE/UNI Interface Description] フィールドに、 Customer-B EMS (EP-LAN) Service などのようにオプションの説明を入力します。

ステップ 14 ISC が VLAN ID を選択するように設定するには、[VLAN ID AutoPick] チェックボックスをオンにします。

チェックボックスがオフの場合、サービス アクティベーション中に [Provider VLAN ID] フィールドに VLAN を入力するように求められます。

ステップ 15 VLAN を示す名前を [VLAN NAME](オプション)に入力します。

名前は、1 トークン(スペースなし)である必要があります。VLAN 名の制限は 32 文字です。名前は一意である必要があります。2 つの VLAN で同じ名前を共有できません。

ステップ 16 [System MTU] にバイト単位で入力します。

Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズは、設定可能でオプションです。ISC は、カスタマイズされた値に対する完全性をチェックしません。サイズが受け入れられないためにサービス リクエストが [Failed Deploy ] 状態になる場合、サービス リクエストが導入されるまで、サイズを調整する必要があります。ISC では、次に示すように異なるプラットフォームに対して複数の範囲をサポートします。範囲は 1500 ~ 9216 です。

3750 プラットフォームおよび 3550 プラットフォームの場合、MTU 範囲は 1500 ~ 1546 です。

7600 イーサネット ポートの場合、MTU サイズは常に 9216 です。同じプラットフォームおよび同じ IOS リリースの場合でも、ライン カードが異なると MTU のサポートも異なります。たとえば、古いライン カードは、MTU サイズ 9216 のみをサポートしますが、新しいライン カードは、1500 ~ 9216 をサポートします。ただし、ISC では両方の場合で 9216 を使用します。

7600 SVI(インターフェイス VLAN)の場合、MTU サイズは 1500 ~ 9216 です。

ステップ 17 ポートに独自に名前を付けたアクセス リストを割り当てる場合は、[Use Existing ACL Name] チェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフであり、[UNI MAC addresses](下記を参照)に入力した値に基づいて ISC は MAC ベースの ACL を自動的にカスタマー向きの UNI ポートに割り当てます。

ステップ 18 (前の手順に記載されている [Use Existing ACL Name] チェックボックスをオンにした場合は、)[Port-Based ACL Name] に入力します。


) ISC は、この ACL を自動作成しません。ACL はサービス リクエストの導入前にすでにデバイスに存在する、またはテンプレートの一部として追加される必要があります。そうしないと導入に失敗します。


ステップ 19 UNI ポートで Cisco Discover Protocol(CDP)をディセーブルにするには、[Disable CDP] チェックボックスをオンにします。

ステップ 20 インターフェイスの通過を許可される MAC アドレスを制御することにより、ポート セキュリティ関係の CLI を UNI ポートにプロビジョニングする場合は、[UNI Port Security] チェックボックス(図 9-12 を参照)をオンにします。

a. [Maximum Number of MAC address] には、ポート セキュリティで許可する MAC アドレス数を入力します。

b. [Aging] には、MAC アドレスがポート セキュリティ テーブルにとどまれる時間の長さを入力します。

c. [Violation Action] では、ポート セキュリティ違反が検出された場合に発生するアクションを選択します。

[PROTECT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップします。

[RESTRICT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップし、[Security Violation] カウンタを増加させます。

[SHUTDOWN]:インターフェイスをすぐにエラーディセーブルの状態にして SNMP トラップ通知を送信します。

d. [Secure MAC Addresses] フィールドには、1 つ以上のイーサネット MAC アドレスを入力します。

図 9-12 [UNI Port Security]

 

ステップ 21 [Enable Storm Control] チェックボックス(図 9-13 を参照)をオンにして、UNI ポートがブロードキャスト ストーム、マルチキャスト ストーム、またはユニキャスト ストームから中断されるのを防止するために役立てます。

トラフィックのタイプごとにしきい値を入力します。有意な 2 桁の数までで指定できるこの値は、ポートの使用可能な帯域幅の合計をパーセンテージで表します。トラフィック タイプのしきい値に達した場合、そのタイプのその後のトラフィックは、着信トラフィックがしきい値レベルを下回るまで抑制されます。

図 9-13 [Enable Storm Control]

 

ステップ 22 コアを介して他端までトンネルを作成できるレイヤ 2 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)フレームを定義する場合は、[Protocol Tunnelling] チェックボックス(図 9-14 を参照)をオンにします。

図 9-14 [Protocol Tunnelling]

 

オンにしたプロトコルごとに、プロトコルに対するシャットダウンしきい値およびドロップしきい値を入力します。

a. [Tunnel CDP]:Cisco Discover Protocol(CDP)のレイヤ 2 トンネリングをイネーブルにします。

b. [CDP Threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

c. [cdp drop threshold]:インターフェイスが CDP パケットのドロップを開始する時点の受信する 1 秒あたりのパケット数を入力します。

d. [Tunnel VTP]:VLAN Trunk Protocol(VTP)のレイヤ 2 トンネリングをイネーブルにします。

e. [VTP threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

f. [vtp drop threshold]:インターフェイスが VTP パケットのドロップを開始する時点の受信する 1 秒あたりのパケット数を入力します。

g. [Tunnel STP]:Spanning Tree Protocol(STP; スパニング ツリー プロトコル)のレイヤ 2 トンネリングをイネーブルにします。

h. [STP Threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

i. [stp drop threshold]:インターフェイスが STP パケットのドロップを開始する時点の、受信する 1 秒あたりのパケット数を入力します。

j. [Recovery Interval]:UNI ポートを回復するまでの待機時間を秒単位で入力します。

ステップ 23 ポリシーのテンプレート サポートをイネーブルにするには、[Next] ボタンをクリックします。

[Template Association] ウィンドウが表示されます。このウィンドウでは、テンプレート サポートをイネーブルにできます。また、オプションでテンプレートおよびデータ ファイルをポリシーに関連付けられます。テンプレートをポリシーに関連付ける手順およびこのウィンドウにある機能の使用方法については、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。ポリシーにテンプレートおよびデータ ファイルの設定が完了したら、[Template Association] ウィンドウで [Finish] をクリックしてウィンドウを閉じて [Policy Editor] ウィンドウに戻ります。

ステップ 24 [Finish] をクリックします。


) VC ID は、VPN ID からマッピングされます。デフォルトでは、ISC がこの値を「自動選択」します。必要に応じて、この値を手動で設定できます。これには、関連付けられた VPN コンフィギュレーションを編集します。[Edit VPN] ウィンドウには、[Enable VPLS] チェックボックスがあります。チェックボックスがオンの場合、用意されたフィールドに VPN ID を手動で入力できます。VPN の作成および変更の詳細については、『Cisco IP Solution Center Infrastructure Reference, 6.0』を参照してください。



 

CE なしの MPLS/EMS(EP-LAN)ポリシーの定義

この項では、VPLS ポリシーを CE 存在なしの MPLS コア タイプおよび EMS(EP-LAN)サービス タイプで定義する方法について説明します。図 9-15 は、このポリシーの最初のページの例です。

図 9-15 CE なしの MPLS/EMS(EP-LAN)ポリシー

 

次の手順を実行します。


ステップ 1 [Next] をクリックします。図 9-16 に示すウィンドウが表示されます。

[Editable] チェックボックスを使うと、フィールドを編集可能にできます。[Editable] チェックボックスをオンにした場合、この VPLS ポリシーを使用するサービス オペレータは、VPLS サービス リクエストの作成中に編集可能なパラメータを変更できます。

図 9-16 CE ポリシー属性なしの MPLS/EMS(EP-LAN)

 

ステップ 2 ドロップダウン リストから [Interface Type] を選択します。

サービス プロバイダーの POP 設計に応じて特定のインターフェイスを N-PE、U-PE、または PE-AGG インターフェイスに選択できます。インターフェイスは次のとおりです。

[ANY](いずれのインターフェイスも選択可能)。

[Port-Channel](同じ特性を共有するポートのバンドル。これにより、サービス プロバイダーは帯域幅および保護を集約することが可能になります)。

[Ethernet]

[FastEthernet]

[GE-WAN]

[GigabitEthernet]

[TenGigabitEthernet]

[TenGigE]

ここで定義する値は、VPLS サービス リクエスト作成中に、オペレータが表示できるインターフェイス タイプを制限するためのフィルタとして機能します。[ANY] と定義した場合、オペレータはすべてのインターフェイス タイプを表示できます。

ステップ 3 [Standard UNI Port] チェックボックスをオンにして、ポート セキュリティをイネーブルにします。

これがデフォルトです。チェックボックスがオフの場合、ポートはセキュリティ機能なしのアップリンクとして扱われ、ポート セキュリティに関する項目を除外するためにウィンドウが動的に変化します。

ステップ 4 [Interface Format] には、PE インターフェイスのスロット番号/ポート番号を入力します(たとえば、1/0 は、インターフェイスはスロット 1、ポート 0 にあることを示します)。

サービスのすべてもしくは大半のネットワーク デバイスの特定のインターフェイスのスロットやポート位置を常に通過するリンクがある場合は特に便利です。

ステップ 5 N-PE/U-PE の [Encapsulation] タイプを選択します。

選択肢は次のとおりです。

[DOT1Q]

[DEFAULT]


) CE ポリシーなしの MPLS/EMS(EP-LAN)に基づいてサービス リクエストを作成している場合、[Encapsulation] 属性は無視されます。つまり、この値を設定しても無効になります。


ステップ 6 たとえば、サービス プロバイダーがネットワークにサービスを導入するときに後でサービスをアクティブ化する場合など、サービス アクティベーション中に UNI ポートを閉じたままにするには、[UNI Shutdown] チェックボックスをオンにします。

ステップ 7 [Keep Alive] チェックボックスをオンにして、UNI ポートにキープアライブを設定します。

デフォルトでは、このチェックボックスはオフであり、 no keepalive コマンドが UNI ポートでプロビジョニングされます。これにより、CPE による U-PE へのキープアライブ パケットの送信をセキュリティ目的で防止します。1 つのサービス リクエストごとの変更をサポートするために、この属性は編集可能です。

ステップ 8 [ANY] チェックボックスをオンにして、UNI インターフェイスに対してすべてのインターフェイス タイプを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 9 [UNI] チェックボックスをオンにして、UNI インターフェイスに対して UNI タイプが定義されたすべてのインターフェイスを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。デフォルトでは、このチェックボックスはオンです。

ステップ 10 [UNI MAC addresses] に 1 つ以上のイーサネット MAC アドレスを入力します。

この選択は、[Use Existing ACL Name] チェックボックスをオフにした場合のみ存在します。[Edit] ボタンをクリックして、ポートで許可または拒否する MAC アドレスを入力するポップアップ ウィンドウを表示します。アドレスの範囲は、ベース MAC アドレスおよびフィルタリングされた MAC アドレスを設定して指定することもできます。

ステップ 11 [Link Speed](オプション)に、[None]、[10]、[100]、[1000]、[Auto]、または [nonegotiate] を入力します。

ステップ 12 [Link Duplex](オプション)に、[None]、[Full]、[Half]、または [Auto] を入力します。

ステップ 13 [PE/UNI Interface Description] フィールドに、 Customer-B EMS (EP-LAN) Service などのようにオプションの説明を入力します。

ステップ 14 ISC が VLAN ID を選択するように設定するには、[VLAN ID AutoPick] チェックボックスをオンにします。

チェックボックスがオフの場合、サービス アクティベーション中に [Provider VLAN ID] フィールドに VLAN を入力するように求められます。

ステップ 15 VLAN を示す名前を [VLAN NAME](オプション)に入力します。

名前は、1 トークン(スペースなし)である必要があります。VLAN 名の制限は 32 文字です。名前は一意である必要があります。2 つの VLAN で同じ名前を共有できません。

ステップ 16 [System MTU] にバイト単位で入力します。

Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズは、設定可能でオプションです。ISC は、カスタマイズされた値に対する完全性をチェックしません。サイズが受け入れられないためにサービス リクエストが [Failed Deploy ] 状態になる場合、サービス リクエストが導入されるまで、サイズを調整する必要があります。ISC では、次に示すように異なるプラットフォームに対して複数の範囲をサポートします。範囲は 1500 ~ 9216 です。

3750 プラットフォームおよび 3550 プラットフォームの場合、MTU 範囲は 1500 ~ 1546 です。

7600 イーサネット ポートの場合、MTU サイズは常に 9216 です。同じプラットフォームおよび同じ IOS リリースの場合でも、ライン カードが異なると MTU のサポートも異なります。たとえば、古いライン カードは、MTU サイズ 9216 のみをサポートしますが、新しいライン カードは、1500 ~ 9216 をサポートします。ただし、ISC では両方の場合で 9216 を使用します。

7600 SVI(インターフェイス VLAN)の場合、MTU サイズは 1500 ~ 9216 です。

ステップ 17 ポートに独自に名前を付けたアクセス リストを割り当てる場合は、[Use Existing ACL Name] チェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフであり、[UNI MAC addresses](下記を参照)に入力した値に基づいて ISC は MAC ベースの ACL を自動的にカスタマー向きの UNI ポートに割り当てます。

ステップ 18 (前の手順に記載されている [Use Existing ACL Name] チェックボックスをオンにした場合は、)[Port-Based ACL Name] に入力します。


) ISC は、この ACL を自動作成しません。ACL はサービス リクエストの導入前にすでにデバイスに存在する、またはテンプレートの一部として追加される必要があります。そうしないと導入に失敗します。


ステップ 19 UNI ポートで Cisco Discover Protocol(CDP)をディセーブルにするには、[Disable CDP] チェックボックスをオンにします。

ステップ 20 インターフェイスの通過を許可される MAC アドレスを制御することにより、ポート セキュリティ関係の CLI を UNI ポートにプロビジョニングする場合は、[UNI Port Security] チェックボックス(図 9-17 を参照)をオンにします。

a. [Maximum Number of MAC address] には、ポート セキュリティで許可する MAC アドレス数を入力します。

b. [Aging] には、MAC アドレスがポート セキュリティ テーブルにとどまれる時間の長さを入力します。

c. [Violation Action] では、ポート セキュリティ違反が検出された場合に発生するアクションを選択します。

[PROTECT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップします。

[RESTRICT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップし、[Security Violation] カウンタを増加させます。

[SHUTDOWN]:インターフェイスをすぐにエラーディセーブルの状態にして SNMP トラップ通知を送信します。

d. [Secure MAC Addresses] フィールドには、1 つ以上のイーサネット MAC アドレスを入力します。

図 9-17 [UNI Port Security]

 

ステップ 21 [Enable Storm Control] チェックボックス(図 9-18 を参照)をオンにして、UNI ポートがブロードキャスト ストーム、マルチキャスト ストーム、またはユニキャスト ストームから中断されるのを防止するために役立てます。

トラフィックのタイプごとにしきい値を入力します。有意な 2 桁の数までで指定できるこの値は、ポートの使用可能な帯域幅の合計をパーセンテージで表します。トラフィック タイプのしきい値に達した場合、そのタイプのその後のトラフィックは、着信トラフィックがしきい値レベルを下回るまで抑制されます。

図 9-18 [Enable Storm Control]

 

ステップ 22 コアを介して他端までトンネルを作成できるレイヤ 2 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)フレームを定義する場合は、[Protocol Tunnelling] チェックボックス(図 9-19 を参照)をオンにします。

図 9-19 [Protocol Tunnelling]

 

オンにしたプロトコルごとに、プロトコルに対するシャットダウンしきい値およびドロップしきい値を入力します。

a. [Tunnel CDP]:Cisco Discover Protocol(CDP)のレイヤ 2 トンネリングをイネーブルにします。

b. [CDP Threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

c. [cdp drop threshold]:インターフェイスが CDP パケットのドロップを開始する時点の受信する 1 秒あたりのパケット数を入力します。

d. [Tunnel VTP]:VLAN Trunk Protocol(VTP)のレイヤ 2 トンネリングをイネーブルにします。

e. [VTP threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

f. [vtp drop threshold]:インターフェイスが VTP パケットのドロップを開始する時点の受信する 1 秒あたりのパケット数を入力します。

g. [Tunnel STP]:Spanning Tree Protocol(STP; スパニング ツリー プロトコル)のレイヤ 2 トンネリングをイネーブルにします。

h. [STP Threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

i. [stp drop threshold]:インターフェイスが STP パケットのドロップを開始する時点の、受信する 1 秒あたりのパケット数を入力します。

j. [Recovery Interval]:UNI ポートを回復するまでの待機時間を秒単位で入力します。

ステップ 23 ポリシーのテンプレート サポートをイネーブルにするには、[Next] ボタンをクリックします。

[Template Association] ウィンドウが表示されます。このウィンドウでは、テンプレート サポートをイネーブルにできます。また、オプションでテンプレートおよびデータ ファイルをポリシーに関連付けられます。テンプレートをポリシーに関連付ける手順およびこのウィンドウにある機能の使用方法については、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。ポリシーにテンプレートおよびデータ ファイルの設定が完了したら、[Template Association] ウィンドウで [Finish] をクリックしてウィンドウを閉じて [Policy Editor] ウィンドウに戻ります。

ステップ 24 [Finish] をクリックします。


) VC ID は、VPN ID からマッピングされます。デフォルトでは、ISC がこの値を「自動選択」します。必要に応じて、この値を手動で設定できます。これには、関連付けられた VPN コンフィギュレーションを編集します。[Edit VPN] ウィンドウには、[Enable VPLS] チェックボックスがあります。チェックボックスがオンの場合、用意されたフィールドに VPN ID を手動で入力できます。VPN の作成および変更の詳細については、『Cisco IP Solution Center Infrastructure Reference, 6.0』を参照してください。



 

CE ありのイーサネット/ERMS(EVP-LAN)ポリシーの定義

この項では、VPLS ポリシーを CE 存在ありのイーサネット コア タイプおよび ERMS(EVP-LAN)サービス タイプで定義する方法について説明します。図 9-20 は、このポリシーの最初のページの例です。

図 9-20 CE ありのイーサネット/ERMS(EVP-LAN)ポリシー

 

次の手順を実行します。


ステップ 1 [Next] をクリックします。

図 9-21 に示すウィンドウが表示されます。

[Editable] チェックボックスを使うと、フィールドを編集可能にできます。[Editable] チェックボックスをオンにした場合、この VPLS ポリシーを使用するサービス オペレータは、VPLS サービス リクエストの作成中に編集可能なパラメータを変更できます。

図 9-21 CE ポリシー属性ありのイーサネット ERMS(EVP-LAN)

 

ステップ 2 ドロップダウン リストから [Interface Type] を選択します。

サービス プロバイダーの POP 設計に応じて特定のインターフェイスを CE、N-PE、U-PE、または PE-AGG インターフェイスに選択できます。インターフェイスは次のとおりです。

[ANY](いずれのインターフェイスも選択可能)。

[Port-Channel](同じ特性を共有するポートのバンドル。これにより、サービス プロバイダーは帯域幅および保護を集約することが可能になります)。

[Ethernet]

[FastEthernet]

[GE-WAN]

[GigabitEthernet]

[TenGigabitEthernet]

[TenGigE]

ここで定義する値は、VPLS サービス リクエスト作成中に、オペレータが表示できるインターフェイス タイプを制限するためのフィルタとして機能します。[ANY] と定義した場合、オペレータはすべてのインターフェイス タイプを表示できます。

ステップ 3 [Interface Format] には、CE インターフェイスのスロット番号/ポート番号を入力します(たとえば、1/0 は、インターフェイスはスロット 1、ポート 0 にあることを示します)。

サービスのすべてもしくは大半のネットワーク デバイスの特定のインターフェイスのスロットやポート位置を常に通過するリンクがある場合は特に便利です。

ステップ 4 CE の [Encapsulation] タイプを選択します。

選択肢は次のとおりです。

[DOT1Q]

[DEFAULT]

CE カプセル化タイプが [DEFAULT] の場合、ISC は他のフィールドを UNI ポート タイプ用に表示します。

ステップ 5 [Standard UNI Port] チェックボックスをオンにして、ポート セキュリティをイネーブルにします。

これがデフォルトです。チェックボックスがオフの場合、ポートはセキュリティ機能なしのアップリンクとして扱われ、ポート セキュリティに関する項目を除外するためにウィンドウが動的に変化します。

ステップ 6 たとえば、サービス プロバイダーがネットワークにサービスを導入するときに後でサービスをアクティブ化する場合など、サービス アクティベーション中に UNI ポートを閉じたままにするには、[UNI Shutdown] チェックボックスをオンにします。

ステップ 7 [Keep Alive] チェックボックスをオンにして、UNI ポートにキープアライブを設定します。

デフォルトでは、このチェックボックスはオフであり、 no keepalive コマンドが UNI ポートでプロビジョニングされます。これにより、CPE による U-PE へのキープアライブ パケットの送信をセキュリティ目的で防止します。1 つのサービス リクエストごとの変更をサポートするために、この属性は編集可能です。

ステップ 8 [ANY] チェックボックスをオンにして、UNI インターフェイスに対してすべてのインターフェイス タイプを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 9 [UNI] チェックボックスをオンにして、UNI インターフェイスに対して UNI タイプが定義されたすべてのインターフェイスを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 10 [UNI MAC addresses] に 1 つ以上のイーサネット MAC アドレスを入力します。

この選択は、[Use Existing ACL Name] チェックボックスをオフにした場合のみ存在します。[Edit] ボタンをクリックして、ポートで許可または拒否する MAC アドレスを入力するポップアップ ウィンドウを表示します。アドレスの範囲は、ベース MAC アドレスおよびフィルタリングされた MAC アドレスを設定して指定することもできます。

ステップ 11 [Port Type] を選択します。

選択肢は次のとおりです。

[Access Port]

[Trunk with Native VLAN]

ステップ 12 [Link Speed](オプション)に、[None]、[10]、[100]、[1000]、[Auto]、または [nonegotiate] を入力します。

ステップ 13 [Link Duplex](オプション)に、[None]、[Full]、[Half]、または [Auto] を入力します。

ステップ 14 [PE/UNI Interface Description] フィールドに、 Customer-B ERMS (EVP-LAN) Service などのようにオプションの説明を入力します。

ステップ 15 ISC が VLAN ID を選択するように設定するには、[VLAN ID AutoPick] チェックボックスをオンにします。

チェックボックスがオフの場合、サービス アクティベーション中に [Provider VLAN ID] フィールドに VLAN を入力するように求められます。

ステップ 16 VLAN を示す名前を [VLAN NAME](オプション)に入力します。

名前は、1 トークン(スペースなし)である必要があります。VLAN 名の制限は 32 文字です。名前は一意である必要があります。2 つの VLAN で同じ名前を共有できません。

ステップ 17 ポートに独自に名前を付けたアクセス リストを割り当てる場合は、[Use Existing ACL Name] チェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフであり、[UNI MAC addresses](下記を参照)に入力した値に基づいて ISC は MAC ベースの ACL を自動的にカスタマー向きの UNI ポートに割り当てます。

ステップ 18 (前の手順に記載されている [Use Existing ACL Name] チェックボックスをオンにした場合は、)[Port-Based ACL Name] に入力します。


) ISC は、この ACL を自動作成しません。ACL はサービス リクエストの導入前にすでにデバイスに存在する、またはテンプレートの一部として追加される必要があります。そうしないと導入に失敗します。


ステップ 19 UNI ポートで Cisco Discover Protocol(CDP)をディセーブルにするには、[Disable CDP] チェックボックスをオンにします。

ステップ 20 [Filter BPDU] チェックボックスをオンにして、UNI ポートがレイヤ 2 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を処理しないように指定します。

ステップ 21 インターフェイスの通過を許可される MAC アドレスを制御することにより、ポート セキュリティ関係の CLI を UNI ポートにプロビジョニングする場合は、[UNI Port Security] チェックボックス(図 9-22 を参照)をオンにします。

a. [Maximum Number of MAC address] には、ポート セキュリティで許可する MAC アドレス数を入力します。

b. [Aging] には、MAC アドレスがポート セキュリティ テーブルにとどまれる時間の長さを入力します。

c. [Violation Action] では、ポート セキュリティ違反が検出された場合に発生するアクションを選択します。

[PROTECT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップします。

[RESTRICT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップし、[Security Violation] カウンタを増加させます。

[SHUTDOWN]:インターフェイスをすぐにエラーディセーブルの状態にして SNMP トラップ通知を送信します。

d. [Secure MAC Addresses] フィールドには、1 つ以上のイーサネット MAC アドレスを入力します。

図 9-22 [UNI Port Security]

 

ステップ 22 [Enable Storm Control] チェックボックス(図 9-22 を参照)をオンにして、UNI ポートがブロードキャスト ストーム、マルチキャスト ストーム、またはユニキャスト ストームから中断されるのを防止するために役立てます。

トラフィックのタイプごとにしきい値を入力します。有意な 2 桁の数までで指定できるこの値は、ポートの使用可能な帯域幅の合計をパーセンテージで表します。トラフィック タイプのしきい値に達した場合、そのタイプのその後のトラフィックは、着信トラフィックがしきい値レベルを下回るまで抑制されます。

図 9-23 [Enable Storm Control]

 

ステップ 23 ポリシーのテンプレート サポートをイネーブルにするには、[Next] ボタンをクリックします。

[Template Association] ウィンドウが表示されます。このウィンドウでは、テンプレート サポートをイネーブルにできます。また、オプションでテンプレートおよびデータ ファイルをポリシーに関連付けられます。テンプレートをポリシーに関連付ける手順およびこのウィンドウにある機能の使用方法については、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。ポリシーにテンプレートおよびデータ ファイルの設定が完了したら、[Template Association] ウィンドウで [Finish] をクリックしてウィンドウを閉じて [Policy Editor] ウィンドウに戻ります。

ステップ 24 [Finish] をクリックします。


) VC ID は、VPN ID からマッピングされます。デフォルトでは、ISC がこの値を「自動選択」します。必要に応じて、この値を手動で設定できます。これには、関連付けられた VPN コンフィギュレーションを編集します。[Edit VPN] ウィンドウには、[Enable VPLS] チェックボックスがあります。チェックボックスがオンの場合、用意されたフィールドに VPN ID を手動で入力できます。VPN の作成および変更の詳細については、『Cisco IP Solution Center Infrastructure Reference, 6.0』を参照してください。



 

CE なしのイーサネット/ERMS(EVP-LAN)ポリシーの定義

この項では、VPLS ポリシーを CE 存在なしのイーサネット コア タイプおよび ERMS(EVP-LAN)サービス タイプで定義する方法について説明します。図 9-24 は、このポリシーの最初のページの例です。

図 9-24 CE なしのイーサネット/ERMS(EVP-LAN)ポリシー

 

次の手順を実行します。


ステップ 1 [Next] をクリックします。

図 9-25 に示すウィンドウが表示されます。

[Editable] チェックボックスを使うと、フィールドを編集可能にできます。[Editable] チェックボックスをオンにした場合、この VPLS ポリシーを使用するサービス オペレータは、VPLS サービス リクエストの作成中に編集可能なパラメータを変更できます。

図 9-25 CE ポリシー属性なしのイーサネット/ERMS(EVP-LAN)

 

ステップ 2 ドロップダウン リストから [Interface Type] を選択します。

サービス プロバイダーの POP 設計に応じて特定のインターフェイスを CE、N-PE、U-PE、または PE-AGG インターフェイスに選択できます。インターフェイスは次のとおりです。

[ANY](いずれのインターフェイスも選択可能)。

[Port-Channel](同じ特性を共有するポートのバンドル。これにより、サービス プロバイダーは帯域幅および保護を集約することが可能になります)。

[Ethernet]

[FastEthernet]

[GE-WAN]

[GigabitEthernet]

[TenGigabitEthernet]

[TenGigE]

ここで定義する値は、VPLS サービス リクエスト作成中に、オペレータが表示できるインターフェイス タイプを制限するためのフィルタとして機能します。[ANY] と定義した場合、オペレータはすべてのインターフェイス タイプを表示できます。

ステップ 3 [Standard UNI Port] チェックボックスをオンにして、ポート セキュリティをイネーブルにします。

これがデフォルトです。チェックボックスがオフの場合、ポートはセキュリティ機能なしのアップリンクとして扱われ、ポート セキュリティに関する項目を除外するためにウィンドウが動的に変化します。

ステップ 4 [Interface Format] には、CE インターフェイスのスロット番号/ポート番号を入力します(たとえば、1/0 は、インターフェイスはスロット 1、ポート 0 にあることを示します)。

サービスのすべてもしくは大半のネットワーク デバイスの特定のインターフェイスのスロットやポート位置を常に通過するリンクがある場合は特に便利です。

ステップ 5 CE の [Encapsulation] タイプを選択します。

選択肢は次のとおりです。

[DOT1Q]

[DEFAULT]

CE カプセル化タイプが [DEFAULT] の場合、ISC は他のフィールドを UNI ポート タイプ用に表示します。

ステップ 6 たとえば、サービス プロバイダーがネットワークにサービスを導入するときに後でサービスをアクティブ化する場合など、サービス アクティベーション中に UNI ポートを閉じたままにするには、[UNI Shutdown] チェックボックスをオンにします。

ステップ 7 [Keep Alive] チェックボックスをオンにして、UNI ポートにキープアライブを設定します。

デフォルトでは、このチェックボックスはオフであり、 no keepalive コマンドが UNI ポートでプロビジョニングされます。これにより、CPE による U-PE へのキープアライブ パケットの送信をセキュリティ目的で防止します。1 つのサービス リクエストごとの変更をサポートするために、この属性は編集可能です。

ステップ 8 [ANY] チェックボックスをオンにして、UNI インターフェイスに対してすべてのインターフェイス タイプを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 9 [UNI] チェックボックスをオンにして、UNI インターフェイスに対して UNI タイプが定義されたすべてのインターフェイスを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。デフォルトでは、このチェックボックスはオンです。

ステップ 10 [UNI MAC addresses] に 1 つ以上のイーサネット MAC アドレスを入力します。

この選択は、[Use Existing ACL Name] チェックボックスをオフにした場合のみ存在します。[Edit] ボタンをクリックして、ポートで許可または拒否する MAC アドレスを入力するポップアップ ウィンドウを表示します。アドレスの範囲は、ベース MAC アドレスおよびフィルタリングされた MAC アドレスを設定して指定することもできます。

ステップ 11 [Port Type] を選択します。

選択肢は次のとおりです。

[Access Port]

[Trunk with Native VLAN]

ステップ 12 [Link Speed](オプション)に、[None]、[10]、[100]、[1000]、[Auto]、または [nonegotiate] を入力します。

ステップ 13 [Link Duplex](オプション)に、[None]、[Full]、[Half]、または [Auto] を入力します。

ステップ 14 [PE/UNI Interface Description] フィールドに、 Customer-B ERMS (EVP-LAN) Service などのようにオプションの説明を入力します。

ステップ 15 ISC が VLAN ID を選択するように設定するには、[VLAN ID AutoPick] チェックボックスをオンにします。

チェックボックスがオフの場合、サービス アクティベーション中に [Provider VLAN ID] フィールドに VLAN を入力するように求められます。

ステップ 16 VLAN を示す名前を [VLAN NAME](オプション)に入力します。

名前は、1 トークン(スペースなし)である必要があります。VLAN 名の制限は 32 文字です。名前は一意である必要があります。2 つの VLAN で同じ名前を共有できません。

ステップ 17 ポートに独自に名前を付けたアクセス リストを割り当てる場合は、[Use Existing ACL Name] チェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフであり、[UNI MAC addresses](下記を参照)に入力した値に基づいて ISC は MAC ベースの ACL を自動的にカスタマー向きの UNI ポートに割り当てます。

ステップ 18 (前の手順に記載されている [Use Existing ACL Name] チェックボックスをオンにした場合は、)[Port-Based ACL Name] に入力します。


) ISC は、この ACL を自動作成しません。ACL はサービス リクエストの導入前にすでにデバイスに存在する、またはテンプレートの一部として追加される必要があります。そうしないと導入に失敗します。


ステップ 19 UNI ポートで Cisco Discover Protocol(CDP)をディセーブルにするには、[Disable CDP] チェックボックスをオンにします。

ステップ 20 [Filter BPDU] チェックボックスをオンにして、UNI ポートがレイヤ 2 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を処理しないように指定します。

ステップ 21 インターフェイスの通過を許可される MAC アドレスを制御することにより、ポート セキュリティ関係の CLI を UNI ポートにプロビジョニングする場合は、[UNI Port Security] チェックボックス(図 9-26 を参照)をオンにします。

a. [Maximum Number of MAC address] には、ポート セキュリティで許可する MAC アドレス数を入力します。

b. [Aging] には、MAC アドレスがポート セキュリティ テーブルにとどまれる時間の長さを入力します。

c. [Violation Action] では、ポート セキュリティ違反が検出された場合に発生するアクションを選択します。

[PROTECT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップします。

[RESTRICT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップし、[Security Violation] カウンタを増加させます。

[SHUTDOWN]:インターフェイスをすぐにエラーディセーブルの状態にして SNMP トラップ通知を送信します。

d. [Secure MAC Addresses] フィールドには、1 つ以上のイーサネット MAC アドレスを入力します。

図 9-26 [UNI Port Security]

 

ステップ 22 [Enable Storm Control] チェックボックス(図 9-27 を参照)をオンにして、UNI ポートがブロードキャスト ストーム、マルチキャスト ストーム、またはユニキャスト ストームから中断されるのを防止するために役立てます。

トラフィックのタイプごとにしきい値を入力します。有意な 2 桁の数までで指定できるこの値は、ポートの使用可能な帯域幅の合計をパーセンテージで表します。トラフィック タイプのしきい値に達した場合、そのタイプのその後のトラフィックは、着信トラフィックがしきい値レベルを下回るまで抑制されます。

図 9-27 [Enable Storm Control]

 

ステップ 23 ポリシーのテンプレート サポートをイネーブルにするには、[Next] ボタンをクリックします。

[Template Association] ウィンドウが表示されます。このウィンドウでは、テンプレート サポートをイネーブルにできます。また、オプションでテンプレートおよびデータ ファイルをポリシーに関連付けられます。テンプレートをポリシーに関連付ける手順およびこのウィンドウにある機能の使用方法については、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。ポリシーにテンプレートおよびデータ ファイルの設定が完了したら、[Template Association] ウィンドウで [Finish] をクリックしてウィンドウを閉じて [Policy Editor] ウィンドウに戻ります。

ステップ 24 [Finish] をクリックします。


) VC ID は、VPN ID からマッピングされます。デフォルトでは、ISC がこの値を「自動選択」します。必要に応じて、この値を手動で設定できます。これには、関連付けられた VPN コンフィギュレーションを編集します。[Edit VPN] ウィンドウには、[Enable VPLS] チェックボックスがあります。チェックボックスがオンの場合、用意されたフィールドに VPN ID を手動で入力できます。VPN の作成および変更の詳細については、『Cisco IP Solution Center Infrastructure Reference, 6.0』を参照してください。



 

CE ありのイーサネット/EMS(EP-LAN)ポリシーの定義

この項では、VPLS ポリシーを CE 存在ありのイーサネット コア タイプおよび EMS(EP-LAN)サービス タイプで定義する方法について説明します。図 9-28 は、このポリシーの最初のページの例です。

図 9-28 CE 存在ありのイーサネット/EMS(EP-LAN)ポリシー

 

次の手順を実行します。


ステップ 1 [Next] をクリックします。

図 9-29 に示すウィンドウが表示されます。

[Editable] チェックボックスを使うと、フィールドを編集可能にできます。[Editable] チェックボックスをオンにした場合、この VPLS ポリシーを使用するサービス オペレータは、VPLS サービス リクエストの作成中に編集可能なパラメータを変更できます。

図 9-29 CE ポリシー属性ありのイーサネット/EMS(EP-LAN)

 

ステップ 2 ドロップダウン リストから [Interface Type] を選択します。

サービス プロバイダーの POP 設計に応じて特定のインターフェイスを CE、N-PE、U-PE、または PE-AGG インターフェイスに選択できます。

インターフェイスは次のとおりです。

[ANY](いずれのインターフェイスも選択可能)。

[Port-Channel](同じ特性を共有するポートのバンドル。これにより、サービス プロバイダーは帯域幅および保護を集約することが可能になります)。

[Ethernet]

[FastEthernet]

[GE-WAN]

[GigabitEthernet]

[TenGigabitEthernet]

ここで定義する値は、VPLS サービス リクエスト作成中に、オペレータが表示できるインターフェイス タイプを制限するためのフィルタとして機能します。[ANY] と定義した場合、オペレータはすべてのインターフェイス タイプを表示できます。

ステップ 3 [Interface Format] には、CE インターフェイスのスロット番号/ポート番号を入力します(たとえば、1/0 は、インターフェイスはスロット 1、ポート 0 にあることを示します)。

サービスのすべてもしくは大半のネットワーク デバイスの特定のインターフェイスのスロットやポート位置を常に通過するリンクがある場合は特に便利です。

ステップ 4 CE の [Encapsulation] タイプを選択します。

選択肢は次のとおりです。

[DOT1Q]

[DEFAULT]


) CE ポリシーありのイーサネット/EMS(EP-LAN)に基づいてサービス リクエストを作成している場合、[Encapsulation] 属性は無視されます。つまり、この値を設定しても無効になります。


ステップ 5 [Standard UNI Port] チェックボックスをオンにして、ポート セキュリティをイネーブルにします。

これがデフォルトです。チェックボックスがオフの場合、ポートはセキュリティ機能なしのアップリンクとして扱われ、ポート セキュリティに関する項目を除外するためにウィンドウが動的に変化します。

ステップ 6 たとえば、サービス プロバイダーがネットワークにサービスを導入するときに後でサービスをアクティブ化する場合など、サービス アクティベーション中に UNI ポートを閉じたままにするには、[UNI Shutdown] チェックボックスをオンにします。

ステップ 7 [Keep Alive] チェックボックスをオンにして、UNI ポートにキープアライブを設定します。

デフォルトでは、このチェックボックスはオフであり、 no keepalive コマンドが UNI ポートでプロビジョニングされます。これにより、CPE による U-PE へのキープアライブ パケットの送信をセキュリティ目的で防止します。1 つのサービス リクエストごとの変更をサポートするために、この属性は編集可能です。

ステップ 8 [ANY] チェックボックスをオンにして、UNI インターフェイスに対してすべてのインターフェイス タイプを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 9 [UNI] チェックボックスをオンにして、UNI インターフェイスに対して UNI タイプが定義されたすべてのインターフェイスを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 10 [UNI MAC addresses] に 1 つ以上のイーサネット MAC アドレスを入力します。

この選択は、[Use Existing ACL Name] チェックボックスをオフにした場合のみ存在します。[Edit] ボタンをクリックして、ポートで許可または拒否する MAC アドレスを入力するポップアップ ウィンドウを表示します。アドレスの範囲は、ベース MAC アドレスおよびフィルタリングされた MAC アドレスを設定して指定することもできます。

ステップ 11 [Link Speed](オプション)に、[None]、[10]、[100]、[1000]、[Auto]、または [nonegotiate] を入力します。

ステップ 12 [Link Duplex](オプション)に、[None]、[Full]、[Half]、または [Auto] を入力します。

ステップ 13 [PE/UNI Interface Description] フィールドに、 Customer-B EMS (EP-LAN) Service などのようにオプションの説明を入力します。

ステップ 14 ISC が VLAN ID を選択するように設定するには、[VLAN ID AutoPick] チェックボックスをオンにします。

チェックボックスがオフの場合、サービス アクティベーション中に [Provider VLAN ID] フィールドに VLAN を入力するように求められます。

ステップ 15 VLAN を示す名前を [VLAN NAME](オプション)に入力します。

名前は、1 トークン(スペースなし)である必要があります。VLAN 名の制限は 32 文字です。名前は一意である必要があります。2 つの VLAN で同じ名前を共有できません。

ステップ 16 [System MTU] にバイト単位で入力します。

Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズは、設定可能でオプションです。デフォルト サイズは 9216 で、範囲は 1500 ~ 9216 です。ISC は、カスタマイズされた値に対する完全性をチェックしません。サイズが受け入れられないためにサービス リクエストが [Failed Deploy] 状態になる場合、サービス リクエストが導入されるまで、サイズを調整する必要があります。

ISC 6.0 では、異なるプラットフォームは異なる範囲をサポートします。

3750 プラットフォームおよび 3550 プラットフォームの場合、MTU 範囲は 1500 ~ 1546 です。

7600 イーサネット ポートの場合、MTU サイズは常に 9216 です。同じプラットフォームおよび同じ IOS リリースの場合でも、ライン カードが異なると MTU のサポートも異なります。たとえば、古いライン カードは、MTU サイズ 9216 のみをサポートしますが、新しいライン カードは、1500 ~ 9216 をサポートします。ただし、ISC 6.0 では、両方の場合で 9216 を使用します。

7600 SVI(インターフェイス VLAN)の場合、MTU サイズは 1500 ~ 9216 です。

ステップ 17 ポートに独自に名前を付けたアクセス リストを割り当てる場合は、[Use Existing ACL Name] チェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフになっていて [UNI MAC addresses](下記を参照)に入力した値に基づいて ISC は MAC ベースの ACL を自動的にカスタマー向きの UNI ポートに割り当てます。

ステップ 18 (前の手順に記載されている [Use Existing ACL Name] チェックボックスをオンにした場合は、)[Port-Based ACL Name] に入力します。


) ISC は、この ACL を自動作成しません。ACL はサービス リクエストの導入前にすでにデバイスに存在する、またはテンプレートの一部として追加される必要があります。そうしないと導入に失敗します。


ステップ 19 UNI ポートで Cisco Discover Protocol(CDP)をディセーブルにするには、[Disable CDP] チェックボックスをオンにします。

ステップ 20 インターフェイスの通過を許可される MAC アドレスを制御することにより、ポート セキュリティ関係の CLI を UNI ポートにプロビジョニングする場合は、[UNI Port Security] チェックボックス(図 9-30 を参照)をオンにします。

a. [Maximum Number of MAC address] には、ポート セキュリティで許可する MAC アドレス数を入力します。

b. [Aging] には、MAC アドレスがポート セキュリティ テーブルにとどまれる時間の長さを入力します。

c. [Violation Action] では、ポート セキュリティ違反が検出された場合に発生するアクションを選択します。

[PROTECT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップします。

[RESTRICT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップし、[Security Violation] カウンタを増加させます。

[SHUTDOWN]:インターフェイスをすぐにエラーディセーブルの状態にして SNMP トラップ通知を送信します。

d. [Secure MAC Addresses] フィールドには、1 つ以上のイーサネット MAC アドレスを入力します。

図 9-30 [UNI Port Security]

 

ステップ 21 [Enable Storm Control] チェックボックス(図 9-31 を参照)をオンにして、UNI ポートがブロードキャスト ストーム、マルチキャスト ストーム、またはユニキャスト ストームから中断されるのを防止するために役立てます。

トラフィックのタイプごとにしきい値を入力します。有意な 2 桁の数までで指定できるこの値は、ポートの使用可能な帯域幅の合計をパーセンテージで表します。トラフィック タイプのしきい値に達した場合、そのタイプのその後のトラフィックは、着信トラフィックがしきい値レベルを下回るまで抑制されます。

図 9-31 [Enable Storm Control]

 

ステップ 22 コアを介して他端までトンネルを作成できるレイヤ 2 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)フレームを定義する場合は、[Protocol Tunnelling] チェックボックス(図 9-32 を参照)をオンにします。

図 9-32 [Protocol Tunnelling]

 

オンにしたプロトコルごとに、プロトコルに対するシャットダウンしきい値およびドロップしきい値を入力します。

a. [Tunnel CDP]:Cisco Discover Protocol(CDP)のレイヤ 2 トンネリングをイネーブルにします。

b. [CDP Threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

c. [cdp drop threshold]:インターフェイスが CDP パケットのドロップを開始する時点の受信する 1 秒あたりのパケット数を入力します。

d. [Tunnel VTP]:VLAN Trunk Protocol(VTP)のレイヤ 2 トンネリングをイネーブルにします。

e. [VTP threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

f. [vtp drop threshold]:インターフェイスが VTP パケットのドロップを開始する時点の受信する 1 秒あたりのパケット数を入力します。

g. [Tunnel STP]:Spanning Tree Protocol(STP; スパニング ツリー プロトコル)のレイヤ 2 トンネリングをイネーブルにします。

h. [STP Threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

i. [stp drop threshold]:インターフェイスが STP パケットのドロップを開始する時点の、受信する 1 秒あたりのパケット数を入力します。

j. [Recovery Interval]:UNI ポートを回復するまでの待機時間を秒単位で入力します。

ステップ 23 ポリシーのテンプレート サポートをイネーブルにするには、[Next] ボタンをクリックします。

[Template Association] ウィンドウが表示されます。このウィンドウでは、テンプレート サポートをイネーブルにできます。また、オプションでテンプレートおよびデータ ファイルをポリシーに関連付けられます。テンプレートをポリシーに関連付ける手順およびこのウィンドウにある機能の使用方法については、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。ポリシーにテンプレートおよびデータ ファイルの設定が完了したら、[Template Association] ウィンドウで [Finish] をクリックしてウィンドウを閉じて [Policy Editor] ウィンドウに戻ります。

ステップ 24 [Finish] をクリックします。


) VC ID は、VPN ID からマッピングされます。デフォルトでは、ISC がこの値を「自動選択」します。必要に応じて、この値を手動で設定できます。これには、関連付けられた VPN コンフィギュレーションを編集します。[Edit VPN] ウィンドウには、[Enable VPLS] チェックボックスがあります。チェックボックスがオンの場合、用意されたフィールドに VPN ID を手動で入力できます。VPN の作成および変更の詳細については、『Cisco IP Solution Center Infrastructure Reference, 6.0』を参照してください。



 

CE なしのイーサネット/EMS(EP-LAN)ポリシーの定義

この項では、VPLS ポリシーを CE 存在なしのイーサネット コア タイプおよび EMS(EP-LAN)サービス タイプで定義する方法について説明します。図 9-33 は、このポリシーの最初のページの例です。

図 9-33 CE なしのイーサネット/EMS(EP-LAN)ポリシー

 

次の手順を実行します。


ステップ 1 [Next] をクリックします。

図 9-34 に示すウィンドウが表示されます。

[Editable] チェックボックスを使うと、フィールドを編集可能にできます。[Editable] チェックボックスをオンにした場合、この VPLS ポリシーを使用するサービス オペレータは、VPLS サービス リクエストの作成中に編集可能なパラメータを変更できます。

図 9-34 CE ポリシー属性なしのイーサネット/EMS(EP-LAN)

 

 

ステップ 2 ドロップダウン リストから [Interface Type] を選択します。

サービス プロバイダーの POP 設計に応じて特定のインターフェイスを CE、N-PE、U-PE、または PE-AGG インターフェイスに選択できます。インターフェイスは次のとおりです。

[ANY](いずれのインターフェイスも選択可能)。

[Port-Channel](同じ特性を共有するポートのバンドル。これにより、サービス プロバイダーは帯域幅および保護を集約することが可能になります)。

[Ethernet]

[FastEthernet]

[GE-WAN]

[GigabitEthernet]

[TenGigabitEthernet]

[TenGigE]

ここで定義する値は、VPLS サービス リクエスト作成中に、オペレータが表示できるインターフェイス タイプを制限するためのフィルタとして機能します。[ANY] と定義した場合、オペレータはすべてのインターフェイス タイプを表示できます。

ステップ 3 [Standard UNI Port] チェックボックスをオンにして、ポート セキュリティをイネーブルにします。

これがデフォルトです。チェックボックスがオフの場合、ポートはセキュリティ機能なしのアップリンクとして扱われ、ポート セキュリティに関する項目を除外するためにウィンドウが動的に変化します。

ステップ 4 [Interface Format] には、CE インターフェイスのスロット番号/ポート番号を入力します(たとえば、1/0 は、インターフェイスはスロット 1、ポート 0 にあることを示します)。

サービスのすべてもしくは大半のネットワーク デバイスの特定のインターフェイスのスロットやポート位置を常に通過するリンクがある場合は特に便利です。

ステップ 5 N-PE/U-PE の [Encapsulation] タイプを選択します。

選択肢は次のとおりです。

[DOT1Q]

[DEFAULT]


) CE ポリシーなしのイーサネット/EMS(EP-LAN)に基づいてサービス リクエストを作成している場合、[Encapsulation] 属性は無視されます。つまり、この値を設定しても無効になります。


ステップ 6 たとえば、サービス プロバイダーがネットワークにサービスを導入するときに後でサービスをアクティブ化する場合など、サービス アクティベーション中に UNI ポートを閉じたままにするには、[UNI Shutdown] チェックボックスをオンにします。

ステップ 7 [Keep Alive] チェックボックスをオンにして、UNI ポートにキープアライブを設定します。

デフォルトでは、このチェックボックスはオフであり、 no keepalive コマンドが UNI ポートでプロビジョニングされます。これにより、CPE による U-PE へのキープアライブ パケットの送信をセキュリティ目的で防止します。1 つのサービス リクエストごとの変更をサポートするために、この属性は編集可能です。

ステップ 8 [ANY] チェックボックスをオンにして、UNI インターフェイスに対してすべてのインターフェイス タイプを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 9 [UNI] チェックボックスをオンにして、UNI インターフェイスに対して UNI タイプが定義されたすべてのインターフェイスを選択肢として表示します(このポリシーに基づいてサービス リクエストを作成している場合)。

デフォルトでは、このチェックボックスはオンです。

ステップ 10 [UNI MAC addresses] に 1 つ以上のイーサネット MAC アドレスを入力します。

この選択は、[Use Existing ACL Name] チェックボックスをオフにした場合のみ存在します。[Edit] ボタンをクリックして、ポートで許可または拒否する MAC アドレスを入力するポップアップ ウィンドウを表示します。アドレスの範囲は、ベース MAC アドレスおよびフィルタリングされた MAC アドレスを設定して指定することもできます。

ステップ 11 [Link Speed](オプション)に、[None]、[10]、[100]、[1000]、[Auto]、または [nonegotiate] を入力します。

ステップ 12 [Link Duplex](オプション)に、[None]、[Full]、[Half]、または [Auto] を入力します。

ステップ 13 [PE/UNI Interface Description] フィールドに、 Customer-B EMS (EP-LAN) Service などのようにオプションの説明を入力します。

ステップ 14 ISC が VLAN ID を選択するように設定するには、[VLAN ID AutoPick] チェックボックスをオンにします。チェックボックスがオフの場合、サービス アクティベーション中に [Provider VLAN ID] フィールドに VLAN を入力するように求められます。

ステップ 15 VLAN を示す名前を [VLAN NAME](オプション)に入力します。

名前は、1 トークン(スペースなし)である必要があります。VLAN 名の制限は 32 文字です。名前は一意である必要があります。2 つの VLAN で同じ名前を共有できません。

ステップ 16 [System MTU] にバイト単位で入力します。

Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズは、設定可能でオプションです。ISC は、カスタマイズされた値に対する完全性をチェックしません。サイズが受け入れられないためにサービス リクエストが [Failed Deploy ] 状態になる場合、サービス リクエストが導入されるまで、サイズを調整する必要があります。ISC では、次に示すように異なるプラットフォームに対して複数の範囲をサポートします。範囲は 1500 ~ 9216 です。

3750 プラットフォームおよび 3550 プラットフォームの場合、MTU 範囲は 1500 ~ 1546 です。

7600 イーサネット ポートの場合、MTU サイズは常に 9216 です。同じプラットフォームおよび同じ IOS リリースの場合でも、ライン カードが異なると MTU のサポートも異なります。たとえば、古いライン カードは、MTU サイズ 9216 のみをサポートしますが、新しいライン カードは、1500 ~ 9216 をサポートします。ただし、ISC では両方の場合で 9216 を使用します。

7600 SVI(インターフェイス VLAN)の場合、MTU サイズは 1500 ~ 9216 です。

ステップ 17 ポートに独自に名前を付けたアクセス リストを割り当てる場合は、[Use Existing ACL Name] チェックボックスをオンにします。

デフォルトでは、このチェックボックスはオフであり、[UNI MAC addresses](下記を参照)に入力した値に基づいて ISC は MAC ベースの ACL を自動的にカスタマー向きの UNI ポートに割り当てます。

ステップ 18 (前の手順に記載されている [Use Existing ACL Name] チェックボックスをオンにした場合は、)[Port-Based ACL Name] に入力します。


) ISC は、この ACL を自動作成しません。ACL はサービス リクエストの導入前にすでにデバイスに存在する、またはテンプレートの一部として追加される必要があります。そうしないと導入に失敗します。


ステップ 19 UNI ポートで Cisco Discover Protocol(CDP)をディセーブルにするには、[Disable CDP] チェックボックスをオンにします。

ステップ 20 インターフェイスの通過を許可される MAC アドレスを制御することにより、ポート セキュリティ関係の CLI を UNI ポートにプロビジョニングする場合は、[UNI Port Security] チェックボックス(図 9-35 を参照)をオンにします。

a. [Maximum Number of MAC address] には、ポート セキュリティで許可する MAC アドレス数を入力します。

b. [Aging] には、MAC アドレスがポート セキュリティ テーブルにとどまれる時間の長さを入力します。

c. [Violation Action] では、ポート セキュリティ違反が検出された場合に発生するアクションを選択します。

[PROTECT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップします。

[RESTRICT]:十分な数のセキュア MAC アドレスが削除されて最大値を下回るまで不明な送信元アドレスのパケットをドロップし、[Security Violation] カウンタを増加させます。

[SHUTDOWN]:インターフェイスをすぐにエラーディセーブルの状態にして SNMP トラップ通知を送信します。

d. [Secure MAC Addresses] フィールドには、1 つ以上のイーサネット MAC アドレスを入力します。

図 9-35 [UNI Port Security]

 

ステップ 21 [Enable Storm Control] チェックボックス(図 9-36 を参照)をオンにして、UNI ポートがブロードキャスト ストーム、マルチキャスト ストーム、またはユニキャスト ストームから中断されるのを防止するために役立てます。

トラフィックのタイプごとにしきい値を入力します。有意な 2 桁の数までで指定できるこの値は、ポートの使用可能な帯域幅の合計をパーセンテージで表します。トラフィック タイプのしきい値に達した場合、そのタイプのその後のトラフィックは、着信トラフィックがしきい値レベルを下回るまで抑制されます。

図 9-36 [Enable Storm Control]

 

ステップ 22 コアを介して他端までトンネルを作成できるレイヤ 2 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)フレームを定義する場合は、[Protocol Tunnelling] チェックボックス(図 9-37 を参照)をオンにします。

図 9-37 [Protocol Tunnelling]

 

オンにしたプロトコルごとに、プロトコルに対するシャットダウンしきい値およびドロップしきい値を入力します。

a. [Tunnel CDP]:Cisco Discover Protocol(CDP)のレイヤ 2 トンネリングをイネーブルにします。

b. [CDP Threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

c. [cdp drop threshold]:インターフェイスが CDP パケットのドロップを開始する時点の受信する 1 秒あたりのパケット数を入力します。

d. [Tunnel VTP]:VLAN Trunk Protocol(VTP)のレイヤ 2 トンネリングをイネーブルにします。

e. [VTP threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

f. [vtp drop threshold]:インターフェイスが VTP パケットのドロップを開始する時点の受信する 1 秒あたりのパケット数を入力します。

g. [Tunnel STP]:Spanning Tree Protocol(STP; スパニング ツリー プロトコル)のレイヤ 2 トンネリングをイネーブルにします。

h. [STP Threshold]:インターフェイスがシャットダウンする前に受信する 1 秒あたりのパケット数を入力します。

i. [stp drop threshold]:インターフェイスが STP パケットのドロップを開始する時点の、受信する 1 秒あたりのパケット数を入力します。

j. [Recovery Interval]:UNI ポートを回復するまでの待機時間を秒単位で入力します。

ステップ 23 ポリシーのテンプレート サポートをイネーブルにするには、[Next] ボタンをクリックします。

[Template Association] ウィンドウが表示されます。このウィンドウでは、テンプレート サポートをイネーブルにできます。また、オプションでテンプレートおよびデータ ファイルをポリシーに関連付けられます。テンプレートをポリシーに関連付ける手順およびこのウィンドウにある機能の使用方法については、 付録 B「テンプレートおよびデータ ファイルの使用」 を参照してください。ポリシーにテンプレートおよびデータ ファイルの設定が完了したら、[Template Association] ウィンドウで [Finish] をクリックしてウィンドウを閉じて [Policy Editor] ウィンドウに戻ります。

ステップ 24 [Finish] をクリックします。


) VC ID は、VPN ID からマッピングされます。デフォルトでは、ISC がこの値を「自動選択」します。必要に応じて、この値を手動で設定できます。これには、関連付けられた VPN コンフィギュレーションを編集します。[Edit VPN] ウィンドウには、[Enable VPLS] チェックボックスがあります。チェックボックスがオンの場合、用意されたフィールドに VPN ID を手動で入力できます。VPN の作成および変更の詳細については、『Cisco IP Solution Center Infrastructure Reference, 6.0』を参照してください。