Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.1E
Supervisor Engine 1 上でのレイヤ 3 プロトコル フィルタリングの設定
Supervisor Engine 1 上でのレイヤ 3 プロトコル フィルタリングの設定
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Supervisor Engine 1 上でのレイヤ 3 プロトコル フィルタリングの設定

レイヤ 3 プロトコル フィルタリングの機能概要

レイヤ 3 プロトコル フィルタリングの設定

レイヤ 3 プロトコル フィルタリングのイネーブル化

レイヤ 2 LAN インターフェイス上でのレイヤ 3 プロトコル フィルタリングの設定

レイヤ 3 プロトコル フィルタリングの設定の確認

Supervisor Engine 1 上でのレイヤ 3 プロトコル フィルタリングの設定


) Supervisor Engine 1 を使用する場合、レイヤ 3 プロトコル フィルタリングがサポートされます。Supervisor Engine 2 では、レイヤ 3 プロトコル フィルタリングはサポートされません。


この章では、Catalyst 6500 series switchesのレイヤ 2 LAN ポートにレイヤ 3 プロトコル フィルタリングを設定する方法について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Cisco 7600 Series Router Cisco IOS Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「レイヤ 3 プロトコル フィルタリングの機能概要」

「レイヤ 3 プロトコル フィルタリングの設定」

レイヤ 3 プロトコル フィルタリングの機能概要

レイヤ 3 プロトコル フィルタリングは、特定のレイヤ 3 プロトコル パケットがレイヤ 2 LAN ポートで送受信されるのを防ぎ、VLAN 上での特定のプロトコルのブロードキャスト ドメインを削減します。たとえば、ある VLAN 上のレイヤ 2 LAN ポートは IP パケットのみを許可し、同じ VLAN 上の別のレイヤ 2 LAN ポートは IP パケットと Internetwork Packet Exchange(IPX)パケットの両方を許可するように設定することができます。

レイヤ 2 LAN トランク ポートは、プロトコル フィルタリングをサポートしません。トランクにレイヤ 3 プロトコル フィルタリングを設定することはできますが、ポートがトランクであるかぎり、その設定は無視されます。

レイヤ 3 インターフェイスにプロトコル フィルタリングを設定することはできません。トランク以外のレイヤ 2 LAN ポートだけが、レイヤ 3 プロトコル フィルタリングをサポートします。

レイヤ 3 プロトコル フィルタリングは、Cisco IOS の標準および拡張 ACL で使用できる機能をサポートしません。

Spanning Tree Protocol(STP; スパニングツリー プロトコル)、Cisco Discovery Protocol(CDP; シスコ検出プロトコル)などのレイヤ 2 プロトコルは、レイヤ 3 プロトコル フィルタリングによる影響を受けません。ポート セキュリティがイネーブルに設定されているレイヤ 2 LAN ポートは、あらゆるプロトコル グループのメンバーです。

レイヤ 2 LAN ポートは、プロトコル グループ別に次のいずれかのモードに設定できます。 on off 、または auto です。 on に設定すると、ポートはそのプロトコルのトラフィックをすべて許可します。 off に設定すると、ポートはそのプロトコルのトラフィックを許可しません。

auto に設定すると、レイヤ 2 LAN ポートは初期的には、ポートからのフラッディング トラフィックの送信を許可しません。ポートでパケットを受信したあと、ポートはそのプロトコル グループのトラフィックを送信するようになります。この状態で、そのプロトコルのパケットを 60 分間にわたって受信しなかった場合、ポートはフラッディング トラフィックの送信を再び許可します。スーパーバイザ エンジンがポート上でリンクがダウンしたことを検出した場合にも、レイヤ 2 LAN ポートはプロトコル グループから削除されます。

IPX に関して auto が設定されているレイヤ 2 LAN ポートに、IP および IPX の両方をサポートするホストが接続されているにもかかわらず、そのホストが IP トラフィックしか送信しない場合、ホストの接続先ポートは、フラッディング IPX トラフィックを送信しません。ただし、ホストが IPX パケットを送信した場合には、スーパーバイザ エンジン ソフトウェアがそのプロトコル トラフィックを検出し、ポートはフラッディング IPX トラフィックの送信を開始します。ホストが 60 分間以上にわたって IPX トラフィックの送信を停止すると、ポートはフラッディング IPX トラフィックの送信を停止します。

デフォルトでは、レイヤ 2 LAN ポートはすべてのプロトコル グループに関して on に設定されています。通常、レイヤ 2 LAN ポートを IP に関して auto に設定する必要があるのは、ポートにエンド ステーションが直接接続されている場合だけです。

プロトコル フィルタは、特定のプロトコルではなく、プロトコル グループに応じて設定します。次の 4 つのプロトコル グループが定義されています。

IP

IPX

AppleTalk、DECnet、および Banyan VINES([group])

上記のプロトコルに属さないパケット([other])

レイヤ 3 プロトコル フィルタリングの設定

ここでは、イーサネット タイプの VLAN および任意のタイプのレイヤ 2 LAN ポートにレイヤ 3 プロトコル フィルタリングを設定する手順について説明します。

「レイヤ 3 プロトコル フィルタリングのイネーブル化」

「レイヤ 2 LAN インターフェイス上でのレイヤ 3 プロトコル フィルタリングの設定」

「レイヤ 3 プロトコル フィルタリングの設定の確認」


) Release 12.1(11b)E 以降を使用している場合に、コンフィギュレーション モードで EXEC モードレベルのコマンドを入力するには、EXEC モードレベルのコマンドの前に do キーワードを入力します。


レイヤ 3 プロトコル フィルタリングのイネーブル化

レイヤ 3 プロトコル フィルタリングをグローバルにイネーブルにするには、次の作業を行います。

 

コマンド
目的

Router(config)# protocol-filter

レイヤ 3 プロトコル フィルタリングをグローバルにイネーブルにします。

Router(config)# no protocol-filter

レイヤ 3 プロトコル フィルタリングをグローバルにディセーブルにします。

次に、レイヤ 3 プロトコル フィルタリングをグローバルにイネーブルにする例を示します。

Router# configure terminal
Router(config)# protocol-filtering

レイヤ 2 LAN インターフェイス上でのレイヤ 3 プロトコル フィルタリングの設定

レイヤ 2 LAN ポートにレイヤ 3 プロトコル フィルタリングを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface {{ type 1 slot/port } | { port-channel number }}

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# switchport protocol { appletalk | ip | ipx | group } { on | off | auto }

LAN ポートにレイヤ 3 プロトコル フィルタリングを設定します。

Router(config-if)# no switchport protocol { appletalk | ip | ipx | group }

LAN ポート上のレイヤ 3 プロトコル フィルタリングの設定を消去します。

1.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/8 について、IPX パケットだけを許可するようにプロトコル メンバーシップを設定し、設定を確認する例を示します。

Router(config)# interface fastethernet 5/8
Router(config-if)# switchport protocol appletalk off
Router(config-if)# switchport protocol ip off
Router(config-if)# switchport protocol ipx on

レイヤ 3 プロトコル フィルタリングの設定の確認

レイヤ 3 プロトコル フィルタリングの設定を確認するには、次の作業を行います。

 

コマンド
目的

Router# show protocol-filtering interface {{ type 2 slot/port } | { port-channel number }}

インターフェイスのフィルタリング設定を確認します。

2.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/8 のレイヤ 3 プロトコル フィルタリング設定を確認する例を示します。

Router# show protocol-filtering interface fastethernet 5/8
Interface IP Mode IPX Mode Group Mode Other Mode
--------------------------------------------------------------------------
Fa5/8 OFF ON OFF OFF
Router#

show protocol filtering コマンドを使用すると、1 つまたは複数のプロトコルがデフォルト以外に設定されているポートだけが表示されます。