Cisco 7600 シリーズ イーサネット サービス Plus ラ イン カード コンフィギュレーション ガイド
レイヤ 2(L2)機能の設定
レイヤ 2(L2)機能の設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

レイヤ 2(L2)機能の設定

フレキシブル QinQ マッピングおよびサービス認識機能

制約事項および使用上のガイドライン

検証

Cisco 7600 シリーズ ES+ ラインカードでの MultiPoint Bridging over Ethernet の設定

制約事項および使用上のガイドライン

検証

フレキシブル ユーザ ネットワーク インターフェイス(UNI)バックアップ インターフェイス

制約事項および使用上のガイドライン

検証

ポート チャネルの EVC

制約事項および使用上のガイドライン

検証

EVC ポート チャネルの LACP サポート

制約事項および使用上のガイドライン

検証

EVC の オプション 82 による Dynamic Host Configuration Protocol(DHCP)スヌーピング

制約事項および使用上のガイドライン

検証

サービス インスタンスの IP ソース ガード

制約事項および使用上のガイドライン

検証

EVC ブリッジ ドメインの Multiple Spanning Tree(MST)の設定(8517-1)

MST およびスパニング ツリー プロトコル(STP)の概要

EVC ブリッジ ドメインの MST の概要

制約事項および使用上のガイドライン

検証

EVC ブリッジドメインの MAC アドレス セキュリティ

制約事項および使用上のガイドライン

EVC ブリッジ ドメインの MAC アドレス セキュリティのイネーブル化

EFP の EVC ブリッジ ドメイン MAC アドレス セキュリティのディセーブル化

EFP の MAC アドレス ホワイトリストの設定

EFP のスティッキ MAC アドレスの設定

EFP の セキュア MAC アドレス エージングの設定

EFP の MAC アドレス 制限の設定

ブリッジ ドメインの MAC アドレス制限の設定

EFP の 違反応答の設定

エラーの回復

検証

接続障害管理(CFM)と PVST の共存

制約事項および使用上のガイドライン

PVST と CFM の共存の設定

GVRP と CFM の共存の設定

PVST と GVRP の共存の設定

検証

EVC インターフェイスのカスタム ethertype

カスタム ethertype 設定でサポートされる書き換え規則

NNI の C-Tag が範囲なしの場合にサポートされる書き換え

NNI の C-Tag が範囲の場合にサポートされる書き換え

制約事項および使用上のガイドライン

EVC が設定されたスイッチポートおよびポートのストーム コントロール

制約事項および使用上のガイドライン

EVC 設定を使用したポートのストーム コントロールの設定

スイッチポートのストーム コントロールの設定

検証

レイヤ 2(L2)機能の設定

この章では、Cisco 7600 シリーズ Ethernet Services Plus(ES+)ラインカードの Layer 2(L2; レイヤ 2)機能をCisco 7600 シリーズ ルータで設定する方法について説明します。具体的な内容は次のとおりです。

「フレキシブル QinQ マッピングおよびサービス認識機能」

「Cisco 7600 シリーズ ES+ ラインカードでの MultiPoint Bridging over Ethernet の設定」

「フレキシブル ユーザ ネットワーク インターフェイス(UNI)バックアップ インターフェイス」

「ポート チャネルの EVC」

「EVC ポート チャネルの LACP サポート」

「EVC の オプション 82 による Dynamic Host Configuration Protocol(DHCP)スヌーピング」

「サービス インスタンスの IP ソース ガード」

「EVC ブリッジ ドメインの Multiple Spanning Tree(MST)の設定(8517-1)」

「EVC ブリッジドメインの MAC アドレス セキュリティ」

「接続障害管理(CFM)と PVST の共存」

「EVC インターフェイスのカスタム ethertype」

「スイッチポートのストーム コントロールの設定」

この章で使用するコマンドの詳細については、 http://www.cisco.com/univercd/cc/td/doc/product/software/ios122sr/cr/index.htm の『 Cisco IOS Release 12.2 SR Command References 』を参照してください

フレキシブル QinQ マッピングおよびサービス認識機能

フレキシブル QinQ マッピングおよびサービス認識機能により、サービス プロバイダーは、アクセス ノードにおける Layer 3(L3; レイヤ 3)サブインターフェイスへの ダブル タグ dot1q フレームの終端に備えて、トリプルプレイ サービス、Digital Subscriber Line Access Multiplexer(DSLAM; デジタル加入者線アクセス マルチプレクサ)からの住宅地のインターネット アクセス、ビジネス レイヤ 2 およびレイヤ 3 Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を提供できます。

アクセス ノードは、Cisco 7600 シリーズ ES+ ラインカードで DSLAM に接続します。これにより、Virtual Local Area Network(VLAN; バーチャル LAN)タグによってカスタマー インスタンスを識別し、カスタマー インスタンスをさまざまなサービスにマッピングできます。

7600 シリーズ ES+ ラインカードのフレキシブル QinQ マッピングおよびサービス認識機能は、Ethernet Virtual Connection Service(EVCS)サービス インスタンスだけでサポートされます。

EVCS では、Ethernet Virtual Circuit(EVC; イーサネット仮想回線)およびサービス インスタンスのコンセプトが使用されます。EVC は、プロバイダーがお客様に提供しているレイヤ 2 サービスの単一インスタンスのエンドツーエンド表現です。さまざまなパラメータが統合されて、サービスが提供されます。サービス インスタンスは、特定ルータの特定ポートにおける EVC のインスタンスです。

図 4-1 は、DSLAM 方向のアクセス ルータが VLAN 変換(選択的 QinQ)およびグルーミング機能を提供し、Service Router(SR; サービス ルータ)がレイヤ 2 サービスまたはレイヤ 3 サービスに QinQ 終端を提供する、典型的なメトロ アーキテクチャを示しています。

図 4-1 メトロ アーキテクチャ

Cisco 7600 シリーズ ES+ ラインカード のフレキシブル QinQ マッピングおよびサービス認識は、次の機能を提供します。

ローカル シグニフィカンスとの VLAN 接続(VLAN ローカル スイッチング)

あるポートから受信した dot1q タグ トラフィックがタグの変更によって別のポートに相互接続するシングル タグ イーサネット ローカル スイッチング。1 対 1 のマッピング サービスであり、Media Access Control(MAC; メディア アクセス制御)学習は関連しません。

あるポートから受信したダブル タグ トラフィックが両方のタグの変更によって別のポートに相互接続するダブル タグ イーサネット ローカル スイッチング。ダブル タグのそれぞれの組み合わせと相互接続のマッピングは 1 対 1 です。MAC 学習は関連しません。

ヘアピニング(同一ポート内のEthernet Flow Point(EFP; イーサネット フロー ポイント))。


) 接続サービスは、Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)パケットの識別をサポートしません。


選択的 QinQ(1 対 2 変換)

相互接続:選択的 QinQ では受信 dot1q トラフィックに外部タグが追加され、レイヤ 2 スイッチングまたは Ethernet over MultiProtocol Layer Switching(EoMPLS)でリモート エンドにトンネリングされます。

レイヤ 2 スイッチング:選択的 QinQ では受信 dot1q トラフィックに外部タグが追加され、レイヤ 2 スイッチングが実行されて、別のサービスを追加するために外部タグに基づいて Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)が許可されます。

ダブル タグ変換(2 対 2 変換)レイヤ 2 スイッチング:2 つの受信タグ付きフレームがポップ処理され、2 つの新しいタグがプッシュ処理されます。

ダブル タグ終端(2 対 1 タグ変換)

Ethernet MultiPoint Bridging over Ethernet(MPBE):着信ダブル タグがシングル dot1q タグに一意にマッピングされ、MPBE の実行に使用されます。

ダブル タグ MPBE:入力ラインで入力パケットのダブル タグが使用され、ブリッジング VLAN が検索されます。ダブル タグはポップ処理され、出力ラインカードが新しいダブル タグを追加してパケットを送信します。

ダブル タグ ルーティング:通常の dot1q タグ ルーティングと同じですが、ダブル タグが使用されて非表示 VLAN が識別されます。

ローカル VLAN シグニフィカンス:VLAN タグがポートだけで重要になります。

Cisco 7600 シリーズ ES+ ラインカードのサブインターフェイスは、サブインターフェイスに関連する非表示 VLAN(内部で割り当てられた未設定の VLAN)を取得します。非表示 VLAN 番号は、カプセル化 VLAN(ユーザまたは回線で認識される VLAN)とは関係ありません。カプセル化はそのポートにローカル に使用されるため、複数のポートに同じカプセル化 VLAN を設定できます。

スケーラブル EoMPLS VC:シングル タグ パケットはトンネルで送信されます。

QinQ ポリシングおよび Quality of Service(QoS)

レイヤ 2 Protocol Data Unit(PDU; プロトコル データ ユニット)パケット

connect および xconnect を使用すると、タグの有無に関係なく、レイヤ 2 PDU が透過的に転送されます。

bridge-domain を使用すると、レイヤ 2 PDU にタグが付いている場合、デフォルトではパケットがドロップされます。レイヤ 2 PDU にタグが付いていない場合、パケットは物理ポート設定によって処理されます (bridge-domain でタグなしサービス インスタンスを使用すると、CPU は設定に応じて PDU を停止します)。この機能を EFP に設定している場合、BPDU が適宜 EFP から決定機能に渡されます。

制約事項および使用上のガイドライン

Cisco 7600 シリーズ ES+ ラインカード のフレキシブル QinQ マッピングおよびサービス認識を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

サービス スケーラビリティ:

サービス インスタンス:16,000

入力マッチング ペア:8,000

ブリッジ ドメイン:4,000

ローカル スイッチング:32,000

Xconnect:16,000

サブインターフェイス:2,000

QoS スケーラビリティ:

シェーピング:2,000 親キュー、16,000 子キュー

マーキング:2,000 親キュー、16,000 子キュー

Modular QoS CLI(MQC)処理サポート:

シェーピング

帯域幅

ポリシーごとに 2 つのプライオリティ キュー

set cos コマンド、set cos-inner コマンド、set cos cos-inner コマンド、set cos-inner cos コマンド

Weighted Random Early Detection(WRED; 重み付けランダム早期検出)集約

キュー制限

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id ethernet [service-name]

5. encapsulation dot1q vlan-id

6. rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}}symmetric

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

service instance id ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC をインスタンス化したもの)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

 

Router(config-if-srv)# rewrite ingress tag push dot1q 20 symmetric

サービス インスタンスへのフレーム入力で実行されるタグ操作を指定します。

シングル タグ VLAN 接続

次の例では、dot1q タグが 10 である着信フレームが TenGigabitEthernet 1/1 に入ります。これは TenGigabitEthernet 1/2 へインデックスで誘導され、dot1q タグ 11 で出力されます。MAC 学習は関連しません。


) エンドツーエンドで VLAN 変換があるため、レイヤ 2 プロトコルを慎重に検討する必要があります。一般に、使用例では両サイドを同じカプセル化に設定します。


 
! DSLAM facing port
Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 100 ethernet
Router(config-if-srv)# encapsulation dot1q 10
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
!L2 facing port
Router(config)# interface TenGigabitEthernet 1/2
Router(config-if)# service instance 101 ethernet
Router(config-if-srv)# encapsulation dot1q 11
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
! connect service
Router# connect EVC1 TenGigabitEthernet 1/1 100 TenGigabitEthernet 1/2 101
 

ダブル タグ VLAN 接続

次の例では、外部 dot1q タグが 10、内部 タグが 20 である着信フレームが TenGigabitEthernet 1/1 に入ります。これは TenGigabitEthernet 1/2 へインデックスで誘導され、外部 dot1q タグ 11 および内部タグ 21 で出力されます。MAC 学習は関連しません。

 
! DSLAM facing port
Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 100 ethernet
Router(config-if-srv)# encapsulation dot1q second-dot1q 20
Router(config-if-srv)# rewrite ingress tag pop 2 symmetric
!L2 facing port
Router(config)# interface TenGigabitEthernet 1/2
Router(config-if)# service instance 101 ethernet
Router(config-if-srv)# encapsulation dot1q 11 second-dot1q 21
Router(config-if-srv)# rewrite ingress tag pop 2 symmetric
! connect service
Router# connect EVC1 TenGigabitEthernet 1/1 100 TenGigabitEthernet 1/2 101

 

相互接続での選択的 QinQ

この設定ではシングル タグ サブインターフェイスで EoMPLS が使用され、パケット転送が実行されます。

 
! DSLAM facing port
Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 100 ethernet
Router(config-if-srv)# encapsulation dot1q 10-20,30,50-60
Router(config-if-srv)# xconnect 2.2.2.2 999 pw-class vlan-xconnect
!
Router(config)# interface Loopback1
Router(config-if)# ip address 1.1.1.1 255.255.255.255
! MPLS core facing port
Router(config)# interface TenGigabitEthernet 2/1
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# mpls ip
Router(config-if)# mpls label protocol ldp
! MPLS core facing port
Router(config)# interface TenGigabitEthernet 2/1
Router(config-if)# ip address 192.168.1.2 255.255.255.0
Router(config-if)# mpls ip
Router(config-if)# mpls label protocol ldp
!
Router(config)# interface Loopback1
Router(config-if)# ip address 2.2.2.2 255.255.255.255
 
! CE facing EoMPLS configuration
Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/2
Router(config-if)# service instance 1000
Router(config-if-srv)# encapsulation dot1q 1000 second-dot1q any
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)#xconnect 1.1.1.1 999 pw-class vlan-xconnect
 

レイヤ 2 スイッチングでの選択的 QinQ

この設定ではレイヤ 2 スイッチングが使用され、パケット転送が実行されます。転送メカニズムは MPBE と同じですが、サービス インスタンスごとの書き換えだけが異なります。

 
! DSLAM facing port, single tag incoming
Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 100 ethernet
Router(config-if-srv)# encapsulation dot1q 10-20
Router(config-if-srv)# bridge-domain 11
! QinQ VLAN
Router(config)# interface TenGigabitEthernet 1/2
Router(config-if)# switchport
Router(config-if)# switchport mode trunk
Router(config-if)# switchport trunk vlan allow 11
 

ダブル タグ変換(2 対 2 タグ変換)

ここでは、ダブル タグ フレームが入力で受信されます。両方のタグがポップ処理され、2 つの新しいタグがプッシュ処理されます。パケットはブリッジ ドメイン VLAN にレイヤ 2 スイッチングされます。

 
! QinQ facing port
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 100 ethernet
Router(config-if-srv)# encapsulation dot1q 100 second-dot1q 10
Router(config-if-srv)# rewrite ingress tag translate 2-to-2 dot1q 200 second-dot1q 20 symmetric
Router(config-if-srv)# bridge-domain 200
! QinQ VLAN
!
Router(config)# interface TenGigabitEthernet 1/2
Router(config-if)# service instance 101 ethernet
Router(config-if-srv)# encapsulation dot1q 200 second-dot1q 20
Router(config-if-srv)# bridge-domain 200
 

ダブル タグ終端(2 対 1 タグ変換)

次の例はレイヤ 2 スイッチングに分類されます。

 
! Double tag traffic
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 100 ethernet
Router(config-if-srv)# encapsulation dot1q 200 second-dot1q 20
Router(config-if-srv)# rewrite ingress tag pop 2 symmetric
Router(config-if-srv)# bridge-domain 10
!
Router(config)# interface TenGigabitEthernet 1/2
Router(config-if)# service instance 101 ethernet
Router(config-if-srv)# encapsulation dot1q 10
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 10
!
Router(config)# interface TenGigabitEthernet 1/3
Router(config-if)# service instance 101 ethernet
Router(config-if-srv)# encapsulation dot1q 30
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 10
 

検証

動作を検証するには、次のコマンドを使用します。

 

コマンド
目的

Router# show ethernet service evc [id evc-id | interface interface-id] [detail]

EVC ID を指定した場合は、指定 EVC に関する情報が表示され、インターフェイスを指定した場合は、インターフェイスのすべての EVC に関する情報が表示されます。detail オプションを指定すると、EVC の詳細情報が表示されます。

Router# show ethernet service instance [id instance-id interface interface-id | interface interface-id] [detail]

1 つまたは複数のサービス インスタンスに関する情報が表示されます。サービス インスタンス ID およびインターフェイスを指定した場合は、特定サービス インスタンスに関するデータだけが表示されます。インターフェイス ID だけを指定した場合は、特定インターフェイスのすべてのサービス インスタンスのデータが表示されます。

Router# show ethernet service interface [interface-id] [detail]

Port Data Block(PDB)の情報が表示されます。

Router# show mpls l2 vc detail

Virtual Connection(VC; 仮想接続)に関する詳細情報が表示されます。

Router# show mpls forwarding

MultiProtocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)Label Forwarding Information Base(LFIB; ラベル転送情報ベース)の内容が表示されます。

(注) 出力にはラベル エントリ l2ckt が含まれます。

Router# show connect

フレームリレー/ATM 間のネットワーク インターワーキング(FRF.5)接続およびフレームリレー/ATM 間サービス インターワーキング(FRF.8)接続に関する統計情報などを表示します。

Router# show xconnect

xconnect 接続回線および擬似回線に関する情報を表示します。

Cisco 7600 シリーズ ES+ ラインカードでの MultiPoint Bridging over Ethernet の設定

Cisco 7600 シリーズ ES+ ラインカードの MultiPoint Bridging over Ethernet(MPBE)では、MAC 学習、ローカル VLAN シグニフィカンス、フル QoS サポートがイーサネット LAN スイッチングに提供されます。MPBE では、スイッチポートへのフル実装が不要な、レイヤ 2 スイッチポートのような機能も提供します。MPBE は、Ethernet Virtual Connection Services(EVCS)サービス インスタンスだけでサポートされます。

EVCS では、EVC(イーサネット仮想回線)およびサービス インスタンスのコンセプトが使用されます。EVC は、プロバイダーがお客様に提供しているレイヤ 2 サービスの単一インスタンスのエンドツーエンド表現です。さまざまなパラメータが統合されて、サービスが提供されます。サービス インスタンスは、特定ルータの特定ポートにおける EVC のインスタンスです。

MPBE では、EVC パケット フィルタリング機能により、ブロードキャストまたはマルチキャスト ブリッジ ドメイン トラフィック パケットが、あるサービス インスタンスから別のサービス インスタンスにリークすることが防止されます。フィルタリングは書き換えの前後に実行され、パケットは意図したサービス インスタンスだけに移動します。

MPBE は次のように使用できます。

レイヤ 2 VPN、レイヤ 3 VPN、レイヤ 2 ブリッジングなどのレイヤ 2 サービスおよびレイヤ 3 サービスを同一物理ポートで同時に設定します。

ブロードキャスト ドメインをシステムで定義します。ブロードキャスト ドメインの一部であるカスタマー インスタンスを、同一物理ポートまたは別々のポートに含めることができます。

さまざまなカプセル化で複数のサービス インスタンスを設定し、単一ブリッジ ドメインにマッピングします。

同一ブリッジ ドメインにおいて、サービス インスタンス間のローカル スイッチングを実行します。

同一ブリッジ ドメインの一部であるサービス インスタンスを使用し、さまざまな物理インターフェイスにローカル スイッチングを実行します。

ブリッジ ドメインのコアからすべてのサービス インスタンスに、フラッディング パケットを複製します。

レイヤ 2 トンネリング サービスまたはレイヤ 3 終端サービスをブリッジ ドメイン VLAN で設定します。

MPBE は、サービス インスタンスごとに VLAN タグを操作して、操作した VLAN タグをレイヤ 2 サービスまたはレイヤ 3 サービスにマッピングし、これを達成します。可能な VLAN タグ操作は次のとおりです。

シングル タグ終端

シングル タグ トンネリング

シングル タグ変換

ダブル タグ終端

ダブル タグ トンネリング

ダブル タグ変換

選択的 QinQ 変換

制約事項および使用上のガイドライン

Cisco 7600 シリーズ ES+ ラインカードの MPBE over Ethernet を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

各サービス インスタンスは、ブリッジ ドメインの別々の回路と見なされます。

カプセル化は、dot1q パケットまたは QinQ パケットにすることができます。

440 MPB VC は、1 つのブリッジ ドメインでサポートされます(ネットワーク プロセッサごとに 110)。

Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)スヌーピングは、サービス インスタンスがブリッジ ドメインで終端する場合(すべてのタグを symmetric でポップ処理)、MPB VC でサポートされます。

スプリット ホライズンは MPB VC でサポートされます。

タグなし BPDU パケットは、ピアリング、ドロップ、またはデータとして転送されます。

タグ付き BPDU パケットは、ドロップまたはデータとして転送されます。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. [no] service instance id {Ethernet [service-name]}

5. encapsulation dot1q vlan-id [second-dot1q vlan-id]

6. [no] rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

7. [no] bridge-domain bridge-id

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

[no] service instance id {Ethernet [service-name]}

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC をインスタンス化したもの)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id [second-dot1q vlan-id]

 

Router(config-if-srv)# encapsulation dot1q 10

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

[no] rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

 

Router(config-if-srv)# rewrite ingress tag push dot1q 200 symmetric

サービス インスタンスへのフレーム入力で実行されるタグ操作を指定します。

(注) このコマンドを設定しない場合、フレームは入力でそのまま残ります(サービス インスタンスはトランク ポートに相当します)。

ステップ 7

[no] bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

シングル タグ終端の例

次の例では、シングル タグ終端により、単一 VLAN タグに基づいてカスタマーが識別され、シングル VLAN タグがブリッジ ドメインにマッピングされます。

Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 10
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 12
 

シングル タグ トンネリングの例

次のシングル タグ トンネリングの例では、着信 VLAN タグが削除されずにパケットに残ります。

Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 10
Router(config-if-srv)# bridge-domain 200
 

シングル タグ変換の例

次のシングル タグ変換の例では、着信 VLAN タグが削除され、VLAN 200 がパケットに追加されます。

Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 3/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 10
Router(config-if-srv)# rewrite ingress tag translate 1-to-1 dot1q 200 symmetric
Router(config-if-srv)# bridge-domain 200
 

ダブル タグ トンネリングの例

次のダブル タグ トンネリングの例では、着信 VLAN タグが削除されずにパケットに残ります。

Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 10 second-dot1q 20
Router(config-if-srv)# bridge-domain 200
 

ダブル タグ終端設定の例

次のダブル タグ終端の例では、入力がダブル タグを受信してブリッジ VLAN を識別します。ダブル タグはパケットから取り除かれます(終端します)。

Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 2/1
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 10 inner 20
Router(config-if-srv)# rewrite ingress tag pop 2 symmetric
Router(config-if-srv)# bridge-domain 200
Router(config-if)# service instance 2
Router(config-if-srv)# encapsulation dot1q 40 inner 30
Router(config-if-srv)# rewrite ingress tag pop 2 symmetric
Router(config-if-srv)# bridge-domain 200
 

ダブル タグ変換設定の例

次の例では、ダブル タグ フレームが入力で受信されます。両方のタグがポップ処理され、2 つの新しいタグがプッシュ処理されます。パケットはブリッジ ドメイン VLAN にレイヤ 2 スイッチングされます。

Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 10 second-dot1q 20
Router(config-if-srv)# rewrite ingress tag translate 2-to-2 dot1q 40 second dot1q 30 symmetric
Router(config-if-srv)# bridge-domain 200
Router(config-if)# service instance 2 ethernet
Router(config-if-srv)# encapsulation dot1q 40 second-dot1q 30
Router(config-if-srv)# rewrite ingress tag translate 2-to-2 dot1q 10 second dot1q 20 symmetric
Router(config-if-srv)# bridge-domain 200
 

選択的 QinQ 設定の例

次の例では VLAN の範囲が設定され、単一 MPB VC に接続されます。

Router# enable
Router# configure terminal
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 10-20
Router(config-if-srv)# bridge-domain 200
 
Router(config)# interface TenGigabitEthernet 2/1
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 10-20
Router(config-if-srv)# bridge-domain 200
 

タグなしトラフィックの設定例

次の例では、タグなしトラフィックがブリッジ ドメインにブリッジングされ、スイッチポート トランクに転送されます。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# no ip address
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation untagged
Router(config-if-srv)# bridge-domain 11
Router(config)# interface TenGigabitEthernet 1/1
Router(config-if)# switchport
Router(config-if)# switchport mode trunk
Router(config-if)# switchport trunk allowed vlan 11
 

スプリット ホライズンを含む MPBE の設定例

次の例では、トラフィックの発信元インターフェイスを除いて、不明ユニキャスト トラフィックがブリッジ ドメインでフラッディングします。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# no ip address
Router(config-if)# service instance 1000 ethernet
Router(config-if-srv)# encapsulation dot1q 100 second-dot1q 10-20
Router(config-if-srv)# bridge-domain 100 split-horizon
Router(config-if)# service instance 1001 ethernet
Router(config-if-srv)# encapsulation dot1q 101 second-dot1q 21-30
Router(config-if-srv)# bridge-domain 101 split-horizon
Router(config-if)# service instance 1010 ethernet
Router(config-if-srv)# encapsulation dot1q 100
Router(config-if-srv)# rewrite ingress tag symmetric translate 1-to-2 dot1q 10 second-dot1q 100 symmetric
Router(config-if-srv)# bridge-domain 10 split-horizon
Router(config-if)# mls qos trust dscp
 

次の例では、サービス インスタンスがイーサネット インターフェイスで設定され、ブリッジ ドメインで終端します。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 100 ethernet
Router(config-if-srv)# encapsulation dot1q 1000
Router(config-if-srv)# bridge-domain 10
 
Router(config)# interface GigabitEthernet 1/1
Router(config-if)# switchport
Router(config-if)# switchport mode trunk
Router(config-if)# switchport trunk allowed vlan 10
 

検証

動作を検証するには、次のコマンドを使用します。

 

コマンド
目的

Router# show ethernet service evc [id evc-id | interface interface-id] [detail]

EVC ID を指定した場合は、指定 EVC に関する情報が表示され、インターフェイスを指定した場合は、インターフェイスのすべての EVC に関する情報が表示されます。detail オプションを指定すると、EVC の詳細情報が表示されます。

Router# show ethernet service instance [id instance-id interface interface-id | interface interface-id] [detail]

1 つまたは複数のサービス インスタンスに関する情報が表示されます。サービス インスタンス ID およびインターフェイスを指定した場合は、特定サービス インスタンスに関するデータだけが表示されます。インターフェイス ID だけを指定した場合は、特定インターフェイスのすべてのサービス インスタンスのデータが表示されます。

Router# show ethernet service interface [interface-id] [detail]

Port Data Block(PDB)の情報が表示されます。

Router# show ethernet service instance summary

全体の EVC カウントおよび個々のインターフェイスの EVC カウントを表示します。

フレキシブル ユーザ ネットワーク インターフェイス(UNI)バックアップ インターフェイス

フレキシブル UNI バックアップ インターフェイス機能では、イーサネット インターフェイス用の冗長 User-to-Network Interface(UNI; ユーザ ネットワーク インターフェイス)接続を設定でき、デュアルホーム接続デバイスに冗長機能を提供します。

冗長 User Provider-Edge(U-PE; ユーザ プロバイダー エッジ)デバイスを通じて柔軟なサービスを提供するために、Network Provider-Edge(N-PE; ネットワーク プロバイダー エッジ)デバイス上に冗長(フレキシブル)UNI を設定することができます。N-PE の UNI は、プライマリおよびバックアップとして指定され、同じ設定になります。プライマリ インターフェイスに障害が発生した場合、サービスは自動的にバックアップ インターフェイスに移行されます。

図 4-2 では、Cisco 7600 シリーズ ルータをデュアルホーム接続の N-PE(NPE1)およびデュアルホーム接続の U-PE(UPE2)として設定したときのフレキシブル UNI の使用方法を示しています。

図 4-2 デュアル ホームのデバイスのバックアップ インターフェイス

 


) プライマリおよびバックアップ インターフェイスの設定は、同一である必要があります。


プライマリ インターフェイスは、バックアップの設定対象のインターフェイスです。動作時、プライマリ インターフェイスはアクティブで、バックアップ(セカンダリ)インターフェイスはスタンバイ モードになります。プライマリ インターフェイスが(信号の消失によって)ダウンすると、ルータはバックアップ インターフェイスの使用を開始します。

プライマリ インターフェイスがアクティブ(アップ)の間、バックアップ インターフェイスはスタンバイ モードになります。プライマリ インターフェイスがダウンすると、バックアップ インターフェイスがアップ ステートに移行し、ルータはプライマリ インターフェイスの代わりにバックアップ インターフェイスの使用を開始します。プライマリ インターフェイスがアップに戻ると、バックアップ インターフェイスはスタンバイ モードに戻ります。スタンバイ モードの間、バックアップ インターフェイスは実質的にダウンしていて、ルータはその状態をモニタせず、統計も収集しません。

この機能には、次のような利点があります。

次のイーサネット仮想回線(EVC)機能をサポートしています。

フレーム マッチング:サポートされているカプセル化(Dot1q、デフォルト、タグなし)が設定された EVC

フレーム再書き込み:すべてサポート(プッシュ、ポップ、および変換による入出力)

フレーム転送:MultiPoint Bridging over Ethernet(MPBE)、xconnect、connect

EVC の Quality Of Service(QoS)

レイヤ 3(L3)終端と L3 Virtual Routing and Forwarding(VRF)をサポート

複数のタイプのアップリンク:MultiProtocol Label Switching(MPLS)、Virtual Private LAN Service(VPLS)、スイッチポート

フレキシブル UNI バックアップ インターフェイス機能では、次のイーサネット コンポーネントを使用します。

イーサネット仮想回線(EVC):プロバイダー ネットワーク内でポイントツーポイントまたはポイントツーマルチポイント パスを示す 2 つ以上の UNI 間の関係。EVC の詳細については、「フレキシブル QinQ マッピングおよびサービス認識機能」を参照してください。

イーサネット フロー ポイント(EFP):インターフェイス上の EVC の論理境界ポイント。2 つ以上の UNI を使用する EVC は、EVC が通過する各デバイスに関連する入力インターフェイスおよび出力インターフェイスに EFP を必要とします。

制約事項および使用上のガイドライン

ルータでフレキシブル UNI バックアップ インターフェイスを設定する際は、次の制約事項および使用上のガイドラインに従ってください。

ハードウェアおよびソフトウェアのサポート

Cisco 7600 シリーズ ES+ ラインカードでサポート

Route Switch Processor 720、Supervisor Engine 720、Supervisor Engine 32 でサポート

Cisco IOS Release 12.2(33)SRD 以降が必要

プライマリおよびセカンダリ インターフェイスで同じ IP アドレスを使用することができます。これにより、インターフェイスで L3 終端(シングルまたはダブル タグ付き)がサポート可能になります。

プライマリおよびバックアップ インターフェイスの設定は、同一である必要があります。設定が同一でないとこの機能はうまく動作しませんが、ルータでは設定の一致はチェックされません。


) 設定に xconnect コマンドが含まれている場合、プライマリ インターフェイスとバックアップ インターフェイスに異なる VCID を指定する必要があります。


プライマリ インターフェイスおよびセカンダリ インターフェイスで必要な重複リソースは、ルータで利用可能な合計リソースから取得されるので、利用可能なリソースに影響を与えます。たとえば、 xconnect コマンドは、プライマリ インターフェイスおよびバックアップ インターフェイスでリソースを消費します。

プライマリ インターフェイスとバックアップ インターフェイスで設定された機能( bridge-domain xconnect connect コマンド など)は、インターフェイスのステートの移行に合わせてアップまたはダウンします。

プライマリ インターフェイスとバックアップ インターフェイス間の切り替え時間は、ベスト エフォート型です。バックアップ インターフェイスがスタンバイ モードからアクティブ モードに移行する時間は、リンク ステート検出時間と、EVC と機能がアップ ステートに移行する時間の合計によります。

プライマリ インターフェイスでの設定変更や管理動作は、自動的にバックアップ インターフェイスに反映されます。

ルータは、アクティブ インターフェイスの統計をモニタおよび収集しますが、バックアップ インターフェイスに対しては実行しません。通常動作では、プライマリ インターフェイスがアクティブですが、プライマリ インターフェイスがダウンするとバックアップ インターフェイスがアクティブになり、ルータはバックアップ インターフェイスのモニタリングと統計の収集を開始します。

プライマリ インターフェイスがアップに戻ると、バックアップ インターフェイスはすぐにスタンバイ モードに戻ります。信号がプライマリ インターフェイスで復元されると、インターフェイスはプライマリとして復元されます。

手順概要

1. enable

2. configure terminal

3. interface type slot/port

4. backup interface type interface


) プライマリ インターフェイスおよびバックアップ インターフェイスの設定を同一にしないと、機能はうまく動作しません。インターフェイスに EVC サービス インスタンスを設定するには、service instanceencapsulationrewritebridge-domain、および xconnect コマンドを使用します。詳細については、「Cisco 7600 シリーズ ES+ ラインカードでの MultiPoint Bridging over Ethernet の設定」および「Any Transport over MPLS(AToM)の設定」を参照してください。


5. (任意)backup delay enable-delay disable-delay

6. (任意)backup load enable-percent disable-percent

7. exit

8. (任意) connect primary interface srv-inst interface srv-inst

9. (任意) connect backup interface srv-inst interface srv-inst

10. (任意) connect primary interface srv-inst1 interface srv-inst2

11. (任意) connect backup interface srv-inst1 interface srv-inst2

12. exit

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

Router(config)# interface type slot/port



 

 

Router(config)# interface gigabitethernet 3/1

プライマリ インターフェイスを選択します。これは、バックアップ インターフェイスの作成対象のインターフェイスです。たとえば interface gigabitEthernet 3/1 は、スロット 3 に搭載されているギガビット イーサネット カードのポート 1 のインターフェイスを選択します。

type は、インターフェイス タイプを指定します。有効値は、 gigabitethernet または tengigabitethernet です。

slot/port は、インターフェイスの場所を指定します。

ステップ 4

Router(config-if)# backup interface type interface

 

Router(config)# backup interface gigabitethernet 4/1

バックアップ インターフェイスとして機能するインターフェイスを選択します。

ステップ 5

Router(config-if)# backup delay enable - delay disable-delay






 

Router(config-if)# backup delay 0 0

(任意)バックアップ インターフェイスをイネーブルまたはディセーブルにする時間遅延を(秒単位で)指定します。

enable-delay は、プライマリ インターフェイスがダウンしてバックアップ インターフェイスがアップになるまでの待機時間です。

disable-delay は、プライマリ インターフェイスがアップに戻って、バックアップ インターフェイスがスタンバイ(ダウン)ステートに戻るまでの時間です。

(注) フレキシブル UNI バックアップ インターフェイス機能のデフォルトの遅延期間(0 0)は変更しないでください。変更すると正しく動作しなくなる可能性があります。

ステップ 6

Router(config-if)# backup load enable-percent disable-percent

 

Router(config-if)# backup load 50 10

(任意)バックアップ インターフェイスがイネーブルまたはディセーブルになるときのプライマリ インターフェイスのトラフィック負荷のしきい値を(合計容量のパーセンテージとして)指定します。

enable-percent :プライマリ インターフェイスのトラフィック負荷がこの合計容量のパーセンテージを超過した場合にバックアップ インターフェイスをアクティブにします。

disable-percent :プライマリ インターフェイスとバックアップ インターフェイスの合計負荷がプライマリ インターフェイスのこのパーセンテージに戻った場合に、バックアップ インターフェイスを非アクティブにします。

10 MB の容量のあるプライマリ インターフェイスに例の設定を適用すると、プライマリ インターフェイスのトラフィック負荷が 5 MB(50%)を超過した場合にルータはバックアップ インターフェイスをアクティブにし、両方のインターフェイスの合計トラフィックが 1 MB(10%)を下回った場合にバックアップ インターフェイスをディセーブルにします。

ステップ 7

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 8

Router(config)# connect primary interface srv-inst interface srv-inst

 

Router(config-if)# connect primary gi3/2 gi3/3

(任意)2 つの異なるインターフェイス上の 1 つのサービス インスタンス( srv-inst )間にローカル接続を確立します。

connect primary コマンドはプライマリ インターフェイス間の接続を確立します。

ステップ 9

Router(config)# connect backup interface srv-inst interface srv-inst

 

Router(config-if)# connect backup gi4/2 gi4/2

ステップ 10

Router(config)# connect primary interface srv-inst1 interface srv-inst2

 

Router(config-if)# connect primary gi3/2 gi3/3

(任意)同一ポート上で別のサービス インタンス( srv-inst1 srv-inst2 )間でのローカル スイッチングをイネーブルにします。

connect primary コマンドを使用してプライマリ インターフェイスで接続を確立します。

ステップ 11

Router(config)# connect backup interface srv-inst1 interface srv-inst2

 

Router(config-if)# connect backup gi4/2 gi4/3

(任意)同一ポート上で別のサービス インタンス( srv-inst1 srv-inst2 )間でのローカル スイッチングをイネーブルにします。

connect backup コマンドを使用してバックアップ インターフェイスで接続を確立します。

ステップ 12

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

次に、設定例を示します。

gi3/1 がプライマリ インターフェイスで、gi4/1 がバックアップ インターフェイスです。

各インターフェイスでは 2 つのサービス インスタンス(2 と 4)をサポートしており、各サービス インスタンスは異なるタイプの転送( bridge-domain および xconnect )を使用しています。

サービス インスタンス 2 の xconnect コマンドは、各インターフェイスで異なる VCID を使用しています。

 
Router# enable
Router# configure terminal
Router(config)# interface gi3/1
Router(config-if)# backup interface gi4/1
Router(config-if)# service instance 4 ethernet
Router(config-if-srv)# encapsulation dot1q 4
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 4
Router(config-if-srv)# exit
Router(config-if)# service instance 2 ethernet
Router(config-if-srv)# encapsulation dot1q 2
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# xconnect 10.0.0.0 2 encap mpls
 
Router(config)# interface gi4/1
 
Router(config-if)# service instance 4 ethernet
Router(config-if-srv)# encapsulation dot1q 4
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 4
Router(config-if-srv)# exit
Router(config-if)# service instance 2 ethernet
Router(config-if-srv)# encapsulation dot1q 2
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# xconnect 10.0.0.0 5 encap mpls

検証

ここでは、ルータに設定されているプライマリ インターフェイスとバックアップ インターフェイスに関する情報を表示するコマンドを示します。次の例では、プライマリ インターフェイスが gi3/1 で、セカンダリ(バックアップ)インターフェイスが gi3/11 です。

バックアップ インターフェイスの一覧を表示するには、特権 EXEC モードで show backup コマンドを使用します。この出力例では、単一のバックアップ(セカンダリ)インターフェイスを示しています。

 
Router# show backup
Primary Interface Secondary Interface Status
----------------- ------------------- ------
GigabitEthernet 3/1 GigabitEthernet 3/11 normal operation
 
 

プライマリ インターフェイスやバックアップ インターフェイスに関する情報を表示するには、特権 EXEC モードで show interfaces コマンドを使用します。情報を表示するインターフェイスでコマンドを発行します。次の例では、プライマリ インターフェイス(gi3/1)とバックアップ インターフェイス(gi3/11)でコマンドを発行した場合の出力を示しています。

 
Router# show interface gi3/1
GigabitEthernet3/1 is up, line protocol is up (connected)
Hardware is GigEther SPA, address is 0005.dc57.8800 (bia 0005.dc57.8800)
Backup interface GigabitEthernet 3/11, failure delay 0 sec, secondary disable delay 0 sec, kickin load not set, kickout load not set
[...]
 
Router# show interface gi3/11
GigabitEthernet3/11 is standby mode, line protocol is down (disabled)
 

プライマリ インターフェイスがダウンした場合、次のコマンド出力のとおり、バックアップ(セカンダリ)インターフェイスはアップ ステートに移行します。このとき、 show backup および show interfaces コマンドを再び発行した場合、コマンド出力がどのように変化するかに注意してください。 show backup のステータスが変わり、gi3/1 のライン プロトコルはダウン(notconnect)に、gi3/11 のライン プロトコルがアップ(connected)になります。

 
Router# !!! Link gi3/1 (active) goes down...
22:11:11: %LINK-DFC3-3-UPDOWN: Interface GigabitEthernet3/1, changed state to down
22:11:12: %LINK-DFC3-3-UPDOWN: Interface GigabitEthernet3/11, changed state to up
22:11:12: %LINEPROTO-DFC3-5-UPDOWN: Line protocol on Interface GigabitEthernet3/1, changed state to down
22:11:13: %LINEPROTO-DFC3-5-UPDOWN: Line protocol on Interface GigabitEthernet3/11, changed state to up
 
Router# show backup
Primary Interface Secondary Interface Status
----------------- ------------------- ------
GigabitEthernet3/1 GigabitEthernet3/11 backup mode
 
Router# show interface gi3/1
GigabitEthernet3/1 is down, line protocol is down (notconnect)
Hardware is GigEther SPA, address is 0005.dc57.8800 (bia 0005.dc57.8800)
Backup interface GigabitEthernet3/11, failure delay 0 sec, secondary disable delay 0 sec,
 
Router# show interface gi3/11
GigabitEthernet3/11 is up, line protocol is up (connected)

4-3 は、フレキシブル UNI バックアップ インターフェイスの設定例を示しています。この設定には、次のように設定されている EVC(サービス インスタンス)が含まれています。

サービス インスタンス 4 が、ネットワーク プロバイダー エッジ NPE12 への VPLS アップリンクのあるブリッジ ドメインで終端されているプライマリおよびバックアップ インターフェイス(リンク)に設定されています。

サービス インスタンス 2 は、スケーラブル Ethernet over MPLS として設定されており、NPE12 の SVI VPLS とピアになっています。

図 4-3 フレキシブル UNI バックアップ インターフェイスの設定

 

NPE10 で次のように設定します。

interface ge2/4.4
description npe10 to npe11 gi3/11 - backup - bridged
encapsulation dot1q 4
ip address 100.4.1.33 255.255.255.0
 
interface ge2/4.2
description npe10 to npe11 gi3/11 - backup - xconnect
encapsulation dot1q 2
ip address 100.2.1.33 255.255.255.0
 

NPE14 で次のように設定します。

interface ge1/3.4
description npe14 to npe11 gi3/1 - primary - bridged
encapsulation dot1q 4
ip address 100.4.1.22 255.255.255.0
 
interface ge1/3.2
description npe14 to npe11 gi3/1 - primary - xconnect
encapsulation dot1q 2
ip address 100.2.1.22 255.255.255.0
 

ユーザ プロバイダー エッジ(U-PE)の 72a で次のように設定します。

interface fa1/0.4
description 72a to npe12 - bridged
encapsulation dot1q 4
ip address 100.4.1.12 255.255.255.0
 
interface fa1/0.2
description 72a to npe12 - xconnect
encapsulation dot1q 2
ip address 100.2.1.12 255.255.255.0
 

NPE11 で次のように設定します。

interface gigabitEthernet 3/1
backup interface gigabitEthernet 3/11
service instance 2 ethernet
encapsulation dot1q 2
rewrite ingress tag pop 1 symmetric
xconnect 12.0.0.1 2 encapsulation mpls
service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4
 
interface gigabitEthernet 3/11
service instance 2 ethernet
encapsulation dot1q 2
rewrite ingress tag pop 1 symmetric
xconnect 12.0.0.1 21 encapsulation mpls
service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4
 

NPE12 で次のように設定します。

interface GE-WAN 4/3
description npe11 to npe12
ip address 10.3.3.1 255.255.255.0
mpls ip
l2 vfi vlan4 manual
vpn id 4
neighbor 12.0.0.1 4 encapsulation mpls
interface Vlan 4
xconnect vfi vlan4
 
l2 vfi vlan4 manual
vpn id 4
neighbor 11.0.0.1 4 encap mpls
interface Vlan4
description npe12 to npe11 xconnect
xconnect vfi vlan4
l2 vfi vlan2 manual
vpn id 2
neighbor 11.0.0.1 2 encap mpls
neighbor 11.0.0.1 21 encap mpls
interface Vlan2
xconnect vfi vlan2
interface GE-WAN 9/4
description npe12 to npe11
ip address 10.3.3.2 255.255.255.0
mpls ip
 
interface fastEthernet 8/2
description npe12 to 72a
switchport
switchport trunk encap dot1q
switchport mode trunk
switchport trunk allowed vlan 2-4
 

プライマリ インターフェイスをイネーブルにしています。

NPE 11# show backup
Primary interface Secondary interface Status
--------------------------------------------
GigabitEthernet3/1GigabitEthernet3/11 normal operation
NPE-11#sh int gi3/1
GigabitEthernet3/1 is up, line protocol is up (connected)
Hardware is GigEther SPA, address is 0005.dc57.8800(bia 0005.dc57.8800)
Backup interface GigabitEthernet3/11, failure delay 0 sec, secondary disable delay 0 sec,kicking load not set, kickout load not set,
[...]
NPE-11# show interface gi3/11
GigabitEthernet 3/11 is standby mode, line protocol is down (disabled)
 

プライマリ リンクをディセーブルにします。

NPE 11#!!!Link gi3/1 (active) goes down
22:11:11: % LINK-DFC3-3-UPDOWN:Interface GigabitEthernet3/1, changed state to down
22:11:12: % LINK-DFC3-3-UPDOWN:Interface GigabitEthernet3/1, changed state to up
22:11:12: % LINKPROTO-DFC3-3-5-UPDOWN:Line protocol on Interface GigabitEthernet3/1, changed state to down
22:11:13: % LINKPROTO-DFC3-3-5-UPDOWN:Line protocol on Interface GigabitEthernet3/11, changed state to up
NP-11# show backup
Primary interface Secondary interface Status
--------------------------------------------
GigabitEthernet3/1GigabitEthernet3/11 backup mode
NP-11#sh int gi3/1
GigabitEthernet3/1 is down, line protocol is down (notconnect)
Hardware is GigEther SPA, address is 0005.dc57.8800(bia 0005.dc57.8800)
Backup interface GigabitEthernet3/11, failure delay 0 sec, secondary disable delay 0 sec
NPE-11#sh int gi3/11
GigabitEthernet 3/11 is up, line protocol is up (connected)
 

ポート チャネルの EVC

EtherChannel は、個々のイーサネット リンクを 1 つの論理リンクにバンドルすることによって、最大 8 つの物理リンクを合計した帯域幅を提供します。EVC EtherChannel 機能は、Ethernet Virtual Connection Services(EVCS)サービス インスタンスで EtherChannel をサポートします。

EtherChannel の詳細、およびレイヤ 2 またはレイヤ 3 LAN ポートでの EtherChannel の設定の詳細については、 http://www.cisco.com/univercd/cc/td/doc/product/core/cis7600/software/122sr/swcg/channel.htm の『 Configuring EtherChannels 』を参照してください。

EVC EtherChannel 機能は、MPBE、ローカル接続、および xconnect の各サービス タイプをサポートします。

イーサネット フロー ポイント(EFP)ごとにロード バランシングが実行されます。複数の EFP がメンバーリンクだけにトラフィックを通過させます。

制約事項および使用上のガイドライン

EVC EtherChannel を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

ポート チャネルのメンバーリンクはすべて、Cisco 7600-ES+ ラインカード上に配置されます。

ポート チャネル インターフェイスおよびメイン インターフェイスでは、ブリッジ ドメイン、xconnect、接続 EVC、スイッチポート、および IP サブインターフェイスが有効です。


) スイッチポートを備えたポートの場合、service instance ethernet コマンドを使用して、Operation, Administration, and Maintenance(OAM)要件をサポートするサービス インスタンスを作成できますが、これはデータ トラフィック用ではありません。


物理ポートをチャネル グループの一部として設定する場合は、その物理ポートに EVC を設定できません。

EVC ポート チャネルの一部である物理ポートに、スイッチポートを設定できません。

Link Aggregation Control Protocol(LACP)を使用したポート チャネル メンバシップの静的な設定はサポートされません。

入力マイクロフロー ポリシングはサポートされていませんが、ポート チャネルの EVC に QoS ポリシーを適用できます。EVC での QoS の設定の詳細については、「Quality Of Service(QoS)の設定」を参照してください。

フラット ポリシーマップまたは親 Hierarchical Quality of Service(HQoS)ポリシーマップでは、EVC ポート チャネルに bandwidth percent コマンドまたは police percent コマンドを使用できません。

手順概要

1. enable

2. configure terminal

3. interface port-channel number

4. [no] ip address

5. [no] service instance id {Ethernet [service-name]}

6. encapsulation {default|untagged|dot1q vlan-id [second-dot1q vlan-id]}

7. rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

8. [no] bridge-domain bridge-id または xconnect vfi vfi name

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface port-channel number

 

Router(config)# interface port-channel 11

ポート チャネル インターフェイスを作成します。

ステップ 4

[no] ip address

 

Router(config-if)# no ip address

IP アドレスとサブネット マスクを EtherChannel に割り当てます。

ステップ 5

[no] service instance id Ethernet [service-name}

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC をインスタンス化したもの)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 6

encapsulation {default|untagged|dot1q vlan-id [second-dot1q vlan-id]}

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 7

rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

 

Router(config-if-srv)# rewrite ingress tag push dot1q 20 symmetric

サービス インスタンスへのフレーム入力で実行されるタグ操作を指定します。

ステップ 8

[no] bridge-domain bridge-id

または

xconnect vfi vfi name

 

Router(config-if-srv)# bridge-domain 12

または

Router(config-if)# xconnect vfi vfi16

次の例では、スロット 1 および 2 からの 3 本のメンバーリンク候補を持つ、単一のポート チャネル インターフェイスを作成します。

Router# enable
Router# configure terminal
Router(config)# interface Port-channel5
Router(config-if)# no shutdown
Router(config-if)# no ip address
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 350
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 350

!

Router(config-if)# service instance 2 ethernet
Router(config-if-srv)# encapsulation dot1q 400
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 350
 
Router(config-if)# service instance 3 ethernet
Router(config-if-srv)# encapsulation dot1q 500
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 370

!

Router(config)# interface Port-channel5.1
Router(config-if-srv)# encapsulation dot1Q 500 second-dot1q 300
Router(config-if)# ip address 60.0.0.1 255.0.0.0

!

Router(config)# interface GigabitEthernet 1/1
Router(config-if)# channel-group 5 mode on
 
Router(config)# interface GigabitEthernet 1/1
Router(config-if)# channel-group 5 mode on
 
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# channel-group 5 mode on
 

次は、標準的な QoS の設定例です。

Router# enable
Router# configure terminal
Router(config)# interface port-channel10
Router(config-if)# no ip address
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 11
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if)# service-policy input x
Router(config-if)# service-policy output y
Router(config-if-srv)# bridge-domain 1500
 

検証

動作を検証するには、次のコマンドを使用します。

 

コマンド
目的

Router# show ethernet service evc [id evc-id | interface interface-id] [detail]

EVC ID を指定した場合は、指定 EVC に関する情報が表示され、インターフェイスを指定した場合は、インターフェイスのすべての EVC に関する情報が表示されます。detail オプションを指定すると、EVC の詳細情報が表示されます。

Router# show ethernet service instance [id instance-id interface interface-id | interface interface-id] [detail]

1 つまたは複数のサービス インスタンスに関する情報が表示されます。サービス インスタンス ID およびインターフェイスを指定した場合は、特定サービス インスタンスに関するデータだけが表示されます。インターフェイス ID だけを指定した場合は、特定インターフェイスのすべてのサービス インスタンスのデータが表示されます。

Router# show ethernet service interface [interface-id] [detail]

Port Data Block(PDB)の情報が表示されます。

Router# show mpls l2 vc detail

仮想接続(VC)に関する詳細情報が表示されます。

Router# show mpls forwarding

マルチプロトコル ラベル スイッチング(MPLS)ラベル転送情報ベース(LFIB)の内容が表示されます。

(注) 出力にはラベル エントリ l2ckt が含まれます。

Router# show etherchannel summary

すべての EtherChannel グループの状態およびポートを表示します。

Router# show policy-map interface service instance

特定のサービス インスタンスのポリシーマップ情報を表示します。

EVC ポート チャネルの LACP サポート

イーサネット リンク バンドルまたはポート チャネルは、最大 8 つの物理的なイーサネット リンクの集合体で、1 つの L2/L3 転送用の論理リンクを形成します。バンドルされたイーサネット ポートを使用すると、論理リンクのキャパシティが増加し、ハイ アベイラビリティおよび冗長性を得ることができます。EVC EtherChannel 機能は、Ethernet Virtual Connection Services(EVCS)サービス インスタンスで EtherChannel をサポートします。

EtherChannel の詳細、およびレイヤ 2 またはレイヤ 3 LAN ポートでの EtherChannel の設定の詳細については、 http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/guide/channel.html の『Configuring EtherChannels』を参照してください。

EVC EtherChannel 機能は、MPBE、ローカル接続、および xconnect の各サービス タイプをサポートします。IEEE 802.3ad/Link Aggregation Control Protocol(LACP)は、ポート チャネルのアソシエーションを提供します。EVC ポート チャネル LACP サポート機能は、バンドルされたイーサネット リンクを介したサービス インスタンスをサポートします。

Ethernet flow points(EFP)は、ポート チャネル下に設定されます。EFP によって送信されたトラフィックは、メンバーリンク全体で負荷分散されます。ポート チャネル下の EFP はグループ化され、各グループは、1 つのメンバーリンクに関連付けられます。1 つの EVC の入力トラフィックは、バンドルのどのメンバーにも着信できます。EFP のすべての出力トラフィックは、メンバーリンクを 1 つだけ使用します。ロード バランシングは、EFP をグループ化して 1 つのメンバーリンクに割り当てることで実行されます。

リンク バンドリング EVC のスケーラビリティは、シャーシあたり 8k です。ES+ ラインカードのポート チャネル EVC スケーラビリティは、物理インターフェイス下に設定された EVC と同じ要因に加え、追加パラメータとしてメンバーリンク数および Trident 全体に分散された状態によって決まります。EVC ポート チャネル QoS は、EVC QoS インフラストラクチャを利用します。

制約事項および使用上のガイドライン

EVC EtherChannel を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

ポート チャネルのメンバーリンクはすべて、Cisco 7600-ES+ ラインカード上に配置されます。

ポート チャネル インターフェイスでは、ブリッジ ドメイン、xconnect、接続 EVC、および IP サブインターフェイスだけが有効です。スイッチポートと EVC 設定は、同一のポート チャネル インターフェイスに適用できません。

物理ポートをチャネル グループの一部として設定する場合は、その物理ポートに EVC を設定できません。

EVC ポート チャネルの一部である物理ポートに、スイッチポートを設定できません。

ポート チャネル メンバシップは、次のフェーズで有効な LACP を使用して静的に設定されます。

入力マイクロフロー ポリシングはサポートされていませんが、ポート チャネルの EVC に QoS ポリシーを適用できます。EVC での QoS の設定の詳細については、「Quality Of Service(QoS)の設定」を参照してください。

フラット ポリシーマップまたは親 Hierarchical Quality of Service(HQoS)ポリシーマップでは、EVC ポート チャネルに bandwidth percent コマンドまたは police percent コマンドを使用できません。

手順概要

1. enable

2. configure terminal

3. interface port-channel

4. [no] ip address

5. service instance id Ethernet [service-name]

6. encapsulation dot1q vlan-id

7. rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

8. [no] bridge-domain bridge-id

9. channel-protocol {lacp | pagp}

10. channel-group channel-group-number mode {active | on | passive}


) channel-group コマンド オプション on/off は、ポート チャネルを EVC 経由で設定する場合に使用できます。また、オプション active/passive は、ポート チャネルを EVC 経由で LACP とあわせて設定する場合に使用できます。


詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface port-channel number

 

Router(config)# interface port-channel 12

ポート チャネル インターフェイスを作成します。

ステップ 4

[no] ip address

 

Router(config-if)# no ip address

IP アドレスとサブネット マスクを EtherChannel に割り当てます。

ステップ 5

[no] service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 6

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 7

rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

 

Router(config-if-srv)# rewrite ingress tag push dot1q 20 symmetric

サービス インスタンスへのフレーム入力で実行されるタグ操作を指定します。

ステップ 8

[no] bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 9

channel-protocol {lacp | pagp}

 

Router(config-if)# channel-protocol lacp

チャネリング管理インターフェイスで使用されるプロトコルを設定します。

ステップ 10

channel-group channel-group-number mode {active | on | passive}

 

Router(config-if)# channel-group 5 mode active

EtherChannel インターフェイスを EtherChannel グループに割り当てて設定します。

次の例では、スロット 1 および 2 からの 3 本のメンバーリンク候補を持つ、単一のポート チャネル インターフェイスを作成します。

Router# enable
Router# configure terminal
Router(config)# interface Port-channel5
Router(config-if)# no ip address
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 350
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 350
!
Router(config-if)# service instance 2 ethernet
Router(config-if-srv)# encapsulation dot1q 400
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 350
 
Router(config-if)# service instance 3 ethernet
Router(config-if-srv)# encapsulation dot1q 500
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# bridge-domain 370
!
Router# enable
Router# configure terminal
Router(config)# interface Port-channel5.1
Router(config-if-srv)# encapsulation dot1Q 500 second-dot1q 300
Router(config-if)# ip address 60.0.0.1 255.0.0.0
!
Router(config)# interface GigabitEthernet 1/1
Router(config-if)# channel-protocol lacp
Router(config-if)# channel-group 5 mode active
Router(config)# interface GigabitEthernet 1/3
Router(config-if)# channel-protocol lacp
Router(config-if)# channel-group 5 mode active
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# channel-protocol lacp
Router(config-if)# channel-group 5 mode active
 

次は、標準的な QoS の設定例です。

Router# enable
Router# configure terminal
Router(config)# interface port-channel10
Router(config-if)# no ip address
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 11
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if)# service-policy input x
Router(config-if)# service-policy output y
Router(config-if-srv)# bridge-domain 1500
 

次に、1 つのインターフェイスで設定された EVC ポート チャネル上の LACP の設定例を示します。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 1/1
Router(config-if)# channel-protocol lacp
Router(config-if)# channel-group 5 mode ?
Router(config-if)# channel-group 5 mode active
Router(config-if)# channel-group 5 mode passive

 

次に、ポート チャネルの設定例を示します。

Router# enable
Router# configure terminal
Router(config-if)# interface Port-channel102
Router(config-if)# mtu 9216
Router(config-if)# no ip address
Router(config-if)# lacp fast-switchover
Router(config-if)# lacp max-bundle 1
Router(config-if)# service instance 50 ethernet
Router(config-if)# encapsulation dot1q 50
Router(config-if)# rewrite ingress tag pop 1 symmetric
Router(config-if)# service-policy output lacp-parent
Router(config-if)# bridge-domain 50

 

次に、メンバーリンクの設定例を示します。

Router# enable
Router# configure terminal
Router(config-if)# interface GigabitEthernet 3/12
Router(config-if)# mtu 9216
Router(config-if)# no ip address
Router(config-if)# lacp rate fast
Router(config-if)# channel-protocol lacp
Router(config-if)# channel-group 102 mode active
 

検証

動作を検証するには、次のコマンドを使用します。

 

コマンド
目的

EVC 設定を検証するには、次のコマンドを使用します。

Router# show ethernet service evc [id evc-id | interface interface-id] [detail]

EVC ID を指定した場合は、指定 EVC に関する情報が表示され、インターフェイスを指定した場合は、インターフェイスのすべての EVC に関する情報が表示されます。detail オプションを指定すると、EVC の詳細情報が表示されます。

Router# show ethernet service instance [id instance-id interface interface-id | interface interface-id] [detail]

1 つまたは複数のサービス インスタンスに関する情報が表示されます。サービス インスタンス ID およびインターフェイスを指定した場合は、特定サービス インスタンスに関するデータだけが表示されます。インターフェイス ID だけを指定した場合は、特定インターフェイスのすべてのサービス インスタンスのデータが表示されます。

Router# show ethernet service interface [interface-id] [detail]

Port Data Block(PDB)の情報が表示されます。

LACP over EVC を検証するには、次のコマンドを使用します。

Router# show etherchannel 15 port-channel

ポート チャネル 15 の詳細を表示します。このコマンドは EVC ポート チャネル、スイッチポート チャネル、レイヤ 3 ポート チャネルで共通です。CLI は Route Processor(RP; ルート プロセッサ)で実行されます。

 

EVC の オプション 82 による Dynamic Host Configuration Protocol(DHCP)スヌーピング

DHCP スヌーピングは、トラフィックの送信元が信頼できるかどうかを判別します。信頼できない送信元であれば、トラフィック攻撃などの敵意のある行動を仕掛ける可能性があります。そのような攻撃を防ぐために、DHCP スヌーピングは信頼できない送信元からのメッセージ トラフィックをフィルタリングします。

それには、DHCP メッセージを傍受して抽出した情報で、DHCP スヌーピング データベースを動的に構築して保持します。信頼できないホストが属している VLANで DHCP スヌーピングがイネーブルにされている場合には、各ホストとリースされた IP アドレスのエントリがデータベースに登録されます。信頼できるインターフェイスで接続されたホストのエントリは、データベースに登録されません。

DHCP スヌーピング データベースの各エントリには、ホストの MAC アドレス、リースされた IP アドレス、リース期間、バインディング タイプ、ホストに関連付けられた VLAN の番号およびインターフェイス情報が含まれます。

また、オプション 82 DHCP スヌーピング機能は、多数の加入者の IP アドレス割り当てを一元管理できます。オプション 82 DHCP スヌーピング機能をルータでイネーブルにすると、加入者のデバイスは、ネットワークに接続するルータ ポート(および MAC アドレス)で識別されます。加入者 LAN 上の複数のホストは、アクセス ルータの同一ポートに接続でき、一意に識別されます。

ただし、EVC には追加情報が必要です。インターフェイス上の各 EVC が単一の VPN にマッピングされた場合、内部の VLAN を使用して、応答パケットのパスを識別できます。ただし、異なるカプセル化を設定した複数の EVC を同じ VPN にマッピングできるため、実際の EVC カプセル化を使用してこれを区別する必要があります。

EVC オプション 82 DHCP スヌーピング機能では、EVC 対応インターフェイスに必要な追加情報が得られます。この情報は、オプション 82 に挿入され、他のサービスで取得できるようにバインディング テーブルに保存されます。

ip dhcp relay information option subscriber-id コマンドを使用すると、DHCP パケットをサーバにリレーするときに、オプション 82 フィールドに挿入する EVC の加入者ストリングを他の情報とともに設定できます。サーバはオプション 82 情報を解析し、加入者ストリングを照合したうえでそれに応じた処理を行います。EVC に設定された加入者ストリングは、バインディング テーブルに保存されません。オプション 82 フィールドに挿入して、DHCP パケットをサーバに送信する場合に使用されるだけです。

Cisco 7600 ルータの DHCP スヌーピングおよびオプション 82 の詳細については、 http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/snoodhcp.html の『Configuring DHCP Snooping』を参照してください。

制約事項および使用上のガイドライン

オプション 82 の DHCP スヌーピングを設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

DHCP スヌーピングは、設定して実行します。

複数のカプセル化を含む EVC はサポートされません。

同じインターフェイスとブリッジ ドメインでは、次の EVC がサポートされます。

dot1q カプセル化

q-in-q カプセル化

タグなしカプセル化

各ポートでサポートされる EVC の数は 4k です。

各ルータでサポートされる EVC の数は 32k です。

同じブリッジ ドメインまたは異なるブリッジ ドメインを持つ複数の EVC が同一のポートでサポートされます。

同じブリッジ ドメインまたは異なるブリッジ ドメインを持つ複数の EVC が異なるポートでサポートされます。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. [no] ip address

5. negotiation { forced | auto }

6. service instance id Ethernet [service-name]

7. encapsulation dot1q vlan-id

8. rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

9. ip dhcp relay information option subscriber-id value

10. [no] bridge-domain bridge-id

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

no ip address

 

Router# Router(config-if)# no ip address

IP アドレスを削除するか、IP 処理をディセーブルにします。

ステップ 5

negotiation {forced | auto}

 

Router(config-if)# negotiation auto

ギガビット イーサネット インターフェイス上で速度、デュプレックス モード、およびフロー制御のアドバタイズをイネーブルにします。

ステップ 6

[no] service instance id Ethernet [service-name}

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC をインスタンス化したもの)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 7

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 8

rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

 

Router(config-if-srv)# rewrite ingress tag push dot1q 20 symmetric

サービス インスタンスへのフレーム入力で実行されるタグ操作を指定します。

ステップ 9

ip dhcp relay information option subscriber-id value

 
Router(config)# ip dhcp relay information option subscriber-id 123

DHCP パケットの送信元インターフェイスを一意に識別する加入者ストリングを設定します。

ステップ 10

[no] bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

次の例は、リレー エージェントおよびサーバでの一般的な設定を示しています。次はリレー エージェント上の設定です。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet8/1
Router(config-if)# no ip address
Router(config-if)# negotiation auto
Router(config-if)# service instance 2 ethernet
Router(config-if-srv)# encapsulation dot1q 2
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
ip dhcp relay information option subscriber-id 11
Router(config-if-srv)# bridge-domain 100
 
Router(config)# interface Vlan100
Router(config-if)# ip address 10.0.0.1 255.255.255.0
Router(config-if)# ip helper-address global 20.0.0.2
Router(config-if)# ip helper-address 20.0.0.2
 
 
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# ip dhcp snooping packets
Router(config-if)# ip address 20.0.0.1 255.255.255.0
Router(config-if)# negotiation auto
!

次はサーバ上の設定例です。

:
Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 1/1
Router(config-if)# ip address 20.0.0.2 255.255.255.0
Router(config-if)# negotiation auto
Router(config-if)# end
 
Router(config)# ip dhcp pool pool1
Router(dhcp-config)# network 10.0.0.0 255.255.0.0
lease 2
Router(dhcp-config)# update arp
class C1
address range 10.0.0.2 10.0.0.10
class C2
address range 10.0.0.11 10.0.0.20
!
Router(config)# ip dhcp pool pool2
Router(config)# network 11.0.0.0 255.255.0.0 lease 2
!
Router(config)# ip dhcp pool pool3
vrf vrf1
Router(config)# network 10.0.0.0 255.255.255.0 lease 0 0 2
!
!
ip dhcp class C1 <-----------Class C1 maps to the subcriber-id string aabb11.
relay agent information
relay-information hex 00000000000000000000000000000006616162623131 mask fffffffffffffffffffffffffffffff0000000000000
!
ip dhcp class C2
relay agent information
relay-information hex 00000000000000000000000000000006313162626161 mask fffffffffffffffffffffffffffffff0000000000000
 
******************************************************************************************
 

検証

動作を検証するには、次のコマンドを使用します。

 

コマンド
目的

Router# show ip dhcp snooping

DHCP スヌーピングをイネーブルにしたすべての VLAN(プライマリおよびセカンダリ)を表示します。

Router# show ip dhcp snooping binding

DHCP スヌーピング データベースを確認します。

サービス インスタンスの IP ソース ガード

IP ソース ガードは、送信元の IP アドレスをレイヤ 2 ポートでフィルタリングし、悪意のあるホストが正規のホストの IP アドレスを装うことによる正規のホストへのなりすましを防ぎます。IP ソース ガード機能は、動的な DHCP スヌーピングおよび静的な IP ソース バインディングを使用し、信頼できないレイヤ 2 アクセス ポートのホストの IP アドレスを照合します。

まず、サービス インスタンスのすべての IP トラフィックは、DHCP スヌーピングでキャプチャされる DHCP パケットを除いて遮断されます。クライアントが DHCP サーバから IP アドレスを受信した後、または管理者が IP ソース バインディングを設定した後、サービス インスタンス IP ソース ガード機能によりそのトラフィックを許可する Access Control List (ACL; アクセス コントロール リスト)が自動的に作成されます。そのため、他のホストからのトラフィックは拒否されます。このフィルタリングは、隣接ホストの IP アドレスを要求することによって、ホストのネットワーク攻撃を制限します。

制約事項および使用上のガイドライン

サービス インスタンスの IP ソース ガードを設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

他の Ternary Content Addressable Memory(TCAM; Ternary CAM)機能と同様に、IP ソース ガードの中で設定できる ACL および Access Control Entry(ACE; アクセス コントロール エントリ)の数は、ラインカードのハードウェア リソースによって制限されます。使用可能な TCAM リソースは、ラインカードに設定されたさまざまな機能で共有されます。

IP ソース ガード機能は、送信元ホストの IP および MAC 情報を確認するものです。入力トラフィックだけがフィルタリングされ、出力方向には適用されません。

IP ソース ガードは、ソフトウェア転送パケットには有効ではありません。IP ソース ガードの TCAM が回復不能な例外に陥った場合、IP フィルタリングは無効になり、パケットが許可されます。

IP ソース ガード機能は、サブインターフェイスではサポートされません。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. [no] ip address

5. service instance id Ethernet [service-name]

6. encapsulation dot1q vlan-id

7. rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric


) DHCP パケットかどうかをルータで判別するためには、すべてのタグを pop する必要があります。push および translate はサービス インタンス IP ソース ガード機能でサポートされません。


8. ip verify source vlan dhcp-snooping [port-security]

9. [no] bridge-domain bridge-id

10. exit

11. end )

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

[no] ip address

 

Router(config-if)# no ip address

IP アドレスを削除するか、IP 処理をディセーブルにします。

ステップ 5

[no] service instance id Ethernet [service-name}

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC をインスタンス化したもの)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 6

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 7

rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

 

Router(config-if-srv)# rewrite ingress tag pop 1 symmetric

サービス インスタンスへのフレーム入力で実行されるタグ操作を指定します。

(注) DHCP パケットかどうかをルータで判別するためには、すべてのタグを pop する必要があります。push および translate はサービス インタンス IP ソース ガード機能でサポートされません。

ステップ 8

ip verify source vlan dhcp-snooping [port-security]

 
Router(config-if-srv)# ip verify source vlan dhcp-snooping

IP ソース ガードの各状態をイネーブルにします。次のコマンド オプションがあります。

vlan dhcp-snooping は、IP モードをイネーブルにし、インターフェイスの特定の VLAN だけに機能を適用します。dhcp-snooping オプションは、DHCP スヌーピングをイネーブルにしているインターフェイスのすべての VLAN に機能を適用します。

port-security は、IP/MAC モードをイネーブルにし、IP および MAC フィルタリングを適用します。

ステップ 9

[no] bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 10

exit

 
Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 11

end

 
Router(config)# end
 

コンフィギュレーション モードを終了します。

次は、EVC シングル タグ(Dot1q)設定の例です。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet7/1
Router(config-if)# no ip address
Router(config-if)# service instance 71 ethernet
Router(config-if-srv)# encapsulation dot1q 71
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# ip verify source vlan dhcp-snooping
Router(config-if-srv)# bridge-domain 10
 

次は、EVC ダブル タグ(QinQ)設定の例です。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet7/1
Router(config-if)# no ip address
Router(config-if)# service instance 71 ethernet
Router(config-if-srv)# encapsulation dot1q 71 second-dot1q 100
Router(config-if-srv)# rewrite ingress tag pop 1 symmetric
Router(config-if-srv)# ip verify source vlan dhcp-snooping
Router(config-if-srv)# bridge-domain 10
 

次は、EVC タグなし設定の例です。

Router# enable
Router# configure terminal
interface GigabitEthernet7/1
no ip address
service instance 71 ethernet
encapsulation untagged
ip verify source vlan dhcp-snooping
bridge-domain 10
 

次は、EVC デフォルト設定の例です。

Router# enable
Router# configure terminal
interface GigabitEthernet7/1
no ip address
service instance 71 ethernet
encapsulation default
ip verify source vlan dhcp-snooping
bridge-domain 10
 

検証

設定を検証するには、show ip verify source interface を使用します。

router# show ip verify source interface gi5/1 efp_id 10
Interface Filter-type Filter-mode IP-address Mac-address Vlan EFP ID
--------- ----------- ----------- --------------- ----------------- ---------- ----------
Gi5/1 ip-mac active 123.1.1.1 00:0A:00:0A:00:0A 100 10
 
router# show ip verify source interface gi5/1
Interface Filter-type Filter-mode IP-address Mac-address Vlan EFP ID
--------- ----------- ----------- --------------- ----------------- ---------- ----------
Gi5/1 ip-mac active 123.1.1.1 00:0A:00:0A:00:0A 100 10
Gi5/1 ip-mac active 123.1.1.2 00:0A:00:0A:00:0B 100 20
Gi5/1 ip-mac active 123.1.1.3 00:0A:00:0A:00:0C 100 30
 

EVC ブリッジ ドメインの Multiple Spanning Tree(MST)の設定(8517-1)

EVC ブリッジ ドメイン MST 機能は、EVC インターフェイスで Multiple Spanning Tree(MST)をイネーブルにします。これは、Cisco IOS Release 12.2(33)SRC でリリースされた QinQ および MPLS アクセス機能に対して、Hierarchical Virtual Private LAN Service(H-VPLS)N-PE 冗長性を補足するものです。この機能の詳細については、 http://www.cisco.com/en/US/docs/ios/mpls/configuration/guide/mp_hvpls_npe_red.html を参照してください。

ここでは、EVC ブリッジ ドメイン MST の設定方法について説明します。具体的な内容は次のとおりです。

「MST およびスパニング ツリー プロトコル(STP)の概要」

「EVC ブリッジ ドメインの MST の概要」

「制約事項および使用上のガイドライン」

「例」

MST およびスパニング ツリー プロトコル(STP)の概要

Spanning Tree Protocol(STP; スパニング ツリー プロトコル)は、ネットワーク内の予想できないループを防止すると同時にパスの冗長性を確保するレイヤ 2 リンク管理プロトコルです。正常に動作するレイヤ 2 イーサネット ネットワークでは、任意の 2 つの端末間にはアクティブなパスが 1 つしか存在しません。STP 動作は端末に対して透過的なため、端末が単一の LAN セグメントに接続しているか、複数のセグメントのスイッチングされた LAN に接続しているかを検出できません。

Cisco 7600 シリーズ ルータは、すべての VLAN で STP(IEEE 802.1D ブリッジ プロトコル)を使用します。デフォルトでは、設定された各 VLAN で STP の単一インスタンスが動作します(STP を手動でディセーブルにしない場合)。STP は、VLAN 単位でイネーブルおよびディセーブルにできます。

Multiple Spanning Tree(MST)は、複数の VLAN を 1 つのスパニング ツリー インスタンスにマッピングします。各インスタンスは、他のスパニング ツリー インスタンスから独立したスパニング ツリー トポロジを持ちます。このアーキテクチャにより、データ トラフィックに複数の転送パスが備わり、ロード バランシングが可能になります。また、大規模な VLAN のサポートに必要となるスパニング ツリー インスタンスの数を削減できます。MST は、1 つのインスタンス(転送パス)の障害が他のインスタンス(転送パス)に影響しないため、ネットワークの耐障害性が向上します。

MST インスタンスに加えるルータは、同じ MST 設定情報を使用して、設定を統一する必要があります。MST 領域は、同じ MST 設定を持つ相互接続されたルータの一群で構成されます。同一の MST 領域内に複数のルータがある場合、それらのルータの VLAN/インスタンス マッピング、設定リビジョン番号、および MST 名は同じになります。

MST 設定により、各ルータが属する MST 領域が決まります。設定には、領域の名前、リビジョン番号、および MST の VLAN/インスタンス割り当てマップが定められています。

同じ MST 設定のメンバーが領域に 1 つまたは複数含まれる可能性があります。各メンバーは、Rapid Spanning Tree Protocol(RSTP; 高速スパニング ツリー プロトコル)ブリッジ プロトコル データ ユニット(BPDU)を処理できる必要があります。ネットワーク内の MST 領域の数に制限はありませんが、各領域でサポートできるスパニング ツリー インスタンスは、最大 65 です。インスタンスは、0 ~ 4094 の番号で識別されます。1 つの VLAN は、一度に 1 つのスパニング ツリー インスタンスだけに割り当てることができます。

Cisco 7600 シリーズ ルータの STP および MST の詳細については、 http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/spantree.html#wp1101938 の『Configuring STP and MST』を参照してください。

EVC ブリッジ ドメインの MST の概要

EVC ブリッジ ドメイン MST 機能は、サービス インスタンス/MST インスタンス マッピングに VLAN ID を使用します。EVC サービス インスタンスが他の MST インスタンスと同じ VLAN ID(QinQ の場合は外部 VLAN ID)を持つ ならば、その MST インスタンスにマッピングされます。

EVC サービス インスタンスは、シングル タグおよびダブル タグでカプセル化を設定できます。ダブル タグ カプセル化の場合、MST インスタンス マッピングには外部 VLAN ID が使用され、内部 VLAN ID は無視されます。

MST インスタンスとのマッピングには、EVC ごとに 1 つの VLAN が必要です。次に示す VLAN ID を持たないサービス インスタンスや複数の外部 VLAN ID を持つサービス インスタンスはサポートされません。

タグなし(encapsulation untagged)

プライオリティ タグ付き(encapsulation priority-tagged)

デフォルト(encapsulation default)

複数の外部 タグ(encapsulation dot1q 200-400 second-dot1q 300)

制約事項および使用上のガイドライン

EVC ブリッジ ドメインに MST を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

EFP が設定されたメイン インターフェイスを起動し、選択したスパニング ツリー モードとして Multiple Spanning Tree Protocol(MSTP)で実行する必要があります(Per VLAN Spanning Tree(PVST; VLAN単位スパニング ツリー)および Rapid-PVST はサポートされません)。

SPT PortFast 機能は EFP でサポートされません。

VPORT(物理ポートの特定の VLAN を表す)で実行される処理は、ブリッジ ドメインやその他のサービスに影響を与えます。

この機能は、PVST だけをサポートする、Frame Relay(FR; フレームリレー)/ATM のイーサネット ブリッジングと共存できません。

64 の MST および 1 つの Common and Internal Spanning Tree(CIST)をサポートします。

1 つの MST 領域をサポートします。

32k EFP まで拡張できます。

EVC ポート チャネルをサポートしません。

カプセル化に VLAN ID が含まれていない EVC サービス インスタンスはサポートされません。

明確な外部 VLAN タグを持つ EFP(つまり、範囲指定なし、外部 VLAN リスト、デフォルト以外、タグ付き)をサポートします。

Cisco 7600 シリーズ ES+ ラインカードだけをサポートします。

dot1q カプセル化を削除すると、MST から EVC ポートが削除されます。

同一ポート内の複数のサービス インスタンスを同じ外部 VLAN で設定した場合、同じ外部 VLAN を持つすべてのサービス インスタンスに処理の影響が及びます。

同じインターフェイス内の異なる EVC サービス インスタンスでは、同じ外部 VLAN を設定できません。

VLAN(EVC の外部カプセル化 VLAN)マッピングを別の MST インスタンスに変更すると、EVC ポートは新しい MST インスタンスに移動します。

EFP の外部カプセル化を変更すると、対応する MST インスタンスが変わります(外部 VLAN の変更により EFP がマッピングされていた MST インスタンスが変わります)。

EVC サービス インスタンスを MST 1 で定義されていない VLAN に変更すると、EVC ポートは MST 0 にマッピングされます。

EVC ポートのピア ルータでも MST を実行する必要があります。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id Ethernet [service-name]

5. encapsulation dot1q vlan-id

6. [no] bridge-domain bridge-id

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

[no] service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

[no] bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

次の例では、2 つのインターフェイスを MST インスタンス 0(デフォルトのインスタンス)に加えます。このインスタンスにすべての VLAN がマッピングされます。

Router# enable
Router# configure terminal
Router(config)# interface g4/1
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 2
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# interface g4/3
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encapsulation dot1q 2
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# end
 

検証

次のコマンドを実行して検証します。

Router# show spanning-tree vlan 2
 
MST0
Spanning tree enabled protocol mstp
Root ID Priority 32768
Address 0009.e91a.bc40
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Bridge ID Priority 32768 (priority 32768 sys-id-ext 0)
Address 0009.e91a.bc40
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi4/1 Desg FWD 20000 128.1537 P2p
Gi4/3 Back BLK 20000 128.1540 P2p
 

 

次の例では、インターフェイス gi4/1 とインターフェイス gi4/3 がバックツーバックで接続されています。それぞれにサービス インスタンス(EFP)が結合されています。両方のインターフェイスの EFP にカプセル化 VLAN ID 2 を設定しています。インターフェイス gi4/1 にある EFP のカプセル化 ディレクティブで VLAN ID を 2 から 8 に変更すると、前の VLAN がマッピングされている MST インスタンスで動作中の MSTP が停止し、新しい VLAN がマッピングされる MST インスタンスで MSTP が起動します。

Router(config-if)# interface g4/1
Router(config-if)# service instance 1 ethernet
Router(config-if-srv)# encap dot1q 8
Router(config-if-srv)# end
 

次のコマンドを実行して検証します。

Router# show spanning-tree vlan 2
 
MST1
Spanning tree enabled protocol mstp
Root ID Priority 32769
Address 0009.e91a.bc40
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 0009.e91a.bc40
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi4/3 Desg FWD 20000 128.1540 P2p
 
Router# show spanning-tree vlan 8
 
MST2
Spanning tree enabled protocol mstp
Root ID Priority 32770
Address 0009.e91a.bc40
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)
Address 0009.e91a.bc40
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi4/1 Desg FWD 20000 128.1537 P2p
 

次の例では、外部 カプセル化 VLAN ID が 2、ブリッジ ドメインが 100 の EFP を持つインターフェイス gi4/3 が新しいサービスを受けます。

Router# enable
Router# configure terminal
Router(config)# interface g4/3
Router((config-if)# service instance 2 ethernet
Router((config-if-srv)# encap dot1q 2 second-dot1q 100
Router((config-if-srv)# bridge-domain 200
 

2 つの EFP がインターフェイス gi4/3 に設定されることになり、両方の EFP は同じ外部 VLAN 2 を持ちます。

interface GigabitEthernet4/3
no ip address
service instance 1 ethernet
encapsulation dot1q 2
bridge-domain 100
!
service instance 2 ethernet
encapsulation dot1q 2 second-dot1q 100
bridge-domain 200
 

前の設定によりインターフェイスの MSTP 動作が変わることはありません。つまり、インターフェイス gi4/3 が属する MST インスタンスでは、インターフェイスの状態変化はありません。

Router# show spanning-tree mst 1
 
##### MST1 vlans mapped: 2
Bridge address 0009.e91a.bc40 priority 32769 (32768 sysid 1)
Root this switch for MST1
 
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi4/3 Desg FWD 20000 128.1540 P2p

 

EVC ブリッジドメインの MAC アドレス セキュリティ

Cisco 7600 シリーズ ルータは、現在ポート単位でポート セキュリティをサポートしています。詳細については、 http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/port_sec.html の『Configuring Port Security』を参照してください。

EVC ブリッジ ドメイン メディア アクセス制御(MAC)アドレス セキュリティ機能は、MAC アドレス学習動作の制御およびフィルタリングを EFP 単位まで詳細に実施し、EVC のポート セキュリティに対応します。たとえば、違反によりシャットダウンが必要な場合、影響を受けるのは、ポートを使用するすべてのカスタマーではなく、特定の EFP に割り当てられたカスタマーだけになります。

EVC ブリッジ ドメインのポート セキュリティおよび MAC アドレス セキュリティ機能は、相互に独立して動作します。MAC セキュリティから見ると、ポートのセキュリティは安全ではありません。ポート セキュリティから見ると、EFP のセキュリティは安全ではありません。

ここで説明する内容は、次のとおりです。

「制約事項および使用上のガイドライン」

「EVC ブリッジ ドメインの MAC アドレス セキュリティのイネーブル化」

「EVC ブリッジ ドメインの MAC アドレス セキュリティのイネーブル化」

「EFP の EVC ブリッジ ドメイン MAC アドレス セキュリティのディセーブル化」

「EFP の MAC アドレス ホワイトリストの設定」

「EFP のスティッキ MAC アドレスの設定」

「EFP の セキュア MAC アドレス エージングの設定」

「EFP の MAC アドレス 制限の設定」

「ブリッジ ドメインの MAC アドレス制限の設定」

「EFP の 違反応答の設定」

制約事項および使用上のガイドライン

EVC ブリッジ ドメインの MAC アドレス セキュリティを設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

設定されたホワイトリストおよび学習された MAC アドレスの総数は、システム全体で次の制限が適用されます。

MAC セキュリティでサポートされる MAC アドレスの総数は、32K に制限されています。

MAC セキュリティでサポートされる MAC アドレスの総数は、ブリッジ ドメインごとに 10K に制限されています。

MAC セキュリティでサポートされる MAC アドレスの総数は、EFP ごとに 1K に制限されています。

MAC セキュリティを EFP でイネーブルにするかどうかに関係なく、各種の MAC セキュリティ要素を設定または削除できます。ただし、これらの設定は、MAC セキュリティをイネーブルにしないと、動作可能な状態になりません。

EVC ブリッジ ドメイン MAC アドレス セキュリティ機能をイネーブルにすると、EFP の既存の MAC アドレス テーブル エントリが削除されます。

EVC ブリッジ ドメイン MAC アドレス セキュリティ機能をディセーブルにすると、EFP の既存の MAC アドレス テーブル エントリが削除されます。

EVC ブリッジ ドメイン MAC アドレス セキュリティ機能は、EFP がブリッジ ドメインのメンバーである場合に限り、EFP に設定できます。

EVC ブリッジ ドメインの MAC アドレス セキュリティのイネーブル化

ここでは、EVC ブリッジ ドメインの MAC アドレス セキュリティをイネーブルにする方法について説明します。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id Ethernet [service-name]

5. encapsulation dot1q vlan-id

6. bridge-domain bridge-id

7. mac security

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 7

mac security

 

Router(config-if-srv)# mac security

MAC セキュリティを EFP でイネーブルにします。

次の例は、EVC ブリッジ ドメインの MAC アドレス セキュリティをイネーブルにする方法を示しています。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-srv)# encapsulation dot1q 20
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security
 

EFP の EVC ブリッジ ドメイン MAC アドレス セキュリティのディセーブル化

ここでは、EVC ブリッジ ドメインの MAC アドレス セキュリティをディセーブルにする方法について説明します。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id Ethernet [service-name]

5. no mac security

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

no mac security

 

Router(config-if-srv)# no mac security

MAC セキュリティを EFP でディセーブルにします。

次の例は、EVC ブリッジ ドメインの MAC アドレス セキュリティをディセーブルにする方法を示しています。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# no mac security

EFP の MAC アドレス ホワイトリストの設定

ここでは、ブリッジ ドメインのメンバーである EFP のホワイトリストに登録する MAC アドレスの設定方法について説明します。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id Ethernet [service-name]

5. encapsulation dot1q vlan-id

6. bridge-domain bridge-id

7. mac security address permit mac address

8. mac security

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 7

mac security address permit mac address

 

Router(config-if-srv)# mac security address permit 0000.1111.2222

指定した MAC アドレスを EFP のホワイトリスト(「許可」)MAC アドレスとして追加します。

ステップ 8

mac security

 

Router(config-if-srv)# mac security

MAC セキュリティを EFP でイネーブルにします。

次の例は、ブリッジ ドメイン のメンバーである EFP のホワイトリストに登録する MAC アドレスの設定方法を示しています。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-srv)# encapsulation dot1q 20
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security address permit 0000.1111.2222
Router(config-if-srv)# mac security

EFP のスティッキ MAC アドレスの設定

MAC セキュリティ スティッキを設定した後に EFP で動的に学習される MAC アドレスは、リンクダウン状態時に保持されます。ここでは、スティッキ MAC アドレスを EFP に設定する方法について説明します。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id Ethernet [service-name]

5. encapsulation dot1q vlan-id

6. bridge-domain bridge-id

7. mac security sticky

8. mac security

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 7

mac security sticky

 

Router(config-if-srv)# mac security sticky

スティッキ動作を EFP でイネーブルにします。

ステップ 8

mac security

 

Router(config-if-srv)# mac security

MAC セキュリティを EFP でイネーブルにします。

次の例では、スティッキ MAC アドレスを EFP に設定します。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 20
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security sticky
Router(config-if-srv)# mac security
 

EFP の セキュア MAC アドレス エージングの設定

ここでは、MAC セキュリティでセキュア MAC アドレスのエージングを設定する方法について示します。セキュア MAC アドレスは、システムの MAC テーブル エントリによる通常のエージングの影響は受けません。エージングを設定しない場合、セキュア MAC アドレスはエージング アウトしません。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id Ethernet [service-name]

5. encapsulation dot1q vlan-id

6. bridge-domain bridge-id

7. mac security aging time m [inactivity]

8. mac security

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 7

mac security aging time m [inactivity]

 

Router(config-if-srv)# mac security aging time 200

セキュア アドレスのエージング タイムを m 分に設定します。オプションの inactivity キーワードは、(絶対エージングとは異なり)送信ホストの非アクティビティに基づいてアドレスをエージング アウトするように指定します。

ステップ 8

mac security

 

Router(config-if-srv)# mac security

MAC セキュリティを EFP でイネーブルにします。

次の例は、セキュア アドレスのエージング タイムを 10 分に設定する方法を示しています。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 20
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security aging time 10
Router(config-if-srv)# mac security
 

次の例は、送信ホストの非アクティビティに基づいてアドレスをエージング アウトする指定を示しています。アドレスが 10 分間確認されなければ、エージング アウトします。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 20
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security aging time 10 inactivity
Router(config-if-srv)# mac security
 

mac security aging time コマンドは、学習されたセキュア アドレスだけをエージング アウトします。mac security aging time コマンドを設定するときにホワイトリストまたはスティッキ アドレスのエージング アウトをイネーブルにする場合、mac security aging static コマンド(エージング コントロールを静的な設定アドレスに適用)または mac security aging sticky コマンド(エージング コントロールを固定(スティッキ)アドレスに適用)を使用します。次の設定は、エージングをスティッキ アドレスに適用する例を示しています。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 1/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 10
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security
Router(config-if-srv)# mac security sticky
Router(config-if-srv)# mac security aging time 100
 

EFP の MAC アドレス 制限の設定

ここでは、EFP で許可されるセキュア MAC アドレスの最大数を設定する方法について説明します。ホワイトリストの中に追加されるアドレスと動的に学習される MAC アドレスを含みます。最大数を下げると、学習された MAC エントリが 1 つ以上削除されます。デフォルトの最大数は 1 です。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id Ethernet [service-name]

5. encapsulation dot1q vlan-id

6. bridge-domain bridge-id

7. mac security maximum addresses n

8. mac security

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 7

mac security maximum addresses n

 

Router(config-if-srv)# mac security maximum addresses 10

EFP で許可されるセキュア アドレスの最大数を整数値 n に設定(または変更)します。

ステップ 8

mac security

 

Router(config-if-srv)# mac security

MAC セキュリティを EFP でイネーブルにします。

次の例では、EFP で許可されるセキュア MAC アドレスの最大数を 10 に設定します。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 20
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security maximum addresses 10
Router(config-if-srv)# mac security
 

ブリッジ ドメインの MAC アドレス制限の設定

ここでは、ブリッジ ドメインにあるセキュア MAC アドレスの最大数を設定する方法について説明します。

手順概要

1. enable

2. configure terminal

3. bridge-domain vlan-id [access | dot1q [tag] | dot1q-tunnel] [broadcast] [ignore-bpdu-pid] [pvst-tlv CE-vlan] [increment] [lan-fcs] [split-horizon]

4. mac limit maximum addresses [n]

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

bridge-domain vlan-id [access | dot1q [tag] | dot1q-tunnel] [broadcast] [ignore-bpdu-pid] [pvst-tlv CE-vlan] [increment] [lan-fcs] [split-horizon]

 

Router(config)# bridge-domain 12

ブリッジ ドメインを指定します。

ステップ 4

mac limit maximum addresses [n]

 

Router(config-bdomain)# mac limit maximum addresses 1000

MAC アドレスの最大数を設定します。デフォルト値は最大(10240)です。

次の例では、セキュア MAC アドレスの最大数を 1000 に設定します。

Router# enable
Router# configure terminal
Router(config)# bridge-domain 100

Router(config-if-srv)# mac limit maximum address 10240

 

EFP の 違反応答の設定

ここでは、EFP に設定された MAC セキュリティ ポリシーを違反したことによって、MAC アドレスを動的に学習できないときのデバイスの動作を指定する方法について説明します。違反時のデフォルトの動作は EFP のシャットダウンです。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id Ethernet [service-name]

5. encapsulation dot1q vlan-id

6. bridge-domain bridge-id

7. mac security violation restrict または mac security violation protect

8. mac security

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

service instance id Ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC のインスタンス)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

bridge-domain bridge-id

 

Router(config-if-srv)# bridge-domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 7

mac security violation restrict
または
mac security violation protect

 

Router(config-if-srv)# mac security violation restrict

違反モードを、restrict または protect のいずれかに設定します。

このコマンドに no を加えると、違反応答がデフォルトに戻ります(デフォルトはシャットダウン)。

ステップ 8

mac security

 

Router(config-if-srv)# mac security

MAC セキュリティを EFP でイネーブルにします。

次の例では、restrict 違反応答を EFP に設定します。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 20
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security violation restrict

Router(config-if-srv)# mac security

エラーの回復

ここでは、EFP シャットダウン(デフォルトの違反応答)の原因となる違反から回復する方法について説明します。その内容は次のとおりです。

手動回復

自動回復

手動回復

次に示すように、手動回復でエラー ディセーブル状態からサービス インスタンスを回復するには、clear ethernet service instance id id interface interface-name errdisable コマンドを使用します。

Router# enable

Router# configure terminal

Router# clear ethernet service instance id 10 interface gi1/1 errdisable

自動回復

自動回復では、errdisable recovery cause mac security コマンドを使用します。タイマーの間隔を指定する必要があります。有効値は、30 ~ 86,400 秒です。次の設定例では、違反によるシャットダウンの 60 秒後に EFP が回復します。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 2/1
Router(config-if)# service instance 10 ethernet
Router(config-if-srv)# encapsulation dot1q 10
Router(config-if-srv)# bridge-domain 100
Router(config-if-srv)# mac security

Router(config-if-srv)# errdisable recovery cause mac-security 60

検証

動作を検証するには、次のコマンドを使用します。

 

コマンド
目的

Router# show ethernet service instance id id interface interface mac security address

指定した EFP のセキュア アドレスを表示します。

Router# show ethernet service instance id id interface interface mac security last violation

指定した EFP で最後に記録された違反を表示します。

Router# show ethernet service instance id id interface interface mac security statistics

EFP で許可された現在のセキュア アドレスの数および記録された違反の数を表示します。

Router# show ethernet service instance id id interface interface mac security

指定した EFP の MAC セキュリティ ステータスを表示します。

Router# show ethernet service instance mac security address

システム内のすべての EFP のセキュア アドレスを表示します。

Router# show ethernet service instance mac security last violation

(すべてのサービス インスタンスで)デバイスに最後に記録された違反、および各サービス インスタンスに最後に記録された違反に関する情報を表示します。

Router# show ethernet service instance mac security statistics

システム内のすべての EFP で許可された現在のセキュア アドレスの数および記録された違反の数を表示します。

Router# show ethernet service instance mac security

MAC セキュリティをイネーブルにしているシステム内のすべての EFP を表示します。

Router# show bridge-domain id mac security address

指定したブリッジ ドメインに属するすべての EFP のセキュア アドレスを表示します。

Router# show bridge-domain id mac security last violation

ブリッジ ドメインに属する各サービス インスタンスに最後に記録された違反に関する情報を表示します。

Router# show bridge-domain id mac security statistics

指定したブリッジ ドメインに属するすべての EFP で許可された現在のセキュア アドレスの数および記録された違反の数を表示します。

Router# show bridge-domain id mac security

指定したブリッジ ドメインに属し、MAC セキュリティをイネーブルにしているすべての EFP を表示します。

接続障害管理(CFM)と PVST の共存

イーサネット Connectivity Fault Management(CFM; 接続障害管理)は、予防的な接続モニタリング、障害の確認、障害の分離などを含むサービス インスタンス単位のエンドツーエンド イーサネット レイヤ OAM プロトコルです。現在、イーサネット CFM は、内方向と外方向の Maintenance Endpoint(MEP)をサポートします。イーサネット CFM については、 http://www.cisco.com/en/US/docs/ios/12_2sr/12_2sra/feature/guide/srethcfm.html を参照してください。

CFM および PVST 共存機能により、Cisco 7600 シリーズ ルータで Per VLAN Spanning Tree(PVST)と CFM を共存させることができます。

CFM および PVST 共存機能は、次のイーサネット コンポーネントを利用します。

イーサネット仮想回線(EVC):プロバイダー ネットワーク内でポイントツーポイントまたはポイントツーマルチポイント パスを示す 2 つ以上の UNI 間の関係。

イーサネット フロー ポイント(EFP):インターフェイス上の EVC の論理境界ポイント。

各 EFP は EVC と同一のものとされます。EVC ID は、ネットワーク内全体で一意の値です。また、EFP は 1 つのブリッジ ドメインと関連付けられます。ブリッジ ドメイン内のすべての EFP は、同じ EVC に属します(指定された場合)。

EFP では、タグなし、シングル タグ、およびダブル タグ カプセル化は、dot1q、QinQ、および IEEE dot1ad の ethertype で存在します。ブリッジ ドメインに属する異なる EFP は、カプセル化が異なる可能性があります。

制約事項および使用上のガイドライン

CFM と PVST の共存を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

マッチ レジスタが 3 つ以上の次のラインカードおよびスーパーバイザがサポートされます。

ES20 ラインカード

ES+ ラインカード

RSP720-3C-10GE および

Supervisor Engine 32

WS-X67xx ラインカード(サポートされるスーパーバイザを使用)

Generic VLAN Registration Protocol(GVRP)と CFM の共存もサポートされます。

次の共存設定がサポートされます。

PVST と CFM。CFM を設定する前に PVST を設定する必要があります。

Generic VLAN Registration Protocol(GVRP)と CFM。CFM を設定する前に GVRP を設定する必要があります。

PVST と GVRP。設定順序の制約事項はありません。

CFM は 2 つのマッチ レジスタを使用して、コントロール パケット タイプを識別します。また、PVST は 1 つのマッチ レジスタを使用して、コントロール パケット タイプを識別します。したがって、同じシステムで両方のプロトコルを動作させるためには、各ラインカードで 3 つのマッチ レジスタをサポートし、少なくとも 1 つのレジスタは 44 ビットの MAC マッチングだけをサポートする必要があります。

マッチ レジスタが使用できない場合、次のメッセージが表示されます。

 
msgdef(CFM_ON_SUPERVISOR_PORTS_DISALLOWED, CFM_CONST, LOG_ERR, 0,
"CFM is enabled system wide except on supervisor ports "
"due to spanning tree configuration.");
msgdef_explanation("Unable to program all port ASIC MAC match registers "
"on supervisor ports for CFM due to hardware limitations "
"on these ports. Continued with enabling CFM system-wide "
"to allow coexistence with other protocols such "
"such as PVST.");
msgdef_recommended_action("Administrator action may be required. "
"Ensure no CFM traffic is presented to any "
"supervisor ports via configuration. If not possible "
"configure STP mode to MST and re-enable CFM "
"or disable CFM completely.");
msgdef_ddts_component("cfm");
 

48 ビット マッチ レジスタが使用できない場合、次のメッセージが表示されます。

 
msgdef(CFM_ON_SUPERVISOR_PORTS_DISABLED, CFM_CONST, LOG_ERR, 0,
"CFM is enabled system wide except it's disabled on supervisor ports "
"due to spanning tree or GVRP configuration.");
msgdef_explanation("Unable to program all port ASIC MAC match registers "
"on supervisor ports for CFM due to hardware limitations "
"on these ports. Continued with enabling CFM system-wide "
"to allow coexistence with other protocols such "
"such as PVST or GVRP.");
msgdef_recommended_action("System has handled this by disabling CFM on "
"all supervisor ports. If this is unacceptable"
"configure STP mode to MST and re-enable CFM or
disable CFM completely.");
msgdef_ddts_component("cfm");
 

PVST と CFM または GVRP と CFM の共存を設定した後、サポートされていないラインカードの電源を投入しようとするか、サポートされていないラインカードをルータに挿入しようとすると、次のメッセージが表示されます。

%C6KPWR-SP-4-UNSUPPORTED: unsupported module in slot 3, power not allowed: Module has insufficient match registers. Enabled relevant protocols include SSTP CFM_MULTICAST.
 

PVST と CFM の共存の設定


) PVST モードはデフォルトのスパニング ツリー モードであり、ルータを起動すると、イネーブルになります。



) PVST スパニング ツリー モードまたは MST スパニング ツリー モードは、spanning-tree mode mst または spanning-tree mode pvst コマンドに no を加えてもディセーブルにできません。既存のスパニング ツリー モードをディセーブルにするには、もう一方のスパニング ツリー モードをイネーブルにする必要があります。たとえば、MST スパニング ツリー モードをディセーブルにする場合は、PVST スパニング ツリー モードをイネーブルにします。


手順概要

1. enable

2. configure terminal

3. spanning-tree mode pvst

4. ethernet cfm enable

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

spanning-tree mode pvst

 

Router(config)# spanning-tree mode pvst

Per VLAN Spanning Tree+(PVST+)モードを設定します。

ステップ 4

ethernet cfm enable

 

Router(config)# ethernet cfm enable

接続障害管理(CFM)処理をデバイスでグローバルにイネーブルにします。

次の例では、PVST と CFM の共存を設定します。

Router# enable
Router# configure terminal
Router(config)# spanning-tree mode pvst
Router(config)# ethernet cfm enable
 

GVRP と CFM の共存の設定

手順概要

1. enable

2. configure terminal

3. gvrp global

4. ethernet cfm enable

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

gvrp global

 

Router(config)# gvrp global

GVRP をグローバルにイネーブルにします。

ステップ 4

ethernet cfm enable

 

Router(config)# ethernet cfm enable

接続障害管理(CFM)処理をデバイスでグローバルにイネーブルにします。

次の例では、GVRP と CFM の共存を設定します。

Router# enable
Router# configure terminal
Router(config)# gvrp global
Router(config)# ethernet cfm enable
 

PVST と GVRP の共存の設定

手順概要

1. enable

2. configure terminal

3. gvrp global

4. spanning-tree mode pvst

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

gvrp global

 

Router(config)# gvrp global

GVRP をグローバルにイネーブルにします。

ステップ 4

spanning-tree mode pvst

 

Router(config)# spanning-tree mode pvst

Per VLAN Spanning Tree+(PVST+)モードを設定します。

次の例では、PVST と GVRP の共存を設定します。

Router# enable
Router# configure terminal
Router(config)# ethernet cfm enable
Router(config)# spanning-tree mode pvst

 

検証

動作を検証するには、次のコマンドを使用します。

 

コマンド
目的

Router# show running configuration

特定のモジュールで現在稼動している設定ファイルまたはその設定の内容を表示します。

Router# remote command switch show platform mrm info

ポート Application Specific Integrated Circuit(ASIC; 特定用途向け IC)マッチ レジスタを使用するプロトコルを表示します。

EVC インターフェイスのカスタム ethertype

カスタム ethertype 機能では、dot1q パケットおよび QinQ パケットの外部タグに使用する ethertype を設定できます。デフォルトでは、Cisco 7600 シリーズ ルータは、dot1q および QinQ 外部タグとして ethertype 0x8100 をサポートします。次の ethertype を物理ポートで設定できます。

0x8100 - 802.1q

0x9100 - Q-in-Q

0x9200 - Q-in-Q

0x88a8 - 802.1ad

dot1 q tunneling ethertype ethertype-value コマンドを使用して、物理ポートでカスタム ethertype を設定できます。

次の設定例では、ethertype を 0x9100 に設定し、サービス インスタンスを作成し、書き換えプロセスを開始しています。

interface GigabitEthernet 1/1
dot1q tunneling ethertype 0x9100
service instance <number> ethernet
encapsulation dot1q <vlan 1> [second-dot1q <vlan 2>]
Rewrite <Rewrite>

) 802.1q(0x8100)はデフォルトの ethertype 設定です。


カスタム ethertype 設定でサポートされる書き換え規則

サービス プロバイダー ネットワーク内の 2 つのカスタマー サイト間で送信されるパケットの VLAN タグは、書き換えによって追加または削除できます。

次のタイプの書き換えが Network Network Interface(NNI)でサポートされます。

NNI の C-Tag が範囲なしの場合

NNI の C-Tag が範囲の場合

NNI の C-Tag が範囲なしの場合にサポートされる書き換え

カスタム ethertype を NNI 物理インターフェイス内で設定し、VLAN の範囲を指定しない場合、プロバイダー ブリッジには次の書き換えがサポートされます。

「encapsulation untagged」の場合:

No Rewrite

Rewrite ingress tag push dot1q <vlan1> [second-dot1q <vlan2>] symmetric

「encapsulation default」の場合:

No Rewrite

「encapsulation dot1q <vlan>」の場合:

No Rewrite

Rewrite ingress tag pop 1 symmetric

Rewrite ingress tag translate 1-to-1 dot1q <vlan> symmetric

Rewrite ingress tag translate 1-to-2 dot1q <vlan 1> second-dot1q <vlan 2> symmetric

「encapsulation dot1q <vlan1> second-dot1q <vlan2>」の場合:

No Rewrite

Rewrite ingress tag pop 1 symmetric

Rewrite ingress tag pop 2 symmetric

Rewrite ingress tag translate 1-to-1 dot1q <vlan> symmetric

Rewrite ingress tag translate 1-to-2 dot1q <vlan 1> second-dot1q <vlan 2> symmetric

Rewrite ingress tag translate 2-to-1 dot1q <vlan> symmetric

Rewrite ingress tag translate 2-to-2 dot1q <vlan 1> second-dot1q <vlan 2> symmetric

NNI の C-Tag が範囲の場合にサポートされる書き換え

C-Tag に VLAN の範囲を指定すると、push の書き換えはサポートされません。C-Tag の VLAN 範囲には次の書き換えがサポートされます。

「encapsulation dot1q <vlan1 - vlan2>」の場合:

No Rewrite

「encapsulation dot1q <vlan1> second-dot1q <vlan2 - vlan3>」の場合:

No Rewrite

Rewrite ingress tag pop 1 symmetric

Rewrite ingress tag translate 1-to-1 dot1q <vlan> symmetric

Rewrite ingress tag translate 1-to-2 dot1q <vlan 1> second-dot1q <vlan 2> symmetric


) カスタム ethertype を設定した場合、階層的なプロバイダー ブリッジを回避するために、NNI インターフェイスでは「encap untagged」以外の「ingress push」書き換えがサポートされません。


制約事項および使用上のガイドライン

カスタム ethertype を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

EVC が設定されているメイン インターフェイスのカスタム ethertype を適用できます。

カスタム ethertype はポート チャネルでサポートされません。

物理ポートでカスタム ethertype を設定した場合、物理ポートのすべてのサービス インスタンスは、強制的にその特定の ethertype を使用します。

カスタム ethertype を メイン インターフェイス内に設定した場合、サービス インスタンスでは 802.1Q および QinQ カプセル化がサポートされます。

カスタム ethertype を メイン インターフェイスに設定した場合、サブインターフェイスでは QinQ カプセル化だけがサポートされ、802.1Q カプセル化はサポートされません。

カスタム ethertype の混在はサポートされません。入力インターフェイスが 8100/9100/9200/88a8 で設定されている場合、外部タグの etype が対応するものでなければトラフィックはサポートされません (設定されたカスタム ethertype 以外の外部タグを含むパケットが受信されると、入力で QinQ パケットがドロップされます。なお、.1Q パケットは通過できます)。

次の例では、外部タグ 9100 を含むパケットが入力で受信されます。このパケットは、最初のケースではドロップされず、2 番目のケースではカスタム ethertype の不一致によりドロップされます。

//Ingress configuration
Int Gi1/1
Dot1q tunnel ethertype 0x9100
Service instance 1 ethernet
Encap dot1q <vlan1> second-dot1q <vlan2>
//Ingress configuration
Int Gi2/1
Dot1q tunneling ethertype 0x9200
Service instance 1 eth
Encap dot1q <vlan1> second-dot1q <vlan2>
 

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. Dot1q tunneling ethertype [0x9100|0x9200|0x88A8]

5. [no] service instance id {Ethernet [service-name]}

6. [no] encapsulation untagged, dot1q {any | vlan-id[vlan-id[vlan-id]} second-dot1q {any |vlan-id[vlan-id[vlan-id]]}

7. Rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id}| 2-to-1 dot1q vlan-id }| 1-to-2 {dot1q vlan-id second-dot1q vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id dot1q vlan-id}} symmetric

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router> enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/subslot/port[.subinterface-number]

または

interface tengigabitethernet slot/subslot/port[.subinterface-number]

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

ステップ 4

dot1q tunneling ethertype [0x9100 | 0x9200 | 0x88A8]

 

Router(config)# dot1q tunneling ethertype 0x88A8

物理インターフェイスでカスタム ethertype を 9100、9200、または 88A8 として設定します。物理インターフェイスのすべてのサービス インターフェイスが設定された ethertype を使用します。

ステップ 5

service instance id ethernet [service-name]

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC をインスタンス化したもの)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 6

encapsulation untagged dot1q {any | vlan-id[vlan-id[-vlain-id]]} second-dot1q {any | vlan-id[vlan-id[-vlan-id]]}

 

Router(config-if-serv)# encapsulation dot1q 100 second dot1q 200

入力 dot1q、QinQ、またはタグなしのフレームをインターフェイスで適切なサービス インスタンスにマッピングする一致基準を定義します。

ステップ 7

Rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id}| 2-to-1 dot1q vlan-id }| 1-to-2 {dot1q vlan-id second-dot1q vlan-id dot1q vlan-id} | 2-to-2 {dot1qvlan-id second-dot1q vlan-id dot1q vlan-id}} symmetric

 

Router(config-if-srv)# Rewrite ingress tag push dot1q 20

書き換え動作を指定します。

connect でカスタム ethertype を設定したシングル タグ カプセル化

次の例では、connect 設定を使用して、シングル タグ カプセル化にカスタム ethertype を設定しています。

 
Roputer#sh running-config int Gi1/1
//Building configuration...
interface GigabitEthernet 1/1
no ip address
dot1q tunneling ethertype 0x9100
no mls qos trust
service instance 1 ethernet
encapsulation dot1q 10
 
interface GigabitEthernet 1/2
no ip address
dot1q tunneling ethertype 0x9100
mls qos trust dscp
service instance 1 ethernet
encapsulation dot1q 10
Router)# connect LC1 GigabitEthernet 1/1 1 GigabitEthernet 1/2 1
 

bridge domain を使用したシングル タグ カプセル化

次の例では、bridge domain 設定を使用して、シングル タグ カプセル化にカスタム ethertype を設定しています。

 
interface GigabitEthernet 1/1
no ip address
dot1q tunneling ethertype 0x9100
no mls qos trust
service instance 1 ethernet
encapsulation dot1q 10
bridge-domain 100
 
interface GigabitEthernet 1/2
no ip address
dot1q tunneling ethertype 0x9100
mls qos trust dscp
service instance 1 ethernet
encapsulation dot1q 10
bridge-domain 100
 

xconnect を使用したシングル タグ カプセル化

次の例では、xconnect 設定を使用して、シングル タグ カプセル化にカスタム ethertype を設定しています。

interface GigabitEthernet 1/1
no ip address
dot1q tunneling ethertype 0x9100
no mls qos trust
service instance 1 ethernet
encapsulation dot1q 10
xconnect 3.3.3.3 10 encapsulation mpls
 
interface GigabitEthernet 1/1
ip address 10.10.10.2 255.255.255.0
no mls qos trust
mpls label protocol ldp
mpls ip
 

サブインターフェイスのカスタム ethertype サポート

次の例では、サブインターフェイスにカスタム ethertype を設定しています。カスタム ethertype は、常にメインの物理インターフェイスに設定され、QinQ カプセル化はサブインターフェイスに設定されます。

interface GigabitEthernet 1/1
no ip address
dot1q tunneling ethertype 0x9100
no mls qos trust
end
interface GigabitEthernet 1/1.10
encapsulation dot1Q 10 second-dot1q 20
ip address 20.20.20.2 255.255.255.0
end

検証

動作を検証するには、次のコマンドを使用します。

 

コマンド
目的

Router# show ethernet service instance [id instance-id | interface interface-id | interface interface-id] [detail]

次の情報を表示します。

EVC ID を指定した場合は特定の EVC

インターフェイスを指定した場合は、インターフェイス上のすべての EVC

detail オプションを指定すると、EVC の詳細情報が表示されます。RP コンソールおよび LC コンソールから入力し、物理ポートに設定されているカスタム ethertype を確認できます。

EVC が設定されたスイッチポートおよびポートのストーム コントロール

パケットが LAN でフラッディングすると、トラフィック ストームが発生し、トラフィックが過密になり、ネットワーク パフォーマンスが低下します。トラフィック ストーム コントロール機能は、物理インターフェイス上のブロードキャストやマルチキャストのトラフィック ストームにより LAN ポートが不通になるのを防ぎます。トラフィック ストーム コントロール レベルは、ポートの総有効帯域幅に対する割合を示します。

LAN ベース イーサネット ラインカードのブロードキャスト ストーム コントロールについては、 http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/storm.html の『Configuring Traffic Storm Control』を参照してください。

この機能は、ブロードキャストやマルチキャストの輻輳またはストームをレート コントロール メカニズムで検出して制御する方法を ES ラインカードに実装します。

ES20 および ES+ カードのストーム コントロールは、次のポートでサポートされます。

スイッチポート


) レイヤ 3(ルーティング ポート)からレイヤ 2(スイッチポート)への変換は、ポートにサブインターフェイスが設定されていない場合に限り可能です。


EVC 設定のポート

この機能はポート単位であり、EVC 単位ではありません。そのため、ポート内のすべての EVC は同じストーム コントロール レートを使用します。

制約事項および使用上のガイドライン

トラフィック ストーム コントロールを設定する場合は、次の制約事項および使用上のガイドラインに従ってください。


) これらの制約事項および使用上のガイドラインは、Cisco 7600 ES20 イーサネット ラインカードおよび Cisco 7600 シリーズ ES+ ラインカードだけに適用されます。


トラフィック ストーム コントロールはデフォルトでディセーブルにされています。

ユニキャスト ストーム コントロールはサポートされません。

レイヤ 3 サブインターフェイスのストーム コントロールはサポートされません。

ストーム コントロール機能は、EVC レベルでは設定できません。

ストーム コントロール機能は、ポート チャネル インターフェイスではサポートされません。

ストーム コントロール レートは、Packets/Second(PPS; パケット/秒)で指定できません。

ストーム コントロール処理(トラップまたはシャットダウン)はサポートされません。

ブロードキャストとマルチキャストの抑制は、同じ抑制率を共有しているため、ブロードキャストとマルチキャストで異なる比率を設定する場合は、新しく設定した比率がブロードキャストとマルチキャストの両方に適用されます。

ストーム コントロール機能は、ポート チャネルのメンバー インターフェイスではサポートされません。

タグなしフレームは、すべてのタグなしフレームにマークを付けるサービス インスタンスを設けることによって、ストーム コントロールを実行できます。そのようなサービス インスタンスを作成すれば、これらのフレームは他の EVC のストーム コントロールと同じように動作します。

インターフェイスの総帯域幅に対する割合でレベルを指定します。

レベルは 0 ~ 100 です。

レベルの小数はオプションで 0 ~ 99 を指定できます。

100 %はトラフィック ストーム コントロールなしの意味です。

0.0 %はすべてのトラフィックを抑制します。

0.01 % の単位で許可する比率を指定できます。

最大ストーム コントロール レートは 4 Gbps(10 Gb インターフェイスで回線速度の 40%)です。

ストーム コントロールは、スイッチポートの dot1q-tunnel モードで動作します。

インバウンド レイヤ 2 ACL が適用されたインターフェイスにストーム コントロールを使用すると、設定した抑制レベルに関係なく、すべてのパケットがドロップされます。

EVC 設定を使用したポートのストーム コントロールの設定

ここでは、EVC 設定を使用したポートにストーム コントロールを設定する方法について説明します。

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. [no] service instance id {Ethernet service-name }

5. encapsulation dot1q vlan-id

6. [no] bridge-domain bridge-id

7. storm-control {broadcast | multicast} level level[.level]

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

[no] service instance id Ethernet [service-name}

 

Router(config-if)# service instance 101 ethernet

サービス インスタンス(EVC をインスタンス化したもの)をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5

encapsulation dot1q vlan-id

 

Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービス インスタンスにインターフェイスでマッピングするために使用する一致基準を定義します。

ステップ 6

[no] bridge-domain bridge-id

 

Router(config-subif)# bridge domain 12

サービス インスタンスをブリッジ ドメイン インスタンスにバインドします。bridge-id はブリッジ ドメイン インスタンスの識別子です。

ステップ 7

storm-control {broadcast | multicast} level level[.level]

 

Router(config-if)# storm-control broadcast level 30

ストーム コントロール抑制レベルを設定します。

次の例は、EVC のポートに対する設定を示しています。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 4/1
Router(config-if)# service instance 2 ethernet
Router(config-if-srv)# encapsulation dot1q 20
Router(config-if-srv)# bridge-domain 10

Router(config-if)# storm-control multicast level 45

スイッチポートのストーム コントロールの設定

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. switchport

5. switchport mode {access | dot1q-tunnel | dynamic {auto | desirable} | private-vlan | trunk}

6. storm-control {broadcast | multicast} level level[.level]

詳細手順

 

コマンド
目的

ステップ 1

enable

 
Router# enable

特権 EXEC モードをイネーブルにします。

パスワードを要求されたら入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface gigabitethernet slot/port

or

interface tengigabitethernet slot/port

 

Router(config)# interface gigabitethernet 4/1

設定するギガビット イーサネットまたは 10 ギガビット イーサネット インターフェイスを指定します。

slot/port:インターフェイスの場所を指定します。

ステップ 4

switchport
 
Router(config-if)# switchport

レイヤ 2 スイッチ インターフェイスのスイッチング特性を設定します。

ステップ 5

switchport mode {access | dot1q-tunnel | dynamic {auto | desirable} | private-vlan | trunk}
 
Router(config-if)# switchport mode trunk

インターフェイス タイプを設定します。

ステップ 6

storm-control {broadcast | multicast} level level[.level]

 

Router(config-if)# storm-control broadcast level 30

ストーム コントロール抑制レベルを設定します。

次の例は、スイッチポート設定を使用したポートに対する設定を示しています。

Router# enable
Router# configure terminal
Router(config)# interface GigabitEthernet 4/1
Router(config)# switchport
Router(config)# switchport mode trunk
Router(config)# storm-control multicast level 45
 

検証

動作を検証するには、次のコマンドを使用します。

 

表 4-1 トラフィック ストーム コントロールのステータスおよび設定を表示するコマンド

コマンド
目的

Router# show interfaces [{ type 1 slot/port } | switchport]

すべてのレイヤ 2 LAN ポートまたは指定したレイヤ 2 LAN ポートの管理ステータスや動作ステータスを表示します。

Router# show interfaces [{ type1 slot/port } | counters storm-control

 

Router# show interfaces counters storm-control [ module slot_number ]

すべてのインターフェイスまたは指定インターフェイスにおいて、3 つすべてのトラフィック ストーム コントロール モードで廃棄されたパケットの総数を表示します。

1.type = ethernetfastethernetgigabitethernet、または tengigabitethernet