Cisco MDS 9000 ファミリー コンフィギュレーション ガイド Release 2.x
IPサービスの設定
IPサービスの設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

IPサービスの設定

トラフィック管理サービス

管理インターフェイスの設定

デフォルト ゲートウェイの設定

デフォルト ネットワークの設定

IP-ACL

IP-ACL設定時の注意事項

フィルタの内容

プロトコル情報

アドレス情報

ポート情報

ICMP情報

TOS情報

IP-ACLの作成

既存のIP-ACLへのフィルタの追加

既存のIP-ACLからのエントリの削除

IP-ACLログ ダンプ

IP-ACLインターフェイスの適用

IP-ACL設定の確認

IP-ACLカウンタのクリーンアップ

IPFCの設定

VSANのIPアドレスの設定

IPルーティングのイネーブル化

IPスタティック ルートの設定

ARPの表示およびクリア

IPインターフェイス情報の表示

複数のVSANの設定

複数のVSANの設定

VRRP

VRRPの機能

VRRPの機能

仮想ルータの追加と削除

仮想ルータのイネーブル化

仮想ルータのIPアドレスの追加

仮想ルータのプライオリティ

アドバタイズ パケットのタイム インターバル

仮想ルータの認証

インターフェイスのステートに基づいたプライオリティ

VRRP情報の表示

VRRP統計情報のクリア

DNSサーバの設定

DNSホスト情報の表示

デフォルト設定値

IPサービスの設定

Cisco MDS 9000ファミリー スイッチは、イーサネットとファイバ チャネル インターフェイス間でIPトラフィックをルーティングできます。VSAN間でトラフィックをルーティングするには、IPスタティック ルーティング機能を使用します。この機能を使用するには、VSANをそれぞれ異なるIPサブネットワークに配置する必要があります。各Cisco MDS 9000ファミリー スイッチは、Network Management System(NMS;ネットワーク管理システム)に関する次のサービスを提供します。

スーパバイザ モジュールの前面パネルにある帯域外イーサネット インターフェイス(mgmt0)でのIP転送

IP over Fibre Channel(IPFC)機能を使用するIP転送または帯域内ファイバ チャネル インターフェイス ― IPFCは、カプセル化技術を使用してファイバ チャネル上でIPフレームを転送する方法を指定します。IPフレームがファイバ チャネル フレームにカプセル化されるため、オーバーレイ イーサネット ネットワークを使用しなくてもファイバ チャネル ネットワーク内でNMS情報を伝達できます。

IPルーティング(デフォルト ルーティングおよびスタティック ルーティング) ― 外部ルータを必要としない設定の場合は、スタティック ルーティングを使用してデフォルト ルートを設定できます。

スイッチはVirtual Router Redundancy Protocol(VRRP)機能のRFC 2338標準に準拠します。VRRPは、冗長な代替パスをゲートウェイ スイッチに提供する、再起動可能なアプリケーションです。

この章の具体的な内容は、次のとおりです。

「トラフィック管理サービス」

「管理インターフェイスの設定」

「デフォルト ゲートウェイの設定」

「デフォルト ネットワークの設定」

「IP-ACL」

「IPFCの設定」

「IPスタティック ルートの設定」

「IPインターフェイス情報の表示」

「複数のVSANの設定」

「複数のVSANの設定」

「VRRP」

「DNSサーバの設定」

「デフォルト設定値」

トラフィック管理サービス

帯域内オプションはRFC 2625標準に準拠し、これに従います。FCインターフェイス上でIPプロトコルが稼働するNMSホストは、IPFC機能を使用してスイッチにアクセスできます。NMSにファイバ チャネルHost Bus Adapter(HBA)がない場合でも、いずれかのスイッチをファブリックへのアクセス ポイントとして使用して、帯域内管理を実行できます(図 26-1を参照)。

図 26-1 スイッチへのアクセスの管理

 

管理インターフェイスの設定

ディレクタ クラスのスイッチでは、1つのIPアドレスを使用してスイッチを管理します。アクティブなスーパバイザ モジュールの管理(mgmt0)インターフェイスはこのIPアドレスを使用します。スタンバイ スーパバイザ モジュール上のmgmt0インターフェイスは、非アクティブなままで、スイッチオーバーが発生するまでアクセスできません。スイッチオーバーが発生すると、スタンバイ スーパバイザ モジュール上のmgmt0インターフェイスはアクティブになり、前にアクティブだったスーパバイザ モジュールと同じIPアドレスを使用します。

スイッチ上の管理インターフェイスは、同時に複数のTelnetまたはSNMPセッションを許可します。管理インターフェイスを介してスイッチを遠隔から設定することができますが、スイッチにアクセスできるようにまず一部のIPパラメータ(IPアドレス、サブネット マスク)を設定する必要があります。CLIから手動で管理インターフェイスを設定できます。


) 手動による管理インターフェイスの設定を始める前に、スイッチのIPアドレスとIPサブネット マスクを取得します。また、コンソール ケーブルがコンソール ポートに接続されていることを確認します。


mgmt0イーサネット インターフェイスを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config terminal

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface mgmt0

switch(config-if)#

管理イーサネット インターフェイス(mgmt0)でインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switch(config-if)# ip address 1.1.1.1 255.255.255.0

管理インターフェイスのIPアドレス(1.1.1.1)およびIPサブネット マスク(255.255.255.0)を入力します。

ステップ 4

switch(config-if)# no shutdown

インターフェイスをイネーブルにします。

デフォルト ゲートウェイの設定

デフォルト ゲートウェイのIPアドレスを設定する場合は、IPスタティック ルーティング コマンドも使用する必要があります(IPデフォルトネットワーク、宛先プレフィクス、宛先マスク、およびネクスト ホップ アドレス)。


ヒント スタティック ルートのIP転送およびデフォルト ネットワークの詳細を設定する場合は、デフォルト ゲートウェイがイネーブルであるか、またはディセーブルであるかに関係なく、これらのIPアドレスが使用されます。これらのIPアドレスが設定されているにもかかわらず、使用できない場合、スイッチは代わりにデフォルト ゲートウェイIPアドレスを使用します(デフォルト ゲートウェイIPアドレスが設定されている場合)。スイッチのすべてのエントリにIPアドレスが設定されていることを確認してください。


スイッチのすべてのエントリでのIPアドレスの設定については、「初期設定作業」を参照してください。

スイッチのデフォルト ゲートウェイのIPアドレスを設定するには、 IP default-gateway コマンドを使用し、デフォルト ゲートウェイのIPアドレスが設定されていることを確認するには、 show ip route コマンドを使用します。

デフォルト ゲートウェイを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip default- gateway 1.12.11.1

デフォルト ゲートウェイのIPアドレスを設定します。

デフォルト ネットワークの設定

IPデフォルト ネットワーク アドレスが割り当てられている場合、スイッチはこのネットワークへのルートを最終的なルートとみなします。IPデフォルト ネットワーク アドレスを使用できない場合は、IPデフォルト ゲートウェイ アドレスが使用されます。IPデフォルト ネットワーク アドレスが設定された各ネットワークのルートは、デフォルト ルート候補としてフラグが設定されます(ルートが使用可能な場合)。


ヒント スタティック ルートのIP転送およびデフォルト ネットワークの詳細を設定する場合は、デフォルト ゲートウェイがイネーブルであるか、またはディセーブルであるかに関係なく、これらのIPアドレスが使用されます。これらのIPアドレスが設定されているにもかかわらず、使用できない場合、スイッチは代わりにデフォルト ゲートウェイIPアドレスを使用します(デフォルト ゲートウェイIPアドレスが設定されている場合)。スイッチのすべてのエントリにIPアドレスが設定されていることを確認してください。


スイッチのすべてのエントリでのIPアドレスの設定については、「初期設定作業」を参照してください。

イーサネット インターフェイスが設定されている場合、スイッチはIPネットワークのゲートウェイ ルータを指していなければなりません。ホストはゲートウェイ スイッチを使用して、ゲートウェイにアクセスします。このゲートウェイ スイッチは、デフォルト ゲートウェイとして設定されます。ゲートウェイ スイッチと同じVSANに接続されたファブリック内のこのほかのスイッチも、ゲートウェイ スイッチを通して接続できます。このVSANに接続されたすべてのインターフェイスに、ゲートウェイ スイッチのVSAN IPアドレスを設定する必要があります(図 26-2を参照)。

図 26-2 複数のVSAN機能

 

図 26-2では、スイッチAのIPアドレスは1.12.11.1、スイッチBでは1.12.11.2、スイッチCでは1.12.11.3、スイッチDでは1.12.11.4です。スイッチAはイーサネット接続されたゲートウェイ スイッチです。NMSはIPアドレス1.1.1.10を使用して、ゲートウェイ スイッチに接続しています。複数のVSAN 1内の任意のスイッチに転送されるフレームは、ゲートウェイ スイッチを通してルーティングされます。他のスイッチにゲートウェイ スイッチのIPアドレス1.12.11.1を設定すると、ゲートウェイ スイッチはフレームを目的の宛先に転送できるようになります。同様に、VSAN内の非ゲートウェイ スイッチからイーサネット環境にフレームを転送する場合も、ゲートウェイ スイッチを通してフレームがルーティングされます。

転送がディセーブル(デフォルト)である場合、IPフレームはインターフェイス間で送信されません。このような場合、ソフトウェアは帯域内オプション(ファイバ チャネル トラフィックの場合)およびmgmt0オプション(イーサネット トラフィックの場合)を使用して、2つのスイッチ間でローカルにIP転送を実行します。

VSAN作成時に、VSANインターフェイスは自動作成されません。インターフェイスは手動で作成する必要があります( VSANインターフェイスの設定を参照)。

スイッチ上でIPルーティングがイネーブルである場合は、 ip default-gateway コマンドではなく、 ip default-network コマンドを使用します。デフォルト ゲートウェイのIPアドレスが設定されているか確認するには、 show ip route コマンドを使用します。

デフォルト ネットワークを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip default- network 190.10.1.0

デフォルト ネットワークのIPアドレス(190.10.1.0)を設定します。

switch(config)# ip route 10.0.0.0 255.0.0.0 131.108.3.4

switch(config)# ip default-network 10.0.0.0

ネットワーク10.0.0.0へのスタティック ルートをデフォルト ルートとして定義します。

IP-ACL

IP Access Control List(IP-ACL)は、すべてのCisco MDS 9000ファミリー スイッチに基本的なネットワーク セキュリティを提供します。IP-ACLは設定されたIPフィルタに基づいてIP関連トラフィックを制限します。フィルタにはIPパケットの一致規則が含まれており、パケットが一致した場合にパケットを許容するか、または拒否するかが規定されています。

Cisco MDS 9000ファミリーの各スイッチには最大64のIP-ACLを設定でき、各IP-ACLには最大256のフィルタを設定できます。

IP-ACL設定時の注意事項

Cisco MDS 9000ファミリーの任意のスイッチまたはディレクタにIP-ACLを設定する場合は、次の注意事項に従ってください。

Cisco SAN-OS Release 1.3以前では、IP-ACLを適用できるのはVSANインターフェイスと管理インターフェイスだけでした。Cisco SAN-OS Release 2.0(1b)以降では、ギガビット イーサネット インターフェイス(IPSモジュール)とイーサネット ポート チャネル インターフェイスにもIP-ACLを適用できます。


ヒント ギガビット イーサネット インターフェイスでIP-ACLがすでに設定されている場合、このインターフェイスをイーサネット ポート チャネル グループに追加することはできません。IP ACLの設定に関する注意事項については、「ギガビット イーサネットのIP-ACLに関する注意事項」を参照してください。


注意 IP-ACLは、ポート チャネル グループの1つのメンバーだけに適用するのではなく、チャネル グループ全体に適用してください。

条件の順序は正確に設定してください。IP-ACLフィルタがIPフローに適用されると、最初の一致だけで処理が決定されます。後続の一致条件は考慮されません。最も重要な条件を最初に設定してください。どの条件とも一致しなかった場合、パケットは廃棄されます。

フィルタの内容

IPフィルタには、プロトコル、アドレス、ポート、ICMPタイプ、およびType of Service(ToS;サービス タイプ)に基づいてIPパケットを照合する規則が含まれています。

プロトコル情報

プロトコル情報はすべてのフィルタで必須です。プロトコル情報は、IPプロトコルの名前または番号を識別します。IPプロトコルの指定は、次の2通りの方法で行うことができます。

0~255の範囲の整数を指定します。この番号は、IPプロトコルを表します。

プロトコル名を指定します。これには、IP(キーワード ip )、TCP(キーワード tcp )、UDP(キーワード udp )、およびICMP(キーワード icmp )などがあります。


) ギガビット イーサネット インターフェイスでIP-ACLを設定する場合は、TCPまたはICMPだけを使用します。


アドレス情報

アドレス情報はすべてのフィルタで必須です。アドレス情報は、次の内容を識別します。

送信元:パケットの送信元ネットワークまたはホストのアドレス

送信元ワイルドカード:送信元に適用されるワイルドカード ビット

宛先:パケットの宛先ネットワークまたはホストのアドレス

宛先ワイルドカード:宛先に適用されるワイルドカード ビット

送信元と送信元ワイルドカードまたは宛先と宛先ワイルドカードは、次のいずれかの方法で指定します。

小数点で4つに区切られた10進形式の32ビット数を使用します(10.1.1.2/0.0.0.0はホスト10.1.1.2と同じです)。

ゼロに設定されたワイルドカード ビットは、パケットのIPアドレス内の対応するビット位置が送信元の対応するビット位置のビット値と正確に一致する必要があることを示しています。

1に設定されたワイルドカード ビットは、パケットのIPアドレスの対応する場所にある1のビットが、このアクセス リスト エントリに対して一致しているとみなされることを示しています。無視すべきビット位置には1を入れます。たとえば、0.0.255.255の場合、送信元の最初の16ビットだけが正確に一致する必要があります。送信元ワイルドカードで1に設定されるワイルドカード ビットは連続している必要はありません。たとえば、送信元ワイルドカード0.255.0.64は有効です。

送信元と送信元ワイルドカードまたは宛先と宛先ワイルドカード(0.0.0.0/255.255.255.255)の短縮形として、 any オプションを使用します。

ポート情報

ポート情報はオプションです。送信元ポートと宛先ポートを比較するには、 eq (等しい)オプション、 gt (大なり)オプション、 lt (小なり)オプション、または range (ポート範囲)オプションを使用します。ポート情報の指定は、次のいずれかの方法で行うことができます。

ポート数を指定します。ポート番号の範囲は0~65535です。 表 26-1 に、関連するTCPおよびUDPポートとしてCisco SAN-OSソフトウェアで認識されるポート番号を示します。

TCPまたはUDPのポート名を、次のように指定します。

TCPポート名は、TCPをフィルタリングする場合にのみ使用できます。

UDPポート名は、UDPをフィルタリングする場合にのみ使用できます。

 

表 26-1 TCPおよびUDPポート番号

プロトコル
ポート
番号

UDP

dns

53

tftp

69

ntp

123

radius accounting

1646または1813

radius authentication

1645または1812

snmp

161

snmp-trap

162

syslog

514

TCP


) TCP接続がすでに確立されている場合は、establishedオプションを使用して、一致を検索します。TCPデータグラムにACK、FIN、PSH、RST、またはURG制御ビットが設定されている場合に、一致します。


ftp

20

ftp-data

21

ssh

22

telnet

23

smtp

25

tasacs-ds

65

www

80

sftp

115

http

143

wbem-http

5988

wbem-https

5989

ICMP情報

次のようなオプションのICMP条件に基づいてIPパケットをフィルタリングできます。

icmp-type:ICMPメッセージのタイプ。タイプの範囲は0~255です。

icmp-code:ICMPメッセージのコード。コードの範囲は0~255です。

表 26-2 に、各ICMPタイプの値を示します。

 

表 26-2 ICMPタイプの値

ICMPタイプ1
コード

エコー

8

エコー応答

0

完全到達不能

3

Traceroute

30

時間超過

11

1.ICMPリダイレクト パケットは常に拒否されます。

TOS情報

次のようなオプションのTOS条件に基づいてIPパケットをフィルタリングできます。

TOSレベル(0~15の番号で指定)

TOS名(max-reliability、max-throughput、min-delay、min-monetary-cost、およびnormal)

IP-ACLの作成

スイッチに着信するトラフィックは、スイッチ内のIP-ACLフィルタの順番に従って、各フィルタと比較されます。新しいフィルタはIP-ACLの末尾に追加されます。一致が見つかるまで、検索が継続されます。フィルタの末尾に到達しても一致が見つからない場合、トラフィックは拒否されます。このため、ヒット率の高いフィルタをフィルタの上位に配置する必要があります。許可されないトラフィックは、 暗黙的に拒否 されます。 deny エントリが1つしかない単一エントリのIP-ACLは、すべてのトラフィックを拒否します。

IP-ACLを設定する手順は、次のとおりです。

1. フィルタの名前および1つまたは複数のアクセス条件を指定して、IP-ACLを作成します。フィルタでは、送信元と宛先のアドレスが条件と一致する必要があります。詳細な設定を行う場合は、オプションのキーワードを使用します。

2. 指定されたインターフェイスにアクセス フィルタを適用します。

IP-ACLを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip access-list List1 permit ip any any

IP-ACL List1を設定し、任意の送信元アドレスから任意の宛先アドレスへのIPトラフィックを許可します。

switch(config)# no ip access-list List1 permit ip any any

IP-ACL List1を削除します。

ステップ 3

switch(config)# ip access-list List1 deny tcp any any

任意の送信元アドレスから任意の宛先アドレスへのTCPトラフィックを拒否するように、List1を更新します。

指定されたネットワークを許可するIP-ACLを定義する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip access-list List1 permit udp 192.168.32.0 0.0.7.255 any

このネットワークを許可するIP-ACLを定義します。255.255.255.255から255.255.248.0(標準マスク)を引くと、0.0.7.255になります。

オペランドおよびポート オプションを使用する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip access-list List2 deny tcp 1.2.3.0 0.0.0.255 eq port 5 any

送信元ポート5を通して1.2.3.0から任意の宛先に送信されるTCPトラフィックを拒否します。

既存のIP-ACLへのフィルタの追加

IP-ACLを作成したあとに追加されたエントリは、IP-ACLの末尾に配置されます。IP-ACLの途中にフィルタを挿入することはできません。設定された各エントリは、IP-ACLの末尾に自動的に追加されます。

既存のIP-ACLにエントリを追加する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip access-list List1 permit tcp 10.1.1.2 0.0.0.0 172.16.1.1 0.0.0.0 eq port telnet

switch(config)# ip access-list List1 permit tcp 10.1.1.2 0.0.0.0 172.16.1.1 0.0.0.0 eq port http

switch(config)# ip access-list List1 permit udp 10.1.1.2 0.0.0.0 172.16.1.1 0.0.0.0

Telnetトラフィックに対してTCPを許可します。

HTTPトラフィックに対してTCPを許可します。

すべてのトラフィックに対してUDPを許可します。

既存のIP-ACLからのエントリの削除

IP-ACLから設定済みエントリを削除する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# no ip access-list List2 deny tcp 1.2.3.0 0.0.0.255 eq port 5 any

IP-ACLからこのエントリを削除します。

switch(config)# no ip access-list x3 deny ip any any

IP-ACLからこのエントリを削除します。

switch(config)# no ip access-list x3 permit ip any any

IP-ACLからこのエントリを削除します。

IP-ACLログ ダンプ

廃棄されたエントリと一致するパケットに関する情報をログ出力するには、フィルタ条件の末尾で log-deny オプションを使用します。ログ出力には、ACL番号、許可または拒否ステータス、およびポート情報が表示されます。

入力ACLの場合、ログには生のMAC(メディア アクセス制御)情報が表示されます。キーワード[MAC=]を指定しても、MACアドレス情報を持つイーサネットMACフレームは表示されません。このキーワードは、ログにダンプされたレイヤ2 MACレイヤ情報を表示します。出力ACLの場合、生のレイヤ2情報はログ出力されません。

次に、入力ACLログ ダンプの例を示します。

Jul 17 20:38:44 excal-2
%KERN-7-SYSTEM_MSG:
%IPACL-7-DENY:IN=vsan1 OUT= MAC=10:00:00:05:30:00:47:df:10:00:00:05:30:00:8a:1f:aa:aa:03:00:00:00:08:00:45:00:00:54:00:00:40:00:40:01:0e:86:0b:0b:0b:0c:0b:0b:0b:02:08:00:ff:9c:01:15:05:00:6f:09:17:3f:80:02:01:00:08:09:0a:0b:0c:0d:0e:0f:10:11:12:13:14:15:16:17:18:19:1a:1b:1c:1d:1e:1f:20:21:22:23:24:25:26:27:28:29:2a:2b SRC=11.11.11.12 DST=11.11.11.2 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=277 SEQ=1280
 

次に、出力ACLログ ダンプの例を示します。

Jul 17 20:38:44 excal-2
%KERN-7-SYSTEM_MSG:
%IPACL-7-DENY:IN= OUT=vsan1 SRC=11.11.11.2 DST=11.11.11.12 LEN=84 TOS=0x00 PREC=0x00 TTL=255 ID=38095 PROTO=ICMP TYPE=0 CODE=0 ID=277 SEQ=1280
 

IP-ACLインターフェイスの適用

定義したIP-ACLを適用しないでおくこともできます。ただし、IP-ACLを有効にするには、スイッチのインターフェイスにIP-ACLを適用する必要があります。


ヒント トラフィックの送信元に一番近いインターフェイスにIP-ACLを適用してください。


送信元から宛先へのトラフィックをブロックする場合は、スイッチ3のM1に発信フィルタを適用しないで、スイッチ1のM0に着信IP-ACLを適用できます(図 26-3を参照)。

図 26-3 着信インターフェイスでのトラフィックの拒否

 

access-group オプションは、インターフェイスへのアクセスを制御します。各インターフェイスには、方向ごとにアクセス フィルタを1つのみ対応付けることができます。入力方向と出力方向に、それぞれ異なるACLを設定できます。アクセス グループは、作成時にアクティブになります。


ヒント このフィルタを使用するアクセス グループを作成する前に、アクセス フィルタの条件をすべて作成してください。



注意 アクセスフィルタより先にアクセス グループを作成した場合は、アクセス フィルタが空であるため、このインターフェイスのすべてのパケットが廃棄されます。

用語 in、out、source 、および destination は、スイッチとの関係に基づいて使用されます。

in(入力) ― インターフェイスに着信し、スイッチを通過するトラフィック。source(送信元)はトラフィックが以前に存在した場所、destination(宛先)はトラフィックの送信先(ルータの反対側)です。


ヒント 入力トラフィックのアクセス グループ設定は、ローカル トラフィックおよびリモート トラフィックに適用されます。

out(出力) ― スイッチをすでに通過し、インターフェイスから送信中のトラフィック。sourceはトラフィックが以前に存在した場所(ルータの反対側)、destinationはトラフィックの送信先です。


ヒント 出力トラフィックのアクセス グループ設定は、ローカル トラフィックにのみ適用されます。

アクセス グループを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface mgmt0

switch(config-if)#

管理インターフェイス(mgmt0)を設定します。

ステップ 3

switch(config-if)# ip access-group SampleName

入力および出力トラフィック用のアクセス グループSampleNameを作成します(デフォルト)。

switch(config-if)# no ip access-group NotRequired

アクセス グループNotRequiredを削除します。

ステップ 4

switch(config-if)# ip access-group SampleName1 in

入力トラフィック用のアクセス グループSampleNameを作成します(まだ存在しない場合)。

switch(config-if)# no ip access-group SampleName1 in

入力トラフィック用のアクセス グループSampleNameを削除します。

switch(config-if)# ip access-group SampleName2 out

ローカル出力トラフィック用のアクセス グループSampleNameを作成します(まだ存在しない場合)。

switch(config-if)# no ip access-group SampleName2 out

ローカル出力トラフィック用のアクセス グループSampleNameを削除します。

IP-ACL設定の確認

設定されたアクセス フィルタの内容を表示するには、 show ip access-list コマンドを使用します。各アクセス フィルタには、複数の条件を設定できます。

例26-1 設定されたIP-ACLの表示

switch# show ip access-list usage
Access List Name/Number Filters IF Status Creation Time
-------------------------------- ------- ---- --------- -------------
abc 3 7 active Tue Jun 24 17:51:40 2003
x1 3 1 active Tue Jun 24 18:32:25 2003
x3 0 1 not-ready Tue Jun 24 18:32:28 2003
 

例26-2 指定されたIP-ACLのサマリーの表示

switch# show ip access-list abc
ip access-list abc permit tcp any any (0 matches)
ip access-list abc permit udp any any (0 matches)
ip access-list abc permit icmp any any (0 matches)
ip access-list abc permit ip 10.1.1.0 0.0.0.255 (2 matches)
ip access-list abc permit ip 10.3.70.0 0.0.0.255 (7 matches)
 

IP-ACLカウンタのクリーンアップ

指定されたIP-ACLエントリのカウンタをクリアするには、 clear コマンドを使用します。


) このコマンドを使用して各フィルタのカウンタをクリアすることはできません。


switch# clear ip access-list counters abc
 

IPFCの設定

VSANインターフェイスを作成すると、そのVSANのIPアドレスを指定できます。

VSANのIPアドレスの設定

VSANインターフェイスおよび対応するIPアドレスを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface vsan 1

switch(config-if)#

指定されたVSAN(1)のインターフェイスを設定します。

ステップ 3

switch(config-if)# ip address 10.0.0.12 255.255.255.0

switch(config-if)#

選択されたインターフェイスのIPアドレスおよびネットマスクを設定します。

IPルーティングのイネーブル化

デフォルトで、IPルーティング機能はすべてのスイッチでディセーブルです。

IPルーティング機能をイネーブルにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip routing switch(config)#

IPルーティングをイネーブルにします(デフォルトでディセーブル)。

ステップ 3

switch(config)# no ip routing switch(config)#

IPルーティングをディセーブルにし、出荷時の設定に戻します。

IPスタティック ルートの設定

スタティック ルーティングは、スイッチにIPルートを設定するメカニズムです。複数のスタティック ルートを設定できます。

外部ルータを必要としない設定の場合は、スタティック ルーティングを使用できます。

VSANに複数の出口点が存在する場合は、適切なゲートウェイ スイッチにトラフィックが転送されるように、スタティック ルートを設定します。帯域外管理インターフェイスとデフォルトVSAN間、または直接接続されたVSAN間のゲートウェイ スイッチでは、IPルーティングはデフォルトでディセーブルです。

スタティック ルートを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# IP route <network IP address> <netmask> <next hop IP address> distance <number> interface <vsan number>

 

For example:

switch(config)# IP route 10.0.0.0 255.0.0.0 20.20.20.10 distance 10 interface vsan 1

switch(config)#

指定されたIPアドレス、サブネット マスク、ネクスト ホップ、および距離に対応するスタティック ルートを設定し、VSANまたは管理インターフェイスを設定します。

ARPの表示およびクリア

Cisco MDS 9000ファミリー スイッチのAddress Resolution Protocol(ARP)エントリは、表示、削除、またはクリアすることが可能です。ARP機能はすべてのスイッチでイネーブルになっています。

ARPテーブルを表示するには、 show arp コマンドを使用します。

switch# show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 171.1.1.1 0 0006.5bec.699c ARPA mgmt0
Internet 172.2.0.1 4 0000.0c07.ac01 ARPA mgmt0
 

ARPテーブルからARPエントリを削除するには、コンフィギュレーション モードで no arp コマンドを使用します。

switch(config)# no arp 172.2.0.1
 

ARPテーブルからすべてのエントリを削除するには、 clear arp コマンドを使用します。ARPテーブルは、デフォルトで空です。

switch# clear arp-cache
 

IPインターフェイス情報の表示

設定されたIPインターフェイス情報を表示するには、次の show コマンドを使用します(例 26-3 26-6 を参照)。

例26-3 VSANインターフェイスの表示

switch# show interface vsan1
vsan1 is up, line protocol is up
WWPN is 10:00:00:05:30:00:59:1f, FCID is 0x9c0100
Internet address is 10.1.1.1/24
MTU 1500 bytes, BW 1000000 Kbit
0 packets input, 0 bytes, 0 errors, 0 multicast
0 packets output, 0 bytes, 0 errors, 0 dropped

) このコマンドの出力を表示できるのは、仮想ネットワーク インターフェイスが設定されている場合のみです(VSANのIPアドレスの設定を参照)。


例26-4 接続されたルートおよびスタティック ルートの詳細の表示

switch# show ip route

Codes: C - connected, S - static

Default gateway is 172.22.95.1

C 172.22.95.0/24 is directly connected, mgmt0
C 10.1.1.0/24 is directly connected, vsan1
 

例26-5 設定されたルートの表示

switch# show ip route configured
Destination Gateway Mask Metric Interface
 
default 172.22.95.1 0.0.0.0 0 mgmt0
10.1.1.0 0.0.0.0 255.255.255.0 0 vsan1
172.22.95.0 0.0.0.0 255.255.255.0 0 mgmt0
 

例26-6 IPルーティング ステータスの表示

switch# show ip routing
ip routing is disabled
 

複数のVSANの設定

VSANでは、ファブリック サービスのインスタンスがそれぞれ稼働している複数の論理SANを、単一の大規模物理ネットワーク上でオーバーレイすることにより、より大規模なSANを導入することができます。このようにファブリック サービスを分割すると、各VSANにファブリックの設定変更やエラー条件が格納されるため、ネットワークの不安定さが解消されます。また、物理的に分割されたSANと同じように、各VSANを隔離することができます。トラフィックがVSAN境界を通過したり、デバイスが複数のVSANに属することはできません。VSANごとにファブリック サービスのインスタンスが個別に実行されるため、各VSANには独自のゾーン サーバが設定され、VSAN機能を使用しなくてもSANとまったく同じ方法でゾーンを設定できます。

複数のVSANを設定する手順は、次のとおりです。


ステップ 1 ファブリック内のすべてのスイッチのVSANデータベースに、VSANを追加します。

ステップ 2 ファブリック内のすべてのスイッチに、VSAN用のVSANインターフェイスを作成します。VSANに属するすべてのVSANインターフェイスに、同じサブネットに属するIPアドレスが設定されます。IP側にIPFCクラウドへのルートを作成します。

ステップ 3 ファイバ チャネル ファブリック内のスイッチごとに、NMSアクセスを提供するスイッチを指すデフォルト ルートを設定します。

ステップ 4 NMSを指すスイッチに、デフォルト ゲートウェイ(ルート)およびIPアドレスを設定します(図 26-4を参照)。

図 26-4 複数のVSAN設定の例

 


 


図 26-4に示された管理インターフェイスを設定するには、デフォルト ゲートウェイにイーサネット ネットワーク上のIPアドレスを設定します。


次の手順では、1つのスイッチに複数のVSANを設定します。ファブリック内のスイッチごとに、次の手順を繰り返す必要があります。

1つのスイッチに複数のVSANを設定する手順は、次のとおりです(図 26-4の例を使用)。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# vsan database

switch-config-vsan-db#

VSANデータベースを設定します。

ステップ 3

switch--config-vsan-db# vsan 10 name MGMT_VSAN

ファイバ チャネル ファブリック内のすべてのスイッチのVSANデータベース内で、VSANを定義します。

ステップ 4

switch--config-vsan-db# exit

switch(config)#

VSANデータベース モードを終了します。

ステップ 5

switch(config)# interface vsan10

switch(config-if)#

VSANインターフェイス(VSAN 10)を作成します。

ステップ 6

switch(config-if)# ip address 10.10.10.0 netmask 255.255.255.0

このスイッチのIPアドレスおよびネットマスクを設定します。

ステップ 7

switch(config-if)# no shut

設定されたインターフェイスをイネーブルにします。

ステップ 8

switch--config-if# end

switch#

EXECモードに戻ります。

ステップ 9

switch# exit

スイッチを終了し、NMSに戻ります。次の例では、ファイバ チャネル ファブリックにアクセス可能なエッジのイーサネット管理インターフェイスのサブネットと同じサブネットに、NMSが属していると想定しています。

図 26-4に示されたNMSステーションを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

nms# route ADD 10.10.10.0 MASK 255.255.255.0 172.22.93.74

ファイバ チャネル ファブリックにアクセス可能なエッジ スイッチの管理インターフェイスを指すNMS上で、スタティック ルートを定義します。

複数のVSANの設定

複数のVSANを使用して、管理ネットワークを複数のサブネットに分割することができます。アクティブ インターフェイスは、イネーブルにするVSANインターフェイスのスイッチ上になければなりません。

複数のVSANを設定する手順は、次のとおりです。


ステップ 1 ファブリック内の任意のスイッチのVSANデータベースに、VSANを追加します。

ステップ 2 ファブリック内の任意のスイッチに、該当するVSAN用のVSANインターフェイスを作成します。

ステップ 3 対応するVSANと同じサブネットの各VSANインターフェイスに、IPアドレスを割り当てます。

ステップ 4 ファイバ チャネル スイッチおよびIPクラウド上で複数のスタティック ルートを定義します(図 26-5を参照)。

図 26-5 複数のVSANの設定例

 


 

複数のVSANを設定する手順は、次のとおりです(図 26-5の例を使用)。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# vsan database

switch-config-vsan-db#

VSANデータベースを設定します。

ステップ 3

switch-config-vsan-db# vsan 10 name MGMT_VSAN_10

switch-config-vsan-db#

VSAN 10のすべてのスイッチのVSANデータベース内で、VSANを定義します。

ステップ 4

switch-config-vsan-db# exit

switch(config)#

データベース10モードを終了します。

ステップ 5

switch-config-vsan-db# vsan 11 name MGMT_VSAN_11

switch-config-vsan-db#

VSAN 11のすべてのスイッチのVSANデータベース内で、VSANを定義します。

ステップ 6

switch-config-vsan-db# exit

switch(config)#

データベース11モードを終了します。

ステップ 7

switch(config)# i nterface vsan10

switch(config-if)#

VSAN 10のVSAN 10インターフェイス コンフィギュレーション モードを開始します。

ステップ 8

switch(config-if)# ip address 10.10.10.0 netmask 255.255.255.0

switch(config-if)#

このスイッチのIPアドレスおよびネットマスクを設定します。

ステップ 9

switch(config-if)# no shut

VSAN 10に設定されたインターフェイスをイネーブルにします。

ステップ 10

switch--config-if# exit

switch(config)#

VSAN 10インターフェイス モードを終了します。

ステップ 11

switch(config)# i nterface vsan11

switch(config-if)#

VSAN 11インターフェイス コンフィギュレーション モードを開始します。

ステップ 12

switch(config-if)# ip address 11.11.11.0 netmask 255.255.255.0

switch(config-if)#

このスイッチのIPアドレスおよびネットマスクを設定します。

ステップ 13

switch(config-if)# no shut

VSAN 11に設定されたインターフェイスをイネーブルにします。

ステップ 14

switch-config-if# end

switch#

EXECモードに戻ります。

ステップ 15

switch# exit

スイッチを終了し、NMSに戻ります。次の例では、ファイバ チャネル ファブリックにアクセス可能なエッジのイーサネット管理インターフェイスのサブネットと同じサブネットに、NMSが属していると想定しています。

ステップ 16

NMS# route ADD 10.10.10.0 MASK 255.255.255.0 172.22.93.74

IPクラウドにアクセス可能なエッジ スイッチの管理インターフェイスを指すNMS上で、スタティック ルートを定義します。

ステップ 17

NMS# route ADD 11.11.11.0 MASK 255.255.255.0 172.22.93.74

ファイバ チャネル ファブリックにアクセス可能なエッジ スイッチの管理インターフェイスを指すNMS上で、VSAN 11のスタティック ルートを定義します。

ステップ 18

switch# route 10.10.10.0 255.255.255.0 next_hop 11.11.11.35

サブネット11からサブネット10に到達するルートを定義します。

VRRP

Cisco MDS 9000ファミリー スイッチはVirtual Router Redundancy Protocol(VRRP)機能に関するRFC 2338標準に準拠します。ここでは、VRRP機能について詳細に説明します。

VRRPの機能

VRRPを使用すると、NMSに接続されているゲートウェイ スイッチへの冗長な代替パスが確立されます。VRRPには次の特性および利点があります。

VRRPは再起動可能なアプリケーションです。

VRRPマスターに障害が発生すると、アドバタイズが3回行われるまでの間に、VRRPバックアップが処理を引き継ぎます。

VRRP over Ethernet、VRRP over VSAN、およびファイバ チャネル機能は、RFC 2338の定義に従って実装されます。

VR(仮想ルータ)は一意の仮想ルータIP、仮想ルータMAC、およびVR IDによって、各VSAN、およびイーサネット インターフェイスにマッピングされます。

別の仮想ルータIPマッピングを使用することにより、VR IDを複数のVSANで再利用することができます。

各VSANには最大で255個の仮想ルータ グループを割り当てることができます。

VRRPセキュリティには、認証なし、単純なテキスト認証、およびMD5認証の3つのオプションがあります。

VRRPの機能

図 26-6では、スイッチAはVRRPマスター スイッチ、スイッチBはVRRPバックアップ スイッチです。両方のスイッチに、IPアドレスとVRRPのマッピングが設定されています。その他のスイッチでは、スイッチAがデフォルト ゲートウェイとして設定されます。スイッチAに障害が発生すると、スイッチBが自動的にマスターになり、ゲートウェイ機能を引き継ぐため、他のスイッチのルーティング設定を変更する必要はありません。

図 26-6 VRRPの機能

 

図 26-7のファブリック例では、複数のインターフェイス タイプにまたがる仮想ルータを設定できないため、2つの仮想ルータ グループ(VR1およびVR 2)が存在します。スイッチ1とスイッチ2の両方で、イーサネット インターフェイスはVR 1内に、FCインターフェイスはVR 2内にあります。各仮想ルータは、VSANインターフェイスおよびVR IDによって一意に識別されます。

図 26-7 冗長ゲートウェイ

 

仮想ルータの追加と削除

すべてのVRRPの設定は、VRRPが稼働するファブリック内のスイッチ間で複製する必要があります。

VRを作成したり、削除する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface vsan 1

switch(config-if)#

VSANインターフェイス(VSAN 1)を設定します。

ステップ 3

switch(config-if)# vrrp 250

switch(config-if-vrrp)

VR ID 250を作成します。

switch(config-if-vrrp) # no vrrp 250

switch(config-if)

VR ID 250を削除します。

仮想ルータのイネーブル化

デフォルトで、仮想ルータは常にディセーブルです。VRRPを設定できるのは、この状態がイネーブルの場合のみです。VRをイネーブルにする前に、少なくとも1つのIPアドレスを設定してください。

仮想ルータをイネーブルまたはディセーブルにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch(config-if-vrrp) # no shutdown

VRRP設定をイネーブルにします。

switch(config-if-vrrp) # shutdown

VRRP設定をディセーブルにします。

仮想ルータのIPアドレスの追加

1つのスイッチに、1つのプライマリIPアドレスおよび複数のセカンダリ アドレスを設定できます。設定されたIPアドレスがインターフェイスIPアドレスと同じ場合、このスイッチは自動的にIPアドレスを所有します。

仮想ルータのIPアドレスを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface vsan 1

switch(config-if)#

VSANインターフェイス(VSAN 1)を設定します。

ステップ 3

switch(config-if)# interface ip address 10.0.0.12 255.255.255.0xi

IPアドレスを設定します。VRRPを追加する前に、IPアドレスを設定する必要があります。

ステップ 4

switch(config-if)# vrrp 250

switch(config-if-vrrp) #

VR ID 250を作成します。

ステップ 5

switch(config-if-vrrp) # address 10.0.0.10

選択されたVRのIPアドレス(10.0.0.10)を設定します。


) このアドレスは、インターフェイスのIPアドレスと同じサブネット内になければなりません。


switch(config-if-vrrp) # no address 10.0.0.10

選択されたVRのIPアドレス(10.0.0.10)を削除します。

仮想ルータのプライオリティ

仮想ルータのプライオリティには、1~254を割り当てることができます。1が最低プライオリティ、254が最高プライオリティです。セカンダリIPアドレスを持つスイッチのデフォルト値は100、プライマリIPアドレスを持つスイッチのデフォルト値は255です。

仮想ルータのプライオリティを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface vsan 1

switch(config-if)#

VSANインターフェイス(VSAN 1)を設定します。

ステップ 3

switch(config-if)# vrrp 250

switch(config-if-vrrp) #

仮想ルータを作成します。

ステップ 4

switch(config-if-vrrp) # priority 2

switch(config-if-vrrp) #

選択されたVRRPのプライオリティを設定します。


) プライオリティ255はプリエンプトできません。


アドバタイズ パケットのタイム インターバル

アドバタイズ パケットのタイム インターバルの有効範囲は、1~255秒です。デフォルトは1秒です。スイッチにプライマリIPアドレスが設定されている場合は、この期間を指定する必要があります。

仮想ルータのプライオリティを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface vsan 1

switch(config-if)#

VSANインターフェイス(VSAN 1)を設定します。

ステップ 3

switch(config-if)# vrrp 250

switch(config-if-vrrp) #

仮想ルータを作成します。

ステップ 4

switch(config-if-vrrp) # advertisement-interval 15

アドバタイズ フレームの送信間隔を秒単位で設定します。


) 仮想IPアドレスがインターフェイスのIPアドレスでもある場合、プリエンプトは暗黙的に適用されます。



) VRRPのpreemptオプションは、IPストレージのギガビット イーサネット インターフェイスではサポートされません。


プリエンプトをイネーブルまたはディセーブルにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface vsan 1

switch(config-if)#

VSANインターフェイス(VSAN 1)を設定します。

ステップ 3

switch(config-if)# vrrp 250

switch(config-if-vrrp) #

仮想ルータを作成します。

ステップ 4

switch(config-if-vrrp) # preempt

プライオリティが高いバックアップ仮想ルータが、プライオリティの低いマスター仮想ルータをプリエンプトできるようにします。


) このプリエンプトは、プライマリIPアドレスには適用されません。


switch(config-if-vrrp) # no preempt

プリエンプト オプションをディセーブルにして、マスターがプライオリティ レベルを維持できるようにします。

仮想ルータの認証

VRRPセキュリティには、認証なし、単純なテキスト認証、およびMD5認証の3つのオプションがあります。

単純なテキスト認証の場合は、同じ仮想ルータに参加するすべてのスイッチで、1~8文字の一意のパスワードを使用します。このパスワードは、他のセキュリティ パスワードと異なるものに設定する必要があります。

MD5認証の場合は、同じ仮想ルータに参加するすべてのスイッチで、16文字の一意の鍵を使用します。この秘密鍵は、同じ仮想ルータ内のすべてのスイッチで共有されます。

デフォルトのオプションは、認証なしです。

VRRPサブモードで認証オプションを使用して鍵を設定したり、コンフィギュレーション ファイルを使用して鍵を配布することができます。このオプションで割り当てられたSecurity Parameter Index(SPI)設定は、VSANごとに一意でなければなりません。


) すべてのVRRP設定を複製する必要があります。


仮想ルータの認証オプションを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface vsan 1

switch(config-if)#

VSANインターフェイス(VSAN 1)を設定します。

ステップ 3

switch(config-if)# vrrp 250

switch(config-if-vrrp) #

仮想ルータを作成します。

ステップ 4

switch(config-if-vrrp) # authentication text password

単純なテキスト認証オプションを割り当てて、このオプションのパスワードを指定します。

switch(config-if-vrrp) # authentication md5 password2003 spi 0x2003

MD5認証オプションを割り当てて、このオプションの鍵および一意のSPI値を指定します。SPIの有効範囲は0x100~0xFFFFFFFFです。

switch(config-if-vrrp) # no authentication

認証なしオプション(デフォルト)を割り当てます。

インターフェイスのステートに基づいたプライオリティ

追跡機能は、デフォルトでディセーブルです。追跡オプションを指定すると、スイッチ内の他のインターフェイスのステートに基づいて、仮想ルータのプライオリティが変更されます。追跡されたインターフェイスがダウンすると、仮想ルータのプライオリティ値が低下します。追跡されたインターフェイスが起動すると、仮想ルータのプライオリティ値が元の値に戻ります。Cisco MDS 9000ファミリーでは、スイッチ上の指定されたVSANインターフェイスまたは管理インターフェイスのどちらか1つを追跡できます。

仮想ルータのインターフェイス プライオリティを追跡する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface vsan 1

switch(config-if)#

VSANインターフェイス(VSAN 1)を設定します。

ステップ 3

switch(config-if)# vrrp 250

switch(config-if-vrrp) #

仮想ルータを作成します。

ステップ 4

switch(config-if-vrrp) # track interface mgmt 0 priority 2

管理インターフェイスのステートに基づいて変更する仮想ルータのプライオリティを指定します。

switch(config-if-vrrp) # no track

追跡機能をディセーブルにします。

VRRP情報の表示

設定されたVRRP情報を表示するには、 show vrrp vr コマンドを使用します(例 26-7 26-10 を参照)。

例26-7 VRRPによって設定された情報の表示

switch# show vrrp vr 7 interface vsan 2 configuration
vr id 7 configuration
admin state down
priority 100
no authentication
advertisement-Interval 1
preempt yes
tracking interface vsan1 priority 2
protocol IP
 

例26-8 VRRPステータス情報の表示

switch# show vrrp vr 7 interface vsan 2 status
vr id 7 status
MAC address 00:00:5e:00:01:07
Operational state: init
 

例26-9 VRRP統計情報の表示

switch# show vrrp vr 7 interface vsan 2 statistics
vr id 7 statistics
Become master 0
Advertisement 0
Advertisement Interval Error 0
Authentication Failure 0
TTL Error 0
Priority 0 Received 0
Priority 0 Sent 0
Invalid Type 0
Mismatch Address List 0
Invalid Authentication Type 0
Mismatch Authentication 0
Invalid Packet Length 0
 

例26-10 VRRP累積統計情報の表示

switch# show vrrp statistics
Invalid checksum 0
Invalid version 0
Invalid VR ID 0
 

VRRP統計情報のクリア

指定された仮想ルータのすべてのソフトウェア カウンタをクリアするには、 clear vrrp コマンドを使用します(例26-11を参照)。

例26-11 VRRP情報のクリア

switch# clear vrrp 7 interface vsan2
switch#
 

DNSサーバの設定

スイッチ上のDomain Name System(DNS;ドメイン ネーム システム)クライアントはDNSサーバと通信して、IPアドレスとネーム サーバを対応付けます。

次のいずれかの場合は、2回試行されたあと、DNSサーバが削除されることがあります。

IPアドレスまたはスイッチ名が正しく設定されていない場合

外的要因により(制御不可能な理由により)DNSサーバに到達できない場合


) Telnetホストにアクセスするときに、(何らかの理由により)DNSサーバに到達できない場合、スイッチ ログイン プロンプトが表示されるまでの期間が長くなることがあります。この場合は、DNSサーバが正しく設定されていて、到達可能であるかを確認してください。


DNSサーバを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ip domain-lookup

IP DNSに基づく、ホスト名からアドレスへの変換をイネーブルにします。

switch(config)# no ip domain-lookup

IP DNSに基づく、ホスト名からアドレスへの変換をディセーブル(デフォルト)にし、出荷時の設定に戻します。

ステップ 3

switch(config)# no ip domain-name cisco.com

ドメイン名をディセーブルにし、出荷時の設定に戻します。

switch(config)# ip domain-name cisco.com

未修飾のホスト名を完成させるために使用されるデフォルトのドメイン名機能をイネーブルにします(デフォルト)。ドメイン名を含まないIPホスト名(ドットを含まないIPホスト名)は、ドットおよびcisco.comが付加されてから、ホスト テーブルに追加されます。

ステップ 4

switch(config)# ip domain-list harvard.edu

switch(config)# ip domain-list stanford.edu

switch(config)# ip domain-list yale.edu

未修飾のホスト名を完成させるためのデフォルト ドメイン名のフィルタを定義し、ip domain-listグローバル コンフィギュレーション コマンドを使用します。このフィルタには最大10個のドメイン名を定義できます。フィルタから名前を削除するには、このコマンドのno形式を使用します。

switch(config)# no ip domain-list

定義済みフィルタを削除し、出荷時の設定に戻します。デフォルトでは、ドメインは設定されていません。


) ドメイン リストが設定されていない場合は、ip domain-nameグローバル コンフィギュレーション コマンドで指定されたドメイン名が使用されます。ドメイン リストが設定されている場合、デフォルト ドメイン名は使用されません。ip domain-listコマンドはip domain-nameコマンドと似ています。ただし、 ip domain-listコマンドでは、ドメイン リストを定義し、それぞれを順に実行することができます。


ステップ 5

switch(config)# ip name-server 15.1.0.1 15.2.0.0

最初のアドレス(15.1.0.1)をプライマリ サーバとして、2番めのアドレス(15.2.0.0)をセカンダリ サーバとして指定します。最大6つのサーバを設定できます。

switch(config)# no ip name-server

設定済みサーバを削除し、出荷時の設定に戻します。デフォルトでは、サーバは設定されていません。


) (IPアドレスの代わりに)スイッチ名を使用して、DNSエントリを設定することもできます。スイッチ名を設定すると、対応するIPアドレスが自動的に検索されます。


DNSホスト情報の表示

DNS設定を表示するには、 show hosts コマンドを使用します(例26-12を参照)。

例26-12 設定されたホストの詳細の表示

switch# show hosts
Default domain is cisco.com
Domain list:ucsc.edu harvard.edu yale.edu stanford.edu
Name/address lookup uses domain service
Name servers are 15.1.0.1 15.2.0.0
 

デフォルト設定値

表 26-3 に、FSPF機能のデフォルト設定を示します。

 

表 26-3 FSPFのデフォルト設定

パラメータ
デフォルト

FSPF

すべてのEポートおよびTEポートでイネーブルです。

SPF計算

ダイナミック

SPFホールド タイム

0

バックボーン リージョン

0

確認応答インターバル(RxmtInterval)

5秒

リフレッシュ タイム(LSRefreshTime)

30分

最大エージング(MaxAge)

60分

helloインターバル

20秒

デッド インターバル

80秒

配信ツリー情報

主要スイッチ(ルート ノード)から取得します。

ルーティング テーブル

FSPFは指定された宛先への等価コスト パスを16個まで格納します。

ロードバランシング

複数の等価コスト パスの宛先IDおよび送信元IDに基づきます。

順序どおりの配信

ディセーブル

廃棄遅延

ディセーブル

スタティック ルート コスト

ルートのコスト(メトリック)を指定しない場合、デフォルトは10です。

リモート宛先スイッチ

リモート宛先スイッチを指定しない場合、デフォルトは、directです。

マルチキャスト ルーティング

主要スイッチを使用してマルチキャスト ツリーを計算します。