VLAN コンフィギュレーション ガイド Cisco IOS リリース 15.2(2) E(Catalyst 2960-XR スイッチ)
VMPS の設定
VMPS の設定

VMPS の設定

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

VMPS の前提条件

  • VMPS を設定してから、ポートをダイナミックアクセス ポートとして設定する必要があります。

  • ポートをダイナミックアクセス ポートとして設定すると、そのポートに対してスパニングツリーの PortFast 機能が自動的にイネーブルになります。 PortFast モードにより、ポートをフォワーディング ステートに移行させるプロセスが短縮されます。

VMPS の制約事項

  • IEEE 802.1x ポートをダイナミックアクセス ポートとして設定することはできません。 ダイナミックアクセス(VQP)ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。 IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

  • トランク ポートをダイナミック アクセス ポートにすることはできませんが、トランク ポートに対して switchport access vlan dynamic インターフェイス コンフィギュレーション コマンドを入力することは可能です。 その場合、スイッチの設定は維持され、後にアクセス ポートとして設定された場合には、その設定が適用されます。

    ダイナミックアクセス設定を有効にするには、ポート上でトランキングをオフにしておく必要があります。

  • ダイナミックアクセス ポートをモニタ ポートにすることはできません。

  • セキュア ポートをダイナミックアクセス ポートにすることはできません。 ポートをダイナミックにするには、ポート上でポート セキュリティをディセーブルにしておく必要があります。

  • プライベート VLAN ポートは、ダイナミックアクセス ポートにできません。

  • ダイナミックアクセス ポートを EtherChannel グループのメンバにすることはできません。

  • ポート チャネルをダイナミックアクセス ポートとして設定することはできません。

  • ダイナミックアクセス ポートは、フォールバック ブリッジングに加入できます。

  • VMPS クライアントと VMPS サーバの VTP 管理ドメインは、同じでなければなりません。

  • VMPS サーバ上に設定された VLAN を音声 VLAN にしないでください。

VMPS について

ダイナミック VLAN 割り当て

VLAN Query Protocol(VQP)は、ダイナミックアクセス ポートをサポートする場合に使用します。ダイナミックアクセス ポートは VLAN に永続的に割り当てられるのではなく、ポートで認識された MAC(メディア アクセス コントロール)送信元アドレスに基づいて VLAN を割り当てます。 未知の MAC アドレスが検出されるたびに、switchはリモート VLAN メンバーシップ ポリシー サーバ(VMPS)に VQP クエリーを送信します。そのクエリーには、新たに検出された MAC アドレスおよび検出場所のポートが含まれます。 VMPS はそのポートの VLAN 割り当てで応答します。 このswitchを VMPS サーバにすることはできませんが、VMPS のクライアントとして機能させ、VQP を介して通信することができます。

クライアント switchは新しいホストの MAC アドレスを受信するたびに、VMPS に VQP クエリーを送信します。 このクエリーを受信した VMPS は、データベースで MAC アドレスと VLAN のマッピングを検索します。 サーバの応答は、このマッピングと、サーバがオープン モードかセキュア モードかに基づいて行われます。 セキュア モードの場合、サーバは不正なホストが検出されると、ポートをシャットダウンします。 オープン モードでは、サーバはホストに対してポート アクセスを拒否します。

ポートが未割り当ての場合(つまり、VLAN 割り当てがまだ設定されていない場合)、VMPS は次のいずれかの応答を行います。

  • そのポートでホストが許可されている場合、VMPS は割り当てられた VLAN 名を指定し、ホストへのアクセスを許可する VLAN 割り当て応答をクライアントに送信します。

  • そのポートでホストが許可されておらず、なおかつ VMPS がオープン モードの場合、VMPS はアクセス拒否応答を送信します。

  • そのポートで VLAN が許可されておらず、なおかつ VMPS がセキュア モードの場合、VMPS はポートシャットダウン応答を送信します。

ポートに VLAN 割り当てがすでに設定されている場合、VMPS は次のいずれかの応答を行います。

  • データベース内の VLAN がポート上の現在の VLAN と一致した場合、VMPS は成功応答を送信し、ホストへのアクセスを許可します。

  • データベース内の VLAN がポート上の現在の VLAN と一致せず、なおかつポート上にアクティブ ホストが存在する場合、VMPS は VMPS のセキュア モードに応じて、アクセス拒否またはポートシャットダウン応答を送信します。

VMPS からアクセス拒否応答を受け取った場合、switchはそのホスト MAC アドレスとの間のトラフィックを引き続きブロックします。 switchはポート宛てのパケットを引き続きモニタし、新しいホスト アドレスを検出すると VMPS にクエリーを送信します。 VMPS からポートシャットダウン応答を受信した場合、switchはそのポートをディセーブルにします。 Network Assistant、CLI(コマンドライン インターフェイス)、または SNMP(簡易ネットワーク管理プロトコル)を使用して、ポートを手動で再びイネーブルにする必要があります。

関連資料

ダイナミックアクセス ポート VLAN メンバーシップ

ダイナミックアクセス ポートが所属できるのは、VLAN ID が 1 ~ 4094 の 1 つの VLAN だけです。 リンクがアクティブになっても、VMPS によって VLAN が割り当てられるまで、switchはこのポートとの間のトラフィック転送を行いません。 VMPS は、ダイナミックアクセス ポートに接続した新しいホストの最初のパケットから送信元 MAC アドレスを受信し、VMPS データベースの VLAN とその MAC アドレスを照合します。

一致した場合、VMPS はそのポートの VLAN 番号を送信します。 クライアント switchがまだ設定されていない場合、VMPS からトランク ポートで受信した最初の VTP パケットからのドメイン名を使用します。 クライアント switchがすでに設定されている場合は、クエリ パケットにスイッチのドメイン名を含めて VMPS に送信し、VLAN 番号を取得します。 VMPS はパケット内のドメイン名が自身のドメイン名と一致することを確認した後、要求を受け入れ、クライアントに割り当てられた VLAN 番号を応答します。 一致しない場合、(VMPS セキュア モードの設定に応じて)VMPS は要求を拒否するか、ポートをシャットダウンします。

ダイナミックアクセス ポート上で複数のホスト(MAC アドレス)をアクティブにできますが、それらのホストはすべて同じ VLAN に存在する必要があります。ただし、ポート上でアクティブなホスト数が 20 を超えると、VMPS はダイナミックアクセス ポートをシャットダウンします。

ダイナミックアクセス ポート上でリンクがダウンになると、ポートは切り離された状態に戻り、VLAN の所属から外れます。 ポート経由でオンラインになるホストは VMPS によって VQP 経由で再チェックされてから、ポートが VLAN に割り当てられます。

ダイナミックアクセス ポートは、直接ホスト接続に使用したり、ネットワークに接続したりできます。 switch上のポートごとに、最大 20 個の MAC アドレスを使用できます。 ダイナミックアクセス ポートが一度に所属できる VLAN は 1 つだけですが、VLAN は検出された MAC アドレスに基づいて後で変更されることがあります。

関連資料

デフォルトの VMPS クライアント設定

次の表に、クライアント スイッチ上のデフォルトの VMPS およびダイナミックアクセス ポートの設定を記載します。
表 1 VMPS クライアントおよびダイナミックアクセス ポートのデフォルト設定

機能

デフォルト設定

VMPS ドメイン サーバ

なし

VMPS 再確認インターバル

60 分

VMPS サーバ再試行回数

3

ダイナミックアクセス ポート

未設定

VMPS の設定方法

VMPS の IP アドレスの入力


(注)  


スイッチ クラスタに対して VMPS を定義する場合は、コマンド スイッチにこのアドレスを入力する必要があります。


はじめる前に

スイッチをクライアントとして設定するには、サーバの IP アドレスを最初に入力する必要があります。

手順の概要

    1.    enable

    2.    configure terminal

    3.    vmps server ipaddress primary

    4.    vmps server ipaddress

    5.    end

    6.    show vmps

    7.    copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Switch> enable
    
    
     

    特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

     

    ステップ 2configure terminal


    例:
    
    Switch# configure terminal
    
    
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3vmps server ipaddress primary


    例:
    Switch(config)# vmps server 10.1.2.3 primary
    
    
     

    プライマリ VMPS サーバとして機能するswitchの IP アドレスを入力します。

     
    ステップ 4vmps server ipaddress


    例:
    Switch(config)# vmps server 10.3.4.5
    
    
     

    (任意)セカンダリ VMPS サーバとして機能するswitchの IP アドレスを入力します。

    セカンダリ サーバのアドレスは、3 つまで入力できます。

     
    ステップ 5end


    例:
    Switch(config)# end
    
    
     

    特権 EXEC モードに戻ります。

     
    ステップ 6show vmps


    例:
    Switch# show vmps
    
    
     

    表示された [VMPS Domain Server] フィールドの設定を確認します。

     
    ステップ 7copy running-config startup-config


    例:
    Switch# copy running-config startup-config 
    
    
     

    (任意)コンフィギュレーション ファイルに設定を保存します。

     

    VMPS クライアント上のダイナミックアクセス ポートの設定


    注意    


    ダイナミックアクセス ポート VLAN メンバーシップはエンド ステーション用、またはエンド ステーションに接続されたハブ用です。 他のスイッチにダイナミックアクセス ポートを接続すると、接続が切断されることがあります。


    クラスタ メンバ switchのポートをダイナミックアクセス ポートとして設定する場合には、最初に rcommand 特権 EXEC コマンドを使用して、そのクラスタ メンバ switchにログインします。

    はじめる前に

    ダイナミックアクセス ポートを動作させるには、VMPS に IP 接続できなければなりません。 IP 接続が可能かどうかをテストするには、VMPS の IP アドレスに ping を実行し、応答が得られるかどうかを確認します。


    (注)  


    インターフェイスをデフォルト設定に戻すには、default interface interface-id インターフェイス コンフィギュレーション コマンドを使用します。 インターフェイスをデフォルトのスイッチポート モード(dynamic auto)に戻すには、no switchport mode インターフェイス コンフィギュレーション コマンドを使用します。 アクセス モードをswitchのデフォルト VLAN にリセットするには、no switchport access vlan インターフェイス コンフィギュレーション コマンドを使用します。


    手順の概要

      1.    enable

      2.    configure terminal

      3.    interface interface-id

      4.    switchport mode access

      5.    switchport access vlan dynamic

      6.    end

      7.    show interfaces interface-id switchport

      8.    copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Switch> enable
      
      
       

      特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

       

      ステップ 2configure terminal


      例:
      
      Switch# configure terminal
      
      
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3interface interface-id


      例:
      Switch(config)# interface gigabitethernet 1/0/1
      
      
       

      エンド ステーションに接続するswitch ポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 4switchport mode access


      例:
      Switch(config-if)# switchport mode access
      
      
       

      ポートをアクセス モードに設定します。

       
      ステップ 5switchport access vlan dynamic


      例:
      Switch(config-if)# switchport access vlan dynamic
      
      
       

      ポートをダイナミック VLAN メンバーシップ適格として設定します。

      ダイナミックアクセス ポートは、エンド ステーションに接続されている必要があります。

       
      ステップ 6end


      例:
      Switch(config)# end
      
      
       

      特権 EXEC モードに戻ります。

       
      ステップ 7show interfaces interface-id switchport


      例:
      Switch# show interfaces gigabitethernet 1/0/1 switchport
      
      
       

      表示された [Operational Mode] フィールドの設定を確認します。

       
      ステップ 8copy running-config startup-config


      例:
      Switch# copy running-config startup-config 
      
      
       

      (任意)コンフィギュレーション ファイルに設定を保存します。

       
      関連資料

      VLAN メンバーシップの再確認

      このタスクでは、switchが VMPS から受信したダイナミックアクセス ポート VLAN メンバーシップの割り当てを確認します。

      手順の概要

        1.    enable

        2.    vmps reconfirm

        3.    show vmps


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Switch> enable
        
        
         

        特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

         

        ステップ 2vmps reconfirm


        例:
        Switch# vmps reconfirm
        
        
         

        ダイナミックアクセス ポート VLAN メンバーシップを再確認します。

         
        ステップ 3show vmps


        例:
        Switch# show vmps
        
        
         

        ダイナミック VLAN 再確認ステータスを確認します。

         

        再確認インターバルの変更

        VMPS クライアントは、VMPS から受信した VLAN メンバーシップ情報を定期的に再確認します。 この再確認を行う間隔を分単位で設定できます。


        (注)  


        クラスタのメンバ switchを設定する場合、このパラメータはコマンド switchの再確認インターバルの設定値以上でなければなりません。 また、メンバー switchにログインするには、最初に rcommand 特権 EXEC コマンドを使用する必要があります。


        手順の概要

          1.    enable

          2.    configure terminal

          3.    vmps reconfirm minutes

          4.    end

          5.    show vmps

          6.    copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Switch> enable
          
          
           

          特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

           

          ステップ 2configure terminal


          例:
          
          Switch# configure terminal
          
          
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3vmps reconfirm minutes


          例:
          Switch(config)# vmps reconfirm 90
          
          
           

          ダイナミック VLAN メンバーシップの再確認を行う間隔(分)を設定します。 指定できる範囲は 1 ~ 120 です。 デフォルトは 60 分です。

          (注)     

          スイッチのデフォルト設定に戻すには、no vmps reconfirm グローバル コンフィギュレーション コマンドを使用します。

           
          ステップ 4end


          例:
          Switch(config)# end
          
          
           

          特権 EXEC モードに戻ります。

           
          ステップ 5show vmps


          例:
          Switch# show vmps
          
          
           

          表示された [Reconfirm Interval] フィールドのダイナミック VLAN の再確認ステータスを確認します。

           
          ステップ 6copy running-config startup-config


          例:
          Switch# copy running-config startup-config 
          
          
           

          (任意)コンフィギュレーション ファイルに設定を保存します。

           

          再試行回数の変更

          switchが次のサーバにクエリーを送信する前に VMPS への接続を試行する回数を変更するには、次の手順に従います。

          手順の概要

            1.    enable

            2.    configure terminal

            3.    vmps retry count

            4.    end

            5.    show vmps

            6.    copy running-config startup-config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 enable


            例:
            Switch> enable
            
            
             

            特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

             

            ステップ 2configure terminal


            例:
            
            Switch# configure terminal
            
            
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3vmps retry count


            例:
            Switch(config)# vmps retry 5
            
            
             

            再試行の回数を変更します。 指定できる再試行回数の範囲は 1 ~ 10 です。デフォルトは 3 です。

            (注)     

            switchのデフォルト設定に戻すには、no vmps retry グローバル コンフィギュレーション コマンドを使用します。

             
            ステップ 4end


            例:
            Switch(config)# end
            
            
             

            特権 EXEC モードに戻ります。

             
            ステップ 5show vmps


            例:
            Switch# show vmps
            
            
             

            表示された [Server Retry Count] フィールドの設定を確認します。

             
            ステップ 6copy running-config startup-config


            例:
            Switch# copy running-config startup-config 
            
            
             

            (任意)コンフィギュレーション ファイルに設定を保存します。

             

            ダイナミックアクセス ポート VLAN メンバーシップのトラブルシューティング

            問題    VMPS は次の状況でダイナミックアクセス ポートをシャットダウンします。
            • 問題    VMPS がセキュア モードであり、なおかつホストのポートへの接続を許可しない場合。 VMPS はポートをシャットダウンして、ホストがネットワークに接続できないようにします。
            • 問題    ダイナミックアクセス ポート上のアクティブ ホストが 20 を超えた場合。
            解決法    ディセーブルになっているダイナミックアクセス ポートを再びイネーブルにするには、shutdown インターフェイス コンフィギュレーション コマンドに続けて、no shutdown インターフェイス コンフィギュレーション コマンドを入力します。

            VMPS のモニタリング

            show vmps 特権 EXEC コマンドを使用して、VMPS に関する情報を表示できます。 switchは VMPS に関する次の情報を表示します。

            • VMPS VQP バージョン:VMPS との通信に使用する VQP のバージョン。 switchは VQP バージョン 1 を使用する VMPS にクエリーを送信します。

            • 再確認インターバル:switchが VLAN と MAC アドレスの割り当てを再確認する間隔(分)。

            • サーバ再試行回数:VQP が VMPS にクエリーを再送信する回数。 この回数試行しても応答が得られない場合、switchはセカンダリ VMPS へのクエリーを開始します。

            • VMPS ドメイン サーバ:設定されている VLAN メンバーシップ ポリシー サーバの IP アドレス。 switchスイッチは current と表示されているサーバにクエリーを送信します。 primary と表示されているサーバは、プライマリ サーバです。

            • VMPS 動作:最近の再確認の結果。 再確認は、再確認インターバルが経過したときに自動的に行われますが、vmps reconfirm 特権 EXEC コマンドを入力するか、Network Assistant あるいは SNMP で同等の操作を行うことによって、強制的に再確認することもできます。

            次に、show vmps 特権 EXEC コマンドの出力例を示します。

            Switch# show vmps
            VQP Client Status:
            --------------------
            VMPS VQP Version:   1
            Reconfirm Interval: 60 min
            Server Retry Count: 3
            VMPS domain server: 172.20.128.86 (primary, current)
                                172.20.128.87 
             
            Reconfirmation status
            ---------------------
            VMPS Action:         other
            
            

            VMPS の設定例

            例:VMPS の設定

            図 1. ダイナミック ポート VLAN メンバーシップの構成例. VMPS サーバ スイッチと VMPS クライアント スイッチでダイナミックアクセス ポートを使用するこのネットワークは、次のように設定されます。
            • VMPS サーバと VMPS クライアントは、それぞれ別のスイッチです。

            • Catalyst 6500 シリーズのスイッチ A が、プライマリ VMPS サーバです。

            • Catalyst 6500 シリーズのスイッチ C およびスイッチ J が、セカンダリ VMPS サーバです。

            • エンド ステーションはクライアント(スイッチ B、スイッチ I)に接続されています。

            • データベース コンフィギュレーション ファイルは、IP アドレス 172.20.22.7 の TFTP サーバに保存されています。





            次の作業

            次の設定を行えます。

            • VTP

            • VLAN

            • VLAN トランキング

            • プライベート VLAN

            • トンネリング

            • 音声 VLAN

            その他の関連資料

            関連資料

            関連項目 マニュアル タイトル

            この章で使用するコマンドの完全な構文および使用方法の詳細。

            Catalyst 2960-XR Switch VLAN Management Command Reference

            標準および RFC

            標準/RFC タイトル

            MIB

            MIB MIB のリンク

            本リリースでサポートするすべての MIB

            選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

            http:/​/​www.cisco.com/​go/​mibs

            テクニカル サポート

            説明 リンク

            シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

            お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

            シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

            http:/​/​www.cisco.com/​support

            VMPS の機能履歴と情報

            リリース 変更内容

            Cisco IOS 15.0(2)EX1

            この機能が導入されました。