Cisco Nexus 1000V セキュリティ設定ガイド 4.2(1)SV2(1.1)
不明なユニキャスト フラッディングのブロック
不明なユニキャスト フラッディングのブロック
発行日;2013/01/16   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

不明なユニキャスト フラッディングのブロック

この章の内容は、次のとおりです。

UUFB について

不明なユニキャスト パケットのフラッディング(UUFB)は、望ましくないトラフィックが VM に到達するセキュリティ リスクを防ぐために、転送パス上の不明なユニキャスト フラッディングを制限します。 UUFB は、vEthernet インターフェイスおよびイーサネット インターフェイスの両方で受信された不明なユニキャスト アドレス宛てのパケットによって、VLAN でフラッディングが発生しないようにします。 UUFB が適用されると、VEM はアップリンク ポートに着信した不明なユニキャスト パケットをドロップします。

不明なユニキャスト パケットをグローバルにディセーブルにした後、ポート プロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでのユニキャスト フラッディングを許可できます。

また、インターフェイスまたはポート プロファイルを設定して、不明なユニキャストがブロックされないようにすることもできます。

UUFB の注意事項と制限事項

  • UUFB を設定する前に、show module コマンドを入力して、VSM の HA ペアとすべての VEM が最新リリースにアップグレードされていることを確認します。
  • 仮想サービス ドメイン(VSD)ポートに対して UUFB を明示的にディセーブルにする必要があります。 これは VSD ポート プロファイルで行うことができます。
  • VMware によって提供される MAC アドレス以外の MAC アドレスを使用して、アプリケーションまたは VM のポートで UUFB を明示的にディセーブルにする必要があります。
  • 不明なユニキャストがブロックされないように、インターフェイスを設定できます。
  • 不明なユニキャスト パケットは、Unified Computing and Servers(UCS)がエンドホストモードで実行されている場合、UCS-Fabric Interconnect によってドロップされます。

UUFB のデフォルト設定

パラメータ

デフォルト

uufb enable

Disabled

switchport uufb disable

Disabled

UUFB の設定

スイッチでの不明なユニキャスト フラッディングのグローバルなブロック

スイッチの転送パスがフラッディングしないように不明なユニキャスト パケットをグローバルにブロックするには、次の手順を使用します。

はじめる前に

この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

手順
     コマンドまたはアクション目的
    ステップ 1 switch# configure terminal 

    グローバル コンフィギュレーション モードに切り替えます。

     
    ステップ 2switch(config)# [no] uufb enable 

    VSM の UUFB をグローバルに設定します。

     
    ステップ 3switch(config)# show uufb status  (任意)

    VSM の UUFB グローバル設定を表示します。

     
    ステップ 4switch(config)# copy running-config startup-config  (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     
    switch# configure terminal
    switch(config)# uufb enable
    switch(config)# show uufb status
    UUFB Status: Enabled
    switch(config)# copy running-config startup-config
    [########################################] 100%
    

    不明なユニキャスト フラッディングを許可するようにインターフェイスを設定する

    VSM のフラッディングをグローバルにブロックした場合に、不明なユニキャスト パケットによって vEthernet インターフェイスがフラッディングするのを許可するには、次の手順を実行します。 グローバル設定に関係なく、特定のインターフェイスで不明なユニキャスト パケットがブロックされないようにする場合も、この手順を使用します。

    すでに不明なユニキャスト パケットをグローバルにブロックしている場合、ポート プロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでユニキャスト フラッディングを許可できます。

    はじめる前に

    この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

    手順
       コマンドまたはアクション目的
      ステップ 1switch# configure terminal  

      グローバル コンフィギュレーション モードに切り替えます。

       
      ステップ 2switch(config)# interface vethernet interface-number 

      指定したインターフェイスに対してインターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 3switch(config)# [no] switchport uufb disable 

      指定されたインターフェイスに対するユニキャスト パケット フラッディングのブロックをディセーブルにします。

       
      ステップ 4switch(config)# show running-config vethernet interface-number  (任意)

      確認のため、インターフェイスの実行コンフィギュレーションを表示します。

       
      ステップ 5switch(config)# copy running-config startup-config  (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       
      switch# configure terminal
      switch(config)# interface vethernet 100
      switch(config-if)# switchport uufb disable
      switch(config-if)# show running-config interface veth100
      
      !Command: show running-config interface Vethernet100
      !Time: Fri Jun 10 12:43:53 2011
      
      version 4.2(1)SV1(4a)
      
      interface Vethernet100
        description accessvlan
        switchport access vlan 30
        switchport uufb disable
      switch(config-if)# copy running-config startup-config
      [########################################] 100%

      不明なユニキャスト フラッディングを許可するようにポート プロファイルを設定する

      VSM のフラッディングをグローバルにブロックした場合に、不明なユニキャスト パケットによる既存の vEthernet ポート プロファイルのインターフェイスのフラッディングを許可するには、次の手順を実行します。 グローバル設定に関係なく、特定のポート プロファイルで不明なユニキャスト パケットがブロックされないようにする場合も、この手順を使用します。

      すでに不明なユニキャスト パケットをグローバルにディセーブルにしている場合は、ポート プロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでのユニキャスト フラッディングを許可できます。

      はじめる前に

      この手順を開始する前に、次のことを確認してください。

      • CLI に EXEC モードでログインしていること。
      • フラッディングを許可する vEthernet ポート プロファイルが設定されていること。
      手順
         コマンドまたはアクション目的
        ステップ 1switch# configure terminal  

        グローバル コンフィギュレーション モードに切り替えます。

         
        ステップ 2 switch(config)# port-profile profile-name 

        指定されたポート プロファイルのコンフィギュレーション モードを開始します。

         
        ステップ 3switch(config-port-prof)# [no] switchport uufb disable 

        指定されたポート プロファイルのすべてのインターフェイスに対するユニキャスト パケット フラッディングのブロックをディセーブルにします。

         
        ステップ 4switch(config-port-prof)# show running-config port-profile profile-name  (任意)

        確認のため、指定されたポート プロファイルの設定を表示します。

         
        ステップ 5switch(config-port-prof)# copy running-config startup-config  (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         
        switch# configure terminal
        switch(config)# port-profile accessprof
        switch(config-port-prof)# switchport uufb disable
        switch(config-port-prof)# show running-config port-profile accessprof
        
        !Command: show running-config port-profile accessprof
        !Time: Fri Jun 10 12:06:38 2011
        
        version 4.2(1)SV1(4a)
        port-profile type vethernet accessprof
          vmware port-group
          switchport mode access
          switchport access vlan 300
          switchport uufb disable
          no shutdown
          description all_access
        switch(config-port-prof)# copy running-config startup-config
        [########################################] 100%
        

        標準

        この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

        不明なユニキャスト パケットをブロックする設定例

        次に、VSM の転送パスがグローバルにフラッディングしないように不明なユニキャスト パケットをブロックする例を示します。

        n1000v# config terminal
        n1000v(config)# uufb enable
        n1000v(config)# show uufb status
        UUFB Status: Enabled
        n1000v(config)# copy running-config startup-config
        [########################################] 100%

        UUFB の機能の履歴

        この表には、機能の追加によるリリースの更新内容のみが記載されています。

        機能名

        リリース

        機能情報

        UUFB

        4.2(1)SV1(4a)

        この機能が導入されました。