Catalyst 4000 ファミリー スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド,Cisco IOS Release 12.1(13)EW
ダイナミックVLANメンバーシップの 設定
ダイナミックVLANメンバーシップの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ダイナミックVLANメンバーシップの設定

VMPSの概要

VMPSへのポート名の入力

ダイナミック ポートVLANメンバーシップ

VMPS設定時の注意事項

デフォルトVMPS設定

ダイナミックVLANメンバーシップの設定

VMPSのIPアドレスの入力

VMPSクライアントへのダイナミック ポートの設定

VMPSの管理およびモニタ

再確認間隔の設定

VLANメンバーシップの再確認

ダイナミック ポートVLANメンバーシップのトラブルシューティング

VMPSデータベース コンフィギュレーション ファイル例

ダイナミック ポートVLANメンバーシップ設定例

ダイナミックVLANメンバーシップの設定

この章では、VLAN Membership Policy Server(VMPS;VLANメンバーシップ ポリシー サーバ)を使用してダイナミック ポートVLAN(仮想LAN)メンバーシップを設定する方法について説明します。

この章の主な内容は、次のとおりです。

「VMPSの概要」

「ダイナミックVLANメンバーシップの設定」

「VMPSデータベース コンフィギュレーション ファイル例」


) この章で使用しているコマンドの構文および使用方法の詳細については、『Cisco IOS Command Reference for the Catalyst 4000 Family Switch』および次のURLにある関連マニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/index.htm


VMPSの概要

VMPSを使用し、ポートに接続されたデバイスの送信元MAC(メディア アクセス制御)アドレスに基づいて、VLANにスイッチ ポートを動的に割り当てることができます。ネットワーク内のあるスイッチの1つのポートからネットワーク内にある別のスイッチのポートにホストを移動する場合、そのスイッチはそのホストに適切なVLANを新しいポートへ動的に割り当てます。

Catalyst 4000ファミリー スイッチは、単一エンティティとして管理されるスイッチ クラスタ内でメンバー スイッチまたはコマンド スイッチになることができます。VMPSとメンバー スイッチ間の通信は、コマンド スイッチが管理します。ここでは、VMPSクライアントが常にコマンド スイッチになります。

Catalyst 4000ファミリー スイッチは、VMPSのクライアントとして機能し、VLAN Query Protocol(VQP;VLANクエリ プロトコル )を使用してVMPSと通信します。VMPSがクライアント スイッチからVQP要求を受信すると、VMPSはMACアドレス対VLANのマッピング データベースを検索します。サーバ応答はこのマッピングに基づきます。サーバがセキュア モードの場合、サーバはVLANが許可されないとポートをシャットダウンするか、または単にVLANへのポート アクセスを拒否します。

要求に対する応答では、VMPSは次のいずれかのアクションを実行します。

割り当てられたVLANがポート グループに限定されている場合、VMPSはこのグループに対する要求ポートを確認し、次のように応答します。

VLANがポートで許可されている場合、VMPSはVLAN名を応答としてクライアントに送信します。

VLANがポートで許可されておらず、VMPSがセキュア モードでない場合、VMPSは access-denied 応答を送信します。

VLANがポートで許可されておらず、VMPSがセキュア モードの場合、VMPSは port-shutdown 応答を送信します。

データベース内のVLANが現在のポートのVLANと一致せず、またポートにアクティブ ホストがある場合、VMPSはVMPSのセキュア モードに応じて access-denied または port-shutdown 応答を送信します。

スイッチは access-denied 応答をVMPSから受信すると、MACアドレスとポート間のトラフィックをブロックし続けます。スイッチはポート向けのパケットをモニタし続け、新しいアドレスを識別するとVPMSにクエリを送信します。スイッチがVMPSから port-shutdown 応答を受信すると、スイッチはポートをディセーブルにします。CLI(コマンドライン インターフェイス)、Cisco Visual Switch Manager(CVSM)、またはSNMP(簡易ネットワーク管理プロトコル)を使用してポートを手動で再びイネーブルにする必要があります。

また、セキュリティ上の理由から、コンフィギュレーション テーブル内の明示的なエントリを使用して特定のMACアドレスへのアクセスを拒否できます。VLAN名にnoneキーワードを入力すると、VMPSは access-denied または port-shutdown 応答を送信します。

VMPSへのポート名の入力

VMPSデータベース コンフィギュレーション ファイルでは、ポートの命名にCatalyst 4000ファミリーの表記法を使用する必要があります。たとえば、Fa0/5は固定ポート番号5です。

スイッチがクラスタ メンバーの場合、コマンド スイッチではポート名の「Fa」の前にスイッチ名が追加されます。たとえば、es3%Fa02はメンバー スイッチ3の固定10/100ポート2を指します。VMPSがクラスタをサポートするように設定されている場合、これらの命名規則をVMPSデータベース コンフィギュレーション ファイルで使用する必要があります。

代替VLAN名を設定できます。データベースにないMACアドレスを持つデバイスを接続する場合、VMPSは代替VLAM名をクライアントに送信します。代替VLAN名が設定されておらず、MACアドレスがデータベースにない場合、VMPSは access-denied 応答を送信します。VMPSがセキュア モードの場合は、 port-shutdown 応答を送信します。

ダイナミック ポートVLANメンバーシップ

ダイナミック(非トランキング)ポートは、1つのVLANにのみ属することができます。リンクが立ち上がる際、ポートがVLANに割り当てられるまでスイッチはこのポートへトラフィックを転送しません。ダイナミック ポート上にある新規ホストの最初のパケットにある送信元MACアドレスはVMPSに送信され、VMPSデータベース内でMACアドレスとVLANの照合が行われます。一致する場合、VMPSはそのポート用のVLAN番号を送信します。一致しない場合、(VMPSセキュア モード設定に応じて)VMPSは要求を拒否するか、またはポートをシャット ダウンします。想定されるVMPS応答の詳細については「VMPSの概要」を参照してください。

複数のホスト(MACアドレス)がすべて同じVLANにある場合、これらをダイナミック ポートでアクティブにできます。ダイナミック ポートでリンクがダウンすると、ポートは独立ステートに戻り、VLANに属さなくなります。ポートを通じてオンラインになるホストは、ポートがVLANに割り当てられる前にVMPSですべて再チェックされます。


) ポートで21を超えるホストがアクティブになると、VMPSはダイナミック ポートをシャット ダウンします。


VMPS設定時の注意事項

ダイナミック ポート VLANメンバーシップに関する注意事項および制約事項は、次のとおりです。

ポートをダイナミックに設定する前に、VMPSを設定する必要があります。

スイッチ クラスタとVMPS間の通信はコマンド スイッチで管理され、標準のポート名とは異なるポート命名規則が含まれます。クラスタ ベースの命名規則については、「VMPSへのポート名の入力」を参照してください。

ポートをダイナミックに設定すると、そのポートでスパニングツリーPortFast機能が自動的にイネーブルになります。PortFastモードは、ポートをフォワーディング ステートにするプロセスをスピードアップします。ダイナミック ポートでPortFastモードをディセーブルにできます。

セキュア ポートをダイナミック ポートにすることはできません。ポートをダイナミックにする前に、ポートのポート セキュリティをディセーブルにする必要があります。

トランク ポートをダイナミック ポートにすることはできませんが、トランク ポートに switchport access VLAN dynamicコマンド を入力できます。この場合、スイッチは設定を保存し、後でポートがアクセス ポートになる場合に適用されます。

ダイナミック アクセス設定を有効にする前に、ポートのトランキングをオフにする必要があります。

ダイナミック ポートを、ネットワーク ポートやモニタ ポートにすることはできません。


) VMPSクライアントとVMPSサーバのVLAN Trunking Protocol(VTP;VLANトランキング プロトコル)管理ドメインは一致しなければなりません。


デフォルトVMPS設定

表 9-1 に、クライアント スイッチのデフォルトのVMPSおよびダイナミック ポート設定を示します。

 

表 9-1 デフォルトのVMPSクライアントおよびダイナミック ポート設定

機能
デフォルト設定

VMPSドメイン サーバ

なし

VMPS再確認間隔

60分

VMPSサーバ リトライ カウント

3

ダイナミック ポート

設定なし

ダイナミックVLANメンバーシップの設定

ここでは、VMPSクライアントとしてスイッチを設定する方法、およびそのスイッチのポートをダイナミックVLANメンバーシップに設定する方法について説明します。

ここでは、次の内容について説明します。

「VMPSのIPアドレスの入力」

「VMPSクライアントへのダイナミック ポートの設定」

「VMPSの管理およびモニタ」

「再確認間隔の設定」

「VLANメンバーシップの再確認」

「ダイナミック ポートVLANメンバーシップのトラブルシューティング」

VMPSのIPアドレスの入力

スイッチをクライアントとして設定するには、Catalyst 4000ファミリー スイッチまたはVMPSとして機能する他のデバイスのIPアドレスを入力する必要があります。

VMPSがスイッチ クラスタとして定義されている場合、イネーブルEXECモードで次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# vmps server ipaddress primary

プライマリVMPSサーバとして機能するスイッチのIPアドレスを入力します。

ステップ 3

Switch(config)# vmps server ipaddress

セカンダリVMPSサーバとして機能するスイッチのIPアドレスを入力します。

ステップ 4

Switch(config)# end

イネーブルEXECモードに戻ります。

ステップ 5

Switch# show vmps

VMPSサーバ エントリを確認します。

次に、プライマリおよびバックアップVMPSデバイスを入力する例を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# vmps server 172.20.128.179 primary
Switch(config)# vmps server 172.20.128.178
Switch(config)# end
 
Switch# show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server: 172.20.128.179 (primary, current)
172.20.128.178
 
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
 

VMPSクライアントへのダイナミック ポートの設定

メンバー スイッチのポートをダイナミック ポートに設定する場合、まずイネーブルEXEC rcommand コマンドを使用してメンバー スイッチにログインします 。このコマンドの使用方法については、『 Cisco IOS Command Reference for the Catalyst 4000 Family Switch』 を参照してください。

VMPSクライアント スイッチにダイナミック ポートを設定するには、イネーブルEXECモードで次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

Switch(config)# switchport mode access

ポートをアクセス モードに設定します。

ステップ 4

Switch(config)# switchport access vlan dynamic

ダイナミックVLANアクセスの対象となるポートを設定します。

ステップ 5

Switch(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 6

Switch# show interface interface switchport

エントリを確認します。

次に、ポートをダイナミック アクセス ポートとして設定し、その後でエントリを確認する例を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan dynamic
Switch(config-if)# end
 
Switch# show interface fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative mode: dynamic access
Operational Mode: dynamic access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
 

VMPSの管理およびモニタ

イネーブルEXECモードで show vmps コマンドを使用し、VMPSの情報を表示できます。

スイッチは、次のVMPSに関する情報を表示します。

 

VMPS VQPバージョン

VMPSとの通信に使用するVQPのバージョン。スイッチは、VQPのバージョン1を使用してVMPSに問い合わせます。

再確認間隔

VLAN-MACアドレス割り当てを再確認するまでスイッチが待機する分数。

サーバ リトライ カウント

VQPがVMPSへクエリを再送信する回数。この回数を超えても応答がない場合、スイッチはセカンダリVMPSのクエリを開始します。

VMPSドメイン サーバ

設定されたVLANメンバーシップ ポリシー サーバのIPアドレス。スイッチは、現在currentとマークされたものへクエリを送信しています。primaryとマークされたものは、プライマリ サーバです。

VMPSアクション

最新の再確認試行の結果。再確認間隔が経過した場合に自動的に再確認されるか、イネーブルEXEC vmps reconfirm コマンドまたはCVSMやSNMPの同様のコマンドを入力することで強制的に再確認できます。

VMPS情報を表示する例を示します。この情報は、コマンドまたはメンバー スイッチで入力できます。

Switch# show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server:
 
Reconfirmation status
---------------------
VMPS Action: other
 
The following example shows how to display VMPS statistics:
Switch# show vmps statistics
VMPS Client Statistics
----------------------
VQP Queries: 0
VQP Responses: 0
VMPS Changes: 0
VQP Shutdowns: 0
VQP Denied: 0
VQP Wrong Domain: 0
VQP Wrong Version: 0
VQP Insufficient Resource: 0

 


) VMPS統計情報の詳細については、『Cisco IOS Command Reference for the Catalyst 4000 Family Switch』を参照してください。


再確認間隔の設定

VMPSクライアントは定期的にVMPSから受信したVLANメンバーシップ情報を再確認します。再確認を行う間隔を設定することができます。

クラスタにメンバー スイッチを設定する場合、パラメータはコマンド スイッチの再確認設定と同じ以上でなければなりません。さらに、まずイネーブルEXEC モードでrcommandコマンド を使用してメンバー スイッチにログインする必要があります。このコマンドの使用方法については、『 Cisco IOS Command Reference for the Catalyst 4000 Family Switch』 を参照してください。

再確認間隔を設定するには、イネーブルEXECモードで次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# vmps reconfirm minutes

ダイナミックVLANメンバーシップの再確認間隔を分単位で入力します。

ステップ 3

Switch(config)# end

イネーブルEXECモードに戻ります。

ステップ 4

Switch# show vmps

ダイナミックVLAN再確認ステータスを確認します。

再確認間隔を60分に変更し、VMPS情報を表示してその変更を確認する例を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# vmps reconfirm 60
Switch(config)# end
 
Switch# show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 10
VMPS domain server: 172.20.130.50 (primary, current)
 
Reconfirmation status
---------------------
VMPS Action: No Host
 

VLANメンバーシップの再確認

スイッチがVMPSから受信したダイナミック ポートVLANメンバーシップの割り当てを確認するには、イネーブルEXECモードで次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch(config)# vmps reconfirm

ダイナミック ポートVLANメンバーシップを再確認します。

ステップ 2

Switch# show vmps

ダイナミックVLAN再確認ステータスを確認します。

ダイナミック ポートVLANメンバーシップのトラブルシューティング

VMPSは、次の条件でダイナミック ポートをシャット ダウンします。

VMPSがセキュア モードで、ホストがポートへ接続できない場合。VMPSは、ホストがネットワークに接続しないようにポートをシャット ダウンします。

20を超えるアクティブ ホストがダイナミック ポートにある場合

シャットダウンしたダイナミック ポートを再びイネーブルにするには、インターフェイス コンフィギュレーション モードで no shutdown コマンド を入力します。

VMPSデータベース コンフィギュレーション ファイル例

次に、Catalyst 4000ファミリー スイッチで表示されるVMPSデータベース コンフィギュレーション ファイルの例を示します。VMPSデータベース コンフィギュレーション ファイルはASCIIテキスト ファイルで、VMPSサーバとして機能するスイッチにアクセス可能なTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバに保存されます。

!vmps domain <domain-name>
! The VMPS domain must be defined.
!vmps mode { open | secure }
! The default mode is open.
!vmps fallback <vlan-name>
!vmps no-domain-req { allow | deny }
!
! The default value is allow.
vmps domain WBU
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
!
!MAC Addresses
!
vmps-mac-addrs
!
! address <addr> vlan-name <vlan_name>
!
address 0012.2233.4455 vlan-name hardware
address 0000.6509.a080 vlan-name hardware
address aabb.ccdd.eeff vlan-name Green
address 1223.5678.9abc vlan-name ExecStaff
address fedc.ba98.7654 vlan-name --NONE--
address fedc.ba23.1245 vlan-name Purple
!
!Port Groups
!
!vmps-port-group <group-name>
! device <device-id> { port <port-name> | all-ports }
!
vmps-port-group WiringCloset1
device 198.92.30.32 port Fa1/3
device 172.20.26.141 port Fa1/4
vmps-port-group “Executive Row”
device 198.4.254.222 port es5%Fa0/1
device 198.4.254.222 port es5%Fa0/2
device 198.4.254.223 all-ports
!
!VLAN groups
!
!vmps-vlan-group <group-name>
! vlan-name <vlan-name>
!
vmps-vlan-group Engineering
vlan-name hardware
vlan-name software
!
!VLAN port Policies
!
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
!
vmps-port-policies vlan-group Engineering
port-group WiringCloset1
vmps-port-policies vlan-name Green
device 198.92.30.32 port Fa0/9
vmps-port-policies vlan-name Purple
device 198.4.254.22 port Fa0/10
port-group “Executive Row”

ダイナミック ポートVLANメンバーシップ設定例

図 9-1に、VMPSサーバ スイッチおよびダイナミック ポートを持つVMPSクライアント スイッチのネットワークを示します。この例では、以下を前提とします。

VMPSサーバおよびVMPSクライアントは別のスイッチである。

Catalyst 4000ファミリー スイッチ1がプライマリVMPSサーバである。

Catalyst 4000ファミリー スイッチ3およびスイッチ10がセカンダリVMPSサーバである。

エンド ステーションはこれらのクライアントに接続されている。

Catalyst 2900シリーズXLスイッチ2

Catalyst 2900シリーズXLスイッチ9

データベース コンフィギュレーション ファイルはBldg-G.dbで、IPアドレス172.20.22.7のTFTPサーバに保存されている。

図 9-1 ダイナミック ポートVLANメンバーシップ設定

 

次の手順では、Catalyst 4000ファミリー スイッチがVMPSサーバです。この手順に従って、Catalyst 4000ファミリーおよびCatalyst 2900 XLシリーズ クライアントをネットワークに設定します。


ステップ 1 クライアント スイッチのスイッチ2に、VMPSサーバ アドレスを設定します。

a. イネーブルEXECモードでグローバル コンフィギュレーション モードを開始します。

switch# configuration terminal
 

b. プライマリVMPSサーバのIPアドレスを入力します。

switch(config)# vmps server 172.20.26.150 primary
 

c. セカンダリVMPSサーバのIPアドレスを入力します。

switch(config)# vmps server 172.20.26.152
 

d. VMPS IPアドレスのエントリを確認するには、イネーブルEXECモードに戻ります。

switch#(config) exit
 

e. スイッチに設定されたVMPS情報を表示します。

switch# show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server: 172.20.26.152
172.20.26.150 (primary, current
 

ステップ 2 スイッチ2のポートFa0/1をダイナミック ポートに設定します。

a. グローバル コンフィギュレーション モードに戻ります。

switch# configure terminal
 

b. インターフェイス コンフィギュレーション モードを開始します。

switch(config)# interface fa0/1
 

c. スタティック アクセス ポートのVLANメンバーシップ モードを設定します。

switch(config-if)# switchport mode access
 

d. ポートにダイナミックVLANメンバーシップを割り当てます。

switch(config-if)# switchport access vlan dynamic
 

e. イネーブルEXECモードに戻ります。

switch(config-if)# exit
switch#
 

ステップ 3 ポートFa0/1のエンド ステーション2を接続します。エンド ステーション2がパケットを送信すると、スイッチ2がプライマリVMPSサーバのスイッチ1にクエリを送信します。スイッチ1がポートFa0/1のVLAN IDで応答します。デフォルト設定で、スパニングツリーPortFastモードがダイナミック ポートでイネーブルになるので、ポートFa0/1と即座に接続し転送を開始します。

ステップ 4 VMPSの再確認期間を60分に設定します。再確認期間は、VLANへのMACアドレスの割り当てを再確認するまでスイッチが待機する分数です。

switch# config terminal
switch(config)# vmps reconfirm 60
 

ステップ 5 イネーブルEXECモードからのエントリを確認します。

switch# show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server:
 
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
 

ステップ 6 ステップ1および2を繰り返してVMPSサーバ アドレスを設定し、各VMPSクライアント スイッチにダイナミック ポートを割り当てます。