Catalyst 6500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド - リリース 12.1 E
Supervisor Engine 1 でのレイヤ 3 プロトコル フィルタリングの設定
Supervisor Engine 1 でのレイヤ 3 プロトコル フィルタリングの設定
発行日;2012/02/02 | 英語版ドキュメント(2011/06/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

Supervisor Engine 1 でのレイヤ 3 プロトコル フィルタリングの設定

レイヤ 3 プロトコル フィルタリングの機能概要

レイヤ 3 プロトコル フィルタリングの設定

レイヤ3 プロトコル フィルタリングのイネーブル化

レイヤ 3 プロトコル フィルタリングのレイヤ2 LAN インターフェイスでの設定

レイヤ3 プロトコル フィルタリング設定の確認

Supervisor Engine 1 でのレイヤ 3 プロトコル フィルタリングの設定


) レイヤ 3 プロトコル フィルタリングは、Supervisor Engine 1 でサポートされます。レイヤ 3 プロトコル フィルタリングは、Supervisor Engine 2 ではサポートされません。


この章では、Catalyst 6500 シリーズ スイッチのレイヤ 2 LAN ポートでレイヤ 3 プロトコル フィルタリングを設定する方法について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Catalyst 6500 Series Switch Cisco IOS Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「レイヤ 3 プロトコル フィルタリングの機能概要」

「レイヤ 3 プロトコル フィルタリングの設定」

レイヤ 3 プロトコル フィルタリングの機能概要

レイヤ 3 プロトコル フィルタリングを設定することで、レイヤ 3 プロトコル パケットをレイヤ 2 LAN ポートで送受信されなくして、VLAN の特定のプロトコルのブロードキャスト ドメインを軽減できます。たとえば、IP パケットだけを許可するように VLAN のレイヤ 2 LAN ポートを設定し、同じ VLAN の別のレイヤ 2 LAN ポートで IP および Internetwork Packet Exchange(IPX)の両方のパケットを許可できます。

レイヤ 2 LAN トランクは、プロトコル フィルタリングをサポートしません。レイヤ 3 プロトコル フィルタリングはトランクに設定できますが、ポートがトランクの場合、この設定は無視されます。

プロトコル フィルタリングはレイヤ 3 インターフェイスに設定できません。レイヤ 3 プロトコル フィルタリングがサポートされるのは、非トランク レイヤ 2 LAN ポートだけです。

レイヤ 3 プロトコル フィルタリングでは、標準および拡張 Cisco IOS ACL で使用できる機能がサポートされません。

Spanning Tree Protocol(STP; スパニング ツリー プロトコル)および Cisco Discovery Protocol(CDP; シスコ検出プロトコル)などのレイヤ 2 プロトコルは、レイヤ 3 プロトコル フィルタリングの影響を受けません。ポート セキュリティがイネーブルにされているレイヤ 2 LAN ポートは、すべてのプロトコル グループのメンバーです。

レイヤ 2 LAN ポートは、各プロトコル グループに対して on off 、または auto のいずれかモードで設定できます。構成が on に設定されている場合、ポートはそのプロトコルのすべてのトラフィックを許可します。構成が off に設定されている場合、ポートはそのプロトコルのトラフィックを許可しません。

構成が auto に設定されている場合、レイヤ 2 LAN ポートは、最初は、ポートからのフラッド トラフィック転送を許可しません。そのポートでパケットが受信されると、ポートは、そのプロトコル グループのトラフィックを転送します。この状態になると、そのプロトコルのパケットが 60 分間受信されない場合、ポートは、フラッド トラフィック転送を許可します。レイヤ 2 LAN ポートは、そのポートでの停止中のリンクがスーパーバイザ エンジンにより検出されると、プロトコル グループから削除されます。

IP および IPX の両方をサポートしているホストが、IPX の auto として設定されているレイヤ 2 LAN ポートに接続されているが、ホストが IP トラフィックだけを転送する場合、このホストが接続されるポートは、フラッディング IPX トラフィックを転送しません。ただし、ホストが IPX パケットを送信する場合、スーパーバイザ エンジン ソフトウェアは、プロトコル トラフィックを検出し、ポートは、フラッディング IPX トラフィックの転送を開始します。ホストが IPX トラフィックの送信を停止した状態が 60 分を超えると、ポートは、フラッディング IPX トラフィックの転送を停止します。

デフォルトでは、レイヤ 2 LAN ポートは、すべてのプロトコル グループで on に設定されます。通常、端末がポートに直接接続されている場合、レイヤ 2 LAN ポートは IP だけで auto に設定してください。

プロトコル フィルタリングは、特定のプロトコルではなく、プロトコルのグループに従って設定されます。定義されるプロトコルには 4 つのグループがあります。

IP

IPX

AppleTalk、DECnet、および Banyan VINES(「グループ」)

これらのいずれのプロトコルにも属さないパケット(「その他」)

レイヤ 3 プロトコル フィルタリングの設定

ここでは、イーサネットタイプ VLAN および任意のタイプのレイヤ 2 LAN ポートでレイヤ 3 プロトコル フィルタリングを設定する方法について説明します。

「レイヤ 3 プロトコル フィルタリングのイネーブル化」

「レイヤ 3 プロトコル フィルタリングのレイヤ 2 LAN インターフェイスでの設定」

「レイヤ 3 プロトコル フィルタリング設定の確認」


) Release 12.1(11b)E 以降では、コンフィギュレーション モードで、EXEC モード レベル コマンドの前に do キーワードを入力することによって、EXEC モード レベル コマンドを入力できます。


レイヤ 3 プロトコル フィルタリングのイネーブル化

レイヤ 3 プロトコル フィルタリングをグローバルにイネーブル化するには、次の作業を行います。

 

コマンド
目的

Router(config)# protocol-filter

レイヤ 3 プロトコル フィルタリングをグローバルでイネーブルにします。

Router(config)# no protocol-filter

レイヤ 3 プロトコル フィルタリングをグローバルでディセーブルにします。

次に、レイヤ 3 プロトコル フィルタリングをグローバルでイネーブルにする例を示します。

Router# configure terminal
Router(config)# protocol-filtering

レイヤ 3 プロトコル フィルタリングのレイヤ 2 LAN インターフェイスでの設定

レイヤ 3 プロトコル フィルタリングをレイヤ 2 LAN ポートで設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface {{ type 1 slot/port } | { port-channel number }}

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# switchport protocol { appletalk | ip | ipx | group } { on | off | auto }

レイヤ 3 プロトコル フィルタリングを LAN ポートで設定します。

Router(config-if)# no switchport protocol { appletalk | ip | ipx | group }

LAN ポートでのレイヤ 3 プロトコル フィルタリングの設定をクリアします。

1.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、IPX パケットだけを許可するように Fast Ethernet ポート 5/8 のプロトコル メンバーシップを設定し、その設定を確認する例を示します。

Router(config)# interface fastethernet 5/8
Router(config-if)# switchport protocol appletalk off
Router(config-if)# switchport protocol ip off
Router(config-if)# switchport protocol ipx on

レイヤ 3 プロトコル フィルタリング設定の確認

レイヤ 3 プロトコル フィルタリングの設定を確認するには、次の作業を行います。

 

コマンド
目的

Router# show protocol-filtering interface {{ type 2 slot/port } | { port-channel number }}

インターフェイス フィルタリング設定を確認します。

2.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、Fast Ethernet ポート 5/8 のレイヤ 3 プロトコル フィルタリング設定を確認する例を示します。

Router# show protocol-filtering interface fastethernet 5/8
Interface IP Mode IPX Mode Group Mode Other Mode
--------------------------------------------------------------------------
Fa5/8 OFF ON OFF OFF
Router#

show protocol filtering コマンドは、少なくとも 1 つのプロトコルがデフォルト以外に設定されているポートだけを表示します。