Catalyst 2900/3500 シリーズ XL ソフトウェア コンフィギュレーション ガイド
スイッチ ポートの設定
スイッチ ポートの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

スイッチ ポートの設定

ポート速度およびデュプレックス モードの変更

自動ネゴシエーションを行わないデバイスとの接続

半二重バック プレッシャ

全二重フロー制御

速度およびデュプレックス パラメータの設定

ギガビット イーサネット ポートのフロー制御の設定

フラッディング制御の設定

ストーム制御のイネーブル化

ストーム制御のディセーブル化

ポートでのフラッディング トラフィックのブロック

ポートでの通常の転送の再開

ネットワーク ポートのイネーブル化

ネットワーク ポートのディセーブル化

単一方向リンク検出の設定

EtherChannelポート グループの作成

EtherChannelポート グループの概要

スタティック アドレス転送におけるポート グループの制限事項

EtherChannelポート グループの作成

保護ポートの設定

ポート セキュリティのイネーブル化

最大セキュア アドレス数の設定

ポート セキュリティのイネーブル化

ポート セキュリティのディセーブル化

ポート セキュリティ エージングの設定

SPANの設定

SPANのイネーブル化

SPANのディセーブル化

音声ポートの設定

を接続するためのポートの準備

に接続するポートの設定

着信フレームのCoSプライオリティの変更

音声とデータのトラフィックを異なるVLANで送信するための音声ポートの設定

ポートのインライン パワーの設定

スイッチ ポートの設定

この章では、スイッチ ポートの設定変更について説明します。

「ポート速度およびデュプレックス モードの変更」

「フラッディング制御の設定」

「単一方向リンク検出の設定」

「EtherChannelポート グループの作成」

「保護ポートの設定」

「ポート セキュリティのイネーブル化」

「SPANの設定」

「音声ポートの設定」

「Catalyst 3524-PWRポートのインライン パワーの設定」


) Catalyst 2900 LRE XLスイッチの場合、スイッチのLREポートに接続するLong-Reach Ethernet(LRE)Customer Premises Equipment(CPE;顧客宅内機器)デバイスにイーサネット リンクを設定することもできます。



) ポート機能によっては、他のポート機能と矛盾する場合があります。ポート設定を変更する場合は、あらかじめ「矛盾する設定の防止」を参照してください。


Cluster Management Suite(CMS)を使用した設定の詳細については、オンライン ヘルプを参照してください。

このスイッチのソフトウェア リリースは、Cisco IOS Release 12.0に基づいています。このリリースは、Catalyst 2900 XLおよびCatalyst 3500 XLスイッチ用の機能セットをサポートするように拡張されています。この章では、これらのスイッチ用に作成または変更されたコマンドの使用手順だけを扱っています。これらのコマンドの詳細については、スイッチのコマンド リファレンスを参照してください。このマニュアルでは、Cisco IOS Release 12.0のコマンド、およびCisco.comで提供されているCisco IOS Release 12.0マニュアルに記載されている情報は扱いません。

ポート速度およびデュプレックス モードの変更


注意 スイッチの管理に使用しているポートを再設定すると、Spanning-Tree Protocol(STP;スパニングツリー プロトコル)の再構成のため、一時的に接続が切断されることがあります。


) CPEイーサネット ポートの設定には特有の考慮事項があり、スイッチ10/100ポートとはデフォルト設定も異なります。この情報については、「CPEイーサネット リンク」に記載されているCPEデバイスの考慮事項を参照してください。


デュプレックス モードおよび速度を設定する場合は、次の考慮事項に従ってください。

ギガビット イーサネット ポートの速度は常に1000 Mbpsに設定されますが、接続デバイスとの間で、全二重または半二重のネゴシエーションが可能です。

ギガビット イーサネット ポートの設定値が接続デバイスの設定値と一致していない場合、接続が切断され、統計情報は生成されません。

Asynchronous Transfer Mode(ATM;非同期転送モード)ポートは常に全二重に設定され、デュプレックスまたは速度の設定に関する自動ネゴシエーションは行われません。

GigaStack間のスタック接続は、半二重モードで動作します。GigaStack間のポイントツーポイント接続は、全二重モードで動作します。

STPがイネーブルになっている場合、ポートの再構成時にスイッチがループの有無を調べるまでに30秒ほどかかることがあります。STPの再構成が行われている間、ポートLEDはアンバーに点灯します。

自動ネゴシエーションを行わないデバイスとの接続

自動ネゴシエーションを行わないリモートの100BASE-Tデバイスと接続する場合、デュプレックスをfullまたはhalfに設定し、速度をautoに設定します。接続先デバイスが自動ネゴシエーションを行わない場合にも、速度設定に関する自動ネゴシエーションによって正しい速度が選択されますが、デュプレックスについては明示的に設定する必要があります。

自動ネゴシエーションを行わないリモートのギガビット イーサネット デバイスと接続する場合は、ローカル デバイス上で自動ネゴシエーションをディセーブルに設定し、さらに、デュプレックスおよびフロー制御のパラメータを接続デバイスと一致させます。

半二重バック プレッシャ

半二重バック プレッシャは、半二重スイッチ ポートが着信パケットを受信できない場合に、着信パケットが確実に再送信されるようにします。バック プレッシャがイネーブルに設定されていて、ポートに使用可能なバッファがない場合、スイッチは該当するポートを通じてコリジョン フレームを送信し、送信側ステーションにパケットを再送信させます。その後、スイッチはこの再送信時間を利用して、すでにキューに入っているパケットを送信することにより、受信バッファをクリアします。

全二重フロー制御

全二重フロー制御は、受信側のステーションが受信可能な速度を超えて送信側のステーションがデータまたは制御情報を送信しないようにするための機能です。この機能によって、発信パケットの伝送中の損失が防止できます。接続デバイスが受信して処理できる速度を超えてスイッチがパケットを送信すると、接続デバイスはポート バッファが満杯になった時点で、ポーズ フレームを送信します。1000 Mbpsポートでフロー制御オプション付きの全二重モードを使用すると、そのスイッチ ポートは接続デバイスから送信されたポーズ フレームに応答します。スイッチは、ポート キューに入っている後続の送信を、ポーズ フレームに指定された時間だけ差し控えます。ポーズ フレームを受信しなくなるか、またはポーズ フレームで指定された時間が経過すると、スイッチは再びそのポート経由でフレームを送信します。

速度およびデュプレックス パラメータの設定


) CPEイーサネット ポート上のイーサネット リンクの設定には特殊な考慮事項があり、スイッチ10/100ポートとはデフォルト設定も異なります。詳細については、「LREポートの設定」を参照してください。


10/100ポートの速度およびデュプレックス パラメータを設定するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

speed { 10 | 100 | auto }

ポートの速度パラメータを入力します。

ギガビット イーサネットまたはATMポートには、速度を入力できません。

ステップ 4

duplex { full | half | auto }

ポートのデュプレックス パラメータを入力します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。これにより、スイッチを再起動しても、設定が維持されます。

ギガビット イーサネット ポートのフロー制御の設定

ギガビット イーサネット ポートでのフロー制御を設定するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

flowcontrol [ asymmetric | symmetric ]

ポートにフロー制御を設定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。これにより、スイッチを再起動しても、設定が維持されます。

フラッディング制御の設定

次のフラッディング機能を使用して、不要なフラッディング トラフィックの転送をブロックすることができます。

ユニキャスト、マルチキャスト、またはブロードキャスト パケットに関するストーム制御をイネーブルにする

ポート単位でユニキャストおよびブロードキャスト パケットの転送をブロックする

すべての不明パケットをネットワーク ポートにフラッディングさせる(CLIを使用してのみ設定可能)


) スイッチは、ストア アンド フォワード スイッチング モードをサポートしています。ストア アンド フォワード モードは、完全なパケットを保管してエラーの有無をチェックしたあと、送信を行います。これは最もエラーが発生しにくいスイッチングの形式です。


ストーム制御のイネーブル化

ポートで大量のブロードキャスト、ユニキャスト、またはマルチキャスト パケットを受信すると、パケット ストームが発生します。このようなパケットを転送すると、ネットワークが低速化したり、タイムアウトが生じることがあります。ストーム制御は、スイッチ全体に対して設定しますが、動作はポート単位です。デフォルトでは、ディセーブルに設定されています。

ストーム制御では、ブロードキャスト、ユニキャスト、またはマルチキャスト パケットの転送をブロックするパケット数のスレッシュホールド(上限)、および転送を再開するパケット数のスレッシュホールド(下限)を指定します。上限スレッシュホールドに達した時点でスイッチがポートをシャットダウンするように設定することもできます。

上限スレッシュホールドは、スイッチ ポートが受信できるパケット数の限界であり、これを超えるとパケット転送がブロックされます。下限スレッシュホールドは、スイッチが通常の転送を再開するパケット数です。一般に、スレッシュホールドが大きいほど、ブロードキャスト ストームを防ぐ機能が弱くなります。100BASE-Tリンクの場合、半二重伝送数は最大で148,000パケット/秒ですが、最大で4,294,967,295ブロードキャスト パケット/秒のスレッシュホールドを入力できます。

ブロードキャスト ストーム制御をイネーブルにするには、イネーブルEXECモードで次の手順を行います(マルチキャスト パケットに関するストーム制御をイネーブルにするには、 port storm-control multicast コマンドを使用します。ユニキャスト パケットに関するストーム制御をイネーブルにするには、 port storm-control unicast コマンドを使用します)。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

port storm-control broadcast [ threshold { rising rising-number falling falling-number}]

ブロードキャスト パケットの上限および下限のスレッシュホールドを入力します。

上限(rising)スレッシュホールドには、下限(falling)スレッシュホールドより大きい値を指定します。

ステップ 4

port storm-control trap

ポートのトラフィックが上限または下限スレッシュホールドを超えたときに、SNMPトラップを生成します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show port storm-control [ interface ]

設定を確認します。

ストーム制御のディセーブル化

ブロードキャスト ストーム制御をディセーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

no port storm-control broadcast

ポートでのストーム制御をディセーブルにします。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show port storm-control [ interface ]

設定を確認します。

ポートでのフラッディング トラフィックのブロック

デフォルトでは、スイッチは、宛先MACアドレスが不明のパケットをすべてのポートにフラッディングします。ただし、コンフィギュレーションによってはフラッディングは不要です。たとえば、アドレスがすべて手動で割り当てられているポートには、不明の宛先は存在しないので、フラッディングは必要ありません。したがって、ポート単位でユニキャストおよびマルチキャスト パケットのフラッディングをディセーブルにできます。通常、フラッディング トラフィックはVLANの境界を越えませんが、マルチVLANポートは、属するすべてのVLANにトラフィックをフラッディングします。

ポートに対するマルチキャストおよびユニキャスト パケットのフラッディングをディセーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

port block multicast

ポートへの不明のマルチキャストの転送をブロックします。

ステップ 4

port block unicast

ポートへの不明のユニキャストのフラッディングをブロックします。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show port block { multicast | unicast } interface

設定を確認します。 multicast オプションと unicast オプションを用いて、それぞれ1回ずつ該当するコマンドを入力します。

ポートでの通常の転送の再開

ポートで通常の転送を再開するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

no port block multicast

ポートへの不明のマルチキャストの転送をイネーブルにします。

ステップ 4

no port block unicast

ポートへの不明のユニキャストのフラッディングをイネーブルにします。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show port block { multicast | unicast } interface

設定を確認します。 multicast オプションと unicast オプションを用いて、それぞれ1回ずつ該当するコマンドを入力します。

ネットワーク ポートのイネーブル化

ネットワーク ポートはVLAN単位で割り当てられます。ネットワーク ポートにより、ネットワーク上の不必要なフラッディング トラフィックを削減できます。スイッチは、不明の宛先アドレスのトラフィックすべてを、VLAN内の全ポートにフラッディングする代わりに、ネットワーク ポートに転送します。

ネットワーク ポートとしてポートを設定すると、スイッチは対応づけられたすべてのアドレスをアドレス テーブルから削除し、ネットワーク ポートでのアドレス ラーニングをディセーブルにします。VLAN内の他のポートをセキュア ポートとして設定した場合には、セキュア ポート上のアドレスは期限切れになりません。ネットワーク ポートが設定されていないVLANにネットワーク ポートを移すと、そのポートが新しいVLANのネットワーク ポートになります。

ネットワーク ポート上のユニキャストおよびマルチキャスト フラッディングの設定は変更できません。ネットワーク ポートはVLANごとに1つしか割り当てられません。ネットワーク ポートに適用される制限については、「パスワードおよびイネーブル レベルの割り当て」を参照してください。


注意 ネットワーク ポートには、クラスタ メンバーを接続できません。

ネットワーク ポートを定義するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

port network

ポートをネットワーク ポートとして定義します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ネットワーク ポートのディセーブル化

ネットワーク ポートをディセーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

no port network

ポートのネットワーク ポート設定をディセーブルにします。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

単一方向リンク検出の設定

UniDirectional Link Detection(UDLD;単一方向リンク検出)は、単一方向リンクを検出してシャットダウンするレイヤ2プロトコルです。スイッチ全体、または個々のポートを対象にしてUDLDを設定できます。UDLDによってシャットダウンされたポートをリセットするには、udld resetコマンドを使用します。

スイッチでUDLDを設定するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

udld enable

すべてのスイッチ ポートでUDLDをイネーブルにします。

特定のポートでUDLDをイネーブルにするには、 udld インターフェイス コンフィギュレーション コマンドを使用します。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

実行コンフィギュレーションを表示して、設定を確認します。

ポートを自動的にエラー ディセーブル ステートにするには、 errdisable detect cause udld グローバル コンフィギュレーション コマンドを使用します。エラー ディセーブル ステートは、ポート上でUDLD関連のエラー状況が検出されたときのリンク ダウン ステートと類似した動作ステートです。

errdisable recovery グローバル コンフィギュレーション コマンドを使用すると、ポートは指定された時間が経過すると自動的に再びイネーブルになり、動作を再開できるようになります。ポートはUDLDエラー状況が解決されるまで、エラー ディセーブルおよび回復サイクルを続けます。


errdisableコマンドは、Catalyst 2900 LRE XLスイッチでは使用できません。


EtherChannelポート グループの作成

Fast EtherChannel(FEC)およびGigabit EtherChannelポート グループは、スイッチ間、またはスイッチとサーバ間で広帯域接続を行う単一論理ポートとして動作します。


) ギガビット イーサネット ポートで構成されるポート グループ、または100BASE-TXポートで構成されるポート グループを作成できますが、同時に両方のポート速度を含むポート グループを作成することはできません。


ポート グループに適用される制限については、「矛盾する設定の防止」を参照してください。

EtherChannelポート グループの概要

このソフトウェア リリースは、2つの異なるタイプのポート グループをサポートしています。送信元ベースの転送ポート グループおよび宛先ベースの転送ポート グループです。

送信元ベースで転送するポート グループは、着信パケットの送信元アドレスに基づいて、グループに転送されたパケットを配信します。送信元ベースの転送ポート グループには、最大8つのポートを設定できます。デフォルトでは、送信元ベースの転送がイネーブルに設定されます。

宛先ベースで転送するポート グループは、着信パケットの宛先アドレスに基づいて、グループに転送されたパケットを配信します。宛先ベースのポート グループに設定できるポート数に、制限はありません。

最大12のポート グループを作成できます。1つのグループ内のポートはすべて同じタイプでなければなりません。たとえば、すべて送信元ベースのポートか、またはすべて宛先ベースのポートを使用します。送信元ベースのポート グループおよび宛先ベースの送信元グループを設定できます。スイッチをリンクするポート グループはそれぞれ個別に設定できますが、ポート グループの両端の設定が一致している必要があります。

図 7-1では、2台のワークステーションで構成されたポート グループがルータと通信しています。ルータは単一MACアドレス デバイスなので、送信元ベースの転送によって、スイッチがルータの全帯域を使用することが保証されます。ルータには、宛先ベースの転送が設定されます。これにより、多数のステーションにおいて、ルータのポート グループ ポートを介してトラフィックが均等に分散されます。

図 7-1 送信元ベースの転送

 

スイッチはポート グループを1つの論理ポートとして扱うので、ポート グループを作成すると、最初のポートのコンフィギュレーションがグループに追加されたすべてのポートに使用されます。ポートを追加し、転送方式を変更すると、グループ内の全ポートで転送方法が変更されます。グループの作成後に、グループの1つのポートでSTPまたはVLANメンバーシップ パラメータを変更すると、全ポートのパラメータが自動的に変更されます。ポート グループごとに、不明のマルチキャスト、ブロードキャスト、およびSTPパケットを転送するポートが1つずつあります。


) LREインターフェイスを設定してポート グループ(EtherChannel)に参加することはできません。コマンドライン インターフェイス コンフィギュレーション コマンドport group は、LREインターフェイスには使用できません。EtherChannelを設定できるのは、通常の10/100 FEポートおよびGEポートです。


スタティック アドレス転送におけるポート グループの制限事項

ポート グループに転送されるスタティック アドレスを入力する場合、次の制限事項があります。

ポート グループが送信元のMACアドレスに基づいて転送を行う場合には(デフォルトの設定)、グループ内の全ポートに転送されるように、スタティック アドレスを設定してください。これにより、パケット損失の可能性が少なくなります。

ポート グループが宛先アドレスに基づいて伝送を行う場合には、ポート グループ内の1つのポートのみに転送されるように、スタティック アドレスを設定してください。これにより、重複パケットが送信される可能性が少なくなります。詳細については、「スタティック アドレスの追加」を参照してください。

EtherChannelポート グループの作成

2ポートのグループを作成するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、グループに追加する第1ポートを入力します。

ステップ 3

port group 1 distribution destination

宛先ベースの転送を指定して、グループ1にポートを割り当てます。

ステップ 4

interface interface

グループに追加する2番目のポートを入力します。

ステップ 5

port group 1 distribution destination

宛先ベースの転送を指定して、グループ1にポートを割り当てます。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show running-config

設定を確認します。

保護ポートの設定

アプリケーションによっては、同一スイッチ上のポート間で、レイヤ2プロトコルによるトラフィックを転送しないことを要求する場合があります。このような環境では、同一スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換は行われず、同一スイッチ上のポート間トラフィックは、ルータなどのレイヤ3デバイスを介して転送されます。

この要件を満たすには、Catalyst 2900 XLおよびCatalyst 3500 XLのポートを保護ポート(またはプライベートVLANエッジ ポート)として設定します。保護ポートは、同一スイッチ上の他の保護ポートに対してトラフィックを転送しません。したがって、保護ポート間のすべてのトラフィック(ユニキャスト、ブロードキャスト、およびマルチキャスト)を、レイヤ3デバイスを介して転送する必要があります。保護ポートは非保護ポートに対しては任意タイプのトラフィックを転送でき、他のスイッチ上の全ポートに対しても通常の転送を行います。


) 状況によっては、MACアドレスが期限切れになったり、スイッチによって学習されないことが原因で、非保護ポートからの不明ユニキャスト トラフィックが保護ポートにフラッディングされることがあります。このような場合、ポートへのユニキャストおよびマルチキャスト トラフィックのフラッディングを防止するには、port blockコマンドを使用します。詳細については、「フラッディング制御の設定」を参照してください。


ポートを保護ポートとして定義するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

port protected

ポートで保護ポート設定をイネーブルにします。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show port protected

保護ポート オプションがイネーブルに設定されていることを確認します。

保護ポート オプションをディセーブルにするには、port protectedインターフェイス コンフィギュレーション コマンドのno形式を使用します。

ポート セキュリティのイネーブル化

セキュア ポートは、ユーザ定義のステーション グループのみが使用できるポートです。セキュア ポートにセキュア アドレスを割り当てると、スイッチは定義されたグループ以外の送信元アドレスを持つパケットを転送しません。アドレスを1つのみ指定して、セキュア ポートのアドレス テーブルを設定すると、そのポートに接続するワークステーションまたはサーバは、ポートの全帯域の使用が保証されます。ポート保護の一環として、ポートのアドレス テーブルのサイズを定義することもできます。

セキュア ポートは、次の条件のもとで、アドレス セキュリティ違反を生成します。

セキュア ポートのアドレス テーブルが満杯で、かつ着信パケットのアドレスがテーブルにない場合

着信パケットの送信元アドレスが、別のポートのセキュア アドレスとして割り当てられている場合

セキュア ポートに接続できるデバイス数を制限すると、次のような利点が得られます。

専用帯域 ― アドレス テーブルのサイズを1に設定すると、接続デバイスはポートの全帯域を使用できることが保証されます。

セキュリティの追加 ― 未知のデバイスはポートに接続できません。

ポート セキュリティの検証、またはセキュリティ違反を確認するオプションは、次のとおりです。

 

Interface

保護対象のポートを指定します。

Security

ポート上でポート セキュリティ機能をイネーブルにします。

Trap

アドレス セキュリティ違反が発生したとき、トラップを発行します。

Shutdown Port

アドレス セキュリティ違反が発生したとき、ポートをディセーブルにします。

Secure Addresses

このポートのアドレス テーブルに設定されているアドレス数を示します。セキュア ポートには、最低1つのアドレスがあります。

Max Addresses

このポートのアドレス テーブルに設定できるアドレス数を示します。

Security Rejects

ポートで検出された不正アドレス数を示します。

セキュア ポートに適用される制限については、「矛盾する設定の防止」を参照してください。

最大セキュア アドレス数の設定

1つのセキュア ポートに、1~132のセキュア アドレスを対応づけることができます。ポートのMACアドレス テーブルにアドレスを1つ登録すると、接続デバイスがそのポートの全帯域を使用できることが保証されます。

ポート セキュリティのイネーブル化

ポート セキュリティをイネーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

保護するポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

port security max-mac-count 1

ポートを保護し、アドレス テーブルを1アドレスに設定します。

ステップ 4

port security action shutdown

セキュリティ違反が発生したときに、シャットダウンするようにポートを設定します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show port security

設定を確認します。

ポート セキュリティのディセーブル化

ポート セキュリティをディセーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

ポート セキュリティをディセーブルにするポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

no port security

ポート セキュリティ機能をディセーブルにします。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show port security

設定を確認します。

ポート セキュリティ エージングの設定

ポート セキュリティ エージング機能を使用して、ポート上のすべてのダイナミックおよびスタティック セキュア アドレスの存続時間を設定できます。ポート セキュリティ エージングをポートでイネーブルにすると、そのポート上のセキュア アドレスは、指定された時間だけ非アクティブな状態が続いた場合に限り、削除されます。

既存のセキュアMACアドレスを手動で削除する代わりに、この機能を使用してセキュア ポートでPCの削除および追加を行い、ポート上のセキュア アドレス数を制限することができます。

ポート セキュリティ エージング機能をイネーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

ポート セキュリティ エージングをイネーブルにするポートについて、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

port security aging time time

このポートでポート セキュリティ エージングをイネーブルにし、エージング時間を設定します。 time には、このポートのエージング時間を指定します。有効な範囲は、0~1440分です。0を指定すると、このポートについてはエージング機能がディセーブルになります。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show port security [ interface-id ]

設定を確認します。

ポート上のすべてのセキュア アドレスについてポート セキュリティ エージングをディセーブルにするには、no port security aging time インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート1で、ポート セキュリティ エージング タイムを2時間に設定する例を示します。

Switch(config)#interface fa0/1
Switch(config-if)#port security aging time 120
 

SPANの設定

ポートの着信および発信トラフィックを同じVLAN内の別のポートに転送することにより、特定のポートのトラフィックをモニタするには、Switch Port Analyzer(SPAN;スイッチ ポート アナライザ)を使用します。SPANポートは、異なるVLANに属するポートをモニタすることはできません。また、SPANポートはスタティック アクセス ポートでなければなりません。任意の数のポートをSPANポートとして定義でき、任意の組み合わせでポートをモニタできます。

SPANポートに適用される制限については、「矛盾する設定の防止」を参照してください。

SPANのイネーブル化

SPANをイネーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、モニタ ポートとして動作するポートを指定します。

ステップ 3

port monitor interface

ポートでポート モニタ機能をイネーブルにします。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

SPANのディセーブル化

SPANをディセーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、モニタ ポートのポート番号を入力します。

ステップ 3

no port monitor interface

ポートでポート モニタ機能をディセーブルにします。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

音声ポートの設定

Catalyst 2900 XLおよびCatalyst 3500 XLスイッチは、Cisco IP Phoneに接続して、IP音声トラフィックを伝送できます。必要に応じてCatalyst 3524-PWR XLを使用して、電話機に接続する回路に電力を供給できます。Catalyst 3524-PWR XLインライン パワーの詳細については、「Catalyst 3524-PWRポートのインライン パワーの設定」を参照してください。

データ伝送が均質性に欠ける場合、IP Phoneの音質が低下することがあります。そのため、スイッチでは、IEEE 802.1p Class of Service(CoS;サービス クラス)に基づくQuality of Service(QoS;サービス品質)を使用しています。QoSは、分類およびスケジューリングを使用して、スイッチからのネットワーク トラフィックを予測可能な方法で伝送します。Cisco IP Phoneまたはアクセス ポートそのものも設定可能なデバイスであり、802.1pプライオリティに基づいてトラフィックを伝送するように設定できます。Cisco IP Phoneまたはアクセス ポイントによって割り当てられたトラフィック プライオリティを、Catalyst 3524-PWR XLが採用するか、それとも無視するかを、CLIで設定できます。

たとえば、Cisco 7960 IP Phoneには、統合3ポート10/100スイッチが含まれています。これらのポートは、次のデバイスへの接続専用です。

ポート1は、Catalyst 3524-PWR XLスイッチまたは他のVoIPデバイスに接続します。

ポート2は、通話トラフィックを伝送する内部10/100インターフェイスです。

ポート3は、PCまたは他のデバイスに接続します。

図 7-2に、Cisco 7960 IP Phoneのコンフィギュレーション例を示します。

図 7-2 Catalyst 3524-PWR XLスイッチに接続されたCisco 7960 IP Phone

 

Cisco IP Phoneを接続するためのポートの準備

IP音声トラフィックを伝送するようにCatalyst 3524-PWR XLポートを設定する前に、ポートを802.1QトランクおよびVVID(音声VLAN)のメンバーとして設定しておく必要があります。設定の手順については、「トランク ポートの設定」を参照してください。

Cisco IP Phoneに接続するポートの設定

Cisco IP Phoneは、PCまたは他のデバイスとの接続もサポートしているので、Catalyst 3524-PWR XLスイッチをCisco IP Phoneに接続するポートには、さまざまな種類のトラフィックが流れる可能性があります。Cisco IP Phoneに接続するポートを設定する方法には、次の3通りがあります。

すべてのトラフィックを、ポートのデフォルトのCoSプライオリティに従って伝送する設定(これがデフォルトです)。

電話機により音声トラフィックに高いプライオリティが与えられ、すべてのトラフィックを同一VLANで伝送する設定。

音声トラフィックとデータ トラフィックを個別のVLANで伝送し、音声トラフィックに常にCoSプライオリティ5を与える設定。

音声トラフィックに高いプライオリティを与えるように電話機に指示し、すべてのトラフィックを802.1QネイティブVLAN経由で伝送するようにポートを設定するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

switchport voice vlan dot1p

スイッチ ポートが音声トラフィックに関して802.1pプライオリティ タギングを使用し、VLAN 0(デフォルトのネイティブVLAN)を使用してすべてのトラフィックを伝送するように指示します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show interface interface switchport

ポート コンフィギュレーションを確認します。

着信フレームのCoSプライオリティの変更

Cisco IP Phoneのポートには、PCまたは他のデータ用デバイスを接続できます。PCは、CoS値が割り当てられたパケットを生成することがあります。Catalyst 3524-PWR XLのCLIを使用して、接続デバイスからIP Phoneのポートに着信するフレームのプライオリティを書き換えることができます。また、IP Phoneのポートに着信するフレームのプライオリティを受け入れる(信頼する)ように設定することも可能です。

Cisco IP Phoneの非音声ポートから受信したCoSプライオリティ設定値を書き換えるには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するスイッチ ポートを入力します。

ステップ 3

switchport priority extend cos 3

PCまたは接続デバイスから受信したプライオリティを書き換え、受信したデータをプライオリティ3で転送するように、IP Phoneのポートを設定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show interface interface switchport

変更を確認します。

ポートをデフォルトの設定に戻すには、no switchport priority extendコマンドを使用します。

音声とデータのトラフィックを異なるVLANで送信するための音声ポートの設定

Cisco 7960 IP Phoneには、PCまたは他のデバイスに接続できる統合3ポート10/100スイッチが内蔵されています。スイッチ ポートを設定して、音声トラフィックとデータ トラフィックを異なるVLANに転送できます。

次のコンフィギュレーションでは、VLAN 1がデータ トラフィックを伝送し、VLAN2が音声トラフィックを伝送します。このコンフィギュレーションでは、すべてのCisco IP Phoneおよび他の音声関連デバイスを、VLAN2に属するスイッチ ポートに接続する必要があります。

Cisco IP Phone からの音声とデータを異なるVLANで受信するようにポートを設定するには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

switchport priority default (0)

スイッチ ポートで受信したタグなしのトラフィックに、IEEE 802.1pプライオリティを割り当てます。Cisco IP Phone は、このトラフィックをネイティブVLANのVLAN 1経由で転送します。

ステップ 4

switchport voice vlan (2)

Cisco IP Phone がすべての音声トラフィックをVLAN2経由で転送するように設定します。Cisco IP Phoneは、これらのトラフィックを802.1pプライオリティ5で転送します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show interface interface switchport

設定を確認します。

Catalyst 3524-PWRポートのインライン パワーの設定

Catalyst 3524-PWR XLスイッチは、回路に電力が供給されていないことを検知した場合、接続されているCisco IP Phoneおよびシスコ製のアクセス ポイントに自動的にインライン パワーを供給します。回路に電力が供給されていれば、スイッチは電力を供給しません。また、Catalyst 3524-PWR XLスイッチがこれらのデバイスに電力を供給せず、インライン パワー検出メカニズムをディセーブルするように設定することもできます。

Cisco IP Phoneおよびアクセス ポイントをAC入力電源に接続し、独自に音声回路へ電力を供給することもできます。

接続されているCisco IP Phoneとの間でIP音声トラフィックを送受信するためのスイッチ ポートの設定手順については、「音声とデータのトラフィックを異なるVLANで送信するための音声ポートの設定」を参照してください。

スイッチ ポート上でインライン パワー検出メカニズムをディセーブルにするには、イネーブルEXECモードで次の手順を行います。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface

インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。

ステップ 3

power inline never

ポートのインライン パワーを永久的にディセーブルにします。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show power inline interface configured

変更を確認します。

スイッチ ポートのインライン パワー検出メカニズムをイネーブルにするには、 power inline auto インターフェイス コンフィギュレーション コマンドを使用します。