Catalyst 3750 Metro スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)EY
概要
概要
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

概要

機能

パフォーマンスの特長

管理オプション

管理機能

アベイラビリティ機能

VLAN機能

レイヤ2 Virtual Private Network(VPN;仮想私設網)サービス

レイヤ3 VPNサービス

セキュリティ機能

QoS機能

レイヤ3機能

モニタ機能

初期スイッチ設定後のデフォルト設定値

ネットワーク構成の例

集合住宅用またはEthernet-to-the Subscriberネットワーク

レイヤ2 VPNアプリケーション

レイヤ3 VPNアプリケーション

次の作業

概要

この章では、Catalyst 3750 Metroスイッチ ソフトウェアの概要を説明します。具体的な内容は次のとおりです。

「機能」

「初期スイッチ設定後のデフォルト設定値」

「ネットワーク構成の例」

「次の作業」

機能


) この章で取り上げる一部の機能は、スイッチ ソフトウェア イメージの暗号化バージョン(つまり、暗号化をサポートするバージョン)のみに対応しています。この機能を使用するには、その許可を取得し、Cisco.comからソフトウェアの暗号化バージョンをダウンロードする必要があります。詳細については、現リリースのリリースノートを参照してください。


Catalyst 3750 Metroスイッチには、次の機能があります。

「パフォーマンスの特長」

「管理オプション」

「管理機能」(スイッチ ソフトウェア イメージの暗号化バージョンを必要とする機能を含む)

「アベイラビリティ機能」

「VLAN機能」

「レイヤ2 Virtual Private Network(VPN;仮想私設網)サービス」

「レイヤ3 VPNサービス」

「セキュリティ機能」(スイッチ ソフトウェア イメージの暗号化バージョンを必要とする機能を含む)

「QoS機能」

「レイヤ3機能」

「モニタ機能」

パフォーマンスの特長

ポートの速度を自動検出し、すべてのスイッチ ポートでデュプレックス モードの自動ネゴシエーションを実行して、帯域利用を最適化

10/100 Mbpsインターフェイスおよび10/100/1000 BASE-T/TX Small Form-Factor Pluggable(SFP)インターフェイス上のAutomatic- Medium -Dependent Interface crossover(Auto-MDIX)機能によって、インターフェイスは必要なケーブル接続タイプ(ストレートまたはクロスオーバー)を自動的に検出し、適切に接続を設定

最大1546バイトでフレームのルーティングをサポート。フレームはハードウェアでは最大9000バイト、ソフトウェアでは最大2000バイトでブリッジング

すべてのポートでのIEEE 802.3xフロー制御(スイッチは、ポーズ フレームを送信しない)

EtherChannelにより、フォールトトレランスを高め、スイッチ、ルータ、およびサーバ間に最大2 Gbps(Gigabit EtherChannel)または800 Mbps(Fast EtherChannel)全二重の帯域幅を確保

EtherChannelリンク自動作成用Link Aggregation Control Protocol(LACP)およびPort Aggregation Protocol(PAgP)

ブロードキャスト、マルチキャスト、およびユニキャスト ストーム防止用のポート単位のストーム制御

不明のレイヤ2 ユニキャスト、マルチキャスト、およびブリッジド ブロードキャスト トラフィックの転送時のポート ブロッキング

Cisco Group Management Protocol(CGMP)サーバのサポートおよびInternet Group Management Protocol(IGMP)バージョン1、バージョン2、バージョン3対応のIGMPスヌーピング

(CGMPデバイスの場合)CGMPが特定のエンド ステーションへのマルチキャスト トラフィックを制限し、ネットワーク全般のトラフィックを軽減

(IGMPデバイスの場合)IGMPスヌーピングによってマルチメディア トラフィックとマルチキャスト トラフィックを効率的に転送

Multicast VLAN Registration(MVR)により、マルチキャストVLAN(仮想LAN)内でマルチキャスト ストリームを継続的に送信しながら、加入者VLANからストリームを隔離して帯域およびセキュリティを確保

IGMPフィルタリングにより、スイッチ ポート上のホストが所属できるマルチキャスト グループ セットを管理

IGMP転送テーブルにエントリの最大数が存在する場合のアクションを設定するIGMPスロットリング

マルチキャスト ルータ クエリ単位でIGMPレポート1個のみをマルチキャスト デバイスへ送信するIGMPレポート抑制(IGMPv1またはIGMPv2クエリでのみサポート)

Switch Database Management(SDM)テンプレートによる、ユーザ側で選択する機能へのサポートを最大化するシステム リソースの割り当て

管理オプション

CLI ― Catalyst 3750 Metroスイッチの機能をサポートするように、Cisco IOS CLI(コマンドライン インターフェイス)ソフトウェアが機能拡張されています。CLIにアクセスするには、管理ステーションをスイッチのコンソール ポートに直接接続するか、リモート管理ステーションからTelnet経由で接続します。CLIの詳細については、「CLIの使用方法」を参照してください。

IE2100 ― Cisco Intelligence Engine 2100シリーズConfiguration Registrarは、スイッチ ソフトウェアに組み込まれたCisco Networking Services(CNS)エージェントと連携して動作するネットワーク管理デバイスです。スイッチ固有の設定変更を生成し、その変更をスイッチに送信し、設定変更を実行して結果をロギングすることによって、初期設定および設定のアップデートを自動的に実行できます。

IE2100の詳細については、「IE2100 CNSエージェントの設定」を参照してください。

SNMP ― CiscoWorks2000 LAN Management Suite(LMS)やHP OpenViewなどのSNMP(簡易ネットワーク管理プロトコル)管理アプリケーション。HP OpenViewやSunNet Managerなどのプラットフォームが稼働しているSNMP対応管理ステーションを使用して、スイッチを管理できます。スイッチは、広範囲の拡張MIB(管理情報ベース)セットおよび4種類のRemote Monitoring(RMON)グループをサポートしています。SNMPの詳細については、「SNMPの設定」を参照してください。

管理機能


) ここで説明する暗号化Secure Shell(SSH;セキュア シェル)機能は、スイッチ ソフトウェア イメージの暗号化バージョンでのみ使用可能です。


Cisco IE2100シリーズCNS組み込みエージェントは、スイッチ管理、コンフィギュレーションの保存および配布を自動化します。

Dynamic Host Configuration Protocol(DHCP)は、IPアドレス、デフォルト ゲートウェイ、ホスト名、Domain Name System(DNS;ドメイン ネーム システム)、Trivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバ名などのスイッチ情報の設定を自動化します。

DHCPサーバは、IPアドレスおよびその他DHCPオプションをIPホストへ自動的に割り当てます。

ユニキャスト要求をDNSサーバへ転送し、IPアドレスおよび対応ホスト名からスイッチを識別したり、ユニキャスト要求をTFTPサーバへ転送し、TFTPサーバからソフトウェア アップグレードを管理したりします。

Webブラウザ(HTTP)を使用して、ソフトウェア イメージのダウンロードをサポートします。

Address Resolution Protocol(ARP)により、IPアドレスおよび対応MAC(メディア アクセス制御)アドレスからスイッチを識別します。

ユニキャストMACアドレス フィルタリングは、特定の送信元または宛先MACアドレスを使用して、パケットを廃棄します。

Cisco Discovery Protocol(CDP)バージョン1およびバージョン2により、ネットワーク トポロジーの検出と、ネットワーク上の他のシスコ デバイスとスイッチ間のマッピングを行います。

Network Time Protocol(NTP)により、外部ソースから全スイッチに一貫したタイムスタンプを提供します。

Cisco IOS File System(IFS)により、スイッチが使用するすべてのファイル システムに対する単一のインターフェイスを実現します。

ネットワーク上の複数のCLIセッションに対する、最大16の同時Telnet接続によって帯域内管理が可能です。

ネットワーク上の複数のCLIセッションに対する、最大5つの暗号化された同時SSH接続によって帯域内管理が可能です(スイッチ ソフトウェア イメージの暗号化バージョンが必要です)。

SNMPバージョン1、2、3のgetおよびset要求を使用して帯域内管理が可能です。

スイッチのコンソール ポートから、直接接続された端末、またはシリアル接続またはモデム経由でのリモート端末へのアクセスによって帯域外管理が可能です。

アベイラビリティ機能

HSRPにより、コマンド スイッチとレイヤ3ルータの冗長性を確立します。

UniDirectional Link Detection(UDLD;単一方向リンク検出)およびアグレッシブUDLDが、不適切な光ファイバ配線またはポート障害によって生じる光ファイバ インターフェイス上の単一方向リンクを検出しディセーブル化します。

IEEE 802.1D Spanning-Tree Protocol(STP;スパニングツリー プロトコル)により、冗長バックボーン接続およびループフリー ネットワークを実現します。STPには次の機能があります。

最大128のスパニングツリー インスタンスをサポート

Per-VLAN Spanning-Tree Plus(PVST+)によるVLAN間のロードバランシング

Rapid PVST+によるVLAN間のロード バランシングとスパニングツリー インスタンスの高速コンバージェンス

UplinkFastおよびBackboneFastによって、スパニングツリー トポロジーの変更後に高速コンバージェンスを実行し、ギガビット アップリンクなどの冗長アップリンク間のロードバランシングを実現

IEEE 802.1s Multiple Spanning-Tree Protocol(MSTP)が、複数のVLANをスパニングツリー インスタンスにグループ化し、データ トラフィックとロード バランシング用の複数の転送パスを提供します。さらに、IEEE 802.1w Rapid Spanning-Tree Protocol(RSTP)に基づきRapid
Per-VLAN Spanning-Tree plus(Rapid PVST+)が、ルートとDesignated Port(DP;指定ポート)を即座にフォワーディング ステートに移行することでスパニング ツリーの高速コンバージェンスを実行します。

PVST+、Rapid-PVST+、およびMSTPモードで利用できるオプションのスパニングツリー機能は次のとおりです。

PortFast ― ポートをブロッキング ステートからフォワーディング ステートに即時に移行することで転送遅延を解消

BPDUガード ― Bridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)を受信するPortFast対応ポートをシャットダウン

BPDUフィルタリング ― PortFast対応ポートがBPDUを送受信するのを防止

ルート ガード機能 ― ネットワーク コア外のスイッチがスパニングツリー ルートとして使用されるのを防止

ループ ガード ― 単一方向リンクとなる障害によって代替ポートまたはルート ポートがDPとして使用されるのを防止

等価コスト ルーティングにより、リンクレベルとスイッチレベルの冗長性を確立します。

Flex Linkレイヤ2 インターフェイスは、基本リンク冗長性のためSTPに対する代替として相互にバックアップします。

VLAN機能

最大1005のVLANをサポートし、適切なネットワーク リソース、トラフィック パターン、および帯域に対応付けられたVLANにユーザを割り当てます。

IEEE 802.1Q規格によって許可された1~4094の全範囲のVLAN IDをサポートします。

VLAN Query Protocol(VQP) ― ダイナミックVLANメンバーシップ対応

全ポートでのISL(スイッチ間リンク)およびIEEE 802.1Qトランキング カプセル化によるネットワークの移動、追加、変更、ブロードキャストおよびマルチキャスト トラフィックの管理と制御、高度なセキュリティを要するユーザやネットワーク リソースに対してVLANグループを作成することによるネットワーク セキュリティを実現します。

Dynamic Trunking Protocol(DTP) ― 2つのデバイス間のリンクでのトランキングのネゴシエーション、および使用するトランキング カプセル化タイプ(802.1QまたはISL)のネゴシエーションを行います。

VLAN Trunk Protocol(VTP;VLANトランク プロトコル)およびVTPプルーニング ― フラッディングしたトラフィックをそのトラフィックの受信先に通じるリンクに限定することにより、ネットワーク トラフィックを削減します。

音声VLAN ― Cisco IP Phoneからの音声トラフィック用のサブネットを作成します。

VLAN 1の最小化 ― VLAN 1を任意の個々のVLANトランク リンクでディセーブル化することで、スパニングツリー ループまたはストームのリスクを軽減。この機能をイネーブルにすると、ユーザ トラフィックはトランク上では送受信されません。スイッチCPUは、引き続き制御プロトコル フレームを送受信します。

プライベートVLAN ― VLANスケーラビリティ問題に対処し、制御されたIPアドレスを割り当て、レイヤ2ポートをスイッチの他のポートから切り離します。

Enhanced-Services(ES)ポート上のVLANマッピング ― カスタマーVLANをサービス プロバイダーVLANに変換し、カスタマーVLAN IDに影響を与えずにサービス プロバイダー ネットワーク経由でパケットをトランスポートできるようにします。

カスタムethertype ― タグ付きおよびタグなしトラフィックをさまざまなVLANに転送できるよう、ユーザ側でポートのethertype値を任意の値に変更できます(ESポートのみ)。

レイヤ2 Virtual Private Network(VPN;仮想私設網)サービス

802.1Qトンネリングにより、サービス プロバイダー ネットワーク経由でリモート サイトにユーザを擁するカスタマーのVLANを、他のカスタマーから隔離された状態に保つことができます。また、レイヤ2プロトコル トンネリングにより、カスタマー ネットワークの全ユーザに関する完全なSTP、CDP、VTP情報が確保されます。

レイヤ2ポイントツーポイント トンネリング ― EtherChannelを自動的に作成できます。

レイヤ2プロトコル トンネリング バイパス機能により、サード パーティ ベンダーとのインターオペラビリティが提供されます。

インテリジェント802.1QトンネリングQoS ― 802.1Qトンネリング用に、内部のCost-of-Service(CoS)値を外部のCoS値にコピーする機能です。

Ethernet over Multiprotocol Layer Switching(EoMPLS)トンネリング メカニズムのサポート ― サービス プロバイダーMPLSネットワーク経由でイーサネット フレームをトランスポートします。

レイヤ3 VPNサービス

MPLS VPNのサポート ― ビジネス カスタマー向けにスケーラブルなレイヤ3 VPNサービスを展開および管理するための機能を提供します。各VPNは、VPNメンバーシップを定義するルーティング テーブルおよびフォワーディング テーブルを含む1つまたは複数のVPN
Routing/Forwarding(VRF)インスタンスに対応付けられます(MPLS VPNは、ESポート上でのみサポートされます)。

Customer Edge(CE;カスタマー エッジ)デバイス上の複数VPNマルチVRFインスタンスによって、サービス プロバイダーが複数のVPNをサポートし、VPN間でIPアドレスを重複させることができます。

セキュリティ機能


) ここで説明するKerberos機能は、スイッチ ソフトウェア イメージの暗号化バージョンでのみ使用可能です。


パスワードによって保護される管理インターフェイスへの読み取り専用および読み書きアクセス(設定の不正変更を防止するため)

セキュリティ レベル、通知、および対応動作を選択できるマルチレベルのセキュリティ

セキュリティ確保のためのスタティックMAC(メディア アクセス制御)アドレス指定

同一スイッチ上のDPへのトラフィック転送を制限する保護ポート オプション

ポート セキュリティ オプションにより、ポートへのアクセスを許可されたステーションの
MACアドレスを制限および識別

ポート上のセキュア アドレス用にエージング タイムを設定するためのポート セキュリティ エージング

BPDUガードが、無効な設定の発生時にPortFastが設定されたポートをシャットダウン

標準および拡張IP Access Control List(ACL;アクセス制御リスト)により、ルーテッド インターフェイス(ルータACL)とVLANの両方向およびレイヤ2インターフェイス(ポートACL)の受信方向に関するセキュリティ ポリシーを定義

拡張MAC ACLにより、レイヤ2インターフェイスの受信方向に関するセキュリティ ポリシーを定義

VLAN ACL(VLANマップ)により、MAC、IP、およびTCP/UDPヘッダー内の情報に基づくトラフィックのフィルタリングを行いVLAN内のセキュリティを確保

送信元および宛先MACベースのACLにより、非IPトラフィックをフィルタリング処理

IEEE 802.1xポートベースの認証により不正なデバイス(クライアント)がネットワークにアクセスするのを防止

802.1xとVLAN割り当てにより、802.1x認証ユーザを指定したVLANに制限

802.1xとポート セキュリティにより、802.1xポートへのアクセスを制限

802.1xと音声VLANにより、ポートの許可または無許可ステートに関係なく、IP Phoneは音声VLANにアクセス可能

802.1xとゲストVLANにより、非802.1x準拠のユーザに限定されたサービスを提供

802.1xアカウンティングにより、ネットワーク使用を監視

TACACS+ ― TACACSサーバを使用してネットワーク セキュリティを管理する独自仕様の機能

RADIUSにより、Authentication, Authorization, and Accounting(AAA;認証、許可、アカウンティング)サービスを使用して、リモートユーザのIDの検証、アクセスの許可、アクションの追跡を実行

Kerberosセキュリティ システムにより、信頼できるサードパーティを使用して、ネットワーク リソースへの要求を認証(スイッチ ソフトウェア イメージの暗号化[つまり、暗号化をサポートする]バージョンが必要)

パスワード回復ディセーブル機能により、カスタマー サイトのスイッチへのアクセスを保護

DHCPスヌーピングにより、untrustedホストとDHCPサーバの間のuntrusted DHCPメッセージをフィルタリング

IPソース ガードにより、DHCPスヌーピング データベースおよびIPソース バインディングに基づきトラフィックをフィルタリングすることで、非ルーテッド インターフェイス上のトラフィックを制限

Dynamic ARP Inspection(DAI)により、無効なARP要求および応答を同じVLAN内の他のポートにリレーしないことで、スイッチ上の意図的な攻撃を排除

Secure Socket Layer(SSL)バージョン3.0では、HTTP 1.1サーバ認証、暗号化、メッセージ整合性をサポート。HTTPクライアント認証によりセキュアHTTP通信が可能(スイッチ イメージの暗号化バージョンが必要)

QoS機能

標準Quality of Service(QoS;サービス品質)による、標準ポートまたはESポート上での着信トラフィックの分類、ポリシング、マーキング、キューイング、およびスケジューリングと、標準ポート上での発信トラフィックのキューイングおよびスケジューリング

分類

ポート単位のIP Type Of Service/Differentiated Services Code Point(IP ToS/DSCP)および
802.1p CoSプライオリティ マーキング ― ポート単位でのミッションクリティカルなアプリケーションのパフォーマンスを保護

フローベースのパケット分類(MAC、IP、およびTCP/UDPヘッダー内の情報に基づく分類)に基づくIP ToS/DSCPおよび802.1p CoSマーキング ― ネットワーク エッジでの高性能なQoSを実現し、各種ネットワーク トラフィックに応じて区別化したサービス レベルを可能にし、ネットワーク内のミッションクリティカルなトラフィックを優先

ポート信頼状態 ― QoSドメイン内のポート、および別のQoSドメインとの境界ポートにおける状態(CoS、DSCP、およびIP precedence)

信頼境界機能 ― Cisco IP Phoneの存在を検出し、受信したCoS値を信頼して、ポート セキュリティを確保

DSCPトランスペアレンシ ― QoSがイネーブルの場合にスイッチがユーザIPパケットのDSCPフィールドを書き換えるのを防止

ポリシングおよび不適合パケットのマーキング

スイッチ ポートに関するトラフィックポリシング ポリシー ― 特定のトラフィック フローに割り当てるポート帯域幅を管理(シングルレート トラフィック ポリシング)

集約ポリシング ― 特定のアプリケーションまたはトラフィック フローを規定または事前定義されたレートに制限する、全体でのトラフィック フローのポリシング

帯域利用限度を超える不適合パケットに対するマークダウン(廃棄ポリシー アクションは、パケットを変更なしで通過させる、パケットに割り当てられたDSCP値をマークダウンする、またはパケットを廃棄する)

入力キューイングおよびスケジューリング

ユーザ トラフィック用の2つの設定可能な入力キュー(1つはプライオリティキューとして使用できる)

Weighted Tail Drop(WTD) ― キューの長さを管理し、異なるトラフィック分類ごとに廃棄優先順位を決定する輻輳回避メカニズム

Shaped Round Robin(SRR) ― パケットがキューから内部リングへ送出されるときのレートを決定するスケジューリング サービス(入力キューでサポートされる唯一のモードはシェアリング)

出力キューとスケジューリング

ポートあたり4つの出力キュー

標準ポート上の出力プライオリティ キュー。SRRはこのキューを空になるまで処理してから、ほかの3個のキューを処理します。

WTD ― キューの長さを管理し、異なるトラフィック分類ごとに廃棄優先順位を決定する輻輳回避メカニズム

SRR ― パケットがキューから出力インターフェイスへ送出されるときのレートを決定するスケジューリング サービス(出力キューでは、シェーピングまたはシェアリングがサポートされる)。シェイプド出力キューは保証されるが、割り当てられたポート帯域幅の使用に制限されています。また、シェアド出力キューも設定済みの帯域幅の割り当てが保証されているが、他のキューが空でその帯域幅の割り当て分を使用していない場合には保証以上の帯域幅を使用できます。

ESポート上の階層型QoS ― 着信または発信トラフィックの分類、ポリシング、マーキング、キューイング、およびスケジューリング

分類

階層構造の3レベルのQoS設定:クラス、VLAN、および物理インターフェイス

CoS値、DSCP値、IP precedence値、MPLS Experimental(EXP)ビット、またはVLANに基づく分類

ポリシングおよび不適合パケットのマーキング

Committed Information Rate(CIR;認定情報速度)およびPeak Information Rate(PIR)に基づく2レートのトラフィック ポリシング

帯域利用限度を超える不適合パケットに対するマークダウン(ポリシー アクションは、適合するパケットを変更なしで送信する、超過したパケットのプライオリティをマークダウンする、または違反したパケットを廃棄する)

出力キューイングおよびスケジューリング

各パケットをトラフィック クラスおよびVLANに基づいて出力キューに割り当て

輻輳回避メカニズムとしてのWeighted Random Early Detection(WRED;重み付きランダム早期検出)

キュー スケジューリング管理機能としてのClass-Based Weighted Fair Queueing(CBWFQ;クラス ベース均等化キューイング) ― 遅延に影響されやすい特定のトラフィック クラス(音声など)への帯域を保証し、ネットワーク上の他の全トラフィックを公平に処理

スケジューリング輻輳管理機能としてのLow-Latency Queueing(LLQ) ― 特定のトラフィック クラスに完全優先キューイングを提供し、遅延に影響されやすいデータ(音声など)を他のキューのパケットよりも先に送信

トラフィック シェーピングにより、インターネット トラフィックのバースト性を軽減

Automatic QoS(Auto-QoS)により、トラフィックの分類と出力キューの設定により既存のQoS機能の展開を簡略化

レイヤ3機能

HSRP ― レイヤ3ルータの冗長性

IPルーティング プロトコルによるロードバランシングとスケーラブルなルーテッド バックボーンの構築

RIPバージョン1および2

OSPF

Interior Gateway Routing Protocol(IGRP)およびEnhanced IGRP(EIGRP)

Border Gateway Protocol(BGP)バージョン4

International Organization for Standardization(ISO;国際標準化機構)Connectionless Network Service(CLNS)。スイッチはISO IGRPおよびIntermediate System-to-Intermediate System(IS-IS)ルーティングをサポートしています。

2つ以上のVLAN間の完全レイヤ3ルーティング対応のIPルーティング(VLAN間ルーティング)により、各VLANが独自の自律データリンク ドメインのメンテナンスが可能

Policy-Based Routing(PBR) ― トラフィック フローに定義済みポリシーを設定

Customer Edge(CE;カスタマー エッジ)デバイス上の複数のmultiple VPN Routing/Forwarding(multi-VRF)インスタンスによって、サービス プロバイダーが複数のVPNをサポートし、VPN間でIPアドレスを重複させることができます(EMIが必要)。

代替ブリッジングによる2つ以上のVLAN間での非IPトラフィックの転送

スタティックIPルーティングによるネットワーク パス情報のルーティング テーブル手動作成

等価コスト ルーティングによるロードバランシングおよび冗長構成

Internet Control Message Protocol(ICMP)およびICMP Router Discovery Protocol(IRDP) ― ルータのアドバタイズおよびルータ請求メッセージによる直接接続サブネット上のルータのアドレス検索

Protocol-Independent Multicast(PIM)によるネットワーク内マルチキャスト ルーティング。これにより、ネットワーク内のデバイスは要求されたマルチキャスト フィードの受信が可能になり、マルチキャストに参加しないスイッチのプルーニングが可能になります。PIM Sparse Mode(PIM-SM)、PIM Dense Mode(PIM-DM)、およびPIM Sparse-Denseモードのサポートも含まれます

Multicast Source Discovery Protocol(MSDP) ― 複数のPIM-SMドメインを接続

Distance Vector Multicast Routing Protocol(DVMRP)トンネリング ― 非マルチキャスト ネットワークでの2つのマルチキャスト対応ネットワークの相互接続

DHCPリレーによる、IPアドレス要求などDHCPクライアントからのUDPブロードキャストの転送

モニタ機能

各種スイッチLEDによる、ポート レベルおよびスイッチ レベルでのステータス表示

MACアドレス通知トラップとRADIUSアカウンティング ― スイッチが確認または削除したMACアドレスの保存による、ネットワークのユーザ追跡

Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN)による、任意の標準ポートまたはVLANのトラフィック モニタリング


) ESポートをSPAN送信元にすることはできません。


Intrusion Detection System(IDS)におけるSPANおよびRSPANのサポート ― ネットワーク セキュリティ違反のモニタ、撃退、およびレポート

組み込みRMONエージェントの4つのグループ(履歴、統計、アラーム、イベント)による、ネットワーク モニタとトラフィック分析

Syslog機能による、認証または許可エラー、リソースの問題、およびタイムアウト イベントに関するシステム メッセージのロギング

レイヤ2 traceroute ― 送信元デバイスから宛先デバイスまでにパケットが通過する物理パスを識別

SFPモジュール診断管理インターフェイス ― SFPモジュールの物理または動作ステータスをモニタ

初期スイッチ設定後のデフォルト設定値

スイッチはプラグアンドプレイ対応として設計されているため、ユーザが必要なのは基本IP情報をスイッチに割り当て、それをネットワーク内の他のデバイスに接続するだけです。特定のネットワーク ニーズがある場合には、インターフェイス固有の設定値やシステム全体の設定値を変更できます。

スイッチを全く設定しなかった場合は、スイッチは 表1-1 に記されたデフォルト設定で動作します。この表は、主要なソフトウェア機能、それらのデフォルト値、その機能に関する情報の参照先を一覧にしたものです。

 

表1-1 初期スイッチ設定後のデフォルト設定値

機能
デフォルト設定
詳細

スイッチのIPアドレス、サブネット マスク、デフォルト ゲートウェイ

0.0.0.0

「スイッチのIPアドレスおよびデフォルト ゲートウェイの割り当て」

ドメイン名

なし

パスワード

定義なし

「スイッチの管理」

TACACS+

ディセーブル

RADIUS

ディセーブル

システム名およびプロンプト

Switch

NTP

イネーブル

DNS

イネーブル

802.1x

ディセーブル

「802.1xポートベースの認証の設定」

DHCP

DHCPクライアント

イネーブル(DHCPサーバとして動作するデバイスが設定されていてイネーブルである場合のみ)

「スイッチのIPアドレスおよびデフォルト ゲートウェイの割り当て」

「DHCP機能およびIPソース ガードの設定」

DHCPサーバ

DHCPリレー エージェント

イネーブル(DHCPリレー エージェントとして動作するデバイスが設定されていてイネーブルである場合のみ)

ポート パラメータ

動作モード

レイヤ2(スイッチポート)

「インターフェイス特性の設定」

ポート イネーブル ステート

すべてのポートでイネーブル

インターフェイス速度およびデュプレックス モード

自動ネゴシエーション

Auto-MDIX

ディセーブル

フロー制御

オフ

VLAN

デフォルトVLAN

VLAN 1

「VLANの設定」

VLANトランキング

ダイナミック自動(DTP)

トランク カプセル化

ネゴシエーション

VTPモード

サーバ

「VTPの設定」

VTPバージョン

1

音声VLAN

ディセーブル

「音声VLANの設定」

プライベートVLAN

設定なし

「プライベートVLANの設定」

DAI

全VLANでディセーブル

「ダイナミックARP検査の設定」

トンネリング

802.1Qトンネリング

ディセーブル

「IEEE 802.1Qおよびレイヤ2プロトコル トンネリングの設定」

VLANマッピング

ディセーブル

レイヤ2プロトコル トンネリング

ディセーブル

スパニングツリー プロトコル

 

STP

PVST+がVLAN 1でイネーブル

「STPの設定」

MSTP

ディセーブル

「MSTPの設定」

オプションのスパニングツリー機能

ディセーブル

「オプションのスパニングツリー機能の設定」

Flex Link

設定なし

「Flex Linkの設定」

DHCPスヌーピング

ディセーブル

「DHCP機能およびIPソース ガードの設定」

IPソース ガード

ディセーブル

「DHCP機能およびIPソース ガードの設定」

IGMPスヌーピング

IGMPスヌーピング

イネーブル

「IGMPスヌーピングおよびMVRの設定」

IGMPフィルタリング

適用なし

MVR

ディセーブル

IGMPスロットリング

IGMPスロットリング

拒否

「IGMPスヌーピングおよびMVRの設定」

ポートベースのトラフィック

ブロードキャスト、マルチキャスト、およびユニキャスト ストーム制御

ディセーブル

「ポートベースのトラフィック制御の設定」

保護ポート

定義なし

ユニキャストおよびマルチキャスト フラッディング

ブロックされない

セキュア ポート

設定なし

CDP

イネーブル

「CDPの設定」

UDLD

ディセーブル

「UDLDの設定」

SPANおよびRSPAN

ディセーブル

「SPANおよびRSPANの設定」

RMON

ディセーブル

「RMONの設定」

Syslogメッセージ

イネーブル、コンソール上に表示

「システム メッセージ ロギングの設定」

SNMP

イネーブル、バージョン1

「SNMPの設定」

ACL

設定なし

「ACLによるネットワーク セキュリティの設定」

QoS

ディセーブル

「QoSの設定」

EtherChannel

設定なし

「EtherChannelの設定」

IPユニキャスト ルーティング

IPルーティング(およびルーティング プロトコル)

ディセーブル

「IPユニキャスト ルーティングの設定」

マルチVRF-CE

ディセーブル

MPLSサービス

ラベル スイッチング

グローバルではイネーブル、インターフェイス単位ではディセーブル

「MPLSおよびEoMPLSの設定」

EoMPLS

設定なし

MPLS QoS

ディセーブル

HSRPグループ

設定なし

「HSRPの設定」

IPマルチキャスト ルーティング

全インターフェイスでディセーブル

「IPマルチキャスト ルーティングの設定」

MSDP

ディセーブル

「MSDPの設定」

代替ブリッジング

設定なし

「代替ブリッジングの設定」

ネットワーク構成の例

ここでは、ネットワーク構成の概要について説明し、スイッチを使用して専用ネットワーク セグメントを作成し、ファスト イーサネットおよびギガビット イーサネット接続でセグメントを相互接続する例を示します。

「集合住宅用またはEthernet-to-the Subscriberネットワーク」

「レイヤ2 VPNアプリケーション」

「レイヤ3 VPNアプリケーション」

集合住宅用またはEthernet-to-the Subscriberネットワーク

図1-1は、複数のテナントがある集合住宅向けに、1000BASE-X SFPモジュール ポート経由で接続したCatalyst 3750 Metroスイッチで構成されるギガビット イーサネット リングを示しています。住宅用スイッチとして使用するCatalyst 3750 Metroスイッチによって、サービス プロバイダーのPOPへの高速接続をユーザに提供します。既存の電話回線を使用した接続が必要なユーザの場合には、住宅用スイッチとしてCatalyst 2950 Long-Reach Ethernet(LRE)スイッチを使用することもできます。その場合、Catalyst 2950 LREスイッチを別の住宅用スイッチ(Catalyst 3750 Metroスイッチなど)に接続できます。Catalyst LREスイッチおよびLREの詳細については、Catalyst 2950 LREマニュアル セットを参照してください。

住宅用スイッチ(および使用されている場合、Catalyst 2950 LREスイッチ)上のすべてのポートは、プライベートVLANエッジ(保護ポート)およびSTPルート ガード機能がイネーブルに設定された802.1Qトランクとして設定されています。保護ポート機能は、加入者が他の加入者宛パケットを表示できないように、スイッチ上の各ポートを分離して、セキュリティを確保します。STPルート ガードは、許可されていないデバイスがSTPルート スイッチとして使用されるのを防止します。マルチキャスト トラフィックを管理するために、すべてのポートでIGMPスヌーピングまたはCGMPをイネーブルに設定します。集約スイッチへのアップリンク ポート上のACLが、セキュリティと帯域幅の管理を行います。

集約スイッチおよびルータには、ロードバランシングおよび冗長接続がイネーブルになるようHSRPを設定して、ミッションクリティカルなトラフィックを保証します。これにより、ルータまたはスイッチの1つに障害が発生した場合でも、インターネット、WAN、およびミッションクリティカルなネットワーク リソースへの接続が保証されます。

1つのVLANのエンド ステーションが別のVLANにあるエンド ステーションと通信する必要がある場合、ルータまたはスイッチが該当する宛先VLANにトラフィックをルーティングし、VLAN間ルーティングを提供します。VLAN ACL(VLANマップ)はVLAN内セキュリティを設定し、不正ユーザがネットワークの重要な部分にアクセスしないようにします。

VLAN間ルーティングのほかに、DSCPなどのスイッチQoSメカニズムを使用して各種ネットワーク トラフィックに優先順位を付け、予測可能な方法でハイ プライオリティ トラフィックを配信します。輻輳が発生した場合、QoSはロー プライオリティ トラフィックを廃棄してハイ プライオリティ トラフィックを配信できるようにします。

ルータはさらに、ファイアウォール サービス、Network Address Translation(NAT;ネットワーク アドレス変換)サービス、Voice-over-IP(VoIP)ゲートウェイ サービス、WANおよびインターネットのアクセスも提供します。

図1-1 集合住宅用構成のCatalyst 3750 Metroスイッチ

 

レイヤ2 VPNアプリケーション

Catalyst 3750 Metroスイッチを使用してレイヤ2 VPNを構成し、さまざまな場所にいるユーザ同士が専用接続なしでサービス プロバイダー ネットワークを通じて情報を交換可能にできます。IEEE 802.1Qおよびレイヤ2プロトコル トンネリング機能は、ネットワーク上で複数のカスタマー トラフィックを伝送し、各カスタマーのVLANおよびレイヤ2プロトコル設定を他のカスタマー トラフィックへの影響なしで維持する必要のあるサービス プロバイダー向けに設計された機能です。

Customer Premises Equipment(CPE;カスタマー側装置)スイッチに接続するプロバイダー ネットワークの両エッジで、Catalyst 3750 Metroスイッチをカスタマー サイトのProvider Edge
Customer-located Equipment(PE-CLE)として使用します。PEスイッチは、サービス プロバイダー ネットワークに着信するパケットをカスタマーVLAN IDでタグ付けします。VLANマッピングによって各カスタマーVLAN IDがサービス プロバイダーVLAN IDに変換され、サービス プロバイダー ネットワーク経由でのトランスポートが可能になります。出力側のPEインターフェイスでは、出力PEスイッチがカスタマー ネットワーク用に元のVLAN ID番号を復元します。

サービス プロバイダーは802.1QトンネリングまたはEoMPLSを使用して、レイヤ2 VPNサービスを提供できます。サービス プロバイダー ネットワークがMPLSクラウドであり、なおかつEoMPLSをポイントツーポイント プロトコルとして設定した場合、MPLSネットワークに接続する入力側PE-CLE ESポートで、MPLSタグが追加されます。このMPLSタグは、リモートPE-CLEデバイスのESポートで削除されます。

これらの機能の設定手順については、「IEEE 802.1Qおよびレイヤ2プロトコル トンネリングの設定」および「MPLSおよびEoMPLSの設定」を参照してください。

図1-2 レイヤ2 VPN構成

 

レイヤ3 VPNアプリケーション

レイヤ3 VPNサービスでマルチVRF-CEまたはMPLS VPNを使用して、ビジネス カスタマー向けのスケーラブルなレイヤ3 VPNサービスを展開および管理できます。レイヤ3 VPNは、1つまたは複数の物理ネットワーク上でリソースを共有する、セキュアIPベースのネットワークです。地域的に分散したサイトを対象に、共有バックボーン上での安全な通信を実現します。

図1-3に、カスタマー サイトの間でMPLS拡張したエンドツーエンドのMPLS VPNネットワークを示します。CEデバイス(Catalyst 3750 Metroスイッチまたはその他のレイヤ3スイッチ)は、RIP、EBGP、OSPF、IS-ISなどのルーティング プロトコルまたはスタティック ルーティングを使用して、カスタマーVPNからMPLSネットワークのエッジにあるCatalyst 3750 Metro PE-CLEデバイスに、パケットを転送できます。PE-CLEデバイスにはMultiprotocol BGP(MP-BGP)と、カスタマーの
VPNに対応するルート識別子が設定されています。PE-CLEデバイスはこの情報をVPN-IPv4フォーマットに変換し、Layer Distribution Protocol(LDP)ラベルを追加して、VPNルートを確立します。

VPNルートはMP-BGPを使用してMPLSネットワーク上で配布されます。MP-BGPは各VPNルートに対応するラベルも配布します。MPLS VPNはVRFサポートを使用して、ルーティング ドメインを相互に隔離します。

ポート上でMPLS-VPNパケットを受信すると、CEスイッチはそのラベルをルーティング テーブルで検索してパケットの取り扱い方法を判別します。PE-CLEルータはCEデバイスから学習した各カスタマー プレフィクスにラベルをバインドし、他のPE-CLEルータにアドバタイズするプレフィクスにそのラベルを含めます。PE-CLEルータがプロバイダー ネットワーク経由でパケットを転送する場合、宛先ルータから学習したラベルをパケットに付加します。宛先ルータは、ラベルの付いたパケットを受信すると、ラベルを調べて、正しいCEデバイスにパケットを転送するために使用します。

各VPNメンバーに対応するVPNルートを維持するのは、MPLSネットワークの各終端にあるPE-CLEルータだけです。コア ネットワークに存在するプロバイダー ルータは、VPNルートを維持しません。その結果、カスタマーVPNのセキュリティが確保され、サービス プロバイダーMPLSネットワーク経由で伝送される他のカスタマー パケットから分離されます。

図1-3 MPLS VPN構成

 

MPLS VPNの設定手順については、「MPLSおよびEoMPLSの設定」を参照してください。

次の作業

スイッチの設定の前に、スタートアップ情報について次の章を参照してください。

「CLIの使用方法」

「スイッチのIPアドレスおよびデフォルト ゲートウェイの割り当て」

「IE2100 CNSエージェントの設定」