Microsoft Hyper-V 向け Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド、リリース 5.x
不明なユニキャスト フラッディングのブロック
不明なユニキャスト フラッディングのブロック

不明なユニキャスト フラッディングのブロック

この章の内容は、次のとおりです。

UUFB について

不明なユニキャスト パケットのフラッディング(UUFB)は、望ましくないトラフィックが仮想マシン(VM)に到達するセキュリティ リスクを防ぐために、転送パス上の不明なユニキャスト フラッディングを制限します。UUFB は、vEthernet インターフェイスおよびイーサネット インターフェイスの両方で受信された不明なユニキャスト アドレス宛てのパケットによって、VLAN でフラッディングが発生しないようにします。UUFB を適用すると、仮想イーサネット モジュール(VEM)はアップリンク ポートで受信した不明なユニキャスト パケットをドロップし、vEthernet インターフェイスで受信された不明なユニキャスト パケットはアップリンク ポートでのみ送信されます。

UUFB の注意事項と制限事項

  • UUFB を設定する前に、show module コマンドを入力して、VSM の HA ペアとすべての VEM が最新リリースにアップグレードされていることを確認します。

  • Microsoft によって提供される MAC アドレス以外の MAC アドレスを使用して、アプリケーションまたは VM のポートで UUFB を明示的にディセーブルにする必要があります。

  • Cisco UCS がエンドホスト モードで実行されている場合、不明なユニキャスト パケットは Cisco UCS ファブリック インターコネクトによってドロップされます。

  • Microsoft ネットワーク ロード バランシング(MS-NLB)がイネーブルになっている(no mac auto-static-learn コマンドを入力)vEthernet インターフェイスでは、UUFB は MS-NLB 関連のパケットをブロックしません。これらのシナリオでは、UUFB を使用して MS-NLB パケットのフラッディングを VLAN 内の MS NLB 以外のポートに制限することもできます。

UUFB のデフォルト設定

パラメータ

デフォルト

uufb enable

ディセーブル

switchport uufb disable

ディセーブル

UUFB の設定

スイッチでの不明なユニキャスト フラッディングのグローバルなブロック

スイッチの転送パスがフラッディングしないように不明なユニキャスト パケットをグローバルにブロックするには、次の手順を使用します。

はじめる前に

この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

手順
     コマンドまたはアクション目的
    ステップ 1switch# configure terminal 

    グローバル コンフィギュレーション モードに切り替えます。

     
    ステップ 2switch(config)# [no] uufb enable 

    VSM の UUFB をグローバルに設定します。

     
    ステップ 3switch(config)# show uufb status  (任意)

    VSM の UUFB グローバル設定を表示します。

     
    ステップ 4switch(config)# copy running-config startup-config  (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     
    switch# configure terminal
    switch(config)# uufb enable
    switch(config)# show uufb status
    UUFB Status: Enabled
    switch(config)# copy running-config startup-config
    [########################################] 100%
    

    不明なユニキャスト フラッディングを許可するようにインターフェイスを設定する

    VSM のフラッディングをグローバルにブロックした場合に、不明なユニキャスト パケットによって vEthernet インターフェイスがフラッディングするのを許可するには、次の手順を実行します。グローバル設定に関係なく、特定のインターフェイスで不明なユニキャスト パケットがブロックされないようにする場合も、この手順を使用します。

    すでに不明なユニキャスト パケットをグローバルにブロックしている場合、ポート プロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでユニキャスト フラッディングを許可できます。

    はじめる前に

    この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

    手順
       コマンドまたはアクション目的
      ステップ 1switch# configure terminal 

      グローバル コンフィギュレーション モードに切り替えます。

       
      ステップ 2switch(config)# interface vethernet interface-number 

      指定したインターフェイスに対してインターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 3switch(config)# [no] switchport uufb disable 

      指定されたインターフェイスに対するユニキャスト パケット フラッディングのブロックをディセーブルにします。

       
      ステップ 4switch(config)# show running-config vethernet interface-number  (任意)

      確認のため、インターフェイスの実行コンフィギュレーションを表示します。

       
      ステップ 5switch(config)# copy running-config startup-config  (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       
      switch# configure terminal
      switch(config)# interface vethernet 100
      switch(config-if)# switchport uufb disable
      switch(config-if)# show running-config interface veth100
      
      !Command: show running-config interface Vethernet100
      !Time: Fri Jun 10 12:43:53 2011
      
      version 4.2(1)SV1(4a)
      
      interface Vethernet100
        description accessvlan
        switchport access vlan 30
        switchport uufb disable
      switch(config-if)# copy running-config startup-config
      [########################################] 100%

      不明なユニキャスト フラッディングを許可するようにポート プロファイルを設定する

      VSM のフラッディングをグローバルにブロックした場合に、不明なユニキャスト パケットによる既存の vEthernet ポート プロファイルのインターフェイスのフラッディングを許可するには、次の手順を実行します。グローバル設定に関係なく、特定のポート プロファイルで不明なユニキャスト パケットがブロックされないようにする場合も、この手順を使用します。

      すでに不明なユニキャスト パケットをグローバルにディセーブルにしている場合は、ポート プロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでのユニキャスト フラッディングを許可できます。

      はじめる前に

      この手順を開始する前に、次のことを確認してください。

      • CLI に EXEC モードでログインしていること。

      • フラッディングを許可する vEthernet ポート プロファイルが設定されていること。

      手順
         コマンドまたはアクション目的
        ステップ 1switch# configure terminal 

        グローバル コンフィギュレーション モードに切り替えます。

         
        ステップ 2switch(config)# port-profile profile-name 

        指定されたポート プロファイルのコンフィギュレーション モードを開始します。

         
        ステップ 3switch(config-port-prof)# [no] switchport uufb disable 

        指定されたポート プロファイルのすべてのインターフェイスに対するユニキャスト パケット フラッディングのブロックをディセーブルにします。

         
        ステップ 4switch(config-port-prof)# show running-config port-profile profile-name  (任意)

        確認のため、指定されたポート プロファイルの設定を表示します。

         
        ステップ 5switch(config-port-prof)# copy running-config startup-config  (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         
        switch# configure terminal
        switch(config)# port-profile accessprof
        switch(config-port-prof)# switchport uufb disable
        
        

        標準

        標準

        タイトル

        RFC-2131

        『Dynamic Host Configuration Protocol』

        http:/​/​tools.ietf.org/​html/​rfc2131

        RFC-3046

        『DHCP Relay Agent Information Option』

        http:/​/​tools.ietf.org/​html/​rfc3046

        不明なユニキャスト パケットをブロックする設定例

        次に、VSM の転送パスがグローバルにフラッディングしないように不明なユニキャスト パケットをブロックする例を示します。

        n1000v# config terminal
        n1000v(config)# uufb enable
        n1000v(config)# show uufb status
        UUFB Status: Enabled
        n1000v(config)# copy running-config startup-config
        [########################################] 100%

        UUFB の機能の履歴

        この表には、機能の追加によるリリースの更新内容のみが記載されています。

        機能名

        リリース

        機能情報

        UUFB

        5.2(1)SM1(5.1)

        この機能が導入されました。