 |
Cluster Management Suite(CMS)を使用した設定の詳細については、オンライン ヘルプを参照してください。
このスイッチのソフトウェア リリースは、Cisco IOS Release 12.0に基づいています。このリリースは、Catalyst 2900 XLおよびCatalyst 3500 XLスイッチ用の機能セットをサポートするように拡張されています。この章では、これらのスイッチ用に作成または変更されたコマンドの使用手順だけを扱っています。これらのコマンドの詳細については、スイッチのコマンド リファレンスを参照してください。このマニュアルでは、Cisco IOS Release 12.0のコマンド、およびCisco.comで提供されているCisco IOS Release 12.0マニュアルに記載されている情報は扱いません。
スイッチのIP情報は、次の方法で指定および変更することができます。
IPアドレス、マスク、およびデフォルト ゲートウェイは、手動でスイッチに割り当てることができます。マスクは、IPアドレスのネットワーク番号を表わすビットを特定します。マスクを使用してネットワークをサブネットにする場合、そのマスクをサブネット マスクと呼びます。ブロードキャスト アドレスは、すべてのホストへのメッセージ送信用として予約されています。CPUは、デフォルト ゲートウェイを介して未知のIPアドレスにトラフィックを送信します。
DHCPは、インターネット ホストおよびインターネットワーキング デバイスに設定情報を提供します。DHCPベースの自動コンフィギュレーションを使用すると、DHCPベースの自動コンフィギュレーション中にスイッチが受信するIPアドレス情報およびコンフィギュレーション ファイルを使用して、スイッチ(DHCPクライアント)の起動時に自動的に設定されます。
DHCPは、インターネット ホストおよびインターネットワーキング デバイスに設定情報を提供します。このプロトコルは、2つのコンポーネントで構成されています。1つはDHCPサーバからデバイスにコンフィギュレーション パラメータを提供するコンポーネント、もう1つはデバイスにネットワーク アドレスを割り当てるコンポーネントです。DHCPはクライアント/サーバ モデルに基づいています。指定されたDHCPサーバが、ダイナミックに設定されるデバイスに対して、ネットワーク アドレスを割り当て、コンフィギュレーション パラメータを提供します。
DHCPベースの自動コンフィギュレーションを使用すると、スイッチ(DHCPクライアント)の起動時に、DHCP自動コンフィギュレーション中にスイッチが受信するIPアドレス情報およびコンフィギュレーション ファイルによって、スイッチが自動的に設定されます。スイッチ上で、DHCPクライアント側の設定を行う必要はありません。
ただし、DHCPサーバには各種のリース オプションを設定する必要があります。また、TFTPサーバとDomain Name System(DNS;ドメイン ネーム システム)サーバを設定する必要があります。サーバがスイッチと異なるLAN上にある場合には、リレー デバイスの設定も必要になります。リレー デバイスは、直接接続されている2つのLAN間でブロードキャスト トラフィックを転送します。ルータはブロードキャスト パケットの転送は実行しませんが、受信したパケットの宛先IPアドレスに基づいてパケットを転送します。DHCPベースの自動コンフィギュレーションは、スイッチのBOOTPクライアント機能に代わるものです。
スイッチを起動すると、DHCPクライアントが起動します。次の条件の場合には、DHCPサーバに対して設定情報が自動的に要求されます。
DHCPサーバに対するIP情報の要求 に、DHCPクライアントとDHCPサーバ間で交換されるメッセージ シーケンスを示します。
クライアントであるスイッチAからDHCPDISCOVERメッセージがブロードキャストされ、DHCPサーバが検索されます。DHCPサーバは、DHCPOFFERユニキャスト メッセージによって、クライアントにコンフィギュレーション パラメータ(IPアドレス、サブネット マスク、ゲートウェイIPアドレス、DNS IPアドレス、IPアドレスのリースなど)を提供します。
クライアントは、DHCPREQUESTブロードキャスト メッセージにより、DHCPサーバに対して、提供された設定情報の要求を戻します。この要求は、クライアントからDHCPDISCOVERブロードキャスト メッセージを受信した他のすべてのDHCPサーバにブロードキャストされます。これらのサーバは、クライアントに提供したIPアドレスを再度要求できるようになります。
DHCPサーバは、クライアントにDHCPACKユニキャスト メッセージを戻すことによって、クライアントにIPアドレスが割り当てられたことを確認します。このメッセージにより、クライアントとサーバがバインドされます。クライアントは、サーバから受信した設定情報を使用します。スイッチが受信する情報量は、DHCPサーバの設定内容によって異なります。詳細については、 DHCPサーバの設定 を参照してください。
DHCPサーバからクライアントに送信されたDHCPOFFERユニキャスト メッセージのコンフィギュレーション パラメータが無効の場合(設定エラーがある場合)、クライアントはDHCPサーバにDHCPDECLINEブロードキャスト メッセージを戻します。
この場合、DHCPサーバはクライアントにDHCPNAK拒否ブロードキャスト メッセージを送信します。これは、提供されたコンフィギュレーション パラメータが割り当てられず、パラメータのネゴシエーション中にエラーが発生したこと、またはDHCPサーバのDHCPOFFERメッセージに対するクライアントからの応答が遅いこと(DHCPサーバが同じパラメータを他のクライアントに割り当てたこと)を意味します。
DHCPクライアントは、複数のDHCPサーバまたはBOOTPサーバからパラメータを受信することがあります。任意の提供情報を1つ受け入れることができますが、クライアントは通常、最初に受信した情報を採用します。DHCPサーバからの提供情報は、クライアントにIPアドレスが割り当てられることを保証するものではありません。ただし、サーバは通常、クライアントがアドレスを正式に要求する機会が得られるまでアドレスを予約しています。スイッチがBOOTPサーバからの応答を受け入れて設定を行う場合には、スイッチはスイッチ コンフィギュレーション ファイルを取得するために、TFTP要求をユニキャストするのではなく、ブロードキャストします。
DHCPサーバには、スイッチのハードウェア アドレスにより各スイッチにバインドされている予約済みリースを設定する必要があります。DHCPサーバが予約済みリースをサポートしていない場合には、別のブート インスタンスから異なるIPアドレスおよびコンフィギュレーション ファイルを取得できます。DHCPサーバには、次のリース オプションを設定してください。
DHCPサーバに前述のリース オプションを設定していない場合、サーバはクライアント要求に対して、使用できる値のあるパラメータだけを戻します。応答にIPアドレスおよびサブネット マスクが含まれていない場合、スイッチを設定することはできません。DNSサーバのIPアドレス、ルータのIPアドレス、またはTFTPサーバ名が見つからない場合、スイッチはTFTP要求をブロードキャストすることがあります。他のリース オプションについては、使用できなくても自動コンフィギュレーションに影響はありません。
DHCPサーバは、スイッチと同じLAN上にも、異なるLAN上にも設置できます。異なるLAN上にある場合、スイッチはリレー デバイス経由でDHCPサーバにアクセスできる必要があります。DHCPサーバは、UNIXまたはLinuxオペレーティング システム上で実行できます。ただしこのリリースでは、Windows NTオペレーティング システムはサポートされていません。
詳細については、 リレー デバイスの設定 を参照してください。また、TFTPサーバにもスイッチのコンフィギュレーション ファイルを設定しておく必要があります。詳細は、次の項目を参照してください。
CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
TFTPサーバのベース ディレクトリには、1つまたは複数のコンフィギュレーション ファイルが含まれている必要があります。設定できるファイルは、次のとおりです。
TFTPサーバ名は、DHCPサーバのリース データベースに指定する必要があります。また、TFTPサーバ名とIPアドレスのマッピングを、DNSサーバ データベースに指定する必要があります。
TFTPサーバは、スイッチと同じLAN上にも、異なるLAN上にも設置できます。異なるLAN上にある場合、スイッチはリレー デバイスまたはルータ経由でTFTPサーバにアクセスできる必要があります。詳細については、 リレー デバイスの設定 を参照してください。
DHCPサーバ応答にコンフィギュレーション ファイル名が含まれている場合、スイッチのコンフィギュレーション ファイルを複数のTFTPサーバに分散させることができます。ただし、コンフィギュレーション ファイル名が含まれていない場合には、1つのTFTPサーバ上にコンフィギュレーション ファイルを置いておく必要があります。
CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
固有のIPアドレスはそれぞれ、1つのホスト名に対応づけることができます。IOSソフトウェアは、EXECモードの connect コマンド、 telnet コマンド、 ping コマンド、および関連するTelnetサポート オペレーションで使用するために、ホスト名からアドレスへのマッピングのキャッシュを維持します。このキャッシュにより、ホスト名からアドレスへの変換が迅速に処理されます。
IPによって定義される階層型の命名方式では、デバイスを場所またはドメインで識別できます。ドメイン名の区切りとしては、ピリオド(.)を使用します。たとえばシスコシステムズは、IPで com というドメイン名に分類される商業組織なので、シスコシステムズのドメイン名は cisco.com です。このドメイン内の特定のデバイス、たとえばFTP(ファイル転送プロトコル)システムは、 ftp.cisco.com で表されます。
IPでドメイン名を追跡するために、DNSという概念が定義されています。DNSは、名前とIPアドレスのマッピングをキャッシュ(またはデータベース)に保管します。ドメイン名をIPアドレスにマッピングするには、まずホスト名を特定し、次にネーム サーバを指定して、DNS(ネットワーク デバイスを固有に識別する、インターネットのグローバルな命名方式)をイネーブルにする必要があります。
ソフトウェアがドメイン名要求を完成させるために使用する、デフォルトのドメイン名を指定できます。単一のドメイン名、またはドメイン名のリストを指定できます。ドメイン名を指定すると、ドメイン名のないIPホスト名は、そのドメイン名が付加されてから、ホスト テーブルに追加されます。
ユーザのネットワーク デバイスを、名前の割り当てを制御できないネットワーク内のデバイスと接続する必要がある場合、インターネットワーク全体でユーザのデバイスを固有に識別するデバイス名を割り当てることができます。この作業は、インターネットのグローバルな命名方式であるDNSで行います。このサービスは、デフォルトではイネーブルに設定されています。
スイッチは、TFTPサーバ名からTFTPサーバのIPアドレスを取得するために、DNSサーバを使用します。DNSサーバには、TFTPサーバ名とIPアドレスのマッピングが設定されている必要があります。TFTPサーバには、スイッチのコンフィギュレーション ファイルを設定します。
DHCPサーバのリース データベースには、DHCP応答が検索できるように、DNSサーバのIPアドレスを設定しておく必要があります。リース データベースには、2つまでのDNSサーバIPアドレスを入力できます。
DNSサーバは、スイッチと同じLAN上にも、異なるLAN上にも設置できます。異なるLAN上にある場合、スイッチはリレー デバイスまたはルータ経由でDNSサーバにアクセスできる必要があります。詳細については、 リレー デバイスの設定 を参照してください。
CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
DHCP、DNS、またはTFTPサーバがスイッチと異なるLAN上にある場合には、リレー デバイスを使用する必要があります。リレー デバイスは、インターフェイス上で受信したブロードキャスト パケットが宛先ホストに転送されるように設定しなければなりません。この設定により、DHCPクライアントからのブロードキャストがDHCP、DNS、およびTFTPサーバに送信され、サーバからのブロードキャストがDHCPクライアントに送信されます。
リレー デバイスがシスコ ルータの場合には、IPルーティングをイネーブルにし( ip routing グローバル コンフィギュレーション コマンド)、 ip helper-address インターフェイス コンフィギュレーション コマンドを使用してヘルパー アドレスを設定します。
たとえば、 リレー デバイスを使用した自動コンフィギュレーション では、ルータ インターフェイスを次のように設定しています。
router(config-if)# ip helper-address 20.0.0.2
router(config-if)# ip helper-address 20.0.0.3
DHCPの予約済みリースでIPアドレスおよびコンフィギュレーション ファイル名を入手できるかどうかに応じて、スイッチは次の方法で設定情報を取得します。
スイッチは、DHCPサーバからIPアドレス、サブネット マスク、およびコンフィギュレーション ファイル名を取得します。また、DNSサーバのIPアドレスおよびTFTPサーバ名を入手します。スイッチは、TFTPサーバ名を指定したDNS要求をDNSサーバに送信し、TFTPサーバのアドレスを取得します。さらにスイッチは、TFTPサーバのベース ディレクトリから指定のコンフィギュレーション ファイルを検索するために、TFTPサーバにユニキャスト メッセージを送信します。コンフィギュレーション ファイルを受信すると、スイッチの起動プロセスは完了します。
スイッチは、上記と同じコンフィギュレーション プロセスを実行します。
スイッチは、DHCPサーバからIPアドレスおよびサブネット マスクを取得します。また、DNSサーバのIPアドレスおよびTFTPサーバ名を入手します。スイッチは、TFTPサーバ名を指定したDNS要求をDNSサーバに送信し、TFTPサーバのアドレスを取得します。
スイッチは、network-confgまたはcisconet.cfgのデフォルト コンフィギュレーション ファイルを検索するために、TFTPサーバにユニキャスト メッセージを送信します(スイッチは、network-confgファイルを読み取れない場合、cisconet.cfgファイルを読み取ります)。
デフォルト コンフィギュレーション ファイルには、スイッチのホスト名とIPアドレスのマッピング情報が含まれています。スイッチは、ファイルの情報を自身のホスト テーブルに読み込み、ホスト名を取得します。ファイルにホスト名が含まれていない場合、スイッチはDHCP応答に含まれているホスト名を使用します。DHCP応答にホスト名が指定されていない場合、スイッチは、デフォルトのホスト名である[Switch]を使用します。
デフォルト コンフィギュレーション ファイルまたはDHCP応答からホスト名を取得すると、スイッチはTFTPサーバからホスト名と同名のコンフィギュレーション ファイルを読み取ります(network-confgまたはcisconet.cfgのどちらを使用したかによって、ファイル名は hostname -confgまたは hostname .cfgになります)。cisconet.cfgファイルを読み取ると、ホストのファイル名は8文字までに切り捨てられます。
network-confg、cisconet.cfg、またはhost-nameファイルを読み取れなかった場合、スイッチはrouter-confgファイルを読み取ります。router-confgファイルを読み取れない場合、スイッチはciscortr.cfgファイルを読み取ります。
DHCPベースの自動コンフィギュレーション ネットワークの例 に、DHCPベースの自動コンフィギュレーションを使用してIP情報を取得するネットワークの例を示します。
TFTPサーバのベース ディレクトリは、/tftpserver/work/に設定されています。このディレクトリには、2ファイル読み取り方式で使用されるnetwork-confgファイルが含まれています。このファイルには、IPアドレスに基づいてスイッチに割り当てられるホスト名が設定されています。また、次に示すように、各スイッチ(switch1-confg、switch2-confgなど)のコンフィギュレーション ファイルもベース ディレクトリに含まれています。
DHCPベースの自動コンフィギュレーション ネットワークの例 では、スイッチ1は次のようにコンフィギュレーション ファイルを取得します。
動作パラメータの設定には多数のイネーブルEXECコマンドを使用するので、これらのコマンドが不正使用されないように、パスワードで保護する必要があります。Catalyst 2900 XLおよびCatalyst 3500 XLスイッチには、パスワードの設定コマンドが2つあります。
イネーブルEXECモードにアクセスするには、上記のどちらかのパスワードを入力する必要があります。できるだけイネーブル シークレット パスワードを使用してください。
パスワードおよびCMSの詳細については、 CMSのアクセス モード を参照してください。
どちらのタイプのパスワードも、1〜25文字の大文字および小文字の英数字を使用できます。また、どちらのパスワードも、数字を先頭文字にすることができます。スペースもパスワード文字として有効です。たとえば、[two words]は有効なパスワードです。先行スペースは無視されますが、後続スペースは認識されます。パスワードには、大文字と小文字の区別があります。
enable secretコマンドを入力した場合は、テキストが暗号化されてからconfig.textファイルに書き込まれるので、判読できません。enable passwordコマンドを入力した場合には、入力したとおりにテキストがconfig.textファイルに書き込まれるので、判読が可能です。パスワードの設定を解除するには、no形式のコマンドを使用します(no enable secretまたはno enable password)。CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
さらに、 enable password [ level level ] { password }または enable secret [ level level ] { password }コマンドを使用して、最高15のイネーブル レベルを指定し、それらのパスワードを定義することができます。レベル1は、通常のEXECユーザ モードです。レベルを指定しない場合、イネーブル レベルはデフォルトの15(従来どおりのイネーブル モード)です。
レベルを指定してパスワードを設定したら、そのレベルでアクセスする必要のあるユーザだけに該当するパスワードを渡します。さまざまなレベルでアクセス可能なコマンドを指定する場合は、 privilege level グローバル コンフィギュレーション コマンドを使用します。
イネーブル パスワードを忘れた場合には、 パスワードを忘れた場合の回復 を参照してください。
スイッチの日付および24時間表記のクロック タイムを変更することができます。米国のタイムゾーンに対応する時刻を入力する場合は、タイムゾーンを表す3文字の略語をに入力します(例: 太平洋標準時はPST)。グリニッジ標準時のタイムゾーンを指定する場合には、UTC(協定世界時)を入力します。さらに、スイッチと英国のグリニッジとのタイムゾーン差を表すために、マイナスまたはプラスの数字を入力します。スイッチの設置場所がグリニッジより西側で、かつ国際日付変更線より東側である場合は、マイナスの数字を指定します。たとえば、カリフォルニアはグリニッジより8タイムゾーン西側にあるので、8を入力します。スイッチがグリニッジより東側にある場合には、プラスの数字を入力します。プラスおよびマイナスの数字は、分を表す場合にも入力できます。
特定の日付を入力し、毎年その日に夏時間に切り替わるようにスイッチを設定することも、夏時間に関して何も設定しないでおくこともできます。
CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
複雑なネットワークでは、セントラル サーバから時刻情報を配布すると便利な場合があります。Network Time Protocol(NTP)は、クライアント要求に対して応答、またはブロードキャストすることにより、時刻情報を配布します。
CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
NTPクライアントとしてスイッチを設定するには、最大10のNTPサーバのIPアドレスを入力し、最初に使用するサーバを指定します。時刻情報の要求をサーバに送信するときに、パスワードとして使用する認証鍵を入力することもできます。
CLIまたはCMSを使用して、スイッチのCisco Discovery Protocol(CDP)をイネーブルにし、グローバルCDPパラメータを設定し、近接するシスコ デバイスの情報を表示します。
CDPにより、CMSはネットワークをグラフィカルに表示できます。たとえば、スイッチはCDPを使用してクラスタ候補を検出し、クラスタ メンバー、およびコマンド スイッチから3台まで離れた(クラスタ対応の)他のデバイスについての情報を維持します。
必要に応じて、CMSが稼働しているスイッチを、コマンド スイッチから7台離れたものまで検出するようにCDPを設定できます。エッジ デバイスとしてのクラスタ ソフトウェア ディスプレイを実行していないデバイスの場合、CDPでこれらのデバイスに接続しているデバイスを検出することはできません。
コマンド スイッチでCDPのデフォルト設定を変更して、7ホップ先のデバイスまで検出を行うように設定することができます。 CDPによるクラスタ候補の検出 に、コマンド スイッチ自身から7台離れたデバイスまでを候補およびクラスタ メンバーとして検出できるように設定した例を示します。 CDPによるクラスタ候補の検出 では、コマンド スイッチはCatalyst 5000シリーズ スイッチにも接続されています。Catalyst 5000はCDPをサポートしていますが、クラスタはサポートしていません。コマンド スイッチは、Catalyst 5000がCMSを実行していても、これらに接続されている候補スイッチを認識しません。
スイッチがポート間のトラフィック転送に使用するMACアドレス テーブルを管理することができます。アドレス テーブルに登録されたMACアドレスはすべて、1つまたは複数のポートに対応しています。MACテーブルには、次のタイプのアドレスが含まれます。
アドレス テーブルは、宛先MACアドレス、VLAN ID、モジュール、およびアドレスに対応づけられたポート番号を指定したリストです。 アドレス テーブルの内容 に、ダイナミック、セキュア、またはスタティック アドレス テーブルに表示されるアドレス リストの例を示します。 サポートされるMACアドレスの最大数 に、Catalyst 2900 XLおよびCatalyst 3500 XLスイッチでサポートされるMACアドレスの最大数を示します。
アドレスはすべて、VLANと対応づけられます。1つのアドレスを複数のVLANに対応づけ、それぞれで異なる宛先を設定することができます。たとえば、VLAN 1のポート1、およびVLAN 5のポート9、10、11を宛先とするマルチキャスト アドレスを設定できます。
VLANごとに、独自の論理アドレス テーブルが維持されます。あるVLANで認識されているアドレスが別のVLANで認識されるには、他のVLAN内のポートによって、学習されるかまたはスタティックに対応づけられる必要があります。1つのアドレスを、あるVLANではセキュア アドレスとして、他のVLANではダイナミック アドレスとして設定することができます。あるVLANでスタティックとして入力するアドレスは、他のすべてのVLANでもスタティック アドレスでなければなりません。
ダイナミック アドレスは、スイッチが学習し、使用されなくなると削除される送信元MACアドレスです。Aging Timeパラメータを使用して、使用されなくなったアドレスをテーブルで維持する時間の長さを設定します。このパラメータは、すべてのVLANに適用されます。
有効期間の設定が短すぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、宛先が不明のパケットを受信すると、スイッチは受信ポートと同じVLAN内のすべてのポートに、そのパケットをフラッディングします。この不必要なフラッディングによって、パフォーマンスに悪影響が出る可能性があります。有効期間の設定が長すぎると、使用されないアドレスでアドレス テーブルが一杯になる可能性があります。その場合、ワークステーションを新しいポートに移したときに、接続の確立が遅延する可能性があります。
MACアドレス通知を使用すると、ネットワークに着信および発信するユーザを追跡できます。新しいMACアドレスを学習したり、古いMACアドレスをスイッチから削除するたびに、SNMP通知(トラップ)が生成されます。ネットワークに対して多数のユーザが着信および発信している場合は、トラップを束ねて一定の間隔で送信できるように、トラップ インターバルを設定することができます。
MAC通知履歴テーブルには、トラップがイネーブルであるハードウェア ポートごとに、MACアドレス アクティビティが格納されます。MACアドレス通知は、ダイナミックおよびセキュアMACアドレスに対して生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスには、イベントは生成されません。
MACアドレス通知機能をイネーブルにするには、イネーブルEXECモードで次の手順を行います。
スイッチのMACアドレス通知トラップ送信をディセーブルにするには、no snmp-server enable traps mac-notificationグローバル コンフィギュレーション コマンドを使用します。特定のインターフェイスでMACアドレス通知トラップをディセーブルにするには、no snmp trap mac-notificationインターフェイス コンフィギュレーション コマンドを使用します。MACアドレス通知機能をディセーブルにするには、no mac-address-table notificationグローバル コンフィギュレーション コマンドを使用します。
以下に、NMSとして172.20.10.10を指定し、スイッチからNMSへのMACアドレス通知トラップ送信およびMACアドレス通知機能をイネーブルにし、インターバルを60秒に設定し、history-sizeを100エントリに設定し、ファスト イーサネット インターフェイス0/4にMACアドレスが追加された場合にトラップをイネーブルにする例を示します。
Switch(config)# snmp-server host 172.20.10.10
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac-address-table notification interval 60
Switch(config)# mac-address-table notification history-size 100
Switch(config)# interface fastethernet0/4
Switch(config-if)# snmp trap mac-notification added
前のコマンドを確認するには、 show mac-address-table notification イネーブルEXECコマンドを使用します。
セキュア アドレス テーブルには、セキュアMACアドレスと、それに対応するポートおよびVLANが登録されています。セキュア アドレスは、手動で入力され、VLANごとに1つのポートだけに伝送されるユニキャスト アドレスです。別のポートにすでに割り当てられているアドレスを入力すると、新しいポートにセキュア アドレスが再度割り当てられます。
ポートがまだVLANに割り当てられていない場合でも、セキュア ポート アドレスを入力できます。あとからポートをVLANに割り当てると、そのアドレス宛てのパケットがポートに転送されます。
パケットを受信したポートが、そのパケットを他のポートに伝送する方法を定義することができます。すべてのポートは必ず最低1つのVLANに関連づけられているので、スイッチは、転送マップで選択するポートから、そのアドレスに対応するVLAN IDを取得します。
1つのVLANでスタティック アドレスである場合、他のVLANでもスタティック アドレスでなければなりません。スタティック アドレスを持ったパケットが、そのアドレスがスタティックとして入力されていないVLANに届くと、すべてのポートにパケットがフラッディングされ、学習されません。
スタティック アドレスは、in-port、out-port-list、さらに必要に応じてVLAN IDと共に、アドレス テーブルに入力します。in-portのポートが受信したパケットは、out-port-listに指定されているポートに転送されます。
CGMPは、IPマルチキャスト パケットを要求したCGMPクライアントだけに送信することにより、不必要なIPマルチキャスト パケットのフラッディングを削減します。Fast Leave機能は、使われていないCGMPグループの削除を迅速化します。CGMPは、デフォルトでイネーブルに設定されています。Fast Leave機能は、デフォルトでディセーブルに設定されています。
エンド ステーションは、joinメッセージを発行してCGMPグループに加入し、leaveメッセージを発行してグループから脱退します。グループのメンバーシップは、スイッチと接続ルータがCGMPメッセージをさらに交換することによって管理されます。
CGMPグループは、VLAN単位で維持されます。マルチキャストIPアドレス パケットを、あるVLANでは特定のポート リストに伝送し、他のVLANでは別のポート リストに伝送することが可能です。CGMPグループを追加すると、そのグループはVLAN単位、グループ単位で追加されます。CGMPグループを削除すると、そのグループは特定のVLANだけで削除されます。
CGMP Fast Leave機能を使用すると、グループ メンバーがグループを脱退するときの遅延が短縮されます。エンド ステーションがCGMPグループの脱退を要求しても、すべてのメンバーが脱退を要求するまでは、グループはそのVLANで有効なままです。Fast Leave機能をイネーブルにすると、スイッチはただちに、そのグループ内のポートに接続しているメンバーが他にあるかどうかを確認します。他にメンバーがなければ、スイッチによってポートがグループから削除されます。グループに他のポートがない場合には、スイッチからVLANに接続しているルータに、グループ全体を削除するメッセージが送信されます。
Fast Leave機能は、CGMPがイネーブルの場合に限って有効です。Fast Leave機能が正常に動作するには、クライアント上でInternet Group Management Protocol(IGMP)バージョン2が稼働している必要があります。
ルータ ホールドタイムは、スイッチがルータ エントリを削除(期限切れ)して、そのルータとのメッセージ交換を停止するまでの秒数です。期限切れになったルータが、VLANに残った最後のルータである場合、そのVLAN上のすべてのCGMPグループが削除されます。CGMPグループの削除を迅速に行う場合は、ルータ ホールドタイムを短い値に設定します。
IGMPフィルタリングをMVR機能と組み合わせると、IPマルチキャスト グループのプロファイルを設定できるようになります。設定されたプロファイルは、フィルタリング アクションに関連づけることができます。
IGMPフィルタは、各物理スイッチ ポートに関連づけられています。これらのフィルタは、物理ポートに関連づけられているすべてのVLANに適用されます。
VLAN内のホストまたはクライアントがIGMP joinメッセージを送信した場合、IGMPメッセージはスイッチ ポートのフィルタによって処理されます。設定されたフィルタによってIGMPレポートが除外された場合、IPマルチキャスト トラフィック ストリームの要求元であるスイッチ ポートは、該当するグループのIPマルチキャスト トラフィックを受信できません。フィルタリング アクションを通過した特定のIGMPレポートは、転送されて、通常どおり処理されます。
フィルタリング アクションは、スイッチ ポート単位で設定されます。
IGMPフィルタは、Ethernet To The Home(ETTH)で導入されるビデオ サービスに使用することができます。IGMPフィルタによって、スイッチで受信可能なマルチキャスト アドレスが指定されます。
IGMPプロファイルを設定するには、 ip igmp profile グローバル コンフィギュレーション コマンドおよびプロファイル番号を使用して、IGMPプロファイルを作成し、IGMPプロファイル コンフィギュレーション モードを開始します。スイッチ ポートから送信されるIGMP join要求をフィルタリングするために使用されるIGMPプロファイルのパラメータは、このモードから指定できます。IGMPプロファイル コンフィギュレーション モードの場合は、次のコマンドを使用して、プロファイルを作成できます。
デフォルトは、IGMPプロファイルが設定されていないスイッチ用です。プロファイルが設定されていて、 permit キーワードおよび deny キーワードが両方とも指定されていない場合、デフォルトでは、IPアドレス範囲へのアクセスが拒否されます。
IGMPプロファイルを作成するには、イネーブルEXECモードで次の手順を行います。
プロファイルを削除するには、 no ip igmp profile profile number グローバル コンフィギュレーション コマンドを使用します。
IPマルチキャスト アドレスまたはIPマルチキャスト アドレス範囲を削除するには、 no range ip multicast address IGMPプロファイル コマンドを使用します。
次に、単一のIPマルチキャスト アドレスへのアクセスを拒否するIGMPプロファイル22を作成して、コンフィギュレーションを確認する方法を示します。アクションは拒否(デフォルト)であったため、 show ip igmp profile profile number イネーブルEXECコマンドの出力には表示されないことに注意してください。
Switch(config) # ip igmp profile 22
Switch(config-igmp-profile)# deny
Switch(config-igmp-profile)# range 229.9.9.0
Switch(config-igmp-profile)# end
IGMPプロファイル内の定義に従ってアクセスを制御するには、該当するインターフェイスにプロファイルを適用します。IGMPプロファイルはレイヤ2ポートにのみ適用できます。プロファイルは複数のインターフェイスに適用できますが、各インターフェイスにはプロファイルを1つしか適用できません。
スイッチ ポートにIGMPプロファイルを適用するするには、イネーブルEXECモードで次の手順を行います。
|
|
||
|
|
インターフェイス コンフィギュレーション モードを開始して、設定する物理インターフェイス( fastethernet 0/3 など)を入力します。インターフェイスは、レイヤ2ポートでなければなりません。 |
|
|
|
指定されたIGMPフィルタ プロファイルをインターフェイスに適用します。プロファイル番号は1〜4294967295です。 |
|
|
|
||
|
|
||
|
|
インターフェイスからフィルタのプロファイルを削除するには、 no ip igmp filter profile number インターフェイス コンフィギュレーション コマンドを使用します。
次に、インターフェイスにIGMPプロファイル22を適用して、設定を確認する方法を示します。
Switch(config)# interface fastethernet 0/12
Switch(config-if)# ip igmp filter 22
Switch# show running-config interface fastethernet 0/12
レイヤ2インターフェイスを追加できるIGMPグループの最大数を設定できます。最大数に制限のないデフォルト設定に戻すには、このコマンドのno形式を使用します。
インターフェイスのIGMPグループの最大数を設定するには、イネーブルEXECモードで次の手順を行います。
|
|
||
|
|
インターフェイス コンフィギュレーション モードを開始して、設定する物理インターフェイス( gigabitethernet0/1 など)を入力します。インターフェイスは、レイヤ2ポートでなければなりません。 |
|
|
|
インターフェイスを追加できるIGMPグループの最大数を設定します。範囲は1〜256です。デフォルトでは、最大値は設定されません。 |
|
|
|
||
|
|
||
|
|
グループの最大数に関する制限を削除し、制限のないデフォルト設定に戻すには、 no ip igmp max-groups インターフェイス コンフィギュレーション コマンドを使用します。
次に、インターフェイスを追加できるIGMPグループ数を20に制限する例を示します。
Switch(config)# interface fastethernet 0/12
Switch(config-if)# ip igmp max-groups 20
Switch# show running-config interface fastethernet 0/12
MVRは、イーサネット リング ベースのサービス プロバイダー ネットワークにおいて、マルチキャスト トラフィックを広範囲に配信するアプリケーション(複数のTVチャネルのブロードキャストなど)のために設計された機能です。MVRにより、ポート上の加入者は、ネットワーク全般のマルチキャストVLAN上でのマルチキャスト ストリームに対して、加入または非加入を設定することができます。ネットワーク上で1つのマルチキャストVLANを共有しながら、加入者は異なるVLANに存続できます。これにより、マルチキャストVLAN内でマルチキャスト ストリームを継続的に送信しながら、帯域およびセキュリティを確保するために、加入者VLANからストリームを隔離することができます。
MVRでは、加入者ポートが、IGMPのjoinメッセージおよびleaveメッセージを送信することによって、マルチキャスト ストリームへの加入および脱退(joinおよびleave)を実行することを前提にしています。これらのメッセージは、IGMPバージョン2と互換性がありイーサネット接続されたセットトップ ボックス、またはIGMPバージョン2メッセージを生成できるPCから発信することができます。スイッチのCPUは、IPマルチキャスト ストリームおよびスイッチ転送テーブルの対応MACアドレスを識別し、IGMPメッセージを代行受信して転送テーブルを書き換え、マルチキャスト ストリームの受信者である加入者をテーブルに追加するか、テーブルから削除します。この転送動作は、2つのVLAN間で通信されるトラフィックを選択的に許可します。
MVRはIGMPのダイナミックな加入をサポートしていないので、ユーザまたは管理者がルータ上にスタティック マルチキャスト アドレスを設定する必要があります。
マルチキャストTVアプリケーションでは、PCまたはセットトップ ボックスが設定されたTVで、マルチキャスト ストリームを受信することができます。1つの加入者ポートに複数のセットトップ ボックスまたはPCを接続できます( MVRの例 を参照)。セットトップ ボックスまたはPCには、DHCPによってIPアドレスが割り当てられます。加入者がチャネルを選択すると、対応するマルチキャストに参加するために、セットトップ ボックスまたはPCからアクセス レイヤ スイッチ(S1スイッチ)に対してIGMPレポートが送信されます。IGMPレポートが設定済みマルチキャストMACアドレスの1つと一致すると、スイッチのCPUはハードウェアのアドレス テーブルを変更し、送信元ポート上のマルチキャストVLANから受信した特定のマルチキャスト ストリームの転送宛先として、受信者のポートおよびVLANをテーブルに追加します。
加入者がチャネルを変更するか、TVをオフにすると、セットトップ ボックスからマルチキャスト ストリームのIGMP leaveメッセージが送信されます。スイッチのCPUは、受信者ポートのVLANを介して、IGMPグループ固有のクエリを送信します。VLAN内に、このグループに加入している他のセットトップ ボックスがある場合には、そのセットトップ ボックスは最大応答時間の範囲内に応答しなければなりません。応答を受信しない場合、CPUは受信者ポートを、このグループの転送宛先から除外します。
MVRでは、各VLANの複数の加入者のためにTVチャネルのマルチキャスト トラフィックを重複して送信する必要がありません。マルチキャスト トラフィックは、すべてのチャネルにおいて、VLANトランクに対して(マルチキャストVLANのみ)1回だけ送信されます。IGMP joinおよびleaveメッセージは加入者が発信しますが、加入者ポートが割り当てられているVLANではなく、マルチキャストVLANのポートから送信されているように処理されます。これらのメッセージは、マルチキャストVLANのマルチキャスト トラフィック ストリームをスイッチ上にダイナミックに登録します。アクセス レイヤ スイッチ(S1スイッチ)は、マルチキャストVLANから異なるVLAN上の加入者ポートにトラフィックが転送されるように転送動作を変更し、2つのVLAN間で伝送されるトラフィックを選択的に許可します。
IGMPレポートは、マルチキャスト データと同じMACアドレス宛てに送信されます。S1のCPUは、加入者ポートから発信されたすべてのIGMP joinメッセージおよびleaveメッセージをキャプチャする必要があります。Catalyst 2900 XLおよびCatalyst 3500 XLのハードウェアでは、IGMPプロトコル データが付加されたIPマルチキャスト パケットから、IPマルチキャスト データ パケットだけを識別することはできないので、加入者ポートから設定済みマルチキャストMACアドレス宛てに送信された全パケットがスイッチのCPUに転送され、CPUが通常のマルチキャスト トラフィックからIGMPパケットを識別します。
逆に、CGMPグループ メンバーであるアドレスをMVRグループに追加することもできません。CGMPグループ メンバーであるアドレスをMVRグループ メンバーとして設定する場合には、そのアドレスをCGMPグループから削除してから、MVRグループにスタティックに追加してください。CGMPの詳細については、 CGMPの設定 を参照してください。
デフォルト設定を使用する場合には、MVRパラメータを設定する必要はありません。デフォルトのパラメータ値を変更する場合には、MVRをイネーブルにする前に変更する必要があります。
デバイス(イーサネット経由の装置など)と通信するには、まずソフトウェアが、そのデバイスの48ビットMACアドレスまたはローカル データ リンク アドレスを判別する必要があります。IPアドレスからローカル データ リンク アドレスを判別するプロセスを、「 アドレス解決 」と呼びます。
Address Resolution Protocol(ARP)は、ホストIPアドレスを、該当するメディアまたはMACアドレスおよびVLAN IDに対応づけます。ARPは入力としてIPアドレスを受け取り、対応するMACアドレスを判別します。MACアドレスが判別されると、IP/MACアドレスの関連づけを、すばやく検索できるようにARPキャッシュに格納します。その後、IPデータグラムがリンク レイヤ フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外のIEEE 802ネットワークにおけるIPデータグラムのカプセル化およびARP要求および応答については、Subnetwork Access Protocol(SNAP)で規定されています。IPインターフェイスでは、標準的なイーサネット形式のARPカプセル化( arpa キーワードで表される)がデフォルトでイネーブルに設定されています。
手動でテーブルに追加されたARPエントリは期限切れにならないので、手動で削除する必要があります。
CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
Spanning Tree Protocol(STP;スパニングツリー プロトコル)は、ネットワーク上の不要なループを防ぐことによって、パスの冗長性を提供します。2つのステーション間に存在するアクティブ パスは1つだけです。STPは、ネットワーク全体において最適なループフリー パスを算出します。
STPインスタンスは、VLANにインターフェイスを割り当てるときに作成します。最後のインターフェイスが他のVLANに移動すると、STPインスタンスは削除されます。STPインスタンスを作成する前に、スイッチおよびポートのパラメータを設定できます。これらのパラメータは、STPインスタンスの作成時に適用されます。CLIを使用してSTPコマンドを入力する場合には、stp-listパラメータを使用すれば、スイッチ上のすべてのVLANを変更できます。詳細については、スイッチのコマンド リファレンスを参照してください。
Catalyst 2912 XL、Catalyst 2924 XL、およびCatalyst 2924C XLでは、サポートされるSTPインスタンス数およびVLAN数はそれぞれ64までに限定されています。それ以外のすべてのCatalyst 2900 XLスイッチ、およびすべてのCatalyst 3500 XLスイッチは、64のSTPインスタンスおよび250のVLANをサポートします。
各VLANは、それぞれ異なるSTPインスタンスになります。スイッチ上で使用できるすべてのSTPインスタンスを使用している場合、VLAN Trunking Protocol(VTP;VLANトランキング プロトコル)ドメインに他のVLANを追加すると、そのスイッチではSTPを実行しないVLANが作成されます。たとえば、VTPドメインに250のVLANが定義されている場合、64のVLANすべてにおいてSTPをイネーブルに設定できます。この場合、追加するVLANは、STPをディセーブルにする必要があります。
STPを実行している任意のVLANのSTPをディセーブルにしたり、STPを実行させたいVLAN上でSTPをイネーブルにできます。特定のVLANのSTPをディセーブルにするには、 no spanning-tree vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。特定のVLAN上のSTPをイネーブルにするには、 spanning-tree vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
VLANの詳細については、 VLANの設定 を参照してください。
2つのスイッチ ポートを別のデバイス、または2台の異なるデバイスに接続することにより、STPを使用して冗長バックボーンを作成できます。STPは一方のポートを自動的にディセーブルにしますが、他方のポートが使用できなくなると、ディセーブルになっていたポートをイネーブルにします。一方のリンクが高速で、他方が低速の場合、基本的には低速の方のリンクがディセーブルになります。2つのリンクの速度が同じ場合、ポート プライオリティとポートIDが加算され、値が小さいリンクがSTPによってディセーブルにされます。
EtherChannelポート グループを使用して、スイッチ間の冗長リンクを設定することもできます。ポート グループの作成方法については、 EtherChannelポート グループの作成 を参照してください。
ダイナミック アドレスの有効期間は、デフォルトで5分です。ただし、スパニングツリーの再構成により、多数のステーション ロケーションが変更される場合があります。このようなステーションは、再構成中、5分以上に渡って到達できないことがあるので、アドレス テーブルからステーション アドレスを削除し、改めて学習できるように、アドレス有効期間が短縮されます。短縮される有効期間は、STP再構成時の伝送遅延パラメータと同じです。
各VLANは独立したSTPインスタンスなので、スイッチはVLAN単位で有効期間を短縮します。あるVLANでSTPの再構成が行われると、そのVLANで学習されたダイナミック アドレスが有効期間短縮の対象になることがあります。他のVLANのダイナミック アドレスは影響を受けず、スイッチで設定された有効期間がそのまま適用されます。
Catalyst 2900 XLおよびCatalyst 3500 XLスイッチをカスケード型コンフィギュレーションで設定する場合、STPは削減可能なデフォルト値を使用します。STPルート スイッチがクラスタに含まれ、カスケード型スタックの1つのスイッチである場合には、スイッチ故障時にSTPが短時間で再コンバージェンスできるように、STPをカスタマイズしてください。 ギガビット イーサネット クラスタ に、GigaStack GBICを使用する3種類のカスケード型クラスタで、モジュール型Catalyst 2900 XLおよびCatalyst 3500 XLスイッチを使用した例を示します。 クラスタ内の全スイッチでUplinkFastをイネーブルにすると、新しいルート スイッチの選択後にクラスタ スイッチが伝送を開始するまでの時間が、さらに短縮されます。 に、デフォルトのSTP設定と、これらのコンフィギュレーションに適した設定値を示します。
階層型ネットワークに配置されたスイッチは、バックボーン スイッチ、ディストリビューション スイッチ、およびアクセス スイッチに分類することができます。 階層型ネットワークのスイッチ に、ディストリビューション スイッチおよびアクセス スイッチに1つ以上の冗長リンクが確保されている複雑なネットワークの例を示します。冗長リンクは、ループを防止するために、STPによってブロックされています。
スイッチの接続が切断されると、スイッチはSTPが新しいルート ポートを選択すると同時に代替パスを使用し始めます。STP UplinkFastは、リンクまたはスイッチで障害が発生した場合、またはSTPの再構成時に、新しいルート ポートを短時間で選択するためのシスコの拡張機能です。ルート ポートは、通常のSTPプロシージャのように、リスニング ステートおよびラーニング ステートを経由しないで、ただちにフォワーディング ステートに移行します。
STPが新しいルート ポートを再構成すると、他のポートはポートで学習されたアドレスごとに1つずつ、マルチキャスト パケットをネットワークにフラッディングします。これらのマルチキャスト トラフィック バーストは、max-update-rateパラメータの値を小さくすることによって制限できます。このパラメータのデフォルト値は、150パケット/秒です。ただし、ゼロを入力した場合には、ステーションを学習するフレームが生成されないので、接続の切断後、STPトポロジーのコンバージェンスにかかる時間が長くなります。
UplinkFastはエッジ スイッチまたはアクセス スイッチで非常に有効ですが、バックボーン デバイスには適さないことがあります。
UplinkFastをイネーブルにすると、スイッチ全体に対してイネーブルになり、個々のVLAN単位でイネーブルにすることはできません。
UplinkFastを設定するには、イネーブルEXECモードで次の手順を行います。
|
|
||
|
|
有効範囲は、0〜1000パケット/秒です。デフォルト値は150です。 速度をゼロに設定すると、ステーションを学習するフレームが生成されないので、接続の切断後、STPトポロジーのコンバージェンスに要する時間が長くなります。 |
|
|
|
||
|
|
UplinkFastがイネーブルの場合、すべてのVLANのブリッジ プライオリティが49152に設定され、すべてのポートおよびVLANトランクのパス コストが3000増えます。この変更により、スイッチがルート スイッチになる可能性が小さくなります。UplinkFastがディセーブルの場合、すべてのVLANのブリッジ プライオリティおよびすべてのポートのパス コストはデフォルト値に設定されます。
Cross-Stack UplinkFast(CSUF)は、共有カスケード型コンフィギュレーション(マルチドロップ バックボーン)に接続しているGigaStack GBICを使用するスイッチのスタック全体にわたり、高速スパニングツリー トランジション(通常のネットワーク状況で2秒未満の高速コンバージェンス)を実現します。高速トランジションの実行中は、スイッチ スタック上の代替冗長リンクがフォワーディング ステートになりますが、一時的なスパニングツリー ループが発生したり、バックボーンとの接続が切断されることはありません。この機能を使用すると、一部のコンフィギュレーションで、冗長性と回復力に優れたネットワークを構築できます。
CSUFは常に高速トランジションを実現するとは限りません。このような場合には標準のSTPトランジションが実行されるので、完了までに30〜40秒かかります。詳細については、 高速コンバージェンスを実行させるイベント を参照してください。
CSUFでは、スタックの1つのリンクが、ルートへのパスとして確実に選択されます。 CSUFのトポロジー では、スイッチA、B、およびCは、Gigastack GBICによりカスケードされ、マルチドロップ バックボーンを形成しています。スイッチ間の制御トラフィックとデータ トラフィックは、アクセス レイヤで通信されます。スタック内のスイッチは、スタック ポートを使用して相互に通信し、スタック バックボーンに接続しています。スタック ポートは常に、STPフォワーディング ステートです。スイッチAのスタック ルート ポートは、スパニングツリーのルートへのパスを提供しています。スイッチBおよびスイッチCの代替スタック ルート ポートは、現在のスタック ルート スイッチまたはスパニングツリー ルートへのリンクに障害が生じたときに使用される、スパニングツリー ルートへの代替パスを提供しています。
ルート リンクであるリンクAは、STPフォワーディング ステートです。代替冗長リンクであるリンクBおよびリンクCは、STPブロッキング ステートです。スイッチA、スイッチAのスタック ルート ポート、またはリンクAに障害が発生すると、CSUFはスイッチBまたはスイッチCのいずれかの代替スタック ルート ポートを選択し、1秒以内にそのポートをフォワーディング ステートに変更します。
CSUFは、Stack Membership Discovery ProtocolおよびFast Uplink Transition Protocolを使用します。Stack Membership Discovery Protocolの使用により、スタックの全スイッチに、ディスカバリhelloパケットの受信によってスタック メンバーのネイバ リストが構築されます。リンク損失またはSTPイベントが発生すると( 高速コンバージェンスを実行させるイベント を参照)、Fast Uplink Transition Protocolにより近接リストが使用され、スタック ポートからスタック メンバーに高速トランジション要求が送信されます。
高速トランジション要求を送信するスイッチは、ルート ポートとして選択されているポートのフォワーディング ステートに、高速トランジションを実行する必要があります。また、高速トランジションを実行する前に、スタックの各スイッチから確認応答を取得する必要があります。
スタックの各スイッチは、STPルート、コスト、およびブリッジIDを比較して、送信側スイッチが自身のスイッチよりもSTPインスタンスのスタック ルートとして適しているかどうかを判別します。送信側スイッチがスタック ルートとして最適である場合、スタック内のスイッチは確認応答を戻します。最適でない場合には、送信側スイッチがスタックの全スイッチから確認応答を得られないように、送信側スイッチに応答しません(パケットを廃棄します)。
スタックの全スイッチから確認応答を受信すると、送信側スイッチのFast Uplink Transition Protocolにより、そのスイッチの代替スタック ルート ポートがただちにフォワーディング ステートに移行します。スタックの全スイッチが送信側スイッチに確認応答を戻さなかった場合、標準のSTPトランジション(ブロッキング、リスニング、ラーニング、フォワーディング)が実行され、スパニングツリー トポロジーは標準の速度(2×転送遅延時間+最大エージング タイム)でコンバージェンスを行います。Fast Uplink Transition Protocolは、VLAN単位で実施され、一度に1つのSTPインスタンスだけに適用されます。
CSUFによる高速コンバージェンスが実行されるかどうかは、ネットワークのイベントまたは障害によって異なります。
高速コンバージェンス(通常のネットワーク状況で2秒未満)は、次の状況で実行されます。
スタック内の2つのスイッチにルートへの代替パスが設定されている場合は、いずれかのスイッチが高速トランジションを実行します。
通常のSTPコンバージェンス(30〜40秒)は、次の状況のもとで実行されます。
GigaStack GBICの接続およびSTPコンバージェンス に示すように、スタックの全スイッチにわたって高速トランジションを実行するには、マルチドロップ バックボーンのGigaStack GBICが連続リンクによって相互接続されている必要があります。さらに、次の注意事項に従ってください。
CSUFをイネーブルにする前に、スタック内のスイッチが適切に接続されているかどうかを確認してください。詳細については、 スタック ポートの接続 を参照してください。
CSUFをイネーブルにするには、イネーブルEXECモードで次の手順を行います。
インターフェイス上のCSUFをディセーブルにするには、 no spanning-tree stack-portインターフェイス コンフィギュレーション コマンドを使用します。スイッチのUplinkFastをディセーブルにするには、 no spanning-tree uplinkfast グローバル コンフィギュレーション コマンドを使用します。
各VLANのルート スイッチは、最高のプライオリティを持ち、スパニングツリー内の他のスイッチにトポロジー フレームを送信するスイッチです。VLANのルート パラメータは、選択したスイッチで変更することができます。次のオプションによって、STPを再設定したときのスイッチの応答が定義されます。
ルート スイッチの選択に影響するスイッチ プライオリティを変更するには、イネーブルEXECモードで次の手順を行います。 stp-list は、STPコマンドが適用されるVLANのリストです。
BPDUメッセージ インターバル(最大エージング タイム)を変更するには、イネーブルEXECモードで次の手順を行います。 stp-list は、STPコマンドが適用されるVLANのリストです。
hello BPDUインターバル(helloタイム)を変更するには、イネーブルEXECモードで次の手順を行います。 stp-list は、STPコマンドが適用されるVLANのリストです。
STPにより転送を行っていないポートは、次のいずれかのステートになっています。
PortFast機能を使用した場合、ポートがブロッキング ステートからフォワーディング ステートへ直接移行します。ポートが通常のサイクルでSTPステータスの移行をたどるために、接続先のサーバまたはワークステーションがタイムアウトする場合、この機能が役立ちます。PortFastオプションをイネーブルに設定したポートが、通常のSTPステータスの移行をたどるのは、スイッチの再起動時だけです。
1〜65535の値を入力します。デフォルト値は、10 Mbpsで100、100 Mbpsで19、155 Mbps(ATM)で14、1 Gbpsで4、10 Gbpsで2、10 Gbpsを超えるインターフェイスで1です。
スイッチまたはハブに接続するポートでこの機能をイネーブルにすると、STPがネットワーク ループを検出または抑止できなくなる可能性があります。
SP(サービス プロバイダー)のレイヤ2ネットワークには、SPが所有しないスイッチへの接続が多く含まれている場合があります。このようなトポロジーでは、 サービス プロバイダー ネットワーク内のSTP に示すように、STPが自動的に再設定され、カスタマー スイッチがSTPルート スイッチとして選択されることがあります。この状況を防ぐには、カスタマー ネットワークの外部にあるスイッチに接続するインターフェイス上で、ルート ガード機能を設定します。STPによりカスタマー ネットワークのインターフェイスがルート ポートとして選択された場合、ルート ガード機能はそのインターフェイスをroot-inconsistent(ブロック)ステートに変更し、カスタマー スイッチがルート スイッチに設定されたり、ルートへのパスとして設定されるのを防止します。
ネットワーク外のスイッチがルート スイッチになると、ポートはブロックされるので(root-inconsistentステートになるので)、STPにより新しいルート スイッチが選択されます。カスタマー スイッチは、ルート スイッチには設定されず、ルートへのパスにはなりません。
有効な設定では、PortFastが設定されたインターフェイスはBPDUを受信しません。スイッチでBPDUガード機能をイネーブルにすると、PortFastが設定されているインターフェイスでBPDUが受信された場合に、STPはそのインターフェイスをブロッキング ステートにするのではなく、シャットダウンします。
このソフトウェア リリースは、次のSNMPバージョンをサポートします。
管理ステーションでサポートされているSNMPバージョンを使用するには、SNMPエージェントを設定する必要があります。1つのエージェントは複数のマネージャと通信できます。このため、SNMPv1プロトコルを使用する管理ステーションや、SNMPv2プロトコルを使用する別の管理ステーションと通信できるように、ソフトウェアを設定できます。
SNMPv1およびSNMPv2Cは、両方ともコミュニティベースのセキュリティ形式を使用します。エージェントのManagement Information Base(MIB)にアクセスできるマネージャのコミュニティは、IPアドレスのアクセス制御リストおよびパスワードによって定義されます。
SNMPv2Cには一括検索機能、および管理ステーションへの詳細なエラー メッセージ レポート機能があります。一括検索機能は、テーブルおよび大量の情報を検索することにより、必要なラウンドトリップ数を最小にする仕組みです。強化されたSNMPv2Cのエラー処理機能には、さまざまな種類のエラー条件を区別する拡張エラー コードが組み込まれています。これらの条件は、SNMPv1の単一エラー コードを使用して報告されます。エラーのリターン コードは、エラー タイプを表します。
SNMPv2Cでは、SNMPv2Classicのパーティベースの管理およびセキュリティ フレームワークの代わりに、SNMPv2Cのコミュニティベースの管理フレームワークが使用されています。SNMPv2Classicの一括検索機能と強化されたエラー処理機能は引き継がれています。
SNMPはデフォルトでイネーブルに設定されています。Cluster Management機能を正常に動作させるには、SNMPをイネーブルにしておく必要があります。
CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
コミュニティ ストリングは、スイッチ上のエージェントへのアクセスが許可されるため、SNMPメッセージのパスワードとしての役割を果たします。クラスタ メンバーのコミュニティ ストリングを入力する場合は、 SNMPコミュニティ ストリング を参照してください。次の特性を持つコミュニティ ストリングを入力できます。
read-only(RO) ― ストリングと組み合わされた要求で、MIBオブジェクト情報を表示できます。
read-write(RW) ― ストリングと組み合わされた要求で、MIBオブジェクト情報を表示し、MIBオブジェクトを設定できます。
CLIの手順の詳細については、Cisco.comで提供されているCisco IOS Rlease 12.0のマニュアルを参照してください。
トラップ マネージャは、トラップを受信して処理する管理ステーションです。トラップ マネージャを設定する場合、各メンバー スイッチに固有のコミュニティ ストリングを使用する必要があります。メンバー スイッチにIPアドレスが割り当てられている場合、管理ステーションはそのIPアドレスを使用して、スイッチにアクセスします。
デフォルトでは、トラップ マネージャは定義されず、トラップは発行されません。 Catalyst 2900 XLおよびCatalyst 3500 XL SNMPトラップ に、Catalyst 2900 XLおよびCatalyst 3500 XLで設定できるSNMPトラップを示します。これらのトラップの一部または全部をイネーブルにして、トラップを受信するトラップ マネージャをスイッチ上に設定できます。
TACACS+は、サーバからネットワーク セキュリティ(Authentication, Authorization, Accounting[AAA;認証、許可、アカウンティング])を管理するための手段です。ここでは、TACACS+の動作および設定方法について説明します。
この機能は、CLIを使用しないと設定できません。CMSを使用して設定することはできません。
大規模なエンタープライズ ネットワークでは、サーバで集中的にユーザ認証を実行することにより、各デバイスのパスワード管理作業を簡略化できます。TACACS+は、セントラル サーバを介してスイッチにあらゆるログインを認証させるアクセス制御プロトコルです。ネットワーク管理者は、TACACS+サーバのアドレスを指定してスイッチを設定します。スイッチとサーバ間でメッセージが交換され、各ユーザを認証してから管理コンソールへのアクセスが許可されます。
TACACS+には、3つのサービスがあります。認証、許可、およびアカウンティングです。認証は、ユーザが誰であり、そのユーザにスイッチにアクセスする権限があるかどうかを判別するサービスです。許可は、ユーザがシステム上で何を実行できるかを判別するサービスです。アカウンティングは、リソースの使用に関連するデータを収集するサービスです。
TACACS+機能は、デフォルトではディセーブルに設定されています。CLIを使用してTACACS+をイネーブルにし、設定を行うことができます。CLIにはコンソール ポートまたはTelnetを使用してアクセスします。セキュリティ ホールを防止するため、ネットワーク管理アプリケーションを使用してTACACS+を設定することはできないようになっています。イネーブルに設定した場合、TACACS+はCLIを通じてスイッチにアクセスするユーザを認証できます。
tacacs-server host コマンドを使用して、AAA/TACACS+サーバを維持するIPホスト(1つまたは複数)の名前を指定します。TACACS+サーバに関して、このほかに次のオプションを設定できます。
AAA/TACACS+を使用したログイン認証を設定するには、イネーブルEXECモードで次の手順を行います。
|
|
||
|
|
||
|
|
aaa authentication login { default | list-name } method1 [ method2... ] |
|
|
|
line [ aux | console | tty | vty ] line-number [ ending-line-number ] |
|
|
|
||
|
|
||
|
|
変数 list-name は、作成するリストの名前として使用する任意の文字列です。 method 変数は、認証アルゴリズムが試行する実際の方式です。入力した順番どおりに試行されます。次のいずれかの方式を選択できます。
login authentication ライン コンフィギュレーション コマンドに no list が指定されている場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。
2番目以降の認証方式は、その前の方式でエラーが戻った場合に限り使用されます。すべての方式でエラーが戻っても認証を続行させることを指定するには、コマンド ラインに最後の方式として none を指定します。
aaa authorization グローバル コンフィギュレーション コマンドと tacacs+ キーワードを組み合わせて使用すると、Cisco IOSイネーブル モード(EXECアクセス)に対するユーザのネットワーク アクセス、およびSerial Line Internet Protocol(SLIP)、PPP/NCP(ポイントツーポイント プロトコル/Network Control Protocol)、AppleTalk Remote Access(ARA)などのネットワーク サービスに対するユーザのネットワーク アクセスを制限するパラメータを設定できます。
aaa authorization exec tacacs+ localコマンドは、次の許可パラメータを設定します。
EXECアクセスおよびネットワーク サービスに関するTACACS+許可を指定するには、イネーブルEXECモードで次の作業を行います。
aaa accounting コマンドを tacacs+ キーワードと共に使用して、各Cisco IOSイネーブル レベルおよびネットワーク サービスに関してTACACS+アカウンティングをイネーブルにします。
ここでは、詳細なアカウンティング情報を提供し、認証および許可プロセスをフレキシブルに管理できる、Remote Authentication Dial-In User Service(RADIUS)をイネーブルにして設定する手順について説明します。RADIUSはAAAに有益であり、AAA CLIコマンドを使用してのみイネーブルにできます。
RADIUSは、ネットワークを不正なアクセスから保護する分散型クライアント/サーバ システムです。RADIUSクライアントは、サポート対象のシスコ製ルータおよびスイッチ上で動作し、中央のRADIUSサーバに認証要求を送信します。RADIUSサーバには、すべてのユーザ認証およびネットワーク サービス アクセス情報が保管されています。RADIUSホストは通常、シスコ(Cisco Secure Access Control Serverバージョン3.0)、Livingston、Merit、Microsoft、またはその他のソフトウェア プロバイダー製のRADIUSサーバ ソフトウェアが稼働するマルチユーザ システムです。詳細については、RADIUSサーバのマニュアルを参照してください。
アクセス セキュリティを必要とする次のようなネットワーク環境で、RADIUSを使用します。
ネットワーク セキュリティに関する次のような状況には、RADIUSは適していません。
RADIUSサーバによってアクセス制御されているスイッチにユーザがログイン認証を試みるとき、次のイベントが発生します。
ACCEPT応答またはREJECT応答には、イネーブルEXECまたはネットワークの許可に使用される追加のデータがバンドルされています。RADIUS許可が設定されている場合、最初にユーザがRADIUS認証に成功しないと、RADIUS許可に進むことはできません。ACCEPTまたはREJECTパケットに含まれる追加のデータとしては、次のものがあります。
ここでは、RADIUSをサポートするようにスイッチを設定する手順について説明します。最低でも、RADIUSサーバ ソフトウェアが稼働している1つ以上のホストを指定し、RADIUS認証用の方式リストを定義する必要があります。また、RADIUS許可およびアカウンティング用の方式リストも任意で定義できます。
方式リストは、ユーザの認証、許可、またはアカウンティングに使用する各種の方式およびその実行順序を定義します。方式リストによって、使用する1つ以上のセキュリティ プロトコル(TACACS+、ユーザ名のローカル検索など)を指定し、最初の方式が失敗しても予備のシステムを確保することができます。リストの先頭に指定された方式を使用して、ユーザの認証、許可、またはアカウンティングが行われます。その方法で応答が得られなかった場合、次にリストされている方式が選ばれます。リストのいずれかの方式が成功するか、またはリストに指定された方式をすべて実行するまで、同じプロセスが続けられます。
スイッチにRADIUS機能を設定する前に、RADIUSサーバにアクセスし、サーバを設定する必要があります。
デフォルトでは、RADIUSおよびAAAはディセーブルに設定されています。
セキュリティ ホールを防止するため、ネットワーク管理アプリケーションを使用してRADIUSを設定することはできないようになっています。イネーブルに設定した場合、RADIUSはCLIを通じてスイッチにアクセスするユーザを認証できます。
スイッチとRADIUSサーバの通信には、いくつかのコンポーネントが関与します。
RADIUSセキュリティ サーバを指定するには、ホスト名およびIPアドレス、ホスト名および特定のUDPポート番号、またはIPアドレスおよび特定のUDPポート番号を使用します。IPアドレスとUDPポート番号の組み合わせによってUnique Identifier(UID;固有識別情報)が作成され、複数の異なるポートを、それぞれ特定のAAAサービスを提供するRADIUSホストとして個別に定義することができます。このUIDを使用することにより、同じIPアドレスを設定されたサーバ上の複数のUDPポートにRADIUS要求を送信できるようになります。
同じRADIUSサーバ上の2つの異なるホスト エントリに同じサービス(例:アカウンティング)を設定する場合、2番目に設定されたホスト エントリは、最初に設定されたホスト エントリの障害時のバックアップとして動作します。この場合、最初のホスト エントリがアカウンティング サービスを提供できなくなった場合、スイッチは同じデバイス上の2番目のホスト エントリをアカウンティング サービスに使用することを試みます(RADIUSホスト エントリは、設定された順序に従って試行されます)。
RADIUSサーバおよびスイッチは、共有のシークレット テキスト ストリングを使用してパスワードを暗号化し、応答を交換します。AAAセキュリティ コマンドを使用するようにRADIUSを設定するには、RADIUSサーバ デーモンが稼働するホストを指定し、さらに、スイッチと共有するシークレット テキスト(鍵)ストリングを指定する必要があります。
タイムアウト、再送信回数、および暗号鍵の値は、すべてのRADIUSサーバに対してグローバルに設定することも、またサーバ単位で設定することもできます。また、グローバルな設定とサーバ単位の設定を組み合わせることもできます。これらの設定値を、スイッチと通信するすべてのRADIUSサーバにグローバルに適用するには、それぞれ独自のグローバル コンフィギュレーション コマンド radius-server timeout 、 radius-server retransmit 、および radius-server key を使用します。これらの値を特定のRADIUSサーバに適用するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。
スイッチがAAAサーバ グループを使用するように設定して、既存のサーバ ホストを認証用にグループ化することができます。詳細については、 AAAサーバ グループの定義 を参照してください。
サーバ単位でのRADIUSサーバ通信を設定するには、イネーブルEXECモードで次の手順を行います。この手順は必須です。
特定のRADIUSサーバを削除するには、 no radius-server host hostname | ip-address グローバル コンフィギュレーション コマンドを使用します。
次に、1つのRADIUSサーバを認証に使用し、もう1つのRADIUSサーバをアカウンティングに使用するように設定する例を示します。
Switch(config)# radius-server host 172.29.36.49 auth-port 1612 key rad1
Switch(config)# radius-server host 172.20.36.50 acct-port 1618 key rad2
次に、 host1 をRADIUSサーバとして設定し、デフォルトのポートを認証およびアカウンティングの両方に使用する例を示します。
AAA認証を設定するには、認証方式の名前付きリストを定義し、そのリストを各インターフェイスに適用します。方式リストは、実行すべき認証のタイプと、それらを実行するシーケンスを定義します。この方式リストを特定のインターフェイスに適用することによって、定義した認証方式が実行されます。唯一の例外は、デフォルトの方式リスト(名前は default )です。デフォルトの方式リストは、名前付きの方式リストを明示的に定義されているインターフェイス以外のすべてのインターフェイスに自動的に適用されます。
方式リストは、ユーザを認証するために実行する認証方式と、その実行シーケンスを記述します。認証のために使用するセキュリティ プロトコルを1つまたは複数指定できるので、最初の方式が失敗しても、予備の認証システムが確保されます。ソフトウェアはリストの先頭に指定されている方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアは方式リストで次に指定されている認証方式を選びます。リストに指定されたいずれかの認証方式が成功するか、または定義された方式をすべて実行するまで、同じプロセスが続けられます。このサイクルのいずれかの時点で認証が失敗した場合(すなわち、セキュリティ サーバまたはローカル ユーザ名データベースがユーザ アクセスを拒否する応答を返した場合)、認証プロセスは停止し、それ以降の認証方式は実行されません。
ログイン認証を設定するには、イネーブルEXECモードで次の手順を行います。この手順は必須です。
|
|
||
|
|
||
|
|
aaa authentication login { default | list-name } method1 [ method2... ] |
|
|
|
line [ console | tty | vty ] line-number [ ending-line-number ] |
|
|
|
||
|
|
||
|
|
||
|
|
AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。AAA認証をディセーブルにするには、 no aaa authentication login {default | list-name } method1 [ method2... ]グローバル コンフィギュレーション コマンドを使用します。ログイン時のRADIUS認証をディセーブルにする、またはデフォルト値に戻すには、 no login authentication { default | list-name }ライン コンフィギュレーション コマンドを使用します。
スイッチがAAAサーバ グループを使用するように設定して、既存のサーバ ホストを認証用にグループ化することができます。設定済みサーバ ホストの集合を選び、それらを特定のサービスに使用します。このサーバ グループは、グローバルなサーバ ホスト リスト(選択したサーバ ホストのIPアドレスのリスト)で使用します。
サーバ グループには、各エントリに固有の識別情報(IPアドレスとUDPポート番号の組み合わせ)がある場合、同じサーバの複数のホスト エントリを含めることもできます。その場合、特定のAAAサービスを提供するRADIUSホストとして、異なるポートを個別に定義できます。同じRADIUSサーバ上の2つの異なるホスト エントリに同じサービス(アカウンティングなど)を設定する場合、2番目に設定されたホスト エントリは、最初に設定されたホスト エントリの障害時のバックアップとして動作します。
特定のサーバを定義済みのグループ サーバに対応づけるには、 server グループ サーバ コンフィギュレーション コマンドを使用します。サーバはIPアドレスによって識別できます。また、省略可能な auth-port キーワードおよび acct-port キーワードを使用して複数のホスト インスタンスまたはエントリの識別もできます。
AAAサーバ グループを定義し、特定のRADIUSサーバをそのグループに対応づけるには、イネーブルEXECモードで次の作業を行います。
|
|
||
|
|
radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ] |
リモートRADIUSサーバ ホストのIPアドレスまたはホスト名を指定します。
単一のIPアドレスに対応づけられた複数のホスト エントリを認識するようにスイッチを設定するには、それぞれ異なるUDPポート番号を使用して、このコマンドを必要な回数だけ入力します。スイッチ ソフトウェアは、指定された順序に従ってホストを検索します。各RADIUSホストに使用するタイムアウト、再送信回数、および暗号鍵の値を設定してください。 |
|
|
||
|
|
||
|
|
特定のRADIUSサーバを定義済みのサーバ グループに対応づけます。AAAサーバ グループの各RADIUSサーバについて、このステップを繰り返します。 |
|
|
|
||
|
|
||
|
|
||
|
|
RADIUSログイン認証をイネーブルにします。 RADIUSログイン認証の設定 を参照してください。 |
特定のRADIUSサーバを削除するには、 no radius-server host hostname | ip-address グローバル コンフィギュレーション コマンドを使用します。コンフィギュレーション リストからサーバ グループを削除するには、 no aaa group server radius group-name グローバル コンフィギュレーション コマンドを使用します。RADIUSサーバのIPアドレスを削除するには、 no server ip-address サーバ グループ コンフィギュレーション コマンドを使用します。
次に、2つの異なるRADIUSサーバ グループ( group1 および group2 )を認識するようにスイッチを設定する例を示します。group1には、同じRADIUSサーバ上の2つの異なるホスト エントリがあり、これらは同じサービス用に設定されています。2番目のホスト エントリは、最初のエントリの障害時バックアップとして動作します。
Switch(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
Switch(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646
Switch(config)# aaa group server radius group1
Switch(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
Switch(config-sg-radius)# exit
Switch(config)# aaa group server radius group2
Switch(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001
AAA許可を使用して、ユーザが使用できるサービスを制限できます。AAA許可をイネーブルにすると、スイッチは(ローカル ユーザ データベースまたはセキュリティ サーバに保管されている)ユーザ プロファイルから検索した情報を使用して、ユーザのセッションを設定します。ユーザ プロファイルの情報によって、ユーザが要求したサービスにアクセスできるかどうかが決まります。
aaa authorization グローバル コンフィギュレーション コマンドに radius キーワードを指定して、イネーブルEXECモードへのネットワーク アクセスを制限するためのパラメータを設定します。
aaa authorization exec radius local コマンドは、次の許可パラメータを設定します。
イネーブルEXECアクセスおよびネットワーク サービスに関するRADIUS許可を指定するには、イネーブルEXECモードで次の作業を行います。
AAAアカウンティング機能は、ユーザがアクセスしたサービスと、消費されたネットワーク リソースの量を追跡します。AAAアカウンティングをイネーブルに設定すると、スイッチはRADIUSセキュリティ サーバに対するユーザ アクティビティを、アカウンティング レコードの形式で報告します。各アカウンティング レコードには、アカウンティングに関するAttribute-Value(AV;属性値)のペアが含まれます。このレコードは、セキュリティ サーバに保管されます。このデータを解析して、ネットワーク管理、クライアント課金、または監査に使用できます。
Cisco IOSのイネーブル レベルおよびネットワーク サービスに関するRADIUSアカウンティングをイネーブルにするには、イネーブルEXECモードで次の作業を行います。
アカウンティングをディセーブルにするには、 no aaa accounting { network | exec } { start-stop } method1... グローバル コンフィギュレーション コマンドを使用します。
スイッチとすべてのRADIUSサーバとの間のグローバルな通信設定を行うには、イネーブルEXECモードで次の作業を行います。
Internet Engineering Task Force(IETF)ドラフト標準では、ベンダー固有属性(属性26)を使用して、スイッチとRADIUSサーバとの間でベンダー固有の情報を通信するための方法が規定されています。Vendor-Specific Attribute(VSA;ベンダー固有属性)を使用すると、一般的な用途には適さないベンダー独自の拡張属性をサポートできます。シスコが実装するRADIUSでは、この仕様で推奨されている形式を使用して、ベンダー固有オプションを1つサポートしています。シスコのベンダーIDは9です。サポートするオプションはベンダー タイプ1で、名前は cisco-avpair です。値は次の形式のストリングです。
protocol : attribute sep value *
protocol は、特定のタイプの許可に対応するシスコのプロトコル属性の値です。 attribute および value は、シスコのTACACS+仕様で定義されている適切なAVペアです。 sep は、必須の属性の場合は = であり、省略可能な属性の場合は * です。これによって、TACACS+認証で使用できるすべての機能が、RADIUSでも使用できるようになっています。
たとえば、次のAVペアを使用すると、IP許可(PPP IPCPアドレスの割り当て)を実行する場合、シスコの 複数の名前付きIPアドレス プール 機能がアクティブになります。
cisco-avpair= "ip:addr-pool=first"
次に、イネーブルEXECコマンドに即時にアクセスできる、スイッチからのユーザ ログインを提供する例を示します。
cisco-avpair= "shell:priv-lvl=15"
他のベンダーにもそれぞれ独自のベンダーID、オプション、および対応するVSAがあります。ベンダーIDおよびVSAの詳細については、RFC 2138『Remote Authentication Dial-In User Service (RADIUS)』を参照してください。
スイッチがVSAを認識して使用するように設定するには、イネーブルEXECモードで次の作業を行います。
|
|
||
|
|
||
|
|
||
|
|
||
|
|
RADIUS属性の一覧、およびベンダー固有属性26の詳細については、『 Cisco IOS Security Configuration Guide for Release 12.0 』のAppendix「RADIUS Attributes」を参照してください。
RADIUSに関するIETFドラフト標準では、スイッチとRADIUSサーバ間におけるベンダー独自仕様の情報の通信方式が規定されていますが、一部のベンダーはRADIUS属性セットを独自の方法で機能拡張しています。Cisco IOSソフトウェアは、ベンダー独自仕様RADIUS属性の一部をサポートしています。
前述したように、(ベンダー独自仕様またはIETFドラフト準拠のどちらであるかを問わず)RADIUSを設定するには、RADIUSサーバ デーモンが稼働しているホストと、ホストがスイッチと共有するシークレット テキスト ストリングを指定する必要があります。RADIUSホストおよびシークレット テキスト ストリングを指定するには、 radius-server グローバル コンフィギュレーション コマンドを使用します。
ベンダー独自仕様RADIUSサーバ ホストおよび共有されるシークレット テキスト ストリングを指定するには、イネーブルEXECモードで次の作業を行います。
|
|
||
|
|
リモートRADIUSサーバ ホストのIPアドレスまたはホスト名を指定し、そのホストがベンダー独自仕様のRADIUSを使用していることを指定します。 |
|
|
|
スイッチとベンダー独自仕様RADIUSサーバとの間で使用される共有のシークレット テキスト ストリングを指定します。スイッチおよびRADIUSサーバは、このテキスト ストリングを使用してパスワードを暗号化し応答を交換します。 |
|
|
|
||
|
|
||
|
|
ベンダー独自仕様RADIUSホストを削除するには、 no radius-server host {hostname | ip-address} non-standard グローバル コンフィギュレーション コマンドを使用します。 鍵をディセーブルにするには、 no radius-server key グローバル コンフィギュレーション コマンドを使用します。
次に、ベンダー独自仕様RADIUSホストを指定し、 スイッチとサーバの間で 秘密鍵 rad124 を使用する例を示します。
Switch(config)# radius-server host 172.20.30.15 non-standard
ローカル モードでAAAを実装するようにスイッチを設定すると、サーバがなくても動作するようにAAAを設定できます。この場合、スイッチが認証および許可を実行します。アカウンティング機能はこの設定では利用できません。
スイッチをローカルAAA用に設定するには、イネーブルEXECモードで次の手順を行います。
AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。許可をディセーブルにするには、 no aaa authorization {network | exec} method1 グローバル コンフィギュレーション コマンドを使用します。
All contents copyright (C) 1992--2003 Cisco Systems K.K.
