スイッチ ポートの設定
この章では、スイッチ ポートの設定変更について説明します。
-
ポート機能によっては、他のポート機能と矛盾する場合があります。ポート設定を変更する場合は、あらかじめ
矛盾する設定の防止
を参照してください。
Cluster Management Suite(CMS)を使用した設定の詳細については、オンライン ヘルプを参照してください。
このスイッチのソフトウェア リリースは、Cisco IOS Release 12.0に基づいています。このリリースは、Catalyst 2900 XLおよびCatalyst 3500 XLスイッチ用の機能セットをサポートするように拡張されています。この章では、これらのスイッチ用に作成または変更されたコマンドの使用手順だけを扱っています。これらのコマンドの詳細については、スイッチのコマンド リファレンスを参照してください。このマニュアルでは、Cisco IOS Release 12.0のコマンド、およびCisco.comで提供されているCisco IOS Release 12.0マニュアルに記載されている情報は扱いません。
ポート速度およびデュプレックス モードの変更
スイッチの管理に使用しているポートを再設定すると、Spanning-Tree Protocol(STP;スパニングツリー プロトコル)の再構成のため、一時的に接続が切断されることがあります。
-
CPEイーサネット ポートの設定には特有の考慮事項があり、スイッチ10/100ポートとはデフォルト設定も異なります。この情報については、
CPEイーサネット リンク
に記載されているCPEデバイスの考慮事項を参照してください。
デュプレックス モードおよび速度を設定する場合は、次の考慮事項に従ってください。
-
ギガビット イーサネット ポートの速度は常に1000 Mbpsに設定されますが、接続デバイスとの間で、全二重または半二重のネゴシエーションが可能です。
-
ギガビット イーサネット ポートの設定値が接続デバイスの設定値と一致していない場合、接続が切断され、統計情報は生成されません。
-
Asynchronous Transfer Mode(ATM;非同期転送モード)ポートは常に全二重に設定され、デュプレックスまたは速度の設定に関する自動ネゴシエーションは行われません。
-
GigaStack間のスタック接続は、半二重モードで動作します。GigaStack間のポイントツーポイント接続は、全二重モードで動作します。
-
STPがイネーブルになっている場合、ポートの再構成時にスイッチがループの有無を調べるまでに30秒ほどかかることがあります。STPの再構成が行われている間、ポートLEDはアンバーに点灯します。
自動ネゴシエーションを行わないデバイスとの接続
自動ネゴシエーションを行わないリモートの100BASE-Tデバイスと接続する場合、デュプレックスをfullまたはhalfに設定し、速度をautoに設定します。接続先デバイスが自動ネゴシエーションを行わない場合にも、速度設定に関する自動ネゴシエーションによって正しい速度が選択されますが、デュプレックスについては明示的に設定する必要があります。
自動ネゴシエーションを行わないリモートのギガビット イーサネット デバイスと接続する場合は、ローカル デバイス上で自動ネゴシエーションをディセーブルに設定し、さらに、デュプレックスおよびフロー制御のパラメータを接続デバイスと一致させます。
半二重バック プレッシャ
半二重バック プレッシャは、半二重スイッチ ポートが着信パケットを受信できない場合に、着信パケットが確実に再送信されるようにします。バック プレッシャがイネーブルに設定されていて、ポートに使用可能なバッファがない場合、スイッチは該当するポートを通じてコリジョン フレームを送信し、送信側ステーションにパケットを再送信させます。その後、スイッチはこの再送信時間を利用して、すでにキューに入っているパケットを送信することにより、受信バッファをクリアします。
全二重フロー制御
全二重フロー制御は、受信側のステーションが受信可能な速度を超えて送信側のステーションがデータまたは制御情報を送信しないようにするための機能です。この機能によって、発信パケットの伝送中の損失が防止できます。接続デバイスが受信して処理できる速度を超えてスイッチがパケットを送信すると、接続デバイスはポート バッファが満杯になった時点で、ポーズ フレームを送信します。1000 Mbpsポートでフロー制御オプション付きの全二重モードを使用すると、そのスイッチ ポートは接続デバイスから送信されたポーズ フレームに応答します。スイッチは、ポート キューに入っている後続の送信を、ポーズ フレームに指定された時間だけ差し控えます。ポーズ フレームを受信しなくなるか、またはポーズ フレームで指定された時間が経過すると、スイッチは再びそのポート経由でフレームを送信します。
速度およびデュプレックス パラメータの設定
-
CPEイーサネット ポート上のイーサネット リンクの設定には特殊な考慮事項があり、スイッチ10/100ポートとはデフォルト設定も異なります。詳細については、
LREポートの設定
を参照してください。
10/100ポートの速度およびデュプレックス パラメータを設定するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
speed
{
10
|
100
|
auto
}
|
ポートの速度パラメータを入力します。
ギガビット イーサネットまたはATMポートには、速度を入力できません。
|
|
duplex
{
full
|
half
|
auto
}
|
ポートのデュプレックス パラメータを入力します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show running-config
|
設定を確認します。
|
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。これにより、スイッチを再起動しても、設定が維持されます。
|
ギガビット イーサネット ポートのフロー制御の設定
ギガビット イーサネット ポートでのフロー制御を設定するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
flowcontrol
[
asymmetric
|
symmetric
]
|
ポートにフロー制御を設定します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show running-config
|
設定を確認します。
|
|
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。これにより、スイッチを再起動しても、設定が維持されます。
|
フラッディング制御の設定
次のフラッディング機能を使用して、不要なフラッディング トラフィックの転送をブロックすることができます。
-
ユニキャスト、マルチキャスト、またはブロードキャスト パケットに関するストーム制御をイネーブルにする
-
ポート単位でユニキャストおよびブロードキャスト パケットの転送をブロックする
-
すべての不明パケットをネットワーク ポートにフラッディングさせる(CLIを使用してのみ設定可能)
-
スイッチは、ストア アンド フォワード スイッチング モードをサポートしています。ストア アンド フォワード モードは、完全なパケットを保管してエラーの有無をチェックしたあと、送信を行います。これは最もエラーが発生しにくいスイッチングの形式です。
ストーム制御のイネーブル化
ポートで大量のブロードキャスト、ユニキャスト、またはマルチキャスト パケットを受信すると、パケット ストームが発生します。このようなパケットを転送すると、ネットワークが低速化したり、タイムアウトが生じることがあります。ストーム制御は、スイッチ全体に対して設定しますが、動作はポート単位です。デフォルトでは、ディセーブルに設定されています。
ストーム制御では、ブロードキャスト、ユニキャスト、またはマルチキャスト パケットの転送をブロックするパケット数のスレッシュホールド(上限)、および転送を再開するパケット数のスレッシュホールド(下限)を指定します。上限スレッシュホールドに達した時点でスイッチがポートをシャットダウンするように設定することもできます。
上限スレッシュホールドは、スイッチ ポートが受信できるパケット数の限界であり、これを超えるとパケット転送がブロックされます。下限スレッシュホールドは、スイッチが通常の転送を再開するパケット数です。一般に、スレッシュホールドが大きいほど、ブロードキャスト ストームを防ぐ機能が弱くなります。100BASE-Tリンクの場合、半二重伝送数は最大で148,000パケット/秒ですが、最大で4,294,967,295ブロードキャスト パケット/秒のスレッシュホールドを入力できます。
ブロードキャスト ストーム制御をイネーブルにするには、イネーブルEXECモードで次の手順を行います(マルチキャスト パケットに関するストーム制御をイネーブルにするには、
port storm-control multicast
コマンドを使用します。ユニキャスト パケットに関するストーム制御をイネーブルにするには、
port storm-control unicast
コマンドを使用します)。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
port storm-control broadcast
[
threshold
{
rising
rising-number
falling
falling-number}]
|
ブロードキャスト パケットの上限および下限のスレッシュホールドを入力します。
上限(rising)スレッシュホールドには、下限(falling)スレッシュホールドより大きい値を指定します。
|
|
port storm-control trap
|
ポートのトラフィックが上限または下限スレッシュホールドを超えたときに、SNMPトラップを生成します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show port storm-control
[
interface
]
|
設定を確認します。
|
ストーム制御のディセーブル化
ブロードキャスト ストーム制御をディセーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
no port storm-control broadcast
|
ポートでのストーム制御をディセーブルにします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show port storm-control
[
interface
]
|
設定を確認します。
|
ポートでのフラッディング トラフィックのブロック
デフォルトでは、スイッチは、宛先MACアドレスが不明のパケットをすべてのポートにフラッディングします。ただし、コンフィギュレーションによってはフラッディングは不要です。たとえば、アドレスがすべて手動で割り当てられているポートには、不明の宛先は存在しないので、フラッディングは必要ありません。したがって、ポート単位でユニキャストおよびマルチキャスト パケットのフラッディングをディセーブルにできます。通常、フラッディング トラフィックはVLANの境界を越えませんが、マルチVLANポートは、属するすべてのVLANにトラフィックをフラッディングします。
ポートに対するマルチキャストおよびユニキャスト パケットのフラッディングをディセーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
port block multicast
|
ポートへの不明のマルチキャストの転送をブロックします。
|
|
port block unicast
|
ポートへの不明のユニキャストのフラッディングをブロックします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show port block
{
multicast
|
unicast
}
interface
|
設定を確認します。
multicast
オプションと
unicast
オプションを用いて、それぞれ1回ずつ該当するコマンドを入力します。
|
ポートでの通常の転送の再開
ポートで通常の転送を再開するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
no port block multicast
|
ポートへの不明のマルチキャストの転送をイネーブルにします。
|
|
no port block unicast
|
ポートへの不明のユニキャストのフラッディングをイネーブルにします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show port block
{
multicast
|
unicast
}
interface
|
設定を確認します。
multicast
オプションと
unicast
オプションを用いて、それぞれ1回ずつ該当するコマンドを入力します。
|
ネットワーク ポートのイネーブル化
ネットワーク ポートはVLAN単位で割り当てられます。ネットワーク ポートにより、ネットワーク上の不必要なフラッディング トラフィックを削減できます。スイッチは、不明の宛先アドレスのトラフィックすべてを、VLAN内の全ポートにフラッディングする代わりに、ネットワーク ポートに転送します。
ネットワーク ポートとしてポートを設定すると、スイッチは対応づけられたすべてのアドレスをアドレス テーブルから削除し、ネットワーク ポートでのアドレス ラーニングをディセーブルにします。VLAN内の他のポートをセキュア ポートとして設定した場合には、セキュア ポート上のアドレスは期限切れになりません。ネットワーク ポートが設定されていないVLANにネットワーク ポートを移すと、そのポートが新しいVLANのネットワーク ポートになります。
ネットワーク ポート上のユニキャストおよびマルチキャスト フラッディングの設定は変更できません。ネットワーク ポートはVLANごとに1つしか割り当てられません。ネットワーク ポートに適用される制限については、
パスワードおよびイネーブル レベルの割り当て
を参照してください。
ネットワーク ポートには、クラスタ メンバーを接続できません。
ネットワーク ポートを定義するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
port network
|
ポートをネットワーク ポートとして定義します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show running-config
|
設定を確認します。
|
ネットワーク ポートのディセーブル化
ネットワーク ポートをディセーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
no port network
|
ポートのネットワーク ポート設定をディセーブルにします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show running-config
|
設定を確認します。
|
単一方向リンク検出の設定
UniDirectional Link Detection(UDLD;単一方向リンク検出)は、単一方向リンクを検出してシャットダウンするレイヤ2プロトコルです。スイッチ全体、または個々のポートを対象にしてUDLDを設定できます。UDLDによってシャットダウンされたポートをリセットするには、udld resetコマンドを使用します。
スイッチでUDLDを設定するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
udld enable
|
すべてのスイッチ ポートでUDLDをイネーブルにします。
特定のポートでUDLDをイネーブルにするには、
udld
インターフェイス コンフィギュレーション コマンドを使用します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show running-config
|
実行コンフィギュレーションを表示して、設定を確認します。
|
ポートを自動的にエラー ディセーブル ステートにするには、
errdisable detect cause udld
グローバル コンフィギュレーション コマンドを使用します。エラー ディセーブル ステートは、ポート上でUDLD関連のエラー状況が検出されたときのリンク ダウン ステートと類似した動作ステートです。
errdisable recovery
グローバル コンフィギュレーション コマンドを使用すると、ポートは指定された時間が経過すると自動的に再びイネーブルになり、動作を再開できるようになります。ポートはUDLDエラー状況が解決されるまで、エラー ディセーブルおよび回復サイクルを続けます。
-
errdisable
コマンドは、Catalyst 2900 LRE XLスイッチでは使用できません。
EtherChannelポート グループの作成
Fast EtherChannel(FEC)およびGigabit EtherChannelポート グループは、スイッチ間、またはスイッチとサーバ間で広帯域接続を行う単一論理ポートとして動作します。
-
ギガビット イーサネット ポートで構成されるポート グループ、または100BASE-TXポートで構成されるポート グループを作成できますが、同時に両方のポート速度を含むポート グループを作成することはできません。
ポート グループに適用される制限については、
矛盾する設定の防止
を参照してください。
EtherChannelポート グループの概要
このソフトウェア リリースは、2つの異なるタイプのポート グループをサポートしています。送信元ベースの転送ポート グループおよび宛先ベースの転送ポート グループです。
送信元ベースで転送するポート グループは、着信パケットの送信元アドレスに基づいて、グループに転送されたパケットを配信します。送信元ベースの転送ポート グループには、最大8つのポートを設定できます。デフォルトでは、送信元ベースの転送がイネーブルに設定されます。
宛先ベースで転送するポート グループは、着信パケットの宛先アドレスに基づいて、グループに転送されたパケットを配信します。宛先ベースのポート グループに設定できるポート数に、制限はありません。
最大12のポート グループを作成できます。1つのグループ内のポートはすべて同じタイプでなければなりません。たとえば、すべて送信元ベースのポートか、またはすべて宛先ベースのポートを使用します。送信元ベースのポート グループおよび宛先ベースの送信元グループを設定できます。スイッチをリンクするポート グループはそれぞれ個別に設定できますが、ポート グループの両端の設定が一致している必要があります。
送信元ベースの転送
では、2台のワークステーションで構成されたポート グループがルータと通信しています。ルータは単一MACアドレス デバイスなので、送信元ベースの転送によって、スイッチがルータの全帯域を使用することが保証されます。ルータには、宛先ベースの転送が設定されます。これにより、多数のステーションにおいて、ルータのポート グループ ポートを介してトラフィックが均等に分散されます。
スイッチはポート グループを1つの論理ポートとして扱うので、ポート グループを作成すると、最初のポートのコンフィギュレーションがグループに追加されたすべてのポートに使用されます。ポートを追加し、転送方式を変更すると、グループ内の全ポートで転送方法が変更されます。グループの作成後に、グループの1つのポートでSTPまたはVLANメンバーシップ パラメータを変更すると、全ポートのパラメータが自動的に変更されます。ポート グループごとに、不明のマルチキャスト、ブロードキャスト、およびSTPパケットを転送するポートが1つずつあります。
-
LREインターフェイスを設定してポート グループ(EtherChannel)に参加することはできません。コマンドライン インターフェイス コンフィギュレーション コマンドport group は、LREインターフェイスには使用できません。EtherChannelを設定できるのは、通常の10/100 FEポートおよびGEポートです。
スタティック アドレス転送におけるポート グループの制限事項
ポート グループに転送されるスタティック アドレスを入力する場合、次の制限事項があります。
-
ポート グループが送信元のMACアドレスに基づいて転送を行う場合には(デフォルトの設定)、グループ内の全ポートに転送されるように、スタティック アドレスを設定してください。これにより、パケット損失の可能性が少なくなります。
-
ポート グループが宛先アドレスに基づいて伝送を行う場合には、ポート グループ内の1つのポートのみに転送されるように、スタティック アドレスを設定してください。これにより、重複パケットが送信される可能性が少なくなります。詳細については、
スタティック アドレスの追加
を参照してください。
EtherChannelポート グループの作成
2ポートのグループを作成するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、グループに追加する第1ポートを入力します。
|
|
port group 1 distribution destination
|
宛先ベースの転送を指定して、グループ1にポートを割り当てます。
|
|
interface
interface
|
グループに追加する2番目のポートを入力します。
|
|
port group 1 distribution destination
|
宛先ベースの転送を指定して、グループ1にポートを割り当てます。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show running-config
|
設定を確認します。
|
保護ポートの設定
アプリケーションによっては、同一スイッチ上のポート間で、レイヤ2プロトコルによるトラフィックを転送しないことを要求する場合があります。このような環境では、同一スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換は行われず、同一スイッチ上のポート間トラフィックは、ルータなどのレイヤ3デバイスを介して転送されます。
この要件を満たすには、Catalyst 2900 XLおよびCatalyst 3500 XLのポートを保護ポート(またはプライベートVLANエッジ ポート)として設定します。保護ポートは、同一スイッチ上の他の保護ポートに対してトラフィックを転送しません。したがって、保護ポート間のすべてのトラフィック(ユニキャスト、ブロードキャスト、およびマルチキャスト)を、レイヤ3デバイスを介して転送する必要があります。保護ポートは非保護ポートに対しては任意タイプのトラフィックを転送でき、他のスイッチ上の全ポートに対しても通常の転送を行います。
-
状況によっては、MACアドレスが期限切れになったり、スイッチによって学習されないことが原因で、非保護ポートからの不明ユニキャスト トラフィックが保護ポートにフラッディングされることがあります。このような場合、ポートへのユニキャストおよびマルチキャスト トラフィックのフラッディングを防止するには、port blockコマンドを使用します。詳細については、
フラッディング制御の設定
を参照してください。
ポートを保護ポートとして定義するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
port protected
|
ポートで保護ポート設定をイネーブルにします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show port protected
|
保護ポート オプションがイネーブルに設定されていることを確認します。
|
保護ポート オプションをディセーブルにするには、port protectedインターフェイス コンフィギュレーション コマンドのno形式を使用します。
ポート セキュリティのイネーブル化
セキュア ポートは、ユーザ定義のステーション グループのみが使用できるポートです。セキュア ポートにセキュア アドレスを割り当てると、スイッチは定義されたグループ以外の送信元アドレスを持つパケットを転送しません。アドレスを1つのみ指定して、セキュア ポートのアドレス テーブルを設定すると、そのポートに接続するワークステーションまたはサーバは、ポートの全帯域の使用が保証されます。ポート保護の一環として、ポートのアドレス テーブルのサイズを定義することもできます。
セキュア ポートは、次の条件のもとで、アドレス セキュリティ違反を生成します。
-
セキュア ポートのアドレス テーブルが満杯で、かつ着信パケットのアドレスがテーブルにない場合
-
着信パケットの送信元アドレスが、別のポートのセキュア アドレスとして割り当てられている場合
セキュア ポートに接続できるデバイス数を制限すると、次のような利点が得られます。
-
専用帯域 ― アドレス テーブルのサイズを1に設定すると、接続デバイスはポートの全帯域を使用できることが保証されます。
-
セキュリティの追加 ― 未知のデバイスはポートに接続できません。
ポート セキュリティの検証、またはセキュリティ違反を確認するオプションは、次のとおりです。
|
Interface
|
保護対象のポートを指定します。
|
|
Security
|
ポート上でポート セキュリティ機能をイネーブルにします。
|
|
Trap
|
アドレス セキュリティ違反が発生したとき、トラップを発行します。
|
|
Shutdown Port
|
アドレス セキュリティ違反が発生したとき、ポートをディセーブルにします。
|
|
Secure Addresses
|
このポートのアドレス テーブルに設定されているアドレス数を示します。セキュア ポートには、最低1つのアドレスがあります。
|
|
Max Addresses
|
このポートのアドレス テーブルに設定できるアドレス数を示します。
|
|
Security Rejects
|
ポートで検出された不正アドレス数を示します。
|
セキュア ポートに適用される制限については、
矛盾する設定の防止
を参照してください。
最大セキュア アドレス数の設定
1つのセキュア ポートに、1〜132のセキュア アドレスを対応づけることができます。ポートのMACアドレス テーブルにアドレスを1つ登録すると、接続デバイスがそのポートの全帯域を使用できることが保証されます。
ポート セキュリティのイネーブル化
ポート セキュリティをイネーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
保護するポートのインターフェイス コンフィギュレーション モードを開始します。
|
|
port security max-mac-count 1
|
ポートを保護し、アドレス テーブルを1アドレスに設定します。
|
|
port security action shutdown
|
セキュリティ違反が発生したときに、シャットダウンするようにポートを設定します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show port security
|
設定を確認します。
|
ポート セキュリティのディセーブル化
ポート セキュリティをディセーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
ポート セキュリティをディセーブルにするポートのインターフェイス コンフィギュレーション モードを開始します。
|
|
no port security
|
ポート セキュリティ機能をディセーブルにします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show port security
|
設定を確認します。
|
ポート セキュリティ エージングの設定
ポート セキュリティ エージング機能を使用して、ポート上のすべてのダイナミックおよびスタティック セキュア アドレスの存続時間を設定できます。ポート セキュリティ エージングをポートでイネーブルにすると、そのポート上のセキュア アドレスは、指定された時間だけ非アクティブな状態が続いた場合に限り、削除されます。
既存のセキュアMACアドレスを手動で削除する代わりに、この機能を使用してセキュア ポートでPCの削除および追加を行い、ポート上のセキュア アドレス数を制限することができます。
ポート セキュリティ エージング機能をイネーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
ポート セキュリティ エージングをイネーブルにするポートについて、インターフェイス コンフィギュレーション モードを開始します。
|
|
port security
aging
time
time
|
このポートでポート セキュリティ エージングをイネーブルにし、エージング時間を設定します。
time
には、このポートのエージング時間を指定します。有効な範囲は、0〜1440分です。0を指定すると、このポートについてはエージング機能がディセーブルになります。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show port security
[
interface-id
]
|
設定を確認します。
|
ポート上のすべてのセキュア アドレスについてポート セキュリティ エージングをディセーブルにするには、no port security
aging
time
インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポート1で、ポート セキュリティ エージング タイムを2時間に設定する例を示します。
Switch(config)#
interface fa0/1
Switch(config-if)#
port security aging time 120
SPANの設定
ポートの着信および発信トラフィックを同じVLAN内の別のポートに転送することにより、特定のポートのトラフィックをモニタするには、Switch Port Analyzer(SPAN;スイッチ ポート アナライザ)を使用します。SPANポートは、異なるVLANに属するポートをモニタすることはできません。また、SPANポートはスタティック アクセス ポートでなければなりません。任意の数のポートをSPANポートとして定義でき、任意の組み合わせでポートをモニタできます。
SPANポートに適用される制限については、
矛盾する設定の防止
を参照してください。
SPANのイネーブル化
SPANをイネーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、モニタ ポートとして動作するポートを指定します。
|
|
port monitor
interface
|
ポートでポート モニタ機能をイネーブルにします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show running-config
|
設定を確認します。
|
SPANのディセーブル化
SPANをディセーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、モニタ ポートのポート番号を入力します。
|
|
no port monitor
interface
|
ポートでポート モニタ機能をディセーブルにします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show running-config
|
設定を確認します。
|
音声ポートの設定
Catalyst 2900 XLおよびCatalyst 3500 XLスイッチは、Cisco IP Phoneに接続して、IP音声トラフィックを伝送できます。必要に応じてCatalyst 3524-PWR XLを使用して、電話機に接続する回路に電力を供給できます。Catalyst 3524-PWR XLインライン パワーの詳細については、
Catalyst 3524-PWRポートのインライン パワーの設定
を参照してください。
データ伝送が均質性に欠ける場合、IP Phoneの音質が低下することがあります。そのため、スイッチでは、IEEE 802.1p Class of Service(CoS;サービス クラス)に基づくQuality of Service(QoS;サービス品質)を使用しています。QoSは、分類およびスケジューリングを使用して、スイッチからのネットワーク トラフィックを予測可能な方法で伝送します。Cisco IP Phoneまたはアクセス ポートそのものも設定可能なデバイスであり、802.1pプライオリティに基づいてトラフィックを伝送するように設定できます。Cisco IP Phoneまたはアクセス ポイントによって割り当てられたトラフィック プライオリティを、Catalyst 3524-PWR XLが採用するか、それとも無視するかを、CLIで設定できます。
たとえば、Cisco 7960 IP Phoneには、統合3ポート10/100スイッチが含まれています。これらのポートは、次のデバイスへの接続専用です。
-
ポート1は、Catalyst 3524-PWR XLスイッチまたは他のVoIPデバイスに接続します。
-
ポート2は、通話トラフィックを伝送する内部10/100インターフェイスです。
-
ポート3は、PCまたは他のデバイスに接続します。
Catalyst 3524-PWR XLスイッチに接続されたCisco 7960 IP Phone
に、Cisco 7960 IP Phoneのコンフィギュレーション例を示します。
Cisco IP Phoneを接続するためのポートの準備
IP音声トラフィックを伝送するようにCatalyst 3524-PWR XLポートを設定する前に、ポートを802.1QトランクおよびVVID(音声VLAN)のメンバーとして設定しておく必要があります。設定の手順については、
トランク ポートの設定
を参照してください。
Cisco IP Phoneに接続するポートの設定
Cisco IP Phoneは、PCまたは他のデバイスとの接続もサポートしているので、Catalyst 3524-PWR XLスイッチをCisco IP Phoneに接続するポートには、さまざまな種類のトラフィックが流れる可能性があります。Cisco IP Phoneに接続するポートを設定する方法には、次の3通りがあります。
-
すべてのトラフィックを、ポートのデフォルトのCoSプライオリティに従って伝送する設定(これがデフォルトです)。
-
電話機により音声トラフィックに高いプライオリティが与えられ、すべてのトラフィックを同一VLANで伝送する設定。
-
音声トラフィックとデータ トラフィックを個別のVLANで伝送し、音声トラフィックに常にCoSプライオリティ5を与える設定。
音声トラフィックに高いプライオリティを与えるように電話機に指示し、すべてのトラフィックを802.1QネイティブVLAN経由で伝送するようにポートを設定するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
switchport voice vlan dot1p
|
スイッチ ポートが音声トラフィックに関して802.1pプライオリティ タギングを使用し、VLAN 0(デフォルトのネイティブVLAN)を使用してすべてのトラフィックを伝送するように指示します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show interface
interface
switchport
|
ポート コンフィギュレーションを確認します。
|
着信フレームのCoSプライオリティの変更
Cisco IP Phoneのポートには、PCまたは他のデータ用デバイスを接続できます。PCは、CoS値が割り当てられたパケットを生成することがあります。Catalyst 3524-PWR XLのCLIを使用して、接続デバイスからIP Phoneのポートに着信するフレームのプライオリティを書き換えることができます。また、IP Phoneのポートに着信するフレームのプライオリティを受け入れる(信頼する)ように設定することも可能です。
Cisco IP Phoneの非音声ポートから受信したCoSプライオリティ設定値を書き換えるには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するスイッチ ポートを入力します。
|
|
switchport priority extend cos 3
|
PCまたは接続デバイスから受信したプライオリティを書き換え、受信したデータをプライオリティ3で転送するように、IP Phoneのポートを設定します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show interface
interface
switchport
|
変更を確認します。
|
ポートをデフォルトの設定に戻すには、no switchport priority extendコマンドを使用します。
音声とデータのトラフィックを異なるVLANで送信するための音声ポートの設定
Cisco 7960 IP Phoneには、PCまたは他のデバイスに接続できる統合3ポート10/100スイッチが内蔵されています。スイッチ ポートを設定して、音声トラフィックとデータ トラフィックを異なるVLANに転送できます。
次のコンフィギュレーションでは、VLAN 1がデータ トラフィックを伝送し、VLAN2が音声トラフィックを伝送します。このコンフィギュレーションでは、すべてのCisco IP Phoneおよび他の音声関連デバイスを、VLAN2に属するスイッチ ポートに接続する必要があります。
Cisco IP Phone からの音声とデータを異なるVLANで受信するようにポートを設定するには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
switchport priority default (0)
|
スイッチ ポートで受信したタグなしのトラフィックに、IEEE 802.1pプライオリティを割り当てます。Cisco IP Phone は、このトラフィックをネイティブVLANのVLAN 1経由で転送します。
|
|
switchport voice vlan (2)
|
Cisco IP Phone がすべての音声トラフィックをVLAN2経由で転送するように設定します。Cisco IP Phoneは、これらのトラフィックを802.1pプライオリティ5で転送します。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show interface
interface
switchport
|
設定を確認します。
|
Catalyst 3524-PWRポートのインライン パワーの設定
Catalyst 3524-PWR XLスイッチは、回路に電力が供給されていないことを検知した場合、接続されているCisco IP Phoneおよびシスコ製のアクセス ポイントに自動的にインライン パワーを供給します。回路に電力が供給されていれば、スイッチは電力を供給しません。また、Catalyst 3524-PWR XLスイッチがこれらのデバイスに電力を供給せず、インライン パワー検出メカニズムをディセーブルするように設定することもできます。
Cisco IP Phoneおよびアクセス ポイントをAC入力電源に接続し、独自に音声回路へ電力を供給することもできます。
接続されているCisco IP Phoneとの間でIP音声トラフィックを送受信するためのスイッチ ポートの設定手順については、
音声とデータのトラフィックを異なるVLANで送信するための音声ポートの設定
を参照してください。
スイッチ ポート上でインライン パワー検出メカニズムをディセーブルにするには、イネーブルEXECモードで次の手順を行います。
|
|
コマンド
|
説明
|
|
configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
|
interface
interface
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。
|
|
power inline never
|
ポートのインライン パワーを永久的にディセーブルにします。
|
|
end
|
イネーブルEXECモードに戻ります。
|
|
show power inline
interface
configured
|
変更を確認します。
|
スイッチ ポートのインライン パワー検出メカニズムをイネーブルにするには、
power inline auto
インターフェイス コンフィギュレーション コマンドを使用します。
All contents copyright (C) 1992--2003 Cisco Systems K.K.
