この章では、Catalyst 2960 スイッチを管理するための操作方法について説明します。
システム日時の管理
Network Time Protocol(NTP)などの自動設定方式、または手動設定方式を使用して、スイッチのシステム日時を管理します。
- ・ システム クロックの概要
- ・ NTP の概要
- ・ NTP の設定
- ・ 手動での日時の設定
システム クロックの概要
時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼働し、日時を常時監視します。
システム クロックは、Universal Time Coordinated(UTC; 協定世界時)(別名 GMT[グリニッジ標準時])に基づいてシステム内部の時刻を常時監視します。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。
システム クロックは、時刻に 信頼性がある かどうか(つまり、信頼できるとみなされるタイム ソースによって時刻が設定されているか)を常時監視します。信頼性のない場合は、時刻は表示目的でのみ使用され、再配信されません。設定情報については、 手動での日時の設定 を参照してください。
NTP の概要
NTP は、ネットワーク上の装置間の時刻の同期化を目的に設計されています。NTP は UDP で稼働し、UDP は IP 上で稼働します。NTP は RFC 1305 に規定されています。
NTP ネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。そのあと、NTP はネットワークにこの時刻を配信します。NTP はきわめて効率的で、1 分間に 1 パケットを使用するだけで、2 台の装置を 1 ミリ秒以内に同期化できます。
NTP は、 ストラタム(階層) という概念を使用して、信頼できるタイム ソースと装置が離れている NTP ホップを記述します。ストラタム 1 タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム 2 タイム サーバは、NTP を使用してストラタム 1 タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTP が稼働する装置は、タイム ソースとして、NTP を使用して通信するストラタム番号が最小の装置を自動的に選択します。この方法によって、NTP 時刻配信の自動編成型ツリーが効率的に構築されます。
NTP では、同期化されていない装置と同期化しないことによって、時刻が正確でない装置との同期化を防ぎます。また、NTP では、複数の装置から報告される時刻を比較して、ストラタムの番号が小さくても、時刻が他の装置と大幅に異なる装置とは同期化しません。
NTP が稼働する装置間の通信( アソシエーション )は、通常静的に設定されます。各装置には、アソシエーションを作成すべきすべての装置の IP アドレスが与えられます。アソシエーションのペアとなる装置間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。各装置を、単にブロードキャスト メッセージを送受信するように設定すればよいので、この代替手段によって設定の複雑さが緩和されます。ただし、この場合は、情報の流れは一方向に限られます。
装置上で維持される時刻は、重要なリソースです。NTP のセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防止してください。アクセス リストを使用して制限する方式および暗号化認証メカニズムの、2 タイプのメカニズムを使用できます。
シスコの NTP ではストラタム 1 サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。ネットワークの時刻サービスは、IP インターネット上のパブリック NTP サーバから取得することを推奨します。
図6-1 に、NTP を使用する一般的なネットワーク例を示します。スイッチ A は、NTP サーバ モードで設定したスイッチ B、C、および D の NTP マスターです。スイッチ B、C、D とスイッチ A との間にはサーバ アソシエーションが設定されています。スイッチ E は、アップストリーム スイッチ(スイッチ B)およびダウンストリーム スイッチ(スイッチ F)の NTP ピアとして設定されています。
図6-1 一般的な NTP ネットワークの構成
ネットワークがインターネットから切り離されている場合、シスコの NTP によって、実際には、他の方法で時刻を学習しているにもかかわらず、装置が NTP を使用して同期化しているように動作を設定できます。他の装置は、NTP によりこの装置と同期化されます。
複数のタイム ソースがある場合は、NTP は常に、より信頼性があるとみなされます。NTP の時刻は、他の方法による時刻に優先します。
自社のホスト システムに NTP ソフトウェアを組み込んでいるメーカーが数社あり、また、UNIX システム用のバージョンやその派生ソフトウェアも一般に入手できます。このソフトウェアによって、ホスト システムも時間が同期化されます。
NTP の設定
スイッチにはハードウェアサポート クロックがなく、なおかつ外部 NTP ソースが使用できないときに、ピアが自身を同期化するための NTP マスター クロックとして機能できません。また、スイッチは、カレンダーに対するハードウェアサポートも備えていません。そのため、ntp update-calendar および ntp master グローバル コンフィギュレーション コマンドが使用できません。
- ・ NTP のデフォルト設定
- ・ NTP 認証の設定
- ・ NTP アソシエーションの設定
- ・ NTP ブロードキャスト サービスの設定
- ・ NTP アクセス制限の設定
- ・ NTP パケット用の送信元 IP アドレスの設定
- ・ NTP 設定の表示
NTP のデフォルト設定
表6-1 に、NTP のデフォルト設定を示します。
NTP は、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTP パケットを受信します。
NTP 認証の設定
この手順は、NTP サーバの管理者と協調する必要があります。この手順で設定する情報は、時刻を NTP サーバと同期化するためにスイッチが使用するサーバに対応している必要があります。
セキュリティ目的で他の装置とのアソシエーション(正確な時間維持を行う NTP 稼働装置間の通信)を認証するには、イネーブル EXEC モードで次の手順を実行します。
NTP 認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。装置 ID の認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。
次に、NTP パケットに認証鍵 42 を設定している装置とだけ同期するようにスイッチを設定する例を示します。
Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 42 md5 aNiceKey
Switch(config)# ntp trusted-key 42
NTP アソシエーションの設定
NTP アソシエーションは、ピア アソシエーション(スイッチを他の装置に同期化するか、スイッチに対して他の装置を同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他の装置に同期化させるのみで、その逆はできない)に設定することもできます。
別の装置との NTP アソシエーションを形成するには、イネーブル EXEC モードで次の手順を実行します。
アソシエーションの一端しか設定する必要がありません。もう一方の装置には自動的にアソシエーションが設定されます。デフォルトの NTP バージョン(バージョン 3)を使用していて、同期化が発生しない場合は、NTP のバージョン 2 を使用してください。インターネット上の多くの NTP サーバは、バージョン 2 で稼働しています。
ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。
次に、NTP バージョン 2 を使用して、IP アドレス 172.16.22.44 のピアのクロックにシステム クロックを同期化するようにスイッチを設定する例を示します。
Switch(config)# ntp server 172.16.22.44 version 2
NTP ブロードキャスト サービスの設定
NTP が稼働する装置間の通信( アソシエーション )は、通常静的に設定されます。各装置には、アソシエーションを作成すべきすべての装置の IP アドレスが与えられます。アソシエーションのペアとなる装置間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。各装置を、単にブロードキャスト メッセージを送受信するように設定すればよいので、この代替手段によって設定の複雑さが緩和されます。ただし、この場合は、情報の流れは一方向に限られます。
ルータのようにネットワーク上で時刻情報をブロードキャストする NTP ブロードキャスト サーバがある場合、スイッチはインターフェイスごとに NTP ブロードキャスト パケットを送受信できます。スイッチは NTP ブロードキャスト パケットをピアへ送信できるので、ピアはそのスイッチに同期化できます。スイッチは、NTP ブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTP ブロードキャスト パケットの送信と受信の両方の手順について説明します。
NTP ブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するようにスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
NTP ブロードキャスト パケットを送信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
ntp broadcast [ version number ] [ key keyid ] [ destination-address ] |
||
インターフェイスによる NTP ブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートが NTP バージョン 2 パケットを送信するように設定する例を示します。
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ntp broadcast version 2
接続したピアから NTP ブロードキャスト パケットを受信するようにスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
NTP ブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
インターフェイスによる NTP ブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。
次に、ポートが NTP ブロードキャスト パケットを受信するように設定する例を示します。
Switch(config)# interface gigabitethernet 0/ 1
Switch(config-if)# ntp broadcast client
NTP アクセス制限の設定
以降で説明するように、2 つのレベルで NTP アクセスを制御できます。
アクセス グループの作成と基本 IP アクセス リストの割り当て
アクセス リストを使用して NTP サービスへのアクセスを制御するには、イネーブル EXEC モードで次の手順を実行します。
アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。
- 1. peer ― 時刻要求と NTP 制御クエリーを許可し、さらに、スイッチがアクセス リストの基準を満たすアドレスを持つ装置と同期化することを許可します。
- 2. serve ― 時刻要求と NTP 制御クエリーを許可しますが、スイッチがアクセス リストの基準を満たすアドレスを持つ装置と同期化することを許可しません。
- 3. serve-only ― アクセス リストの基準を満たすアドレスを持つ装置からの時刻要求に限り許可します。
- 4. query-only ― アクセス リストの基準を満たすアドレスを持つ装置からの NTP 制御クエリーに限り許可します。
複数のアクセス タイプについて送信元 IP アドレスがアクセス リストに一致する場合は、最初のタイプが認可されます。アクセス グループが指定されなかった場合は、すべてのアクセス タイプがすべての装置に認可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り認可されます。
スイッチ NTP サービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer } グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチがアクセス リスト 99 からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト 42 に対してはアクセスを制限し、時刻要求に限り許可します。
Switch(config)# ntp access-group peer 99
Switch(config)# ntp access-group serve-only 42
Switch(config)# access-list 99 permit 172.20.130.5
Switch(config)# access list 42 permit 172.20.130.6
特定のインターフェイスでの NTP サービスのディセーブル化
NTP サービスは、すべてのインターフェイス上でデフォルトでイネーブルに設定されています。
インターフェイス上で NTP パケットの受信をディセーブルにするには、イネーブル EXEC モードで次の手順を実行します。
インターフェイス上で NTP パケットの受信を再びイネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。
NTP パケット用の送信元 IP アドレスの設定
スイッチが NTP パケットを送信すると、送信元 IP アドレスは、通常 NTP パケットが送信されたインターフェイスのアドレスに設定されます。すべての NTP パケットに特定の送信元 IP アドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。
送信元 IP アドレスを取得する特定のインターフェイスを設定するには、イネーブル EXEC モードで次の手順を実行します。
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、 NTP アソシエーションの設定 に説明したように、 ntp peer または ntp server グローバル コンフィギュレーション コマンドの source キーワードを使用します。
NTP 設定の表示
次の 2 つのイネーブル EXEC コマンドを使用して NTP 情報を表示できます。
表示されるフィールドの詳細については、『 Cisco IOS Configuration Fundamentals Command Reference 』Release 12.2 を参照してください。
手動での日時の設定
他のタイム ソースが使用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。
- ・ システム クロックの設定
- ・ 日時設定の表示
- ・ タイム ゾーンの設定
- ・ 夏時間の設定
システム クロックの設定
ネットワーク上に、NTP などの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
システム クロックを設定するには、イネーブル EXEC モードで次の手順を実行します。
次に、システム クロックを手動で 2001 年の 7 月 23 日午後 1 時 32 分に設定する例を示します。
Switch# clock set 13:32:00 23 July 2001
日時設定の表示
日時の設定を表示するには、 show clock [ detail ] イネーブル EXEC コマンドを使用します。
システム クロックは、信頼性がある(正確であると信じられる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソースによって設定されている場合は、フラグを設定します。時刻が信頼性のないものである場合は、表示目的でのみ使用されます。クロックが信頼できず、 authoritative フラグも設定されていなければ、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。
show clock の表示の前にある記号は、次の意味があります。
タイム ゾーンの設定
手動でタイム ゾーンを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
スイッチは内部時刻を UTC で管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。 |
||
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンと UTC との時差が分単位である場合に使用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(Atlantic Standard Time [AST; 大西洋標準時])は UTC-3.5 です。この場合、3 は 3 時間、.5 は 50 パーセントを意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。
時刻を UTC に設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。
夏時間の設定
毎年特定の曜日に夏時間が開始して終了する地域に夏時間を設定するには、イネーブル EXEC モードで次の手順を実行します。
|
clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]] |
夏時間はデフォルトでディセーブルに設定されています。パラメータなしで clock summer-time zone recurring を指定すると、夏時間の規則は米国の規則をデフォルトにします。 |
|
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
次に、夏時間が 4 月の第一日曜の 2 時に始まり、10 月の最終日曜の 2 時に終わるように指定する例を示します。
Switch(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
ユーザの居住地域の夏時間が定期的なパターンに従わない(次の夏時間のイベントの正確な日時を設定する)場合は、イネーブル EXEC モードで次の手順を実行します。
|
clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]] clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]] |
||
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が 2000 年 10 月 12 日の 2 時に始まり、2001 年 4 月 26 日の 2 時に終わるように設定する例を示します。
Switch(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00
システム名およびプロンプトの設定
スイッチにシステム名を設定して特定します。デフォルトでは、システム名およびプロンプトは Switch です。
システム プロンプトを設定していない場合は、システム名の最初の 20 文字をシステム プロンプトとして使用します。大なり記号(>)が付加されます。システム名が変更されると、プロンプトは更新されます。
この章で使用するコマンドの構文および使用方法の詳細については、『 Cisco IOS Configuration Fundamentals Command Reference 』Release 12.2 および『 Cisco IOS IP Command Reference, Volume 2 of 3: Routing Protocols 』Release 12.2 を参照してください。
デフォルトのシステム名およびプロンプトの設定
デフォルトのスイッチのシステム名およびプロンプトは Switch です。
システム名の設定
手動でシステム名を設定するには、イネーブル EXEC モードで次の手順を実行します。
|
名前は ARPANET ホスト名の規則に従う必要があります。この規則ではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、およびハイフンしか使用できません。名前には 63 文字まで使用できます。 |
||
システム名を設定すると、システム プロンプトとしても使用されます。
デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。
DNS の概要
Domain Name System(DNS; ドメイン ネーム システム)プロトコルは、分散型データベース DNS を制御し、これによりホスト名を IP アドレスにマッピングできます。スイッチ上に DNS を設定すると、 ping 、 telnet 、 connect などのすべての IP コマンドや、関連する Telnet サポート操作時に、IP アドレスの代わりにホスト名を使用できます。
IP によって定義される階層型の命名方式では、装置を場所またはドメインで特定できます。ドメイン名の区切りとしては、ピリオド(.)を使用します。たとえば、シスコシステムズは、IP で com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com となります。このドメイン内の特定のデバイス、たとえば FTP(ファイル転送プロトコル)システムは、 ftp.cisco.com で表されます。
IP ではドメイン名を把握するために、ドメイン ネーム サーバという概念が定義されています。ドメイン ネーム サーバの役割は、名前から IP アドレスへのマッピングをキャッシュ(またはデータベース)に保存することです。ドメイン名を IP アドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNS をイネーブルにします。
- ・ DNS のデフォルト設定
- ・ DNS の設定
- ・ DNS の設定の表示
DNS のデフォルト設定
表6-2 に、DNS のデフォルト設定を示します。
DNS の設定
DNS を使用するようにスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
スイッチの IP アドレスをそのホスト名として使用する場合は、IP アドレスが使用され、DNS クエリーは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとで DNS クエリーが行われ、名前を IP アドレスにマッピングします。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、Cisco IOS ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずに IP アドレスを検索します。
ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネームサーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチ上の DNS をディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。
DNS の設定の表示
DNS 設定情報を表示するには、 show running-config イネーブル EXEC コマンドを使用します。
バナーの作成
MoTD(Message-of-The-Day)バナーおよびログイン バナーを作成できます。MoTD バナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザを対象としたメッセージ(システム終了予告など)を送信するのに便利です。
ログイン バナーも、接続しているすべての端末で表示されます。表示されるのは、MoTD バナーのあとで、ログイン プロンプトが表示される前です。
バナーのデフォルト設定
MoTD ログイン バナーの設定
ユーザがスイッチにログインしたときに、画面に表示される 1 行または複数行のメッセージバナーを作成できます。
MoTD ログイン バナーを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字の後ろの文字は廃棄されます。 |
||
MoTD バナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。
次に、ポンド記号(#)を開始および終了の区切り文字として使用し、スイッチの MoTD バナーを設定する例を示します。
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
ログイン バナーの設定
接続されたすべての端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTD バナーのあとで、ログイン プロンプトが表示される前です。
ログイン バナーを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字の後ろの文字は廃棄されます。 |
||
ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。
次に、ドル記号($)を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する例を示します。
Switch(config)# banner login $
Access for authorized users only. Please enter your username and password.
MAC アドレス テーブルの管理
MAC(メディア アクセス制御)アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。このアドレス テーブルに登録されたすべての MAC アドレスは、1 つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
- ・ ダイナミック アドレス ― スイッチが学習し、使用されなくなった時点で期限切れとなる送信元 MAC アドレス
- ・ スタティック アドレス ― 手動で入力され、期限切れにならず、スイッチのリセット時にも消去されないユニキャストまたはマルチキャスト アドレス
アドレス テーブルは、宛先 MAC アドレス、対応する VLAN(仮想 LAN)ID、アドレスに対応付けられたポート番号、およびタイプ(スタティックまたはダイナミック)のリストです。
- ・ アドレス テーブルの作成
- ・ MAC アドレスおよび VLAN
- ・ MAC アドレス テーブルのデフォルト設定
- ・ アドレス エージング タイムの変更
- ・ ダイナミック アドレス エントリの削除
- ・ MAC アドレス通知トラップの設定
- ・ スタティック アドレス エントリの追加および削除
- ・ ユニキャスト MAC アドレス フィルタリングの設定
- ・ アドレス テーブル エントリの表示
アドレス テーブルの作成
すべてのポートでサポートされる複数の MAC アドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、あるいはその他のネットワーク装置に接続できます。各ポートで受信するパケットの送信元アドレスを取得し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチは動的なアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。
有効期間はグローバルに設定します。ただし、スイッチは VLAN ごとにアドレス テーブルを維持し、STP(スパニングツリー プロトコル)によって VLAN 単位で有効期間を短縮できます。
スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MAC アドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応付けられたポート(複数可)に限定してパケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストア アンド フォワード方式を使用します。このため、完全なパケットをいったん保存してエラーがないか検査してから伝送します。
MAC アドレスおよび VLAN
アドレスはすべて、VLAN と対応付けられます。1 つのアドレスを複数の VLAN に対応付け、それぞれで異なる宛先を設定できます。たとえば、ユニキャスト アドレスを VLAN 1 のポート 1 および VLAN 5 のポート 9、10、1 に転送するといったことが可能です。
VLAN ごとに、独自の論理アドレス テーブルが維持されます。ある VLAN で認識されているアドレスが別の VLAN で認識されるには、別の VLAN 内のポートによって学習されるか、または別の VLAN 内のポートにスタティックに対応付けられる必要があります。
MAC アドレス テーブルのデフォルト設定
表6-3 に、MAC アドレス テーブルのデフォルト設定を示します。
アドレス エージング タイムの変更
ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元 MAC アドレスです。すべての VLAN または指定された VLAN に対して、エージング タイムの設定を変更できます。
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じ VLAN 内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響を及ぼす可能性があります。また、エージング タイムを長く設定しすぎると、アドレステーブルが未使用のアドレスでいっぱいになり、これによって新しいアドレスを学習できなくなります。この結果フラッディングとなり、スイッチのパフォーマンスに悪影響を及ぼす可能性があります。
ダイナミック アドレス テーブルのエージング タイムを設定するには、イネーブル EXEC モードで次の手順を実行します。
デフォルト値に戻すには、 no mac address-table aging-time グローバル コンフィギュレーション コマンドを使用します。
ダイナミック アドレス エントリの削除
ダイナミック エントリをすべて削除するには、イネーブル EXEC モードで clear mac address-table dynamic コマンドを使用します。特定の MAC アドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポートチャネル上のすべてのアドレス( clear mac address-table dynamic interface interface-id )、または指定された VLAN 上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。
ダイナミック エントリが削除されたことを確認するには、 show mac address-table dynamic イネーブル EXEC コマンドを使用します。
MAC アドレス通知トラップの設定
MAC アドレス通知は、スイッチに MAC アドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチが MAC アドレスを学習または削除すると常に、SNMP(簡易ネットワーク管理プロトコル)通知を生成して Network Management System(NMS; ネットワーク管理システム)に送信させることができます。ネットワークから多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC 通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとの MAC アドレス アクティビティを保存します。MAC アドレス通知は、動的でセキュアな MAC アドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。
NMS ホストに MAC アドレス通知トラップを送信するようにスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
スイッチによる MAC アドレス通知トラップの送信をディセーブルにするには、 no snmp-server enable traps mac-notification グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上で MAC アドレス通知トラップをディセーブルにするには、 no snmp trap mac-notification { added | removed } インターフェイス コンフィギュレーション コマンドを使用します。MAC アドレス通知機能をディセーブルにするには、 no mac address-table notification グローバル コンフィギュレーション コマンドを使用します。
次に、NMS として 172.20.10.10 を指定し、スイッチによる NMS への MAC アドレス通知トラップの送信をイネーブルにし、MAC アドレス通知機能をイネーブルにし、インターバルを 60 秒、履歴サイズを 100 エントリに設定し、特定のポートで MAC アドレスが追加された場合のトラップをイネーブルにする例を示します。
Switch(config)# snmp-server host 172.20.10.10 traps private
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac address-table notification
Switch(config)# mac address-table notification interval 60
Switch(config)# mac address-table notification history-size 100
Switch(config)# interface gigabitethernet 0/ 2
Switch(config-if)# snmp trap mac-notification added
これまでのコマンドを確認するには、 show mac address-table notification interface および show mac address-table notification イネーブル EXEC コマンドを入力します。
スタティック アドレス エントリの追加および削除
- ・ アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。
- ・ ユニキャストまたはマルチキャスト アドレスとして設定できます。
- ・ 期限切れになることはなく、スイッチが再起動しても維持されます。
スタティック アドレスを追加および削除でき、また、スタティック アドレスの転送動作を定義できます。転送動作は、パケットを受信したポートが、別のポートにパケットを転送する動作を決定します。ポートは必ず少なくとも 1 つの VLAN と対応しているので、スイッチは指定されたポートから、アドレスに対応する VLAN ID を取得します。送信元ポートごとに、宛先ポートのリストを別々に指定できます。
特定のアドレスがスタティックとして入力されていない VLAN に、そのスタティック アドレスを持つパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
アドレス テーブルにスタティック アドレスを追加するには、宛先 MAC ユニキャスト アドレスと、その送信元 VLAN を指定します。この宛先アドレスで受信したパケットは、 interface-id オプションで指定されたインターフェイスに転送されます。
スタティック アドレスを追加するには、イネーブル EXEC モードで次の手順を実行します。
アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addr vlan vlan-id [ interface interface-id ] グローバル コンフィギュレーション コマンドを使用します。
次に、MAC アドレス テーブルにスタティック アドレス c2f3.220a.12f4 を追加する例を示します。VLAN 4 でこの MAC アドレスを宛先アドレスとしてパケットを受信すると、パケットは指定されたポートに転送されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet 0/ 1
ユニキャスト MAC アドレス フィルタリングの設定
ユニキャスト MAC アドレス フィルタリングがイネーブルの場合、スイッチは、特定の送信元 MAC アドレスまたは宛先 MAC アドレスを持つパケットを廃棄します。この機能はデフォルトではディセーブルで、ユニキャスト スタティック アドレスだけをサポートしています。
- ・ マルチキャスト MAC アドレス、ブロードキャスト MAC アドレス、およびルータ MAC アドレスはサポートされていません。 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力するときに、これらのアドレスのいずれかを指定すると、次のいずれかのメッセージが表示されます。
% Only unicast addresses can be configured to be dropped
% CPU destined address cannot be configured as drop address
- ・ CPU に転送されるパケットもサポートされていません。
- ・ ユニキャスト MAC アドレスをスタティック アドレスとして追加し、ユニキャスト MAC アドレス フィルタリングを設定すると、最後に入力したコマンドに応じて、スイッチは MAC アドレスをスタティック アドレスとして追加するか、MAC アドレスを持つパケットを廃棄します。2 番めに入力したコマンドは、1 番めのコマンドより優先されます。
たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドに続けて、 mac address-table static mac-addr vlan vlan-id drop コマンドを入力すると、スイッチは、送信元または宛先として MAC アドレスを持つパケットを廃棄します。
mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドに続けて、 mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力すると、スイッチは、スタティック アドレスとして MAC アドレスを追加します。
ユニキャスト MAC アドレス フィルタリングをイネーブルにして、スイッチが特定のアドレスを持つパケットを廃棄するように設定するには、送信元または宛先ユニキャスト MAC アドレスおよび受信側の VLAN を指定します。
スイッチが送信元または宛先ユニキャスト スタティック アドレスを廃棄するように設定するには、イネーブル EXEC モードで次の手順を実行します。
|
ユニキャスト MAC アドレス フィルタリングをイネーブルにし、スイッチが指定した送信元または宛先ユニキャスト スタティック アドレスを持つパケットを廃棄するように設定します。 |
||
ユニキャスト MAC アドレス フィルタリングをディセーブルにするには、no mac address -table static mac-addr vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
次にユニキャスト MAC アドレス フィルタリングをイネーブルにし、送信元または宛先アドレスが c2f3.220a.12f4 であるパケットをスイッチが廃棄するように設定する例を示します。この MAC アドレスを送信元または宛先アドレスとしたパケットを VLAN 4 で受信すると、パケットは廃棄されます。
Switch(config)# mac a ddress-table static c2f3.220a.12f4 vlan 4 drop
アドレス テーブル エントリの表示
表6-4 に示す 1 つまたは複数のイネーブル EXEC コマンドを使用すると、MAC アドレス テーブルを表示できます。
ARP テーブルの管理
ある装置と通信するには(イーサネット上の装置など)、ソフトウェアは最初にその装置の 48 ビット MAC アドレスまたはローカル データ リンク アドレスを学習する必要があります。IP アドレスからローカル データ リンク アドレスを学習するプロセスを、 アドレス解決 といいます。
Address Resolution Protocol(ARP)は、ホスト IP アドレスを、該当するメディアまたは MAC アドレスおよび VLAN ID に対応付けます。IP アドレスを使用して、ARP は対応する MAC アドレスを見つけます。MAC アドレスが見つかると、IP と MAC アドレスとの対応を ARP キャッシュに格納し、すばやく検索できるようにします。そのあと、IP データグラムがリンク レイヤ フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外の IEEE 802 ネットワークにおける IP データグラムのカプセル化および ARP 要求/応答については、Subnetwork Access Protocol(SNAP)で規定されています。IP インターフェイスでは、標準的なイーサネット形式の ARP カプセル化( arpa キーワードで表される)がデフォルトでイネーブルに設定されています。
手動でテーブルに追加された ARP エントリは期限切れにならないので、手動で削除する必要があります。
CLI(コマンドライン インターフェイス)の手順については、Cisco.com で入手可能な Cisco IOS Release 12.2 のマニュアルを参照してください。
