この章では、Catalyst 3550スイッチを管理するための1回限りの手順について説明しています。この章で説明する内容は、次のとおりです。
システム日時の管理
Network Time Protocol(NTP)などの自動設定方式、または手動設定方式を使用して、スイッチのシステム日時を管理します。
システム クロックの概要
時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼働し、日時を常時監視します。
システム クロックは、Universal Time Coordinated(UTC;協定世界時)(別名GMT[グリニッジ標準時])に基づいてシステム内部の時刻を常時監視します。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。
システム クロックは、時刻が 信頼できる かどうか(つまり、信頼できるとみなされるタイム ソースによって時刻が設定されているか)を常時監視します。信頼できない場合は、時刻は表示目的でのみ利用され、再配信されません。設定の詳細については、 手動での日時の設定 を参照してください。
NTPの概要
NTPは、ネットワーク上のデバイス間の時刻の同期化を目的に設計されています。NTPはUDPで稼働し、UDPはIP上で稼働します。NTPはRFC 1305に規定されています。
NTPネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。そのあと、NTPはネットワークにこの時刻を配信します。NTPはきわめて効率的で、1分間に1パケットを使用するだけで、2つのデバイスを1ミリ秒以内に同期化できます。
NTPは、 ストラタム(階層) という概念を使用して、信頼できるタイム ソースとデバイスが離れているNTPホップ数を記述します。ストラタム1タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム2タイム サーバは、NTPを使用してストラタム1タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTPが稼働するデバイスは、タイム ソースとして、NTPを使用して通信するストラタム番号が最少のデバイスを自動的に選択します。この方法によって、NTP時刻配信の自動編成型ツリーが効率的に構築されます。
NTPでは、同期化されていないデバイスと同期化しないことによって、時刻が正確でないデバイスとの同期化を防止します。また、NTPでは、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻がほかのデバイスと大幅に異なるデバイスとは同期化しません。
NTPが稼働するデバイス間の通信( アソシエーション )は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべき全デバイスのIPアドレスが与えられます。アソシエーションのペアとなるデバイス間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは単方向に限られます。
デバイス上で維持される時刻は、重要なリソースです。NTPのセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防止してください。アクセス リスト ベースの制約方式と、暗号化された認証メカニズムの2つのメカニズムが利用できます。
シスコのNTPではストラタム1サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。ネットワークの時刻サービスは、IPインターネット上で利用できるパブリックNTPサーバから取得することを推奨します。
図6-1 に、NTPを使用する一般的なネットワーク例を示します。スイッチAはNTPマスターで、スイッチB、C、DはNTPサーバ モードに設定されています。スイッチB、C、DはスイッチAとサーバ アソシエーションの関係にあります。スイッチEは、スイッチB(アップストリーム)およびスイッチF(ダウンストリーム)に対してNTPのピアとして設定されています。
図6-1 一般的なNTPネットワーク構成
ネットワークがインターネットから切り離されている場合、シスコのNTPによって、実際には、ほかの方法で時刻が決定されているにもかかわらず、デバイスがNTPを使用して同期しているように動作を設定できます。他のデバイスは、NTPによりこのデバイスと同期化されます。
複数のタイム ソースがある場合は、常にNTPはより信頼できるとみなされます。NTPの時刻は、他の方法による時刻に優先します。
いくつかのメーカーでは自社のホスト システムにNTPソフトウェアを組み入れており、UNIXシステム用のバージョンやその派生ソフトウェアも一般に入手できます。このソフトウェアによって、ホスト システムも時間が同期化されます。
NTPの設定
スイッチはハードウェアサポート クロックを備えておらず、外部NTPソースが利用できないときに、ピアが自身を同期化するためのNTPマスター クロックとして機能できません。このスイッチは、カレンダーに対するハードウェア サポートも備えていません。そのため、ntp update-calendarおよび ntp master グローバル コンフィギュレーション コマンドが利用できません。
NTPのデフォルト設定
表6-1 に、NTPのデフォルト設定を示します。
NTPは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTPパケットを受信します。
NTP認証の設定
この手順は、NTPサーバの管理者と調整する必要があります。この手順で設定する情報は、時刻をNTPサーバと同期化するためにスイッチが使用するサーバに対応している必要があります。
セキュリティ目的でほかのデバイスとのアソシエーション(正確な時間の維持を行うNTP稼働デバイス間の通信)を認証するには、イネーブルEXECモードで次の手順を実行します。
NTP認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。デバイスIDの認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。
NTPパケットに認証鍵42を設定しているデバイスとだけ同期するようにスイッチを設定する例を以下に示します。
Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 42 md5 aNiceKey
Switch(config)# ntp trusted-key 42
NTPアソシエーションの設定
NTPアソシエーションは、ピア アソシエーション(スイッチを他のデバイスに同期化するか、他のデバイスをスイッチに同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他のデバイスに同期化させるのみで、その逆はできない)に設定することもできます。
別のデバイスとのNTPアソシエーションを形成するには、イネーブルEXECモードで次の手順を実行します。
アソシエーションは、一端のデバイスにしか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。デフォルトのNTPバージョン(バージョン3)を使用していてNTP同期化が発生しない場合は、NTPのバージョン2を使用してみてください。インターネット上の多くのNTPサーバは、バージョン2で稼働しています。
ピア アソシエーションまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。
NTPバージョン2を使用してIPアドレス172.16.22.44のピアのクロックに、システム クロックを同期化するようにスイッチを設定する方法を、以下の例に示します。
Switch(config)# ntp server 172.16.22.44 version 2
NTPブロードキャスト サービスの設定
NTPが稼働するデバイス間の通信( アソシエーション )は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスのIPアドレスが与えられます。アソシエーションのペアとなるデバイス間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは単方向に限られます。
ルータのようにネットワーク上で時刻情報をブロードキャストするNTPブロードキャスト サーバがある場合、スイッチはインターフェイスごとにNTPブロードキャスト パケットを送受信できます。スイッチはNTPブロードキャスト パケットをピアへ送信できるので、ピアはそれに同期化できます。スイッチはNTPブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTPブロードキャスト パケットの送信と受信の両方の手順について説明します。
NTPブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
|
NTPブロードキャスト パケットを送信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
ntp broadcast [ version number ] [ key keyid ] [ destination-address ] |
||
インターフェイスによるNTPブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートがNTPバージョン2パケットを送信するように設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast version 2
接続したピアからNTPブロードキャスト パケットを受信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
|
NTPブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
インターフェイスによるNTPブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。
次に、ポートがNTPブロードキャスト パケットを受信するように設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast client
NTPアクセス制限の設定
以降で説明するように、2つのレベルでNTPアクセスを制御できます。
アクセス グループの作成と基本IPアクセス リストの割り当て
アクセス リストを使用してNTPサービスへのアクセスを制御するには、イネーブルEXECモードで次の手順を実行します。
アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。
- 1. peer ― 時刻要求とNTP制御クエリを許可し、さらに、スイッチが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可します。
- 2. serve ― 時刻要求とNTP制御クエリを許可しますが、スイッチが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可しません。
- 3. serve-only ― アクセス リストの基準を満たすアドレスを持つデバイスからの時刻要求に限り許可します。
- 4. query-only ― アクセス リストの基準を満たすアドレスを持つデバイスからのNTP制御クエリに限り許可します。
送信元IPアドレスが複数のアクセス タイプのアクセス リストに一致する場合は、最初のタイプが許可されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべてのデバイスに許可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り許可されます。
スイッチNTPサービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer }グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチがアクセス リスト99からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト42に対してはアクセスを制限し、時刻要求に限り許可します。
Switch(config)# ntp access-group peer 99
Switch(config)# ntp access-group serve-only 42
Switch(config)# access-list 99 permit 172.20.130.5
Switch(config)# access list 42 permit 172.20.130.6
特定のインターフェイスでのNTPサービスのディセーブル化
NTPサービスは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。
インターフェイス上でNTPパケットの受信をディセーブルにするには、イネーブルEXECモードで次の手順を実行します。
インターフェイス上でNTPパケットの受信を再度イネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。
NTPパケット用の送信元IPアドレスの設定
スイッチがNTPパケットを送信すると、送信元IPアドレスは、通常NTPパケットが送信されたインターフェイスのアドレスに設定されます。すべてのNTPパケットに特定の送信元IPアドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。
送信元IPアドレスの取得先となる特定のインターフェイスを設定するには、イネーブルEXECモードで次の手順を実行します。
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、 NTPアソシエーションの設定 で説明したように、 ntp peer または ntp server グローバル コンフィギュレーション コマンド内で source キーワードを使用します。
NTP設定の表示
次の2つのイネーブルEXECコマンドを使用してNTP情報を表示できます。
この出力に表示されるフィールドの詳細については、『 Cisco IOS Configuration Fundamentals Command Reference for Cisco IOS 』Release 12.2を参照してください。
手動での日時の設定
他のタイム ソースが利用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。
システム クロックの設定
ネットワーク上に、NTPサーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
システム クロックを設定するには、イネーブルEXECモードで次の手順を実行します。
次に、システム クロックを手動で2001年の7月23日午後1時32分に設定する例を示します。
Switch# clock set 13:32:00 23 July 2001
日時設定の表示
日時の設定を表示するには、 show clock [ detail ]イネーブルEXECコマンドを使用します。
システム クロックは、信頼できる(正確であると確信できる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソース(NTPなど)によって設定されている場合は、フラグを設定します。時刻が信頼できないものである場合は、表示目的でのみ使用されます。クロックが信頼でき、 authoritative フラグが設定された状態でないと、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。
show clock の表示の前にある記号は、次の意味があります。
タイム ゾーンの設定
手動でタイム ゾーンを設定するには、イネーブルEXECモードで次の手順を実行します。
|
スイッチは内部時刻をUTCで管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。 |
||
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンとUTCとの時差が分単位である場合に利用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(AST[大西洋標準時])はUTC-3.5です。この場合、3は3時間、.5は50%を意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。
時刻をUTCに設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。
夏時間の設定
毎年特定の曜日に夏時間が開始および終了する地域で夏時間を設定するには、イネーブルEXECモードで次の手順を実行します。
|
clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]] |
夏時間はデフォルトでディセーブルに設定されています。パラメータなしで clock summer-time zone recurring を指定すると、夏時間の規則は米国の規則をデフォルトにします。 |
|
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
次に、夏時間が4月の第1日曜の午前2時に始まり、10月の最終日曜の午前2時に終わるように指定する例を示します。
Switch(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
ユーザの居住地域の夏時間が定期的なパターンに従わない場合(次の夏時間のイベントの正確な日時を設定する)は、イネーブルEXECモードで次の手順を実行します。
|
clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]] clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]] |
||
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が2000年10月12日の午前2時に始まり、2001年4月26日の午前2時に終わるよう設定する例を示します。
Switch(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00
システム名およびプロンプトの設定
スイッチにシステム名を設定して識別します。デフォルトでは、システム名およびプロンプトは Switch です。
システム プロンプトを設定していない場合は、システム名の最初の20文字がシステム プロンプトとして使用されます。大なり記号[>]が付加されます。システム名が変更されるとプロンプトは更新されます。
デフォルトのシステム名およびプロンプトの設定
デフォルトでは、システム名およびプロンプトは Switch です。
システム名の設定
手動でシステム名を設定するには、イネーブルEXECモードで次の手順を実行します。
|
名前はARPANETホスト名の規則に従う必要があります。この規則ではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、またはハイフンしか使用できません。名前は63文字まで使用できます。 |
||
システム名を設定すると、システム プロンプトとしても使用されます。
デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。
DNSの概要
Domain Name System(DNS;ドメイン ネーム システム)プロトコルは、分散型データベースDNSを制御し、これによりホスト名をIPアドレスに対応付けることができます。スイッチにDNSを設定すると、 ping 、 telnet 、 connect などのすべてのIPコマンドや、関連するTelnetサポート操作時に、IPアドレスの代わりにホスト名を使用できます。
IPによって定義される階層型の名前指定は、デバイスを場所またはドメインで識別できます。ドメイン名の区切りとしては、ピリオド(.)を使用します。たとえばシスコシステムズは、IPで com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com です。このドメイン内の特定のデバイス、たとえばFTP(ファイル転送プロトコル)システムは、 ftp.cisco.com で表されます。
IPでドメイン名を追跡するためにドメイン ネーム サーバという概念が定義されています。DNSは、名前とIPアドレスのマッピングをキャッシュ(またはデータベース)に保管します。ドメイン名をIPアドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNSをイネーブルにします。
DNSのデフォルト設定
表6-2 に、DNSのデフォルト設定を示します。
DNSの設定
DNSを使用するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
スイッチのIPアドレスをそのホスト名として使用する場合は、IPアドレスが使用され、DNSクエリは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとでDNSクエリが行われ、名前をIPアドレスにマッピングします。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずにIPアドレスを検索します。
ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネーム サーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチのDNSをディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。
DNS設定の表示
DNS設定情報を表示するには、 show running-config イネーブルEXECコマンドを使用します。
バナーの作成
MoTD(Message-of-The-Day)バナーおよびログイン バナーを作成できます。MoTDバナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザに影響のあるメッセージ(システムのシャットダウン予告など)を送信するのに便利です。
ログイン バナーも、すべての接続端末で表示されます。表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。
バナーのデフォルト設定
MoTDログイン バナーの設定
あるユーザがスイッチにログインしたときに、画面に表示される1行または複数行のメッセージ バナーを作成できます。
MoTDログイン バナーを設定するには、イネーブルEXECモードで次の手順を実行します。
|
c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
MoTDバナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。
次に、ポンド記号(#)を開始および終了の区切り文字として使用し、スイッチのMoTDバナーを設定する例を示します。
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
ログイン バナーの設定
すべての接続端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。
ログイン バナーを設定するには、イネーブルEXECモードで次の手順を実行します。
|
c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。
次に、ドル記号($)を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する例を示します。
Switch(config)# banner login $
Access for authorized users only. Please enter your username and password.
MACアドレス テーブルの管理
MAC(メディア アクセス制御)アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。アドレス テーブルに登録されたMACアドレスはすべて、1つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
- ダイナミック アドレス:スイッチが学習し、使用されなくなった時点で期限切れとなる送信元MACアドレス
- スタティック アドレス:手動で入力するユニキャストまたはマルチキャスト アドレス。これらのアドレスには期限がなく、スイッチがリセットされても失われません。
アドレス テーブルは、宛先MACアドレス、対応するVLAN ID、およびアドレスに対応付けられたポート番号を保持します。
- アドレス テーブルの作成
- MACアドレスおよびVLAN
- MACアドレス テーブルのデフォルト設定
- アドレス エージング タイムの変更
- ダイナミック アドレス エントリの削除
- MACアドレス通知トラップの設定
- スタティック アドレス エントリの追加および削除
- ユニキャストMACアドレス フィルタリングの設定
- アドレス テーブル エントリの表示
アドレス テーブルの作成
すべてのポートでサポートされる複数のMACアドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、またはその他のネットワーク デバイスに接続できます。各ポートで受信するパケットの送信元アドレスを学習し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチはダイナミックなアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。
有効期間はスイッチごとに設定します。ただし、スイッチはVLAN(仮想LAN)ごとにアドレス テーブルをメンテナンスし、Spanning-Tree Protocol(STP;スパニングツリー プロトコル)によってVLANごとの有効期間を短縮できます。
スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MACアドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応付けられたポートにのみ、パケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストアアンドフォワード方式を使用します。このため、完全なパケットを一度保管してエラーがないか検査してから伝送します。
MACアドレスおよびVLAN
アドレスはすべて、VLANと対応付けられます。1つのアドレスを複数のVLANに対応付け、それぞれで異なる宛先を設定できます。たとえば、VLAN 1のポート1、およびVLAN 5のポート9、10、11を宛先とするマルチキャスト アドレスを設定できます。
VLANごとに、独自の論理アドレス テーブルが維持されます。あるVLANで認識されているアドレスが他のVLANで認識されるには、アドレスが他のVLAN内のポートによって学習されるか、またはポートにスタティックに対応付けられる必要があります。あるVLANでスタティックとして入力するアドレスは、他のすべてのVLANでもスタティック アドレスで設定するか、他のVLANで認識されない状態のままでなければなりません。
MACアドレス テーブルのデフォルト設定
表6-3 に、MACアドレス テーブルのデフォルト設定を示します。
アドレス エージング タイムの変更
ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元MACアドレスです。すべてのVLANまたは指定されたVLANに対して、エージング タイムの設定を変更できます。
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じVLAN内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響が及ぶ可能性があります。また、エージング タイムを長く設定しすぎると、アドレス テーブルが未使用のアドレスでいっぱいになり、これによって新しいアドレスを学習できなくなります。
ダイナミック アドレス テーブルのエージング タイムを設定するには、イネーブルEXECモードで次の手順を実行します。
デフォルト値に戻すには、 no mac address-table aging-time グローバル コンフィギュレーション コマンドを使用します。
ダイナミック アドレス エントリの削除
ダイナミック エントリをすべて削除するには、イネーブルEXECモードで clear mac address-table dynamic コマンドを使用します。特定のMACアドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポート チャネル上のすべてのアドレス( clear mac address-table dynamic interface interface-id )、または指定されたVLAN上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。
ダイナミック エントリが削除されたことを確認するには、 show mac address-table dynamic イネーブルEXECコマンドを使用します。
MACアドレス通知トラップの設定
MACアドレス通知によって、スイッチにMACアドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチがMACアドレスを学習または削除すると常に、SNMP(簡易ネットワーク管理プロトコル)通知を生成してNetwork Management System(NMS;ネットワーク管理システム)に送信させることができます。ネットワークから多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとのMACアドレス アクティビティを保存します。MACアドレス通知は、ダイナミックでセキュアなMACアドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。
NMSホストにMACアドレス通知トラップを送信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
スイッチによるMACアドレス通知トラップの送信をディセーブルにするには、 no snmp-server enable traps mac-notification グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上でMACアドレス通知トラップをディセーブルにするには、 no snmp trap mac-notification { added | removed } インターフェイス コンフィギュレーション コマンドを使用します。MACアドレス通知機能をディセーブルにするには、 no mac-address-table notification グローバル コンフィギュレーション コマンドを使用します。
次に、NMSとして172.20.10.10を指定し、スイッチによるNMSへのMACアドレス通知トラップの送信をイネーブルにして、MACアドレス通知機能をイネーブルにし、インターバル タイムを60秒、ヒストリ サイズを100エントリ、指定のポートでMACアドレスが追加されたときはいつでもトラップをイネーブルに設定する例を示します。
Switch(config)# snmp-server host 172.20.10.10 traps private
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac address-table notification
Switch(config)# mac address-table notification interval 60
Switch(config)# mac address-table notification history-size 100
Switch(config)# interface fastethernet0/4
Switch(config-if)# snmp trap mac-notification added
以前のコマンドを確認するには、 show mac address-table notification interface および show mac address-table notification イネーブルEXECコマンドを入力します。
スタティック アドレス エントリの追加および削除
- アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。
- ユニキャスト アドレスまたはマルチキャスト アドレスとして設定できます。
- 期限切れになることはなく、スイッチが再起動しても維持されます。
スタティック アドレスを追加および削除し、転送動作を定義できます。転送動作とは、パケットを受信したポートが、そのパケットを他のポートに転送する方法のことです。すべてのポートは1つまたは複数のVLANに関連付けられているので、スイッチは、指定されたポートから、そのアドレスに対応するVLAN IDを取得します。送信元ポートごとに異なる宛先ポートのリストを指定できます。
あるVLANのスタティック アドレスは、他のVLANでもスタティック アドレスでなければなりません。アドレスがスタティックとして入力されていないVLANにスタティック アドレスを持ったパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
アドレス テーブルにスタティック アドレスを追加するには、宛先MACアドレス(ユニキャストまたはマルチキャスト)およびその受信先となるVLANを指定します。この宛先アドレスとともに受信されたパケットは、 interface-id オプションで指定されたインターフェイスへ転送されます。
スタティック アドレスを追加するには、イネーブルEXECモードで次の手順を実行します。
アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addr vlan vlan-id [ interface interface-id ]グローバル コンフィギュレーション コマンドを使用します。
次に、MACアドレス テーブルに、スタティック アドレスc2f3.220a.12f4を追加する例を示します。VLAN 4で、このMACアドレスを宛先アドレスとして持つパケットを受信すると、パケットは指定されたインターフェイスに転送されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet0/1
ユニキャストMACアドレス フィルタリングの設定
ユニキャストMACアドレス フィルタリングをイネーブルにすると、スイッチは特定の送信元または宛先MACアドレスを持つパケットを廃棄します。この機能はデフォルトではディセーブルで、ユニキャスト スタティック アドレスのみをサポートします。
- マルチキャストMACアドレス、ブロードキャストMACアドレス、およびルータMACアドレスは、サポートされません。 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力するときに、このアドレスの1つを指定した場合、次のメッセージのいずれかが表示されます。
% Only unicast addresses can be configured to be dropped
% CPU destined address cannot be configured as drop address
- CPUに転送されるパケットは、サポートされません。
- ユニキャストMACアドレスをスタティック アドレスとして追加し、ユニキャストMACアドレス フィルタリングを設定する場合、スイッチは最後に入力したコマンドによって、MACアドレスをスタティック アドレスとして追加するか、MACアドレスが指定されたパケットを廃棄します。2番めに入力したコマンドは、最初に入力したコマンドを無効にして、優先されます。
たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドを入力したあとで、 mac address-table static mac-addr vlan vlan-id drop コマンドを入力すると、スイッチは送信元または宛先としての特定のMACアドレスを持つパケットを廃棄します。
たとえば、 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力したあとで、 mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力すると、スイッチはスタティックアドレスとしてMACアドレスを追加します。
ユニキャストMACアドレス フィルタリングをイネーブルにし、送信元または宛先ユニキャストMACアドレスと、パケットを受信するVLANを指定することにより、特定のアドレスを持つパケットを廃棄するようにスイッチを設定します。
送信元または宛先ユニキャスト スタティック アドレスを廃棄するようスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
|
ユニキャストMACアドレス フィルタリングをイネーブルにし、指定された送信元または宛先ユニキャスト スタティック アドレスを持つパケットを廃棄するようスイッチを設定します。 |
||
ユニキャストMACアドレス フィルタリングをディセーブルにするには、no mac address -table static mac-addr vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
次に、ユニキャストMACアドレス フィルタリングをイネーブルにし、c2f3.220a.12f4の送信元または宛先アドレスを持つパケットを廃棄するようにスイッチを設定する例を示します。送信元または宛先アドレスとして、このMACアドレスを持つVLAN 4にパケットが受信された場合、パケットは廃棄されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 drop
アドレス テーブル エントリの表示
表6-4 に示す1つまたは複数のイネーブルEXECコマンドを使用すると、MACアドレス テーブルを表示できます。
ユーザが選択した機能に対するシステム リソースの最適化
ネットワークでのスイッチの使用状況に応じて、Switch Database Management(SDM)テンプレートを使用して、特定の機能に対するサポートを最適化するようにスイッチのメモリ リソースを設定できます。4つのテンプレートのいずれかを使用して、どのようにシステム リソースを割り当てるかを指定できます。これによって、このスイッチで設定できる、ユニキャストMACアドレス、Internet Group Management Protocol(IGMP)グループ、Quality of Service(QoS;サービス品質)Access Control Entry(ACE;アクセス制御エントリ)、セキュリティACE、ユニキャスト ルート、マルチキャスト ルート、サブネットVLAN(ルーテッド インターフェイス)、およびレイヤ2 VLANの最大数を概算できます。
4つのテンプレートは、システム メモリに優先順位をつけて、次の機能タイプのサポートを最適化します。
- QoSおよびセキュリティACE ― アクセス テンプレートは、通常、ネットワーク エッジにあり、ルーティング テーブルのサイズがあまり大きくないアクセス スイッチで使用されます。アクセス スイッチがネットワーク全体の入口になるので、フィルタリングとQoSがより重要となります。
- ルーティング ― ルーティング テンプレートは、通常、ネットワークの中心にあるルータまたはアグリゲータで必要となります。ユニキャスト ルーティングに対して、システム リソースを最大化します。
- VLAN ― VLANテンプレートは、ルーティングをディセーブルにし、最大数のユニキャストMACアドレスをサポートします。通常、レイヤ2スイッチとして使用されるスイッチ用に選択されます。
- デフォルト ― デフォルト テンプレートは、すべての機能(QoS、ACL、ユニキャスト ルーティング、マルチキャスト ルーティング、VLAN、およびMACアドレス)のバランスをとります。
144ビットのレイヤ3 Ternary CAM(TCAM)をサポートできるようにスイッチを設定すると、ルーティング テーブル メモリの割り当てを再フォーマットすることにより、スイッチ内部のルーティング テーブルにフィールドを追加できます。 extended-match キーワードをデフォルト、アクセス、またはルーティング テンプレートで使用すると、使用できるユニキャスト ルート数が減り、レイヤ3 TCAMの下位72ビットに追加のルーティング情報が保存されることで、割り当てられたTCAMが再フォーマットされます。スイッチのCustomer Edge(CE;カスタマー エッジ)デバイス(multi-VRF CE)でWeb Cache Communication Protocol(WCCP)、またはmultiple VPN Routing/Forwarding(multi-VRF)インスタンスを実行している場合は、144ビットのレイヤ3 TCAMが必要です。
表6-5 に、Catalyst 3550ギガビット イーサネット スイッチに対する4つのテンプレートそれぞれでサポートされる各リソースの概数を示します。 表6-6 では、Catalyst 3550スイッチの4つのテンプレートをプライマリ ファスト イーサネット ポートと比較します。
表の最初の6行(ユニキャストMACアドレスからマルチキャスト ルートまで)は、各テンプレートが選択されたときに設定されるハードウェアのおおよその限度を表します。ハードウェア リソースのある部分がいっぱいの場合は、処理のオーバーフローはすべてCPUに送られ、スイッチのパフォーマンスに重大な影響が出ます。
最後の2行は、ルーテッド ポートとSwitch Virtual Interface(SVI;スイッチ仮想インターフェイス)の合計数、およびレイヤ2 VLANの数で、ほかのリソース パラメータに関連してハードウェア リソースの消費量を計算する際の指針となります。
サブネットVLAN(ルーテッド ポートおよびSVI)の数はソフトウェアによって制限されず、この表に示されているものより大きな数値に設定できます。サブネットVLANの数をこの表の値以下に設定すると、テンプレートごとの各カテゴリ(ユニキャスト アドレス、IGMPグループなど)のエントリ数は表示されているものになります。サブネットVLANの数が増えるにつれて、一般的にCPUの利用率が上がります。サブネットVLAN数が表に示される数を超えると、イネーブルになっている機能に応じて、各カテゴリのサポートされているエントリ数が減ります。たとえば、16を超えるサブネットVLANでPIM-DVMRPがイネーブルになっている場合は、アクセス テンプレートに対するマルチキャスト ルートのエントリ数は、1〜5 Kの範囲です。
|
12 Kまたは6 K 1 |
||||
|
8 Kまたは4 K 2 |
||||
テンプレートの使用方法
SDMテンプレートを使用するときは、次の注意事項に従ってください。
- 各テンプレートで可能なリソースの最大数は概数で、設定されているほかの機能の実数によって異なります。たとえば、Catalyst 3550-12Tのデフォルト テンプレートで、ご使用のスイッチに16を超えるルーテッド インターフェイスが設定されている場合は、ハードウェアが対応できるマルチキャストまたはユニキャスト ルートの数は、表の値より少なくなります。
- sdm prefer vlan グローバル コンフィギュレーション コマンドを使用すると、スイッチのルーティング機能がディセーブルになります。 リロード 後は、どのようなルーティング設定も拒否され、以前に設定したルーティング オプションが失われることがあります。ルーティングをサポートしていないレイヤ2スイッチング専用スイッチに限り、 sdm prefer vlan グローバル コンフィギュレーション コマンドを使用してください。
- スイッチでのルーティングをイネーブルにしない場合は、ルーティング テンプレートを使用しないでください。スイッチに sdm prefer routing グローバル コンフィギュレーション コマンドを入力しても、ルーティングはイネーブルになりませんが、ルーティング テンプレート内のユニキャストおよびマルチキャスト ルーティングに割り当てられたメモリがほかの機能で使用されなくなります。このメモリは、ギガビット イーサネット スイッチでは最大30 K、ファスト イーサネット スイッチでは最大17 Kになります。
- WCCPまたはmulti-VRF CEがスイッチでイネーブルになっている場合は、 extended-match キーワードを使用して、144ビットのレイヤ3 TCAMをサポートする必要があります。このキーワードは、VLANテンプレートではサポートされません。
ここでは、SDMテンプレートをデフォルトから変更する手順を示します。設定を有効にするには、スイッチをリロードする必要があります。スイッチをリロードする前にshow sdm preferイネーブルEXECコマンドを使用すると、以前の設定(この場合はデフォルト)が表示されます。
SDMテンプレートを使用して機能動作を最適にサポートするには、イネーブルEXECモードで次の手順を実行します。
システムの再起動後、 show sdm prefer イネーブルEXECコマンドを使用して、新しいテンプレート設定を確認できます。 reload イネーブルEXECコマンドの前に show sdm prefer コマンドを使用すると、新しいテンプレートではなく以前のテンプレートが表示されます。
デフォルトのテンプレートに戻すには、 no sdm prefer グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチにルーティング テンプレートを設定し、その設定を確認する例を示します。
Switch(config)# sdm prefer routing
Proceed with reload? [confirm]
ARPテーブルの管理
ソフトウェアがデバイスと通信するには(たとえばイーサネット上で)、最初にデバイスの48ビットMACアドレスまたはローカル データ リンク アドレスを判別する必要があります。IPアドレスからローカル データ リンク アドレスを判別するプロセスを、「 アドレス解決 」と呼びます。
Address Resolution Protocol(ARP;アドレス解決プロトコル)は、ホストIPアドレスと、それに対応するメディアまたはMACアドレスおよびVLAN IDを関連付けます。ARPはIPアドレスを入力として、関連付けられたMACアドレスを判別します。MACアドレスを判別すると、高速に引き出せるように、IPとMACアドレスの関連付けはARPのキャッシュに保存されます。そのあと、IPデータグラムはリンクレイヤ フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外のIEEE 802ネットワークにおけるIPデータグラムのカプセル化、およびARP要求や応答については、Subnetwork Access Protocol(SNAP)で規定されています。IPインターフェイスでは、標準イーサネット形式のARPカプセル化( arpa キーワードで表される)がデフォルトでイネーブルに設定されています。
手動でテーブルに追加されたARPエントリには期限切れがないため、手動で削除する必要があります。
CLI(コマンドライン インターフェイス)の手順については、Cisco.comのCisco IOS Release 12.2マニュアルを参照してください。
