  |
この章では、Catalyst 3550スイッチを管理するための1回限りの手順について説明しています。この章で説明する内容は、次のとおりです。
Network Time Protocol(NTP)などの自動設定方式、または手動設定方式を使用して、スイッチのシステム日時を管理します。
時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼働し、日時を常時監視します。
システム クロックは、Universal Time Coordinated(UTC;協定世界時)(別名Greenwich Mean Time [GMT;グリニッジ標準時])に基づいてシステム内部の時刻を常時監視します。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。
システム クロックは、時刻が信頼できるかどうか(つまり、信頼できるとみなされるタイム ソースによって時刻が設定されているか)を常時監視します。信頼できない場合は、時刻は表示目的でのみ利用され、再配信されません。設定の詳細については、手動での日時の設定を参照してください。
NTPは、ネットワーク上のデバイス間の時刻の同期化を目的に設計されています。NTPはUser Datagram Protocol(UDP)で稼働し、UDPはIP上で稼働します。NTPはRFC 1305に規定されています。
NTPネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。そのあと、NTPはネットワークにこの時刻を配信します。NTPはきわめて効率的で、1分間に1パケットを使用するだけで、2つのデバイスを1ミリ秒以内に同期化することができます。
NTPは、ストラタム(階層)という概念を使用して、信頼できるタイム ソースとデバイスが離れているNTPホップ数を記述します。ストラタム1タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム2タイム サーバは、NTPを使用してストラタム1タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTPが稼働するデバイスは、タイム ソースとして、NTPを使用して通信するストラタム番号が最少のデバイスを自動的に選択します。この方法によって、NTP時刻配信の自動編成型ツリーが効率的に構築されます。
NTPでは、同期化されていないデバイスと同期化しないことによって、時刻が正確でないデバイスとの同期化を防止します。また、NTPでは、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻がほかのデバイスと大幅に異なるデバイスとは同期化しません。
NTPが稼働するデバイス間の通信(アソシエーション)は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべき全デバイスのIPアドレスが与えられます。アソシエーションのペアとなるデバイス間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは単方向に限られます。
デバイス上で維持される時刻は、重要なリソースです。NTPのセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防止してください。アクセス リスト ベースの制約方式と、暗号化された認証メカニズムの2つのメカニズムが利用できます。
シスコのNTPではストラタム1サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。ネットワークの時刻サービスは、IPインターネット上のパブリックNTPサーバから取得することを推奨します。一般的なNTPネットワーク構成に、NTPを使用する一般的なネットワーク例を示します。
ネットワークがインターネットから切り離されている場合、シスコのNTPによって、実際には、ほかの方法で時刻が決定されているにもかかわらず、デバイスがNTPを使用して同期しているように動作を設定できます。他のデバイスは、NTPによりこのデバイスと同期化されます。
複数のタイム ソースがある場合は、常にNTPはより信頼できるとみなされます。NTPの時刻は、他の方法による時刻に優先します。
いくつかのメーカーでは自社のホスト システムにNTPソフトウェアを組み入れており、UNIXシステム用のバージョンやその派生ソフトウェアも一般に入手できます。このソフトウェアによって、ホスト システムも時間が同期化されます。
スイッチはハードウェアサポート クロックを備えておらず、外部NTPソースが利用できないときに、ピアが自身を同期化するためのNTPマスター クロックとして機能できません。このスイッチは、カレンダーに対するハードウェア サポートも備えていません。そのため、ntp update-calendarおよびntp masterグローバル コンフィギュレーション コマンドが利用できません。
NTPのデフォルト設定に、NTPのデフォルト設定を示します。
NTPは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTPパケットを受信します。
この手順は、NTPサーバの管理者と調整する必要があります。この手順で設定する情報は、時刻をNTPサーバと同期化するためにスイッチが使用するサーバに対応している必要があります。
セキュリティ目的でほかのデバイスとのアソシエーション(正確な時間の維持を行うNTP稼働デバイス間の通信)を認証するには、イネーブルEXECモードで次の手順を実行します。
NTP認証をディセーブルにするには、no ntp authenticateグローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、no ntp authentication-keynumberグローバル コンフィギュレーション コマンドを使用します。デバイスIDの認証をディセーブルにするには、no ntp trusted-keykey-numberグローバル コンフィギュレーション コマンドを使用します。
NTPパケットに認証鍵42を設定しているデバイスとだけ同期するようにスイッチを設定する例を以下に示します。
Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 42 md5 aNiceKey
Switch(config)# ntp trusted-key 42
NTPアソシエーションは、ピア アソシエーション(スイッチを他のデバイスに同期化するか、他のデバイスをスイッチに同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他のデバイスに同期化させるのみで、その逆はできない)に設定することもできます。
別のデバイスとのNTPアソシエーションを形成するには、イネーブルEXECモードで次の手順を実行します。
アソシエーションは、一端のデバイスにしか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。デフォルトのNTPバージョン(バージョン3)を使用していてNTP同期化が発生しない場合は、NTPのバージョン2を使用してみてください。インターネット上の多くのNTPサーバは、バージョン2で稼働しています。
ピア アソシエーションまたはサーバ アソシエーションを削除するには、no ntp peerip-addressまたはno ntp serverip-addressグローバル コンフィギュレーション コマンドを使用します。
NTPバージョン2を使用してIPアドレス172.16.22.44のピアのクロックに、システム クロックを同期化するようにスイッチを設定する方法を、以下の例に示します。
Switch(config)# ntp server 172.16.22.44 version 2
NTPが稼働するデバイス間の通信(アソシエーション)は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスのIPアドレスが与えられます。アソシエーションのペアとなるデバイス間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは単方向に限られます。
ルータのようにネットワーク上で時刻情報をブロードキャストするNTPブロードキャスト サーバがある場合、スイッチはインターフェイスごとにNTPブロードキャスト パケットを送受信できます。スイッチはNTPブロードキャスト パケットをピアへ送信できるので、ピアはそれに同期化することができます。スイッチはNTPブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTPブロードキャスト パケットの送信と受信の両方の手順について説明します。
NTPブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
|
NTPブロードキャスト パケットを送信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
ntp broadcast [versionnumber] [keykeyid] [destination-address] |
||
インターフェイスによるNTPブロードキャスト パケットの送信をディセーブルにするには、no ntp broadcastインターフェイス コンフィギュレーション コマンドを使用します。
次に、インターフェイスがNTPバージョン2パケットを送信するように設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast version 2
接続したピアからNTPブロードキャスト パケットを受信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
|
NTPブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
インターフェイスによるNTPブロードキャスト パケットの受信をディセーブルにするには、no ntp broadcast clientインターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、no ntp broadcastdelayグローバル コンフィギュレーション コマンドを使用します。
次に、インターフェイスがNTPブロードキャスト パケットを受信するように設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast client
以降で説明するように、2つのレベルでNTPアクセスを制御できます。
|
ntp access-group {query-only |serve-only |serve |peer}access-list-number |
||
|
access-list access-list-numberpermitsource [source-wildcard] |
||
アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。
送信元IPアドレスが複数のアクセス タイプのアクセス リストに一致する場合は、最初のタイプが許可されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべてのデバイスに許可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り許可されます。
スイッチNTPサービスに対するアクセス制御を削除するには、no ntp access-group {query-only | serve-only | serve | peer}グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチがアクセス リスト99からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト42に対してはアクセスを制限し、時刻要求に限り許可します。
Switch(config)# ntp access-group peer 99
Switch(config)# ntp access-group serve-only 42
Switch(config)# access-list 99 permit 172.20.130.5
Switch(config)# access list 42 permit 172.20.130.6
インターフェイス上でNTPパケットの受信を再度イネーブルにするには、no ntp disableインターフェイス コンフィギュレーション コマンドを使用します。
スイッチがNTPパケットを送信すると、送信元IPアドレスは、通常NTPパケットが送信されたインターフェイスのアドレスに設定されます。すべてのNTPパケットに特定の送信元IPアドレスを使用する場合は、ntp sourceグローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、NTPアソシエーションの設定に説明したように、ntp peerまたはntp serverグローバル コンフィギュレーション コマンド内でsourceキーワードを使用します。
次の2つのイネーブルEXECコマンドを使用してNTP情報を表示できます。
この出力に表示されるフィールドの詳細については、『Cisco IOS Configuration Fundamentals Command Reference for Cisco IOS Release 12.1』を参照してください。
他のタイム ソースが利用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。
ネットワーク上に、NTPサーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
次に、システム クロックを手動で2001年の7月23日午後1時32分に設定する例を示します。
Switch# clock set 13:32:00 23 July 2001
日時の設定を表示するには、show clock [detail]イネーブルEXECコマンドを使用します。
システムク ロックは、信頼できる(正確であると確信できる)かどうかを示すauthoritativeフラグを維持します。システム クロックがタイミング ソース(NTPなど)によって設定されている場合は、フラグを設定します。時刻が信頼できないものである場合は、表示目的でのみ使用されます。クロックが信頼でき、authoritativeフラグが設定された状態でないと、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。
show clockの表示の前にある記号は、次の意味があります。
|
スイッチは内部時刻をUTCで管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。 |
||
clock timezoneグローバル コンフィギュレーション コマンドのminutes-offset変数は、現地のタイム ゾーンとUTCとの時差が分単位である場合に利用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(AST[大西洋標準時])はUTC-3.5です。この場合、3は3時間、.5は50パーセントを意味します。この場合、必要なコマンドはclock timezone AST -3 30です。
時刻をUTCに設定するには、no clock timezoneグローバル コンフィギュレーション コマンドを使用します。
|
clock summer-timezonerecurring[week day month hh:mm week day month hh:mm [offset]] |
夏時間はデフォルトでディセーブルに設定されています。パラメータなしでclock summer-timezonerecurringを指定すると、夏時間の規則は米国の規則をデフォルトにします。 |
|
clock summer-timeグローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
次に、夏時間が4月の第一日曜の2時に始まり、10月の最終日曜の2時に終わるように指定する例を示します。
Switch(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
ユーザの居住地域の夏時間が定期的なパターンに従わない場合(次の夏時間のイベントの正確な日時を設定する)は、イネーブルEXECモードで次の手順を実行します。
|
clock summer-timezonedate [month date year hh:mm month date year hh:mm[offset]] clock summer-timezonedate [datemonth year hh:mm date month year hh:mm [offset]] |
||
clock summer-timeグローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
夏時間をディセーブルにするには、no clock summer-timeグローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が2000年10月12日の2時に始まり、2001年4月26日の2時に終わるよう設定する例を示します。
Switch(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00
スイッチにシステム名を設定して識別します。デフォルトでは、システム名およびプロンプトはswitchです。
システム プロンプトを設定していない場合は、システム名の最初の20文字がシステム プロンプトとして使用されます。大なり記号[>]が付加されます。システム名が変更されると、promptグローバル コンフィギュレーション コマンドを使用して手動でプロンプトを設定している場合以外、プロンプトは更新されます。
デフォルトでは、システム名およびプロンプトはswitchです。
|
名前はARPANETホスト名の規則に従う必要があります。この規則ではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、またはハイフンしか使用できません。名前には63文字まで使用できます。 |
||
システム名を設定すると、システム プロンプトとしても使用されます。prompt グローバル コンフィギュレーション コマンドを使用すると、プロンプトの設定を上書きできます。
デフォルトのホスト名に戻すには、no hostnameグローバル コンフィギュレーション コマンドを使用します。
|
コマンドライン プロンプトを設定して、hostnameコマンドでの設定を上書きします。 デフォルトのプロンプトは、switchまたはhostnameグローバル コンフィギュレーション コマンドで定義された名前です。そのあとにユーザEXECモードの場合はかぎカッコ(>)、イネーブルEXECモードの場合はポンド記号(#)が続きます。 |
||
デフォルトのプロンプトに戻すには、no prompt [string]グローバル コンフィギュレーション コマンドを使用します。
Domain Name System(DNS;ドメイン ネーム システム)プロトコルは、分散型データベースDNSを制御し、これによりホスト名をIPアドレスに対応づけることができます。スイッチにDNSを設定すると、ping、telnet、connectなどのすべてのIPコマンドや、関連するTelnetサポート操作時に、IPアドレスの代わりにホスト名を使用できます。
IPによって定義される階層型の名前指定は、デバイスを場所またはドメインで識別することができます。ドメイン名の区切りとしては、ピリオド(.)を使用します。たとえばシスコシステムズは、IPでcomというドメイン名に分類される商業組織なので、ドメイン名はcisco.comです。このドメイン内の特定のデバイス、たとえばFile Transfer Protocol(FTP)システムは、ftp.cisco.comで表されます。
IPでドメイン名を追跡するためにドメイン ネーム サーバという概念が定義されています。DNSは、名前とIPアドレスのマッピングをキャッシュ(またはデータベース)に保管します。ドメイン名をIPアドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNSをイネーブルにします。
DNSのデフォルト設定に、DNSのデフォルト設定を示します。
スイッチのIPアドレスをそのホスト名として使用する場合は、IPアドレスが使用され、DNSクエリは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとでDNSクエリが行われ、名前をIPアドレスにマッピングします。デフォルトのドメイン名は、ip domain-nameグローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずにIPアドレスを検索します。
ドメイン名を削除するには、no ip domain-namenameグローバル コンフィギュレーション コマンドを使用します。ネーム サーバのアドレスを削除するには、no ip name-serverserver-addressグローバル コンフィギュレーション コマンドを使用します。スイッチのDNSをディセーブルにするには、no ip domain-lookupグローバル コンフィギュレーション コマンドを使用します。
DNS設定情報を表示するには、show running-configイネーブルEXECコマンドを使用します。
MoTD(Message-of-The-Day)バナーおよびログイン バナーを作成できます。MoTDバナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザに影響のあるメッセージ(システムのシャットダウン予告など)を送信するのに便利です。
ログイン バナーも、すべての接続端末で表示されます。表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。
|
cには、任意の区切り文字、たとえばポンド記号(#)を入力して、Returnキーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
MoTDバナーを削除するには、no banner motdグローバル コンフィギュレーション コマンドを使用します。
次に、ポンド記号(#)を開始および終了の区切り文字として使用し、スイッチのMoTDバナーを設定する例を示します。
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
すべての接続端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。
|
cには、任意の区切り文字、たとえばポンド記号(#)を入力して、Returnキーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
ログイン バナーを削除するには、no banner loginグローバル コンフィギュレーション コマンドを使用します。
次に、ドル記号($)を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する例を示します。
Switch(config)# banner login $
Access for authorized users only. Please enter your username and password.
MACアドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。アドレス テーブルに登録されたMACアドレスはすべて、1つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
アドレス テーブルは、宛先MACアドレス、対応するVLAN ID、およびアドレスに対応づけられたポート番号を保持します。
すべてのポートでサポートされる複数のMACアドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、またはその他のネットワーク デバイスに接続できます。各ポートで受信するパケットの送信元アドレスを学習し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチは動的なアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。
有効期間はスイッチごとに設定します。ただし、スイッチはVLANごとにアドレス テーブルをメンテナンスし、STPによってVLANごとの有効期間を短縮することができます。
スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MACアドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応づけられたポートにのみ、パケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストアアンドフォワード方式を使用します。このため、完全なパケットを一度保管してエラーがないか検査してから伝送します。
アドレスはすべて、VLANと対応づけられます。1つのアドレスを複数のVLANに対応づけ、それぞれで異なる宛先を設定できます。たとえば、VLAN 1のポート1、およびVLAN 5のポート9、10、11を宛先とするマルチキャスト アドレスを設定できます。
VLANごとに、独自の論理アドレス テーブルが維持されます。あるVLANで認識されているアドレスが他のVLANで認識されるには、アドレスが他のVLAN内のポートによって学習されるか、またはポートにスタティックに対応づけられる必要があります。あるVLANでスタティックとして入力するアドレスは、他のすべてのVLANでもスタティック アドレスで設定するか、他のVLANで認識されない状態のままでなければなりません。
MACアドレス テーブルのデフォルト設定に、MACアドレス テーブルのデフォルト設定を示します。
ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元MACアドレスです。すべてのVLANまたは指定されたVLANに対して、エージング タイムの設定を変更できます。
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じVLAN内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響が出る可能性があります。また、エージング タイムを長く設定しすぎると、アドレス テーブルが未使用のアドレスでいっぱいになり、これによって新しいアドレスを学習できなくなります。
|
ダイナミック エントリが使用または更新されたあと、MACアドレステーブル内に保持される時間を設定します。 指定できる範囲は10〜1000000秒です。デフォルトは300秒です。0も入力できますが、期限切れをディセーブルにします。スタティック アドレスは、期限切れになることもテーブルから削除されることもありません。 |
||
デフォルト値に戻すには、no mac address-table aging-timeグローバル コンフィギュレーション コマンドを使用します。
ダイナミック エントリをすべて削除するには、イネーブルEXECモードでclear mac address-table dynamicコマンドを使用します。特定のMACアドレス(clear mac address-table dynamic addressmac-address)、指定された物理ポートまたはポート チャネル上のすべてのアドレス(clear mac address-table dynamicinterfaceinterface-id)、または指定されたVLAN上のすべてのアドレス(clear mac address-table dynamic vlanvlan-id)の削除もできます。
ダイナミック エントリが削除されたことを確認するには、show mac address-table dynamicイネーブルEXECコマンドを使用します。
MACアドレス通知によって、スイッチにMACアドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチがMACアドレスを学習または削除すると常に、SNMP通知を生成してNetwork Management System(NMS;ネットワーク管理システム)に送信させることができます。ネットワークから多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとのMACアドレス アクティビティを保存します。MACアドレス通知は、動的でセキュアなMACアドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。
NMSホストにMACアドレス通知トラップを送信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
スイッチによるMACアドレス通知トラップの送信をディセーブルにするには、no snmp-server enable trapsmac-notificationグローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上でMACアドレス通知トラップをディセーブルにするには、no snmp trap mac-notification {added |removed}インターフェイス コンフィギュレーション コマンドを使用します。MACアドレス通知機能をディセーブルにするには、no mac-address-table notificationグローバル コンフィギュレーション コマンドを使用します。
次に、NMSとして172.20.10.10を指定し、スイッチによるNMSへのMACアドレス通知トラップの送信をイネーブルにして、MACアドレス通知機能をイネーブルにし、インターバル タイムを60秒、ヒストリ サイズを100エントリ、インターフェイスFastEthernet 0/4でMACアドレスが追加されたときはいつでもトラップをイネーブルに設定する例を示します。
Switch(config)# snmp-server host 172.20.10.10 traps private
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac address-table notification
Switch(config)# mac address-table notification interval 60
Switch(config)# mac address-table notification history-size 100
Switch(config)# interface fastethernet0/4
Switch(config-if)# snmp trap mac-notification added
以前のコマンドを確認するには、show mac address-tablenotification interfaceおよびshow mac address-tablenotificationイネーブルEXECコマンドを入力します。
スタティック アドレスを追加および削除し、転送動作を定義することができます。転送動作とは、パケットを受信したポートが、そのパケットを他のポートに転送する方法のことです。すべてのポートは1つまたは複数のVLANに関連づけられているので、スイッチは、指定されたポートから、そのアドレスに対応するVLAN IDを取得します。送信元ポートごとに異なる宛先ポートのリストを指定できます。
あるVLANのスタティック アドレスは、他のVLANでもスタティック アドレスでなければなりません。アドレスがスタティックとして入力されていないVLANにスタティック アドレスを持ったパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
アドレス テーブルにスタティック アドレスを追加するには、宛先MACアドレス(ユニキャストまたはマルチキャスト)およびその受信先となるVLANを指定します。この宛先アドレスとともに受信されたパケットは、interface-idオプションで指定されたインターフェイスへ転送されます。
|
mac address-table staticmac-addrvlan vlan-idinterface interface-id |
||
アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addrvlan vlan-id[interface interface-id]グローバル コンフィギュレーション コマンドを使用します。
次に、MACアドレス テーブルに、スタティック アドレスc2f3.220a.12f4を追加する例を示します。VLAN 4で、このMACアドレスを宛先アドレスとして持つパケットを受信すると、パケットは指定されたインターフェイスに転送されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet0/1
ユニキャストMACアドレス フィルタリングをイネーブルにすると、スイッチは特定の送信元または宛先MACアドレスを持つパケットを廃棄します。この機能はデフォルトではディセーブルで、ユニキャスト スタティック アドレスのみをサポートします。
% Only unicast addresses can be configured to be dropped
% CPU destined address cannot be configured as drop address
たとえば、mac address-table staticmac-addrvlan vlan-idinterface interface-idグローバル コンフィギュレーション コマンドを入力したあとで、mac address-table staticmac-addrvlan vlan-iddropコマンドを入力すると、スイッチは送信元または宛先としての特定のMACアドレスを持つパケットを廃棄します。
たとえば、mac address-table staticmac-addrvlan vlan-iddropグローバル コンフィギュレーション コマンドを入力したあとで、mac address-table staticmac-addrvlan vlan-idinterface interface-idコマンドを入力すると、スイッチはスタティックアドレスとしてMACアドレスを追加します。
ユニキャストMACアドレス フィルタリングをイネーブルにし、送信元または宛先ユニキャストMACアドレスと、パケットを受信するVLANを指定することにより、特定のアドレスを持つパケットを廃棄するようスイッチを設定します。
送信元または宛先ユニキャスト スタティック アドレスを廃棄するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
|
ユニキャストMACアドレス フィルタリングをイネーブルにし、指定された送信元または宛先ユニキャスト スタティック アドレスを持つパケットを廃棄するようスイッチを設定します。 |
||
ユニキャストMACアドレス フィルタリングをディセーブルにするには、no mac address-table static mac-addrvlan vlan-idグローバル コンフィギュレーション コマンドを使用します。
次に、ユニキャストMACアドレス フィルタリングをイネーブルにし、c2f3.220a.12f4の送信元または宛先アドレスを持つパケットを廃棄するようにスイッチを設定する例を示します。送信元または宛先アドレスとして、このMACアドレスを持つVLAN 4にパケットが受信された場合、パケットは廃棄されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 drop
MACアドレス テーブル表示用のコマンドに示す1つまたは複数のイネーブルEXECコマンドを使用すると、MACアドレス テーブルを表示できます。
ネットワークでのスイッチの使用状況に応じて、Switch Database Management(SDM)テンプレートを使用して、特定の機能に対するサポートを最適化するようにスイッチのメモリ リソースを設定できます。4つのテンプレートのいずれかを使用して、どのようにシステム リソースを割り当てるかを指定できます。これによって、このスイッチで設定できる、ユニキャストMACアドレス、Internet Group Managment Protocol(IGMP)グループ、Quality of Service(QoS;サービス品質)Access Control Entry(ACE;アクセス制御エントリ)、セキュリティACE、ユニキャスト ルート、マルチキャスト ルート、サブネットVLAN(ルーテッド インターフェイス)、およびレイヤ2 VLANの最大数を概算できます。
4つのテンプレートは、システム メモリに優先順位をつけて、次の機能タイプのサポートを最適化します。
144ビットのレイヤ3 TCAMをサポートできるようにスイッチを設定すると、ルーティング テーブル メモリの割り当てを再フォーマットすることにより、スイッチ内部のルーティング テーブルにフィールドを追加できます。extended-matchキーワードをデフォルト、アクセス、またはルーティング テンプレートで使用すると、使用できるユニキャスト ルート数が減り、レイヤ3 TCAMの下位72ビットに追加のルーティング情報が保存されます。割り当てられたTCAMが再フォーマットされます。スイッチのCustomer Edge(CE;カスタマー エッジ)デバイスでWeb Cache Communication Protocol(WCCP)、またはmultiple VPN Routing/Forwarding(multi-VRF)インスタンス(multi-VRF CE)を実行している場合は、144ビットのレイヤ3 TCAMが必要です。
ギガビット イーサネット スイッチの各テンプレートで可能なリソースの概数に、Catalyst 3550ギガビット イーサネット スイッチに対する4つのテンプレートそれぞれでサポートされる各リソースの概数を示します。ファスト イーサネット スイッチの各テンプレートで可能なリソースの概数では、Catalyst 3550スイッチの4つのテンプレートをプライマリ ファスト イーサネット ポートと比較します。
表の最初の6行(ユニキャストMACアドレスからマルチキャスト ルートまで)は、各テンプレートが選択されたときに設定されるハードウェアのおおよその限度を表します。ハードウェア リソースのある部分がいっぱいの場合は、処理のオーバーフローはすべてCPUに送られ、スイッチのパフォーマンスに重大な影響が出ます。
最後の2行は、ルーテッド ポートとSVIの合計数、およびレイヤ2 VLANの数で、ほかのリソース パラメータに関連してハードウェア リソースの消費量を計算する際の指針となります。
サブネットVLAN(ルーテッド ポートおよびSVI)の数はソフトウェアによって制限されず、この表に示されているものより大きな数値に設定できます。サブネットVLANの数をこの表の値以下に設定すると、テンプレートごとの各カテゴリ(ユニキャスト アドレス、IGMPグループなど)のエントリ数は表示されているものになります。サブネットVLANの数が増えるにつれて、一般的にCPUの利用率が上がります。サブネットVLAN数が表に示される数を超えると、イネーブルになっている機能に応じて、各カテゴリのサポートされているエントリ数が減ります。たとえば、16を超えるサブネットVLANでPIM-DVMPRがイネーブルになっている場合は、アクセス テンプレートに対するマルチキャスト ルートのエントリ数は、1〜5 Kの範囲です。
|
12 Kまたは6 K1 |
||||
|
8 Kまたは4 K2 |
||||
SDMテンプレートを使用するときは、次の注意事項に従ってください。
ここでは、SDMテンプレートをデフォルトから変更する手順を示します。設定を有効にするには、スイッチをリロードする必要があります。スイッチをリロードする前にshow sdm preferイネーブルEXECコマンドを使用すると、以前の設定(この場合はデフォルト)が表示されます。
システムの再起動後、show sdm preferイネーブルEXECコマンドを使用して、新しいテンプレート設定を確認できます。reloadイネーブルEXECコマンドの前にshow sdm preferコマンドを使用すると、新しいテンプレートではなく前のテンプレートが表示されます。
デフォルトのテンプレートに戻すには、nosdm preferグローバル コンフィギュレーション コマンドを使用します。
次に、スイッチにルーティング テンプレートを設定し、その設定を確認する例を示します。
Switch(config)# sdm prefer routing
All contents copyright (C) 1992--2004 Cisco Systems K.K.
