この章では、Catalyst 3550 スイッチを管理するための 1 回限りの手順について説明しています。この章で説明する内容は、次のとおりです。
- ・ システム日時の管理
- ・ システム名およびプロンプトの設定
- ・ バナーの作成
- ・ MAC アドレス テーブルの管理
- ・ ユーザが選択した機能に対するシステム リソースの最適化
- ・ ARP テーブルの管理
システム日時の管理
Network Time Protocol(NTP)などの自動設定方式、または手動設定方式を使用して、スイッチのシステム日時を管理します。
- ・ システム クロックの概要
- ・ NTP の概要
- ・ NTP の設定
- ・ 手動での日時の設定
システム クロックの概要
時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼働し、日時を常時監視します。
システム クロックは、Universal Time Coordinated(UTC; 協定世界時)(別名 GMT[グリニッジ標準時])に基づいてシステム内部の時刻を常時監視します。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。
システム クロックは、時刻が 信頼できる かどうか(つまり、信頼できるとみなされる時刻ソースによって時刻が設定されているか)を常時監視します。信頼できない場合は、時刻は表示目的でのみ利用され、再配信されません。設定の詳細については、 手動での日時の設定 を参照してください。
NTP の概要
NTP は、ネットワーク上のデバイス間の時刻の同期化を目的に設計されています。NTP は UDP で稼働し、UDP は IP 上で稼働します。NTP は RFC 1305 に規定されています。
NTP ネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できる時刻ソースからその時刻を取得します。そのあと、NTP はネットワークにこの時刻を配信します。NTP はきわめて効率的で、1 分間に 1 パケットを使用するだけで、2 つのデバイスを 1 ミリ秒以内に同期化できます。
NTP は、 ストラタム ( 階層 )という概念を使用して、信頼できる時刻ソースとデバイスとの間の NTP ホップ数を記述します。ストラタム 1 タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム 2 タイム サーバは、NTP を使用してストラタム 1 タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTP が稼働するデバイスは、時刻ソースとして、NTP を使用して通信するストラタム番号が最少のデバイスを自動的に選択します。この方法によって、NTP 時刻配信の自動編成型ツリーが効率的に構築されます。
NTP では、同期化されていないデバイスと同期化しないことによって、時刻が正確でないデバイスとの同期化を防止します。また、NTP では、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻がほかのデバイスと大幅に異なるデバイスとは同期化しません。
NTP が稼働するデバイス間の通信( アソシエーション )は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべき全デバイスの IP アドレスが与えられます。アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは単方向に限られます。
デバイス上で維持される時刻は、重要なリソースです。NTP のセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防止してください。アクセス リスト ベースの制約方式と、暗号化された認証メカニズムの 2 つのメカニズムが利用できます。
シスコの NTP ではストラタム 1 サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。ネットワークの時刻サービスは、IP インターネット上で利用できるパブリック NTP サーバから取得することを推奨します。
図6-1 に、NTP を使用する一般的なネットワーク例を示します。 スイッチ A は NTP マスターで、スイッチ B、C、D は NTP サーバ モードに設定されています。スイッチ B、C、D はスイッチ A とサーバ アソシエーションの関係にあります。スイッチ E は、スイッチ B(アップストリーム)およびスイッチ F(ダウンストリーム)に対して NTP のピアとして設定されています。
図6-1 一般的な NTP ネットワーク構成
ネットワークがインターネットから切り離されている場合、シスコの NTP によって、実際には、ほかの方法で時刻が決定されているにもかかわらず、デバイスが NTP を使用して同期しているように動作を設定できます。他のデバイスは、NTP によりこのデバイスと同期化されます。
複数の時刻ソースがある場合は、常に NTP はより信頼できるとみなされます。NTP の時刻は、他の方法による時刻に優先します。
いくつかのメーカーでは自社のホスト システムに NTP ソフトウェアを組み入れており、UNIX システム用のバージョンやその派生ソフトウェアも一般に入手できます。このソフトウェアによって、ホスト システムも時間が同期化されます。
NTP の設定
スイッチはハードウェアがサポートするクロックを備えておらず、外部 NTP ソースが利用できないときに、ピアが自身を同期化するための NTP マスター クロックとして機能できません。このスイッチは、カレンダーに対するハードウェア サポートも備えていません。そのため、
ntp update-calendar および
ntp master
グローバル コンフィギュレーション コマンドが利用できません。
- ・ NTP のデフォルト設定
- ・ NTP 認証の設定
- ・ NTP アソシエーションの設定
- ・ NTP ブロードキャスト サービスの設定
- ・ NTP アクセス制限の設定
- ・ NTP パケット用の送信元 IP アドレスの設定
- ・ NTP 設定の表示
NTP のデフォルト設定
表6-1 に、NTP のデフォルト設定を示します。
NTP は、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTP パケットを受信します。
NTP 認証の設定
この手順は、NTP サーバの管理者と調整する必要があります。この手順で設定する情報は、時刻を NTP サーバと同期化するためにスイッチが使用するサーバに対応している必要があります。
セキュリティ目的でほかのデバイスとのアソシエーション(正確な時間の維持を行う NTP 稼働デバイス間の通信)を認証するには、イネーブル EXEC モードで次の手順を実行します。
NTP 認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。デバイス ID の認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。
次に、NTP パケットに認証鍵 42 を設定しているデバイスとだけ同期するようにスイッチを設定する例を示します。
Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 42 md5 aNiceKey
Switch(config)# ntp trusted-key 42
NTP アソシエーションの設定
NTP アソシエーションは、ピア アソシエーション(スイッチを他のデバイスに同期化するか、他のデバイスをスイッチに同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他のデバイスに同期化させるのみで、その逆はできない)に設定することもできます。
別のデバイスとの NTP アソシエーションを形成するには、イネーブル EXEC モードで次の手順を実行します。
アソシエーションは、一端のデバイスにしか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。デフォルトの NTP バージョン(バージョン 3)を使用していて NTP 同期化が発生しない場合は、NTP のバージョン 2 を使用してみてください。インターネット上の多くの NTP サーバは、バージョン 2 で稼働しています。
ピア アソシエーションまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。
次に、NTP バージョン 2 を使用して IP アドレス 172.16.22.44 のピアのクロックに、システム クロックを同期化するようにスイッチを設定する例を示します。
Switch(config)# ntp server 172.16.22.44 version 2
NTP ブロードキャスト サービスの設定
NTP が稼働するデバイス間の通信( アソシエーション )は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスの IP アドレスが与えられます。アソシエーションのペアとなるデバイス間で NTP メッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN 環境では、代わりに IP ブロードキャスト メッセージを使用するように NTP を設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは単方向に限られます。
ルータのようにネットワーク上で時刻情報をブロードキャストする NTP ブロードキャスト サーバがある場合、スイッチはインターフェイスごとに NTP ブロードキャスト パケットを送受信できます。スイッチは NTP ブロードキャスト パケットをピアへ送信できるので、ピアはそれに同期化できます。スイッチは NTP ブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTP ブロードキャスト パケットの送信と受信の両方の手順について説明します。
NTP ブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するようにスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
NTP ブロードキャスト パケットを送信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
ntp broadcast [ version number ] [ key keyid ] [ destination-address ] |
||
インターフェイスによる NTP ブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートが NTP バージョン 2 パケットを送信するように設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast version 2
接続したピアから NTP ブロードキャスト パケットを受信するようにスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
NTP ブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
インターフェイスによる NTP ブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。
次に、ポートが NTP ブロードキャスト パケットを受信するように設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ntp broadcast client
NTP アクセス制限の設定
以降で説明するように、2 つのレベルで NTP アクセスを制御できます。
アクセス グループの作成と基本 IP アクセス リストの割り当て
アクセス リストを使用して NTP サービスへのアクセスを制御するには、イネーブル EXEC モードで次の手順を実行します。
アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。
- 1. peer ― 時刻要求と NTP 制御クエリを許可し、さらに、スイッチが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可します。
- 2. serve ― 時刻要求と NTP 制御クエリを許可しますが、スイッチが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可しません。
- 3. serve-only ― アクセス リストの基準を満たすアドレスを持つデバイスからの時刻要求に限り許可します。
- 4. query-only ― アクセス リストの基準を満たすアドレスを持つデバイスからの NTP 制御クエリに限り許可します。
送信元 IP アドレスが複数のアクセス タイプのアクセス リストに一致する場合は、最初のタイプが許可されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべてのデバイスに許可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り許可されます。
スイッチ NTP サービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer } グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチがアクセス リスト 99 からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト 42 に対してはアクセスを制限し、時刻要求に限り許可します。
Switch(config)# ntp access-group peer 99
Switch(config)# ntp access-group serve-only 42
Switch(config)# access-list 99 permit 172.20.130.5
Switch(config)# access list 42 permit 172.20.130.6
特定のインターフェイスでの NTP サービスのディセーブル化
NTP サービスは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。
インターフェイス上で NTP パケットの受信をディセーブルにするには、イネーブル EXEC モードで次の手順を実行します。
インターフェイス上で NTP パケットの受信を再度イネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。
NTP パケット用の送信元 IP アドレスの設定
スイッチが NTP パケットを送信すると、送信元 IP アドレスは、通常 NTP パケットが送信されたインターフェイスのアドレスに設定されます。すべての NTP パケットに特定の送信元 IP アドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。
送信元 IP アドレスの取得先となる特定のインターフェイスを設定するには、イネーブル EXEC モードで次の手順を実行します。
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、 NTP アソシエーションの設定 で説明したように、 ntp peer または ntp server グローバル コンフィギュレーション コマンド内で source キーワードを使用します。
NTP 設定の表示
次の 2 つのイネーブル EXEC コマンドを使用して NTP 情報を表示できます。
この出力に表示されるフィールドの詳細については、『 Cisco IOS Configuration Fundamentals Command Reference for Cisco IOS 』 Release 12.2 を参照してください。
手動での日時の設定
他の時刻ソースが利用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。
- ・ システム クロックの設定
- ・ 日時設定の表示
- ・ タイム ゾーンの設定
- ・ 夏時間の設定
システム クロックの設定
ネットワーク上に、NTP サーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
システム クロックを設定するには、イネーブル EXEC モードで次の手順を実行します。
次に、システム クロックを手動で 2001 年の 7 月 23 日午後 1 時 32 分に設定する例を示します。
Switch# clock set 13:32:00 23 July 2001
日時設定の表示
日時の設定を表示するには、 show clock [ detail ] イネーブル EXEC コマンドを使用します。
システム クロックは、信頼できる(正確であると確信できる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソース(NTP など)によって設定されている場合は、フラグを設定します。時刻が信頼できないものである場合は、表示目的でのみ使用されます。クロックが信頼でき、 authoritative フラグが設定された状態でないと、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。
show clock の表示の前にある記号は、次の意味があります。
タイム ゾーンの設定
手動でタイム ゾーンを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
スイッチは内部時刻を UTC で管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。 |
||
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンと UTC との時差が分単位である場合に利用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(AST [大西洋標準時])は UTC-3.5 です。この場合、3 は 3 時間、.5 は 50% を意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。
時刻を UTC に設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。
夏時間の設定
毎年特定の曜日に夏時間が開始および終了する地域で夏時間を設定するには、イネーブル EXEC モードで次の手順を実行します。
|
clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]] |
夏時間はデフォルトでディセーブルに設定されています。パラメータなしで clock summer-time zone recurring を指定すると、夏時間の規則は米国の規則をデフォルトにします。 |
|
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
次に、夏時間が 4 月の第 1 日曜の午前 2 時に始まり、10 月の最終日曜の午前 2 時に終わるように指定する例を示します。
Switch(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
ユーザの居住地域の夏時間が定期的なパターンに従わない場合(次の夏時間のイベントの正確な日時を設定する)は、イネーブル EXEC モードで次の手順を実行します。
|
clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]] clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]] |
||
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2 番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が 2000 年 10 月 12 日の午前 2 時に始まり、2001 年 4 月 26 日の午前 2 時に終わるよう設定する例を示します。
Switch(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00
システム名およびプロンプトの設定
スイッチにシステム名を設定して識別します。デフォルトでは、システム名およびプロンプトは Switch です。
システム プロンプトを設定していない場合は、システム名の最初の 20 文字がシステム プロンプトとして使用されます。大なり記号 [>] が付加されます。システム名が変更されるとプロンプトは更新されます。
デフォルトのシステム名およびプロンプトの設定
デフォルトでは、システム名およびプロンプトは Switch です。
システム名の設定
手動でシステム名を設定するには、イネーブル EXEC モードで次の手順を実行します。
|
名前は ARPANET ホスト名の規則に従う必要があります。この規則ではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、またはハイフンしか使用できません。名前は 63 文字まで使用できます。 |
||
システム名を設定すると、システム プロンプトとしても使用されます。
デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。
DNS の概要
Domain Name System(DNS; ドメイン ネーム システム)プロトコルは、分散型データベース DNS を制御し、これによりホスト名を IP アドレスに対応付けることができます。スイッチに DNS を設定すると、 ping 、 telnet 、 connect などのすべての IP コマンドや、関連する Telnet サポート操作時に、IP アドレスの代わりにホスト名を使用できます。
IP によって定義される階層型の名前指定は、デバイスを場所またはドメインで識別できます。ドメイン名の区切りとしては、ピリオド(.)を使用します。たとえばシスコシステムズは、IP で com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com です。このドメイン内の特定のデバイス、たとえば FTP(ファイル転送プロトコル)システムは、 ftp.cisco.com で表されます。
IP でドメイン名を追跡するためにドメイン ネーム サーバという概念が定義されています。DNS は、名前と IP アドレスのマッピングをキャッシュ(またはデータベース)に保存します。ドメイン名を IP アドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNS をイネーブルにします。
- ・ DNS のデフォルト設定
- ・ DNS の設定
- ・ DNS 設定の表示
DNS のデフォルト設定
表6-2 に、DNS のデフォルト設定を示します。
DNS の設定
DNS を使用するようにスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
スイッチの IP アドレスをそのホスト名として使用する場合は、IP アドレスが使用され、DNS クエリは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとで DNS クエリが行われ、名前を IP アドレスにマッピングします。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、ソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずに IP アドレスを検索します。
ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネーム サーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチの DNS をディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。
DNS 設定の表示
DNS 設定情報を表示するには、 show running-config イネーブル EXEC コマンドを使用します。
バナーの作成
MoTD(Message-of-The-Day)バナーおよびログイン バナーを作成できます。MoTD バナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザに影響のあるメッセージ(システムのシャットダウン予告など)を送信するのに便利です。
ログイン バナーも、すべての接続端末で表示されます。表示されるのは、MoTD バナーのあとで、ログイン プロンプトが表示される前です。
バナーのデフォルト設定
MoTD ログイン バナーの設定
あるユーザがスイッチにログインしたときに、画面に表示される 1 行または複数行のメッセージ バナーを作成できます。
MoTD ログイン バナーを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
MoTD バナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。
次に、ポンド記号(#)を開始および終了の区切り文字として使用し、スイッチの MoTD バナーを設定する例を示します。
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
ログイン バナーの設定
すべての接続端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTD バナーのあとで、ログイン プロンプトが表示される前です。
ログイン バナーを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。
次に、ドル記号($)を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する例を示します。
Switch(config)# banner login $
Access for authorized users only. Please enter your username and password.
MAC アドレス テーブルの管理
MAC(メディア アクセス制御)アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。アドレス テーブルに登録された MAC アドレスはすべて、1 つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
- ・ ダイナミック アドレス:スイッチが学習し、使用されなくなった時点で期限切れとなる送信元 MAC アドレス
- ・ スタティック アドレス:手動で入力するユニキャストまたはマルチキャスト アドレス。これらのアドレスには期限がなく、スイッチがリセットされても失われません。
アドレス テーブルは、宛先 MAC アドレス、対応する VLAN ID、およびアドレスに対応付けられたポート番号を保持します。
- ・ アドレス テーブルの作成
- ・ MAC アドレスおよび VLAN
- ・ MAC アドレス テーブルのデフォルト設定
- ・ アドレス エージング タイムの変更
- ・ ダイナミック アドレス エントリの削除
- ・ MAC アドレス通知トラップの設定
- ・ スタティック アドレス エントリの追加および削除
- ・ ユニキャスト MAC アドレス フィルタリングの設定
- ・ アドレス テーブル エントリの表示
アドレス テーブルの作成
すべてのポートでサポートされる複数の MAC アドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、またはその他のネットワーク デバイスに接続できます。各ポートで受信するパケットの送信元アドレスを学習し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチはダイナミックなアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。
有効期間はスイッチごとに設定します。ただし、スイッチは VLAN(仮想 LAN)ごとにアドレス テーブルをメンテナンスし、Spanning-Tree Protocol(STP; スパニングツリー プロトコル)によって VLAN ごとの有効期間を短縮できます。
スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MAC アドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応付けられたポートにのみ、パケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストアアンドフォワード方式を使用します。このため、完全なパケットを一度保存してエラーがないか検査してから伝送します。
MAC アドレスおよび VLAN
アドレスはすべて、VLAN と対応付けられます。1 つのアドレスを複数の VLAN に対応付け、それぞれで異なる宛先を設定できます。たとえば、VLAN 1 のポート 1、および VLAN 5 のポート 9、10、11 を宛先とするマルチキャスト アドレスを設定できます。
VLAN ごとに、独自の論理アドレス テーブルが維持されます。ある VLAN で認識されているアドレスが他の VLAN で認識されるには、アドレスが他の VLAN 内のポートによって学習されるか、またはポートにスタティックに対応付けられる必要があります。ある VLAN でスタティックとして入力するアドレスは、他のすべての VLAN でもスタティック アドレスで設定するか、他の VLAN で認識されない状態のままでなければなりません。
MAC アドレス テーブルのデフォルト設定
表6-3 に、MAC アドレス テーブルのデフォルト設定を示します。
アドレス エージング タイムの変更
ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元 MAC アドレスです。すべての VLAN または指定された VLAN に対して、エージング タイムの設定を変更できます。
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じ VLAN 内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響が及ぶ可能性があります。また、エージング タイムを長く設定しすぎると、アドレス テーブルが未使用のアドレスで一杯になり、新しいアドレスを学習できなくなります。
ダイナミック アドレス テーブルのエージング タイムを設定するには、イネーブル EXEC モードで次の手順を実行します。
デフォルト値に戻すには、 no mac address-table aging-time グローバル コンフィギュレーション コマンドを使用します。
ダイナミック アドレス エントリの削除
ダイナミック エントリをすべて削除するには、イネーブル EXEC モードで clear mac address-table dynamic コマンドを使用します。特定の MAC アドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポート チャネル上のすべてのアドレス( clear mac address-table dynamic interface interface-id )、または指定された VLAN 上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。
ダイナミック エントリが削除されたことを確認するには、 show mac address-table dynamic イネーブル EXEC コマンドを使用します。
MAC アドレス通知トラップの設定
MAC アドレス通知によって、スイッチに MAC アドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチが MAC アドレスを学習または削除すると常に、SNMP(簡易ネットワーク管理プロトコル)通知を生成して Network Management System(NMS; ネットワーク管理システム)に送信させることができます。ネットワークから多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC 通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとの MAC アドレス アクティビティを保存します。MAC アドレス通知は、ダイナミックでセキュアな MAC アドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。
NMS ホストに MAC アドレス通知トラップを送信するようにスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
スイッチによる MAC アドレス通知トラップの送信をディセーブルにするには、
no snmp-server enable traps
mac-notification
グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上で MAC アドレス通知トラップをディセーブルにするには、
no snmp trap
mac-notification
{
added
|
removed
}
インターフェイス コンフィギュレーション コマンドを使用します。MAC アドレス通知機能をディセーブルにするには、
no mac-address-table notification
グローバル コンフィギュレーション コマンドを使用します。
次に、NMS として 172.20.10.10 を指定し、スイッチによる NMS への MAC アドレス通知トラップの送信をイネーブルにして、MAC アドレス通知機能をイネーブルにし、インターバル タイムを 60 秒、ヒストリ サイズを 100 エントリ、指定のポートで MAC アドレスが追加されたときはいつでもトラップをイネーブルに設定する例を示します。
Switch(config)# snmp-server host 172.20.10.10 traps private
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac address-table notification
Switch(config)# mac address-table notification interval 60
Switch(config)# mac address-table notification history-size 100
Switch(config)# interface fastethernet0/4
Switch(config-if)# snmp trap mac-notification added
以前のコマンドを確認するには、 show mac address-table notification interface および show mac address-table notification イネーブル EXEC コマンドを入力します。
スタティック アドレス エントリの追加および削除
- ・ アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。
- ・ ユニキャスト アドレスまたはマルチキャスト アドレスとして設定できます。
- ・ 期限切れになることはなく、スイッチが再起動しても維持されます。
スタティック アドレスを追加および削除し、転送動作を定義できます。転送動作とは、パケットを受信したポートが、そのパケットを他のポートに転送する方法のことです。すべてのポートは 1 つまたは複数の VLAN に関連付けられているので、スイッチは、指定されたポートから、そのアドレスに対応する VLAN ID を取得します。送信元ポートごとに異なる宛先ポートのリストを指定できます。
ある VLAN のスタティック アドレスは、他の VLAN でもスタティック アドレスでなければなりません。アドレスがスタティックとして入力されていない VLAN にスタティック アドレスを持ったパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
アドレス テーブルにスタティック アドレスを追加するには、宛先 MAC アドレス(ユニキャストまたはマルチキャスト)およびその受信先となる VLAN を指定します。この宛先アドレスとともに受信されたパケットは、 interface-id オプションで指定されたインターフェイスへ転送されます。
スタティック アドレスを追加するには、イネーブル EXEC モードで次の手順を実行します。
アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addr vlan vlan-id [ interface interface-id ] グローバル コンフィギュレーション コマンドを使用します。
次に、MAC アドレス テーブルに、スタティック アドレス c2f3.220a.12f4 を追加する例を示します。VLAN 4 で、この MAC アドレスを宛先アドレスとして持つパケットを受信すると、パケットは指定されたインターフェイスに転送されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet0/1
ユニキャスト MAC アドレス フィルタリングの設定
ユニキャスト MAC アドレス フィルタリングをイネーブルにすると、スイッチは特定の送信元または宛先 MAC アドレスを持つパケットを廃棄します。この機能はデフォルトではディセーブルで、ユニキャスト スタティック アドレスのみをサポートします。
- ・ マルチキャスト MAC アドレス、ブロードキャスト MAC アドレス、およびルータ MAC アドレスは、サポートされません。 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力するときに、このアドレスの 1 つを指定した場合、次のメッセージのいずれかが表示されます。
% Only unicast addresses can be configured to be dropped
% CPU destined address cannot be configured as drop address
- ・ CPU に転送されるパケットは、サポートされません。
- ・ ユニキャスト MAC アドレスをスタティック アドレスとして追加し、ユニキャスト MAC アドレス フィルタリングを設定する場合、スイッチは最後に入力したコマンドによって、MAC アドレスをスタティック アドレスとして追加するか、MAC アドレスが指定されたパケットを廃棄します。2 番めに入力したコマンドは、最初に入力したコマンドを無効にして、優先されます。
たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドを入力したあとで、 mac address-table static mac-addr vlan vlan-id drop コマンドを入力すると、スイッチは送信元または宛先としての特定の MAC アドレスを持つパケットを廃棄します。
たとえば、 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力したあとで、 mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力すると、スイッチはスタティックアドレスとして MAC アドレスを追加します。
ユニキャスト MAC アドレス フィルタリングをイネーブルにし、送信元または宛先ユニキャスト MAC アドレスと、パケットを受信する VLAN を指定することにより、特定のアドレスを持つパケットを廃棄するようにスイッチを設定します。
送信元または宛先ユニキャスト スタティック アドレスを廃棄するようスイッチを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
ユニキャスト MAC アドレス フィルタリングをイネーブルにし、指定された送信元または宛先ユニキャスト スタティック アドレスを持つパケットを廃棄するようスイッチを設定します。 |
||
ユニキャスト MAC アドレス フィルタリングをディセーブルにするには、no mac address -table static mac-addr vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
次に、ユニキャスト MAC アドレス フィルタリングをイネーブルにし、c2f3.220a.12f4 の送信元または宛先アドレスを持つパケットを廃棄するようにスイッチを設定する例を示します。送信元または宛先アドレスとして、この MAC アドレスを持つ VLAN 4 にパケットが受信された場合、パケットは廃棄されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 drop
アドレス テーブル エントリの表示
表6-4 に示す 1 つまたは複数のイネーブル EXEC コマンドを使用すると、MAC アドレス テーブルを表示できます。
ユーザが選択した機能に対するシステム リソースの最適化
ネットワークでのスイッチの使用状況に応じて、Switch Database Management(SDM)テンプレートを使用して、特定の機能に対するサポートを最適化するようにスイッチのメモリ リソースを設定できます。4 つのテンプレートのいずれかを使用して、どのようにシステム リソースを割り当てるかを指定できます。これによって、このスイッチで設定できる、ユニキャスト MAC アドレス、Internet Group Management Protocol(IGMP)グループ、Quality of Service(QoS; サービス品質)Access Control Entry(ACE; アクセス制御エントリ)、セキュリティ ACE、ユニキャスト ルート、マルチキャスト ルート、サブネット VLAN(ルーテッド インターフェイス)、およびレイヤ 2 VLAN の最大数を概算できます。
4 つのテンプレートは、システム メモリに優先順位をつけて、次の機能タイプのサポートを最適化します。
- ・ QoS およびセキュリティ ACE ― アクセス テンプレートは、通常、ネットワーク エッジにあり、ルーティング テーブルのサイズがあまり大きくないアクセス スイッチで使用されます。アクセス スイッチがネットワーク全体の入口になるので、フィルタリングと QoS がより重要となります。
- ・ ルーティング ― ルーティング テンプレートは、通常、ネットワークの中心にあるルータまたはアグリゲータで必要となります。ユニキャスト ルーティングに対して、システム リソースを最大化します。
- ・ VLAN ― VLAN テンプレートは、ルーティングをディセーブルにし、最大数のユニキャスト MAC アドレスをサポートします。通常、レイヤ 2 スイッチとして使用されるスイッチ用に選択されます。
- ・ デフォルト ― デフォルト テンプレートは、すべての機能(QoS、ACL、ユニキャスト ルーティング、マルチキャスト ルーティング、VLAN、および MAC アドレス)のバランスをとります。
144 ビットのレイヤ 3 Ternary CAM(TCAM)をサポートできるようにスイッチを設定すると、ルーティング テーブル メモリの割り当てを再フォーマットすることにより、スイッチ内部のルーティング テーブルにフィールドを追加できます。
extended-match
キーワードをデフォルト、アクセス、またはルーティング テンプレートで使用すると、使用できるユニキャスト ルート数が減り、レイヤ 3 TCAM の下位 72 ビットに追加のルーティング情報が保存されることで、割り当てられた TCAM が再フォーマットされます。スイッチの Customer Edge(CE; カスタマー エッジ)デバイス(multi-VRF CE)で Web Cache Communication Protocol(WCCP)、または multiple VPN
Routing/Forwarding(multi-VRF)インスタンスを実行している場合は、144 ビットのレイヤ 3 TCAM が必要です。
表6-5 に、Catalyst 3550 ギガビット イーサネット スイッチに対する 4 つのテンプレートそれぞれでサポートされる各リソースの概数を示します。 表6-6 では、Catalyst 3550 スイッチの 4 つのテンプレートをプライマリ ファスト イーサネット ポートと比較します。
表の最初の 6 行(ユニキャスト MAC アドレスからマルチキャスト ルートまで)は、各テンプレートが選択されたときに設定されるハードウェアのおおよその限度を表します。ハードウェア リソースのある部分がいっぱいの場合は、処理のオーバーフローはすべて CPU に送られ、スイッチのパフォーマンスに重大な影響が出ます。
最後の 2 行は、ルーテッド ポートと Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)の合計数、およびレイヤ 2 VLAN の数で、ほかのリソース パラメータに関連してハードウェア リソースの消費量を計算する際の指針となります。
サブネット VLAN(ルーテッド ポートおよび SVI)の数はソフトウェアによって制限されず、この表に示されているものより大きな数値に設定できます。サブネット VLAN の数をこの表の値以下に設定すると、テンプレートごとの各カテゴリ(ユニキャスト アドレス、IGMP グループなど)のエントリ数は表示されているものになります。サブネット VLAN の数が増えるにつれて、一般的に CPU の利用率が上がります。サブネット VLAN 数が表に示される数を超えると、イネーブルになっている機能に応じて、各カテゴリのサポートされているエントリ数が減ります。たとえば、16 を超えるサブネット VLAN で PIM-DVMRP がイネーブルになっている場合は、アクセス テンプレートに対するマルチキャスト ルートのエントリ数は、1 〜 5 K の範囲です。
|
12 K または 6 K 1 |
||||
|
8 K または 4 K 2 |
||||
テンプレートの使用方法
SDM テンプレートを使用するときは、次の注意事項に従ってください。
- ・ 各テンプレートで可能なリソースの最大数は概数で、設定されているほかの機能の実数によって異なります。たとえば、Catalyst 3550-12T のデフォルト テンプレートで、ご使用のスイッチに 16 を超えるルーテッド インターフェイスが設定されている場合は、ハードウェアが対応できるマルチキャストまたはユニキャスト ルートの数は、表の値より少なくなります。
- ・ sdm prefer vlan グローバル コンフィギュレーション コマンドを使用すると、スイッチのルーティング機能がディセーブルになります。 リロード 後は、どのようなルーティング設定も拒否され、以前に設定したルーティング オプションが失われることがあります。ルーティングをサポートしていないレイヤ 2 スイッチング専用スイッチに限り、 sdm prefer vlan グローバル コンフィギュレーション コマンドを使用してください。
- ・ スイッチでのルーティングをイネーブルにしない場合は、ルーティング テンプレートを使用しないでください。スイッチに sdm prefer routing グローバル コンフィギュレーション コマンドを入力しても、ルーティングはイネーブルになりませんが、ルーティング テンプレート内のユニキャストおよびマルチキャスト ルーティングに割り当てられたメモリがほかの機能で使用されなくなります。このメモリは、ギガビット イーサネット スイッチでは最大 30 K、ファスト イーサネット スイッチでは最大 17 K になります。
- ・ WCCP または multi-VRF CE がスイッチでイネーブルになっている場合は、 extended-match キーワードを使用して、144 ビットのレイヤ 3 TCAM をサポートする必要があります。このキーワードは、VLAN テンプレートではサポートされません。
ここでは、SDM テンプレートをデフォルトから変更する手順を示します。設定を有効にするには、スイッチをリロードする必要があります。スイッチをリロードする前に show sdm prefer イネーブル EXEC コマンドを使用すると、以前の設定(この場合はデフォルト)が表示されます。
SDM テンプレートを使用して機能動作を最適にサポートするには、イネーブル EXEC モードで次の手順を実行します。
システムの再起動後、 show sdm prefer イネーブル EXEC コマンドを使用して、新しいテンプレート設定を確認できます。 reload イネーブル EXEC コマンドの前に show sdm prefer コマンドを使用すると、新しいテンプレートではなく以前のテンプレートが表示されます。
デフォルトのテンプレートに戻すには、 no sdm prefer グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチにルーティング テンプレートを設定し、その設定を確認する例を示します。
Switch(config)# sdm prefer routing
Proceed with reload? [confirm]
ARP テーブルの管理
ソフトウェアがデバイスと通信するには(たとえばイーサネット上で)、最初にデバイスの 48 ビット MAC アドレスまたはローカル データ リンク アドレスを判別する必要があります。IP アドレスからローカル データ リンク アドレスを判別するプロセスを、「 アドレス解決 」と呼びます。
Address Resolution Protocol(ARP; アドレス解決プロトコル)は、ホスト IP アドレスと、それに対応するメディアまたは MAC アドレスおよび VLAN ID を関連付けます。ARP は IP アドレスを入力として、関連付けられた MAC アドレスを判別します。MAC アドレスを判別すると、高速に引き出せるように、IP と MAC アドレスの関連付けは ARP のキャッシュに保存されます。そのあと、IP データグラムはリンクレイヤ フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外の IEEE 802 ネットワークにおける IP データグラムのカプセル化、および ARP 要求や応答については、Subnetwork Access Protocol(SNAP)で規定されています。IP インターフェイスでは、標準イーサネット形式の ARP カプセル化( arpa キーワードで表される)がデフォルトでイネーブルに設定されています。
手動でテーブルに追加された ARP エントリには期限切れがないため、手動で削除する必要があります。
CLI(コマンドライン インターフェイス)の手順については、Cisco.com の Cisco IOS Release 12.2 マニュアルを参照してください。
