この章では、Catalyst 3750スイッチを管理するための1回限りの手順について説明しています。特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
システム日時の管理
Network Time Protocol(NTP)などの自動設定方式、または手動設定方式を使用して、スイッチのシステム日時を管理します。
システム クロックの概要
時刻サービスの中核となるのはシステム クロックです。このクロックはシステムがスタートアップした瞬間から稼働し、日時を常時監視します。
システム クロックは、Universal Time Coordinated(UTC;協定世界時)(別名GMT[グリニッジ標準時])に基づいてシステム内部の時刻を常時監視します。ローカルのタイム ゾーンおよび夏時間に関する情報を設定することにより、時刻がローカルのタイム ゾーンに応じて正確に表示されるようにできます。
システム クロックは、時刻が 信頼できる かどうか(つまり、信頼できるとみなされるタイム ソースによって時刻が設定されているか)を常時監視します。信頼できない場合は、時刻は表示目的でのみ利用され、再配信されません。設定の詳細については、 手動での日時の設定 を参照してください。
NTPの概要
NTPは、ネットワーク上のデバイス間の時刻の同期化を目的に設計されています。NTPはUDPで稼働し、UDPはIP上で稼働します。NTPはRFC 1305に規定されています。
NTPネットワークは通常、ラジオ クロックやタイム サーバに接続された原子時計など、信頼できるタイム ソースからその時刻を取得します。そのあと、NTPはネットワークにこの時刻を配信します。NTPはきわめて効率的で、1分間に1パケットを使用するだけで、2つのデバイスを1ミリ秒以内に同期化することができます。
NTPは、 ストラタム(階層) という概念を使用して、信頼できるタイム ソースとデバイスが離れているNTPホップ数を記述します。ストラタム1タイム サーバには、ラジオ クロックまたは原子時計が直接接続されており、ストラタム2タイム サーバは、NTPを使用してストラタム1タイム サーバから時刻を取得します(以降のストラタムも同様です)。NTPが稼働するデバイスは、タイム ソースとして、NTPを使用して通信するストラタム番号が最少のデバイスを自動的に選択します。この方法によって、NTP時刻配信の自動編成型ツリーが効率的に構築されます。
NTPでは、同期化されていないデバイスと同期化しないことによって、時刻が正確でないデバイスとの同期化を防ぎます。また、NTPでは、複数のデバイスから報告される時刻を比較して、ストラタムの番号が小さくても、時刻が他のデバイスと大幅に異なるデバイスとは同期化しません。
NTPが稼働するデバイス間の通信( アソシエーション )は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべき全デバイスのIPアドレスが与えられます。アソシエーションのペアとなるデバイス間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは一方向に限られます。
デバイス上で維持される時刻は、重要なリソースです。NTPのセキュリティ機能を使用して、不正確な時刻が誤ってあるいは意図的に設定されることを防いでください。アクセス リスト ベースの制約方式と、暗号化された認証メカニズムの2つのメカニズムが利用できます。
シスコのNTPではストラタム1サービスをサポートしていないので、ラジオ クロックまたは原子時計に接続できません。IPインターネットで利用できるパブリックNTPサーバからネットワークの時刻サービスを受けることを推奨します。
一般的なNTPネットワーク構成 に、NTPを使用した一般的なネットワーク例を示します。スイッチAはNTPマスターです。スイッチB、スイッチC、スイッチDは、スイッチAに関連付けされたサーバにおいてNTPサーバ モードで設定されています。スイッチEはアップストリームおよびダウンストリーム スイッチ(スイッチBおよびスイッチF)に対するNTPピアとして設定されます。
ネットワークがインターネットから切り離されている場合、シスコのNTPによって、実際には、他の方法で時刻が決定されているにもかかわらず、デバイスがNTPを使用して同期しているように動作を設定できます。他のデバイスは、NTPによりこのデバイスと同期化されます。
複数のタイム ソースがある場合は、NTPは常により信頼できるとみなされます。NTPの時刻は、他の方法による時刻に優先します。
いくつかのメーカーでは自社のホスト システムにNTPソフトウェアを組み入れており、UNIXシステム用のバージョンやその派生ソフトウェアも一般に入手できます。このソフトウェアによって、ホスト システムも時間が同期化されます。
NTPの設定
スイッチはハードウェアサポート クロックを備えておらず、外部NTPソースが利用できないときに、ピアが自身を同期化するためのNTPマスター クロックとして機能できません。このスイッチは、カレンダーに対するハードウェア サポートも備えていません。そのため、ntp update-calendarおよび ntp master グローバル コンフィギュレーション コマンドが利用できません。
NTPのデフォルト設定
NTPのデフォルト設定 に、NTPのデフォルト設定を示します。
NTPは、すべてのインターフェイスでデフォルトでイネーブルに設定されています。すべてのインターフェイスは、NTPパケットを受信します。
NTP認証の設定
この手順は、NTPサーバの管理者と調整する必要があります。この手順で設定する情報は、時刻をNTPサーバと同期化するためにスイッチが使用するサーバに対応している必要があります。
セキュリティ目的で他のデバイスとのアソシエーション(正確な時間の維持を行うNTP稼働デバイス間の通信)を認証するには、イネーブルEXECモードで次の手順を実行します。
NTP認証をディセーブルにするには、 no ntp authenticate グローバル コンフィギュレーション コマンドを使用します。認証鍵を削除するには、 no ntp authentication-key number グローバル コンフィギュレーション コマンドを使用します。デバイスIDの認証をディセーブルにするには、 no ntp trusted-key key-number グローバル コンフィギュレーション コマンドを使用します。
NTPパケットに認証鍵42を設定しているデバイスとだけ同期するようにスイッチを設定する例を以下に示します。
Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 42 md5 aNiceKey
Switch(config)# ntp trusted-key 42
NTPアソシエーションの設定
NTPアソシエーションは、ピア アソシエーション(スイッチを他のデバイスに同期化するか、他のデバイスをスイッチに同期化させるかのどちらかが可能)に設定することも、サーバ アソシエーション(スイッチを他のデバイスに同期化させるのみで、その逆はできない)に設定することもできます。
アソシエーションは、一端のデバイスにしか設定する必要がありません。もう一方のデバイスには自動的にアソシエーションが設定されます。デフォルトのNTPバージョン(バージョン3)を使用していてNTP同期化が発生しない場合は、NTPのバージョン2を使用してみてください。インターネット上の多くのNTPサーバは、バージョン2で稼働しています。
ピアまたはサーバ アソシエーションを削除するには、 no ntp peer ip-address または no ntp server ip-address グローバル コンフィギュレーション コマンドを使用します。
NTPバージョン2を使用してIPアドレス172.16.22.44のピアのクロックに、システム クロックを同期化するようにスイッチを設定する方法を、以下の例に示します。
Switch(config)# ntp server 172.16.22.44 version 2
NTPブロードキャスト サービスの設定
NTPが稼働するデバイス間の通信( アソシエーション )は、通常スタティックに設定されます。各デバイスには、アソシエーションを作成すべきすべてのデバイスのIPアドレスが与えられます。アソシエーションのペアとなるデバイス間でNTPメッセージを交換することによって、正確な時刻の維持が可能になります。ただし、LAN環境では、代わりにIPブロードキャスト メッセージを使用するようにNTPを設定できます。単にブロードキャスト メッセージを送受信するように各デバイスを設定すればよいので、この代替手段によって設定作業が容易になります。ただし、この場合は、情報の流れは一方向に限られます。
ルータのようにネットワーク上で時刻情報をブロードキャストするNTPブロードキャスト サーバがある場合、スイッチはインターフェイスごとにNTPブロードキャスト パケットを送受信できます。スイッチはNTPブロードキャスト パケットをピアへ送信できるので、ピアはそれに同期化できます。スイッチはNTPブロードキャスト パケットを受信して自身のクロックを同期化することもできます。ここでは、NTPブロードキャスト パケットの送信と受信の両方の手順について説明します。
NTPブロードキャスト パケットをピアに送信して、ピアが自身のクロックをスイッチに同期化するよう、スイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
|
NTPブロードキャスト パケットを送信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
ntp broadcast [ version number ] [ key keyid ] [ destination-address ] |
||
インターフェイスによるNTPブロードキャスト パケットの送信をディセーブルにするには、 no ntp broadcast インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートがNTPバージョン2パケットを送信するように設定する例を示します。
Switch(config)# interface gigabitethernet 1/0/1
Switch(config-if)# ntp broadcast version 2
接続したピアからNTPブロードキャスト パケットを受信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
|
NTPブロードキャスト パケットを受信するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
インターフェイスによるNTPブロードキャスト パケットの受信をディセーブルにするには、 no ntp broadcast client インターフェイス コンフィギュレーション コマンドを使用します。予測されるラウンドトリップ遅延をデフォルト設定に変更するには、 no ntp broadcastdelay グローバル コンフィギュレーション コマンドを使用します。
次に、ポートがNTPブロードキャスト パケットを受信するように設定する例を示します。
Switch(config)# interface gigabitethernet 1/0/ 1
Switch(config-if)# ntp broadcast client
NTPアクセス制限の設定
以降で説明するように、2つのレベルでNTPアクセスを制御できます。
アクセス グループの作成と基本IPアクセス リストの割り当て
|
ntp access-group { query-only | serve-onl y | serve | peer } access-list-number |
||
|
access-list access-list-number permit source [ source-wildcard ] |
||
アクセス グループのキーワードは、最小の制限から最大の制限に、次の順序でスキャンされます。
- peer ― 時刻要求とNTP制御クエリを許可し、さらに、スイッチが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可します。
- serve ― 時刻要求とNTP制御クエリを許可しますが、スイッチが、アクセス リストの基準を満たすアドレスを持つデバイスと同期化することを許可しません。
- serve-only ― アクセス リストの基準を満たすアドレスを持つデバイスからの時刻要求に限り許可します。
- query-only ― アクセス リストの基準を満たすアドレスを持つデバイスからのNTP制御クエリに限り許可します。
送信元IPアドレスがアクセス リストの複数のアクセス タイプに一致する場合は、最初のタイプが許可されます。アクセス グループが指定されていない場合は、すべてのアクセス タイプがすべてのデバイスに許可されます。いずれかのアクセス グループが指定されている場合は、指定されたアクセス タイプに限り許可されます。
スイッチNTPサービスに対するアクセス制御を削除するには、 no ntp access-group { query-only | serve-only | serve | peer }グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチがアクセス リスト99からのピアに同期化できるように設定する例を示します。ただし、スイッチはアクセス リスト42に対してはアクセスを制限し、時刻要求に限り許可します。
Switch(config)# ntp access-group peer 99
Switch(config)# ntp access-group serve-only 42
Switch(config)# access-list 99 permit 172.20.130.5
Switch(config)# access list 42 permit 172.20.130.6
特定のインターフェイスでのNTPサービスのディセーブル化
インターフェイス上でNTPパケットの受信を再度イネーブルにするには、 no ntp disable インターフェイス コンフィギュレーション コマンドを使用します。
NTPパケット用の送信元IPアドレスの設定
スイッチがNTPパケットを送信すると、送信元IPアドレスは、通常NTPパケットが送信されたインターフェイスのアドレスに設定されます。すべてのNTPパケットに特定の送信元IPアドレスを使用する場合は、 ntp source グローバル コンフィギュレーション コマンドを使用します。アドレスは指定されたインターフェイスから取得します。インターフェイス上のアドレスを返信パケット用の宛先として使用できない場合に、このコマンドは便利です。
指定されたインターフェイスは、すべての宛先に送信されるすべてのパケットの送信元アドレスに使用されます。送信元アドレスを特定のアソシエーションに使用する場合は、 NTPアソシエーションの設定 に説明したように、 ntp peer または ntp server グローバル コンフィギュレーション コマンド内で source キーワードを使用します。
NTP設定の表示
次の2つのイネーブルEXECコマンドを使用してNTP情報を表示できます。
この出力に表示されるフィールドの詳細については、『 Cisco IOS Configuration Fundamentals Command Reference 』Release 12.1を参照してください。
手動での日時の設定
他のタイム ソースが利用できない場合は、システムの再起動後、手動で日時を設定できます。時刻は、次にシステムを再起動するまで正確です。手動設定は最後の手段としてのみ使用することを推奨します。スイッチを同期化できる外部ソースがある場合は、手動でシステム クロックを設定する必要はありません。
システム クロックの設定
ネットワーク上に、NTPサーバなどの時刻サービスを提供する外部ソースがある場合、手動でシステム クロックを設定する必要はありません。
次に、システム クロックを手動で2001年の7月23日午後1時32分に設定する例を示します。
Switch# clock set 13:32:00 23 July 2001
日時設定の表示
日時の設定を表示するには、 show clock [ detail ]イネーブルEXECコマンドを使用します。
システムク ロックは、信頼できる(正確であると確信できる)かどうかを示す authoritative フラグを維持します。システム クロックがタイミング ソース(NTPなど)によって設定されている場合は、フラグを設定します。時刻が信頼できないものである場合は、表示目的でのみ使用されます。クロックが信頼でき、 authoritative フラグが設定された状態でないと、ピアの時刻が無効でも、フラグはピアがクロックと同期しないようにします。
show clock の表示の前にある記号は、次の意味があります。
タイム ゾーンの設定
|
スイッチは内部時刻をUTCで管理するので、このコマンドは表示目的の場合および手動で時刻を設定した場合に限って使用します。 |
||
clock timezone グローバル コンフィギュレーション コマンドの minutes-offset 変数は、現地のタイム ゾーンとUTCとの時差が分単位である場合に利用できます。たとえば、カナダ大西洋沿岸のある区域のタイム ゾーン(AST[大西洋標準時])はUTC-3.5です。この場合、3は3時間、.5は50パーセントを意味します。この場合、必要なコマンドは clock timezone AST -3 30 です。
時刻をUTCに設定するには、 no clock timezone グローバル コンフィギュレーション コマンドを使用します。
夏時間の設定
|
clock summer-time zone recurring [ week day month hh : mm week day month hh : mm [ offset ]] |
夏時間はデフォルトでディセーブルに設定されています。パラメータなしで clock summer-time zone recurring を指定すると、夏時間の規則は米国の規則をデフォルトにします。 |
|
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
次に、夏時間が4月の第一日曜の2時に始まり、10月の最終日曜の2時に終わるように指定する例を示します。
Switch(config)# clock summer-time PDT recurring 1 Sunday April 2:00 last Sunday October 2:00
ユーザの居住地域の夏時間が定期的なパターンに従わない場合(次の夏時間のイベントの正確な日時を設定する)は、イネーブルEXECモードで次の手順を実行します。
|
clock summer-time zone date [ month date year hh : mm month date year hh : mm [ offset ]] clock summer-time zone date [ date month year hh : mm date month year hh : mm [ offset ]] |
||
clock summer-time グローバル コンフィギュレーション コマンドの最初の部分では夏時間の開始時期を、2番めの部分では終了時期を指定します。すべての時刻は、現地のタイム ゾーンを基準にしています。開始時間は標準時を基準にしています。終了時間は夏時間を基準にしています。開始月が終了月よりあとの場合は、システムでは南半球にいるとみなされます。
夏時間をディセーブルにするには、 no clock summer-time グローバル コンフィギュレーション コマンドを使用します。
次に、夏時間が2000年10月12日の2時に始まり、2001年4月26日の2時に終わるよう設定する例を示します。
Switch(config)# clock summer-time pdt date 12 October 2000 2:00 26 April 2001 2:00
システム名およびプロンプトの設定
スイッチにシステム名を設定して識別します。デフォルトでは、システム名およびプロンプトは switch です。
システム プロンプトを設定していない場合は、システム名の最初の20文字がシステム プロンプトとして使用されます。大なり記号[>]が付加されます。システム名が変更されると、 prompt グローバル コンフィギュレーション コマンドを使用して手動でプロンプトを設定している場合以外、プロンプトは更新されます。
スタック マスターを経由してスタック メンバーにアクセスしている場合は、
session
stack-member-number
イネーブルEXECコマンドを使用する必要があります。スタック メンバー番号は1〜9までです。このコマンドを使用すると、スタック メンバー番号がシステム プロンプトに付加されます。たとえば、
Switch-2#
はスタック メンバー2のイネーブルEXECモードのプロンプトです。
Switch
は、スイッチ スタックのシステム プロンプトです。
デフォルトのシステム名およびプロンプトの設定
デフォルトでは、システム名およびプロンプトは switch です。
システム名の設定
|
名前はARPANETホスト名の規則に従う必要があります。この規則ではホスト名は文字で始まり、文字または数字で終わり、その間には文字、数字、またはハイフンしか使用できません。名前には63文字まで使用できます。 |
||
システム名を設定すると、システム プロンプトとしても使用されます。 prompt グローバル コンフィギュレーション コマンドを使用すると、プロンプトの設定を上書きできます。
デフォルトのホスト名に戻すには、 no hostname グローバル コンフィギュレーション コマンドを使用します。
システム プロンプトの設定
|
コマンドライン プロンプトを設定して、 hostname コマンドでの設定を上書きします。 デフォルトのプロンプトは、 switch または hostname グローバル コンフィギュレーション コマンドで定義された名前です。そのあとにユーザEXECモードの場合はかぎカッコ(>)、イネーブルEXECモードの場合はポンド記号(#)が続きます。 |
||
デフォルトのプロンプトに戻すには、 no prompt [ string ]グローバル コンフィギュレーション コマンドを使用します。
DNSの概要
Domain Name System(DNS;ドメイン ネーム システム)プロトコルは、分散型データベースDNSを制御し、これによりホスト名をIPアドレスに対応付けることができます。スイッチ上にDNSを設定すると、 ping 、 telnet 、 connect などのすべてのIPコマンドや、関連するTelnetサポート操作時に、IPアドレスの代わりにホスト名を使用できます。
IPによって定義される階層型の名前指定は、デバイスを場所またはドメインで識別することができます。ドメイン名の区切りとしては、ピリオド(.)を使用します。たとえばシスコシステムズは、IPで com というドメイン名に分類される商業組織なので、ドメイン名は cisco.com です。このドメイン内の特定のデバイス、たとえばFile Transfer Protocol(FTP)システムは、 ftp.cisco.com で表されます。
IPでドメイン名を追跡するためにドメイン ネーム サーバという概念が定義されています。DNSは、名前とIPアドレスのマッピングをキャッシュ(またはデータベース)に保管します。ドメイン名をIPアドレスにマッピングするには、まず、ホスト名を明示し、ネットワーク上に存在するネーム サーバを指定し、DNSをイネーブルにします。
DNSのデフォルト設定
DNSのデフォルト設定 に、DNSのデフォルト設定を示します。
スイッチのIPアドレスをそのホスト名として使用する場合は、IPアドレスが使用され、DNSクエリは発生しません。ピリオド(.)なしでホスト名を設定すると、ピリオドと、それに続くデフォルトのドメイン名がホスト名に追加され、そのあとでDNSクエリが行われ、名前をIPアドレスにマッピングします。デフォルトのドメイン名は、 ip domain-name グローバル コンフィギュレーション コマンドによって設定される値です。ホスト名にピリオド(.)がある場合は、Cisco IOSソフトウェアは、ホスト名にデフォルトのドメイン名を追加せずにIPアドレスを検索します。
ドメイン名を削除するには、 no ip domain-name name グローバル コンフィギュレーション コマンドを使用します。ネーム サーバのアドレスを削除するには、 no ip name-server server-address グローバル コンフィギュレーション コマンドを使用します。スイッチ上のDNSをディセーブルにするには、 no ip domain-lookup グローバル コンフィギュレーション コマンドを使用します。
DNS設定の表示
DNS設定情報を表示するには、 show running-config イネーブルEXECコマンドを使用します。
バナーの作成
Message-of-The-Day(MoTD)バナーおよびログイン バナーを作成できます。MoTDバナーはログイン時に接続しているすべての端末で表示され、すべてのネットワーク ユーザに影響のあるメッセージ(システムのシャットダウン予告など)を送信するのに便利です。
ログイン バナーも、すべての接続端末で表示されます。表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。
バナーのデフォルト設定
MoTDログイン バナーの設定
|
c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
MoTDバナーを削除するには、 no banner motd グローバル コンフィギュレーション コマンドを使用します。
次に、ポンド記号(#)を開始および終了の区切り文字として使用し、スイッチのMoTDバナーを設定する例を示します。
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
This is a secure site. Only authorized users are allowed.
For access, contact technical support.
ログイン バナーの設定
すべての接続端末でログイン バナーが表示されるように設定できます。バナーが表示されるのは、MoTDバナーのあとで、ログイン プロンプトが表示される前です。
|
c には、任意の区切り文字、たとえばポンド記号(#)を入力して、 Return キーを押します。その区切り文字はバナー テキストの始まりと終わりを表します。終わりの区切り文字のあとの文字は廃棄されます。 |
||
ログイン バナーを削除するには、 no banner login グローバル コンフィギュレーション コマンドを使用します。
次に、ドル記号($)を開始および終了の区切り文字として使用し、スイッチのログイン バナーを設定する例を示します。
Switch(config)# banner login $
Access for authorized users only. Please enter your username and password.
MACアドレス テーブルの管理
MACアドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。アドレス テーブルに登録されたMACアドレスはすべて、1つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。
- ダイナミック アドレス:スイッチが学習し、使用されなくなった時点で期限切れとなる送信元MACアドレス。
- スタティック アドレス:手動で入力するユニキャスト アドレス。これらのアドレスには期限がなく、スイッチがリセットされても失われません。
アドレス テーブルは、宛先MACアドレス、対応するVLAN ID、およびアドレスとタイプ(スタティックとダイナミック)に対応付けられたポート番号を保持します。
- アドレス テーブルの作成
- MACアドレスおよびVLAN
- MACアドレスおよびスイッチ スタック
- MACアドレス テーブルのデフォルト設定
- アドレス エージング タイムの変更
- ダイナミック アドレス エントリの削除
- MACアドレス通知トラップの設定
- スタティック アドレス エントリの追加および削除
- ユニキャストMACアドレス フィルタリングの設定
- アドレス テーブル エントリの表示
アドレス テーブルの作成
すべてのポートでサポートされる複数のMACアドレスによって、スイッチの任意のポートを各ワークステーション、リピータ、スイッチ、ルータ、その他のネットワーク デバイスに接続できます。各ポートで受信するパケットの送信元アドレスを学習し、アドレス テーブルにアドレスとその対応するポート番号を追加することによって、スイッチは動的なアドレス指定を行います。ネットワークでステーションの増設または取り外しが行われると、スイッチはアドレス テーブルを更新し、新しいダイナミック アドレスを追加し、使用されていないアドレスは期限切れにします。
有効期間は、スタンドアロン スイッチまたはスイッチ スタックにグローバルに設定されます。ただし、スイッチはVLANごとにアドレス テーブルを維持し、STPによってVLANごとの有効期間を短縮することができます。
スイッチは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。MACアドレス テーブルを使用することによって、スイッチは、宛先アドレスに対応付けられたポートにのみ、パケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。スイッチは、常にストアアンドフォワード方式を使用します。このため、完全なパケットをいったん保管してエラーがないか検査してから伝送します。
MACアドレスおよびVLAN
アドレスはすべて、VLANと対応付けられます。1つのアドレスを複数のVLANに対応付け、それぞれで異なる宛先を設定することができます。たとえば、ユニキャスト アドレスは、VLAN 1内のポート1と、VLAN 5内のポート9、ポート10、ポート1へ伝送できます。
VLANごとに、独自の論理アドレス テーブルが維持されます。あるVLANで認識されているアドレスが他のVLANで認識されるには、アドレスが他のVLAN内のポートによって学習されるか、またはポートにスタティックに対応付けられる必要があります。
MACアドレスおよびスイッチ スタック
すべてのスタック メンバーのMACアドレス テーブルが同期されています。常に、各スタック メンバーは、各VLANに対応するアドレス テーブルの同一のコピーを持っています。アドレスが期限切れになると、そのアドレスはすべてのスタック メンバーのアドレス テーブルから削除されます。スイッチがスイッチ スタックに参加すると、そのスイッチは他のスタック メンバーが学習した各VLANに対応するアドレスを受け取ります。スタック メンバーがスイッチ スタックから削除されると、残りのスタック メンバーは、以前のスタック メンバーが学習したアドレスをすべて期限切れにするか削除します。
MACアドレス テーブルのデフォルト設定
MACアドレス テーブルのデフォルト設定 に、MACアドレス テーブルのデフォルト設定を示します。
アドレス エージング タイムの変更
ダイナミック アドレスは、スイッチが学習し、使用されなくなると期限切れになる送信元MACアドレスです。すべてのVLANまたは指定されたVLANに対して、エージング タイムの設定を変更できます。
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。その場合、スイッチは宛先が不明のパケットを受信すると、受信ポートと同じVLAN内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響が出る可能性があります。また、エージング タイムを長く設定しすぎると、アドレス テーブルが未使用のアドレスでいっぱいになり、これによって新しいアドレスを学習できなくなります。この結果フラッディングとなり、スイッチのパフォーマンスに悪影響を与える可能性があります。
デフォルト値に戻すには、 no mac-address-table aging-time グローバル コンフィギュレーション コマンドを使用します。
ダイナミック アドレス エントリの削除
ダイナミック エントリをすべて削除するには、イネーブルEXECモードで clear mac address-table dynamic コマンドを使用します。特定のMACアドレス( clear mac address-table dynamic address mac-address )、指定された物理ポートまたはポート チャネル上のすべてのアドレス( clear mac address-table dynamic interface interface-id )、または指定されたVLAN上のすべてのアドレス( clear mac address-table dynamic vlan vlan-id )の削除もできます。
ダイナミック エントリが削除されたことを確認するには、 show mac-address-table dynamic イネーブルEXECコマンドを使用します。
MACアドレス通知トラップの設定
MACアドレス通知によって、スイッチにMACアドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチがMACアドレスを学習または削除すると常に、SNMP通知を生成してNetwork Management System(NMS;ネットワーク管理システム)に送信させることができます。ネットワークから多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとのMACアドレス アクティビティを保存します。MACアドレス通知は、動的でセキュアなMACアドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。
NMSホストにMACアドレス通知トラップを送信するようにスイッチを設定するには、イネーブルEXECモードで次の手順を実行します。
スイッチによるMACアドレス通知トラップの送信をディセーブルにするには、 no snmp-server enable traps mac-notification グローバル コンフィギュレーション コマンドを使用します。特定のインターフェイス上でMACアドレス通知トラップをディセーブルにするには、 no snmp trap mac-notification { added | removed } インターフェイス コンフィギュレーション コマンドを使用します。MACアドレス通知機能をディセーブルにするには、 no mac address-table notification グローバル コンフィギュレーション コマンドを使用します。
次に、NMSとして172.20.10.10を指定し、スイッチによるNMSへのMACアドレス通知トラップの送信をイネーブルにして、MACアドレス通知機能をイネーブルにし、インターバル タイムを60秒、履歴サイズを100エントリ、特定のポートでMACアドレスが追加されたときはいつでもトラップをイネーブルに設定する例を示します。
Switch(config)# snmp-server host 172.20.10.10 traps private
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac address-table notification
Switch(config)# mac address-table notification interval 60
Switch(config)# mac address-table notification history-size 100
Switch(config)# interface gigabitethernet 1/0/ 2
Switch(config-if)# snmp trap mac-notification added
以前のコマンドを確認するには、 show mac address-table notification interface および show mac address-table notification イネーブルEXECコマンドを入力します。
スタティック アドレス エントリの追加および削除
スタティック アドレスを追加および削除し、転送動作を定義することができます。転送動作とは、パケットを受信したポートが、そのパケットを他のポートに転送する方法のことです。すべてのポートは1つまたは複数のVLANに関連付けられているので、スイッチは、指定されたポートから、そのアドレスに対応するVLAN IDを取得します。
アドレスがスタティックとして入力されていないVLANにスタティック アドレスを持ったパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
アドレス テーブルにスタティック アドレスを追加するには、宛先MACユニキャスト アドレスおよびその送信先となるVLANを指定します。この宛先アドレスとともに受信されたパケットは、 interface-id オプションで指定されたインターフェイスへ転送されます。
|
mac address-table static mac-addr vlan vlan-id interface interface-id |
||
アドレス テーブルからスタティック エントリを削除するには、no mac address-table static mac-addr vlan vlan-id [ interface interface-id ]グローバル コンフィギュレーション コマンドを使用します。
次に、MACアドレス テーブルに、スタティック アドレスc2f3.220a.12f4を追加する例を示します。VLAN 4で、このMACアドレスを宛先アドレスとして持つパケットを受信すると、パケットは指定されたポートに転送されます。
Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet 1/0/ 1
ユニキャストMACアドレス フィルタリングの設定
ユニキャストMACアドレス フィルタリングがイネーブルの場合、スイッチは特定の送信元または宛先MACアドレスを持つパケットを廃棄します。デフォルトでは、この機能はディセーブルで、ユニキャスト スタティック アドレスのみをサポートします。
- マルチキャストMACアドレス、ブロードキャストMACアドレス、およびルータMACアドレスは、サポートされません。 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力するときに、前述のアドレスのいずれかを指定すると、次のメッセージが表示されます。
% Only unicast addresses can be configured to be dropped
% CPU destined address cannot be configured as drop address
- CPUに転送されるパケットも、サポートされません。
- ユニキャストMACアドレスをスタティック アドレスとして追加して、ユニキャストMACアドレス フィルタリングを設定する場合、スイッチは最後に入力されたコマンドに応じて、MACアドレスをスタティック アドレスとして追加するか、またはMACアドレスを持つパケットを廃棄します。2番めに入力したコマンドは、最初のコマンドを上書きします。
たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバル コンフィギュレーション コマンドを入力して、続いて mac address-table static mac-addr vlan vlan-id drop コマンドを入力する場合、スイッチは、特定の送信元または宛先MACアドレスを持つパケットを廃棄します。
また、 mac address-table static mac-addr vlan vlan-id drop グローバル コンフィギュレーション コマンドを入力して、続いて mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力する場合には、スイッチは、MACアドレスをスタティック アドレスとして追加します。
送信元または宛先ユニキャストMACアドレスおよび受信先のVLANを指定することにより、ユニキャストMACアドレス フィルタリングをイネーブルにして、スイッチが特定のアドレスを持つパケットを廃棄するように設定します。
スイッチが送信元または宛先ユニキャスト スタティック アドレスを廃棄するよう設定するには、イネーブルEXECモードで次の手順を実行します。
|
ユニキャストMACアドレス フィルタリングをイネーブルにして、スイッチが特定の送信元または宛先ユニキャスト スタティック アドレスを持つパケットを廃棄するように設定します。 |
||
ユニキャストMACアドレス フィルタリングをディセーブルにするには、no mac address -table static mac-addr vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
次に、ユニキャストMACアドレス フィルタリングをイネーブルにして、スイッチがc2f3.220a.12f4の送信元または宛先アドレスを持つパケットを廃棄するように設定する例を示します。このMACアドレスを送信元または宛先として持つVLAN 4で受信されたパケットは、廃棄されます。
Switch(config)# mac a ddress-table static c2f3.220a.12f4 vlan 4 drop
アドレス テーブル エントリの表示
MACアドレス テーブル表示用のコマンド に示す1つまたは複数のイネーブルEXECコマンドを使用すると、MACアドレス テーブルを表示できます。
ARPテーブルの管理
デバイスと通信するには(たとえば、イーサネットを介して)、ソフトウェアは最初に、そのデバイスの48ビットMACアドレスまたはローカル データ リンク アドレスを判別する必要があります。IPアドレスからローカル データ リンク アドレスを判別するプロセスを、「 アドレス解決 」と呼びます。
ARPは、ホストIPアドレスを、対応するMAC(メディア)アドレスとVLAN IDに関連付けます。IPアドレスが入力されると、ARPはそれに関連付けられたMACアドレスを判別します。MACアドレスが判別されると、それ以降迅速に検索できるように、IP-MACアドレス アソシエーションがARPキャッシュに格納されます。その後、IPデータグラムはリンクレイヤ フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外のIEEE 802ネットワークにおけるIPデータグラムのカプセル化、およびARP要求や応答については、Subnetwork Access Protocol(SNAP)で規定されています。IPインターフェイスでは、標準イーサネット形式のARPカプセル化( arpa キーワードで表される)がデフォルトでイネーブルに設定されています。
手動でテーブルに追加されたARPエントリは、期限切れにならないため、手動で削除する必要があります。
CLIの手順については、Cisco.comでCisco IOS Release 12.1のマニュアルを参照してください。
