このドキュメントでは、data-link switching plus(DLSW+; データリンク スイッチング プラス)Service Access Point(SAP; サービス アクセス ポイント)および MAC のフィルタリング方式の設定例を紹介しています。
フィルタリングを使用すると、DLSw+ ネットワークのスケーラビリティを強化できます。たとえば、フィルタリングを次の目的に使用できます。
WAN リンクを経由するトラフィックを削減する(きわめて低速なリンクおよび NetBIOS が存在する環境で特に重要)。
特定のデバイスへのアクセスを制御することによりネットワークのセキュリティを高める。
データセンターの DLSw+ ルータの CPU パフォーマンスとスケーラビリティを高める。
DLSw+ には、フィルタリングの実行に使用できるいくつかのオプションがあります。フィルタリングは、MAC アドレス、SAP、または NetBIOS 名に対して実行できます。
このドキュメントに特有の要件はありません。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
ドキュメント表記の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:この文書で使用されているコマンドの詳細を調べるには、「Command Lookup ツール」を使用してください(登録ユーザのみ)。
「ネットワーク ダイアグラム」セクションに示されているネットワーク トポロジを使用して、すべての NetBIOS トラフィックを、リモート ロケーションで中央ルータ(Sao Paulo)に到達しないようにすることが要件です。DLSw+ にはこの作業を実施するためのいくつかのオプションがあります。これらのオプションは以降のセクションで分析しています。
注:NetBIOSトラフィックでは、SAP値0xF0(コマンド用)と0xF1(応答用)が使用されます。 通常、ネットワーク管理者は上記の SAP 値を使用して、このプロトコルのフィルタリング(受け入れまたは拒否)を行います。
注:NetBIOSクライアントは、NetBIOS Name Queryパケットの宛先MAC(DMAC)としてNetBIOS機能MACアドレス(C000.0000.0080)を使用します。すでに述べたように、すべてのフレームには 0xF0 または 0xF1 の SAP 値があります。
このテストでは、SAP 0xF0を使用してFEPのMACアドレスに接続するようにCCSpcC PCが設定されています。実際には、このトラフィックは少なくともSAPの観点からはNetBIOSと同じに見えます。そのため、このトラフィックが着信した際に、DLSw+ ルータでは対応するデバッグを観察できます。
このセクションでは、次のダイアグラムに示されるネットワーク構成を使用しています。
このネットワーク ダイアグラムでは、データセンター ルータ(Sao Paulo)がメインフレームに接続されて示されています。このルータは、すべてのリモート ブランチからの複数の DLSw+ ピア接続を受けています。各リモート ブランチには Systems Network Architecture(SNA; システム ネットワーク アーキテクチャ)クライアントと NetBIOS クライアントの両方があります。データセンターには、リモート オフィスからアクセスされる必要がある NetBIOS サーバがありません。
分かりやすくするため、1 つのリモート オフィス(Caracas)のみの設定の詳細が示されています。また、このネットワーク ダイアグラムには、front-end processor(FEP; フロントエンド プロセッサ)、および CCSpcC と呼ばれるリモート PC の MAC アドレス値も示されています。MAC アドレスは、標準(イーサネット)と非標準(トークン リング)の両方の形式で示されています。
この方式を使用すると、すべてのリモート オフィスは lsap-output-list オプションを使用して設定する必要があります。中央ルータではその他の設定変更は必要ありません。
lsap-output-list は、SAP アクセス リスト(SAP ACL)にリンクしています。このアクセス リストは現在 SNA SAP(0x00、0x04、0x08 など)が中央ルータに向かうことのみを許可し、その他すべてを拒否します。SAP に基づいてフィルタリングを実行する方法についての詳細は、『サービス アクセス ポイントのアクセス コントロール リストについて』を参照してください。
CARACAS | SAO PAULO |
---|---|
Current configuration: ! hostname CARACAS ! dlsw local-peer peer-id 1.1.1.2 dlsw remote-peer 0 tcp 1.1.1.1 lsap-output-list 200 dlsw bridge-group 1 ! interface Ethernet0/0 no ip directed-broadcast bridge-group 1 ! interface Serial0/1 ip address 1.1.1.2 255.255.255.0 no ip directed-broadcast ! access-list 200 permit 0x0000 0x0D0D access-list 200 deny 0x0000 0xFFFF ! bridge 1 protocol ieee ! end |
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
Caracas ルータが NetBIOS トラフィックを受信したときにどのように反応するかを確認するには、debug dlsw コマンドを使用します。
CARACAS#debug dlsw DLSw reachability debugging is on at event level for all protocol traffic DLSw peer debugging is on DLSw local circuit debugging is on DLSw core message debugging is on DLSw core state debugging is on DLSw core flow control debugging is on DLSw core xid debugging is on
リモート オフィス ルータ(Caracas)が 4000.3745.0000 の到達可能性情報を持っておらず、また一部の「禁止された」SAP を使用してその MAC アドレスを検索する探索を行った場合、その要求はブロックされます。
CARACAS# *Mar 1 01:02:16.387: DLSW Received-ctlQ : CLSI Msg : TEST_STN.Ind dlen: 40 *Mar 1 01:02:16.387: CSM: Received CLSI Msg : TEST_STN.Ind dlen: 40 from DLSw Port0 *Mar 1 01:02:16.387: CSM: smac 0000.8888.0000, dmac 4000.3745.0000, ssap F0, dsap 0 *Mar 1 01:02:16.387: DLSw: dsap(0) ssap(F0) filtered to peer 1.1.1.1(2065) *Mar 1 01:02:16.387: DLSw: frame output access list filtered to peer 1.1.1.1(2065) *Mar 1 01:02:16.387: CSM: Write to peer 1.1.1.1(2065) not ok - PEER_FILTERED
リモートオフィスルータ(Caracas)が4000.3745.0000の到達可能性情報を持っている場合を考えてみましょう。たとえば、別のステーション(許可されたSAPを使用)がすでにFEP MACアドレスを要求したとします。この場合、「攻撃者」PC(CCSpcC)は NULL XID を送信しますが、ルータはそれを阻止します。
CARACAS# *Mar 1 01:03:24.439: DLSW Received-ctlQ : CLSI Msg : ID_STN.Ind dlen: 46 *Mar 1 01:03:24.439: CSM: Received CLSI Msg : ID_STN.Ind dlen: 46 from DLSw Port0 *Mar 1 01:03:24.443: CSM: smac 0000.8888.0000, dmac 4000.3745.0000, ssap F0, dsap F0 *Mar 1 01:03:24.443: DLSw: new_ckt_from_clsi(): DLSw Port0 0000.8888.0000:F0->4000.3745.0000:F0 *Mar 1 01:03:24.443: DLSw: START-TPFSM (peer 1.1.1.1(2065)): event:CORE-ADD CIRCUIT state:CONNECT *Mar 1 01:03:24.443: DLSw: dtp_action_u(), peer add circuit for peer 1.1.1.1(2065) *Mar 1 01:03:24.443: DLSw: END-TPFSM (peer 1.1.1.1(2065)): state:CONNECT->CONNECT *Mar 1 01:03:24.443: DLSw: START-FSM (872415295): event:DLC-Id state:DISCONNECTED *Mar 1 01:03:24.443: DLSw: core: dlsw_action_a() *Mar 1 01:03:24.447: DISP Sent : CLSI Msg : REQ_OPNSTN.Req dlen: 116 *Mar 1 01:03:24.447: DLSw: END-FSM (872415295): state:DISCONNECTED->LOCAL_RESOLVE *Mar 1 01:03:24.447: DLSW Received-ctlQ : CLSI Msg : REQ_OPNSTN.Cfm CLS_OK dlen: 116 *Mar 1 01:03:24.447: DLSw: START-FSM (872415295): event:DLC-ReqOpnStn.Cnf state:LOCAL_RESOLVE *Mar 1 01:03:24.447: DLSw: core: dlsw_action_b() *Mar 1 01:03:24.447: CORE: Setting lf : bits 8 : size 1500 *Mar 1 01:03:24.451: DLSw: dsap(F0) ssap(F0) filtered to peer 1.1.1.1(2065) *Mar 1 01:03:24.451: DLSw: frame output access list filtered to peer 1.1.1.1(2065) *Mar 1 01:03:24.451: DLSw: peer 1.1.1.1(2065) unreachable - reason code 1 *Mar 1 01:03:24.451: DLSw: END-FSM (872415295): state:LOCAL_RESOLVE->CKT_START
dlsw icannotreach saps コマンドを使用すると、送信が禁止されていることが判明しているプロトコルをフィルタリングできます。明示的に拒否する必要があるものだけが判明している場合は、次の設定に示すように、中央ルータで dlsw icannotreach saps コマンドを使用します。
CARACAS | SAO PAULO |
---|---|
Current configuration: ! hostname CARACAS ! dlsw local-peer peer-id 1.1.1.2 dlsw remote-peer 0 tcp 1.1.1.1 dlsw bridge-group 1 ! interface Ethernet0/0 no ip directed-broadcast bridge-group 1 ! interface Serial0/1 ip address 1.1.1.2 255.255.255.0 no ip directed-broadcast ! bridge 1 protocol ieee ! end |
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 dlsw icannotreach sap F0 ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
リモート ピアがすでにアップしている場合であっても、ただちに中央ルータを設定(dlsw icannotreach saps コマンドを含める)できます。この出力にはリモート ルータの一方でのデバッグが示されており、CapExId メッセージの受信が示されています。次のメッセージは、SAP 0xF0/F1 によるフレームを中央ルータに送信しないように、リモート オフィスに指示しています。
CARACAS#debug dlsw peers DLSw peer debugging is on *Mar 1 18:30:30.388: DLSw: START-TPFSM (peer 1.1.1.1(2065)): event:SSP-CAP MSG RCVD state:CONNECT *Mar 1 18:30:30.388: DLSw: dtp_action_p() runtime cap rcvd for peer 1.1.1.1(2065) *Mar 1 18:30:30.392: DLSw: Recv CapExId Msg from peer 1.1.1.1(2065) *Mar 1 18:30:30.392: DLSw: received fhpr capex from peer 1.1.1.1(2065): support: false, fst-prio: false *Mar 1 18:30:30.392: DLSw: Pos CapExResp sent to peer 1.1.1.1(2065) *Mar 1 18:30:30.392: DLSw: END-TPFSM (peer 1.1.1.1(2065)): state:CONNECT->CONNECT
CapExId メッセージが受信されると、Caracas ルータは Sao Paulo が SAP 0xF0 をサポートしていないことを学習します。
CARACAS#show dlsw capabilities DLSw: Capabilities for peer 1.1.1.1(2065) vendor id (OUI) : '00C' (cisco) version number : 2 release number : 0 init pacing window : 20 unsupported saps : F0 num of tcp sessions : 1 loop prevent support : no icanreach mac-exclusive : no icanreach netbios-excl. : no reachable mac addresses : none reachable netbios names : none V2 multicast capable : yes DLSw multicast address : none cisco version number : 1 peer group number : 0 peer cluster support : no border peer capable : no peer cost : 3 biu-segment configured : no UDP Unicast support : yes Fast-switched HPR supp : no NetBIOS Namecache length : 15 local-ack configured : yes priority configured : no cisco RSVP support : no configured ip address : 1.1.1.1 peer type : conf version string : Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JK2O3S-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2) Copyright (c) 1986-1999 by cisco Systems, Inc.
次に示す show コマンドの出力は中央ルータで取得されたもので、SAP 0xF0 がサポートされていない設定変更を示しています。
SAOPAULO#show dlsw capabilities local DLSw: Capabilities for local peer 1.1.1.1 vendor id (OUI) : '00C' (cisco) version number : 2 release number : 0 init pacing window : 20 unsupported saps : F0 num of tcp sessions : 1 loop prevent support : no icanreach mac-exclusive : no icanreach netbios-excl. : no reachable mac addresses : none reachable netbios names : none V2 multicast capable : yes DLSw multicast address : none cisco version number : 1 peer group number : 0 peer cluster support : yes border peer capable : no peer cost : 3 biu-segment configured : no UDP Unicast support : yes Fast-switched HPR supp. : no NetBIOS Namecache length : 15 cisco RSVP support : no current border peer : none version string : Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JK2O3S-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2) Copyright (c) 1986-1999 by cisco Systems, Inc.
次に示すのは、NetBIOS PC ステーションが接続を試みた際の Caracas ルータからの debug の出力です。
CARACAS#debug dlsw peers DLSw peer debugging is on *Mar 1 18:40:27.575: DLSw: new_ckt_from_clsi(): DLSw Port0 0000.8888.0000:F0->4000.3745.0000:F0 *Mar 1 18:40:27.575: DLSw: START-TPFSM (peer 1.1.1.1(2065)): event:CORE-ADD CIRCUIT state:CONNECT *Mar 1 18:40:27.579: DLSw: dtp_action_u(), peer add circuit for peer 1.1.1.1(2065) *Mar 1 18:40:27.579: DLSw: END-TPFSM (peer 1.1.1.1(2065)): state:CONNECT->CONNECT *Mar 1 18:40:27.579: DLSw: START-FSM (1409286242): event:DLC-Id state:DISCONNECTED *Mar 1 18:40:27.579: DLSw: core: dlsw_action_a() *Mar 1 18:40:27.579: DISP Sent : CLSI Msg : REQ_OPNSTN.Req dlen: 116 *Mar 1 18:40:27.579: DLSw: END-FSM (1409286242): state:DISCONNECTED->LOCAL_RESOLVE *Mar 1 18:40:27.583: DLSW Received-ctlQ : CLSI Msg : REQ_OPNSTN.Cfm CLS_OK dlen: 116 *Mar 1 18:40:27.583: DLSw: START-FSM (1409286242): event:DLC-ReqOpnStn.Cnf state:LOCAL_RESOLVE *Mar 1 18:40:27.583: DLSw: core: dlsw_action_b() *Mar 1 18:40:27.583: CORE: Setting lf : bits 8 : size 1500 *Mar 1 18:40:27.583: peer_cap_filter(): Filtered by SAP to peer 1.1.1.1(2065), s: F0 d:F0 *Mar 1 18:40:27.583: DLSw: frame cap filtered (1) to peer 1.1.1.1(2065) *Mar 1 18:40:27.583: DLSw: peer 1.1.1.1(2065) unreachable - reason code 1
どの種類のトラフィックが許可されているかが正確に判明していて、その他すべてのトラフィックが確実に拒否されるようにする場合は、dlsw icanreach saps コマンドを設定すると便利です。たとえば、dlsw icanreach saps 4 を設定すると、0x04(および応答である 0x05)を除くすべての SAP を明示的に拒否します。
CARACAS | SAO PAULO |
---|---|
Current configuration: ! hostname CARACAS ! dlsw local-peer peer-id 1.1.1.2 dlsw remote-peer 0 tcp 1.1.1.1 dlsw bridge-group 1 ! interface Ethernet0/0 no ip directed-broadcast bridge-group 1 ! interface Serial0/1 ip address 1.1.1.2 255.255.255.0 no ip directed-broadcast ! bridge 1 protocol ieee ! end |
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 dlsw icanreach sap 0 4 ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
このshowコマンドの出力では、CaracasルータはSao PauloがSAP 0x04および0x05を宛先とするフレームのみをサポートしていることを認識しています。他のすべてのSAPはサポートされていません。
CARACAS#show dlsw capabilities DLSw: Capabilities for peer 1.1.1.1(2065) vendor id (OUI) : '00C' (cisco) version number : 2 release number : 0 init pacing window : 20 unsupported saps : 0 2 6 8 A C E 10 12 14 16 18 1A 1C 1E 20 22 24 26 28 2A 2C 2E 30 32 34 36 38 3A 3C 3E 40 42 44 46 48 4A 4C 4E 50 52 54 56 58 5A 5C 5E 60 62 64 66 68 6A 6C 6E 70 72 74 76 78 7A 7C 7E 80 82 84 86 88 8A 8C 8E 90 92 94 96 98 9A 9C 9E A0 A2 A4 A6 A8 AA AC AE B0 B2 B4 B6 B8 BA BC BE C0 C2 C4 C6 C8 CA CC CE D0 D2 D4 D6 D8 DA DC DE E0 E2 E4 E6 E8 EA EC EE F0 F2 F4 F6 F8 FA FC FE num of tcp sessions : 1 loop prevent support : no icanreach mac-exclusive : no icanreach netbios-excl. : no reachable mac addresses : none reachable netbios names : none V2 multicast capable : yes DLSw multicast address : none cisco version number : 1 peer group number : 0 peer cluster support : no border peer capable : no peer cost : 3 biu-segment configured : no UDP Unicast support : yes Fast-switched HPR supp. : no NetBIOS Namecache length : 15 local-ack configured : yes priority configured : no cisco RSVP support : no configured ip address : 1.1.1.1 peer type : conf version string : Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JK2O3S-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2) Copyright (c) 1986-1999 by cisco Systems, Inc.
show dlsw capabilities local コマンドを使用すると、中央ルータでの設定変更が DLSw+ コードで表示されることを確認できます。
SAOPAULO#show dlsw capabilities local DLSw: Capabilities for local peer 1.1.1.1 vendor id (OUI) : '00C' (cisco) version number : 2 release number : 0 init pacing window : 20 unsupported saps : 0 2 6 8 A C E 10 12 14 16 18 1A 1C 1E 20 22 24 26 28 2A 2C 2E 30 32 34 36 38 3A 3C 3E 40 42 44 46 48 4A 4C 4E 50 52 54 56 58 5A 5C 5E 60 62 64 66 68 6A 6C 6E 70 72 74 76 78 7A 7C 7E 80 82 84 86 88 8A 8C 8E 90 92 94 96 98 9A 9C 9E A0 A2 A4 A6 A8 AA AC AE B0 B2 B4 B6 B8 BA BC BE C0 C2 C4 C6 C8 CA CC CE D0 D2 D4 D6 D8 DA DC DE E0 E2 E4 E6 E8 EA EC EE F0 F2 F4 F6 F8 FA FC FE num of tcp sessions : 1 loop prevent support : no icanreach mac-exclusive : no icanreach netbios-excl. : no reachable mac addresses : none reachable netbios names : none V2 multicast capable : yes DLSw multicast address : none cisco version number : 1 peer group number : 0 peer cluster support : yes border peer capable : no peer cost : 3 biu-segment configured : no UDP Unicast support : yes Fast-switched HPR supp. : no NetBIOS Namecache length : 15 cisco RSVP support : no current border peer : none version string : Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JK2O3S-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2) Copyright (c) 1986-1999 by cisco Systems, Inc.
このドキュメントに示すネットワーク ダイアグラムを使用して、FEP MAC アドレス(4000.3745.0000)が宛先であるフレームのみを中央ルータが受信するようにします。
dlsw icanreach mac-address コマンドを使用すると、すべてのリモート オフィスは、中央ルータの IP アドレスを指定するホスト MAC アドレスについて、DLSw+ 到達可能性テーブルにエントリを持つことになります。このエントリは UNCONFIRM 状態で、リモート オフィス ルータがホストのローカル テストまたは XID を受信した場合、中央ルータのみに CUR_ex(Can U Reach Explorer)メッセージを送信することを示します。
CARACAS | SAO PAULO |
---|---|
Current configuration: ! hostname CARACAS ! dlsw local-peer peer-id 1.1.1.2 dlsw remote-peer 0 tcp 1.1.1.1 dlsw bridge-group 1 ! interface Ethernet0/0 no ip directed-broadcast bridge-group 1 ! interface Serial0/1 ip address 1.1.1.2 255.255.255.0 no ip directed-broadcast ! bridge 1 protocol ieee ! end |
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 dlsw icanreach mac-address 4000.3745.0000 mask ffff.ffff.ffff ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
ここでは、Caracas ルータは到達可能性キャッシュに永続的なエントリを作成しています。このエントリがフレッシュでない場合、状態は UNCONFIRM です。DLSw+ ルータが MAC アドレスと NetBIOS 名をキャッシュする方法についての詳細は、『DLSw+ トラブルシューティング ガイドの到達可能性』の章を参照してください。
CARACAS#show dlsw reachability DLSw Local MAC address reachability cache list Mac Addr status Loc. port rif 0000.8888.0000 FOUND LOCAL TBridge-001 --no rif-- DLSw Remote MAC address reachability cache list Mac Addr status Loc. peer 4000.3745.0000 UNCONFIRM REMOTE 1.1.1.1(2065) DLSw Local NetBIOS Name reachability cache list NetBIOS Name status Loc. port rif DLSw Remote NetBIOS Name reachability cache list NetBIOS Name status Loc. peer
Caracasルータでのshow dlsw capabilitiesコマンドの出力から、MACアドレス4000.3745.0000がピア1.1.1.1経由で到達可能であることをリモートオフィスが認識していることが確認されます。「icanreach mac-exclusive :no」のいずれかを設定できます。 これは、中央ルータはホスト以外のその他の MAC アドレスに到達できることを示しています。そのため、リモート オフィスのいずれかが他の MAC アドレスを探す際には、要求を中央ルータに送信できます。ただし、icanreach mac-address 4000.3745.0000 コマンドを含めることにより、この重要なリソースのリケーションがすべてのリモート ブランチで認識されます。中央ルータに着信するフレームをさらに制限する場合は、「中央ルータでの dlsw icanreach mac-exclusive の設定」を参照してください。
CARACAS#show dlsw capabilities DLSw: Capabilities for peer 1.1.1.1(2065) vendor id (OUI) : '00C' (cisco) version number : 2 release number : 0 init pacing window : 20 unsupported saps : none num of tcp sessions : 1 loop prevent support : no icanreach mac-exclusive : no icanreach netbios-excl. : no reachable mac addresses : 4000.3745.0000reachable netbios names : none V2 multicast capable : yes DLSw multicast address : none cisco version number : 1 peer group number : 0 peer cluster support : no border peer capable : no peer cost : 3 biu-segment configured : no UDP Unicast support : yes Fast-switched HPR supp. : no NetBIOS Namecache length : 15 local-ack configured : yes priority configured : no cisco RSVP support : no configured ip address : 1.1.1.1 peer type : conf version string : Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JK2O3S-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2) Copyright (c) 1986-1999 by cisco Systems, Inc.
mask パラメータは dlsw icanreach mac-address 4000.3745.0000 mask ffff.ffff.ffff のように使用できます。このパラメータを使用する場合、MAC アドレスは通常 16 進数形式(0x4000.3745.0000)で表示されることに注意してください。 そのため、バイナリ形式ですべてが 1 のマスクは 16 進数 0xFFFF.FFFF.FFFF で表現されます。
次に、特定の入力 MAC が、すでに設定されている dlsw icanreach mac-address コマンドの下に含まれているかどうかを判断する方法の例を示します。
dlsw icanreach mac-address 4000.3745.0000 mask ffff.ffff 0000 コマンドを使用して設定されているルータから始めます。
入力 MAC アドレス 4000.3745.0009 が前述のルータ設定コマンドに含まれているかどうかを評価します。
まず、MAC アドレス(4000.3745.0009)および設定済みの MASK(FFFF.FFFF.0000)を 16 進数からバイナリ表現に変換します。次の表の最初の 2 つの行にこの手順を示します。
続いて、これら 2 つのバイナリ数値の間で論理 AND 演算を実行し、結果を 16 進数表現(4000.3745.0000)に変換します。 この演算の結果を、次の表の 3 行目に示します。
0 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 1 | 1 | 1 | 0 | 1 | 0 | 0 | 0 | 1 | 0 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 1 | 4000.3745.0009 | |||||||||||
1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | ffff.ffff.0000 | |||||||||||
0 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 1 | 1 | 1 | 0 | 1 | 0 | 0 | 0 | 1 | 0 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 4000.3745.0000 |
AND 演算の結果が dlsw icanreach mac-address コマンドの MAC アドレス(この例では 4000.3745.0000)に一致する場合、入力 MAC アドレス(4000.3745.0009)は dlsw icanreach mac-address コマンドにより許可されます。この例では、4000.3745.0000 ~ 4000.3745.FFFF の範囲内のすべての入力 MAC アドレスは dlsw icanreach mac-address コマンドに含まれます。この範囲のすべての MAC アドレスに対して同じ手順を繰り返すことで、このことを確認できます。
さらに例を示します。
dlsw icanreach mac-address 4000.3745.0000 mask ffff.ffff.ffff:このコマンドにはMACアドレス4000.3745.0000のみが含まれます。他のMACアドレスはこのマスクを渡しません。
dlsw icanreach mac-address 4000.0000.3745 mask ffff.0000.ffff:このコマンドには、4000.XXXX.3745の範囲(XXXXは0x0000-0xFFFF)のすべてのMACアドレスが含まれます。
中央ルータで dlsw icanreach mac-exclusive コマンドを設定すると、前もって定義済みの MAC アドレス(この場合は 4000.3745.0000)が宛先になっているパケットのみがセントラル ロケーションで許可されるようになります。
このフィルタリング情報は、CapExId メッセージを使用してすべての DLSw+ ピア間で交換されることに注意してください。WAN 帯域幅を節約するには、リモート ルータ自体で(フレームのブロックなどの)アクションが発生する場合であっても、セントラル ロケーションでフィルタリング情報を設定します。
CARACAS | SAO PAULO |
---|---|
Current configuration: ! hostname CARACAS ! dlsw local-peer peer-id 1.1.1.2 dlsw remote-peer 0 tcp 1.1.1.1 dlsw bridge-group 1 ! interface Ethernet0/0 no ip directed-broadcast bridge-group 1 ! interface Serial0/1 ip address 1.1.1.2 255.255.255.0 no ip directed-broadcast ! bridge 1 protocol ieee ! end |
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 dlsw icanreach mac-exclusive dlsw icanreach mac-address 4000.3745.0000 mask ffff.ffff.fffff ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
この出力では、CaracasルータがMACアドレス4000.3745.0000がピア1.1.1.1を介して到達可能であることを認識していることが分かります。この例と前のシナリオの違いは、次に「icanreach mac-exclusive :yes」と表示されます。つまり、リモートオフィスは、4000.3745.0000を宛先とするフレーム以外のフレームを中央ルータに送信しません。
CARACAS#show dlsw capabilities DLSw: Capabilities for peer 1.1.1.1(2065) vendor id (OUI) : '00C' (cisco) version number : 2 release number : 0 init pacing window : 20 unsupported saps : none num of tcp sessions : 1 loop prevent support : no icanreach mac-exclusive : yes icanreach netbios-excl. : no reachable mac addresses : 4000.3745.0000reachable netbios names : none V2 multicast capable : yes DLSw multicast address : none cisco version number : 1 peer group number : 0 peer cluster support : no border peer capable : no peer cost : 3 biu-segment configured : no UDP Unicast support : yes Fast-switched HPR supp. : no NetBIOS Namecache length : 15 local-ack configured : yes priority configured : no cisco RSVP support : no configured ip address : 1.1.1.1 peer type : conf version string : Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JK2O3S-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2) Copyright (c) 1986-1999 by cisco Systems, Inc.
ここで debug 出力には、4000.3745.0000 以外の任意の MAC アドレス(ここでは 4000.3745.0080 を使用)が宛先である着信トラフィックに対して、Caracas ルータがどのように反応しているかが示されています。 Caracas では、ホスト(4000.3745.0000)が宛先ではないフレームに関しては Sao Paulo が使用されません。 この場合、Sao Paulo は Caracas で設定されている唯一のリモート ピアであるため、このルータにはフレームを送信先するその他のピアはありません。
CARACAS#debug dlsw DLSw reachability debugging is on at event level for all protocol traffic DLSw peer debugging is on DLSw local circuit debugging is on DLSw core message debugging is on DLSw core state debugging is on DLSw core flow control debugging is on DLSw core xid debugging is on *Mar 1 22:41:33.200: DLSW Received-ctlQ : CLSI Msg : TEST_STN.Ind dlen: 40 *Mar 1 22:41:33.204: CSM: Received CLSI Msg : TEST_STN.Ind dlen: 40 from DLSw Port0 *Mar 1 22:41:33.204: CSM: smac 0000.8888.0000, dmac 4000.3745.0080, ssap 4 , dsap 0 *Mar 1 22:41:33.204: broadcast filter failed mac check *Mar 1 22:41:33.204: CSM: Write to all peers not ok - PEER_NO_CONNECTIONS
dlsw icanreach mac-address コマンドを使用して MAC アドレスを定義することなく、dlsw icanreach mac-exclusive コマンドを使用してルータを設定した場合、ルータからピアに、到達できる MAC アドレスがまったくないことがアドバタイズされます。そのため、そのピアを介した通信が失われることになります。
注:この設定例は例としてのみ示されています。これには誤りがあるため、使用しないでください。
SAO PAULO |
---|
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 dlsw icanreach mac-exclusive ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
このdebug出力は、4000.3745.0000を宛先とするフレームを受信したCaracasルータで何が起こるか示しています。CaracasにはDLSwリモートピア(Sao Paulo)が1つしかありませんが、前の設定(Sao Paulo)ではピアにににMACアドレスにが到達できないが示示されています。
CARACAS#show debug DLSw: DLSw Peer debugging is on DLSw RSVP debugging is on DLSw reachability debugging is on at verbose level for SNA traffic DLSw basic debugging for peer 1.1.1.1(2065) is on DLSw core message debugging is on DLSw core state debugging is on DLSw core flow control debugging is on DLSw core xid debugging is on DLSw Local Circuit debugging is on CARACAS# Mar 2 21:37:42.570: DLSW Received-ctlQ : CLSI Msg : TEST_STN.Ind dlen: 40 Mar 2 21:37:42.570: CSM: update local cache for mac 0000.8888.0000, DLSw Port0 Mar 2 21:37:42.570: DLSW+: DLSw Port0 I d=4000.3745.0000-0 s=0000.8888.0000-F0 Mar 2 21:37:42.570: CSM: test_frame_proc: ws_status = NO_CACHE_INFO Mar 2 21:37:42.570: CSM: mac address NOT found in PEER reachability list Mar 2 21:37:42.570: broadcast filter failed mac check Mar 2 21:37:42.574: CSM: Write to all peers not ok - PEER_NO_CONNECTIONS Mar 2 21:37:42.574: CSM: csm_peer_put returned rc_ssp not OK
この例では、各リモート オフィス ルータは手動で設定され、特定の MAC アドレスを検索する際には目的の中央ルータにダイレクトされます。これにより、正しくないピアに向かう不必要なトラフィックが減ります。リモート オフィスで 1 つのリモート ピアのみが設定されている場合、この設定に利点はありません。ただし、複数のリモート ピアが設定されている場合、この設定は WAN 帯域幅を浪費することなく、リモート サイト ルータを正しい場所に導きます。
新しい 1 つの DLSw+ リモート ピア(2.2.2.1)が Caracas ルータで設定されています。
CARACAS | SAO PAULO |
---|---|
Current configuration: ! hostname CARACAS ! dlsw local-peer peer-id 1.1.1.2 dlsw remote-peer 0 tcp 1.1.1.1 dlsw remote-peer 0 tcp 2.2.2.1 dlsw mac-addr 4000.3745.0000 remote-peer ip-address 1.1.1.1 dlsw bridge-group 1 ! interface Ethernet0/0 no ip directed-broadcast bridge-group 1 ! interface Serial0/1 ip address 1.1.1.2 255.255.255.0 no ip directed-broadcast ! interface Serial0/2 ip address 2.2.2.2 255.255.255.0 no ip directed-broadcast clockrate 64000 ! bridge 1 protocol ieee ! end |
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
Caracas ルータの空の到達可能性テーブルから始めて、FEP のエントリが UNCONFIRM 状態であることに注意してください。
CARACAS#show dlsw reachability DLSw Local MAC address reachability cache list Mac Addr status Loc. port rif DLSw Remote MAC address reachability cache list Mac Addr status Loc. peer 4000.3745.0000 UNCONFIRM REMOTE 1.1.1.1(2065) max-lf(4472) DLSw Local NetBIOS Name reachability cache list NetBIOS Name status Loc. port rif DLSw Remote NetBIOS Name reachability cache list NetBIOS Name status Loc. peer
最初のパケットがFEPを探して到着すると、ピア1.1.1.1(Sao Paulo)へのパケットだけが2.2.2.1に送信されず、他のピアのWAN帯域幅とCPUリソースが節約されます。
CARACAS#debug dlsw reachability verbose sna DLSw reachability debugging is on at verbose level for SNA traffic *Mar 2 18:38:59.324: CSM: update local cache for mac 0000.8888.0000, DLSw Port0 *Mar 2 18:38:59.324: DLSW+: DLSw Port0 I d=4000.3745.0000-0 s=0000.8888.0000-F0 *Mar 2 18:38:59.324: CSM: test_frame_proc: ws_status = UNCONFIRMED *Mar 2 18:38:59.324: CSM: Write to peer 1.1.1.1(2065) ok *Mar 2 18:38:59.324: CSM: csm_peer_put returned rc_ssp 1 *Mar 2 18:38:59.328: CSM: adding new icr pend record - test_frame_proc *Mar 2 18:38:59.328: CSM: update local cache for mac 0000.8888.0000, DLSw Port0 *Mar 2 18:38:59.328: CSM: Received CLSI Msg : TEST_STN.Ind dlen: 40 from DLSw Port0
ここでは、ネットワーク ダイアグラムと設計要件が変更されます。次に新しいネットワークの例を示します。
この例では、新しい SNA デバイス(4000.3746.0000)が Sao Paulo ロケーションに追加されています。このマシンは、別のロケーションにあるデバイス(ピア 3.3.3.1)と通信を確立する必要があります。 Sao Paulo ルータでは、次の設定が実行されます。
SAO PAULO |
---|
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 dlsw remote-peer 0 tcp 3.3.3.1 dlsw icanreach mac-exclusive dlsw icanreach mac-address 4000.3745.0000 mask ffff.ffff.ffff ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
このSao Paulo設定では、mac-exclusiveコマンドにより、MACアドレス4000.3745.0000にしか到達できないことをSao Pauloルータがすべてのピアに通知します。このdebug出力に示されているように、新しいSNAデバイス(4000.3746.0000)がDLSwを経由でで通信をを確立できません。
SAOPAULO#debug dlsw reachability verbose sna DLSw reachability debugging is on at verbose level for SNA traffic SAOPAULO# Mar 3 00:20:27.737: CSM: Deleting Reachability cache Mar 3 00:20:44.485: CSM: mac address NOT found in LOCAL list Mar 3 00:20:44.485: CSM: 4000.3746.0000 DID NOT pass local mac excl. filter Mar 3 00:20:44.485: CSM: And it is a test frame - drop frame
これを修正するには、Sao Paulo の設定に次の変更を加えます。
SAO PAULO |
---|
Current configuration: ! hostname SAOPAULO ! source-bridge ring-group 3 dlsw local-peer peer-id 1.1.1.1 dlsw remote-peer 0 tcp 1.1.1.2 dlsw icanreach mac-exclusive remote dlsw icanreach mac-address 4000.3745.0000 mask ffff.ffff.ffff ! interface TokenRing0/0 no ip directed-broadcast ring-speed 16 source-bridge 10 1 3 source-bridge spanning ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast no ip mroute-cache clockrate 32000 ! end |
remote キーワードを使用すると、中央ルータのその他のデバイスは発信接続を行うことができます(これは dlsw icanreach mac-address コマンドでは指定されていません)。次は、デバイス 4000.3746.0000 が接続を開始した時点での Sao Paulo の debug 出力です。
SAOPAULO#debug dlsw reachability verbose sna DLSw reachability debugging is on at verbose level for SNA traffic Mar 3 00:28:26.916: CSM: update local cache for mac 4000.3746.0000, TokenRing0/0 Mar 3 00:28:26.916: CSM: Received CLSI Msg : TEST_STN.Ind dlen: 40 from TokenRing0/0 Mar 3 00:28:26.916: CSM: smac c000.3746.0000, dmac 0000.8888.0000, ssap 4 , dsap 0 Mar 3 00:28:26.916: CSM: test_frame_proc: ws_status = FOUND Mar 3 00:28:26.920: CSM: sending TEST to TokenRing0/0 Mar 3 00:28:26.924: CSM: update local cache for mac 4000.3746.0000, TokenRing0/0 Mar 3 00:28:26.924: CSM: Received CLSI Msg : ID_STN.Ind dlen: 54 from TokenRing0/0 Mar 3 00:28:26.924: CSM: smac c000.3746.0000, dmac 0000.8888.0000, ssap 4 , dsap 8 Mar 3 00:28:26.924: CSM: new_connection: ws_status = FOUND Mar 3 00:28:26.924: CSM: Calling csm_to_core with CLSI_START_NEWDL