CatOS が稼働する Catalyst 4500/4000、5500/5000 および 6500/6000 シリーズスイッチの設定と管理のベストプラクティス

ダウンロードオプション

PDF (1.4 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (180.4 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (346.8 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2007 年 11 月 29 日

Document ID:13414

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

表記法

背景説明

基本設定

Catalyst コントロールプレーンプロトコル

VLAN Trunking Protocol

拡張 VLAN と MAC アドレスリダクション

自動ネゴシエーション

ギガビットイーサネット

ダイナミックトランキングプロトコル

スパニングツリープロトコル

EtherChannel

単方向リンク検出

ジャンボフレーム

管理設定

ネットワーク図

インバンド管理

アウトオブバンド管理

システムテスト

システムおよびハードウェアのエラー検出

EtherChannel およびリンクエラーの処理

Catalyst 6500/6000 パケットバッファの診断

システムロギング

Simple Network Management Protocol

リモートモニタリング

ネットワークタイムプロトコル

Cisco Discovery Protocol

セキュリティ設定

基本的なセキュリティ機能

Terminal Access Controller Access Control System

設定チェックリスト

はじめに

このドキュメントでは、ネットワーク内の Cisco Catalyst シリーズスイッチ、特に、Catalyst 4500/4000、5500/5000、および 6500/6000 プラットフォームの実装について説明します。設定とコマンドについては、Catalyst OS（CatOS）General Deployment ソフトウェア 6.4(3) 以降を実行していることを前提にして説明します。設計上の考慮事項が一部含まれていますが、このドキュメントはキャンパス設計全体を網羅しているわけではありません。

前提条件

要件

このドキュメントは、読者が Catalyst 6500 シリーズコマンドリファレンス、7.6 [英語] に精通していることを前提としています。

このドキュメントでは、さらに詳しい情報を得られるように、オンラインで公開されている資料に言及していますが、基本的な教育用資料としては、次のような資料もあります。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

表記法の詳細については、『シスコテクニカルティップスの表記法』を参照してください。

背景説明

このドキュメントで紹介するソリューションは、数多くの大規模企業のお客様と協力しながら長年にわたって複雑なネットワークに取り組んできたシスコのエンジニアの現場経験から生まれたものです。その結果、このドキュメントはネットワークを適切に運用するための、現実的な構成に重点を置くものとなっています。このドキュメントでは次のようなソリューションを紹介しています。

統計的に見て現場で最も幅広く利用されてきた、リスクが最も低いソリューション。
確定的な結果を得るために、一部の柔軟性を犠牲にしているシンプルなソリューション。
ネットワーク運用チームによる管理と設定が容易なソリューション。
高可用性と高い安定性を促進するソリューション。

このドキュメントは次の 4 つの項で構成されています。

基本設定：スパニングツリープロトコル（STP）やトランキングなど、ネットワークの大部分で使用される機能。
管理設定：設計上の考慮事項、および Simple Network Management Protocol（SNMP）、リモートモニタリング（RMON）、syslog、Cisco Discovery Protocol（CDP）、および Network Time Protocol（NTP）を使用したシステムとイベントのモニタリング。
セキュリティの設定：TACACS+ を使用したパスワード、ポートセキュリティ、物理的セキュリティ、および認証。
設定チェックリスト：推奨の設定テンプレートの概要。

基本設定

この項では、ほとんどの Catalyst ネットワークで導入される機能について説明します。

Catalyst コントロールプレーンプロトコル

この項では、通常動作時にスイッチ間で実行されるプロトコルを紹介します。それらのプロトコルの基本を理解すると、各項の内容を理解するのに役立ちます。

スーパバイザトラフィック

Catalyst ネットワークで使用可能なほとんどの機能には、協調して動作する 2 台以上のスイッチが必要です。そのため、制御された方法でキープアライブメッセージ、設定パラメータ、管理上の変更などを交換する必要があります。そのようなプロトコルは、CDP のようにシスコ独自のものであるか、IEEE 802.1d（STP）のように標準ベースのプロトコルであるため、Catalyst シリーズに実装された場合、すべてに一定の共通要素が備わっています。

基本的なフレーム転送では、ユーザデータフレームはエンドシステムから発信され、各データフレームの発信元アドレスと宛先アドレスは、レイヤ 2（L2）スイッチドドメイン内では変更されません。各スイッチの Supervisor Engine にある Content Addressable Memory（CAM）ルックアップテーブルは、発信元アドレスの学習プロセスによって読み込まれ、受信した各フレームの転送先出力ポートが示されます。アドレス学習プロセスが不完全（宛先が不明、またはフレームの宛先がブロードキャストアドレスかマルチキャストアドレス）の場合、その VLAN のすべてのポートにフレームが転送（フラッディング）されます。

スイッチでは、システム経由でスイッチングするフレーム、およびスイッチの CPU（ネットワーク管理プロセッサ（NMP）としても知られる）自体に送信するフレームも識別する必要があります。

Catalyst コントロールプレーンは、内部スイッチポートでトラフィックを受信して、NMP にトラフィックを送信にするために、CAM テーブル内にあるシステムエントリと呼ばれる特別なエントリを使用して作成されます。そのため、既知の宛先 MAC アドレスが設定されたプロトコルを使用することで、コントロールプレーントラフィックをデータトラフィックから分離できます。次に示すように、スイッチに対して show CAM system コマンドを発行してこの点を確認します。

>show cam system

* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
X = Port Security Entry
VLAN  Dest MAC/Route Des    [CoS]  Destination Ports or VCs / [Protocol Type]
----  ------------------    -----  -------------------------------------------
1     00-d0-ff-88-cb-ff  #          1/3

!--- NMP internal port.

1     01-00-0c-cc-cc-cc  #          1/3

!--- CDP and so on.

1     01-00-0c-cc-cc-cd  #          1/3

!--- Cisco STP.

1     01-80-c2-00-00-00  #          1/3

!--- IEEE STP.

1     01-80-c2-00-00-01  #          1/3

!--- IEEE flow control.

1     00-03-6b-51-e1-82 R#          15/1

!--- Multilayer Switch Feature Card (MSFC) router.

...

シスコでは、次の表に示されているイーサネット MAC アドレスとプロトコルアドレスの範囲を予約しています。各アドレスについては、後述していますが、便宜上、次の表には要約のみ提示しています。

機能	SNAP HDLC プロトコルタイプ	宛先マルチキャスト MAC
Port Aggregation Protocol（PAgP）	0x0104	01-00-0c-cc-cc-cc
スパニングツリー PVSTP+	0x010b	01-00-0c-cc-cc-cd
VLAN ブリッジ	0x010c	01-00-0c-cd-cd-ce
単方向リンク検出（UDLD）	0x0111	01-00-0c-cc-cc-cc
Cisco Discovery Protocol	0x2000	01-00-0c-cc-cc-cc
Dynamic Trunking Protocol（DTP）	0x2004	01-00-0c-cc-cc-cc
STP UplinkFast	0x200a	01-00-0c-cd-cd-cd
IEEE スパニングツリー 802.1d	該当なし：DSAP 42 SSAP 42	01-80-c2-00-00-00
Inter Switch Link（ISL）	N/A	01-00-0c-00-00-00
VLAN Trunking Protocol（VTP）	0x2003	01-00-0c-cc-cc-cc
IEEE Pause、802.3x	該当なし：DSAP 81 SSAP 80	01-80-C2-00-00-00>0F

シスコの大部分の制御プロトコルでは、LLC 0xAAAA03、OUI 0x00000C を含む、IEEE 802.3 SNAP カプセル化を使用しており、LAN アナライザのトレースで確認できます。これらのプロトコルのその他の共通プロパティには、次のものがあります。

これらのプロトコルはポイントツーポイント接続を前提としています。マルチキャストの宛先アドレスを意図的に使用することで、2 台の Catalyst スイッチがシスコ以外のスイッチを経由して透過的に通信できるようになります。これは、フレームの解釈と傍受を行わないデバイスがフレームを単純にフラッディングするためです。ただし、マルチベンダー環境を経由するポイントツーマルチポイント接続では動作の一貫性が失われることがあるため、一般的には避ける必要があります。
これらのプロトコルはレイヤ 3（L3）ルータで終端します。つまり、スイッチドメイン内でのみ機能します。
これらのプロトコルは、入力側の特定用途集積回路（ASIC）処理とスケジューリングによって、ユーザデータより優先して受信されます。

制御プロトコルの宛先アドレスを紹介したら、完全を期して発信元アドレスについても説明する必要があります。スイッチプロトコルでは、シャーシの EPROM によって提供される使用可能なアドレスのバンクから取得される MAC アドレスが使用されます。show module コマンドを発行すると、STP ブリッジプロトコルデータユニット（BPDU）や ISL フレームなどのトラフィックを各モジュールが発信するときに使用可能なアドレス範囲が表示されます。

>show module

...
Mod MAC-Address(es)                        Hw     Fw         Sw
--- -------------------------------------- ------ ---------- -----------------
1   00-01-c9-da-0c-1e to 00-01-c9-da-0c-1f 2.2    6.1(3)     6.1(1d)
    00-01-c9-da-0c-1c to 00-01-c9-da-0c-1
    00-d0-ff-88-c8-00 to 00-d0-ff-88-cb-ff

!--- MACs for sourcing traffic.

...
VLAN 1

VLAN 1

VLAN 1 は Catalyst ネットワークでは特別な意味を持ちます。

Catalyst Supervisor Engine はトランキング時にデフォルトの VLAN である VLAN 1 を常に使用して、多数の制御プロトコルや管理プロトコル（CDP、VTP、および PAgP など）のタグ付けを行います。デフォルトでは、内部 sc0 インターフェイスを含むすべてのポートが VLAN 1 のメンバーとなるように設定されています。デフォルトでは、すべてのトランクで VLAN 1 が伝送に使用されます。バージョン 5.4 より前の CatOS ソフトウェアでは、VLAN 1 のユーザデータはブロックできませんでした。

Catalyst のネットワーキングでよく使用されるいくつかの用語を明確にするために、用語の定義を次に示します。

管理 VLAN は sc0 が存在する VLAN です。この VLAN は変更できます。
ネイティブ VLAN は、トランキングが行われていない場合にポートが戻される VLAN として定義されます。また、802.1Q トランク上のタグなし VLAN のことです。デフォルトでは、VLAN 1 がネイティブ VLAN です。
ネイティブ VLAN を変更するには、set vlan vlan-id mod/port コマンドを発行します。

注：VLANを作成してから、トランクのネイティブVLANとして設定してください。

ネットワークを調整して、VLAN 1 のポートの動作を変更する理由には、次のようなものがあります。

その他すべての VLAN と同様、VLAN 1の直径が（特に、STP の観点から）安定性に対するリスクとなるほど大きくなった場合はプルーニングする必要があります。詳細については、このドキュメントの「インバンド管理」の項を参照してください。
VLAN 1 のコントロールプレーンデータは、トラブルシューティングを簡素化し、最大限の CPU サイクルを利用可能にするためにユーザデータから分離する必要があります。
STP を使用せずにマルチレイヤキャンパスネットワークを設計する場合は、VLAN 1 での L2 ループは避ける必要があります。それでも、複数の VLAN や IP サブネットが存在する場合は、アクセスレイヤへのトランキングが必要です。そのためには、トランクポートから VLAN 1 を手動で削除します。

要約すると、トランクについては次の点に注意してください。

CDP、VTP、および PAgP のアップデートは、トランクでは常に VLAN 1 のタグ付きで転送されます。これは、VLAN 1 がトランクから削除されていてネイティブ VLAN でない場合でも同様です。ユーザデータ用の VLAN 1 を削除しても、引き続き VLAN 1 を使用して送信されているコントロールプレーントラフィックには影響しません。
ISL トランクでは、DTP パケットが VLAN 1 で送信されます。これは、VLAN 1がトランクから削除され、ネイティブVLANではなくなった場合でも同様です。802.1Q トランクでは、DTP パケットがネイティブ VLAN で送信されます。これは、ネイティブ VLAN がトランクから削除されている場合でも同様です。
PVST+ では、VLAN 1 がトランクから削除されていない限り、他のベンダーとの相互運用性を確保するために、802.1Q IEEE BPDU が Common Spanning Tree の VLAN 1 上をタグなしで転送されます。これは、ネイティブ VLAN の設定にかかわらず同様です。その他すべての VLAN に対しては、Cisco PVST+ BPDU がタグ付きで送信されます。詳細については、このドキュメントの「スパニングツリープロトコル」の項を参照してください。
ISL と 802.1Q の両トランクでは、802.1s マルチスパニングツリー（MST）BPDU は常に VLAN 1 で送信されます。これは、VLAN 1 がトランクから削除されている場合でも当てはまります。
MST ブリッジと PVST+ ブリッジ間にあるトランクの VLAN1 を削除したり、無効にしたりしないでください。ただし、VLAN 1 が無効になっている場合、すべての VLAN で MST ブリッジの境界ポートが root-inconsistent ステートにならないようにするために、MST ブリッジがルートになる必要があります詳細については、Multiple Spanning Tree Protocol（802.1s）の概要 [英語] を参照してください。

推奨事項

クライアントもホストも接続されていない VLAN を up/up の状態で維持するためには、その VLAN に少なくとも 1 台の物理デバイスが接続されている必要があります。接続されているデバイスがない場合、その VLAN は up/down 状態になります。現在、当該 VLAN のスイッチにアクティブなポートが存在しない場合、VLAN インターフェイスを up/up 状態にするコマンドはありません。

デバイスを接続したくない場合は、当該 VLAN の任意のポートにループバックプラグを接続します。あるいは、同じスイッチ上にある当該 VLAN の 2 つのポートを接続するクロスケーブルを使用してみてください。この方法だとポートが強制的に起動します。詳細については、T1/56K 回線のループバックテスト [英語] の「ループバックプラグ」の項を参照してください。

あるネットワークが 2 つのサービスプロバイダーにマルチホームされている場合、そのネットワークは 2 つのサービスプロバイダー間の中継ネットワークとして機能します。パケットで受信した VLAN 番号を、1 つのサービスプロバイダーから別のサービスプロバイダーに渡す際に変換または変更する必要がある場合、QinQ 機能を使用して VLAN 番号を変更することを推奨します。

VLAN Trunking Protocol

VLANを作成する前に、ネットワークで使用するVTPモードを決定します。VTP を使用すると、1 つまたは複数のスイッチで VLAN の設定を一元的に変更できます。これらの変更は、ドメイン内の他のすべてのスイッチに自動的に伝搬されます。

動作概要

VTP は、VLAN 設定の整合性を維持する L2 メッセージングプロトコルです。VTP では、ネットワーク全体にわたって VLAN の追加、削除、名前の変更が管理されます。VTP を使用すると、VLAN 名の重複、誤った VLAN タイプの指定、セキュリティ違反など、さまざまな問題の原因となる設定の誤りや矛盾が最小限に抑えられます。VLAN データベースはバイナリファイルであり、VTP サーバの NVRAM に設定ファイルとは別に保存されます。

VTP プロトコルでは、イーサネット宛先 MAC アドレス（01-00-0c-cc-cc-cc）と SNAP HDLC プロトコルタイプ Ox2003 を使用して、スイッチ間で通信が行われます。これは非トランクポート（VTP が ISL または 802.1Q のペイロード）では機能しないため、DTP によってトランクがオンラインになるまでメッセージは送信できません。

メッセージタイプには、5 分ごとに生成されるサマリーアドバタイズメント、変更があったときに生成されるサブセットアドバタイズメントと要求アドバタイズメント、および VTP プルーニングが有効になっている場合の参加が含まれます。VTP コンフィギュレーションリビジョン番号は、サーバで変更が発生するごとに 1 増加し、ドメイン全体に新しいテーブルが伝達されます。

VLAN を削除すると、その VLAN のメンバーだったポートは非アクティブ状態になります。同様に、クライアントモードのスイッチがブートアップ時に（VTP サーバまたは別の VTP クライアントから）VTP VLAN テーブルを受信できなかった場合、デフォルトの VLAN 1 を除く VLAN のすべてのポートが非アクティブ化されます。

次の表に、さまざまな VTP モードの機能比較の概要を示します。

機能	サーバ	クライアント	トランスペアレント	オフ¹
送信元 VTP メッセージ	Yes	Yes	いいえ	いいえ
VTP メッセージのリッスン	Yes	Yes	いいえ	いいえ
VTP メッセージの転送	Yes	Yes	Yes	いいえ
VLAN の作成	Yes	いいえ	はい（ローカルでのみ有意）	はい（ローカルでのみ有意）
VLAN の記憶	Yes	いいえ	はい（ローカルでのみ有意）	はい（ローカルでのみ有意）

VTP トランスペアレントモードでは、VTP アップデートは無視されます。VTP マルチキャスト MAC アドレスは、制御フレームを選択してスーパバイザエンジンに送るために通常使用されるシステム CAM から削除されます。 このプロトコルではマルチキャストアドレスが使用されるため、トランスペアレントモードのスイッチ（または他のベンダーのスイッチ）はドメイン内のその他のシスコスイッチにフレームを単純にフラッディングします。

^{1 CatOS ソフトウェアリリース 7.1 では、}オフモードを使用して VTP を無効にするオプションが導入されています。VTP オフモードでは、スイッチは VTP トランスペアレントモードと非常によく似た方法で動作します。ただし、オフモードでは VTP アップデートの転送も抑制されます。

次の表に、初期設定の概要を示します。

機能	デフォルト値
VTPドメイン名	ヌル
VTP モード	サーバ
VTP バージョン	バージョン 1 がイネーブル
VTP パスワード	なし
VTP Pruning	Disabled

VTP バージョン 2（VTPv2）には、次の機能上の柔軟性があります。ただし、VTP バージョン1（VTPv1）とは相互運用できません。

トークンリングのサポート
認識されない VTP 情報のサポート。スイッチで解析できない値も伝搬されるようになりました。
バージョンに依存した transparent モード。transparent モードではドメイン名がチェックされなくなりました。そのため、トランスペアレントドメインを越えて複数のドメインをサポートできます。
バージョン番号の伝搬。すべてのスイッチで VTPv2 が使用可能な場合は、1 台のスイッチを設定することですべてのスイッチを有効にできます。

詳細については、VLAN トランクプロトコル（VTP）の説明と設定 [英語] を参照してください。

VTP バージョン 3

CatOS ソフトウェアリリース 8.1 では、VTP バージョン 3（VTPv3）のサポートが導入されています。 VTPv3 には、既存バージョンに対する拡張機能があります。それらの拡張機能により次のことが可能になります。

拡張 VLAN のサポート
プライベート VLAN の作成およびアドバタイズメントのサポート
VLAN インスタンスおよび MST マッピング伝達インスタンス（CatOS リリース 8.3 でサポート）のサポート
サーバ認証の向上
「誤った」データベースが偶発的に VTP ドメインに挿入されることからの保護
VTPv1 と VTPv2 との相互作用
ポート単位の設定機能

VTPv3の実装と以前のバージョンの主な違いの1つは、VTPプライマリサーバの導入です。理想的には、ドメインがパーティション化されていない場合、VTPv3ドメインにプライマリサーバが1つだけ存在する必要があります。VTPドメインに伝搬するためには、VTPドメインに対する変更をVTPプライマリサーバで実行する必要があります。1 つの VTPv3 ドメイン内に複数のサーバを設定することもでき、それらは、セカンダリサーバとしても知られています。スイッチがサーバになるように設定されている場合、そのスイッチはデフォルトでセカンダリサーバになります。セカンダリサーバはドメインの設定を保存できますが、設定を変更することはできません。セカンダリサーバは、スイッチからのテイクオーバーに成功するとプライマリサーバになることができます。

VTPv3 を実行するスイッチは、現在のプライマリサーバよりも大きいリビジョン番号の VTP データベースのみ受け入れます。このプロセスは、スイッチが常に同じドメイン内のネイバーからの優れた設定を受け入れる VTPv1 や VTPv2 とは大きく異なります。この VTPv3 での変更により保護が提供されます。より大きい VTP リビジョン番号を持つ新しいスイッチがネットワークに導入されても、ドメイン全体の VLAN 設定は上書きされません。

VTPv3では、VTPによるパスワードの処理方法も拡張されています。パスワードを「hidden」として設定するために、hidden パスワード設定オプションを使用すると、次の状態が生じます。

パスワードが設定のプレーンテキストに表示されず、シークレット 16 進形式のパスワードが設定に保存されます。
スイッチをプライマリサーバとして設定しようとすると、パスワード入力を要求されます。パスワードがシークレットパスワードに一致すれば、スイッチはプライマリサーバとなり、ドメインの設定が可能となります。

注：プライマリサーバが必要になるのは、いずれかのインスタンスのVTP設定を変更する必要がある場合だけであることに注意してください。セカンダリサーバがリロードを通じて設定の持続性を保証するため、VTP ドメインは、アクティブなプライマリサーバがなくても動作できます。プライマリサーバの状態は、次の理由により終了します。

スイッチのリロード
アクティブおよび冗長スーパバイザエンジン間のハイアベイラビリティスイッチオーバー
別のサーバからのテイクオーバー
モード設定の変更
次のような、VTP ドメイン設定の変更
- バージョン
- ドメイン名
- ドメインパスワード

VTPv3 では、スイッチが VTP の複数のインスタンスに参加することもできます。この場合、VTP モードは各 VTP インスタンスごとに固有であるため、同じスイッチを 1 つのインスタンスの VTP サーバおよび別のインスタンスのクライアントに設定できます。たとえば、1 台のスイッチを MST インスタンスのトランスペアレントモードで稼働させながら、そのスイッチを VLAN インスタンスのサーバモードに設定することができます。

VTPv1 と VTPv2 との相互運用の点では、VTP のすべてのバージョンのデフォルト動作は同じで、VTP の旧バージョンでは新しいバージョンの更新が単純に破棄されていました。VTPv1 スイッチと VTPv2 スイッチがトランスペアレントモードでない限り、VTPv3 の更新はすべて破棄されます。一方で、VTPv3 スイッチは、レガシーの VTPv1 または VTPv2 フレームをトランクで受信すると、それぞれのデータベース更新の縮小バージョンを VTPv1 スイッチと VTPv2 スイッチに渡します。ただし、この情報交換は、VTPv1 スイッチと VTPv2 スイッチからの更新が VTPv3 スイッチによって受け入れられないという点で単方向の交換です。トランク接続では、VTPv3 スイッチは、トランクポート全体で VTPv2 ネイバーと VTPv3 ネイバーの存在に応じるために、縮小された更新と VTPv3 の本格的な更新の送信を続けます。

拡張 VLAN に対する VTPv3 のサポートを提供するために、VTP により VLAN ごとに 70 バイトが割り当てられる VLAN データベースの形式が変更されています。この変更により、レガシープロトコルの未変更フィールドを伝達する代わりに、デフォルト値以外のコーディングのみ許可されます。この変更のために、4K VLAN のサポートが結果として作成される VLAN データベースのサイズに影響します。

推奨事項

VTP クライアント/サーバモードを使用すべきか、VTP トランスペアレントモードを使用すべきかに関する具体的な推奨事項はありません。一部のお客様は、後述のような考慮事項はありますが、VTP クライアント/サーバモードの管理の容易さを好んでいます。冗長性を確保するためにドメインごとに 2 つのサーバモードスイッチ、通常は 2 つのディストリビューションレイヤスイッチを設定することを推奨します。ドメイン内の残りのスイッチはクライアントモードに設定する必要があります。VTPv2 を使用してクライアント/サーバモードを実装する場合、同じ VTP ドメインではより大きなリビジョン番号が常に受け入れられることに注意してください。VTP クライアントまたはサーバモードに設定されているスイッチを VTP ドメインに導入し、そのリビジョン番号が既存の VTP サーバより大きい場合、その VTP ドメイン内の VLAN データベースが上書きされます。この設定変更が意図したものではなく、VLAN が削除された場合、この上書きによってネットワークの大規模な停止が発生する可能性があります。クライアントスイッチまたはサーバスイッチのコンフィギュレーションリビジョン番号がサーバの番号よりも常に低い番号になるようにするには、クライアントの VTP ドメイン名を標準以外の名前に変更してから、再び標準の名前に戻します。この操作により、クライアントのコンフィギュレーションリビジョン番号が 0 に設定されます。

ネットワークに簡単に変更を加えられる VTP の機能には長所と短所があります。多くの企業では、次の理由により、注意深いアプローチが好まれるため、VTP トランスペアレントモードが使用されています。

スイッチまたはトランクポート上の VLAN の変更要件を 1 台のスイッチごとに検討する必要があるため、適切な変更管理が実践できる。
誤って VLAN を削除するなど、ドメイン全体に影響を及ぼす管理者のエラーのリスクを限定できる。
より大きい VTP リビジョン番号を持つ新しいスイッチがネットワークに導入されて、ドメイン全体の VLAN 設定が上書きされるリスクがなくなる。
実行中のトランクから VLAN をプルーニングして、その VLAN 内にポートを持たないスイッチに戻すことができる。その結果、フレームフラッディング時の帯域幅効率が向上します。また、手動でプルーニングすることで、スパニングツリーの直径が小さくなります（このドキュメントの「DTP」の項を参照してください）。ポートチャネルトランクの未使用の VLAN をプルーニングする前に、IP フォンに接続されているすべてのポートが音声 VLAN があるアクセスポートとして設定されていることを確認します。
CatOS 6.x および CatOS 7.x の拡張 VLAN の範囲（1025 ～ 4094）は、この方法でのみ設定できる。詳細については、このドキュメントの「拡張 VLAN と MAC アドレスリダクション」の項を参照してください。
VTP トランスペアレントモードは、Cisco Works 2000 の一部である Campus Manager 3.1 でサポートされている。VTP ドメイン内に少なくとも 1 台のサーバが必要だった以前の制限は削除されています。

サンプル VTP コマンド	注釈
set vtp domain name password x	CDP では、ドメイン間の配線のミスをチェックするために名前が確認されます。簡易パスワードは、意図しない変更に対する予防措置となります。貼り付ける場合は名前やスペースの大文字と小文字の区別に注意してください。
set vtp mode transparent
set vlan vlan number name name	VLAN にポートを持つスイッチごとに設定します。
set trunk mod/port vlan range	必要に応じてトランク経由の VLAN 伝送を可能にします。デフォルトはすべての VLAN です。
clear trunk mod/port vlan range	ディストリビューションレイヤからアクセスレイヤへのトランクなど、VLAN が存在しないトランクで手動プルーニングを行うことにより、STP の直径を制限します。

注：setコマンドでVLANを指定しても、VLANが追加されるだけで、削除はされません。たとえば、set trunk x/y 1-10 コマンドは、許可リストをVLAN 1 ～ 10だけに設定するコマンドではありません。目的とする結果を得るには、clear trunk x/y 11-1005 コマンドを発行します。

トークンリングスイッチングはこのドキュメントの範囲外ですが、VTP トランスペアレントモードは TR-ISL ネットワークには推奨されない点に注意してください。トークンリングスイッチングの基本は、ドメイン全体が 1 つの分散マルチポートブリッジを形成することです。そのため、すべてのスイッチの VLAN 情報が同じである必要があります。

その他のオプション

VTPv2 はトークンリング環境では必須であり、クライアント/サーバモードの使用が強く推奨されます。

VTPv3 には、より厳密な認証およびコンフィギュレーションリビジョンの制御を実装する機能があります。VTPv3 では、基本的に VTPv1/VTPv2 のトランスペアレントモードで提供されているのと同じレベルの機能が提供されますが、セキュリティはより強化されています。また、VTPv3 はレガシーの VTP バージョンとは部分的に互換性があります。

このドキュメントでは、VLAN をプルーニングすることでフレームの不要なフラッディングが削減されるという利点を挙げました。set vtp pruning enable コマンドを使用すると、VLAN が自動的にプルーニングされ、必要でない場所へのフレームの非効率的なフラッディングが停止されます。手動での VLAN プルーニングとは異なり、自動プルーニングではスパニングツリーの直径は制限されません。

CatOS 5.1 以降では、Catalyst スイッチは 1000 よりも大きい 802.1Q VLAN 番号を ISL VLAN 番号にマッピングできます。CatOS 6.x では、Catalyst 6500/6000 スイッチは IEEE 802.1Q 規格に従って 4096 個の VLAN をサポートします。これらの VLAN は次の 3 つの範囲に分けられており、その中の一部だけが、VTP に対応したネットワーク内のスイッチに伝達されます。

通常範囲のVLAN:1 ～ 1001
拡張範囲の VLAN：1025 ～ 4094（VTPv3 だけで伝搬できます）
予約範囲の VLAN：0、1002 ～ 1024、4095

IEEE は、VTP と同じ結果を実現する標準ベースのアーキテクチャを作成しました。802.1Q Generic Attribute Registration Protocol（GARP）のメンバーとして、Generic VLAN Registration Protocol（GVRP）は異なるベンダー間における VLAN 管理の相互運用を可能にします。ただし、これはこのドキュメントの範囲外です。

注：CatOS 7.xでは、トランスペアレントによく似たモードであるoffモードにVTPを設定するオプションが導入されています。ただし、スイッチは VTP フレームを転送しません。これは、管理制御の範囲外にあるスイッチにトランキングするような設計の場合に役立つことがあります。

拡張 VLAN と MAC アドレスリダクション

MAC アドレスリダクション機能により、拡張範囲 VLAN の識別が可能になります。MAC アドレスリダクションを有効にすると、VLAN スパニングツリーに使用される MAC アドレスプールが無効になり、1 つの MAC アドレスが残ります。スイッチは、この MAC アドレスで識別されます。CatOS ソフトウェアリリース 6.1(1) には、Catalyst 6500/6000 スイッチと Catalyst 4500/4000 スイッチに対する MAC アドレスリダクションのサポートが導入されており、IEEE 802.1Q 標準に準拠して 4096 個の VLAN がサポートされます。

動作の概要

スイッチプロトコルでは、PVST+ 下で動作する VLAN のブリッジ ID の一部としてシャーシの EPROM によって提供される、使用可能なアドレスのバンクから取得される MAC アドレスが使用されます。Catalyst 6500/6000 スイッチおよび Catalyst 4500/4000 スイッチでは、シャーシタイプに応じて 1024 個または 64 個の MAC アドレスがサポートされます。

1024個のMACアドレスを持つCatalystスイッチでは、デフォルトではMACアドレスリダクションは有効になりません。MAC アドレスは連続的に割り当てられるため、範囲内の最初の MAC アドレスは VLAN 1 に割り当てられます。範囲内の 2 番目の MAC アドレスは VLAN 2 に割り当てられ、その後も同様に割り当てられます。これにより、スイッチは一意のブリッジIDを使用して各VLANで1024のVLANをサポートできます。

シャーシタイプ	シャーシアドレス
WS-C4003-S1、WS-C4006-S2	1024
WS-C4503、WS-C4506	64¹
WS-C6509-E、WS-C6509、WS-C6509-NEB、WS-C6506-E、WS-C6506、WS-C6009、WS-C6006、OSR-7609-AC、OSR-7609-DC	1024
WS-C6513、WS-C6509-NEB-A、WS-C6504-E、WS-C6503-E、WS-C6503、CISCO7603、CISCO7606、CISCO7609、CISCO7613	64¹

¹ 64個のMACアドレスがあるスイッチではMACアドレスリダクションがデフォルトで有効になり、この機能を無効にすることはできません。

1024個のMACアドレスがあるCatalystシリーズスイッチの場合、MACアドレスリダクションを有効にすると、スイッチに必要なMACアドレスの数を増やさずに、PVST+で動作する4,096個のVLANをサポートしたり、Multiple Instance STP（MISTP；マルチインスタンスSTP）インスタンスを16個保持して一意のIDを設定したりできます。MAC アドレスリダクションを使用すると、STP で必要な MAC アドレス数が、VLAN または MISTP インスタンスごとに 1 つから、スイッチごとに 1 つへと減少します。

次の図は、ブリッジ ID MAC アドレスリダクションが有効になっていない場合を示しています。ブリッジ ID は、2 バイトのブリッジプライオリティと 6 バイトの MAC アドレスで構成されています。

MAC アドレスリダクションでは、BPDU の STP ブリッジ ID 部分が変更されます。元の 2 バイトのプライオリティフィールドは 2 つのフィールドに分割されます。分割後、4 ビットのブリッジプライオリティフィールドと 0 から 4095 までの VLAN 番号を割り当てられる 12 ビットのシステム ID 拡張部分になります。

拡張範囲 VLAN を利用するために、Catalyst スイッチで MAC アドレスリダクションを有効にする場合は、同じ STP ドメイン内のすべてのスイッチで MAC アドレスリダクションを有効にします。この手順は、すべてのスイッチでSTPルート計算の一貫性を維持するために必要です。MACアドレスリダクションを有効にすると、ルートブリッジのプライオリティは4096の倍数にVLAN IDを加えた値になります。MACアドレスリダクションが設定されていないスイッチでは、ブリッジIDの選択の精度が高くなるため、意図せずにルートとして主張される可能性があります。

設定のガイドライン

拡張範囲 VLAN を設定する際には、特定のガイドラインに従う必要があります。スイッチは、内部の目的のために、拡張範囲からVLANのブロックを割り当てることができます。たとえば、スイッチは、ルーテッドポートや Flex WAN モジュール用の VLAN を割り当てることができます。VLANのブロックの割り当ては、常にVLAN 1006から始まり、その後に続きます。Flex WANモジュールが必要とする範囲内のVLANがある場合、VLANがユーザVLANエリアから割り当てられることがないため、必要なVLANはすべて割り当てられません。show vlanコマンドかshow vlan summaryコマンドをスイッチで発行すると、ユーザ割り当てと内部使用のVLANの両方を表示できます。

>show vlan summary

Current Internal Vlan Allocation Policy - Ascending

Vlan status    Count  Vlans
-------------  -----  ------------------------------------------
VTP Active         7   1,17,174,1002-1005

Internal           7   1006-1011,1016

!--- These are internal VLANs.

>show vlan
---- -------------------------------- --------- ------- --------

1    default                          active    7       4/1-48



!--- Output suppressed.


1006 Online Diagnostic Vlan1          active    0       internal
1007 Online Diagnostic Vlan2          active    0       internal
1008 Online Diagnostic Vlan3          active    0       internal
1009 Voice Internal Vlan              active    0       internal
1010 Dtp Vlan                         active    0       internal
1011 Private Vlan Internal Vlan       suspend   0       internal
1016 Online SP-RP Ping Vlan           active    0       internal

!--- These are internal VLANs.

さらに、拡張範囲 VLAN を使用する前に、802.1Q から ISL への既存のマッピングをすべて削除する必要があります。また、VTPv3 よりも前のバージョンでは、VTP トランスペアレントモードを使用して各スイッチに拡張 VLAN を静的に設定する必要があります。詳細については、VLAN の設定 [英語] の「拡張範囲 VLAN の設定ガイドライン」の項を参照してください。

注：ソフトウェアリリース8.1(1)よりも前のソフトウェアでは、拡張範囲VLANのVLAN名を設定できません。この機能は、VTP のバージョンまたはモードに関係ありません。

推奨事項

同じ STP ドメイン内では、一貫性のある MAC アドレスリダクションの設定を維持するようにしてください。ただし、64 個の MAC アドレスが設定された新しいシャーシを STP ドメインに導入する場合、すべてのネットワークデバイスで MAC アドレスリダクションを実施するのは現実的ではない場合があります。64 個の MAC アドレスがあるスイッチでは MAC アドレスリダクションがデフォルトで有効になっており、この機能を無効にすることはできません。同じスパニングツリープライオリティが 2 つのシステムに設定されている場合、MAC アドレスリダクションが設定されていないシステムのスパニングツリープライオリティの方が高くなることに注意してください。MAC アドレスリダクションを有効または無効にするには、次のコマンドを発行します。

set spantree macreduction enable | disable

内部 VLAN の割り当ては VLAN 1006 から昇順に行われます。ユーザ VLAN と内部 VLAN の競合を避けるために、VLAN 4094 にできるだけ近いユーザ VLAN を割り当てます。Cisco IOS® システムソフトウェアが稼働する Catalyst 6500 スイッチでは、内部 VLAN の割り当てを降順に設定できます。CatOS ソフトウェア用のコマンドラインインターフェイス（CLI）相当の機能は正式にはサポートされていません。

自動ネゴシエーション

イーサネット/ファストイーサネット

自動ネゴシエーションは IEEE ファストイーサネット（FE）規格（802.3u）のオプション機能であり、デバイス間で速度とデュプレックス機能に関する情報をリンク経由で自動的に交換できます。自動ネゴシエーションはレイヤ 1（L1）で動作し、PC などの一時的なユーザがネットワークに接続するアクセスレイヤポートを対象とします。

動作概要

10/100 Mbps イーサネットリンクでパフォーマンスの問題が発生する最も一般的な原因は、リンクの一方のポートが半二重で動作し、もう一方のポートが全二重で動作していることにあります。これは、リンクの一方または両方のポートがリセットされた後、両リンクパートナーの設定が自動ネゴシエーションプロセスによって同じに設定にならない場合にときどき発生します。また、管理者がリンクの一方を再設定し、もう一方の再設定を忘れた場合にも発生します。この場合の典型的な症状としては、スイッチでのフレームチェックシーケンス、Cyclic Redundancy Check（CRC; 巡回冗長検査）、配置カウンタ、またはラントカウンタの増加があります。

自動ネゴシエーションについては、次のドキュメントで詳細に説明されています。次のドキュメントでは、自動ネゴシエーションの動作方法および設定オプションも説明されています。

自動ネゴシエーションでは、一方のリンクパートナーを 100 Mbps の全二重に手動で設定すれば、もう一方のリンクパートナーは全二重に自動ネゴシエーションされるものと一般に誤解されています。実際は、このように設定すると、デュプレックスミスマッチが起こります。つまり、一方のリンクパートナーで自動ネゴシエーションが行われた結果、もう一方のリンクパートナーからの自動ネゴシエーションパラメータが認識されず、半二重にデフォルト設定されてしまいます。

ほとんどのCatalystイーサネットモジュールでは10/100 Mbpsと半二重/全二重がサポートされていますが、show port capabilities mod/port コマンドでこれを確認します。

FEFI

自動ネゴシエーションが物理層およびシグナリング関連の障害から 100BASE-TX（銅線）を保護するのに対し、Far End Fault Indication（FEFI）は 100BASE-FX（ファイバ）およびギガビットインターフェイスを保護します。

遠端障害は、TX ワイヤが外れている場合など、一方のステーションでは検出でき、もう一方では検出できない種類のリンクエラーです。この例では、送信側ステーションは有効なデータを受信し、リンク完全性モニタを通じてリンクが良好であることを検出できますが、自身が送信したデータが相手側ステーションで受信されていないことは検出できません。リモート障害を検出した 100Base-FX ステーションは、ネイバーにリモート障害を通知するために、伝送された IDLE ストリームを修正して特別なビットパターン（FEFI IDLE パターンと呼ばれる）を送信します。FEFI-IDLE パターンが到達すると、リモートポートがシャットダウンされます（errdisable）。障害保護の詳細については、このドキュメントの「UDLD」の項を参照してください。

FEFI は次のハードウェアとモジュールでサポートされています。

Catalyst 5500/5000:WS-X5201R、WS-X5305、WS-X5236、WS-X5237、WS-U5538、およびWS-U5539
Catalyst 6500/6000および4500/4000：すべての100BASE-FXモジュールとGEモジュール

推奨事項

10/100 リンクで自動ネゴシエーションを設定するか、または速度とデュプレックスをハードコードするかは、リンクパートナーのタイプ、または Catalyst スイッチポートに接続したエンドデバイスのタイプによって最終的に決まります。エンドデバイスと Catalyst スイッチ間の自動ネゴシエーションは、通常は適切に動作し、Catalyst スイッチは IEEE 802.3u 仕様に準拠しています。ただし、NIC やベンダーのスイッチが厳密に準拠していない場合は、問題が生じることがあります。自動極性や配線の完全性など、10/100 Mbps 自動ネゴシエーションに関する IEEE 802.3u 仕様に規定されていないベンダー固有の拡張機能のために、ハードウェアの非互換性などの問題が生じることもあります。この問題の例については、『Field Notice：Intel Pro/1000T NIC が CAT4K/6K に接続している場合のパフォーマンスの問題』を参照してください。

ホスト、ポート速度、およびデュプレックスの設定が必要になる状況があることを想定してください。一般的には、次の基本的なトラブルシューティング手順に従います。

リンクの両側で自動ネゴシエーションが設定されているか、または両側でハードコーディングが設定されていることを確認します。
CatOS のリリースノートを参照し、一般的な注意事項を確認します。
NIC ドライバや実行しているオペレーティングシステムのバージョンを確認します。最新のドライバやパッチが必要な場合がよくあります。

原則として、リンクパートナーのタイプにかかわらず、最初は自動ネゴシエーションを使用してみます。ラップトップなどの一時的なデバイスのために自動ネゴシエーションを設定することには明らかな利点があります。理想的な環境では、自動ネゴシエーションは、サーバや固定ワークステーションなどの非一時的デバイス、スイッチ間、およびスイッチとルータ間でも適切に動作します。ただし、前述のような理由から、ネゴシエーションの問題が生じる場合があります。そのような場合は、記載されている TAC リンクの説明に従って基本的なトラブルシューティング手順を実行します。

10/100 Mbps イーサネットポート上でポート速度を auto に設定すると、速度とデュプレックスの両方で自動ネゴシエーションが行われます。ポートを auto に設定するには、次のコマンドを発行します。

set port speed port range auto

!--- This is the default.

ポートをハードコーディングする場合は、次の設定コマンドを発行します。

set port speed port range 10 | 100
set port duplex port range full | half

CatOS 8.3 以降では、オプションの auto-10-100 キーワードが導入されています。10/100/1000 Mbps の速度をサポートするポートで、1000 Mbps に自動ネゴシエーションされるのが望ましくない場合には、auto-10-100 キーワードを使用します。auto-10-100 キーワードを使用すると、そのポートを、速度が auto に設定されている 10/100 Mbps のポートと同様に動作させることができます。10/100 Mbps のポートだけに対して速度とデュプレックスがネゴシエートされ、1000 Mbps の速度はネゴシエーションの対象になりません。

set port speed port_range auto-10-100

その他のオプション

スイッチ間で自動ネゴシエーションを使用しない場合は、ある種の問題に関する L1 障害表示も表示されなくなることがあります。アグレッシブ UDLD などの L2 プロトコルを使用すると、障害検出の強化に役立ちます。

ギガビットイーサネット

ギガビットイーサネット（GE）の自動ネゴシエーション手順（IEEE 802.3z）は 10/100 Mbps イーサネットの手順よりも幅広い機能に対応しており、フロー制御パラメータ、リモート障害情報、およびデュプレックス情報の交換に使用されます（ただし、Catalyst シリーズの GE ポートでは全二重モードのみサポートされます）。

注：802.3zはすでにIEEE 802.3:2000仕様で置き換えられています。詳細は、『IEEE Standards On Line LAN/MAN Standards Subscription: Archives』を参照してください。

動作概要

GE ポートのネゴシエーションはデフォルトで有効になっており、GE リンクの両端のポートで設定が同一である必要があります。FE とは異なり、リンクの両端のポートで自動ネゴシエーションの設定が異なっていると GE リンクがアップしません。ただし、自動ネゴシエーションが無効になっているポートでは、遠端から有効なギガビットシグナルを受信するだけでリンクがアップします。この動作は、遠端の自動ネゴシエーションの設定には依存しません。たとえば、A、B という 2 台のデバイスがあり、各デバイスの自動ネゴシエーションを有効または無効にできるとします。次の表は、可能な設定とそれぞれのリンクステートを示しています。

ネゴシエーション	B 有効	B 無効
A 有効	`両端で up`	A `down`、B `up`
A 無効	A `up`、B `down`	`両端で up`

GE では、同期と自動ネゴシエーション（有効な場合）は、予約済みの特別なシーケンスのリンクコードワードを使用して、リンクの起動時に実行されます。

注：有効な単語の辞書があり、GEではすべての単語が有効なわけではありません。

GE 接続のライフサイクルには、次のように表すことができます。

同期の損失とはリンクダウンが MAC で検出されることを意味します。同期の損失は自動ネゴシエーションの有効/無効に関係なく適用されます。無効なワードを 3 回続けて受信するなど、特定の障害条件を満たすと同期が失われます。この状態が 10 ミリ秒間続くと、「sync fail」状態がアサートされて、リンクが link_down 状態に変わります。同期が失われた後に再同期するためには、有効なアイドルが 3 回連続する必要があります。受信（Rx）信号の損失など、その他の壊滅的なイベントも link-down イベントの原因となります。

自動ネゴシエーションはリンクアッププロセスの一部です。リンクがアップすると、自動ネゴシエーションは終了します。ただし、スイッチは引き続きリンクのステータスをモニタします。ポートの自動ネゴシエーションが無効になっている場合、「autoneg」フェーズは使用できなくなります。

GE 銅線仕様（1000BASE-T）では、Next Page Exchange による自動ネゴシエーションがサポートされています。Next Page Exchange では、10/100/1000 Mbps の速度の自動ネゴシエーションを銅線ポートで実行できます。

注：GEファイバ仕様では、デュプレックス、フロー制御、およびリモート障害検出のネゴシエーションだけが規定されています。GE ファイバポートでは、ポート速度のネゴシエーションは行われません。自動ネゴシエーションについての詳細は、IEEE 802.3-2002仕様のセクション28と37を参照してください。

同期の再起動遅延は、自動ネゴシエーションの合計時間を制御するソフトウェア機能です。この時間内に自動ネゴシエーションが正常に行われなかった場合は、デッドロックが存在する場合にファームウェアによって自動ネゴシエーションが再起動されます。set port sync-restart-delay コマンドが有効なのは、自動ネゴシエーションが enable に設定されている場合だけです。

推奨事項

自動ネゴシエーションの有効化は、10/100 環境の場合よりも GE 環境においてはるかに重要です。実際には、ネゴシエーションをサポートしていないデバイスに接続されたスイッチポート、または相互運用性の問題が原因で接続の問題が生じているスイッチポートでのみ自動ネゴシエーションを無効にする必要があります。シスコでは、すべてのスイッチ間リンクおよび通常はすべての GE デバイスでギガビットネゴシエーションを有効（デフォルト）にすることを推奨しています。自動ネゴシエーションを有効にするには、次のコマンドを発行します。

set port negotiation port range enable

!--- This is the default.

既知の例外の1つは、リリース12.0(10)S（フロー制御と自動ネゴシエーションが追加されたリリース）より前のCisco IOSソフトウェアを実行しているGigabit Switch Router（GSR；ギガビットスイッチルータ）への接続がある場合です。この場合はこれら 2 つの機能をオフにします。そうしないと、スイッチポートでは not connected と報告され、GSR ではエラーが報告されます。次にコマンドシーケンスの例を示します。


set port flowcontrol receive port range off
set port flowcontrol send port range off
set port negotiation port range disable

スイッチとサーバ間の接続はケースバイケースで対応する必要があります。シスコのお客様からは、Sun、HP、および IBM サーバでギガビットネゴシエーションに関する問題が報告されています。

その他のオプション

フロー制御は 802.3x 仕様のオプション部分ですが、使用する場合はネゴシエーションする必要があります。デバイスは、PAUSE フレーム（既知の MAC 01-80-C2-00-00-00 0F）の送信や応答に対応している場合と対応していない場合があります。また、遠端のネイバーのフロー制御要求には同意できません。入力バッファが一杯になりそうなポートからそのリンクパートナーに PAUSE フレームが送信されると、リンクパートナーは送信を停止し、自身の出力バッファに以降のフレームを保持します。これで定常状態のオーバーサブスクリプション問題が解決されることはありませんが、バースト時にはパートナーの出力バッファの一部分だけで入力バッファを効率的に拡張できます。

この機能は、アクセスポートとエンドホストの間のリンクで使用するのが最適です。エンドホストでは、ホストの出力バッファが仮想メモリと同じサイズになる可能性があります。スイッチ間で使用しても限られたメリットしかありません。

スイッチポートでこの制御を行うには、次のコマンドを発行します。


set port flowcontrol mod/port receive | send off |on | desired


>show port flowcontrol

 Port  Send FlowControl    Receive FlowControl   RxPause TxPause
       admin    oper       admin    oper
-----  -------- --------   -------- --------     ------- -------
 6/1   off      off        on       on           0       0
 6/2   off      off        on       on           0       0
 6/3   off      off        on       on           0       0

注：ネゴシエートされた場合、すべてのCatalystモジュールがPAUSEフレームに応答します。WS-X5410 や WS-X4306 などの一部のモジュールはノンブロッキングモジュールであるため、送信するようにネゴシエートされている場合でも、PAUSE フレームを送信しません。

ダイナミックトランキングプロトコル

カプセル化タイプ

トランクでは、元のイーサネットフレームを一時的に識別してタグ付けし（リンクローカル）、それらのフレームを単一リンク上で多重化できるようにすることで、デバイス間の VLAN が拡張されます。これにより、スイッチ間で異なる VLAN ブロードキャストドメインとセキュリティドメインが維持されます。スイッチ内部では、CAM テーブルによってフレームと VLAN のマッピングが保持されます。

トランキングは、ATM LANE、FDDI 802.10、イーサネットなどの各種 L2 メディアでサポートされています。ただし、ここではイーサネットについてのみ説明しています。

ISL の動作概要

長年、シスコ独自の識別またはタギング方式である ISL が使用されてきましたが、現在では 802.1Q IEEE 規格も使用できます。

元のフレームを 2 レベルのタギング方式で完全にカプセル化することから、ISL は事実上トンネリングプロトコルであり、非イーサネットフレームを伝送できるという付加的な利点もあります。ISL では標準のイーサネットフレームに 26 バイトのヘッダーと 4 バイトの FCS が追加されます。つまり、トランクとして設定されたポートでは、標準よりも大きいイーサネットフレームが到達して処理されます。ISL は 1024個の VLAN をサポートします。

ISL フレーム形式

40 ビット	4 ビット	4 ビット	48 ビット	16 ビット	24 ビット	24 ビット	15 ビット	ビット	16 ビット	16 ビット	可変長	32 ビット
着信アドレス	Type	ユーザ	SA	LEN	SNAP LLC	HSA	VLAN	BPDU	インデックス	予約	カプセル化フレーム	FCS
01-00-0c-00-00					AAAA03	00000C

詳細については、『スイッチ間リンクと IEEE 802.1Q のフレーム形式』を参照してください。

802.1Q の動作概要

IEEE 802.1Q 規格では、カプセル化タイプだけではなく、スパニングツリーの拡張機能、GARP（このドキュメントの「VTP」の項を参照）、802.1p Quality of Service（QoS）タギングなどが規定されています。

802.1Q フレーム形式では元のイーサネット送信元アドレスと宛先アドレスが保持されます。一方、スイッチは、ホストが QoS シグナリングの 802.1p ユーザプライオリティを示すためにタギングを使用できるアクセスポートの場合でも、ベビージャイアントフレームの受信を想定する必要があります。タグは 4 バイトなので、802.1Q イーサネット v2 フレームは 1522 バイトになります。これは IEEE 802.3ac ワーキンググループが決めたものです。802.1Q では、4096 個の VLAN に対応する番号領域もサポートされています。

送受信されるすべてのデータフレームには、ネイティブ VLAN 上のフレームを除き、802.1Q タグが付けられます（ネイティブ VLAN には、入力スイッチポートの設定に基づく暗黙的なタグがあります）。ネイティブ VLAN 上のフレームは常にタグなしで送信され、通常はタグなしで受信されますが、タグ付きで受信される場合もあります。

詳細については、『IEEE 802.10 による VLAN の標準化』または『Get IEEE 802』を参照してください。

802.1Q/801.1p フレーム形式

		タグヘッダー
		TPID	TCI
48 ビット	48 ビット	16 ビット	3 ビット	1 ビット	12 ビット	16 ビット	可変長	32 ビット
DA	SA	TPID	Priority	CFI	VLAN ID	長さ/タイプ	データ（PAD を含む）	FCS
		0x8100	0 ~ 7	0 ~ 1	0 ～ 4095

推奨事項

最近のハードウェアではすべて 802.1Q がサポートされているため（Catalyst 4500/4000 シリーズや CSS 11000 などは 802.1Q のみサポート）、新しく実装する場合はすべて IEEE 802.1Q 規格に準拠して、古いネットワークを ISL から徐々に移行することを推奨します。

IEEE 規格では異なるベンダーの相互運用が可能です。新しいホストの 802.1p 対応の NIC やデバイスが使用可能になるため、この点はすべてのシスコ環境に利点をもたらします。ISL と 802.1Q の実装はどちらも成熟していますが、最終的には IEEE 規格の方が現場で広く利用されるようになり、ネットワークアナライザのサポートなど、サードパーティのサポートも IEEE 規格が中心になります。802.1Q のカプセル化のオーバーヘッドは ISL に比べて小さいため、802.1Q の小さな利点として挙げられます。

カプセル化タイプは DTP を使用してスイッチ間でネゴシエートされます。両端で ISL がサポートされている場合はデフォルトで ISL が選択されるため、次のコマンドを発行して dot1q を指定する必要があります。


set trunk mod/port mode dot1q

このドキュメントの「インバンド管理」の項で説明されているように、トランクから VLAN 1 が削除されると、ユーザデータは送受信されなくなりますが、CDP や VTP などの制御プロトコルは、NMP によって引き続き VLAN 1 で転送されます。

また、このドキュメントの「VLAN 1」の項で説明されているように、CDP、VTP、および PAgP パケットは、トランキングされている場合は常に VLAN 1 で送信されます。dot1q カプセル化を使用している場合に、スイッチのネイティブ VLAN が変更されると、これらの制御フレームは VLAN 1 でタグ付けされます。ルータへのdot1qトランキングが有効で、スイッチでネイティブVLANが変更されている場合、タグ付きCDPフレームを受信してルータにCDPネイバー情報を提供するには、VLAN 1にサブインターフェイスが必要です。

注：ネイティブVLANの暗黙的なタギングが原因で、dot1qではセキュリティの問題が発生する可能性があります。これは、ルータなしで1つのVLANから別のVLANにフレームを送信できるためです。詳細は、『Are there Vulnerabilities in VLAN Implementations?』を参照してください。この問題を回避するには、エンドユーザアクセスに使用していない、トランクのネイティブ VLAN の VLAN ID を使用します。シスコのお客様のほとんどは、トランクのネイティブ VLAN を VLAN 1 のままとし、アクセスポートを VLAN 1 以外の VLAN に割り当てることで簡単にこの問題を解決しています。

トランキングモード

DTP は Dynamic ISL（DISL）の第 2 世代で、ISL フレームや 802.1Q フレームの送信に関係する各種パラメータ（設定済みのカプセル化タイプ、ネイティブ VLAN、ハードウェア機能など）を、トランクの両端にあるスイッチ間で一致させるために存在します。また、ポートとそのネイバーが一貫性のある状態を保つようにすることで、重大なセキュリティリスクになり得る、非トランクポートからのタグ付きフレームのフラッディングに対する保護の役割を果たします。

動作概要

DTP は、スイッチポートとそのネイバーとの間で設定パラメータをネゴシエートする L2 プロトコルです。DTP では別のマルチキャスト MAC アドレス（01-00-0c-cc-cc-cc）とSNAP プロトコルタイプ 0x2004 が使用されます。次の表に、設定モードの要約を示します。

モード	機能	DTP フレーム送信	最終状態（ローカルポート）
`Auto（デフォルト）`	ポートは自発的にリンクをトランクに変換しようとします。隣接ポートが`on`または`desirable`モードに設定されている場合、ポートはトランクポートになります。	送信する、定期的	トランキング
`オン`	ポートを永続的なトランキングモードにし、リンクをトランクに変換するようにネゴシエートします。隣接ポートが変更に同意しなくても、ポートはトランクポートになります。	送信する、定期的	トランキング、無条件
`Nonegotiate`	ポートを永続的なトランキングモードにしますが、ポートが DTP フレームを生成しないようにします。トランクリンクを確立するには、ネイバーポートを手動でトランクポートとして設定する必要があります。これはデバイスが DTP をサポートしていない場合に役立ちます。	いいえ	トランキング、無条件
`Desirable`	リンクからトランクリンクへの変換をポートに積極的に試行させます。隣接ポートが`on`、`desirable`、または`auto`モードに設定されている場合、ポートはトランクポートになります。	送信する、定期的	リモートモードが`on`、`auto`、または`desirable`の場合にのみ、トランキング状態になります。
`オフ`	ポートを永続的な非トランキングモードにし、リンクを非トランクリンクに変換するようにネゴシエートします。隣接ポートが変更に同意しない場合でも、ポートは非トランクポートになります。	定常状態では送信しない。ただし、`on` からの変更後、リモートエンドでの検出を迅速化するために通知を送信する。	非トランキング

このプロトコルには次のような特徴があります。

DTP ではポイントツーポイント接続が前提となっており、シスコデバイスではポイントツーポイントの 802.1Q トランクポートのみサポートしています。
DTP ネゴシエーションの間、ポートは STP に参加しません。ポートが3つのDTPタイプ（アクセス、ISL、または802.1Q）の1つになった後にのみ、ポートはSTPに追加されます。それ以外の場合、PAgPが設定されていれば、ポートがSTPに参加する前に実行される次のプロセスがPAgPです。
ポートがISLモードでトランキングしている場合、DTPパケットはVLAN 1に送出されます。それ以外の場合（802.1Qトランキングまたは非トランキングポートの場合）、DTPパケットはネイティブVLANに送出されます。
desirable モードでは、DTP パケットは VTP ドメイン名（アップするにはネゴシエートされたトランクと一致している必要あり）に加えて、トランク設定と admin status を転送します。
メッセージは、ネゴシエーション中は 1 秒ごとに送信され、その後は 30 秒ごとに送信されます。
on、nonegotiate、および off の各モードでは、ポートの最終的な状態が明示的に指定されることを理解してください。設定が正しくない場合、一方がトランキングで、もう一方がトランキングでないという、整合性のない危険な状態になる可能性があります。
on、auto、または desirable モードのポートでは DTP フレームが定期的に送信されます。auto または desirable モードのポートは、DTP パケットを 5 分間受信しなかった場合、非トランクに設定されます。

ISL の詳細については、Catalyst 5500/5000 および 6500/6000 ファミリスイッチでの ISL トランキングの設定 [英語] を参照してください。802.1Q の詳細については、Cisco CatOS システムソフトウェアによる 802.1Q カプセル化を使用した Catalyst 4500/4000、5500/5000、および 6500/6000 シリーズスイッチ間のトランキング [英語] を参照してください。

推奨事項

シスコではリンクの両端でトランク設定を明示的に desirable に設定することを推奨しています。このモードでは、onモードとは異なり、ネットワークオペレータは、ポートがアップしてトランキング状態にあるというsyslogメッセージとコマンドラインステータスメッセージを信頼できます。onモードでは、ネイバーの設定が正しくない場合でも、ポートがアップしているように見せることができます。また、desirableモードのトランクでは、リンクの一方がトランクになれない場合や、トランク状態でなくなった場合にも安定して動作します。desirable モードに設定するには、次のコマンドを発行します。


set trunk mod/port desirable ISL | dot1q

注：すべての非トランクポートでトランクをoffに設定してください。こうすれば、ホストポートの起動時の無駄なネゴシエーション時間を削除できます。このコマンドは、set port host コマンドを使用するときにも実行されます。詳細は「STP」セクションを参照してください。特定範囲のポートでトランクを無効にするには、次のコマンドを発行します。


set trunk port range off

!--- Ports are not trunking; part of the set port host command.

その他のオプション

お客様がよく使用されるその他の設定として、ディストリビューションレイヤでのみ desirable モードを使用し、アクセスレイヤでは最も簡単なデフォルト設定（auto モード）を使用する方法があります。

Catalyst 2900XL などの一部のスイッチ、Cisco IOS ルータ、または他のベンダーのデバイスでは現在、DTP によるトランクネゴシエーションはサポートされていません。Catalyst 4500/4000、5500/5000、および 6500/6000 スイッチで nonegotiate モードを使用すると、それらのデバイスで無条件にポートをトランクに設定できます。これは、キャンパス全体での共通の設定による標準化に有効です。また、nonegotiate モードを実装して、「全体的な」リンクの初期化時間を短縮することもできます。

注：チャネルモードやSTP設定などの要因も、初期化時間に影響を与える可能性があります。

nonegotiate モードに設定するには、次のコマンドを発行します。

set trunk mod/port nonegotiate ISL | dot1q

ブリッジングを実行しているときに、on モードで受信した DTP フレームの一部がトランクポートに戻される場合があるので、Cisco IOS ルータに接続している場合は nonegotiate を使用することを推奨します。DTP フレームを受信すると、スイッチポートは不必要な再ネゴシエートを試みます（つまり、トランクがいったんダウンして再度アップします）。nonegotiate が有効になっている場合、スイッチは DTP フレームを送信しません。

スパニングツリープロトコル

基本的な考慮事項

スパニングツリープロトコル（STP）は、冗長なスイッチドネットワークおよびブリッジ型ネットワークにおいてループのない L2 環境を維持します。STP がないと、フレームは無限に増加しながらループし続け、その結果、大量のトラフィックによってブロードキャストドメイン内のすべてのデバイスで絶えず割り込みが発生し、ネットワークがメルトダウンします。

STP には当初はソフトウェアベースの低速なブリッジ仕様（IEEE 802.1d）のために開発された成熟したプロトコルという側面がありますが、一方で、多数の VLAN が存在し、ドメイン内に多くのスイッチがあり、マルチベンダーサポートや新しい IEEE 拡張機能を取り込んだ大規模なスイッチドネットワークにも十分に実装できるほど複雑でもあります。

今後の参考のために述べると、CatOS 6.xでは、MISTP、ループガード、ルートガード、BPDU到達時間のスキュー検出などのSTPの新機能が引き続き開発されています。さらに、CatOS 7.xでは、IEEE 802.1s共有スパニングツリーやIEEE 802.1w高速コンバージェンススパニングツリーなど、さらに標準化されたプロトコルが使用できます。

動作概要

VLAN ごとに、最も小さいルートブリッジ ID（BID）のスイッチがルートブリッジとして選択されます。 BID は、ブリッジプライオリティとスイッチの MAC アドレスを組み合わせたものです。

最初にすべてのスイッチから BPDU が送信されます。BPDU には各スイッチの BID とそのスイッチに到達するためのパスコストが含まれています。これで、ルートブリッジとルートへの最小コストパスを決定できます。ルートからの BPDU に含まれている追加の設定パラメータによってローカルに設定されたパラメータがオーバーライドされ、ネットワーク全体で一貫性のあるタイマーを使用できます。

続いて、次の手順でトポロジの統合が行われます。

スパニングツリードメイン全体で 1 つのルートブリッジが選択されます。
すべての非ルートブリッジで、ルートブリッジに面するルートポートが1つ選出されます。
すべてのセグメントで、BPDU を転送するための指定ポートが 1 つ選択されます。
非指定ポートがブロッキング状態になります。

詳細については、スパニングツリーの設定 [英語] を参照してください。

基本タイマーのデフォルト（秒）	[名前(Name)]	機能
2	`Hello`	BPDU の送信を制御します。
15	`Forward Delay（Fwddelay）`	ポートがリスニングまたはラーニングステートにとどまる時間を制御し、トポロジ変更プロセスに影響を与えます（次の項を参照）。
20	`Maxage`	スイッチが代替パスの検索を始める前に、現在のトポロジを維持する時間を制御します。Maxage 秒を経過すると、BPDU は古いと見なされ、スイッチはブロッキングポートのプールから新しいルートポートを探します。使用可能なブロックされたポートがない場合、スイッチは指定ポートで自身がルートになることを宣言します。

ポートステート	意味	次の状態に移行するデフォルトのタイミング
`Disabled`	管理上ダウンされています。	N/A
`ブロック`	BPDU を受信し、ユーザデータは停止されます。	BPDU の受信をモニタします。Maxage が期限切れになるまで 20 秒待ちます。直接リンクまたはローカルリンク障害が検出された場合は即座に変更されます。
`リスニング`	BPDU を送受信し、ブロッキングステートに戻る必要があるかどうかチェックされます。	Fwddelay タイマー（15 秒待機）
`ラーニング`	トポロジおよび CAM テーブルが構築されます。	Fwddelay タイマー（15 秒待機）
`フォワーディング`	データを送受信します。
	基本的なトポロジ変更にかかる合計時間：	Maxage が期限切れになるまで待つ場合は 20 + 2（15）= 50 秒。直接リンク障害の場合は 30 秒

STPのBPDUには、コンフィギュレーションBPDUとトポロジ変更通知(TCN)BPDUの2つのタイプがあります。

コンフィギュレーション BPDU のフロー

コンフィギュレーション BPDU は、スパニングツリーの状態を維持するために、Hello インターバルごとにルートブリッジのすべてのポートから発信され、すべてのリーフスイッチに渡されます。定常状態では、BPDUフローは単方向です。ルートポートとブロッキングポートではコンフィギュレーションBPDUのみが受信され、指定ポートではコンフィギュレーションBPDUのみが送信されます。

ルートからの BPDU がスイッチで受信されるたびに、新しい BPDU が Catalyst の中央 NMP で処理され、ルート情報を含んだ状態で送信されます。つまり、ルートブリッジが失われた場合、またはルートブリッジへのすべてのパスが失われた場合、（maxage タイマーによる再選択が開始されるまで）BPDU の受信が停止します。

TCN BPDU のフロー

TCN BPDU は、スパニングツリーでトポロジの変更が検出されると、リーフスイッチから発信され、ルートブリッジに向けて送信されます。ルートポートは TCN を送信するだけで、指定ポートは TCN を受信するだけです。

TCN BPDU はルートブリッジに向かって進み、各ステップで確認応答されるため、これは信頼性の高いメカニズムです。TCN BPDU がルートブリッジに到達すると、ルートブリッジは TCN フラグが maxage + fwddelay 時間（デフォルトでは 35 秒間）に設定されたコンフィギュレーション BPDU を発信し、変更が行われたことをドメイン全体に通知します。 これにより、すべてのスイッチでは、自身の通常のCAMエージングタイムが（デフォルトの）5分からfwddelayで指定された間隔（デフォルトでは15秒）に変更されます。詳細については、スパニングツリープロトコルトポロジの変更について [英語] を参照してください。

スパニングツリーのモード

VLAN をスパニングツリーと関連付ける方法には次の 3 つの方法があります。

すべての VLAN で 1 つのスパニングツリーを実行する、つまりモノスパニングツリープロトコル（IEEE 802.1Q など）
VLAN ごとに 1 つのスパニングツリーを実行する、つまり共有スパニングツリー（Cisco PVST など）
一連の VLAN ごとに 1 つのスパニングツリーを実行する、つまりマルチスパニングツリー（Cisco MISTP や IEEE 802.1s など）

すべての VLAN に対してモノスパニングツリーを実行すると、アクティブなトポロジが 1 つだけになるため、ロードバランシングは行われません。STP のブロックされたポートはすべての VLAN をブロックし、データを伝送しません。

VLAN ごとに 1 つのスパニングツリーを実行すると、ロードバランシングは可能になりますが、VLAN の数が増えるに従って BPDU に必要な CPU 処理も増えます。CatOSリリースノートに、スイッチごとのスパニングツリーで推奨される論理ポートの数に関するガイダンスが記載されています。たとえば、Catalyst 6500/6000 Supervisor Engine 1の公式は次のとおりです。

ポートの数 +（トランクの数 X トランク上の VLAN の数）< 4000

Cisco MISTP と新しい 802.1s 規格では、アクティブな STP インスタンスまたはトポロジを 2 つだけ定義し、すべての VLAN を 2 つのツリーのどちらかにマッピングできます。この手法を使用すると、ロードバランシングを有効にしながら、STP を何千もの VLAN に拡張できます。

BPDU のフォーマット

IEEE 802.1Q 規格をサポートするために、既存の Cisco STP 実装が拡張され、IEEE 802.1Q モノスパニングツリー領域にわたるトンネリングのサポートが追加されて PVST+ になりました。したがって、PVST+はIEEE 802.1Q MSTプロトコルとCisco PVSTプロトコルの両方と互換性があり、特別なコマンドや設定は必要ありません。また、PVST+には、複数のスイッチ間でポートトランキングとVLAN IDの設定が一致していることを確認するための検証メカニズムが追加されています。

PVST+ プロトコルの動作には、次のような特徴があります。

PVST+ は、802.1Q トランク上のいわゆる Common Spanning Tree（CST）を通じて 802.1Q モノスパニングツリーと相互運用できます。CST は常に VLAN 1 にあるため、他のベンダーと相互運用するためにはトランク上でこの VLAN を有効にする必要があります。CST BPDU は、常にタグなしで IEEE 規格ブリッジグループ（MAC アドレス 01-80-c2-00-00-00、DSAP 42、SSAP 42）に送信されます。完全を期すために付け加えると、BPDU のパラレルセットが VLAN 1 の Cisco Shared Spanning Tree MAC アドレスにも送信されます。
PVST+ では、802.1Q VLAN 領域全体で PVST BPDU がマルチキャストデータとしてトンネリングされます。Cisco Shared Spanning Tree BPDU は、トランク上の VLAN ごとに MAC アドレス 01-00-0c-cc-cc-cd（SNAP HDLC プロトコルタイプ 0x010b）に送信されます。BPDU はネイティブ VLAN ではタグなしで、その他すべての VLAN ではタグ付きです。
PVST+ はポートと VLAN の不一致をチェックします。PVST+ は転送ループを避けるために、一致しない BPDU を受信したポートをブロックします。また、設定の不一致が見つかった場合は、syslog メッセージでユーザに通知します。
PVST+は、ISLトランクでPVSTを実行している既存のシスコスイッチと下位互換性があります。ISLカプセル化BPDUは、引き続きIEEE MACアドレスを使用して送受信されます。つまり、各 BPDU タイプは link-local; で、変換の問題はありません。

推奨事項

Catalyst スイッチはすべて、デフォルトで STP が有効になります。これは、L2 ループを含めない設計を選択したために、ブロックされたポートがアクティブに維持されるという意味で STP が有効でない場合でも推奨されます。

set spantree enable all

!--- This is the default.

シスコでは、次のような理由から STP を有効にしておくことを推奨しています。

パッチのミスやケーブル不良などによってループが発生した場合、STP により、マルチキャストデータやブロードキャストデータによってネットワークに悪影響が生じるのを防ぐことができます。
EtherChannel の障害に対する保護。
ほとんどのネットワークはSTPで設定されているため、現場で広く利用されています。広く利用されるのは、コードが安定しているからです。
デュアル接続されたNICの誤動作（またはサーバで有効になっているブリッジング）に対する保護。
PAgP、IGMP スヌーピング、トランキングなど、多くのプロトコルのソフトウェアは STP と密接に関係しているため、STP を無効にした状態で実行すると、望ましくない結果が生じることがあります。

安定性に悪影響を及ぼすことがあるため、タイマーは変更しないでください。展開されているネットワークの大部分は調整されていません。コマンドラインからアクセス可能な Hello インターバルや Maxage などの単純な STP タイマーはそれ自体、その他の装備された組み込みタイマーを複雑に組み合わせて構成されています。そのため、すべての影響を考慮しながらタイマーを調整するのは困難です。さらに、UDLD による保護の効果が失われるおそれがあります。

ユーザトラフィックと管理 VLAN を分離するのが理想的です。特に古い Catalyst スイッチプロセッサでは、管理 VLAN とユーザデータを分離することで、STP に関する問題を回避する必要があります。正常に動作しない 1 台のエンドステーションからのブロードキャストパケットによってスーパバイザエンジンプロセッサがビジー状態になり、1 つまたは複数の BPDU が失われる可能性があります。ただし、より強力な CPU を搭載し、スロットリングを制御できる新しいスイッチを使用すれば、この問題は緩和されます。詳細については、このドキュメントの「インバンド管理」の項を参照してください。

冗長性を過剰に設計しないでください。結果的に、大量のブロッキングポートにより長期的な安定性に悪影響が生じる、トラブルシューティングの悪夢につながることがあります。SPT 全体の直径は 7 ホップ未満にしてください。可能な場合は、設計時にはシスコのマルチレイヤモデルに基づき、より小さいスイッチドドメイン、STP トライアングル、および確定的なブロックされたポートを使用してください（ギガビットキャンパスネットワーク設計：基本方針とアーキテクチャ [英語] を参照）。

ルート機能とブロッキングポートの位置を操作して把握し、それらの位置をトポロジ図に記入してください。ブロッキングされたポートからSTPのトラブルシューティングが始まります。ポートがブロッキングからフォワーディングに変わった原因が、しばしば根本原因分析の重要な部分になります。ルートまたはセカンダリルートの位置にはディストリビューションレイヤとコアレイヤを選択してください。これは、これらのレイヤがネットワークの最も安定した部分だと考えられているためです。L2 データ転送パスに最適な L3 および HSRP のオーバーレイを確認します。次のコマンドは、ブリッジプライオリティを設定するマクロです。rootはデフォルト(32768)よりかなり低い値を設定し、root secondaryはデフォルトよりかなり低い値を設定します。

set spantree root secondary vlan range

注：このマクロはルートプライオリティを 8192（デフォルト）、現在のルートプライオリティ - 1（別のルートブリッジがわかっている場合）、または現在のルートプライオリティ（自身の MAC アドレスが現在のルートよりも小さい場合）のいずれかに設定します。

不要な VLAN をトランクポートからプルーニングしてください（双方向で実施）。プルーニングすることで STP の直径が制限され、特定の VLAN を必要としないネットワーク部分で NMP 処理のオーバーヘッドが小さくなります。VTP の自動プルーニングでは、STP はトランクから削除されません。詳細については、このドキュメントの「VTP」の項を参照してください。CatOS 5.4 以降を使用している場合、デフォルトの VLAN 1 もトランクから削除できます。

詳細については、『スパニングツリープロトコルの問題点と設計上の考慮事項』を参照してください。

その他のオプション

シスコには VLAN ブリッジという別の STP もあります。このプロトコルは、宛先 MAC アドレス 01-00-0c-cd-cd-ce、およびプロトコルタイプ 0x010c を使用して動作します。

これは、VLAN で実行されている IEEE スパニングツリーインスタンスの動作を妨げることなく、それらの VLAN 間でルーティング不能プロトコルやレガシープロトコルをブリッジする必要がある場合に最も役立ちます。非ブリッジトラフィック用の VLAN インターフェイスで L2 トラフィックがブロックされるようになると（これは、VLAN インターフェイスが IP VLAN と同じ STP に参加している場合は容易に発生します）、オーバーレイしている L3 トラフィックも誤ってプルーニングされます。これは望ましくない副作用です。そのため、VLAN ブリッジはブリッジプロトコルの STP とは異なるインスタンスになっており、IP トラフィックに影響を与えずに操作できる別のトポロジが提供されます。

シスコでは、MSFC などのシスコルータで VLAN 間のブリッジングが必要な場合に、VLAN ブリッジを実行することを推奨しています。

ポートファスト

PortFast を使用すると、アクセスポート上での通常のスパニングツリーの動作がバイパスされるため、エンドステーションと、リンクの初期化後にエンドステーションが接続する必要があるサービス間の接続時間が短縮されます。IPX/SPX などの一部のプロトコルでは、GNS 問題を回避するために、リンクステートがアップになった直後にアクセスポートがフォワーディングモードになっていることが重要です。

詳細は、『PortFastと他のコマンドを使用したワークステーションの接続始動遅延の修復』を参照してください。

動作概要

PortFastでは、リンクが稼働中であることが確認された後、ポートをブロッキングモードからフォワーディングモードに直接移行することにより、STPの通常のリスニングステートとラーニングステートが省略されます。この機能が有効になっていない場合、ポートがフォワーディングモードに移行できることが STP によって確認されるまで、ユーザデータはすべて廃棄されます。これには、ForwardDelay の 2 倍の時間（デフォルトでは合計 30 秒）かかることがあります。

PortFastモードには、ポート状態がlearningからforwardingに変わるたびにSTP TCNが生成されるのを防ぐ効果もあります。TCN自体は問題ではありませんが、TCNの波がルートブリッジに押し寄せると（通常はPCの電源を入れる朝に）、コンバージェンス時間が不必要に長くなる可能性があります。

STP PortFastは、マルチキャストCGMPネットワークとCatalyst 5500/5000 MLSネットワークの両方で特に重要です。これらの環境では、TCN が原因で静的な CGMP CAM テーブルエントリがエージアウトし、その結果、次の IGMP レポートまでマルチキャストパケットが失われる可能性があります。また、その後再構築される必要がある MLS キャッシュエントリがフラッシュされ、キャッシュのサイズによってはルータの CPU スパイクが発生することがあります（Catalyst 6500/6000 の MLS 実装と、IGMP スヌーピングから学習したマルチキャストエントリは影響を受けません）。

推奨事項

シスコでは、すべてのアクティブなホストポートに対しては STP PortFast を有効にし、スイッチ間リンクおよび未使用のポートに対しては無効にすることを推奨しています。

トランキングとチャネリングも、すべてのホストポートで無効にする必要があります。各アクセスポートではトランキングとチャネリングがデフォルトで有効になっていますが、ホストポートでは設計上、スイッチのネイバーは想定されていません。これらのプロトコルをネゴシエートするように設定したままにしておくと、その後のポートのアクティブ化の遅延によって、ワークステーションからの初期パケット（DHCP要求など）が転送されないという望ましくない状況が発生する可能性があります。

CatOS 5.2では、set port host port rangeマクロコマンドが導入されていますアクセスポートに対してこの設定を実装し、自動ネゴシエーションと接続のパフォーマンスを大幅に向上させます。

set port host port range


!--- Macro command for these commands:

set spantree portfast port range enable
set trunk port range off
set port channel port range mode off

注：PortFastを設定しても、それらのポートでスパニングツリーがまったく実行されなくなるわけではありません。BPDU は通常どおり送受信されて、処理されます。

その他のオプション

PortFast BPDU ガード機能は、非トランキングポートで BPDU を受信した場合にそのポートを errdisable 状態に移行することでループを防止します。

PortFastに設定されたアクセスポートでは、BPDUパケットを受信してはなりません。これは、ホストポートをスイッチに接続してはならないためです。BPDU が確認される場合、設定が無効であり、危険な可能性もあるので管理上の措置が必要です。BPDUガード機能を有効にすると、BPDUを受信するPortFastが設定されたインターフェイスは、STPのブロッキング状態に設定される代わりに、スパニングツリーによってシャットダウンされます。

次のコマンドはポート単位ではなく、スイッチ単位で機能します。

set spantree portfast bpdu-guard enable

ポートがダウンすると、SNMP トラップまたは syslog メッセージによってネットワークマネージャに通知されます。errdisabled ポートに対して自動回復時間を設定することもできます。詳細については、このドキュメントの「UDLD」の項を参照してください。詳細については、『スパニングツリー PortFast BPDU ガード機能拡張』を参照してください。

注：トランクポート用のPortFastはCatOS 7.xで導入されたもので、以前のリリースのトランクポートには影響しません。トランクポート用の PortFast は、L3 ネットワークのコンバージェンス時間が長くなるように設計されています。この機能を補完するため、CatOS 7.x では PortFast BPDU ガードをポート単位で設定する機能も導入されています。

UplinkFast

UplinkFast は、ネットワークアクセスレイヤで直接リンク障害が発生したときに、迅速な STP コンバージェンスを実現します。UplinkFast では STP は変更されません。その目的は、通常は 30 秒かかるコンバージェンス時間を、特定の環境において 3 秒未満に短縮することにあります。詳細については、『UplinkFast 機能の説明と設定』を参照してください。

動作概要

アクセスレイヤでシスコのマルチレイヤ設計モデルを使用すると、フォワーディングアップリンクが失われた場合、ブロッキングアップリンクはリスニングステートとラーニングステートを待たずに、すぐにフォワーディングステートになります。

アップリンクグループは VLAN 単位のポートのセットで、ルートポートおよびバックアップルートポートと見なすことができます。通常の条件下では、ルートポートはアクセスポートからルートポートへの接続を確立しています。何らかの理由でこのプライマリルート接続に障害が発生した場合、通常の 30 秒間のコンバージェンス遅延なしに、即時にバックアップルートリンクが使用可能になります。

このため、通常の STP トポロジ変更処理プロセス（リスニングとラーニング）が事実上バイパスされるので、代わりのトポロジ修正メカニズムを使用して、ローカルエンドステーションが代替パスを介して到達できるドメイン内のスイッチをアップデートする必要があります。また、UplinkFast を実行しているアクセスレイヤスイッチは、CAM 内の MAC アドレスごとにマルチキャスト MAC アドレス（01-00-0c-cd-cd-cd、HDLC プロトコル 0x200a）宛てのフレームを生成し、新しいトポロジに関係するドメイン内の全スイッチの CAM テーブルを更新します。

推奨事項

シスコでは、ブロックされたポートを持つスイッチ（通常はアクセスレイヤのスイッチ）に対してUplinkFastを有効にすることを推奨しています。バックアップルートリンクという暗黙的なトポロジ情報を持たないスイッチ（シスコのマルチレイヤ設計では通常、ディストリビューションスイッチとコアスイッチ）では使用しないでください。この機能は実稼働ネットワークを中断せずに追加できます。UplinkFast を有効にするには、次のコマンドを発行します。

set spantree uplinkfast enable

このコマンドはまた、設定対象のスイッチがルートブリッジになるリスクを最小限に抑えるためブリッジプライオリティを、また、または指定ポートになるリスクを最小限に抑えるためポートプライオリティを、それぞれ高い値に設定します。スイッチがルートブリッジまたは指定ポートになると、機能が破綻します。UplinkFastが有効になっていたスイッチを復元する場合は、この機能を無効にし、アップリンクデータベースを「clear uplink」でクリアして、ブリッジプライオリティを手動で復元する必要があります。

注：プロトコルフィルタリング機能を有効にする場合は、UplinkFastコマンドのall protocolsキーワードを指定する必要があります。プロトコルフィルタリングが有効な場合、CAM には MAC および VLAN 情報とともにプロトコルタイプが記録されるため、UplinkFast フレームは各 MAC アドレスのプロトコルごとに生成する必要があります。rate キーワードでは、UplinkFast トポロジアップデートフレームの 1 秒間のパケット数を指定します。デフォルトが推奨されています。Rapid STP（RSTP）や IEEE 802.1w には BackboneFast がネイティブに含まれており、RSTP では自動的に有効になるので、BackboneFast を設定する必要はありません。

BackboneFast

BackboneFast は間接リンク障害からの迅速なコンバージェンスを実現します。STP にこの機能を追加すると、通常はコンバージェンス時間がデフォルトの 50 秒から 30 秒に短縮されます。

動作概要

BackboneFast 機能は、スイッチのルートポートまたはブロックされたポートが代表ブリッジから下位 BPDU を受信すると動作を開始します。この状況は、ダウンストリームスイッチがルートへの接続を失い、新しいルートを選択するために自身の BPDU の送信を開始すると発生します。下位 BPDU では、1 つのスイッチがルートブリッジと代表ブリッジの両方として識別されます。

通常のスパニングツリー規則では、受信側スイッチは、設定された最大エージングタイム（デフォルトでは20秒）が経過するまで不良BPDUを無視します。ただし、BackboneFast が有効な場合、スイッチは下位 BPDU をトポロジが変更されたことを示す信号として認識し、Root Link Query（RLQ）BPDU を使用して、ルートブリッジへの代替パスがあるかどうか確認します。このプロトコルを追加することで、スイッチはルートがまだ使用可能かどうかを確認でき、ブロックされたポートがより短時間でフォワーディングに移行され、下位BPDUを送信している独立スイッチにルートがまだ存在することが通知されます。

このプロトコルの動作には次のような特徴があります。

スイッチはルートポートからのみ RLQ パケットを送信します（つまり、ルートブリッジに向けて送信されます）。
RLQ を受信するスイッチは、自身がルートスイッチの場合、またはルートとの接続を失ったことを認識している場合に応答できます。これらの情報を持っていないスイッチは、ルートポートからクエリを転送する必要があります。
ルートへの接続を失っているスイッチは、このクエリに対して否定応答する必要があります。
応答はクエリの発信元のポートからのみ送信する必要があります。
ルートスイッチはこのクエリに対して常に肯定応答する必要があります。
非ルートポートで受信された応答は廃棄されます。

Maxage が期限切れになるまで待つ必要がないため、STP コンバージェンス時間は最大 20 秒短縮できます。

詳細については、Catalyst スイッチ上の BackboneFast の概要と設定 [英語] を参照してください、

推奨事項

シスコでは、STP を実行しているすべてのスイッチで BackboneFast を有効にすることを推奨しています。この機能は実稼働ネットワークを中断せずに追加できます。BackboneFast を有効にするには、次のコマンドを発行します。

set spantree backbonefast enable

注：このグローバルレベルコマンドは、すべてのスイッチで理解されなければならない機能を STP プロトコルに追加するため、ドメイン内のすべてのスイッチで設定する必要があります。

その他のオプション

BackboneFast は 2900XL および 3500 ではサポートされていません。スイッチドメインに、Catalyst 4500/4000、5500/5000、および 6500/6000 スイッチに加えてこれらのスイッチがある場合は BackboneFast を有効にしないでください。

RSTP や IEEE 802.1w には BackboneFast がネイティブに含まれており、RSTP では自動的に有効になるので、BackboneFast を設定する必要はありません。

スパニングツリーループガード

ループガードは、STP に対するシスコ独自の最適化機能です。ループガードは、次の原因で発生するループから L2 ネットワークを保護します。

ネットワークインターフェイスの誤動作
CPU の過負荷
BPDU の通常転送を妨害する要因

STP ループは、冗長なトポロジにおいてブロッキングポートが誤ってフォワーディングステートに移行すると発生します。この移行は通常、物理的に冗長なトポロジ内のポートの 1 つ（ブロッキングポートとは限らない）が BPDU の受信を中断すると発生します。

ループガードが役立つのは、スイッチがポイントツーポイントリンクで接続されているスイッチドネットワークでだけです。最近のキャンパスネットワークやデータセンターネットワークは、ほとんどがこのタイプのネットワークです。ポイントツーポイントリンクでは、代表ブリッジが不良BPDUを送信するか、リンクをダウンさせるかしない限り、代表ブリッジが表示されなくなることはありません。STP ループガード機能は、Catalyst 4000 および Catalyst 5000 プラットフォーム用の CatOS バージョン 6.2(1) および Catalyst 6000 プラットフォーム用のバージョン 6.2(2) で導入されています。

ループガードの詳細については、『ループガードと BPDU スキュー検出機能によるスパニングツリープロトコルの拡張機能』を参照してください。

動作概要

ループガードは、ルートポートや代替またはバックアップ用のルートポートで BPDU が受信されているかどうかをチェックします。ポートで BPDU が受信されていない場合、ループガードはそのポートで BPDU の受信が再開されるまで、ポートを不整合状態（ブロッキング）にします。不整合状態のポートは BPDU を送信しません。そのようなポートが BPDU を再び受信すると、ポート（およびリンク）は再び動作可能であると見なされます。ポートの loop-inconsistent 状態が解消します。このような復元は自動で行われるため、ポートの状態は STP によって決定されます。

ループガードは障害を切り離して、スパニングツリーを障害リンクや障害ブリッジのない安定したトポロジに収束させます。ループガードは、使用中の STP バージョンの速度で STP ループを防止します。STP 自体（802.1d または 802.1w）に依存関係はなく、STP タイマーの調整時の影響もありません。これらの理由により、ループガード機能がソフトウェアでサポートされている場合は、STP に依存するトポロジに UDLD とともにループガードを実装してください。

Loop Guard によって loop-inconsistent ポートがブロックされると、次のメッセージが表示されます。

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated
in VLAN 77. Moved to root-inconsistent state.

STP loop-inconsistent ステートのポートで BPDU が受信されると、そのポートは別の STP ステートに移行します。受信された BPDU に従って自動的にリカバリが行われるため、操作は不要です。リカバリ後、次のメッセージがログに記録されます。

SPANTREE-2-LOOPGUARDUNBLOCK: port 3/2 restored in vlan 3.

その他の STP 機能との相互作用

ルートガード

ルートガードでは、ポートが常に強制的に指定されます。ループガードは、ポートがルートポートまたは代替ポートの場合にのみ有効です。これらの機能は相互排他的です。ループガードとルートガードを 1 つのポートで同時に有効にすることはできません。
UplinkFast

ループガードは UplinkFast と互換性があります。ループガードによってルートポートがブロッキングステートに設定されると、UplinkFast によって新しいルートポートがフォワーディングステートに設定されます。また、UplinkFast によって loop-inconsistent ステートのポートがルートポートとして選択されることはありません。
BackboneFast

ループガードは BackboneFast と互換性があります。代表ブリッジからの下位 BPDU を受信すると、BackboneFast がトリガーされます。BPDU はこのリンクから受信されるので、ループガードはアクティブになりません。そのため、BackboneFast とループガードには互換性があります。
ポートファスト

PortFast では、リンクアップするとすぐにポートがフォワーディング指定ステートに移行します。PortFast が有効なポートは、ルートポートや代替ポートにはなれないため、ループガードと PortFast は相互排他的です。
PAgP

ループガードでは、STP に認識されているポートが使用されます。そのため、ループガードでは、PAgPによって提供される論理ポートの抽象化を利用できます。ただし、チャネルを形成するには、チャネルにグループ化されているすべての物理ポートの設定に互換性がある必要があります。PAgPでは、チャネルを形成するために、すべての物理ポートに対してループガードの設定を均一にします。

注：EtherChannelでループガードを設定する場合には、次の点に注意してください。
- STPは、BPDUを送信するために、チャネル内で最初に動作可能なポートを常に選択します。そのリンクが単方向になると、チャネルの他のリンクが正しく機能している場合でも、ループガードによってそのチャネルがブロックされます。
- ループガードですでにブロックされているポートがチャネルを形成するためにグループ化されると、STP ではそれらのポートの状態情報がすべて失われます。新しいチャネルポートは、指定された権限を使用してフォワーディングステートに移行できます。
- チャネルがループガードによってブロックされ、チャネルが切断されると、STP からすべての状態情報が失われます。チャネルを形成していた 1 つ以上のリンクが単方向である場合も、各物理ポートは指定された権限を使用してフォワーディングステートに移行できます。
このリストの最後の 2 つのケースでは、UDLD が障害を検出するまでループが発生する可能性がありますが、ループガードはループを検出できません。

ループガードと UDLD 機能の比較

ループガードの機能と UDLD 機能は部分的にオーバーラップしています。どちらも、単方向リンクによって生じる STP の障害から保護しますが、この 2 つの機能では、問題に対するアプローチが異なり、機能も異なります。具体的には、BPDU を送信しない CPU によって発生する障害のように、UDLD では検出できない特定の単方向障害があります。さらに、アグレッシブSTPタイマーとRSTPモードを使用すると、UDLDが障害を検出する前にループが発生する可能性があります。

ループガードは、共有リンクやリンクがリンクアップ時から単方向である状況では機能しません。リンクがリンクアップ時から単方向である場合、ポートは BPDU を受信することなく、指定ポートになります。この動作は正常である可能性があるため、このケースはループガードの対象にはなりません。UDLD では、そのようなシナリオでも保護されます。

最高レベルの保護を実現するためには、UDLD とループガードの両方を有効にします。ループガードと UDLD の機能比較については、『ループガードと BPDU スキュー検出機能によるスパニングツリープロトコルの拡張機能』の「Loop Guard vs. Unidirectional Link Detection」を参照してください。

推奨事項

シスコでは、物理的ループのあるスイッチネットワークでは、ループガードをグローバルに有効にすることを推奨しています。Catalyst ソフトウェアバージョン 7.1(1) 以降では、すべてのポートでループガードをグローバルに有効にできます。この機能は事実上、すべてのポイントツーポイントリンクで有効になります。リンクのデュプレックスステータスによってポイントツーポイントリンクが検出されます。全二重の場合、リンクはポイントツーポイントであると見なされます。ループガードをグローバルに有効にするには、次のコマンドを発行します。

set spantree global-default loopguard enable

その他のオプション

グローバルなループガード設定がサポートされていないスイッチの場合は、ポートチャネルのポートを含む、個々のすべてのポートでこの機能を有効にします。指定ポートでループガードを有効にしても利点はありませんが、有効にしても問題はありません。さらに、有効なスパニングツリー再コンバージェンスによって、指定ポートが実際にルートポートに変わり、この機能がこのポートで役立つことがあります。ループガードを有効にするには、次のコマンドを発行します。

set spantree guard loop mod/port

ループフリートポロジを使用するネットワークでも、ループが偶発的に発生した場合にループガードを使用することで利点を得ることができます。ただし、このタイプのトポロジでループガードを有効にすると、ネットワークの分離の問題が発生する可能性があります。ループフリートポロジを構築してネットワークの分離の問題を回避するには、次のコマンドを発行して、ループガードをグローバルまたは個別に無効にします。共有リンクではループガードを有効にしないでください。

set spantree global-default loopguard disable

!--- This is the global default.

または

set spantree guard none mod/port


!--- This is the default port configuration.

Spanning Tree Root Guard

ルートガード機能には、ネットワークにルートブリッジを強制的に配置する方法があります。ルートガードは、ルートガードが有効になっているポートが確実に指定ポートになるようにします。通常、ルートブリッジの 2 つ以上のポートが互いに接続されている場合を除き、ルートブリッジのポートはすべて指定ポートになります。ブリッジは、ルートガードが有効になっているポートで上位の STP BPDU を受信すると、そのポートを root-inconsistent STP ステートに移行します。root-inconsistent ステートは、実質的にはリスニングステートと同じです。このポートからはトラフィックは転送されません。このようにして、ルートガードはルートブリッジを強制的に配置します。ルートガードは、ソフトウェアバージョン6.1.1以降のCatalyst 29xx、4500/4000、5500/5000、および6500/6000用のCatOSで使用できます。

動作概要

ルートガードは STP の組み込みメカニズムです。ルートガードには独自のタイマーはなく、BPDU の受信にのみ依存しています。ルートガードをポートに適用すると、そのポートはルートポートになれなくなります。BPDU を受信するとスパニングツリーのコンバージェンスがトリガーされ、指定ポートがルートポートになり、そのポートが root-inconsistent ステートになります。このアクションは、syslog メッセージに次のように表示されます。

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated
in VLAN 77. Moved to root-inconsistent state

ポートが上位のBPDUを送信しなくなると、ポートのブロックは再び解除されます。STPによって、ポートはリスニングステートからラーニングステートに移行し、最終的にはフォワーディングステートに移行します。リカバリは自動的に行われるので、人の介入は不要です。次に syslog メッセージの例を示します。

%SPANTREE-2-ROOTGUARDUNBLOCK: Port 1/1 restored in VLAN 77

ルートガードはポートを強制的に指定ポートにしますが、ループガードはポートがルートポートか代替ポートの場合にのみ有効です。そのため、この 2 つの機能は相互排他的です。ループガードとルートガードを 1 つのポートで同時に有効にすることはできません。

詳細については、『スパニングツリープロトコルルートガード機能拡張』を参照してください。

推奨事項

シスコでは、直接管理下にないネットワークデバイスに接続されているポートに対しては、ルートガード機能を有効にすることを推奨しています。ルートガード機能を設定するには、次のコマンドを発行します。

set spantree guard root mod/port

EtherChannel

EtherChannel テクノロジーを使用すると、複数のチャネル（Catalyst 6500/6000 では最大 8 チャネル）を 1 つの論理リンクに逆多重化できます。各プラットフォームでの実装はそれぞれ異なりますが、次の共通の要件を理解することが重要です。

複数のチャネル上で複数のフレームを統計的に多重化するアルゴリズム
単一インスタンスの STP を実行できるようにする 1 つの論理ポートの作成
PAgP や Link Aggregation Control Protocol（LACP）などのチャネル管理プロトコル

フレーム多重化

EtherChannelには、コンポーネントの10/100リンクまたはギガビットリンク間でフレームを効率的に多重化するフレーム分散アルゴリズムが含まれています。プラットフォームごとのアルゴリズムの違いは、分散を決定するためにフレームヘッダー情報を抽出する各タイプのハードウェアの機能によって生じます。

負荷分散アルゴリズムは、両方のチャネル制御プロトコルのグローバルオプションです。IEEE標準では特定の分散アルゴリズムが規定されていないため、PAgPおよびLACPではフレーム分散アルゴリズムが使用されます。ただし、どの分散アルゴリズムでも、フレームの受信時に、特定のカンバセーションの一部であるフレームの順序が誤ったり、フレームが重複したりすることはありません。

注：次の情報を考慮する必要があります。

Catalyst 6500/6000 は Catalyst 5500/5000 よりも新しいスイッチングハードウェアを備えており、IP レイヤ 4（L4）情報をワイヤスピードで読み取ることで、単純な MAC L2 情報の場合よりも、多重化に関してよりインテリジェントな判断を下すことができます。
Catalyst 5500/5000の機能は、モジュールにEthernet Bundling Chip(EBC)が搭載されているかどうかによって異なります。show port capabilities mod/port コマンドを使用して、各ポートの機能を確認します。

次の表に、リストされた各プラットフォームのフレーム分散アルゴリズムの詳細を示します。

Platform	チャネルロードバランシングアルゴリズム
Catalyst 5500/5000 シリーズ	必要なモジュールを搭載したCatalyst 5500/5000では、FEC¹あたり2 ～ 4のリンクを接続できます。ただし、それらのリンクはすべて同じモジュール上に存在する必要があります。送信元と宛先の MAC アドレスペアに基づいてフレーム転送用のリンクが決定されます。送信元 MAC アドレスと宛先 MAC アドレスの最下位 2 ビットで X-OR 演算が行われます。この演算の結果は（0 0）、（0 1）、（1 0）、（1 1）のいずれかです。それぞれの値が FEC バンドル内の 1 つのリンクを指します。2ポートのFast EtherChannelの場合、X-OR演算には1ビットだけが使用されます。状況によっては、送信元/宛先ペアのアドレスの 1 つが一定になることがあります。たとえば、宛先がサーバであったり、さらに可能性が高いのはルータであったりします。この場合、送信元アドレスが常に異なるため、統計的なロードバランシングが見られます。
Catalyst 4500/4000 シリーズ	Catalyst 4500/4000 の EtherChannel は、各フレームの送信元と宛先の MAC アドレスの下位ビットに基づいて、（単一モジュール上の）1 つのチャネル内のリンク間でフレームを分散させます。Catalyst 5500/5000と比較すると、このアルゴリズムはより複雑で、MAC DA（バイト3、5、6）、SA（バイト3、5、6）、入力ポート、およびVLAN IDのこれらのフィールドの決定論的ハッシュを使用します。フレーム分散方式は設定可能ではありません。
Catalyst 6500/6000 シリーズ	Supervisor Engine ハードウェアに応じて 2 種類のハッシュアルゴリズムがあります。ハッシュはハードウェアに実装された17次多項式で、どのような場合でもMACアドレス、IPアドレス、またはIP TCP/UDP²ポート番号を使用して、アルゴリズムを適用し3ビット値を生成します。この処理は送信元アドレスと宛先アドレスの両方に対して個別に実行されます。その後、結果のXORをとって3ビットの値をもう1つ生成します。この値は、チャネル内のどのポートを使用してパケットを転送するかを決定するために使用されます。Catalyst 6500/6000のチャネルは、任意のモジュール上のポート間で形成でき、最大8ポートまで形成できます。

^{1 FEC = Fast EtherChannel}

^{2 UDP = User Datagram Protocol}

次の表は、さまざまな Catalyst 6500/6000 Supervisor Engine モデルでサポートされている分散方式と、それぞれのデフォルトの動作を示しています。

ハードウェア	説明	分散方式
WS-F6020（L2 エンジン）	初期 Supervisor Engine 1	L2 MAC:SA、DA、SAおよびDA
WS-F6020A（L2 エンジン）WS-F6K-PFC（L3 エンジン）	後期 Supervisor Engine 1 および Supervisor Engine1A/PFC1	L2 MAC:SA、DA、SAおよびDA L3 IP:SA、DA、SAおよびDA（デフォルト）
WS-F6K-PFC2	Supervisor Engine 2/PFC2（CatOS 6.x が必要）	L2 MAC:SA、DA、SAおよびDA L3 IP:SA、DA、SAおよびDA（デフォルト）L4セッション：Sポート、Dポート、SおよびDポート（デフォルト）
WS-F6K-PFC3BXL WS-F6K-PFC3B WS-F6K-PFC3A	Supervisor Engine 720/PFC3A（CatOS 8.1.x が必要）Supervisor Engine 720/Supervisor Engine 32/PFC3B（CatOS 8.4.x が必要）Supervisor Engine 720/PFC3BXL（CatOS 8.3.x が必要）	L2 MAC:SA、DA、SA&DA L3 IP:SA、DA、SA&DA（デフォルト）L4セッション：Sポート、Dポート、S&DポートIP-VLAN-L4セッション：SA&VLAN&Sポート、DA&VLAN&Dポート、SA&DA&VLAN&Sポート&Dポート

注：L4分散では、最初のフラグメント化されたパケットがL4分散を使用します。後続のパケットはすべて L3 分散を使用します。

他のプラットフォームでのEtherChannelのサポートの詳細と、その設定方法およびトラブルシューティング方法については、次のドキュメントを参照してください。

推奨事項

Catalyst 6500/6000 シリーズスイッチでは、デフォルトで IP アドレスによるロードバランシングが実行されます。IP が主要なプロトコルであると仮定して、CatOS 5.5 ではこの方法を推奨します。ロードバランシングを設定するには、次のコマンドを発行します。

set port channel all distribution ip both

!--- This is the default.

Catalyst 4500/4000および5500/5000シリーズのL2 MACアドレスによるフレーム分散は、ほとんどのネットワークで使用できます。ただし、チャネルを介して通信している主なデバイスが 2 台だけの場合、すべてのトラフィックで同じリンクが使用されます（SMAC と DMAC が一定であるため）。これは通常、サーバのバックアップやその他の大きいファイルの転送、または 2 台のルータ間のトランジットセグメントに対して問題になることがあります。

論理集約ポート（agport）を SNMP を使用して単独のインスタンスとして管理し、総スループットの統計情報を収集することは可能ですが、シスコでは、フレーム分散メカニズムの動作状況をチェックし、統計的ロードバランシングが実現されているかどうかを確認するために、各物理インターフェイスを個別に管理することを推奨しています。

CatOS 6.xの新しいコマンドであるshow channel trafficコマンドでは、show counters mod/portを使用して個々のポートカウンタをチェックする場合よりも簡単に分散統計情報のパーセンテージを表示できますまたはshow mac mod/port CatOS 5.xのコマンド。CatOS 6.xの別の新しいコマンドであるshow channel hashコマンドでは、分散モードに基づいて、特定のアドレスおよびポート番号の発信ポートとして選択されるポートを確認できます。LACP チャネル用の同等のコマンドは、show lacp-channel traffic コマンドと show lacp-channel hash コマンドです。

その他のオプション

Catalyst 4500/4000 または Catalyst 5500/5000 の MAC ベースのアルゴリズムの相対的な制限が問題で、良好な統計的ロードバランシングが実現されない場合に実行可能な手順を次に示します。

Catalyst 6500/6000 スイッチを要所に展開する
たとえば、複数のFEポートから1つのGEポートに、または複数のGEポートから1つの10 GEポートに切り替えることで、チャネリングせずに帯域幅を増やす
大量のフローを扱うエンドステーションのペアのアドレスを変更する
高帯域幅デバイスに対して専用のリンクまたは VLAN をプロビジョニングする

EtherChannel の設定ガイドラインと制約事項

EtherChannel では、互換性のあるポートが 1 つの論理ポートに集約される前に、すべての物理ポートのポートプロパティが確認されます。設定のガイドラインと制限事項は、スイッチプラットフォームによって異なります。バンドリングの問題を回避するには、ガイドラインに従ってください。たとえば、QoSがイネーブルになっている場合、異なるQoS機能を持つCatalyst 6500/6000シリーズスイッチングモジュールをバンドルするとEtherChannelが形成されません。Cisco IOSソフトウェアでは、EtherChannelバンドリングのQoSポートアトリビュートチェックをno mls qos channel-consistency ポートチャネルインターフェイスコマンドで無効にできます。QoSポート属性チェックを無効にする同等のコマンドは、CatOSにはありません。show port capability mod/port コマンドを発行して、QoSポートの機能を表示し、ポートに互換性があるかどうかを確認します。

設定上の問題を回避するには、各プラットフォームの次のガイドラインに従ってください。

EtherChannel の設定 [英語]（Catalyst 6500/6000）の「EtherChannel Configuration Guidelines」
Fast EtherChannel と Gigabit EtherChannel の設定 [英語]（Catalyst 4500/4000）の「EtherChannel Configuration Guidelines and Restrictions」
Fast EtherChannel と Gigabit EtherChannel の設定 [英語]（Catalyst 5000）の「EtherChannel Configuration Guidelines and Restrictions」

注：Catalyst 4000がサポートするポートチャネルの最大数は126です。ソフトウェアリリース6.2(1)以前では、6スロットおよび9スロットのCatalyst 6500シリーズスイッチで最大128のEtherChannelがサポートされています。ソフトウェアリリース6.2(2)以降では、スパニングツリー機能がポートIDを処理します。したがって、サポートされるEtherChannelの最大数は、6スロットまたは9スロットのシャーシでは126、13スロットのシャーシでは63です。

Port Aggregation Protocol

PAgP は、リンクの両端でパラメータの一致をチェックし、リンクの障害や追加が発生したときにチャネルの適応を支援する管理プロトコルです。PAgP に関しては次の点に注意してください。

PAgPでは、チャネル内のすべてのポートが同じVLANに属しているか、トランクポートとして設定されている必要があります。（ダイナミックVLANはポートを強制的に別のVLANに変更できるため、EtherChannelのメンバには含まれません）。
バンドルがすでに存在していて、1 つのポートの設定が変更された場合（VLAN やトランキングモードの変更など）、バンドル内のすべてのポートがその設定に合わせて変更されます。
PAgP は、異なる速度またはポートデュプレックスで動作しているポートをグループ化しません。バンドルが存在する場合に速度とデュプレックスが変更されると、PAgP はバンドル内のすべてのポートのポート速度とデュプレックスを変更します。

動作概要

PAgP ポートは、各物理（または論理）ポートのグループ化を制御します。PAgP パケットは、CDP パケットに使用されるのと同じマルチキャストグループ MAC アドレス 01-00-0c-cc-cc-cc を使用して送信されます。プロトコル値は 0x0104 です。次にプロトコル動作の要約を示します。

物理ポートが upである間、PAgP パケットは、検出時には 1 秒間隔、定常状態では 30 秒間隔で送信されます。
このプロトコルは、物理ポートが別の PAgP 対応デバイスに双方向接続していることを証明する PAgP パケットをリッスンします。
データパケットは受信されてもPAgPパケットが受信されない場合、そのポートはPAgP非対応デバイスに接続されていると見なされます。
物理ポートのグループで PAgP パケットが 2 つ受信されると、すぐに集約ポートの形成が試行されます。
PAgP パケットが一定時間停止すると、PAgP の状態は切断されます。

通常処理

プロトコルの動作の理解を助けるために、いくつかの概念の定義を次に示します。

agport：同じ集約に含まれるすべての物理ポートで構成される論理ポート。固有の SNMP ifIndex で識別できます。したがって、agport には非稼働状態のポートは含まれません。
チャネル：形成基準を満たす集約。チャネルには非稼働状態のポートが含まれる場合があります（agport はチャネルのサブセット）。 agportを介して、STPやVTPなどのプロトコルがPAgP上で実行されます（CDPとDTPは除く）。これらのプロトコルはいずれも、PAgPによってagportが1つ以上の物理ポートに関連付けられるまで、パケットを送受信できません。
グループ機能：各物理ポートと agport には、group-capability と呼ばれる設定パラメータがあります。ある物理ポートを別の物理ポートと集約できるのは、両方のポートに同じ group-capability がある場合に限られます。
集約手順：物理ポートはUpDataまたはUpPAgP状態になると、適切なagportに関連付けられます。これらの状態のいずれかから別の状態に移行すると、agportから切り離されます。

状態の定義と作成手順を次の表に示します。

都道府県	意味
`UpData`	まだ PAgP パケットを受信していませんが、PAgP パケットが送信されます。この物理ポートは、その agport に接続している唯一のポートです。物理ポートと agport の間で非 PAgP パケットが交換されます。
`BiDir`	厳密に 1 つの PAgP パケットを受信しました。これは 1 つのネイバーとの双方向接続が存在することを証明しています。この物理ポートはどの agport にも接続していません。PAgP パケットが送信され、受信することもあります。
`UpPAgP`	この物理ポートは、おそらく他の物理ポートと関連付けられ、agportに接続されています。物理ポート上で PAgP パケットが送受信されます。物理ポートとagportの間で非PAgPパケットが送受信されます。

接続の両端で許容される agport 内の最大のポートグループとして定義されている場合、グループ化の結果について、両方の接続の両端で承認される必要があります。

物理ポートは、UpPAgP状態になると、新しい物理ポートのgroup-capabilityと一致し、BiDir状態またはUpPAgP状態であるメンバー物理ポートを持つagportに割り当てられます。（このような BiDir ポートはすべて、同時に UpPAgP ステートに移行します）。 構成する物理ポートのパラメータが新しく使用可能になった物理ポートと互換性がある agport が存在しない場合、適切なパラメータを持つ、物理ポートが関連付けられていない agport に割り当てられます。

PAgPタイムアウトは、物理ポートで認識されている最後のネイバーで発生する可能性があります。タイムアウトしたポートは agport から削除されます。同時に、同じagport上のタイマーがタイムアウトした物理ポートもすべて削除されます。これにより、相手側が停止した agport を、一度に 1 つの物理ポートを切断する代わりに、一斉に切断することができます。

障害時の動作

既存チャネルのリンクで障害（ポートのケーブルが抜ける、ギガビットインターフェイスコンバータ（GBIC）が外れる、光ファイバが破損するなど）が発生すると、agport がアップデートされ、トラフィックは残りのリンク上で 1 秒以内にハッシュされます。障害発生後に再ハッシュする必要がないトラフィック（同じリンクで送信を続けるトラフィック）は、損失を受けません。障害が発生したリンクを復旧すると、agportに対する別のアップデートがトリガーされ、トラフィックが再びハッシュされます。

注：電源オフまたはモジュールの取り外しによってチャネル内のリンクに障害が発生した場合の動作は、異なる場合があります。定義上、チャネルの形成には 2 つの物理ポートが必要です。2 ポートチャネルの一方のポートがシステムから失われると、論理的な agport は切断され、元の物理ポートがスパニングツリーに対して再初期化されます。これは、STP によってポートが再びデータを送信可能になるまで、トラフィックが廃棄されることがあることを意味します。

Catalyst 6500/6000 では、この規則の例外があります。CatOS 6.3 よりも前のバージョンでは、チャネルがモジュール 1 と 2 のポートだけで構成されている場合、モジュールが削除されている間も agport は切断されません。

この 2 つの障害モードの違いは、ネットワークのメンテナンスを計画する際に重要になります。これは、モジュールをオンラインで削除または挿入する場合に考慮すべき STP TCN が存在することがあるためです。前述のように、agportは障害発生時にも影響を受けない可能性があるため、NMSを使用してチャネル内の各物理リンクを管理することが重要です。

Catalyst 6500/6000 での不要なトポロジ変更の発生を軽減するために推奨される手順を次に示します。

モジュールごとに 1 つのポートを使用してチャネルを形成している場合は、3 つ以上のモジュールを使用する必要があります（合計 3 ポート以上）。
チャネルが2つのモジュールにまたがっている場合は、各モジュールで2つのポートを使用する必要があります（合計4ポート）。
2 枚のカード上で 2 つのポートチャネルが必要な場合は、Supervisor Engine のポートだけを使用します。
CatOS 6.3 にアップグレードします。これにより、複数のモジュールに分割されているチャネルの STP を再計算せずにモジュールを削除できます。

設定オプション

EtherChannel はさまざまなモードに設定できます。次の表に各モードの要約を示します。

モード	設定可能なオプション
`オン`	PAgP は動作していません。ポートは、ネイバーポートの設定内容にかかわらず、チャネリングされます。ネイバーポートのモードが on の場合、チャネルが形成されます。
`オフ`	ポートは、ネイバーポートの設定内容にかかわらず、チャネリングされません。
`Auto（デフォルト）`	集約は PAgP プロトコルの制御下にあります。ポートをパッシブ`ネゴシエーション`状態にし、送信元が`desirable`モードで動作していることを示すPAgPパケットを少なくとも1つ受信するまで、PAgPパケットはインターフェイスから送信されません。
`Desirable`	集約は PAgP プロトコルの制御下にあります。ポートをアクティブネゴシエーションステートにします。この場合、ポートは PAgP パケットを送信することによって、相手ポートとのネゴシエーションを開始します。相手側のポートグループが desirable または auto モードの場合にチャネルが形成されます。
`Non-silent（Catalyst 5500/5000 のファイバ FE および GE ポートのデフォルト）`	`auto または desirable モードのキーワード。`データパケットを受信していないインターフェイスは、agport に接続されることはなく、データ送信には使用でません。この双方向性チェックは、一部のリンク障害によってチャネルが壊れてしまう特定の Catalyst 5500/5000 ハードウェアのために提供されています。`non-silent モードが有効になっているため、リカバリ中のネイバーポートが再びアップ状態になることはできず、チャネルが不必要に切断されます。`Catalyst 4500/4000 および 6500/6000 シリーズのハードウェアでは、より柔軟なバンドリングと改善された双方向チェックがデフォルトで提供されています。
`Silent`（すべてのCatalyst 6500/6000および4500/4000ポートと5500/5000銅線ポートのデフォルト）	`auto または desirable モードのキーワード。`データパケットを受信していないインターフェイスは、15 秒のタイムアウト期間の後に、自動的に agport に接続され、データ送信に使用できるようになります。`Silent モードでは、PAgP を送信しないアナライザやサーバがパートナーの場合にチャネルを動作させることができます。`

silent/non-silent の設定は、単方向トラフィックが生じる状況に対するポートの対応方法、つまりフェールオーバーの実現方法に影響を及ぼします。物理サブレイヤ（PHY）の障害や、光ファイバやケーブルの破損などにより、あるポートが送信不能になった場合、そのネイバーポートは引き続き動作状態であることがあります。パートナーはデータを送信し続けますが、リターントラフィックは受信できないのでデータは失われます。また、単方向リンクの性質により、スパニングツリーループが生じることもあります。

ファイバポートの中には、受信信号を失ったときにポートを非動作状態にする機能を備えたものがあります（FEFI）。この機能により、パートナーポートが非動作状態に移行し、事実上リンクの両端のポートがダウンします。

データを送信し（BPDUなど）、単方向状態を検出できないデバイスを使用している場合は、受信データが存在し、リンクが双方向であると確認されるまでポートが稼働状態にならないようにするために、non-silentモードを使用する必要があります。PAgPが単方向リンクを検出するまでにかかる時間は、約3.5 * 30秒= 105秒です。ここで、30秒は、連続する2つのPAgPメッセージ間の時間です。単方向リンクをより迅速に検出する方法として、UDLD を使用することが推奨されます。

データを送信しないデバイスを使用している場合は、silentモードを使用する必要があります。これで、受信データの有無にかかわらず、ポートは強制的に接続されて動作状態になります。また、L1 FEFI および UDLD を使用する最近のプラットフォームのように、単方向状態を検出できるポートの場合、デフォルトで silent モードが使用されます。

検証

次の表は、直接接続された 2 台のスイッチ（Switch-A と Switch-B）の間で起こり得るすべての PAgP チャネリングモードのシナリオの要約です。一部の組み合わせでは、STP によってチャネリング側のポートが errdisable 状態になります（つまり、チャネリング側のポートがシャットダウンされます）。

Switch-A のチャネルモード	Switch-B のチャネルモード	チャネル状態
`オン`	`オン`	`Channel（非 PAgP）`
`オン`	`オフ`	`Not Channel（errdisable）`
`オン`	`自動`	`Not Channel（errdisable）`
`オン`	`Desirable`	`Not Channel（errdisable）`
`オフ`	`オン`	`Not Channel（errdisable）`
`オフ`	`オフ`	`Not Channel`
`オフ`	`自動`	`Not Channel`
`オフ`	`Desirable`	`Not Channel`
`自動`	`オン`	`Not Channel（errdisable）`
`自動`	`オフ`	`Not Channel`
`自動`	`自動`	`Not Channel`
`自動`	`Desirable`	`PAgP Channel`
`Desirable`	`オン`	`Not Channel（errdisable）`
`Desirable`	`オフ`	`Not Channel`
`Desirable`	`自動`	`PAgP Channel`
`Desirable`	`Desirable`	`PAgP Channel`

推奨事項

シスコでは、on モードを使用せずに、すべてのスイッチ間チャネル接続で PAgP を有効にすることを推奨しています。推奨の方法は、リンクの両端で desirable モードに設定する方法です。さらに、silent/non-silent キーワードをデフォルトのままにする、つまり Catalyst 6500/6000 および 4500/4000 スイッチでは silent、Catalyst 5500/5000 のファイバポートでは non-silent にしておくことを推奨しています。

前述したように、他のすべてのポートでチャネリングの設定を明示的にオフにしておくと、データ転送が高速になります。チャネリングに使用されないポートでPAgPがタイムアウトするまで15秒待つことは避ける必要があります。これは特に、その後ポートがSTPに引き渡されるためです。STPでは、データ転送が可能になるまでに30秒、場合によってはDTPにさらに5秒必要となり、合計で50秒かかる可能性があります。set port host コマンドについては、このドキュメントの「STP」の項を参照してください。

set port channel port range mode desirable

set port channel port range mode off

!--- Ports not channeled; part of the set port hostcommand.

このコマンドは、チャネルに管理グループ番号を割り当てます。この番号は show channel group コマンドで確認できます。必要に応じて、管理番号を使用して、同じagportに対するチャネリングポートの追加と削除を管理できます。

その他のオプション

アクセスレイヤで最小限の管理モデルを採用しているお客様がよく使用されるその他の設定としては、ディストリビューションレイヤとコアレイヤでモードを desirable に設定し、アクセスレイヤスイッチはデフォルト設定の auto のままにする設定があります。

PAgP をサポートしていないデバイスに対してチャネルを形成する場合は、チャネルを on にハードコードする必要があります。これは、サーバ、Local Director、コンテンツスイッチ、ルータ、古いソフトウェアが動作しているスイッチ、Catalyst XL スイッチ、Catalyst 8540 などのデバイスに当てはまります。次のコマンドを実行します。

set port channel port range mode on

CatOS 7.xで使用可能な新しい802.3ad IEEE LACP規格は、クロスプラットフォームとベンダー間の相互運用性のメリットがあるため、長期的にはPAgPに取って代わると考えられます。

Link Aggregation Control Protocol（LACP）

LACPは、隣接スイッチとのダイナミックネゴシエーションによって、同様の特性を持つポートを1つのチャネルにまとめることができるプロトコルです。PAgPはシスコ独自のプロトコルであり、シスコのスイッチおよびライセンスベンダーがリリースしたスイッチでのみ実行できます。IEEE 802.3ad で定義されている LACP を使用すると、802.3ad 仕様に準拠したデバイスを使用したイーサネットチャネリングをシスコスイッチで管理できます。CatOS 7.x ソフトウェアリリースには、LACP のサポートが導入されています。

機能的には、LACP と PAgP の間の違いはごくわずかです。両方のプロトコルとも、チャネルごとに最大8個のポートをサポートし、バンドルが形成される前に同じポートプロパティがチェックされます。チェックされるポートプロパティには次のものが含まれます。

速度
二重
ネイティブVLAN
トランキングタイプ

LACP と PAgP の間には次の顕著な違いがあります。

LACP は全二重ポートでのみ実行でき、半二重ポートはサポートしていない。
LACP では、ホットスタンバイポートがサポートされている。LACP では、ハードウェアで許容される最大数（8 ポート）まで、互換性のあるポートの最大数を 1 つのチャネルに設定するように常に試みられます。互換性があるすべてのポートを LACP で集約できない場合、チャネルにアクティブに含めることができないポートはすべてホットスタンバイ状態になり、使用中のポートのいずれかで障害が発生した場合にのみ使用されます。互換性のあるすべてのポートを LACP で集約できない状況の例としては、リモートシステムのハードウェア制限がより厳しい場合が考えられます。

注：CatOSでは、同じ管理キーを割り当てることができるポートの最大数は8です。Cisco IOSソフトウェアでは、LACPはハードウェアで許可されている最大数（8ポート）まで、EtherChannel内の互換性のあるポートの最大数を設定しようとします。さらに 8 ポートをホットスタンバイポートとして設定できます。

動作概要

LACPは、バンドルされる個々の物理（または論理）ポートを制御します。LACP パケットは、マルチキャストグループ MAC アドレス 01-80-c2-00-00-02 を使用して送信されます。タイプまたはフィールドの値は 0x8809 で、サブタイプは 0x01 です。次にプロトコル動作の要約を示します。

このプロトコルは、集約機能と状態情報のアドバタイズをデバイスに依存しています。送信は、「集約可能」リンクごとに定期的に行われます。
物理ポートがアップ状態である限り、LACPパケットは検出中は1秒ごとに、定常状態では30秒ごとに送信されます。
「集約可能」リンクにあるパートナーは、プロトコル内で送信される情報をリッスンして、実行するアクションを決定します。
ハードウェアで許容される最大数（8 ポート）までの互換性のあるポートが 1 つのチャネルに設定されます。
最新の状態情報が定期的かつタイムリーにリンクパートナー間で交換されて、集約が維持されます。リンク障害などのために設定が変更されると、プロトコルパートナーがタイムアウトして、システムの新しい状態に基づいて適切なアクションが実行されます。
定期的な LACP データユニット（リンク集約制御プロトコルデータユニット）の転送に加えて、状態情報に変更がある場合、イベント駆動型リンク集約制御プロトコルデータユニットがパートナーに送信されます。プロトコルパートナーは、システムの新しい状態に基づいて適切なアクションを実行します。

LACP パラメータ

一連のリンクが同じシステムに接続されているか、および集約の観点からそれらのリンクに互換性があるかを LACP が判断できるようにするためには、次のパラメータを設定できる機能が必要になります。

リンクアグリゲーションに参加する各システムのグローバルに一意なID

LACP が動作する各システムには、自動的または管理者によって選択できるプライオリティを割り当てる必要があります。デフォルトのシステムプライオリティは 32768 です。システムプライオリティは、システム識別子を形成するために、主にシステムの MAC アドレスとともに使用されます。
特定のシステムが把握している、各ポートおよび各アグリゲータに関連付けられている一連の機能を識別する方法

システム内の各ポートには、自動的または管理者によってプライオリティを割り当てる必要があります。デフォルトは 128 です。プライオリティは、ポートIDを形成するためにポート番号とともに使用されます。
リンクアグリゲーショングループとそれに関連付けられているアグリゲータを識別する方法

別のポートと集約できるポートの機能は、ゼロより大きな単純な 16 ビットの整数パラメータによって要約されています。このパラメータは「キー」と呼ばれています。各キーは、次のような要因によって決定されます。
- ポートの次のような物理特性。
  - データレート
  - Duplexity
  - ポイントツーポイントまたは共有メディア
- ネットワーク管理者が決定する設定上の制約
各ポートには、次の 2 つのキーが関連付けられています。
- 管理キー：このキーは、管理者がキー値を操作できるようにします。ユーザはこのキーを選択できます。
- 動作キー：このキーは、システムが集約を形成するために使用します。ユーザはこのキーを選択することも、直接変更することもできません。
  
  同じ動作キー値を共有するシステム内の一連のポートを、同じキーグループのメンバーと呼びます。

2 つのシステムがあり、同じ管理キーが設定された一連のポートがある場合、それぞれのシステムがポートの集約を試みます。各システムは、最もプライオリティの高いシステム内で最もプライオリティの高いポートから開始します。この動作が可能なのは、各システムが、ユーザまたはシステムによって割り当てられた独自のプライオリティと、LACPパケットによって検出されたパートナープライオリティを認識しているためです。

障害時の動作

LACP の障害時の動作は、PAgP の動作と同じです。既存のチャネルのリンクで障害が発生すると、agportが更新され、トラフィックは1秒以内に残りのリンクでハッシュされます。リンクの障害は次のような理由で発生します。

ポートが取り外されている
GBIC が削除されている
光ファイバが破損している
ハードウェア障害（インターフェイスまたはモジュール）

障害発生後に再ハッシュする必要がないトラフィック（同じリンクで送信を続けるトラフィック）は、損失を受けません。障害が発生したリンクを復元すると、agport に対する別のアップデートがトリガーされて、トラフィックが再度ハッシュされます。

設定オプション

LACP EtherChannel はさまざまなモードに設定できます。次の表に要約を示します。

モード	設定可能なオプション
`オン`	LACP ネゴシエーションなしで、リンクネゴシエーションが強制的に形成されます。スイッチは、LACP パケットの送信も、着信 LACP パケットの処理も行いません。ネイバーポートのモードが `on` の場合、チャネルが形成されます。
`オフ`	ポートは、ネイバーポートの設定内容にかかわらず、チャネリングされません。
`Passive（デフォルト）`	これは、PAgP における `auto モードに似ています。`スイッチはチャネルを開始しませんが、着信LACPパケットを認識します。ピア（`アクティブ状態）は、LACP パケットを送信してネゴシエーションを開始します。`スイッチはパケットを受信して応答し、最終的にはピアとともに集約チャネルを形成します。
`アクティブ`	これは、PAgP の `desirable モードに似ています。`スイッチは aglink を形成するためにネゴシエーションを開始します。相手側が LACP `Active または Passive モードで動作している場合、リンクアグリゲーションが形成されます。`

検証（LACP と LACP）

この項の表は、直接接続された 2 台のスイッチ（Switch-A と Switch-B）の間で起こり得るすべての LACP チャネリングモードのシナリオの要約です。一部の組み合わせでは、STP によってチャネリング側のポートが errdisable 状態になります。つまり、一部の組み合わせでは、チャネリング側のポートがシャットダウンされます。

Switch-A のチャネルモード	Switch-B のチャネルモード	Switch-A のチャネル状態	Switch-B のチャネル状態
`オン`	`オン`	`Channel（非 LACP）`	`Channel（非 LACP）`
`オン`	`オフ`	`Not Channel（errdisable）`	`Not Channel`
`オン`	`Passive`	`Not Channel（errdisable）`	`Not Channel`
`オン`	`アクティブ`	`Not Channel（errdisable）`	`Not Channel`
`オフ`	`オフ`	`Not Channel`	`Not Channel`
`オフ`	`Passive`	`Not Channel`	`Not Channel`
`オフ`	`アクティブ`	`Not Channel`	`Not Channel`
`Passive`	`Passive`	`Not Channel`	`Not Channel`
`Passive`	`アクティブ`	`LACP Channel`	`LACP Channel`
`アクティブ`	`アクティブ`	`LACP Channel`	`LACP Channel`

検証（LACP と PAgP）

この項の表は、直接接続された 2 台のスイッチ（Switch-A と Switch-B）の間で起こり得るすべての LACP と PAgP チャネリングモードのシナリオの要約です。一部の組み合わせでは、STPによってチャネリング側のポートがerrdisable状態になります。つまり、一部の組み合わせでは、チャネリング側のポートがシャットダウンされます。

Switch-A のチャネルモード	Switch-B のチャネルモード	Switch-A のチャネル状態	Switch-B のチャネル状態
`オン`	`オン`	`Channel（非 LACP）`	`Channel（非 PAgP）`
`オン`	`オフ`	`Not Channel（errdisable）`	`Not Channel`
`オン`	`自動`	`Not Channel（errdisable）`	`Not Channel`
`オン`	`Desirable`	`Not Channel（errdisable）`	`Not Channel`
`オフ`	`オン`	`Not Channel`	`Not Channel（errdisable）`
`オフ`	`オフ`	`Not Channel`	`Not Channel`
`オフ`	`自動`	`Not Channel`	`Not Channel`
`オフ`	`Desirable`	`Not Channel`	`Not Channel`
`Passive`	`オン`	`Not Channel`	`Not Channel（errdisable）`
`Passive`	`オフ`	`Not Channel`	`Not Channel`
`Passive`	`自動`	`Not Channel`	`Not Channel`
`Passive`	`Desirable`	`Not Channel`	`Not Channel`
`アクティブ`	`オン`	`Not Channel`	`Not Channel（errdisable）`
`アクティブ`	`オフ`	`Not Channel`	`Not Channel`
`アクティブ`	`自動`	`Not Channel`	`Not Channel`
`アクティブ`	`Desirable`	`Not Channel`	`Not Channel`

推奨事項

シスコでは、シスコスイッチ間のチャネル接続でPAgPを有効にすることを推奨しています。PAgP はサポートしていないが LACP はサポートしているデバイスに対してチャネルを形成する場合は、両端のデバイスで LACP を active に設定して LACP を有効にします。どちらかのデバイスが LACP や PAgP をサポートしていない場合は、チャネルを on にハードコードする必要があります。

```
set channelprotocol lacp module 
```
CatOS が動作するスイッチでは、Catalyst 4500/4000 および Catalyst 6500/6000 のすべてのポートで、チャネルプロトコル PAgP がデフォルトで使用されるため、LACP は実行しないでください。LACP を使用するようにポートを設定する場合は、モジュールのチャネルプロトコルを LACP に設定する必要があります。CatOS が動作するスイッチの同じモジュールで LACP と PAgP を実行することはできません。
```
set port lacp-channel port_range admin-key
```
admin key（管理キー）パラメータは、LACPパケットで交換されます。チャネルは、同じ admin key が設定されたポート間でのみ形成されます。set port lacp-channel port_range admin-key コマンドは、チャネルにadmin key番号を割り当てます。番号は show lacp-channel group コマンドで表示できます。set port lacp-channel port_range admin-key コマンドで、ポート範囲内のすべてのポートに同じadmin keyを割り当てることができます。特定のキーを設定しない場合、admin key がランダムに割り当てられます。その場合、必要に応じて admin key を参照して、同じ agport に対するチャネリングポートの追加と削除を管理できます。
```
set port lacp-channel port_range mode active
```
set port lacp-channel port_range mode active コマンドでは、以前に同じ admin key を割り当てられていた一連のポートのチャネルモードを active に変更できます。

また、LACP EtherChannelが確立された後、LACPは30秒の間隔タイマー(Slow_Periodic_Time)を使用します。長いタイムアウト(3 x Slow_Periodic_Time)を使用して、受信したLACPDU情報を無効にするまでの秒数は90です。単方向リンクをより速く検出するには、UDLD を使用します。LACPタイマーは調整できません。現在は、チャネルが形成された後もチャネルを維持するためにFast PDU Transmission（1秒ごと）を使用するようにスイッチを設定することはできません。

その他のオプション

アクセスレイヤで最小限の管理モデルを採用している場合は、ディストリビューションレイヤとコアレイヤでモードを active にする設定がよく使用されています。アクセスレイヤのスイッチはデフォルトの passive 設定のままにしておきます。

単方向リンク検出

UDLDは、デバイス間の単方向通信のインスタンスを検出するために開発された、シスコ独自の軽量プロトコルです。FEFI のように、伝送メディアの双方向状態を検出する方法は他にもありますが、L1 検出メカニズムでは十分ではない場合があります。そのようなシナリオは、次のような事象が発生した場合に生じます。

STP の予期しない動作
不正な、または過剰なパケットのフラッディング
トラフィックのブラックホール化

UDLD 機能は、光ファイバおよび銅線イーサネットインターフェイスの次のような障害状況に対処するための機能です。

物理的なケーブル構成をモニタし、配線が誤っているポートを errdisable としてシャットダウンします。
単方向リンクから保護します。メディアまたはポート/インターフェイスの動作不良に起因する単方向リンクが検出されると、影響を受けるポートがerrdisableとしてシャットダウンされ、対応するsyslogメッセージが生成されます。
さらに、UDLD アグレッシブモードでは、以前に双方向と見なされていたリンクが、輻輳時に接続を失って使用不可になっていないかチェックされます。UDLD では、リンク全体の接続テストが継続的に実行されます。UDLD アグレッシブモードの主な目的は、特定の障害状態におけるトラフィックのブラックホール化を回避することです。

定常状態の単方向 BPDU フローを持つスパニングツリーでは、これらの障害は重大な問題でした。あるポートが突然 BPDU を送信できなくなる状況は簡単に発生します。そのような状況になると、ネイバーの STP ステートがブロッキングからフォワーディングに変わります。そのポートはまだ受信可能なため、この変更によりループが形成されます。

動作概要

UDLDはLLCレイヤの上位で動作するL2プロトコルです（宛先MAC 01-00-0c-cc-cc-cc、SNAP HDLCプロトコルタイプ0x0111）。 UDLDをFEFIおよび自動ネゴシエーションL1メカニズムと組み合せて実行すると、リンクの物理(L1)および論理(L2)の整合性を検証できます。

UDLD では、FEFI および自動ネゴシエーションでは実行できない機能と保護が提供されます。具体的には、ネイバー情報の検出とキャッシング、正しく接続されていないポートのシャットダウン、ポイントツーポイント以外のリンク（メディアコンバータやハブを経由するリンク）での論理インターフェイスとポートの動作不良や障害の検出を実行できます。

UDLD には 2 つの基本的なメカニズムがあります。UDLD はネイバーについて学習し、その最新情報をローカルキャッシュに保持します。そして、新しいネイバーが検出されるたび、またはネイバーからキャッシュの再同期要求を受けるたびに、一連の UDLD プローブ/エコー（Hello）メッセージを送信します。

UDLD は、UDLD が有効になっているすべてのポートでプローブメッセージを絶えず送信します。特定の「トリガー」UDLDメッセージがポートで受信されるたびに、検出フェーズと検証プロセスが開始されます。このプロセスの最後にすべての有効な条件が満たされた場合、ポートの状態は変更されません。条件を満たすには、ポートが双方向で、正しく配線されている必要があります。そうでない場合、そのポートは errdisable になり、syslog メッセージが表示されます。次のような syslog メッセージが表示されます。

UDLD-3-DISABLE：ポート[dec]/[dec]で単方向リンクが検出されました。Port disabled
UDLD-4-ONEWAYPATH：ポート[dec]/[dec]からポートへの単方向リンク

[dec]/[dec] of device [chars] was detected

UDLDイベントを含む、ファシリティごとのシステムメッセージの完全なリストについては、『メッセージと回復手順』（Catalystシリーズスイッチ7.6）を参照してください。

リンクが確立し、双方向として分類されると、UDLD は 15 秒間隔（デフォルト）でプローブ/エコーメッセージをアドバタイズし続けます。次の表は、show udld port コマンドの出力に表示される有効な UDLD リンクの状態を示しています。

ポートの状態	コメント
不確定	検出中、または隣接するUDLDエンティティが無効になっているか、その送信がブロックされている。
該当なし	UDLD が無効になっています。
シャットダウン	単方向リンクが検出され、ポートが無効になっています。
双方向性	双方向リンクが検出されました。

ネイバーキャッシュのメンテナンス：UDLD は、UDLD ネイバーキャッシュの整合性を維持するために、すべてのアクティブインターフェイスで Hello プローブ/エコーパケットを定期的に送信します。Helloメッセージを受信すると、そのメッセージはキャッシュされ、ホールドタイムとして定義されている最大期間、メモリに保持されます。ホールド時間が経過すると、各キャッシュエントリがエージアウトします。ホールド時間内に新しい Hello メッセージを受信すると、新しいメッセージによって古いエントリが置き換えられ、対応する存続可能時間タイマーがリセットされます。
UDLD キャッシュの整合性を維持するために、UDLD 対応インターフェイスが無効になったとき、またはデバイスがリセットされたときは常に、設定変更の影響を受けるインターフェイスの既存のキャッシュエントリがすべてクリアされます。さらに、各ネイバーに、対応するキャッシュエントリの消去を通知するメッセージが少なくとも 1 つ送信されます。
エコー検出メカニズム：エコーメカニズムは検出アルゴリズムの基盤となります。UDLD デバイスは新しいネイバーについて学習するか、同期していないネイバーから再同期要求を受信した場合は常に、接続の UDLD デバイス側で検出ウィンドウを開始または再開して、応答としてエコーメッセージをバースト送信します。この動作はすべてのネイバーで同じであるため、エコー送信側は応答としてエコーバックを受信するものと想定します。検出ウィンドウが終了しても有効な応答メッセージがまったく受信されない場合、そのリンクは単方向と見なされ、リンク再確立またはポートシャットダウンプロセスがトリガーされます。

コンバージェンス時間

STP ループを防止するため、CatOS 5.4(3) では UDLD のデフォルトのメッセージ間隔が 60 秒から 15 秒に短縮されました。これは、ブロックされたポートがフォワーディングステートに移行可能になる前に単方向リンクをシャットダウンするためです。

注：メッセージ間隔の値は、リンクアップまたは検出フェーズの後で、ネイバーがUDLDプローブを送信する速度を決定します。可能な場合は一貫した設定が望ましいですが、リンクの両端でメッセージ間隔が一致している必要はありません。UDLDネイバーが確立されると、設定されたメッセージ間隔が送信され、そのピアのタイムアウト間隔は(3 * message_interval)と計算されます。そのため、hello（またはプローブ）が3回連続して受信されないと、ピア関係がタイムアウトします。メッセージ間隔が両側で異なるため、このタイムアウト値も両側で異なります。

UDLDが単方向障害を検出するために必要なおおよその時間は、デフォルトのメッセージインターバルである15秒を使用した場合の約（2.5 * message_interval + 4秒）または約41秒です。これは、STP の再コンバージェンスに通常必要な 50 秒よりもかなり短い時間です。NMPのCPUサイクルに多少の余裕があり、その使用率レベルを注意深く監視する場合は、メッセージ間隔を最短で7秒に短縮できます。このようなメッセージ間隔にすると、検出時間を大幅に短縮できます。

したがって、UDLDは想定されるデフォルトのスパニングツリータイマーに依存します。UDLD よりも短時間でコンバージするように STP を調整する場合は、CatOS 6.2 のループガード機能のような代替メカニズムを検討してください。また、RSTP(IEEE 802.1w)を実装する場合は、トポロジに応じてミリ秒単位のコンバージェンス特性を持つ別のメカニズムを検討してください。このような場合には、UDLD とループガードを組み合わせて使用して、最大限の保護を実現します。ループガードでは、使用中のSTPバージョンの速度でSTPループが防止され、UDLDでは、個々のEtherChannelリンクで、または破損した方向にBPDUが流れない場合に単方向接続が検出されます。

注：UDLDでは、(2 * FwdDelay + Maxage)を超える時間BPDUを送信しないCPUによって発生する障害など、すべてのSTP障害状況を捕捉できるわけではありません。そのため、STP に依存するトポロジでは、UDLD を（CatOS 6.2 で導入された）ループガードとともに使用することを推奨します。

caution 注意：古いリリースの UDLD では、デフォルトのメッセージ間隔は 60 秒で、この時間は変更できません。それらのリリースでは、スパニングツリーのループ状態が起こりやすくなります。

UDLD アグレッシブモード

アグレッシブ UDLD は、双方向接続の継続的なテストが必要な、次のような（まれな）ケースに対処するために作成されました。そのため、アグレッシブモード機能では、次のような危険な単方向リンクの状態に対する保護が強化されています。

UDLD PDUの損失が対称的で、両端がタイムアウトした場合、どちらのポートもerrdisabledになりません。
リンクの一方の側でポートスタック（送信（Tx）と Rx の両方）が生じている場合。
リンクの一方の側がダウンしているが、もう一方の側がアップしたままの場合。
自動ネゴシエーションまたは別の L1 障害検出メカニズムが無効になっている場合。
L1 FEFI メカニズムへの依存度を下げることが望ましい場合。
ポイントツーポイントのFE/GEリンク上の単方向リンク障害に対する最大限の保護が必要です。具体的には、2 つのネイバー間での障害を許容できない場合、UDLD のアグレッシブプローブを「ハートビート」と見なすことができます。ハードビートの存在により、リンクの健全性が保証されます。

アグレッシブUDLDを実装する最も一般的なケースは、自動ネゴシエーションなどのL1障害検出メカニズムが無効になっているか、使用できない場合に、バンドルのメンバに対して接続チェックを実行する場合です。これは EtherChannel 接続の場合に特に当てはまり、PAgP や LACP が有効になっている場合でも、定常状態では極端に小さい値の Hello タイマーは使用しないでください。この場合、アグレッシブUDLDには、スパニングツリーループの発生を防止できるという利点もあります。

対称的な UDLD プローブパケットの損失の一因となる状況を明らかにするのはさらに困難です。通常の UDLD では、リンクが双方向状態になった後でも、単方向リンク状態のチェックが行われることを理解しておく必要があります。UDLD の目的は、STP ループの原因になる L2 の問題を検出することです。BPDU は定常状態では一方向にのみ流れるため、通常、そのような問題は単方向の問題です。そのため、通常の UDLD を自動ネゴシエーションおよびループガード（STP に依存するネットワークの場合）とともに使用すれば、ほとんどの場合は問題ありません。しかし、輻輳が両方向に等しく影響を及ぼし、両方向で UDLD プローブの損失が生じるような場合には、UDLD アグレッシブモードは有効です。たとえば、リンクの両端の CPU 使用率が上がると、UDLD プローブの損失が生じることがあります。また、次のいずれかのデバイスに障害が発生した場合にも、双方向の接続が失われます。

高密度波長分割多重（DWDM）トランスポンダ
メディアコンバータ
ハブ
別の L1 デバイス

注：この障害は自動ネゴシエーションでは検出できません。

このような障害状態では、アグレッシブ UDLD によってポートがエラーディセーブルになります。ポイントツーポイントではないリンクで UDLD アグレッシブモードを有効にする場合は、その影響を注意深く検討してください。メディアコンバータ、ハブ、または同様のデバイスとのリンクは、ポイントツーポイントではありません。中継デバイスにより UDLD パケットの転送が阻止され、リンクが不必要に強制シャットダウンされることがあります。

ポートのすべてのネイバーがエージアウトすると、UDLD アグレッシブモードが有効になっている場合には、同期がずれている可能性があるネイバーを再同期するために、リンクアップシーケンスが再起動されます。この処理は、アドバタイズメントまたは検出フェーズのいずれかで実行されます。迅速な一連のメッセージ（8 回再試行に失敗した）後、リンクが引き続き「不確定」と見なされる場合、そのポートは errdisable 状態になります。

注：一部のスイッチはアグレッシブUDLDに対応していません。現時点では、Catalyst 2900XL と Catalyst 3500XL ではメッセージ間隔が 60 秒にハードコードされています。この間隔は、（デフォルトの STP パラメータを使用して）潜在的な STP ループから保護するには長すぎると考えられます。

ルーテッドリンク上の UDLD

ここでは説明のために、ルーテッドリンクは次の 2 つの接続タイプのいずれかであるとします。

2 つのルータノード間のポイントツーポイント

このリンクは 30 ビットのサブネットマスクで設定されています。
複数のポートがあるが、ルーテッド接続のみをサポートしている VLAN

例としては、分割された L2 コアトポロジです。

各 Interior Gateway Routing Protocol（IGRP）には、ネイバー関係とルートの収束の処理方法に関する独自の特性があります。この項で説明する特性は、現在広く使用されている Open Shortest Path First（OSPF）プロトコルおよび Enhanced IGRP（EIGRP）という 2 つのルーティングプロトコルと対比するときに関係してきます。

まず、ポイントツーポイントのルーテッドネットワークでL1またはL2の障害が発生すると、L3接続がほぼ瞬時に切断されることに注意してください。L1/L2に障害が発生すると、そのVLANのスイッチポートだけがnot-connected状態に移行するため、MSFCの自動ステート機能によって、L2とL3のポート状態が約2秒で同期されます。この同期により、L3 VLANインターフェイスはup/down状態になります（回線プロトコルはdown状態）。

デフォルトのタイマー値が使用されていると仮定した場合、OSPFはhelloメッセージを10秒ごとに送信し、dead間隔は40秒です(4 * hello)。これらのタイマーは OSPF ポイントツーポイントネットワークとブロードキャストネットワークで一致しています。隣接関係（アジャセンシー）を形成するために OSPF には双方向通信が必要なため、最悪の場合のフェールオーバー時間は 40 秒になります。ポイントツーポイント接続の L1 または L2 の障害が全面的なものではなく、中途半端に動作するようなシナリオで、L3 プロトコルによる処理が必要になる場合でも、このフェールオーバーは発生します。UDLD の検出時間は OSPF dead タイマーの期限切れ時間（約 40 秒）と非常に近いため、OSPF の L3 ポイントツーポイントリンクに UDLD 通常モードを設定する利点は限られています。

多くの場合、EIGRP の方が OSPF よりも速く収束します。ただし、ネイバーがルーティング情報を交換するために双方向通信が必要ではない点に注意する必要があります。非常に特殊な中途半端に動作する障害のシナリオでは、他のイベントがそのネイバーを「active」にしてルートを作成するまで、トラフィックのブラックホール化に対する脆弱性が EIGRP に存在します。 UDLD通常モードでは、このセクションで説明する状況を緩和できます。UDLD通常モードでは、単方向リンク障害が検出され、ポートがエラーディセーブルになります。

任意のルーティングプロトコルを使用する L3 ルーテッド接続では、リンクの初期起動時の問題を UDLD 通常モードで引き続き保護できます。そのような問題には、ケーブル配線の間違いや障害のあるハードウェアなどがあります。さらに、UDLD アグレッシブモードには、L3 ルーテッド接続に対して次の利点があります。

トラフィックの不必要なブラックホール化を防止する

注：場合によっては、最小タイマーが必要です。
フラッピングリンクを errdisable 状態にする
L3 EtherChannel の設定に起因するループから保護する

UDLD のデフォルト動作

UDLD はグローバルには無効ですが、ファイバポート上ではデフォルトですぐに有効になります。UDLD はスイッチ間でのみ必要となるインフラストラクチャプロトコルなので、銅線ポートではデフォルトで無効になっています。銅線ポートは、ホストアクセスによく使用されます。

注：UDLDは、ネイバーが双方向のステータスになる前に、インターフェイスレベルでグローバルに有効にする必要があります。CatOS 5.4(3) 以降では、デフォルトのメッセージ間隔が 15 秒になっており、7 ～ 90 秒の間で設定できます。

errdisable 回復は、デフォルトではグローバルに無効になっています。グローバルで有効にした後で、ポートがerrdisable状態になると、選択したインターバルの後、自動的に再び有効になります。デフォルトの時間は300秒です。これはグローバルタイマーで、スイッチ内のすべてのポートで維持されます。そのポートに対する errdisable タイムアウトを disable に設定すると、ポートの再有効化を手動で防止できます。set port errdisable-timeout mod/port disableコマンドを発行します。

注：このコマンドの使用は、ソフトウェアのバージョンによって異なります。

アウトオブバンドネットワーク管理機能を使用せずにUDLDアグレッシブモードを実装する場合は、errdisableタイムアウト機能の使用を検討します。errdisable状態の発生時にネットワークから分離する可能性のあるアクセスレイヤやデバイスでは、特に検討が必要です。

errdisable 状態のポートに対するタイムアウト期間の設定方法の詳細については、イーサネット、ファストイーサネット、ギガビットイーサネット、および 10 ギガビットイーサネットスイッチングの設定 [英語] を参照してください。

推奨事項

適切な機能とプロトコルとともに正しく使用すれば、ほとんどの場合、通常モードのUDLDで十分です。そのような機能やプロトコルには、次のものがあります。

FEFI
自動ネゴシエーション
ループガード

UDLD を展開する場合、双方向接続の継続的なテスト（アグレッシブモード）が必要かどうかを検討します。通常、自動ネゴシエーションがイネーブルになっている場合は、L1での障害検出は自動ネゴシエーションによって補われるため、アグレッシブモードは必要ありません。

シスコでは、UDLDメッセージ間隔がデフォルトの15秒に設定されているCiscoスイッチ間のすべてのポイントツーポイントFE/GEリンクで、UDLD通常モードを有効にすることを推奨しています。この設定では、デフォルトの 802.1d のスパニングツリータイマーの使用が想定されています。また、冗長性とコンバージェンスをSTPに依存するネットワークでは、UDLDをループガードと組み合せて使用します。この推奨事項は、トポロジ内に STP ブロッキングステートのポートが 1 つ以上存在するネットワークに当てはまります。

UDLD を有効にするには、次のコマンドを発行します。

set udld enable

!--- After global enablement, all FE and GE fiber !--- ports have UDLD enabled by default.


set udld enable port range


!--- This is for additional specific ports and copper media, if needed.

単方向リンクの症状のためにエラーディセーブルになっているポートは、手動でイネーブルにする必要があります。set port enable コマンドを発行します。

詳細については、『単方向リンク検出プロトコル機能の説明と設定』を参照してください。

その他のオプション

単方向リンクによる症状に対する保護を最大にするには、アグレッシブモードのUDLDを次のように設定します。

set udld aggressive-mode enable port_range

さらに、コンバージェンスをより速くするために、両端の UDLD メッセージ間隔の値を 7 ～ 90 秒の間で次のように調整できます（サポートされている場合）。

set udld interval time

errdisable 状態になるとネットワークから分離する可能性があるデバイスには、errdisable タイムアウト機能の使用を検討します。この状況は、通常、アクセスレイヤや、アウトオブバンドネットワーク管理機能を設定せずに UDLD アグレッシブモードを実装する場合に当てはまります。

ポートが errdisable 状態になった場合、デフォルトではそのポートはダウンしたままになります。次のコマンドを発行すると、タイムアウト間隔後に、ポートを再び有効にできます。

注：タイムアウト間隔は、デフォルトでは300秒です。

>set errdisable-timeout enable ?
bpdu-guard

!--- This is BPDU port-guard.


channel-misconfig

!--- This is a channel misconfiguration.


duplex-mismatch
udld
other

!--- These are other reasons.


all

!--- Apply errdisable timeout to all reasons.

エンドホストやルータなど、パートナーのデバイスがUDLDに対応していない場合は、プロトコルを実行しないでください。次のコマンドを実行します。

set udld disable port_range

UDLD のテストとモニタ

不良 GBIC などの、実際に障害のあるコンポーネントや単方向コンポーネントがない状態で、ラボで UDLD をテストするのは簡単ではありません。UDLD は、ラボで通常取り扱う障害シナリオよりも発生頻度の低いシナリオを検出するために設計されています。たとえば、目的の errdisable 状態を確認するために光ファイバの一方を引き抜く簡単なテストを実行する場合は、L1 の自動ネゴシエーションをオフにする必要があります。そうしないと、物理ポートがダウンして、UDLD のメッセージ通信がリセットされます。UDLD 通常モードでは、リモートエンドは不確定状態に移行します。UDLD アグレッシブモードを使用している場合、リモートエンドは errdisable 状態に移行します。

UDLDのネイバーPDUの損失をシミュレートするテスト方法は他にもあります。MAC レイヤフィルタを使用して、UDLD や CDP のハードウェアアドレスをブロックし、その他のアドレスを通過させる方法です。

UDLD をモニタするには、次のコマンドを発行します。

>show udld

UDLD              : enabled
Message Interval  : 15 seconds


>show udld port 3/1

UDLD              : enabled
Message Interval  : 15 seconds
Port      Admin Status  Aggressive Mode  Link State
--------  ------------  ---------------  ----------------
	3/1      enabled       disabled         bidirectional

enable モードで show udld neighbor 隠しコマンドを発行して、UDLD キャッシュの内容を（CDP が行う方法で）確認できます。 プロトコル固有の異常の有無を確認するには、多くの場合、UDLD キャッシュと CDP キャッシュを比較するのが便利な方法です。CDP も影響を受けている場合、通常はすべての PDU と BPDU が影響を受けています。そのため、STP もチェックしてください。たとえば、最近のルート ID の変更、ルートポートや指定ポートの配置変更をチェックします。

>show udld neighbor 3/1

Port  Device Name            Device ID    Port-ID OperState
----- ---------------------  ------------ ------- ----------
	3/1   TSC07117119M(Switch)   000c86a50433 3/1     bidirectional

また、UDLD のステータスと設定の一貫性は、Cisco UDLD SNMP MIB 変数を使用してモニタできます。

ジャンボフレーム

GE や 10 GE を含むすべてのイーサネットポートのデフォルトの最大伝送ユニット（MTU）フレームサイズは 1518 バイトです。ジャンボフレーム機能を使用すると、イーサネットの標準フレームサイズよりも大きなフレームにインターフェイスを切り替えることができます。この機能は、サーバ間のパフォーマンスを最適化し、元のフレームのサイズを増加させるMulti-Protocol Label Switching(MPLS)、802.1Qトンネリング、L2 Tunneling Protocol Version 3(L2TPv3)などのアプリケーションをサポートするのに役立ちます。

動作概要

IEEE 802.3規格の仕様では、イーサネットフレームの最大サイズは、通常のフレームの場合は1518バイト、802.1Qカプセル化フレームの場合は1522バイトと定義されています。802.1Qカプセル化フレームは、「ベビージャイアント」と呼ばれることがあります。一般に、特定のイーサネット接続に対して指定されたイーサネット最大長をパケットが超える場合、そのパケットはジャイアントフレームに分類されます。ジャイアントパケットは、ジャンボフレームとも呼ばれます。

特定のフレームの MTU サイズが 1518 バイトを超えてしまう理由はさまざまです。次にいくつかの例を示します。

ベンダー固有の要件：アプリケーションおよび特定のNICでは、標準の1500バイト以外のMTUサイズを指定できます。さまざまな研究により、イーサネットフレームのサイズを大きくすれば平均スループットが向上することが証明されているため、そのような MTU サイズを指定する傾向があります。
トランキング：スイッチまたは他のネットワークデバイス間で VLAN ID 情報を転送するために、トランキングを使用して標準のイーサネットフレームが拡張されています。現在、最も広く使用されている形態のトランキングはシスコ独自の ISL カプセル化と IEEE 802.1Q です。
MPLS：MPLS がインターフェイスで有効になった後、パケットのフレームサイズが拡張される可能性がある。この拡張は、MPLS タグが付いたパケットのラベルスタックにあるラベルの数によって異なります。1 つのラベルの合計サイズは 4 バイトです。ラベルスタックの合計サイズは n X 4 バイトです。ラベルスタックが形成されている場合は、フレームが MTU を超過する場合があります。
802.1Qトンネリング：802.1Qトンネリングパケットには2つの802.1Qタグが含まれており、通常は1つのタグだけがハードウェアに認識される。したがって、内部タグはMTU値（ペイロードサイズ）に4バイトを追加します。
Universal Transport Interface（UTI）/L2TPv3：UTI/L2TPv3 では、IP ネットワーク上を転送される L2 データがカプセル化される。このカプセル化により、元のフレームサイズが最大で 50 バイト増えることがあります。新しいフレームには、新しい IP ヘッダー（20 バイト）、L2TPv3 ヘッダー（12 バイト）、および新しい L2 ヘッダーが含まれます。L2TPv3 のペイロードは、L2 ヘッダーを含む完全な L2 フレームで構成されています。

各 Catalyst スイッチのさまざまなフレームサイズをサポートする能力は、ハードウェアとソフトウェアを含む多くの要因によって決まります。同じプラットフォーム内でも、特定のモジュールでは、他よりも大きなフレームサイズがサポートできる場合があります。

Catalyst 5500/5000 スイッチでは、CatOS 6.1 リリースでジャンボフレームがサポートされています。ポート上でジャンボフレーム機能を有効にすると、MTU サイズは 9216 バイトに増えます。10/100 Mbps のシールドなしツイストペア（UTP）ベースのラインカードでは、8092 バイトの最大フレームサイズだけがサポートされています。この制限は ASIC の制限です。一般的には、ジャンボフレームサイズ機能を有効にした場合の制限はありません。この機能は、トランキング/非トランキングおよびチャネリング/非チャネリングで使用できます。
Catalyst 4000 スイッチ（Supervisor Engine 1（WS-X4012）および Supervisor Engine 2（WS-X4013））では、ASIC の制限のためにジャンボフレームはサポートされていません。ただし、802.1Q トランキングは例外です。
Catalyst 6500 シリーズプラットフォームでは、CatOS リリース 6.1(1) 以降でジャンボフレームサイズをサポートできます。ただし、このサポートは使用するラインカードのタイプに左右されます。通常、ジャンボフレームサイズ機能の有効化に制限はありません。この機能は、トランキング/非トランキングおよびチャネリング/非チャネリングで使用できます。個々のポートでジャンボフレームのサポートが有効になると、デフォルトの MTU サイズは 9216 バイトになります。CatOS を使用してデフォルトの MTU を設定することはできません。ただし、Cisco IOSソフトウェアリリース12.1(13)Eには、デフォルトのMTUを上書きするsystem jumbomtu コマンドが導入されています。

詳細は、『Catalystスイッチでのジャンボ/ジャイアントフレームサポートの設定例』を参照してください。

次の表に、Catalyst 6500/6000 シリーズスイッチ用のさまざまなラインカードでサポートされる MTU サイズを示します。

注：MTUサイズまたはパケットサイズとは、イーサネットペイロードのみを指します。

ラインカード	MTUサイズ
デフォルト	9216 バイト
WS-X6248-RJ-45、WS-X6248A-RJ-45 WS-X6248-TEL、WS-X6248A-TEL WS-X6348-RJ-45(V)、WS-X6348-RJ-21(V)	8092 バイト（PHY チップによる制限）
WS-X6148-RJ-45(V)、WS-X6148-RJ-21(V) WS-X6148-45AF、WS-X6148-21AF	9100 バイト（100 Mbps 時）9216 バイト（10 Mbps 時）
WS-X6148A-RJ-45、WS-X6148A-45AF、WS-X6148-FE-SFP	9216 バイト
WS-X6324-100FX-MM、-SM、WS-X6024-10FL-MT	9216 バイト
Supervisor Engine 1、2、32、および 720 の WS-X6548-RJ-45、WS-X6548-RJ-21、WS-X6524-100FX-MM WS-X6148X2-RJ-45、WS-X6148X2-45AF WS-X6196-RJ-21、WS-X6196-21AF WS-X6408-GBIC、WS-X6316-GE-TX、WS-X6416-GBIC WS-X6516-GBIC、WS-X6516A-GBIC、WS-X6816-GBIC アップリンク	9216 バイト
WS-X6516-GE-TX	8092 バイト（100 Mbps 時）9216 バイト（10 または 1000 Mbps 時）
WS-X6148-GE-TX、WS-X6148V-GE-TX、WS-X6148-GE-45AF、WS-X6548-GE-TX、WS-X6548V-GE-TX、WS-X6548-GE-45AF	1500 バイト（ジャンボフレームのサポートなし）
WS-X6148A-GE-TX、WS-X6148A-GE-45AF、WS-X6502-10GE、WS-X67xx シリーズ	9216 バイト
OSM ATM（OC12c）	9180 バイト
OSM CHOC3、CHOC12、CHOC48、CT3	9216 バイト（OCx および DS3）7673 バイト（T1/E1）
フレックスWAN	7673 バイト（CT3 T1/DS0）9216 バイト（OC3c POS）7673 バイト（T1）
CSM（WS-X6066-SLB-APC）	9216 バイト（CSM 3.1(5) および 3.2(1) の時点）
OSM POS OC3c、OC12c、OC48c。OSM DPT OC48c、OSM GE WAN	9216 バイト

レイヤ 3 ジャンボフレームサポート

Supervisor Engine 上で動作する CatOS および MSFC 上で動作する Cisco IOS ソフトウェアを備えた Catalyst 6500/6000 スイッチでは、Cisco IOS® ソフトウェアリリース 12.1(2)E 以降で PFC/MSFC2、PFC2/MSFC2 またはそれ以降のハードウェアを使用する場合に L3 ジャンボフレームがサポートされます。入力と出力の両方の VLAN がジャンボフレーム用に設定されている場合、すべてのパケットが PFC によりワイヤスピードでハードウェアスイッチングされます。入力の VLAN がジャンボフレーム用に設定されていて、出力の VLAN が設定されていない場合のシナリオは次の 2 つです。

エンドホストから Don't Fragment（DF）ビットが設定されたジャンボフレームが（パス MTU ディスカバリ用に）送信される場合：パケットが廃棄され、Internet Control Message Protocol（ICMP）到達不能メッセージがメッセージコード fragment needed and DF set とともにエンドホストに送信されます。
エンドホストから DF ビットが設定されていないジャンボフレームが送信される場合：バケットが MSFC2/MSFC3 にパントされ、ソフトウェアで断片化とスイッチングが行われます。

次の表は、さまざまなプラットフォームでの L3 ジャンボフレームのサポートの要約です。

L3 スイッチまたはモジュール	最大 L3 MTU サイズ
Catalyst 2948G-L3/4908G-L3 シリーズ	ジャンボフレームはサポートされません。
Catalyst 5000 RSM^1/RSFC2	ジャンボフレームはサポートされません。
Catalyst 6500 MSFC1	ジャンボフレームはサポートされません。
Catalyst 6500 MSFC2 以降	Cisco IOSソフトウェアリリース12.1(2)E:9,216バイト

^{1 RSM = ルートスイッチモジュール}

^{2 RSFC = ルートスイッチフィーチャカード}

ネットワークパフォーマンスの考慮事項

WAN（インターネット）上のTCPのパフォーマンスは広く研究されています。次の公式は、TCP のスループットには次の要因に基づく上限があることを示しています。

最大セグメントサイズ（MSS）。MTU 長から TCP/IP ヘッダーの長さを引いた値です。
ラウンドトリップ時間（RTT）
パケット損失

この公式によれば、達成可能な TCP の最大スループットは、MSS と正比例の関係にあります。RTT とパケット損失が一定の場合、パケットサイズを 2 倍にすれば、TCP スループットを 2 倍にできます。同様に、1518 バイトのフレームの代わりにジャンボフレームを使用すると、サイズが 6 倍になるので、イーサネット接続の TCP スループットが 6 倍に向上する可能性があります。

第二に、サーバファームのパフォーマンスに対する要求が増大し続けているため、ネットワークファイルシステム(NFS)のUDPデータグラムでより高いデータレートを確保する、より効率的な方法が必要になっています。NFSは、UNIXベースのサーバ間でファイルを転送するために最も広く導入されているデータストレージメカニズムで、8400バイトのデータグラムを使用します。イーサネットの拡張 9 KB MTU では、（NFS などの）8 KB のアプリケーションデータグラムとパケットヘッダーのオーバーヘッドを 1 つのジャンボフレームで十分に転送できます。ソフトウェアではNFSブロックを別々のUDPデータグラムにフラグメント化する必要がないため、この機能により、偶発的に、より効率的なダイレクトメモリアクセス(DMA)転送がホストで可能になります。

推奨事項

ジャンボフレームのサポートが必要な場合、ジャンボフレームの使用は、すべてのスイッチモジュール（L2）とインターフェイス（L3）でジャンボフレームがサポートされているネットワークのエリアに制限します。このように設定すれば、パス内のすべての場所でフラグメンテーションを防止できます。パスでサポートされるフレーム長より長いジャンボフレームを設定すると、フラグメンテーションが必要になるため、この機能を使用する利点が失われます。この「ジャンボフレーム」の項にある表に示されているように、サポートされる最大パケットサイズに関しては、プラットフォームやラインカードによって異なります。

ホストデバイスが存在するL2 VLAN全体に対して、ネットワークハードウェアでサポートされている共通の最小分母であるMTUサイズを使用して、ジャンボフレーム対応ホストデバイスを設定します。ジャンボフレームがサポートされているモジュールでジャンボフレームのサポートを有効にするには、次のコマンドを発行します。


set port jumbo mod/port enable

さらに、L3 境界を越えてジャンボフレームをサポートする場合は、該当するすべての VLAN インターフェイスで使用可能な MTU の最大値である 9216 バイトを設定します。VLAN インターフェイスで、次の mtu コマンドを発行します。

interface vlan vlan#
mtu 9216

このように設定すれば、モジュールでサポートされる L2 ジャンボフレーム MTU は常に、トラフィックが通過する L3 インターフェイスに設定されている値以下になります。これで、トラフィックが VLAN から L3 インターフェイスを超えてルーティングされる場合のフラグメンテーションが防止されます。

管理設定

この項では、Catalyst ネットワークの制御、プロビジョニング、およびトラブルシューティングに役立つ考慮事項について説明します。

ネットワーク図

明確なネットワーク図はネットワーク運用の基本部分です。ネットワーク図はトラブルシューティングの際に重要となり、ネットワーク停止時に情報をベンダーやパートナーにエスカレーションするための唯一の最も重要な手段となります。ネットワーク図の準備やアクセシビリティを過小評価しないでください。

推奨事項

シスコでは、次の 3 つの図の作成を推奨しています。

全体図：どれだけ規模の大きいネットワークでも、エンドツーエンドの物理接続と論理接続を示すダイアグラムは重要です。階層的な設計を実装している企業では、各レイヤを別々にドキュメント化するのが一般的です。ただし、計画時や問題解決時には、多くの場合、ドメインの全体的なリンク情報がわかれば十分です。
物理図：すべてのスイッチおよびルータハードウェアとその配線を示します。トランク、リンク、速度、チャネルグループ、ポート番号、スロット、シャーシタイプ、ソフトウェア、VTP ドメイン、ルートブリッジ、バックアップルートブリッジプライオリティ、MAC アドレス、VLAN ごとのブロックされたポートなどを記入する必要があります。Catalyst 6500/6000 MSFC などの内部デバイスは、トランク経由で接続している枝上のルータとして表すとさらに明確になります。
論理図：L3 機能（オブジェクトとしてルータ、イーサネットセグメントとして VLAN）のみを示します。 IP アドレス、サブネット、セカンダリアドレッシング、HSRP アクティブおよびスタンバイ、アクセスコアディストリビューションレイヤ、ルーティング情報などを記入する必要があります。

インバンド管理

設定によっては、スイッチのインバンド（内部）管理インターフェイス（sc0 として知られている）で次のデータを処理する必要があります。

SNMP、Telnet、セキュアシェル（SSH）プロトコル、および syslog などのスイッチ管理プロトコル
ブロードキャストやマルチキャストなどのユーザデータ
STP BPDU、VTP、DTP、CDP などのスイッチ制御プロトコル

シスコのマルチレイヤ設計では、スイッチドドメイン全体に広がり、すべての sc0 インターフェイスを含む管理 VLAN を 1 つ設定するのが普通です。そのように設定することで、管理トラフィックがユーザトラフィックから分離され、スイッチ管理インターフェイスのセキュリティが向上します。この項では、デフォルトの VLAN 1 を使用して管理トラフィックをユーザトラフィックと同じ VLAN 内のスイッチに送信することの意味と起こり得る問題について説明します。

動作概要

ユーザデータに VLAN 1 を使用する際の一番の懸念事項は、Supervisor Engine の NMP は一般的に、エンドステーションで生成される多くのマルチキャストおよびブロードキャストトラフィックによって中断される必要がないことです。古い Catalyst 5500/5000 ハードウェア、特に Supervisor Engine I と Supervisor Engine II では、このトラフィックを処理するためのリソースは限定されています（もっとも、この原則はすべての Supervisor Engine に当てはまります）。Supervisor Engine の CPU、バッファ、またはバックプレーンへのインバンドチャネルが、不必要なトラフィックをリスニングするために完全に占有されている場合、制御フレームが失われるおそれがあり、最悪のシナリオでは、これによりスパニングツリーループやEtherChannelの障害が発生する可能性があります。

Catalyst で show interface および show ip stats コマンドを発行すると、ユニキャストトラフィックとブロードキャストトラフィックの割合、および非 IP トラフィックと IP トラフィックの割合が表示されます（管理 VLAN では通常表示されません）。

古い Catalyst 5500/5000 ハードウェアの健全性をさらにチェックするには、show inband | biga（隠しコマンド）によって出力されるリソースエラー（RscrcErrors）を調べます。これはルータでのバッファ廃棄に似ています。このようなリソースエラーが増え続けている場合、管理 VLAN で大量のブロードキャストトラフィックが発生している可能性があるため、システムパケットの受信にメモリを使用できない状況にあります。1 つのリソースエラーは、Supervisor Engine が BPDU などのパケットを処理できないことを意味します。その結果、スパニングツリーなどのプロトコルにより、失われた BPDU が再送信されないため、すぐに問題が生じる可能性があります。

推奨事項

このドキュメントの「Cat Control」の項で説明したように、VLAN 1 は特別な VLAN で、ほとんどのコントロールプレーントラフィックをタグ付けして処理します。VLAN 1 はデフォルトですべてのトランクで有効になっています。大規模なキャンパスネットワークでは、VLAN 1のSTPドメインの直径に注意する必要があります。ネットワークの一部での不安定な状態が、VLAN 1に影響を与え、それによってコントロールプレーンの安定性、ひいては他のすべてのVLANでのSTPの安定性が影響を受ける可能性があります。CatOS 5.4以降では、次のコマンドを使用して、VLAN 1でのユーザデータの伝送とSTPの実行を制限できるようになりました。

clear trunk mod/port vlan 1

ネットワークアナライザで確認できますが、このコマンドを実行しても、VLAN 1 のスイッチ間でのコントロールパケットの送信は止まりません。しかし、データは転送されず、STP はこのリンク上で実行されません。したがって、この手法を使用して、VLAN 1をより小さな障害ドメインに分割できます。

注：現時点では、3500および2900XLでVLAN 1トランクをクリアすることはできません。

キャンパス設計では、ユーザVLANを比較的小さなスイッチドメインに制限し、それに応じて障害/L3境界を小さく制限するように注意が払われていますが、一部のお客様では、管理VLANを従来とは異なる方法で扱い、ネットワーク全体を単一の管理サブネットでカバーしようとする傾向があります。中央の NMS アプリケーションが管理対象のデバイスと L2 で隣接していなければならない技術的な理由はなく、またセキュリティ上適切な理由もありません。シスコでは、管理 VLAN の直径をユーザ VLAN と同じルーテッドドメイン構造に制限すること、およびネットワーク管理のセキュリティを向上する方法としてアウトオブバンド管理と CatOS 6.x の SSH サポートを検討することを推奨しています。

その他のオプション

ただし、一部のトポロジでは、これらの推奨事項について設計上の考慮が必要です。たとえば、理想的で一般的なシスコマルチレイヤ設計では、アクティブなスパニングツリーの使用を避けます。そのためには、各 IP サブネットと VLAN を 1 台のアクセスレイヤスイッチ、またはスイッチのクラスタに限定する必要があります。このような設計では、アクセスレイヤへのトランキングを設定できません。

L2 アクセスレイヤと L3 ディストリビューションレイヤ間で管理 VLAN を伝送するために、別の管理 VLAN を作成してトランキングを有効にすべきかどうかという質問に対する簡単な答えはありません。シスコのエンジニアとの設計レビューでは、次の 2 つのオプションが検討されます。

オプション1:2つまたは3つの固有のVLANをディストリビューションレイヤから各アクセスレイヤスイッチにトランキングします。これで、データ VLAN、音声 VLAN、管理 VLAN などを利用でき、STP が非アクティブだという利点も得られます（VLAN 1 がトランクから削除されている場合、追加の設定手順が必要です）。このソリューションでは、障害回復中にルーティングトラフィックが一時的にブラックホールに吸い込まれないようにするため、トランクの STP PortFast（CatOS 7.x 以降）または STP フォワーディングとの VLAN 自動ステート同期（CatOS 5.5（9）よりも後）も設計時に検討する必要があります。
オプション2:データ用と管理用に1つのVLANを共有することを容認する。より強力な CPU やコントロールプレーンのレート制限機構などを備えた最新のスイッチハードウェアでは、比較的小さいブロードキャストドメインの設計がマルチレイヤ設計で推奨されているため、多くのお客様にとって sc0 インターフェイスとユーザデータの分離は以前ほど重要な問題ではなくなっています。最終的には、その VLAN のブロードキャストトラフィックプロファイルを調査し、スイッチハードウェアの能力についてシスコのエンジニアと話し合った上で判断するのが一番良いでしょう。実際に、管理 VLAN にそのアクセスレイヤスイッチ上のすべてのユーザが含まれる場合は、このドキュメントの「セキュリティの設定」の項の説明に従い、スイッチをユーザから保護するために IP 入力フィルタを使用することを強く推奨します。

アウトオブバンド管理

前の項の議論を一歩進めると、トラフィック駆動のイベントやコントロールプレーンのイベントが発生したとしても、リモートから常にデバイスに到達できるように、実稼働ネットワークの周囲に別の管理インフラストラクチャを構築することで、ネットワーク管理の可用性を大幅に向上させることができます。一般的には、次の 2 つのアプローチが取られます。

専用 LAN を使用したアウトオブバンド管理
ターミナルサーバを使用したアウトオブバンド管理

動作概要

ネットワーク内のすべてのルータとスイッチには、管理VLAN上にアウトオブバンドイーサネット管理インターフェイスを装備できます。各デバイスの1つのイーサネットポートは管理VLANで設定され、sc0インターフェイスを介して実稼働ネットワークの外部にある別のスイッチ管理ネットワークにケーブル接続されます。Catalyst 4500/4000スイッチには、スイッチポートとしてではなく、アウトオブバンド管理のみに使用される、スーパーバイザエンジン上の特別なme1インターフェイスがあることに注意してください。

また、Cisco 2600 または 3600 から RJ-45 to シリアルケーブルを介して、レイアウト内のすべてのルータとスイッチのコンソールポートにアクセスするように構成することで、ターミナルサーバ接続を実現できます。ターミナルサーバを使用すると、すべてのデバイスの補助ポートにモデムを接続するなどのバックアップシナリオを設定する必要もなくなります。ターミナルサーバの補助ポートにモデムを 1 台設定すれば、ネットワーク接続障害の発生時に他のデバイスへのダイヤルアップサービスを提供できます。

推奨事項

この配置では、多数のインバンドパスに加えて、すべてのスイッチとルータに通じる 2 本のアウトオブバンドパスを使用できるため、可用性の高いネットワーク管理が可能になります。アウトオブバンドには次の役割があります。

アウトオブバンドにより、管理トラフィックがユーザデータから分離される。
アウトオブバンドは、分離したサブネット、VLAN、およびスイッチ内に管理 IP アドレスを持つため、セキュリティが向上する。
アウトオブバンドにより、ネットワーク障害時の管理データ配信の保証が向上します。
アウトオブバンドには、管理 VLAN にアクティブなスパニングツリーがない。冗長性は重要ではありません。

システムテスト

ブートアップ診断

システムのブートアップ時には、信頼性の高い動作可能なプラットフォームの利用を可能にするために多数のプロセスが実行されます。その結果、障害のあるハードウェアによるネットワークの中断を防止できます。Catalyst のブート診断は、POST（電源投入時自己診断テスト）とオンライン診断に分かれています。

動作概要

プラットフォームおよびハードウェアの設定に応じて、ブートアップ時とカードがシャーシにホットスワップされた場合には異なる診断が実行されます。診断レベルが高いほど、検出される問題の数は多くなりますが、ブートサイクルは長くなります。POST（電源投入時自己診断テスト）診断では次の 3 つのレベルを選択できます（すべてのテストで DRAM、RAM、およびキャッシュの存在とサイズがチェックされ、それらが初期化されます）。

動作概要
バイパス	N/A	3	CatOS 5.5 以前を使用している 4500/4000 シリーズでは使用できません。
最小	DRAM の最初の MB に対してのみパターン書き込みテストが実行されます。	30	5500/5000 および 6500/6000 シリーズのデフォルト。4500/4000 シリーズでは使用できない。
完了	すべてのメモリに対してパターン書き込みテストが実行されます。	60	4500/4000 シリーズのデフォルト。

オンライン診断

これらのテストではスイッチ内部のパケットパスがチェックされます。したがって、オンライン診断は単純なポートテストではなく、システム全体のテストである点に注意してください。Catalyst 5500/5000 および 6500/6000 スイッチでは、最初にスタンバイ Supervisor Engine からテストが実行され、次にプライマリ Supervisor Engine から同じテストが実行されます。診断時間はシステムの構成（スロット、モジュール、ポートの数）によって異なります。テストには次の 3 つのカテゴリがあります。

ループバックテスト：Supervisor Engine NMP から各ポートにパケットを送信し、NMP に戻ってきたパケットのエラーを調べます。
バンドリングテスト：最大 8 ポートのチャネルを作成し、その agport に対してループバックテストを実行して、特定のリンクへのハッシングを確認します（詳細は、「EtherChannel」セクションを参照）。
Enhanced Address Recognition Logic（EARL）テスト：中央のスーパーバイザエンジンとインラインイーサネットモジュールの L3 リライトエンジンがどちらもテストされます。ハードウェア転送エントリとルーテッドポートは、サンプルパケットがNMPから各モジュールのスイッチングハードウェアを介してNMPに戻される前に（プロトコルカプセル化タイプごとに）作成されます。このテストは Catalyst 6500/6000 PFC 以降のモジュールを対象としています。

完全なオンライン診断には約 2 分かかります。最小限の診断では、Supervisor Engine 以外のモジュールのバンドルテストやリライトテストは実行されず、約 90 秒で終了します。

メモリテスト中に書き込まれたパターンとリードバックされたパターンに違いが見つかった場合、ポートの状態がfaultyに変わります。これらのテスト結果は、検査対象のモジュール番号を指定して show test コマンドを発行すると確認できます。

>show test 9

Diagnostic mode: complete (mode at next reset: complete)

!--- Configuration setting.

Module 9 : 4-port Multilayer Switch
Line Card Status for Module 9 : PASS
Port Status :
  Ports 1  2  3  4
  -----------------
        .  .  .  .
Line Card Diag Status for Module 9 (. = Pass, F = Fail, N = N/A)
 Loopback Status [Reported by Module 1] :
  Ports 1  2  3  4
  -----------------
        .  . F  .

!--- Faulty.

 Channel Status :
  Ports 1  2  3  4
  -----------------
        .  .  .  .

推奨事項

シスコでは、最大限の障害検出を実現し、通常運用時のネットワーク停止を防止するために、すべてのスイッチで完全な診断を実行する設定にすることを推奨しています。

注：この変更は、デバイスを次にブートするまで有効になりません。完全な診断を設定するには、次のコマンドを発行します。

set test diaglevel complete

その他のオプション

場合によっては、完全な診断の実行を待つよりもブートアップ時間の短縮が優先されることがあります。システムの起動にはその他の要素やタイミングも関係していますが、概して、POST（電源投入時自己診断テスト）およびオンライン診断を実行すると起動時間が 1/3 ほど長くなります。1 つの Supervisor Engine、9 スロットシャーシがフル構成されている Catalyst 6509 でテストした場合、合計ブート時間は、完全な診断で約 380 秒、最小限の診断で約 300 秒、診断をバイパスすると約 250 秒でした。バイパスを設定するには、次のコマンドを発行します。

set test diaglevel bypass

注：Catalyst 4500/4000では最小診断の設定は可能ですが、この設定でも実際には完全テストが実行されます。将来的には、このプラットフォームでも最小モードがサポートされる予定です。

実行時診断

システムが稼働可能になると、スイッチの Supervisor Engine では他のモジュールに対するさまざまなモニタリングが実行されます。管理メッセージ（アウトオブバンド管理バス上で動作するSerial Control Protocol [SCP]）を介してモジュールに到達できない場合、スーパーバイザエンジンはカードの再起動を試みるか、または必要に応じて他の措置を講じるように試みます。

動作概要

スーパーバイザエンジンはさまざまな監視を自動的に実行します。これには設定はいっさい必要ありません。Catalyst 5500/5000 および 6500/6000 の場合、スイッチの次の構成要素がモニタされます。

NMP（ウォッチドッグでのモニタ）
Enhanced EARL チップのエラー
Supervisor Engine からバックプレーンへのインバンドチャネル
モジュール（アウトオブバンドチャネル上でのキープアライブでのモニタ）（Catalyst 6500/6000）
アクティブ Supervisor Engine（スタンバイ Supervisor Engine によるステータスのモニタリング）（Catalyst 6500/6000）

システムおよびハードウェアのエラー検出

動作概要

CatOS 6.2 以降には、重要なシステムコンポーネントとハードウェアレベルのコンポーネントをモニタするための機能が追加されています。次の 3 つのハードウェアコンポーネントがサポートされています。

インバンド
ポートカウンタ
メモリ

この機能が有効になっているときにエラー状態が検出されると、スイッチから syslog メッセージが生成されます。このメッセージにより、顕著なパフォーマンスの低下が発生する前に、問題の存在が管理者に通知されます。CatOS バージョン 6.4(16)、7.6(12)、8.4(2) 以降では、3 つすべてのコンポーネントのデフォルトモードが disabled から enabled に変更されています。

インバンド

インバンドエラーが検出された場合、著しいパフォーマンスの低下が発生する前に、Syslog メッセージによって問題が生じていることが通知されます。エラーには、発生したインバンド障害のタイプが表示されます。例をいくつか示します。

インバンドスタック
リソースエラー
ブートアップ中のインバンド障害

この機能では、インバンドの ping 障害が検出されると、インバンド接続の現在の Tx レートと Rx レート、CPU、およびスイッチのバックプレーンの負荷のスナップショットを含む追加の syslog メッセージも報告されます。このメッセージにより、インバンドがスタックしている（Tx/Rx がない）か、過負荷（Tx/Rx が過度）であるかを正しく判断できます。この追加情報は、インバンド ping 障害の原因を判断するのに役立ちます。

ポートカウンタ

この機能を有効にすると、ポートカウンタをデバッグするプロセスが作成されて開始されます。ポートカウンタは、選択した内部ポートエラーカウンタを定期的にモニタします。ラインカードのアーキテクチャ、具体的には、モジュールの ASIC によって、この機能のクエリ対象カウンタが決まります。この情報は、シスコテクニカルサポートや開発技術部門が問題をトラブルシュートするために使用します。この機能では、FCS、CRC、配置、ラントなどの、リンクパートナーの接続に直接関連するエラーカウンタはポーリングされません。この機能の組み込み方法については、このドキュメントの「EtherChannel やリンクエラーの処理」の項を参照してください。

ポーリングは30分ごとに実行され、選択したエラーカウンタのバックグラウンドで実行されます。同じポートに対する連続した 2 回のポーリングでカウンタの値が上昇している場合、そのインシデントが syslog メッセージで報告され、モジュールやポート、およびエラーカウンタの詳細が表示されます。

ポートカウンタオプションは Catalyst 4500/4000 プラットフォームではサポートされていません。

メモリ

この機能を有効にすると、バックグラウンドでのモニタリングが実行され、DRAMの破損状態が検出されます。検出されるメモリ破損には、次のようなものがあります。

割り当て
解放
範囲外
配置不良

推奨事項

インバンド、ポートカウンタ、メモリなど、サポートされているすべてのエラー検出機能を有効にします。これらの機能を有効にすると、Catalystスイッチプラットフォームに対するシステムとハードウェアの予防的な警告診断が向上します。3つのエラー検出機能をすべて有効にするには、次のコマンドを発行します。

set errordetection inband enable

!--- This is the default in CatOS 6.4(16), 7.6(12), 8.4(2), and later.


set errordetection portcounters enable

!--- This is the default in CatOS 6.4(16), 7.6(12), 8.4(2), and later.


set errordetection memory enable

!--- This is the default in CatOS 6.4(16), 7.6(12), 8.4(2), and later.

エラー検出機能が有効になっていることを確認するには、次のコマンドを発行します。

>show errordetection

Inband error detection:                   enabled
Memory error detection:                   enabled
Packet buffer error detection:            errdisable
Port counter error detection:             enabled
Port link-errors detection:               disabled
Port link-errors action:                  port-failover
Port link-errors interval:                30 seconds

EtherChannel およびリンクエラーの処理

動作概要

CatOS 8.4 以降には、EtherChannel にある 1 つのポートから同じ EtherChannel にある別のポートにトラフィックを自動フェールオーバーする新機能が導入されています。指定したインターバルの間に、チャネルにあるポートのいずれかが設定されたエラーしきい値を超えると、ポートフェールオーバーが発生します。ポートフェールオーバーが発生するのは、EtherChannel に動作可能なポートが存在する場合だけです。障害が発生したポートが EtherChannel にある最後のポートの場合、そのポートは port-failover 状態にはなりません。受信したエラーのタイプにかかわらず、そのポートはトラフィックを通過させ続けます。単一のチャネル化されていないポートは、port-failover 状態にはなりません。指定したインターバルの間に、エラーしきい値を超えた場合、これらのポートは errdisable 状態になります。

この機能が有効なのは、set errordetection portcountersを有効にした場合だけです。リンクエラーは、次の 3 つのカウンタに基づいてモニタされます。

InErrors
RxCRC（CRCAlignErrors）
TxCRC

エラーカウンタの数字を表示するには、スイッチで show counters コマンドを発行します。次に例を示します。

>show counters 4/48

.......

32 bit counters

0  rxCRCAlignErrors           =          0
.......

6  ifInErrors                 =          0
.......

12 txCRC                      =          0

次の表は、指定可能な設定パラメータとそれぞれのデフォルト設定を示しています。

パラメータ	デフォルト
グローバル	Disabled
RxCRC 用のポートモニタ	Disabled
InErrors 用のポートモニタ	Disabled
TxCRC 用のポートモニタ	Disabled
アクション	Port-failover
間隔	30 秒
サンプリングカウント	3 回連続
下限しきい値	1,000
上限しきい値	1001

この機能が有効になっていて、指定したサンプリングカウント期間内に、設定された上限しきい値にポートのエラーカウントが達した場合、設定可能なアクションはエラーディセーブルかポートフェールオーバーになります。エラーディセーブルアクションでは、ポートが errdisable 状態になります。ポートフェールオーバーアクションを設定すると、ポートチャネルの状態が考慮されます。ポートがチャネル内にあり、そのポートがチャネル内で動作可能な最後のポートではない場合にのみ、そのポートは errdisable 状態になります。さらに、設定されたアクションがポートフェールオーバーで、ポートが単一のポートまたはチャネル化されていない場合、ポートのエラーカウントが上限しきい値に達するとそのポートは errdisable 状態になります。

インターバルは、ポートエラーカウンタを読み込むためのタイマー定数です。link-errors インターバルのデフォルト値は 30 秒です。許容範囲は 30 ～ 1800 秒です。

予期しない単発イベントのために、ポートが偶発的にエラーディセーブルになるリスクがあります。このリスクを最小限に抑えるために、この連続したサンプリング回数の間にこの状態が続いた場合にのみ、ポートに対するアクションが実行されます。デフォルトのサンプリング値は 3 で、許容範囲は 1 ～ 255 です。

しきい値は、link-errors インターバルに基づいてチェックされる絶対値です。デフォルトの link-error の下限しきい値は 1000 で、許容範囲は 1 ～ 65,535 です。デフォルトの link-error の上限しきい値は 1001 です。連続したサンプリング回数が下限しきい値に達すると syslog が送信されます。連続したサンプリング回数が上限しきい値に達すると、syslog が送信されて、エラーディセーブルまたはポートフェールオーバーアクションがトリガーされます。

注：チャネル内のすべてのポートに対して同じポートエラー検出設定を使用してください。詳細については、Catalyst 6500 シリーズのソフトウェアコンフィギュレーションガイドの次の各項を参照してください。

状態と接続の確認 [英語] の「EtherChannel やリンクのエラー処理の設定」
イーサネット、ファストイーサネット、ギガビットイーサネット、および 10 ギガビットイーサネットスイッチングの設定 [英語] の「ポートエラー検出の設定」

推奨事項

この機能では、データの記録と比較に SCP メッセージが使用されるため、アクティブポートが多数あると CPU の負荷が高くなります。このシナリオでは、しきい値の間隔が非常に小さな値に設定されると、さらに CPU 負荷が高くなります。この機能は、重要なリンクとして指定されていて、機密性の高いアプリケーションのトラフィックを転送するポートに対して、慎重に有効にしてください。リンクエラーの検出をグローバルに有効にするには、次のコマンドを発行します。

set errordetection link-errors enable

また、デフォルトのしきい値、インターバル、サンプリングパラメータを指定して使用を開始します。さらに、デフォルトアクションであるポートフェールオーバーを使用します。

個々のポートにグローバル link-error パラメータを適用するには、次のコマンドを発行します。

set port errordetection mod/port inerrors enable

set port errordetection mod/port rxcrc enable

set port errordetection mod/port txcrc enable

link-errors の設定を確認するには、次のコマンドを発行します。

show errordetection

show port errordetection {mod | mod/port}

Catalyst 6500/6000 パケットバッファの診断

CatOS バージョン 6.4(7)、7.6(5)、および 8.2(1) には、Catalyst 6500/6000 のパケットバッファの診断機能が導入されています。デフォルトで有効になるパケットバッファの診断では、一時的なスタティック RAM（SRAM）障害によって発生するパケットバッファの障害が検出されます。次の 48 ポート 10/100 Mbps ラインモジュールで検出が有効になります。

WS-X6248-RJ45
WS-X6248-RJ21
WS-X6348-RJ45
WS-X6348-RJ21
WS-X6148-RJ45
WS-X6148-RJ21

障害状態が発生すると、48 個の 10/100 Mbps ポートの内 12 個のポートが接続されたままになり、接続の問題がランダムに発生する可能性があります。この状態から回復する唯一の方法は、ラインモジュールの電源の再投入です。

動作概要

パケットバッファの診断では、パケットバッファの特定のセクションに格納されたデータが一時的な SRAM の障害によって破損しているかどうかを判断するためのチェックが行われます。書き込まれたデータと異なるデータが読み取られた場合、次の 2 つの設定可能なリカバリオプションが実行されます。

デフォルトのアクションでは、バッファ障害の影響を受けるラインカードのポートがエラーディセーブルになります。
2 番目のオプションでは、ラインカードの電源の再投入が行われます。

2 つの syslog メッセージが追加されています。それらのメッセージには、パケットバッファのエラーに伴い、ポートがエラーディセーブルになること、またはモジュールの電源の再投入が行われることの警告が表示されます。

%SYS-3-PKTBUFFERFAIL_ERRDIS:Packet buffer failure detected.
Err-disabling port 5/1.
%SYS-3-PKTBUFFERFAIL_PWRCYCLE: Packet buffer failure detected.
Power cycling module 5.

8.3 および 8.4 よりも前のバージョンの CatOS の場合、ラインカードの電源の再投入時間は 30 ～ 40 秒の間です。CatOS バージョン 8.3 および 8.4 には高速ブート機能が導入されています。この機能では、ブートアップ時間を最短にするために、初期ブートプロセス時に、インストールされているラインカードにファームウェアが自動的にダウンロードされます。高速ブート機能では、電源の再投入時間が約 10 秒に短縮されます。

推奨事項

シスコでは、デフォルトオプションである errdisable を使用することを推奨しています。このアクションを使用すると、実稼働時間帯にネットワークサービスに与える影響を最小限に抑えることができます。可能であれば、error-disabled ポートの影響を受けている接続を使用可能な他のスイッチポートに移動して、サービスを復元します。メンテナンスの時間帯に、手動でラインカードの電源の再投入を行うスケジュールを作成します。reset module コマンドを発行しますコマンドを発行します。

注：モジュールをリセットした後もエラーが引き続き発生する場合は、モジュールを取り付け直してください。

errdisable オプションを有効にするには、次のコマンドを発行します。

set errordetection packet-buffer errdisable

!--- This is the default.

その他のオプション

SRAM障害が発生したすべてのポートを完全に回復するにはラインカードの電源を再投入する必要があるため、別の回復アクションとして、電源の再投入オプションを設定する方法もあります。ネットワークサービスの中断が 30 ～ 40 秒間続いても許容できるような状況では、このオプションが有効です。この時間は、ラインモジュールの電源を完全に再投入し、高速ブート機能を使用せずにサービスを再開するのに必要な時間です。高速ブート機能では、電源の再投入オプションを使用して、ネットワークサービスの停止時間を10秒に短縮できます。電源の再投入オプションを有効にするには、次のコマンドを発行します。

set errordetection packet-buffer power-cycle

パケットバッファの診断

このテストは Catalyst 5500/5000 スイッチ専用です。このテストは、ユーザポートとスイッチバックプレーンの間で 10/100 Mbps の接続を提供する特定のハードウェアを備えたイーサネットモジュールを使用している、Catalyst 5500/5000 スイッチで障害のあるハードウェアを検出するために設計されています。これらのスイッチにはトランキングフレームに対して CRC チェックを実行する機能がないため、実行時にポートパケットバッファで障害が起こった場合、パケットが破損して CRC エラーが発生する可能性があります。あいにく、これが原因で Catalyst 5500/5000 ISL ネットワークに不正フレームが伝達され、最悪の場合はコントロールプレーンの中断やブロードキャストストームが発生することがあります。

新しい Catalyst 5500/5000 モジュールおよび他のプラットフォームには最新のハードウェアエラーチェック機構が組み込まれているため、パケットバッファテストは不要です。そのため、設定オプションもありません。

パケットバッファ診断を必要とするラインモジュールは、WS-X5010、WS-X5011、WS-X5013、WS-X5020、WS-X5111、WS-X5113、WS-X5114、WS-X5201、WS-X5203、WSですX5213/A、WS-X5223、WS-X5224、WS-X5506、WS-X5509、WS-U5531、WS-U5533、およびWS-U5535。

動作概要

この診断では、パケットバッファの特定のセクションに格納されたデータが、障害のあるハードウェアによって誤って破損されていないかがチェックされます。書き込まれたデータと異なるデータが読み取られた場合は、ポートでデータが破損する可能性があるため、そのポートがシャットダウンされて failed モードになります。エラーのしきい値は不要です。障害ポートは、モジュールがリセット（または交換）されるまで、再度有効にすることはできません。

パケットバッファテストには、「スケジュール」および「オンデマンド」という 2 つのモードがあります。テストが始まると、テストの予想実行時間（最も近い分数に切り上げられた時間）とテストが開始したことを示す syslog メッセージが生成されます。正確なテスト時間は、ポートタイプ、バッファのサイズ、および実行するテストのタイプによって異なります。

オンデマンドテストは数分間で完了するためにアグレッシブに実行されます。これらのテストはパケットメモリとアクティブに干渉するため、テストを開始する前に、ポートを管理上シャットダウンする必要があります。ポートをシャットダウンするには、次のコマンドを発行します。

> (enable) test packetbuffer 4/1
Warning: only disabled ports may be tested on demand - 4/1 will be skipped.
> (enable) set port disable 4/1
> (enable) test packetbuffer 4/1
Packet buffer test started. Estimated test time: 1 minute.
%SYS-5-PKTTESTSTART:Packet buffer test started
%SYS-5-PKTTESTDONE:Packet buffer test done. Use 'show test' to see test results

スケジュールテストはオンデマンドテストほどアグレッシブではなく、バックグラウンドで実行されます。このテストは複数のモジュール間で並行して実行されますが、モジュールごとに一度に 1 つのポートでのみ実行できます。このテストでは、ユーザパケットバッファデータを復元する前に、パケットバッファメモリの小さいセクションに対して保存、書き込み、および読み取りが行われるため、エラーは発生しません。ただし、バッファメモリへの書き込みが行われるため、数ミリ秒間着信パケットがブロックされ、混雑したリンクではパケット損失が生じることがあります。デフォルトでは、パケット損失を最小限に抑えるために、8 秒間隔でバッファ書き込みテストが行われます。これは、モジュールがフル構成されたシステムでパケットバッファテストを実行する場合、完了までに 24 時間以上かかることを意味します。このスケジュールテストは、CatOS 5.4 以降ではデフォルトで有効になっており、毎週日曜日の 03:30 に実行されます。テストステータスを確認するには、次のコマンドを発行します。

>show test packetbuffer status


!--- When test is running, the command returns !--- this information:

Current packet buffer test details
Test Type           : scheduled
Test Started        : 03:30:08 Jul 20 2001
Test Status         : 26% of ports tested
Ports under test    : 10/5,11/2
Estimated time left : 11 minutes

!--- When test is not running, !--- the command returns this information:

Last packet buffer test details
Test Type           : scheduled
Test Started        : 03:30:08 Jul 20 2001
Test Finished       : 06:48:57 Jul 21 2001

推奨事項

シスコでは、Catalyst 5500/5000 システムでスケジュールパケットバッファテスト機能を使用することを推奨しています。これは、わずかなパケット損失のリスクよりも、モジュールの問題を検出できる利点の方が大きいためです。

テストは、ネットワーク全体で毎週決められた時刻に実行されるようにスケジュールします。そうすることで、必要に応じて障害のあるポートや RMA モジュールからリンクを変更できます。ネットワークの負荷によっては、テスト中に多少のパケット損失が生じる可能性があるため、日曜日の 3:30 AM（デフォルト）など、ネットワークの使用率が低い時間帯にスケジュールする必要があります。テスト時刻を設定するには、次のコマンドを発行します。

set test packetbuffer Sunday 3:30

!--- This is the default.

テストを有効にすると（初めて CatOS 5.4 以降にアップグレードしたときと同様）、それまで隠れていたメモリまたはハードウェアの問題が明らかになり、結果としてポートが自動的にシャットダウンされることがあります。次のメッセージが表示される場合があります。

%SYS-3-PKTBUFBAD:Port 1/1 failed packet buffer test

その他のオプション

毎週ポート単位で低レベルのパケット損失が発生するリスクを許容できない場合は、停止時間をスケジュールしてオンデマンド機能を使用することをお勧めします。一定のポート範囲ごとにこの機能を手動で開始するには、次のコマンドを発行します（ただし、ポートは事前に管理上シャットダウンする必要があります）。

test packetbuffer port range

システムロギング

syslog メッセージはシスコ固有のもので、プロアクティブな障害管理の重要な部分です。syslog を使用することで、標準化された SNMP よりも広い範囲でネットワークやプロトコルの状態を報告できます。Cisco Resource Manager Essentials（RME）や Network Analysis Toolkit（NATkit）などの管理プラットフォームでは、次のようなタスクが実行されるため、syslog 情報を有効利用できます。

重大度、メッセージ、デバイスなどの項目別に分析を提供する
分析用に着信メッセージのフィルタリングを有効にする
ポケットベルなどへのアラートや、インベントリおよび設定変更のオンデマンド収集をトリガーする

推奨事項

重要な点は、どのレベルのロギング情報をローカルに生成し、syslogサーバに送信するのではなく(set logging server severity値を使用して)スイッチバッファに保持するかということですコマンド)。高レベルの情報を一元的にログに記録している組織もあれば、イベントの詳細なログを見る場合はスイッチ自体にアクセスする組織や、トラブルシューティング時にのみ高レベルの syslog の取得を有効にする組織もあります。

CatOSプラットフォームでのデバッグはCisco IOSソフトウェアの場合と異なりますが、set logging session enable を使用することで、デフォルトでロギングされる情報を変更することなく、セッション単位での詳細なシステムロギングを有効にできます。

シスコでは通常、spantree および system syslog 機能をレベル 6 に上げることを推奨しています。これらは追跡を行うための安定性に関する主要な機能です。また、マルチキャスト環境では、mcast 機能のロギングレベルを 4 に上げ、ルータポートが削除された場合に syslog メッセージが生成されるようにすることを推奨します。あいにく、CatOS 5.5(5) より前のバージョンでこのように設定すると、IGMP Join および Leave の syslog メッセージが記録されることがあり、量が多すぎてモニタできません。最後に、IP 入力リストを使用している場合は、不正なログイン試行をキャプチャするために、最小のロギングレベルの 4 に設定することを推奨します。これらのオプションを設定するには、次のコマンドを発行します。

set logging buffer 500

!--- This is the default.

set logging server syslog server IP address
set logging server enable

!--- This is the default.

set logging timestamp enable
set logging level spantree 6 default

!--- Increase default STP syslog level.

set logging level sys 6 default

!--- Increase default system syslog level.

set logging server severity 4

!--- This is the default; !--- it limits messages exported to syslog server.

set logging console disable

メッセージ量が多いときに低速または存在しない端末からの応答を待つことでスイッチがハングするリスクを防ぐために、コンソールメッセージをオフにします。コンソールロギングはCatOSでは優先度が高く、主にトラブルシューティング時やスイッチのクラッシュ時に最後のメッセージをローカルにキャプチャするために使用されます。

次の表に、Catalyst 6500/6000 での個々のロギング機能、デフォルトレベル、および推奨される変更を示します。各プラットフォームの機能は、サポートされる機能によって多少異なります。

ファシリティ	デフォルトレベル	推奨処置
acl	5	デフォルトのままにする。
cdpcdp	4	デフォルトのままにする。
cops	3	デフォルトのままにする。
dtp	8	デフォルトのままにする。
earl	2	デフォルトのままにする。
ethc¹	5	デフォルトのままにする。
filesys	2	デフォルトのままにする。
gvrp	2	デフォルトのままにする。
ip	2	IP 入力リストを使用している場合は 4 に変更する。
kernel	2	デフォルトのままにする。
1日	3	デフォルトのままにする。
mcast	2	マルチキャストを使用している場合は 4 に変更する（CatOS 5.5(5) 以降）。
mgmt	5	デフォルトのままにする。
mls	5	デフォルトのままにする。
pagp	5	デフォルトのままにする。
protfilt	2	デフォルトのままにする。
pruning	2	デフォルトのままにする。
Privatevlan	3	デフォルトのままにする。
qos	3	デフォルトのままにする。
radius	2	デフォルトのままにする。
rsvp	3	デフォルトのままにする。
セキュリティ	2	デフォルトのままにする。
snmp	2	デフォルトのままにする。
spantree	2	6 に変更する。
sys	5	6 に変更する。
tac	2	デフォルトのままにする。
tcp	2	デフォルトのままにする。
telnet	2	デフォルトのままにする。
Tftp	2	デフォルトのままにする。
UDLD	4	デフォルトのままにする。
VMPS	2	デフォルトのままにする。
VTP	2	デフォルトのままにする。

^{1 CatOS 7.x 以降では、LACP のサポートを反映するために、ethc ファシリティコードが pagp ファシリティコードの代わりに使用されています。}

注：現在、Catalystスイッチでは、設定モード終了後に初めてメッセージがトリガーされるCisco IOSソフトウェアとは異なり、setまたはclearコマンドを実行するたびに、設定変更のsyslogレベル6メッセージがログに記録されます。このメッセージをトリガーとして、RME でリアルタイムに設定をバックアップする必要がある場合は、これらのメッセージも RME syslog サーバに送信する必要があります。ほとんどのお客様の場合、Catalyst スイッチの設定は定期的にバックアップするだけで十分であり、サーバロギングのデフォルトの重大度を変更する必要はありません。

NMS アラートを調整する場合は、システムメッセージガイド [英語] を参照してください。

Simple Network Management Protocol

SNMP は、ネットワークデバイスの Management Information Base（MIB）に保存された統計情報、カウンタ、およびテーブルを取得するために使用します。収集した情報を HP Openview などの NMS で使用して、リアルタイムのアラートの生成、可用性の測定、キャパシティプランニング情報の生成を行い、設定やトラブルシューティングのチェックを行うこともできます。

動作概要

ネットワーク管理ステーションにはいくつかのセキュリティメカニズムが搭載されており、SNMP プロトコルの get および get next 要求を使用して MIB の情報を取得し、set コマンドを使用してパラメータを変更することができます。また、ネットワークデバイスは、リアルタイムアラートのために NMS 用のトラップメッセージを生成するように設定できます。SNMP ポーリングでは IP UDP ポート 161 が使用され、SNMP トラップではポート 162 が使用されます。

シスコでは次のバージョンの SNMP をサポートしています。

SNMPv1:RFC 1157インターネット標準。クリアテキストのコミュニティストリングセキュリティを使用します。IP アドレスのアクセスコントロールリストとパスワードによって、エージェントの MIB にアクセスできるマネージャのコミュニティが定義されます。
SNMPv2C:RFC 1902 ～ 1907で定義されているドラフトインターネット標準のSNMPv2と、RFC 1901で定義されている実験的なドラフトのSNMPv2用のコミュニティベースの管理フレームワークのSNMPv2Cを組み合わせたものです。利点としては、テーブルおよび大量の情報の取得をサポートするバルク取得メカニズム、必要なラウンドトリップ数の最小化、エラー処理の改善などがあります。
SNMPv3:RFC 2570提案ドラフト。ネットワーク上でのパケットの認証と暗号化を組み合わせることで、デバイスへのセキュアなアクセスを提供します。SNMPv3 で提供されるセキュリティ機能は、次のとおりです。
- メッセージの整合性：パケットが送信中に改ざんされていないことを保証します。
- 認証：メッセージが有効なソースからのものであることを確認します
- 暗号化：パケットの内容をスクランブルして、不正な送信元によってパケットが容易に読み取られないようにします

次の表に、セキュリティモデルの組み合わせを示します。

モデルレベル	[Authentication]	暗号化	結果
v1	noAuthNoPriv、コミュニティストリング	いいえ	コミュニティストリングの照合を使用して認証します。
v2c	noAuthNoPriv、コミュニティストリング	いいえ	コミュニティストリングの照合を使用して認証します。
v3	noAuthNoPriv、ユーザ名	いいえ	ユーザ名の照合を使用して認証します。
v3	authNoPriv、MD5 または SHA	Np	HMAC-MD5 または HMAC-SHA アルゴリズムに基づく認証を提供します。
v3	authPriv、MD5 または SHA	DES	HMAC-MD5 または HMAC-SHA アルゴリズムに基づく認証を提供します。CBC-DES（DES-56）標準に基づいて認証する以外に、DES 56ビット暗号化を行います。

注：SNMPv3オブジェクトについては、次の点に注意してください。

各ユーザはグループに属します。
グループは、一連のユーザに対するアクセスポリシーを定義します。
アクセスポリシーは、読み取り、書き込み、および作成のためにアクセスできる SNMP オブジェクトを定義します。
グループは、ユーザが受信できる通知の一覧を決定します。
グループは、所属するユーザのセキュリティモデルとセキュリティレベルも定義します。

SNMP トラップに関する推奨事項

SNMP はすべてのネットワーク管理の基盤となるもので、すべてのネットワークで有効化されて、使用されます。スイッチの SNMP エージェントは、管理ステーションでサポートされている SNMP のバージョンを使用するように設定する必要があります。エージェントは複数のマネージャと通信できるため、たとえば、ある管理ステーションとは SNMPv1 プロトコルを使用して通信し、別の管理ステーションとは SNMPv2 プロトコルを使用して通信するように設定することができます。

現在、ほとんどの NMS ステーションでは、次の設定で SNMPv2C が使用されています。

set snmp community read-only string


!--- Allow viewing of variables only.


set snmp community read-write string


!--- Allow setting of variables.


set snmp community read-write-all string

!--- Include setting of SNMP strings.

シスコでは、使用中のすべての機能に対して SNMP トラップを有効にすることを推奨しています（使用していない機能は、必要に応じて無効にできます）。有効になったトラップは、NMS でエラー（ポケットベルのアラートやポップアップなど）の適切な処理を設定した上で、test snmp コマンドを使用してテストできます。

デフォルトでは、トラップはすべて無効になっているため、個別にまたは次のように all パラメータを使用して、設定に追加する必要があります。


set snmp trap enable all
set snmp trap server address read-only community string

CatOS 5.5 で使用できるトラップは次のとおりです。

トラップ	説明
auth	[Authentication]
ブリッジ	ブリッジ
シャーシ	シャーシ
config	コンフィギュレーション
entity	エンティティ
ippermit	IP 許可
モジュール	モジュール
repeater	リピータ
stpx	スパニングツリー拡張
syslog	Syslog 通知
vmps	VLAN Membership Policy Server; VLAN メンバーシップポリシーサーバ
vtp	VLAN Trunking Protocol（VLAN トランキングプロトコル）

注：syslogトラップは、スイッチで生成されたすべてのsyslogメッセージをSNMPトラップとしてNMSに送信します。Cisco Works 2000 RME などのアナライザによって syslog アラートがすでに実行されている場合、この情報を 2 回受信することになるため、必ずしも有効ではありません。

Cisco IOS ソフトウェアとは異なり、ポートレベルの SNMP トラップはデフォルトで無効になっています。これは、スイッチには何百ものアクティブなインターフェイスを設定できるためです。そのためシスコでは、ルータ、スイッチ、メインサーバへのインフラストラクチャリンクなどのキーポートでポートレベルの SNMP トラップを有効にすることを推奨しています。ユーザホストポートなど、その他のポートでは有効にする必要はありません。これにより、ネットワーク管理を簡素化できます。

set port trap port range enable

!--- Enable on key ports only.

SNMP ポーリングに関する推奨事項

具体的なニーズについて詳細に確認するためにネットワーク管理のレビューを行うことが推奨されますが、シスコには大規模ネットワークの管理に関する次のような基本理念があります。

単純なことを確実にやり遂げる。
過度のデータポーリング、収集、ツール、および手動分析によるスタッフの過重な負担を減らす。
ネットワーク管理はごくわずかなツールだけで実行できる。たとえば、NMS としての HP Openview、設定、syslog、インベントリ、およびソフトウェアマネージャとしての Cisco RME、NMS データアナライザとしての Microsoft Excel、Web への公開手段としての CGI。
レポートを Web に公開すれば、シニアマネージャやアナリストなどのユーザが、多くの特別な要求で運用スタッフに負担をかけることなく自分で情報を入手できる。
ネットワーク上で正常に動作しているものを調べ、それには手をつけない。正常に動作していないものに集中する。

NMS の実装の最初のフェーズでは、ネットワークハードウェアのベースラインを確立する必要があります。デバイスおよびプロトコルの状態については、ルータの CPU、メモリ、およびバッファの使用率、スイッチの NMP CPU、メモリ、およびバックプレーンの使用率から多くのことを推測できます。ハードウェアのベースラインが確立して初めて、L2 および L3 トラフィックの負荷、ピーク、および平均のベースラインが十分に意味のあるものとなります。ベースラインの確立には通常、企業のビジネスサイクルに応じて、日、週、および四半期のトレンドを把握するために数ヵ月かかります。

多くのネットワークでは、過度のポーリングによってNMSのパフォーマンスとキャパシティの問題が発生します。そのため、ベースラインが確立されたら、デバイス自体にアラームとイベントのRMONしきい値を設定して、NMSに異常な変更を警告し、ポーリングを削除することを推奨します。これにより、ネットワークは、継続的なポーリングによってすべてが正常であるかどうかを確認するのではなく、何かが正常でないときにオペレータに通知できます。しきい値は、最大値 + パーセンテージや、平均からの標準偏差など、さまざまな規則に基づいて設定できますが、それらはこのドキュメントの範囲外です。

NMS の実装の 2 番目のフェーズでは、特定のネットワーク領域に対して、SNMP を使用して詳細なポーリングを行います。領域には、疑わしい領域、変化が起こる前の領域、正常に稼働している領域が含まれます。NMS システムをサーチライトとしてネットワークを詳細にスキャンし、ホットスポットを明らかにします（ネットワーク全体を対象にしないでください）。

シスコのネットワーク管理コンサルティンググループでは、キャンパスネットワークにおいて、次の主要な障害 MIB を分析またはモニタすることを推奨しています。ポーリングするパフォーマンス MIB などの詳細については、シスコネットワークの監視とイベント相関に関するガイドライン [英語] を参照してください。

Object Name	オブジェクトの説明	OID	ポーリング間隔	しきい値
MIB-II
sysUpTime	システム稼働時間（1/100 秒単位）	1.3.6.1.2.1.1.3	5分	< 30000

Object Name	オブジェクトの説明	OID	ポーリング間隔	しきい値
CISCO-PROCESS-MIB
cpmCPUTotal5min	直近の 5 分間の CPU 全体のビジーパーセンテージ	1.3.6.1.4.1.9.9.109.1.1.1.1.5	10分	ベースライン

Object Name	オブジェクトの説明	OID	ポーリング間隔	しきい値
CISCOスタックMIB
sysEnableChassisTraps	この MIB の chassisAlarmOn および chassisAlarmOff トラップの生成の有無を示します。	1.3.6.1.4.1.9.5.1.1.24	24時間	1
sysEnableModuleTraps	この MIB の moduleUp および moduleDown トラップの生成の有無を示します。	1.3.6.1.4.1.9.5.1.1.25	24時間	1
sysEnableBridgeTraps	BRIDGE-MIB（RFC 1493）の newRoot および topologyChange トラップの生成の有無を示します。	1.3.6.1.4.1.9.5.1.1.26	24時間	1
sysEnableRepeaterTraps	REPEATER-MIB（RFC 1516）のトラップの生成の有無を示します。	1.3.6.1.4.1.9.5.1.1.29	24時間	1
sysEnableIpPermitTraps	この MIB の IP 許可トラップの生成の有無を示します。	1.3.6.1.4.1.9.5.1.1.31	24時間	1
sysEnableVmpsTraps	CISCO-VLAN-MEMBERSHIP-MIB で定義されている vmVmpsChange トラップの生成の有無を示します。	1.3.6.1.4.1.9.5.1.1.33	24時間	1
sysEnableConfigTraps	この MIB の sysConfigChange トラップの生成の有無を示します。	1.3.6.1.4.1.9.5.1.1.35	24時間	1
sysEnableStpxTrap	CISCO-STP-EXTENSIONS-MIB の stpxInconsistencyUpdate トラップの生成の有無を示します。	1.3.6.1.4.1.9.5.1.1.40	24時間	1
chassisPs1status	電源 1 のステータス。	1.3.6.1.4.1.9.5.1.2.4	10分	2
chassisPs1TestResult	電源 1 のステータスに関する詳細情報。	1.3.6.1.4.1.9.5.1.2.5	必要に応じて行います。
chassisPs2Status	電源 2 のステータス。	1.3.6.1.4.1.9.5.1.2.7	10分	2
chassisPs2TestResult	電源 2 のステータスに関する詳細情報。	1.3.6.1.4.1.9.5.1.2.8	必要に応じて行います。
chassisFanStatus	シャーシファンのステータス。	1.3.6.1.4.1.9.5.1.2.9	10分	2
chassisFanTestResult	シャーシファンのステータスに関する詳細情報。	1.3.6.1.4.1.9.5.1.2.10	必要に応じて行います。
chassisMinorAlarm	シャーシのマイナーアラームのステータス。	1.3.6.1.4.1.9.5.1.2.11	10分	1
chassis MajorAlarm	シャーシのメジャーアラームのステータス。	1.3.6.1.4.1.9.5.1.2.12	10分	1
chassisTempAlarm	シャーシの温度アラームのステータス。	1.3.6.1.4.1.9.5.1.2.13	10分	1
moduleStatus	モジュールの動作ステータス。	1.3.6.1.4.1.9.5.1.3.1.1.10	30分	2
moduleTestResult	モジュールの状態に関する詳細情報。	1.3.6.1.4.1.9.5.7.3.1.1.11	必要に応じて行います。
moduleStandbyStatus	冗長モジュールのステータス。	1.3.6.1.4.1.9.5.7.3.1.1.21	30分	=1 または =4

Object Name	オブジェクトの説明	OID	ポーリング間隔	しきい値
CISCO-MEMORY-POOL-MIB
dot1dStpTimeSinceTopologyChange	エンティティによって最後にトポロジ変更が検出されてからの時間（1/100 秒単位）。	1.3.6.1.2.1.17.2.3	5分	< 30000
dot1dStpTopChanges	管理エンティティが最後にリセット、または初期化されてから、このブリッジによって検知されたトポロジに対する変更の総数。	1.3.6.1.2.1.17.2.4	必要に応じて行います。
dot1dStpPortState [1]	スパニングツリープロトコルの適用によって定義されたポートの現在の状態。戻り値は`disabled (1)、blocking (2)、listening (3)、learning (4)、forwarding (5)、またはbroken (6)`のいずれかです。	1.3.6.1.2.1.17.2.15.1.3	必要に応じて行います。

Object Name	オブジェクトの説明	OID	ポーリング間隔	しきい値
CISCO-MEMORY-POOL-MIB
ciscoMemoryPoolUsed	管理対象デバイスのアプリケーションによって現在使用されているメモリプールのバイト数を示します。	1.3.6.1.4.1.9.9.48.1.1.1.5	30分	ベースライン
ciscoMemoryPoolFree	管理対象デバイスで現在使用されていないメモリプールのバイト数を示します。注：ciscoMemoryPoolUsedとciscoMemoryPoolFreeの合計がメモリのプール総量になります。	1.3.6.1.4.1.9.9.48.1.1.1.6	30分	ベースライン
ciscoMemoryPoolLargestFree	管理対象デバイスで現在使用されていないメモリプールの連続した最大バイト数を示します。	1.3.6.1.4.1.9.9.48.1.1.1.7	30分	ベースライン

Cisco MIB のサポートの詳細については、シスコネットワーク管理ツールキット：MIB [英語] を参照してください。

注：標準MIBの中には、特定のSNMPエンティティにMIBのインスタンスが1つしか含まれていないものがあります。そのような標準 MIB には、MIB の特定のインスタンスに直接アクセスするために使用できるインデックスはありません。そのような場合は、コミュニティストリングインデックスを使用して標準 MIB の各インスタンスにアクセスします。構文は [community string]@[instance number] で、通常、インスタンスは VLAN 番号です。

その他のオプション

SNMPv3 はセキュリティの観点から、いずれ SNMPv2 よりも使用されるようになると予想されるため、シスコではお客様の NMS 戦略の一環として、この新しいプロトコルを採用することを推奨しています。SNMPv3 の利点は、データの改ざんや破損を心配することなく、SNMP デバイスからデータを安全に収集できる点です。スイッチの設定を変更する SNMP set コマンドパケットなどの機密情報は暗号化できるため、その内容がネットワーク上に公開されるのを防ぐことができます。また、ユーザグループごとに異なる権限を付与することもできます。

注：SNMPv3の設定はSNMPv2のコマンドラインとは大きく異なるため、スーパーバイザエンジンのCPU負荷の増加が予想されます。

リモートモニタリング

RMON では、履歴ベースラインに基づく決定やしきい値分析の実行など、ネットワークマネージャによる情報の一般的な使用や応用に対する準備として、ネットワークデバイス自体による MIB データの前処理が可能です。

RFC 1757sで定義されているように、RMON 処理の結果は RMON MIB に保存され、後で NMS によって収集されます。

動作概要

Catalyst スイッチでは各ポート上のハードウェアでミニ RMON をサポートしています。ミニ RMON は、4 つの基本 RMON-1 グループ、つまり統計（グループ 1）、履歴（グループ 2）、アラーム（グループ 3）、イベント（グループ 9）で構成されています。

RMON-1 の最も強力な部分は、アラームおよびイベントグループによって提供されるしきい値のメカニズムです。前述したように、RMON しきい値を設定することで、異常状態が発生した際にスイッチから SNMP トラップを送信できます。キーポートが特定されたら、SNMP を使用してカウンタまたは RMON 履歴グループをポーリングし、それらのポートの通常のトラフィックアクティビティを記録するベースラインを作成できます。次に、RMON の上昇しきい値と下降しきい値を設定し、ベースラインからの定義済みバリアンスが生じたときにアラームが通知されるよう設定できます。

アラームおよびイベントテーブルのパラメータ行を正しく作成するのは面倒なため、しきい値の設定には RMON 管理パッケージを使用するのが最適です。Cisco Traffic Director（Cisco Works 2000 の一部）などの商用 RMON NMS パッケージは GUI を備えており、RMON しきい値を容易に設定できます。

ベースラインの目的では、etherStats グループから有用な一連の L2 トラフィック統計が提供されます。このテーブルのオブジェクトは、ユニキャスト、マルチキャスト、およびブロードキャストトラフィックに関する統計の取得のほか、各種 L2 エラーの取得にも使用できます。それらのサンプリング値を履歴グループに保存するように、スイッチの RMON エージェントを設定することもできます。このメカニズムを使用すると、サンプルレートを低下させることなく、ポーリングの量を削減できます。RMON 履歴を使用すると、大量のポーリングオーバーヘッドが発生することなく、正確なベースラインが得られます。ただし、収集する履歴が多いほど、より多くのスイッチリソースが使用されます。

スイッチによって提供されるのは RMON-1 の 4 つの基本グループだけですが、RMON-1 の残りのグループと RMON-2 があることを忘れないでください。UsrHistory（グループ 18）や ProbeConfig（グループ 19）を含む、すべてのグループは RFC 2021 で定義されています。 L3 以上の情報をスイッチから取得するには、SPAN ポートまたは VLAN ACL リダイレクト機能を使用します。これらの機能を使用すれば、トラフィックを外部の RMON SwitchProbe や内部の Network Analysis Module（NAM）にコピーできます。

NAM はすべての RMON グループをサポートしており、アプリケーション層のデータ、たとえば、MLS が有効な場合に Catalyst からエクスポートされる Netflow データを調べることもできます。MLS が実行中ということは、ルータでフロー内のすべてのパケットが交換されていないことを意味するため、インターフェイスカウンタではなく Netflow データエクスポートからのみ信頼性の高い VLAN アカウンティングが得られます。

SPAN ポートとスイッチプローブを使用して特定のポート、トランク、または VLAN のパケットストリームをキャプチャし、パケットをアップロードして RMON 管理パッケージで復号化できます。SPAN ポートは CISCO-STACK-MIB の SPAN グループを通じて SNMP で制御できるため、このプロセスは容易に自動化できます。Traffic Director はロービングエージェント機能でこれらの機能を利用します。

VLAN 全体で SPAN 機能を使用する場合は注意すべき点があります。1 Gbps プローブを使用している場合でも、1 つの VLAN または 1 つの 1 Gbps 全二重ポートからのパケットストリームが全体で SPAN ポートの帯域幅を超えることがあります。SPAN ポートが継続的に帯域幅全体を使用している場合、データが失われる可能性があります。詳細については、Catalyst Switched Port Analyzer（SPAN; スイッチドポートアナライザ）機能の設定 [英語] を参照してください。

推奨事項

シスコでは、SNMP ポーリング単独の場合よりもインテリジェントにネットワークを管理するために、RMON しきい値とアラートを設定することを推奨しています。これにより、ネットワーク管理トラフィックのオーバーヘッドが減り、ネットワークでベースラインからの変更が発生したときにインテリジェントにアラートを通知できます。RMON は Traffic Director などの外部エージェントによって制御する必要があります。コマンドラインインターフェイス（CLI）はサポートされていません。RMON を有効にするには、次のコマンドを発行します。

set snmp rmon enable
set snmp extendedrmon netflow enable mod


!--- For use with NAM module only.

スイッチの主な機能はフレームの転送機能であり、大型のマルチポート RMON プローブとして機能することではありません。したがって、複数のポートで複数の条件に関する履歴としきい値を設定すると、リソースが消費される点に注意してください。RMON をスケールアップする場合は NAM モジュールの導入を検討してください。また、「計画段階で重要と認められたポートに対してのみ、ポーリングを実行し、しきい値を設定する」というクリティカルポート規則を遵守してください。

メモリ要件

RMON のメモリ使用量は、すべてのスイッチプラットフォームの間で、統計、履歴、アラーム、およびイベントに関して一定です。RMON はバケットを使用して RMON エージェント（この場合はスイッチ）に履歴と統計を保存します。バケットサイズは RMON プローブ（Switch Probe）または RMON アプリケーション（Traffic Director）で定義してから、スイッチに送信して設定します。通常、メモリの制約を考慮するのは DRAM が 32 MB 未満の古い Supervisor Engine の場合だけです。次のガイドラインを参照してください。

ミニ RMON（統計、履歴、アラーム、イベントの 4 つの RMON グループ）をサポートするために、NMP イメージにおよそ 450 K のコード領域が追加されます。 RMON の動的なメモリ要件はランタイムの設定によって決まるため、一定ではありません。ミニ RMON グループごとの、RMON のランタイムメモリの使用情報は次のとおりです。
- イーサネット統計グループ：スイッチドイーサネット/FE インターフェイスごとに 800 バイトを使用します。
- 履歴グループ：イーサネットインターフェイスの場合は、設定された 50 バケットの履歴制御エントリごとにおよそ 3.6 KB のメモリ領域を使用し、追加バケットごとに 56 バイトを使用する。
- アラームおよびイベントグループ：設定されたアラームと、それに対応するイベントエントリごとに 2.6 KB を使用する。
RMON 関連の設定を保存すると、システムの合計 NVRAM サイズが 256 K 以上の場合は約 20 K、合計 NVRAM サイズが 128 K の場合は 10 K の NVRAM 領域が使用されます。

ネットワークタイムプロトコル

NTP（RFC 1305 ）は、分散配置されたタイムサーバとクライアントの間でタイムキーピングを同期化し、システムログが作成されたときや時間に関係するイベントが発生したときにイベントを関連付けることができます。

一般的に、NTP を使用した場合のクライアント時間の精度は、協定世界時（UTC）に同期したプライマリサーバと比較して、LAN で 1 ミリ秒以内、WAN で数十ミリ秒以内です。標準的な NTP の設定では、高い精度と信頼性を実現するために、複数の冗長サーバと多様なネットワークパスが利用されます。一部の設定には、偶発的または悪意のあるプロトコル攻撃を防ぐための暗号化認証が含まれています。

動作概要

NTPは、最初にRFC 958で文書化されましたが、RFC 1119（NTPバージョン2）から発展し、現在はRFC 1305で定義された3番目のバージョンになっています。NTP は UDP ポート 123 上で動作します。NTP の通信ではすべて、グリニッジ標準時と同じ時刻である UTC が使用されます。

公開タイムサーバへのアクセス

現在、NTP のサブネットには、無線、衛星、またはモデムによって UTC と直接同期されている公開プライマリサーバが 50 以上存在しています。通常、比較的少数のクライアントにサービスを提供するクライントワークステーションやサーバは、プライマリサーバに同期しません。プライマリサーバに同期した公開セカンダリサーバは約 100 台あり、インターネット上の 100,000 を超えるクライアントとサーバに同期されています。最新のリストは [List of Public NTP Servers] ページで管理されていて、定期的に更新されます。通常は公開されていないプライベートのプライマリサーバとセカンダリサーバも多数存在します。公開 NTP サーバのリストと、それらの使用方法については、デラウェア大学の『Time Synchronization Server』の Web サイトを参照してください。

これらのインターネット上の公開 NTP サーバが利用できる保証や正確な時刻が提供される保証はないため、他の選択肢を検討することを強く推奨します。選択肢には、多数のルータに直接接続されたスタンドアロンの各種 Global Positioning Service（GPS）デバイスの利用が含まれます。

また、ストラタム 1 マスターとして設定した各種ルータを使用することも可能ですが、推奨されません。

ストラタム

各 NTP サーバでは、そのサーバと外部の時刻源との距離を示すストラタムが採用されています。ストラタム 1 サーバは、電波時計などの外部時刻源にアクセスします。ストラタム 2 サーバは指定されたストラタム 1 サーバ群から詳細な時刻を取得し、ストラタム 3 サーバはストラタム 2 サーバから詳細な時刻を取得します。後続も同様に取得されます。

サーバとピアの関係

サーバはクライアントの要求に応答しますが、クライアントの時刻源から日付情報を取得しようとはしません。
ピアはクライアントの要求に応答しますが、クライアントの要求をより良い時刻源の候補として使用し、ピアのクロック周波数の安定のために利用しようとします。
真のピアになるためには、接続の両側がピアの関係になる必要があります。一方のユーザがピアで、もう一方のユーザがサーバでは真のピアにはなりません。また、信頼できるホスト同士のみが互いにピアとして通信できるようにするために、ピア間でキーを交換することが推奨されます。
サーバへのクライアント要求では、サーバはクライアントに応答しますが、そのクライアントから要求が送られて来たこと自体は記憶されません。それに対してピアへのクライアント要求では、サーバはクライアントに応答した上で、そのクライアントについての状態情報を保持し、クライアントで時刻が適切に維持されているか、およびどの Stratum サーバが使用されているかが追跡されます。

注：CatOS は NTP クライアントとしてのみ動作可能です。

1 台の NTP サーバで何千台ものクライアントを処理することも可能です。ただし、何百ものピアを処理するとメモリへの影響が生じ、その状態を維持すると帯域幅だけでなく、装置の CPU リソースの使用量も増加します。

ポーリング

NTP プロトコルでは、クライアントは必要なときにいつでもサーバにクエリを送信できます。実際には、NTP がシスコデバイスで初めて設定されたときに、NTP_MINPOLL（24 = 16 秒）間隔で連続して 8 個のクエリが送信されます。NTP_MAXPOLL は 214 秒（これは 16,384 秒、つまり 4 時間 33 分 4 秒）で、応答を得るために NTP が再びポーリングするまでにかかる最大時間です。現時点では、ユーザが手動で POLL 時間を強制的に設定する方法はありません。

NTP ポーリングカウンタは 2^{6（64）秒から始まり、2 の累乗で（2 台のサーバが互いに同期するため）210} まで増えます。つまり、設定したサーバまたはピアごとに、同期メッセージが 64、128、256、512、または 1024 秒間隔で送信されます。この間隔は、パケットを送受信する位相同期回路に基づいて、64 秒から 1024 秒までの 2 の累乗の秒数で変動します。時間内にジッターが多い場合、ポーリング回数が増えます。基準クロックが正確で、ネットワーク接続が安定している場合、ポーリング間隔が 1024 秒に収束します。

これは実際には、クライアントとサーバ間の接続が変わると NTP ポーリング間隔も変わることを意味します。接続が良好なほど、ポーリング間隔は長くなります（つまり、NTP クライアントが最後の 8 個の要求に対して 8 個の応答を受信すると、ポーリング間隔が 2 倍になります）。 1 つの応答が受信されなかった場合、ポーリング間隔が半分になります。ポーリング間隔は 64 秒から始まり、最大値は 1024 秒です。最良の環境では、ポーリング間隔が 64 秒から 1024 秒になるまでに 2 時間強かかります。

ブロードキャスト

NTP のブロードキャストは転送されません。ntp broadcast コマンドを使用すると、ルータは設定されたインターフェイス上で NTP ブロードキャストを発信します。ntp broadcastclient コマンドを使用すると、ルータまたはスイッチは設定されたインターフェイス上の NTP ブロードキャストをリッスンします。

NTP のトラフィックレベル

ピア間で交換されるポーリングメッセージの間隔は通常、17 分（1024 秒）ごとに 1 メッセージの間隔まで徐々に戻っていくため、NTP で利用される帯域幅は最小限です。周到に計画すれば、WAN リンクを経由するルータネットワーク内でこの間隔を維持できます。NTP クライアントは、WAN 経由でセントラルサイトのコアルータ（ストラタム 2 サーバ）とピアリングするのではなく、ローカルの NTP サーバとピアリングする必要があります。

収束した NTP クライアントは、サーバごとに約 0.6 bps を消費します。

推奨事項

現在、お客様の多くは CatOS プラットフォームで NTP をクライアントモードに設定し、インターネット上の信頼性の高い提供元や電波時計と同期させています。しかし、多数のスイッチを稼働させている場合、サーバモードに代わる単純な方法として、スイッチドドメイン内の管理 VLAN 上で NTP をブロードキャストクライアントモードで有効にする方法があります。このメカニズムでは、Catalyst のドメイン全体が 1 つのブロードキャストメッセージからクロックを受信できます。ただし、情報のフローが一方向になるため、計時の精度が少し低くなります。

アップデートの送信元としてループバックアドレスを使用すると、一貫性が向上します。セキュリティの問題は次の 2 つの方法で対処できます。

サーバアップデートのフィルタリング
[Authentication]

トラブルシューティングとセキュリティ監査においては、イベントと時刻の関連が非常に重要です。そのため、時刻源とデータを保護するための対策を採る必要があります。また、故意または過失によって重要なイベントが消去されないように、暗号化を使用することを推奨します。

シスコでは次の設定を推奨しています。

Catalyst Configuration
set ntp broadcastclient enable set ntp authentication enable set ntp key key !--- This is a Message Digest 5 (MD5) hash. set ntp timezone set ntp summertime

Catalyst の代替設定
!--- This more traditional configuration creates !--- more configuration work and NTP peerings. set ntp client enable set ntp server IP address of time server set timezone zone name set summertime date change details

Catalyst の代替設定


!--- This more traditional configuration creates !--- more configuration work and NTP peerings.

set ntp client enable
set ntp server IP address of time server
set timezone zone name
set summertime date change details

ルータの設定
!--- This is a sample router configuration to distribute !--- NTP broadcast information to the Catalyst broadcast clients. ntp source loopback0 ntp server IP address of time server ntp update-calendar clock timezone zone name clock summer-time date change details ntp authentication key key ntp access-group access-list !--- To filter updates to allow only trusted sources of NTP information. Interface to campus/management VLAN containing switch sc0 ntp broadcast

ルータの設定


!--- This is a sample router configuration to distribute !--- NTP broadcast information to the Catalyst broadcast clients.

ntp source loopback0
ntp server IP address of time server
ntp update-calendar
clock timezone zone name
clock summer-time date change details ntp authentication key key
ntp access-group access-list


!--- To filter updates to allow only trusted sources of NTP information.

Interface to campus/management VLAN containing switch sc0
        ntp broadcast

Cisco Discovery Protocol

CDP はデータリンク層を介して隣接デバイス間で情報を交換します。CDP は、論理層または IP 層の外部のネットワークトポロジと物理構成の判別に大変役立ちます。サポートされているデバイスは主にスイッチ、ルータ、および IP フォンです。この項では、CDP バージョン 1 に対するバージョン 2 の強化点について説明します。

動作概要

CDP ではタイプコード 2000 の SNAP カプセル化が使用されます。イーサネット、ATM、および FDDI では、宛先マルチキャストアドレス 01-00-0c-cc-cc-cc、HDLC プロトコルタイプ 0x2000 が使用されます。トークンリングでは、機能アドレス c000.0800.0000 が使用されます。デフォルトでは、CDP フレームは 1 分間隔で定期的に送信されます。

CDP メッセージには 1 つ以上のサブメッセージが含まれており、宛先デバイスはこのサブメッセージを使用してすべてのネイバーデバイスに関する情報を収集して保存できます。

CDP バージョン 1 では、次のパラメータがサポートされています。

パラメータ	Type	説明
1	Device-ID	ASCII 形式でのデバイスのホスト名、またはハードウェアシリアル番号。
2	アドレス	アップデートを送信したインターフェイスの L3 アドレス。
3	Port-ID	CDP アップデートが送信されたポート。
4	機能	デバイスの機能について説明します。Router: 0x01 TB Bridge: 0x02 SR Bridge: 0x04 Switch: 0x08 （L2および/またはL3スイッチングを提供）Host: 0x10 IGMP conditional filtering: 0x20 BridgeまたはSwitchは、非ルータポートでIGMPレポートパケットを転送しません。リピータ：0x40
5	バージョン	ソフトウェアバージョンを含む文字列（show version と同じ）。
6	Platform	ハードウェアプラットフォーム。WS-C5000、WS-C6009、Cisco RSP など。

CDP バージョン 2 では、追加のプロトコルフィールドが導入されています。CDP バージョン 2 ではすべてのフィールドがサポートされていますが、次にリストされているフィールドはスイッチド環境では特に役に立つもので、CatOS で使用されています。

注：スイッチでCDPv1が稼働している場合、v2フレームはドロップされます。CDPv2 を実行中のスイッチのインターフェイスで CDPv1 フレームを受信すると、そのインターフェイスからは CDPv2 フレームに加えて CDPv1 フレームの送信も開始されます。

パラメータ	Type	説明
9	VTPドメイン	VTP ドメイン（デバイスで設定されている場合）。
10	ネイティブVLAN	dot1q では、これはタグなし VLAN です。
11	Full/Half Duplex	このフィールドには送信元ポートのデュプレックス設定が含まれます。

推奨事項

CDP はデフォルトで有効になっており、隣接デバイスの可視性の取得やトラブルシューティングに不可欠です。また、ネットワーク管理アプリケーションで L2 トポロジマップを作成するときにも使用されます。CDP を設定するには、次のコマンドを発行します。

set cdp enable

!--- This is the default.

set cdp version v2

!--- This is the default.

高いレベルのセキュリティが必要なネットワークの部分（インターネットに面した DMZ など）では、次のコマンドを発行して、CDP をオフにする必要があります。

set cdp disable port range

show cdp neighbors コマンドはローカルの CDP テーブルを表示します。星印（*）の付いたエントリは VLAN が一致していないことを示し、# の付いたエントリはデュプレックスが一致していないことを示します。この情報はトラブルシューティング時に役立つ場合があります。

>show cdp neighbors

* - indicates vlan mismatch.
# - indicates duplex mismatch.
Port  Device-ID          Port-ID Platform
----- ------------------ ------- ------------
 3/1  TBA04060103(swi-2) 3/1     WS-C6506
 3/8  TBA03300081(swi-3) 1/1     WS-C6506
15/1  rtr-1-msfc         VLAN 1  cisco    Cat6k-MSFC
16/1  MSFC1b             Vlan2   cisco    Cat6k-MSFC

その他のオプション

Catalyst 6500/6000 などの一部のスイッチには、UTP ケーブルを通じて IP フォンに電力を供給する機能があります。CDP によって取得された情報がスイッチの電源管理に利用されます。

IP フォンに接続している PC があり、両方のデバイスが Catalyst の同じポートに接続している場合、スイッチは VoIP フォンを別の VLAN（Auxiliary VLAN）に配置できます。この機能により、スイッチでは VoIP トラフィックに対して異なる Quality of Service（QoS）を容易に適用できます。

また、Auxiliary VLAN が変更された場合（たとえば、電話機が特定の VLAN や特定のタギング方式を使用するように設定する場合）、この情報は CDP を通じて電話機に送信されます。

パラメータ	Type	説明
14	アプライアンスID	別の VLAN ID（Auxiliary VLAN）によって、VoIP トラフィックをその他のトラフィックと区別できます。
16	消費電力	VoIP フォンが消費する電力量（ミリワット単位）。

注：Catalyst 2900および3500XLスイッチは、現在CDPv2をサポートしていません。

セキュリティ設定

理想的には、お客様が、シスコのどのツールと技術が適格であるかを定義するのに役立つセキュリティポリシーをすでに確立していることが望まれます。

注：CatOSではなくCisco IOSソフトウェアのセキュリティについては、『Cisco ISP Essentials』など多くのドキュメントで取り上げられています。

基本的なセキュリティ機能

パスワード

ユーザレベルのパスワード（ログイン）を設定します。 CatOS 5.x 以降、パスワードは大文字と小文字が区別されており、スペースを含めて 0 ～ 30 文字の長さで設定できます。次のように、イネーブルパスワードを設定します。


set password password
set enablepass password

ログインパスワードおよびイネーブルパスワードを使用する場合、すべてのパスワードが最小長の基準（最低 6 文字、文字と数字、大文字と小文字を混在させるなど）を満たしている必要があります。これらのパスワードは、MD5 ハッシュアルゴリズムを使用して暗号化されます。

パスワードのセキュリティとデバイスへのアクセスをより柔軟に管理できるように、シスコでは TACACS+ サーバの使用を推奨しています。詳細については、このドキュメントの「TACACS+」の項を参照してください。

[Secure Shell]

スイッチへの Telnet セッションおよびその他のリモート接続に対するセキュリティを実現するには、SSH 暗号化を利用します。SSH 暗号化がサポートされるのは、スイッチにリモートログインする場合だけです。スイッチから開始される Telnet セッションは暗号化できません。SSH バージョン 1 は CatOS 6.1 でサポートされており、バージョン 2 のサポートは CatOS 8.3 で追加されています。SSH バージョン 1 は Data Encryption Standard（DES; データ暗号規格）と Triple DES（3-DES）の暗号化方式をサポートしており、SSH バージョン 2 は 3-DES と Advanced Encryption Standard（AES）の暗号化方式をサポートしています。SSH 暗号化は、RADIUS 認証および TACACS+ 認証で使用できます。この機能は、SSH（k9）イメージでサポートされています。詳細については、『CatOS が稼働する Catalyst スイッチでの SSH の設定』を参照してください。

set crypto key rsa 1024

バージョン 1 のフォールバックを無効にして、バージョン 2 の接続を受け入れるには、次のコマンドを発行します。

set ssh mode v2

IP 許可フィルタ

IP 許可フィルタは、Telnet やその他のプロトコルを介した管理 sc0 インターフェイスへのアクセスを保護するためのフィルタです。このフィルタは、管理に使用している VLAN にユーザも含まれている場合に特に重要になります。IP アドレスとポートのフィルタリングを有効にするには、次のコマンドを発行します。


set ip permit enable
set ip permit IP address mask Telnet|ssh|snmp|all

ただし、このコマンドで Telnet アクセスが制限されると、少数の信頼できるエンドステーションからのみ CatOS デバイスにアクセスできることになり、トラブルシューティング時の障害となる場合があります。IP アドレスをスプーフィングして、フィルタされたアクセスを欺くことができることに注意してください。そのため、これは保護の最初の層に過ぎません。

ポートセキュリティ

たとえば、固定的なエンドステーションが変更管理を通さずに新しいステーションと交換されないようにするために、ポートセキュリティを利用して、1 つまたは複数の既知の MAC アドレスからのデータのみ特定のポートを通過できるようにすることを検討してください。これを実現するには、次のようにスタティック MAC アドレスを使用します。

set port security mod/port enable MAC address

また、限定された MAC アドレスを動的に学習する方法もあります。

set port security port range enable

次のオプションを設定できます。

set port security mod/port age time value：ポートでアドレスが保持される時間を指定します。この時間が経過すると、新しいアドレスを学習できるようになります。有効な時間は 10 ～ 1440 分で、デフォルトはエージングなしです。
set port securitymod/port maximum value：ポートで保持する MAC アドレスの最大数を指定するキーワード。有効な値は 1（デフォルト）～ 1025 です。
set port security mod/port violation shutdown：違反が発生した場合にポートをシャットダウンし（デフォルト）、syslog メッセージを送信して（デフォルト）、トラフィックを廃棄します。
set port security mod/port shutdown time value：ポートが無効状態にとどまる時間。有効な値は 10 ～ 1440 分です。デフォルトではシャットダウンしたままになります。

CatOS 6.x 以降には 802.1x 認証が導入されています。この認証方式を利用すると、クライアントが中央管理サーバに認証されてから、データに対してポートを有効にできます。この機能は Windows XP などのプラットフォームでサポートされ始めたばかりですが、多くの企業で戦略的方向性として検討することができます。Cisco IOS ソフトウェアが稼働するスイッチでのポートセキュリティの設定方法については、ポートセキュリティの設定 [英語] を参照してください。

ログインバナー

不正アクセスに対して実行するアクションを明確に示す適切なデバイスバナーを作成します。不正ユーザに情報を提供する可能性があるサイト名やネットワークデータをアドバタイズしないでください。これらのバナーは、デバイスが不正アクセスされて、犯人が捕まったときに頼りになります。

# set banner motd ^C
*** Unauthorized Access Prohibited ***
***  All transactions are logged   ***
------------- Notice Board -------------
----Contact Joe Cisco at 1 800 go cisco for access problems----
^C

物理セキュリティ

適切な許可なしにデバイスに物理的にアクセスできないようにする必要があります。そのため、機器は管理された（ロックされた）スペースに設置する必要があります。環境要因に対する悪意のある改ざんにより、ネットワークが影響を受けることなく正常に稼働し続けるようにするため、すべての機器に適切なUPS（可能であれば冗長電源を使用）と温度制御（空調）を設置する必要があります。悪意のある者によって物理的アクセスが破られた場合、パスワードの回復などの方法による中断が生じる可能性が高いことを覚えておいてください。

Terminal Access Controller Access Control System

デフォルトでは、非特権モードおよび特権モードのパスワードはグローバルであり、コンソールポート、またはネットワーク経由の Telnet セッションを介してスイッチまたはルータにアクセスするすべてのユーザに適用されます。ネットワークデバイスへのこれらの実装は時間がかかり、一元的には行われません。また、設定エラーが起こりやすいアクセスリストを使用してアクセス制限を実装するのも困難です。

ネットワークデバイスへのアクセスの制御とポリシングに利用できるセキュリティシステムには、次の 3 つがあります。これらはクライアント/サーバアーキテクチャを使用し、すべてのセキュリティ情報を 1 つの中央データベースに格納します。セキュリティシステムには次の 3 つがあります。

TACACS+
RADIUS
Kerberos

この章で説明する TACACS+ は、シスコネットワークで一般的に導入されているシステムです。TACACS+ には次のような機能があります。

認証：ユーザの識別および検証プロセス。ユーザの認証にはいくつかの方法が使用できますが、最もよく使用されるのはユーザ名とパスワードの組み合わせです。
認可：認証されたユーザに各種コマンドを付与できます。
アカウンティング：デバイス上でユーザが行っている操作や過去に行った操作の記録。

詳細については、『Cisco Catalyst スイッチにおける TACACS+、RADIUS、および Kerberos の設定』を参照してください。

動作概要

TACACS+ プロトコルは、MD5 単方向ハッシング（RFC 1321）を使用してユーザ名とパスワードを暗号化した上で、ネットワークを通じて中央サーバに転送します。 TACACS+ はトランスポートプロトコルとして TCP ポート 49 を使用します。これは（RADIUS が使用する）UDP に比べて次のような利点があります。

コネクション型の転送
バックエンドの認証メカニズムの現在の負荷にかかわらず、要求が受信されたことを示す確認応答（TCP ACK）が別に送信される
サーバクラッシュが迅速に検出される（RST パケット）

セッション中に追加の認可チェックが必要になった場合、スイッチは TACACS+ を使用して、ユーザに特定のコマンドの使用権限が付与されているかどうかをチェックします。これにより、認証メカニズムと切り離しながら、スイッチで実行可能なコマンドを制御できます。コマンドアカウンティングを使用すると、特定のネットワークデバイスに接続した状態で特定のユーザが発行したコマンドの監査を行うことができます。

ユーザが TACACS+ を使用してネットワークデバイスに対して認証を行うことで簡易 ASCII ログインを試みると、通常、次のプロセスが発生します。

接続が確立すると、スイッチは TACACS+ デーモンに接続してユーザ名プロンプトを取得し、ユーザに表示します。ユーザがユーザ名を入力すると、スイッチは TACACS+ デーモンにアクセスしてパスワードプロンプトを取得します。スイッチからパスワードプロンプトが表示され、ユーザがパスワードを入力すると、そのパスワードが TACACS+ デーモンに送信されます。
ネットワークデバイスは最終的に、TACACS+ デーモンから次のいずれかの応答を受信します。
- ACCEPT：ユーザは認証され、サービスを開始できます。ネットワークデバイスの設定で認可が必要とされている場合、この時点で認可が開始されます。
- REJECT：ユーザは認証に失敗しました。TACACS+ デーモンに応じて、ユーザは今後のアクセスを拒否されるか、ログインシーケンスの再試行を求められます。
- ERROR：認証中のある時点でエラーが発生しました。このエラーは、デーモンで発生する場合と、デーモンとスイッチ間のネットワーク接続で発生する場合があります。ERROR 応答を受信すると、ネットワークデバイスは通常、代替のユーザ認証方式の使用を試行します。
- CONTINUE：追加の認証情報の入力を促すプロンプトがユーザに表示されます。
ユーザは TACACS+ 認可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。
TACACS+ 認可が必要な場合、TACACS+ デーモンに再度接続し、ACCEPT または REJECT 認可応答が返されます。ACCEPT 応答が返された場合、応答にはそのユーザの EXEC または NETWORK セッション向けに使用される属性の形式でデータが含まれており、そのユーザがアクセスできるコマンドが決定されます。

推奨事項

シスコでは、CiscoSecure ACS for NT、UNIX、またはその他のサードパーティ製ソフトウェアを使用して簡単に実装できる TACACS+ の使用を推奨しています。TACACS+ の機能には、コマンドの使用とシステムの使用に関する統計情報を提供する詳細なアカウンティング、MD5 暗号化アルゴリズム、認証および認可プロセスの管理制御などがあります。

次の例では、ログインモードとイネーブルモードの認証に TACACS+ サーバを使用し、サーバが使用できない場合はローカル認証にフォールバックできます。ローカル認証はほとんどのネットワークに残しておくべき重要なバックドアです。TACACS+ を設定するには、次のコマンドを発行します。

set tacacs server server IP primary
set tacacs server server IP


!--- Redundant servers are possible.

set tacacs attempts 3

!--- This is the default.

set tacacs key key


!--- MD5 encryption key.

set tacacs timeout 15

!--- Longer server timeout (5 is default).

set authentication login tacacs enable
set authentication enable tacacs enable
set authentication login local enable
set authentication enable local enable

!--- The last two commands are the default; they allow fallback !--- to local if no TACACS+ server available.

その他のオプション

TACACS+ 認可を使用することで、個々のユーザまたはユーザグループがスイッチで実行できるコマンドを制御できますが、この領域にはすべてのお客様が個別の要件を持っているため、推奨事項を提示するのは困難です。詳細については、認証、認可、およびアカウンティングを使用したスイッチへのアクセスの制御 [英語] を参照してください。

最後に、アカウンティングコマンドを使用することで、各ユーザの入力内容と設定内容に関する監査証跡を提供できます。次に、コマンドの最後で監査情報を受信する一般的な方法の使用例を示します。

set accounting connect enable start-stop tacacs+
set accounting exec enable start-stop tacacs+
set accounting system enable start-stop tacacs+
set accounting commands enable all start-stop tacacs+
set accounting update periodic 1

この設定には次の特長があります。

connect コマンドは、スイッチでのアウトバウンド接続イベント（Telnet など）のアカウンティングを有効にします。
exec コマンドは、スイッチでのログインセッション（運用スタッフなど）のアカウンティングを有効にします。
system コマンドは、スイッチでのシステムイベント（リロードやリセットなど）のアカウンティングを有効にします。
commands コマンドは、スイッチで入力されたコマンド（show コマンドと設定コマンドの両方）のアカウンティングを有効にします。
定期的なアップデートを 1 分ごとにサーバに送信することで、ユーザがログイン中かどうかを記録するのに役立ちます。

設定チェックリスト

この項では、推奨される設定の要約を示します。ただし、セキュリティの詳細は除きます。

すべてのポートにラベルを付けておくと非常に便利です。ポートにラベルを付けるには、次のコマンドを発行します。

set port description descriptive name

次の凡例を、以下に示す表のコマンドとともに使用します。

ポイント：
太字のテキスト：推奨される変更
通常のテキスト：デフォルト、推奨される設定

グローバル設定コマンド

コマンド	コメント
set vtp domain name passwordx	新しいスイッチからの不正な VTP アップデートを防止します。
set vtp mode transparent	このドキュメントで推奨されている VTP モードを選択します。詳細については、このドキュメントの「VLAN Trunking Protocol」の項を参照してください。
set spantree enable all	すべての VLAN で STP を有効にします。
set spantree root vlan	VLAN ごとのルート（およびセカンダリルート）ブリッジの推奨位置。
set spantree backbonefast enable	間接的な障害からの迅速な STP コンバージェンスを有効にします（ドメイン内のすべてのスイッチがこの機能をサポートしている場合のみ）。
set spantree uplinkfast enable	直接的な障害からの迅速な STP コンバージェンスを有効にします（アクセスレイヤスイッチの場合のみ）。
set spantree portfast bpdu-guard enable	不正なスパニングツリー拡張が存在する場合、ポートの自動シャットダウンを有効にします。
set udld enable	単方向リンク検出を有効にします（ポートレベルの設定も必要）。
set test diaglevel complete	ブートアップ時の完全診断を有効にします（Catalyst 4500/4000 ではデフォルト）。
set test packetbuffer sun 3:30	ポートバッファのエラーチェックを有効にします（Catalyst 5500/5000 のみに適用）。
set logging buffer 500	最大の内部 syslog バッファを維持します。
set logging server IP address	外部のシステムメッセージロギング用のターゲット syslog サーバを設定します。
set logging server enable	外部ロギングサーバを許可します。
set logging timestamp enable	ログ内のメッセージのタイムスタンプを有効にします。
set logging level spantree 6 default	STP のデフォルト syslog レベルを上げます。
set logging level sys 6 default	システムのデフォルト syslog レベルを上げます。
set logging server severity 4	より重大度の高い syslog のエクスポートのみ許可します。
set logging console disable	トラブルシューティングの場合を除き、コンソールを無効にします。
set snmp community read-only string	パスワードを設定し、リモートでのデータ収集を許可します。
set snmp community read-write string	パスワードを設定し、リモートでの設定を許可します。
set snmp community read-write-all string	パスワードを設定し、パスワードを含むリモートでの設定を許可します。
set snmp trap enable all	NMS サーバに対する SNMP トラップを有効にして、障害およびイベントアラートを行います。
set snmp trap server address string	NMS トラップの受信者のアドレスを設定します。
set snmp rmon enable	ローカルで統計を収集するための RMON を有効にします。詳細については、このドキュメントの「リモートモニタリング」の項を参照してください。
set ntp broadcastclient enable	上流に位置するルータからの正確なシステムクロックの受信を有効にします。
set ntp timezone zone name	デバイスのローカルタイムゾーンを設定します。
set ntp summertime date change details	サマータイムを設定します（タイムゾーンに適用可能な場合）。
set ntp authentication enable	セキュリティを確保するために、暗号化された時間情報を設定します。
set ntp key key	暗号キーを設定します。
set cdp enable	ネイバー探索を有効にします（デフォルトではポート上でも有効になります）。
set tacacs server IP address primary	AAA サーバのアドレスを設定します。
set tacacs server IP address	可能であれば、AAA サーバを冗長化します。
set tacacs attempts 3	AAA ユーザアカウントのパスワード入力を 3 回まで認めます。
set tacacs key key	AAA MD5 暗号キーを設定します。
set tacacs timeout 15	サーバのタイムアウトを長くします（デフォルトは 5 秒）。
set authentication login tacacs enable	ログインの認証に AAA を使用します。
set authentication enable tacacs enable	イネーブルモードの認証に AAA を使用します。
set authentication login local enable	デフォルト。AAA サーバが使用できない場合にローカルにフォールバックする。
set authentication enable local enable	デフォルト。AAA サーバが使用できない場合にローカルにフォールバックする。

ホストポートの設定コマンド

コマンド	コメント
set port host port range	不要なポート処理を削除します。このマクロは、スパニングツリーの PortFast を有効、チャネルをオフ、トランクをオフに設定します。
set udld disable port range	不要なポート処理を削除します（銅線ポートではデフォルトで無効）。
set port speed port range auto	最新のホスト NIC ドライバによる自動ネゴシエーションを使用します。
set port trap port range disable	一般ユーザは、SNMP トラップは不要。キーポートの追跡のみ。

サーバ設定コマンド

コマンド	コメント
set port host port range	不要なポート処理を削除します。このマクロは、スパニングツリーの PortFast を有効、チャネルをオフ、トランクをオフに設定します。
set udld disable port range	不要なポート処理を削除します（銅線ポートではデフォルトで無効）。
set port speed port range 10 \| 100	通常はスタティック/サーバポートを設定する。それ以外の場合は自動ネゴシエーションを使用。
set port duplex port range full \| half	通常はスタティック/サーバポート。それ以外の場合は自動ネゴシエーションを使用。
set port trap port range enable	キーサービスポートはトラップを NMS に送信する必要があります。

未使用ポートの設定コマンド

コマンド	コメント
set spantree portfast port range disable	STP 用に必要なポートの処理と保護を有効にします。
set port disable port range	未使用ポートを無効にします。
set vlan unused dummy vlan port range	ポートが有効な場合、不正トラフィックを未使用の VLAN に送信します。
set trunk port range off	管理されるまでポートのトランキングを無効にします。
set port channel port range mode off	管理されるまでポートのチャネリングを無効にします。

インフラストラクチャポート（スイッチ間、スイッチとルータ間）

コマンド	コメント
set udld enable port range	単方向リンク検出を有効にします（銅線ポートではデフォルトではない）。
set udld aggressive-mode enable port range	アグレッシブモードを有効にします（デバイスでサポートされている場合）。
set port negotiation port rangeenable	リンクパラメータのデフォルトの GE 自動ネゴシエーションを許可します。
set port trap port range enable	これらのキーポートに対して SNMP トラップを許可します。
set trunk port range off	トランクを使用していない場合、機能を無効にします。
set trunk mod/port desirable ISL \| dot1q \| negotiate	トランクを使用している場合、dot1q が優先されます。
clear trunk mod/port vlan range	トランクが不要な場合、トランクから VLAN をプルーニングすることで STP の直径を制限します。
set port channel port range mode off	チャネルを使用していない場合、機能を無効にします。
set port channel port range mode desirable	チャネルを使用している場合、PAgP を有効にします。
set port channel all distribution ip both	チャネルを使用している場合、L3 送信元/宛先ロードバランシングを許可します（Catalyst 6500/6000 ではデフォルト）。
set trunk mod/port nonegotiate ISL \| dot1q	ルータ、Catalyst 2900XL、3500、またはその他のベンダーにトランキングしている場合、DTP を無効にします。
set port negotiation mod/port disable	ネゴシエーションは、一部の古い GE デバイスとは互換性がないことがあります。

CatOS が稼働する Catalyst 4500/4000、5500/5000 および 6500/6000 シリーズ スイッチの設定と管理のベスト プラクティス

ダウンロード オプション

偏向のない言語

翻訳について

内容

CatOS が稼働する Catalyst 4500/4000、5500/5000 および 6500/6000 シリーズスイッチの設定と管理のベストプラクティス

ダウンロードオプション