Gigabit EtherSwitch EHWIC の設定方法
次の項では、EtherSwitch EHWIC に設定作業を示します。
•
「VLAN の設定」
• 「VLAN トランキング プロトコルの設定」
• 「レイヤ 2 インターフェイスの設定」
• 「802.1x 認証の設定」
• 「スパニングツリーの設定」
• 「MAC テーブルの操作の設定」
• 「Cisco Discovery Protocol の設定」
• 「スイッチド ポート アナライザ(SPAN)の設定」
• 「インターフェイスでの電力管理の設定」
• 「IP マルチキャスト レイヤ 3 スイッチングの設定」
• 「IGMP スヌーピングの設定」
• 「ポート単位のストーム制御の設定」
• 「フォールバック ブリッジングの設定」
• 「音声とデータ用の個別のサブネットの設定」
• 「EtherSwitch EHWIC の管理」
• 「ポート セキュリティの設定」
VLAN インスタンスの追加
ギガビット イーサネット(GE)インターフェイスをレイヤ 2 アクセスとして設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. vlan vlan_id
2. exit
手順の詳細
|
|
|
ステップ 1 |
vlan vlan_id
|
イーサネット VLAN を追加します。 |
ステップ 2 |
|
VLAN データベースを更新し、管理ドメイン全体にデータベースを伝搬して、特権 EXEC モードに戻ります。 |
VLAN の設定の確認
VLAN データベース モードまたは特権 EXEC モードで、VLAN の設定を確認できます。
• 「VLAN データベース モードでの VLAN 設定の確認」
• 「EXEC モードでの VLAN 設定の確認」。
VLAN データベース モードでの VLAN 設定の確認
VLAN データベース モードで show コマンドを入力して、VLAN 設定を確認します。
Translational Bridged VLAN: 1002
Translational Bridged VLAN: 1003
Translational Bridged VLAN: 1
Translational Bridged VLAN: 1003
Backup CRF Mode: Disabled
Translational Bridged VLAN: 1
Translational Bridged VLAN: 1002
Media Type: Token Ring Net
EXEC モードでの VLAN 設定の確認
特権 EXEC モードで show vlan-switch コマンドを入力して、VLAN 設定を確認します。
---- -------------------------------- --------- -------------------------------
1 default active Gi0/1/0, Gi0/1/1, Gi0/1/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
2 enet 100002 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003
1003 tr 101003 1500 1005 0 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 1 ibm - 0 0
データベースからの VLAN インスタンスの削除
イーサネット VLAN 1 および FDDI、またはトークンリング VLAN 1002 ~ 1005 の、メディア タイプ別のデフォルト VLAN は削除できません。
データベースから VLAN を削除するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. no vlan vlan_id
2. exit
手順の詳細
|
|
|
ステップ 1 |
no vlan vlan_id
|
VLAN を削除します。 |
ステップ 2 |
exit
|
VLAN データベースを更新し、管理ドメイン全体にデータベースを伝搬して、特権 EXEC モードに戻ります。 |
VLAN の削除の確認
スイッチから VLAN が削除されたかは VLAN データベース モードで確認できます。
次の出力例のように、VLAN データベース モードで show コマンドを使用すると、スイッチから VLAN が削除されたことを確認できます。
Translational Bridged VLAN: 1002
Translational Bridged VLAN: 1003
Translational Bridged VLAN: 1
Translational Bridged VLAN: 1003
次の出力例のように、EXEC モードで show vlan-switch brief コマンドを入力すると、スイッチから VLAN が削除されたことを確認できます。
Router#show vlan-switch brief
---- -------------------------------- --------- -------------------------------
1 default active Gi0/1/0, Gi0/1/1, Gi0/1/2
Gi0/1/3, Gi0/1/4, Gi0/1/5
1002 fddi-default act/unsup
1003 token-ring-default active/unsup
1004 fddinet-default active/unsup
1005 trnet-default active/unsup
VTP サーバの設定
スイッチが VTP サーバ モードの場合、VLAN 設定を変更し、その変更をネットワーク全体に伝播することができます。
スイッチを VTP サーバとして設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. vtp mode server
2. vtp domain domain_name
3. vtp password password_value
4. exit
手順の詳細
|
|
|
ステップ 1 |
vtp mode server
Router(config)#vtp mode server
|
スイッチを VTP サーバとして設定します。 |
ステップ 2 |
vtp domain domain_name
Router(config)#vtp domain domain1
|
VTP ドメイン名を定義します。ドメイン名には最大 32 文字を使用できます。 |
ステップ 3 |
vtp password password_value
Router(config)#vtp password password1
|
(任意)VTP ドメインにパスワードを設定します。パスワードは 8 ~ 64 文字で指定します。 |
ステップ 4 |
exit
|
グローバル コンフィギュレーション モードを終了します。 |
VTP クライアントの設定
スイッチが VTP クライアント モードの場合、スイッチ上で VLAN 設定は変更できません。クライアント スイッチは管理ドメイン内の VTP サーバから VTP アップデート情報を受信し、それに基づいて設定を変更します。
- スイッチを VTP クライアントとして設定するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. vtp mode client
2. vtp domain domain_name
3. vtp password password_value
4. exit
手順の詳細
|
|
|
ステップ 1 |
vtp mode client
Router(config)#vtp mode client
|
スイッチを VTP クライアントとして設定します。 |
ステップ 2 |
vtp domain domain_name
Router(config)#vtp domain domain1
|
VTP ドメイン名を定義します。ドメイン名には最大 32 文字を使用できます。 |
ステップ 3 |
vtp password password_value
Router(config)#vtp password password2
|
(任意)VTP ドメインにパスワードを設定します。パスワードは 8 ~ 64 文字で指定します。 |
ステップ 4 |
exit
|
グローバル コンフィギュレーション モードを終了します。 |
VTP の無効化(VTP トランスペアレント モード)
VTP トランスペアレントとしてスイッチを設定すると、スイッチ上で VTP がディセーブルになります。VTP 透過スイッチは VTP アップデートを送信せず、他のスイッチから VTP アップデートを受信してもそれに従って動作することはありません。
スイッチ上で VTP をディセーブルにするには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. vtp mode transparent
2. exit
手順の詳細
|
|
|
ステップ 1 |
vtp mode transparent
Router(config)#vtp mode transparent
|
VTP トランスペアレント モードを設定します。 |
ステップ 2 |
exit
|
グローバル コンフィギュレーション モードを終了します。 |
VTP の確認
VTP のステータスを確認するには、特権 EXEC モードで show vtp status コマンドを使用します。
Configuration Revision : 0
Maximum VLANs supported locally : 256
Number of existing VLANs : 5
VTP Operating Mode : Server
VTP Domain Name : domain1
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0xBF 0x86 0x94 0x45 0xFC 0xDF 0xB5 0x70
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Local updater ID is 1.3.214.25 on interface Gi0/0 (first interface found)
インターフェイス範囲の設定
インターフェイスの範囲を設定するには、グローバル コンフィギュレーション モードで interface range コマンドを使用します。
手順の概要
1. configure terminal
2. interface range { gigabitethernet interfacenumber - interfacenumber | vlan number | macro word }
3. exit
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface range { gigabitethernet interfacenumber - interfacenumber | vlan number | macro word }
Router(config)#interface range gigabitethernet
0/2/0 - 3
|
設定するインターフェイスの範囲を選択します。 • ダッシュの前後にはスペースが必要です。たとえば、コマンド interface range gigabitethernet 0/2/0 - 3 は有効ですが、コマンド interface range gigabitethernet 0/2/0-3 は有効ではありません。 • 1 つのマクロか、最大 5 つの範囲をカンマで区切って入力できます。 • カンマ区切りの範囲には、VLAN と物理インターフェイスの両方を含めることができます。 • カンマの前後にスペースは必要ありません。 • interface range は、 interface vlan コマンドで設定された VLAN インターフェイスのみをサポートします。 |
ステップ 3 |
exit
Router(config)#exit |
グローバル コンフィギュレーション モードを終了します。 |
範囲マクロの定義
インターフェイス範囲マクロを定義するには、グローバル コンフィギュレーション モードで define interface - range コマンドを使用します。
手順の概要
1. configure terminal
2. define interface-range macro-name {gigabitethernet slot/first-interface - last-interface ] | vlan vlan-ID - vlan-ID }
3. exit
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
define interface-range macro-name {gigabitethernet slot/first-interface - last-interface ] | vlan vlan-ID - vlan-ID }
Router(config)#define interface-range first_three gigabitethernet 0/1/0 - 2 |
インターフェイス範囲マクロを定義して、NVRAM に保存します。 |
ステップ 3 |
exit
Router(config)#exit |
グローバル コンフィギュレーション モードを終了します。 |
インターフェイス範囲マクロの設定の確認
次のように、 show running - configuration コマンドを使用すると、定義されたインターフェイス範囲マクロの設定を表示できます。
Router#show running-configuration | include define
define interface-range first_three GigabitEthernet0/1/0 - 2
インターフェイス速度とデュプレックス設定のガイドライン
インターフェイス速度とデュプレックス モードを設定する際には、次のガイドラインに従います。
• ラインの両端が自動ネゴシエーションをサポートしている場合、デフォルトの自動ネゴシエーション設定を使用することを推奨します。
• 回線の一方のインターフェイスで自動ネゴシエーションがサポートされ、他方ではサポートされない場合は、両方のインターフェイスでデュプレックスと速度を設定してください。自動ネゴシエーションをサポートするインターフェイスで auto を使用しないでください。
• 回線の両端で、どちらもハードセットまたはどちらもオートネゴシエーションにするなど、同じ設定にする必要があります。一致していない設定はサポートされていません。
注意 インターフェイス速度およびデュプレックス モードの設定を変更すると、再設定中にインターフェイスがシャットダウンし、イネーブルになる場合があります。
インターフェイス速度の設定
インターフェイス速度を設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface gigabitethernet 0/slot/port
2. speed [10 | 100 | 1 000 | auto]
手順の詳細
|
|
|
ステップ 1 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
設定するインターフェイスを選択します。 EHWIC slot 番号には 0 ~ 3、EHWIC port 番号には 0 ~ 7 を指定できます。 |
ステップ 2 |
speed [10 | 100 | 1 000 | auto]
Router(config-if)#speed 1000
|
インターフェイスのインターフェイス速度を設定します。 |
(注) 10/100/1000 Mbps ギガビット イーサネット インターフェイスでインターフェイス速度を auto に設定すると、速度とデュプレックスの両方のネゴシエーションが自動的に行われます。
インターフェイスのデュプレックス モードの設定
ギガビット イーサネット インターフェイスのデュプレックス モードを設定するには、インターフェイス コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. duplex [ auto | full | half ]
2. end
手順の詳細
|
|
|
ステップ 1 |
duplex [ auto | full | half ]
Router(config-if)#duplex auto
|
インターフェイスのデュプレックス モードを設定します。 |
ステップ 2 |
end
Router(config-if)#end |
特権 EXEC モードに戻ります。 |
(注) 10/100/1000 Mbps のギガビット イーサネット インターフェイスでポート速度を auto に設定すると、速度とデュプレックスの両方のネゴシエーションが自動的に行われ、デュプレックス モードは変更できません。
ギガビット イーサネット インターフェイス 3 でインターフェイスのデュプレックス モードを auto に設定する方法の例を示します。
Router(config)#interface gigabitethernet 0/1/2
router(config-if)#speed 1000
Router(config-if)#duplex auto
インターフェイスの速度とデュプレックス モード設定の確認
次の出力例のように、 show interfaces コマンドを使用すると、インターフェイスのインターフェイス速度とデュプレックス モードの設定を確認できます。
Router#show interfaces gigabitethernet 0/1/2
GigabitEthernet0/1/2 is up, line protocol is down
Hardware is EHWIC-4 Gigabit Ethernet, address is 0022.bdd2.7915 (bia 0022.bdd2
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts (0 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out
インターフェイスの説明の設定
インターフェイスの機能を思い出すために役立つ説明を追加できます。説明は、 show configuration 、 show running-config 、 show interfaces コマンドの出力で表示されます。
インターフェイスの説明を追加するには、インターフェイス コンフィギュレーション モードで description コマンドを使用します。グローバル コンフィギュレーション モードから、次の手順を実行してインターフェイスに説明を追加します。
手順の概要
1. interface gigabitethernet 0/slot/port
2. description string
手順の詳細
|
|
|
ステップ 1 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
設定するインターフェイスを選択します。 |
ステップ 2 |
description string
Router(config-if)#description gigabitethernet1 |
インターフェイスに記述を追加します。 |
ギガビット イーサネット インターフェイスをレイヤ 2 トランクとして設定
ギガビット イーサネット インターフェイスをレイヤ 2 トランクとして設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface gigabitethernet 0/slot/port
2. shutdown
3. switchport mode trunk
4. switchport trunk native vlan vlan-num
5. switchport trunk allowed vlan { add | except | none | remove } vlan1[,vlan[,vlan[,...]]
6. no shutdown
7. end
手順の詳細
|
|
|
ステップ 1 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
設定するインターフェイスを選択します。 |
ステップ 2 |
shutdown
Router(config-if)#shutdown
|
(任意)設定が完了するまでトラフィック フローを防止するために、インターフェイスをシャットダウンします。 |
ステップ 3 |
switchport mode trunk
Router(config-if)#switchport mode trunk
|
インターフェイスをレイヤ 2 トランクとして設定します (注) カプセル化は常に dot1q です。 |
ステップ 4 |
switchport trunk native vlan vlan-num
Router(config-if)#switchport trunk native vlan 1
|
(任意)802.1Q トランク用に、ネイティブ VLAN を指定します。 |
ステップ 5 |
switchport trunk allowed vlan { add | except | none | remove } vlan1[,vlan[,vlan[,...]]
Router(config-if)#switchport trunk allowed vlan {add | except | none | remove} vlan1[,vlan[,vlan[,...]]
|
(任意)トランク上で許容される VLAN のリストを設定します。デフォルトでは、すべての VLAN が許可されます。トランクからデフォルト VLAN を削除することはできません。 |
ステップ 6 |
no shutdown
Router(config-if)#no shutdown
|
インターフェイスをアクティブにします (インターフェイスをシャットダウンしている場合に限り必要)。 |
ステップ 7 |
end
|
インターフェイス コンフィギュレーション モードを終了します。 |
(注) ポートでは Dynamic Trunk Protocol(DTP)はサポートされません。近接スイッチが DTP を送信しないモードに設定されていることを確認してください。
ギガビット イーサネット インターフェイスをレイヤ 2 トランクとして確認
次のように、 show コマンドを使用すると、ギガビット イーサネット インターフェイスがレイヤ 2 トランクとして設定されていることを確認できます。
router#show running-config interface gigabitethernet 0/1/2
Building configuration...
Current configuration: 71 bytes
interface GigabitEthernet0/1/2
router#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/1/2 on 802.1q trunking 1
Port Vlans allowed on trunk
Port Vlans allowed and active in management domain
Port Vlans in spanning tree forwarding state and not pruned
レイヤ 2 アクセスとしての GE インターフェイスの設定
GE インターフェイスをレイヤ 2 アクセスとして設定するには、グローバル コンフィギュレーション モードから次の手順を実行します。
手順の概要
1. interface gigabitethernet 0/slot/port
2. shutdown
3. switchport mode access
4. switchport access vlan vlan_num
5. no shutdown
6. end
手順の詳細
|
|
|
ステップ 1 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
設定するインターフェイスを選択します。 |
ステップ 2 |
shutdown
Router(config-if)#shutdown
|
(任意)設定が完了するまでトラフィック フローを防止するために、インターフェイスをシャットダウンします。 |
ステップ 3 |
switchport mode access
Router(config-if)#switchport mode access
|
インターフェイスをレイヤ 2 アクセスとして設定します。 |
ステップ 4 |
switchport access vlan vlan_num
Router(config-if)#switchport access vlan 1
|
アクセス ポート用に、アクセス VLAN を指定します。 |
ステップ 5 |
no shutdown
Router(config-if)#no shutdown
|
インターフェイスをアクティブにします (インターフェイスをシャットダウンしている場合に限り必要)。 |
ステップ 6 |
end
|
インターフェイス コンフィギュレーション モードを終了します。 |
ギガビット イーサネット インターフェイスがレイヤ 2 アクセスとして設定されていることの確認
次のように、 show running - config interface コマンドを使用すると、インターフェイスの実行コンフィギュレーションを確認できます。
Router#show running-config interface gigabitethernet 0/1/2
Building configuration...
Current configuration: 76 bytes
interface gigabitethernet 0/1/2
次のように、 show interfaces コマンドを使用すると、インターフェイスのスイッチポート設定を確認できます。
Router#show interfaces gigabitethernet 0/1/0 switchport
Administrative Mode: trunk
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Trunking VLANs Active: none
Priority for untagged frames: 0
Override vlan tag priority: FALSE
802.1x のデフォルト設定について
表 2 に、802.1x のデフォルト設定を示します。
表 2 IEEE 802.1x のデフォルト設定
|
|
|
認証、許可、アカウンティング(AAA) |
ディセーブル。 |
RADIUS サーバ • IP アドレス • UDP 認証ポート • Key |
• 指定なし • 1645 • 指定なし |
インターフェイスごとの 802.1x 有効状態 |
ディセーブル(force-authorized) 。 ポートはクライアントの 802.1x ベース認証なしで通常のトラフィックを送受信します。 |
定期的な再認証 |
ディセーブル。 |
再認証の間隔(秒) |
3600 秒。 |
待機時間 |
60 秒(スイッチがクライアントとの認証情報の交換に失敗した後、待機状態を続ける秒数)。 |
再送信時間 |
30 秒(スイッチが EAP 要求/アイデンティティ フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)。 |
最大再送信回数 |
2 回(スイッチが認証プロセスを再開するまでに、EAP 要求/アイデンティティ フレームを送信する回数)。 |
複数ホストのサポート |
ディセーブル。 |
クライアント タイムアウト時間 |
30 秒 (認証サーバからの要求をクライアントへ中継する場合、スイッチがクライアントへ要求を再送信するまでに、応答を待機する時間) 。この値は設定不可能です。 |
認証サーバ タイムアウト時間 |
30 秒(クライアントからの応答を認証サーバへ中継する場合、スイッチが認証サーバへ応答を再送信するまでに、返答を待機する時間)。この値は設定不可能です。 |
IEEE 802.1x 設定時の注意事項
802.1X 認証を設定するには、次のガイドラインに従います。
• 802.1x プロトコルが有効な場合、各ポートの認証後に他のレイヤ 2 機能が有効になります。
• 802.1x プロトコルはレイヤ 2 スタティック アクセス ポートでサポートされますが、次の種類のポートではサポートされていません。
– トランク ポート:トランク ポートで 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、802.1x はイネーブルになりません。802.1x 対応ポートのモードをトランクに変更しようとしても、ポート モードは変更されません。
– SPAN 宛先ポート:SPAN 宛先ポートで 802.1x を有効にすることはできますが、ポートが SPAN の宛先から解除されるまでは、802.1x は無効です。
802.1x 認証の有効化
802.1x ポートベース認証を有効にするには、AAA を有効にして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。
ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試みられることはありません。
802.1x ポートベース認証を設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。
手順の概要
1. configure terminal
2. aaa new-model
3. aaa authentication dot1x {default | listname } method1 [ method2 ...]
4. interface gigabitethernet 0/slot/port
5. dot1x port-control auto
6. end
7. show dot1x
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
aaa new-model
Router(config)#aaa new-model
|
AAA をイネーブルにします。 |
ステップ 3 |
aaa authentication dot1x {default | listname } method1 [ method2 ...]
Router(config)#aaa authentication dot1x {default | listname} method1 [method2...]
|
802.1x 認証方式リストを作成します。 authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用される方式を指定します。デフォルト認証方式リストは、自動的にすべてのインターフェイスに適用されます。 次のキーワードのうち、少なくとも 1 つを指定します。 • group radius :すべての RADIUS サーバのリストを認証に使用します。 • none :認証を使用しません。クライアントから提供された情報をスイッチで使用せずに、クライアントは自動的に認証されます。 |
ステップ 4 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
インターフェイス コンフィギュレーション モードを開始して、802.1x 認証を有効にするインターフェイスを指定します。 |
ステップ 5 |
dot1x port-control auto
Router(config-if)#dot1x port-control auto
|
インターフェイスで 802.1x を有効にします。 トランク、ダイナミック、ダイナミック アクセス、EtherChannel、セキュア、SPAN の各ポートと機能の相互作用に関する情報については、「IEEE 802.1x 設定時の注意事項」を参照してください。 |
ステップ 6 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
show dot1x
|
入力を確認します。 表示の [802.1x Port Summary] セクションの [Status] カラムを確認してください。 enabled というステータスは、ポート制御値が、 auto または force-unauthorized に設定されていることを意味します。 |
AAA をディセーブルにするには、グローバル コンフィギュレーション モードで no aaa new-model コマンドを使用します。802.1x AAA 認証をディセーブルにするには、グローバル コンフィギュレーション モードで no aaa authentication dot1x { default | list-name } method1 [ method2 ...] コマンドを使用します。802.1x をディセーブルにするには、インターフェイス コンフィギュレーション モードで dot1x port-control force-authorized コマンドまたは no dot1x port-control コマンドを使用します。
スイッチおよび RADIUS サーバ間の通信の設定
RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号で識別されます。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、同一 IP アドレスのサーバ上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。1 台の RADIUS サーバ上の異なる 2 つのホスト エントリが 1 つのサービス(認証など)に設定されている場合、設定されている 2 番めのホスト エントリは最初のホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って試行されます。
スイッチ上に RADIUS サーバ パラメータを設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。
手順の概要
1. configure terminal
2. radius-server host { hostname | ip-address } auth-port port-number key string
3. end
4. show running-config
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
radius-server host { hostname | ip-address } auth-port port-number key string
Router(config)#radius-server host {hostname | ip-address} auth-port port-number key string
|
スイッチ上に RADIUS サーバ パラメータを設定します。 hostname | ip-address には、 リモート RADIUS サーバのホスト名または IP アドレスを指定します。 auth-port port-number には、 認証要求の UDP 宛先ポートを指定します。デフォルトは 1645 です。 key string には、 スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号キーを指定します。キーは、RADIUS サーバで使用する暗号化キーに一致するテキスト ストリングでなければなりません。 コマンド構文の最後の項目として設定してください。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。キーは RADIUS デーモンで使用する暗号に一致している必要があります。 複数の RADIUS サーバを使用する場合は、このコマンドを繰り返します。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
show running-config
Router#show running-config
|
入力を確認します。 |
指定された RADIUS サーバを削除するには、グローバル コンフィギュレーション モードで no radius-server host { hostname | ip-address } コマンドを使用します。
すべての RADIUS サーバに対してタイムアウト、再送信、および暗号キー値を設定するには、グローバル コンフィギュレーション モードで radius-server host コマンドを使用します。サーバ単位でこれらのオプションを設定するには、グローバル コンフィギュレーション モードで radius-server timeout 、 radius-server retransmit 、および radius-server key コマンドを使用します。
RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。
定期的な再認証のイネーブル化
定期的な 802.1x クライアント再認証を有効にして、再認証の頻度を指定できます。再認証をイネーブルにする前に時間間隔を指定しなかった場合、再認証を試行する間隔は 3600 秒になります。
自動 802.1x クライアント再認証はグローバルな設定で、個々のポートに接続されたクライアントに設定することはできません。
クライアントの定期的な再認証をイネーブルにし、再認証を試行する間隔(秒)を設定するには、特権 EXEC モードから次の手順を実行します。
手順の概要
1. configure terminal
2. dot1x re-authentication
3. dot1x timeout re-authperiod seconds
4. end
5. show dot1x
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
dot1x re-authentication
Router(config)#dot1x re-authentication
|
クライアントの定期的な再認証をイネーブルにします。デフォルトではディセーブルに設定されています。 |
ステップ 3 |
dot1x timeout re-authperiod seconds
Router(config)#dot1x timeout re-authperiod seconds
|
再認証の間隔(秒)を設定します。 指定できる範囲は 1 ~ 4294967295 で、デフォルトは 3600 です。 このコマンドがスイッチの動作に影響を与えるのは、定期的再認証がイネーブルに設定されている場合だけです。 |
ステップ 4 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 5 |
show dot1x
|
入力を確認します。 |
定期的な再認証をディセーブルにするには、グローバル コンフィギュレーション モードで no dot1x re-authentication コマンドを使用します 。再認証が行われるまでの間隔をデフォルトの秒数に戻すには、 no dot1x timeout re-authperiod グローバル コンフィギュレーション コマンドを使用します。
待機時間の変更
スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、その後再び認証を試みます。このアイドル時間は、待機時間の値によって決定されます。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することで、ユーザへの応答時間を短くすることができます。
待機時間を変更するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. dot1x timeout quiet-period seconds
3. end
4. show dot1x
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
dot1x timeout quiet-period seconds
Router(config)#dot1x timeout quiet-period seconds
|
クライアントとの認証のやり取りに失敗した場合に、スイッチが待機状態のままでいる秒数を設定します。 指定できる範囲は 0 ~ 65535 で、デフォルトは 60 です。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
show dot1x
|
入力を確認します。 |
デフォルトの待機時間に戻すには、グローバル コンフィギュレーション モードで no dot1x timeout quiet-period コマンドを使用します 。
スイッチからクライアントへの再送信時間の変更
クライアントはスイッチからの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。スイッチはこの応答を受信しなかった場合、一定期間(再送信時間と呼ばれる)待機した後フレームを再送信します。
(注) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
スイッチがクライアントからの通知を待機する時間を変更するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. dot1x timeout tx-period seconds
3. end
4. show dot1x
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
dot1x timeout tx-period seconds
Router(config)#dot1x timeout tx-period 40
|
要求を再送信するまでに、スイッチがクライアントからの EAP-Request/Identity フレームに対する応答を待機する秒数を設定します。 指定できる範囲は 1 ~ 65535 で、デフォルトは 30 です。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
show dot1x
|
入力を確認します。 |
デフォルトの再送信時間に戻すには、グローバル コンフィギュレーション モードで no dot1x timeout tx-period コマンドを使用します 。
スイッチからクライアントへのフレーム再送信回数の設定
スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントに EAP-Request/Identity フレームを送信する回数を変更できます。
(注) このコマンドのデフォルト値の変更は、信頼性のないリンクや特定のクライアントおよび認証サーバの特殊な動作問題など、異常な状況を調整する場合だけ行うようにしてください。
スイッチからクライアントへのフレーム再送信回数を設定するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. dot1x max-req count
3. end
4. show dot1x
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
dot1x max-req count
Router(config)#dot1x max-req 3
|
スイッチが認証処理を再開するまでに、クライアントへ EAP 要求/アイデンティティ フレームを送信する回数を変更できます。指定できる範囲は 1 ~ 10 です。デフォルトは 2 です。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
show dot1x
|
入力を確認します。 |
デフォルトの再送信番号に戻すには、グローバル コンフィギュレーション モードで no dot1x max-req コマンドを使用します。
複数ホストのイネーブル化
単一の 802.1x 対応ポートに複数のホストを接続することができます。このモードでは、接続されたホストのうち 1 つが認証に成功すれば、すべてのホストがネットワーク アクセスを許可されます。ポートが無許可になると(再認証に失敗し、EAPOL ログオフ メッセージを受信した)、接続されたすべてのクライアントはネットワークに対するアクセスを拒否されます。
dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている 802.1x 許可ポート上で、複数のホスト(クライアント)を許可するには、特権 EXEC モードで次の手順を実行します。
ポートで複数のホストをディセーブルにするには、インターフェイス コンフィギュレーション モードで no dot1x multiple-hosts コマンドを使用します。
手順の概要
1. configure terminal
2. interface type 0/slot/port
3. dot1x multiple-hosts
4. end
5. show dot1x interface type 0/slot/port
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
インターフェイス コンフィギュレーション モードを開始し、複数のホストを間接的に接続するインターフェイスを指定します。 |
ステップ 3 |
dot1x multiple-hosts
Router(config-if)#dot1x multiple-hosts
|
単一の 802.1x 許可ポートで複数のホスト(クライアント)を許可することができます。 指定したインターフェイスで dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。 |
ステップ 4 |
|
特権 EXEC モードに戻ります。 |
ステップ 5 |
show dot1x interface type 0/slot/por
Router#show dot1x interface type 0/1/2
|
入力を確認します。 |
IEEE 802.1x 設定をデフォルト値にリセットする方法
単一のコマンドで、802.1x の設定をデフォルト値にリセットできます。
IEEE 802.1x 設定をデフォルト値にリセットするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. dot1x default
3. end
4. show dot1x
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
dot1x default
Router(config)#dot1x default
|
設定可能な 802.1x のパラメータをデフォルト値へリセットします。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
show dot1x
|
入力を確認します。 |
802.1x の統計情報およびステータスの表示
すべてのインターフェイスの 802.1X 統計情報を表示するには、特権 EXEC モードで show dot1x statistics コマンドを使用します。特定のインターフェイスの 802.1x 統計情報を表示するには、特権 EXEC モードで show dot1x statistics interface type 0/slot/port を使用します。
スイッチの 802.1x 管理ステータスおよび動作ステータスを表示するには、特権 EXEC モードで show dot1x を使用します。特定のインターフェイスの 802.1x の管理ステータスおよび動作ステータスを表示するには、特権 EXEC モードで show dot1x interface type 0/slot/port コマンドを 使用します。
スパニングツリーの有効化
スパニングツリーは VLAN 単位で設定できます。スイッチは、VLAN ごと(スパニングツリーが無効な VLAN を除く)に別々のスパニングツリー インスタンスを保持します。
(注) VLAN が作成され、ポートがその VLAN のメンバになると、スパニングツリーはすべての VLAN で、デフォルトでイネーブルになります。
VLAN 単位でスパニングツリーをイネーブルにするには、グローバル コンフィギュレーション モードで spanning-tree vlan vlan_ID コマンドを使用します。
スパニングツリーの確認
スパニングツリーの設定を確認するには、 show spanning-tree vlan を使用します。
Router#show spanning-tree vlan 1
VLAN1 is executing the ieee compatible Spanning Tree protocol
Bridge Identifier has priority 32768, address 0025.451b.b22a
Configured hello time 2, max age 20, forward delay 15
Current root has priority 32768, address 0008.e36d.9f70
Root port is 18 (GigabitEthernet0/1/4), cost of root path is 38
Topology change flag not set, detected flag not set
Number of topology changes 11 last change occurred 02:43:01 ago
from GigabitEthernet0/1/2
Times: hold 1, topology change 35, notification 2
hello 2, max age 20, forward delay 15
Timers: hello 0, topology change 0, notification 0, aging 300
Port 16 (GigabitEthernet0/1/2) of VLAN1 is forwarding
Port path cost 4, Port priority 128, Port Identifier 128.16.
Designated root has priority 32768, address 0008.e36d.9f70
Designated bridge has priority 32768, address 0025.451b.b22a
Designated port id is 128.16, designated path cost 38
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
BPDU: sent 9810, received 1
スパニングツリーのポート プライオリティの設定
インターフェイスのスパニングツリーのポート プライオリティを設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface gigabitethernet 0/slot/port
2. spanning-tree port-priority port_priority
3. spanning-tree vlan vlan_ID port-priority port_priority
4. end
手順の詳細
|
|
|
ステップ 1 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/slot/port
|
設定するインターフェイスを選択します。 |
ステップ 2 |
spanning-tree port-priority port_priority
Router(config-if)#spanning-tree port-priority port_priority
|
インターフェイスのポート プライオリティを設定します。指定できる port_priority 値の範囲は 0 ~ 255 で、8 ずつ増分できます。 デフォルトに戻すには、このコマンドの no 形式を使用します。 |
ステップ 3 |
spanning-tree vlan vlan_ID port-priority port_priority
Router(config-if)#spanning-tree vlan vlan_ID port-priority port_priority
|
インターフェイスの VLAN ポート プライオリティを設定します。指定できる port_priority 値の範囲は 0 ~ 255 で、8 ずつ増分できます。 デフォルトに戻すには、このコマンドの no 形式を使用します。 |
ステップ 4 |
end
|
設定モードを終了します。 |
スパニングツリー ポート プライオリティの確認
スパニングツリー インターフェイスとスパニングツリー ポート プライオリティの設定を確認するには、 show spanning - tree interface コマンドを使用します。
Router#show spanning-tree interface gigabitethernet 0/1/2
Port 16 (GigabitEthernet0/1/2) of VLAN1 is forwarding
Port path cost 4, Port priority 128, Port Identifier 128.16.
Designated root has priority 32768, address 0008.e36d.9f70
Designated bridge has priority 32768, address 0025.451b.b22a
Designated port id is 128.16, designated path cost 38
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
BPDU: sent 9096, received 1
スパニングツリーのポート コストの設定
インターフェイスのスパニングツリーのポート コストを設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface gigabitethernet 0/slot/port
2. spanning-tree cost port_cost
3. spanning-tree vlan vlan_ID cost port_cost
4. end
手順の詳細
|
|
|
ステップ 1 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
設定するインターフェイスを選択します。 |
ステップ 2 |
spanning-tree cost port_cost
Router(config-if)#spanning-tree cost 50
|
インターフェイスのポート コストを設定します。port-cost 値は 1 ~ 65535 の範囲で指定できます。 デフォルトに戻すには、このコマンドの no 形式を使用します。 |
ステップ 3 |
spanning-tree vlan vlan_ID cost port_cost
Router(config-if)#spanning-tree vlan 1 cost 50
|
インターフェイスの VLAN ポート コストを設定します。port-cost 値は 1 ~ 65535 の範囲で指定できます。 デフォルトに戻すには、このコマンドの no 形式を使用します。 |
ステップ 4 |
end
|
設定モードを終了します。 |
ポート コストの計算
ポート コスト値はポートの帯域幅に基づいて計算されます。コスト値には 2 種類のクラスがあります。ショート(16 ビット)値は IEEE 802.1D の仕様で指定され、値の範囲は 1 ~ 65535 です。ロング(32 ビット)値は IEEE 802.1t の仕様で指定され、値の範囲は 1 ~ 200,000,000 です。
ショート ポート コスト値の割り当て
1 ~ 65535 の範囲でショート ポート コストを手動で割り当てることができます。 表 3 に、デフォルトのショート ポート コスト値を示します。
表 3 デフォルトのショート ポート コスト値
|
|
|
10 Mbps |
100 |
100 Mbps |
19 |
1000 Mbps |
4 |
ロング ポート コスト値の割り当て
1 ~ 200,000,000 の範囲でロング ポート コストを手動で割り当てることができます。 表 4 推奨コスト値を示します。
表 4 推奨されるロング ポート コスト値
|
|
|
|
10 Mbps |
2,000,000 |
200,000 ~ 20,000,000 |
100 Mbps |
200,000 |
20,000 ~ 2,000,000 |
1000 Mbps |
20,000 |
2,000 ~ 200,000 |
スパニングツリー ポート コストの確認
スパニングツリーのポート コストの設定を確認するには、 show spanning - tree vlan コマンドを使用します。
Router#show spanning-tree vlan 200
Port 264 (GigabitEthernet0/1/2) of VLAN200 is forwarding
Port path cost 17, Port priority 64, Port Identifier 129.8.
Designated root has priority 32768, address 0010.0d40.34c7
Designated bridge has priority 32768, address 0010.0d40.34c7
Designated port id is 128.1, designated path cost 0
Timers: message age 2, forward delay 0, hold 0
Number of transitions to forwarding state: 1
BPDU: sent 0, received 13513
VLAN のブリッジ プライオリティの設定
VLAN のスパニングツリー ブリッジ プライオリティを設定するには、グローバル コンフィギュレーション モードで spanning-tree vlan vlan_ID priority bridge_priority コマンドを使用します。bridge_priority の値は、1 ~ 65535 の範囲で指定できます。
デフォルトに戻すには、このコマンドの no 形式を使用します。
Router(config)# spanning-tree vlan 1 priority 25
注意 このコマンドの使用には注意してください。ブリッジ プライオリティを変更する場合、ほとんどの状況で
spanning-tree vlan vlan_
ID root primary コマンドおよび
spanning-tree vlan vlan_
ID root secondary コマンドを使用することを推奨します。
VLAN のブリッジ プライオリティの確認
次のように、 show spanning - tree vlan bridge コマンドを使用すると、ブリッジ プライオリティを確認できます。
Router#show spanning-tree vlan 200 bridge brief
Vlan Bridge ID Time Age Delay Protocol
---------------- -------------------- ---- ---- ----- --------
VLAN200 33792 0050.3e8d.64c8 2 20 15 ieee
hello タイムの設定
スパニングツリーの hello 間隔を設定するには、グローバル コンフィギュレーション モードで spanning-tree vlan vlan_ID hello-time hello_time のコマンドを使用します。 hello - time の値は 1 ~ 10 秒の範囲で指定できます。デフォルトに戻すには、このコマンドの no 形式を使用します。
Router(config)# spanning-tree vlan 1 hello-time 5
VLAN の転送遅延時間の設定
スパニングツリーの転送遅延を設定するには、グローバル コンフィギュレーション モードで spanning-tree vlan vlan_ID forward-time forward_time コマンドを使用します。 forward _ time の値は 4 ~ 30 秒の範囲で指定できます。デフォルトに戻すには、このコマンドの no 形式を使用します。
Router(config)# spanning-tree vlan 1 forward-time 4
VLAN の最大エージング タイムの設定
スパニングツリーの最大エージング インターバルを設定するには、グローバル コンフィギュレーション モードで spanning-tree vlan vlan_ID max-age max_age コマンドを使用します。 max _ age の値は 6 ~ 40 秒の範囲で指定できます。デフォルトに戻すには、このコマンドの no 形式を使用します。
Router(config)# spanning-tree vlan 1 max-age 20
ルート ブリッジの設定
EtherSwitch EHWIC は、スイッチに設定されたアクティブな VLAN ごとに別々のスパニングツリー インスタンスを保持します。各インスタンスには、ブリッジ プライオリティおよびブリッジの MAC アドレスで構成されるブリッジ ID が対応付けられます。各 VLAN では、最も小さいブリッジ ID を持つスイッチが VLAN のルート ブリッジになります。
VLAN インスタンスがルート ブリッジになるよう設定するには、ブリッジ プライオリティをデフォルト値(32768)から大幅に小さい値に変更してブリッジが特定の VLAN のルート ブリッジになるようにします。ブリッジ プライオリティを変更するには、 spanning-tree vlan vlan-ID root コマンドを使用します。
スイッチは、各 VLAN について、現在のルート ブリッジのブリッジ プライオリティを確認します。指定された VLAN のブリッジ プライオリティを 8192 に設定することによってスイッチがこの VLAN のルートになる場合は、ブリッジ プライオリティが 8192 に設定されます。
指定された VLAN のルート スイッチのブリッジ プライオリティが 8192 より小さい場合、スイッチはその VLAN のブリッジ プライオリティを、最小のブリッジ プライオリティより 1 だけ小さい値に設定します。
たとえば、ネットワーク内のすべてのスイッチで VLAN 100 のブリッジ プライオリティがデフォルト値の 32768 に設定されている場合、1 台のスイッチで spanning-tree vlan 100 root primary コマンドを入力すると VLAN 100 のブリッジ プライオリティが 8192 に設定され、そのスイッチが VLAN 100 のルート ブリッジになります。
(注) スパニングツリーの各インスタンスのルート ブリッジは、バックボーン スイッチまたはディストリビューション スイッチである必要があります。アクセス スイッチをスパニングツリーのプライマリ ルートとして設定しないでください。
diameter キーワードを使用すると、レイヤ 2 ネットワークの直径(レイヤ 2 ネットワーク内の 2 つの任意のエンド ステーション間にあるブリッジ ホップの最大数)を指定できます。ネットワークの直径を指定すると、スイッチはその直径のネットワークに最適な hello タイム、転送遅延時間、最大エージング タイムを自動的に選択するので、スパニングツリーのコンバージェンス時間が大幅に短縮されます。 hello キーワードを使用して、自動的に計算される hello タイムを上書きできます。
(注) スイッチをルート ブリッジとして設定した後、hello タイム、転送遅延時間、最大エージング タイムを手動で設定することは推奨されません。
スイッチをルートとして設定するには、グローバル コンフィギュレーション モードで spanning-tree vlan vlan_ID root primary [diameter net-diameter [ hello-time seconds ]] コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
スパニングツリーのディセーブル化
VLAN 単位でスパニングツリーをディセーブルにするには、グローバル コンフィギュレーション モードで no spanning-tree vlan vlan_ID コマンドを使用します。
スパニングツリーがディセーブルになっていることを確認
次の例のように show spanning-tree vlan コマンドを使用すると、スパニングツリーがディセーブルになっていることを確認できます。
Router#show spanning-tree vlan 200
Spanning tree instance for VLAN 200 does not exist.
既知の MAC アドレスのトラフィックの許可
MAC アドレスのセキュリティ オプションをイネーブルにするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. mac-address-table secure mac-address gi 0/slot/port [ vlan vlan id ]
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac-address-table secure mac-address gi 0/slot/port [ vlan vlan id ]
Router(config)#mac-address-table secure 0000.0002.0001 gi 0/1/2 vlan 1
|
ポートで MAC アドレスのトラフィックを保護します。 |
ステップ 3 |
end
|
グローバル コンフィギュレーション モードを終了します。 |
MAC アドレス テーブルのセキュリティ オプションの確認
次のように、 show mac - address - table secure コマンドを使用すると、設定を確認できます。
Router#show mac-address-table secure
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0000.0002.0001 Secure 2 GigabitEthernet0/1/2
MAC アドレス テーブルでのスタティック エントリの作成
MAC アドレス テーブルでスタティック エントリを作成するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. mac-address-table static mac-address gi 0/slot/port [ vlan vlan id ]
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac-address-table static mac-address gi 0/slot/port [ vlan vlan id ]
Router(config)#mac-address-table static 0025.451b.b22e gi 0/1/2 vlan 1
|
MAC アドレス テーブルでスタティック エントリを作成します。 |
ステップ 3 |
end
|
グローバル コンフィギュレーション モードを終了します。 |
特権 EXEC モードで show mac-address-table コマンドを使用して設定を確認します。
エージング タイマーの設定
エージング タイマーは、10 ~ 630 秒の範囲で、10 秒間隔で設定できます。
エージング タイマーを設定するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. mac-address-table aging-time 10-1000000
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac-address-table aging-time 10-1000000
Router(config)#mac-address-table aging-time 320
|
MAC アドレスのエージング タイマーを秒単位で設定します。 指定できる時間範囲は 10 ~ 630 です。 |
ステップ 3 |
end
|
設定モードを終了します。 |
注意 エージング タイマーを変更しないでください。エージング タイマーを変更した場合は、EtherSwitch EHWIC が同期しない場合があります。
エージング タイマーの確認
次のように、 show mac - address - table aging - time コマンドを使用すると、MAC アドレス テーブルのエージング タイマーを確認できます。
Router#show mac-address-table aging-time
Mac address aging time 320
SPAN 送信元の設定
SPAN セッションの送信元を設定するには、グローバル コンフィギュレーション モードで monitor session session source { interface type 0/slot/port | vlan vlan_ID [ , | - | rx | tx | both ]} コマンドを使用します。このコマンドは、SPAN セッション、送信元インターフェイスまたは VLAN、監視対象のトラフィックの方向を指定します。
Router(config)#monitor session 1 source interface gigabitethernet 0/1/0
SPAN 宛先の設定
SPAN セッションの宛先を設定するには、グローバル コンフィギュレーション モードで monitor session session destination { interface type 0/slot/port | vlan vlan_ID [ , | - | rx | tx | both ]} コマンドを使用します。
Router(config)#monitor session 1 destination interface gigabitethernet 0/1/1
SPAN セッションの確認
SPAN セッションで設定された送信元と宛先を確認するには、 show monitor session コマンドを使用します。
Router#show monitor session 1
Destination Ports: Gi0/1/1
SPAN セッションからの送信元または宛先の削除
SPAN セッションから送信元または宛先を削除するには、次の例に示すように、グローバル コンフィギュレーション モードで no monitor session session コマンドを使用します。
Router(config)# no monitor session 1
Cisco IP Phone への電源の設定
Cisco IP Phone への電源を管理するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. interface gigabitethernet 0/slot/port
3. power inline auto
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
設定に、特定のギガビット イーサネット インターフェイスを選択します。 |
ステップ 3 |
power inline auto
Router(config-if)#power inline auto
|
Cisco IP フォンにインライン パワーを自動的に供給するようポートを設定します。ポートでのインライン パワーを常時無効にするには、 power inline never コマンドを使用します。 に設定されていない限り、デバイスにインライン パワーを供給しません。 |
最大インライン パワーをポートへ供給する設定
ポートごとのデフォルトの電力制限は 20 ワットです。最大インライン パワーを EHWIC ポートへ供給するよう設定するには、 power inline port max max-wattage コマンドを使用します。
EHWIC 上のポートの最大インライン パワーを設定するには、特権 EXEC モードから次の手順を実行します。
手順の概要
1. configure terminal
2. interface gigabitethernet 0/slot/port
3. power inline port max max-wattage
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface gigabitethernet 0/slot/port
Router(config)#interface gigabitethernet 0/1/3
|
設定に、特定のギガビット イーサネット インターフェイスを選択します。 |
ステップ 3 |
power inline port max max-wattage
Router(config-if)#power inline port max 6300
|
EHWIC ポートに接続されるデバイスの最大電力を設定します。 最大電力は、4,000 ~ 20,000 ミリワットに設定できます。 |
インターフェイスでの電力管理の確認
ポートの電力設定を確認するには、 show power inline コマンドを使用します。
PowerSupply SlotNum. Maximum Allocated Status
----------- -------- ------- --------- ------
INT-PS 0 200.000 32.100 PS GOOD RPS ABSENT
Interface Config Device Powered PowerAllocated State
--------- ------ ------ ------- -------------- -----
Gi0/1/3 auto Cisco On 6.300 Watts PHONE
Gi0/1/2 auto Unknown Off 0.000 Watts NOT_PHONE
Gi0/1/1 auto Unknown Off 0.000 Watts UNKNOWN
Gi0/1/0 auto IEEE-3 On 12.900 Watts PHONE
Gi0/3/7 auto Unknown Off 0.000 Watts NOT_PHONE
Gi0/3/6 auto IEEE-3 On 12.900 Watts PHONE
その時点でデバイスによって実際に使用されている電力を表示するには、 show power inline actual コマンドを使用します。
Router#show power inline actual
-------------------- -----
Gi0/1/3 yes ( 3.599 Watts)
Gi0/1/2 yes ( 5.758 Watts)
Gi0/3/6 yes ( 6.838 Watts)
Ethernet Switch Network Modules with PoE support should be reloaded to function
properly upon PoE Power Supply OIR insertion/removal.
レイヤ 3 インターフェイスでの IP PIM のイネーブル化
レイヤ 3 インターフェイス上で IP マルチキャスト レイヤ 3 スイッチングをイネーブルにする前に、レイヤ 3 インターフェイス上で PIM をイネーブルにする必要があります。
レイヤ 3 インターフェイスで IP PIM を有効にするには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface vlan vlan-id
2. ip pim { dense-mode | sparse-mode | sparse-dense-mode }
手順の詳細
|
|
|
ステップ 1 |
interface vlan vlan-id
Router(config)#interface vlan 1
|
設定するインターフェイスを選択します。 |
ステップ 2 |
ip pim { dense-mode | sparse-mode | sparse-dense-mode }
Router(config-if)#ip pim dense-mode
|
レイヤ 3 インターフェイス上で IP PIM をイネーブルにします。 |
デフォルト モード( sparse-dense-mode )を使用してインターフェイスで PIM を有効する方法の例を示します。
Router(config-if)#ip pim sparse-dense-mode
インターフェイスで PIM スパース モードを有効する方法の例を示します。
Router(config-if)#ip pim sparse-mode
IP マルチキャスト レイヤ 3 スイッチングの要約の確認
(注) show interface statistics コマンドでは、ハードウェア スイッチングされたパケットを確認できません。ソフトウェアでスイッチングされたパケットのみ確認できます。
show ip pim interface count コマンドは、IP PIM インターフェイス上の IP マルチキャスト レイヤ 3 スイッチングのイネーブル ステート、およびそのインターフェイス上で送受信されたパケット数を表示します。
次のように、 show コマンドを使用すると、IP PIM レイヤ 3 インターフェイスの IP マルチキャスト レイヤ 3 スイッチングを確認できます。
ステップ 1 Router#show ip pim interface count
State:* - Fast Switched, D - Distributed Fast Switched
H - Hardware Switching Enabled
Address Interface FS Mpackets In/Out
ステップ 2 Router#show ip mroute count
5 routes using 2728 bytes of memory
4 groups, 0.25 average sources per group
Forwarding Counts:Pkt Count/Pkts per second/Avg Pkt Size/Kilobits per second
Other counts:Total/RPF failed/Other drops(OIF-null, rate-limit etc)
Group:224.9.9.9, Source count:1, Packets forwarded: 0, Packets received: 66
Source:10.0.0.2/32, Forwarding:0/0/0/0, Other:66/0/66
Group:224.10.10.10, Source count:0, Packets forwarded: 0, Packets received: 0
Group:224.0.1.39, Source count:0, Packets forwarded: 0, Packets received: 0
Group:224.0.1.40, Source count:0, Packets forwarded: 0, Packets received: 0
(注) 負のカウントは対応するエントリの出力インターフェイス リストが NULL であることを意味し、フローは引き続きアクティブであることを表します。
ステップ 3 Router#show ip interface vlan 1
Vlan1 is up, line protocol is up
Internet address is 10.0.0.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.1 224.0.0.2 224.0.0.22 224.0.0.13
Outgoing access list is not set
Inbound access list is not set
Local Proxy ARP is disabled
Security level is default
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
BGP Policy Mapping is disabled
IP マルチキャスト ルーティング テーブルの確認
IP マルチキャスト ルーティング テーブルを確認するには、 show ip mroute コマンドを使用します。
Router#show ip mroute 224.10.103.10
IP Multicast Routing Table
Flags:D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
L - Local, P - Pruned, R - RP-bit set, F - Register flag,
T - SPT-bit set, J - Join SPT, M - MSDP created entry,
X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
U - URD, I - Received Source Specific Host Report, Z - Multicast Tunnel,
Y - Joined MDT-data group, y - Sending to MDT-data group
Outgoing interface flags:H - Hardware switched, A - Assert winner
Interface state:Interface, Next-Hop or VCD, State/Mode
(*, 224.10.10.10), 00:09:21/00:02:56, RP 0.0.0.0, flags:DC
Incoming interface:Null, RPF nbr 0.0.0.0
Vlan1, Forward/Sparse-Dense, 00:09:21/00:00:00, H
(注) RPF-MFD フラグは、フローが完全にハードウェアでスイッチングされたことを表します。H フラグは、出力インターフェイスでフローがハードウェア スイッチングされたことを表します。
IGMP スヌーピングのイネーブル化およびディセーブル化
デフォルトでは、IGMP スヌーピングは EtherSwitch EHWIC でグローバルにイネーブルになっています。グローバルにイネーブルまたはディセーブルに設定されている場合、既存のすべての VLAN インターフェイスでもイネーブルまたはディセーブルです。デフォルトでは、IGMP スヌーピングはすべての VLAN で有効ですが、VLAN 単位で有効または有効にすることができます。
グローバルな IGMP スヌーピングは VLAN 単位の IGMP スヌーピング機能よりも優先されます。グローバル スヌーピングがディセーブルの場合、VLAN スヌーピングをイネーブルに設定することはできません。グローバルなスヌーピングが有効な場合、VLAN 単位でスヌーピングを有効または無効にすることができます。
EtherSwitch EHWIC 上で IGMP スヌーピングをグローバルにイネーブルにするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. ip igmp snooping
3. end
4. show ip igmp snooping
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ip igmp snooping
Router(config)#ip igmp snooping
|
既存のすべての VLAN インターフェイスでグローバルに IGMP スヌーピングを有効にします。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
show ip igmp snooping
Router#show ip igmp snooping
|
スヌーピングの設定を表示します。 |
すべての VLAN インターフェイスでグローバルに IGMP スヌーピングを無効にするには、 no ip igmp snooping グローバル コマンドを使用します。
特定の VLAN インターフェイス上で IGMP スヌーピングをイネーブルにするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. ip igmp snooping vlan vlan-id
3. end
4. show ip igmp snooping [ vlan vlan-id ]
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ip igmp snooping vlan vlan-id
Router(config)#ip igmp snooping vlan 1
|
VLAN インターフェイス上で IGMP スヌーピングをイネーブルにします。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
show ip igmp snooping [ vlan vlan-id ]
show ip igmp snooping vlan 1
|
スヌーピングの設定を表示します。 (任意) vlan-id は VLAN 番号です。 |
VLAN インターフェイス上で IGMP スヌーピングをディセーブルにするには、指定された VLAN 番号(vlan1 など)に対してグローバル コンフィギュレーション モードで no ip igmp snooping vlan vlan-id コマンドを使用します。
IGMP 即時脱退処理のイネーブル化
IGMP 即時脱退処理がイネーブルになっている場合、EtherSwitch EHWIC は、ポートで IGMP バージョン 2 脱退メッセージを検出すると、そのポートを IP マルチキャスト グループからただちに削除します。即時脱退処理では、スイッチは脱退メッセージを送信したインターフェイスに対してグループ固有のクエリを送信せずに、転送テーブルからそのインターフェイスを削除できます。即時脱退機能は、VLAN 内の各ポートに単一の受信者しか存在しない場合にのみ使用してください。
IGMP 即時脱退をイネーブルにするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. ip igmp snooping vlan vlan-id immediate-leave
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ip igmp snooping vlan vlan-id immediate-leave
Router(config)#ip igmp snooping vlan 1 immediate-leave
|
VLAN インターフェイスで IGMP 即時脱退処理を有効にします。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
即時脱退処理をディセーブルにするには、ステップ 1 と 2 に従ってインターフェイス コンフィギュレーション モードを開始し、グローバル コンフィギュレーション モードで no ip igmp snooping vlan vlan-id immediate-leave コマンドを使用します。
インターフェイスのグループ加入のスタティックな設定
ポートは通常、IGMP レポート メッセージを通じてマルチキャスト グループに加入しますが、インターフェイスにホストをスタティックに設定することもできます。
マルチキャスト グループのメンバとしてポートを追加するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. ip igmp snooping vlan vlan-id static mac-address interface interface-id
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ip igmp snooping vlan vlan-id static mac-address interface interface-id
Router(config)#ip igmp snooping vlan 1 static 0100.5e02.0203 interface gigabitethernet 0/1/2
|
マルチキャスト グループのメンバとしてポートをスタティックに設定します。 • vlan-id はマルチキャスト グループ VLAN ID です。 • mac-address は、グループ MAC アドレスです。 • interface-id は、メンバ ポートです。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
VLAN の MAC アドレス テーブル エントリを表示するには、特権 EXEC モードで show mac-address-table multicast [ vlan vlan-id ] [ user | igmp-snooping ] [ count ] コマンドを使用します。
マルチキャスト ルータ ポートの設定
マルチキャスト ルータへのスタティックな接続をイネーブルにするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn pim-dvmrp }
3. end
4. show ip igmp snooping [ vlan vlan-id ]
5. show ip igmp snooping mrouter [ vlan vlan-id ]
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn pim-dvmrp }
Router(config)#ip igmp snooping vlan 1 mrouter interface gigabitethernet0/1/2
|
マルチキャスト ルータの VLAN ID(1 ~ 1001)を指定します。 マルチキャスト ルータにインターフェイスを指定します。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
show ip igmp snooping [ vlan vlan-id ]
Router#show ip igmp snooping vlan 1
|
VLAN インターフェイス上で IGMP スヌーピングがイネーブルになっていることを確認します。 |
ステップ 5 |
show ip igmp snooping mrouter [ vlan vlan-id ]
Router#show ip igmp snooping mrouter vlan 1
|
ダイナミックに学習され、手動で設定されたマルチキャスト ルータ インターフェイスの情報を表示します。 |
ポート単位のストーム制御のイネーブル化
ポート単位のストーム制御をイネーブルにするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. interface type 0/slot/port
3. storm-control { broadcast | multicast | unicast } level level-high [ level-low ]
4. storm-control action shutdown
5. end
6. show storm-control [ interface-type interface-number ] [ broadcast | multicast | unicast | history ]
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface type 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。 |
ステップ 3 |
storm-control { broadcast | multicast | unicast } level level-high [ level-low ]
Router(config-if)#storm-control {broadcast | multicast | unicast} level level-high [level-low]
|
ブロードキャスト、マルチキャスト、またはユニキャストに対するポート単位のストーム制御を設定します。 ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限しきい値レベルを指定します。ストーム制御のアクションは、トラフィック使用率がこのレベルに達すると実行されます。 (任意)下限しきい値レベルを指定します。トラフィックがこのレベル未満に低下した場合、通常の送信が再開(処置がフィルタリングの場合)されます。 |
ステップ 4 |
storm-control action shutdown
Router(config-if)#storm-control action shutdown
|
shutdown キーワードを選択すると、ストームの最中にポートが無効になります。 デフォルトでは、トラフィックがフィルタリングされます。 |
ステップ 5 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 6 |
show storm-control [ interface-type interface-number ] [ broadcast | multicast | unicast | history ]
Router#show storm-control gigabitethernet 0/1/2 history
|
入力を確認します。 |
(注) 上限しきい値を超過したトラフィックの種類にかかわらず、その他すべての種類のトラフィックも停止されます。
ポート単位のストーム制御のディセーブル化
ポート単位のストーム制御をディセーブルにするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. interface type 0/slot/port
3. no storm-control {{ broadcast | multicast | unicast } level | action shutdown }
4. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface type 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを入力します。 |
ステップ 3 |
no storm-control {{ broadcast | multicast | unicast } level | action shutdown }
Router(config-if)#no storm-control action shutdown
|
ポート単位のストーム制御またはストーム制御の特定の処置をディセーブルにします。 |
ステップ 4 |
end
|
特権 EXEC モードに戻ります。 |
エントリを確認するには、特権 EXEC モードで show storm-control [ interface-type interface-number ] [ broadcast | multicast | unicast | history ] コマンドを使用します。
フォールバック ブリッジングのデフォルト設定について
表 5 に、フォールバック ブリッジングのデフォルト設定を示します。
表 5 フォールバック ブリッジングのデフォルト設定
|
|
|
ブリッジ グループ |
未定義またはインターフェイスに割り当てられていません。VLAN ブリッジ STP は定義されていません。 |
動的に学習されたステーションに対するスイッチからのフレーム転送 |
イネーブル。 |
ダイナミック エントリのブリッジ テーブル エージング タイム |
300 秒。 |
MAC 層フレーム フィルタリング |
ディセーブル。 |
|
|
スイッチ プライオリティ |
32768 |
インターフェイス プライオリティ |
128 |
インターフェイス パス コスト |
10 Mbps:100
100 Mbps:19
1000 Mbps:4 |
hello BPDU インターバル |
2 秒 |
転送遅延時間 |
20 秒 |
最大アイドル時間 |
30 秒 |
ブリッジ グループの作成
複数の SVI のフォールバック ブリッジングを設定するには、これらのインターフェイスをブリッジ グループに割り当てる必要があります。同じグループ内のすべてのインターフェイスは、同じブリッジ ドメインに属します。各 SVI を割り当てることができるブリッジ グループは 1 つだけです。
ブリッジ グループを作成し、そこにインターフェイスを割り当てるには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. no ip routing
3. bridge bridge-group protocol vlan-bridge
4. interface vlan vlan-id
5. bridge-group bridge-group
6. end
7. show vlan-bridge
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
no ip routing
Router(config)#no ip routing
|
IP ルーティングを無効にします。 |
ステップ 3 |
bridge bridge-group protocol vlan-bridge
Router(config)#bridge 1 protocol vlan-bridge
|
ブリッジ グループ番号を割り当てて、ブリッジ グループで実行する VLAN ブリッジ スパニングツリー プロトコルを指定します。 ibm および dec キーワードはサポートされていません。 bridge-group には、ブリッジ グループ番号を指定します。指定できる範囲は 1 ~ 255 です。 フレームは同じグループ内のインターフェイス間でだけブリッジングされます。 |
ステップ 4 |
interface vlan vlan-id
Router(config)#interface vlan 1
|
インターフェイス コンフィギュレーション モードを開始して、ブリッジ グループを割り当てるインターフェイスを指定します。 インターフェイスには SVI のみ指定できます。SVI とは、 interface vlan vlan-id グローバル コンフィギュレーション コマンドを使用して作成した VLAN インターフェイスです。 これらのポートには IP アドレスを割り当てる必要があります。 |
ステップ 5 |
bridge-group bridge-group
Router(config-if)#bridge-group 1
|
ステップ 3 で作成したブリッジ グループにインターフェイスを割り当てます。 デフォルトでは、インターフェイスはどのブリッジ グループにも割り当てられていません。インターフェイスは 1 つのブリッジ グループにだけ割り当てることができます。 |
ステップ 6 |
end
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
show vlan-bridge
|
(任意)転送モードを確認します。 |
ブリッジ グループを削除するには、 no bridge bridge-group protocol vlan-bridge グローバル コンフィギュレーション コマンドを使用します。ブリッジ グループからインターフェイスを削除するには、インターフェイス コンフィギュレーション モードで no bridge-group bridge-group コマンドを使用します。
ダイナミックに学習したステーションの転送の防止
デフォルトでは、スイッチはダイナミックに学習したステーションのすべてのフレームを転送します。この動作をディセーブルにすると、スイッチは転送キャッシュにスタティックに設定されたアドレスのフレームのみを転送します。
ダイナミックに学習したステーションのフレーム転送をスイッチで防止するには、特権 EXEC モードから、次の手順を実行します。
手順の概要
1. configure terminal
2. no bridge bridge-group acquire
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
no bridge bridge-group acquire
Router(config)#no bridge 1 acquire
|
検出プロセスによってダイナミックに学習したステーションのすべてのフレーム転送の停止をスイッチで有効にして、フレーム転送をスタティックに設定したステーションにのみ限定します。 スイッチは、宛先アドレスが転送キャッシュにスタティックに設定されているフレーム以外のすべてのフレームをフィルタリングします。スタティック アドレスを設定するには、グローバル コンフィギュレーション モードで bridge bridge-group address mac-address { forward | discard } コマンドを使用します。 bridge-group には、ブリッジ グループ番号を指定します。値の範囲は 1 ~ 255 です。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
ダイナミックに学習したステーションへのフレーム転送をスイッチで有効にするには、グローバル コンフィギュレーション モードで bridge bridge-group acquire コマンドを使用します。
ブリッジ テーブルのエージング タイムの設定
スイッチは、ブリッジ テーブルに基づいてフレームの転送、フラッディング、廃棄を行います。ブリッジ テーブルは、スタティックとダイナミックの両エントリを保持します。スタティック エントリはユーザが入力します。ダイナミック エントリはブリッジ学習プロセスによって入力されます。ダイナミック エントリは、エントリが作成された時点か最後に更新された時点から、エージング タイムと呼ばれる指定された期間が経過すると、自動的に削除されます。
スイッチド ネットワークでホストを移動させることが予想される場合、エージング タイムを短くしてスイッチが短時間で変更に対応できるようにします。スイッチド ネットワークのホストが継続的にパケットを送信しない場合、エージング タイムを長くしてダイナミック エントリを長い時間保持し、ホストが再度送信する際にフラッディングが発生する可能性を低減します。
エージング タイムを設定するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. bridge bridge-group aging-time seconds
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
bridge bridge-group aging-time seconds
Router(config)#bridge 1 aging-time 50
|
ダイナミック エントリが作成された時点か最後に更新された時点から、エントリがブリッジ テーブルに保持される時間を指定します。 • bridge-group には、ブリッジ グループ番号を指定します。値の範囲は 1 ~ 255 です。 • seconds には 0 ~ 1000000 の範囲の数値を指定します。デフォルトは 300 です。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
デフォルトのエージング タイム インターバルに戻すには、グローバル コンフィギュレーション モードで no bridge bridge-group aging-time コマンドを使用します。
特定の MAC アドレスによるフレームのフィルタリング
スイッチはフレームを調べて、宛先アドレスに従ってインターネットワークに送信します。スイッチはフレームを送信元のネットワーク セグメントに転送することはありません。ソフトウェアを使用して特定の管理フィルタを設定し、宛先へのパス以外の情報に基づいてフレームをフィルタリングできます。
特定の MAC 層ステーション宛先アドレスでフレームをフィルタリングすることができます。システムでアドレスをいくつ設定してもパフォーマンスが低下することはありません。
MAC 層アドレスでフィルタリングするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. bridge bridge-group address mac-address { forward | discard } [ interface ]
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
bridge bridge-group address mac-address { forward | discard } [ interface ]
Router(config)#bridge 1 address 0025.451b.b22e forward
|
廃棄または転送する MAC アドレスを指定します。 • bridge-group には、ブリッジ グループ番号を指定します。指定できる範囲は 1 ~ 255 です。 • mac-address には、フィルタリング対象の MAC 層宛先アドレスを指定します。 • 指定したインターフェイス宛てのフレームを転送するには、 forward を指定します。フレームを破棄するには、 discard を指定します。 • (任意) interface には、アドレスに到達できるインターフェイスを指定します。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
フレーム転送機能をディセーブルにするには、グローバル コンフィギュレーション モードで no bridge bridge-group address mac-address コマンドを使用します。
スイッチ プライオリティの変更
ルート スイッチの候補が 2 台ある場合に各スイッチのプライオリティをグローバルに設定できます。また、特定のスイッチがルート スイッチとして選択される可能性を設定できます。プライオリティはデフォルトで決定されていますが、変更することができます。
スイッチ プライオリティを変更するには、特権 EXEC モードで次の手順を行います。
手順の概要
1. configure terminal
2. bridge bridge-group priority number
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
bridge bridge-group priority number
Router(config)#bridge 1 priority 50
|
スイッチのプライオリティを変更します。 • bridge-group には、ブリッジ グループ番号を指定します。値の範囲は 1 ~ 255 です。 • number には、0 ~ 65535 の数字を入力します。デフォルトは 32768 です。この値が低いほど、スイッチがルートとして選択される可能性が高くなります。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
このコマンドの no 形式は存在しません。デフォルトの設定に戻すには、グローバル コンフィギュレーション モードで bridge bridge-group priority number コマンドを使用し、優先順位をデフォルト値に設定します。インターフェイスのプライオリティを変更するには、インターフェイス コンフィギュレーション モードで bridge-group priority コマンドを使用します(次の項を参照)。
インターフェイス プライオリティの変更
インターフェイスのプライオリティを変更できます。ルート スイッチの候補が 2 台ある場合、インターフェイス プライオリティを設定して一方が選択されるようにします。インターフェイスのプライオリティ値が低いスイッチが選択されます。
インターフェイス プライオリティを変更するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. interface type 0/slot/port
3. bridge-group bridge-group priority number
4. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface type 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
インターフェイス コンフィギュレーション モードを開始して、プライオリティを設定するインターフェイスを指定します。 |
ステップ 3 |
bridge-group bridge-group priority number
Router(config-if)#bridge-group 1 priority 100
|
インターフェイスのプライオリティを変更します。 • bridge-group には、ブリッジ グループ番号を指定します。値の範囲は 1 ~ 255 です。 • number には、0 ~ 255 の数字を入力します。この値が低いほど、スイッチのインターフェイスがルートとして選択される可能性が高くなります。デフォルトは 128 です。 |
ステップ 4 |
end
|
特権 EXEC モードに戻ります。 |
デフォルト設定に戻すには、インターフェイス コンフィギュレーション モードで bridge-group bridge-group priority number コマンドを使用します。
パス コストの割り当て
各インターフェイスにはパス コストが関連付けされています。規定では、パス コストは 1000/(接続された LAN のデータ速度)の値を Mbps 単位で表したものです。
パス コストを割り当てるには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. interface type 0/slot/port
3. bridge-group bridge-group path-cost cost
4. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface type 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
インターフェイス コンフィギュレーション モードを開始し、パス コストを設定するインターフェイスを指定します。 |
ステップ 3 |
bridge-group bridge-group path-cost cost
Router(config-if)#bridge-group 1 path-cost 5
|
インターフェイスのパス コストを割り当てます。 • bridge-group には、ブリッジ グループ番号を指定します。値の範囲は 1 ~ 255 です。 • cost には、1 ~ 65536 の数字を入力します。値が大きいほど、コストは大きくなります。 – 10 Mbps の場合、デフォルトのパス コストは 100 です。 – 100 Mbps の場合、デフォルトのパス コストは 19 です。 – 1000 Mbps の場合、デフォルトのパス コストは 4 です。 |
ステップ 4 |
end
|
特権 EXEC モードに戻ります。 |
デフォルトのパス コストに戻すには、インターフェイス コンフィギュレーション モードで no bridge-group bridge-group path-cost cost コマンドを使用します。
BPDU インターバルの調整
ここでは、BPDU インターバルを調整する手順について説明します。
• 「hello BPDU インターバルの調整」
• 「転送遅延時間の変更」
• 「最大アイドル時間の変更」
(注) スパニングツリーの各スイッチには、個々の設定に関係なく、ルート スイッチの hello BPDU インターバル、転送遅延時間、および最大アイドル時間パラメータが採用されています。
hello BPDU インターバルの調整
hello BPDU インターバルを調整するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. bridge bridge-group hello-time seconds
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
bridge bridge-group hello-time seconds
Router(config)#bridge bridge-group hello-time seconds
|
hello BPDU 間のインターバルを指定します。 • bridge-group には、ブリッジ グループ番号を指定します。値の範囲は 1 ~ 255 です。 • seconds には、1 ~ 10 の数字を入力します。デフォルトは 2 秒です。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
デフォルト設定に戻すには、 no bridge bridge-group hello-time グローバル コンフィギュレーション コマンドを使用します。
転送遅延時間の変更
転送遅延インターバルは、スイッチング用にインターフェイスがアクティブになってから実際に転送が開始されるまでの間に、トポロジ変更情報を待機する時間です。
転送遅延時間を変更するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. bridge bridge-group forward-time seconds
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
bridge bridge-group forward-time seconds
Router(config)#bridge 1 forward-time 12
|
転送遅延インターバルを指定します。 • bridge-group には、ブリッジ グループ番号を指定します。値の範囲は 1 ~ 255 です。 • seconds には 10 ~ 200 の範囲の数値を指定します。デフォルトは 20 秒です。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
デフォルト設定に戻すには、グローバル コンフィギュレーション モードで no bridge bridge-group forward-time seconds コマンドを使用します。
最大アイドル時間の変更
スイッチがルート スイッチからの BPDU を指定されたインターバル内で受信しなかった場合、スパニングツリー トポロジが再度計算されます。
最大アイドル時間(最大エージング タイム)を変更するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. bridge bridge-group max-age seconds
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
bridge bridge-group max-age seconds
Router(config)#bridge 1 max-age 50
|
スイッチがルート スイッチからの BPDU の受信を待機するインターバルを指定します。 • bridge-group には、ブリッジ グループ番号を指定します。値の範囲は 1 ~ 255 です。 • seconds には 10 ~ 200 の範囲の数値を指定します。デフォルトは 30 です。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
デフォルトの設定に戻すには、グローバル コンフィギュレーション モードで no bridge bridge-group max-age コマンドを使用します。
インターフェイスでのスパニングツリーのディセーブル化
2 つの任意のスイッチング サブネットワーク間にループのないパスが存在する場合は、一方のスイッチング サブネットワークで生成された BPDU の影響が他方のサブネットワーク内のデバイスに及ばないようにできます(ただし、ネットワーク全体に及ぶスイッチングは可能です)。たとえば、スイッチング LAN サブネットワークが WAN によって分離されている場合は、BPDU の WAN リンク間移動を禁止できます。
インターフェイス上でスパニングツリーをディセーブルするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. interface type 0/slot/port
3. bridge-group bridge-group spanning-disabled
4. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface type 0/slot/port
Router(config)#interface gigabitethernet 0/1/2
|
インターフェイス コンフィギュレーション モードを開始し、インターフェイス ID を指定します。 |
ステップ 3 |
bridge-group bridge-group spanning-disabled
Router(config-if)#bridge-group 1 spanning-disabled
|
インターフェイスでスパニングツリーを無効にします。 bridge-group には、ブリッジ グループ番号を指定します。指定できる範囲は 1 ~ 255 です。 |
ステップ 4 |
end
|
特権 EXEC モードに戻ります。 |
インターフェイスでスパニングツリーを再びイネーブルにするには、インターフェイス コンフィギュレーション モードで no bridge-group bridge-group spanning-disabled コマンドを使用します。
ネットワークのモニタリングとメンテナンス
ネットワークのモニタリングとメンテナンスを行うには、特権 EXEC モードで次の 1 つ以上のコマンドを使用します。
|
|
|
clear bridge bridge-group |
転送データベースから学習したエントリをすべて削除し、統計情報用に設定されたすべてのエントリの送受信カウントをクリアします。 |
show bridge [ bridge-group ] [ interface ] [ address ] [ group ] [ verbose ] |
ブリッジ転送データベース内のエントリのクラスを表示します。 |
音声とデータ用の個別のサブネットの設定
ネットワーク管理の簡易化とスケーラビリティの向上のために、ネットワーク管理者は Cisco Gigabit EtherSwitch EHWIC で Cisco IP フォンをサポートするよう設定して、音声トラフィックとデータ トラフィックが別々のサブネットに属するようにできます。ブランチ オフィスの既存の IP アドレス空間を分割できる場合は、常に別々の VLAN を使用してください。
802.1Q 標準ヘッダーの 802.1p 部分のユーザ プライオリティ ビットを使用してイーサネット スイッチでの優先順位付けが行われます。これは Cisco AVVID ネットワークを設計するうえで不可欠なコンポーネントです。
Cisco Gigabit EtherSwitch EHWIC は、ブランチ オフィス アプリケーション向けに、Cisco IOS ソフトウェアのパフォーマンスとインテリジェント サービスを提供します。Cisco Gigabit EtherSwitch EHWIC は、音声やマルチキャスト ビデオなどのユーザ アプリケーションを識別して、適切なプライオリティ レベルに応じてトラフィックを分類できます。
(注) Cisco AVVID ソリューションを展開する際にエンドツーエンドの QoS を実装する方法の詳細については、『Cisco AVVID QoS Design Guide』を参照してください。
ポート単位で音声 VLAN ID(VVID)の音声トラフィックを送信するように Cisco IP Phone を自動的に設定するには、特権 EXEC モードで次の手順を実行します(「音声トラフィックと VVID」を参照)。
手順の概要
1. enable
2. configure terminal
3. interface type 0/slot/port
4. switchport mode trunk
5. switchport voice vlan vlan-id
6. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードを開始します。このモードを開始するには、事前設定されたパスワードが必要な場合があります。 |
ステップ 2 |
configure terminal
Router#configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface type 0/slot/port
Router(config)#interface gigabitethernet 0/3/1
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを指定します。 |
ステップ 4 |
switchport mode trunk
Router(config-if)#switchport mode trunk |
ポートをトランク モードに設定します。 |
ステップ 5 |
switchport voice vlan vlan-id
Router(config-if)#switchport voice vlan 1 |
音声トラフィックのみに使用されるポートに VVID を設定します。 |
ステップ 6 |
end
|
特権 EXEC モードに戻ります。 |
音声トラフィックと VVID
Cisco Gigabit EtherSwitch EHWIC は音声 VLAN を自動的に設定できます。この機能によって、データ ネットワーク上にオーバーレイ音声トポロジを構成することで管理が複雑化するのを避けることができると同時に、音声トラフィックの品質を保つことができます。音声 VLAN 機能が自動的に設定されるので、データと音声のインフラストラクチャが物理的には同じでも、ネットワーク管理者は電話を個別の論理ネットワークに分離することができます。電話は音声 VLAN 機能によって自動的にそれぞれの VLAN に配置されます。ユーザがスイッチに電話を接続すると、スイッチによって電話に必要な VLAN 情報が提供されます。
音声とデータ用の単一サブネットの設定
IP テレフォニーを段階的に導入するネットワーク設計の場合、ネットワーク管理者は音声トラフィックとデータ トラフィックが同じサブネットに共存するよう Cisco Gigabit EtherSwitch EHWIC を設定できます。これは、リモート ブランチで IP Phone のために追加の IP サブネットを割り当てること、または既存の IP アドレス空間を追加のサブネットに分割することが現実的でない場合に必要になることがあります。ブランチ オフィスには、単一の IP アドレス空間を使用する必要がある場合があります。(これは、IP テレフォニーを導入する簡単な方法の 1 つです)。
この設定方法を使用する場合、2 つの主要な事項を考慮する必要があります。
• ネットワーク管理者は、既存のサブネットで新しい Cisco IP フォン用に利用できる IP アドレスが足りているかを確認してください。各 IP フォンに固有の IP アドレスが必要です。
• IP フォンとワークステーションが同じサブネットに混在するネットワークを管理するのは困難な場合があります。
同じ VLAN で音声とデータ トラフィックを送信するよう Cisco IP フォンを自動的に設定するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. interface type 0/slot/port
3. switchport access vlan vlan-id
4. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface type 0/slot/port
Router(config)#interface gigabitethernet 0/3/1
|
インターフェイス コンフィギュレーション モードを開始し、設定するポートを指定します。 |
ステップ 3 |
switchport access vlan vlan-id
Router(config-if)#switchport access vlan 1
|
タグ付けされていないトラフィック用のネイティブ VLAN を設定します。 vlan - id の値は、タグ付けされていないトラフィックをポートで送受信する VLAN の ID を表します。有効な ID の範囲は 1 ~ 1001 です。ゼロを先頭に指定することはできません。 |
ステップ 4 |
end
Router(config-if)# end |
特権 EXEC モードに戻ります。 |
スイッチポートの設定の確認
スイッチポートの設定を確認するには、 show run interface コマンドを使用します。
Router#show run interface gigabitethernet 0/3/1
現在の設定をフラッシュ メモリに保存するには、 write memory コマンドを使用します。
トラップ マネージャの追加
トラップ マネージャは、トラップを受信して処理する管理ステーションです。トラップ マネージャを設定する場合、コミュニティ ストリングは各メンバ スイッチに固有のものにする必要があります。メンバ スイッチに IP アドレスが割り当てられている場合、管理ステーションは割り当てたれた IP アドレスを使用してスイッチにアクセスします。
デフォルトではトラップ マネージャは定義されておらず、トラップは発行されません。
トラップ マネージャとコミュニティ ストリングを追加するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. snmp-server host { hostname | ip-address } traps version 1 community string
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
snmp-server host { hostname | ip-address } traps version 1 community string
Router(config)#snmp-server host 172.2.128.263 traps version 1 snmp vlan-membership
|
トラップ マネージャの IP アドレス、コミュニティ ストリング、生成するトラップを指定します。 |
ステップ 3 |
end
Router(config)#end |
特権 EXEC モードに戻ります。 |
トラップ マネージャの確認
情報が入力されたことを確認するには、特権 EXEC モードで show running - config コマンドを使用します。
スイッチへの IP 情報の割り当て
BOOTP サーバを使用してスイッチに自動的に IP 情報を割り当てることができます。ただし、事前に BOOTP サーバに物理 MAC アドレスと対応する IP アドレス、サブネット マスク、デフォルト ゲートウェイ アドレスのデータベースを設定する必要があります。また、スイッチがポートの 1 つで BOOTP サーバにアクセスできるようにする必要があります。IP アドレスが割り当てられていないスイッチは起動時に BOOTP サーバからの情報を要求します。要求した情報はスイッチの実行コンフィギュレーション ファイルに保存されます。スイッチの再起動後にも IP 情報が保存されているようにするには、特権 EXEC モードで write memory コマンドを入力して設定を保存します。
これらのフィールドの情報は変更できます。マスクは IP アドレス内でネットワーク番号を示すビットを識別します。マスクを使用してネットワークをサブネット化した場合、そのマスクはサブネット マスクと呼ばれます。ブロードキャスト アドレスはすべてのホストにメッセージを送信するために予約されています。CPU は、未知の IP アドレスへのトラフィックはデフォルト ゲートウェイを介して送信します。
IP 情報を入力するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. interface vlan vlan-id
3. ip address ip-address subnet-mask
4. exit
5. ip default-gateway ip-address
6. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface vlan vlan-id
Router(config)#interface vlan 1
|
インターフェイス コンフィギュレーション モードを開始して、IP 情報が割り当てられている VLAN を指定します。 VLAN 1 は管理 VLAN ですが、ID が 1 ~ 1001 の任意の VLAN を設定できます。 |
ステップ 3 |
ip address ip-address subnet-mask
Router(config-if)#
ip address 192.108.1.27 255.255.255.0
|
IP アドレスとサブネット マスクを入力します。 |
ステップ 4 |
exit
|
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 5 |
ip default-gateway ip-address
Router#ip default-gateway 192.31.7.18
|
デフォルト ルータの IP アドレスを入力します。 |
ステップ 6 |
end
|
特権 EXEC モードに戻ります。 |
スイッチから IP 情報を削除するには、次の手順を実行します。
(注) コンフィギュレーション モードで no ip address コマンドを使用すると、IP プロトコル スタックが無効になり、IP 情報が削除されます。IP アドレスが割り当てられていないクラスタ メンバは、有効な IP プロトコル スタックを利用します。
IP アドレスを削除するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface vlan vlan-id
2. no ip address
3. end
手順の詳細
|
|
|
ステップ 1 |
interface vlan vlan-id
Router(config)#
interface vlan 1
|
インターフェイス コンフィギュレーション モードを開始して、IP 情報が割り当てられている VLAN を指定します。 VLAN 1 は管理 VLAN ですが、ID が 1 ~ 1001 の任意の VLAN を設定できます。 |
ステップ 2 |
no ip address
Router(config-subif)#
no ip address
|
IP アドレスとサブネット マスクを削除します。 |
ステップ 3 |
end
Router(config-subif)#
end
|
特権 EXEC モードに戻ります。 |
注意 Telnet セッションを使用して IP アドレスを削除する場合、スイッチとの接続が切断されます。
ドメイン名の指定と DNS の設定
固有の IP アドレスそれぞれには、ホスト名を関連付けることができます。Cisco IOS ソフトウェアは EC モードと関連する Telnet サポート操作を維持します。このキャッシュにより、名前とアドレスの変換プロセスが高速化されます。
IP によって定義される階層型の命名方式では、デバイスを場所またはドメインで特定できます。ドメイン名は、ピリオド(.)を区切り文字として使用して構成されています。たとえば、シスコは、IP では com ドメイン名で識別される民間組織です。このためドメイン名は cisco.com です。このドメイン内の特定のデバイスは、 ftp.cisco.com (たとえば FTP システムの場合)のように識別されます。
ドメイン名を特定するために、IP はドメイン ネーム サーバ(DNS)の概念を定義しました。その目的は、IP アドレスにマッピングされた名前のキャッシュ(またはデータベース)を保持することです。名前を IP アドレスにマッピングするためには、まずホスト名を特定してからネーム サーバを指定して DNS を有効にします。DNS は、ネットワーク デバイスを一意に識別する、インターネットのグローバルな命名体系です。
ドメイン名の指定
ソフトウェアがドメイン名要求を完了するために使用されるデフォルト ドメイン名を指定できます。単一のドメイン名またはドメイン名のリストを指定できます。ドメイン名を指定すると、ドメイン名を持たないすべての IP ホスト名は、ドメイン名が付加されてからホスト テーブルに追加されます。
ネーム サーバの指定
DNS の名前情報を提供するネーム サーバとして機能するホストを 6 台まで指定できます。
DNS の有効化
ネットワーク デバイスで、名前の割り当てを制御しないネットワークのデバイスとの接続が必要な場合、インターネットワーク全体でデバイスを一意に識別するデバイス名を割り当てることができます。インターネットのグローバルな命名体系である DNS によってこの作業が行われます。このサービスはデフォルトでイネーブルにされています。
SPAN の有効化
特定のポートの送受信トラフィックを同じ VLAN 内の別のポートに転送することで、そのポートのトラフィックを監視できます。スイッチ ポート アナライザ(SPAN)ポートは別の VLAN 内のポートを監視することはできません。また、SPAN ポートはスタティック アクセス ポートである必要があります。任意の数のポートを SPAN ポートとして定義でき、任意のポートの組み合わせを監視できます。SPAN は最大で 2 つのセッションでサポートされます。
SPAN をイネーブルにするには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure termina l
2. monitor session session-id { destination | source } { interface type 0/slot/port | vlan vlan-id } [ , | - | both | tx | rx ]
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
monitor session session-id { destination | source } { interface type 0/slot/port | vlan vlan-id } [ , | - | both | tx | rx ]
Router(config)# monitor session 1 destination interface gigabitethernet 0/1/2
|
特定のセッション(セッション番号)のポート モニタリングを有効にします。(任意)SPAN 宛先インターフェイスまたは送信元インターフェイスを指定します。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
SPAN をディセーブルにするには、グローバル コンフィギュレーション モードで no monitor session session-id コマンドを使用します。
ARP テーブルの管理
(たとえばイーサネットで)デバイスと通信するには、ソフトウェアがまずそのデバイスの 48 ビットの MAC アドレスまたはローカル データリンク アドレスを特定する必要があります。IP アドレスからローカル データリンク アドレスを特定するプロセスは、 アドレス解決 と呼ばれています。
アドレス解決プロトコル(ARP)は、ホストの IP アドレスを対応するメディアまたは MAC アドレスと VLAN ID に関連付けます。IP アドレスを入力として、関連付けされた MAC アドレスが ARP によって特定されます。MAC アドレスが特定されると、IP と MAC アドレスとの対応を ARP キャッシュに格納し、すばやく検索できるようにします。その後、IP データグラムがリンク層フレームにカプセル化され、ネットワークを通じて送信されます。イーサネット以外の IEEE 802 ネットワークにおける IP データグラムのカプセル化および ARP 要求/応答については、サブネットワーク アクセス プロトコル(SNAP)で規定されています。IP インターフェイスでは、標準的なイーサネット形式の ARP カプセル化( arpa キーワードで表される)がデフォルトでイネーブルに設定されています。
CLI を使用して ARP テーブルに手動でエントリを追加する場合、これらのエントリに有効期限がなく、手動で削除する必要があることに注意してください。
MAC アドレス テーブルの管理
ここでは、Cisco Gigabit EtherSwitch EHWIC で MAC アドレス テーブルを管理する方法について説明します。この項では次のトピックについて説明します。
• 「MAC アドレスと VLAN について」
• 「アドレス エージング タイムの変更」
• 「エージング タイムの設定」
• 「エージング タイムの設定の確認」
スイッチでは、ポート間でのトラフィックの転送に MAC アドレス テーブルを使用します。アドレス テーブル内の MAC アドレスはすべて 1 つまたは複数のポートに関連付けされています。これらの MAC テーブルには、次の種類のアドレスが含まれています。
• ダイナミック アドレス:スイッチが学習する送信元 MAC アドレスで、使用されない場合は廃棄されます。
• セキュア アドレス:手動で入力されたユニキャスト アドレスで、通常はセキュア ポートに関連付けられています。セキュア アドレスには有効期限がありません。
• スタティック アドレス:手動で入力されたユニキャストまたはマルチキャスト アドレスで、有効期限はなく、スイッチのリセット時にも消去されません。
アドレス テーブルには、宛先 MAC アドレスおよび関連付けされた VLAN ID、モジュール、アドレスに関連付けされたポート番号の一覧が表示されます。ダイナミック、セキュア、またはスタティック アドレス テーブルで表示されるアドレスの一覧の例を示します。
Router#show mac-address-table
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
000a.000b.000c Secure 1 GigabitEthernet0/1/2
000d.e105.cc70 Self 1 Vlan1
00aa.00bb.00cc Static 1 GigabitEthernet0/1/0
MAC アドレスと VLAN について
アドレスはすべて、VLAN と対応付けられます。1 つのアドレスを複数の VLAN に対応付け、それぞれで異なる宛先を設定できます。たとえば、マルチキャスト アドレスは、VLAN 1 のポート 1 と、VLAN 5 のポート 9、10、11 に転送できます。
VLAN ごとに、独自の論理アドレス テーブルが維持されます。ある VLAN で認識されているアドレスが別の VLAN で認識されるには、別の VLAN 内のポートによって学習されるか、または別の VLAN 内のポートにスタティックに対応付けられる必要があります。アドレスは、ある VLAN ではセキュアで、別の VLAN ではダイナミックの場合があります。ある VLAN でスタティックに入力されたアドレスは、他のすべての VLAN でもスタティック アドレスである必要があります。
アドレス エージング タイムの変更
ダイナミック アドレスは、スイッチが学習する送信元 MAC アドレスで、使用されない場合は廃棄されます。[Aging Time] フィールドを使用して、スイッチがテーブル内で使用されていないアドレスを保持する期間を定義します。このパラメータはすべての VLAN に適用されます。
エージング タイムの設定
エージング タイムを短く設定しすぎると、アドレスが活用されないままテーブルから削除される可能性があります。スイッチは宛先が不明のパケットを受信すると、受信ポートと同じ VLAN 内のすべてのポートに、そのパケットをフラッディングさせます。この不必要なフラッディングによって、パフォーマンスに悪影響を及ぼす可能性があります。エージング タイムを長くしすぎると、アドレス テーブルが使用されないアドレスで埋められる場合があります。その場合、ワークステーションを新しいポートに移動すると接続の確立に遅れが生じることがあります。
エージング タイマーは、10 ~ 630 秒の範囲で、10 秒間隔で設定できます。
ダイナミック アドレス テーブルのエージング タイムを設定するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. mac-address-table aging-time seconds
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router(config)#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac-address-table aging-time seconds
Router(config)#mac-address-table aging-time 300
|
ダイナミック アドレスがアドレス テーブルで保持される秒数を入力します。有効な値の範囲は 10 ~ 1000000 です。 (注) エージング タイマーは、10 ~ 630 秒の範囲で、10 秒間隔で設定できます。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
エージング タイムの設定の確認
設定を確認するには、 show mac-address-table aging-time コマンドを使用します。
Router#show mac-address-table aging-time
Mac address aging time 300
ダイナミック アドレスの削除
ダイナミック アドレス エントリを削除するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. no mac-address-table dynamic hw-addr
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router(config)#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
no mac-address-table dynamic hw-addr
Router(config)#no mac-address-table dynamic 001e.4a96.b8cd
|
ダイナミック MAC アドレス テーブルから削除する MAC アドレスを入力します。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
すべてのダイナミック エントリを削除するには、特権 EXEC モードで clear mac-address-table dynamic コマンドを使用します。
設定を確認するには、特権 EXEC モードで show mac - address - table dynamic コマンドを使用します。
セキュア アドレスの追加
セキュア アドレス テーブルには、セキュア MAC アドレスとアドレスに関連付けされたポートおよび VLAN が含まれます。セキュア アドレスは手動で入力されたユニキャスト アドレスで、VLAN ごとに 1 つのポートにのみ転送されます。すでに別のポートに割り当てられたアドレスを入力した場合、スイッチによってセキュア アドレスは新しいポートに再割り当てされます。
ポートが VLAN に所属していない場合でも、セキュア ポート アドレスを入力できます。後でポートが VLAN に割り当てられると、そのアドレス宛のパケットがポートへ転送されます。
セキュア アドレスを追加するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. mac-address-table secure hw-address interface gi 0/slot/port vlan vlan-id
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router(config)#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac-address-table secure hw-address interface gi 0/slot/port vlan vlan-id
Router(config)#mac-address-table secure 00c0.00a0.03gi interface gi 0/1/2 vlan 1
|
MAC アドレス、アドレスに関連付けされたポート、VLAN ID を入力します。 |
ステップ 3 |
end
|
特権 EXEC モードに戻ります。 |
セキュア アドレスを削除するには、グローバル コンフィギュレーション モードで no mac-address-table secure hw-address interface gi 0/slot/port vlan vlan-id コマンドを使用します。
すべてのセキュア アドレスを削除するには、特権 EXEC モードで clear mac-address-table secure コマンドを使用します。
設定を確認するには、特権 EXEC モードで show mac - address - table secure コマンドを使用します。
スタティック アドレスの設定
スタティック アドレスの特徴は、次のとおりです。
• アドレス テーブルへの追加およびアドレス テーブルからの削除は、手動で行う必要があります。
• ユニキャストまたはマルチキャスト アドレスとして設定できます。
• 期限切れになることはなく、スイッチが再起動しても維持されます。
すべてのポートが最低でも 1 つの VLAN と関連付けされているので、アドレスの VLAN ID を転送マップで選択されたポートから取得します。ある VLAN のスタティック アドレスは、他の VLAN でもスタティック アドレスである必要があります。特定のアドレスがスタティックとして入力されていない VLAN に、そのスタティック アドレスを持つパケットが到着すると、すべてのポートにパケットがフラッディングされ、学習されません。
スタティック アドレスを追加するには、特権 EXEC モードで次の手順を実行します。
手順の概要
1. configure terminal
2. mac-address-table static mac-address vlan vlan-id interface type slot/port
3. end
手順の詳細
|
|
|
ステップ 1 |
configure terminal
Router#configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
mac-address-table static mac-address vlan vlan-id interface type slot/port
Router(config)#mac-address-table static
000a.000b.000c vlan 1 interface gigabitethernet 0/1/2
|
スタティック MAC アドレス、インターフェイス、ポートの VLAN ID を入力します。 |
ステップ 3 |
end
Router(config)#end |
特権 EXEC モードに戻ります。 |
スタティック アドレスを削除するには、グローバル コンフィギュレーション モードで mac-address-table static mac-address vlan vlan-id interface type slot/port コマンドを使用します。
すべてのスタティック アドレスを削除するには、特権 EXEC モードで clear mac-address-table static コマンドを使用します。
スタティック アドレスの確認
設定を確認するには、 show mac - address - table static コマンドを使用します。
Router#show mac-address-table static
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
000a.000b.000c Static 1 GigabitEthernet0/1/2
MAC アドレス テーブルのクリア
MAC アドレス テーブルを削除するには、次の例に示すように、特権 EXEC モードで clear mac-address-table [ dynamic | secure | static ] [ address mac-address ] [ interface type slot/port ] [ vlan vlan-id ] コマンドを使用します。
Router# clear mac-address-table static address 0040.C80A.2F07 interface gigabitethernet 0/1/2
ポート セキュリティの設定
ポート セキュリティには、スタティックなポート セキュリティとダイナミックなポート セキュリティがあります。
スタティックなポート セキュリティでは、指定したスイッチ ポートを通じてアクセスすることを許可する装置を、ユーザが指定できます。指定は、許可する装置の MAC アドレスを MAC アドレス テーブルに格納することで、手動で行います。スタティックなポート セキュリティは、MAC アドレス フィルタリングとも呼ばれます。
ダイナミックなポート セキュリティもこれに似ています。ただし、装置の MAC アドレスを指定する代わりに、ポート上で許可する装置の最大数を指定します。指定した最大数が手動で指定した MAC アドレスの数よりも大きい場合、スイッチは、指定された最大値になるまで、MAC アドレスを自動的に学習します。指定した最大数がスタティックに指定されている MAC アドレスの数よりも小さい場合は、エラー メッセージが生成されます。
スタティックまたはダイナミック ポート セキュリティを指定するには、グローバル コンフィギュレーション モードで mac-address-table secure [ mac-address | maximum maximum addresses ] gigabitethernet 0/slot/port [ vlan vlan id ] コマンドを使用します。 mac-address を指定すると、スタティックなポート セキュリティがイネーブルになります。 maximum maximum addresses を指定すると、ダイナミック ポート セキュリティがイネーブルになります。
フィードバック