レイヤ3プロトコル フィルタリングの機能
レイヤ3プロトコル フィルタリングにより、スイッチ ポート上で特定プロトコルのトラフィック転送を禁止できます。レイヤ3プロトコル フィルタリングは、スーパバイザ エンジン上で実行されます。Policy Feature Card(PFC;ポリシー フィーチャ カード)またはMultilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ カード)が搭載されている必要はありません。ブロードキャストおよびユニキャスト フラッディング トラフィックは、異なるプロトコル グループ間でのポートのメンバーシップに基づいてフィルタリングされます。このフィルタリングは、ポートVLAN(仮想LAN)メンバーシップによるフィルタリングに追加されます。レイヤ3プロトコル フィルタリングは、非トランクのイーサネット ポート、ファスト イーサネット ポート、およびギガビット イーサネット ポート上でのみサポートされています。
トランキング ポートは常に、すべてのプロトコル グループのメンバーになります。他のネットワーキング装置との互換性の問題を避けるため、レイヤ3プロトコル フィルタリングはトランク ポート上では実行されません。Spanning-Tree Protocol(STP;スパニングツリー プロトコル)、Cisco Discovery Protocol(CDP)などのレイヤ2プロトコルは、レイヤ3プロトコル フィルタリングの影響を受けません。ダイナミック ポートおよびポート セキュリティがイネーブルになっているポートは、すべてのプロトコル グループのメンバーになります。
各プロトコル グループについて、 on 、 off 、 auto のいずれかのモードでポートを設定できます。
on に設定した場合、そのプロトコルに対応するすべてのフラッディング トラフィックが受信されます。 off に設定した場合は、そのプロトコルに対応するフラッディング トラフィックは一切受信されません。
auto に設定した場合、ポートがグループに追加されるのは、指定したプロトコルのパケットがそのポートで受信されたあとです。 自動学習機能を使用した場合、ポートがプロトコル グループのメンバーになるのは、そのポートに接続された装置から対応するプロトコルのパケットを受信したあとです。 自動設定されたポート は、そのプロトコルに対応するパケットを60分以内に受信しなかった場合、プロトコル グループから削除されます。また、スーパバイザ エンジンにより、ポート上のリンク ダウンが検出された場合も、ポートはプロトコル グループから削除されます。
たとえば、IPとInternetwork Packet Exchange(IPX)の両方をサポートするホストをスイッチ ポートに接続し、ポートのIPX処理を auto に設定した場合でも、ホストからの送信がIPトラフィックだけであれば、ホストの接続先ポートからホストに対してIPXフラッディング トラフィックは転送されません。ただし、ホストがIPXパケットを送信すると、スーパバイザ エンジン ソフトウェアによりプロトコル トラフィックが検出され、ポートがIPXグループに追加されるので、ポートはIPXフラッディング トラフィックを受信できるようになります。60分以上、ホストからIPXトラフィックが送信されない場合、ポートはIPXプロトコル グループから削除されます。
デフォルトでは、ポートはIPプロトコル グループに関して on に設定されます。IPに関して auto を設定するのは、一般に、ポートに直接接続されたエンド ステーションがある場合だけです。IPXおよびグループに関するデフォルト ポート設定は、 auto です。
レイヤ3プロトコル フィルタリングがイネーブルになっている場合、ポートはプロトコルに基づいて識別されます。ポートは、1つまたは複数のプロトコル グループのメンバーにすることができます。各プロトコル グループのフラッディング トラフィックが転送されるのは、適切なプロトコル グループに属しているポートからだけです。
パケットは次のプロトコル グループに分類されます。
• IP
• IPX
• AppleTalk、DECnet、およびBanyan VINES( group モード)
• 上記のどのプロトコルにも属さないパケット
レイヤ3プロトコル フィルタリングのデフォルト設定
表34-1 に、レイヤ3プロトコル フィルタリングのデフォルト設定を示します。
表34-1 レイヤ3プロトコル フィルタリングのデフォルト設定
|
|
レイヤ3プロトコル フィルタリング |
ディセーブル |
ip モード |
on |
ipx モード |
auto |
group モード |
auto |
スイッチ上でのレイヤ3プロトコル フィルタリングの設定
ここでは、イーサネット タイプのVLANおよびすべてのタイプのイーサネット ポート上でレイヤ3プロトコル フィルタリングを設定する方法について説明します。
• 「レイヤ3プロトコル フィルタリングのイネーブル化」
• 「レイヤ3プロトコル フィルタリングのディセーブル化」
レイヤ3プロトコル フィルタリングのイネーブル化
(注) プロトコル フィルタリングは、イーサネットVLANおよび非トランキングEtherChannelポート上でのみサポートされています。set protocolfilterコマンドは、Network Analysis Module(NAM;ネットワーク解析モジュール)、Supervisor Engine 720、またはSupervisor Engine 32でサポートされていません。
イーサネット ポート上でレイヤ3プロトコル フィルタリングをイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
スイッチ上でレイヤ3プロトコル フィルタリングをイネーブルにします。 |
set protocolfilter enable |
ステップ 2 |
該当するポートのプロトコル メンバーシップを設定します。 |
set port protocol mod/port { ip | ipx | group } { on | off | auto } |
ステップ 3 |
ポート フィルタリングの設定を確認します。 |
show port protocol [ mod [ /port ]] |
次に、レイヤ3プロトコル フィルタリングをイネーブルにし、ポートのプロトコル メンバーシップを設定し、設定を確認する例を示します。
Console> (enable) set protocolfilter enable
Protocol filtering enabled on this switch.
Console> (enable) set port protocol 7/1-4 ip on
IP protocol set to on mode on ports 7/1-4.
Console> (enable) set port protocol 7/1-4 ipx off
IPX protocol disabled on ports 7/1-4.
Console> (enable) set port protocol 7/1-4 group auto
Group protocol set to auto mode on ports 7/1-4.
Console> (enable) show port protocol 7/1-4
Port Vlan IP IP Hosts IPX IPX Hosts Group Group Hosts
-------- ---------- -------- -------- -------- --------- -------- -----------
7/1 4 on 1 off 0 auto-off 0
7/2 5 on 1 off 0 auto-on 1
7/3 2 on 1 off 0 auto-off 0
7/4 4 on 1 off 0 auto-on 1
レイヤ3プロトコル フィルタリングのディセーブル化
レイヤ3プロトコル フィルタリングをディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
スイッチ上でレイヤ3プロトコル フィルタリングをディセーブルにします。 |
set protocolfilter disable |
次に、レイヤ3プロトコル フィルタリングをディセーブルにする例を示します。
Console> (enable) set protocolfilter disable
Protocol filtering disabled on this switch.