Microsoft Hyper-V 向け Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド、リリース 5.x
- Updated:
- 2017年6月27日
章のタイトル: 不明なユニキャスト フラッディングのブロック
この章の内容は、次のとおりです。
UUFB について
不明なユニキャスト パケットのフラッディング(UUFB)は、望ましくないトラフィックが仮想マシン(VM)に到達するセキュリティ リスクを防ぐために、転送パス上の不明なユニキャスト フラッディングを制限します。UUFB は、vEthernet インターフェイスおよびイーサネット インターフェイスの両方で受信された不明なユニキャスト アドレス宛てのパケットによって、VLAN でフラッディングが発生しないようにします。UUFB を適用すると、仮想イーサネット モジュール(VEM)はアップリンク ポートで受信した不明なユニキャスト パケットをドロップし、vEthernet インターフェイスで受信された不明なユニキャスト パケットはアップリンク ポートでのみ送信されます。
UUFB の注意事項と制限事項
-
UUFB を設定する前に、show module コマンドを入力して、VSM の HA ペアとすべての VEM が最新リリースにアップグレードされていることを確認します。
-
Microsoft によって提供される MAC アドレス以外の MAC アドレスを使用して、アプリケーションまたは VM のポートで UUFB を明示的にディセーブルにする必要があります。
-
Cisco UCS がエンドホスト モードで実行されている場合、不明なユニキャスト パケットは Cisco UCS ファブリック インターコネクトによってドロップされます。
-
Microsoft ネットワーク ロード バランシング(MS-NLB)がイネーブルになっている(no mac auto-static-learn コマンドを入力)vEthernet インターフェイスでは、UUFB は MS-NLB 関連のパケットをブロックしません。これらのシナリオでは、UUFB を使用して MS-NLB パケットのフラッディングを VLAN 内の MS NLB 以外のポートに制限することもできます。
UUFB のデフォルト設定
パラメータ |
デフォルト |
|---|---|
uufb enable |
ディセーブル |
switchport uufb disable |
ディセーブル |
スイッチでの不明なユニキャスト フラッディングのグローバルなブロック
スイッチの転送パスがフラッディングしないように不明なユニキャスト パケットをグローバルにブロックするには、次の手順を使用します。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# uufb enable switch(config)# show uufb status UUFB Status: Enabled switch(config)# copy running-config startup-config [########################################] 100%
不明なユニキャスト フラッディングを許可するようにインターフェイスを設定する
VSM のフラッディングをグローバルにブロックした場合に、不明なユニキャスト パケットによって vEthernet インターフェイスがフラッディングするのを許可するには、次の手順を実行します。グローバル設定に関係なく、特定のインターフェイスで不明なユニキャスト パケットがブロックされないようにする場合も、この手順を使用します。
すでに不明なユニキャスト パケットをグローバルにブロックしている場合、ポート プロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでユニキャスト フラッディングを許可できます。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# interface vethernet 100 switch(config-if)# switchport uufb disable switch(config-if)# show running-config interface veth100 !Command: show running-config interface Vethernet100 !Time: Fri Jun 10 12:43:53 2011 version 4.2(1)SV1(4a) interface Vethernet100 description accessvlan switchport access vlan 30 switchport uufb disable switch(config-if)# copy running-config startup-config [########################################] 100%
不明なユニキャスト フラッディングを許可するようにポート プロファイルを設定する
VSM のフラッディングをグローバルにブロックした場合に、不明なユニキャスト パケットによる既存の vEthernet ポート プロファイルのインターフェイスのフラッディングを許可するには、次の手順を実行します。グローバル設定に関係なく、特定のポート プロファイルで不明なユニキャスト パケットがブロックされないようにする場合も、この手順を使用します。
すでに不明なユニキャスト パケットをグローバルにディセーブルにしている場合は、ポート プロファイルの 1 つのインターフェイスまたはすべてのインターフェイスでのユニキャスト フラッディングを許可できます。
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# port-profile accessprof switch(config-port-prof)# switchport uufb disable
標準
標準 |
タイトル |
|---|---|
RFC-2131 |
『Dynamic Host Configuration Protocol』 |
RFC-3046 |
『DHCP Relay Agent Information Option』 |
不明なユニキャスト パケットをブロックする設定例
次に、VSM の転送パスがグローバルにフラッディングしないように不明なユニキャスト パケットをブロックする例を示します。
n1000v# config terminal n1000v(config)# uufb enable n1000v(config)# show uufb status UUFB Status: Enabled n1000v(config)# copy running-config startup-config [########################################] 100%
UUFB の機能の履歴
この表には、機能の追加によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
|---|---|---|
UUFB |
5.2(1)SM1(5.1) |
この機能が導入されました。 |
フィードバック