監視 VLAN

この章は、次の項で構成されています。

surveillance-vlan vlan-id

ASV(自動監視 VLAN)機能をグローバルに有効にし、監視 VLAN ID を選択するには、グローバル コンフィギュレーション モードで Surveillance-vlan コマンドを使用します。この機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

構文

surveillance-vlan vlan-id vlan-id

no surveillance-vlan vlan-id

パラメータ

vlan-id:監視 VLAN の ID

デフォルト設定

ASV 機能は無効になっています。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

ASV として割り当てられる VLAN は、既存の静的 VLAN である必要があります。

ASV 機能をアクティブにすると、IGMP および MLD のスヌーピングおよびクエリア機能が、 VLAN 上およびグローバルで有効になります(無効になっている場合)。さらに、ブリッジ マルチキャスト フィルタ処理のグローバル設定が有効になります(無効になっている場合)。

監視 VLAN は、次の VLAN とは異なる必要があります。

  • Voice VLAN

  • 非認証 VLAN

  • ゲスト VLAN

  • プライベート VLAN

コマンドを使用して、既存の ASV VLAN の VLAN ID を変更できます。この場合、ASV VLAN ID の変更により、ASV が有効になっているインターフェイスの VLAN メンバーシップが変更される可能性があるため、ユーザーは設定を確認するように求められます(コマンド survance-vlan enable(インターフェイス))。

次の例では、VLAN 3 で ASV 機能が有効になります。

switchxxxxxx(config)# surveillance-vlan vlan-id 3

surveillance-vlan cos

有効になっているインターフェイスで検出された監視トラフィックの VLAN 優先順位タグ(CoS)を再マーキングするための CoS 値を定義するには、グローバル コンフィギュレーション モードで surveillance-vlan cos コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

surveillance-vlan cos cos

no surveillance-vlan cos

パラメータ

  • cos:監視トラフィックに適用されるサービスクラス。(範囲:0 ~ 7)

デフォルト設定

デフォルトでは、監視トラフィックは CoS 5 で再マークされます。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、CoS を 3 に設定しています。

switchxxxxxx(config)# surveillance-vlan cos 3

surveillance-vlan aging-timeout

監視 VLAN メンバーシップのエージングタイムアウトを設定するには、グローバル コンフィギュレーション モードで surveillance-vlan aging-timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

surveillance-vlan aging-timeout minutes

no surveillance-vlan aging-timeout

  • minutes:インターフェイスで監視トラフィックが停止してから、そのインターフェイスが ASV から削除されるまでの時間。(範囲:1 ~ 43200)

パラメータ

minutes:インターフェイスで監視トラフィックが停止してから、そのインターフェイスが ASV から削除されるまでの時間(分)。(範囲:1 ~ 43200)

デフォルト設定

1440 分。

コマンド モード

グローバル コンフィギュレーション モード

次に、ASV エージングタイムアウトを 12 時間に設定する例を示します。

switchxxxxxx(config)# surveillance-vlan aging-timeout 720

Surveillance-vlan traffic-source

ASV 機能で追跡するトラフィック送信元を追加するには、グローバル コンフィギュレーション モードでsurvance-vlan traffic-source コマンドを使用します。テーブルからトラフィック送信元を削除するには、このコマンドの no 形式を使用します。

構文

surveillance-vlan traffic-source default | {mac mac-address|oui OUI} [description description]}

no surveillance-vlan traffic-source {mac mac-address|oui OUI}

パラメータ

  • mac-address:トラフィック送信元テーブルに追加されるユニキャスト MAC アドレス。

  • oui:トラフィック送信元テーブルに追加される 3 オクテットの MAC アドレスプレフィックス。

  • description:監視トラフィック送信元の説明(長さ:最大 32 文字)。

デフォルト設定

テーブルは空です。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

トラフィック送信元テーブルには、MAC エントリと OUI エントリが含まれています。これらのエントリに一致する送信元からのトラフィックを、ASV 機能が有効になっているインターフェイスで受信した場合、そのインターフェイスは自動監視 VLAN に追加されます。

次の例では、テーブルに OUI エントリを追加しています。

switchxxxxxx(config)# surveillance-vlan traffic-source oui a0:bb:cc

次の例では、テーブルに説明とともに MAC エントリを追加しています。

switchxxxxxx(config)# surveillance-vlan traffic-source mac 12:44:4a:4c:13:ec
description floor1_sec

次の例では、テーブルから MAC ベースのエントリを削除しています。

switchxxxxxx(config)# no surveillance-vlan traffic-source mac
12:44:4a:4c:13:ec

surveillance-vlan enable(インターフェイス)

インターフェイスの ASV 機能を有効にするには、surveillance-vlan enable インターフェイス コンフィギュレーション モード コマンドを使用します。インターフェイスでこの機能を無効にするには、このコマンドの no 形式を使用します。

構文

surveillance-vlan enable

no surveillance-vlan enable

デフォルト設定

ASV 機能は、すべてのインターフェイスで無効になっています。

コマンド モード

インターフェイス コンフィギュレーション モード

使用上のガイドライン

ASV 機能は、スイッチポートモードがアクセスまたは一般であるインターフェイスでのみ有効にできます。

アクセスモードは、単一の監視デバイスに接続されるインターフェイスに使用する必要があります。

一般モードは、その後複数の監視デバイスに接続される可能性のある他のネットワークノードに接続されているインターフェイスで使用する必要があります。

監視送信元として定義された送信元からのトラフィックが、ASV 機能が有効になっているインターフェイスで検出された場合、そのインターフェイスは監視 VLAN のメンバーになります。

このインターフェイスで転送される監視トラフィックの VLAN 優先順位タグは、survance-vlan cos コマンドで定義された CoS 値に設定されます。

監視送信元からのトラフィックが停止し、エージングタイムアウト機能の期間が経過すると、インターフェイスは監視 VLAN から削除され、元の静的 VLAN メンバーシップを再開します。

アクセスモードでは、インターフェイスが監視 VLAN に追加されると、監視 VLAN のメンバーである間は元のメンバーシップから削除されます。

一般モードでは、監視トラフィックは監視 VLAN でルーティングされますが、非監視トラフィックはインターフェイスの元の VLAN メンバーシップを使用します。

RADIUS によって VLAN に割り当てられている場合、この機能をインターフェイスで有効にすることはできません。

次の例では、gi1/0/2 で ASV 機能が有効になります。

switchxxxxxx(config)# interface gi1/0/2
switchxxxxxx(config-if)# surveillance-vlan enable

Show surveillance-vlan

ASV のグローバル設定とステータス、およびトラフィック送信元テーブルを表示するには、特権 EXEC モードで show threat-vlan コマンドを使用します。

構文

show surveillance-vlan

コマンド モード

特権 EXEC モード

使用上のガイドライン

このコマンドは、ASV 機能とトラフィック送信元テーブルのグローバル設定を表示します。トラフィック送信元テーブルには、次の列があります。

  • [MAC/OUI]:このトラフィック送信元の MAC または OUI プレフィックス。

  • [Description]:トラフィック送信元の説明。

  • [Active]:エージングタイムアウトによってタイムアウトしていない、ASV 機能が有効になっているインターフェイスで、この送信元からのトラフィックが検出された場合、この値は [Yes] になります。

  • [Interface]:この送信元からのトラフィックを検出した、ASV 機能が有効になっているインターフェイスのリスト。

このコマンドは、ASV 機能のグローバルステータスと設定を表示します。

[Surveillance Traffic Sources] テーブルの [Active] 列は、FDB からまだエージアウトしていないこの送信元からの現在のフローがあることを示します。[Interfaces] 列には、この送信元 OUI または MAC に一致するトラフィックを現在受信しているインターフェイスが表示されます。

次の例は、コマンドの出力を示しています。

switchxxxxxx# show surveillance-vlan
Surveillance VLAN is enabled on VLAN 5
Aging timeout: 1440 minutes
CoS: 5
Surveillance-Traffic sources
MAC/OUI Description Active Interface
================= =========== ====== =========
00:03:C5 Mobotix Yes ge1/2, LAG8
00:04:7D Pelco No
10:22:33:12:44:22 RND-Server Yes ge1/4

show surveillance-vlan interface

このコマンドは、ASV 機能に関連するインターフェイスのステータスと設定を表示します。

ASV インターフェイスの設定とステータスを表示するには、特権 EXEC モードで show surveillance-vlan interface コマンドを使用します。

構文

show surveillance-vlan interface

コマンド モード

特権 EXEC モード。

使用上のガイドライン

このコマンドは、デバイスのインターフェイスの ASV 機能のインターフェイス設定を表示します。

設定テーブルには、次の列があります。

  • [Interface]:行にステータスが表示されるインターフェイス。

  • [Enabled]:インターフェイスで ASV 機能が有効になっているかどうかを示す boolean 値。

  • [Active]:インターフェイスが ASV VLAN のメンバーになった場合(MAC アドレス転送テーブルに監視トラフィックの送信元アドレスのエントリが含まれていない場合でも)、この値は [Yes] になります。

次の例は、コマンドの出力を示しています。

Switchxxxxxx# show surveillance-vlan interface
Interface Enabled Active
========= ======= ======
ge1/1     Yes     No
ge1/2     Yes     Yes
ge1/3     No      No