コンテンツにスキップ

2. Catalystスイッチの設定とVLAN

2.1. Catalystスイッチ基本設定

2.1.1. スイッチへのIPアドレスの設定

スイッチにも管理目的のためにIPアドレスを設定可能。 スイッチにIPアドレスを設定するのは以下の理由より。

  • リモート(SSHなど)からスイッチの設定を行うため
  • VSMよりブラウザからスイッチの設定を行うため
  • SNMPプロトコルによるスイッチ管理のため

IPアドレスの設定

スイッチへのIPアドレスの設定は以下コマンドで行える。 スイッチでは管理VLAN(デフォルトでは1)にIPアドレスは設定することになる。

(config)#interface vlan 1
(config-if)#ip address <IPアドレス> <サブネットマスク>
(config-if)#no shutdown

デフォルトゲートウェイの設定

スイッチへのデフォルトゲートウェイ設定は以下コマンドで実行可能。

(config)#ip default-gateway <デフォルトゲートウェイのIPアドレス>

2.1.2. MACアドレステーブルの管理

MACアドレステーブルの確認

MACアドレステーブルの確認は以下コマンドで行う。

show mac-address-table

静的MACアドレスの追加

静的MACアドレスのテーブルへの追加は以下コマンドで行う。

(config)#mac-address-table static <MACアドレス> vlan <VLAN番号> interface <ポート>

2.1.3. ポートセキュリティの設定

Catalystスイッチはポートセキュリティ機能がある。 これはハッキングなどによる情報漏洩を防ぐために使用できる。 具体的にはあらかじめ許可したMACアドレス以外のMACアドレスを持つホストのフレームを遮断する

静的ポートセキュリティの設定

静的(スタティック)にポートセキュリティの設定を行う場合以下手順で行える。

  1. ポートセキュリティを設定するインターフェイスをアクセスポートに設定する
  2. ポートセキュリティの有効化
  3. 最大MACアドレスを設定する
  4. 許可するMACアドレスを登録する
  5. バイオレーションモード(不正なMACアドレスホスト接続時の動作)の設定
  6. ポートセキュリティの設定の確認

コマンド例は以下の通り。

(config)#inyterface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security maximum <最大MACアドレス数>
(config-if)#switchport port-security mac-address <接続許可するMACアドレス>
(config-if)#exit
(config)#switch port-security violation <protect | restrict | shutdown>
(config)#exit
show port-security

なおswitch port-security violation <protect | restict | shutdown>はバイオレーションモードの設定箇所で各挙動は以下の通り。

  • protect ... 不正なMACアドレスのフレームは破棄する
  • restrict ... protectの機能+SNMPによる通知が可能
  • shutdown ... インターフェイスをerr-diabledにして無効化する+SNMPによる通知が可能

動的ポートセキュリティの設定

動的(ダイナミック)にポートセキュリティの設定を行う場合以下手順で行える。

  1. ポートセキュリティを設定するインターフェイスをアクセスポートに設定する
  2. ポートセキュリティの有効化
  3. 最大MACアドレスを設定する
  4. スティキーラーニングの有効化
  5. バイオレーションモード(不正なMACアドレスホスト接続時の動作)の設定
  6. ポートセキュリティの設定の確認

コマンド例は以下の通り。

(config)#inyterface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security maximum <MACアドレス数>
(config-if)#switchport port-security mac-address sticky
(config-if)#exit
(config)#switch port-security violation <protect | restrict | shutdown>
(config)#exit
show port-security

ポートセキュリティにより無効された場合の復旧手順

原因を改善後に以下コマンドを行うことで復旧が可能。

(config)#inyterface fastEthernet <ポート番号>
(config-if)#shutdown
(config-if)#no shutdown

2.2. VLANの設定

2.2.1. VLANの作成と確認

VLANの確認

show vlan

VLANの作成/削除

(config)#vlan <VLAN番号>
(config)#no vlan <VLAN番号>

2.2.2. VLANへのポート割り当て

Access port

(config)#interface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport access vlan <VLAN番号>

Trunk port

(config)#interface fastEthernet <ポート番号>
(config-if)#switchport mode trunk

2.3. VLAN間ルーティング

VLAN間ルーティングは異なるVLAN同士の通信を実現するために使われる。 VLAN間ルーティングの接続手法は2つある。

  • VLANの数だけ複数のポートで接続 ... VLAN非対応ルータでこちらを使用
  • トランクポートを使用して1つのポートで接続 ... 上記以外はコチラ

2.3.1. トランクポートを使用したVLAN間ルーティングの設定

ルータ側への設定

ルータ側はVLANの数だけインターフェイスをサブインターフェイスに分割して設定する必要がある。 トランキングプロトコルは通常はIEEE802.1Qであるdot1qを指定するが、Cisco独自のISLはislで指定可能。

(config)#interface fastEthernet <ポート番号>.<サブインターフェイス番号>
(config-if)#encapsulation <dot1q | isl> <VLAN番号>
(config-if)#ip address <IPアドレス> <サブネットマスク>
(config-if)#no shutdown

スイッチ側への設定

基本的にトランクモードにポートをすると良い。

(config)#interface fastEthernet <ポート番号>
(config-if)#switchport mode trunk

クライアントのDGWの設定

上記設定後はクライアント端末にルータのサブインターフェイスに設定したIPをDGWとして設定する。

2.3. VTPの設定

VTPはVLANの設定を自動化しスイッチ間で同期を行う仕組みであり、これによりVLAN設定作業の大幅削減が可能。

2.3.1. VTPの設定と確認

VTPの設定で主に必要な項目は以下の2つとなる。

  1. VTPドメイン名の設定
  2. VTPモードの設定

これらの項目設定をそれぞれのスイッチで行うことになる。

VTPドメイン名の設定

以下コマンドでVTPドメイン名の設定は行える。 なおVTPドメイン名は大文字小文字を区別する。

(config)#vtp domain <VTPドメイン名>

VTPモードの設定

VTPモードの設定は以下コマンドで行える。

(config)#vtp mode <server | client | transparent>

VTP情報の確認

VTPの設定や状態の確認は以下コマンドで行える。

show vtp status

2.3.2. VTPプルーニングの設定

VTPプルーニングはVTPで発生した不要トラフィックを排除する仕組み。

VTPプルーニングの設定。

基本的には以下コマンドを実行するのみとなる。

(config)#vtp pruning

VTPプルーニングの設定確認

show vtp statusコマンドでVTPプルーニングの有効化/無効化は確認可能。

(config)#show vtp status

2.4. スイッチのエラーカウンタ

スイッチのエラーカウンタはshow interface <インターフェイス>で表示される各パラメータの何が増加しているかによって不具合の原因などが分かる。

カウンタ 説明 カウンタ増加原因例
no buffer 受信したがバッファ足りずに廃棄したフレーム数 ・ブロードキャストストーム
runts IEEE802.3フレームの最小フレームより小さいフレームを受信した数 ・物理的(ケーブル故障、NIC不良など) ・duplexの不一致
giants IEEE802.3フレームの最大サイズを超えるフレームを受信した数 ・NICの不良
input errors runts, giants, no buffer, CRC, frame, overrun, ignoredの総数 ・各種カウンタの増加
CRC FCSに格納されたCRC値と受信データから再計算したCRCが一致しなかったフレーム数 ・コリジョン ・NIC不良 ・duplex不一致
ignored バッファが足りず受信せず無視したフレーム数 ・ブロードキャストストーム
collisions コリジョン数 ・半二重の通信 ・duplex不一致
late collitions 通常よりも遅れて検出したコリジョン数 ・規定値を超える長さのケーブルの使用 ・duplex不一致

2.4.1. 各種エラーの詳細

no buffer

no bufferはブロードキャストストームが発生したときに増加するカウンタ

runts

runtsは物理的(ケーブル故障、NIC不良など) やduplexの不一致で増加するカウンタ

giants

giantsはNIC不良等が原因で増加するカウンタ

input errors

各種カウンタの増加があるとそれに伴って増加するカウンタ。

CRC

CRCはコリジョンの発生やNIC不良/duplex不一致に伴って増加するカウンタ

ignored

ignoredはブロードキャストストームが発生したときに増加するカウンタ

collisions

collitionsはduplexの不一致/半二重通信等が原因で増加するカウンタ

late collitions

late collitionsはduplexの不一致等が原因で増加するカウンタ

2.4.2. 各種エラーのケース

発生内容 増加パラメータ
ブロードキャストストーム no buffer, ignored
duplexの不一致 runts, CRC, collitions, late collitions
NICの不良 runts, giants, CRC
ケーブル故障 runts