2. Catalystスイッチの設定とVLAN
2.1. Catalystスイッチ基本設定
2.1.1. スイッチへのIPアドレスの設定
スイッチにも管理目的のためにIPアドレスを設定可能。 スイッチにIPアドレスを設定するのは以下の理由より。
- リモート(SSHなど)からスイッチの設定を行うため
- VSMよりブラウザからスイッチの設定を行うため
- SNMPプロトコルによるスイッチ管理のため
IPアドレスの設定
スイッチへのIPアドレスの設定は以下コマンドで行える。 スイッチでは管理VLAN(デフォルトでは1)にIPアドレスは設定することになる。
デフォルトゲートウェイの設定
スイッチへのデフォルトゲートウェイ設定は以下コマンドで実行可能。
2.1.2. MACアドレステーブルの管理
MACアドレステーブルの確認
MACアドレステーブルの確認は以下コマンドで行う。
静的MACアドレスの追加
静的MACアドレスのテーブルへの追加は以下コマンドで行う。
2.1.3. ポートセキュリティの設定
Catalystスイッチはポートセキュリティ機能がある。 これはハッキングなどによる情報漏洩を防ぐために使用できる。 具体的にはあらかじめ許可したMACアドレス以外のMACアドレスを持つホストのフレームを遮断する。
静的ポートセキュリティの設定
静的(スタティック)にポートセキュリティの設定を行う場合以下手順で行える。
- ポートセキュリティを設定するインターフェイスをアクセスポートに設定する
- ポートセキュリティの有効化
- 最大MACアドレスを設定する
- 許可するMACアドレスを登録する
- バイオレーションモード(不正なMACアドレスホスト接続時の動作)の設定
- ポートセキュリティの設定の確認
コマンド例は以下の通り。
(config)#inyterface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security maximum <最大MACアドレス数>
(config-if)#switchport port-security mac-address <接続許可するMACアドレス>
(config-if)#exit
(config)#switch port-security violation <protect | restrict | shutdown>
(config)#exit
show port-security
なおswitch port-security violation <protect | restict | shutdown>
はバイオレーションモードの設定箇所で各挙動は以下の通り。
- protect ... 不正なMACアドレスのフレームは破棄する
- restrict ... protectの機能+SNMPによる通知が可能
- shutdown ... インターフェイスをerr-diabledにして無効化する+SNMPによる通知が可能
動的ポートセキュリティの設定
動的(ダイナミック)にポートセキュリティの設定を行う場合以下手順で行える。
- ポートセキュリティを設定するインターフェイスをアクセスポートに設定する
- ポートセキュリティの有効化
- 最大MACアドレスを設定する
- スティキーラーニングの有効化
- バイオレーションモード(不正なMACアドレスホスト接続時の動作)の設定
- ポートセキュリティの設定の確認
コマンド例は以下の通り。
(config)#inyterface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security maximum <MACアドレス数>
(config-if)#switchport port-security mac-address sticky
(config-if)#exit
(config)#switch port-security violation <protect | restrict | shutdown>
(config)#exit
show port-security
ポートセキュリティにより無効された場合の復旧手順
原因を改善後に以下コマンドを行うことで復旧が可能。
2.2. VLANの設定
2.2.1. VLANの作成と確認
VLANの確認
VLANの作成/削除
2.2.2. VLANへのポート割り当て
Access port
(config)#interface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport access vlan <VLAN番号>
Trunk port
2.3. VLAN間ルーティング
VLAN間ルーティングは異なるVLAN同士の通信を実現するために使われる。 VLAN間ルーティングの接続手法は2つある。
- VLANの数だけ複数のポートで接続 ... VLAN非対応ルータでこちらを使用
- トランクポートを使用して1つのポートで接続 ... 上記以外はコチラ
2.3.1. トランクポートを使用したVLAN間ルーティングの設定
ルータ側への設定
ルータ側はVLANの数だけインターフェイスをサブインターフェイスに分割して設定する必要がある。
トランキングプロトコルは通常はIEEE802.1Qであるdot1q
を指定するが、Cisco独自のISLはisl
で指定可能。
(config)#interface fastEthernet <ポート番号>.<サブインターフェイス番号>
(config-if)#encapsulation <dot1q | isl> <VLAN番号>
(config-if)#ip address <IPアドレス> <サブネットマスク>
(config-if)#no shutdown
スイッチ側への設定
基本的にトランクモードにポートをすると良い。
クライアントのDGWの設定
上記設定後はクライアント端末にルータのサブインターフェイスに設定したIPをDGWとして設定する。
2.3. VTPの設定
VTPはVLANの設定を自動化しスイッチ間で同期を行う仕組みであり、これによりVLAN設定作業の大幅削減が可能。
2.3.1. VTPの設定と確認
VTPの設定で主に必要な項目は以下の2つとなる。
- VTPドメイン名の設定
- VTPモードの設定
これらの項目設定をそれぞれのスイッチで行うことになる。
VTPドメイン名の設定
以下コマンドでVTPドメイン名の設定は行える。 なおVTPドメイン名は大文字小文字を区別する。
VTPモードの設定
VTPモードの設定は以下コマンドで行える。
VTP情報の確認
VTPの設定や状態の確認は以下コマンドで行える。
2.3.2. VTPプルーニングの設定
VTPプルーニングはVTPで発生した不要トラフィックを排除する仕組み。
VTPプルーニングの設定。
基本的には以下コマンドを実行するのみとなる。
VTPプルーニングの設定確認
show vtp status
コマンドでVTPプルーニングの有効化/無効化は確認可能。
2.4. スイッチのエラーカウンタ
スイッチのエラーカウンタはshow interface <インターフェイス>
で表示される各パラメータの何が増加しているかによって不具合の原因などが分かる。
カウンタ | 説明 | カウンタ増加原因例 |
---|---|---|
no buffer | 受信したがバッファ足りずに廃棄したフレーム数 | ・ブロードキャストストーム |
runts | IEEE802.3フレームの最小フレームより小さいフレームを受信した数 | ・物理的(ケーブル故障、NIC不良など) ・duplexの不一致 |
giants | IEEE802.3フレームの最大サイズを超えるフレームを受信した数 | ・NICの不良 |
input errors | runts, giants, no buffer, CRC, frame, overrun, ignoredの総数 | ・各種カウンタの増加 |
CRC | FCSに格納されたCRC値と受信データから再計算したCRCが一致しなかったフレーム数 | ・コリジョン ・NIC不良 ・duplex不一致 |
ignored | バッファが足りず受信せず無視したフレーム数 | ・ブロードキャストストーム |
collisions | コリジョン数 | ・半二重の通信 ・duplex不一致 |
late collitions | 通常よりも遅れて検出したコリジョン数 | ・規定値を超える長さのケーブルの使用 ・duplex不一致 |
2.4.1. 各種エラーの詳細
no buffer
no bufferはブロードキャストストームが発生したときに増加するカウンタ。
runts
runtsは物理的(ケーブル故障、NIC不良など) やduplexの不一致で増加するカウンタ。
giants
giantsはNIC不良等が原因で増加するカウンタ。
input errors
各種カウンタの増加があるとそれに伴って増加するカウンタ。
CRC
CRCはコリジョンの発生やNIC不良/duplex不一致に伴って増加するカウンタ。
ignored
ignoredはブロードキャストストームが発生したときに増加するカウンタ。
collisions
collitionsはduplexの不一致/半二重通信等が原因で増加するカウンタ。
late collitions
late collitionsはduplexの不一致等が原因で増加するカウンタ。
2.4.2. 各種エラーのケース
発生内容 | 増加パラメータ |
---|---|
ブロードキャストストーム | no buffer, ignored |
duplexの不一致 | runts, CRC, collitions, late collitions |
NICの不良 | runts, giants, CRC |
ケーブル故障 | runts |