インターフェース / スイッチポート

本製品では、スイッチポートを複数束ねて1つのポート（トランクグループ）として使用することもできます（IEEE 802.3ad リンクアグリゲーション）。

トランクグループには、手動設定のもの（スタティックチャンネルグループ）と自動設定のもの（LACPチャンネルグループ）があり、それぞれ単一のスイッチポートとほぼ同様に扱うことができます。

したがって、スイッチポートを対象とする各種コマンドは、トランクグループに対してもほぼ同じように使えます。各種コマンドでトランクグループを指定するときは、前述のポート番号の代わりに、以下の表記を使ってください。

■ スタティックチャンネルグループは次の形式で表します。

saX

Xはスタティックチャンネルグループ番号です。これはstatic-channel-groupコマンドで指定した番号です

■ LACPチャンネルグループは次の形式で表します。

poX

XはLACPチャンネルグループ番号です。これはchannel-groupコマンドで指定した番号です

IEEE 802.3ad リンクアグリゲーションの詳細については、「インターフェース」の「リンクアグリゲーション（IEEE 802.3ad）」をご覧ください。

ポートとインスタンス

スイッチポートは、パケットの転送処理を行う「スイッチチップ」によって相互接続されています。

本製品では、スイッチチップを「スイッチインスタンス」または単に「インスタンス」と呼びます。通常、インスタンスの存在を意識する必要はありませんが、特定の機能において、インスタンスに関連する注意・制限事項が存在する場合もありますのでご注意ください。

基本コマンド

スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細はコマンドリファレンスをご覧ください。

■ ポートを無効化するにはshutdownコマンドを使います。

awplus(config)# interface port1.0.1 ↓
awplus(config-if)# shutdown ↓

■ ポートを再度有効化するにはshutdownコマンドをno形式で実行します。

awplus(config)# interface port1.0.1 ↓
awplus(config-if)# no shutdown ↓

■ ポートの通信速度とデュプレックスモードを固定設定するにはspeedコマンドとduplexコマンドを使います。たとえば、スイッチポート1.0.1の通信モードを100M Full Duplex固定に設定するには、次のようにします。初期設定では各ポートでオートネゴシエーションが有効になっています。

awplus(config)# interface port1.0.1 ↓
awplus(config-if)# speed 100 ↓
awplus(config-if)# duplex full ↓

■ 初期設定では、すべてのポートでMDI/MDI-X自動認識が有効になっています。MDI/MDI-X自動認識を無効にするには、polarityコマンドで極性を指定します。

awplus(config)# interface port1.0.1 ↓
awplus(config-if)# polarity mdi ↓

■ ポートの設定や状態、統計カウンターを表示するにはshow interfaceコマンドを使います。

awplus> show interface port1.0.1 ↓

■ ポートの統計カウンターをクリアするにはclear port counterコマンドを実行します。

awplus> clear port counter port1.0.1 ↓

ポートミラーリング

ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、任意のポートのトラフィックをミラーポートでキャプチャーすることができます。

仕様

本製品のポートミラーリング機能は下記の動作を行います。

ソースポート（タグ付きポート）でタグ付きパケットを受け取った場合、ミラーポートには送受信ともにタグ付きパケットとして出力されます。
ソースポート（タグなしポート）でタグなしパケットを受け取った場合、ミラーポートには受信パケットはタグなしパケット、送信パケットはタグ付きパケットとして出力されます。
ソースポートにタグ付きポートとタグなしポートが混在している状態でタグ付きパケットを受け取った場合、ミラーポートには送受信ともにタグ付きパケットとして出力されます。
ソースポートにタグ付きポートとタグなしポートが混在している状態でタグなしパケットを受け取った場合、ミラーポートには受信パケットはタグなしパケット、送信パケットはタグ付きパケットとして出力されます。

Note
PAUSEフレームはミラーリングできません。

基本設定

ここではポート1.0.5をミラーポートに設定し、ポート1.0.1から送受信されるトラフィックがミラーポートにコピーされるようにします。

ミラーポートとして設定するポートを指定してインターフェースモードに入ります。ここでは、ポート1.0.5をミラーポートに設定します。
```
awplus(config)# interface port1.0.5 ↓
```
Note
ミラーポートはシステム内で1つしか設定できないため、インターフェースモードに入るときは、interfaceコマンドでスイッチポートを1つだけ指定してください。複数ポートを指定してインターフェースモードに入った場合、次の手順でmirror interfaceコマンドを実行したときエラーになります。

Note
トランクグループ（LACPチャンネルグループ、スタティックチャンネルグループ）、および、トランクグループに参加しているポートをミラーポートに設定することはできません。ここでトランクグループやトランクグループに参加しているポートを指定すると、次の手順でmirror interfaceコマンドを実行したときエラーになります。
ソースポートとトラフィックの向きを指定します。ここではポート1.0.1から送受信されるトラフィックをミラーポートにコピーします。
```
awplus(config-if)# mirror interface port1.0.1 direction both ↓
```
Note
ミラーポートはシステム内で1つしか設定できないため、すでに他のポートがミラーポートに設定されている場合、mirror interfaceコマンドは失敗します。その場合は、現行ミラーポートの設定を解除してから、もう一度同コマンドを実行してください。

Note
複数のポートをミラーしたいときは、ソースポートを「port1.0.1-port1.0.3」のように複数指定することができます。ただし、ミラーリング対象ポートを増やす場合、ミラーポートの帯域を超えてしまう可能性があるため注意が必要です。ミラーリングのソースポートは8ポートまでに制限されますが、4ポート以上設定した場合、Warningメッセージが出力されます。

Note
トランクグループ（LACPチャンネルグループ、スタティックチャンネルグループ）をソースポートに指定するときは、「saX」、「poX」ではなく、該当グループの全所属ポートを「port1.0.1-1.0.3」のように一括指定してください。インターフェース名「saX」や「poX」をソースポートに指定することはできません。

Note
mirror interfaceコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。

Note
ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。

Note
ミラーポートを設定する場合は、デフォルト状態のポートに設定してください（ミラーポートに他のスイッチポート関連機能を設定しないでください）。

設定は以上です。

■ ポートミラーリングの設定を確認するにはshow mirrorコマンドを実行します。

awplus# show mirror ↓
Mirror Test Port Name: port1.0.5
Mirror option: Enabled
Mirror direction: both
Monitored Port Name: port1.0.1

■ ミラーポートの設定を解除するには、mirror interfaceコマンドをno形式で実行します。このとき、ソースポートも指定してください。設定を解除されたポートはvlan1のタグなしポート（アクセスポート）に戻ります。

awplus(config)# interface port1.0.5 ↓
awplus(config-if)# no mirror interface port1.0.1 ↓

■ ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。mirror interfaceコマンドを実行した時点で、ミラーポートはいずれのVLANにも所属していない状態となります。

ループガード

本製品ではループガードとして以下の機能をサポートしています。

LDF検出

また、本製品では、ループガードのアクション実行中に、ループを検知したポートのLEDの点滅と全てのポートLEDの点滅を繰り返すことで、ループ検知を視覚的に知らせる機能をサポートしています。LED点滅機能の設定はfindme triggerコマンドで行います。

LDF検出

LDF検出は、LDF（Loop Detection Frame）と呼ぶ特殊フレームを利用してネットワーク上のループを検出し、これに対応するための動作を自動的に行う機能です。ループ検出時の動作や検出後の対応動作の持続時間は、ポート、スタティックおよびLACPによって自動生成されたトランクグループ単位で設定します。

■併用不可機能

Note
EPSRのマスターノードおよびトランジットノードでLDF機能を使用する場合、EPSRのリング接続用ポート（コントロールVLANが所属するポート）では、LDF検出機能を無効にしてください（loop-protection actionコマンドでnoneを指定）。EPSRのリング接続用ポート以外のポートではLDF検出機能が使用できます。

Note
MSTPとLDF検出は併用できません。

Note
LDF検出と802.1X認証を同一ポート上で併用する場合、ポート認証のホストモード（auth host-mode）が初期設定のSingle-Hostモードだと未認証時にループの検出ができません。両機能を併用するポートでは、Multi-HostモードかMulti-Supplicantモードに設定を変更してください。

■注意事項

Note
本製品において、RSTPが初期設定で有効化されているため、LDF検出機能を有効にしても、RSTPの動作の影響により、ループが発生せず、LDF検出機能の動作を確認できない場合があります。

Note
配下のHUBやスイッチにて輻輳などによりLDFが消失した場合、ループを検出できない場合があります。

Note
LDF検出機能はアクセスリストのエントリーに空きがないと使用できません。

Note
LDF検出機能を有効にした場合、同機能を明示的に無効化していないすべてのポートからVLANごとにLDFが送出されるようになります。これは不要なフラッディングパケットの増加につながるため、必要のないポートではLDF検出機能を明示的に無効化することを推奨します（loop-protection actionコマンドでnoneを指定）。

Note
起動時にAMFネットワーク未検出時の拡張動作が機能した場合、次のコマンドが自動的に追加されますが、この設定はAMFネットワーク未検出時の一時的な設定であるため、運用上の必要性に応じて変更または削除してください。
loop-protection loop-detect ldf-interval 1 fast-block

LDFは、特殊な宛先MACアドレス（00-00-F4-27-71-01）を持った試験フレームです。
LDF検出機能を有効にしたポートでは、一定時間ごとにLDFを送出します。
他の接続機器を介して機器にLDFが戻ってくる場合、LDFの送信元MACアドレスと機器自身のMACアドレスが一致し、かつ、スイッチポートごとに保持している送信済みLDFの情報（LDF ID）と、LDFに書き込まれているLDF IDの情報が一致すると、ループ状態と判断します。ループ検出時には次の動作が可能です。

表 1：LDFによるループ検出時の動作
port-disable	ポートを無効化する（受信のみ無効化）。リンクはアップ状態のまま。また、ログへの記録とSNMPトラップの送信も行う
vlan-disable	ループを検出したVLANに対してのみポートを無効化する（初期値）。また、ログへの記録とSNMPトラップの送信も行う
link-down	ポートを物理的にリンクダウンさせる。また、ログへの記録とSNMPトラップの送信も行う
log-only	ポートの制御は行わず、ログへの記録とSNMPトラップの送信だけを行う
none	LDF検出機能を無効にする

各動作の実行後は、タイマーが起動し、指定した時間が経過すると動作実行前の状態に戻ります。

■ LDF検出機能を有効化するには、グローバルコンフィグモードのloop-protectionコマンドを実行します。

LDF検出機能を有効化します。

awplus(config)# loop-protection loop-detect ↓

ポート単位での動作設定はloop-protection actionコマンドで行います。初期状態では各ポートにvlan-disableアクションが設定されていますが、ここでは、ポートグループ1.0.1～1.0.8に対してlink-downアクションを設定し、LDFによるループ検出時にポートを物理的にリンクダウンするよう設定を変更してみます。
```
awplus(config)# interface port1.0.1-1.0.8 ↓
awplus(config-if)# loop-protection action link-down ↓
```
Note
port-disable、vlan-disable（初期設定）、log-onlyアクションを使用する場合は、LDFの帯域を制限するため、次項のQoSポリシーを必ず適用してください。

■ port-disable、vlan-disable、log-onlyアクションを使用する場合は、LDFの帯域を制限するため、次のようなQoS設定が必要です。

Note
すでにQoSの設定を行っている場合は、既存のポリシーマップに下記の設定（LDFの帯域を制限するための設定）を適宜追加してください。その場合、QoS機能の有効化など、すでに完了している設定は適宜省略してください。

QoS機能を有効にします。
QoS関連コマンドの多くは、QoS機能を有効にしておかないと実行できないので、最初にmls qos enableコマンドを実行してQoS機能を有効化しておいてください。
```
awplus(config)# mls qos enable ↓
```
LDFを識別するハードウェアMACアクセスリストを作成します。これにはaccess-list(hardware mac)コマンドを使います。0000.f427.7101はLDF用の特殊な宛先MACアドレスです。
```
awplus(config)# access-list 4000 permit any 0000.f427.7101 0000.0000.0000 ↓
```

LDFをトラフィッククラスに分類するためのクラスマップを作成します。

awplus(config)# class-map LDF ↓
awplus(config-cmap)# match access-group 4000 ↓
awplus(config-cmap)# exit ↓

クラスマップをポリシーマップに関連付け、帯域制限のパラメーターを指定します。

awplus(config)# policy-map LDFCtrl ↓
awplus(config-pmap)# class LDF ↓
awplus(config-pmap-c)# police single-rate 64 4096 4096 action drop-red ↓
awplus(config-pmap-c)# exit ↓
awplus(config-pmap)# exit ↓

port-disable、vlan-disable、log-onlyアクションを使用するすべてのポートにポリシーマップを適用します。
```
awplus(config)# interface port1.0.1-1.0.12 ↓
awplus(config-if)# service-policy input LDFCtrl ↓
```
Note
スタティックチャンネルグループ（手動設定のトランクグループ）を設定している場合は、インターフェース名「saX」（Xはスタティックチャンネルグループ番号）にポリシーマップを適用してください。

■ ループ検出後の動作の持続時間はloop-protection timeoutコマンドで0～86400秒の範囲で指定します（0は無期限）。ここでは持続時間を60秒に設定します。

awplus(config)# interface port1.0.1-1.0.8 ↓
awplus(config-if)# loop-protection timeout 60 ↓

■ ループ検出後のアクション遅延時間を設定する場合は、loop-protection action-delay-timeコマンドで0～86400秒の範囲の値を指定します。ここでは遅延時間を10秒に設定します。

awplus(config)# interface port1.0.1-1.0.8 ↓
awplus(config-if)# loop-protection action-delay-time 10 ↓

■ loop-protection actionコマンドでnone以外の動作を指定した場合は、ループ検出時にログへの記録とSNMPトラップの送信も行われます。また、none、log-only以外の動作を指定した場合は、動作実行時と動作終了時にもログへの記録とSNMPトラップの送信が行われます。

ただし、LDF検出のログメッセージはinformationalレベルなので、メモリー上に保存されるbufferedログ、permanentログの初期設定では記録されません。LDF検出のログメッセージをこれらのログに記録するためには、log(filter)コマンドを使ってログフィルターの設定を変更する必要があります。たとえば、bufferedログにinformationalレベルのログを記録したいときは次のようにします。
```
awplus(config)# log buffered level information ↓
```
なお、前記コマンドではLDF検出以外のinformationalログも記録されてしまいます。これを避けるには先ほどのコマンドの代わりに次のようにしてプログラム名loopprotを指定するのがよいでしょう。
```
awplus(config)# log buffered level informational program loopprot ↓
```
また、実際にSNMPトラップを送信するには、トラップ送信先などのSNMP基本設定に加え、snmp-server enable trapコマンドで「loopprot」を有効にしておく必要があります。SNMPの基本設定については「運用・管理」/「SNMP」をご覧ください。
```
awplus(config)# snmp-server enable trap loopprot ↓
```

■ スタティックなトランクグループへの動作設定は、インターフェース「saX」に対して行います。

awplus(config)# interface sa1 ↓
awplus(config-if)# loop-protection action link-down ↓

Note
スタティックなトランクグループへの動作設定は、インターフェース「saX」に対して行います。saX内のメンバーポートに対する個別設定は行えません。

■ LACPによって自動生成されるトランクグループへの動作設定は、インターフェース「poX」に対して行います。

awplus(config)# interface po1 ↓
awplus(config-if)# loop-protection action port-disable ↓

Note
LACPによって自動生成されるトランクグループへの動作設定は、インターフェース「poX」に対して行います。poX内のメンバーポートに対する個別設定は行えません。

■ LDF検出機能の設定や状態はshow loop-protectionコマンドで確認できます。

awplus# show loop-protection ↓

■ LDF検出機能を無効化するには、グローバルコンフィグモードのloop-protectionコマンドをno形式で実行します。

awplus(config)# no loop-protection loop-detect ↓

■ 特定のポートでのみLDF検出機能を無効化するには、loop-protection actionコマンドでnoneを指定します。たとえば、ポート1.0.1～1.0.2でLDF検出の動作を無効化するには、次のようにします。

awplus(config)# interface port1.0.1-1.0.2 ↓
awplus(config-if)# loop-protection action none ↓

ポート帯域制限機能

本製品は、スイッチポートごとに送信レートを制限することができます。

帯域制限の設定はegress-rate-limitコマンドで行います。

■ ポート1.0.8の送信レートを8Mbpsに制限するには、次のように指定します。

awplus(config)# interface port1.0.8 ↓
awplus(config-if)# egress-rate-limit 8m ↓
% Egress rate limit has been set to XXXX Kb

Note
帯域制限の設定値には粒度（設定可能な値の最小単位）があります。そのため、egress-rate-limitコマンドで入力した値によっては、上記例のように指定値が最小単位の倍数に丸められることがあります。

Note
トランクグループ（saX, poX）に対してegress-rate-limitコマンドを実行した場合、送信レート上限値はトランクグループ全体に対してではなく、メンバーポート単位で適用されます。

■ ポートの帯域制限を解除するにはegress-rate-limitコマンドをno形式で実行します。

awplus(config)# interface port1.0.8 ↓
awplus(config-if)# no egress-rate-limit ↓

■ ポート帯域制限機能の設定状況はshow interfaceコマンドで確認できます。帯域制限が設定されている場合のみ、「Egress Rate Limit」欄が表示されます。

awplus> show interface port1.0.8 ↓
Interface port1.0.8
  Scope: both
  Link is UP, administrative state is UP
  Thrash-limiting
    Status Not Detected, Action learn-disable, Timeout 1(s)
  Hardware is Ethernet, address is 0000.cd24.0367 (bia 0000.cd24.0367)
  index 5013 metric 1 mtu 1500
  duplex-full speed 100 polarity auto
  <UP,BROADCAST,RUNNING,MULTICAST>
  VRF Binding: Not bound
  Egress Rate Limit XXXX Kb
    input packets 235512, bytes 16850873, dropped 0, multicast packets 12
    output packets 8746698, bytes 9367135608, multicast packets 2007 broadcast p
ackets 11

トリガー

トリガー機能を使用すると、スイッチポートのリンクアップ、リンクダウン時に任意のスクリプトを実行させることができます。

スイッチポートのリンクアップ、リンクダウンは、インターフェーストリガー（type interfaceコマンド）を使って捕捉します。

次にインターフェーストリガーの設定例を示します。ここでは、スイッチポート1.0.1がリンクダウンしたらflash:/p101down.scpを、リンクアップしたらflash:/p101up.scpを実行するように設定します。

なお、トリガーの詳細については、「運用・管理」の「トリガー」をご覧ください。

リンクダウン時にflash:/p101down.scpを実行するインターフェーストリガー「1」を作成します。

awplus(config)# trigger 1 ↓
awplus(config-trigger)# type interface port1.0.1 down ↓
awplus(config-trigger)# script 1 flash:/p101down.scp ↓
awplus(config-trigger)# exit ↓

リンクアップ時にflash:/p101up.scpを実行するインターフェーストリガー「2」を作成します。

awplus(config)# trigger 2 ↓
awplus(config-trigger)# type interface port1.0.1 up ↓
awplus(config-trigger)# script 1 flash:/p101up.scp ↓
awplus(config-trigger)# end ↓

PN: 613-002310 Rev.Y