運用・管理 / LLDP
本製品は、LAN上の隣接機器との間で管理情報(機器・ポートの識別子、管理アドレス、所属VLANなど)を通知しあうプロトコルLLDP(Link Layer Discovery Protocol。IEEE 802.1AB)、およびその拡張機能であるLLDP-MED(LLDP for Media Endpoint Devices。ANSI/TIA-1057)に対応しています。
LLDPは情報の要求や確認応答の仕組みを持たず、対応機器が情報を一方的に通知して、もう一方の対応機器がこれを受信するだけの単純なプロトコルですが、受信した情報をMIBオブジェクトとして保持する方法が標準化されているため、LLDP対応機器が収集した情報にSNMP経由でアクセスすることができ、ネットワーク構成の把握などに役立ちます。
また、LLDP-MEDはLLDPを利用して端末機器に設定情報などを通知するための仕組みです。LLDP-MED対応のIP電話などに対して、音声データとその他データを区別して送受信するよう指示することなどが可能です。
本製品は次の動作をサポートしています。
- 任意のスイッチポートからLLDPパケットを送信して自身の情報を通知する
- 任意のスイッチポートでLLDPパケットを受信して他機器の情報を収集する
- 任意のスイッチポートに接続されたLLDP-MED対応機器に設定情報などを通知する
- LLDPの設定や統計、LLDPで送信している情報(自身の情報)、LLDPで収集した情報(他機器の情報)などをMIBオブジェクトの形で保持し、SNMP経由でのアクセス(参照や変更)を可能にする。サポートMIBは、LLDP-MIB、LLDP-EXT-DOT1-MIB、LLDP-EXT-DOT3-MIB、LLDP-MED-MIB
以下では、LLDPの基本的な設定方法について解説します。
基本設定
LLDPを利用するために必要な最小限の設定を紹介します。
ここでは、ポート1.0.1~1.0.4でLLDPパケットの送受信を有効化し、自機の基本情報を通知するとともに、これらのポートに接続されたLLDP対応機器からの情報を収集するよう設定します。
- 初期設定では全ポートでLLDPパケットの送受信が有効なので、ポート1.0.1~1.0.4以外(ここでは1.0.5~1.0.8と仮定)でLLDPパケットの送受信を無効化します。
awplus(config)# interface port1.0.5-1.0.8 ↓
awplus(config-if)# no lldp transmit ↓
awplus(config-if)# no lldp receive ↓
awplus(config-if)# exit ↓
lldp transmitコマンドとlldp receiveコマンドは「no lldp receive transmit」のように一行で記述することもできます。
- システム全体でLLDPを有効化します。
LLDPを使うには、インターフェース(スイッチポート)ごとの設定とシステム全体設定の両方が有効になっている必要があります。
awplus(config)# lldp run ↓
設定は以上です。
■ 前記の基本設定では、各ポートでLLDPパケットの送信と受信を行うよう設定していますが、必要に応じて送信のみ(情報通知のみ)、受信のみ(情報収集のみ)の設定も可能です。たとえば前記の設定後に、ポート1.0.5~1.0.6ではLLDPパケットの送信のみ、ポート1.0.7~1.0.8ではLLDPパケットの受信のみを有効化するには次のようにします。
awplus(config)# interface port1.0.5-1.0.6 ↓
awplus(config-if)# lldp transmit ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.7-1.0.8 ↓
awplus(config-if)# lldp receive ↓
awplus(config-if)# exit ↓
■ LLDPではさまざまな情報を送信できますが、前記の基本設定では、必須とされている3つの情報要素(シャーシ識別子、ポート識別子、情報の有効期間)しか送信しません。
それ以外の情報を送信したい場合は、インターフェースモードのlldp tlv-selectコマンドで追加すべき情報を指定します。
たとえば、ポート1.0.1~1.0.6において、本製品がサポートしているすべての情報を送信させたい場合は、次のようにします。
awplus(config)# interface port1.0.1-1.0.6 ↓
awplus(config-if)# lldp tlv-select all ↓
■ LLDPパケットの受信が有効なポートで収集した他機器の情報は、SNMPで取得できるほか、show lldp neighbors interfaceコマンドでも確認できます。
SNMPでLLDPの情報を取得するためには、IPおよびSNMPの基本設定を行う必要があります。詳細は「IP」/「IPインターフェース」、「運用・管理」/「SNMP」をご覧ください。
awplus# show lldp neighbors interface port1.0.1 ↓
LLDP Neighbor Information:
Total number of neighbors on these ports .... 1
System Capability Codes:
O = Other P = Repeater B = Bridge W = WLAN Access Point
R = Router T = Telephone C = DOCSIS Cable Device S = Station Only
LLDP-MED Device Type and Power Source Codes:
1 = Class I 3 = Class III PSE = PoE Both = PoE&Local Prim = Primary
2 = Class II N = Network Con. Locl = Local Unkn = Unknown Back = Backup
Local Neighbor Neighbor Neighbor System MED
Port Chassis ID Port ID Sys Name Cap. Ty Pwr
--------------------------------------------------------------------------------
1.0.1 000a.7933.7b43 rl0 delirium.t. -------S
LLDPで収集した他機器の情報が変化したときにSNMPトラップを送信させるには、インターフェースモードのlldp notificationsコマンドを実行します。
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# lldp notifications ↓
なお、実際にSNMPトラップを送信するには、トラップ送信先などのSNMP基本設定に加え、snmp-server enable trapコマンドで「lldp」を有効にしておく必要があります。SNMPの基本設定については「運用・管理」/「SNMP」をご覧ください。
awplus(config)# snmp-server community viewers ro ↓
awplus(config)# snmp-server host 192.168.10.2 traps version 2c viewers ↓
awplus(config)# snmp-server enable trap lldp ↓
注意事項
- 本製品は物理スイッチポートでのみLLDPをサポートしています。LLDPパケットの送受信設定は、スイッチポートに対してのみ有効です。トランクグループ(スタティック、LACPとも)やVLANインターフェースに対してLLDPパケットの送受信設定をすることはできません。
- LLDPパケットは予約済みのマルチキャストMACアドレス01-80-c2-00-00-0e宛てに送信されます。通常、レイヤー2スイッチ(ブリッジ)はこのパケットを転送しないため、本製品とLLDP対応機器の間に他のスイッチが入る場合はLLDPによる情報の送受信ができません。本製品とLLDP対応機器はケーブルで直結するか、リピーターHUB(シェアードHUB)を介して接続してください。
- LLDPパケットは、送信スイッチポートのVLANタグ設定にかかわらず、つねにタグなしで送信されます。
- LLDPパケットは、スパニングツリープロトコルによってブロックされているポートでも送受信されます。
- LLDPパケットは、ポート認証機能によってブロックされているポートでは送受信されません。
- LLDPで収集した他機器の情報はシステム全体で1600件まで保持できます(スイッチポート単位の上限はありません)。1600件の情報が登録されている状態で新たな機器の情報を受信しても、管理テーブルに登録せずに破棄します。
- LLDPの送信元MACアドレスには、ローカルMACアドレスが使われます。
LLDP-MED
LLDP-MEDは、LLDPを利用してIP電話などを自動設定するための仕組みです。
本製品では、LLDP-MEDとボイスVLAN機能を併用することで、次のような環境に対応できます。
- LLDP-MEDに対応しているIP電話を本製品に接続したい。
- IP電話は、LAN接続用のポート以外にPC接続用のポートも持っている。
(L2スイッチを内蔵している)
- IP電話が送受信する音声データとその他のデータ(PCがIP電話内蔵のスイッチ経由で送受信するデータなど)を区別して、音声データを優先的に処理したい。
次に、前記の環境に対応するための基本設定を示します。
なお、ここでは次の構成を仮定します。
- ポート1.0.1~1.0.4にIP電話を接続する。
- ポート1.0.1~1.0.4はタグなしポートとしてvlan10に所属するよう設定する。
また、ボイスVLANとしてvlan100のタグ付きパケットも送受信できるよう設定する。
- ポート1.0.1~1.0.4では、接続されたIP電話に対し、音声データをvlan100のタグ付きパケットで送信するようLLDP-MEDで指示する。
- ポート1.0.1~1.0.4に接続されたIP電話は、LLDP-MEDによる指示を受けて、音声データをvlan100のタグ付きパケットで送受信する。
また、PCが送受信するデータなど音声以外のデータはタグなしパケットで送受信する。
- 他のポートの設定やQoSの設定についてはここでは触れない。
- 最初はボイスVLANの設定です。
vlan databaseコマンドでVLANモードに入り、通常データ用VLAN(vlan10)と音声データ用VLAN(vlan100)を作成します。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10,100 ↓
awplus(config-vlan)# exit ↓
- ポート1.0.1~1.0.4をvlan10所属のタグなしポート(アクセスポート)に設定します。
awplus(config)# interface port1.0.1-1.0.4 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 10 ↓
初期状態では、すべてのポートがアクセスポート(タグなしポート)に設定されているため、特に設定を変更していない場合は「switchport mode access」を省略できます。
- ポート1.0.1~1.0.4上の音声データ用VLAN(ボイスVLAN)としてvlan100を指定します(switchport voice vlanコマンド)。これにより、ポート1.0.1~1.0.4はvlan10(タグなし)とvlan100(タグ付き)に所属した状態となります。
awplus(config-if)# switchport voice vlan 100 ↓
awplus(config-if)# exit ↓
- ここからはLLDP-MEDの設定です。LLDP-MEDはLLDPの拡張機能なので、基本設定はLLDPと同じです。
初期設定では全ポートでLLDPパケットの送受信が有効なので、ポート1.0.1~1.0.4以外(ここでは1.0.5~1.0.8と仮定)でLLDPパケットの送受信を無効化します。
awplus(config)# interface port1.0.5-1.0.8 ↓
awplus(config-if)# no lldp transmit ↓
awplus(config-if)# no lldp receive ↓
awplus(config-if)# exit ↓
lldp transmitコマンドとlldp receiveコマンドは「no lldp receive transmit」のように一行で記述することもできます。
- システム全体でLLDPを有効化します。
LLDPを使うには、インターフェース(スイッチポート)ごとの設定とシステム全体設定の両方が有効になっている必要があります。
awplus(config)# lldp run ↓
設定は以上です。
LLDPを有効化すれば、LLDP-MEDの基本機能も自動的に有効化されます。
ポート1.0.1~1.0.4にLLDP-MED対応のIP電話が接続されると、本製品はLLDP-MEDの各種情報要素(TLV)をLLDPパケットに格納して送信します。さきほどの設定では、次のLLDP-MED情報要素が送信されます。
- LLDP-MED Capabilities TLV
本製品がLLDP-MEDに対応していることを示します。
- Network Policy TLV
IP電話に対してネットワーク設定情報(本製品ではボイスVLANの情報)を通知します。
前記の設定では次の情報を通知します。ボイスVLANの設定内容によって、通知される値は変わります。
■ 通知するLLDP-MED情報要素は、インターフェースモードのlldp med-tlv-selectコマンドで変更できます。すべてのLLDP-MED情報要素を無効化すると、LLDP-MEDは実質的に無効になります(LLDPの基本機能だけが動作)。
■ LLDP-MED対応機器がポートに接続されたときや、接続が解除されたときにSNMPトラップを送信させるには、インターフェースモードのlldp med-notificationsコマンドを実行します。
awplus(config)# interface port1.0.1-1.0.4 ↓
awplus(config-if)# lldp med-notifications ↓
なお、実際にSNMPトラップを送信するには、トラップ送信先などのSNMP基本設定に加え、snmp-server enable trapコマンドで「lldp」を有効にしておく必要があります。SNMPの基本設定については「運用・管理」/「SNMP」をご覧ください。
awplus(config)# snmp-server community viewers ro ↓
awplus(config)# snmp-server host 192.168.10.2 traps version 2c viewers ↓
awplus(config)# snmp-server enable trap lldp ↓
■ ポート認証のダイナミックVLAN機能を併用する場合は、次のような設定を行います。
ここでは、ローカルRADIUSサーバー、IEEE 802.1X認証、ダイナミックVLANを用いてIP電話とPCを認証し、音声データ用VLANと通常データ用VLANを動的に割り当てるように設定します。
- 使用するVLANを作成しておきます。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10,100 ↓
awplus(config-vlan)# exit ↓
- ローカルRADIUSサーバーに802.1X認証のユーザーを登録するため、RADIUSサーバーモードに入ります。
awplus(config)# radius-server local ↓
- 802.1X認証ユーザーへのVLAN割り当てを指定するため、ユーザーグループ「VoiceVLAN」を作成します。
音声データ用VLAN(タグ付き)と通常データ用VLAN(タグなし)の両方を割り当てることがここでのポイントです。
音声データ用VLANはegress-vlan-idコマンド(またはegress-vlan-nameコマンド)で、通常データ用VLANはvlanコマンドで指定します。
awplus(config-radsrv)# group VoiceVLAN ↓
awplus(config-radsrv-group)# vlan 10 ↓
awplus(config-radsrv-group)# egress-vlan-id 100 tagged ↓
awplus(config-radsrv-group)# exit ↓
- 802.1X認証ユーザーを作成します。
- IP電話
awplus(config-radsrv)# user Phone1 password Phone1!!! group VoiceVLAN ↓
awplus(config-radsrv)# user Phone2 password Phone2!!! group VoiceVLAN ↓
awplus(config-radsrv)# user Phone3 password Phone3!!! group VoiceVLAN ↓
awplus(config-radsrv)# user Phone4 password Phone4!!! group VoiceVLAN ↓
- PC
awplus(config-radsrv)# user PC1 password PC1!!!!! group VoiceVLAN ↓
awplus(config-radsrv)# user PC2 password PC2!!!!! group VoiceVLAN ↓
awplus(config-radsrv)# user PC3 password PC3!!!!! group VoiceVLAN ↓
awplus(config-radsrv)# user PC4 password PC4!!!!! group VoiceVLAN ↓
- ローカルRADIUSサーバーを有効にします。
awplus(config-radsrv)# server enable ↓
awplus(config-radsrv)# exit ↓
- 続いてポート認証の設定を行います。
最初に802.1X認証で使用するRADIUSサーバー(ここではローカルRADIUSサーバー)を指定し、システム全体で802.1X認証を有効化します。
awplus(config)# radius-server host 127.0.0.1 key awplus-local-radius-server ↓
awplus(config)# aaa authentication dot1x default group radius ↓
- ポート1.0.1~1.0.4で802.1X認証を有効化します。
各ポートにはIP電話だけでなく、(IP電話内蔵のスイッチ経由で)PCも接続されますので、ホストモードをMulti-Supplicantモードに変更するのを忘れないようにしてください。
awplus(config)# interface port1.0.1-1.0.4 ↓
awplus(config-if)# dot1x port-control auto ↓
awplus(config-if)# auth host-mode multi-supplicant ↓
- ポート1.0.1~1.0.4でダイナミックVLANを有効化し、さらにダイナミックVLANによって割り当てられたタグ付きVLAN(イーグレスVLAN)を音声データ用VLAN(ボイスVLAN)として使うよう設定します(switchport voice vlanコマンド)。
awplus(config-if)# auth dynamic-vlan-creation ↓
awplus(config-if)# switchport voice vlan dynamic ↓
awplus(config-if)# exit ↓
- ここからはLLDP-MEDの設定です。LLDP-MEDはLLDPの拡張機能なので、基本設定はLLDPと同じです。
初期設定では全ポートでLLDPパケットの送受信が有効なので、ポート1.0.1~1.0.4以外(ここでは1.0.5~1.0.8と仮定)でLLDPパケットの送受信を無効化します。
awplus(config)# interface port1.0.5-1.0.8 ↓
awplus(config-if)# no lldp transmit ↓
awplus(config-if)# no lldp receive ↓
awplus(config-if)# exit ↓
lldp transmitコマンドとlldp receiveコマンドは「no lldp receive transmit」のように一行で記述することもできます。
- システム全体でLLDPを有効化します。
LLDPを使うには、インターフェース(スイッチポート)ごとの設定とシステム全体設定の両方が有効になっている必要があります。
awplus(config)# lldp run ↓
設定は以上です。
LLDPを有効化すれば、LLDP-MEDの基本機能も自動的に有効化されます。
ポート1.0.1~1.0.4にLLDP-MED対応のIP電話が接続されると、本製品は802.1X認証を行い、認証に成功すると、RADIUSサーバーから通知されたVLAN(タグなしとタグ付き)にポートを所属させて、IP電話との通信を許可します。その後、本製品は、LLDP-MEDの各種情報要素(TLV)をLLDPパケットに格納して送信しますが、そのとき通知するVLAN IDは、ダイナミックVLANで割り当てられたタグ付きVLANのIDになります。
(C) 2015 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.BD