[index]
CentreCOM 8316XL/8324XL コマンドリファレンス 2.7
スイッチング/概要・基本設定
- ポートの指定方法
- 基本コマンド
- ポートトランキング
- ポートミラーリング
- 基本設定
- ハードウェアパケットフィルターによるミラーリング
- ポートセキュリティー
- パケットストームプロテクション
- ループガード
- LDF検出
- 併用可能な機能と注意事項
- MACアドレススラッシングプロテクション
- ポート帯域制限機能
- トリガー
- 省電力モード
本製品のスイッチポートは、ご購入時の状態ですべてイネーブルに設定されており、互いに通信可能な状態にあります。スタンドアローンのレイヤー2スイッチとして使うのであれば、特別な設定は必要ありません。設置・配線を行うだけで使用できます。
スイッチポートに対する設定コマンドには、複数のポートを一度に指定できるものがあります。
■ 1つのポートを指定
■ 連続するポート番号をハイフン区切りで指定
ADD VLAN=black PORT=3-7 ↓
■ 連続していないポート番号をカンマ区切りで指定
■ カンマとハイフンの組み合わせ指定
■ すべてのポートを意味する特殊なキーワードALLを指定
RESET SWITCH PORT=ALL COUNTER ↓
スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細はコマンドリファレンスをご覧ください。
■ ポートをイネーブルにするにはENABLE SWITCH PORTコマンドを使います。
■ ポートをディセーブルにするにはDISABLE SWITCH PORTコマンドを使います。
■ ポートの通信モード(通信速度とデュプレックスモード)を変更するにはSET SWITCH PORTコマンドのSPEEDパラメーターを使います。デフォルトはAUTONEGOTIATEです。
SET SWITCH PORT=2 SPEED=100MHALF ↓
■ ポートをハードウェア的にリセットするにはRESET SWITCH PORTコマンドを使います。
■ ポートの状態を確認するにはSHOW SWITCH PORTコマンドを使います。
■ ポートの送受信統計を見るにはSHOW SWITCH PORT COUNTERコマンドを使います。
SHOW SWITCH PORT=12 COUNTER ↓
■ ポートの統計カウンターをクリアするにはRESET SWITCH PORTコマンドにCOUNTERオプションをつけて実行します。COUNTERオプションをつけないと、ポートがハードウェア的にリセットされてしまうので注意してください(カウンターもクリアされる)。
RESET SWITCH PORT=ALL COUNTER ↓
■ デフォルトでは、すべてのポートでMDI/MDI-X自動切り替えが有効になっています。MDI/MDI-X自動切り替えを無効にするには、DISABLE SWITCH PORT AUTOMDIコマンドを実行します。
DISABLE SWITCH PORT=1 AUTOMDI ↓
■ MDI/MDI-X自動切り替えを無効にした直後のポートは、MDI-X固定になります。MDI/MDI-X自動切り替えが無効なポートでMDI/MDI-Xを変更するには、SET SWITCH PORTコマンドのPOLARITYパラメーターを使います。
SET SWITCH PORT=1 POLARITY=MDI ↓
ポートトランキングは複数の物理ポートを束ねてスイッチ間の帯域幅を拡大する機能です。束ねたポートはトランクグループと呼ばれ、論理的に1本のポートとして扱われます。トランクグループは、VLAN内でも単一ポートとして認識されます。また、トランクグループ内のポートに障害が発生しても残りのポートで通信が継続できるため、信頼性の向上にも貢献します。
Note
- 本製品はトランクグループを動的に設定するLACP(IEEE 802.3ad Link Aggregation Control Protocol)にも対応しています。LACPについては、「スイッチング」/「LACP(IEEE 802.3ad)」をご覧ください。
本製品ではトランクグループを6つまで作成できます。それぞれのトランクグループには、最大8ポートまで所属させることが可能です。ポートは隣接していなくてもかまいません。ただし、同一グループ内に10/100Mポートと1000Mポートを混在させることはできません。
ポートトランキングを使用するために最低限必要な設定について説明します。ここでは、ポート1-4を束ねて使用するものとします。
- トランクグループ「uplink」を作成します。グループ名は自由につけられますが、「LACP」で始まる名前は、LACP(Link Aggregation Control Protocol)によって自動生成されたトランクグループ用に予約されているため使用できません。
CREATE SWITCH TRUNK=uplink SPEED=100M ↓
- トランクグループにポートを追加します。束ねるポートはこの時点で同じVLANに所属していなくてはなりません。
ADD SWITCH TRUNK=uplink PORT=1-4 ↓
基本設定は以上です。
Note
- トランクグループの所属ポートは、すべて同一のVLAN設定である必要があります。すべての所属ポートは、同一VLANの所属で、同一のタグ設定(TAGGEDかUNTAGGED)にする必要があります。VLANへの追加・削除は、トランクグループの所属ポートすべてを一単位として行ってください。所属ポートのタグ設定を変更するときも同様です。
Note
- トランクグループにポートを追加したあとで、グループ全体あるいはグループ内のポートを所属VLANから削除することはできません。VLANから削除するには、DELETE SWITCH TRUNKコマンドを使ってあらかじめポートをトランクグループから外しておく必要があります。トランクグループにポートを割り当てた後で、別のVLANにグループ全体あるいはグループ内のポートを追加することは可能です。
Note
- ポートトランキングの設定は、トランクポートによって接続される両方のスイッチで行う必要があります。
Note
- ポートトランキングとイングレスフィルタリング、ポートトランキングとポート認証は併用できません(トランクポートでは、イングレスフィルタリング、ポート認証を使用できません)。
■ トランクグループの情報はSHOW SWITCH TRUNKコマンドで確認できます。
SHOW SWITCH TRUNK=uplink ↓
■ 送信時のポート選択基準はCREATE SWITCH TRUNKコマンド、SET SWITCH TRUNKコマンドのSELECTパラメーターで指定できます。次の例ではトランクグループ「uplink」のポート選択基準を、送信元MACアドレスに変更しています。デフォルトでは、送信元MACアドレスと宛先MACアドレスの両方(MACBOTH)を使って、トランク内のどのポートを使用するかが決定されます。
SET SWITCH TRUNK=uplink SELECT=MACSRC ↓
■ フラッディングパケットは、トランクグループ内で一番最初にリンクが確立されたポートから送出されます。
■ トランクグループに追加されたポートの通信モードは、SPEEDパラメーターで指定した速度のオートネゴシエーション(AUTONEGOTIATE)となります。個別ポートの設定はトランクグループに参加した時点で上書きされますが、内部的には保持されており、グループから抜けると元の設定に戻ります。
■ トランクグループからポートを削除するにはDELETE SWITCH TRUNKコマンドを使います。
DELETE SWITCH TRUNK=uplink PORT=4 ↓
■ トランクグループを削除するにはDESTROY SWITCH TRUNKコマンドを使います。所属ポートがあるときは削除できません。その場合は、先にDELETE SWITCH TRUNKコマンドで所属ポートを削除します。
DELETE SWITCH TRUNK=uplink PORT=ALL ↓
DESTROY SWITCH TRUNK=uplink ↓
ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、任意のポートのトラフィックをミラーポートでキャプチャーすることができます。
また、ハードウェアパケットフィルターを併用することで、Ethernetヘッダー情報や、IP/TCP/UDPヘッダー情報を元に特定のトラフィックだけをミラーポートにコピーするよう設定することも可能です。
なお、ポートミラーリング機能の仕様は以下のようになっています。
- ミラーポートは1つ、ソースポートは3つまで指定可能
- ハードウェアパケットフィルターによってミラーリングされたパケットは、すべてVLANタグが付いた状態でミラーポートに出力されます。
- ソースポートを複数設定している状態で、あるソースポートから入力されたパケットが、L2スイッチングされて別のソースポートから出力された場合、ミラーポートにはパケットが1個だけ出力されます。
ここではポート1をミラーポートに設定し、ポート5から送受信されるトラフィックがミラーポートにコピーされるようにします。
- ミラーポートを指定します。指定できるのはVLAN default所属のポートだけです。ミラーポートに指定したいポートがVLAN default以外に所属している場合は、最初に現在所属のVLANから削除しVLAN defaultの所属に戻した上で、SET SWITCH MIRRORコマンドを実行します。
DELETE VLAN=somevlan PORT=1 ↓
SET SWITCH MIRRORコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。
すでにミラーポートとして設定されているポートがあった場合、本コマンド実行によりそのポートはVLAN default所属のタグなしポートとなります。
Note
- トランクグループに参加しているポートをミラーポートに設定することはできません。
Note
- ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。
- ポートミラーリング機能を有効にします。
- ソースポートとトラフィックの向きを指定します。ここではポート5から送受信されるトラフィックをミラーポートにコピーします。
SET SWITCH PORT=5 MIRROR=BOTH ↓
Note
- 複数のポートをミラーしたいときは、SET SWITCH PORTコマンドを複数回実行してください(最大3ポートまで指定可能)。ただし、ミラーリング対象ポートを増やすことはパフォーマンス低下につながりますのでご注意ください。また、複数のソースポートを指定した場合で、かつ指定ポートにタグ付きとタグなしが混在している場合、送信パケットはすべてタグなしとしてミラーリングされます。
設定は以上です。
■ ポートミラーリングの設定を確認するにはSHOW SWITCHコマンドを実行します。ミラーポートはSHOW VLANコマンドの「Mirror Port」欄でも確認できます。また、ソースポートとミラー対象トラフィックはSHOW SWITCH PORTコマンドの「Mirroring」欄でも確認できます。
■ ポートミラーリング機能を無効にするにはDISABLE SWITCH MIRRORコマンドを実行します。
■ ミラーポートの設定を解除するにはSET SWITCH MIRRORコマンドにNONEを指定します。設定を解除されたポートはVLAN default所属のタグなしポートに戻ります。
■ ソースポートでのミラーリングをやめるにはSET SWITCH PORTコマンドのMIRRORパラメーターにNONEを指定します。
SET SWITCH PORT=5 MIRROR=NONE ↓
■ ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。SET SWITCH MIRRORコマンドを実行した時点で、ミラーポートはいずれのVLANにも所属していない状態となります。
■ 次の条件の場合、ソースポートから入力されたタグ付きパケットがタグなしパケットとして、またタグなしパケットがタグ付きパケットとして、ミラーポートから出力されます。
- タグなしのソースポートから入力したタグ付きのパケットで、タグのVLAN IDが機器に存在しない場合は、タグなしでミラーポートから出力されます。
- タグ付きのソースポートから入力したタグ付きパケットで、ソースポートの受信可能なフレームタイプがAcceptable All Frames(すべて)に設定されていて、かつ、タグのVLAN IDが機器に存在しない場合は、タグなしでミラーポートから出力されます。
- タグ付きのソースポートから入力したタグなしパケットで、ソースポートの受信可能なフレームタイプがAdmit Only Vlan-tagged Frames(VLANタグ付きフレームのみ)に設定されている場合は、タグ付きでミラーポートから出力されます。
ポートミラーリング機能とハードウェアパケットフィルターを併用すると、IPアドレスやTCP/UDPのポート番号を基準に、特定のIPトラフィックだけをミラーポートに送るよう設定することができます。
なお、仕様によりハードウェアパケットフィルター経由でミラーリングされたパケットは、VLANタグが付いた状態でミラーポートに出力されます。キャプチャーソフトがVLANタグを識別できない場合、IPパケットがプロトコルタイプ0x8100(802.1Qタグ)として表示される場合がありますのでご注意ください。
ここでは、ハードウェアパケットフィルターを使って、サーバー192.168.10.5に出入りするIPトラフィックだけをミラーポート(ポート1)にコピーする設定例を示します。
- ミラーポートを指定します。指定できるのはVLAN default所属のポートだけです。ミラーポートに指定したいポートがVLAN default以外に所属している場合は、最初に現在所属のVLANから削除しVLAN defaultの所属に戻した上で、SET SWITCH MIRRORコマンドを実行します。
DELETE VLAN=somevlan PORT=1 ↓
SET SWITCH MIRRORコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。
すでにミラーポートとして設定されているポートがあった場合、本コマンド実行によりそのポートはVLAN default所属のタグなしポートとなります。
Note
- トランクグループに参加しているポートをミラーポートに設定することはできません。
Note
- ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。
- ポートミラーリング機能を有効にします。
- ミラーリングするパケットの条件を指定するため、ハードウェアパケットフィルターを作成します。ここでは2つのフィルターを作成し、マッチ条件としてそれぞれ始点IPアドレスと終点IPアドレスを指定します。
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER MATCH=DIPADDR DCLASS=HOST ↓
- 各フィルターにフィルターエントリーを追加して、実際のフィルタリング条件を指定します。ここでの対象パケットは「192.168.10.5(サーバー)が始点となるIPパケット」と「192.168.10.5が終点となるIPパケット」であり、対象パケットに対するアクションは「SENDMIRROR(ミラーポートに送る)」となります。
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 ACTION=SENDMIRROR ↓
ADD SWITCH L3FILTER=2 ENTRY DIPADDR=192.168.10.5 ACTION=SENDMIRROR ↓
設定は以上です。
■ ミラーリング対象パケットに対して他のアクション(TOS優先度書き換え、プライオリティータグ付与など)を並行して適用したい場合は、手順4のACTIONパラメーターにカンマ区切りで複数のアクションを指定してください。
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 PRIORITY=7 ACTION=SENDMIRROR,SETPRIORITY ↓
ADD SWITCH L3FILTER=2 ENTRY DIPADDR=192.168.10.5 PRIORITY=7 ACTION=SENDMIRROR,SETPRIORITY ↓
このように同一エントリーで複数のアクションを指定せず、別のエントリーで他のアクションを指定すると、エントリー番号の大きいエントリー(通常あとから追加したエントリー)で指定されたアクションだけが適用されます。たとえば、上記の手順1〜5を実行したあとで下のコマンドを入力すると、プライオリティー付与だけが行われミラーポートへの出力は行われなくなります。
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 PRIORITY=7 ACTION=SETPRIORITY ↓
ADD SWITCH L3FILTER=2 ENTRY DIPADDR=192.168.10.5 PRIORITY=7 ACTION=SETPRIORITY ↓
また、一致するエントリーにDENYアクションが含まれている場合は、エントリーの順序に関係なくDENYアクション(破棄)が実行されます。これはハードウェアパケットフィルターの仕様です。
ハードウェアパケットフィルターの詳細については、「ハードウェアパケットフィルター」をご覧ください。
ポートセキュリティーは、MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。許可していないデバイスからフレームを受信したときには、パケットを破棄する、SNMPトラップを上げるなどのアクションを実行させることができます。
本機能は、SET SWITCH PORTコマンドのLEARNパラメーターで、ポートごとに学習可能なMACアドレス数の上限(0〜256個)を設定することによって有効になります。LEARNパラメーターに0を設定するか、学習済みのMACアドレスが制限値に達すると、学習機能を停止(ポートロック状態)し、それ以降に受信した未学習の送信元MACアドレスを持つフレームを不正なものとみなし、あらかじめ指定されたアクションを実行します。
アクションには次の種類があります(SET SWITCH PORTコマンドのINTRUSIONACTIONパラメーターで指定)
表 1
| アクション名 |
動作 |
| DISCARD |
不正なフレームを破棄する。 |
| TRAP |
不正なフレームを破棄し、SNMPトラップを送信する。 |
| DISABLE |
不正なフレームを破棄し、SNMPトラップを送信した後、該当ポートをディセーブルにする。 |
| LOG |
不正なフレームを破棄し、ログに記録する。 |
| TRAPCONTINUE |
SNMPトラップ通知済みの不正MACアドレスを検知すると再度SNMPトラップを通知する。 |
| LOGCONTINUE |
ログ保存済みの不正MACアドレスを検知すると再度ログに記憶する。 |
■ ポートに学習可能なMACアドレスの最大数と不正フレーム受信時のアクションを設定するには、SET SWITCH PORTコマンドを使います。たとえば、ポート11のMACアドレス学習数の上限を20個、アクションをDISABLEに設定するには次のようにします。
SET SWITCH PORT=11 LEARN=20 INTRUSIONACTION=DISABLE ↓
Note
- ポートに学習可能なMACアドレスの最大数と不正フレーム受信時のアクションを設定した場合は、ポートに接続されているデバイスを別のポートに移動させないでください。
Note
- TRAP/TRAPCONTINUEとLOG/LOGCONTINUEは、カンマで区切って同時に指定することができます。ただし、TRAPとTRAPCONTINUE、LOGとLOGCONTINUEは同時に指定することはできません。
SET SWITCH PORTコマンドでLEARNパラメーターを設定すると、すでに同ポートで学習していたアドレスエントリー(ダイナミックエントリー)がフォワーディングデータベースから削除され、エントリーなしの状態からアドレス学習が開始されます。
上限が設定されているときに学習したMACアドレスの扱いは、SET SWITCH PORTコマンドのRELEARNパラメーターの設定により異なります。デフォルトでは、OFFに設定されています。
- RELEARNパラメーターがONのとき(ダイナミックポートセキュリティー)、学習したMACアドレスはダイナミックMACアドレスとして扱われ、エージングによって削除されます(Dynamic Limitedモード)。
- RELEARNパラメーターがOFFのとき(通常のポートセキュリティー)は、学習したMACアドレスはスタティックMACアドレスとして扱われ、エージングによって削除されません(Limitedモード)。
Note
- ポートセキュリティーが有効なポートでは、ポート認証を使用できません。
学習アドレス数が上限に達すると、それ以降に受信した未知のアドレスからのフレームは「不正」なものと見なされ、INTRUSIONACTIONで指定したアクションが実行されます。
たとえば、アクションが「DISABLE」に設定されているときに不正フレームを受信すると、トラップ送信とポートのディセーブルが実行され、コンソール画面に次のように表示されます。
Manager >
Intrusion event. Disabling port 11
|
■ 学習済みのアドレスを確認するには、SHOW SWITCH FILTERコマンドを使います。ポートセキュリティーがオンのポートで学習されたアドレスは、Source欄に「learn」と表示されます。
SHOW SWITCH FILTER ↓
SHOW SWITCH FILTER PORT=11 ↓
■ ポートセキュリティーの設定状況はSHOW SWITCH PORTコマンドにSECURITYオプションを指定して確認します。「Learn」欄には学習可能なMACアドレス最大数(0〜256、セキュリティーオフ時は「-」)、「Relearn」欄にはポートセキュリティーモードの動作モード(OffかOnのいずれか)、「Learned」欄はMACアドレスの登録数(0〜256、セキュリティーオフ時は「-」)、「Locked」欄はポートロック状態(OffかOnのいずれか、セキュリティーオフ時は「-」、ACTIVATE SWITCH PORT LOCKコマンドによるロック時は「#」が付与されます)、「IntrusionAction」欄はロック状態で未学習のMACアドレスを受信したときのアクション(Disable、Discard、Trap、Log、TrapContinue、LogContinueのいずれか)が表示されます。
SHOW SWITCH PORT SECURITY ↓
SHOW SWITCH PORT=11 SECURITY ↓
■ 不正とみなされたMACアドレスはSHOW SWITCH PORT INTRUSIONコマンドで確認できます(SET SWITCH PORTコマンドのINTRUSIONACTIONにDISABLE、TRAP、LOG、TRAPCONTINUE、LOGCONTINUEを指定した場合)。
SHOW SWITCH PORT INTRUSION ↓
SHOW SWITCH PORT=11 INTRUSION ↓
■ 学習済みアドレス数が上限に達する前に手動でポートをロックするにはACTIVATE SWITCH PORT LOCKコマンドを使います。あらかじめSET SWITCH PORTコマンドで上限とアクションを設定した上で、ポートをロックします。
SET SWITCH PORT=ALL LEARN=256 INTRUSIONACTION=DISCARD ↓
ACTIVATE SWITCH PORT=ALL LOCK ↓
■ ポートセキュリティーがオンのポート(学習可能アドレスに上限が設定されているポート)に対して、通信を許可するアドレスを手動登録するには、ADD SWITCH FILTERコマンドにLEARNオプションを付けて実行します。すでに上限に達している場合であっても、本コマンドで手動追加した場合は上限値が引き上げられます。
ADD SWITCH FILTER DESTADDR=00-00-f4-88-88-88 ACTION=FORWARD PORT=11 LEARN ↓
Note
- LEARNオプションを付け忘れると通常のスタティックエントリーとなり、ポートセキュリティー機能における「学習済みアドレス」としてはカウントされませんのでご注意ください。
■ スタティックエントリーの削除はDELETE SWITCH FILTERコマンドで行います。ENTRY番号はSHOW SWITCH FILTERコマンドで確認してください。
DELETE SWITCH FILTER ENTRY=3 PORT=11 ↓
■ ポートのロックを解除する、あるいはポートセキュリティー機能をオフにするには、SET SWITCH PORTコマンドでアドレス学習の上限値(LEARNパラメーター)にNONEを設定します。ポートセキュリティーがオンのときに学習されたエントリーはデータベースから削除されます。
SET SWITCH PORT=11 LEARN=NONE ↓
■ ポートセキュリティー機能のアクションによってディセーブルにされたポートはENABLE SWITCH PORTコマンドではイネーブルに戻せません。この場合は、SET SWITCH PORTコマンドのLEARNパラメーターにNONEを指定してポートセキュリティーをオフにすると、イネーブルに戻ります。
Manager > enable switch port=11
Error (3087312): Port 11 has been disabled by the Port Security feature.
|
■ ポートセキュリティーの設定(学習済みアドレスやポートの状態)はCREATE CONFIGコマンドによって保存されます(SET SWITCH PORTコマンドのRELEARNパラメーターがOFFの場合)。
パケットストームプロテクションは、ポートグループごとにブロードキャスト/マルチキャスト/未学習のユニキャストフレームの受信レートに上限を設定し、パケットストームを防止するための機能です。設定値を上回るレートでこれらのフレームを受信した場合、フレームは破棄されます。本機能はデフォルトではオフになっています。
受信レートは、下記のポートグループ単位で設定します。
表 2:ポートグループ
| 機種 |
ポートグループ |
| 8316XL |
ポート1〜8 |
| ポート9〜16 |
| ポート17(拡張モジュール) |
| 8324XL |
ポート1〜8 |
| ポート9〜16 |
| ポート17〜24 |
| ポート25(拡張モジュール) |
| ポート26(拡張モジュール) |
制限できるのは以下のフレームです。かっこ内は設定パラメーターの名前です。
- ブロードキャストフレーム(BCLIMIT)
- マルチキャストフレーム(MCLIMIT)
- 未学習のユニキャストフレーム(DLFLIMIT)
受信レートの上限値は、1ポートグループあたり1つだけ設定できます。たとえば、ブロードキャストフレームの受信レートを1000個/秒に設定した場合、マルチキャストフレームと未学習のユニキャストフレームには、同じ値(1000個/秒)を設定するか、上限を設定しないかのどちらかの選択となります。
Note
- 受信レートの上限値は、ポートグループ単位での設定になりますが、1ポートあたりの上限値として動作します。
■ 受信レートの設定はSET SWITCH PORTコマンドで行います。ここでは、ポートグループ1-8に対して、ブロードキャストフレームの受信レートを1秒あたり1000個に制限します。
SET SWITCH PORT=1-8 BCLIMIT=1000 ↓
■ 受信レートの制限を解除するには値としてNONEか0を指定します。
SET SWITCH PORT=1-8 BCLIMIT=NONE ↓
■ パケットストームプロテクションの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Broadcast rate limit」、「Multicast rate limit」、「DLF rate limit」をご覧ください。
本製品ではループガードとして以下の2つをサポートしています。
ループ検出したポート番号をログ、トラップで管理者に通知することにより、ループの原因特定、対策が容易になります。設定方法については、「運用・管理」/「ログ」、「運用・管理」/「SNMP」をご覧ください。
- LDF検出
- MACアドレススラッシングプロテクション
LDF(Loop Detection Frame)とは、特殊な宛先MACアドレス(00-00-F4-27-71-01)を持った試験フレームです。
LDF検出機能を有効にしたポートでは、一定時間ごとにLDFを送出します。
送出したLDFが他の接続機器を経由するなどして戻ってきた場合、以下の条件をすべて満たす場合に、ループ状態と判断されます。
- LDFの送信元MACアドレスと機器自身のMACアドレスが一致すること
- 装置で保持している送信済みLDFの情報(LDF ID)と、LDFフレーム内のLDF IDの情報が一致すること
- その他、受信したLDFのフレームサイズやフィールドの一部をチェックした結果、本製品から送信したLDFと仕様が一致すること
LDF検出の仕様は、次のとおりです。
- アクション終了時のFDB全クリアは実施しない。
- トランクポートに対してLDF検出機能を有効にするよう指定した場合、トランクグループの全ポートについて機能が有効になる。
- LDFを送信したポートのVLAN IDと受信したポートのVLAN IDが異なる場合もループ状態と判定する。(VLANDISABLEを除く)
ループ状態と判断された場合、受信ポートで以下のアクションのうちいずれかを行います。
表 3:LDFによるループ検出時のアクション
| PORTDISABLE |
ポートをディセーブルにする:デフォルト |
| VLANDISABLE |
ループが発生したVLANに対してのみポートをディセーブルにする |
| LINKDOWN |
ポートを物理的にリンクダウンさせる |
| LOGONLY |
ポートの制御は行わず、ログへの記録とSNMPトラップの送信のみを行う |
| NONE |
動作を行わず、LDFの送受信およびカウンター処理のみを行う |
アクション実行後は、タイマーが起動し、指定した時間が経過するとアクション実行前の状態に戻ります。
■ ポート2のLDF検出機能を有効にするにはENABLE SWITCH LOOPDETECTIONコマンドを使用します。
ENABLE SWITCH LOOPDETECTION PORT=2 ↓
■ ポート2のLDF検出時のアクションをLINKDOWN(ポートを物理的にリンクダウンさせる)、アクションからの復帰時間を60秒に設定するにはSET SWITCH PORTコマンドを使用します。
SET SWITCH PORT=2 LOOPACTION=LINKDOWN BLOCKTIMEOUT=60 ↓
■ LDFの送出間隔を60秒に設定するにはSET SWITCH LOOPDETECTIONコマンドを使用します。
SET SWITCH LOOPDETECTION INTERVAL=60 ↓
■ ポート2のLDF検出機能の設定情報や状態を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。
SHOW SWITCH LOOPDETECTION PORT=2 ↓
■ ポート2のLDF検出機能のカウンターの情報を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。
SHOW SWITCH LOOPDETECTION COUNTER PORT=2 ↓
併用可能な機能と注意事項
スイッチポート単位で設定する機能のうち、同一ポート上でLDF検出と併用できるのは次の機能に限定されます。
- ポートトランキング・LACP
- MACアドレススラッシングプロテクション
- タグVLAN
- マルチプルVLAN(Protected Port VLAN)
- スパニングツリープロトコル(STP/RSTP)
- ポート認証(802.1X認証、MACベース認証)
なお、併用可能な機能についても下記の注意事項があります。
- ポートトランキング・LACP
- MACアドレススラッシングプロテクション
- MACアドレススラッシングプロテクションはLDF検出と目的が同じであるため、同一装置上で併用(同時使用)することは推奨しません。(ループ検出に時間がかかることがあります。)併用を行う場合は、MACアドレススラッシングプロテクションとLDF検出のアクションを一致させてください。
- 初期状態ではMACアドレススラッシングプロテクションが有効なため、LDF検出のみを使う場合は、全ポートでMACアドレススラッシングプロテクションを無効化(SET SWITCH PORT=ALL THRASHACTION=NONEを指定)、トランキングを使用している場合はトランク名ごとに無効化(SET SWITCH TRUNK=trunk THRASHACTION=NONE を指定)、LACPを使用している場合はLACP全体で無効化(SET LACP THRASHACTION=NONE を指定)してから、LDF検出を有効化してください。
- ポート認証(802.1X認証、MACベース認証)
- LDF検出とポート認証を併用した場合、アクションのうちVLANDISABLEは使用できません。(ポート認証とタグVLANが併用できないためです。)
MACアドレススラッシングプロテクションは、意図せぬループ構成などによって発生するMACアドレススラッシング(同一MACアドレスの登録ポートが頻繁に変更される現象)を検出した場合に、関連するポートでMACアドレスの学習やリンク状態を制御して、過負荷を回避するための機能です。MACアドレススラッシングを検出した場合の動作や、検出後の対応動作の持続時間は、ポート、スタティックおよびLACPによって自動生成されたトランクグループ単位で設定します。
表 4:MACアドレススラッシング検出時の動作
| LEARNDISABLE |
MACアドレスの学習を停止する |
| PORTDISABLE |
ポートまたはトランクグループをディセーブルにする |
| VLANDISABLE |
該当するVLANに対してのみポートまたはトランクグループをディセーブルにする |
| LINKDOWN |
ポートまたはトランクグループ内の全ポートを物理的にリンクダウンさせる |
| NONE |
なにもしない |
■ ポート単位での動作設定はSET SWITCH PORTコマンドで行います。ここでは、ポートグループ1-8に対して、MACアドレススラッシング検出時に、スラッシングが発生したVLANに対してのみポートをディセーブルにするよう設定します。
SET SWITCH PORT=1-8 THRASHACTION=VLANDISABLE ↓
■ MACアドレススラッシングに対する動作の持続時間を1〜86400秒の範囲またはNONE(無期限)で指定します。ここでは持続時間を5秒に設定します。
SET SWITCH PORT=1-8 THRASHTIMEOUT=5 ↓
■ スタティックなトランクグループへの動作設定は、SET SWITCH TRUNKコマンドで行います。また、新規にトランクグループを作成する際に、あわせて設定することも可能です。ここでは、既存のトランクグループ「uplink」に対して設定を行います。
SET SWITCH TRUNK=uplink THRASHACTION=LEARNDISABLE THRASHTIMEOUT=1 ↓
■ LACPによって自動生成されるトランクグループへの動作設定は、SET LACPコマンドで行います。ここでは、LACPによって自動生成されるトランクグループに対して設定を行います。
SET LACP THRASHACTION=PORTDISABLE THRASHTIMEOUT=5 ↓
■ 本製品全体に対するMACアドレススラッシングの検出しきい値の設定は、SET SWITCH THRASHLIMITコマンドで行います。ここでは、1秒間に10回以上の変更を検出した場合にスラッシングと見なすよう設定します。
SET SWITCH THRASHLIMIT=10 ↓
本製品では、スイッチポートごとに送信レート、受信レートを制限することができます。
帯域制限の設定はSET SWITCH PORTコマンドのINGRESSLIMIT(受信レート)、EGRESSLIMIT(送信レート)パラメーターで行います。ポートの速度(10/100Mか1000Mか)によって指定できる値の範囲と単位が異なるので注意してください。
■ ポート1の受信レートを20480Kbps(20Mbps)に制限するには、次のようにします。受信レートの上限値は、10/100Mポートの場合は1000〜127000(Kbps)、1000Mポートの場合は8〜1016(Mbps)の範囲で指定します。
SET SWITCH PORT=1 INGRESSLIMIT=20480 ↓
Note
- 10/100Mポートで指定値が1000Kbpsの倍数でないとき、実際の受信レート上限値は1000Kbpsの倍数になるように切り上げられます。1000Mポートの場合は、8Mbpsの倍数になるように切り上げられます。
Note
- スイッチポートに受信レート上限値(INGRESSLIMIT)を設定している場合、同ポートを経由したTCPの通信では、TCPデータのスループットが設定した上限値よりも低くなります(低下の度合いは通信状況に依存します)。これはTCPプロトコルの特性として、帯域制限機能によって破壊されたパケットの再送処理などが発生するためです。また、TCP以外においても、同様の再送処理を行うプロトコルでは、この現象が発生する可能性があります。
Note
- ポート帯域制限機能の受信レート上限値(INGRESSLIMIT)とハードウェアパケットフィルターを併用している場合、ハードウェアパケットフィルターのNODROPエントリーにマッチしたパケットに対して、受信レート上限値が適用されないことがあります。これを回避するには、EDITコマンドで設定ファイルを開き、受信レート上限値の設定コマンド(SET SWITCH PORT=x INGRESSLIMIT=x)がハードウェアパケットフィルター設定コマンドの後にくるよう編集するか、あるいは、次のような再起動トリガーを定義して、起動時に受信レート上限値の設定が自動的に再入力されるようにしてください。
- 再起動トリガーの設定例
ENABLE TRIGGER ↓
CREATE TRIGGER=1 REBOOT=ALL SCRIPT=INGRESS.SCP ↓
- トリガースクリプトINGRESS.SCPの例
SET SWITCH PORT=1 INGRESSLIMIT=1000 ↓
■ 拡張スロットに1000M拡張モジュールを装着している場合(8316XLはポート17、8324XLはポート25またはポート26)の送信レートを500Mbpsに制限するには、次のように指定します。送信レートの上限値は、10/100Mポートの場合は1000〜127000(Kbps)、1000Mポートの場合は8〜1016(Mbps)の範囲で指定します。
SET SWITCH PORT=25 EGRESSLIMIT=500 ↓
Note
- 10/100Mポートで指定値が1000Kbpsの倍数でないとき、実際の送信レート上限値は1000Kbpsの倍数になるように切り上げられます。1000Mポートの場合は、8Mbpsの倍数になるように切り上げられます。
■ ポートの帯域制限を解除するには値としてNONEか0を指定します。
SET SWITCH PORT=25 EGRESSLIMIT=NONE ↓
■ ポート帯域制限機能の設定状況はSHOW SWITCH PORTコマンドで確認できます。「Ingress rate limit」、「Egress rate limit」をご覧ください。
トリガー機能を使用すると、スイッチポートのリンクアップ、リンクダウン時に任意のスクリプトを実行させることができます。
スイッチポートのリンクアップ、リンクダウンは、スイッチングモジュール固有のモジュールトリガーを使って捕捉します。
CREATE TRIGGER MODULEコマンド、SET TRIGGER MODULEコマンドに、スイッチングモジュール固有のパラメーターを加えたコマンド構文は次のようになります。
CREATE TRIGGER=trigger-id MODULE=SWITCH EVENT={LINKDOWN|LINKUP} PORT=port [AFTER=time] [BEFORE=time] [{DATE=date|DAYS=day-list}] [NAME=string] [REPEAT={YES|NO|ONCE|FOREVER|count}] [SCRIPT=filename...] [STATE={ENABLED|DISABLED}] [TEST={YES|NO|ON|OFF}]
SET TRIGGER=trigger-id PORT=port [AFTER=time] [BEFORE=time] [{DATE=date|DAYS=day-list}] [NAME=string] [REPEAT={YES|NO|ONCE|FOREVER|count}] [TEST={YES|NO|ON|OFF}]
PORTパラメーターにはスイッチポートの番号を、EVENTパラメーターにはLINKDOWN(リンクダウン)かLINKUP(リンクアップ)のいずれかを指定します。
このトリガーは、PORTパラメーターで指定したスイッチポートがリンクアップするか(EVENT=LINKUPのとき)、リンクダウンするか(EVENT=LINKDOWNのとき)したときに起動されます。
トリガーから実行されるスクリプトには、特殊な引数として%D(日付)、%T(時刻)、%N(システム名)、%S(シリアル番号)が渡されます。また、引数%1としてスイッチポートの番号も渡されます。
次に例を示します。ここでは、スイッチポート3がリンクダウンしたらlinkdown.scpを、リンクアップしたらlinkup.scpを実行するように設定します。これらのスクリプトでは、MAILコマンドを使って管理者にメールで通知するようにします。
なお、IPやメールの設定はすんでいるものと仮定します。IPの設定については「IP」の章を、メールの設定については「運用・管理」/「メール送信」をご覧ください。
- トリガー機能を有効にします。
- リンクダウン時にlinkdown.scpを実行するトリガー「1」を作成します。
CREATE TRIGGER=1 MODULE=SWITCH EVENT=LINKDOWN PORT=3 SCRIPT=linkdown.scp ↓
- リンクアップ時にlinkup.scpを実行するトリガー「2」を作成します。
CREATE TRIGGER=2 MODULE=SWITCH EVENT=LINKUP PORT=3 SCRIPT=linkup.scp ↓
スクリプト「linkdown.scp」
MAIL TO=admin@is.mydomain.com SUBJECT="%N #%1 linkdown" MESSAGE="%D %T %N(SN:%S) Port %1 linkdown"
|
スクリプト「linkup.scp」
MAIL TO=admin@is.mydomain.com SUBJECT="%N #%1 linkup" MESSAGE="%D %T %N(SN:%S) Port %1 linkup"
|
ここではトリガースクリプト起動時に渡される特別な引数を使って、スイッチのシステム名(%N)やシリアル番号(%S)、日時(%D、%T)をメールのサブジェクトと本文に埋め込んでいます。次に、メールメッセージの例を示します。
Subject: ud-sw #3 linkdown
From: manager@ud-sw.mydomain.com
To: <admin@is.mydomain.com>
Date: Thu, 22 Sep 2005 19:02:41
22-Sep-2005 19:02:41 ud-sw(SN:1193046) Port 3 linkdown
|
省電力モードは、リンクしていないスイッチポートへの電力供給を制限し、消費電力を抑える機能です。本機能の設定は、スイッチポート別ではなく、装置全体に対して機能します。本機能は、デフォルトで無効に設定されています。
■ 本製品の省電力モードを有効にするには、ENABLE SWITCH POWERSAVEコマンドを使います。
ENABLE SWITCH POWERSAVE ↓
Copyright (C) 2004-2010 アライドテレシスホールディングス株式会社
PN: J613-M0249-11 Rev.J