[index]
CentreCOM 9424T/SP-E、9424Ts/XP-E コマンドリファレンス 2.4
スイッチング/概要・基本設定
- ポートの指定方法
- 基本コマンド
- ポートトランキング
- ポートミラーリング
- 基本設定
- ポートセキュリティー
- ループガード
- パケットストームプロテクション
- 受信レート検出
- ブロードキャスト/マルチキャスト/未学習のユニキャストフレームのフィルタリング
本製品のスイッチポートは、ご購入時の状態ですべてイネーブルに設定されており、互いに通信可能な状態にあります。スタンドアローンのレイヤー2スイッチとして使うのであれば、特別な設定は必要ありません。設置・配線を行うだけで使用できます。
スイッチポートに対する設定コマンドには、複数のポートを一度に指定できるものがあります。
■ 1つのポートを指定
■ 連続するポート番号をハイフン区切りで指定
ADD VLAN=black PORT=3-7 ↓
■ 連続していないポート番号をカンマ区切りで指定
■ カンマとハイフンの組み合わせ指定
■ すべてのポートを意味する特殊なキーワードALLを指定
RESET SWITCH PORT=ALL COUNTER ↓
スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細はコマンドリファレンスをご覧ください。
■ ポートをイネーブルにするにはENABLE SWITCH PORTコマンドを使います。
■ ポートをディセーブルにするにはDISABLE SWITCH PORTコマンドを使います。
■ ポートの通信モード(通信速度とデュプレックスモード)を変更するにはSET SWITCH PORTコマンドのSPEEDパラメーターを使います。デフォルトはAUTONEGOTIATEです。
SET SWITCH PORT=2 SPEED=100MHALF ↓
■ ポートをハードウェア的にリセットするにはRESET SWITCH PORTコマンドを使います。
■ ポートの状態を確認するにはSHOW SWITCH PORTコマンドを使います。
■ ポートの送受信統計を見るにはSHOW SWITCH PORT COUNTERコマンドを使います。
SHOW SWITCH PORT=12 COUNTER ↓
■ ポートの統計カウンターをクリアするにはRESET SWITCH PORTコマンドにCOUNTERオプションをつけて実行します。COUNTERオプションをつけないと、ポートがハードウェア的にリセットされてしまうので注意してください(カウンターもクリアされる)。
RESET SWITCH PORT=ALL COUNTER ↓
ポートトランキングは複数の物理ポートを束ねてスイッチ間の帯域幅を拡大する機能です。束ねたポートはトランクグループと呼ばれ、論理的に1本のポートとして扱われます。トランクグループは、VLAN内でも単一ポートとして認識されます。また、トランクグループ内のポートに障害が発生しても残りのポートで通信が継続できるため、信頼性の向上にも貢献します。
ポートトランキング機能の仕様は、以下のようになっています。
- トランクグループを6つまで作成可能
- それぞれのトランクグループには、最大8ポートまで所属させることが可能
- 同一グループ内に、異なるタイプのポートを混在させることはできない
- SFPポートにポートトランキングを設定する場合は、2ポートともリンクダウンした状態で設定を行う
- 隣接していないポートでも、同一グループに所属させることができる
- 同一グループに所属するポートの、通信速度とデュプレックスモードの設定およびフローコントロールの設定は、同じ設定でなければならない(設定が異なっている場合は、グループの中でポート番号が一番小さいポートの設定で上書きされます)
- 同一グループに所属するポートは、同一VLANに所属し、同一のタグ設定(TAGGEDまたはUNTAGGED)でなければならない
ポートトランキングを使用するために最低限必要な設定について説明します。ここでは、ポート1-4を束ねて使用するものとします。
■ トランクグループを作成するには、CREATE SWITCH TRUNKコマンドを使用します。ここでは、トランクグループ「uplink」を作成します。グループ名は自由につけられます。
CREATE SWITCH TRUNK=uplink PORT=1-4 ↓
Note
- ポートトランキングの設定は、トランクポートによって接続される両方のスイッチで行う必要があります。
Note
- 2つのグループ内の接続は、それぞれのグループ内で、ポート番号が最も小さいポートからポート番号順に接続してください。
Note
- ポートトランキングとIGMP Snooping、MLD Snooping、ポートセキュリティー、マルチプルスパニングツリープロトコルは併用できません。
Note
- ポートのデュプレックスモードが「Half Duplex」のポートを、トランキンググループに追加しないでください。
■ トランクグループの情報はSHOW SWITCH TRUNKコマンドで確認できます。
■ 送信時のポート選択基準はCREATE SWITCH TRUNKコマンド、SET SWITCH TRUNKコマンドのSELECTパラメーターで指定できます。次の例ではトランクグループ「uplink」のポート選択基準を、送信元MACアドレスに変更しています。デフォルトでは、送信元MACアドレスと宛先MACアドレスの両方(MACBOTH)を使って、トランク内のどのポートを使用するかが決定されます。
SET SWITCH TRUNK=uplink SELECT=MACSRC ↓
■ フラッディングパケットは、トランクグループ内でポート番号が一番小さいポートから送出されます。
■ トランクグループにポートを追加するにはADD SWITCH TRUNKコマンドを使います。
ADD SWITCH TRUNK=uplink PORT=5-7 ↓
Note
- トランクグループに追加されたポートの通信モードは、グループの中でポート番号が一番小さいポートの設定で上書きされます。ポートを追加する場合は、設定に注意してください。
■ トランクグループからポートを削除するにはDELETE SWITCH TRUNKコマンドを使います。
DELETE SWITCH TRUNK=uplink PORT=4 ↓
■ トランクグループを削除するにはDESTROY SWITCH TRUNKコマンドを使います。
DESTROY SWITCH TRUNK=uplink ↓
ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、任意のポートのトラフィックをミラーポートでキャプチャーすることができます。
なお、ポートミラーリング機能の仕様は以下のようになっています。
- ソースポートは複数指定可能
- ソースポートを複数設定している状態で、あるソースポートから入力されたパケットが、L2スイッチングされて別のソースポートから出力された場合、ミラーポートにはパケットが1個だけ出力されます。
ここではポート1をミラーポートに設定し、ポート5から送受信されるトラフィックがミラーポートにコピーされるようにします。
- ミラーポートを指定します。SET SWITCH MIRRORコマンドを実行すると、指定ポートはミラーポートとして設定ます。
Note
- ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。
- ソースポートとトラフィックの向きを指定します。ここではポート5から送受信されるトラフィックをミラーポートにコピーします。
SET SWITCH PORT=5 MIRROR=BOTH ↓
Note
- トランクグループに参加しているポートをミラーポートに設定することはできません。
Note
- 複数のポートをミラーしたいときは、SET SWITCH PORTコマンドを複数回実行してください。ただし、ミラーリング対象ポートを増やすことはパフォーマンス低下につながりますのでご注意ください(複数のソースポートを指定すると、ミラーポートですべてのパケットを処理できないことがあります)。また、複数のソースポートを指定した場合で、かつ指定ポートにタグ付きとタグなしが混在している場合、送信パケットはすべてタグなしとしてミラーリングされます。
設定は以上です。
■ ポートミラーリングの設定を確認するにはSHOW SWITCH MIRRORコマンドを実行します。ポートミラーリングの状態とミラーポートは、SHOW SWITCH PORTコマンドの「Mirroring State」欄および「Is this port mirror port」でも確認できます。
■ ミラーポートの設定を解除し、ポートミラーリング機能を無効にするにはSET SWITCH MIRRORコマンドで、0またはNONEを指定します。
■ ソースポートでのミラーリングをやめるにはSET SWITCH PORTコマンドのMIRRORパラメーターにNONEを指定します。
SET SWITCH PORT=5 MIRROR=NONE ↓
■ ソースポートから入力したパケットと、ミラーポートから出力されるパケットの関係は、次のようになります。
- 入力したパケットがタグなし、かつソースポートと同一のVLANにミラーポートがタグなしポートとして所属している場合、タグなしとして出力される
- 入力したパケットがタグなし、かつソースポートと異なるVLANにミラーポートがタグなしポートとして所属している場合、タグ付きとして出力される
- 入力したパケットがタグ付き、かつタグのVIDと同一のVLANにミラーポートがタグなしポートとして所属している場合、タグなしとして出力される
- 入力したパケットがタグ付き、かつタグのVIDと異なるVLANにミラーポートがタグなしポートとして所属している場合、タグ付きとして出力される
表にすると、下記のようになります。
条件欄のソースポートのVID、ミラーポートのVID、タグのVIDは、下記を意味します。
ソースポートのVID:ソースポートがタグなしポートとして所属しているVLANのVID
ミラーポートのVID:ミラーポートがタグなしポートとして所属しているVLANのVID
タグのVID:ミラー対象パケットに付いているタグのVID
表 1
| ミラー対象パケット |
条件 |
ミラーリングされたパケット |
| タグなし |
ソースポートのVIDとミラーポートのVIDが同じ |
タグなし |
| タグなし |
ソースポートのVIDとミラーポートのVIDが同じでない |
タグ付き |
| タグ付き |
タグのVIDとミラーポートのVIDが同じ |
タグなし |
| タグ付き |
タグのVIDとミラーポートのVIDが同じでない |
タグ付き |
Note
- 本製品宛のICMP Echo Requestパケットをミラーリングすると、送信元MACアドレスが本製品自身のMACアドレスに書き換えられて出力されます。さらに、9424T/SP-Eについては、タグが付与されて出力されます。
ポートセキュリティーは、MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。許可していないデバイスからフレームを受信したときには、パケットを破棄する、SNMPトラップを上げるなどのアクションを実行させることができます。
本機能は、SET SWITCH PORT SECURITYMODEコマンドでセキュリティーモードを設定することによって有効になります。SET SWITCH PORT SECURITYMODEコマンドで設定できるのは、次の3種類のモードです。
表 2
| モード |
説明 |
| AUTOMATIC |
通常の学習モード(セキュリティーモード無効)。 |
| LIMITED |
学習可能なMACアドレス数の最大数を設定したセキュリティーモード。学習済みのMACアドレスが制限値に達すると学習機能を停止する。学習されたMACアドレスは、スタティックMACアドレスとして扱われる。学習可能なMACアドレスの最大数は、LEARNパラメーターで設定。 |
| SECURED |
学習機能を停止し、それまでに学習済みのMACアドレスをスタティックエントリーとし、セキュリティーモードとなる。 |
Note
- ポートセキュリティーが有効なポートでは、ポート認証、ポートトランキングを使用できません。また、ポートセキュリティーとスパニングツリープロトコルは併用できません。
■ ポートに、LIMITEDモードのポートセキュリティーを設定するには、SET SWITCH PORT SECURITYMODEコマンドを使います。たとえば、ポート11のMACアドレス学習数の上限を20個、アクションをDISABLEに設定するには次のようにします。
SET SWITCH PORT=11 SECURITYMODE=LIMITED LEARN=20 INTRUSIONACTION=DISABLE PARTICIPATE=ON ↓
セキュリティーモードにLIMITEDモードを設定すると、すでに同ポートで学習していたアドレスエントリー(ダイナミックエントリー)がフォワーディングデータベースから削除され、エントリーなしの状態からアドレス学習が開始されます。
また、ポートセキュリティーがLIMITEDモードの場合、学習済みのMACアドレスが制限値に達した後で受信した、未学習の送信元MACアドレスを持つフレームを不正なものとみなし、あらかじめ指定されたアクションを実行します。
アクションには次の種類があります(SET SWITCH PORT SECURITYMODEコマンドのINTRUSIONACTIONパラメーターで指定)。
表 3
| アクション名 |
動作 |
| DISCARD |
不正なフレームを破棄する。 |
| TRAP |
不正なフレームを破棄し、SNMPトラップを送信する。 |
| DISABLE |
不正なフレームを破棄し、SNMPトラップを送信した後、該当ポートをディセーブルにする。 |
たとえば、アクションが「DISABLE」に設定されているときに不正フレームを受信すると、トラップ送信とポートのディセーブルが実行され、コンソール画面に次のように表示されます。
Note
- INTRUSIONACTIONパラメーターで不正なフレームを受信したときのアクションを指定する場合は、PARTICIPATEパラメーターにONを指定しないと、アクションは実行されません。
Note
- ポートに学習可能なMACアドレスの最大数と不正フレーム受信時のアクションを設定した場合は、ポートに接続されているデバイスを別のポートに移動させないでください。
■ ポートに、SECUREDモードのポートセキュリティーを設定するには、SET SWITCH PORT SECURITYMODEコマンドを使います。
SET SWITCH PORT=12 SECURITYMODE=SECURED ↓
■ 学習済みのアドレスを確認するには、SHOW SWITCH FDBコマンドを使います。ポートセキュリティーがオンのポートで学習されたアドレスは、Source欄に「Static」と表示されます。
SHOW SWITCH FDB ↓
SHOW SWITCH FDB PORT=11 ↓
■ ポートセキュリティーの設定状況はSHOW SWITCH PORT SECURITYMODEコマンドで確認できます。「Security Mode」欄には現在のセキュリティーモード、「Intrusion action」欄には不正フレーム受信時のアクション、「Participating」欄には不正フレーム受信時のアクションの有効・無効、「MAC Limit」欄には現在設定されている学習可能なMACアドレスの上限が表示されます
SHOW SWITCH PORT SECURITYMODE ↓
SHOW SWITCH PORT=11 SECURITYMODE ↓
■ 不正なフレームを受信したかどうかは、SHOW SWITCH PORT INTRUSIONコマンドで確認できます。
SHOW SWITCH PORT INTRUSION ↓
SWOW SWITCH PORT=11 INTRUSION ↓
■ ポートセキュリティーが有効なポートに対して、通信を許可するアドレスを手動登録するには、ADD SWITCH FILTERコマンドまたはADD SWITCH FDBコマンドを使って、スタティックMACアドレスを登録します。
ADD SWITCH FILTER MACADDRESS=00-00-f4-ab-cd-ef PORT=10 VLAN=1 ↓
ADD SWITCH FDB MACADDRESS=00-00-f4-ab-cd-ef PORT=10 VLAN=Default_VLAN ↓
■ スタティックエントリーの削除はDELETE SWITCH FILTERコマンドまたはDELETE SWITCH FDBコマンドで行います。
DELETE SWITCH FILTER MACADDRESS=00-00-f4-ab-cd-ef VLAN=1 ↓
DELETE SWITCH FDB MACADDRESS=00-00-f4-ab-cd-ef VLAN=1 ↓
■ ポートセキュリティー機能をオフにするには、SET SWITCH PORT SECURITYMODEコマンドでSECURITYモードにAUTOMATICを設定します。
LIMITEDモードが設定され、学習可能なMACアドレスの最大数まで学習されたスタティックエントリーはデータベースから削除されますが、SECUREDモードを設定して、スタティックエントリーとなった学習済みのアドレスは削除されません。
SET SWITCH PORT=11 SECURITYMODE=AUTOMATIC ↓
■ ポートセキュリティー機能のアクションによってディセーブルにされたポートはENABLE SWITCH PORTコマンドでイネーブルに戻します。
# enable switch port=1
#
Port 11: Link UP (100Mbps Full-Duplex, 10/100/1000Base-T)
|
■ ポートセキュリティーの設定(セキュリティーモードに関する設定やポートの状態)はCREATE CONFIGコマンドまたはSAVE CONFIGURATIONコマンドによって保存されます。SECUREDモードを設定して、スタティックエントリーとなった学習済みのアドレスは保存されますが、LIMITEDモードを設定してスタティックエントリーとなった学習済みのアドレスは保存されません。
本製品ではループガードとして以下の2つをサポートしています。
パケットストームプロテクションは、ポートごとにブロードキャスト/マルチキャスト/未学習のユニキャストフレームの受信レートに上限を設定し、パケットストームを防止するための機能です。設定値を上回るレートでこれらのフレームを受信した場合、フレームは破棄されます。本機能はデフォルトではオフになっています。
制限できるのは以下のフレームです。かっこ内は設定パラメーターの名前です。
- ブロードキャストフレーム(BCASTRATELIMITING、BCASTRATE)
- マルチキャストフレーム(MCASTRATELIMITING、MCASTRATE)
- 未学習のユニキャストフレーム(UNKUCASTRATELIMITING、UNKUCASTRATE)
受信レートの上限値は、本製品全体で1つだけ設定できます。たとえば、ブロードキャストフレームの受信レートを1000個/秒に設定した場合、マルチキャストフレームと未学習のユニキャストフレームには、同じ値(1000個/秒)を設定するか、上限を設定しないかのどちらかの選択となります。
■ 受信レートの設定はSET SWITCH PORTコマンドで行います。ここでは、ポート1-8に対して、ブロードキャストフレームの受信レートの設定を有効とし、受信レートを1秒あたり1000個に制限します。
SET SWITCH PORT=1-8 BCASTRATELIMITING=YES BCASTRATE=1000 ↓
■ 受信レートの制限を解除するには次のようにします。
SET SWITCH PORT=1-8 BCASTRATELIMITING=NO ↓
■ パケットストームプロテクションの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Broadcast Rate Limiting Status」、「Broadcast Rate」、「Multicast Rate Limiting Status」、「Multicast Rate」、「Unknown Unicast Rate Limiting Status」、「Unknown Unicast Rate」をご覧ください。
受信レート検出機能を有効にしたポートでは、一定時間ごとに受信レートを算出し、指定されたしきい値と比較して、しきい値を超えた場合にループ状態と判断されます。
受信レートは1ポートにつき、2レベル(LOWRATE、HIGHRATE)設定できます。各レベルに対して、受信レートしきい値とアクションを設定できます。
受信レートがしきい値を越えたポートに対し、以下のアクションのうちいずれかを行います。
- ポートをリンクダウンする。
- ポートのブロードキャストフレームのみ、受信を止める。
アクション実行後は、タイマーが起動し、指定した時間が経過するとアクション実行前の状態に戻ります。
■ ポート2の受信レート検出機能を有効にするにはENABLE SWITCH PORT STORMDETECTIONコマンドを使用します。
ENABLE SWITCH PORT=2 STORMDETECTION ↓
■ ポート2の高レートのしきい値を1048576Kbps、アクションをBCASTDISCARD(ブロードキャストパケットを破棄する)に設定するにはSET SWITCH PORT STORMDETECTIONコマンドを使用します。
SET SWITCH PORT=2 STORMDETECTION HIGHRATETHRESHOLD=1048576 HIGHRATEACTION=BCASTDISCARD ↓
■ ポート2の受信レート検出機能の設定情報を表示するにはSHOW SWITCH PORT STORMDETECTIONコマンドを使用します。
SHOW SWITCH PORT=2 STORMDETECTION CONFIG ↓
■ ポート2の受信レート検出機能の状態を表示するにはSHOW SWITCH PORT STORMDETECTIONコマンドを使用します。
SHOW SWITCH PORT=2 STORMDETECTION STATUS ↓
■ ポート2の受信レート検出機能のカウンターの情報を表示するにはSHOW SWITCH PORT STORMDETECTIONコマンドを使用します。
SHOW SWITCH PORT=2 STORMDETECTION COUNTER ↓
| ブロードキャスト/マルチキャスト/未学習のユニキャストフレームのフィルタリング |
ブロードキャスト/マルチキャスト/未学習のユニキャストフレームのフィルタリング機能は、ポートごとに、ブロードキャスト/マルチキャスト/未学習のユニキャストフレームを受信しないようにし、ネットワークのパフォーマンスの低下を防ぐ機能です。
それぞれのフィルタリング機能を有効にすると、受信した該当パケットはすべて破棄されます。本機能は、デフォルトではオフになっています。
フィルタリングの設定は、SET SWITCH PORTコマンドで行います。ここでは、ポート1-8に対して、ブロードキャストフレームのフィルタリング機能を有効とします。
SET SWITCH PORT=1-8 BCASTFILTERING=YES ↓
■ フィルタリング機能を無効にするには次のようにします。
SET SWITCH PORT=1-8 BCASTFILTERING=NO ↓
■ ブロードキャスト/マルチキャスト/未学習のユニキャストフレームのフィルタリングの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Broadcast Filter」、「Unknown Multicast Filter」、「Unknown Unicast Filter」をご覧ください。
(C) 2006-2008 アライドテレシスホールディングス株式会社
PN: 613-000699 Rev.C