[index]
CentreCOM 9924Ts コマンドリファレンス 3.1
スイッチング/ポート
- ポートの指定
- ポート番号
- 複数ポートの指定方法
- 基本コマンド
- ポートトランキング
- ポートミラーリング
- 基本設定
- ポートセキュリティー
- パケットストームプロテクション
- ポート帯域制限機能
- トリガー
本製品のスイッチポートは、ご購入時の状態ですべてイネーブルに設定されており、互いに通信可能な状態にあります。スタンドアローンのレイヤー2スイッチとして使うのであれば、特別な設定は必要ありません。設置・配線を行うだけで使用できます。
■ 本体のスイッチポートはポート番号1〜24で表します(製品前面に記載されている番号どおり)。
■ 拡張モジュール上のスイッチポートは次のように表します。
表 1
| 拡張スロット |
ポート番号の表し方 |
| Bay1 |
100 + モジュールの前面パネルに表記されているポート番号 |
| Bay2 |
200 + モジュールの前面パネルに表記されているポート番号 |
たとえば、Bay1に装着したAT-A61(SFPスロット×12)上のポートは、ポート番号101〜112で表されます。また、Bay2に装着したAT-A60(XFPスロット×1)上のポートは、ポート番号201で表されます。
Note
- 本体のマネージメントポート(Ethernetポート)はeth0と表します。マネージメントポートはスイッチポートではないため、以下で説明するコマンドは使用できません。マネージメントポートの使用方法については、「運用・管理」/「マネージメントポート(eth0)」をご覧ください。
スイッチポートに対する設定コマンドには、複数のポートを一度に指定できるものがあります。以下、指定するときの例を示します。
■ 1つのポートを指定
■ 連続する複数のポートをハイフンで指定
ADD VLAN=black PORT=3-7 ↓
■ 連続していない複数のポートをカンマで指定
■ カンマとハイフンの組み合わせで指定
■ すべてのポートを意味する特殊なキーワードALLを指定
RESET SWITCH PORT=ALL COUNTER ↓
スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細はコマンドリファレンスをご覧ください。
■ ポートをイネーブルにするにはENABLE SWITCH PORTコマンドを使います。
■ ポートをディセーブルにするにはDISABLE SWITCH PORTコマンドを使います。
■ ポートの通信モード(通信速度とデュプレックスモード)を変更するにはSET SWITCH PORTコマンドのSPEEDパラメーターを使います。デフォルトはAUTONEGOTIATE(オートネゴシエーション)です。
SET SWITCH PORT=2 SPEED=100MHALF ↓
Note
- 通信モードをAUTONEGOTIATE以外に設定すると、該当ポートではMDI/MDI-X自動切替が無効になります。その後、再度AUTONEGOTIATEに設定すると、MDI/MDI-X自動切替は有効になります。
■ 強制的にオートネゴシエーションを行わせるにはACTIVATE SWITCH PORT AUTONEGOTIATEコマンドを使います。通信モードがAUTONEGOTIATEのポートでのみ有効です。
ACTIVATE SWITCH PORT=8 AUTONEGOTIATE ↓
■ デフォルトでは、すべてのポートでMDI/MDI-X自動切替が有効になっています。MDI/MDI-X自動切替を無効にするには、DISABLE SWITCH PORT AUTOMDIコマンドを実行します。
DISABLE SWITCH PORT=1 AUTOMDI ↓
■ MDI/MDI-X自動切替を無効にした直後のポートは、MDI-X固定になります。MDI/MDI-X自動切替が無効なポートでMDI/MDI-Xを変更するには、SET SWITCH PORTコマンドのPOLARITYパラメーターを使います。
SET SWITCH PORT=1 POLARITY=MDI ↓
■ ポートをハードウェア的にリセットするにはRESET SWITCH PORTコマンドを使います。
Note
- 本コマンドは、SFPポート、XFPポートに対しては機能しません。
■ ポートの状態を確認するにはSHOW SWITCH PORTコマンドを使います。
■ ポートの送受信統計を見るにはSHOW SWITCH PORT COUNTERコマンドを使います。
SHOW SWITCH PORT=12 COUNTER ↓
■ ポートの統計カウンターをクリアするにはRESET SWITCH PORTコマンドにCOUNTERオプションをつけて実行します。COUNTERオプションをつけないと、ポートがハードウェア的にリセットされてしまうので注意してください(カウンターもクリアされる)。
RESET SWITCH PORT=ALL COUNTER ↓
ポートトランキングは複数の物理ポートを束ねてスイッチ間の帯域幅を拡大する機能です。束ねたポートはトランクグループと呼ばれ、論理的に1本のポートとして扱われます。また、トランクグループ内のポートに障害が発生しても残りのポートで通信が継続できるため、信頼性の向上にも貢献します。
Note
- 本製品はトランクグループを動的に設定するLACP(IEEE 802.3ad Link Aggregation Control Protocol)にも対応しています。LACPについては、「スイッチング」/「LACP(IEEE 802.3ad)」をご覧ください。
作成できるトランクグループの数は最大12(LACPにより自動設定されたトランクグループを含む)、トランクグループの所属ポート数は最大4となります。グループ内のポートは隣接していなくてもかまいません。
ポートトランキングを使用するために最低限必要な設定について説明します。ここでは、ポート1〜4を束ねて使用するものとします。
- トランクグループ「aggr1」を作成します。グループ名は自由につけられますが、「LACP」で始まる名前は、LACP(Link Aggregation Control Protocol)によって自動生成されたトランクグループ用に予約されているため使用できません。
CREATE SWITCH TRUNK=aggr1 ↓
- トランクグループにポートを追加します。束ねるポートはこの時点で同じVLANに所属していなくてはなりません。
ADD SWITCH TRUNK=aggr1 PORT=1-4 ↓
基本設定は以上です。
Note
- トランクグループの所属ポートは、すべて同一のVLAN設定である必要があります。すべての所属ポートは、同一VLANの所属で、同一のタグ設定(TAGGEDかUNTAGGED)にする必要があります。VLANへの追加・削除は、トランクグループの所属ポートすべてを一単位として行ってください。所属ポートのタグ設定を変更するときも同様です。
Note
- トランクグループは、すべて同一メディアタイプのポートで構成してください。たとえば、トランクグループ内に1000BASE-SXポートと1000BASE-LXポートを混在させるような構成はサポート対象外です。
Note
- ポートトランキングの設定は、トランクポートによって接続される両方のスイッチで行う必要があります。
Note
- ポートトランキングとオーバーラップSTP、ポートトランキングとポート認証、ポートトランキングとIPマルチキャスト関連機能(DVMRP、PIM、IGMP/IGMP Snooping、MLD Snooping)は併用できません(トランクポートでは、オーバーラップSTP、ポート認証、IPマルチキャスト関連機能を使用できません)。
Note
- FDBにスタティックエントリーを登録している場合は、ポートトランキングを使用しないでください。
■ トランクグループの情報はSHOW SWITCH TRUNKコマンドで確認できます。
SHOW SWITCH TRUNK=aggr1 ↓
■ トランクグループに追加されたポートの通信モードは、SPEEDパラメーターで指定した速度のオートネゴシエーション(AUTONEGOTIATE)となります。個別ポートの設定はトランクグループに参加した時点で上書きされますが、内部的には保持されており、グループから抜けると元の設定に戻ります。
■ トランクグループ内のどのポートからパケットを送出するかは、L2、L3、L4ヘッダーの情報に基づいて決定されます。ENABLE SWITCH HASHコマンド、DISABLE SWITCH HASHコマンドを使うと、送出ポート決定に使うヘッダー情報を制御できます。
デフォルトでは、L2とL3のヘッダー情報を使って送出ポートを決定しますが、L4のヘッダー情報も使うようにしたければ、次のようにします。
Note
- ルーティング後トランクグループから送信されるIPパケットの送出ポートは、ENABLE SWITCH HASHコマンド、DISABLE SWITCH HASHコマンドの設定とは関係なく、L3ヘッダー情報にのみ基づいて決定されます。その他のパケットには、同コマンドの設定が適用されます。
■ トランクグループからポートを削除するにはDELETE SWITCH TRUNKコマンドを使います。
DELETE SWITCH TRUNK=aggr1 PORT=4 ↓
■ トランクグループを削除するにはDESTROY SWITCH TRUNKコマンドを使います。所属ポートがあるときは削除できません。その場合は、先にDELETE SWITCH TRUNKコマンドで所属ポートを削除してください。
DELETE SWITCH TRUNK=aggr1 PORT=ALL ↓
DESTROY SWITCH TRUNK=aggr1 ↓
ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、任意のポートのトラフィックをミラーポートでキャプチャーすることができます。
なお、ポートミラーリング機能の仕様は以下のようになっています。
- パケットはすべてタグなし状態でミラーポートに出力されます。
- 不正なパケット(エラーパケットなど)はミラーされません。
ここではポート1をミラーポートに設定し、ポート5から送受信されるトラフィックがミラーポートにコピーされるようにします。
- ミラーポートを指定します。指定できるのはVLAN default所属のポートだけです。ミラーポートに指定したいポートがVLAN default以外に所属している場合は、最初に現在所属のVLANから削除しVLAN defaultの所属に戻した上で、SET SWITCH MIRRORコマンドを実行します。
DELETE VLAN=somevlan PORT=1 ↓
SET SWITCH MIRRORコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。
すでにミラーポートとして設定されているポートがあった場合、本コマンド実行によりそのポートはVLAN default所属のタグなしポートとなります。
Note
- トランクグループに参加しているポートをミラーポートに設定することはできません。
Note
- ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。
- ポートミラーリング機能を有効にします。
- ソースポートとトラフィックの向きを指定します。ここではポート5から送受信されるトラフィックをミラーポートにコピーします。
SET SWITCH PORT=5 MIRROR=BOTH ↓
Note
- 複数のポートをミラーしたいときは、SET SWITCH PORTコマンドを複数回実行してください。ただし、ミラーリング対象ポートを増やすことはパフォーマンス低下につながりますのでご注意ください。
設定は以上です。
■ ポートミラーリングの設定を確認するにはSHOW SWITCHコマンドを実行します。ミラーポートはSHOW VLANコマンドの「Mirror Port」欄でも確認できます。また、ソースポートとミラー対象トラフィックはSHOW SWITCH PORTコマンドの「Mirroring」欄でも確認できます。
■ ポートミラーリング機能を無効にするにはDISABLE SWITCH MIRRORコマンドを実行します。
■ ミラーポートの設定を解除するにはSET SWITCH MIRRORコマンドにNONEを指定します。設定を解除されたポートはVLAN default所属のタグなしポートに戻ります。
■ ソースポートでのミラーリングをやめるにはSET SWITCH PORTコマンドのMIRRORパラメーターにNONEを指定します。
SET SWITCH PORT=5 MIRROR=NONE ↓
■ ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。SET SWITCH MIRRORコマンドを実行した時点で、ミラーポートはいずれのVLANにも所属していない状態となります。
ポートセキュリティーは、MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。許可していないデバイスからパケットを受信したときには、パケットを破棄する、SNMPトラップを上げるなどのアクションを実行させることができます。
本機能は、SET SWITCH PORTコマンドのLEARNパラメーターで、ポートごとに学習可能なMACアドレス数の上限(1〜256個)を設定することによって有効になります。学習済みのMACアドレスが制限値に達すると、それ以降に受信した未学習の送信元MACアドレスを持つパケットを不正なものとみなし、あらかじめ指定されたアクションを実行します。
アクションには次の種類があります(SET SWITCH PORTコマンドのINTRUSIONACTIONパラメーターで指定)
表 2
| アクション名 |
動作 |
| DISCARD |
不正なパケットを破棄する。 |
| TRAP |
不正なパケットを破棄し、SNMPトラップを送信する(トラップは各MACアドレスに対して最初の一回だけ送信)。 |
| DISABLE |
不正なパケットを破棄し、SNMPトラップを送信した後、該当ポートをディセーブルにする。 |
Note
- ポートセキュリティーが有効なポートでは、ポート認証を使用できません。
■ ポートに学習可能なMACアドレスの最大数と不正パケット受信時のアクションを設定するには、SET SWITCH PORTコマンドを使います。たとえば、ポート11のMACアドレス学習数の上限を20個、アクションをDISABLEに設定するには次のようにします。
SET SWITCH PORT=11 LEARN=20 INTRUSIONACTION=DISABLE ↓
SET SWITCH PORTコマンドでLEARNパラメーターを設定すると、すでに同ポートで学習していたアドレスエントリー(ダイナミックエントリー)がフォワーディングデータベースから削除され、エントリーなしの状態からアドレス学習が開始されます。上限が設定されているときに学習したMACアドレスは、スタティックエントリーとして登録されるためエージアウトされません。学習アドレス数が上限に達すると、それ以降に受信した未知のアドレスからのパケットは「不正」なものと見なされ、INTRUSIONACTIONで指定したアクションが実行されます。
たとえば、アクションが「DISABLE」に設定されているときに不正パケットを受信すると、トラップ送信とポートのディセーブルが実行され、コンソール画面に次のように表示されます。
Manager >
Intrusion TRAP for 00-05-02-69-a0-49 port 11
Intrusion event. Disabling port 11
|
■ 学習済みのアドレスを確認するには、SHOW SWITCH FILTERコマンドを使います。ポートセキュリティーがオンのポートで学習されたアドレスは、Source欄に「Learn」と表示されます。
SHOW SWITCH FILTER ↓
SHOW SWITCH FILTER PORT=11 ↓
■ ポートセキュリティーの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Learn limit」欄には現在設定されている上限が、「Intrusion action」欄には不正パケット受信時のアクションが表示されます。また、「Current learned, lock state」欄には、現在までに学習したアドレスの数と、ポートがロック(これ以上学習しない状態のこと)されているかどうかが表示されます。
SHOW SWITCH PORT ↓
SHOW SWITCH PORT=11 ↓
■ 不正とみなされたMACアドレスはSHOW SWITCH PORT INTRUSIONコマンドで確認できます。
SHOW SWITCH PORT INTRUSION ↓
SWOW SWITCH PORT=11 INTRUSION ↓
■ 学習済みアドレス数が上限に達する前に手動でポートをロックするにはACTIVATE SWITCH PORT LOCKコマンドを使います。あらかじめSET SWITCH PORTコマンドで上限とアクションを設定した上で、ポートをロックします。
SET SWITCH PORT=ALL LEARN=256 INTRUSIONACTION=DISCARD ↓
ACTIVATE SWITCH PORT=ALL LOCK ↓
■ ポートセキュリティーがオンのポート(学習可能アドレスに上限が設定されているポート)に対して、通信を許可するアドレスを手動登録するには、ADD SWITCH FILTERコマンドにLEARNオプションを付けて実行します。すでに上限に達している場合であっても、本コマンドで手動追加した場合は上限値が引き上げられます。
ADD SWITCH FILTER DESTADDR=00-00-f4-88-88-88 PORT=11 ACTION=FORWARD LEARN ↓
Note
- LEARNオプションを付け忘れると通常のスタティックエントリーとなり、ポートセキュリティー機能における「学習済みアドレス」としてはカウントされませんのでご注意ください。
■ スタティックエントリーの削除はDELETE SWITCH FILTERコマンドで行います。ENTRY番号はSHOW SWITCH FILTERコマンドで確認してください。
DELETE SWITCH FILTER ENTRY=3 PORT=11 ↓
■ ポートのロックを解除する、あるいはポートセキュリティー機能をオフにするには、SET SWITCH PORTコマンドでアドレス学習の上限値(LEARNパラメーター)に0(無制限)を設定します。ポートセキュリティーがオンのときに学習されたエントリーは、システムの再起動とともにデータベースから削除されます。
SET SWITCH PORT=11 LEARN=0 ↓
■ ポートセキュリティー機能のアクションによってディセーブルにされたポートはENABLE SWITCH PORTコマンドではイネーブルに戻せません。この場合は、SET SWITCH PORTコマンドのLEARNパラメーターに0を指定してポートセキュリティーをオフにすると、イネーブルに戻ります。
Manager > enable switch port=11
Error (387312): Port 11 has been disabled by the Port Security feature.
|
■ ポートセキュリティーの設定(学習済みアドレスやポートの状態)はCREATE CONFIGコマンドによって保存されます。
パケットストームプロテクションは、ブロードキャスト/マルチキャスト/未学習のユニキャストパケットの受信レートに上限を設定し、パケットストームを防止するための機能です。設定値を上回るレートでこれらのパケットを受信した場合、超過分のパケットは破棄されます。本機能はデフォルトではオフになっています。
ブロードキャスト・マルチキャストパケットに対しては、スイッチポートごとに上限値を設定できます(ブロードキャストとマルチキャストの上限値は共通)。一方、未学習のユニキャストパケットに対しては、システム全体で1つだけ上限値を設定できます。
各パケットの受信レートに上限値を設定するには、次のコマンド・パラメーターを使います。
■ ブロードキャストパケットの受信レートを制限するには、SET SWITCH PORTコマンドのBCLIMITパラメーターを使います。たとえば、ポート1に対して、ブロードキャストパケットの受信レートを1秒あたり1000Kbyteに制限するには、次のようにします。
SET SWITCH PORT=1 BCLIMIT=1000 ↓
■ マルチキャストパケットの受信レート上限値は、ブロードキャストパケットの受信レート上限値と同じになります。ただし、マルチキャストパケットの受信レート制限は、ENABLE SWITCH MCLIMITINGコマンドを実行するまで有効になりません。
ENABLE SWITCH MCLIMITING ↓
Note
- SET SWITCH PORTコマンドのBCLIMITパラメーターで受信レートを指定しても、ENABLE SWITCH MCLIMITINGコマンドを実行するまでは、ブロードキャストパケットだけが制限され、マルチキャストパケットは制限されませんのでご注意ください。また、マルチキャストパケットだけを制限し、ブロードキャストパケットは制限しないという設定はできません。
■ ブロードキャスト・マルチキャストパケットの受信レート制限を解除するには、BCLIMITパラメーターの値としてNONEを指定します。
SET SWITCH PORT=1 BCLIMIT=NONE ↓
■ ブロードキャストパケットは制限するが、マルチキャストパケットは制限しないようにするには、DISABLE SWITCH MCLIMITINGコマンドを実行します。
DISABLE SWITCH MCLIMITING ↓
■ 未学習ユニキャストパケットの受信レートを制限するには、SET SWITCH DLFLIMITコマンドを使います。たとえば、未学習ユニキャストパケットの受信レートを1秒あたり1000Kbyteに制限するには、次のようにします。ブロードキャスト・マルチキャストパケットとは異なり、こちらはシステム全体に適用されます。
SET SWITCH DLFLIMIT=1000 ↓
■ 未学習ユニキャストパケットの受信レート制限を解除するには、DLFLIMITパラメーターの値としてNONEを指定します。
SET SWITCH DLFLIMIT=NONE ↓
■ ブロードキャスト・マルチキャストパケットの受信レート上限値設定は、SHOW SWITCH PORTコマンドで確認できます。「BCast & MCast rate limit」、「BCSC rate limiting」をご覧ください。
■ 未学習ユニキャストパケットの受信レート上限値設定は、SHOW SWITCHコマンドで確認できます。「DLF rate limit」をご覧ください。
本製品は、スイッチポートごとに送信レートを制限することができます。
帯域制限の設定はSET SWITCH PORTコマンドのEGRESSLIMIT(送信レート)パラメーターで行います。
■ ポート1の送信レートを50Mbpsに制限するには、次のように指定します。EGRESSLIMITの単位はKbpsです。
SET SWITCH PORT=1 EGRESSLIMIT=50000 ↓
Note
- EGRESSLIMITパラメーターに指定できる値の範囲は0〜2641248Kbpsですが、648の倍数でない場合は倍数になるよう丸められるので注意してください。
Note
- EGRESSLIMIT=0は、EGRESSLIMIT=NONE(制限なし)と同じ意味になります。
Note
- ポート帯域制限機能とQoSの重み付きラウンドロビン(WRR)スケジューリング(SET QOS PORT EGRESSQUEUEコマンドのSCHEDULERパラメーターで設定)は併用できません。
■ ポートの帯域制限を解除するには値としてNONEまたは0を指定します。
SET SWITCH PORT=1 EGRESSLIMIT=NONE ↓
■ ポート帯域制限機能の設定状況はSHOW SWITCH PORTコマンドで確認できます。「Egress rate limit」をご覧ください。
トリガー機能を使用すると、スイッチポートのリンクアップ、リンクダウン時に任意のスクリプトを実行させることができます。
スイッチポートのリンクアップ、リンクダウンは、スイッチングモジュール固有のモジュールトリガーを使って捕捉します。
CREATE TRIGGER MODULEコマンド、SET TRIGGER MODULEコマンドに、スイッチングモジュール固有のパラメーターを加えたコマンド構文は次のようになります。
CREATE TRIGGER=trigger-id MODULE=SWITCH EVENT={LINKDOWN|LINKUP} PORT=port [AFTER=time] [BEFORE=time] [{DATE=date|DAYS=day-list}] [NAME=string] [REPEAT={YES|NO|ONCE|FOREVER|count}] [SCRIPT=filename...] [STATE={ENABLED|DISABLED}] [TEST={YES|NO|ON|OFF}]
SET TRIGGER=trigger-id PORT=port [AFTER=time] [BEFORE=time] [{DATE=date|DAYS=day-list}] [NAME=string] [REPEAT={YES|NO|ONCE|FOREVER|count}] [TEST={YES|NO|ON|OFF}]
PORTパラメーターにはスイッチポートの番号を、EVENTパラメーターにはLINKDOWN(リンクダウン)かLINKUP(リンクアップ)のいずれかを指定します。
このトリガーは、PORTパラメーターで指定したスイッチポートがリンクアップするか(EVENT=LINKUPのとき)、リンクダウンするか(EVENT=LINKDOWNのとき)したときに起動されます。
トリガーから実行されるスクリプトには、特殊な引数として%D(日付)、%T(時刻)、%N(システム名)、%S(シリアル番号)が渡されます。また、引数%1としてスイッチポートの番号も渡されます。
次に例を示します。ここでは、スイッチポート3がリンクダウンしたらlinkdown.scpを、リンクアップしたらlinkup.scpを実行するように設定します。これらのスクリプトでは、MAILコマンドを使って管理者にメールで通知するようにします。
なお、IPやメールの設定はすんでいるものと仮定します。IPの設定については「IP」の章をご覧ください。また、メールの設定については「運用・管理」/「メール送信」をご覧ください。
- トリガー機能を有効にします。
- リンクダウン時にlinkdown.scpを実行するトリガー「1」を作成します。
CREATE TRIGGER=1 MODULE=SWITCH EVENT=LINKDOWN PORT=3 SCRIPT=linkdown.scp ↓
- リンクアップ時にlinkup.scpを実行するトリガー「2」を作成します。
CREATE TRIGGER=2 MODULE=SWITCH EVENT=LINKUP PORT=3 SCRIPT=linkup.scp ↓
スクリプト「linkdown.scp」
MAIL TO=admin@is.example.com SUBJECT="%N #%1 linkdown" MESSAGE="%D %T %N(SN:%S) Port %1 linkdown"
|
スクリプト「linkup.scp」
MAIL TO=admin@is.example.com SUBJECT="%N #%1 linkup" MESSAGE="%D %T %N(SN:%S) Port %1 linkup"
|
ここではトリガースクリプト起動時に渡される特別な引数を使って、スイッチのシステム名(%N)やシリアル番号(%S)、日時(%D、%T)をメールのサブジェクトと本文に埋め込んでいます。次に、メールメッセージの例を示します。
Subject: ud-sw #3 linkdown
From: manager@ud-sw.example.com
To: <admin@is.example.com>
Date: Thu, 23 May 2002 19:02:41
23-May-2002 19:02:41 ud-sw(SN:40896093) Port 3 linkdown
|
(C) 2005 - 2007 アライドテレシスホールディングス株式会社
PN: 613-000276 Rev.C