[index]
CentreCOM GS900Mシリーズ コマンドリファレンス 1.6.0
スイッチング/概要・基本設定
- ポートの指定方法
- 基本コマンド
- ポートトランキング
- ポートミラーリング
- 基本設定
- ポートセキュリティー
- パケットストームプロテクション
- ループガード
- LDF検出
- 受信レート検出
- 省電力モード
本製品のスイッチポートは、ご購入時の状態ですべてイネーブルに設定されており、互いに通信可能な状態にあります。スタンドアローンのレイヤー2スイッチとして使う場合、特別な設定は必要ありません。設置・配線を行うだけで使用できます。
スイッチポートに対する設定コマンドには、複数のポートを一度に指定できるものがあります。
■ 1つのポートを指定
■ 連続するポート番号をハイフン区切りで指定
ADD VLAN=black PORT=3-7 ↓
■ 連続していないポート番号をカンマ区切りで指定
■ カンマとハイフンの組み合わせ指定
■ すべてのポートを意味するALLを指定
RESET SWITCH PORT=ALL COUNTER ↓
スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細は各コマンドの説明をご覧ください。
■ ポートを有効にするには、ENABLE SWITCH PORTコマンドを使います。
■ ポートを無効にするには、DISABLE SWITCH PORTコマンドを使います。
■ ポートの通信モード(通信速度とデュプレックスモード)を変更するには、SET SWITCH PORTコマンドのSPEEDパラメーターを使います。デフォルトはAUTONEGOTIATEです。
SET SWITCH PORT=2 SPEED=100MHALF ↓
■ コンボ(共用)ポートの設定を変更するには、SET SWITCH PORTコマンドのCOMBOパラメーターを使います。GS916Mの場合は、1000BASE-Tポートの15R、16RとSFPポートの15、16がコンボポートです。GS924Mの場合は、1000BASE-Tポートの23R、24RとSFPポートの23、24がコンボポートです。デフォルトはFIBERAUTOです。
SET SWITCH PORT=15 COMBO=FIBER ↓
■ デフォルトでは、すべてのポートでMDI/MDI-X自動切替が有効になっています。MDI/MDI-X自動切替を無効にするには、DISABLE SWITCH PORT AUTOMDIコマンドを実行します。
DISABLE SWITCH PORT=1 AUTOMDI ↓
Note
- コンボポートでは、MDI/MDI-X自動切替有効/無効コマンド(DISABLE SWITCH PORT AUTOMDIコマンドおよびENABLE SWITCH PORT AUTOMDIコマンド)は使用できません。
■ MDI/MDI-X自動切替を無効にした直後のポートは、現在設定されているMDI/MDI-Xの状態に従います(デフォルトは、MDI-X)。MDI/MDI-Xを変更するには、SET SWITCH PORTコマンドのPOLARITYパラメーターを使います。
SET SWITCH PORT=1 POLARITY=MDI ↓
Note
- コンボポートでは、MDI/MDI-Xの設定を変更することはできません。
■ 強制的にオートネゴシエーションを行わせるには、ACTIVATE SWITCH PORT AUTONEGOTIATEコマンドを使います。通信モードがAUTONEGOTIATEのポートでのみ有効です。
ACTIVATE SWITCH PORT=8 AUTONEGOTIATE ↓
■ ポートをハードウェア的にリセットするには、RESET SWITCH PORTコマンドを使います。
■ ポートの状態を確認するには、SHOW SWITCH PORTコマンドを使います。
■ ポートの送受信の統計情報を確認するには、SHOW SWITCH PORT COUNTERコマンドを使います。
SHOW SWITCH PORT=12 COUNTER ↓
■ ポートの統計カウンターをクリアするには、RESET SWITCH PORTコマンドにCOUNTERオプションを指定して実行します。COUNTERオプションを省略すると、ポートがハードウェア的にリセットされてしまうので注意してください(カウンターもクリアされます)。
RESET SWITCH PORT=ALL COUNTER ↓
ポートトランキングは複数の物理ポートを束ねてスイッチ間の帯域幅を拡大する機能です。束ねたポートはトランクグループと呼ばれ、論理的に1本のポートとして扱われます。トランクグループは、VLAN内でも単一ポートとして認識されます。また、トランクグループ内のポートに障害が発生しても残りのポートで通信が継続できるため、信頼性を向上します。
本製品ではトランクグループを4つまで作成できます。それぞれのトランクグループには、最大8ポートまで所属させることが可能です。ポートは隣接していなくてもかまいません。
ポートトランキングの仕様は、次のとおりです。
- 他のトランクグループに所属するポートやミラーポートは指定できません。
- トランクポートは同じVLANに所属している必要があります。
- ポートセキュリティーが有効なポート、ミラーポート、ポート認証のAuthenticatorポートとSupplicantポートはトランクグループに所属させることができません。
- マルチプルVLANモード時は、ポートトランキングを使用できません。
- コンボ(共用)ポートとコンボポート以外のポートを、同一のトランクグループに所属させることはできません。(GS916Mの場合、1000BASE-Tポートの15R、16RとSFPポートの15、16がコンボポート。GS924Mの場合、1000BASE-Tポートの23R、24RとSFPポートの23、24がコンボポート)
- コンボポートでポートトランキングを使用する場合は、コンボポートの設定(SET SWITCH PORTコマンドのCOMBOパラメーターで設定)が、SFPポートのみ使用可(FIBER)、または、1000BASE-Tポートのみ使用可(COPPER)の設定にしてください。また、コンボポート同士は、同じ設定にしてください。
- コンボポートでポートトランキング設定時、コンボポートの設定を変更した場合は、本製品を再起動してください。
- STP有効ポートとSTP無効ポートは、同じトランクグループには所属できません。
- LDF検出が有効なポートと無効なポートは同じトランクグループに所属させることができません。
- 受信レート検出が有効なポートと無効なポートは同じトランクグループに所属させることができません。
- トランクポートに接続される対向機器の通信速度を固定に設定すると通信できません。
- トランクポートをMLD Snoopingのルーターポートに設定する場合は、トランクグループのすべてのポートをルーターポートに設定してください。
ポートトランキングを使用するために最低限必要な設定について説明します。ここでは、ポート1-4を束ねて使用するものとします。
- トランクグループ「uplink」を作成します。グループ名は任意に指定できます。
CREATE SWITCH TRUNK=uplink SPEED=1000M ↓
- トランクグループにポートを追加します。束ねるポートはあらかじめ同じVLANに所属させておく必要があります。
ADD SWITCH TRUNK=uplink PORT=1-4 ↓
- 現在の設定をスクリプトファイルに保存し、起動時設定ファイルに指定します。
CREATE CONFIG=trunk.cfg ↓
- 本製品を再起動します。
基本設定は以上です。ポートトランキングの設定は、システムの再起動後に有効になります。
Note
- トランクグループにポートを追加したあとで、グループ全体あるいはグループ内のポートを所属VLANから削除することはできません。VLANから削除するには、DELETE SWITCH TRUNKコマンドを使ってあらかじめポートをトランクグループから外しておく必要があります。
Note
- ポートトランキングの設定は、トランクポートによって接続される双方のスイッチで行う必要があります。
Note
- ポートトランキング、スパニングツリープロトコル、ループガード、これらすべての機能を同時に使用することはできません。
■ トランクグループの情報はSHOW SWITCH TRUNKコマンドで確認できます。
SHOW SWITCH TRUNK=uplink ↓
■ トランクグループを通るパケットはすべて、トランキングアルゴリズムによって割り振られます。このアルゴリズムは、送信元アドレスと宛先アドレスと接続ポート数によって計算します。
■ トランクグループに追加されたポートの通信モードは、CREATE SWITCH TRUNKコマンド、または、SET SWITCH TRUNKコマンド指定した速度となります。個別ポートの設定はトランクグループに追加した時点で上書きされます。
■ トランクグループからポートを削除するにはDELETE SWITCH TRUNKコマンドを使います。
DELETE SWITCH TRUNK=uplink PORT=4 ↓
■ トランクグループを削除するにはDESTROY SWITCH TRUNKコマンドを使います。所属ポートがあるときは削除できません。その場合は、先にDELETE SWITCH TRUNKコマンドで所属ポートを削除します。
DELETE SWITCH TRUNK=uplink PORT=ALL ↓
DESTROY SWITCH TRUNK=uplink ↓
ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、任意のポートのトラフィックをミラーポートでキャプチャーできます。
なお、本製品でのポートミラーリング機能には以下の特徴があります。
- ミラーポートおよびソースポートには、それぞれ1ポート指定できます。
- VLAN default以外に所属しているポート(802.1QタグVLANモード時)、トランクグループに所属しているポート、およびタグ付きポートはミラーポートに設定できません。
- STP有効ポート、ポートセキュリティーが有効なポート、ポート認証のAuthenticatorポートとSupplicantポートはミラーポートに設定できません。
- ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。
- SET SWITCH MIRRORコマンドでミラーポートの設定を行いますが、すでに別のポートがミラーポートとして設定されていた場合、先に設定されていたポートはミラーポートでなくなり、VLAN default所属のタグなしポートとなります。ミラーポートになったポートは、どのVLANにも所属しません。
ここではポート1をミラーポートに設定し、ポート5から送受信されるトラフィックがミラーポートにコピーされるように設定します。
- ミラーポートを指定します。指定できるのはVLAN default所属のポートだけです。ミラーポートに指定したいポートがVLAN default以外に所属している場合は、最初に現在所属のVLANから削除しVLAN defaultの所属に戻した上で、SET SWITCH MIRRORコマンドを実行します。
DELETE VLAN=somevlan PORT=1 ↓
SET SWITCH MIRRORコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。
すでにミラーポートとして設定されているポートがあった場合、本コマンド実行によりそのポートはVLAN default所属のタグなしポートとなります。
Note
- ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。
- ソースポートとトラフィックの向きを指定します。ここではポート5から送受信されるトラフィックをミラーポートにコピーします。
SET SWITCH PORT=5 MIRROR=BOTH ↓
- ポートミラーリング機能を有効にします。あらかじめミラーポートおよびソースポートが設定されていないと本コマンドは失敗します。手順1、2にしたがってミラーポートとソースポートを指定してから本コマンドを実行してください。
設定は以上です。
■ ポートミラーリングの設定を確認するにはSHOW SWITCHコマンドおよびSHOW SWITCH MIRRORコマンドを実行します。ミラーポートはSHOW VLANコマンドの「Mirror Port」欄でも確認できます。また、ソースポートとミラー対象トラフィックはSHOW SWITCH PORTコマンドの「Mirroring」および「Is this port mirror port」欄でも確認できます。
■ ポートミラーリング機能を無効にするにはDISABLE SWITCH MIRRORコマンドを実行します。
■ ミラーポートの設定を解除するにはSET SWITCH MIRRORコマンドにNONEを指定します。設定を解除されたポートはVLAN default所属のタグなしポートに戻ります。
■ ソースポートのミラーリングを行わないようにするにはSET SWITCH PORTコマンドのMIRRORパラメーターにNONEを指定します。
SET SWITCH PORT=5 MIRROR=NONE ↓
■ ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。SET SWITCH MIRRORコマンドを実行した時点で、ミラーポートはいずれのVLANにも所属していない状態となります。
ポートセキュリティーは、MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。許可していないデバイスからフレームを受信したときには、パケットを破棄します。
本機能は、SET SWITCH PORTコマンドのSECURITYMODEパラメーターでセキュリティーモードを設定することによって有効になります。SET SWITCH PORTコマンドで設定できるのは、次の2種類のモードです。
表 1
モード |
説明 |
AUTOMATIC |
通常の学習モード(セキュリティーモード無効)。 |
SECURED |
学習機能を停止し、それまでに学習済みのMACアドレスをスタティックエントリーとし、セキュリティーモードとなる。 |
Note
- ポートセキュリティーが有効なポートは、トランクグループに所属させることができません。
Note
- ポートセキュリティーが有効なポートは、ミラーポート、ポート認証のAuthenticatorポートに設定することはできません。
Note
- ポートセキュリティーが有効なポートではスパニングツリープロトコルは使用できません。
■ ポートに、SECUREDモードのポートセキュリティーを設定するには、SET SWITCH PORTコマンドを使います。
SET SWITCH PORT=12 SECURITYMODE=SECURED ↓
■ 学習済みのアドレスを確認するには、SHOW SWITCH FDBコマンドを使います。ポートセキュリティーがオンのポートで学習されたアドレスは、「Status」欄に「Static」と表示されます。
SHOW SWITCH FDB ↓
SHOW SWITCH FDB PORT=11 ↓
■ ポートセキュリティーの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Security Mode」欄には現在のセキュリティーモードが表示されます
■ ポートセキュリティーが有効なポートに対して、通信を許可するアドレスを手動登録するには、ADD SWITCH FILTERコマンドを使って、スタティックMACアドレスを登録します。
ADD SWITCH FILTER DESTADDRESS=00-00-f4-ab-cd-ef PORT=10 ↓
■ スタティックエントリーの削除はDELETE SWITCH FILTERコマンドで行います。
DELETE SWITCH FILTER PORT=1 DESTADDRESS=00-00-f4-ab-cd-ef ↓
■ ポートセキュリティー機能をオフにするには、SET SWITCH PORTコマンドでSECURITYMODEパラメーターにAUTOMATICを設定します。
SECUREDモードを設定して、スタティックエントリーとなった学習済みのアドレスは削除されます。
SET SWITCH PORT=11 SECURITYMODE=AUTOMATIC ↓
■ ポートセキュリティーの設定(セキュリティーモードに関する設定)はCREATE CONFIGコマンドによって保存されます。SECUREDモードを設定して、スタティックエントリーとなった学習済みのアドレスは保存されます。
パケットストームプロテクションは、ブロードキャスト/マルチキャスト/未学習のユニキャストフレームの受信レートに上限を設定し、パケットストームを防止するための機能です。設定値を上回るレートでこれらのフレームを受信した場合、フレームは破棄されます。本機能はデフォルトではオフになっています。
制限できるのは以下のフレームです。
- ブロードキャストフレーム
- マルチキャストフレーム
- 未学習のユニキャストフレーム
未学習ユニキャストまたはマルチキャストを有効する場合は、必ずブロードキャストも一緒に有効にしてください。
有効にできる組み合わせは、次のとおりです。
- ブロードキャストのみ
- ブロードキャストと未学習ユニキャスト
- ブロードキャストとマルチキャスト
- ブロードキャスト、未学習ユニキャストとマルチキャスト
■ 受信レートはSET SWITCH LIMITATIONコマンドで設定し、有効/無効の設定はSET SWITCH PORTコマンドで行います。ここでは、ポート1〜8に対して、ブロードキャストフレームの受信レートの設定を有効とし、受信レートを15000ppsに制限します。
SET SWITCH PORT=1-8 BCLIMIT=ON ↓
SET SWITCH LIMITATION=15000 ↓
Note
- 複数のポートでパケットストームプロテクションを有効にする場合は、BCLIMIT、DLFLIMIT、MCLIMITのON/OFFの設定を同じにしてください。
■ 受信レートの制限を解除するには次のようにします。
SET SWITCH PORT=1-8 BCLIMIT=OFF ↓
■ パケットストームプロテクションの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Broadcast rate limit」、「Multicast rate limit」、「DLF rate limit」をご覧ください。
本製品ではループガードとして以下の2つをサポートしています。
ループ検出したポート番号をログ、トラップで管理者に通知することにより、ループの原因特定、対策が容易になります。設定方法については、「運用・管理」/「ログ」、「運用・管理」/「SNMP」をご覧ください。
Note
- ポートトランキング、スパニングツリープロトコル、ループガード、これらすべての機能を同時に使用することはできません。
LDF(Loop Detection Frame)とは、特殊な宛先MACアドレス(00-00-F4-27-71-01)を持った試験フレームです。
LDF検出機能を有効にしたポートでは、一定時間ごとにLDFを送出します。
他の接続機器を介して機器にLDFが戻って来る場合、LDFの送信元MACアドレスと機器自身のMACアドレスが一致し、かつLDF検出機能が有効なスイッチポート番号がLDFに記録された情報と一致すると、ループ状態と判断されます。
LDF検出の仕様は、次のとおりです。
- ミラーリングポート、タグ付きポート、ポートセキュリティーが有効なポートでは、すべてまたは指定以外の受信フレームは破棄されるため、併用できない。
- 該当ポートがタグつきポートの場合、エラーメッセージが表示される。ただし、複数ポートを指定した場合、タグつきでないポートは有効になる。
- LDF検出が有効かつパケットストームプロテクションが有効に設定されたポートが存在する場合、LDF検出時のアクションにBCDISCARDを指定することはできない。
- SET SWITCH LOOPDETECTIONコマンドのACTIONパラメーターにBCDISCARDが指定されており、かつパケットストームプロテクションを有効にしたポートが存在する場合、エラーメッセージが表示される。
- トランクポートに対してLDF検出機能を有効にする場合、トランクグループの全ポートを指定する必要がある。
- ポート認証のAuthenticatorポートでは併用できない。
- フローコントロールとは併用できない。
LDFが検出されたポートに対し、以下のアクションのうちいずれかを行います。
- ポートをディセーブルにする。
- ポートをリンクダウンする。
- ポートのブロードキャストフレームのみ、受信を1ppsに止める。
- 何もしない。
アクション実行後は、タイマーが起動し、指定した時間が経過するとアクション実行前の状態に戻ります。
■ ポート2のLDF検出機能を有効にするにはENABLE SWITCH LOOPDETECTIONコマンドを使用します。
ENABLE SWITCH LOOPDETECTION PORT=2 ↓
■ ポート2のLDF送出間隔を1秒、LDF検出時のアクションをBCDISCARD(ブロードキャストパケットを破棄する)、アクションからの復帰時間を1時間に設定するにはSET SWITCH LOOPDETECTIONコマンドを使用します。
SET SWITCH LOOPDETECTION PORT=2 INTERVAL=1 ACTION=BCDISCARD BLOCKTIMEOUT=3600 ↓
■ ポート2のLDF検出機能の設定情報を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。
SHOW SWITCH LOOPDETECTION PORT=2 CONFIG ↓
■ ポート2のLDF検出機能の状態を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。
SHOW SWITCH LOOPDETECTION PORT=2 STATUS ↓
■ ポート2のLDF検出機能のカウンターの情報を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。
SHOW SWITCH LOOPDETECTION PORT=2 COUNTER ↓
受信レート検出機能を有効にしたポートでは、一定時間ごとに受信レートを算出し、指定されたしきい値と比較して、しきい値を超えた場合にループ状態と判断されます。
受信レートは1ポートにつき、2レベル(LOWRATE、HIGHRATE)設定できます。各レベルに対して、受信レートしきい値とアクションを設定できます。
受信レート検出の仕様は次のとおりです。
- 受信レート検出が有効かつパケットストームプロテクションを有効に設定されたポートが存在する場合、高レート時/低レート時のアクションにBCDISCARDを指定することはできない。
- パケットストームプロテクションと受信レート検出を併用する場合、受信レートカウンターには、パケットストームプロテクションによって破棄されたパケットも計上される。
- SET SWITCH STORMDETECTIONコマンドのHIGHRATEACTIONパラメーターまたはLOWRATEACTIONパラメーターにBCDISCARDが指定されており、かつパケットストームプロテクションを有効にしたポートが存在する場合、エラーメッセージが表示される。
- トランクポートに対して受信レート検出機能を有効にする場合、トランクグループの全ポートを指定する必要がある。
受信レートがしきい値を越えたポートに対し、以下のアクションのうちいずれかを行います。
- ポートをディセーブルにする。
- ポートをリンクダウンする。
- ポートのブロードキャストフレームのみ、受信を止める。
- 何もしない。
アクション実行後は、タイマーが起動し、指定した時間が経過するとアクション実行前の状態に戻ります。
■ ポート2の受信レート検出機能を有効にするにはENABLE SWITCH STORMDETECTIONコマンドを使用します。
ENABLE SWITCH STORMDETECTION PORT=2 ↓
■ ポート2の高レートのしきい値を1024000Kbps、アクションをBCDISCARD(ブロードキャストパケットを破棄する)に設定するにはSET SWITCH STORMDETECTIONコマンドを使用します。
SET SWITCH STORMDETECTION PORT=2 HIGHRATETHRESHOLD=1024000 HIGHRATEACTION=BCDISCARD ↓
■ ポート2の受信レート検出機能の設定情報を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。
SHOW SWITCH STORMDETECTION PORT=2 CONFIG ↓
■ ポート2の受信レート検出機能の状態を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。
SHOW SWITCH STORMDETECTION PORT=2 STATUS ↓
■ ポート2の受信レート検出機能のカウンターの情報を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。
SHOW SWITCH STORMDETECTION PORT=2 COUNTER ↓
省電力モードは、リンクしていないスイッチポートへの電力供給を制限し、消費電力を抑える機能です。本機能の設定は、スイッチポート別ではなく、装置全体に対して機能します。本機能は、デフォルトで無効に設定されています。
■ 本製品の省電力モードを有効にするには、ENABLE SWITCH POWERSAVEコマンドを使います。
ENABLE SWITCH POWERSAVE ↓
(C) 2005-2008 アライドテレシスホールディングス株式会社
PN: J613-M0220-03 Rev.F