[index] CentreCOM GS900M V2シリーズ コマンドリファレンス 2.3.2

スイッチング/概要・基本設定


  - ポートの指定方法
  - 基本コマンド
  - ポートトランキング
  - ポートミラーリング
   - 基本設定
  - ポートセキュリティー
  - パケットストームプロテクション
  - ループガード
   - LDF検出 
   - 受信レート検出
  - 省電力モード


本製品のスイッチポートは、ご購入時の状態ですべてイネーブルに設定されており、互いに通信可能な状態にあります。スタンドアローンのレイヤー2スイッチとして使う場合、特別な設定は必要ありません。設置・配線を行うだけで使用できます。


 

ポートの指定方法

スイッチポートに対する設定コマンドには、複数のポートを一度に指定できるものがあります。

■ 1つのポートを指定


■ 連続するポート番号をハイフン区切りで指定


■ 連続していないポート番号をカンマ区切りで指定


■ カンマとハイフンの組み合わせ指定


■ すべてのポートを意味するALLを指定



 

基本コマンド

スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細は各コマンドの説明をご覧ください。

■ ポートを有効にするには、ENABLE SWITCH PORTコマンドを使います。


■ ポートを無効にするには、DISABLE SWITCH PORTコマンドを使います。


■ ポートの通信モード(通信速度とデュプレックスモード)を変更するには、SET SWITCH PORTコマンドのSPEEDパラメーターを使います。デフォルトはAUTONEGOTIATEです。


■ コンボ(共用)ポートの設定を変更するには、SET SWITCH PORTコマンドのCOMBOパラメーターを使います。GS916M V2の場合は、1000BASE-Tポートの15R、16RとSFPポートの15、16がコンボポートです。GS924M V2の場合は、1000BASE-Tポートの15R、16R、23R、24RとSFPポートの15、16、23、24がコンボポートです。デフォルトはFIBERAUTOです。


■ デフォルトでは、すべてのポートでMDI/MDI-X自動認識が有効になっています。MDI/MDI-X自動認識を無効にするには、DISABLE SWITCH PORT AUTOMDIコマンドを実行します。


Note - SFPポート(GS908M V2、GS908M V2-4PS)、コンボポートでは、MDI/MDI-X自動認識有効/無効コマンド(DISABLE SWITCH PORT AUTOMDIコマンドおよびENABLE SWITCH PORT AUTOMDIコマンド)は使用できません。

■ MDI/MDI-X自動認識を無効にした直後のポートは、現在設定されているMDI/MDI-Xの状態にしたがいます(デフォルトは、MDI-X)。MDI/MDI-Xを変更するには、SET SWITCH PORTコマンドのPOLARITYパラメーターを使います。


Note - SFPポート(GS908M V2、GS908M V2-4PS)、コンボポートでは、MDI/MDI-Xの設定を変更することはできません。

■ 強制的にオートネゴシエーションを行わせるには、ACTIVATE SWITCH PORT AUTONEGOTIATEコマンドを使います。通信モードがAUTONEGOTIATEのポートでのみ有効です。


■ ポートをハードウェア的にリセットするには、RESET SWITCH PORTコマンドを使います。


■ ポートの状態を確認するには、SHOW SWITCH PORTコマンドを使います。


■ ポートの送受信の統計情報を確認するには、SHOW SWITCH PORT COUNTERコマンドを使います。


■ ポートの統計カウンターをクリアするには、RESET SWITCH PORTコマンドにCOUNTERオプションを指定して実行します。COUNTERオプションを省略すると、ポートがハードウェア的にリセットされてしまうので注意してください(カウンターもクリアされます)。



 

ポートトランキング

ポートトランキングは複数の物理ポートを束ねてスイッチ間の帯域幅を拡大する機能です。束ねたポートはトランクグループと呼ばれ、論理的に1本のポートとして扱われます。トランクグループは、VLAN内でも単一ポートとして認識されます。また、トランクグループ内のポートに障害が発生しても残りのポートで通信が継続できるため、信頼性を向上します。

GS908M V2は4グループまで、GS908M V2-4PSは5グループまで、GS916M V2、GS924M V2は8グループまで作成可能です。それぞれのトランクグループには、最大8ポートまで所属させることが可能です。ポートは隣接していなくてもかまいません。

ここでは、コマンドラインインターフェースによる設定方法を中心に説明します。なお、Web GUIでは「スイッチ設定」-「トランキング」で設定できます。(詳細は「Web GUI」/「スイッチ設定」をご覧ください。)

ポートトランキングの仕様は、次のとおりです。



ポートトランキングを使用するために最低限必要な設定について説明します。ここでは、ポート1-4を束ねて使用するものとします。

  1. トランクグループ「uplink」を作成します。グループ名は任意に指定できます。


  2. トランクグループにポートを追加します。束ねるポートはあらかじめ同じVLANに所属させておく必要があります。


基本設定は以上です。

Note - ポートトランキングの設定は、トランクポートによって接続される双方のスイッチで行う必要があります。

Note - ポートトランキング、スパニングツリープロトコル、ループガード、これらすべての機能を同時に使用することはできません。

■ トランクグループの情報はSHOW SWITCH TRUNKコマンドで確認できます。


■ トランクグループを通るパケットはすべて、トランキングアルゴリズムによって割り振られます。このアルゴリズムは、送信元/宛先IPアドレス、TCP/UDPポート番号(送信元、宛先)と接続ポート数によって計算します。

■ トランクグループに追加されたポートの通信モードは、CREATE SWITCH TRUNKコマンド、または、SET SWITCH TRUNKコマンド指定した速度となります。個別ポートの設定はトランクグループに追加した時点で上書きされます。

■ トランクグループからポートを削除するにはDELETE SWITCH TRUNKコマンドを使います。


■ トランクグループを削除するにはDESTROY SWITCH TRUNKコマンドを使います。所属ポートがあるときは削除できません。その場合は、先にDELETE SWITCH TRUNKコマンドで所属ポートを削除します。



 

ポートミラーリング

ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、任意のポートのトラフィックをミラーポートでキャプチャーできます。

ここでは、コマンドラインインターフェースによる設定方法を中心に説明します。なお、Web GUIでは「スイッチ設定」-「ミラーリング」で設定できます。(詳細は「Web GUI」/「スイッチ設定」をご覧ください。)

なお、本製品でのポートミラーリング機能には以下の特徴があります。


Note - 本製品のポートミラーリング機能では、ソースポートのタグの有無に関係なく、送信パケットはタグ付きでミラーポートに出力されます。受信パケットはソースポートで受信したタグ付き、またはタグなしのままミラーポートに出力されます。


 

基本設定

ここではポート1をミラーポートに設定し、ポート5から送受信されるトラフィックがミラーポートにコピーされるように設定します。

  1. ミラーポートを指定します。指定できるのはVLAN default所属のポートだけです。ミラーポートに指定したいポートがVLAN default以外に所属している場合は、最初に現在所属のVLANから削除しVLAN defaultの所属に戻した上で、SET SWITCH MIRRORコマンドを実行します。


    SET SWITCH MIRRORコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。


    すでにミラーポートとして設定されているポートがあった場合、本コマンド実行によりそのポートはVLAN default所属のタグなしポートとなります。
    Note - トランクグループに参加しているポートをミラーポートに設定することはできません。

    Note - ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。

  2. ソースポートとトラフィックの向きを指定します。ここではポート5から送受信されるトラフィックをミラーポートにコピーします。


  3. ポートミラーリング機能を有効にします。あらかじめミラーポートおよびソースポートが設定されていないと本コマンドは失敗します。手順1、2に従ってミラーポートとソースポートを指定してから本コマンドを実行してください。


    Note - 複数のポートをミラーしたいときは、SET SWITCH PORTコマンドを複数回実行してください。ただし、ミラーリング対象ポートを4ポート以上に増やすことは、ミラーリング機能のパフォーマンス低下につながりますので、ご注意ください。

設定は以上です。

■ ポートミラーリングの設定を確認するにはSHOW SWITCHコマンドおよびSHOW SWITCH MIRRORコマンドを実行します。ミラーポートはSHOW VLANコマンドの「Mirror Port」欄でも確認できます。また、ソースポートとミラー対象トラフィックはSHOW SWITCH PORTコマンドの「Mirroring」および「Is this port mirror port」欄でも確認できます。

■ ポートミラーリング機能を無効にするにはDISABLE SWITCH MIRRORコマンドを実行します。


■ ミラーポートの設定を解除するにはSET SWITCH MIRRORコマンドにNONEを指定します。設定を解除されたポートはVLAN default所属のタグなしポートに戻ります。


■ ソースポートのミラーリングを行わないようにするにはSET SWITCH PORTコマンドのMIRRORパラメーターにNONEを指定します。


■ ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。SET SWITCH MIRRORコマンドを実行した時点で、ミラーポートはいずれのVLANにも所属していない状態となります。


 

ポートセキュリティー

ポートセキュリティーは、MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。許可していないデバイスからフレームを受信したときには、パケットを破棄する、SNMPトラップを送信するなどのアクションを実行させることができます。

ここでは、コマンドラインインターフェースによる設定方法を中心に説明します。なお、Web GUIでは「セキュリティー設定」-「ポートセキュリティー」で設定できます。(詳細は「Web GUI」/「セキュリティー設定」をご覧ください。)

本機能は、SET SWITCH PORTコマンドのSECURITYMODEパラメーターでセキュリティーモードを設定することによって有効になります。SET SWITCH PORTコマンドで設定できるのは、次の4種類のモードです。

表 1
モード
説明
AUTOMATIC 通常の学習モード(セキュリティーモード無効)。
DYNAMIC 学習済みのMACアドレスが制限値に達すると学習機能を停止する。学習されたMACアドレスは、ダイナミックMACアドレスとして扱われ、エージングによって削除される(Dynamic Limitedモード)。学習可能なMACアドレスの最大数は、LEARNパラメーターで設定。
LIMITED 学習済みのMACアドレスが制限値に達すると学習機能を停止する。学習されたMACアドレスは、スタティックMACアドレスとして扱われ、エージングによって削除されない(Limitedモード)。学習可能なMACアドレスの最大値は、LEARNパラメーターで設定。
SECURED 学習機能を停止し、それまでに学習済みのMACアドレスをスタティックエントリーとし、セキュリティーモードとなる。(Secureモード)


Note - ポートセキュリティーが有効なポートは、トランクグループに所属させることができません。

Note - ポートセキュリティーが有効なポートは、ミラーポート、ポート認証のAuthenticatorポートに設定することはできません。

Note - ポートセキュリティーが有効なポートではスパニングツリープロトコルは使用できません。

Note - ポートセキュリティー(Dynamic Limitedモード)が有効なポートにはスタティックエントリーは登録できません。

Note - コンボポートではポートセキュリティーを有効にできません。

■ Limitedモード使用の注意

また、ポートセキュリティーがDynamic Limited/Limitedモードの場合、学習済みのMACアドレスが制限値に達した後で受信した、未学習の送信元MACアドレスを持つフレームを不正なものとみなし、あらかじめ指定されたアクションを実行します。

アクションには次の種類があります(SET SWITCH PORTコマンドのINTRUSIONパラメーターで指定)。

表 2
DISCARD 不正なフレームを破棄する。
DISABLE 不正なフレームを破棄し、SNMPトラップを送信した後、該当ポートを無効にする。
LOG 不正なフレームを破棄し、ログに記録する。
TRAP 不正なフレームを破棄し、SNMPトラップを送信する。



■ ポートに、Secureモードのポートセキュリティーを設定するには、SET SWITCH PORTコマンドを使います。


■ ポートに、Dynamic Limitedモードのポートセキュリティーを設定するには、SET SWITCH PORTコマンドの SECURITYMODEパラメーターを使います。たとえば、ポート2のMACアドレス学習数の上限を20個に設定するには次のようにします。


■ ポートに、Limitedモードのポートセキュリティーを設定するには、SET SWITCH PORTコマンドの SECURITYMODEパラメーターを使います。たとえば、ポート3のMACアドレス学習数の上限を20個に設定するには次のようにします。


■ 学習済みのアドレスを確認するには、SHOW SWITCH FDBコマンドを使います。ポートセキュリティーが有効なポートで学習されたアドレスは、「Status」欄に「Static」または「Dynamic」と表示されます。


■ ポートセキュリティーの設定状況はSHOW SWITCH PORTコマンド、または、SHOW SWITCH PORTコマンドのSECURITYオプションで確認できます。


■ ポートセキュリティーが有効(Secureモード、Limitedモード)なポートに対して、通信を許可するアドレスを手動登録するには、ADD SWITCH FILTERコマンドを使って、スタティックMACアドレスを登録します。


■ スタティックエントリーの削除はDELETE SWITCH FILTERコマンドで行います。


■ ポートセキュリティー機能をオフにするには、SET SWITCH PORTコマンドでSECURITYMODEパラメーターにAUTOMATICを設定します。
SecureモードまたはLimitedモード設定して、スタティックエントリーとなった学習済みのアドレスは削除されます。


■ ポートセキュリティーの設定(セキュリティーモードに関する設定)はCREATE CONFIGコマンドによって保存されます。SECUREDモードを設定して、スタティックエントリーとなった学習済みのアドレスは保存されます。


 

パケットストームプロテクション

パケットストームプロテクションは、ブロードキャスト/マルチキャスト/未学習のユニキャストフレームの受信レートに上限を設定し、パケットストームを防止するための機能です。設定値を上回るレートでこれらのフレームを受信した場合、フレームは破棄されます。本機能はデフォルトではオフになっています。

ここでは、コマンドラインインターフェースによる設定方法を中心に説明します。なお、Web GUIでは「スイッチ設定」-「プロテクション」で設定できます。(詳細は「Web GUI」/「スイッチ設定」をご覧ください。)

パケットストームプロテクションで制限できるのは以下のフレームです。


■ 受信レートはSET SWITCH LIMITATIONコマンドで設定し、有効/無効の設定はSET SWITCH PORTコマンドで行います。ここでは、ポート1〜8に対して、ブロードキャストフレームの受信レートの設定を有効とし、受信レートを10240Kbpsに制限します。


■ 受信レートの制限を解除するには次のようにします。


■ パケットストームプロテクションの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Broadcast rate limit」、「Multicast rate limit」、「DLF rate limit」をご覧ください。


 

ループガード

本製品ではループガードとして以下の2つをサポートしています。
ループ検出したポート番号をログ、トラップで管理者に通知することにより、ループの原因特定、対策が容易になります。設定方法については、「運用・管理」/「ログ」、「運用・管理」/「SNMP」をご覧ください。



Note - ポートトランキング、スパニングツリープロトコル、ループガード、これらすべての機能を同時に使用することはできません。


 

LDF検出

LDF(Loop Detection Frame)とは、特殊な宛先MACアドレス(00-00-F4-27-71-01)を持った試験フレームです。
LDF検出機能を有効にしたポートでは、一定時間ごとにLDFを送出します。
他の接続機器を介して機器にLDFが戻って来る場合、LDFの送信元MACアドレスと機器自身のMACアドレスが一致し、かつLDF検出機能が有効なスイッチポート番号がLDFに記録された情報と一致すると、ループ状態と判断されます。
すべてのポートで受信したLDFが判断の対象になります。(LDF検出機能が無効のポートで受信したLDFも対象です。)

ここでは、コマンドラインインターフェースによる設定方法を中心に説明します。なお、Web GUIでは「スイッチ設定」-「LDF検出」で設定できます。(詳細は「Web GUI」/「スイッチ設定」をご覧ください。)

LDF検出の仕様は、次のとおりです。


カスケード接続したノンインテリジェントスイッチなどの対向機器でループ接続された環境では、以下の場合にLDFの検出ができない可能性があります。


ループ状態と判断された場合、LDFを送信したポートに対し、以下のアクションのうちいずれかを行います。




アクション実行後は、タイマーが起動し、指定した時間が経過する、または下記の条件でアクション実行前の状態に戻ります。


■ ポート2のLDF検出機能を有効にするにはENABLE SWITCH LOOPDETECTIONコマンドを使用します。LDF検出機能はフローコントロールとは併用できませんが、フローコントロールはデフォルト有効のため、先にDISABLE SWITCH PORT FLOWコマンドでポート2のフローコントロールを無効にします。



■ ポート2のLDF送出間隔を1秒、LDF検出時のアクションをBCDISCARD(ブロードキャストパケットを破棄する)、アクションからの復帰時間を1時間に設定するにはSET SWITCH LOOPDETECTIONコマンドを使用します。



■ ポート2のLDF検出機能の設定情報を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。



■ ポート2のLDF検出機能の状態を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。



■ ポート2のLDF検出機能のカウンターの情報を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。



 

受信レート検出

受信レート検出機能を有効にしたポートでは、一定時間ごとに受信レートを算出し、指定されたしきい値と比較して、しきい値を超えた場合にループ状態と判断されます。

受信レートは1ポートにつき、2レベル(LOWRATE、HIGHRATE)設定できます。各レベルに対して、受信レートしきい値とアクションを設定できます。

ここでは、コマンドラインインターフェースによる設定方法を中心に説明します。なお、Web GUIでは「スイッチ設定」-「受信レート検出」で設定できます。(詳細は「Web GUI」/「スイッチ設定」をご覧ください。)

受信レート検出の仕様は次のとおりです。


受信レートがしきい値を越えたポートに対し、以下のアクションのうちいずれかを行います。




アクション実行後は、タイマーが起動し、指定した時間が経過する、または下記の条件でアクション実行前の状態に戻ります。


■ ポート2の受信レート検出機能を有効にするにはENABLE SWITCH STORMDETECTIONコマンドを使用します。



■ ポート2の高レートのしきい値を1024000Kbps、アクションをBCDISCARD(ブロードキャストパケットを破棄する)に設定するにはSET SWITCH STORMDETECTIONコマンドを使用します。



■ ポート2の受信レート検出機能の設定情報を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。



■ ポート2の受信レート検出機能の状態を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。



■ ポート2の受信レート検出機能のカウンターの情報を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。


 

省電力モード

省電力モードは、リンクしていないスイッチポートへの電力供給を制限し、消費電力を抑える機能です。本機能の設定は、スイッチポート別ではなく、装置全体に対して機能します。本機能は、デフォルトで無効に設定されています。

以下の設定は、Web GUIでは「スイッチ設定」-「ポート」で設定できます。(詳細は「Web GUI」/「スイッチ設定」をご覧ください。)

■ 本製品の省電力モードを有効にするには、ENABLE SWITCH POWERSAVEコマンドを使います。


■ 本製品の省電力モードを無効にするには、DISABLE SWITCH POWERSAVEコマンドを使います。




(C) 2009-2011 アライドテレシスホールディングス株式会社

PN: 613-001180 Rev.E