[index] CentreCOM IA810M コマンドリファレンス 2.3.2

SET SWITCH PORT

カテゴリー:スイッチング

SET SWITCH PORT={port-list|ALL} [ACCEPTABLE={ALL|VLAN}][DESCRIPTION=string] [MIRROR={BOTH|NONE|RX|TX}][PRIORITY=priority][SPEED={AUTONEGOTIATE|10MHALF|10MFULL|100MHALF|100MFULL|10MHAUTO|10MFAUTO|100MHAUTO|100MFAUTO}][SECURITYMODE= {AUTOMATIC|DYNAMIC|LIMITED|SECURED}][LEARN=0..256][INTRUSIONACTION={DISCARD|DISABLE|LOG|TRAP}][POLARITY={MDI|MDIX}] [BCLIMIT={ON|OFF}] [DLFLIMIT={ON|OFF}] [MCLIMIT={ON|OFF}]

port-list: スイッチポート番号(1〜。ハイフン、カンマを使った複数指定も可能)
string: ポート名称。SHOW SWITCH PORTコマンドなどで表示されるもので、メモ的に使用する。20文字までの半角英数字、およびシャープ[#]、パーセント[%]、クエスチョン[?]、円マーク[\]を除く半角記号で入力する。空白を含む場合はダブルクォート[”]で囲み指定する。消去する場合は2つのダブルクォートを指定するか何も指定しない
priority: ユーザープライオリティー値(0〜7)

スイッチポートの各種設定を行う
ミラーソースポート、通信モード、受信フレームタイプ(VLANタグあり・なし)、セキュリティーモードなどの設定を行う



パラメーター

PORT: 対象となるスイッチポート番号またはALL。ALLを指定した場合はすべてのスイッチポートが対象となる

ACCEPTABLE: 受信可能なフレームタイプ。VLAN(VLANタグ付きフレームのみ。VID=0のプライオリティータグフレームは破棄)または、ALL(すべて)を選択する。タグなしVLAN所属ポートのデフォルトはALL。タグVLANにしか所属していないポートでは、自動的に本パラメーターがVLANに設定され変更できない

DESCRIPTION: ポート名称。SHOW SWITCH PORTコマンドなどで表示されるもので、メモ的に使用する

MIRROR: ミラーリングするトラフィックの向き。該当ポートをポートミラーリングのソースポートにしたいときに指定する。BOTH(送受信パケット)、RX(受信パケット)、TX(送信パケット)、NONE(ミラーリングしない)から選択する。デフォルトはNONE。複数ポートに指定可能。ただし、トラフィックの向きをポート単位で設定することはできない

PRIORITY: ユーザープライオリティー値 (0〜7) を指定する。デフォルトは0

SPEED: ポートの通信速度とデュプレックスモードを設定する。トランクグループ所属ポートに対して本コマンドでSPEEDオプションを変更した場合、ポートレベルの設定値は変更されるが、実際の値はトランクグループ全体の設定値のまま変化しない。同ポートをトランクグループから除外した時点で設定値が有効になる。デフォルトはAUTONEGOTIATE。AUTONEGOTIATEを指定した場合、自動的にMDI/MDI-X自動認識が有効になる。固定SPEED設定時はMDI/MDI-X自動認識が無効となる。100BASE-FXポート(ポート9、10)は、100MFULL固定のみをサポートし、AUTONEGOTIATEはサポートしない

SECURITYMODE: 指定ポートのセキュリティーモードを設定。SECURED(Secureモード)、DYNAMIC(Dynamic Limitedモード)、AUTOMATIC(セキュリティーモード解除)、LIMITED(Limitedモード)から選択する。デフォルトはAUTOMATIC。

Securedモードでは、FDBの学習機能を停止し、選択した時点での学習済みMACアドレスをスタティック登録する。それ以降に受信した未登録のMACアドレスを持つパケットは不正パケットとして破棄する。不正パケット検出時のアクションは、INTRUSIONACTIONパラメーターにて指定。CREATE CONFIGコマンドでポートセキュリティーの設定(セキュリティーモードに関する設定)を保存後は、スタティック登録されたMACアドレスは、エージング機能や設定保存後のシステムのリセットによって削除されない。これをMACアドレステーブルから削除する場合は、一度、Securedモード以外を選択するか、DELETE SWITCH FILTERコマンドを実行する。本モード選択前に、すでにスタティックエントリーが登録されていてる場合は、エントリーは削除されずに引き継がれる。
Dynamic Limitedモードでは、学習済みMACアドレス数がLEARNパラメーターで指定した学習可能な送信元MACアドレス(ダイナミックエントリー)の最大数の制限値に達している状態で未学習の送信元MACアドレスを持つパケットを受信すると破棄される。不正パケット検出時のアクションは、INTRUSIONACTIONパラメーターにてDISCARDのみ指定可能。SECURITYMODE=DYNAMIC指定時はLEARNパラメーターの指定が必須。本モード選択前にスタティックエントリーが登録されているポートは本モードに選択できない。DELETE SWITCH FILTERコマンドを実施して削除する必要がある。
Limited モードでは、学習済みMACアドレス数がLEARNパラメーターで指定した学習可能な送信元MACアドレス(スタティックエントリー)の最大数の制限値に達している状態で未学習の送信元MACアドレスを持つパケットを受信すると破棄される。不正パケット検出時のアクションは、INTRUSIONACTIONパラメーターにて指定。SECURITYMODE=LIMITED指定時はLEARNパラメーターの指定が必須。本モード選択前に、すでにスタティックエントリーが登録されていてる場合は、エントリーは削除されずに引き継がれる。スタティックエントリーは、最大数の制限値には含まれない。
Automaticモードでは、ポートセキュリティーは解除される。本モード以外から、Automaticモードに変更した場合は該当ポートのダイナミック、スタティックエントリーすべてが削除される

LEARN: 該当ポートで学習可能な送信元MACアドレスの最大数。セキュリティーモードが、Dynamic Limitedモード、Limitedモードの時のみ制御対象となる。SECURITYMODEパラメーターを指定しないで、本パラメーターに0を指定した場合、ポートはロック状態になり、FDBの自動学習機能が停止し、自動的にSecureモードに変更される。0以外の値を指定した場合は、SECURITYMODEパラメーターは省略可能(省略した場合は、Dynamic Limitedモードを設定したことになる)

INTRUSIONACTION: SECURITYMODEパラメーターで、LIMITEDまたはSECURED指定時に、不正パケット受信時の動作を設定する。デフォルトはDISCARD。DISCARD(不正パケットを破棄)、DISABLE(不正パケットを破棄し、SNMPトラップを送信して、ポートをDISABLEにする。DISABLEの解除は、SECURITYMODEパラメーターでAUTOMATICを指定し、ポートセキュリティーを解除することで可能)、LOG(不正パケットを破棄し、不正パケット送信元のMACアドレス、VID、ポート番号をLOG LEVEL=4(NOTICE)としてログに保存する。SYSLOG設定がある場合は、SYSLOGに送信する。2回目以降、送信元が同一な場合はログに記録しない)、TRAP(不正パケットを破棄し、不正パケット送信元のMACアドレス、VID、ポート番号をSNMPトラップとして送信する。別途、送信設定が必要)のいずれか

POLARITY: MDI/MDI-X自動認識を無効にしたときのMDI/MDI-Xを指定する。デフォルトはMDI-X。100BASE-FXポート(ポート9、10)では、MDI/MDI-Xの設定を変更することはできない

BCLIMIT: ブロードキャストMACアドレスに対するパケットストームプロテクションの有効/無効を設定する。デフォルトは無効

DLFLIMIT: 未学習のユニキャストMACアドレスに対するパケットストームプロテクションの有効/無効を設定する。デフォルトは無効

MCLIMIT: マルチキャストMACアドレスに対するパケットストームプロテクションの有効/無効を設定する。デフォルトは無効



入力・出力・画面例 

Manager > set switch port=1 speed=100mhalf

 Operation successful.



ポート1の通信モードを100MHALFに固定する
SET SWITCH PORT=1 SPEED=100MHALF



備考・注意事項

ポートセキュリティーが有効なポートはミラーポートに設定することはできない。また、トランクグループに所属させることもできない。

ポートセキュリティーが有効なポートではスパニングツリープロトコルは併用できない。

トランクグループ所属ポートに対して本コマンドでSPEEDオプションを変更した場合、ポートレベルの設定値は変更されるが、実際の値はトランクグループ全体の設定値のまま変化しない。同ポートをトランクグループから除外した時点で設定値が有効になる。

本コマンドのSPEEDパラメーターで、10Mまたは100M固定スピード(10MHALF、10MFULL、100MHALF、100MFULL)を設定した場合、MDI/MDI-X自動認識は無効になる(有効には変更できない)。また、オートネゴシエーション(AUTONEGOTIATE、10MHAUTO、10MFAUTO、100MHAUTO、100MFAUTO)を設定した場合は、MDI/MDI-X自動認識は有効になる(無効にも変更できる)。

ポートのMDI/MDI-Xの設定は、MDI/MDI-X自動認識が無効のときに有効になる。

LDF検出機能、または受信レート検出機能を有効にし、ポートのアクションがBCDISCARDに設定されたポートがある場合、BCLIMIT、DLFLIMIT、MCLIMITをONに設定することはできない。

ADD SWITCH FILTERコマンドで指定していないマルチキャストMACアドレスは、未学習のユニキャストMACアドレスに対するパケットストームプロテクションの対象となる。

予約済みのマルチキャストMACアドレス(01-80-c2-00-00-00〜01-80-c2-00-00-2f)は、パケットストームプロテクションの対象にならない。

INTRUSIONACTIONパラメーターでDISABLE指定時、ポートがDISABLEになった状態で、設定を保存すると、再起動時もポートのDISABLE状態は引き継がれる。ただし、再起動後のDISABLE状態は、DISABLE SWITCH PORTコマンド実行時と同一で、ENABLE SWITCH PORTコマンドで有効化が可能。

INTRUSIONACTIONパラメーターでLOG指定時、ログに記録できる件数は、1ポートあたり150件まで。150件を超えた場合はINTRUSIONACTION=DISCARDと同様の動作でパケットが破棄されるのみ。

INTRUSIONACTIONパラメーターでTRAP指定時、2回目以降、送信元が同一な場合はトラップを送信しない。トラップを発行する回数は、1ポートあたり150件まで。150件を超えた場合INTRUSIONACTION=DISCARDと同様の動作でパケットが破棄されるのみ。

アクションにTRAP指定時、10ポート以上のポートで同時に大量の不正パケットの検出した場合、不正検出処理の輻輳状態が発生する。このとき、450件以上の検出をロスする場合がある。検出処理の輻輳状態が回復すると、通常どおり1ポートあたり150件の最大数まで検出と通知ができる。

150件までの不正検出アドレスは、装置起動中保持される。ただし、再起動、または、次の設定変更(ポート単位)によって不正検出アドレスはリセットされる。
○LIMITEDモード時は、LEARN数の変更
○INTRUSIONACTIONパラメーターの設定変更
○SECURITYMODEパラメーターの設定変更
○所属VLANの変更

ミラーリングできるトラフィックの向きは1つの機器につき1つのパラメーターしか設定できない。

PAUSEフレームもミラーリングの対象になる。

セキュリティーモードをLimitedに設定したポートでは、本体宛て通信の受信レートがチェックされるため、FDB学習に時間がかかる。

100BASE-FXポート(ポート9、10)は、トランクグループに所属させることができない。



関連コマンド

ACTIVATE SWITCH PORT AUTONEGOTIATE
DISABLE SWITCH PORT
ENABLE SWITCH PORT
RESET SWITCH PORT
SHOW SWITCH PORT



(C) 2011 アライドテレシスホールディングス株式会社

PN: 613-001583 Rev.A