[index] SwitchBlade 4000シリーズ コマンドリファレンス 2.6

スイッチング/ポート

  - ポートの指定
   - ポート番号
   - 複数ポートの指定方法
  - ポートとインスタンス
  - 基本コマンド
  - ポートトランキング
  - ポートミラーリング
   - 基本設定
  - ポートセキュリティー
  - ポート帯域制限機能
  - トリガー

本製品のスイッチポートは、ご購入時の状態ですべてイネーブルに設定されており、互いに通信可能な状態にあります。スタンドアローンのレイヤー2スイッチとして使うのであれば、特別な設定は必要ありません。設置・配線を行うだけで使用できます。

 

ポートの指定

 

ポート番号

■ 本製品のスイッチポートは次の形式で表します。


slotはスロット番号(シャーシに記載)、portは該当スロットに装着されているラインカード上のポート番号です(ラインカード上に記載)。次に例を示します。


たとえば、スロット1に装着した8ポートラインカードの8番ポートは、次のように表します。


この形式では、あるスロットでラインカードを着脱しても、その他のスロットに装着されたラインカード上のポート番号は変わりません。通常はこの形式を使用してください。

■ また、スイッチポートは次の形式で表すこともできます。


この形式では、スロット番号の小さいほうから大きなほうへと、すべてのポートを連番で表します。次に例を示します。


この形式では、ラインカードの着脱によってポート番号が変わる可能性があります。特別な理由のない限り、前述の「slot.port」形式を使用してください。

これ以降、文中でスイッチポートを表すときは、「ポート1.8」のような「slot.port」形式を使います。

■ スイッチコントロールカード上のマネージメントポート(Ethernetポート)とターミナルポート(シリアルポート)は、それぞれeth0、asyn0と表します。スイッチコントロールカードを2枚装着している場合、1枚はマスター、もう1枚はスレーブとなります。そのため、ある時点で使用できるマネージメントポートとターミナルポートは、マスター上の一組だけです。

 

複数ポートの指定方法

スイッチポートに対する設定コマンドには、複数のポートを一度に指定できるものがあります。以下、指定するときの例を示します。

■ 1つのポートを指定


■ 連続する複数のポートをハイフンで指定(ハイフンは同一ラインカード内の連続するポートにしか使えません)


■ 連続していない複数のポートをカンマで指定


■ カンマとハイフンの組み合わせで指定


■ すべてのポートを意味する特殊なキーワードALLを指定


 

ポートとインスタンス

ラインカードには、1個または2個のスイッチチップが搭載されています。本製品では、個々のスイッチチップを「スイッチインスタンス」または単に「インスタンス」と呼びます。機能によっては、インスタンスをまたぐ構成では使用できないものがありますので、ご注意ください。

以下の機能は、インスタンスをまたいで設定することはできません。


また、コマンドによっては、インスタンスの指定が必要なものがあります。インスタンスは次の形式で指定します。


ここで、slotはスロット番号(シャーシに記載)、chipnoは該当スロットに装着されているラインカード上のスイッチチップ番号です。スイッチチップ1個搭載のラインカードでは、スイッチチップ番号は0のみとなります。スイッチチップ2個搭載のラインカードでは、スイッチチップ番号は0か1になります。

どのポートがどのインスタンスに所属するかは、ラインカードのポート数によって異なります。次の表を参考にしてください。

表 1
ラインカードのポート数
スイッチチップの数
チップ0所属ポート
チップ1所属ポート
8ポート 1 1〜8 -
24ポート 2 1〜12 13〜24
32ポート 2 1〜16 17〜32
48ポート 2 1〜24 25〜48


 

基本コマンド

スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細はコマンドリファレンスをご覧ください。

■ ポートをイネーブルにするにはENABLE SWITCH PORTコマンドを使います。


■ ポートをディセーブルにするにはDISABLE SWITCH PORTコマンドを使います。


■ ポートの通信モード(通信速度とデュプレックスモード)を変更するにはSET SWITCH PORTコマンドのSPEEDパラメーターを使います。デフォルトはAUTONEGOTIATE(オートネゴシエーション)です。


■ 強制的にオートネゴシエーションを行わせるにはACTIVATE SWITCH PORT AUTONEGOTIATEコマンドを使います。通信モードがAUTONEGOTIATEのポートでのみ有効です。


■ ポートをハードウェア的にリセットするにはRESET SWITCH PORTコマンドを使います。


■ ポートの状態を確認するにはSHOW SWITCH PORTコマンドを使います。


■ ポートの送受信統計を見るにはSHOW SWITCH PORT COUNTERコマンドを使います。


■ ポートの統計カウンターをクリアするにはRESET SWITCH PORTコマンドにCOUNTERオプションをつけて実行します。COUNTERオプションをつけないと、ポートがハードウェア的にリセットされてしまうので注意してください(カウンターもクリアされる)。


 

ポートトランキング

ポートトランキングは複数の物理ポートを束ねてスイッチ間の帯域幅を拡大する機能です。束ねたポートはトランクグループと呼ばれ、論理的に1本のポートとして扱われます。トランクグループは、VLAN内でも単一ポートとして認識されます。また、トランクグループ内のポートに障害が発生しても残りのポートで通信が継続できるため、信頼性の向上にも貢献します。

作成できるトランクグループの数に制限はありません。トランクグループの所属ポート数は、8ポートラインカードでは最大8ポート、32/48ポートラインカードでは最大16ポートです。トランクポートは隣接していなくてもかまいませんが、同一インスタンスに所属している必要があります。

ポートトランキングを使用するために最低限必要な設定について説明します。ここでは、ポート1.1〜1.4を束ねて使用するものとします。

  1. トランクグループ「quad1000」を作成します。グループ名は自由につけられます。


  2. トランクグループにポートを追加します。束ねるポートはこの時点で同じVLANに所属していなくてはなりません。


基本設定は以上です。

Note - トランクグループの所属ポートは、すべて同一のVLAN設定である必要があります。すべての所属ポートは、同一VLANの所属で、同一のタグ設定(TAGGEDかUNTAGGED)にする必要があります。VLANへの追加・削除は、トランクグループの所属ポートすべてを一単位として行ってください。所属ポートのタグ設定を変更するときも同様です。

Note - トランクグループは、同一インスタンス内で設定する必要があります。複数インスタンスにまたがるトランクグループは設定できません。

Note - トランクグループは、すべて同一メディアタイプのポートで構成してください。たとえば、トランクグループ内に1000BASE-SXポートと1000BASE-LXポートを混在させるような構成はサポート対象外です。

Note - ポートトランキングの設定は、トランクポートによって接続される両方のスイッチで行う必要があります。

■ トランクグループの情報はSHOW SWITCH TRUNKコマンドで確認できます。


■ トランクグループに追加されたポートの通信モードは、SPEEDパラメーターで指定した速度のオートネゴシエーション(AUTONEGOTIATE)となります。個別ポートの設定はトランクグループに参加した時点で上書きされますが、内部的には保持されており、グループから抜けると元の設定に戻ります。

■ トランクグループ内のどのポートからパケットを送出するかは、L2、L3、L4ヘッダーの情報に基づいて決定されます。ENABLE SWITCH HASHコマンド、DISABLE SWITCH HASHコマンドを使うと、送出ポート決定に使うヘッダー情報を制御できます。

たとえば、L4のヘッダー情報を使わないようにするには、次のようにします。デフォルトでは、L2とL4のヘッダー情報を使って送出ポートを決定します。


■ トランクグループからポートを削除するにはDELETE SWITCH TRUNKコマンドを使います。


■ トランクグループを削除するにはDESTROY SWITCH TRUNKコマンドを使います。所属ポートがあるときは削除できません。その場合は、先にDELETE SWITCH TRUNKコマンドで所属ポートを削除してください。


 

ポートミラーリング

ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、同一インスタンス内において、任意のポートのトラフィックをミラーポートでキャプチャーすることができます。

Note - 本製品は送信パケットのミラーリングには対応していません。

 

基本設定

ここでは、スロット1に8ポートラインカードを装着している環境において、ポート1.1をミラーポートに設定し、ポート1.5から送受信されるトラフィックがミラーポートにコピーされるようにします。

  1. ミラーポートを指定します。指定できるのはVLAN default所属のポートだけです。ミラーポートに指定したいポートがVLAN default以外に所属している場合は、最初に現在所属のVLANから削除しVLAN defaultの所属に戻した上で、SET SWITCH MIRRORコマンドを実行します。


    SET SWITCH MIRRORコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。INSTANCEにはインスタンス番号を「slot.chipno」の形式で指定します。8ポートラインカードにはスイッチチップが1個しか搭載されていないので、chipnoは常に0となります。


    すでにミラーポートとして設定されているポートがあった場合、本コマンド実行によりそのポートはVLAN default所属のタグなしポートとなります。

    Note - トランクグループに参加しているポートをミラーポートに設定することはできません。

    Note - ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。

  2. ポートミラーリング機能を有効にします。


  3. ソースポートとトラフィックの向きを指定します。ここではポート1.5で受信したトラフィックをミラーポートにコピーします。


    Note - 本製品は送信パケットのミラーリングには対応していません。

    Note - ミラーポートとソースポートは同一インスタンスに所属している必要があります。

    Note - 複数のポートをミラーしたいときは、SET SWITCH PORTコマンドを複数回実行してください。ただし、ミラーリング対象ポートを増やすことはパフォーマンス低下につながりますのでご注意ください。

    Note - 不正なパケット(エラーパケットなど)はミラーされません。

設定は以上です。

■ ポートミラーリングの設定を確認するにはSHOW SWITCHコマンドを実行します。ミラーポートはSHOW VLANコマンドの「Mirror Port」欄でも確認できます。また、ソースポートとミラー対象トラフィックはSHOW SWITCH PORTコマンドの「Mirroring」欄でも確認できます。

■ ポートミラーリング機能を無効にするにはDISABLE SWITCH MIRRORコマンドを実行します。


■ ミラーポートの設定を解除するにはSET SWITCH MIRRORコマンドにNONEを指定します。設定を解除されたポートはVLAN default所属のタグなしポートに戻ります。


■ ソースポートでのミラーリングをやめるにはSET SWITCH PORTコマンドのMIRRORパラメーターにNONEを指定します。


■ ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。SET SWITCH MIRRORコマンドを実行した時点で、ミラーポートはいずれのVLANにも所属していない状態となります。

 

ポートセキュリティー

ポートセキュリティーは、MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。許可していないデバイスからパケットを受信したときには、パケットを破棄する、SNMPトラップを上げるなどのアクションを実行させることができます。

本機能は、SET SWITCH PORTコマンドのLEARNパラメーターで、ポートごとに学習可能なMACアドレス数の上限(1〜256個)を設定することによって有効になります。学習済みのMACアドレスが制限値に達すると、それ以降に受信した未学習の送信元MACアドレスを持つパケットを不正なものとみなし、あらかじめ指定されたアクションを実行します。

アクションには次の種類があります(SET SWITCH PORTコマンドのINTRUSIONACTIONパラメーターで指定)

表 2
アクション名
動作
DISCARD 不正なパケットを破棄する。
TRAP 不正なパケットを破棄し、SNMPトラップを送信する。
DISABLE 不正なパケットを破棄し、SNMPトラップを送信した後、該当ポートをディセーブルにする。


■ ポートに学習可能なMACアドレスの最大数と不正パケット受信時のアクションを設定するには、SET SWITCH PORTコマンドを使います。たとえば、ポート1.11のMACアドレス学習数の上限を20個、アクションをDISABLEに設定するには次のようにします。


SET SWITCH PORTコマンドでLEARNパラメーターを設定すると、すでに同ポートで学習していたアドレスエントリー(ダイナミックエントリー)がフォワーディングデータベースから削除され、エントリーなしの状態からアドレス学習が開始されます。

上限が設定されているときに学習したMACアドレスの扱いは、SET SWITCH PORTコマンドのRELEARNパラメーターの設定によって異なります。


Note - ポートセキュリティーが有効なポートでは、802.1X認証を使用できません。

デフォルトでは、RELEARNパラメーターはOFFで、学習したMACアドレスはスタティックMACアドレスとして扱われ、エージングによって削除されません。

学習アドレス数が上限に達すると、それ以降に受信した未知のアドレスからのパケットは「不正」なものと見なされ、INTRUSIONACTIONで指定したアクションが実行されます。

たとえば、アクションが「DISABLE」に設定されているときに不正パケットを受信すると、トラップ送信とポートのディセーブルが実行され、コンソール画面に次のように表示されます。


■ 学習済みのアドレスを確認するには、SHOW SWITCH FILTERコマンドを使います。ポートセキュリティーがオンのポートで学習されたアドレスは、Source欄に「Learn」と表示されます。


■ ポートセキュリティーの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Learn limit」欄には現在設定されている上限が、「Intrusion action」欄には不正パケット受信時のアクションが表示されます。また、「Current learned, lock state」欄には、現在までに学習したアドレスの数と、ポートがロック(これ以上学習しない状態のこと)されているかどうかが表示されます。「Relearn」欄には、LEARNパラメーターを設定した場合に、学習したMACアドレスがエージングの対象であるかどうかが表示されます。


■ 不正とみなされたMACアドレスはSHOW SWITCH PORT INTRUSIONコマンドで確認できます。


■ 学習済みアドレス数が上限に達する前に手動でポートをロックするにはACTIVATE SWITCH PORT LOCKコマンドを使います。あらかじめSET SWITCH PORTコマンドで上限とアクションを設定した上で、ポートをロックします。


■ ポートセキュリティーがオンのポート(学習可能アドレスに上限が設定されているポート)に対して、通信を許可するアドレスを手動登録するには、ADD SWITCH FILTERコマンドにLEARNオプションを付けて実行します。すでに上限に達している場合であっても、本コマンドで手動追加した場合は上限値が引き上げられます。


Note - LEARNオプションを付け忘れると通常のスタティックエントリーとなり、ポートセキュリティー機能における「学習済みアドレス」としてはカウントされませんのでご注意ください。

■ スタティックエントリーの削除はDELETE SWITCH FILTERコマンドで行います。ENTRY番号はSHOW SWITCH FILTERコマンドで確認してください。


■ ポートのロックを解除する、あるいはポートセキュリティー機能をオフにするには、SET SWITCH PORTコマンドでアドレス学習の上限値(LEARNパラメーター)に0(無制限)を設定します。ポートセキュリティーがオンのときに学習されたエントリーは、システムの再起動とともにデータベースから削除されます。


■ ポートセキュリティー機能のアクションによってディセーブルにされたポートはENABLE SWITCH PORTコマンドではイネーブルに戻せません。この場合は、SET SWITCH PORTコマンドのLEARNパラメーターに0を指定してポートセキュリティーをオフにすると、イネーブルに戻ります。


Note - RELEARNパラメーターがONのときは、学習アドレス数がいったん上限に達しても、エージングにより再度上限を下回ることがありますが、INTRUSIONACTIONにDISABLEを指定した場合は、学習アドレス数が上限を下回っても、ポートが自動的にイネーブルになることはありません。

■ ポートセキュリティーの設定(学習済みアドレスやポートの状態)はCREATE CONFIGコマンドによって保存されます。

 

ポート帯域制限機能

本製品は、スイッチポートごとに送信レートを制限することができます。

Note - ポート帯域制限機能は、ポリシーベースQoSの帯域制御機能と同時に使用しないでください。

帯域制限の設定はSET SWITCH PORTコマンドのEGRESSLIMIT(送信レート)パラメーターで行います。

■ ポート1.1の送信レートを500Mbpsに制限するには、次のように指定します。EGRESSLIMITの単位はKbpsです。


Note - EGRESSLIMITパラメーターに指定できる値の範囲は0〜16000063Kbpsですが、64の倍数になるよう切り捨てが行われるので注意してください。たとえば、EGRESSLIMITに63を指定しても、64に満たないため切り捨てにより0として扱われます。

Note - EGRESSLIMIT=0は、EGRESSLIMIT=NONE(制限なし)と同じ意味になります。

■ ポートの帯域制限を解除するには値としてNONEまたは0を指定します。


■ ポート帯域制限機能の設定状況はSHOW SWITCH PORTコマンドで確認できます。「Egress rate limit」をご覧ください。

 

トリガー

トリガー機能を使用すると、スイッチポートのリンクアップ、リンクダウン時に任意のスクリプトを実行させることができます。

スイッチポートのリンクアップ、リンクダウンは、スイッチングモジュール固有のモジュールトリガーを使って捕捉します。

CREATE TRIGGER MODULEコマンド、SET TRIGGER MODULEコマンドに、スイッチングモジュール固有のパラメーターを加えたコマンド構文は次のようになります。



PORTパラメーターにはスイッチポートの番号を、EVENTパラメーターにはLINKDOWN(リンクダウン)かLINKUP(リンクアップ)のいずれかを指定します。

このトリガーは、PORTパラメーターで指定したスイッチポートがリンクアップするか(EVENT=LINKUPのとき)、リンクダウンするか(EVENT=LINKDOWNのとき)したときに起動されます。

トリガーから実行されるスクリプトには、特殊な引数として%D(日付)、%T(時刻)、%N(システム名)、%S(シリアル番号)が渡されます。また、引数%1としてスイッチポートの番号も渡されます。

次に例を示します。ここでは、スイッチポート1.3がリンクダウンしたらlinkdown.scpを、リンクアップしたらlinkup.scpを実行するように設定します。これらのスクリプトでは、MAILコマンドを使って管理者でメールで通知するようにします。

なお、IPやメールの設定はすんでいるものと仮定します。IPの設定については「IP」の章を、メールの設定については「運用・管理」の「メール送信」をご覧ください。

  1. トリガー機能を有効にします。


  2. リンクダウン時にlinkdown.scpを実行するトリガー「1」を作成します。


  3. リンクアップ時にlinkup.scpを実行するトリガー「2」を作成します。


スクリプト「linkdown.scp」

スクリプト「linkup.scp」

ここではトリガースクリプト起動時に渡される特別な引数を使って、スイッチのシステム名(%N)やシリアル番号(%S)、日時(%D、%T)をメールのサブジェクトと本文に埋め込んでいます。次に、メールメッセージの例を示します。







(C) 2003 - 2005 アライドテレシスホールディングス株式会社

PN: J613-M6964-02 Rev.G