[index] CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス

インターフェース / スイッチポート

  - ポートの指定
   - スイッチポート
   - トランクグループ
  - ポートとインスタンス
  - 基本コマンド
  - ポートミラーリング
   - 基本設定
  - ポートセキュリティー
  - ループガード
   - MACアドレススラッシングプロテクション
   - パケットストームプロテクション
  - ポート帯域制限機能
  - トリガー

本製品のスイッチポートは、初期状態ですべて有効に設定されており、互いに通信可能な状態にあります（すべてのスイッチポートがvlan1に所属しています）。スタンドアローンのレイヤー2スイッチとして使うのであれば、特別な設定は必要ありません。設置・配線を行うだけで使用できます。

ポートの指定

スイッチポート

本製品のスイッチポートは次の形式で表します。


portX.Y.Z

XはスタックメンバーID（1～8）です。スタックしていない場合はつねに「1」を指定します
Yは拡張モジュールベイの番号です。ベイの数や番号の振り方は機種によって異なりますので取扱説明書で確認してください。また、本体内蔵ポートの場合は「0」を指定します。
Zはポート番号です。

たとえば、スタックしていないシャーシの本体ポート「21」は、次のように表します。


port1.0.21

スタックメンバー「3」の拡張モジュールベイ「1」に装着された拡張モジュール上のポート「11」は、次のように表します。


port3.1.11

トランクグループ

本製品では、スイッチポートを複数束ねて1つのポート（トランクグループ）として使用することもできます（IEEE 802.3ad リンクアグリゲーション）。

トランクグループには、手動設定のもの（スタティックチャンネルグループ）と自動設定のもの（LACPチャンネルグループ）があり、それぞれ単一のスイッチポートとほぼ同様に扱うことができます。

したがって、スイッチポートを対象とする各種コマンドは、トランクグループに対してもほぼ同じように使えます。各種コマンドでトランクグループを指定するときは、前述のポート番号の代わりに、以下の表記を使ってください。

■ スタティックチャンネルグループは次の形式で表します。

saX

Xはスタティックチャンネルグループ番号（1～31）です。これはstatic-channel-groupコマンドで指定した番号です

■ LACPチャンネルグループは次の形式で表します。

poX

XはLACPチャンネルグループ番号（1～99）です。これはchannel-groupコマンドで指定した番号です

トランクグループの詳細については、「インターフェース」の「リンクアグリゲーション（IEEE 802.3ad）」をご覧ください。

ポートとインスタンス

スイッチポートは、パケットの転送処理を行う「スイッチチップ」によって相互接続されています。スイッチチップは製品本体に内蔵されているほか、拡張モジュールにも搭載されています。たとえば、AT-x900-24XT、AT-x900-24XSの本体スイッチポートは、ポート1～12と13～24がそれぞれ別のスイッチチップに接続されています。また、拡張モジュールはそれぞれ個別のスイッチチップを持っています。

本製品では、個々のスイッチチップを「スイッチインスタンス」または単に「インスタンス」と呼びます。通常、インスタンスの存在を意識する必要はありませんが、以下の機能に関してはインスタンスに関連する注意・制限事項がありますのでご注意ください。

QoSポリシーマップ
スタティックチャンネルグループ（手動設定のトランクグループ）、LACPチャンネルグループ（自動設定のトランクグループ）ともに、所属ポートが複数のインスタンスにわたっている場合、該当トランクグループではQoSのメータリングが動作しません。複数インスタンスにまたがるトランクグループに対しては、メータリング（ポリサー）設定（police aggregateコマンド、police single-rateコマンド、police twin-rateコマンド）を含むポリシーマップを適用しないでください（適用してもメータリングが動作しません）。

基本コマンド

スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細はコマンドリファレンスをご覧ください。

■ ポートを無効化するにはshutdownコマンドを使います。

awplus(config)# interface port1.0.8 ↓ awplus(config-if)# shutdown ↓

■ ポートを再度有効化するにはshutdownコマンドをno形式で実行します。

awplus(config)# interface port1.0.8 ↓ awplus(config-if)# no shutdown ↓

■ ポートの通信速度とデュプレックスモードを固定設定するにはspeedコマンドとduplexコマンドを使います。たとえば、スイッチポート1.0.1の通信モードを100M Full Duplex固定に設定するには、次のようにします。初期設定では各ポートでオートネゴシエーションが有効になっています。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# speed 100 ↓ awplus(config-if)# duplex full ↓

■ ポートの設定や状態、統計カウンターを表示するにはshow interfaceコマンドを使います。

awplus> show interface port1.0.1 ↓

■ ポートの統計カウンターをクリアするにはclear port counterコマンドを実行します。

awplus> clear port counter port1.0.1 ↓

ポートミラーリング

ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、任意のポートのトラフィックをミラーポートでキャプチャーすることができます。

Note - 本製品のポートミラーリング機能では、すべてのパケットがタグなしでミラーポートに出力されます。

基本設定

ここではポート1.0.5をミラーポートに設定し、ポート1.0.1から送受信されるトラフィックがミラーポートにコピーされるようにします。

ミラーポートとして設定するポートを指定してインターフェースモードに入ります。ここでは、ポート1.0.5をミラーポートに設定します。
awplus(config)# interface port1.0.5 ↓
Note - ミラーポートはシステム内で1つしか設定できないため、インターフェースモードに入るときは、interfaceコマンドでスイッチポートを1つだけ指定してください。複数ポートを指定してインターフェースモードに入った場合、次の手順でmirror interfaceコマンドを実行したときエラーになります。

Note - トランクグループ（LACPチャンネルグループ、スタティックチャンネルグループ）、および、トランクグループに参加しているポートをミラーポートに設定することはできません。ここでトランクグループやトランクグループに参加しているポートを指定すると、次の手順でmirror interfaceコマンドを実行したときエラーになります。
ソースポートとトラフィックの向きを指定します。ここではポート1.0.1から送受信されるトラフィックをミラーポートにコピーします。
awplus(config-if)# mirror interface port1.0.1 direction both ↓
Note - ミラーポートはシステム内で1つしか設定できないため、すでに他のポートがミラーポートに設定されている場合、mirror interfaceコマンドは失敗します。その場合は、現行ミラーポートの設定を解除してから、もう一度同コマンドを実行してください。

Note - 複数のポートをミラーしたいときは、ソースポートを「port1.0.1-port1.0.3」のように複数指定することができます。ただし、ミラーリング対象ポートを増やすことはパフォーマンス低下につながりますのでご注意ください。なお、送信パケットのミラーリングは8ポートまでに制限されます。

Note - トランクグループ（LACPチャンネルグループ「poX」、スタティックチャンネルグループ「saX」）、および、トランクグループに参加しているポートをソースポートに指定することはできません。

Note - mirror interfaceコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。

Note - ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。

設定は以上です。

■ ポートミラーリングの設定を確認するにはshow mirrorコマンドを実行します。

awplus> show mirror ↓ Mirror Test Port Name: port1.0.5 Mirror option: Enabled Mirror direction: both Monitored Port Name: port1.0.1

■ ミラーポートの設定を解除するには、mirror interfaceコマンドをno形式で実行します。このとき、ソースポートも指定してください。設定を解除されたポートはvlan1のタグなしポート（アクセスポート）に戻ります。

awplus(config)# interface port1.0.5 ↓ awplus(config-if)# no mirror interface port1.0.1 ↓

■ ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。mirror interfaceコマンドを実行した時点で、ミラーポートはいずれのVLANにも所属していない状態となります。

ポートセキュリティー

ポートセキュリティーは、MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。許可していないデバイスからパケットを受信したときには、パケットを破棄する、SNMPトラップを上げるなどのアクションを実行させることができます。

Note - トランクグループではポートセキュリティーを使用できません。

本機能では、ポートごとに学習可能なMACアドレス数の上限（1～256個）を設定します。学習済みのMACアドレスが制限値に達すると、それ以降に受信した未学習の送信元MACアドレスを持つパケットを不正なものと見なし、あらかじめ指定されたアクションを実行します。

アクションには次の種類があります（インターフェースモードのswitchport port-security violationコマンドで指定）

表 1

アクション名 動作

protect（DISCARD）不正なパケットを破棄する。

restrict（TRAP）不正なパケットを破棄し、SNMPトラップを送信する（トラップは各MACアドレスに対して最初の一回だけ送信）。

shutdown（DISABLE）不正なパケットを破棄し、該当ポートを無効化する。

ポートセキュリティーの設定は次の手順で行います。ここでは例として、ポート1.0.1でポートセキュリティーを有効にし、学習可能な送信元MACアドレス数の上限を20に設定し、不正パケット受信時のアクションを「shutdown」に設定します。

対象ポートを指定してインターフェースモードに入ります。
awplus(config)# interface port1.0.1 ↓
対象ポートでポートセキュリティーを有効にします。これには、switchport port-securityコマンドを使います。同コマンドを実行しただけでは、学習可能なMACアドレス数の上限が設定されていないため、まだポートセキュリティーの動作はしません。
awplus(config-if)# switchport port-security ↓
対象ポートで学習可能なMACアドレスの最大数を設定します（初期値は0。これは制限なしの意）。これには、switchport port-security maximumコマンドを使います。
awplus(config-if)# switchport port-security maximum 20 ↓
不正パケット受信時のアクションを指定します（初期値はprotect）。これには、switchport port-security violationコマンドを使います。
awplus(config-if)# switchport port-security violation shutdown ↓

設定は以上です。

ポートセキュリティーが有効化された状態でswitchport port-security maximumコマンドを実行すると、すでに同ポートで学習していたMACアドレス（ダイナミックエントリー）がフォワーディングデータベースから削除され、エントリーなしの状態からアドレス学習が開始されます。

上限が設定されているときに学習したMACアドレスの扱いは、switchport port-security agingコマンドの設定によって異なります。

switchport port-security agingコマンドが実行されているとき（ダイナミックポートセキュリティー）、学習したMACアドレスはダイナミックMACアドレスとして扱われ、エージングによって削除されます（Dynamic Limitedモード）。
switchport port-security agingコマンドが実行されていないとき（通常のポートセキュリティー）は、学習したMACアドレスはスタティックMACアドレスとして扱われ、エージングによって削除されません（Limitedモード）。

初期状態では、switchport port-security agingコマンドは実行されておらず、学習したMACアドレスはスタティックMACアドレスとして扱われるため、エージングによって削除されません。

学習アドレス数が上限に達すると、それ以降に受信した未知のアドレスからのパケットは「不正」なものと見なされ、switchport port-security violationコマンドで指定したアクションが実行されます。たとえば、アクションがshutdown（DISABLE）に設定されているときに不正パケットを受信すると、受信ポートがシャットダウンされます。

■ 学習済みのアドレスを確認するには、show mac address-tableコマンドを使います。

awplus> show mac address-table | include port1.0.1 ↓ 1 port1.0.1 000a.7933.7b43 forward static 1 port1.0.1 000a.7934.0612 forward static

■ ポートセキュリティーの設定状況はshow port-security interfaceコマンドで確認できます。「Security Enable」欄にはポートセキュリティーの有効・無効が、「Maximum MAC Addresses」欄には現在設定されている上限値が、「Violation Mode」欄には不正パケット受信時のアクションが表示されます。また、「Current Learned Addresses」欄には、現在までに学習したアドレスの数が、「Lock Status」欄にはポートがロック（これ以上学習しない状態のこと）されているかどうかが表示されます。「Aging」欄には、ポートセキュリティー有効時に学習したMACアドレスがエージングの対象であるかどうかが表示されます。

awplus> show port-security interface port1.0.1 ↓ Port Security configuration ------------------------------------------------------------ Security Enabled : YES Port Status : ENABLED Violation Mode : DISCARD Aging : OFF Maximum MAC Addresses : 2 Current Learned Addresses : 2 Lock Status : LOCKED Security Violation Count : 1 Last Violation Source Address : 00-00-cd-08-17-0c

■ 不正と見なされたMACアドレスはshow port-security intrusionコマンドで確認できます。

awplus# show port-security intrusion ↓ Port Security Intrusion List ------------------------------------------------------------ Interface: port1.0.1 - 2 intrusion(s) detected 00-0c-29-04-49-46 00-00-cd-08-17-0c Interface: port1.0.2 - no intrusions detected Interface: port1.0.3 - no intrusions detected ...

■ ポートセキュリティーがオンのポート（学習可能アドレスに上限が設定されているポート）に対して、通信を許可するアドレスを手動登録するには、mac address-table staticコマンドで通常どおりスタティックMACアドレスのエントリーを追加します。すでに上限に達している場合であっても、本コマンドで手動追加した場合は上限値が引き上げられます。

awplus(config)# mac address-table static 0000.f488.8888 forward interface port1.0.1 vlan 1 ↓

■ スタティックエントリーを削除するには、mac address-table staticコマンドをno形式で実行します。

awplus(config)# no mac address-table static 0000.f488.8888 forward interface port1.0.1 vlan 1 ↓

■ ポートのロックを解除する、あるいはポートセキュリティーの動作をオフにするには、switchport port-securityコマンドをno形式で実行してポートセキュリティー機能自体を無効化するか、switchport port-security maximumコマンドをno形式で実行して学習可能なアドレス数を無制限に設定します。ポートセキュリティーがオンのときに学習されたエントリーは、システムの再起動とともにデータベースから削除されます。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# no switchport port-security ↓ awplus(config-if)# no switchport port-security maximum ↓

Note - どちらか一方のコマンドを実行すればポートセキュリティーの動作が無効になり、ポートのロックも解除されますが、片方だけを実行した場合はもう一方の設定がランニングコンフィグに残ります。これでも動作上は問題ありませんが、のちの混乱を避けるため、通常は両方のコマンドを実行することをおすすめします。

■ ポートセキュリティー機能のアクションによって無効化されたポートを再度有効化するには、shutdownコマンドをno形式で実行してください。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# no shutdown ↓

Note - ダイナミックポートセキュリティーを使用しているポート（switchport port-security agingコマンドを実行しているポート）では、学習アドレス数がいったん上限に達しても、エージングにより再度上限を下回ることがありますが、アクションにshutdown（DISABLE）を指定した場合は、学習アドレス数が上限を下回っても該当ポートが自動的に有効化されることはありません。

■ ダイナミックポートセキュリティーを使用していないポート（switchport port-security agingコマンドを実行していないポート）では、ポートセキュリティーの状態（学習済みアドレスやポートの状態）がランニングコンフィグに反映されるため、copyコマンドやwrite fileコマンド、write memoryコマンドで状態をコンフィグファイルに保存できます。ダイナミックポートセキュリティーを使用しているポートでは、ポートセキュリティーの状態がランニングコンフィグに反映されないため、コンフィグファイルに状態を保存することはできません。

ループガード

本製品ではループガードとして以下の機能をサポートしています。

MACアドレススラッシングプロテクション
パケットストームプロテクション

MACアドレススラッシングプロテクション

MACアドレススラッシングプロテクションは、意図せぬループ構成などによって発生するMACアドレススラッシング（同一MACアドレスの登録ポートが頻繁に変更される現象）を検出した場合に、関連するポートでMACアドレスの学習やリンク状態を制御して、過負荷を回避するための機能です。MACアドレススラッシングを検出した場合の動作や、検出後の対応動作の持続時間は、ポート、スタティックおよびLACPによって自動生成されたトランクグループ単位で設定します。

表 2：MACアドレススラッシング検出時の動作

learn-disable MACアドレスの学習を停止する（初期値）

port-disable ポートまたはトランクグループをディセーブルにする

vlan-disable 該当するVLANに対してのみポートまたはトランクグループをディセーブルにする

link-down ポートまたはトランクグループ内の全ポートを物理的にリンクダウンさせる

none 何もしない

■ ポート単位での動作設定はthrash-limitingコマンドのactionパラメーターで行います。ここでは、ポートグループ1.0.1～1.0.8に対して、MACアドレススラッシング検出時に、スラッシングが発生したVLANに対してのみポートをディセーブルにするよう設定します。

awplus(config)# interface port1.0.1-1.0.8 ↓ awplus(config-if)# thrash-limiting action vlan-disable ↓

■ MACアドレススラッシングに対する動作の持続時間はthrash-limitingコマンドのtimeoutパラメーターで0～86400秒の範囲で指定します（0は無期限）。ここでは持続時間を5秒に設定します。actionパラメーターとtimeoutパラメーターは1行で同時に指定することも、個別に設定することもできます。

awplus(config)# interface port1.0.1-1.0.8 ↓ awplus(config-if)# thrash-limiting timeout 5 ↓

■ スタティックなトランクグループへの動作設定は、インターフェース「saX」に対して行います。

awplus(config)# interface sa1 ↓ awplus(config-if)# thrash-limiting action vlan-disable timeout 5 ↓

■ LACPによって自動生成されるトランクグループへの動作設定は、インターフェース「poX」に対して行います。

awplus(config)# interface po1 ↓ awplus(config-if)# thrash-limiting action vlan-disable timeout 5 ↓

■ 本製品全体に対するMACアドレススラッシングの検出しきい値の設定は、mac address-table thrash-limitコマンドで行います。ここでは、1秒間に5回以上の変更を検出した場合にスラッシングと見なすよう設定します。

awplus(config)# mac address-table thrash-limit 5 ↓

パケットストームプロテクション

パケットストームプロテクションは、ブロードキャスト/マルチキャスト/未学習のユニキャストパケットの受信レートに上限を設定し、パケットストームを防止するための機能です。設定値を上回るレートでこれらのパケットを受信した場合、超過分のパケットは破棄されます。本機能は初期設定ではオフになっています。

各パケットの受信レートに上限値を設定するには、インターフェースモードのstorm-control levelコマンドを使います。

■ ポート1.0.1に対して、ブロードキャストパケットの受信レートをポート帯域の30%までに制限するには、次のようにします。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# storm-control broadcast level 30 ↓

■ ポート1.0.1に対して、マルチキャストパケットの受信レートをポート帯域の50%までに制限するには、次のようにします。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# storm-control multicast level 50 ↓

■ ポート1.0.1に対して、未学習のMACアドレス宛てユニキャストパケットの受信レートをポート帯域の70%までに制限するには、次のようにします。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# storm-control dlf level 70 ↓

■ 受信レートの制限を解除するには、storm-control levelコマンドで上限値「100」を指定するか、同コマンドをno形式で実行します。たとえば、ポート1.0.1からブロードキャストパケットの受信レート制限を解除するには、次のようにします。

awplus(config)# interface port1.0.1 ↓ awplus(config-if)# no storm-control broadcast level ↓

■ スイッチポートにおける受信レート上限値設定は、show storm-controlコマンドで確認できます。

ポート帯域制限機能

本製品は、スイッチポートごとに送信レートを制限することができます。

帯域制限の設定はegress-rate-limitコマンドで行います。

■ ポート1.0.13の送信レートを8Mbpsに制限するには、次のように指定します。

awplus(config)# interface port1.0.13 ↓ awplus(config-if)# egress-rate-limit 8m ↓ % Egress rate limit has been set to 8463 Kb

Note - egress-rate-limitコマンドに指定できる値の範囲は1～10000000Kbpsですが、実際に使用できるのは1～2665845Kbpsです。また、帯域制限の粒度は651Kbpsなので、指定値が651Kbpsの倍数でない場合は倍数になるよう丸められる点にもご注意ください。上記例でも指定値が651Kbpsの倍数（8463Kbps = 651Kbps x 13）に丸められています。

■ ポートの帯域制限を解除するにはegress-rate-limitコマンドをno形式で実行します。

awplus(config)# interface port1.0.13 ↓ awplus(config-if)# no egress-rate-limit ↓

■ ポート帯域制限機能の設定状況はshow interfaceコマンドで確認できます。帯域制限が設定されている場合のみ、「Egress Rate Limit」欄が表示されます。

awplus> show interface port1.0.13 ↓ Interface port1.0.13 Scope: both Link is UP, administrative state is UP Thrash-limiting Status Not Detected, Action learn-disable, Timeout 1(s) Hardware is Ethernet, address is 0000.cd24.0367 (bia 0000.cd24.0367) index 5013 metric 1 mtu 1500 duplex-full speed 100 polarity auto <UP,BROADCAST,RUNNING,MULTICAST> VRF Binding: Not bound Egress Rate Limit 8463 Kb input packets 235512, bytes 16850873, dropped 0, multicast packets 12 output packets 8746698, bytes 9367135608, multicast packets 2007 broadcast p ackets 11

トリガー

トリガー機能を使用すると、スイッチポートのリンクアップ、リンクダウン時に任意のスクリプトを実行させることができます。

スイッチポートのリンクアップ、リンクダウンは、インターフェーストリガー（type interfaceコマンド）を使って捕捉します。

次にインターフェーストリガーの設定例を示します。ここでは、スイッチポート1.0.1がリンクダウンしたらflash:/p101down.scpを、リンクアップしたらflash:/p101up.scpを実行するように設定します。

なお、トリガーの詳細については、「運用・管理」の「トリガー」をご覧ください。

リンクダウン時にflash:/p101down.scpを実行するインターフェーストリガー「1」を作成します。

awplus(config)# trigger 1 ↓ awplus(config-trigger)# type interface port1.0.1 down ↓ awplus(config-trigger)# script 1 flash:/p101down.scp ↓ awplus(config-trigger)# exit ↓

リンクアップ時にflash:/p101up.scpを実行するインターフェーストリガー「2」を作成します。

awplus(config)# trigger 2 ↓ awplus(config-trigger)# type interface port1.0.1 up ↓ awplus(config-trigger)# script 1 flash:/p101up.scp ↓ awplus(config-trigger)# end ↓

PN: 613-000751 Rev.F

アクション名	動作
protect（DISCARD）	不正なパケットを破棄する。
restrict（TRAP）	不正なパケットを破棄し、SNMPトラップを送信する（トラップは各MACアドレスに対して最初の一回だけ送信）。
shutdown（DISABLE）	不正なパケットを破棄し、該当ポートを無効化する。

learn-disable	MACアドレスの学習を停止する（初期値）
port-disable	ポートまたはトランクグループをディセーブルにする
vlan-disable	該当するVLANに対してのみポートまたはトランクグループをディセーブルにする
link-down	ポートまたはトランクグループ内の全ポートを物理的にリンクダウンさせる
none	何もしない