Network/Cisco/Switch

#amazon(4844319736)

#adsense(728x90)

レイヤ 2 スイッチング†[edit]

• ポート毎にコリジョン ドメインを分割する
• VLAN でブロードキャスト ドメインを分割する
• トランスペアレント通信を行う (透過的、パケットに手を加えない)
• MAC アドレス テーブルにポートと MAC アドレスの対応情報を記録し、トラフィックの制御を行う

エラー チェック方式†[edit]

• L2 スイッチング時の、フレームのエラー チェック

CAM [Content Addressable Memory]†[edit]

概要†[edit]

• 二進数で情報を保持するメモリ
• 検索キーのハッシュを検索することで、完全一致検索を高速で行う (0、1 のマッチング)
• MAC アドレス テーブルの管理に使用される

• フレームが着信すると、送信元 MAC アドレス、ポート、VLAN、タイム スタンプが CAM テーブルに記録される (デフォルトの保持期間は 5 分)
• すでに同じポートに MAC アドレスが記録されていた場合は、タイム スタンプのみ更新される
• 別のポートに MAC アドレスが記録されていた場合は、元の情報を削除し、新しい情報を CAM テーブルに記録する

設定†[edit]

• スタティック エントリ

  sw(config)# mac-address-table static mac-addr vlan vlan-id interface type mod/num 
  

確認†[edit]

• CAM テーブルの内容

  rt# show mac-address-table
            Mac Address Table
  -------------------------------------------
  
  Vlan    Mac Address       Type        Ports
  ----    -----------       --------    -----
   All    0000.0000.0001    STATIC      CPU
   All    0000.0000.0002    STATIC      CPU
   All    0000.0000.0003    STATIC      CPU
   All    0000.0000.0004    STATIC      CPU
     1    0000.0000.0005    DYNAMIC     Fa0/22
     1    0000.0000.0006    DYNAMIC     Fa0/1
     1    0000.0000.0007    DYNAMIC     Fa0/23
     1    0000.0000.0008    DYNAMIC     Fa0/5
     1    0000.0000.0009    DYNAMIC     Fa0/2
     1    0000.0000.000a    DYNAMIC     Fa0/22
     1    0000.0000.000b    DYNAMIC     Fa0/23
  Total Mac Addresses for this criterion: 11
  

• CAM テーブルの残サイズ

  sw# show mac-address-table count
  
  Total Mac Address Space Available: 5446
  

TCAM [Ternary Content Addressable Memory]†[edit]

概要†[edit]

• 二進数、もしくはワイルドカードで情報を保持するメモリ
• 部分一致検索が可能 (0、1、x のマッチング = Ternary)
• ルーティング テーブル、アクセス リストの管理に使用される

確認†[edit]

• パーティション情報

  sw# show sdm prefer
   The current template is "desktop default" template.
   The selected template optimizes the resources in
   the switch to support this level of features for
   8 routed interfaces and 1024 VLANs.
  
    number of unicast mac addresses:                  6K
    number of IPv4 IGMP groups + multicast routes:    1K
    number of IPv4 unicast routes:                    8K
      number of directly-connected IPv4 hosts:        6K
      number of indirect IPv4 routes:                 2K
    number of IPv4 policy based routing aces:         0
    number of IPv4/MAC qos aces:                      512
    number of IPv4/MAC security aces:                 1K
  

インターフェース†[edit]

設定†[edit]

エラー検知†[edit]

• エラーが発生した場合に、自動でポートを無効 (line protocol is errdisable) にする
• shutdown/no shutdown で回復する

  sw(config)# errdisable detect cause cause
  

  • cause
    • dhcp-rate-limit …
    • dtp-flap …
    • gbic-invalid …
    • link-flap … リンクの DOWN/UP が繰り返されている
    • loopback …
    • pagp-flap …
    • sfp-config-mismatch …
    • all … 上記全て (デフォルト)

1. 自動回復

   sw(config)# errdisable recovery cause cause
   

   • cause
     • dhcp-rate-limit …
     • dtp-flap …
     • gbic-invalid …
     • link-flap …
     • loopback …
     • pagp-flap …
     • sfp-config-mismatch …
     • psecure-violation …
     • security-violation …
     • channel-misconfig …
     • bpduguard … BPDU Guard による無効化
     • storm-control …
     • udld … UDLD による無効化
     • unicast-flood …
     • vmps …
     • all … 上記全て
2. 自動回復までの時間

   sw(config)# errdisable recovery interval time
   

   • time
     • 30~86,400 (デフォルトは 300 秒)

確認†[edit]

サマリ情報†[edit]

sw# show interface status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1     ### aaaa ###       connected    10         a-full  a-100 10/100BaseTX
Fa0/2     ### bbbb ###       disabled     10           auto   auto 10/100BaseTX
Fa0/3     ### cccc ###       disabled     10           auto   auto 10/100BaseTX
Fa0/4     ### dddd ###       disabled     10           auto   auto 10/100BaseTX

エラー原因†[edit]

sw# show interface status err-disabled

EC [Ether Channel]†[edit]

概要†[edit]

• スイッチ間を複数のケーブルで接続し、論理的に 1 つの接続として扱うことで冗長化する機能
• n 本で接続すれば、帯域も n 倍になる
• Speed/Duplex は同じである必要がある
• L3 スイッチの場合は、ルーテッド ポートにすることも可能
• FastEthernet は最大 8 本で FEC [Fast Ether Channel]
• GigabitEthernet は 最大 8 本で GEC [Gigabit Ether Channel]

[Host1]───[Switch1]＝＝＝[Switch2]───[Host2]

設定†[edit]

1. I/F の選択

   sw1(config)# interface type mod/num 
   

2. チャネルの作成

   sw1(config-if)# channel-group num mode mode 
   Creating a port-channel interface Port-channel 1
   

   • mode
     • desirable … PAgP を送信して、チャネルを試みる
     • auto … PAgP を受信した場合、チャネルする
     • active … LACP を送信して、チャネルを試みる
     • passive … LACP を受信した場合、チャネルする
     • on … ネゴシエーション プロトコルを使用しないで、チャネルする
     • off … チャネルしない

ロードバランシングの設定†[edit]

sw(config)# port-channel load-balance method 

プロトコルの変更†[edit]

sw(config)# interface port-channel num
sw(config-if)# channel-protocol protocol 

• protocol
  • pagp … PAgP [Port Aggrigation Protocol] を使用する (Cisco 独自プロトコル)
  • lacp … LACP [Link Aggregation Control Protocol] を使用する (IEEE 802.3ad)

確認†[edit]

sw00# show etherchannel
                Channel-group listing:
                ----------------------

Group: 1 チャンネル番号
----------
Group state = L2
Ports: 2   Maxports = 8
Port-channels: 1 Max Port-channels = 1
Protocol:   PAgP

• 概要

  sw00# show etherchannel summary
  Flags:  D - down        P - in port-channel
          I - stand-alone s - suspended
          H - Hot-standby (LACP only)
          R - Layer3      S - Layer2
          U - in use      f - failed to allocate aggregator
          u - unsuitable for bundling
          w - waiting to be aggregated
          d - default port
  
  
  Number of channel-groups in use: 1
  Number of aggregators:           1
  
  Group  Port-channel  Protocol    Ports
  ------+-------------+-----------+-----------------------------------------------
  1      Po1(SU)         PAgP      Gi0/1(P)    Gi0/2(P)
  

• ポートの情報

  sw00# show etherchannel port-channel
                  Channel-group listing:
                  ----------------------
  
  Group: 1 チャンネル番号
  ----------
                  Port-channels in the group:
                  ---------------------------
  
  Port-channel: Po1 インターフェース名
  ------------
  
  Age of the Port-channel   = 49d:17h:02m:47s
  Logical slot/port   = 2/1          Number of ports = 2
  GC                  = 0x00010001      HotStandBy port = null
  Port state          = Port-channel Ag-Inuse
  Protocol            =   PAgP プロトコル
  
  Ports in the Port-channel: バンドルされたインターフェース
  
  Index   Load   Port     EC state        No of bits
  ------+------+------+------------------+-----------
    0     00     Gi0/1    Desirable-Sl       0
    0     00     Gi0/2    Desirable-Sl       0
  
  Time since last port bundled:    49d:17h:02m:47s    Gi0/2
  

• ロード バランス方式

  sw00# show etherchannel load-balance
  EtherChannel Load-Balancing Operational State (src-mac):
  Non-IP: Source MAC address
    IPv4: Source MAC address
    IPv6: Source IP address
  

• インターフェースごとの情報

  sw00# show interfaces type mod/num etherchannel
  Port state    = Up Mstr In-Bndl
  チャンネル番号              ネゴシエーション モード
  Channel group = 1           Mode = Desirable-Sl    Gcchange = 0
  Port-channel  = Po1         GC   = 0x00010001      Pseudo port-channel = Po1
  Port index    = 0           Load = 0x00            Protocol =   PAgP
                                                     プロトコル
  Flags:  S - Device is sending Slow hello.  C - Device is in Consistent state.
          A - Device is in Auto mode.        P - Device learns on physical port.
          d - PAgP is down.
  Timers: H - Hello timer is running.        Q - Quit timer is running.
          S - Switching timer is running.    I - Interface timer is running.
  
  Local information: 自スイッチの情報
                                  Hello    Partner  PAgP     Learning  Group
  Port      Flags State   Timers  Interval Count   Priority   Method  Ifindex
  Gi0/1     SC    U6/S7   H       30s      1        128        Any      5001
  
  Partner's information: 対向スイッチの情報
  
            Partner              Partner          Partner         Partner Group
  Port      Name                 Device ID        Port       Age  Flags   Cap.
  Gi0/1     sw01                 001c.b000.0000   Gi0/1       15s SC      10001
  
  Age of the port in the current state: 49d:17h:02m:47s
  

SPAN [Switched Port Analyzer]†[edit]

概要†[edit]

設定†[edit]

sw(config)# monitor session session_id source interface type mod/num
sw(config)# monitor session session_id destination interface type mod/num

ポート セキュリティ†[edit]

概要†[edit]

• スイッチ ポートに対して、接続数や接続可能な MAC アドレスを制限する

設定†[edit]

1. ポート セキュリティはダイナミック ポート、Ether Channel では使用できない

   sw(config)# interface type mod/num
   sw(config-if)# switchport mode access|trunk
   

   • 2950 はアクセス ポートのみ
   • 2960、3560 はトランク ポートも可能
2. ポート セキュリティを設定

   sw(config-if)# switchport port-security
   

3. 最大接続数で制限する場合

   sw(config-if)# switchport port-security maximum max
   

   • max
     • MAC アドレスの最大接続数 (1~132)
     • デフォルトは 1
4. MAC アドレスで制限する場合

   sw(config-if)# switchport port-security mac-address mac-addr
   

   • mac-addr
     • 通信を許可する MAC アドレス
5. 違反時の動作

   sw(config-if)# switchport port-security violation type
   

   • type
     • shutdown … I/F をシャットダウンする (デフォルト)
     • protect … 違反アドレスからのフレームを破棄する
     • restrict … protect の動作に加え、SNMP Trap を送信し、違反カウンタを上げる

MAC アドレスの保存†[edit]

• 最大接続数で制限する場合、デフォルトではリロードすることで MAC アドレス リストはクリアされる
• Sticky を設定することで、MAC アドレスをコンフィグに保存することができる

  sw(config-if)# switchport port-security mac-address sticky
  

• 保存された MAC アドレス

  sw# show running-config | i sticky 
  switchport port-security mac-address sticky
  switchport port-security mac-address sticky 0000.0000.0001
  switchport port-security mac-address sticky 0000.0000.0002
  switchport port-security mac-address sticky 0000.0000.0003
  

MAC アドレスのエージング†[edit]

• Sticky で設定された MAC アドレスはエージングできない

1. エージング時間

   sw(config-if)# switchport port-security aging time time
   

   • time
     • 消去するまでの時間
     • 0~1,440 分 (デフォルトは 0、エージ アウトしない)
2. エージング タイプ

   sw(config-if)# switchport port-security aging type type
   

   • type
     • absolute … 学習してから一定時間で消去する (デフォルト)
     • inactivity … 通信が終了してから一定時間で消去する
3. スタティック設定にも適用

   sw(config-if)# switchport port-security aging static
   

確認†[edit]

• サマリ情報

  sw# show port-security
  ポート番号    最大MACアド 認識済みMACアド   違反カウンタ       違反動作
  Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                  (Count)       (Count)          (Count)
  ---------------------------------------------------------------------------
       Fa0/1          1            1                0            Restrict
  ---------------------------------------------------------------------------
  Total Addresses in System (excluding one mac per port)     : 0
  Max Addresses limit in System (excluding one mac per port) : 8320
  

• 詳細情報 (ポート毎)

  sw# show port-security interface type mod/num
  Port Security              : Enabled ポートセキュリティ設定(Enabled,Disabled)
  Port Status                : Secure-up ステータス (up,down)
  Violation Mode             : Shutdown  違反動作
  Aging Time                 : 0 mins  エージング時間
  Aging Type                 : Absolute エージング タイプ
  SecureStatic Address Aging : Disabled エージング設定 (Enabled,Disabled)
  Maximum MAC Addresses      : 1 最大MACアドレス数
  Total MAC Addresses        : 0 現在のMACアドレス数
  Configured MAC Addresses   : 0 スタティック設定されたMACアドレス数
  Sticky MAC Addresses       : 0 Sticky MACアドレス数
  Last Source Address:Vlan   : 0000.0000.0000:0 最後に通信したMACアドレス
  Security Violation Count   : 0 違反カウンタ
  

• MAC アドレス情報

  sw# show port-security address
            Secure Mac Address Table
  ------------------------------------------------------------------------
  Vlan    Mac Address       Type                     Ports   Remaining Age
                                                                (mins)
  ----    -----------       ----                     -----   -------------
  ------------------------------------------------------------------------
  Total Addresses in System (excluding one mac per port)     : 0
  Max Addresses limit in System (excluding one mac per port) : 8320
  

IEEE 802.1x†[edit]

概要†[edit]

• スイッチ、無線 LAN アクセス ポイントで認証を行う
• 無許可ポートでは、EAPOL、CDP、BPDU などの管理トラフィックのみ許可される
• IEEE 802.1x についてはこちらを参照

設定†[edit]

1. AAA の有効化

   sw(config)# aaa new-model
   

2. 認証リストの作成

   sw(config)# aaa authentication dot1x default group radius
   

   • 802.1x では、default と group radius のみサポート
3. 802.1x の有効化

   sw(config)# dot1x system-auth-control
   

4. IP アドレス

   sw(config)# radius-server host ip-addr
   

5. 共通鍵

   sw(config)# radius-server key key
   

6. I/F の選択

   sw(config)# interface type mod/num
   sw(config-if)# switchport mode access
   

7. 802.1x の有効化

   sw(config-if)# do1x port-control mode
   

   • mode
     • auto … IEEE 802.1x 認証を有効にする
     • force-authorized … IEEE 802.1x 認証を無効にする (デフォルト)
     • force-unauthorized … IEEE 802.1x 認証を無効にして、無許可ステータスにする

マルチ ホスト モード†[edit]

• 1 ポートで複数台の同時認証を行う
• デフォルトはシングル ホスト モードで 1 ポートに 1 台しか接続できない

  sw(config-if)# dot1x host-mode multi-host
  

再認証†[edit]

• 定期的に認証を繰り返す
• デフォルトでは、接続時のみ認証が行われる

1. 再認証の有効化

   sw(config-if)# dot1x reauthentication
   

2. 認証間隔

   sw(config-if)# dot1x timeout reauth-period time
   

   • time
     • 再認証を行う間隔
     • 1~65535 秒 (デフォルトは X 秒)

1. 手動での再認証

   sw# dot1x re-authenticate interface type mod/num
   

ゲスト VLAN†[edit]

• 802.1x 非対応クライアントが接続された場合に、自動で割り当てられる VLAN

1. VLAN 番号

   sw(config-if)# dot1x guest-vlan vlan-id
   

制限付き VLAN†[edit]

• 802.1x 認証で拒否された場合に、自動で割り当てられる VLAN

1. VLAN 番号

   sw(config-if)# dot1x auth-fail vlan vlan-id
   

クリティカル VLAN†[edit]

• RADIUS サーバとの通信に失敗した場合に、自動で割り当てられる VLAN

1. VLAN 番号

   sw(config-if)# dot1x critical vlan vlan-id
   

2. RADIUS サーバ復旧後に再認証を行う

   sw(config-if)# dot1x critical recovery action reinitialize
   

PoE [Power of Ethernet]†[edit]

概要†[edit]

• スイッチが UTP ケーブルを利用し、デバイスに対して電力を供給する
• 主に、IP 電話に利用される

1. 初期状態
   • Link Down の場合は電力供給は無効
2. Link Up
   • スイッチは 340 kHz のテスト トーンを送信する
   • PoE 対応デバイスが接続されていた場合は、テスト トーンがループバックされる
3. 電力供給開始
   • UTP ケーブルに対して 15 W (48 V, 0.37 A) の電力を供給する
   • デバイスが起動する
4. 電力調整
   • Cisco IP 電話の場合、CDP で必要な電力をスイッチに伝える
   • スイッチは供給電力を変更する

設定†[edit]

• PoE の設定

  sw(config)# interface type mod/num
  sw(config-if)# power inline mode
  

  • mode
    • auto … PoE デバイスの検出を行う
    • never … PoE デバイスの検出を行わない

Multi Layer Switch†[edit]

┏━━━━━━━━━━━━━━┓
─[0/ 1]┐            ┌[0/ 4]─
─[0/ 2]┼─[Switch]─┼[0/ 5]─
─[0/ 3]┘     │     └[0/ 6]─
─[0/14]──[Router]──[0/15]─
─[0/ 7]┐     │     ┌[0/10]─
─[0/ 8]┼─[Switch]─┼[0/11]─
─[0/ 9]┘            └[0/13]─
┗━━━━━━━━━━━━━━┛

ルーティングの有効化†[edit]

sw(config)# ip routing

L2 ポートの設定†[edit]

• Catalyst 2950、3550、4500 ではデフォルトで有効になっているため、この設定は必要ない

sw(config)# interface type mod/num 
sw(config-if)# switchport 

L3 ポートの設定†[edit]

sw(config)# interface type mod/num 
sw(config-if)# no switchport 
sw(config-if)# ip address ip_addr netmask

SVI [Switched Virtual Interface]†[edit]

1. VLAN への IP アドレスの設定

   sw(config)# interface vlan id
   sw(config-if)# ip address ip_addr netmask
   

SLB [Server Load Balancing]†[edit]

サーバの設定†[edit]

1. サーバ ファームの作成

   sw(config)# ip slb serverfarm name
   

   • name
     • 1~15 文字
2. バランシング方法

   sw(config-slb-sfarm)# predictor mode
   

   • mode
     • roundrobin … WRR [Weighted Round Robin] 方式
     • leastconns … WLC [Weighted Least Connections] 方式
3. バランシング先

   sw(config-slb-sfarm)# real ip-addr
   

   • ip-addr
     • バランシング先サーバの実 IP アドレス
4. ウェイト

   sw(config-slb-real)# weight weight
   

   • weight
     • サーバが受付可能な接続数
     • 他サーバとの相対的な数
     • 1~255 (デフォルトは 8)
5. バランシング開始

   sw(config-slb-real)# inservice
   

1. バランシングからの切り離し

   sw(config-slb-real)# no inservice
   

仮想サーバの設定†[edit]

1. 仮想サーバ

   sw(config)# ip slb vserver name
   

   • name
     • 1~15 文字
2. サーバ ファームの割り当て

   sw(config-slb-vserver)# serverfarm name
   

   • name
     • バランシング先サーバ ファームの名前
3. 仮想 IP アドレス

   sw(config-slb-vserver)# virtual ip-addr
   

   • ip-addr
     • 仮想サーバの IP アドレス
4. アクセス制限 (任意)

   sw(config-slb-vserver)# client ip-addr netmask
   

5. バランシング開始

   sw(config-slb-vserver)# inservice
   

#adsense(728x90)

Menu

+ Operating System
　- Linux
　- FreeBSD
　- Solaris
　- Windows
　- Macintosh
　- Virtualization
+ Middleware
　- High Availability
　- Web
　- Mail
　- Database
　- FileTransfer
　- Management
　- Other Software
　- Library
　- Tool
+ Application
+ Network
+ Storage
+ Cloud
+ Protocol
+ Program
+ Others

AND検索 OR検索  

#amazon(B01NBDY5L2)

最新の10件

#amazon(4774185787)

Advertisement

#adsense(120x600)

Counter

Today: 1
Yesterday: 2
Total: 19570

MenuEdit