コンフィグレーションガイド Vol.1 AX38S-S001-60 AX3800S・AX3650S ソフトウェアマニュアル Ver. 11.14 対応
Add to my manuals
644 Pages
advertisement
AX3800S・AX3650S ソフトウェアマニュアル
コンフィグレーションガイド Vol.1
Ver. 11.14 対応
AX38S-S001-60
■ 対象製品
このマニュアルは AX3800S および AX3650S を対象に記載しています。また,ソフトウェア Ver. 11.14 の機能について記載
しています。ソフトウェア機能は,ソフトウェア OS-L3SA,OS-L3SL,およびオプションライセンスによってサポートする機
能について記載します。
■ 輸出時の注意
本製品を輸出される場合には,外国為替及び外国貿易法の規制ならびに米国の輸出管理規則など外国の輸出関連法規をご確認の
うえ,必要な手続きをお取りください。なお,不明な場合は,弊社担当営業にお問い合わせください。
■ 商標一覧
Cisco は,米国 Cisco Systems, Inc. の米国および他の国々における登録商標です。
Ethernet は,富士ゼロックス株式会社の登録商標です。
Internet Explorer は,米国 Microsoft Corporation の米国及びその他の国における登録商標または商標です。
IPX は,Novell,Inc.の商標です。
Microsoft は,米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
Octpower は,日本電気(株)の登録商標です。
RSA,RSA SecurID は,RSA Security Inc.の米国およびその他の国における商標または登録商標です。 sFlow は,米国およびその他の国における米国 InMon Corp. の登録商標です。
UNIX は,The Open Group の米国ならびに他の国における登録商標です。
VitalQIP,VitalQIP Registration Manager は,アルカテル・ルーセントの商標です。
VLANaccessClient は,NEC ソフトの商標です。
VLANaccessController,VLANaccessAgent は,NEC の商標です。
Windows は,米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
イーサネットは,富士ゼロックス株式会社の登録商標です。
そのほかの記載の会社名,製品名は,それぞれの会社の商標もしくは登録商標です。
■ マニュアルはよく読み,保管してください。
製品を使用する前に,安全上の説明をよく読み,十分理解してください。
このマニュアルは,いつでも参照できるよう,手近な所に保管してください。
■ ご注意
このマニュアルの内容については,改良のため,予告なく変更する場合があります。
■ 発行
2015年 10月 (第7版) AX38S−S001−60
■ 著作権
All Rights Reserved, Copyright(C), 2011, 2015, ALAXALA Networks, Corp.
変更内容
【Ver. 11.14 対応版】
表 変更内容
章・節・項・タイトル
追加・変更内容
• PS-D05 の記述を追加しました。
• スタックでの LACP リンクアグリゲーションのサポートに伴って,記述
を変更しました。
• スタックでの LACP リンクアグリゲーションのサポートに伴って,記述
を変更しました。
• 本節を追加しました。
意事項
• AX3800S でのフローコントロールのサポートに伴って,本項を追加しま
した。
• スタックでの LACP リンクアグリゲーションのサポートに伴って,記述
を変更しました。
• スタック構成時の記述を追加しました。
なお,単なる誤字・脱字などはお断りなく訂正しました。
【Ver. 11.12 対応版】
表 変更内容
項目 追加・変更内容
本装置のモデル
装置の外観
AX3830S のハードウェア
AX3650S のハードウェア
収容回線数
電源の搭載
サポート機能
スタックの運用管理
メンバスイッチの通信切り替え
• AX3830S-44X4QS の記述を追加しました。
• AX3830S-44X4QS の記述を追加しました。
• FAN-04S の記述を追加しました。
• PS-A05 の記述を追加しました。
• AX3830S-44X4QS の記述を追加しました。
• スタックポートの最大回線数を変更しました。
• AX3830S-44X4QS の記述を追加しました。
• Ring Protocol の記述を追加しました。
• ストームコントロールの記述を追加しました。
• ポリシーベースルーティングの記述を追加しました。
• 「(2) 運用コマンドの実行」に remote command コマンドを使用しない
運用コマンドの記述を追加しました。
• 「(4) メンバスイッチへのログイン」に運用コマンド session を使用する
記述を追加しました。
• Ring Protocol の記述を追加しました。
• ポリシーベースルーティングの記述を追加しました。
スタックの注意事項
項目
メンバスイッチの削除(バックアップスイッ
チ)
メンバスイッチの削除(マスタスイッチ)
メンバスイッチの交換
マスタスイッチからメンバスイッチへの運用
コマンドの実行
マスタスイッチとメンバスイッチ間の接続
スタックの再起動
追加・変更内容
• 「(10) ストームコントロール使用時のメンバスイッチの起動時間につい
て」を追加しました。
• remote command コマンドを使用しない運用コマンドの記述に変更し
ました。
• remote command コマンドを使用しない運用コマンドの記述に変更し
ました。
• remote command コマンドを使用しない運用コマンドの記述に変更し
ました。
• 運用コマンドでスイッチ番号を指定する記述を追加しました。
オプションライセンスの設定
10GBASE-R の解説
40GBASE-R の解説
Tag 変換使用時の注意事項
サポート仕様
ネットワーク構成
スタック構成のノードを含むリングの動作概
要
概要
プライマリポートの自動決定
スタック構成のノードを含むリングの障害監
視時間の設定
Ring Protocol 使用時の注意事項
【Ver. 11.10 対応版】
表 変更内容
収容回線数
収容条件
項目
• 本項を追加しました。
• remote command コマンドを使用しない運用コマンドの記述に変更し
ました。
• remote command コマンドを使用しない運用コマンドの記述に変更し
ました。
• 10GBASE-ZR の記述を追加しました。
• 40GBASE-LR4 の記述を追加しました。
• Tag 変換使用時の TPID についての記述を削除しました。
• スタック構成時の記述を追加しました。
• 「(4) スタック構成のノードを含むリング構成」を追加しました。
• 本節を追加しました。
• スタック構成時の記述を追加しました。
• スタック構成時の記述を追加しました。
• 本項を追加しました。
• 「(21) スタック構成のノードの適用について」を追加しました。
追加・変更内容
• AX3800S でのスタックのサポートに伴って記述を変更しました。
• 「テーブルエントリ数」の「(1) AX3830S のテーブルエントリ数」およ
び「(2) AX3650S のテーブルエントリ数」に注意事項を追加しました。
• 「レイヤ 2 スイッチ」の「(1) MAC アドレステーブル」に注意事項を追
加しました。
• 「レイヤ 2 スイッチ」の「(2) VLAN」を,AX3800S でのスタックのサ
ポートに伴って変更しました。
スタックの解説
スタックポートとスタックリンク
スタックの注意事項
スタックの設定と運用
スタックリンクの追加
スタックリンクの削除
正面パネルでのスイッチ状態とスイッチ番号
の表示
【Ver. 11.9 対応版】
表 変更内容
項目
本装置のモデル
搭載条件
収容条件
スイッチ状態
スタックの運用管理
項目
スタックの注意事項
メンバスイッチの削除(マスタスイッチ)
40GBASE-R の解説
40GBASE-R のコンフィグレーション
QSFP+ポートの解説
【Ver. 11.8 対応版】
追加・変更内容
• 「フィルタ・QoS」を,AX3800S でのスタックのサポートに伴って変更
しました。
• スタックを AX3800S でサポートしました。
• AX3800S でのスタックのサポートに伴って記述を変更しました。
• 「(9) マスタ選出優先度 1 を使用する場合について」を追加しました。
• スタックを AX3800S でサポートしました。
• 本項を追加しました。
• 本項を追加しました。
• 本項を追加しました。
追加・変更内容
• AX3830S-44X4QW の記述を追加しました。
• AX3830S-44X4QW の記述を追加しました。
• 「レイヤ 2 スイッチ」の「(2) VLAN」に AX3830S-44X4QW の記述を
追加しました。
• 「フィルタ・QoS」に受信側フロー検出モード layer3-6 の記述を追加し
ました。
• 「IPv4・IPv6 パケット中継」の「(5) ポリシーベースルーティング
(IPv4)」を AX3800S でサポートしました。
• 「IPv4・IPv6 マルチキャストルーティングプロトコル」の「(1) IPv4 マ
ルチキャスト」および「(2) IPv6 マルチキャスト」について,PIM-SM/
SSM マルチキャストインタフェース数とマルチキャストルータ隣接数を
変更しました。
• 「(2) スイッチ状態遷移後の変更処理」を追加しました。
• 「(2) 運用コマンドの実行」に記述を追加しました。
• 「(6) ソフトウェアの管理」の記述を変更しました。
• 「(8) マスタスイッチを切り替える場合について」を追加しました。
• メンバスイッチ(マスタスイッチ)を削除する流れを変更しました。
• 本節を追加しました。
• 本節を追加しました。
• 本節を追加しました。
表 変更内容
搭載条件
収容条件
運用端末
収容条件
項目
スタックの解説
スタックの設定と運用
【Ver. 11.7 対応版】
表 変更内容
項目
AX3830S のハードウェア
AX3650S のハードウェア
ソフトウェア
収容条件
追加・変更内容
• 電源機構 PS-A03R,PS-D03 および PS-D03R の記述を追加しました。
• ファンユニット FAN-04R の記述を追加しました。
• 電源機構 PS-D03 の記述を追加しました。
• AX3650S の OS-L3SL サポートに伴い記述を変更しました。
• ポリシーベースルーティングの記述を追加しました。
• 「レイヤ 2 スイッチ」の「(1) MAC アドレステーブル」のスタティック
エントリ数を変更しました。
• 「フィルタ・QoS」に受信側フロー検出モード layer3-6 の記述を追加し
ました。
• 「IPv4・IPv6 パケット中継」に「(5) ポリシーベースルーティング
(IPv4)」を追加しました。
【Ver. 11.6 対応版】
AX3600S ソフトウェアマニュアル Ver. 11.5 対応版に収録していた AX3650S の記述をこのマニュアルに収録しています。
表 変更内容
項目 追加・変更内容
本装置の特長
本装置のモデル
装置の外観
AX3830S のハードウェア
ソフトウェア
搭載条件
追加・変更内容
• 「収容回線数」にスタックポートの記述を追加しました。
• 「レイヤ 2 スイッチ」にスタック構成時の VLAN 数および VLAN トンネ
リング数の記述を追加しました。
• 「フィルタ・QoS」にスタック構成時のフィルタ最大エントリ数の記述を
追加しました。
• スタック構成のメンバスイッチのシリアル接続について記述を追加しま
した。
• 本章を追加しました。
• 本章を追加しました。
• AX3800S について記述を追加しました。
• AX3800S について記述を追加しました。
• AX3800S について記述を追加しました。
• 本項を追加しました。
• AX3800S について記述を追加しました。
• 「収容回線数」に AX3800S の記述を追加しました。
• 「電源の搭載」に AX3800S の記述を追加しました。
• 「テーブルエントリ数」に AX3800S の記述を追加しました。
• 「フィルタ・QoS」を追加しました。
機能一覧
項目
VRF での telnet によるログインを許可する
VRF での ftp によるログインを許可する
追加・変更内容
• 「DHCP snooping」に AX3800S の記述を追加しました。
• 「IPv4・IPv6 パケット中継」の「(7) DHCP サーバ」に配布除外 IP アド
レス範囲数の記述を追加しました。
• 「IPv4・IPv6 ルーティングプロトコル」に AX3800S の記述を追加しま
した。
• 「(2) 指定 VRF から telnet によるログインを許可する場合」を追加しま
した。
• 「(2) 指定 VRF から ftp によるログインを許可する場合」を追加しまし
た。
• 「(b) 10BASE-T/100BASE-TX/1000BASE-T 接続仕様」に
AX3800S の接続仕様を追加しました。
はじめに
■ 対象製品およびソフトウェアバージョン
このマニュアルは AX3800S および AX3650S を対象に記載しています。また,ソフトウェア Ver. 11.14 の機能
について記載しています。ソフトウェア機能は,ソフトウェア OS-L3SA,OS-L3SL,およびオプションライセン
スによってサポートする機能について記載します。
操作を行う前にこのマニュアルをよく読み,書かれている指示や注意を十分に理解してください。また,このマ
ニュアルは必要なときにすぐ参照できるよう使いやすい場所に保管してください。
なお,このマニュアルでは特に断らないかぎり,AX3800S および AX3650S に共通の機能および各ソフトウェア
で共通の機能について記載します。AX3800S および AX3650S で共通でない機能,OS-L3SA および OS-L3SL
で共通でない機能についてはそれぞれ以下のマークで示します。
【AX3800S】:
AX3800S についての記述です。
【AX3650S】:
AX3650S についての記述です。
【OS-L3SA】:
AX3800S および AX3650S の OS-L3SA についての記述です。
また,オプションライセンスでサポートする機能については以下のマークで示します。
【OP-DH6R】:
オプションライセンス OP-DH6R についての記述です。
【OP-OTP】:
オプションライセンス OP-OTP についての記述です。
【OP-VAA】:
オプションライセンス OP-VAA についての記述です。
■ このマニュアルの訂正について
このマニュアルに記載の内容は,ソフトウェアと共に提供する「リリースノート」および「マニュアル訂正資料」
で訂正する場合があります。
■ 対象読者
本装置を利用したネットワークシステムを構築し,運用するシステム管理者の方を対象としています。
また,次に示す知識を理解していることを前提としています。
• ネットワークシステム管理の基礎的な知識
■ このマニュアルの URL
このマニュアルの内容は下記 URL に掲載しております。 http://www.alaxala.com/
■ マニュアルの読書手順
本装置の導入,セットアップ,日常運用までの作業フローに従って,それぞれの場合に参照するマニュアルを次に
示します。
I
はじめに
■ このマニュアルでの表記
AC Alternating Current
ACK ACKnowledge
ADSL Asymmetric Digital Subscriber Line
ALG Application Level Gateway
ANSI American National Standards Institute
ARP Address Resolution Protocol
AS Autonomous System
AUX Auxiliary
BFD Bidirectional Forwarding Detection
BGP Border Gateway Protocol
BGP4 Border Gateway Protocol - version 4
II
BGP4+ Multiprotocol Extensions for Border Gateway Protocol - version 4 bit/s bits per second *bpsと表記する場合もあります。
BPDU Bridge Protocol Data Unit
BRI Basic Rate Interface
CC Continuity Check
CDP Cisco Discovery Protocol
CFM Connectivity Fault Management
CIDR Classless Inter-Domain Routing
CIR Committed Information Rate
CIST Common and Internal Spanning Tree
CLNP ConnectionLess Network Protocol
CLNS ConnectionLess Network System
CONS Connection Oriented Network System
CRC Cyclic Redundancy Check
CSMA/CD Carrier Sense Multiple Access with Collision Detection
CSNP Complete Sequence Numbers PDU
CST Common Spanning Tree
DA Destination Address
DC Direct Current
DCE Data Circuit terminating Equipment
DHCP Dynamic Host Configuration Protocol
DIS Draft International Standard/Designated Intermediate System
DNS Domain Name System
DR Designated Router
DSAP Destination Service Access Point
DSCP Differentiated Services Code Point
DTE Data Terminal Equipment
DVMRP Distance Vector Multicast Routing Protocol
E-Mail Electronic Mail
EAP Extensible Authentication Protocol
EAPOL EAP Over LAN
EFM Ethernet in the First Mile
ES End System
FAN Fan Unit
FCS Frame Check Sequence
FDB Filtering DataBase
FQDN Fully Qualified Domain Name
FTTH Fiber To The Home
GBIC GigaBit Interface Converter
GSRP Gigabit Switch Redundancy Protocol
HMAC Keyed-Hashing for Message Authentication
IANA Internet Assigned Numbers Authority
ICMP Internet Control Message Protocol
ICMPv6 Internet Control Message Protocol version 6
ID Identifier
IEC International Electrotechnical Commission
IEEE Institute of Electrical and Electronics Engineers, Inc.
IETF the Internet Engineering Task Force
IGMP Internet Group Management Protocol
IP Internet Protocol
IPCP IP Control Protocol
IPv4 Internet Protocol version 4
IPv6 Internet Protocol version 6
IPV6CP IP Version 6 Control Protocol
IPX Internetwork Packet Exchange
ISO International Organization for Standardization
ISP Internet Service Provider
IST Internal Spanning Tree
L2LD Layer 2 Loop Detection
LAN Local Area Network
LCP Link Control Protocol
LED Light Emitting Diode
LLC Logical Link Control
LLDP Link Layer Discovery Protocol
LLQ+3WFQ Low Latency Queueing + 3 Weighted Fair Queueing
LSP Label Switched Path
LSP Link State PDU
LSR Label Switched Router
MA Maintenance Association
MAC Media Access Control
MC Memory Card
MD5 Message Digest 5
MDI Medium Dependent Interface
MDI-X Medium Dependent Interface crossover
はじめに
III
はじめに
MEP Maintenance association End Point
MIB Management Information Base
MIP Maintenance domain Intermediate Point
MLD Multicast Listener Discovery
MRU Maximum Receive Unit
MSTI Multiple Spanning Tree Instance
MSTP Multiple Spanning Tree Protocol
MTU Maximum Transfer Unit
NAK Not AcKnowledge
NAS Network Access Server
NAT Network Address Translation
NCP Network Control Protocol
NDP Neighbor Discovery Protocol
NET Network Entity Title
NLA ID Next-Level Aggregation Identifier
NPDU Network Protocol Data Unit
NSAP Network Service Access Point
NSSA Not So Stubby Area
NTP Network Time Protocol
OADP Octpower Auto Discovery Protocol
OAM Operations,Administration,and Maintenance
OSPF Open Shortest Path First
OUI Organizationally Unique Identifier packet/s packets per second *ppsと表記する場合もあります。
PAD PADding
PAE Port Access Entity
PC Personal Computer
PCI Protocol Control Information
PDU Protocol Data Unit
PICS Protocol Implementation Conformance Statement
PID Protocol IDentifier
PIM Protocol Independent Multicast
PIM-DM Protocol Independent Multicast-Dense Mode
PIM-SM Protocol Independent Multicast-Sparse Mode
PIM-SSM Protocol Independent Multicast-Source Specific Multicast
PRI Primary Rate Interface
PS Power Supply
PSNP Partial Sequence Numbers PDU
QoS Quality of Service
QSFP+ Quad Small Form factor Pluggable Plus
RA Router Advertisement
RADIUS Remote Authentication Dial In User Service
RDI Remote Defect Indication
REJ REJect
RFC Request For Comments
RIP Routing Information Protocol
RIPng Routing Information Protocol next generation
RMON Remote Network Monitoring MIB
RPF Reverse Path Forwarding
RQ ReQuest
RSTP Rapid Spanning Tree Protocol
SA Source Address
SD Secure Digital
SDH Synchronous Digital Hierarchy
SDU Service Data Unit
SEL NSAP SELector
SFD Start Frame Delimiter
SFP Small Form factor Pluggable
SFP+ Enhanced Small Form factor Pluggable
SMTP Simple Mail Transfer Protocol
SNAP Sub-Network Access Protocol
SNMP Simple Network Management Protocol
SNP Sequence Numbers PDU
SNPA Subnetwork Point of Attachment
SPF Shortest Path First
SSAP Source Service Access Point
STP Spanning Tree Protocol
TA Terminal Adapter
TACACS+ Terminal Access Controller Access Control System Plus
TCP/IP Transmission Control Protocol/Internet Protocol
TLA ID Top-Level Aggregation Identifier
TLV Type, Length, and Value
TOS Type Of Service
TPID Tag Protocol Identifier
IV
はじめに
TTL Time To Live
UDLD Uni-Directional Link Detection
UDP User Datagram Protocol
UPC Usage Parameter Control
UPC-RED Usage Parameter Control - Random Early Detection
VAA VLAN Access Agent
VLAN Virtual LAN
VPN Virtual Private Network
VRF Virtual Routing and Forwarding/Virtual Routing and Forwarding Instance
VRRP Virtual Router Redundancy Protocol
WAN Wide Area Network
WDM Wavelength Division Multiplexing
WFQ Weighted Fair Queueing
WRED Weighted Random Early Detection
WS Work Station
WWW World-Wide Web
XFP 10 gigabit small Form factor Pluggable
■ KB(キロバイト)などの単位表記について
1KB(キロバイト),1MB(メガバイト),1GB(ギガバイト),1TB(テラバイト)はそれぞれ 1024 バイト,
1024 2 バイト,1024 3 バイト,1024 4 バイトです。
V
目次
本装置の概要
装置構成
2.2.1 AX3830S のハードウェア【AX3800S】
2.2.2 AX3650S のハードウェア【AX3650S】
収容条件
3.2.13 IPv4・IPv6 マルチキャストルーティングプロトコル
i
ii
目次
装置へのログイン
コマンド操作
コンフィグレーション
6.4.2 configure(configure terminal)コマンド
6.4.3 コンフィグレーションの表示・確認(show コマンド)
6.4.6 コンフィグレーションのファイルへの保存(save コマンド)
6.4.7 コンフィグレーションの編集終了(exit コマンド)
6.5.2 バックアップコンフィグレーションファイルの本装置への反映
6.5.6 バックアップコンフィグレーションファイル反映時の注意事項
スタックの解説
目次
iii
iv
目次
スタックの設定と運用
8.2.4 マスタスイッチからメンバスイッチへの運用コマンドの実行
リモート運用端末から本装置へのログイン
9.2.5 VRF での telnet によるログインを許可する【OS-L3SA】
9.2.6 VRF での ftp によるログインを許可する【OS-L3SA】
ログインセキュリティと RADIUS/TACACS+
目次
10.1.7 リモート運用端末からのログインを許可する IP アドレスの設定
10.1.9 VRF でのリモート運用端末からのログインの許可【OS-L3SA】
10.1.10 VRF でのリモート運用端末からのログインを許可する IP アドレスの設定【OS-L3SA】
10.2.2 RADIUS/TACACS+の適用機能および範囲
10.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認
10.2.5 RADIUS/TACACS+を使用したアカウンティング
10.3 RADIUS/TACACS+のコンフィグレーション
10.3.4 RADIUS/TACACS+/ローカルによるコマンド承認の設定
10.3.5 RADIUS/TACACS+によるログイン・ログアウトアカウンティングの設定
10.3.6 TACACS+サーバによるコマンドアカウンティングの設定
時刻の設定と NTP
11.1.1 コンフィグレーションコマンド・運用コマンド一覧
11.1.6 VRF での NTP による時刻同期の設定【OS-L3SA】
ホスト名と DNS
v
vi
目次
装置の管理
13.1.7 ルーティングテーブルのエントリ数の配分パターンの設定
13.1.8 IPv4/IPv6 マルチキャストと IGMP/MLD snooping 同時使用時の設定
13.2.2 backup/restore コマンドを用いる手順
省電力機能
ソフトウェアの管理
イーサネット
16.4 10BASE-T/100BASE-TX/1000BASE-T の解説
16.4.2 10BASE-T/100BASE-TX/1000BASE-T 用 SFP
16.5 10BASE-T/100BASE-TX/1000BASE-T のコンフィグレーション
16.7 100BASE-FX のコンフィグレーション【AX3650S】
vii
目次
viii
目次
16.12 40GBASE-R のコンフィグレーション【AX3800S】
16.14 SFP/SFP+共用ポートのコンフィグレーション
リンクアグリゲーション
17.2 リンクアグリゲーション基本機能のコンフィグレーション
17.4 リンクアグリゲーション拡張機能のコンフィグレーション
レイヤ 2 スイッチ概説
MAC アドレス学習
19.1.4 MAC アドレスによるレイヤ 2 スイッチング
19.2.4 MAC アドレス学習数制限の設定【AX3650S】
VLAN
目次
ix
目次
20.6.3 プロトコルポートのネイティブ VLAN の設定
20.10.2 レイヤ 3 インタフェースとしての VLAN の設定
20.10.3 VLAN インタフェースの MAC アドレスの設定
x
VLAN 拡張機能
21.1.2 VLAN トンネリングを使用するための必須条件
21.6 L2 プロトコルフレーム透過機能のコンフィグレーション
21.9.2 VLAN debounce 機能と他機能との関係
21.9.3 VLAN debounce 機能使用時の注意事項
21.10 VLAN debounce 機能のコンフィグレーション
目次
xi
xii
目次
スパニングツリー
22.10 マルチプルスパニングツリーのコンフィグレーション
Ring Protocol の解説
目次
xiii
目次
23.4.3 共有リンク非監視リングでの共有リンク以外の障害・復旧時の動作
23.4.4 共有リンク監視リングでの共有リンク以外の障害・復旧時の動作
23.7.2 制御 VLAN の forwarding-delay-time の使用方法
23.7.6 リンクアグリゲーションを用いた場合の障害監視時間の設定
23.7.7 IEEE802.3ah/UDLD 機能との併用
23.7.8 リンクダウン検出タイマおよびリンクアップ検出タイマとの併用
23.7.11 マスタノードの両リングポートが共有リンクとなる構成
23.7.12 スタック構成のノードを含むリングの障害監視時間の設定
Ring Protocol の設定と運用
xiv
目次
24.1.7 モードとリングポートに関する設定(シングルリングと共有リンクなしマルチリング構成)
24.1.8 モードとリングポートに関する設定(共有リンクありマルチリング構成)
24.1.11 隣接リング用フラッシュ制御フレームの送信設定
Ring Protocol とスパニングツリー/GSRP の併用
25.1 Ring Protocol とスパニングツリーとの併用
25.1.5 Ring Protocol とスパニングツリー併用時の注意事項
25.2 Ring Protocol と GSRP との併用
25.2.4 Ring Protocol の制御 VLAN の扱い
25.2.5 GSRP ネットワーク切り替え時の MAC アドレステーブルクリア
25.2.6 Ring Protocol と GSRP 併用動作時の注意事項
25.2.7 単独動作時の動作概要(レイヤ 3 冗長切替機能の適用例)
25.3.3 Ring Protocol と PVST+との併用設定
25.3.4 Ring Protocol とマルチプルスパニングツリーとの併用設定
25.3.5 Ring Protocol と GSRP との併用設定
IGMP snooping/MLD snooping の解説
26.1 IGMP snooping/MLD snooping の概要
xv
目次
26.1.2 IGMP snooping および MLD snooping 概要
26.2 IGMP snooping/MLD snooping サポート機能
26.5 IGMP snooping/MLD snooping 使用時の注意事項
IGMP snooping/MLD snooping の設定と運用
27.1 IGMP snooping のコンフィグレーション
xvi
付録 A.9 IGMP snooping/MLD snooping
目次
xvii
第 1 編 本装置の概要と収容条件
1
本装置の概要
この章では,本装置の特長について説明します。
1
2
1 本装置の概要
1.1 本装置の概要
企業内のネットワークは,IP 電話,インターネット接続,基幹業務などに使われ,PC は一人に 1 台が配
布されるなど企業内の通信トラフィックは増大し続ける一方です。
また,ネットワークに流れるデータは企業の利益を左右するミッションクリティカルな重要データが流れて
います。ミッションクリティカルな市場は,ISP やネットワーク事業者が中心でしたが,今後は企業や公共
の構内網に拡大されていく傾向にあります。
本装置は,ミッションクリティカルの分野に適用可能な製品にすることで,信頼性・可用性・拡張性の高い
情報ネットワーク基盤を柔軟に構築するスイッチ製品です。
製品コンセプト
本装置は,弊社が目指す「ギャランティード・ネットワーク」を実現するために開発してきたキャリア
グレードスイッチの技術を継承しつつ,企業ネットワークに必要とされる機能・スイッチング性能・コ
ストのバランスを図った小型ボックス型マルチレイヤスイッチです。
本装置は次の機能を実現します。
• 大規模ネットワークで使用される OSPF,BGP4 などのルーティングプロトコルや,先進の IPv6,
マルチキャストなどを装備し,多様で柔軟なネットワークを実現
• さまざまなネットワーク冗長機能をサポートし,高信頼・高可用なネットワークを実現
• 複数の装置を接続して論理的に 1 台の装置として動作させるスタック機能によって,一元管理,冗
長化,拡張性を実現
• リンクアグリゲーションや 10Gbit/s,40Gbit/s ポートを用意し,トラフィック増大に対して余裕
を持ったネットワークを実現
• 企業内で扱われるさまざまなトラフィック(基幹業務データ,VoIP 電話データ,テレビ会議,スト
リーミング配信,CAD データなど)を QoS 技術などで保護するギャランティ型ネットワークを実
現
• 高機能フィルタ,ユーザ認証などのセキュリティ機能で安全なネットワークを実現
• フルワイヤレートでのパケットフォワーディングを実現
• ネットワークの設計・構築・運用のトータルコストを削減する OAN への対応
• 複数のサービスネットワークを一つの物理ネットワーク内に仮想的に収容し,統合化することに
よって,ネットワークの構築・運用コストを削減するネットワーク・パーティションを実現
1 本装置の概要
1.2 本装置の特長
(1) 高速で多様な VLAN 機能をサポート
●レイヤ 2 の VLAN 機能
• ポート VLAN,プロトコル VLAN,MAC VLAN 機能を実装
• 用途に応じた VLAN 構築が可能
●スパニングツリープロトコル
• スパニングツリー(IEEE 802.1D),高速スパニングツリー(IEEE 802.1w),PVST+,マルチプ
ルスパニングツリー(IEEE 802.1s)を実装
●VLAN トンネリングによる L2-VPN の実現
(2) 強固なセキュリティ機能
●認証・検疫ソリューション
• レイヤ 2 認証機能(IEEE802.1X,Web 認証,MAC 認証,認証 VLAN)によって,エッジの物理
構成の自由度を保ちつつ,PC1 台 1 台を認証し,VLAN に加入させることが可能
• 認証サーバと検疫サーバとの組み合わせによって,検疫チェックをパスした PC だけを業務 VLAN
に自動接続する検疫ソリューションを構築可能
●高性能できめ細かなパケットフィルタが可能
• ハードウェアによる高性能なフィルタ処理
• L2/L3/L4 ヘッダの一部指定が可能
●RADIUS/TACACS+による装置へのログイン・パスワード認証およびユーザごとに実行可能コマンドの
制限を設定可能
●不正な DHCP サーバ/固定 IP アドレス端末の排除が可能
• DHCP snooping によって,不正な DHCP サーバや固定 IP アドレス端末の排除が可能
(3) ハードウェアによる強力な QoS で通信品質を保証
• ハードウェアによる高性能な QoS 処理
• きめ細かなパラメータ(L2/L3/L4 ヘッダ)指定で,高い精度の QoS 制御が可能
• 多様な QoS 制御機能
L2-QoS(IEEE 802.1p,帯域制御,優先制御,廃棄制御など),IP-QoS(Diff-Serv,帯域制御,優先
制御,廃棄制御など)
• 音声・データ統合ネットワークでさまざまなシェーパ機能
VoIP パケットを優先し,クリアな音声を提供可能。
(4) 10G/40G イーサネット対応
●10G/40G イーサネット対応
• 構内ネットワークで AX7800S/AX6700S/AX6600S/AX6300S シリーズと組み合わせると,ハ
イパフォーマンスな 10G ネットワークを実現。
• 10G イーサネットのトランシーバとして 1G と 10G のイーサネットに対応可能な SFP+を採用。
3
1 本装置の概要
• 40G イーサネットのトランシーバとして QSFP+を採用(AX3830S-44X4QW および
AX3830S-44X4QS)。
• ダイレクトアタッチケーブルのサポートによって低価格な接続ソリューションを提供。
(5) フォールト・トレラント・スイッチを実現するスタック機能
●拡張性が高いフォールト・トレラント・スイッチ
• 複数の装置で構成することで,一部の障害でも通信の継続が可能
• 装置の追加によって,利用できるポート数を拡張可能
●スタックポートの帯域に依存しないトラフィック中継
• 複数のメンバスイッチにポートを収容しているリンクアグリゲーションが転送先となる場合,受信
した回線を収容するメンバスイッチのリンクアグリゲーションポートから転送が可能
●無停止ソフトウェアアップデート
• ネットワークの通信を中断することなく,マスタスイッチ,バックアップスイッチを切り替えなが
ら,ソフトウェアのアップデートが可能
●管理の一元化によるコスト低減
• 複数の装置を 1 台の装置として運用することで,管理の一元化が可能
(6) 実績あるルーティング機能
●安定した高機能ルーティング
• 広域イーサネットサービスや IP-VPN サービスを利用した拠点間接続に,OSPF 機能や BGP 機能
を使用した信頼性の高いルーティングと,マルチパスを使った負荷分散を実現
• ルーティングソフトウェアには,実績ある弊社上位機種と同等のものを実装
●IPv6 マルチキャスト対応
• IPv4 と IPv6 で同一ピーク性能の実現
• 10 ギガビット・イーサネットでフルワイヤレートの IPv6 ルーティングを実現
• 豊富な IPv6 ルーティングプロトコル(スタティック,RIPng,OSPFv3,BGP4+,PIM-SM,PM-
SSM,MLD)によって,多様で柔軟な IPv6 ネットワークを実現可能
• IPv4/IPv6 デュアルスタック,IPv6-only 環境に対応したネットワーク管理(SNMP over IPv6)
など充実した機能
●充実した IPv4 ルーティングプロトコル
• 実績ある豊富な IPv4 ルーティングプロトコルをサポート
(スタティック,RIP,OSPF,BGP4,PIM-SM/SSM,IGMP)
●ポリシーベースルーティング
• 中継先の経路状態に合わせて最適な経路を選択できるポリシーベースルーティングをサポート
(7) ネットワーク・パーティション対応
●ネットワークの水平統合・垂直統合によるコスト低減
• 論理的に分割された複数のスイッチを一つのスイッチ内に仮想的に収容する VRF 機能によって,従
来物理的に分かれていた複数のネットワークを一つの物理ネットワーク内に統合
4
1 本装置の概要
• センターにレイヤ 3 装置を集約,各オフィスや拠点にはレイヤ 2 装置を配置することで,ネットワー
ク設計や運用管理の容易なネットワークを実現
(8) ミッションクリティカル対応のネットワークを実現する高信頼性
●高い装置品質
• 厳選した部品と厳しい設計・検査基準による装置の高い信頼性
• キャリア/ISP で実績あるソフトウェアを継承した安定したルーティング処理
●電源冗長による単体装置としての高信頼化
●多様な冗長ネットワーク構築
• 高速な経路切り替え
高速スパニングツリープロトコル(IEEE 802.1w,IEEE 802.1s),GSRP ※1 ,Autonomous
Extensible Ring Protocol ※2 (以降,Ring Protocol と呼びます。),リンクアグリゲーション(IEEE
802.3ad),ホットスタンバイ(VRRP),スタティック/VRRP ポーリング ※3 など
• ロードバランス
OSPF イコールコストマルチパスによる IP レベルの均等トラフィック分散
注※1
GSRP(Gigabit Switch Redundancy Protocol)。詳細については,マニュアル「コンフィグレー
ションガイド Vol.2 14. GSRP の解説」を参照してください。
注※2
Ring Protocol の詳細については,「23 Ring Protocol の解説」を参照してください。
注※3
指定経路上の可達性をポーリングによって確認し,動的に VRRP やスタティックルーティングと連
動して経路を切り替えるための監視機能。
(9) 高密度でコンパクトなサイズ
• 高さ 1U サイズのコンパクトな筐体(奥行き短縮筐体の AX3830S-44X4QS は 2U)
• 10GBASE-R(SFP+)または 1000BASE-X(SFP)を最大 44 ポート,40GBASE-R(QSFP+)を最
大 4 ポート収容可能(AX3830S-44X4QW および AX3830S-44X4QS)
• 1000BASE-X(SFP)を最大 26 ポート収容可能(AX3650S-20S6XW)
• 10BASE-T/100BASE-TX/1000BASE-T を最大 48 ポート収容可能(AX3650S-48T4XW)
(10) 優れたネットワーク管理,保守・運用
• IPv4/v6 デュアルスタックや IPv6 環境に対応したネットワーク管理(SNMP over IPv6)など充実した
機能
• 基本的な MIB-II に加え,IPv6 MIB,RMON などの豊富な MIB をサポート
• ミラーポート機能によって,トラフィックを監視,解析することが可能(受信側と送信側ポートの両方
可能)
• sFlow や sFlow-MIB によるトラフィック特性の分析が可能
• オンライン保守
コンフィグレーションの変更などで部分リブートによる通信が継続可能。
5
1 本装置の概要
• SD メモリカード採用
• コンフィグレーションのバックアップや障害情報採取が容易に実行可能。
• 保守作業の簡略化が可能。
• 全イーサネットポート,コンソールポート,メモリカードスロットを前面に配置
• イーサネット網の保守管理機能の CFM(Connectivity Fault Management)をサポート
(11) OAN(Open Autonomic Networking)
※
への対応
●IT システムとの連携およびネットワーク運用・管理の自動化によって,運用効率向上や TCO 削減を実現
• AX-Config-Master
各装置のコンフィグレーションが不要になる自動コンフィグレーション。
ネットワーク全体でのコンフィグレーションの整合性チェック。
装置のコンフィグレーションの収集および配信のセキュリティ確保。
• AX-ON-API
CLI,SNMP に代わる新しい装置制御手段。
XML(Extensible Markup Language),SOAP(Simple Object Access Protocol),Netconf な
ど,IT システムの標準技術をエンタプライズ向けネットワーク装置に導入。
VLAN,インタフェース,リンクアグリゲーションなどの設定が可能。
注※
詳細は,マニュアル「OAN ユーザーズガイド AX-Config-Master 編」を参照してください。
(12) 省電力対応
●アーキテクチャ設計,部品選択の段階で低消費電力を志向。導入後の TCO(Total Cost of
Ownership)の削減に寄与
●省電力機能
• ポート,LED,さらに装置自体の電力供給を抑止する省電力機能を提供。ユーザの運用状況に応じ
た機能の選択が可能。
●スケジューリングによる省電力運用
• 長期連休や土日,祝祭日,夜間など,事前に設定したスケジュールに従って,ポートや装置への電
力供給の抑止,および抑止状態の解除を自動で実施。
●消費電力情報の可視化
• 消費電力および消費電力量を運用コマンドと MIB で表示。
6
2
装置構成
この章では,本装置の各モデル構成要素や外観など,各装置本体について説明
します。
7
8
2 装置構成
2.1 本装置のモデル
本装置はボックス型イーサネットスイッチで,AX3830S では 10GBASE-R ポートを最大 44 ポート,
40GBASE-R ポートを最大 4 ポート,AX3650S では 10/100/1000BASE-T ポートを最大 48 ポート,
10GBASE-R ポートを最大 6 ポート装備します。
リンクアグリゲーション,VLAN,スパニングツリー,GSRP,IGMP/MLD snooping,レイヤ 2 認証機
能などを備え,IPv4/IPv6 ユニキャスト,IPv4/IPv6 マルチキャストのハードウェアルーティングに対応
し,RIP/OSPF/BGP4 などのさまざまなルーティングプロトコルおよびネットワーク・パーティションを
サポートしています。また,高度なフィルタ・QoS 機能(受信側および送信側)をサポートし,ワイヤレー
ト/ノンブロッキングのスイッチングに対応します。
最大ポート数ごとの対応モデルを次の表に示します。
表 2‒1 最大ポート数ごとの対応モデル
最大ポート数による分類 ※ モデル 対応モデル
10/100/1000BASE-T 48 ポート
1000BASE-X 44 ポート
10GBASE-R 44 ポート
10/100/1000BASE-T 48 ポート
1000BASE-X 44 ポート
10GBASE-R 44 ポート
40GBASE-R 4 ポート
10/100/1000BASE-T 24 ポート
1000BASE-X 6 ポート
10GBASE-R 6 ポート
10/100/1000BASE-T 24 ポート
1000BASE-X 26 ポート
10GBASE-R 6 ポート
AX3830S
AX3830S
AX3650S
AX3650S
• AX3830S-44XW(電源冗長モデル)
• AX3830S-44X4QW(電源冗長モデル)
• AX3830S-44X4QS(電源冗長モデル)
• AX3650S-24T6XW(電源冗長モデル)
• AX3650S-20S6XW(電源冗長モデル)
10/100/1000BASE-T 48 ポート
1000BASE-X 4 ポート
10GBASE-R 4 ポート
AX3650S • AX3650S-48T4XW(電源冗長モデル)
注※ 同時に使用できる最大ポート数については,「3.1 搭載条件」を参照してください。
2.1.1 装置の外観
各モデルの装置外観図を次の図に示します。
図 2‒1 AX3830S-44XW モデル
2 装置構成
9
2 装置構成
図 2‒2 AX3830S-44X4QW モデル
10
図 2‒3 AX3830S-44X4QS モデル
2 装置構成
11
2 装置構成
図 2‒4 AX3650S-24T6XW モデル
12
図 2‒5 AX3650S-20S6XW モデル
2 装置構成
13
2 装置構成
図 2‒6 AX3650S-48T4XW モデル
14
2 装置構成
2.2 装置の構成要素
2.2.1 AX3830S のハードウェア【AX3800S】
本装置は電源冗長モデルです。PS-A03/PS-A03R/PS-D03/PS-D03R を 2 台搭載することで電源の冗長
構成ができます。また,電源機構およびファンユニットの選択によって,前面吸気・背面排気または背面吸
気・前面排気のエアフローに対応できます。詳細は,マニュアル「ハードウェア取扱説明書」を参照してく
ださい。
ハードウェアの構成を次の図に示します。
図 2‒7 ハードウェアの構成
(1) 装置筐体
装置筐体には,メインボード,電源,ファンが含まれています。本装置は電源およびファンを含む電源機構
を搭載するタイプであり,電源機構およびファンユニットを取り外しできます。
(2) メインボード
メインボードは CPU 部,SW 部,PHY 部から構成されます。
• CPU(Central Processing Unit)
CPU を実装し,装置全体の管理,SW 部/PHY 部の制御,各種プロトコル処理をソフトウェアで行い
ます。
ソフトウェアは CPU 部に実装される装置内メモリに格納されます。
• MC(Memory Card)
MC スロットです。MC を使用して,コンフィグレーションのバックアップ,およびダンプ情報の採取
ができます。
• SW(Switch processor)
L2 フレーム,L3(IPv4/IPv6)パケットのスイッチングを行います。SW 部はハードウェアによる
MAC アドレス学習/エージング,リンクアグリゲーション,ルーティングテーブル検索,フィルタ/QoS
テーブル検索,自宛/自発パケットの DMA 転送を行います。これによって IP フォワーディングを実現
します。
15
2 装置構成
• PHY(Physical Interface)
各種メディア対応のインタフェース部です。
(3) PS-A03/PS-A03R/PS-D03/PS-D03R
PS-A03/PS-A03R/PS-D03/PS-D03R は外部供給電源から本装置内で使用する直流電源を生成する電源
機構です。電源機構は装置に最大 2 台搭載でき,冗長構成時には装置を停止することなく交換できます。
電源機構を 1 台で運用する場合には,空きスロットにブランクパネル(BPNL-01)を搭載します。
また,電源機構は内部を冷却するための FAN を装備します。
(4) FAN-04/FAN-04R/FAN-04S
FAN-04/FAN-04R/FAN-04S は装置内部を冷却するファンユニットです。ファンユニットはファンス
ロットに 1 台搭載します。ファンユニット内部には 4 基のファン部品が実装されていて,1 基が故障して
も運用に支障なく装置を冷却できます。また,運用中に装置を停止することなくファンユニットを交換でき
ます。
2.2.2 AX3650S のハードウェア【AX3650S】
本装置は電源冗長モデルです。PS-A03/PS-D03/PS-A05/PS-D05 を 2 台搭載することで電源の冗長構成
ができます。詳細は,マニュアル「ハードウェア取扱説明書」を参照してください。
ハードウェアの構成を次の図に示します。
図 2‒8 ハードウェアの構成
(1) 装置筐体
装置筐体には,メインボード,電源,ファンが含まれています。本装置は電源およびファンを含む電源機構
を搭載するタイプであり,電源機構およびファンユニットを取り外しできます。
(2) メインボード
メインボードは CPU 部,SW 部,PHY 部から構成されます。
• CPU(Central Processing Unit)
16
2 装置構成
CPU を実装し,装置全体の管理,SW 部/PHY 部の制御,各種プロトコル処理をソフトウェアで行い
ます。
ソフトウェアは CPU 部に実装される装置内メモリに格納されます。
• MC(Memory Card)
MC スロットです。MC を使用して,コンフィグレーションのバックアップ,およびダンプ情報の採取
ができます。
• SW(Switch processor)
L2 フレーム,L3(IPv4/IPv6)パケットのスイッチングを行います。SW 部はハードウェアによる
MAC アドレス学習/エージング,リンクアグリゲーション,ルーティングテーブル検索,フィルタ/QoS
テーブル検索,自宛/自発パケットの DMA 転送を行います。これによって IP フォワーディングを実現
します。
• PHY(Physical Interface)
各種メディア対応のインタフェース部で,回線種別,ポート数によって幾つかのモデルがあります。
(3) PS-A03/PS-D03/PS-A05/PS-D05
PS-A03/PS-D03/PS-A05/PS-D05 は外部供給電源から本装置内で使用する直流電源を生成する電源機構
です。電源機構は装置に最大 2 台搭載でき,冗長構成時には装置を停止することなく交換できます。電源
機構を 1 台で運用する場合には,空きスロットにブランクパネル(BPNL-01)を搭載します。
また,電源機構は内部を冷却するための FAN を装備します。
(4) FAN-03
FAN-03 は装置内部を冷却するファンユニットです。FAN-03 はファンスロットに 1 台搭載します。ファ
ンユニット内部には 4 基のファン部品が実装されていて,1 基が故障しても運用に支障なく装置を冷却でき
ます。また,運用中に装置を停止することなく FAN-03 を交換できます。
2.2.3 ソフトウェア
本装置のモデルとソフトウェアの対応を次の表に示します。
表 2‒2 本装置のモデルとソフトウェアの対応
ソフトウェア略称
OS-L3SA
OS-L3SL
内容
L3S アドバンスドソフトウェア。
VLAN,スパニングツリー,RIP,OSPF,BGP,ポリシーベースルーティング,
Multicast,VRF,SNMP,LLDP ほか
L3S ライトソフトウェア。
VLAN,スパニングツリー,RIP,Multicast,SNMP,LLDP ほか
注 VRF,OSPF,BGP,ポリシーベースルーティング機能なし
本装置のオプションライセンスを次の表に示します。オプションライセンスは AX3800S および
AX3650S 共通です。
表 2‒3 本装置のオプションライセンス一覧
オプションライセンス略称
OP-DH6R IPv6 DHCP リレー
内容
17
2 装置構成
OP-OTP
OP-VAA
オプションライセンス略称
ワンタイムパスワード認証
認証 VLAN
内容
18
3
収容条件
この章では,収容条件について説明します。
19
3 収容条件
3.1 搭載条件
3.1.1 収容回線数
各モデルの最大収容可能回線数を次の表に示します。
表 3‒1 最大収容可能回線数
イーサネット
モデル
AX3830S-44XW
AX3830S-44X4Q
W
AX3830S-44X4QS
AX3650S-24T6X
W
AX3650S-20S6X
W
AX3650S-48T4X
W
40GBASE-R
(QSFP+)
4
−
※5
4 ※5
−
−
−
10GBASE-R
(SFP+)
44 ※1
44
44
6
6
4
※1
※1
※1
※1
※1
1000BASE-X
(SFP)
44
44
44
6
※2
※2
※2
※2
20 + 6
4 ※2
※2
100BASE-FX
(SFP)
−
−
−
−
20 ※7
−
10/100/10
00
BASE-T
48
48
48
24
※3
※3
※3
24
※8
48
スタック
ポート
6
6
6
6
6
4
※4
※6
※6
※4
※4
※4
(凡例)−:該当なし
注※1
SFP+スロットに 10GBASE-R を搭載した場合の最大回線数を示します。1000BASE-X またはスタックポートとし
て使用した場合は,その使用回線数分マイナスした値になります。
注※2
SFP+スロットに 1000BASE-X を搭載した場合の最大回線数を示します。10GBASE-R またはスタックポートとし
て使用した場合は,その使用回線数分マイナスした値になります。
注※3
装置本体の UTP ポート(4 ポート)と SFP+スロットに 10/100/1000BASE-T SFP を搭載した場合の最大回線数
を示します。SFP+スロットに 10GBASE-R または 1000BASE-X を使用した場合は,その使用回線数分マイナスし
た値になります。
なお,装置本体の UTP ポート(4 ポート)は全二重通信(Full-Duplex)だけをサポートします。また,SFP+ス
ロットに 10/100/1000BASE-T SFP を搭載した場合,ポートは 1000BASE-T だけをサポートします。
注※4
SFP+スロットをスタックポートとして使用した場合の最大回線数を示します。
注※5
QSFP+スロットに 40GBASE-R を搭載した場合の最大回線数を示します。スタックポートとして使用した場合は,
その使用回線数分マイナスした値になります。
注※6
QSFP+スロットまたは SFP+スロットをスタックポートとして使用した場合の最大回線数を示します。QSFP+ス
ロットと SFP+スロットを組み合わせて,6 ポートをスタックポートとして使用できますが,回線速度が異なるポー
トをスタックポートとして使用すると,パケットが廃棄されるおそれがあります。このため,QSFP+スロットをス
タックポートとして使用する場合は,QSFP+スロットだけを使用した 4 ポートを推奨します。
20
3 収容条件
注※7
SFP スロットに 100BASE-FX を搭載した場合の最大回線数を示します。1000BASE-X を使用した場合は,その使
用回線数分マイナスした値になります。
注※8
装置本体の UTP ポート(4 ポート)と SFP スロットに 10/100/1000BASE-T SFP を搭載した場合の最大回線数
を示します。1000BASE-X または 100BASE-FX を使用した場合は,その使用回線数分マイナスした値になります。
3.1.2 電源の搭載
(1) 電源冗長モデル
電源冗長モデルは,電源機構を二つ搭載可能です。電源機構一つで使用する場合には必ずブランクパネルを
一つ搭載してください。
(a) AX3830S モデル
• AX3830S-44XW
• AX3830S-44X4QW
• AX3830S-44X4QS
(b) AX3650S モデル
• AX3650S-24T6XW
• AX3650S-20S6XW
• AX3650S-48T4XW
3.1.3 実装メモリ量
実装メモリ量および内蔵フラッシュメモリ量を次の表に示します。本装置では実装メモリおよび内蔵フ
ラッシュメモリの増設はできません。
表 3‒2 実装メモリ量と内蔵フラッシュメモリ量
項目
実装メモリ量
内蔵フラッシュメモリ量
全モデル共通
1024MB
512MB
21
3 収容条件
3.2 収容条件
3.2.1 テーブルエントリ数
本装置では,装置の適用形態に合わせ,モードの選択によってテーブルエントリ数の配分パターンを変更で
きます。モードには,IPv4 モード,IPv4/IPv6 モード,および IPv6 ユニキャスト優先モードの 3 種類が
あり,コンフィグレーションコマンド swrt_table_resource で設定します。
この項では,モードごとのテーブルエントリ数について説明します。
なお,マルチパス経路のエントリ数については,「コンフィグレーションガイド Vol.3 表 7-5 マルチパス
仕様」を参照してください。
(1) AX3830S のテーブルエントリ数
モードごとの,装置当たりのテーブルエントリの最大数(最大装置エントリ数)を次の表に示します。
表 3‒3 最大装置エントリ数
最大装置エントリ数
IPv4
IPv6
項目
ユニキャスト経路
マルチキャスト経路
ARP ※1
ユニキャスト経路
マルチキャスト経路
NDP ※1
MAC アドレステーブル
IPv4
モード
13312
1024
8190 ※2
−
−
−
IPv4/IPv6
モード
8192
256
5120
2048
128
1024
IPv6
ユニキャスト
優先モード
1024
16
128
7560
16
1024
L2 131072 ※3
(凡例)−:該当なし
注※1
エクストラネット使用時に他 VRF からインポートされた直結経路で通信が発生すると,該当する通信で使用する
ARP エントリおよび NDP エントリがインポート先の VRF にも生成されます。インポート先の VRF に生成された
ARP エントリおよび NDP エントリは,通常の ARP エントリおよび NDP エントリと同様に 1 エントリ分のリソー
スを消費します。【OS-L3SA】
注※2
IPv4 マルチキャスト機能使用時は,ARP エントリ数とマルチキャスト経路数を合わせて 8190 までとなります。
注※3
ハードウェアの制限によって,収容条件の最大数まで登録できないことがあります。
モードごとの,ダイナミックエントリとスタティックエントリの最大数(最大ダイナミックエントリ数およ
び最大スタティックエントリ数)を次に示します。ダイナミックエントリとスタティックエントリの合計値
が,最大装置エントリ数を超えないようにしてください。
22
3 収容条件
(a) IPv4 モード
IPv4 モードを使用する場合の最大ダイナミックエントリ数および最大スタティックエントリ数を次の表に
示します。
表 3‒4 最大ダイナミックエントリ数および最大スタティックエントリ数
分類
IPv4 ユニキャスト経路エントリ
マルチキャスト経路エントリ
ARP
(凡例)−:未サポート
(b) IPv4/IPv6 モード
項目
最大装置
エントリ数
13312
1024
8190
最大ダイナミック
エントリ数
13312
1024
8190
最大スタティック
エントリ数
2048
−
4096
IPv4/IPv6 モードを使用する場合の最大ダイナミックエントリ数および最大スタティックエントリ数を次
の表に示します。
表 3‒5 最大ダイナミックエントリ数および最大スタティックエントリ数
分類 項目
IPv4 ユニキャスト経路エントリ
マルチキャスト経路エントリ
ARP
IPv6 ユニキャスト経路エントリ
最大装置
エントリ数
8192
256
5120
2048
最大ダイナミック
エントリ数
8192
256
5120
2048
最大スタティック
エントリ数
2048 ※
−
4096
2048 ※
−
128
マルチキャスト経路エントリ
NDP
128
1024
(凡例)−:未サポート
注※
IPv4 と IPv6 の合計は 2048 以内としてください。
(c) IPv6 ユニキャスト優先モード
IPv6 ユニキャスト優先モードを使用する場合の最大ダイナミックエントリ数および最大スタティックエン
トリ数を次の表に示します。
表 3‒6 最大ダイナミックエントリ数および最大スタティックエントリ数
分類 項目
IPv4 ユニキャスト経路エントリ
マルチキャスト経路エントリ
ARP
最大装置
エントリ数
1024
16
128
128
1024
最大ダイナミック
エントリ数
1024
16
128
最大スタティック
エントリ数
1024 ※
−
128
23
3 収容条件
分類 項目
IPv6 ユニキャスト経路エントリ
最大装置
エントリ数
7560
マルチキャスト経路エントリ
NDP
16
1024
(凡例)−:未サポート
注※
IPv4 と IPv6 の合計は 2048 以内としてください。
最大ダイナミック
エントリ数
7560
16
1024
最大スタティック
エントリ数
2048 ※
−
128
(2) AX3650S のテーブルエントリ数
モードごとの,装置当たりのテーブルエントリの最大数(最大装置エントリ数)を次の表に示します。
表 3‒7 最大装置エントリ数
最大装置エントリ数
項目
IPv4
モード
IPv4/IPv6
モード
IPv6
ユニキャスト
優先モード
1024 IPv4
IPv6
ユニキャスト経路
マルチキャスト経路
ARP ※1
ユニキャスト経路
マルチキャスト経路
NDP ※1
MAC アドレステーブル
16384
1024
11264
−
−
−
※2
8192
1024
2048
4096
256
2048
16
128
7680
768
2048
L2 32768 ※3
(凡例)−:該当なし
注※1
エクストラネット使用時に他 VRF からインポートされた直結経路で通信が発生すると,該当する通信で使用する
ARP エントリおよび NDP エントリがインポート先の VRF にも生成されます。インポート先の VRF に生成された
ARP エントリおよび NDP エントリは,通常の ARP エントリおよび NDP エントリと同様に 1 エントリ分のリソー
スを消費します。【OS-L3SA】
注※2
IPv4 マルチキャスト機能使用時は,ARP エントリ数とマルチキャスト経路数を合わせて 11264 までとなります。
注※3
ハードウェアの制限によって,収容条件の最大数まで登録できないことがあります。
モードごとの,ダイナミックエントリとスタティックエントリの最大数(最大ダイナミックエントリ数およ
び最大スタティックエントリ数)を次に示します。ダイナミックエントリとスタティックエントリの合計値
が,最大装置エントリ数を超えないようにしてください。
24
3 収容条件
(a) IPv4 モード
IPv4 モードを使用する場合の最大ダイナミックエントリ数および最大スタティックエントリ数を次の表に
示します。
表 3‒8 最大ダイナミックエントリ数および最大スタティックエントリ数
分類
IPv4 ユニキャスト経路エントリ
マルチキャスト経路エントリ
ARP
(凡例)−:未サポート
(b) IPv4/IPv6 モード
項目
最大装置
エントリ数
16384
1024
11264
最大ダイナミック
エントリ数
16384
1024
11264
最大スタティック
エントリ数
2048
−
4096
IPv4/IPv6 モードを使用する場合の最大ダイナミックエントリ数および最大スタティックエントリ数を次
の表に示します。
表 3‒9 最大ダイナミックエントリ数および最大スタティックエントリ数
分類 項目
IPv4 ユニキャスト経路エントリ
マルチキャスト経路エントリ
ARP
IPv6 ユニキャスト経路エントリ
最大装置
エントリ数
8192
1024
2048
4096
最大ダイナミック
エントリ数
8192
1024
2048
4096
最大スタティック
エントリ数
2048 ※
−
2048
2048 ※
−
128
マルチキャスト経路エントリ
NDP
256
2048
(凡例)−:未サポート
注※
IPv4 と IPv6 の合計は 2048 以内としてください。
(c) IPv6 ユニキャスト優先モード
IPv6 ユニキャスト優先モードを使用する場合の最大ダイナミックエントリ数および最大スタティックエン
トリ数を次の表に示します。
表 3‒10 最大ダイナミックエントリ数および最大スタティックエントリ数
分類 項目
IPv4 ユニキャスト経路エントリ
マルチキャスト経路エントリ
ARP
最大装置
エントリ数
1024
16
128
256
2048
最大ダイナミック
エントリ数
1024
16
128
最大スタティック
エントリ数
1024 ※
−
128
25
3 収容条件
分類 項目
IPv6 ユニキャスト経路エントリ
最大装置
エントリ数
7680
マルチキャスト経路エントリ
NDP
768
2048
(凡例)−:未サポート
注※
IPv4 と IPv6 の合計は 2048 以内としてください。
最大ダイナミック
エントリ数
7680
768
2048
最大スタティック
エントリ数
2048 ※
−
128
3.2.2 リンクアグリゲーション
コンフィグレーションによって設定できるリンクアグリゲーションの収容条件を次の表に示します。
表 3‒11 リンクアグリゲーションの収容条件
モデル
全モデル共通
チャネルグループ当たりの
最大ポート数
8
装置当たりの
最大チャネルグループ
32(スタンドアロン時)
52(スタック時)
3.2.3 レイヤ 2 スイッチ
(1) MAC アドレステーブル
L2 スイッチ機能では,接続されたホストの MAC アドレスをダイナミックに学習して MAC アドレステー
ブルへ登録します。また,スタティックに MAC アドレステーブルへ登録することもできます。
MAC アドレステーブルに登録できる MAC アドレスのエントリの最大数を次の表に示します。
表 3‒12 MAC アドレステーブルに登録できる MAC アドレスのエントリ数
装置当たり
モデル
AX3800S モデル共通
AX3650S モデル共通
最大エントリ数
131072 ※
32768 ※
スタティックエントリ数
2048
注※
ハードウェアの制限によって,収容条件の最大数まで登録できないことがあります。
MAC アドレスが収容条件を超えた場合,学習済みエントリがエージングされるまで新たな MAC アドレス
学習は行われません。したがって,未学習の MAC アドレス宛てのパケットは該当する VLAN ドメイン内
でフラッディングされます。
また,本装置では,MAC アドレステーブルのエントリの数をコンフィグレーションによって変更すること
はできません。
26
3 収容条件
(2) VLAN
コンフィグレーションによって設定できる VLAN の数を次の表に示します。
表 3‒13 VLAN のサポート数【AX3800S】
モデル
ポート当たり
VLAN
装置当たり
VLAN
AX3830S-44XW
AX3830S-44X4QW
4094 ※ 4094
AX3830S-44X4QS
注※ スタック構成時に設定できる VLAN の数は 4093 です。
※
表 3‒14 VLAN のサポート数【AX3650S】
ポートごと
VLAN 数の装置での合計
スタンドアロン時
49152
スタック時
10000
53248
53248
10000
10000
モデル
ポート当たり
VLAN
装置当たり
VLAN
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
4094 ※ 4094
注※ スタック構成時に設定できる VLAN の数は 4093 です。
※
ポートごと
VLAN 数の装置での合計
スタンドアロン時 スタック時
30720
30720
53248
10000
10000
10000
なお,推奨する VLAN 数は 1024 以下です。スタックを構成する場合,推奨する VLAN 数は 1024 をス
タックの構成台数で割った数以下(2 台構成のときは 512 以下)です。
ポートごと VLAN 数の装置での合計は,ポートに設定している VLAN の数を,装置の全ポートで合計し
た値です。例えば,24 ポートの装置で,ポート 1 からポート 10 では設定している VLAN 数が 2000,ポー
ト 11 からポート 24 では設定している VLAN 数が 1 の場合,ポートごと VLAN 数の装置での合計は
20014 となります。なお,チャネルグループに所属するポートでも,チャネルグループでまとめるのでは
なく,ポートに設定している VLAN の数で計算されます。ポートごと VLAN 数の装置での合計が収容条
件を超えた場合,CPU の利用率が高くなり,コンフィグレーションコマンドや運用コマンドのレスポンス
が遅くなったり,実行できなくなったりすることがあります。スタックを構成する場合でも,ポートごと
VLAN 数の装置での合計は,構成台数に関係なくスタック全体で装置単体のサポート数と同じになります。
(a) プロトコル VLAN
プロトコル VLAN では,イーサネットフレーム内の Ethernet-Type,LLC SAP,および SNAP type フィー
ルドの値を基にプロトコルの識別を行います。コンフィグレーションによって設定できるプロトコル
VLAN の収容条件を次の表に示します。
表 3‒15 プロトコル VLAN のプロトコルの種類数
モデル
全モデル共通
ポート当たり
16
装置当たり
16
27
3 収容条件
28
表 3‒16 プロトコル VLAN 数
全モデル共通
モデル ポート当たり
48 ※
装置当たり
48
注※ トランクポートに設定できるプロトコル VLAN 数。プロトコルポートに設定できるプロトコル VLAN 数は 16
です。
(b) MAC VLAN
MAC VLAN の収容条件を次の表に示します。
表 3‒17 MAC VLAN の登録 MAC アドレス数
モデル
コンフィグレーションによる最
大登録 MAC アドレス数
AX3800S モデル共通
AX3650S モデル共通
1024
1024
L2 認証機能による最大登録
MAC アドレス数
1024
1024
同時登録最大 MAC
アドレス数
1024
2048
なお,コンフィグレーションコマンド mac-based-vlan static-only が設定された場合は,次の表に示す収
容条件となります。
表 3‒18 mac-based-vlan static-only 設定時の登録 MAC アドレス数
モデル
コンフィグレーションによる
最大登録 MAC アドレス数
全モデル共通 1024
L2 認証機能による
最大登録 MAC アドレス数
0
(c) VLAN トンネリング
コンフィグレーションによって設定できる VLAN トンネリングの数を次の表に示します。
表 3‒19 VLAN トンネリングの数
モデル
全モデル共通
装置当たり
4094 ※
注※ スタック構成時に設定できる VLAN トンネリングの数は 4093 です。
(d) Tag 変換
コンフィグレーションによって設定できる Tag 変換情報エントリ数を次の表に示します。Tag 変換を
チャネルグループに設定した場合は,チャネルグループに所属するポートごとにエントリを消費します。
表 3‒20 Tag 変換情報エントリ数
全モデル共通
モデル 装置当たり
768
(e) VLAN ごとの MAC アドレス
コンフィグレーションによって VLAN インタフェースに設定する MAC アドレス(レイヤ 3 通信で使用す
る VLAN ごとの MAC アドレス)の装置当たりの数を次の表に示します。
3 収容条件
表 3‒21 VLAN インタフェースの MAC アドレス数
モデル
AX3830S モデル共通
AX3650S モデル共通
装置当たり
128
1024
(3) スパニングツリー
スパニングツリーの収容条件を種類ごとに次の表に示します。
なお,スパニングツリーの VLAN ポート数は,スパニングツリーが動作する VLAN に所属するポート数
の延べ数です。チャネルグループの場合,チャネルグループ当たりの物理ポート数を数えます。ただし,次
の VLAN やポートは,VLAN ポート数に含めません。
• コンフィグレーションコマンド state で suspend パラメータが設定されている VLAN
• VLAN トンネリングを設定しているポート
• BPDU ガード機能を設定しているが,BPDU フィルタ機能を設定していないポート
• PortFast 機能と BPDU フィルタ機能を設定しているアクセスポート
表 3‒22 PVST+の収容条件
モデル Ring Protocol 共存有無 対象 VLAN 数 VLAN ポート数 ※1
全モデル共通 共存なし
共存あり
250
128
256 ※2
200 ※2
注※1
スパニングツリー対象となる各 VLAN に設定するポート数の合計(VLAN 数とポート数の積)。
例えば,100 個の VLAN を設定し,それぞれの VLAN に 2 回線が所属している場合,ポート数は 100×2 = 200
となります。
VLAN トンネリングとの併用時,アクセスポートはポート数に含みません。
注※2
PortFast 機能を設定したポート数は含めません。
表 3‒23 シングルスパニングツリーの収容条件
モデル Ring Protocol 共存有無 対象 VLAN 数 VLAN ポート数 ※1
VLAN ポート数 ※1
(PVST+併用時 ※2 )
1000 全モデル共通 共存なし
共存あり
1024 ※3
1024 ※3
5000
4000 800
注※1
スパニングツリー対象となる各 VLAN に設定するポート数の合計(VLAN 数とポート数の積)。
例えば,100 個の VLAN を設定し,それぞれの VLAN に 2 回線が所属している場合,ポート数は 100×2 = 200
となります。
VLAN トンネリングとの併用時,アクセスポートはポート数に含みません。
注※2
PVST+の対象ポート含み合計の最大値が 1000 となります。
29
3 収容条件
注※3
PVST+同時動作時は PVST+対象 VLAN 数を引いた値となります。
表 3‒24 マルチプルスパニングツリーの収容条件
モデル
Ring Protocol 共
存有無
対象 VLAN
数
VLAN ポート
数 ※1
MST インスタ
ンス数
MST インスタンスご
との対象 VLAN 数 ※2
全モデル共通 共存なし
共存あり
1024
1024
5000
4000
16
16
50
50
注※1
スパニングツリー対象となる各 VLAN に設定するポート数の合計(VLAN 数とポート数の積)。
例えば,100 個の VLAN を設定し,それぞれの VLAN に 2 回線が所属している場合,ポート数は 100×2 = 200
となります。
VLAN トンネリングとの併用時,アクセスポートはポート数に含みません。
注※2
MST インスタンス 0 は除きます。MST インスタンス 0 の対象 VLAN 数は 1024 となります。なお,運用中は運用
コマンド show spanning-tree port-count で対象 VLAN 数と VLAN ポート数を確認できます。
(4) Ring Protocol
(a) Ring Protocol
Ring Protocol の収容条件を次の表に示します。
表 3‒25 Ring Protocol の収容条件
リング数
項目
VLAN マッピング数
VLAN グループ数
VLAN グループの VLAN 数
リングポート数 ※5
リング当たり
−
−
2
1023 ※3※4
2
装置当たり
24 ※1
128
48 ※2
1023
48
※3※4
※2
(凡例)−:該当なし
注※1
Ring Protocol とスパニングツリーの併用,Ring Protocol と GSRP の併用,または多重障害監視機能を使用する場
合は,8 となります。
注※2
Ring Protocol とスパニングツリーの併用,Ring Protocol と GSRP の併用,または多重障害監視機能を使用する場
合は,16 となります。
注※3
装置として推奨する VLAN の最大数です。
リング当たりに制御 VLAN 用として VLAN を一つ消費するため,VLAN グループに使用できる VLAN の最大数は
1023 となります。ただし,リング数が増加するに従い,VLAN グループに使用できる VLAN の最大数は減少しま
す。
30
3 収容条件
注※4
多重障害監視機能は,多重障害監視 VLAN 用としてリング当たり VLAN を一つ消費するため,VLAN グループに
使用できる VLAN の最大数は減少します。
注※5
チャネルグループの場合は,チャネルグループ単位で 1 ポートと数えます。
(b) 仮想リンク
仮想リンクの収容条件を次の表に示します。
表 3‒26 仮想リンクの収容条件
項目
装置当たりの仮想リンク ID 数
仮想リンク当たりの VLAN 数
拠点当たりのリングノード数
ネットワーク全体での仮想リンクの拠点数
最大数
1
1
2
250
(c) 多重障害監視機能
多重障害監視機能の収容条件を次の表に示します。
表 3‒27 多重障害監視機能の収容条件
項目
装置当たりの多重障害監視可能リング数
リング当たりの多重障害監視 VLAN 数
装置当たりの多重障害監視 VLAN 数
最大数
4
1
4
(5) IGMP snooping/MLD snooping
IGMP snooping の収容条件を次の表に示します。
表 3‒28 IGMP snooping の収容条件
設定 VLAN 数
項目 最大数
32【AX3800S】
64【AX3650S】
512 VLAN ポート数 ※1
登録エントリ数 ※2※3 500
注※1
IGMP snooping が動作するポート数(IGMP snooping を設定した VLAN に収容されるポートの総和)です。例え
ば,各々 10 ポート収容している 16 個の VLAN で IGMP snooping を動作させる場合,IGMP snooping 動作ポー
ト数は 160 となります。
注※2
登録エントリ数の最大数には,ルーティングプロトコルなどで使用する制御パケットのマルチキャストアドレスも含
みます。該当するエントリは,制御パケットに対するグループ参加要求を受信した場合に登録します。VLAN 内で複
31
3 収容条件
数のルーティングプロトコルを同時に使用する場合,該当するプロトコルの制御パケットが使用するマルチキャスト
アドレス分だけエントリを使用します。
注※3
IPv4 マルチキャストまたは IPv6 マルチキャストと同時に使用しない場合は,各 VLAN で学習したマルチキャスト
MAC アドレスの総和です。IPv4 マルチキャストまたは IPv6 マルチキャストと同時に使用する場合は,各 VLAN
で学習したマルチキャスト IP アドレスの総和です。
MLD snooping の収容条件を次の表に示します。
表 3‒29 MLD snooping の収容条件
設定 VLAN 数
VLAN ポート数 ※1
登録エントリ数 ※2※3
項目 最大数
32
512
500
注※1
MLD snooping が動作するポート数(MLD snooping を設定した VLAN に収容されるポートの総和)です。例え
ば,各々 10 ポート収容している 16 個の VLAN で MLD snooping を動作させる場合,MLD snooping 動作ポート
数は 160 となります。
注※2
登録エントリ数の最大数には,ルーティングプロトコルなどで使用する制御パケットのマルチキャストアドレスも含
みます。該当するエントリは,制御パケットに対するグループ参加要求を受信した場合に登録します。VLAN 内で複
数のルーティングプロトコルを同時に使用する場合,該当するプロトコルの制御パケットが使用するマルチキャスト
アドレス分だけエントリを使用します。
注※3
IPv6 マルチキャストと同時に使用しない場合は,各 VLAN で学習したマルチキャスト MAC アドレスの総和です。
IPv6 マルチキャストと同時に使用する場合は,各 VLAN で学習したマルチキャスト IP アドレスの総和です。
3.2.4 フィルタ・QoS【AX3800S】
フィルタ・QoS の検出条件はコンフィグレーション(access-list,qos-flow-list)で設定します。ここで
は,設定したリストを装置内部で使用する形式(エントリ)に変換したエントリ数の上限をフィルタ・QoS
の収容条件として示します。
フィルタ・QoS の検出条件によるリソース配分を決定するために,フィルタおよび QoS の共通モードであ
るフロー検出モードを選択します。フロー検出モードは,受信側および送信側について,それぞれ対応する
次のコンフィグレーションコマンドで設定します。選択するモードによって,エントリ数の上限値を決定す
る条件が異なります。
• コンフィグレーションコマンド flow detection mode:受信側フロー検出モードの設定
• コンフィグレーションコマンド flow detection out mode:送信側フロー検出モードの設定
受信側はフィルタ・QoS 機能を,送信側はフィルタ機能をサポートしています。なお,受信側のエントリ
数については,「(1) 受信側フィルタエントリ数」または「(2) 受信側 QoS エントリ数」を,送信側のエ
ントリ数については「(3) 送信側フィルタエントリ数」を参照してください。
(1) 受信側フィルタエントリ数
受信側フロー検出モードごとの,装置当たりに設定できる受信側フィルタ最大エントリ数を次の表に示しま
す。
32
3 収容条件
表 3‒30 受信側フィルタ最大エントリ数
受信側フロー検出モード layer3-1 layer3-2
MAC 条件
512×n ※2
−
受信側フィルタ最大エントリ数 ※1
IPv4 条件
512×n ※2
1024×n ※2
IPv6 条件
−
− layer3-5 − 256×n ※2 256×n ※2 layer3-6 layer3-dhcp-1
−
−
256×n ※2
256
256×n
−
※2
(凡例)−:該当なし n:メンバスイッチの台数
注※1
フィルタエントリ追加時,該当イーサネットインタフェースまたは VLAN インタフェースに対してフロー未検出時
に動作するエントリ(廃棄動作)を自動的に付与します。このため,フィルタ最大エントリ数のすべてを使用できま
せん。フィルタエントリの数え方の例を次に示します。
(例 1)
エントリ条件:イーサネットインタフェース 1/0/1 に 1 エントリ設定
エントリ数 :設定エントリ(1)とイーサネットインタフェース 1/0/1 の廃棄エントリ(1)の合計 2 エントリを使用
する
残エントリ数:受信側フィルタ最大エントリ数−エントリ数
(例 2)
エントリ条件:イーサネットインタフェース 1/0/1 に 2 エントリ,VLAN10 のインタフェースに 3 エントリ設定
エントリ数 :設定エントリ(5)とイーサネットインタフェース 1/0/1 の廃棄エントリ(1)および VLAN10 のイン
タフェースの廃棄エントリ(1)の合計 7 エントリを使用する
残エントリ数:受信側フィルタ最大エントリ数−エントリ数
注※2
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。ただし,VLAN インタフェースの収容条件
は変わりません。
また,スタンドアロン時は n が 1 となります。
(2) 受信側 QoS エントリ数
受信側フロー検出モードごとの,装置当たりに設定できる受信側 QoS 最大エントリ数を次の表に示しま
す。
表 3‒31 受信側 QoS 最大エントリ数
受信側フロー検出モード layer3-1 layer3-2 layer3-5 layer3-6 layer3-dhcp-1
MAC 条件
128×n ※
−
−
−
−
受信側 QoS 最大エントリ数
IPv4 条件
128×n ※
256×n ※
128×n ※
128×n ※
128
IPv6 条件
−
−
128×n ※
128×n ※
−
33
3 収容条件
(凡例)−:該当なし n:メンバスイッチの台数
注※
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。ただし,VLAN インタフェースの収容条件
は変わりません。
また,スタンドアロン時は n が 1 となります。
(3) 送信側フィルタエントリ数
送信側フロー検出モードごとの,装置当たりに設定できる送信側フィルタ最大エントリ数を次の表に示しま
す。
表 3‒32 送信側フィルタ最大エントリ数
送信側フロー検出モード layer3-1-out layer3-2-out
MAC 条件
−
256×n ※2
送信側フィルタ最大エントリ数 ※1
IPv4 条件
1024×n ※2
256×n ※2
IPv6 条件
−
256×n ※2
(凡例)−:該当なし n:メンバスイッチの台数
注※1
フィルタエントリ追加時,該当イーサネットインタフェースまたは VLAN インタフェースに対してフロー未検出時
に動作するエントリ(廃棄動作)を自動的に付与します。このため,フィルタ最大エントリ数のすべてを使用できま
せん。フィルタエントリの数え方の例を次に示します。
(例 1)
エントリ条件:イーサネットインタフェース 1/0/1 に 1 エントリ設定
エントリ数 :設定エントリ(1)とイーサネットインタフェース 1/0/1 の廃棄エントリ(1)の合計 2 エントリを使用
する
残エントリ数:送信側フィルタ最大エントリ数−エントリ数
(例 2)
エントリ条件:イーサネットインタフェース 1/0/1 に 2 エントリ,VLAN10 のインタフェースに 3 エントリ設定
エントリ数 :設定エントリ(5)とイーサネットインタフェース 1/0/1 の廃棄エントリ(1)および VLAN10 のイン
タフェースの廃棄エントリ(1)の合計 7 エントリを使用する
残エントリ数:送信側フィルタ最大エントリ数−エントリ数
注※2
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。ただし,VLAN インタフェースの収容条件
は変わりません。
また,スタンドアロン時は n が 1 となります。
(4) TCP/UDP ポート番号検出パターン数
フィルタ・QoS のフロー検出条件での TCP/UDP ポート番号検出パターンの収容条件を次の表に示しま
す。TCP/UDP ポート番号検出パターンは,フロー検出条件のポート番号指定で使用されるハードウェア
リソースです。
表 3‒33 TCP/UDP ポート番号検出パターン収容条件
モデル
AX3830S モデル共通
装置当たりの最大数
32×n ※
(凡例)n:メンバスイッチの台数
34
3 収容条件
注※
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
次の表に示すフロー検出条件の指定で,TCP/UDP ポート番号検出パターンを使用します。なお,アクセ
スリスト(access-list)および QoS フローリスト(qos-flow-list)の作成だけでは TCP/UDP ポート番号
検出パターンを使用しません。作成したアクセスリストおよび QoS フローリストを次に示すコンフィグ
レーションでインタフェースに適用したときに TCP/UDP ポート番号検出パターンを使用します。
• ip access-group
• ipv6 traffic-filter
• ip qos-flow-group
• ipv6 qos-flow-group
表 3‒34 TCP/UDP ポート番号検出パターンを使用するフロー検出条件パラメータ
フロー検出条件のパラメータ 指定方法
送信元ポート番号 単一指定(eq)
範囲指定(range)
単一指定(eq) 宛先ポート番号
範囲指定(range)
(凡例)
○:TCP/UDP ポート番号検出パターンを使用する
−:TCP/UDP ポート番号検出パターンを使用しない
受信側フロー検出モード
全モード共通
−
○
−
○
送信側フロー検出モード
全モード共通
−
指定不可
−
指定不可
本装置では,TCP/UDP ポート番号検出パターンを共有して使用します。
1. フィルタと QoS での共有については,複数のフィルタエントリと複数の QoS エントリでは共有しま
す。
2. フロー検出条件の TCP と UDP で共有します。
3. フロー検出条件の送信元ポート番号と宛先ポート番号では共有しません。
4. フロー検出条件の IPv4 条件と IPv6 条件で共有します。
TCP/UDP ポート番号検出パターンを使用する例を次の表に示します。
表 3‒35 TCP/UDP ポート番号検出パターンの使用例
パターンの使用例 ※ 使用するパターン数
運用コマンド show system での表示
(Resources(Used/
Max)の Used の値)
2 フィルタエントリで
• 送信元ポート番号の範囲指定(10〜30)
フィルタエントリで
• 送信元ポート番号の範囲指定(10〜40)
二つのエントリでは指定している送信元
ポート番号の範囲が異なるため,
• 送信元ポート番号の範囲指定(10〜30)
• 送信元ポート番号の範囲指定(10〜40)
の 2 パターンを使用します。
35
3 収容条件
パターンの使用例 ※
フィルタエントリで
• 送信元ポート番号の指定なし
• 宛先ポート番号の範囲指定(10〜20)
フィルタエントリで
• 送信元ポート番号の指定なし
• 宛先ポート番号の範囲指定(10〜20)
QoS エントリで
• 送信元ポート番号の指定なし
• 宛先ポート番号の範囲指定(10〜20)
QoS エントリで
• TCP を指定
• 送信元ポート番号の範囲指定(10〜20)
• 宛先ポート番号の指定なし
QoS エントリで
• UDP を指定
• 送信元ポート番号の範囲指定(10〜20)
• 宛先ポート番号の指定なし
QoS エントリで
• 送信元ポート番号の範囲指定(10〜20)
• 宛先ポート番号の範囲指定(10〜20)
使用するパターン数
上記 1.の共有する場合の例です。
三つのエントリがありますが,どれも宛先
ポート番号の範囲指定(10〜20)で同じ範囲
を指定しているのでパターンを共有します。
• 宛先ポート番号の範囲指定(10〜20)
の 1 パターンを使用します。
上記 2.の共有する場合の例です。
二つのエントリがありますが,どちらも送信
元ポート番号の範囲指定(10〜20)で同じ値
を指定しているのでパターンを共有します。
• 送信元ポート番号の範囲指定(10〜20)
の 1 パターンを使用します。
QoS エントリで
• IPv4 条件で送信元ポート番号の範囲指定
(10〜20)
QoS エントリで
• IPv6 条件で送信元ポート番号の範囲指定
(10〜20)
上記 3.の共有しない場合の例です。
指定した範囲が同じでも送信元と宛先では
パターンを共有しません。
• 送信元ポート番号の範囲指定(10〜20)
• 宛先ポート番号の範囲指定(10〜20)
の 2 パターンを使用します。
上記 4.の共有する場合の例です。
二つのエントリがありますが,どちらも送信
元ポート番号の範囲指定(10〜20)で同じ範
囲を指定しているのでパターンを共有しま
す。
• 送信元ポート番号の範囲指定(10〜20)
の 1 パターンを使用します。
注※ ()内は単一指定したときの値,または範囲指定したときの範囲です。
運用コマンド show system での表示
(Resources(Used/
Max)の Used の値)
1
1
2
1
3.2.5 フィルタ・QoS【AX3650S】
フィルタ・QoS の検出条件はコンフィグレーション(access-list,qos-flow-list)で設定します。ここで
は,設定したリストを装置内部で使用する形式(エントリ)に変換したエントリ数の上限をフィルタ・QoS
の収容条件として示します。
フィルタ・QoS の検出条件によるリソース配分を決定するために,フィルタおよび QoS の共通モードであ
るフロー検出モードを選択します。フロー検出モードは,受信側および送信側について,それぞれ対応する
36
3 収容条件
次のコンフィグレーションコマンドで設定します。選択するモードによって,エントリ数の上限値を決定す
る条件が異なります。インタフェース種別ごとにインタフェース当たりの上限値,および装置当たりの上限
値がありますので,その範囲内で設定してください。
• コンフィグレーションコマンド flow detection mode:受信側フロー検出モードの設定
• コンフィグレーションコマンド flow detection out mode:送信側フロー検出モードの設定
受信側はフィルタ・QoS 機能を,送信側はフィルタ機能をサポートしています。なお,受信側のエントリ
数については,「(1) 受信側フィルタエントリ数」または「(2) 受信側 QoS エントリ数」を,送信側のエ
ントリ数については「(3) 送信側フィルタエントリ数」を参照してください。
(1) 受信側フィルタエントリ数
(a) モード layer3-1 のフィルタ最大エントリ数
受信側フロー検出モード layer3-1 を選択した場合に設定できるフィルタ最大エントリ数を次の表に示しま
す。
表 3‒36 モード layer3-1 のフィルタ最大エントリ数
受信側フィルタ最大エントリ数 ※1
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース
種別
イーサネット
インタフェース
当たり
MAC
条件
512
IPv4
条件
512 1536
装置当たり
MAC
条件
※2
IPv4
条件
1536 ※2
スタック当たり
MAC
条件
1536×n
※2※3
IPv4
条件
1536×n
※2※3
VLAN 512 512 512 512 512 512
(凡例)n:メンバスイッチの台数
注※1
フィルタエントリ追加時,該当イーサネットインタフェースまたは VLAN インタフェースに対してフロー未検出時
に動作するエントリ(廃棄動作)を自動的に付与します。このため,フィルタ最大エントリ数のすべてを使用できま
せん。フィルタエントリの数え方の例を次に示します。
(例 1)
エントリ条件:イーサネットインタフェース 1/0/1 に 1 エントリ設定
エントリ数 :設定エントリ(1)とイーサネットインタフェース 1/0/1 の廃棄エントリ(1)の合計 2 エントリを使用
する
残エントリ数:510 エントリ使用可能
(例 2)
エントリ条件:イーサネットインタフェース 1/0/1 に 2 エントリ,イーサネットインタフェース 1/0/2 に 3 エン
トリ設定
エントリ数 :設定エントリ(5)とイーサネットインタフェース 1/0/1 の廃棄エントリ(1)およびイーサネットイン
タフェース 1/0/2 の廃棄エントリ(1)の合計 7 エントリを使用する
残エントリ数:505 エントリ使用可能
注※2
ポート番号の範囲ごとにエントリ数の上限値があります。「表 3‒37 モード layer3-1 のフィルタ最大エントリ数
37
3 収容条件
注※3
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
装置当たりに設定できるポート番号の範囲ごとのフィルタ最大エントリ数を次の表に示します。表に示す
モデルでは,インタフェース種別がイーサネットの場合,ポート番号の範囲ごとにエントリ数の上限値があ
りますので,その範囲内で設定してください。
表 3‒37 モード layer3-1 のフィルタ最大エントリ数(ポート番号範囲ごと)
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
ポート番号の範囲
ポート 1〜12
ポート 13〜24
ポート 25〜30
ポート 1〜10
ポート 11〜20
ポート 21〜30
ポート 1〜24
ポート 25〜48
受信側フィルタ最大エントリ数 ※
MAC 条件
512
IPv4 条件
512
512
512
512
512
512
512
512
512
512
512
512
512
512
512
512 ポート 49〜52 512
注※
「表 3‒36 モード layer3-1 のフィルタ最大エントリ数」の注※1 を参照してください。
(b) モード layer3-2 のフィルタ最大エントリ数
受信側フロー検出モード layer3-2 を選択した場合に設定できるフィルタ最大エントリ数を次の表に示しま
す。
表 3‒38 モード layer3-2 のフィルタ最大エントリ数
モデル
インタフェース
種別
受信側フィルタ最大エントリ数 ※1
インタフェース
当たり
装置当たり スタック当たり
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
イーサネット
VLAN
IPv4 条件
512
−
IPv4 条件
4096
−
※2
IPv4 条件
4096×n
−
※2※3
(凡例)−:該当なし n:メンバスイッチの台数
注※1
「表 3‒36 モード layer3-1 のフィルタ最大エントリ数」の注※1 を参照してください。
注※2
ポート番号の範囲ごとにエントリ数の上限値があります。「表 3‒39 モード layer3-2 のフィルタ最大エントリ数
38
3 収容条件
注※3
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
装置当たりに設定できるポート番号の範囲ごとのフィルタ最大エントリ数を次の表に示します。表に示す
モデルでは,インタフェース種別がイーサネットの場合,ポート番号の範囲ごとにエントリ数の上限値があ
りますので,その範囲内で設定してください。
表 3‒39 モード layer3-2 のフィルタ最大エントリ数(ポート番号範囲ごと)
モデル ポート番号の範囲
受信側フィルタ最大エントリ数 ※
IPv4 条件
512 AX3650S-24T6XW
AX3650S-20S6XW
ポート 1〜4
ポート 5〜8
ポート 9〜12
ポート 13〜16
ポート 17〜20
ポート 21〜24
ポート 25〜27
ポート 28〜30
AX3650S-48T4XW ポート 1〜8
ポート 9〜16
ポート 17〜24
ポート 25〜32
ポート 33〜40
ポート 41〜48
512
512
ポート 49,50
ポート 51,52
注※
「表 3‒36 モード layer3-1 のフィルタ最大エントリ数」の注※1 を参照してください。
512
512
512
512
512
512
512
512
512
512
512
512
512
(c) モード layer3-5 のフィルタ最大エントリ数
受信側フロー検出モード layer3-5 を選択した場合に設定できるフィルタ最大エントリ数を次の表に示しま
す。
39
3 収容条件
表 3‒40 モード layer3-5 のフィルタ最大エントリ数
受信側フィルタ最大エントリ数 ※1
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース
種別
イーサネット
インタフェース
当たり
IPv4
条件
512
IPv6
条件
256 2048
装置当たり
IPv4
条件
※2
IPv6
条件
1024 ※2
スタック当たり
IPv4
条件
2048×n
※2※3
IPv6
条件
1024×n
※2※3
VLAN − − − − − −
(凡例)−:該当なし n:メンバスイッチの台数
注※1
「表 3‒36 モード layer3-1 のフィルタ最大エントリ数」の注※1 を参照してください。
注※2
ポート番号の範囲ごとにエントリ数の上限値があります。「表 3‒41 モード layer3-5 のフィルタ最大エントリ数
注※3
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
装置当たりに設定できるポート番号の範囲ごとのフィルタ最大エントリ数を次の表に示します。表に示す
モデルでは,インタフェース種別がイーサネットの場合,ポート番号の範囲ごとにエントリ数の上限値があ
りますので,その範囲内で設定してください。
表 3‒41 モード layer3-5 のフィルタ最大エントリ数(ポート番号範囲ごと)
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
ポート番号の範囲
ポート 1〜8
ポート 9〜16
ポート 17〜24
ポート 25〜30
ポート 1〜10
ポート 11〜20
ポート 21〜24
ポート 25〜30
ポート 1〜16
ポート 17〜32
ポート 33〜48
ポート 49〜52
受信側フィルタ最大エントリ数 ※
IPv4 条件 IPv6 条件
512
512
512
512
512
512
512
512
512
512
512
512
256
256
256
256
256
256
256
256
256
256
256
256
40
3 収容条件
注※
「表 3‒36 モード layer3-1 のフィルタ最大エントリ数」の注※1 を参照してください。
(d) モード layer3-6 のフィルタ最大エントリ数
受信側フロー検出モード layer3-6 を選択した場合に設定できるフィルタ最大エントリ数を次の表に示しま
す。
表 3‒42 モード layer3-6 のフィルタ最大エントリ数
受信側フィルタ最大エントリ数 ※1
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース
種別
イーサネット
インタフェース
当たり
IPv4
条件
2048
IPv6
条件
1024 2048
装置当たり
IPv4
条件
※2
IPv6
条件
1024 ※2
スタック当たり
IPv4
条件
2048×n
※2※3
IPv6
条件
1024×n
※2※3
VLAN 2048 1024
(凡例)n:メンバスイッチの台数
注※1
「表 3‒36 モード layer3-1 のフィルタ最大エントリ数」の注※1 を参照してください。
注※2
ポート番号の範囲ごとにエントリ数の上限値はありません。
注※3
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
VLAN にフィルタを設定した場合,イーサネットに設定できるエントリ数は VLAN 設定数×2n エントリ減少しま
す。
(e) モード layer3-dhcp-1 のフィルタ最大エントリ数
受信側フロー検出モード layer3-dhcp-1 を選択した場合に設定できるフィルタ最大エントリ数を次の表に
示します。
表 3‒43 モード layer3-dhcp-1 のフィルタ最大エントリ数
モデル インタフェース種別
受信側フィルタ最大エントリ数 ※1
インタフェース当たり
IPv4 条件
装置当たり
IPv4 条件
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
イーサネット
VLAN
512
512
1024
512
※2
注※1
「表 3‒36 モード layer3-1 のフィルタ最大エントリ数」の注※1 を参照してください。
注※2
ポート番号の範囲ごとにエントリ数の上限値があります。「表 3‒44 モード layer3-dhcp-1 のフィルタ最大エント
41
3 収容条件
装置当たりに設定できるポート番号の範囲ごとのフィルタ最大エントリ数を次の表に示します。表に示す
モデルでは,インタフェース種別がイーサネットの場合,ポート番号の範囲ごとにエントリ数の上限値があ
りますので,その範囲内で設定してください。
表 3‒44 モード layer3-dhcp-1 のフィルタ最大エントリ数(ポート番号範囲ごと)
モデル ポート番号の範囲
受信側フィルタ最大エントリ数 ※
IPv4 条件
AX3650S-24T6XW
AX3650S-20S6XW
ポート 1〜24
ポート 25〜30
ポート 1〜20
ポート 21〜30
AX3650S-48T4XW ポート 1〜48
ポート 49〜52
注※
「表 3‒36 モード layer3-1 のフィルタ最大エントリ数」の注※1 を参照してください。
512
512
512
512
512
512
(2) 受信側 QoS エントリ数
(a) モード layer3-1 の QoS 最大エントリ数
受信側フロー検出モード layer3-1 を選択した場合に設定できる QoS 最大エントリ数を次の表に示しま
す。
表 3‒45 モード layer3-1 の QoS 最大エントリ数
受信側 QoS 最大エントリ数
モデル
インタフェース
種別
インタフェース
当たり
MAC
条件
256
IPv4
条件
256
装置当たり
MAC
条件
256 AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
イーサネット
VLAN 256 256 256
(凡例)n:メンバスイッチの台数
注※
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
IPv4
条件
256
256
スタック当たり
MAC
条件
256×n
256
※
IPv4
条件
256×n
256
※
(b) モード layer3-2 の QoS 最大エントリ数
受信側フロー検出モード layer3-2 を選択した場合に設定できる QoS 最大エントリ数を次の表に示しま
す。
42
3 収容条件
表 3‒46 モード layer3-2 の QoS 最大エントリ数
モデル
インタフェース
種別
インタフェース
当たり
受信側 QoS 最大エントリ数
装置当たり スタック当たり
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
イーサネット
VLAN
IPv4 条件
256
−
IPv4 条件
1024
−
※1
IPv4 条件
1024×n
−
※1※2
(凡例)−:該当なし n:メンバスイッチの台数
注※1
ポート番号の範囲ごとにエントリ数の上限値があります。「表 3‒47 モード layer3-2 の QoS 最大エントリ数(ポー
注※2
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
装置当たりに設定できるポート番号の範囲ごとの QoS 最大エントリ数を次の表に示します。表に示すモ
デルでは,インタフェース種別がイーサネットの場合,ポート番号の範囲ごとにエントリ数の上限値があり
ますので,その範囲内で設定してください。
表 3‒47 モード layer3-2 の QoS 最大エントリ数(ポート番号範囲ごと)
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
ポート番号の範囲
ポート 1〜8
ポート 9〜16
ポート 17〜24
ポート 25〜30
ポート 1〜10
ポート 11〜20
ポート 21〜24
ポート 25〜30
ポート 1〜16
ポート 17〜32
ポート 33〜48
ポート 49〜52
受信側 QoS 最大エントリ数
IPv4 条件
256
256
256
256
256
256
256
256
256
256
256
256
(c) モード layer3-5 の QoS 最大エントリ数
受信側フロー検出モード layer3-5 を選択した場合に設定できる QoS 最大エントリ数を次の表に示しま
す。
43
3 収容条件
表 3‒48 モード layer3-5 の QoS 最大エントリ数
受信側 QoS 最大エントリ数
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース
種別
イーサネット
インタフェース
当たり
IPv4
条件
256
IPv6
条件
256 512
装置当たり
IPv4
条件
※1
IPv6
条件
512 ※1
スタック当たり
IPv4
条件
512×n
※1※2
IPv6
条件
512×n
※1※2
VLAN − − − − − −
(凡例)−:該当なし n:メンバスイッチの台数
注※1
ポート番号の範囲ごとにエントリ数の上限値があります。「表 3‒49 モード layer3-5 の QoS 最大エントリ数(ポー
注※2
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
装置当たりに設定できるポート番号の範囲ごとの QoS 最大エントリ数を次の表に示します。表に示すモ
デルでは,インタフェース種別がイーサネットの場合,ポート番号の範囲ごとにエントリ数の上限値があり
ますので,その範囲内で設定してください。
表 3‒49 モード layer3-5 の QoS 最大エントリ数(ポート番号範囲ごと)
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
ポート番号の範囲
ポート 1〜24
ポート 25〜30
ポート 1〜20
ポート 21〜30
ポート 1〜48
ポート 49〜52
受信側 QoS 最大エントリ数
IPv4 条件 IPv6 条件
256
256
256
256
256
256
256
256
256
256
256
256
(d) モード layer3-6 の QoS 最大エントリ数
受信側フロー検出モード layer3-6 を選択した場合に設定できる QoS 最大エントリ数を次の表に示しま
す。
44
3 収容条件
表 3‒50 モード layer3-6 の QoS 最大エントリ数
受信側 QoS 最大エントリ数
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース
種別
イーサネット
インタフェース
当たり
IPv4
条件
512
IPv6
条件
512 512
装置当たり
IPv4
条件
※1
IPv6
条件
512 ※1
スタック当たり
IPv4
条件
512×n
※1※2
IPv6
条件
512×n
※1※2
VLAN 512 512
(凡例)n:メンバスイッチの台数
注※1
ポート番号の範囲ごとにエントリ数の上限値はありません。
注※2
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
VLAN に QoS を設定した場合,イーサネットに設定できるエントリ数は VLAN 設定数×2n エントリ減少します。
(e) モード layer3-dhcp-1 の QoS 最大エントリ数
受信側フロー検出モード layer3-dhcp-1 を選択した場合に設定できる QoS 最大エントリ数を次の表に示
します。
表 3‒51 モード layer3-dhcp-1 の QoS 最大エントリ数
モデル インタフェース種別
受信側 QoS 最大エントリ数
インタフェース当たり 装置当たり
IPv4 条件 IPv4 条件
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
イーサネット
VLAN
256
256
512 ※
256
注※
ポート番号の範囲ごとにエントリ数の上限値があります。「表 3‒52 モード layer3-dhcp-1 の QoS 最大エントリ数
装置当たりに設定できるポート番号の範囲ごとの QoS 最大エントリ数を次の表に示します。表に示すモ
デルでは,インタフェース種別がイーサネットの場合,ポート番号の範囲ごとにエントリ数の上限値があり
ますので,その範囲内で設定してください。
表 3‒52 モード layer3-dhcp-1 の QoS 最大エントリ数(ポート番号範囲ごと)
モデル
AX3650S-24T6XW
AX3650S-20S6XW
ポート番号の範囲
ポート 1〜24
ポート 25〜30
ポート 1〜20
受信側 QoS 最大エントリ数
IPv4 条件
256
256
256
45
3 収容条件
モデル
AX3650S-48T4XW
ポート番号の範囲
ポート 21〜30
ポート 1〜48
ポート 49〜52
受信側 QoS 最大エントリ数
IPv4 条件
256
256
256
(3) 送信側フィルタエントリ数
(a) モード layer3-1-out のフィルタ最大エントリ数
送信側フロー検出モード layer3-1-out を選択した場合に設定できるフィルタ最大エントリ数を次の表に示
します。
表 3‒53 モード layer3-1-out のフィルタ最大エントリ数
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース
種別
イーサネット
VLAN
送信側フィルタ最大エントリ数 ※1
インタフェース
当たり
装置当たり スタック当たり
IPv4 条件
256
−
IPv4 条件
1024
−
※2
IPv4 条件
1024×n
−
※2※3
(凡例)−:該当なし n:メンバスイッチの台数
注※1
フィルタエントリ追加時,該当インタフェースに対してフロー未検出時に動作するエントリ(廃棄動作)を自動的に
付与します。このため,フィルタ最大エントリ数のすべてを使用できません。フィルタエントリの数え方の例を次に
示します。
(例 1)
エントリ条件:イーサネットインタフェース 1/0/1 に 1 エントリ設定
エントリ数 :設定エントリ(1)とイーサネットインタフェース 1/0/1 の廃棄エントリ(1)の合計 2 エントリを使用
する
残エントリ数:254 エントリ使用可能
(例 2)
エントリ条件:イーサネットインタフェース 1/0/1 に 2 エントリ,イーサネットインタフェース 1/0/2 に 3 エン
トリ設定
エントリ数 :設定エントリ(5)とイーサネットインタフェース 1/0/1 の廃棄エントリ(1)およびイーサネットイン
タフェース 1/0/2 の廃棄エントリ(1)の合計 7 エントリを使用する
残エントリ数:249 エントリ使用可能
注※2
ポート番号の範囲ごとにエントリ数の上限値があります。「表 3‒54 モード layer3-1-out のフィルタ最大エントリ
注※3
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
46
3 収容条件
装置当たりに設定できるポート番号の範囲ごとのフィルタ最大エントリ数を次の表に示します。表に示す
モデルでは,インタフェース種別がイーサネットの場合,ポート番号の範囲ごとにエントリ数の上限値があ
りますので,その範囲内で設定してください。
表 3‒54 モード layer3-1-out のフィルタ最大エントリ数(ポート番号範囲ごと)
モデル ポート番号の範囲
送信側フィルタ最大エントリ数 ※
IPv4 条件
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
ポート 1〜8
ポート 9〜16
ポート 17〜24
ポート 25〜30
ポート 1〜10
ポート 11〜20
ポート 21〜24
ポート 25〜30
ポート 1〜16
ポート 17〜32
ポート 33〜48
ポート 49〜52
256
256
注※
「表 3‒53 モード layer3-1-out のフィルタ最大エントリ数」の注※1 を参照してください。
256
256
256
256
256
256
256
256
256
256
(b) モード layer3-2-out のフィルタ最大エントリ数
送信側フロー検出モード layer3-2-out を選択した場合に設定できるフィルタ最大エントリ数を次の表に示
します。
表 3‒55 モード layer3-2-out のフィルタ最大エントリ数(1/2)
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース種別
イーサネット
VLAN
送信側フィルタ最大エントリ数 ※1
インタフェース当たり
MAC
条件
IPv4
条件
IPv6
条件
MAC
条件
装置当たり
IPv4
条件
256
−
256
−
256
−
256
−
256
−
IPv6
条件
256
−
47
3 収容条件
表 3‒56 モード layer3-2-out のフィルタ最大エントリ数(2/2)
モデル インタフェース種別
送信側フィルタ最大エントリ数 ※1
MAC 条件
スタック当たり
IPv4 条件 IPv6 条件
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
イーサネット
VLAN
256×n
−
※2 256×n
−
※2
(凡例)−:該当なし n:メンバスイッチの台数
注※1
「表 3‒53 モード layer3-1-out のフィルタ最大エントリ数」の注※1 を参照してください。
注※2
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
256×n
−
※2
(c) モード layer3-3-out のフィルタ最大エントリ数
送信側フロー検出モード layer3-3-out を選択した場合に設定できるフィルタ最大エントリ数を次の表に示
します。
表 3‒57 モード layer3-3-out のフィルタ最大エントリ数(1/2)
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース種別
イーサネット
VLAN
送信側フィルタ最大エントリ数 ※
インタフェース当たり 装置当たり
MAC
条件
−
256
IPv4
条件
−
256
IPv6
条件
−
256
MAC
条件
−
256
IPv4
条件
−
256
IPv6
条件
−
256
表 3‒58 モード layer3-3-out のフィルタ最大エントリ数(2/2)
送信側フィルタ最大エントリ数 ※
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
インタフェース種別
イーサネット
VLAN
MAC 条件
−
256
スタック当たり
IPv4 条件
−
256
(凡例)−:該当なし
注※
「表 3‒53 モード layer3-1-out のフィルタ最大エントリ数」の注※1 を参照してください。
IPv6 条件
−
256
48
3 収容条件
(4) TCP/UDP ポート番号検出パターン数
フィルタ・QoS のフロー検出条件での TCP/UDP ポート番号検出パターンの収容条件を次の表に示しま
す。TCP/UDP ポート番号検出パターンは,フロー検出条件のポート番号指定で使用されるハードウェア
リソースです。
表 3‒59 TCP/UDP ポート番号検出パターン収容条件
モデル 装置当たりの最大数
AX3650S モデル共通 64×n ※
(フィルタ:32×n ※ ,QoS:32×n ※ )
(凡例)n:メンバスイッチの台数
注※
スタック構成時はメンバスイッチの台数に応じて収容条件が増加します。
次の表に示すフロー検出条件の指定で,TCP/UDP ポート番号検出パターンを使用します。なお,アクセ
スリスト(access-list)および QoS フローリスト(qos-flow-list)の作成だけでは TCP/UDP ポート番号
検出パターンを使用しません。作成したアクセスリストおよび QoS フローリストを次に示すコンフィグ
レーションでインタフェースに適用したときに TCP/UDP ポート番号検出パターンを使用します。
• ip access-group
• ipv6 traffic-filter
• ip qos-flow-group
• ipv6 qos-flow-group
表 3‒60 TCP/UDP ポート番号検出パターンを使用するフロー検出条件パラメータ
フロー検出条件のパラメータ 指定方法
受信側フロー検出モード
全モード共通
送信側フロー検出モード
全モード共通
送信元ポート番号
宛先ポート番号
単一指定(eq)
範囲指定(range)
単一指定(eq)
範囲指定(range)
(凡例)
○:TCP/UDP ポート番号検出パターンを使用する
−:TCP/UDP ポート番号検出パターンを使用しない
−
○
−
○
本装置では,TCP/UDP ポート番号検出パターンを共有して使用します。
−
指定不可
−
指定不可
1. フィルタと QoS での共有については,フィルタ内の複数のエントリだけ,または QoS 内の複数のエン
トリだけで共有します。
フィルタエントリと QoS エントリでは共有しません。
2. フロー検出条件の TCP と UDP で共有します。
3. フロー検出条件の送信元ポート番号と宛先ポート番号では共有しません。
4. フロー検出条件の IPv4 条件と IPv6 条件で共有します。
49
3 収容条件
TCP/UDP ポート番号検出パターンを使用する例を次の表に示します。
表 3‒61 TCP/UDP ポート番号検出パターンの使用例
パターンの使用例 ※
フィルタエントリで
• 送信元ポート番号の範囲指定(10〜30)
フィルタエントリで
• 送信元ポート番号の範囲指定(10〜40)
フィルタエントリで
• 送信元ポート番号の指定なし
• 宛先ポート番号の範囲指定(10〜20)
フィルタエントリで
• 送信元ポート番号の指定なし
• 宛先ポート番号の範囲指定(10〜20)
QoS エントリで
• 送信元ポート番号の指定なし
• 宛先ポート番号の範囲指定(10〜20)
QoS エントリで
• TCP を指定
• 送信元ポート番号の範囲指定(10〜20)
• 宛先ポート番号の指定なし
QoS エントリで
• UDP を指定
• 送信元ポート番号の範囲指定(10〜20)
• 宛先ポート番号の指定なし
QoS エントリで
• 送信元ポート番号の範囲指定(10〜20)
• 宛先ポート番号の範囲指定(10〜20)
使用するパターン数
二つのエントリでは指定している送信元
ポート番号の範囲が異なるため,
• 送信元ポート番号の範囲指定(10〜30)
• 送信元ポート番号の範囲指定(10〜40)
の 2 パターンを使用します。
上記 1.の共有する場合の例です。
三つのエントリがありますが,フィルタエン
トリでは宛先ポート番号の範囲指定(10〜
20)で同じ範囲を指定しているのでパターン
を共有します。
QoS エントリでの宛先ポート番号の範囲指
定(10〜20)はフィルタエントリとパターン
を共有しません。
• フィルタエントリでの宛先ポート番号の
範囲指定(10〜20)
• QoS エントリでの宛先ポート番号の範
囲指定(10〜20)
の 2 パターンを使用します。
上記 2.の共有する場合の例です。
二つのエントリがありますが,どちらも送信
元ポート番号の範囲指定(10〜20)で同じ値
を指定しているのでパターンを共有します。
• 送信元ポート番号の範囲指定(10〜20)
の 1 パターンを使用します。
運用コマンド show system での表示
(Resources(Used/
Max)の Used の値)
2
2
1
2
QoS エントリで
• IPv4 条件で送信元ポート番号の範囲指定
(10〜20)
QoS エントリで
上記 3.の共有しない場合の例です。
指定した範囲が同じでも送信元と宛先では
パターンを共有しません。
• 送信元ポート番号の範囲指定(10〜20)
• 宛先ポート番号の範囲指定(10〜20)
の 2 パターンを使用します。
上記 4.の共有する場合の例です。
二つのエントリがありますが,どちらも送信
元ポート番号の範囲指定(10〜20)で同じ範
囲を指定しているのでパターンを共有しま
す。
1
50
3 収容条件
パターンの使用例 ※ 使用するパターン数
運用コマンド show system での表示
(Resources(Used/
Max)の Used の値)
• IPv6 条件で送信元ポート番号の範囲指定
(10〜20)
• 送信元ポート番号の範囲指定(10〜20)
の 1 パターンを使用します。
注※ ()内は単一指定したときの値,または範囲指定したときの範囲です。
3.2.6 レイヤ 2 認証
(1) IEEE802.1X
IEEE802.1X の収容条件を次に示します。
本装置の IEEE802.1X では,三つの認証モードをサポートしています。
• ポート単位認証
• VLAN 単位認証(静的)
• VLAN 単位認証(動的)
VLAN 単位認証を使用する場合に,IEEE802.1X を設定できる装置当たりの総ポート数を次の表に示しま
す。
表 3‒62 IEEE802.1X を設定できる装置当たりの総ポート数
モデル
全モデル共通
IEEE802.1X を設定できる装置当たりの総ポート数 ※
1024
注※
IEEE802.1X を設定できる装置当たりの総ポート数とは,VLAN 単位認証を設定した VLAN での VLAN ポート数
の総和の最大値です。VLAN 内にチャネルグループが含まれている場合は,チャネルグループを構成する物理ポート
数に関係なく,チャネルグループを 1 ポートとして計算します。また,1 ポートに VLAN が Tag で多重化されてい
る場合も個別に数えます。例えば,一つのポートに Tag で多重化された 10 個の VLAN が設定されていた場合,そ
の 10 個の VLAN で VLAN 単位認証を動作させると,総ポート数は 10 ポートになります。
各認証モードでの単位当たりの最大認証端末数を次の表に示します。
表 3‒63 各認証モード単位当たりの最大認証端末数
モデル
全モデル共通
ポート単位認証
64/ポート
認証モード
VLAN 単位認証(静的)
256/VLAN
VLAN 単位認証(動的)
1024 ※ /装置
注※
IEEE802.1X(VLAN 単位認証(動的))および Web 認証(ダイナミック VLAN モード)を同時に動作した場合
は,それぞれの認証端末数の合計で装置当たり 1024 までとなります。
本装置の最大認証端末数を次の表に示します。
51
3 収容条件
表 3‒64 本装置の最大認証端末数
モデル
全モデル共通
3 モード合計での最大認証端末数
1024 ※ /装置
注※
IEEE802.1X(ポート単位認証および VLAN 単位認証(静的)),Web 認証(固定 VLAN モード)および MAC 認
証を同時に動作させた場合は,それぞれの認証端末数の合計で装置当たり 1024 までとなります。
(2) Web 認証
Web 認証の収容条件を次の表に示します。
表 3‒65 Web 認証の装置当たりの収容条件
最大認証数
項目
固定 VLAN モード
ダイナミック VLAN モード
レガシーモード
最大数
1024 ※1
1024 ※2
1024 ※3
内蔵 Web 認証 DB 登録ユーザ数
認証画面入れ替えで指定できるファイルの合計サイズ
認証画面入れ替えで指定できるファイル数
認証前端末用に設定できる IPv4 アクセスリスト数
認証前端末用 IPv4 アクセスリストに指定できるフィルタ条件数
300 ※4
1024KB
100
1
20
注※1
Web 認証(固定 VLAN モード),IEEE802.1X(ポート単位認証および VLAN 単位認証(静的))および MAC 認
証(固定 VLAN モード)を同時に動作させた場合は,それぞれの認証端末数の合計で装置当たり 1024 までとなり
ます。
注※2
Web 認証(ダイナミック VLAN モード),MAC 認証(ダイナミック VLAN モード)および IEEE802.1X(VLAN
単位認証(動的))を同時に動作した場合は,それぞれの認証端末数の合計で装置当たり 1024 までとなります。
注※3
Web 認証(レガシーモード)および IEEE802.1X(VLAN 単位認証(動的))を同時に動作した場合は,それぞれ
の認証端末数の合計で装置当たり 1024 までとなります。
注※4
内蔵 Web 認証 DB に登録したユーザ ID を複数の端末で使用すると,最大認証端末数まで端末を認証できます。た
だし,認証対象となるユーザ ID の数が内蔵 Web 認証 DB の最大登録数より多い場合は,RADIUS サーバを用いた
RADIUS 認証方式を使用してください。
(3) MAC 認証
MAC 認証の収容条件を次の表に示します。
52
3 収容条件
表 3‒66 MAC 認証の装置当たりの収容条件
最大認証数
項目
固定 VLAN モード
ダイナミック VLAN モード
最大数
1024 ※1
1024 ※2
1024 内蔵 MAC 認証 DB 登録ユーザ数
注※1
MAC 認証(固定 VLAN モード),IEEE802.1X(ポート単位認証および VLAN 単位認証(静的))および Web 認
証(固定 VLAN モード)を同時に動作させた場合は,それぞれの認証端末数の合計で 1024 までとなります。
注※2
MAC 認証(ダイナミック VLAN モード),Web 認証(ダイナミック VLAN モード)および IEEE802.1X(VLAN
単位認証(動的))を同時に動作した場合は,それぞれの認証端末数の合計で装置当たり 1024 までとなります。
(4) 認証 VLAN
認証 VLAN の収容条件を次の表に示します。
表 3‒67 認証 VLAN の収容条件
項目
装置当たりの最大認証端末数
装置当たり設定可能な VLANaccessAgent 数
装置当たり設定可能な認証済み VLAN 数
最大数
1024
10
4093
3.2.7 DHCP snooping
DHCP snooping の収容条件をモデルごとに次の表に示します。
(1) AX3800S
表 3‒68 DHCP snooping の最大エントリ数
受信側フロー検出
モード
バインディングデータベースエントリ数 ※1
ダイナミック/スタティックの合計 スタティック layer3-dhcp-1
上記以外
1022
1022
256
256
注※1 untrust ポート配下の端末当たり 1 エントリを消費します。
注※2
バインディングデータベースエントリ配下のポート当たり 1 エントリを消費します。
チャネルグループの場合,チャネルグループ当たりのポート数を数えます。
端末フィルタエント
リ数 ※2
1022
0
53
3 収容条件
表 3‒69 DHCP snooping の最大 VLAN 数
モデル
全モデル共通
最大 VLAN 数
1024
(2) AX3650S
表 3‒70 DHCP snooping の最大エントリ数(装置当たり)
受信側フロー検
出モード layer3-dhcp-1
上記以外
モデル
全モデル共通
全モデル共通
バインディングデータベースエントリ数
ダイナミック/スタティックの合計
3070
3070
※1
スタティック
256
256
注※1 untrust ポート配下の端末当たり 1 エントリを消費します。
注※2
バインディングデータベースエントリ配下のポート当たり 1 エントリを消費します。
チャネルグループの場合,チャネルグループ当たりのポート数を数えます。
表 3‒71 DHCP snooping の最大エントリ数(ポート番号範囲当たり)
受信側フロー検出モード layer3-dhcp-1
モデル
AX3650S-24T6XW
AX3650S-20S6XW
AX3650S-48T4XW
ポート番号の範囲
ポート 1〜30
ポート 1〜52
端末フィルタエ
ントリ数 ※2
3070
0
端末フィルタエントリ数
3070
3070
表 3‒72 DHCP snooping の最大 VLAN 数
モデル
全モデル共通
最大 VLAN 数
1024
3.2.8 冗長化構成による高信頼化
(1) GSRP
GSRP の収容条件を次の表に示します。
表 3‒73 GSRP 収容条件
モデル VLAN グループ最大数
VLAN グループ当たりの
VLAN 最大数
1024 全モデル共通 64
なお,レイヤ 3 冗長切替機能を使用する場合には,VLAN グループに所属している VLAN に設定するポー
ト数の合計の最大数が 5000 となります。チャネルグループの場合は,チャネルグループ単位で 1VLAN
ポートと数えます。
54
3 収容条件
(2) VRRP
VRRP に関する収容条件を次の表に示します。
表 3‒74 VRRP 収容条件
仮想ルータ最大数
モデル
インタフェース当
たり
装置当たり
全モデル共通 255 ※1 255 ※1
注※1 IPv4/IPv6 の仮想ルータの合計数です。
注※2 障害監視インタフェースと VRRP ポーリングの合計数です。
障害監視インタフェースと
VRRP ポーリング最大数
仮想ルータ当たり
16 ※2
装置当たり
255 ※2
(3) アップリンク・リダンダント
アップリンク・リダンダントに関する収容条件を次の表に示します。
表 3‒75 アップリンク・リダンダント収容条件
モデル アップリンクポート数
全モデル共通 25 ※
注※ チャネルグループの場合は,チャネルグループ単位で 1 ポートと数えます。
表 3‒76 MAC アドレスアップデート機能の収容条件
アップリンクポート当たりの
収容インタフェース数
2
全モデル共通
モデル 最大送信 MAC アドレスエントリ数
3000
3.2.9 ネットワークの障害検出による高信頼化機能
(1) IEEE802.3ah/UDLD
スタックポートを除く全物理ポートでの運用を可能にします。1 ポート 1 対地を原則とするため,同一ポー
トから複数装置の情報を受信する場合(禁止構成)でも,保持する情報は 1 装置分だけです。IEEE802.3ah/
UDLD の収容条件を次の表に示します。
表 3‒77 最大リンク監視情報数
モデル
全モデル共通
最大リンク監視情報数
スタックポートを除く装置の最大物理ポート数
(2) L2 ループ検知
L2 ループ検知の L2 ループ検知フレーム送信レートを次の表に示します。
55
3 収容条件
表 3‒78 L2 ループ検知フレーム送信レート
モデル
L2 ループ検知フレームの送信レート(装置当たり) ※1
スパニングツリー,GSRP,Ring Protocol の
どれかを使用している場合
スパニングツリー,GSRP,Ring Protocol の
どれも使用していない場合
全モデル共通 30pps(推奨値) ※2 200pps(最大値) ※3
• L2 ループ検知フレーム送信レート算出式
L2 ループ検知フレーム送信対象の VLAN ポート数÷L2 ループ検知フレームの送信レート(pps)≦送信間隔(秒)
なお,チャネルグループの場合,VLAN ポート数はチャネルグループ単位で 1 ポートと数えます。
注※1
送信レートは上記の条件式に従って,自動的に 200pps 以内で変動します。
注※2
スパニングツリー,GSRP,Ring Protocol のどれかを使用している場合は,30pps 以下に設定してください。30pps
より大きい場合,スパニングツリー,GSRP,Ring Protocol の正常動作を保障できません。
注※3
200pps を超えるフレームは送信しません。送信できなかったフレームに該当するポートや VLAN ではループ障害
を検知できなくなります。必ず 200pps 以下に設定してください。
(3) CFM
CFM の収容条件を次の表に示します。
表 3‒79 CFM の収容条件
モデル ドメイン数 MA 数 MEP 数 MIP 数
CFM ポー
ト総数 ※1※
2
リモート
MEP 総数 ※2
※3
全モデル共通 8/装置 32/装置 32/装置 32/装置 256/装置 2016/装置
注※1
CFM ポート総数とは,MA のプライマリ VLAN のうち,CFM のフレームを送信する VLAN ポートの
総数です。
Down MEP だけの MA の場合
Down MEP の VLAN ポートの総数
Up MEP を含む MA の場合
プライマリ VLAN の全 VLAN ポートの総数
なお,CFM ポート総数は運用コマンド show cfm summary で確認できます。
注※2
CFM ポート総数およびリモート MEP 総数は,CCM 送信間隔がデフォルト値のときの収容条件です。
CCM 送信間隔を変更すると,CFM ポート総数およびリモート MEP 総数の収容条件が変わります。
CCM 送信間隔による CFM ポート総数およびリモート MEP 総数の収容条件を次の表に示します。
表 3‒80 CCM 送信間隔による収容条件
モデル CCM 送信間隔 CFM ポート総数 リモート MEP 総数
全モデル共通 1 分以上 256/装置 2016/装置
56
3 収容条件
モデル CCM 送信間隔
10 秒
1 秒
CFM ポート総数
128/装置
50/装置
リモート MEP 総数
2016/装置
200/装置
注※3
リモート MEP 総数とは,自装置以外の MEP の総数です。MEP からの CCM 受信性能に影響します。
リモート MEP 総数は運用コマンド show cfm remote-mep で確認できます。
表 3‒81 CFM の物理ポートおよびチャネルグループの収容条件
モデル
全モデル共通 8/装置
MEP・MIP を設定可能な物理ポートおよびチャネルグループの総数 ※
注※
MEP・MIP は同一ポートに対して複数設定できます。チャネルグループの場合は,チャネルグループ単位で 1 ポー
トと数えます。
表 3‒82 CFM のデータベース収容条件
モデル
MEP CCM
データベース
エントリ数
MIP CCM
データベース
エントリ数
Linktrace
データベース
エントリ数 ※
全モデル共通 63/MEP 2048/装置 1024/装置
注※
1 ルート当たり 256 装置の情報を保持する場合は,最大で 4 ルート分を保持します(1024÷256 装置= 4 ルート)。
3.2.10 隣接装置情報の管理(LLDP/OADP)
隣接装置情報(LLDP/OADP)の収容条件を次の表に示します。
表 3‒83 隣接装置情報(LLDP/OADP)の収容条件
項目
LLDP 隣接装置情報
OADP 隣接装置情報
注※
チャネルグループの場合は,チャネルグループ単位で 1 と数えます。
最大収容数
52
100 ※
3.2.11 IPv4・IPv6 パケット中継
本装置では VLAN に対して IP アドレスを設定します。ここでは,IP アドレスを設定できる VLAN インタ
フェースの最大数,設定できる IP アドレスの最大数,通信できる相手装置の最大数などについて説明しま
す。また,DHCP リレー/DHCP サーバの収容条件についても説明します。
57
3 収容条件
(1) IP アドレスを設定できるインタフェース数
本装置でサポートする最大インタフェース数を次の表に示します。ここで示す値は,IPv4 と IPv6 との合
計の値です。なお,IPv4 と IPv6 を同一のインタフェースに設定することも,個別に設定することもでき
ます。
表 3‒84 最大インタフェース数
モデル
全モデル共通
インタフェース数(装置当たり)
1024
(2) マルチホームの最大サブネット数
LAN のマルチホーム接続では一つのインタフェースに対して,複数の IPv4 アドレス,または IPv6 アドレ
スを設定します。
(a) IPv4 の場合
IPv4 でのマルチホームの最大サブネット数を次の表に示します。
表 3‒85 マルチホームの最大サブネット数(IPv4 の場合)
全モデル共通
モデル
マルチホーム サブネット数
(インタフェース当たり)
256
(b) IPv6 の場合
IPv6 でのマルチホームの最大サブネット数を次の表に示します。なお,ここで示す値にはリンクローカル
アドレスを含みます。一つのインタフェースには必ず一つのリンクローカルアドレスが設定されます。こ
のため,すべてのインタフェースで IPv6 グローバルアドレスだけを設定した場合,実際に装置に設定され
る IPv6 アドレス数は,表の数値に自動生成される IPv6 リンクローカルアドレス数 1 を加算した 8 になり
ます。
表 3‒86 マルチホームの最大サブネット数(IPv6 の場合)
全モデル共通
モデル
マルチホーム サブネット数
(インタフェース当たり)
7
(3) IP アドレス最大設定数
(a) IPv4 アドレス
装置当たりのコンフィグレーションで設定できる IPv4 アドレスの最大数を次の表に示します。なお,この
表で示す値は,通信用インタフェースに設定できる IPv4 アドレス数です。
表 3‒87 コンフィグレーションで装置に設定できる IPv4 アドレス最大数
モデル IPv4 アドレス数(装置当たり)
全モデル共通 1024 ※
注※ IPv6 ユニキャスト優先モードの場合,最大数は 128 になります。
58
3 収容条件
(b) IPv6 アドレス
コンフィグレーションで設定できる装置当たりの IPv6 アドレスの最大数を次の表に示します。なお,ここ
で示す値は通信用のインタフェースに設定する IPv6 アドレスの数です。また,IPv6 リンクローカルアド
レスの数も含みます。一つのインタフェースには必ず一つの IPv6 リンクローカルアドレスが設定されま
す。このため,すべてのインタフェースに IPv6 グローバルアドレスを設定した場合,インタフェースには
自動で IPv6 リンクローカルアドレスが付与され,実際に装置に設定される IPv6 アドレスの数は「表 3‒
89 コンフィグレーションで装置に設定できる IPv6 アドレス数と,装置に設定される IPv6 アドレス数の
表 3‒88 コンフィグレーションで装置に設定できる IPv6 アドレス最大数
全モデル共通
モデル IPv6 アドレス数(装置当たり)
128
表 3‒89 コンフィグレーションで装置に設定できる IPv6 アドレス数と,装置に設定される IPv6 アドレス
数の関係
コンフィグレーションで設定する IPv6 アド
レスの数
IPv6 リンクローカル
アドレス
IPv6 グローバルア
ドレス
コンフィグレーショ
ンで設定する IPv6
アドレスの合計数
自動で設定する
IPv6 リンクローカ
ルアドレスの数
128(128×1)
0
0
128(128×1)
128
128
注 ( )内数字の意味:
(A×B) A:インタフェース数 B:各インタフェースに設定するアドレス数
0
128
装置に設定される
IPv6 アドレス数
128
256
(4) 最大相手装置数
本装置が接続する LAN を介して通信できる最大相手装置数を示します。この場合の相手装置はルータに
限らず,端末も含みます。
(a) ARP エントリ数
IPv4 の場合,LAN では ARP によって,送信しようとするパケットの宛先アドレスに対応するハードウェ
アアドレスを決定します。したがって,これらのメディアでは ARP エントリ数によって最大相手装置数が
決まります。本装置でサポートする ARP エントリの最大数については,「3.2.1 テーブルエントリ数」を
参照してください。
(b) NDP エントリ数
IPv6 の場合,LAN では NDP でのアドレス解決によって,送信しようとするパケットの宛先アドレスに対
応するハードウェアアドレスを決定します。したがって,NDP エントリ数によって最大相手装置数が決ま
ります。本装置でサポートする NDP エントリの最大数については,「3.2.1 テーブルエントリ数」を参照
してください。
(c) RA の最大相手端末数
RA ではルータから通知される IPv6 アドレス情報を基に端末でアドレスを生成します。本装置での最大相
手端末数を次の表に示します。
59
3 収容条件
表 3‒90 RA の最大相手端末数
モデル
RA の最大相手端末数
インタフェース当たり
128
装置当たり
128 全モデル共通
(5) ポリシーベースルーティング(IPv4)【OS-L3SA】
(a) ポリシーベースルーティングの収容条件
ポリシーベースルーティングでは,フィルタのフロー検出を使用して,ポリシーベースルーティングの対象
にするフローを検出します。なお,ポリシーベースルーティングは受信側フロー検出モードが layer3-6 の
場合に使用できます。
装置当たりのポリシーベースルーティンググループのエントリ数を次の表に示します。
表 3‒91 装置当たりのポリシーベースルーティンググループのエントリ数
項目 IPv4 ポリシーベースルーティンググループ
アクセスリストエントリ数
ポリシーベースルーティングリスト数
AX3800S の場合
照 ※1
AX3650S の場合
「表 3‒42 モード layer3-6 のフィルタ最大エン
※2
256 ※3
8 ポリシーベースルーティングリスト情報内に設定できる経
路数
ポリシーベースルーティングのトラッキング機能と連携で
きる経路数
1024 ※4
注※1
エントリ数の算出方法は,「3.2.4 フィルタ・QoS【AX3800S】」と同じです。
注※2
エントリ数の算出方法は,「3.2.5 フィルタ・QoS【AX3650S】」と同じです。
注※3
1 ポリシーベースルーティングリスト情報を 1 リストとして登録します。このため,複数のアクセスリストで同一の
ポリシーベースルーティングリスト情報を設定した場合,使用するリスト数は 1 リストと計算します。
注※4
1 トラック ID を 1 エントリとして登録します。このため,複数の経路で同一のトラック ID を設定した場合,使用
するエントリ数は 1 エントリと計算します。
(b) トラッキング機能の収容条件
ポリシーベースルーティングのトラッキング機能の収容条件を次の表に示します。
60
3 収容条件
表 3‒92 トラッキング機能の収容条件
項目
トラックの数
ポーリング監視トラックの数 ※
注※ コンフィグレーションコマンド type icmp を設定したトラックの数です。
収容条件
1024
1024
(6) DHCP/BOOTP リレー
DHCP/BOOTP リレーで設定できるインタフェース数およびリレー先アドレス数を次の表に示します。
表 3‒93 DHCP/BOOTP リレーの最大数
項目
DHCP/BOOTP リレーインタフェース数
DHCP/BOOTP リレー先アドレス数
(グローバルネットワーク,VRF 当たり)
VRF 使用時の装置当たりの DHCP/BOOTP リレー先アドレス数
最大数
1023
16
256
(7) IPv6 DHCP リレー
IPv6 DHCP リレーの収容条件を次の表に示します。
表 3‒94 IPv6 DHCP リレーの最大数
配布プレフィックス数 ※
インタフェース数
項目 装置当たりの最大数
1024
127
注※
クライアントを直接収容した場合に IPv6 DHCP サーバによって配布される PD プレフィックス数です。ほかのリ
レー経由のパケットや PD プレフィックス以外の情報は,この条件に関係なく中継できます。
(8) DHCP サーバ
DHCP サーバで設定できるインタフェース数および配布可能 IP アドレス数などを次の表に示します。
表 3‒95 DHCP サーバの最大数
項目
DHCP サーバインタフェース数
DHCP サーバ管理サブネット数
配布可能 IP アドレス数 ※1
配布可能固定 IP アドレス数
配布除外 IP アドレス範囲数 ※2
注※1 配布可能固定 IP アドレス数を含みます。
装置当たりの最大数
1024
1024
2000
160
4096
61
3 収容条件
注※2 サブネット当たり 1024 までです。
(9) IPv6 DHCP サーバ
IPv6 DHCP サーバで設定できるインタフェース数および配布可能 IPv6 プレフィックス数などを次の表
に示します。
表 3‒96 IPv6 DHCP サーバの最大数
項目
インタフェース数
最大配布可能 Prefix 数
装置当たりの最大数
128
1024
3.2.12 IPv4・IPv6 ルーティングプロトコル
(1) 最大隣接ルータ数
最大隣接ルータ数を次の表に示します。
表 3‒97 最大隣接ルータ数
ルーティングプロトコル
最大隣接ルータ数
ポリシーベースルーティングのト
ラッキング機能を使用しない
ポリシーベースルーティングのト
ラッキング機能を使用する
スタティックルーティング(IPv4,
IPv6 の合計)
RIP,OSPF,BGP4,RIPng,
OSPFv3,BGP4+の合計
128
50
※ 128
25
※
注※
動的監視機能を使用する隣接ルータは,ポーリング間隔によって数が制限されます。詳細は,次の表を参照してくだ
さい。
表 3‒98 スタティックの動的監視機能を使用できる最大隣接ルータ数
1 秒
2 秒
3 秒
ポーリング周期 動的監視機能を使用できる最大隣接ルータ数
60
120
128
最大隣接ルータ数の定義を次の表に示します。
表 3‒99 最大隣接ルータ数の定義
ルーティング
プロトコル
スタティック
ルーティング
ネクストホップ・アドレスの数
定義
62
3 収容条件
ルーティング
プロトコル
RIP
RIPng
OSPF
OSPFv3
BGP4
BGP4+
定義
RIP が動作するインタフェース数
RIPng が動作するインタフェース数
OSPF が動作する各インタフェースにおける下記の総計
1. 該当インタフェースが指定ルータまたはバックアップ指定ルータになる場合
該当インタフェースと接続されるほかの OSPF ルータの数
2. 該当インタフェースが指定ルータまたはバックアップ指定ルータにならない場合
該当インタフェースと接続される指定ルータおよびバックアップ指定ルータの数
上記は,運用コマンド show ip ospf neighbor で表示される隣接ルータの状態(State)
が”Full”となる隣接ルータの数と同じ意味となります。
OSPFv3 が動作する各インタフェースにおける下記の総計
1. 該当インタフェースが指定ルータまたはバックアップ指定ルータになる場合
該当インタフェースと接続されるほかの OSPFv3 ルータの数
2. 該当インタフェースが指定ルータまたはバックアップ指定ルータにならない場合
該当インタフェースと接続される指定ルータおよびバックアップ指定ルータの数
上記は,運用コマンド show ipv6 ospf neighbor で表示される隣接ルータの状態(State)
が”Full”となる隣接ルータの数と同じ意味となります。
BGP4 ピア数
BGP4+ピア数
(2) 経路エントリ数と最大隣接ルータ数の関係
最大経路エントリ数と最大隣接ルータ数の関係について,IPv4 モードの場合,IPv4/IPv6 モードの場合,
および IPv6 ユニキャスト優先モードの場合を次の表に示します。
表 3‒100 経路エントリ数と最大隣接ルータ数の関係(RIP,OSPF,BGP4)(IPv4 モード)
ルーティング
プロトコル
最大経路エントリ
数 ※1
最大隣接ルータ数 ※2
ポリシーベースルーティングの
トラッキング機能を使用しない
ポリシーベースルーティングのト
ラッキング機能を使用する
RIP
OSPF
BGP4
※3※4
1000
2000
10000
13312
【AX3800S】
16384
【AX3650S】
50
50
10
50
25
25
5
25
注※1 最大経路エントリ数は代替経路を含みます。
注※2 各ルーティングプロトコル(RIP,OSPF,BGP4)を併用して使用する場合の最大隣接ルータ数は,各々 1/n
(n:使用ルーティングプロトコル数)となります。
注※3 OSPF の最大経路エントリ数は LSA 数を意味します。
63
3 収容条件
注※4 VRF で OSPF を使用している場合,装置全体の最大隣接ルータ数は 50 ですが,各 VRF で保持している LSA
数×各 VRF の隣接ルータ数の総計が 10 万を超えないようにしてください。
表 3‒101 経路エントリ数と最大隣接ルータ数の関係(RIP/RIPng,OSPF/OSPFv3,BGP4/BGP4+)
(IPv4/IPv6 モード)
RIP
ルーティング
プロトコル
RIPng
OSPF ※3※4
最大経路エントリ
数 ※1
1000
1000
2000
8000
最大隣接ルータ数 ※2
ポリシーベースルーティングの
トラッキング機能を使用しない
ポリシーベースルーティングのト
ラッキング機能を使用する
50
50
50
12
25
25
25
6
OSPFv3 ※3※5 1000
2000
50
25
25
13
BGP4
BGP4+
4000【AX3650S】
8192
2048【AX3800S】
4096【AX3650S】
12【AX3650S】
50
50
6【AX3650S】
25
25
注※1 最大経路エントリ数は代替経路を含みます。
注※2 各ルーティングプロトコル(RIP,RIPng,OSPF,OSPFv3,BGP4,BGP4+)を併用して使用する場合の最
大隣接ルータ数は,各々 1/n(n:使用ルーティングプロトコル数)となります。
注※3 OSPF/OSPFv3 の最大経路エントリ数は LSA 数を意味します。
注※4 VRF で OSPF を使用している場合,装置全体の最大隣接ルータ数は 50 ですが,各 VRF で保持している LSA
数×各 VRF の隣接ルータ数の総計が 10 万を超えないようにしてください。
注※5 VRF で OSPFv3 を使用している場合,装置全体の最大隣接ルータ数は 50 ですが,各 VRF で保持している LSA
数×各 VRF の隣接ルータ数の総計が 5 万を超えないようにしてください。
表 3‒102 経路エントリ数と最大隣接ルータ数の関係(RIP/RIPng,OSPF/OSPFv3,BGP4/BGP4+)(IPv6
ユニキャスト優先モード)
ルーティング
プロトコル
RIP
RIPng
OSPF ※3
OSPFv3 ※3※4
最大経路エントリ
数 ※1
1000
1000
1000
最大隣接ルータ数 ※2
ポリシーベースルーティングのト
ラッキング機能を使用しない
ポリシーベースルーティングのト
ラッキング機能を使用する
50
50
50
25
25
25
BGP4
1000
5000
7000
1024
50
10
7
50
25
5
4
25
64
3 収容条件
ルーティング
プロトコル
BGP4+
最大経路エントリ
数 ※1
7560【AX3800S】
7680【AX3650S】
50
最大隣接ルータ数 ※2
ポリシーベースルーティングのト
ラッキング機能を使用しない
ポリシーベースルーティングのト
ラッキング機能を使用する
25
注※1 最大経路エントリ数は代替経路を含みます。
注※2 各ルーティングプロトコル(RIP,RIPng,OSPF,OSPFv3,BGP4,BGP4+)を併用して使用する場合の最
大隣接ルータ数は,各々 1/n(n:使用ルーティングプロトコル数)となります。
注※3 OSPF/OSPFv3 の最大経路エントリ数は LSA 数を意味します。
注※4 VRF で OSPFv3 を使用している場合,装置全体の最大隣接ルータ数は 50 ですが,各 VRF で保持している LSA
数×各 VRF の隣接ルータ数の総計が 5 万を超えないようにしてください。
(3) 本装置で設定できるコンフィグレーションの最大数
ルーティングプロトコルについて,設定できるコンフィグレーションの最大数を次の表に示します。
なお,この表で示す値はコンフィグレーションで設定できる最大数です。運用する際は本章にある収容条件
をすべて満たすようにしてください。
表 3‒103 コンフィグレーションの最大設定数
分類 コンフィグレーションコマンド
IPv4 スタティッ
ク
IPv6 スタティッ
ク
IPv4 集約経路
IPv6 集約経路
RIP
OSPF
BGP4
OSPFv3
BGP4+ ip route ipv6 route ip summary-address ipv6 summary-address network ip rip authentication key area range area virtual-link ip ospf authentication-key ip ospf message-digest-key network router ospf network area range ipv6 router ospf network
設定行数
設定行数
設定行数
設定行数
設定行数
設定行数
設定行数
設定行数
最大数の定義
設定行数
設定行数
設定行数
設定行数
設定行数 authentication-key,message-digest-key
パラメータを設定した行数の総計
各設定行数の総計
最大設定数
12288
2048
256
64
1024
1024
64
1024
1024
1024
128
512
1024
512
512
65
3 収容条件
分類
経路フィルタ
コンフィグレーションコマンド distribute-list in(RIP) distribute-list out(RIP) redistribute(RIP) distribute-list in(OSPF) distribute-list out(OSPF) redistribute(OSPF) distribute-list in(BGP4) distribute-list out(BGP4) redistribute(BGP4) distribute-list in(RIPng) distribute-list out(RIPng) redistribute(RIPng) distribute-list in(OSPFv3) distribute-list out(OSPFv3) redistribute(OSPFv3) distribute-list in(BGP4+) distribute-list out(BGP4+) redistribute(BGP4+) ip as-path access-list
最大数の定義
各設定行数の総計
各設定行数の総計
各設定行数の総計
各設定行数の総計
各設定行数の総計
各設定行数の総計 ip community-list ip prefix-list ipv6 prefix-list neighbor in(BGP4) neighbor out(BGP4) neighbor in(BGP4+) neighbor out(BGP4+) route-map match as-path match community
設定<Id>の種類数
設定行数
設定<Id>の種類数 standard 指定の設定行数 expanded 指定の設定行数
設定<Id>の種類数
設定行数
設定<Id>の種類数
設定行数
<IPv4-Address>の設定行数の総計
<Peer-Group>の設定行数の総計
<IPv6-Address>の設定行数の総計
<Peer-Group>の設定行数の総計
設定<Id>の種類数
設定<Id>と<Seq>の組み合わせ種類数
各設定行で指定したパラメータの総計
各設定行で指定したパラメータの総計
最大設定数
500
500
500
500
500
500
500
500
500
256
4096
2048
2048
4096
1024
4096
500
200
1024
100
100
100
1024
66
3 収容条件
分類 コンフィグレーションコマンド match interface match ip address match ipv6 address match ip route-source match ipv6 route-source match origin match protocol match route-type match tag match vrf set as-path prepend count set distance set local-preference set metric set metric-type set origin set tag set community set community-delete
最大数の定義
各設定行で指定したパラメータの総計
各設定行で指定したパラメータの総計
各設定行で指定したパラメータの総計
設定行数
各設定行で指定したパラメータの総計
設定行数
各設定行で指定したパラメータの総計
各設定行で指定したパラメータの総計
どれか一つが設定された route-map の,
<Id>と<Seq>の組み合わせ種類数
各設定行で指定したパラメータの総計
各設定行で指定したパラメータの総計
最大設定数
2048
2048
2048
2048
2048
2048
2048
1024
2048
2048
2048
3.2.13 IPv4・IPv6 マルチキャストルーティングプロトコル
(1) IPv4 マルチキャスト
IPv4 マルチキャストを設定できるインタフェース数およびルーティングテーブルのエントリ数を次の表に
示します。本装置は IPv4 マルチキャストルーティングプロトコルとして PIM-SM または PIM-SSM をサ
ポートします。PIM-SM と PIM-SSM は同時に動作できます。
複数の VRF で IPv4 マルチキャストを使用する場合,グローバルネットワークとすべての VRF の合計を本
収容条件内に収めてください。
表 3‒104 IPv4 マルチキャストの最大数
項 目 最大数
63/装置 PIM-SM/SSM マルチキャストインタフェース数 ※1
IGMP 動作インタフェース数
マルチキャスト送信元の数
PIM-SM/SSM マルチキャスト経路情報のエントリ((S,G)エントリ,(*,G)エントリ,およびネ
ガティブキャッシュ)数 ※2
S:送信元 IP アドレス
127/装置
128/グループ
1024/装置
67
3 収容条件
項 目
G:グループアドレス
IGMPv2/IGMPv3(EXCLUDE モード)で PIM-SSM を連携動作させる設定数(ソース,グ
ループのペア数) ※3
IGMPv3 で 1Report につき処理できる record 情報 ※4
IGMP 加入グループ数 ※5
マルチキャストルータ隣接数
ランデブーポイント数
1 装置当たりランデブーポイントで設定できるグループ数
1 ネットワーク(VPN)当たりランデブーポイントに設定できる延べグループ数
1 ネットワーク(VPN)当たりの BSR 候補数
最大数
256/装置
32record/メッ
セージ
32 ソース/record
256/装置
64/装置
2/グループ
128/装置
128/ネットワーク
(VPN)
128/装置 ※6
16/ネットワーク
(VPN)
32/装置 ※6
256/装置 静的加入グループ数 ※7
静的ランデブーポイント(RP)ルータアドレス数
インタフェース当たりの IGMP 加入グループ数 ※5
IGMP グループ当たりのソース数
マルチキャストを設定できる VRF 数
エクストラネットのマルチキャストフィルタ数
エクストラネットで使用する route-map 数
※8
PIM-SM VRF Gateway 動作マルチキャストアドレス数 ※9
16/装置
256/インタフェー
ス
128/グループ
31/装置
64/装置
32/装置
32/VRF
32/装置
32/VRF
注※1
PIM-SM/PIM-SSM として他ルータと隣接するインタフェース数。
注※2
上限はテーブルエントリ数の配分パターンによって異なります。詳細は「3.2.1 テーブルエントリ数」
を参照してください。ただし,次の条件を同時に満たす環境で PIM-SM を使用する場合,最大エントリ
数が 128 以上のモードを選択していても,最大エントリ数は 128 になります。
• マルチキャストブロードバンド通信
• 本装置が first hop router またはランデブーポイント
68
3 収容条件
また,本装置に設定された IP インタフェース数(マルチキャストインタフェース数ではない)によっ
てもエントリ数が変わります。エントリ単位の入出力ポート数を全エントリ分合算したポート数が「表
3‒105 IP インタフェース設定数に対するマルチキャスト入出力ポート数」に示す範囲内になるように
使用してください。
なお,IPv4 と IPv6 を同時動作させた場合は IPv4 と IPv6 のエントリの合計となります。
1 エントリ内の入出力ポート数は,入出力インタフェースで同一のポートを使用している場合は 1 で数
えます。例えば,入力インタフェースでポート 1/0/1 および 1/0/2,出力インタフェース 1 でポート
1/0/2,1/0/3 および 1/0/4,出力インタフェース 2 でポート 1/0/3,1/0/4 および 1/0/5 を使用し
ている場合,該当するエントリの入出力ポート数は 5 となります。
注※3
マルチキャストで使用するインタフェース数および加入グループ数によって設定できる数が変わりま
す。「表 3‒106 使用インタフェース数に対する IGMPv2/IGMPv3(EXCLUDE モード)で PIM-SSM
を連動させる設定可能数」および「表 3‒107 加入グループ数に対する IGMPv2/IGMPv3(EXCLUDE
モード)で PIM-SSM を連動させる設定可能数」に示す範囲内で使用してください。加入グループ数
は,動的および静的加入グループ数の総計です。同一グループアドレスが異なるインタフェースに加入
している場合,加入グループ数は一つではなく,加入したインタフェースの数になります。
注※4
一つの Report メッセージで処理できるソース数は延べ 256 ソースまでです。ソース情報のない record も 1 ソースとして数えます。
IGMPv3(EXCLUDE モード)で PIM-SSM を連携動作させる設定をした場合,その設定に一致した
EXCLUDE record で定義されているソース数を数えます。また,受信した Report メッセージ内に
EXCLUDE record が複数存在し,IGMPv3(EXCLUDE モード)で PIM-SSM を連携動作させる設定
で追加したソース数が延べ 256 を超えた場合,以降のそのメッセージ内の EXCLUDE record で,連携
動作の対象となる EXCLUDE record についてマルチキャスト中継情報は作成しません。
注※5
本装置に直接接続しているグループの数を示します。IGMPv3 使用時に送信元を指定する場合のグ
ループ数は,送信元とグループの組み合わせの数となります。「図 3‒1 マルチキャストグループ数の
例」の例では 3 です。インタフェース当たりの加入可能グループ数については,「表 3‒108 IPv4 での
インタフェース当たりの加入可能グループ数」を参照してください。
図 3‒1 マルチキャストグループ数の例
注※6
本装置のグローバルネットワークとすべての VRF に接続するネットワーク(VPN)上の総数です。
69
3 収容条件
注※7
静的加入グループ数とは,各マルチキャストインタフェースで静的加入するグループアドレスの総数で
す。同一グループアドレスを複数の異なるインタフェースに静的加入設定した場合,静的加入グループ
数は一つではなく,静的加入設定したインタフェースの数になります。一つのインタフェースに設定で
きる静的加入グループ数は 256 までです。
注※8
すべての route-map で指定した access-list 内のアドレスの延べ数です。
注※9
エクストラネットで指定した route-map を使用します。route-map に指定した access-list 内で,ホス
トアドレス(32 ビットマスク)として指定したマルチキャストアドレスが対象となります。
装置当たりの上限は,すべての VRF で指定した PIM-SM VRF ゲートウェイのグループアドレスの延
べ数です。
また,静的加入グループ数で指定したグループアドレス数との合計になります。
表 3‒105 IP インタフェース設定数に対するマルチキャスト入出力ポート数
装置に設定された IP インタフェース数
エントリ単位の入出力ポート数を全エントリ分合算
したポート数
64 以下
65〜128
129〜192
193〜256
257〜320
321〜384
385〜448
449〜512
513〜576
577〜640
641〜704
705〜768
769〜832
833〜896
897〜960
961〜1024
744
682
630
585
546
511
1170
1023
910
819
8191
4095
2730
2047
1638
1365
表 3‒106 使用インタフェース数に対する IGMPv2/IGMPv3(EXCLUDE モード)で PIM-SSM を連動さ
せる設定可能数
使用インタフェース数 IGMPv2/IGMPv3(EXCLUDE モード)で PIM-SSM を連動させる設定可能数
31 256
70
3 収容条件
使用インタフェース数
63
127
IGMPv2/IGMPv3(EXCLUDE モード)で PIM-SSM を連動させる設定可能数
128
64
表 3‒107 加入グループ数に対する IGMPv2/IGMPv3(EXCLUDE モード)で PIM-SSM を連動させる設
定可能数
加入グループ(延べ数) IGMPv2/IGMPv3(EXCLUDE モード)で PIM-SSM を連動させる設定数
64
128
256
512
1024
2048
4096
8128
256
128
64
32
16
8
4
2
表 3‒108 IPv4 でのインタフェース当たりの加入可能グループ数
使用インタフェース数
31
63
127
インタフェース当たりの加入可能グループ数
256
128
64
(2) IPv6 マルチキャスト
IPv6 マルチキャストを設定できるインタフェース数およびルーティングテーブルのエントリ数を次の表に
示します。本装置は IPv6 マルチキャストルーティングプロトコルとして PIM-SM および PIM-SSM をサ
ポートしています。PIM-SM と PIM-SSM は同時に動作できます。
複数の VRF で IPv6 マルチキャストを使用する場合,グローバルネットワークとすべての VRF の合計を本
収容条件内に収めてください。
表 3‒109 IPv6 マルチキャストエントリ最大数
項 目
PIM-SM/SSM マルチキャストインタフェース数 ※1
MLD 動作インタフェース数
マルチキャスト送信元の数
AX3830S
最大数
AX3650S
63/装置 63/装置
127/装置
128/グルー
プ
127/装置
128/グルー
プ
71
3 収容条件
項 目
AX3830S
最大数
AX3650S
PIM-SM/SSM マルチキャスト経路情報のエントリ((S,G)エントリ,(*,G)エントリ,
およびネガティブキャッシュ)数 ※2
S:送信元 IP アドレス
G:グループアドレス
128/装置
MLDv1/MLDv2(EXCLUDE モード)で PIM-SSM を連携動作させる設定数
MLDv2 で 1Report に対し処理できる record 情報 ※4
※3 256/装置
MLD 加入グループ数
ランデブーポイント数
※5
マルチキャストルータ隣接数
1 装置当たりランデブーポイントで設定できるグループ数
32record/
メッセージ
32 ソース/ record
256/装置
64/装置
1/グループ 1/グループ
128/装置
768/装置
256/装置
32record/
メッセージ
32 ソース/ record
256/装置
64/装置
128/装置
1 ネットワーク(VPN)当たりランデブーポイントに設定できる延べグループ数 128/ネット
ワーク
(VPN)
128/装置 ※
6
128/ネット
ワーク
(VPN)
128/装置 ※
6
1 ネットワーク(VPN)当たりの BSR 候補数
静的加入グループ数 ※7
静的ランデブーポイント(RP)ルータアドレス数
インタフェース当たりの MLD 加入グループ数
MLD グループ当たりのソース数
マルチキャストを設定できる VRF 数
エクストラネットのマルチキャストフィルタ数 ※8
エクストラネットで使用する route-map 数
※5
遠隔のマルチキャストサーバアドレスを直接接続サーバとして扱う設定数
PIM-SM VRF Gateway 動作マルチキャストアドレス数 ※9
16/ネット
ワーク
(VPN)
32/装置 ※6
256/装置
16/装置
256/インタ
フェース
256/グルー
プ
256/装置
128/インタ
フェース
31/装置
64/装置
32/装置
32/VRF
32/装置
32/VRF
16/ネット
ワーク
(VPN)
32/装置 ※6
256/装置
32/装置
32/VRF
32/装置
32/VRF
16/装置
256/インタ
フェース
256/グルー
プ
256/装置
128/インタ
フェース
31/装置
64/装置
72
3 収容条件
注※1
PIM-SM/PIM-SSM として他ルータと隣接するインタフェース数。
注※2
上限はテーブルエントリ数の配分パターンによって異なります。詳細は「3.2.1 テーブルエントリ数」
を参照してください。ただし,次の条件を同時に満たす環境で PIM-SM を使用する場合,最大エントリ
数が 128 以上のモードを選択していても,最大エントリ数は 128 になります。
• マルチキャストブロードバンド通信
• 本装置が first hop router またはランデブーポイント
また,本装置に設定された IP インタフェース数(マルチキャストインタフェース数ではない)によっ
てもエントリ数が変わります。エントリ単位の入出力ポート数を全エントリ分合算したポート数が「表
3‒105 IP インタフェース設定数に対するマルチキャスト入出力ポート数」に示す範囲内になるように
使用してください。
なお,IPv4 と IPv6 を同時動作させた場合は IPv4 と IPv6 のエントリの合計となります。
1 エントリ内の入出力ポート数は,入出力インタフェースで同一のポートを使用している場合は 1 で数
えます。例えば,入力インタフェースでポート 1/0/1 および 1/0/2,出力インタフェース 1 でポート
1/0/2,1/0/3 および 1/0/4,出力インタフェース 2 でポート 1/0/3,1/0/4 および 1/0/5 を使用し
ている場合,該当するエントリの入出力ポート数は 5 となります。
注※3
マルチキャストで使用するインタフェース数および加入グループ数によって設定できる数が変わりま
す。「表 3‒110 使用インタフェース数に対する MLDv1/MLDv2(EXCLUDE モード)で PIM-SSM
を連動させる設定可能数」および「表 3‒111 加入グループ数に対する MLDv1/MLDv2(EXCLUDE
モード)で PIM-SSM を連動させる設定可能数」に示す範囲内で使用してください。加入グループ数
は,動的および静的加入グループ数の総計です。同一グループアドレスが異なるインタフェースに加入
している場合,加入グループ数は一つではなく,加入したインタフェースの数になります。
注※4
一つの Report メッセージで処理できるソース数は延べ 1024 ソースまでです。ソース情報のない record も 1 ソースとして数えます。
MLDv2(EXCLUDE モード)で PIM-SSM を連携動作させる設定をした場合,その設定に一致した
EXCLUDE record で定義されているソース数を数えます。また,受信した Report メッセージ内に
EXCLUDE record が複数存在し,MLDv2(EXCLUDE モード)で PIM-SSM を連携動作させる設定
で追加したソース数が延べ 1024 を超えた場合,以降のそのメッセージ内の EXCLUDE record で,連
携動作の対象となる EXCLUDE record についてマルチキャスト中継情報は作成しません。
注※5
本装置に直接接続しているグループの数を示します。MLDv2 使用時に送信元を指定する場合のグルー
プ数は,送信元とグループの組み合わせの数となります。「図 3‒2 マルチキャストグループ数の例」
73
3 収容条件
図 3‒2 マルチキャストグループ数の例
74
注※6
本装置のグローバルネットワークとすべての VRF に接続するネットワーク(VPN)上の総数です。
注※7
静的加入グループ数とは,各マルチキャストインタフェースで静的加入するグループアドレスの総数で
す。同一グループアドレスを複数の異なるインタフェースに静的加入設定した場合,静的加入グループ
数は一つではなく,静的加入設定したインタフェースの数になります。一つのインタフェースに設定で
きる静的加入グループ数は 256 までです。
注※8
すべての route-map で指定した access-list 内のアドレスの延べ数です。
注※9
エクストラネットで指定した route-map を使用します。route-map に指定した access-list 内で,ホス
トアドレス(128 ビットマスク)として指定したマルチキャストアドレスが対象となります。
装置当たりの上限は,すべての VRF で指定した PIM-SM VRF ゲートウェイのグループアドレスの延
べ数です。
また,静的加入グループ数で指定したグループアドレス数との合計になります。
表 3‒110 使用インタフェース数に対する MLDv1/MLDv2(EXCLUDE モード)で PIM-SSM を連動させ
る設定可能数
使用インタフェース数 MLDv1/MLDv2(EXCLUDE モード)で PIM-SSM を連動させる設定可能数
31
63
127
256
128
64
表 3‒111 加入グループ数に対する MLDv1/MLDv2(EXCLUDE モード)で PIM-SSM を連動させる設定
可能数
加入グループ(延べ数) MLDv1/MLDv2(EXCLUDE モード)で PIM-SSM を連動させる設定数
64
128
256
256
128
64
3 収容条件
加入グループ(延べ数)
512
1024
2048
4096
8128
MLDv1/MLDv2(EXCLUDE モード)で PIM-SSM を連動させる設定数
32
16
8
4
2
表 3‒112 IPv6 でのインタフェース当たりの加入可能グループ数
使用インタフェース数 インタフェース当たりの加入可能グループ数
31
63
127
256
128
64
3.2.14 BFD【OS-L3SA】
BFD セッションの収容条件を次の表に示します。
表 3‒113 BFD セッションの収容条件
項目
BFD セッション数
装置当たりの数
50
3.2.15 VRF【OS-L3SA】
設定できる VRF 数を次の表に示します。VRF 設定可能数にグローバルネットワークは含みません。
表 3‒114 設定できる VRF 数
VRF 設定可能数
項目 装置当たりの数
31
75
第 2 編 運用管理
4
装置へのログイン
この章では,装置の起動と停止,およびログイン・ログアウト,運用管理の概
要,運用端末とその接続形態について説明します。
77
4 装置へのログイン
4.1 運用端末による管理
4.1.1 運用端末
本装置の運用にはコンソールまたはリモート運用端末が必要です。コンソールは RS232C に接続する端
末,リモート運用端末は IP ネットワーク経由で接続する端末です。また,本装置は IP ネットワーク経由で
SNMP マネージャによるネットワーク管理にも対応しています。運用端末の接続形態を「図 4‒1 運用端
末の接続形態」に,運用端末の条件を「表 4‒1 運用端末の条件」に示します。
図 4‒1 運用端末の接続形態
表 4‒1 運用端末の条件
端末種別
コンソール
接続形態
シリアル接続(RS232C)
リモート運用端末 通信用ポート接続
必要機能
RS232C(回線速度:19200,9600,4800,2400,1200bit/ s)
ZMODEM 手順
TCP/IP telnet ftp
(1) コンソール
コンソールは RS232C に接続する端末で,一般的な通信端末,通信ソフトウェアが使用できます。コンソー
ルが本装置と通信できるように,次の標準 VT-100 設定値(本装置のデフォルト設定値)が通信ソフトウェ
アに設定されていることを確認してください。
• 通信速度:9600bit/s
• データ長:8 ビット
• パリティビット:なし
• ストップビット:1 ビット
• フロー制御:なし
78
4 装置へのログイン
なお,通信速度を 9600bit/s 以外(1200/2400/4800/19200bit/s)で設定して使用したい場合は,コ
ンフィグレーションコマンド speed で本装置側の通信速度設定を変更してください。ただし,実際に設定
が反映されるのはコンソールからいったんログアウトしたあとになります。
図 4‒2 コンソールの通信速度の設定例
(config)# line console 0
(config-line)# speed 19200
スタック構成で運用している装置にコンソールからログインする場合,シリアル接続しているメンバスイッ
チにログインします。マスタスイッチとシリアル接続しているときはマスタスイッチに,バックアップス
イッチとシリアル接続しているときはバックアップスイッチにログインします。
!
注意事項
コンソールを使用する場合は次の点に注意してください。
• 本装置ではコンソール端末からログインする際に,自動的に VT-100 の制御文字を使用して画面サイズを取
得・設定します。VT-100 に対応していないコンソール端末では,不正な文字列が表示されたり,最初の CLI
プロンプトがずれて表示されたりして,画面サイズが取得・設定できません。
また,ログインと同時にキー入力した場合,VT-100 の制御文字の表示結果が正常に取得できないため同様
の現象となりますのでご注意ください。この場合は,再度ログインし直してください。
• 通信速度の設定が反映されるのは,ログアウトしたあとになります。コンソールからいったんログアウトし
たあとで,使用している通信端末や通信ソフトウェアの通信速度の設定を変更してください。変更するまで
は文字列が不正な表示になります(「login」プロンプトなど)。
• 通信速度を 9600bit/s 以外に設定して運用している場合,装置を起動(再起動)するとコンフィグレーショ
ンが装置に反映されるまでの間,不正な文字列が表示されます。
(2) リモート運用端末
本装置に IP ネットワーク経由で接続してコマンド操作を行う端末が,リモート運用端末です。telnet プロ
トコルのクライアント機能がある端末はリモート運用端末として使用できます。
!
注意事項
本装置の telnet サーバは,改行コードとして[CR]を認識します。一部のクライアント端末では,改行コードとし
て[CR]および[LF]を送信します。これらの端末から接続した場合,空行が表示されたり,(y/n)確認時にキー入
力ができなかったりするなどの現象がおこります。このような場合は,各クライアント端末の設定を確認してく
ださい。
4.1.2 運用端末の接続形態
運用端末の接続形態ごとの特徴を次の表に示します。
表 4‒2 運用端末の接続形態ごとの特徴
運用機能
接続運用端末
遠隔からのログイン
本装置から運用端末へのログイン
アクセス制御
コマンド入力
コンソール
不可
不可
なし
可
シリアル 通信用ポート
リモート運用端末
可
可
あり
可
79
4 装置へのログイン
運用機能
ファイル転送方式
IP 通信
SNMP マネージャ接続
コンフィグレーション設定
シリアル zmodem 手順
不可
不可
不要
通信用ポート ftp
IPv4 および IPv6
可
必要
(1) シリアル接続ポート
シリアル接続ポートには運用端末としてコンソールを接続します。コンフィグレーションの設定なしに本
ポートを介してログインできるので,初期導入時には本ポートからログインし,初期設定を行えます。
(2) 通信用ポート
通信用ポートを介して,遠隔のリモート運用端末からの本装置に対するログインや SNMP マネージャによ
るネットワーク管理ができます。このポートを介して telnet や ftp によって本装置へログインするために
は,本装置のコンフィグレーションで IP アドレスおよびリモートアクセスの設定をする必要があります。
4.1.3 運用管理機能の概要
本装置はセットアップ作業が終了し,装置の電源 ON で運用に入ります。本装置と接続した運用端末では,
運用コマンドやコンフィグレーションコマンドを実行し,装置の状態を調べたり,接続ネットワークの変更
に伴うコンフィグレーションの変更を実施したりできます。本装置で実施する運用管理の種類を次の表に
示します。
表 4‒3 運用管理の種類
運用機能
コマンド入力機能
ログイン制御機能
コンフィグレーション編集機能
ネットワークコマンド機能
ログ・統計情報
LED および障害部位の表示
MIB 情報収集
装置保守機能
MC 保守機能
概要
コマンドラインによる入力を受け付けます。
不正アクセス防止,パスワードチェックを行います。
運用のためのコンフィグレーションを設定します。設定された情報
はすぐ運用に反映されます。
リモート操作コマンドなどをサポートします。
過去に発生した障害情報および回線使用率などの統計情報を表示し
ます。
LED によって本装置の状態を表示します。
SNMP マネージャによるネットワーク管理を行います。
装置を保守するための状態表示,装置とネットワークの障害を切り
分けるための回線診断などのコマンドを持ちます。
MC のフォーマットなどを行います。
80
4 装置へのログイン
4.2 装置起動
この節では,装置の起動と停止について説明します。
4.2.1 起動から停止までの概略
本装置の起動から停止までの概略フローを次の図に示します。ハードウェアセットアップの内容について
はマニュアル「ハードウェア取扱説明書」を参照してください。
図 4‒3 起動から停止までの概略フロー
4.2.2 装置の起動
本装置の起動,再起動の方法を次の表に示します。
表 4‒4 起動,再起動の方法
起動の種類
電源 ON による起動
内容
本装置の電源 OFF からの立ち上げです。
リセットによる再起動 障害発生などにより,本装置をリセットしたい場合に行
います。
操作方法
本体の電源スイッチを ON にし
ます。
本体のリセットスイッチを押し
ます。
81
4 装置へのログイン
起動の種類 内容
コマンドによる再起動 障害発生などにより,本装置をリセットしたい場合に行
います。
デフォルト
リスタート
パスワードを忘れてログインできない場合や,コマンド
承認の設定ミスなどでコンソールからコマンドが実行
できなくなった場合に行います。
パスワードによるログイン認証,装置管理者モードへの
変更(enable コマンド)時の認証,およびコマンド承
認を行いませんのでデフォルトリスタートによる起動
を行う場合は十分に注意してください。なお,アカウン
ト,コンフィグレーションはデフォルトリスタート前の
ものが使用されます。
また,ログインユーザ名を忘れると,デフォルトリス
タートで起動してもログインできないので注意してく
ださい。
デフォルトリスタート中に設定したパスワードは,装置
再起動後に有効になります。
操作方法 reload コマンドを実行します。
本体のリセットスイッチを 5 秒
以上押します。
本装置を起動,再起動したときに STATUS ランプが赤点灯となった場合は,マニュアル「トラブルシュー
ティングガイド」を参照してください。また,LED ランプ表示内容の詳細は,マニュアル「ハードウェア
取扱説明書」を参照してください。
本装置は,ソフトウェアイメージを k.img という名称で書き込んだ MC をスロットに挿入して起動した場
合,MC から起動します。MC から装置を起動した場合,アカウント,コンフィグレーションは工場出荷時
の初期状態となり,設定しても保存することはできません。通常運用時は MC から起動しないでください。
4.2.3 装置の停止
本装置の電源を OFF にする場合は,アクセス中のファイルが壊れるおそれがあるので,本装置にログイン
しているユーザがいない状態で行ってください。運用コマンド reload stop で装置を停止させたあとに電
源を OFF にすることを推奨します。
82
4 装置へのログイン
4.3 ログイン・ログアウト
この節では,ログインとログアウトについて説明します。
(1) ログイン
装置が起動すると,ログイン画面を表示します。この画面でユーザ名とパスワードを入力してください。正
しく認証された場合は,コマンドプロンプトを表示します。また,認証に失敗した場合は”Login incorrect”のメッセージを表示し,ログインできません。ログイン画面を次の図に示します。
なお,初期導入時には,ユーザ名 operator でパスワードなしでログインができます。
図 4‒4 ログイン画面 login: operator
Password: ******* …1
Copyright (c) 20XX ALAXALA Networks Corporation. All rights reserved.
> …2
1. パスワードが設定されていない場合は表示しません。
また,パスワードの入力文字は表示しません。
2. コマンドプロンプトを表示します。
(2) ログアウト
CLI での操作を終了してログアウトしたい場合は logout コマンドまたは exit コマンドを実行してくださ
い。ログアウト画面を次の図に示します。
図 4‒5 ログアウト画面
> logout login:
(3) 自動ログアウト
一定時間(デフォルト:60 分)内にキーの入力がなかった場合,自動的にログアウトします。なお,自動
ログアウト時間はコンフィグレーションコマンド username,または運用コマンド set exec-timeout で変
更できます。
83
5
コマンド操作
この章では,本装置でのコマンドの指定方法について説明します。
85
5 コマンド操作
5.1 コマンド入力モード
5.1.1 運用コマンド一覧
コマンド入力モードの切り換えおよびユーティリティに関する運用コマンド一覧を次の表に示します。
表 5‒1 運用コマンド一覧
コマンド名 説明 enable disable quit exit logout configure (configure terminal)
コマンド入力モードを一般ユーザモードから装置管理者モードに変更します。
コマンド入力モードを装置管理者モードから一般ユーザモードに変更します。
現在のコマンド入力モードを終了します。
現在のコマンド入力モードを終了します。
装置からログアウトします。
コマンド入力モードを装置管理者モードからコンフィグレーションコマンドモードに変
更して,コンフィグレーションの編集を開始します。
指定した二つのファイル同士を比較し,相違点を表示します。 diff ※ grep ※ 指定したファイルを検索して,指定したパターンを含む行を出力します。 more ※ less ※ tail ※ hexdump ※
指定したファイルの内容を一画面分だけ表示します。
指定したファイルの内容を一画面分だけ表示します。
指定したファイルの指定された位置以降を出力します。
ヘキサダンプを表示します。
注※
「運用コマンドレファレンス Vol.1 8. ユーティリティ」を参照してください。
5.1.2 コマンド入力モード
本装置でコンフィグレーションの変更を実施したり,または装置の状態を参照したりする場合,適切なコマ
ンド入力モードに遷移し,コンフィグレーションコマンドや運用コマンドを入力する必要があります。ま
た,CLI プロンプトでコマンド入力モードを識別できます。
コマンド入力モードとプロンプトの対応を次の表に示します。
表 5‒2 コマンド入力モードとプロンプトの対応
コマンド入力モード
一般ユーザモード
装置管理者モード
コンフィグレーションコマンド
モード
実行可能なコマンド
運用コマンド(configure,adduser コマンドなど,一部の
コマンドは装置管理者モードでだけ実行可能です。)
コンフィグレーションコマンド ※
プロンプト
>
#
(config)#
86
5 コマンド操作
注※
コンフィグレーションの編集中に運用コマンドを実行したい場合,quit コマンドや exit コマンドによっ
てコマンド入力モードを装置管理者モードに切り替えなくても,運用コマンドの先頭に「$」を付けた
形式で入力することで実行できます。
<例>
コンフィグレーションコマンドモードで運用コマンド show ip arp を実行する場合
(config)# $show ip arp
モード遷移の概要を次の図に示します。
図 5‒1 モード遷移の概要
また,CLI プロンプトとして,次に示す場合でも,その状態を意味する文字がプロンプトの先頭に表示され
ます。
1. コンフィグレーションコマンド hostname でホスト名称を設定している場合,ホスト名称の先頭から
20 文字目までがプロンプトに反映されます。
2. ランニングコンフィグレーションを編集し,その内容をスタートアップコンフィグレーションに保存し
ていない場合,プロンプトの先頭に「!」が付きます。
1.〜2.のプロンプト表示例を次の図に示します。
図 5‒2 プロンプト表示例
> enable
# configure
(config)# hostname "OFFICE1"
!OFFICE1(config)# save
OFFICE1(config)# quit
OFFICE1# quit
OFFICE1>
87
5 コマンド操作
5.2 CLI での操作
5.2.1 補完機能
コマンドライン上で[Tab]を入力することで,コマンド入力時のコマンド名称やファイル名の入力を少な
くすることができ,コマンド入力が簡単になります。補完機能を使用したコマンド入力の簡略化を次の図に
示します。
図 5‒3 補完機能を使用したコマンド入力の簡略化
(config)# in[Tab]
(config)# interface
[Tab]押下で使用できるパラメータやファイル名の一覧が表示されます。
(config)# interface [Tab] gigabitethernet port-channel tengigabitethernet loopback range vlan
(config)# interface
5.2.2 ヘルプ機能
コマンドライン上で[?]を入力することで,指定できるコマンドまたはパラメータを検索できます。また,
コマンドやパラメータの意味を知ることができます。次の図に[?]入力時の表示例を示します。
図 5‒4 [?]入力時の表示例
> show vlan ?
<vlan id list> 1 to 4094 ex. "5", "10-20" or "30,40"
channel-group-number Display the VLAN information specified by
channel-group-number
detail Display the detailed VLAN information
list Display the list of VLAN information
mac-vlan Display the MAC VLAN information
port Display the VLAN information specified by port number
summary Display the summary of VLAN information
<cr>
> show vlan
なお,パラメータの入力途中でスペース文字を入れないで[?]を入力した場合は,補完機能が実行されま
す。また,コマンドパラメータで?文字を使用する場合は,[Ctrl]+[V]を入力後,[?]を入力してくだ
さい。
5.2.3 入力エラー位置指摘機能
コマンドまたはパラメータを不正に入力した際,エラー位置を「^」で指摘し,次行にエラーメッセージ
(マニュアル「運用コマンドレファレンス Vol.1 入力エラー位置指摘で表示するメッセージ」を参照)を
表示します。[Tab]入力時と[?]入力時も同様となります。
「^」の指摘個所とエラーメッセージの説明によって,コマンドまたはパラメータを見直して再度入力して
ください。入力エラー位置指摘の表示例を「図 5‒5 スペルミスをしたときの表示例」および「図 5‒6 パ
図 5‒5 スペルミスをしたときの表示例
(config)# interface gigabitehternet 1/0/1 interface gigabitehternet 1/0/1
^
% illegal parameter at '^' marker
(config)# interface gigabitehternet 1/0/1
88
5 コマンド操作
図 5‒6 パラメータ入力途中の表示例
(config)# interface gigabitethernet 1/0/1
(config-if)# speed speed
^
% Incomplete command at '^' marker
(config-if)#
5.2.4 コマンド短縮実行
コマンドまたはパラメータを短縮して入力し,入力された文字が一意のコマンドまたはパラメータとして認
識できる場合,コマンドを実行します。短縮入力のコマンド実行例を次の図に示します。
図 5‒7 短縮入力のコマンド実行例(show ip arp の短縮入力)
> sh ip ar
Date 20XX/11/15 19:37:02 UTC
Total: 1 entries
IP Address Linklayer Address Netif Expire Type
192.168.0.1 0012.e2d0.e9f5 VLAN0010 3h44m57s arpa
>
なお,「表 6‒1 コンフィグレーションコマンド一覧」にあるコンフィグレーションの編集および操作に関
するコマンドは,コンフィグレーションモードの第一階層以外で短縮実行できません。
また,*を含むパラメータを指定した場合は,それ以降のパラメータについて短縮実行できません。
5.2.5 ヒストリ機能
ヒストリ機能を使用すると,過去に入力したコマンドを簡単な操作で再実行したり,過去に入力したコマン
ドの一部を変更して再実行したりできます。ヒストリ機能を使用した例を次の図に示します。
図 5‒8 ヒストリ機能を使用したコマンド入力の簡略化
> ping 192.168.0.1 numeric count 1 …1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=31 time=1.329 ms
--- 192.168.0.1 PING Statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss round-trip min/avg/max = 1.329/1.329/1.329 ms
> …2
> ping 192.168.0.1 numeric count 1 …3
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=31 time=1.225 ms
--- 192.168.0.1 PING Statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss round-trip min/avg/max = 1.225/1.225/1.225 ms
> …4
> ping 192.168.0.2 numeric count 1 …5
PING 192.168.0.2 (192.168.0.2): 56 data bytes
--- 192.168.0.2 PING Statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss
>
1. 192.168.0.1 に対して ping コマンドを実行します。
2.[↑]キーを入力することで前に入力したコマンドを呼び出せます。
この例の場合,[↑]キーを1回押すと「ping 192.168.0.1 numeric count 1」が表示されるので,
[Enter]キーの入力だけで同じコマンドを再度実行できます。
3. 192.168.0.1 に対して ping コマンドを実行します。
89
5 コマンド操作
4.[↑]キーを入力することで前に入力したコマンドを呼び出し,[←]キーおよび[Backspace]キーを
使ってコマンド文字列を編集できます。
この例の場合,[↑]キーを1回押すと「ping 192.168.0.1 numeric count 1」が表示されるので,IP
アドレスの「1」の部分を「2」に変更して[Enter]キーを入力しています。
5. 192.168.0.2 に対して ping コマンドを実行します。
ヒストリ機能に次の表に示す文字列を使用した場合,コマンド実行前に過去に実行したコマンド文字列に変
換したあとにコマンドを実行します。なお,コンフィグレーションコマンドでは,コマンド文字列変換はサ
ポートしていません。
表 5‒3 ヒストリのコマンド文字列変換で使用できる文字一覧
項番 指定 説明
1
2
3
4
!!
!n
!-n
!str
直前に実行したコマンドへ変換して実行します。
ヒストリ番号 n ※ のコマンドへ変換して実行します。 n回前のコマンドへ変換して実行します。
文字列 str で始まる過去に実行した最新のコマンドへ変換して実行します。
5 ^str1^str2 直前に実行したコマンドの文字列 str1 を str2 に置換して実行します。
注※
運用コマンド show history で表示される配列番号のこと。
また,過去に実行したコマンドを呼び出して,コマンド文字列を編集したり,[Backspace]キーや[Ctrl]
+[C]キーで消去したりしたあと,再度コマンドを呼び出すと,該当コマンドのヒストリを編集したり消
去したりできます。
注意
通信ソフトウェアによって方向キー([↑],[↓],[←],[→])を入力してもコマンドが呼び出されな
い場合があります。その場合は,通信ソフトウェアのマニュアルなどで設定を確認してください。
5.2.6 パイプ機能
パイプ機能を利用することによって,コマンドの実行結果を別のコマンドに引き継ぐことができます。実行
結果を引き継ぐコマンドに grep コマンドを使うことによって,コマンドの実行結果をよりわかりやすくす
ることができます。ただし,コマンドが実行できなかった場合などに表示される応答メッセージは,引き継
ぎをしないで,そのタイミングで画面に表示されます。「図 5‒9 show sessions コマンド実行結果」に
show sessions コマンドの実行結果を,「図 5‒10 show sessions コマンド実行結果を grep コマンドで
フィルタリング」に show sessions コマンドの実行結果を grep コマンドでフィルタリングした結果を示し
ます。
図 5‒9 show sessions コマンド実行結果
> show sessions
Date 20XX/01/07 12:00:00 UTC operator console ----- 0 Jan 6 14:16 operator ttyp0 ----- 2 Jan 6 14:16 (192.168.3.7) operator ttyp1 ----- 3 Jan 6 14:16 (192.168.3.7) operator ttyp2 admin 4 Jan 6 14:16 (192.168.3.7)
90
5 コマンド操作
図 5‒10 show sessions コマンド実行結果を grep コマンドでフィルタリング
> show sessions | grep admin operator ttyp2 admin 4 Jan 6 14:16 (192.168.3.7)
>
5.2.7 リダイレクト
リダイレクト機能を利用することによって,コマンドの実行結果をファイルに出力できます。ただし,コマ
ンドが実行できなかった場合などに表示される応答メッセージは,ファイルに出力しないで,そのタイミン
グで画面に表示されます。show ip interface コマンドの実行結果をファイルに出力する例を次の図に示
します。
図 5‒11 show ip interface コマンド実行結果をファイルに出力
> show ip interface > show_interface.log
>
5.2.8 ページング
コマンドの実行により出力される結果について,表示すべき情報が一画面にすべて表示しきれない場合は,
ユーザのキー入力を契機に一画面ごとに区切って表示します。ただし,リダイレクトがあるときにはページ
ングを行いません。なお,ページングはコンフィグレーションコマンド username,または運用コマンド set terminal pager でその機能を有効にしたり無効にしたりできます。
5.2.9 CLI 設定のカスタマイズ
自動ログアウト機能や CLI 機能の一部は,CLI 環境情報としてユーザごとに動作をカスタマイズできます。
カスタマイズ可能な CLI 機能と CLI 環境情報を次の表に示します。
表 5‒4 カスタマイズ可能な CLI 機能と CLI 環境情報
機能 カスタマイズ内容と初期導入時のデフォルト設定
自動ログアウト
ページング
ヘルプ機能
自動ログアウトするまでの時間を設定できます。
初期導入時のデフォルト設定は,60 分です。
ページングするかどうかを設定できます。
初期導入時のデフォルト設定は,ページングをします。
ヘルプメッセージで表示するコマンドの一覧を設定できます。
初期導入時のデフォルト設定は,運用コマンドのヘルプメッセージを表示する際に,入
力可能なすべての運用コマンドの一覧を表示します。
これらの CLI 環境情報は,ユーザごとに,コンフィグレーションコマンド username,または次に示す運
用コマンドで設定できます。
• set exec-timeout
• set terminal pager
• set terminal help
コンフィグレーションコマンド username による設定は,運用コマンドによる設定よりも優先されます。
三つの CLI 環境情報のうち,どれか一つでもコンフィグレーションコマンドで設定した場合,その対象ユー
ザには,運用コマンドによる設定値は使用されません。コンフィグレーションコマンドの設定値または省略
時の初期値で動作します。
91
5 コマンド操作
運用コマンドによる設定は,コンフィグレーションコマンドによる設定がない場合に使用されます。コン
フィグレーションコマンドで一つも CLI 環境情報を設定していないユーザは,運用コマンドによる設定値
が使用されます。なお,運用コマンドによる設定では,設定状態を表示できないため,各機能の動作状態で
確認してください。
運用コマンドによる設定内容は,コマンドが実行されたセッションでは実行直後から動作に反映されます。
同一ユーザでも別セッションの場合は,次回ログイン時に反映されます。また,コンフィグレーションコマ
ンドによる設定で動作している場合でも,一時的に実行された該当セッションでの動作を変更できます。
なお,運用コマンドによる設定の場合,adduser コマンドで no-flash パラメータを指定して追加したアカ
ウントのユーザは,装置を再起動したときに,CLI 環境情報が初期導入時のデフォルト設定に戻ります。
92
5 コマンド操作
5.3 CLI の注意事項
(1) ログイン後に運用端末がダウンした場合
ログイン後に運用端末がダウンした場合,本装置内ではログインしたままの状態になっていることがありま
す。この場合,自動ログアウトを待つか,再度ログインし直して,ログインしたままの状態になっている
ユーザを運用コマンド killuser で削除してください。
(2) CLI の特殊キー操作に関する注意事項
[Ctrl]+[C]キー,[Ctrl]+[Z]キー,[Ctrl]+[\]キーのどれかを押した場合に,ごくまれにログ
アウトする場合があります。その場合は,再度ログインしてください。
93
6
コンフィグレーション
本装置には,ネットワークの運用環境に合わせて,構成および動作条件などの
コンフィグレーションを設定しておく必要があります。この章では,コンフィ
グレーションを設定するのに必要なことについて説明します。
95
6 コンフィグレーション
6.1 コンフィグレーション
運用開始時または運用中,ネットワークの運用環境に合わせて,本装置に接続するネットワークの構成およ
び動作条件などのコンフィグレーションを設定する必要があります。初期導入時,コンフィグレーションは
設定されていません。
6.1.1 起動時のコンフィグレーション
本装置の電源を入れると,装置内メモリ上のスタートアップコンフィグレーションファイルが読み出され,
設定されたコンフィグレーションに従って運用を開始します。運用に使用されているコンフィグレーショ
ンをランニングコンフィグレーションと呼びます。
なお,スタートアップコンフィグレーションは,直接編集できません。ランニングコンフィグレーションを
編集したあとに save(write)コマンドを使用することで,スタートアップコンフィグレーションが更新され
ます。起動時,および運用中のコンフィグレーションの概要を次の図に示します。
図 6‒1 起動時,および運用中のコンフィグレーションの概要
6.1.2 運用中のコンフィグレーション
運用中にコンフィグレーションを編集すると,編集した内容はランニングコンフィグレーションとしてすぐ
に運用に反映されます。save(write)コマンドを使用することで,ランニングコンフィグレーションが装置
内メモリにあるスタートアップコンフィグレーションに保存されます。編集した内容を保存しないで装置
を再起動すると,編集した内容が失われるので注意してください。
96
6 コンフィグレーション
6.2 ランニングコンフィグレーションの編集概要
初期導入時やネットワーク構成を変更する場合は,ランニングコンフィグレーションを編集します。なお,
初期導入時のランニングコンフィグレーションの編集はコンソールから行う必要があります。ランニング
図 6‒2 ランニングコンフィグレーションの編集の流れ
97
6 コンフィグレーション
6.3 コンフィグレーションコマンド入力におけるモー
ド遷移
コンフィグレーションは,実行可能なコンフィグレーションモードで編集します。第二階層のコンフィグ
レーションを編集する場合は,グローバルコンフィグレーションモードで第二階層のコンフィグレーション
モードに移行するためのコマンドを実行してモードを移行した上で,コンフィグレーションコマンドを実行
する必要があります。コンフィグレーションのモード遷移の概要を次の図に示します。
98
図 6‒3 コンフィグレーションのモード遷移の概要
6 コンフィグレーション
99
6 コンフィグレーション
6.4 コンフィグレーションの編集方法
6.4.1 コンフィグレーション・運用コマンド一覧
コンフィグレーションの編集および操作に関するコンフィグレーションコマンド一覧を次の表に示します。
表 6‒1 コンフィグレーションコマンド一覧
コマンド名 end quit (exit) save (write) show status top
説明
コンフィグレーションコマンドモードを終了して装置管理者モードに戻ります。
モードを一つ戻ります。グローバルコンフィグレーションモードで編集中の場合は,コ
ンフィグレーションコマンドモードを終了して装置管理者モードに戻ります。
編集したコンフィグレーションをスタートアップコンフィグレーションに保存します。
編集中のコンフィグレーションを表示します。
編集中のコンフィグレーションの状態を表示します。
コンフィグレーションコマンドモードの第二階層以下からグローバルコンフィグレー
ションモード(第一階層)に戻ります。
コンフィグレーションの編集および操作に関する運用コマンド一覧を次の表に示します。 cp mkdir mv rm rmdir delete pwd ls dir cat show running-config show startup-config copy erase configuration show file cd
表 6‒2 運用コマンド一覧
コマンド名 説明
ランニングコンフィグレーションを表示します。
スタートアップコンフィグレーションを表示します。
コンフィグレーションをコピーします。
ランニングコンフィグレーションの内容を初期導入時のものに戻します。
ローカルまたはリモートサーバ上のファイルの内容と行数を表示します。
現在のディレクトリ位置を移動します。
カレントディレクトリのパス名を表示します。
ファイルおよびディレクトリを表示します。
復元可能な形式で削除された本装置用のファイルの一覧を表示します。
指定されたファイルの内容を表示します。
ファイルをコピーします。
新しいディレクトリを作成します。
ファイルの移動およびファイル名の変更をします。
指定したファイルを削除します。
指定したディレクトリを削除します。
本装置用のファイルを復元可能な形式で削除します。
100
6 コンフィグレーション
コマンド名 undelete squeeze zmodem
説明
復元可能な形式で削除された本装置用のファイルを復元します。
復元可能な形式で削除された本装置用の deleted ファイルを完全に消去します。
本装置と RS232C で接続されているコンソールとの間でファイル転送をします。
6.4.2 configure(configure terminal)コマンド
コンフィグレーションを編集する場合は,enable コマンドを実行して装置管理者モードに移行してくださ
い。装置管理者モードで,configure コマンドまたは configure terminal コマンドを入力すると,プロン
プトが「(config)#」になり,ランニングコンフィグレーションの編集が可能となります。ランニングコン
フィグレーションの編集開始例を次の図に示します。
図 6‒4 ランニングコンフィグレーションの編集開始例
> enable …1
# configure …2
(config)#
1. enable コマンドで装置管理者モードに移行します。
2. ランニングコンフィグレーションの編集を開始します。
6.4.3 コンフィグレーションの表示・確認(show コマンド)
(1) スタートアップコンフィグレーション,ランニングコンフィグレーションの表示・確認
装置管理者モードで運用コマンド show running-config/show startup-config を使用することで,ラン
ニングコンフィグレーションおよびスタートアップコンフィグレーションを表示・確認できます。ランニン
グコンフィグレーションの表示例を次の図に示します。
図 6‒5 ランニングコンフィグレーションの表示例
OFFICE01# show running-config …1
#default configuration file for XXXXXX-XX
!
hostname "OFFICE01"
!
vlan 1
name "VLAN0001"
!
vlan 100
state active
!
vlan 200
state active
!
interface gigabitethernet 1/0/1
switchport mode access
switchport access vlan 100
!
interface gigabitethernet 1/0/2
switchport mode access
switchport access vlan 200
!
OFFICE01#
1. ランニングコンフィグレーションを表示します。
101
6 コンフィグレーション
(2) コンフィグレーションの表示・確認
コンフィグレーションモードで show コマンドを使用することで,編集前,編集後のコンフィグレーショ
ンを表示・確認できます。コンフィグレーションを表示した例を「図 6‒6 コンフィグレーションの内容を
すべて表示」〜「図 6‒9 インタフェースモードで指定のインタフェース情報を表示」に示します。
図 6‒6 コンフィグレーションの内容をすべて表示
OFFICE01(config)# show …1
#default configuration file for XXXXXX-XX
!
hostname "OFFICE01"
!
vlan 1
name "VLAN0001"
!
vlan 100
state active
!
vlan 200
state active
!
interface gigabitethernet 1/0/1
switchport mode access
switchport access vlan 100
!
interface gigabitethernet 1/0/2
switchport mode access
switchport access vlan 200
!
OFFICE01(config)#
1. パラメータを指定しない場合はランニングコンフィグレーションを表示します。
図 6‒7 設定済みのすべてのインタフェース情報を表示
OFFICE01(config)# show interface gigabitethernet …1 interface gigabitethernet 1/0/1
switchport mode access
switchport access vlan 100
!
interface gigabitethernet 1/0/2
switchport mode access
switchport access vlan 200
!
OFFICE01(config)#
1. ランニングコンフィグレーションのうち,設定済みのすべてのインタフェースを表示します。
図 6‒8 指定のインタフェース情報を表示
OFFICE01(config)# show interface gigabitethernet 1/0/1 …1 interface gigabitethernet 1/0/1
switchport mode access
switchport access vlan 100
!
OFFICE01(config)#
1. ランニングコンフィグレーションのうち,インタフェース 1/0/1 を表示します。
図 6‒9 インタフェースモードで指定のインタフェース情報を表示
OFFICE01(config)# interface gigabitethernet 1/0/1
OFFICE01(config-if)# show …1 interface gigabitethernet 1/0/1
switchport mode access
switchport access vlan 100
!
OFFICE01(config-if)#
102
6 コンフィグレーション
1. ランニングコンフィグレーションのうち,インタフェース 1/0/1 を表示します。
6.4.4 コンフィグレーションの追加・変更・削除
(1) コンフィグレーションコマンドの入力
コンフィグレーションコマンドを使用して,コンフィグレーションを編集します。また,コンフィグレー
ションのコマンド単位での削除は,コンフィグレーションコマンドの先頭に「no」を指定することで実現
できます。
ただし,機能の抑止を設定するコマンドでは,コンフィグレーションコマンドの先頭に「no」を指定して
設定し,機能の抑止を解除する場合は「no」を外したコンフィグレーションコマンドを入力します。
コンフィグレーションの編集例を「図 6‒10 コンフィグレーションの編集例」に,機能の抑止および解除
の編集例を「図 6‒11 機能の抑止および解除の編集例」に示します。
図 6‒10 コンフィグレーションの編集例
(config)# vlan 100 …1
(config-vlan)# state active …2
(config-vlan)# exit
(config)# interface gigabitethernet 1/0/1 …3
(config-if)# switchport mode access …4
(config-if)# switchport access vlan 100 …5
(config-if)# exit
(config)#
(config)# vlan 100 …6
(config-vlan)# state suspend …7
(config-vlan)# exit
(config)#
(config)# interface gigabitethernet 1/0/1 …8
(config-if)# no switchport access vlan …9
1. VLAN 100 をポート VLAN として設定します。
2. VLAN 100 を有効にします。
3. イーサネットインタフェース 1/0/1 にモードを遷移します。
4. ポート 1/0/1 にアクセスモードを設定します。
5. アクセス VLAN に 100 を設定します。
6. VLAN 100 にモードを遷移します。
7. VLAN 100 を有効から無効に変更します。
8. イーサネットインタフェース 1/0/1 にモードを遷移します。
9. 設定されているアクセス VLAN の VLAN ID 100 を削除します。
図 6‒11 機能の抑止および解除の編集例
(config)# no ip domain lookup …1
(config)# ip domain name router.example.com …2
(config)# ip name-server 192.168.0.1 …3
(config)# ip domain lookup …4
1. DNS リゾルバ機能を無効にします。
2. ドメイン名を router.example.com に設定します。
3. ネームサーバを 192.168.0.1 に設定します。
4. DNS リゾルバ機能を有効にします。
103
6 コンフィグレーション
(2) 入力コマンドのチェック
コンフィグレーションコマンドを入力すると,入力されたコンフィグレーションに誤りがないかすぐに
チェックされます。エラーがない場合は「図 6‒12 正常入力時の出力」に示すようにプロンプトが表示さ
れて,コマンドの入力待ちになります。ランニングコンフィグレーションの編集中の場合は,変更した内容
がすぐに運用に使用されます。
エラーがある場合は「図 6‒13 異常入力時のエラーメッセージ出力」に示すように,入力したコマンドの
行の下にエラーの内容を示したエラーメッセージが表示されます。この場合,入力したコンフィグレーショ
ンは反映されないので,入力の誤りを正してから再度入力してください。
図 6‒12 正常入力時の出力
(config)# interface gigabitethernet 1/0/1
(config-if)# description TokyoOsaka
(config-if)#
図 6‒13 異常入力時のエラーメッセージ出力
(config)# interface tengigabitethernet 1/0/1
(config-if)# description description
^
% Incomplete command at '^' marker
(config-if)#
6.4.5 コンフィグレーションの運用への反映
コンフィグレーションの変更は,コンフィグレーションコマンドの入力を契機に即時に運用に反映されま
す。ただし,BGP に関するフィルタ設定の変更内容を運用に反映する場合は,運用コマンド clear ip bgp
を実行する必要があります。
運用コマンド clear ip bgp を使用すると,次に示すコマンドで変更した内容を運用に反映できます。
• access-list コマンド
• prefix-list コマンド
• route-map コマンド
• distribute-list in コマンド
• distribute-list out コマンド
• redistribute コマンド
• neighbor in コマンド
• neighbor out コマンド
コマンドの入力例を次の図に示します。
図 6‒14 コマンド入力例
(config)# ip access-list standard 1 .............................(1)
(config-std-nacl)# permit 10.0.0.0 0.255.255.255 ................(2)
(config-std-nacl)# permit 172.16.0.0 0.0.255.255 ................(3)
(config-std-nacl)# exit
(config)# ip prefix-list PEER-OUT seq 10 permit 172.16.1.0/24 ...(4)
(config)# route-map SET-COMM 10 .................................(5)
(config-route-map)# match ip address prefix-list PEER-OUT .......(6)
(config-route-map)# set community no-export .....................(7)
(config-route-map)# exit
(config)# router bgp 65530
(config-router)# distribute-list 1 in ...........................(8)
(config-router)# redistribute static ............................(9)
104
6 コンフィグレーション
(config-router)# neighbor 192.168.1.1 remote-as 65531
(config-router)# neighbor 192.168.1.2 remote-as 65532
(config-router)# neighbor 192.168.1.2 send-community
(config-router)# neighbor 192.168.1.2 route-map SET-COMM out ....(10)
(config-router)# exit
(config)# save
(config)# exit
# clear ip bgp * both …1
1. (1)〜(10)の変更内容が運用に使用されます。
6.4.6 コンフィグレーションのファイルへの保存(save コマンド) save(write)コマンドを使用することで,編集したランニングコンフィグレーションをスタートアップコン
フィグレーションファイルに保存できます。コンフィグレーションの保存例を次の図に示します。
図 6‒15 コンフィグレーションの保存例
# configure …1
(config)#
:
: …2
:
!(config)# save …3
(config)#
1. ランニングコンフィグレーションの編集を開始します。
2. コンフィグレーションを変更します。
3. スタートアップコンフィグレーションファイルに保存します。
6.4.7 コンフィグレーションの編集終了(exit コマンド)
ランニングコンフィグレーションの編集を終了する場合は,グローバルコンフィグレーションモードで exit
コマンドを実行します。コンフィグレーションを編集したあと,save コマンドで変更後の内容をスタート
アップコンフィグレーションファイルへ保存していない場合は,exit コマンドを実行すると確認のメッセー
ジが表示されます。スタートアップコンフィグレーションファイルに保存しないでコンフィグレーション
コマンドモードを終了する場合は「y」を入力してください。「y」以外が入力されるとコンフィグレーショ
ンコマンドモードを終了できません。コンフィグレーションの編集終了例を「図 6‒16 コンフィグレー
ションの編集終了例」と「図 6‒17 変更内容を保存しない場合のコンフィグレーションの編集終了例」に
示します。
図 6‒16 コンフィグレーションの編集終了例
!(config)# save
(config)# exit …1
1. 編集を終了します。
図 6‒17 変更内容を保存しない場合のコンフィグレーションの編集終了例
# configure …1
(config)#
:
: …2
:
!(config)# exit
Unsaved changes found! Do you exit "configure" without save ? (y/n): y …3
!#
1. コンフィグレーションの編集を開始します。
2. コンフィグレーションを変更します。
105
6 コンフィグレーション
3. 確認メッセージが表示されます。
6.4.8 コンフィグレーションの編集時の注意事項
(1) 設定できるコンフィグレーションのコマンド数に関する注意事項
設定されたコンフィグレーションはメモリに保持されるため,設定できるコンフィグレーションのコマンド
数はメモリ量によって決まります。設定するコンフィグレーションに比べてメモリ量が少なかったり,制限
を超えるようなコンフィグレーションを編集したりした場合は,「Maximum number of entries are already defined (config memory shortage). <IP>」または「Maximum number of entries are already defined.<IP>」のメッセージが表示されます。このような場合,むだなコンフィグレーションが設定され
ていないか確認してください。
(2) コンフィグレーションをコピー&ペーストで入力する際の注意事項
コンフィグレーションをコピー&ペーストで入力する場合,一行に入力できる文字数は 1000 文字,一度に
入力できる文字数は 4000 文字未満(スペース,改行を含む)です。4000 文字以上を一度にペーストする
と正しくコンフィグレーションを設定できない状態になるので注意してください。
4000 文字を超えるコンフィグレーションを設定する場合は,一行を 1000 文字,一度のペーストを 4000
文字未満で複数回にわけてコピー&ペーストを行ってください。
106
6 コンフィグレーション
6.5 コンフィグレーションの操作
この節では,コンフィグレーションのバックアップ,ファイル転送などの操作について説明します。
6.5.1 コンフィグレーションのバックアップ
運用コマンド copy を使用することで,コンフィグレーションをリモートサーバや本装置上にバックアップ
することができます。ただし,本装置にバックアップ用のコンフィグレーションファイルを格納する場合,
スタートアップコンフィグレーションファイルの格納ディレクトリ(/config)は指定できません。バック
アップ用のコンフィグレーションファイルはログインユーザのホームディレクトリに作成してください。
バックアップできるコンフィグレーションは,スタートアップコンフィグレーションとランニングコンフィ
グレーションの 2 種類です。運用中にコンフィグレーションを変更し保存していない場合は,スタート
アップコンフィグレーションをバックアップしても,バックアップしたコンフィグレーションファイルの内
容は運用中のコンフィグレーションと異なります。それぞれのバックアップ例を次の図に示します。
図 6‒18 スタートアップコンフィグレーションのバックアップ例
> enable
# copy startup-config ftp://staff@[2001:240:400::101]/backup.cnf
Configuration file copy to ftp://staff@[2001:240:400::101]/backup.cnf?
(y/n): y
Authentication for 2001:240:400::101.
User: staff
Password: xxx …1 transferring…
Data transfer succeeded.
#
1. リモートサーバ上のユーザ staff のパスワードを入力します。
図 6‒19 ランニングコンフィグレーションのバックアップ例
> enable
# copy running-config ftp://staff@[2001:240:400::101]/backup.cnf
Configuration file copy to ftp://staff@[2001:240:400::101]/backup.cnf?
(y/n): y
Authentication for 2001:240:400::101.
User: staff
Password: xxx …1 transferring…
Data transfer succeeded.
#
1. リモートサーバ上のユーザ staff のパスワードを入力します。
6.5.2 バックアップコンフィグレーションファイルの本装置への反映
バックアップコンフィグレーションファイルをスタートアップコンフィグレーションまたはランニングコ
ンフィグレーションに反映する場合は,運用コマンド copy を使用します。それぞれの反映例を次の図に示
します。
図 6‒20 スタートアップコンフィグレーションへの反映例
> enable
# copy ftp://staff@[2001:240:400::101]/backup.cnf startup-config
Configuration file copy to startup-config?
(y/n): y
107
6 コンフィグレーション
Authentication for 2001:240:400::101.
User: staff
Password: xxx …1 transferring…
Data transfer succeeded.
#
1. リモートサーバ上のユーザ staff のパスワードを入力します。
図 6‒21 ランニングコンフィグレーションへの反映例
> enable
# copy ftp://staff@[2001:240:400::101]/backup.cnf running-config
Configuration file copy to running-config?
(y/n): y
Authentication for 2001:240:400::101.
User: staff
Password: xxx …1 transferring…
Data transfer succeeded.
#
1. リモートサーバ上のユーザ staff のパスワードを入力します。
6.5.3 zmodem コマンドを使用したファイル転送
本装置と RS232C ケーブルで接続されているコンソールとの間でファイル転送をするときは zmodem コ
マンドを使用します。
(1) バックアップコンフィグレーションファイルを本装置に転送する場合
バックアップコンフィグレーションファイルを格納するディレクトリ(/usr/home/operator)にバック
アップコンフィグレーションファイルを転送後,運用コマンド copy を使用してスタートアップコンフィグ
レーションにコピーします。zmodem コマンドを使用してバックアップコンフィグレーションファイルを
本装置に転送する例を次の図に示します。
図 6‒22 バックアップコンフィグレーションファイルの本装置へのファイル転送例(zmodem コマンド)
> cd /usr/home/operator
> zmodem get backup.cnf …1
**B000000027fed4
**B000000027fed4
> enable
# copy /usr/home/operator/backup.cnf startup-config …2
Configuration file copy to startup-config ? (y/n): y …3
#
1. バックアップコンフィグレーションファイルを転送します。転送後のファイル名は転送元で指定した
ファイル名と同じになります。
2. backup.cnf のバックアップコンフィグレーションファイルをスタートアップコンフィグレーションに
使用します。
3. 入れ替えてよいかどうかの確認です。
(2) バックアップコンフィグレーションファイルをコンソールに転送する場合
本装置に格納したバックアップコンフィグレーションファイルをコンソールに転送する例を次の図に示し
ます。
108
6 コンフィグレーション
図 6‒23 バックアップコンフィグレーションファイルのコンソールへのファイル転送例
> cd /usr/home/operator
> enable
# copy running-config backup.cnf …1
Configuration file copy to /usr/home/operator/backup.cnf? (y/n) : y
# exit
> zmodem put backup.cnf …2
**000000000000
>
1. 運用しているコンフィグレーションファイルをバックアップコンフィグレーションファイルへコピー
します。
2. バックアップコンフィグレーションファイルを転送します。
6.5.4 ftp コマンドを使用したファイル転送
リモート運用端末との間でファイル転送をするときは ftp コマンドを使用します。
(1) バックアップコンフィグレーションファイルを本装置に転送する場合
バックアップコンフィグレーションファイルを格納するディレクトリ(/usr/home/operator)にバック
アップコンフィグレーションファイルを転送後,運用コマンド copy を使用してスタートアップコンフィグ
レーションにコピーします。ftp コマンドを使用してバックアップコンフィグレーションファイルを本装
置に転送する例を次の図に示します。
図 6‒24 バックアップコンフィグレーションファイルの本装置へのファイル転送例(ftp コマンド)
> cd /usr/home/operator
> ftp 192.168.0.1
Connect to 192.168.0.1.
220 FTP server (Version wn-2.4(4) Wed Jan 1 00:00:00 JST 1999) ready.
Name (192.168.0.1:operator): test
331 Password required for test.
Password:xxxxxx
230 User test logged in.
Remote system type UNIX.
Using binary mode to transfer files.
ftp> get backup.cnf …1 local: backup.cnf remote: backup.cnf
200 PORT command successful.
150 Opening BINARY mode data connection for backup.cnf (12,345 bytes)
226 Transfer complete.
ftp> bye
221 Goodby
> enable
# copy /usr/home/operator/backup.cnf startup-config …2
Configuration file copy to startup-config ? (y/n): y …3
#
1. バックアップコンフィグレーションファイルを転送します。
2. backup.cnf のバックアップコンフィグレーションファイルをスタートアップコンフィグレーションに
使用します。
3. 入れ替えてよいかどうかの確認です。
(2) バックアップコンフィグレーションファイルをリモート運用端末へ転送する場合
本装置に格納したバックアップコンフィグレーションファイルをリモート運用端末へ転送する例を次の図
に示します。
109
6 コンフィグレーション
図 6‒25 バックアップコンフィグレーションファイルのリモート運用端末へのファイル転送例
> cd /usr/home/operator
> enable
# copy running-config backup.cnf …1
Configuration file copy to /usr/home/operator/backup.cnf? (y/n) : y
# exit
> ftp 192.168.0.1
Connect to 192.168.0.1.
220 FTP server (Version wn-2.4(4) Fri Jan 1 00:00:00 JST 1999) ready.
Name (192.168.0.1:operator): test
331 Password required for test.
Password:xxxxxx
230 User test logged in.
Remote system type UNIX.
Using binary mode to transfer files.
ftp> put backup.cnf …2 local: backup.cnf remote: backup.cnf
200 PORT command successful.
150 Opening BINARY mode data connection for backup.cnf (12,345 bytes)
226 Transfer complete.
ftp> bye
221 Goodby
>
1. 運用しているコンフィグレーションファイルをバックアップコンフィグレーションファイルへコピー
します。
2. バックアップコンフィグレーションファイルを転送します。
6.5.5 MC を使用したファイル転送
MC にファイル転送をするときは cp コマンドを使用します。
(1) バックアップコンフィグレーションファイルを本装置に転送する場合
バックアップコンフィグレーションファイルを格納するディレクトリ(/usr/home/operator)にバック
アップコンフィグレーションファイルを MC から転送後,運用コマンド copy を使用してスタートアップ
コンフィグレーションにコピーします。cp コマンドを使用してバックアップコンフィグレーションファイ
ルを本装置に転送する例を次の図に示します。
図 6‒26 バックアップコンフィグレーションファイルの MC から本装置へのファイル転送例(cp コマン
ド)
> cd /usr/home/operator
> cp mc-file backup.cnf backup.cnf …1
> enable
# copy /usr/home/operator/backup.cnf startup-config …2
Configuration file copy to startup-config? (y/n): y …3
#
1. バックアップコンフィグレーションファイルを MC から転送します。
2. backup.cnf のバックアップコンフィグレーションファイルを運用に使用します。
3. 入れ替えてよいかどうかの確認です。
(2) バックアップコンフィグレーションファイルを MC に転送する場合
本装置に格納したバックアップコンフィグレーションファイルを MC に転送する例を次の図に示します。
図 6‒27 バックアップコンフィグレーションファイルの MC へのファイル転送例
> cd /usr/home/operator
> enable
# copy running-config backup.cnf …1
110
6 コンフィグレーション
Configuration file copy to /usr/home/operator/backup.cnf? (y/n) : y
# exit
> cp backup.cnf mc-file backup.cnf …2
>
1. 運用しているコンフィグレーションファイルをバックアップコンフィグレーションファイルへコピー
します。
2. バックアップコンフィグレーションファイルを MC へ転送します。
6.5.6 バックアップコンフィグレーションファイル反映時の注意事項
運用コマンド copy を使用して,バックアップコンフィグレーションファイルをランニングコンフィグレー
ションにコピーする場合,運用中のポートが再起動しますので,ネットワーク経由でログインしている場合
は注意してください。
バックアップコンフィグレーションファイルの内容が本装置の構成と一致していない場合は,バックアップ
コンフィグレーションファイルの内容を変更してから運用コマンド copy を使用してください。本装置の
構成と一致していないバックアップコンフィグレーションファイルに copy コマンドを実行すると,copy
コマンドがエラー終了するか,copy コマンドが正常終了しても運用には正常に反映されないことがありま
す。その際は,バックアップコンフィグレーションファイルの内容を変更してから,再度 copy コマンドを
実行してください。
111
7
スタックの解説
この章ではスタックについて解説します。
113
7 スタックの解説
7.1 スタックの概要
7.1.1 概要
スタックは,複数の装置を接続して論理的に 1 台の装置として動作させます。複数の装置を論理的な 1 台
の装置として管理する機能をスタック機能と呼びます。スタックには,次に示す特長があります。
• 一元管理
複数の装置を 1 台の装置として運用できます。
• 冗長性
複数の装置で構成されるため,一部の障害でも通信を継続できます。
• 拡張性
装置を追加することで,利用できるポート数を増やせます。
スタック機能が動作している装置をイーサネットインタフェースで接続すると,スタックを構成します。ス
タックの構成例を次の図に示します。
図 7‒1 スタックの構成例
スタックを構成するそれぞれの装置をメンバスイッチと呼び,メンバスイッチを識別するための番号をス
イッチ番号と呼びます。また,スタックを構成するメンバスイッチのうち一つをマスタスイッチ,一つを
バックアップスイッチと呼びます。このメンバスイッチ間を接続するポートをスタックポート,スタック
ポートで 2 台のメンバスイッチを接続する回線を スタックリンクと呼びます。
スタックは 1 台のメンバスイッチでも構成でき,最大で 2 台です。また,1 台のメンバスイッチに設定で
きるスタックポートは最大で 6 ポートです。
マスタスイッチはスタックを構成するメンバスイッチを制御します。バックアップスイッチはマスタス
イッチに障害が発生した場合に,新しいマスタスイッチとして動作します。
7.1.2 スタックとスタンドアロン
スタック機能が動作していないスイッチ状態をスタンドアロンと呼びます。スタンドアロンの装置がス
タックを構成することはなく,必ず 1 台で動作します。
114
7 スタックの解説
本装置はスタック機能を動作させることで,スタックを構成します。スタック機能を動作させるには,コン
フィグレーションコマンド stack enable を設定したあと,スタートアップコンフィグレーションに保存し
てから装置を再起動する必要があります。
また,スタック機能が動作している装置をスタンドアロンに戻すには,コンフィグレーションコマンド no stack enable で設定を削除したあと,スタートアップコンフィグレーションに保存してから装置を再起動
する必要があります。
スタックでサポートしていない機能が必要な場合は,スタンドアロンで使用してください。
7.1.3 サポート機能
各機能のスタックでのサポート状況を次の表に示します。
表 7‒1 スタックでのサポート状況
運用管理
項目
コンソールからのログイン
リモート運用端末からのログイン
コンフィグレーションの操作と編集
ログインセキュリティと RADIUS/
TACACS+
時刻の設定と NTP
ホスト名と DNS
省電力機能
サポート
状況
○
○
○
○
○
○
△
−
なし
備考
コンフィグレーションコマ
ンド shutdown による
ポートの電力供給 OFF を
サポートします。
なし
ネットワークインタフェー
ス
OAN(Open Autonomic
Networking)
イーサネット
レイヤ 2 スイッチ
リンクアグリゲーション
MAC アドレス学習
VLAN
△
○
△
△
回線テストは未サポートで
す。
なし
MAC アドレス学習の制限
機能は未サポートです。
MAC VLAN は未サポート
です。また,VLAN ID
4094 は使用できません。
なし VLAN トンネリング
Tag 変換
ポート間中継遮断
レイヤ 2 中継遮断
○
○
○
○
115
7 スタックの解説
項目
スパニングツリー
Ring Protocol
フィルタ
レイヤ 2 認証
IGMP snooping
MLD snooping
フロー検出モード
アクセスリスト
QoS
IEEE 802.1X
Web 認証
MAC 認証
認証 VLAN
DHCP snooping
GSRP
セキュリティ
冗長化構成による高信頼化
機能
ネットワークの障害検出に
よる高信頼化機能
VRRP
アップリンク・リダンダント
IEEE802.3ah/UDLD
ストームコントロール
L2 ループ検知
−
−
○
○
○
−
−
−
−
−
○
○
−
−
○
−
サポート
状況
−
△
備考
スタック構成のノードを含
むリングネットワークで
は,次の機能は未サポート
です。
• スパニングツリーとの
併用
• GSRP との併用
• 仮想リンク
また,スタック構成のノー
ドは,次に示す設定ができ
ません。
• 共有ノードの設定
• 一つのリング ID で,同
一メンバスイッチに二
つのリングポートを設
定
• 複数のメンバスイッチ
にわたるリンクアグリ
ゲーションを,リング
ポートに設定
なし
なし
なし
なし
GSRP aware として動作
できます。
なし
なし
116
7 スタックの解説
項目
CFM
リモートネットワーク管理 SNMP
隣接装置情報の管理
ポートミラーリング
IPv4 パケット中継
IPv4 ルーティングプロト
コル
IPv6 パケット中継
IPv6 ルーティングプロト
コル
ログ出力機能 sFlow 統計
LLDP
OADP
ポートミラーリング
IPv4・ARP・ICMP
ループバックインタフェース
Null インタフェース
ポリシーベースルーティング
DHCP リレー機能
DHCP サーバ機能
ルーティングオプション
経路集約
スタティックルーティング
RIP
OSPF
BGP4
経路フィルタリング
IPv4 マルチキャスト
IPv6・NDP・ICMPv6
ループバックインタフェース
Null インタフェース
RA
IPv6 DHCP リレー
IPv6 DHCP サーバ機能
ルーティングオプション
○
○
○
○
−
○
○
○
○
○
○
○
−
−
○
−
○
○
○
−
−
○
○
○
○
○
サポート
状況
−
△
備考
RMON は未サポートです。
また,一部の MIB は未サ
ポートです。詳細はマニュ
アル「MIB レファレンス」
を参照してください。
なし
なし
なし
なし
なし
なし
なし
117
7 スタックの解説
項目
経路集約
スタティックルーティング
RIPng
OSPFv3
BGP4+
経路フィルタリング
IPv6 マルチキャスト
ネットワーク経路監視機能 BFD
ネットワークパーティショ
ン
VRF
(凡例)○:サポート △:一部サポート −:未サポート
−
−
○
○
○
サポート
状況
○
○
○
○
なし
なし
備考
118
7.2 スタック構成
7.2.1 スタック構成
スタックを構成するメンバスイッチは最大で 2 台です。
(1) メンバスイッチ 2 台でのスタック構成
メンバスイッチ 2 台でのスタック構成例を次の図に示します。
図 7‒2 メンバスイッチ 2 台でのスタック構成例
7 スタックの解説
スタック構成ではマスタスイッチがほかのメンバスイッチを制御して,仮想的に 1 台の装置として動作し
ます。
スタック構成時のリンクアグリゲーションは,スタックを構成するそれぞれのメンバスイッチに対して設定
することをお勧めします。この設定によって,一つのメンバスイッチで障害が発生しても通信を継続できま
す。
また,スタックリンクに障害が発生し,メンバスイッチ間で通信できなくなると,スタックが分かれ,どち
らもマスタスイッチになります。これによって,通信ができなくなるおそれがあります。この状態を避ける
ため,スタックリンクを 2 本以上設定して,冗長化しておくことをお勧めします。
(2) メンバスイッチ 1 台でのスタック構成
1 台のメンバスイッチでもスタックを構成できます。
メンバスイッチ 2 台でスタックを構成する場合でも,まずメンバスイッチ 1 台のスタックを構成すれば,
その後,それぞれのメンバスイッチのスタックポートを接続し,メンバスイッチ 2 台のスタックに移行で
きます。
また,最初からメンバスイッチ 1 台のスタックで運用すれば,運用中に通信を停止することなく,装置を
追加して利用できるポート数を増やせます。
119
7 スタックの解説
7.2.2 メンバスイッチのモデル
マスタスイッチとなるメンバスイッチでは,スタックを構成するメンバスイッチのモデルを設定する必要が
あります。なお,マスタスイッチとは異なるモデルのメンバスイッチも設定できます。ただし,AX3800S
では AX3650S を,AX3650S では AX3800S をメンバスイッチのモデルとして設定できません。
自メンバスイッチのモデルは起動時に自動で設定されます。ほかのメンバスイッチのモデルはコンフィグ
レーションコマンド switch provision で設定します。
7.2.3 スタックを構成する条件
スタックを構成する場合は,メンバスイッチ間で次の条件をすべて満たすようにしてください。
• スイッチ番号が異なること
• オプションライセンスが一致すること
• ソフトウェアの種類およびソフトウェアバージョンが一致すること
なお,オプションライセンス,ソフトウェアの種類およびソフトウェアバージョンが一致していないと,マ
スタスイッチ以外のメンバスイッチが再起動を繰り返すことがあります。その後,そのメンバスイッチはデ
フォルト設定情報で起動します。
また,ソフトウェアの種類およびソフトウェアバージョンが一致していなくても,コンフィグレーションが
一致していればスタックを構成できます。しかし,コンフィグレーションを編集できません。
120
7 スタックの解説
7.3 スタックの基本機能
7.3.1 スイッチ番号
スイッチ番号とは,スタックを構成するメンバスイッチを識別するための番号です。各メンバスイッチ固有
の情報であり,スタックを構成しても引き継がれます。スイッチ番号には 1 または 2 が設定できます。
スイッチ番号は運用コマンド set switch で設定します。設定したあと,メンバスイッチを再起動すると有
効になります。
なお,スタンドアロンの場合,スイッチ番号は 1 固定です。そのため,運用コマンド set switch で 1 以外
の値を設定しても,スタック機能を有効にしなければ再起動後のスイッチ番号は 1 となります。
7.3.2 スタックポートとスタックリンク
スタックポートとは,スタックを構成するメンバスイッチ間を接続するポートで,メンバスイッチ当たり 6
ポートまで使用できます。AX3800S では 37〜44 番の SFP/SFP+共用ポートと QSFP+ポートを,
AX3650S では SFP/SFP+共用ポートだけを,スタックポートとして使用できます。
スタックリンクとは,2 台のメンバスイッチのスタックポート間を接続した回線です。スタックリンクは回
線で直接接続してください。2 台のメンバスイッチを接続するスタックポートの間に,ほかのネットワーク
機器を接続しないでください。
メンバスイッチ間はスタックリンクで通信します。メンバスイッチ間の通信帯域を確保するため,スタック
ポートは 10 ギガビット以上の帯域を持つインタフェースを使用することをお勧めします。なお,
AX3800S では 10 ギガビット以上の帯域に対応したトランシーバを使用したときだけ,スタックポートが
動作します。
メンバスイッチ 2 台のスタックではスタックリンクが必要です。スタックリンクは 2 本以上設定すること
をお勧めします。2 本以上のスタックリンクで冗長化すると,特定のスタックリンクで障害が発生しても,
残りのスタックリンクで動作し続けます。
スタックリンクが 2 本以上の場合,スタックリンクでメンバスイッチ間の通信をロードバランスします。
このとき,スタックリンク同士の通信性能が異なると,ロードバランスの結果パケットが廃棄されるおそれ
が高くなります。スタックリンクを 2 本以上設定する場合は,スタックポートに使用するダイレクトア
タッチケーブルやトランシーバ種別(SFP/SFP+/QSFP+)を同じにして回線速度を統一してください。
スタックポートは,コンフィグレーションコマンド switchport mode の stack パラメータで設定します。
なお,スタックポートとして使用するイーサネットインタフェースでは,次に示すコンフィグレーションコ
マンドだけが設定できます。
• bandwidth
• description
• no snmp trap link-status
• shutdown
これら以外のコンフィグレーションコマンドは,コマンド省略時の動作になります。ただし,次に示すコン
フィグレーションコマンドはコマンド省略時の動作にならないため注意してください。
• flowcontrol
121
7 スタックの解説
受信および送信動作どちらも off になります。
• link debounce
リンクダウン検出時間はスタックポート固有の値となります。
• mtu
MTU はスタック固有の値となります。コンフィグレーションコマンド system mtu の設定値に影響さ
れません。
7.3.3 スイッチ状態
ここでは,スイッチ状態とスイッチ状態遷移後の変更処理について説明します。
(1) スイッチ状態一覧
スイッチ状態一覧を次の表に示します。なお,英字略称はログまたはコマンドプロンプトで,スイッチ状態
の識別のために使われます。
表 7‒2 スイッチ状態一覧
スイッチ状態
英字
略称
説明
初期状態
スタンドアロン
マスタ
バックアップ
I
S
M
B
装置が起動したあと,スイッチ状態が次のどれかに決まるまでの状態。
• スタンドアロン
• マスタ
• バックアップ
スタックを構成しない装置の状態。
スタックを構成していて,ほかのメンバスイッチを制御するメンバスイッ
チの状態。
スタックを構成していて,かつ,現在のマスタスイッチに障害が発生した
場合マスタスイッチに切り替わるメンバスイッチの状態。
(2) スイッチ状態遷移後の変更処理
スイッチ状態が遷移すると,メンバスイッチは遷移後のスイッチ状態で正しく動作するために次に示す処理
をします。
• 初期化
• 切り替え
これらの処理を変更処理と呼びます。遷移前と遷移後のスイッチ状態によって,必要な変更処理が異なりま
す。また,変更処理には時間が掛かります。
(a) 初期状態からマスタへ遷移した場合の変更処理
スイッチ状態が初期状態からマスタへ遷移すると,変更処理として,転送動作を始めるための初期化をしま
す。初期化中のマスタスイッチは,スタックポートでメンバスイッチと接続しても,メンバスイッチをすぐ
に追加しません。初期化が完了してから,接続したメンバスイッチを追加します。
122
7 スタックの解説
(b) 初期状態からバックアップへ遷移した場合の変更処理
スイッチ状態が初期状態からバックアップへ遷移すると,変更処理として,転送動作を始めるための初期化
をします。初期化中のバックアップスイッチはマスタスイッチとの接続がなくなると再起動します。その
ため,バックアップスイッチの初期化中に,マスタスイッチが停止または再起動すると,パケットの転送を
継続できません。初期化が完了したバックアップスイッチは,マスタスイッチとの接続がなくなった時点
で,マスタスイッチに切り替わります。したがって,初期化が完了したあとマスタスイッチとの接続がなく
なっても,バックアップスイッチのポートがアップしていれば,パケットの転送を継続できます。
なお,初期化中のバックアップスイッチに対しては,マスタスイッチから運用コマンドを実行して情報を表
示したり,操作したりできません。バックアップスイッチの初期化が完了してから,再度実行してくださ
い。
(c) バックアップからマスタへ遷移した場合の変更処理
スイッチ状態がバックアップからマスタへ遷移すると,変更処理として,新しいマスタスイッチとして動作
するための切り替えをします。切り替え中のマスタスイッチは,スタックポートでメンバスイッチと接続し
ても,メンバスイッチをすぐに追加しません。切り替えが完了してから,接続したメンバスイッチを追加し
ます。
7.3.4 マスタスイッチの役割と選出
マスタスイッチは,スタック全体を制御するスイッチであり,スイッチ状態,マスタ選出優先度およびメン
バスイッチの筐体 MAC アドレスの三つの要素に従って選出されます。
ここでは,マスタスイッチの役割とマスタスイッチの選出について説明します。
(1) マスタスイッチの役割
マスタスイッチはスタックを構成するすべてのメンバスイッチとその機能を制御します。スタックを構成
するすべてのメンバスイッチは,マスタスイッチのコンフィグレーションとマスタスイッチからの制御に
従って動作します。
マスタスイッチはメンバスイッチの代表であり,リモート運用端末からスタックへログインすると,必ずマ
スタスイッチへログインします。
ログインしたマスタスイッチでは,次に示す操作ができます。
• コンフィグレーションの編集
• すべてのメンバスイッチのオペレーション
• すべてのメンバスイッチの運用メッセージ・運用ログの確認
(2) マスタスイッチの選出
マスタスイッチは次に示す基準で選出されます。
(a) すでにマスタスイッチがある場合
既存のマスタスイッチをそのままマスタスイッチに選びます。
すでに動作しているスタックに新しいメンバスイッチをスタックポートで接続して起動しても,既存のマス
タスイッチがマスタ状態を継続します。これによって,スタックの転送機能を維持したまま新しいメンバス
イッチを追加できます。
123
7 スタックの解説
例外として,マスタスイッチのマスタ選出優先度が 1 であり,それ以外にマスタ選出優先度が 2 以上のメ
ンバスイッチがある場合,マスタ選出優先度が 2 以上のメンバスイッチをマスタスイッチに選びます。
(b) マスタスイッチが 1 台もない場合
バックアップスイッチをマスタスイッチに選びます。
(c) マスタスイッチおよびバックアップスイッチが 1 台もない場合
マスタ選出優先度が最も大きいメンバスイッチをマスタスイッチに選びます。マスタ選出優先度も同じ場
合は,筐体 MAC アドレスが最も小さいメンバスイッチをマスタスイッチに選びます。
(d) マスタスイッチが 2 台ある場合
マスタ選出優先度が最も大きいメンバスイッチをマスタスイッチに選びます。マスタ選出優先度も同じ場
合は,筐体 MAC アドレスが最も小さいメンバスイッチをマスタスイッチに選びます。
(3) マスタスイッチ選出の例
マスタスイッチを選出する例を次に示します。
(例 1)メンバスイッチ 1 台のスタックにメンバスイッチを追加した
スタックで動作しているメンバスイッチが 1 台だけでマスタスイッチとして動作しているとき,別のメ
ンバスイッチを起動した場合,元のマスタスイッチのマスタ状態は継続します。選出基準の(a)に該当し
ます。
ただし,元のマスタスイッチのマスタ選出優先度が 1 であり,かつ追加したメンバスイッチのマスタ選
出優先度が 2 以上の場合,追加したメンバスイッチがマスタスイッチに選ばれます。元のマスタスイッ
チは再起動し,スタックのマスタスイッチではないメンバスイッチとなります。
(例 2)2 台のメンバスイッチを同時に起動した
スタックポートで接続済みの 2 台のメンバスイッチを同時に起動した場合,マスタ選出優先度,筐体
MAC アドレスの順に比較され,マスタスイッチが選ばれます。選出基準の(c)に該当します。
(例 3)マスタスイッチとマスタスイッチを接続した
1 台のメンバスイッチでスタックを構成している二つのスタックを接続した場合,マスタ選出優先度,
筐体 MAC アドレスの順に比較され,マスタスイッチが選ばれます。選出基準の(d)に該当します。
マスタスイッチに選ばれなかったメンバスイッチは再起動し,マスタスイッチに選ばれたメンバスイッ
チのスタックに加わります。
(4) 2 台構成のスタックでマスタスイッチの選出を固定する方法
2 台構成のスタックのすべてのメンバスイッチを起動するときに,選んだメンバスイッチをマスタスイッチ
にするには,次に示す二つの方法があります。
• マスタスイッチにする予定のメンバスイッチのマスタ選出優先度に 2 以上を設定し,マスタスイッチに
しない予定のメンバスイッチのマスタ選出優先度に 1 を設定してください。
• マスタスイッチにする予定のメンバスイッチを先に起動してください。マスタスイッチとして起動し
終わったあとに,マスタスイッチにしない予定のメンバスイッチを起動してください。
(5) マスタ選出優先度
マスタ選出優先度とは,スタックを構成するメンバスイッチからマスタスイッチを選出するための優先度で
す。マスタ選出優先度として,1 から 31 までの値をコンフィグレーションコマンド switch priority で設定
できます。
124
7 スタックの解説
マスタ選出優先度が大きいメンバスイッチは,スタックを構成するすべてのメンバスイッチを同時に起動し
たときに,優先してマスタスイッチに選ばれます。しかし,すでにマスタスイッチが動作しているスタック
にマスタ選出優先度が大きいメンバスイッチを追加して起動しても,既存のマスタスイッチのマスタ選出優
先度が 1 以外であれば,既存のマスタスイッチがマスタ状態を継続します。
マスタ選出優先度 1 は特別な優先度です。メンバスイッチが 2 台動作していて,1 台のメンバスイッチの
マスタ選出優先度が 1,もう 1 台のメンバスイッチのマスタ選出優先度が 2 以上であれば,必ずマスタ選
出優先度が 2 以上のメンバスイッチをマスタスイッチに選びます。
例えば,1 台のマスタ選出優先度 1 のマスタスイッチで構成されたスタックに,マスタ選出優先度が 2 以
上のメンバスイッチを追加して起動すると,追加したメンバスイッチがマスタスイッチに選ばれます。
なお,マスタスイッチを切り替えるときに,元のマスタスイッチ(マスタ選出優先度 1)と追加したメンバ
スイッチが共に再起動するため,通信が一時的に停止します。
マスタ選出優先度を 1 に設定したメンバスイッチは,次の場合を除いてマスタスイッチに選出されません。
• スタックを構成するメンバスイッチが 1 台しかない場合
• スタックを構成するすべてのメンバスイッチのマスタ選出優先度が 1 の場合
既存のスタックにメンバスイッチを追加するときは,追加するメンバスイッチのマスタ選出優先度を 1 に
設定してください。これは,メンバスイッチを追加すると同時に既存のマスタスイッチが障害などで再起動
した場合,追加したメンバスイッチがマスタスイッチになって,旧マスタスイッチのコンフィグレーション
が追加したメンバスイッチのコンフィグレーションに置き換わることを防ぐためです。なお,スタックが構
築されたあと,バックアップスイッチのマスタ選出優先度は,マスタスイッチで設定したマスタ選出優先度
に変更されます。
7.3.5 スタックの装置 MAC アドレス
初めてスタックを構成したときマスタスイッチに選出されたメンバスイッチの筐体 MAC アドレスを,ス
タックの装置 MAC アドレスとして使用します。その後,マスタスイッチに障害が発生してバックアップス
イッチが新しいマスタスイッチになっても,スタックの装置 MAC アドレスは変更しないでそのまま引き継
ぎます。
なお,すべてのメンバスイッチが同時に再起動した場合は,新しくマスタスイッチに選出されたメンバス
イッチの筐体 MAC アドレスがスタックの装置 MAC アドレスとなります。
125
7 スタックの解説
7.4 スタックの運用管理
(1) コンフィグレーション
(a) メンバスイッチのコンフィグレーション
スタックでは,スタックを構成するすべてのメンバスイッチが同じコンフィグレーションで動作します。各
メンバスイッチにはスタートアップコンフィグレーションとランニングコンフィグレーションがあります
が,ランニングコンフィグレーションをすべてのメンバスイッチで同じ状態にしてスタックは動作します。
(b) ランニングコンフィグレーションの編集
スタック構成時のランニングコンフィグレーションはマスタスイッチだけで編集できます。マスタスイッ
チ以外では,ランニングコンフィグレーションを編集できません。マスタスイッチで編集したランニングコ
ンフィグレーションは,ほかのメンバスイッチのランニングコンフィグレーションと同期します。また,マ
スタスイッチで save コマンドを実行すると,すべてのメンバスイッチのランニングコンフィグレーション
がそれぞれのスタートアップコンフィグレーションに保存されます。
(c) あとから起動したメンバスイッチとの同期までの流れ
スタック運用中に,メンバスイッチがあとから起動したときは,マスタスイッチのランニングコンフィグ
レーションとあとから起動したメンバスイッチのスタートアップコンフィグレーションが同じかどうかを
確認します。
• コンフィグレーションが同じ場合
あとから起動したメンバスイッチはそのままスタックの一部となります。
• コンフィグレーションが異なる場合
次の図に示すような手順でコンフィグレーションを一致させ,メンバスイッチをスタックの一部にしま
す。
126
図 7‒3 コンフィグレーションの一致まで流れ
7 スタックの解説
1. マスタスイッチのランニングコンフィグレーションとあとから起動したメンバスイッチのスタート
アップコンフィグレーションを比較すると不一致である。
2. メンバスイッチではマスタスイッチのランニングコンフィグレーションをスタートアップコンフィ
グレーションにコピーし,再起動する。
3. マスタスイッチのランニングコンフィグレーションと再起動したメンバスイッチのスタートアップ
コンフィグレーションが一致したため,メンバスイッチはマスタスイッチのランニングコンフィグ
レーションに同期したランニングコンフィグレーションで動作する。
(2) 運用コマンドの実行
スタックでは,マスタスイッチから運用コマンドを使用して,メンバスイッチの情報を表示したり,操作し
ク構成時の運用]を確認してください。また,運用コマンド remote command を使用しても,マスタス
イッチから指定したメンバスイッチに対して運用コマンドを実行できます。
なお,remote command コマンドを実行するときは,次に示す点に注意してください。
127
7 スタックの解説
• マスタスイッチ以外のメンバスイッチでは,ほかのメンバスイッチに対して運用コマンドを実行できま
せん。
• remote command コマンドは,初期化が完了したメンバスイッチに対して実行できます。初期化中の
メンバスイッチに対しては実行できません。その場合は,初期化が完了してから再度実行してくださ
い。
• remote command コマンドを含む運用コマンドを連続して実行する場合は,remote command コマ
ンドが終了してプロンプトが表示されたあとに,次の運用コマンドを実行してください。remote command コマンドを含む運用コマンドをコピー&ペーストで入力して実行した場合,remote command コマンドよりあとの運用コマンドが実行されないことがあります。その場合は実行されな
かった運用コマンドを再度入力して実行してください。
(3) ユーザアカウント
スタックでは,マスタスイッチ以外のメンバスイッチのユーザアカウントはマスタスイッチのユーザアカウ
ントに同期します。したがって,マスタスイッチ以外のメンバスイッチだけに存在するユーザアカウント
は,スタックを構成するときに削除されます。なお,ホームディレクトリ配下のファイルは同期しません。
(4) メンバスイッチへのログイン
スタックでは,運用コマンド session を使用するか,またはコンソールを接続してそれぞれのメンバスイッ
チにログインできます。
どのメンバスイッチにログインしているかは,コマンドプロンプトで識別できます。例えば,コンフィグ
レーションコマンド hostname で OFFICE1 を設定していて,スイッチ番号 1 がマスタスイッチ,スイッ
チ番号 2 がバックアップスイッチの場合,コマンドプロンプトは次のようになります。
• マスタスイッチのコマンドプロンプト:OFFICE1>
• バックアップスイッチのコマンドプロンプト:OFFICE1-02B>
バックアップスイッチのコマンドプロンプトのハイフン“-”以降は,スイッチ番号(2 文字)とスイッチ
状態(1 文字)を意味します。
なお,あとから起動したメンバスイッチにログインできるのは,マスタスイッチと起動したメンバスイッチ
の接続が完了してからです。あとから起動したメンバスイッチにログインできないときは,運用コマンド show switch でメンバスイッチの状態を確認するか,またはログイン用のコマンドプロンプトが表示され
るまで待ってください。
リモート運用端末からログインする場合は,マスタスイッチにログインします。
運用コマンド session で接続しているときに一定時間キーの入力がない場合,自動ログアウトの対象となっ
て,接続を終了して接続元のスイッチに戻ります。
(5) メンバスイッチの時刻
マスタスイッチ以外のメンバスイッチの時刻は,マスタスイッチの時刻に同期します。ただし,時刻は秒単
位で同期するため,メンバスイッチ間で誤差が発生することがあります。
マスタスイッチで運用コマンド set clock を実行すると,ほかのメンバスイッチの時刻は,最大で 1 分後に
同期します。
128
7 スタックの解説
(6) ソフトウェアの管理
(a) ソフトウェアのアップデート
ソフトウェアをアップデートするときは,1 台のメンバスイッチのアップデートが完了してそのポートが
アップしたあと,もう 1 台をアップデートしてください。なお,バックアップスイッチ,マスタスイッチ
の順でアップデートすることをお勧めします。
運用コマンド show switch でアップデートの完了を確認してください。アップデートを実施したメンバス
イッチの初期化が完了していれば,アップデートが完了しています。また,運用コマンド show port でポー
トがアップしていることを確認してください。
(b) ソフトウェアのアップグレード
L3S ライトソフトウェアのメンバスイッチを L3S アドバンスドソフトウェアに変更するときは,1 台のメ
ンバスイッチのアップグレードが完了してそのポートがアップしたあと,もう 1 台をアップグレードして
ください。なお,バックアップスイッチ,マスタスイッチの順でアップグレードすることをお勧めします。
運用コマンド show switch でアップグレードの完了を確認してください。アップグレードを実施したメン
バスイッチの初期化が完了していれば,アップグレードが完了しています。また,運用コマンド show port
でポートがアップしていることを確認してください。
(c) オプションライセンス
オプションライセンスを設定したあと再起動して適用するときは,バックアップスイッチ,マスタスイッチ
の順で再起動することをお勧めします。
なお,バックアップスイッチの再起動からマスタスイッチの再起動まで時間が掛かると,スタックを構成で
きないことがあります。
(7) 運用情報のバックアップ・リストア
バックアップ・リストアの対象には,メンバスイッチ個別のスタック情報ファイルと呼ぶ情報を含みます。
(8) 運用メッセージとログ
メンバスイッチで発生したイベント情報は,各メンバスイッチの運用端末に運用メッセージとして表示され
るほか,運用ログとして各メンバスイッチに保存されます。
このうち,装置関連の障害およびイベント情報(ログ種別 ERR および EVT)は,マスタスイッチにも通知
されます。つまり,すべてのメンバスイッチで発生した装置関連の障害およびイベント情報がマスタスイッ
チの運用端末に運用メッセージとして表示されるほか,運用ログとしてマスタスイッチに保存されます。ま
た,これらのログは syslog インタフェースを使用してネットワーク上のサーバへ出力できます。
なお,運用メッセージおよびログのフォーマットには,スイッチ番号とスイッチ状態が含まれます。これに
よって,イベントが発生したメンバスイッチやその状態を区別できます。
(9) MIB と SNMP 通知
スタックでは,スタンドアロンと同様に SNMP の設定で MIB の取得や設定,SNMP 通知の送信ができま
す。
129
7 スタックの解説
7.5 障害時と復旧時のスタック動作
この節では,障害時と復旧時のスタック動作について説明します。
7.5.1 メンバスイッチの障害と復旧
(1) マスタスイッチ障害時
マスタスイッチに障害が発生した場合の動作について次の図に示します。
図 7‒4 マスタスイッチ障害時
マスタスイッチに障害が発生して停止すると,バックアップスイッチが新しいマスタスイッチになって,マ
スタスイッチ 1 台のスタックで動作します。このとき,装置 MAC アドレスは変更しません。
(2) 旧マスタスイッチ復旧時
旧マスタスイッチが障害から復旧した場合の動作について次の図に示します。
図 7‒5 旧マスタスイッチ復旧時
130
旧マスタスイッチが障害から復旧すると,このメンバスイッチはバックアップスイッチになって,メンバス
イッチ 2 台のスタックで動作します。このとき,装置 MAC アドレスは変更しません。
(3) バックアップスイッチ障害時
バックアップスイッチに障害が発生した場合の動作について次の図に示します。
図 7‒6 バックアップスイッチ障害時
7 スタックの解説
バックアップスイッチに障害が発生して停止すると,マスタスイッチ 1 台のスタックで動作します。この
とき,装置 MAC アドレスは変更しません。
(4) 旧バックアップスイッチ復旧時
旧バックアップスイッチが障害から復旧した場合の動作について次の図に示します。
図 7‒7 旧バックアップスイッチ復旧時
旧バックアップスイッチが障害から復旧すると,このメンバスイッチはバックアップスイッチになって,メ
ンバスイッチ 2 台のスタックで動作します。このとき,装置 MAC アドレスは変更しません。
7.5.2 スタックリンクの障害と復旧
(1) スタックリンク障害時
すべてのスタックリンクで障害が発生した場合の動作について次の図に示します。
131
7 スタックの解説
図 7‒8 スタックリンク障害時
すべてのスタックリンクで障害が発生すると,マスタスイッチとバックアップスイッチは互いに隣接するメ
ンバスイッチを認識できなくなります。その結果,一つのスタックが二つのスタックに分かれて,マスタス
イッチはマスタスイッチのまま,バックアップスイッチは新しくマスタスイッチに切り替わって動作しま
す。
このとき,二つのスタックでは同じ IP アドレスおよび装置 MAC アドレスを使用するため,アドレスの重
複によって正しく通信できなくなります。
なお,スタックリンクが 2 本以上あれば,特定のスタックリンクで障害が発生しても残りのスタックリン
クで動作し続けられます。しかし,残りのスタックリンクで障害が発生すると,スタックが二つに分かれて
しまうため,スタックリンクの 1 本で障害が発生した場合もすぐに復旧させてください。
(2) スタックリンク復旧時
スタックリンクが障害から復旧した場合の動作について次の図に示します。
図 7‒9 スタックリンク復旧時
132
スタックリンクが障害から復旧すると,二つのスタックに分かれていたメンバスイッチは互いに認識して,
一つのスタックで動作します。
7 スタックの解説
7.5.3 メンバスイッチの通信切り替え
スタックを構成すると,メンバスイッチの障害時や復旧時に短時間で通信を切り替えられます。短時間で通
信を切り替える必要がある場合は,他装置との接続に複数のメンバスイッチに渡るリンクアグリゲーション
の構成を組んだ上で,スタックでの短時間通信切り替えをサポートしている機能を使用してください。機能
ごとのスタックでの短時間通信切り替えサポート状況を次の表に示します。
表 7‒3 スタックでの短時間通信切り替えサポート状況
レイヤ 2 中継
フィルタ・QoS
高信頼化機能
IPv4 パケット中継 ※2
分類
ネットワークインタフェース
リンクアグリゲーション
IPv4 ユニキャストルーティングプロトコル
IPv4 マルチキャストルーティングプロトコル
IPv6 パケット中継 ※2
IPv6 ユニキャストルーティングプロトコル
機能
イーサネット
スタティック
LACP ※1
スタンバイリンク リンクダウンモード
スタンバイリンク 非リンクダウンモード
MAC アドレス学習
ポート VLAN
プロトコル VLAN
Tag 変換
VLAN トンネリング
Ring Protocol
フィルタ
QoS
IEEE802.3ah/UDLD
L2 ループ検知
IPv4・ARP
ポリシーベースルーティング
DHCP リレー
スタティックルーティング
RIP
OSPF
BGP4
PIM-SM
PIM-SSM
IPv6・NDP
スタティックルーティング ○
○
○
○
○
○
○
○
○
○
○
○
○
×
○
○
○
×
×
×
×
×
○
サポート
○
○
×
133
7 スタックの解説
分類
RIPng
OSPFv3
BGP4+
機能 サポート
×
×
×
(凡例)○:サポート ×:未サポート
注※1
マスタスイッチに障害が発生すると,いったんすべてのチャネルグループはダウンします。その後,新しいマスタス
イッチが再度 LACP によるネゴシエーションをして,ネゴシエーションが成功したチャネルグループから順に通信で
きるようになります。
注※2
IPv4/IPv6 パケットのソフトウェア中継および本装置への IPv4/IPv6 通信は,短時間通信切り替えをサポートして
いません。
なお,次の場合は通信を切り替えるのに時間が掛かるため,注意してください。
• スタックに接続する回線の,リンクダウン検出時間またはリンクアップ検出時間が 0 秒ではない場合。
このとき,スタックと対向装置どちらの検出時間も影響します。
• 他装置との接続に,複数のメンバスイッチと接続するリンクアグリゲーションを使用しない場合。次に
例を示します。
• 他装置と接続しているメンバスイッチが 1 台だけである。
• 他装置と接続している複数の回線を,リンクアグリゲーションを使用して束ねていない。
134
7 スタックの解説
7.6 スタックの転送動作
7.6.1 物理ポートの転送動作
(1) 正常時の転送動作
受信したポートと転送先のポートが同じメンバスイッチの場合,そのメンバスイッチ内で転送します。受信
したポートと転送先のポートが異なるメンバスイッチの場合,スタックリンクを経由して転送します。物理
ポートで正常時の転送動作を次の図に示します。
図 7‒10 正常時の転送動作(物理ポート)
(2) 障害時の転送動作
この構成では経路を冗長化していません。そのため,受信したポートと転送先のポートが異なるメンバス
イッチの場合,次のような状態になると転送を継続できません。
• ほかのメンバスイッチの転送先の経路に障害が発生した
• ほかのメンバスイッチに障害が発生した
物理ポートで障害時の転送動作を次の図に示します。
135
7 スタックの解説
図 7‒11 障害時の転送動作(物理ポート)
このような状態になっても転送を継続するために,スタックでリンクアグリゲーションを使用することをお
勧めします。
7.6.2 リンクアグリゲーションの転送動作
(1) 正常時の転送動作
複数のメンバスイッチと接続するリンクアグリゲーションが転送先となる場合,受信したメンバスイッチの
ポートへ優先して転送します。リンクアグリゲーションで正常時の転送動作を次の図に示します。
図 7‒12 正常時の転送動作(リンクアグリゲーション)
(2) 転送元のポート障害時の転送動作
リンクアグリゲーションで転送元のポートが障害になって受信するメンバスイッチが変更された場合,受信
したメンバスイッチのポートへ優先して転送します。リンクアグリゲーションで転送元のポート障害時の
転送動作を次の図に示します。
136
図 7‒13 転送元のポート障害時の転送動作(リンクアグリゲーション)
7 スタックの解説
(3) 転送先のポート障害時の転送動作
リンクアグリゲーションで転送先のポートが障害になって受信したメンバスイッチに転送するポートがな
い場合,スタックリンクを経由してほかのメンバスイッチのポートへ転送します。リンクアグリゲーション
で転送先のポート障害時の転送動作を次の図に示します。
図 7‒14 転送先のポート障害時の転送動作(リンクアグリゲーション)
137
7 スタックの解説
7.7 スタックの禁止構成と注意事項
7.7.1 スタックの禁止構成
(1) メンバスイッチの台数
スタックを構成できるメンバスイッチの台数は 2 台までです。
3 台以上のメンバスイッチではスタックを構成できません。また,1 台のメンバスイッチに異なる 2 台のメ
ンバスイッチをスタックポートで接続しないでください。
(2) スタックリンク
スタックリンクは回線で直接接続してください。2 台のメンバスイッチを接続するスタックポートの間に,
ほかのネットワーク機器を接続しないでください。スタックポートにレイヤ 2 スイッチ,ハブ,メディア
コンバータなどのネットワーク機器を接続した場合,スタックの動作を保障できません。
7.7.2 スタックの注意事項
(1) コンフィグレーションファイルの操作について
• 運用コマンド erase configuration は実行できません。
初期導入時のコンフィグレーションに戻したい場合は,「8.1.7 スタンドアロンへの転用」の手順を実
施したあと,erase configuration コマンドを実行してください。
• ランニングコンフィグレーションファイルをコピー先とする,運用コマンド copy は実行できません。
ランニングコンフィグレーションファイルを変更する場合は,copy コマンドでスタートアップコン
フィグレーションにコピーして,メンバスイッチを再起動してください。
• スタンドアロンで動作している場合,運用コマンド copy で,コンフィグレーションコマンド stack enable が設定されたコンフィグレーションファイルをランニングコンフィグレーションファイルへは
コピーできません。
コピーする場合は,「8.1.2 スタンドアロンからの構築」の手順を実施したあと,copy コマンドを実
行してください。
• メンバスイッチ間でソフトウェアの種類およびソフトウェアバージョンが一致しない場合,コンフィグ
レーションを編集できません。
(2) 装置または VLAN プログラムの再起動が必要なコンフィグレーションについて
スタックでは,変更した内容を反映するために装置または VLAN プログラムの再起動が必要なコンフィグ
レーションを編集した場合,すべてのメンバスイッチを再起動する必要があります。コンフィグレーション
を編集して save コマンドでスタートアップコンフィグレーションに保存したあと,各メンバスイッチを再
起動してください。再起動の手順については「8.2.6 スタックの再起動」を参照してください。
該当するのは次に示すコンフィグレーションコマンドです。
• ip route static maximum-paths
• ipv6 route static maximum-paths
• limit-queue-length
• maximum-paths
138
7 スタックの解説
• swrt_table_resource
• system flowcontrol off
• system l2-table mode
このうち,ip route static maximum-paths,ipv6 route static maximum-paths,および maximumpaths コマンドは,コンフィグレーションの編集後に警告レベルの運用メッセージが出力された場合だけ各
メンバスイッチを再起動する必要があります。詳細は「コンフィグレーションガイド Vol.3 7.4.2 ロード
バランス仕様」を参照してください。
なお,すべてのメンバスイッチを再起動しないでコンフィグレーションを変更したメンバスイッチだけ再起
動して運用すると,再起動したメンバスイッチにだけ新しいコンフィグレーションが適用されます。
例えば,次に示すコンフィグレーションコマンドでテーブルエントリについてのコンフィグレーションを変
更した場合,コンフィグレーションを変更したメンバスイッチだけ再起動して運用すると,テーブルエント
リについてメンバスイッチごとに異なる状態で動作します。
• ip route static maximum-paths
• ipv6 route static maximum-paths
• maximum-paths
• swrt_table_resource
• system l2-table mode
このとき,動作が保障されるテーブルエントリ数は,すべてのメンバスイッチの中で最小となる上限値まで
です。各メンバスイッチのテーブルエントリについて確認するには,運用コマンド show system を実行し
てください。
(3) IPv4 マルチキャスト使用時のパケット転送について
スタックで IPv4 マルチキャストを使用すると,マルチキャスト中継エントリの変更時に,該当する中継エ
ントリで中継対象となるパケットをレイヤ 2 転送しないで廃棄することがあります。また,マルチキャス
ト中継のネガティブキャッシュの変更時にも,該当するネガティブキャッシュでレイヤ 3 廃棄の対象とな
るパケットをレイヤ 2 転送しないで廃棄することがあります。
(4) フローコントロールについて
スタックポートではフローコントロールは動作しません。
スタックでフローコントロールを使用して,あるメンバスイッチで受信バッファが枯渇しても,ほかのメン
バスイッチではバッファが枯渇しないことがあります。そのため,あるメンバスイッチで送信パケットが滞
留して受信バッファが枯渇しても,ほかのメンバスイッチからはポーズパケットが送信されません。
(5) MAC アドレス学習について
スタックでは,各メンバスイッチが個別に MAC アドレスを学習します。あるメンバスイッチが MAC ア
ドレスを学習してからほかのメンバスイッチへ MAC アドレス学習の結果が反映されるまで,AX3800S で
は最大 180 秒,AX3650S では最大 160 秒掛かります。MAC アドレス学習を安定して動作させるために,
学習 MAC アドレスのエージングタイムをデフォルトの 300 秒より短くしないことをお勧めします。
なお,各メンバスイッチが個別に MAC アドレスを学習するため,次に示す二つの制限があります。
139
7 スタックの解説
(a) MAC アドレス学習の移動検出の制限
PC などの端末を,あるメンバスイッチのポートからほかのポートへ移動した場合,端末が移動した先のメ
ンバスイッチが移動を検出して,各メンバスイッチの MAC アドレステーブルに,移動後に学習した MAC
アドレスを反映します。しかし,端末の移動数や移動の頻度によって,次のような障害が発生します。
• 一度に多くの端末が移動すると,移動先を除いて,メンバスイッチの MAC アドレステーブルには,移
動前のポートで学習した MAC アドレスが残ることがあります。この状態では移動前のポートにフ
レームを送信するため,正常に通信できないことがあります。
• AX3800S では,MAC アドレステーブルの収容条件数近くまで MAC アドレスを学習している場合,
多くの端末の移動が頻発すると,各メンバスイッチで学習した MAC アドレスが上記時間内にほかのメ
ンバスイッチに反映されないことがあります。この場合,反映されていない MAC アドレスを宛先とす
るフレームがフラッディングされます。
このような場合は,各メンバスイッチで新たに学習した MAC アドレスが,ほかのメンバスイッチに反映さ
れるまで待ってください。
(b) ユニキャスト通信の制限
2 台の端末がそれぞれ別のメンバスイッチに接続している場合,この 2 台の端末間でユニキャスト通信をし
ても,どちらかの端末からのユニキャスト通信が VLAN 内にフラッディングされることがあります。その
場合,次のどちらかの条件が満たされるまで,待ってください。
• フラッディングされたフレームの宛先である端末から,マルチキャストパケットまたはブロードキャス
トパケットが送信される
• 各メンバスイッチが学習した MAC アドレスがほかのメンバスイッチに反映される
(6) スタックで使用していたメンバスイッチの転用について
スタックでは,初めてスタックを構成したときのマスタスイッチの筐体 MAC アドレスが装置 MAC アド
レスとなります。その後,マスタスイッチに障害が発生しても装置 MAC アドレスは変更しません。
そのため,スタックで使用していたメンバスイッチをスタックから外してこの装置を該当するスタックと同
じネットワークに接続するときは,あらかじめ,スタックの装置 MAC アドレスと外したメンバスイッチの
筺体 MAC アドレスが異なることを確認してください。同じ場合には,該当するメンバスイッチをスタック
から外したあとスタックを再起動することで,スタックの装置 MAC アドレスを変更してください。
なお,スタックの装置 MAC アドレスについては「7.3.5 スタックの装置 MAC アドレス」を,スタック
の再起動については「8.2.6 スタックの再起動」を参照してください。
(7) ソフトウェアをバージョンダウンする場合について
スタックで使用していたメンバスイッチをスタック機能をサポートする前のバージョン(AX3800S では
Ver. 11.10 より前,AX3650S では Ver. 11.8 より前)へバージョンダウンする場合は,バージョンダウ
ンする前にスタンドアロンのコンフィグレーションへ戻してください。これは,バージョンダウンしたあと
コンフィグレーションを編集できなくなるおそれがあるためです。
スタンドアロンのコンフィグレーションへ戻す方法については,「8.1.7 スタンドアロンへの転用」を参照
してください。
なお,スタックのコンフィグレーションが残ったまま前のバージョン(AX3800S では Ver. 11.10 より前,
AX3650S では Ver. 11.8 より前)へバージョンダウンした場合は,運用コマンド erase configuration を
実行して初期導入時のコンフィグレーションに戻してください。
140
7 スタックの解説
(8) マスタスイッチを切り替える場合について
パケットの転送を継続したままマスタスイッチを切り替える場合は,次のどちらも満たしていることを確認
してから切り替えてください。
• バックアップスイッチの初期化が完了している
• バックアップスイッチのポートがアップしている
バックアップスイッチの初期化中にマスタスイッチを切り替えると,初期化中のバックアップスイッチは再
起動するためパケットの転送を継続できません。
バックアップスイッチの初期化が完了しているかどうか運用コマンド show switch で確認できます。ま
た,ポートがアップしているかどうか運用コマンド show port で確認できます。
(9) マスタ選出優先度 1 を使用する場合について
マスタ選出優先度 1 のメンバスイッチ 1 台で構成されたスタックに,マスタ選出優先度 2 以上のメンバス
イッチ 1 台で構成されたスタックを接続した場合,マスタ選出優先度 2 以上のメンバスイッチがマスタス
イッチに選ばれます。マスタ選出優先度 1 のメンバスイッチは再起動し,バックアップスイッチとしてス
タックに加わります。マスタ選出優先度 2 以上のメンバスイッチは,再起動することなくマスタ状態を継
続するため,スタックの転送機能は維持されます。
しかし,マスタ選出優先度 1 のメンバスイッチ 1 台で構成されたスタックに,マスタ選出優先度 2 以上の
メンバスイッチを接続して起動した場合,マスタ選出優先度 2 以上のメンバスイッチは,マスタスイッチ
を検出するため,初期状態でマスタスイッチからのバックアップ遷移指示を待ちます。同時に,マスタ選出
優先度 1 のメンバスイッチは,マスタ選出優先度 2 以上のメンバスイッチを検出するため,再起動します。
バックアップ遷移指示を待っていたメンバスイッチは,マスタスイッチの不在を検出し,再起動します。こ
の間,マスタ選出優先度 2 以上のメンバスイッチがマスタスイッチとして初期化を完了するまで,通信断
となります。
このように,マスタ選出優先度 1 を使用すると,マスタスイッチを切り替えるときに,通信断の時間が長
くなることがあります。
マスタ選出優先度 1 は,既存のスタックにメンバスイッチを追加する場合に,意図しないコンフィグレー
ションの置き換えを防ぐための,一時的な運用に使用してください。通常の運用で,マスタ選出優先度 1
を使用してマスタスイッチの選出を固定するような設定は,お勧めしません。スタック構築後は,マスタ選
出優先度 2 以上を設定して運用することをお勧めします。
(10) ストームコントロール使用時のメンバスイッチの起動時間について
スタックで,受信フレーム数の閾値を設定してストームコントロールを使用している場合,メンバスイッチ
を追加すると,ストームコントロールを使用しない場合と比べて,追加したメンバスイッチの起動完了まで
の時間が数分程度長くなります。なお,メンバスイッチの追加とは次のようなことを指します。
• メンバスイッチ 1 台で構成しているスタックに,ほかのメンバスイッチを追加する
• メンバスイッチ 2 台で構成しているスタックで,一方のメンバスイッチを再起動する
• メンバスイッチ 2 台で構成しているスタックで,ソフトウェアアップデートする
141
8
スタックの設定と運用
この章ではスタックのオペレーションについて説明します。
143
8 スタックの設定と運用
8.1 スタックの設定
この節では,コンフィグレーションコマンドおよび運用コマンドを使用したスタックの構築と,スタンドア
ロンへの転用について説明します。
8.1.1 コンフィグレーション・運用コマンド一覧
スタックのコンフィグレーションコマンド一覧を次の表に示します。
表 8‒1 コンフィグレーションコマンド一覧
コマンド名 説明 stack enable switch priority
スタック機能を有効にします。
マスタ選出優先度を設定します。 switch provision switchport mode ※
スタックを構成するメンバスイッチのモデルを設定します。
スタックを構成するメンバスイッチ間を接続するポートを設定します。
注※
「コンフィグレーションコマンドレファレンス Vol.1 13. VLAN」を参照してください。
スタックの設定に使用する運用コマンド一覧を次の表に示します。
表 8‒2 運用コマンド一覧(スタックの設定)
コマンド名 set switch
説明
メンバスイッチのスイッチ番号を設定します。
8.1.2 スタンドアロンからの構築
次の図に示すように,スタンドアロンの本装置 A および本装置 B からスタックを構築します。
図 8‒1 スタンドアロンからの構築
144
スタンドアロンからスタックを構築する流れを次の表に示します。
8 スタックの設定と運用
表 8‒3 スタンドアロンからスタックを構築する流れ
操作の流れとその内容
(1) 本装置 A と本装置 B のオプションライセンスとソフトウェアを確認
• オプションライセンスの確認
• ソフトウェアの確認
設定対象
本装置 A
(メンバスイッチ A)
本装置 B
(メンバスイッチ B)
本装置 A
(メンバスイッチ A)
(2) 本装置 A をスイッチ番号 1 として 1 台スタックへ移行
• スタック機能の設定
• 装置の再起動
(3) メンバスイッチ A とメンバスイッチ B のコンフィグレーションの設定
• メンバスイッチ A のスタックポートの設定
• メンバスイッチ A のマスタ選出優先度の設定
• メンバスイッチ B のモデルの設定
• メンバスイッチ B のスタックポートの設定
• メンバスイッチ B のマスタ選出優先度の設定
(4) 本装置 B をスイッチ番号 2 として 1 台スタックへ移行
• スイッチ番号の設定
• スタック機能の設定
• 装置の再起動
(5) メンバスイッチ A と接続するためのメンバスイッチ B のコンフィグレーションの設定
• スタックポートの設定
• マスタ選出優先度の設定(1 に設定)
(6) メンバスイッチ A とメンバスイッチ B の 2 台スタックへ移行
• スタックポートの接続
(凡例)−:該当なし
本装置 A
(メンバスイッチ A)
本装置 B
(メンバスイッチ B)
本装置 B
(メンバスイッチ B)
−
(1) 本装置 A と本装置 B のオプションライセンスとソフトウェアを確認
本装置 A と本装置 B のオプションライセンスとソフトウェアの種類およびバージョンを確認します。
本装置 A と本装置 B とでオプションライセンスが異なる場合は,オプションライセンスを追加または削除
して一致させてください。本装置 A と本装置 B とでソフトウェアの種類またはバージョンが異なる場合に
は,ソフトウェアの種類またはバージョンをアップデートして一致させてください。
[手順]
1. > show license
Date 20XX/10/26 12:00:00 UTC
Available: -----
----------------
本装置 A でオプションライセンスを確認します。
2. > show version software
Date 20XX/10/26 12:01:00 UTC
145
8 スタックの設定と運用
S/W: OS-L3SA Ver. 11.12
本装置 A でソフトウェアの種類およびバージョンを確認します。
3. > show license
Date 20XX/10/26 13:00:00 UTC
Available: -----
----------------
本装置 B でオプションライセンスを確認します。手順 1 で確認した本装置 A のオプションライセンス
と同じであることを確認してください。
4. > show version software
Date 20XX/10/26 13:01:00 UTC
S/W: OS-L3SA Ver. 11.12
本装置 B でソフトウェアの種類およびバージョンを確認します。手順 2 で確認した本装置 A のソフト
ウェアの種類およびバージョンと同じであることを確認してください。
(2) 本装置 A をスイッチ番号 1 として 1 台スタックへ移行
本装置 A で,スタック機能を有効にする設定をします。
[設定のポイント]
本装置をスタックで動作させるには,stack enable コマンドを設定します。stack enable コマンドの
設定を有効にするには,本装置の再起動が必要です。そのため,運用を開始する前に設定してくださ
い。また,stack enable コマンドを設定すると,本装置を再起動するまですべてのコンフィグレーショ
ンが変更できません。
なお,stack enable コマンドを設定すると,同時に次のコンフィグレーションが自動で設定されます。
• spanning-tree disable
• no service ipv6 dhcp
このため,stack enable コマンドを設定する前に,スパニングツリーや IPv6 DHCP サーバ機能など
スタックでサポートしていない機能を使用していないことを確認してください。
[コマンドによる設定]
1. (config)# stack enable
After this command execute, please save configuration editing now in startup-config, and please reboot a device.
Do you wish to continue ? (y/n):
スタックで動作させる設定をします。コンフィグレーションの変更確認メッセージに対して y を入力
します。
2. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
3. # reload
本装置を再起動します。再起動後,本装置は 1 台構成のスタックのメンバスイッチとして動作します。
146
8 スタックの設定と運用
(3) メンバスイッチ A とメンバスイッチ B のコンフィグレーションの設定
メンバスイッチ A に,スタックを構成するすべてのメンバスイッチのコンフィグレーションを設定します。
[設定のポイント]
バックアップスイッチとなるメンバスイッチ B のコンフィグレーションは,マスタスイッチとなるメン
バスイッチ A のコンフィグレーションに同期します。そのため,メンバスイッチ A では次のコンフィ
グレーションを設定する必要があります。
• メンバスイッチ A のスタックポート
• メンバスイッチ A のマスタ選出優先度
• メンバスイッチ B のモデル
• メンバスイッチ B のスタックポート
• メンバスイッチ B のマスタ選出優先度
メンバスイッチ B のモデルを設定すると,指定したモデルに対応するイーサネットインタフェースのコ
ンフィグレーションが自動で作成されます。また,メンバスイッチ A がマスタスイッチになるように,
メンバスイッチ A のマスタ選出優先度をメンバスイッチ B より大きい値に設定します。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 1/0/25
(config-if)# switchport mode stack
(config-if)# exit
(config)# interface tengigabitethernet 1/0/26
(config-if)# switchport mode stack
(config-if)# exit
メンバスイッチ A(スイッチ番号 1)のイーサネットインタフェースにスタックポートを設定します。
2. (config)# switch 1 priority 20
メンバスイッチ A(スイッチ番号 1)のマスタ選出優先度を 20 に設定します。
3. (config)# switch 2 provision 3650-24t6xw
メンバスイッチ B として予定している装置のモデルを設定します。ここでは,モデルを
AX3650S-24T6XW で設定しています。
4. (config)# interface tengigabitethernet 2/0/25
(config-if)# switchport mode stack
(config-if)# exit
(config)# interface tengigabitethernet 2/0/26
(config-if)# switchport mode stack
(config-if)# exit
メンバスイッチ B(スイッチ番号 2)のイーサネットインタフェースにスタックポートを設定します。
5. (config)# switch 2 priority 10
メンバスイッチ B(スイッチ番号 2)のマスタ選出優先度を 10 に設定します。
6. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
147
8 スタックの設定と運用
(4) 本装置 B をスイッチ番号 2 として 1 台スタックへ移行
本装置 B のスイッチ番号を 2 にして,スタック機能を有効にする設定をします。
[設定のポイント]
本装置 B のスイッチ番号を 2 に設定します。その後,stack enable コマンドでスタックで動作させる
設定をしてから本装置を再起動する必要があります。
[コマンドによる設定]
1. # set switch 2
# configure
スイッチ番号を 2 に設定します。
2. (config)# stack enable
After this command execute, please save configuration editing now in startup-config, and please reboot a device.
Do you wish to continue ? (y/n):
スタックで動作させる設定をします。コンフィグレーションの変更確認メッセージに対して y を入力
します。
3. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
4. # reload
本装置を再起動します。再起動後,本装置は 1 台構成のスタックのメンバスイッチとして動作します。
(5) メンバスイッチ A と接続するためのメンバスイッチ B のコンフィグレーションの設定
メンバスイッチ B に,メンバスイッチ A と接続してスタックを構成するための最小限のコンフィグレー
ションを設定します。
[設定のポイント]
メンバスイッチ A と接続したときにメンバスイッチ A が障害などで再起動してもメンバスイッチ B が
マスタスイッチとして動作しないように,メンバスイッチ B のマスタ選出優先度を 1 に設定します。
なお,ここで設定したコンフィグレーションは,マスタスイッチとなるメンバスイッチ A で設定したコ
ンフィグレーションに置き換えられます。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 2/0/25
(config-if)# switchport mode stack
(config-if)# exit
(config)# interface tengigabitethernet 2/0/26
(config-if)# switchport mode stack
(config-if)# exit
メンバスイッチ B(スイッチ番号 2)のイーサネットインタフェースにスタックポートを設定します。
2. (config)# switch 2 priority 1
メンバスイッチ B(スイッチ番号 2)のマスタ選出優先度を 1 に設定します。
148
8 スタックの設定と運用
3. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
(6) メンバスイッチ A とメンバスイッチ B の 2 台スタックへ移行
それぞれ 1 台構成のスタックのメンバスイッチとして動作しているメンバスイッチ A とメンバスイッチ B
のスタックポートを接続して,2 台構成のスタックに移行します。
メンバスイッチ B のマスタ選出優先度が 1 のため,メンバスイッチ A はマスタスイッチとして動作を継続
して,メンバスイッチ B は自動で再起動します。
再起動後,メンバスイッチ A のコンフィグレーションに同期するためにメンバスイッチ B は自動で再起動
します。その後,メンバスイッチ A がマスタスイッチ,メンバスイッチ B がバックアップスイッチとなる
スタック構成で動作します。
[手順]
1. メンバスイッチ A とメンバスイッチ B のスタックポートを接続します。
2. # show switch detail
運用コマンド show switch detail を実行して,メンバスイッチ A がマスタスイッチ,メンバスイッチ
B がバックアップスイッチとなるスタックで動作していることを確認します。
8.1.3 メンバスイッチの追加
次の図に示すように,メンバスイッチ A が 1 台で構成しているスタックにスタンドアロンの本装置 B を追
加します。
図 8‒2 メンバスイッチの追加
メンバスイッチを追加する流れを次の表に示します。
149
8 スタックの設定と運用
表 8‒4 メンバスイッチを追加する流れ
操作の流れとその内容
(1) メンバスイッチ A と本装置 B のオプションライセンスとソフトウェアを確認
• オプションライセンスの確認
• ソフトウェアの確認
• メンバスイッチ B のモデルの設定
• メンバスイッチ B のスタックポートの設定
• メンバスイッチ B のマスタ選出優先度の設定
(3) 本装置 B をスイッチ番号 2 として 1 台スタックへ移行
• スイッチ番号の設定
• スタック機能の設定
• 装置の再起動
(4) メンバスイッチ A と接続するためのメンバスイッチ B のコンフィグレーションの設定
• スタックポートの設定
• マスタ選出優先度の設定(1 に設定)
(5) メンバスイッチ A とメンバスイッチ B の 2 台スタックへ移行
• スタックポートの接続
(凡例)−:該当なし
設定対象
メンバスイッチ A
本装置 B
(メンバスイッチ B)
メンバスイッチ A
本装置 B
(メンバスイッチ B)
本装置 B
(メンバスイッチ B)
−
(1) メンバスイッチ A と本装置 B のオプションライセンスとソフトウェアを確認
動作しているメンバスイッチ A と,追加する本装置 B のオプションライセンスとソフトウェアの種類およ
びバージョンを確認します。
メンバスイッチ A と本装置 B とでオプションライセンスが異なる場合は,メンバスイッチ A に合わせて本
装置 B にオプションライセンスを追加または削除して一致させてください。メンバスイッチ A と本装置 B
とでソフトウェアの種類またはバージョンが異なる場合には,本装置 B のソフトウェアをメンバスイッチ
A と同じソフトウェアの種類またはバージョンにアップデートして一致させてください。
[手順]
1. > show license
Date 20XX/10/26 12:00:00 UTC
Available: -----
----------------
メンバスイッチ A でオプションライセンスを確認します。
2. > show version software
Date 20XX/10/26 12:01:00 UTC
S/W: OS-L3SA Ver. 11.12
メンバスイッチ A でソフトウェアの種類およびバージョンを確認します。
3. > show license
Date 20XX/10/26 13:00:00 UTC
150
8 スタックの設定と運用
Available: -----
----------------
本装置 B でオプションライセンスを確認します。手順 1 で確認したメンバスイッチ A のオプションラ
イセンスと同じであることを確認してください。
4. > show version software
Date 20XX/10/26 13:01:00 UTC
S/W: OS-L3SA Ver. 11.12
本装置 B でソフトウェアの種類およびバージョンを確認します。手順 2 で確認したメンバスイッチ A
のソフトウェアの種類およびバージョンと同じであることを確認してください。
(2) メンバスイッチ B のコンフィグレーションの設定
メンバスイッチ A に,追加するメンバスイッチ B のコンフィグレーションを設定します。なお,メンバス
イッチ A には,次に示すスタックポートおよびマスタ選出優先度のコンフィグレーションが設定されてい
るものとします。 switch 1 priority 20
!
interface tengigabitethernet 1/0/25
switchport mode stack
!
interface tengigabitethernet 1/0/26
switchport mode stack
[設定のポイント]
バックアップスイッチとなるメンバスイッチ B のコンフィグレーションは,マスタスイッチとなるメン
バスイッチ A のコンフィグレーションに同期します。そのため,メンバスイッチ A では次のコンフィ
グレーションを設定する必要があります。
• メンバスイッチ B のモデル
• メンバスイッチ B のスタックポート
• メンバスイッチ B のマスタ選出優先度
メンバスイッチ B のモデルを設定すると,指定したモデルに対応するイーサネットインタフェースのコ
ンフィグレーションが自動で作成されます。また,メンバスイッチ B がバックアップスイッチになるよ
うに,メンバスイッチ B のマスタ選出優先度をメンバスイッチ A より小さい値に設定します。
[コマンドによる設定]
1. (config)# switch 2 provision 3650-24t6xw
メンバスイッチ B として予定している装置のモデルを設定します。ここでは,モデルを
AX3650S-24T6XW で設定しています。
2. (config)# interface tengigabitethernet 2/0/25
(config-if)# switchport mode stack
(config-if)# exit
(config)# interface tengigabitethernet 2/0/26
(config-if)# switchport mode stack
(config-if)# exit
メンバスイッチ B(スイッチ番号 2)のイーサネットインタフェースにスタックポートを設定します。
3. (config)# switch 2 priority 10
メンバスイッチ B(スイッチ番号 2)のマスタ選出優先度を 10 に設定します。
151
8 スタックの設定と運用
4. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
(3) 本装置 B をスイッチ番号 2 として 1 台スタックへ移行
本装置 B のスイッチ番号を 2 にして,スタック機能を有効にする設定をします。
[設定のポイント]
本装置 B のスイッチ番号を 2 に設定します。その後,stack enable コマンドでスタックで動作させる
設定をしてから本装置を再起動する必要があります。そのため,運用を開始する前に設定してくださ
い。また,stack enable コマンドを設定すると,本装置を再起動するまですべてのコンフィグレーショ
ンが変更できません。
なお,stack enable コマンドを設定すると,同時に次のコンフィグレーションが自動で設定されます。
• spanning-tree disable
• no service ipv6 dhcp
[コマンドによる設定]
1. # set switch 2
# configure
スイッチ番号を 2 に設定します。
2. (config)# stack enable
After this command execute, please save configuration editing now in startup-config, and please reboot a device.
Do you wish to continue ? (y/n):
スタックで動作させる設定をします。コンフィグレーションの変更確認メッセージに対して y を入力
します。
3. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
4. # reload
本装置を再起動します。再起動後,本装置は 1 台構成のスタックのメンバスイッチとして動作します。
(4) メンバスイッチ A と接続するためのメンバスイッチ B のコンフィグレーションの設定
メンバスイッチ B に,メンバスイッチ A と接続してスタックを構成するための最小限のコンフィグレー
ションを設定します。
[設定のポイント]
メンバスイッチ A と接続したときにメンバスイッチ A が障害などで再起動してもメンバスイッチ B が
マスタスイッチとして動作しないように,メンバスイッチ B のマスタ選出優先度を 1 に設定します。
なお,ここで設定したコンフィグレーションは,マスタスイッチとなるメンバスイッチ A で設定したコ
ンフィグレーションに置き換えられます。
[コマンドによる設定]
152
8 スタックの設定と運用
1. (config)# interface tengigabitethernet 2/0/25
(config-if)# switchport mode stack
(config-if)# exit
(config)# interface tengigabitethernet 2/0/26
(config-if)# switchport mode stack
(config-if)# exit
メンバスイッチ B(スイッチ番号 2)のイーサネットインタフェースにスタックポートを設定します。
2. (config)# switch 2 priority 1
メンバスイッチ B(スイッチ番号 2)のマスタ選出優先度を 1 に設定します。
3. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
(5) メンバスイッチ A とメンバスイッチ B の 2 台スタックへ移行
それぞれ 1 台構成のスタックのメンバスイッチとして動作しているメンバスイッチ A とメンバスイッチ B
のスタックポートを接続して,2 台構成のスタックに移行します。
メンバスイッチ B のマスタ選出優先度が 1 のため,メンバスイッチ A はマスタスイッチとして動作を継続
して,メンバスイッチ B は自動で再起動します。
再起動後,メンバスイッチ A のコンフィグレーションに同期するためにメンバスイッチ B は自動で再起動
します。その後,メンバスイッチ A がマスタスイッチ,メンバスイッチ B がバックアップスイッチとなる
スタック構成で動作します。
[手順]
1. メンバスイッチ A とメンバスイッチ B のスタックポートを接続します。
2. # show switch detail
運用コマンド show switch detail を実行して,メンバスイッチ A がマスタスイッチ,メンバスイッチ
B がバックアップスイッチとなるスタックで動作していることを確認します。
8.1.4 メンバスイッチの削除(バックアップスイッチ)
次の図に示すように,マスタスイッチとして動作するメンバスイッチ A とバックアップスイッチとして動
作するメンバスイッチ B で構成するスタックから,メンバスイッチ B を削除します。
153
8 スタックの設定と運用
図 8‒3 メンバスイッチの削除(バックアップスイッチ)
メンバスイッチ(バックアップスイッチ)を削除する流れを次の表に示します。
表 8‒5 メンバスイッチ(バックアップスイッチ)を削除する流れ
操作の流れとその内容
設定対象
本装置 B
(メンバスイッチ B)
メンバスイッチ A
• モデルの削除
• マスタ選出優先度の削除
(1) メンバスイッチ B の停止
メンバスイッチ B にログインして,メンバスイッチ B を停止します。
[手順]
1. > reload stop
メンバスイッチ B を停止します。
なお,マスタスイッチであるメンバスイッチ A からもメンバスイッチ B を停止できます。その場合は,
メンバスイッチ A にログインして次のコマンドを実行してください。
> reload switch 2 stop
2. 電源を OFF にして,スタック構成から外します。
(2) メンバスイッチ B のコンフィグレーションの削除
マスタスイッチであるメンバスイッチ A から,削除したメンバスイッチ B のコンフィグレーションを削除
します。
[設定のポイント]
メンバスイッチ A のコンフィグレーションからメンバスイッチ B のモデルを削除すると,対応する
イーサネットインタフェースのコンフィグレーションも削除されます。
[コマンドによる設定]
154
8 スタックの設定と運用
1. (config)# no switch 2 provision
スイッチ番号 2 のモデルを削除します。モデルを削除すると,指定したモデルに対応するイーサネット
インタフェースのコンフィグレーションも削除されます。
2. (config)# no switch 2 priority
スイッチ番号 2 のマスタ選出優先度を削除します。
3. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
8.1.5 メンバスイッチの削除(マスタスイッチ)
次の図に示すように,マスタスイッチとして動作するメンバスイッチ A とバックアップスイッチとして動
作するメンバスイッチ B で構成するスタックから,メンバスイッチ A を削除します。
図 8‒4 メンバスイッチの削除(マスタスイッチ)
メンバスイッチ(マスタスイッチ)を削除する流れを次の表に示します。
表 8‒6 メンバスイッチ(マスタスイッチ)を削除する流れ
操作の流れとその内容
• 初期化が完了していることの確認
• ポートがアップしていることの確認
• モデルの削除
• マスタ選出優先度の削除
設定対象
メンバスイッチ B
本装置 A
(メンバスイッチ A)
メンバスイッチ B
155
8 スタックの設定と運用
(1) メンバスイッチ B の状態確認
メンバスイッチ A にログインして,メンバスイッチ B の状態を確認します。
[手順]
1. > show switch
メンバスイッチ B の初期化が完了していることを確認します。
2. > show port
メンバスイッチ B のポートがアップしていることを確認します。
(2) メンバスイッチ A の停止
メンバスイッチ A を停止します。
[手順]
1. > reload stop
メンバスイッチ A を停止します。メンバスイッチ B はバックアップスイッチからマスタスイッチに遷
移します。
2. 電源を OFF にして,スタック構成から外します。
(3) メンバスイッチ A のコンフィグレーションの削除
マスタスイッチであるメンバスイッチ B から,削除したメンバスイッチ A のコンフィグレーションを削除
します。
[設定のポイント]
メンバスイッチ B のコンフィグレーションからメンバスイッチ A のモデルを削除すると,対応する
イーサネットインタフェースのコンフィグレーションも削除されます。
[コマンドによる設定]
1. (config)# no switch 1 provision
スイッチ番号 1 のモデルを削除します。モデルを削除すると,指定したモデルに対応するイーサネット
インタフェースのコンフィグレーションも削除されます。
2. (config)# no switch 1 priority
スイッチ番号 1 のマスタ選出優先度を削除します。
3. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
8.1.6 メンバスイッチの交換
次の図に示すように,マスタスイッチとして動作するメンバスイッチ A とバックアップスイッチとして動
作するメンバスイッチ B で構成するスタックで,メンバスイッチ B をメンバスイッチ C に交換します。
156
8 スタックの設定と運用
図 8‒5 メンバスイッチの交換
メンバスイッチを交換する流れを次の表に示します。
表 8‒7 メンバスイッチを交換する流れ
操作の流れとその内容
(1) メンバスイッチ A と本装置 C のオプションライセンスとソフトウェアを確認
• オプションライセンスの確認
• ソフトウェアの確認
(3) 本装置 C をスイッチ番号 2 として 1 台スタックへ移行
• スイッチ番号の設定
• スタック機能の設定
• 装置の再起動
(4) メンバスイッチ A と接続するためのメンバスイッチ C のコンフィグレーションの設定
• スタックポートの設定
• マスタ選出優先度の設定(1 に設定)
(5) メンバスイッチ A とメンバスイッチ C の 2 台スタックへ移行
• スタックポートの接続
(凡例)−:該当なし
設定対象
メンバスイッチ A
本装置 C
(メンバスイッチ C)
メンバスイッチ B
本装置 C
(メンバスイッチ C)
本装置 C
(メンバスイッチ C)
−
(1) メンバスイッチ A と本装置 C のオプションライセンスとソフトウェアを確認
動作しているメンバスイッチ A と,交換する本装置 C のオプションライセンスとソフトウェアの種類およ
びバージョンを確認します。
メンバスイッチ A と本装置 C とでオプションライセンスが異なる場合は,メンバスイッチ A に合わせて本
装置 C にオプションライセンスを追加または削除して一致させてください。メンバスイッチ A と本装置
C とでソフトウェアの種類またはバージョンが異なる場合には,本装置 C のソフトウェアをメンバスイッ
チ A と同じソフトウェアの種類またはバージョンにアップデートして一致させてください。
[手順]
157
8 スタックの設定と運用
1. > show license
Switch 1 (Master)
-----------------
Date 20XX/10/26 12:00:00 UTC
Available: -----
----------------
Switch 2 (Backup)
-----------------
Date 20XX/10/26 12:00:00 UTC
Available: -----
----------------
メンバスイッチ A でオプションライセンスを確認します。
2. > show version software
Switch 1 (Master)
-----------------
Date 20XX/10/26 12:01:00 UTC
S/W: OS-L3SA Ver. 11.12
Switch 2 (Backup)
-----------------
Date 20XX/10/26 12:01:00 UTC
S/W: OS-L3SA Ver. 11.12
メンバスイッチ A でソフトウェアの種類およびバージョンを確認します。
3. > show license
Date 20XX/10/26 13:00:00 UTC
Available: -----
----------------
本装置 C でオプションライセンスを確認します。手順 1 で確認したメンバスイッチ A のオプションラ
イセンスと同じであることを確認してください。
4. > show version software
Date 20XX/10/26 13:01:00 UTC
S/W: OS-L3SA Ver. 11.12
本装置 C でソフトウェアの種類およびバージョンを確認します。手順 2 で確認したメンバスイッチ A
のソフトウェアの種類およびバージョンと同じであることを確認してください。
(2) メンバスイッチ B の停止
メンバスイッチ B にログインして,メンバスイッチ B を停止します。
[手順]
1. 02B> reload stop
メンバスイッチ B を停止します。
なお,マスタスイッチであるメンバスイッチ A からもメンバスイッチ B を停止できます。その場合は,
メンバスイッチ A にログインして次のコマンドを実行してください。
158
8 スタックの設定と運用
> reload switch 2 stop
2. 電源を OFF にして,スタック構成から外します。
(3) 本装置 C をスイッチ番号 2 として 1 台スタックへ移行
本装置 C のスイッチ番号を 2 にして,スタック機能を有効にする設定をします。
[設定のポイント]
本装置 C のスイッチ番号を 2 に設定します。その後,stack enable コマンドでスタックで動作させる
設定をしてから本装置を再起動する必要があります。そのため,運用を開始する前に設定してくださ
い。また,stack enable コマンドを設定すると,本装置を再起動するまですべてのコンフィグレーショ
ンが変更できません。
なお,stack enable コマンドを設定すると,同時に次のコンフィグレーションが自動で設定されます。
• spanning-tree disable
• no service ipv6 dhcp
[コマンドによる設定]
1. # set switch 2
# configure
スイッチ番号を 2 に設定します。
2. (config)# stack enable
After this command execute, please save configuration editing now in startup-config, and please reboot a device.
Do you wish to continue ? (y/n):
スタックで動作させる設定をします。コンフィグレーションの変更確認メッセージに対して y を入力
します。
3. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
4. # reload
本装置を再起動します。再起動後,本装置は 1 台構成のスタックのメンバスイッチとして動作します。
(4) メンバスイッチ A と接続するためのメンバスイッチ C のコンフィグレーションの設定
メンバスイッチ C に,メンバスイッチ A と接続してスタックを構成するための最小限のコンフィグレー
ションを設定します。
[設定のポイント]
メンバスイッチ A と接続したときにメンバスイッチ A が障害などで再起動してもメンバスイッチ C が
マスタスイッチとして動作しないように,メンバスイッチ C のマスタ選出優先度を 1 に設定します。
なお,ここで設定したコンフィグレーションは,マスタスイッチとなるメンバスイッチ A で設定したコ
ンフィグレーションに置き換えられます。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 2/0/25
159
8 スタックの設定と運用
(config-if)# switchport mode stack
(config-if)# exit
(config)# interface tengigabitethernet 2/0/26
(config-if)# switchport mode stack
(config-if)# exit
メンバスイッチ C(スイッチ番号 2)のイーサネットインタフェースにスタックポートを設定します。
2. (config)# switch 2 priority 1
メンバスイッチ C(スイッチ番号 2)のマスタ選出優先度を 1 に設定します。
3. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
(5) メンバスイッチ A とメンバスイッチ C の 2 台スタックへ移行
それぞれ 1 台構成のスタックのメンバスイッチとして動作しているメンバスイッチ A とメンバスイッチ C
のスタックポートを接続して,2 台構成のスタックに移行します。
メンバスイッチ C のマスタ選出優先度が 1 のため,メンバスイッチ A はマスタスイッチとして動作を継続
して,メンバスイッチ C は自動で再起動します。
再起動後,メンバスイッチ A のコンフィグレーションに同期するためにメンバスイッチ C は自動で再起動
します。その後,メンバスイッチ A がマスタスイッチ,メンバスイッチ C がバックアップスイッチとなる
スタック構成で動作します。
[手順]
1. メンバスイッチ A とメンバスイッチ C のスタックポートを接続します。
2. # show switch detail
運用コマンド show switch detail を実行して,メンバスイッチ A がマスタスイッチ,メンバスイッチ
C がバックアップスイッチとなるスタックで動作していることを確認します。
8.1.7 スタンドアロンへの転用
スイッチ番号 1 およびスイッチ番号 2 のメンバスイッチで構成されているスタックから,それぞれのメン
バスイッチをスタンドアロンへ戻します。スイッチ番号 1 のスイッチとスイッチ番号 2 のスイッチでは設
定手順が異なります。設定の前にネットワークから切り離して,1 台構成のスタックにしておきます。
なお,2 台構成のスタックでは次に示すコンフィグレーションが設定されていたものとします。 stack enable switch 1 provision 3650-24t6xw switch 2 provision 3650-24t6xw switch 1 priority 20 switch 2 priority 10
!
:
: interface gigabitethernet 1/0/1
switchport mode access
!
:
: interface gigabitethernet 1/0/24
160
8 スタックの設定と運用
switchport mode access
!
interface tengigabitethernet 1/0/25
switchport mode access
!
:
: interface tengigabitethernet 1/0/30
switchport mode stack
!
interface gigabitethernet 2/0/1
switchport mode access
!
:
: interface gigabitethernet 2/0/24
switchport mode access
!
interface tengigabitethernet 2/0/25
switchport mode access
!
:
: interface tengigabitethernet 2/0/30
switchport mode stack
!
(1) スイッチ番号 1 のメンバスイッチのスタンドアロンへの転用
スイッチ番号 2 のメンバスイッチについてのコンフィグレーションと,スタック機能に関するコンフィグ
レーションを削除します。
[設定のポイント]
スタック機能に関するコンフィグレーションを削除したあと,装置を再起動する必要があります。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 1/0/30
(config-if)# no switchport mode stack
(config-if)# exit
本メンバスイッチのスタックポートを削除します。
2. (config)# no switch 2 provision
本メンバスイッチ以外のモデルを削除します。本メンバスイッチはスイッチ番号 1 なので,スイッチ番
号 2 のモデルを削除します。
3. (config)# no switch 1 priority
(config)# no switch 2 priority
スイッチ番号 1 およびスイッチ番号 2 のマスタ選出優先度を削除します。
4. (config)# no stack enable
スタック機能を無効にします。
5. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
6. # reload
本装置を再起動します。
161
8 スタックの設定と運用
(2) スイッチ番号 2 のメンバスイッチのスタンドアロンへの転用
まず,スイッチ番号を 1 に変更します。次に,スイッチ番号 2 のメンバスイッチについてのコンフィグレー
ションと,スタック機能に関するコンフィグレーションを削除します。
[設定のポイント]
スイッチ番号を 1 に変更したら,まずメンバスイッチを再起動してください。
次に,スイッチ番号 2 のメンバスイッチについてのコンフィグレーションと,スタック機能に関するコ
ンフィグレーションを削除したあと,もう一度装置を再起動する必要があります。
[コマンドによる設定]
1. (config)# no switch 1 provision
(config)# save
(config)# exit
スイッチ番号 1 のモデルを削除します。コンフィグレーションを保存して,装置管理者モードに戻りま
す。
2. # set switch 1
スイッチ番号に 1 を設定します。
3. # reload
本メンバスイッチを再起動します。再起動後,本メンバスイッチはスイッチ番号 1 のマスタスイッチと
して動作します。
4. (config)# no switch 2 provision
本メンバスイッチ以外のモデルを削除します。本メンバスイッチはスイッチ番号 1 なので,スイッチ番
号 2 のモデルを削除します。
5. (config)# no switch 1 priority
(config)# no switch 2 priority
スイッチ番号 1 およびスイッチ番号 2 のマスタ選出優先度を削除します。
6. (config)# no stack enable
スタック機能を無効にします。
7. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
8. # reload
本装置を再起動します。
8.1.8 スタックリンクの追加
スタックリンク 1 本で構成されているスタックに対して,新たにスタックリンクを追加します。スタック
リンクの追加前は次に示すコンフィグレーションが設定されていたものとします。 stack enable switch 1 provision 3650-24t6xw switch 2 provision 3650-24t6xw
:
: interface tengigabitethernet 1/0/29
162
8 スタックの設定と運用
switchport mode stack
!
interface tengigabitethernet 1/0/30
switchport mode access
:
: interface tengigabitethernet 2/0/29
switchport mode stack
!
interface tengigabitethernet 2/0/30
switchport mode access
!
(1) 追加するスタックポートにケーブルが接続されていないか確認
スタックポートとして追加するポートにケーブルが接続されていないか確認します。ケーブルが接続され
ている場合は,コンフィグレーションの設定前にケーブルを外してください。
(2) スタックポートのコンフィグレーションの設定
追加するスタックポートのコンフィグレーションを設定します。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 1/0/30
(config-if)# switchport mode stack
(config-if)# exit
(config)# interface tengigabitethernet 2/0/30
(config-if)# switchport mode stack
(config-if)# exit
スイッチ番号 1 およびスイッチ番号 2 のイーサネットインタフェースにスタックポートを設定します。
2. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
(3) 追加するスタックポート間の接続
スイッチ番号 1 およびスイッチ番号 2 の追加するスタックポートをケーブルで接続します。
8.1.9 スタックリンクの削除
スタックリンク 2 本で構成されているスタックから,スタックリンクを 1 本削除します。スタックリンク
の削除前は次に示すコンフィグレーションが設定されていたものとします。 stack enable switch 1 provision 3650-24t6xw switch 2 provision 3650-24t6xw
:
: interface tengigabitethernet 1/0/29
switchport mode stack
!
interface tengigabitethernet 1/0/30
switchport mode stack
:
: interface tengigabitethernet 2/0/29
switchport mode stack
163
8 スタックの設定と運用
!
interface tengigabitethernet 2/0/30
switchport mode stack
!
(1) 削除するスタックポート間の切断
削除するスタックポートのケーブルを外します。ケーブルが外せない場合は,次に示すコンフィグレーショ
ンでスタックポートをシャットダウン状態にしてください。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 1/0/30
(config-if)# shutdown
(config-if)# exit
(config)# interface tengigabitethernet 2/0/30
(config-if)# shutdown
(config-if)# exit
スイッチ番号 1 およびスイッチ番号 2 のスタックポートをシャットダウン状態にします。
(2) スタックポートのコンフィグレーションの削除
削除するスタックポートからコンフィグレーションを削除します。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 1/0/30
(config-if)# no switchport mode stack
(config-if)# exit
(config)# interface tengigabitethernet 2/0/30
(config-if)# no switchport mode stack
(config-if)# exit
スイッチ番号 1 およびスイッチ番号 2 のスタックポートを削除します。
2. (config)# save
(config)# exit
コンフィグレーションを保存して,コンフィグレーションコマンドモードから装置管理者モードに戻り
ます。
164
8 スタックの設定と運用
8.2 オペレーション
8.2.1 運用コマンド一覧
スタックの運用コマンド一覧を次の表に示します。
表 8‒8 運用コマンド一覧
コマンド名 show switch remote command dump stack session
説明
スタックを構成するメンバスイッチの情報を表示します。
マスタスイッチから指定したメンバスイッチに対して,運用コマンドを実行します。
スタック管理プログラムで採取している詳細イベントトレース情報および制御テーブル情
報をファイルへ出力します。
スタックを構成するほかのメンバスイッチに接続します。
8.2.2 スタックを構成するメンバスイッチの情報の確認
運用コマンド show switch で,スタックを構成するメンバスイッチの情報を確認できます。スイッチ番号
は「No」に表示されます。スイッチ状態とスイッチ状態遷移後の変更処理は「Switch status」に表示され
ます。
図 8‒6 show switch コマンドの実行結果
> show switch
Date 20XX/10/26 11:38:56 UTC
Stack status : Enable Switch No : 1
System MAC Address : 0012.e220.5101
No Switch status Model Machine ID Priority Ver
1 Master 3650-24t6xw 0012.e220.5101 31 1
2 Backup (Initializing) 3650-24t6xw 0012.e220.5102 11 1
>
運用コマンド show switch で detail パラメータを指定すると,メンバスイッチの詳細情報を確認できま
す。スタックポートの情報が「Port」と「Neighbor(Port)」に表示されます。
図 8‒7 show switch detail コマンドの実行結果
> show switch detail
Date 20XX/10/26 11:38:56 UTC
Stack status : Enable Switch No : 1
System MAC Address : 0012.e220.5101
No Switch status Model Machine ID Priority Ver
1 Master 3650-24t6xw 0012.e220.5101 31 1
2 Backup (Initializing) 3650-24t6xw 0012.e220.5102 11 1
Port Status Neighbor(Port Model Machine ID)
1/0/25 Up(Forwarding) 2/0/25 3650-24t6xw 0012.e220.5102
1/0/26 Up(Forwarding) 2/0/26 3650-24t6xw 0012.e220.5102
2/0/25 Up(Forwarding) 1/0/25 3650-24t6xw 0012.e220.5101
2/0/26 Up(Forwarding) 1/0/26 3650-24t6xw 0012.e220.5101
>
なお,スイッチ状態とスイッチ番号は,装置の正面パネルでも確認できます。詳細は,「8.2.3 正面パネル
165
8 スタックの設定と運用
8.2.3 正面パネルでのスイッチ状態とスイッチ番号の表示
(1) LED 表示【AX3800S】
装置前面の LED でスイッチ状態とスイッチ番号が確認できます。スイッチ状態は ST2 の点灯有無で確認
できます。スイッチ番号(1〜2)は,スイッチ番号に対応する LED(ID1〜ID2)の点灯で確認できます。
表 8‒9 スイッチ状態に対応する LED の状態
ST2
LED 名 スイッチ状態
初期状態
マスタ
バックアップ
消灯
緑点灯
消灯
LED 状態
表 8‒10 スイッチ番号に対応する LED の状態
スイッチ番号
スイッチ番号 1
スイッチ番号 2
ID1 が点灯
ID2 が点灯
LED 状態
なお,スタンドアロンの場合は,何も点灯されません。
(2) ディスプレイ表示【AX3650S】
装置前面に実装されているシステム操作パネルの情報表示ディスプレイで,スイッチ状態とスイッチ番号が
確認できます。ディスプレイには,次に示す契機で情報が表示され,表示開始 60 秒後に自動消灯されま
す。
• スイッチ状態の変化
• ディスプレイの下にある任意の操作キーを押下
画面の上段でスイッチ番号(1〜2),画面の下段でスイッチ状態が確認できます。
図 8‒8 スタック情報の表示例
表 8‒11 スイッチ状態ごとの表示内容
スイッチ状態
初期状態
マスタ
バックアップ
Init
Master
Backup
なお,スタンドアロンの場合は,何も表示されません。
表示内容
166
8 スタックの設定と運用
8.2.4 マスタスイッチからメンバスイッチへの運用コマンドの実行
スイッチ番号 1 がマスタスイッチ,スイッチ番号 2 がバックアップスイッチの場合に,運用コマンド show logging でメンバスイッチのログを表示する例を次に示します。なお,先頭にはスイッチ番号とスイッチ状
態が表示されます。
図 8‒9 スイッチ番号 2 のメンバスイッチのログを表示
> show logging switch 2
Switch 2 (Backup)
-----------------
Wed Jun 22 15:30:00 UTC 20XX
System information
...
>
運用コマンド remote command を使用しても,マスタスイッチから指定したメンバスイッチに対して運
用コマンドを実行できます。スイッチ番号 1 がマスタスイッチ,スイッチ番号 2 がバックアップスイッチ
の場合に,remote command コマンドと運用コマンド show clock でメンバスイッチの時刻を表示する例
を次に示します。なお,先頭にはスイッチ番号とスイッチ状態が表示されます。
図 8‒10 スイッチ番号 2 のメンバスイッチの時刻を表示
# remote command 2 show clock
Switch 2 (Backup)
-----------------
Wed Jun 22 15:30:00 UTC 20XX
#
図 8‒11 すべてのメンバスイッチの時刻を表示
# remote command all show clock
Switch 1 (Master)
-----------------
Wed Jun 22 15:30:00 UTC 20XX
Switch 2 (Backup)
-----------------
Wed Jun 22 15:30:00 UTC 20XX
#
8.2.5 マスタスイッチとメンバスイッチ間の接続
運用コマンド session を使用して,異なるメンバスイッチに接続できます。スイッチ番号 1 がマスタス
イッチ,スイッチ番号 2 がバックアップスイッチの場合に,バックアップスイッチにログインしたあと,
マスタスイッチに接続してコンフィグレーションを編集する例を次に示します。
図 8‒12 スイッチ番号 1 のマスタスイッチに接続してコンフィグレーションを編集
02B> session switch 1 <-1
> enable <-2
# configure <-3
(config)# <-4
1. バックアップスイッチから,スイッチ番号 1 を指定した session コマンドを実行して,マスタスイッチ
(スイッチ番号 1)に接続します。
2. 接続したマスタスイッチで運用コマンド enable を実行して,装置管理者モードに遷移します。
3. コンフィグレーションコマンド configure を実行して,コンフィグレーションコマンドモードに遷移し
ます。
4. 編集を開始します。
167
8 スタックの設定と運用
8.2.6 スタックの再起動
オプションライセンスを追加または削除した場合や,装置または VLAN プログラムの再起動が必要なコン
フィグレーションを編集した場合は,変更した内容を正しく反映するためにスタックを再起動する必要があ
ります。
スタックを再起動するには,スタックを構成するすべてのメンバスイッチを再起動します。スタックを再起
動する手順を次に示します。なお,最初のメンバスイッチを再起動してから 30 秒以内に,すべてのメンバ
スイッチを再起動してください。
1. マスタスイッチにログインします。
2. enable コマンドを実行して,装置管理者モードに移行します。
3. show switch コマンドを実行して,現在動作しているメンバスイッチを確認します。
以降,次に示す実行結果が表示されたものとして説明します。ここでは,スイッチ番号 1 のマスタス
イッチと,スイッチ番号 2 のメンバスイッチが動作していることが確認できます。
> show switch
Date 20XX/10/26 11:38:56 UTC
Stack status : Enable Switch No : 1
System MAC Address : 0012.e220.5101
No Switch status Model Machine ID Priority Ver
1 Master 3650-24t6xw 0012.e220.5101 31 1
2 Backup 3650-24t6xw 0012.e220.5102 11 1
>
4. マスタスイッチ以外のメンバスイッチを再起動します。
再起動はマスタスイッチ以外のメンバスイッチから始めます。
この例ではマスタスイッチ以外にスイッチ番号 2 のメンバスイッチがあるので,次のコマンドを実行し
ます。
> reload switch 2 no-dump-image -f
5. 次のコマンドを実行して,マスタスイッチを再起動します。
最初のメンバスイッチを再起動してからマスタスイッチを再起動するまで,30 秒以内に次のコマンド
を実行します。
> reload no-dump-image -f
8.2.7 オプションライセンスの設定
スタックでオプションライセンスを追加または削除する手順を次に示します。
スタックを構成するメンバスイッチ間でオプションライセンスが一致していないと,スタックを構成できま
せん。このため,オプションライセンスを追加または削除したあと再起動して適用するときは,バックアッ
プスイッチを再起動してから 30 秒以内にマスタスイッチを再起動してください。
1. マスタスイッチにログインします。
2. enable コマンドを実行して,装置管理者モードに移行します。
3. set license コマンドまたは erase license コマンドの switch パラメータにバックアップスイッチの
スイッチ番号を指定して,バックアップスイッチのオプションライセンスを追加または削除します。
4. マスタスイッチのオプションライセンスを追加または削除します。
5. オプションライセンスを反映させるため,スタックを構成するすべてのメンバスイッチを再起動しま
す。
再起動の手順については「8.2.6 スタックの再起動」を参照してください。
168
9
リモート運用端末から本装置への
ログイン
この章では,リモート運用端末から本装置へのリモートアクセスについて説明
します。
169
9 リモート運用端末から本装置へのログイン
9.1 解説
通信用ポートを介して,リモート運用端末から本装置へログインするには,本装置で VLAN や IP アドレ
スなどの設定が必要です。ただし,初期導入時には,VLAN や IP アドレスなどの設定が行われていませ
ん。そのため,コンソールからログインして,コンフィグレーションを設定する必要があります。
図 9‒1 リモート運用端末からの本装置へのログイン
170
9 リモート運用端末から本装置へのログイン
9.2 コンフィグレーション
9.2.1 コンフィグレーションコマンド一覧
運用端末の接続とリモート操作に関するコンフィグレーションコマンド一覧を次の表に示します。
表 9‒1 コンフィグレーションコマンド一覧
コマンド名 ftp-server line console line vty speed transport input
説明
リモート運用端末から ftp プロトコルを使用したアクセスを許可します。
コンソール(RS232C)のパラメータを設定します。
装置への telnet リモートアクセスを許可します。
コンソール(RS232C)の通信速度を設定します。
リモート運用端末から各種プロトコルを使用したアクセスを規制します。
VLAN の設定,および IPv4/IPv6 インタフェースの設定に関するコンフィグレーションコマンドについて
は,「20 VLAN」,マニュアル「コンフィグレーションガイド Vol.3 2. IP・ARP・ICMP の設定と運
用」,または「コンフィグレーションガイド Vol.3 18. IPv6・NDP・ICMPv6 の設定と運用」を参照して
ください。
9.2.2 本装置への IP アドレスの設定
[設定のポイント]
リモート運用端末から本装置へアクセスするためには,あらかじめ,接続するインタフェースに対して
IP アドレスを設定しておく必要があります。
図 9‒2 リモート運用端末との接続例
[コマンドによる設定]
1. (config)# vlan 100
(config-vlan)# exit
VLAN ID 100 のポート VLAN を作成し,VLAN 100 の VLAN コンフィグレーションモードに移行
します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# switchport mode access
(config-if)# switchport access vlan 100
(config-if)# exit
171
9 リモート運用端末から本装置へのログイン
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。ポート
1/0/1 を VLAN 100 のアクセスポートに設定します。
3. (config)# interface vlan 100
(config-if)# ip address 192.168.1.1 255.255.255.0
(config-if)# exit
(config)#
VLAN ID 100 のインタフェースコンフィグレーションモードに移行します。VLAN ID 100 に IPv4
アドレス 192.168.1.1,サブネットマスク 255.255.255.0 を設定します。
9.2.3 telnet によるログインを許可する
[設定のポイント]
あらかじめ,IP アドレスを設定しておく必要があります。
リモート運用端末から本装置に telnet プロトコルによるリモートログインを許可するコンフィグレー
ションコマンド line vty を設定します。
このコンフィグレーションが設定されていない場合,コンソールからだけ本装置にログインできます。
[コマンドによる設定]
1. (config)# line vty 0 2
(config-line)#
リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可します。また,装置
に同時にリモートログインできるユーザ数を最大 3 に設定します。
9.2.4 ftp によるログインを許可する
[設定のポイント]
あらかじめ,IP アドレスを設定しておく必要があります。
リモート運用端末から本装置に ftp プロトコルによるリモートアクセスを許可するコンフィグレーショ
ンコマンド ftp-server を設定します。
このコンフィグレーションを実施していない場合,ftp プロトコルを用いた本装置へのアクセスはでき
ません。
[コマンドによる設定]
1. (config)# ftp-server
リモート運用端末から本装置への ftp プロトコルによるリモートアクセスを許可します。
9.2.5 VRF での telnet によるログインを許可する【OS-L3SA】
(1) グローバルネットワークを含む全 VRF から telnet によるログインを許可する場合
[設定のポイント]
全 VRF からのアクセスを許可するには,コンフィグレーションコマンド transport input の vrf all パ
ラメータを設定します。この vrf all パラメータが設定されていない場合,グローバルネットワークから
のアクセスだけを許可します。
[コマンドによる設定]
172
9 リモート運用端末から本装置へのログイン
1. (config)# line vty 0 2
(config-line)#
リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可します。また,装置
に同時にリモートログインできるユーザ数を最大 3 に設定します。
2. (config-line)# transport input vrf all telnet
(config-line)#
グローバルネットワークを含む全 VRF で,リモート運用端末から本装置への telnet プロトコルによる
リモートアクセスを許可します。
(2) 指定 VRF から telnet によるログインを許可する場合
[設定のポイント]
指定 VRF からのアクセスを許可するには,コンフィグレーションコマンド transport input の vrf パラ
メータで VRF ID を設定します。この vrf パラメータが設定されていない場合,グローバルネットワー
クからのアクセスだけを許可します。
[コマンドによる設定]
1. (config)# line vty 0 2
(config-line)#
リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可します。また,装置
に同時にリモートログインできるユーザ数を最大 3 に設定します。
2. (config-line)# transport input vrf 2 telnet
(config-line)#
VRF 2 で,リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可します。
なお,グローバルネットワークは含みません。
9.2.6 VRF での ftp によるログインを許可する【OS-L3SA】
(1) グローバルネットワークを含む全 VRF から ftp によるログインを許可する場合
[設定のポイント]
全 VRF からのアクセスを許可するには,コンフィグレーションコマンド ftp-server の vrf all パラメー
タを設定します。この vrf all パラメータが設定されていない場合,グローバルネットワークからのアク
セスだけを許可します。
[コマンドによる設定]
1. (config)# ftp-server vrf all
グローバルネットワークを含む全 VRF で,リモート運用端末から本装置への ftp プロトコルによるリ
モートアクセスを許可します。
(2) 指定 VRF から ftp によるログインを許可する場合
[設定のポイント]
指定 VRF からのアクセスを許可するには,コンフィグレーションコマンド ftp-server の vrf パラメー
タで VRF ID を設定します。この vrf パラメータが設定されていない場合,グローバルネットワークか
らのアクセスだけを許可します。
173
9 リモート運用端末から本装置へのログイン
[コマンドによる設定]
1. (config)# ftp-server vrf 2
VRF 2 で,リモート運用端末から本装置への ftp プロトコルによるリモートアクセスを許可します。な
お,グローバルネットワークは含みません。
174
9 リモート運用端末から本装置へのログイン
9.3 オペレーション
9.3.1 運用コマンド一覧
運用端末の接続とリモート操作に関する運用コマンド一覧を次の表に示します。
表 9‒2 運用コマンド一覧 set exec-timeout set terminal help set terminal pager show history telnet ftp tftp
コマンド名 説明
自動ログアウトが実行されるまでの時間を設定します。
ヘルプメッセージで表示するコマンドの一覧を設定します。
ページングの実施/未実施を設定します。
過去に実行した運用コマンドの履歴を表示します(コンフィグレーションコマンドの履歴は
表示しません)。
指定された IP アドレスのリモート運用端末と仮想端末と接続します。
本装置と TCP/IP で接続されているリモート端末との間でファイル転送をします。
本装置と接続されているリモート端末との間で UDP でファイル転送をします。
VLAN の設定,および IPv4/IPv6 インタフェースの設定に関するコンフィグレーションコマンドについて
は,「20 VLAN」,マニュアル「コンフィグレーションガイド Vol.3 2. IP・ARP・ICMP の設定と運
用」,または「コンフィグレーションガイド Vol.3 18. IPv6・NDP・ICMPv6 の設定と運用」を参照して
ください。
9.3.2 リモート運用端末と本装置との通信の確認
本装置とリモート運用端末との通信は,運用コマンド ping や ping ipv6 などを用いて確認できます。詳細
は,マニュアル「コンフィグレーションガイド Vol.3 2. IP・ARP・ICMP の設定と運用」,または「コン
フィグレーションガイド Vol.3 18. IPv6・NDP・ICMPv6 の設定と運用」を参照してください。
175
10
ログインセキュリティと RADIUS/
TACACS+
この章では,本装置のログイン制御,ログインセキュリティ,アカウンティン
グ,および RADIUS/TACACS+について説明します。
177
10 ログインセキュリティと RADIUS/TACACS+
10.1 ログインセキュリティの設定
10.1.1 コンフィグレーション・運用コマンド一覧
ログインセキュリティに関するコンフィグレーションコマンド一覧を次の表に示します。
表 10‒1 コンフィグレーションコマンド一覧
コマンド名 aaa authentication enable aaa authentication enable attribute-user-per-method aaa authentication enable end-by-reject aaa authentication login aaa authentication login console aaa authentication login endby-reject aaa authorization commands
説明
装置管理者モードへの変更(enable コマンド)時に使用する認証方式を指定し
ます。
装置管理者モードへの変更(enable コマンド)時の認証に使用するユーザ名属
性を変更します。
装置管理者モードへの変更(enable コマンド)時の認証で,否認された場合に
認証を終了します。
リモートログイン時に使用する認証方式を指定します。
コンソール(RS232C)からのログイン時に aaa authentication login コマン
ドで指定した認証方式を使用します。
ログイン時の認証で,否認された場合に認証を終了します。 aaa authorization commands console banner commands exec ip access-group ipv6 access-class parser view username
RADIUS サーバまたは TACACS+サーバによるコマンド承認をする場合に指
定します。
コンソール(RS232C)からのログインの場合に aaa authorization commands
コマンドで指定したコマンド承認を行います。
ユーザのログイン前およびログイン後に表示するメッセージを設定します。
ローカル(コンフィグレーション)によるコマンド承認で使用するコマンドリス
トに,コマンド文字列を追加します。
本装置へリモートログインを許可または拒否するリモート運用端末の IPv4 ア
ドレスを指定したアクセスリストを設定します。
本装置へリモートログインを許可または拒否するリモート運用端末の IPv6 ア
ドレスを指定したアクセスリストを設定します。
ローカル(コンフィグレーション)によるコマンド承認で使用するコマンドリス
トを生成します。
指定ユーザに,ローカル(コンフィグレーション)によるコマンド承認で使用す
るコマンドリストまたはコマンドクラスを設定します。
ログインセキュリティに関する運用コマンド一覧を次の表に示します。
表 10‒2 運用コマンド一覧
コマンド名 adduser rmuser
説明
新規ログインユーザ用のアカウントを追加します。 adduser コマンドで登録されているログインユーザのアカウントを削除します。
178
10 ログインセキュリティと RADIUS/TACACS+ password
コマンド名 clear password show sessions show whoami killuser
説明
ログインユーザのパスワードを変更します。
ログインユーザのパスワードを削除します。
本装置にログインしているユーザを表示します。
本装置にログインしているユーザの中で,このコマンドを実行したログインユー
ザだけを表示します。
ログイン中のユーザを強制的にログアウトさせます。
10.1.2 ログイン制御の概要
本装置にはローカルログイン(シリアル接続)と IPv4 および IPv6 ネットワーク経由のリモートログイン
機能(telnet)があります。
本装置ではログイン時およびログイン中に次に示す制御を行っています。
1. ログイン時に不正アクセスを防止するため,ユーザ ID によるコマンドの使用範囲の制限やパスワード
によるチェックを設けています。
2. 複数の運用端末から同時にログインできます。
3. 本装置にログインできるリモートユーザ数は最大 16 ユーザです。なお,コンフィグレーションコマン
ド line vty でログインできるユーザ数を制限できます。
4. 本装置にアクセスできる IPv4 および IPv6 アドレスをコンフィグレーションコマンド ip access-list standard,ipv6 access-list,access-list,ip access-group,ipv6 access-class で制限できます。
5. 本装置にアクセスできるプロトコル(telnet,ftp)をコンフィグレーションコマンド transport input
や ftp-server で制限できます。
6. VRF で本装置にアクセスできる IPv4 および IPv6 アドレスをコンフィグレーションコマンド ip access-list standard,ipv6 access-list,access-list,ip access-group,ipv6 access-class で制限で
きます。【OS-L3SA】
7. VRF で本装置にアクセスできるプロトコル(telnet,ftp)をコンフィグレーションコマンド transport input や ftp-server で制限できます。【OS-L3SA】
8. コマンド実行結果はログインした端末だけに表示します。運用メッセージはログインしているすべて
の運用端末に表示されます。
9. 入力したコマンドとその応答メッセージおよび運用メッセージを運用ログとして収集します。運用ロ
グは運用コマンド show logging で参照できます。
10. キー入力が最大 60 分間ない場合は自動的にログアウトします。
11. 運用コマンド killuser を使用してユーザを強制ログアウトできます。
10.1.3 ログインユーザの作成と削除 adduser コマンドを用いて本装置にログインできるユーザを作成してください。ログインユーザの作成例
を次の図に示します。
図 10‒1 ユーザ newuser を作成
> enable
# adduser newuser
User(empty password) add done. Please setting password.
179
10 ログインセキュリティと RADIUS/TACACS+
Changing local password for newuser.
New password:******** … 1
Retype new password:******** … 2
# quit
>
1. パスワードを入力します(実際には入力文字は表示されません)。
2. 確認のため再度パスワードを入力します(実際には入力文字は表示されません)。
また,使用しなくなったユーザは rmuser コマンドを用いて削除できます。
特に,初期導入時に設定されているログインユーザ”operator”を運用中のログインユーザとして使用し
ない場合,セキュリティの低下を防ぐため,新しいログインユーザを作成したあとに rmuser コマンドで削
除することをお勧めします。また,コンフィグレーションコマンド aaa authentication login で,
RADIUS/TACACS+を使用したログイン認証ができます。コンフィグレーションの設定例については,
「10.3.2 RADIUS サーバによる認証の設定」および「10.3.3 TACACS+サーバによる認証の設定」を
参照してください。
なお,作成したログインユーザ名は忘れないようにしてください。ログインユーザ名を忘れると,デフォル
トリスタートで起動してもログインできないので注意してください。
10.1.4 装置管理者モード変更のパスワードの設定
コンフィグレーションコマンドを実行するためには enable コマンドで装置管理者モードに変更する必要
があります。初期導入時に enable コマンドを実行した場合,パスワードは設定されていませんので認証な
しで装置管理者モードに変更します。ただし,通常運用中にすべてのユーザがパスワード認証なしで装置管
理者モードに変更できるのはセキュリティ上危険ですので,初期導入時にパスワードを設定しておいてくだ
さい。パスワード設定の実行例を次の図に示します。
図 10‒2 初期導入直後の装置管理者モード変更のパスワード設定
> enable
# password enable-mode
Changing local password for admin.
New password:
Retype new password:
#
また,コンフィグレーションコマンド aaa authentication enable で,RADIUS/TACACS+を使用した
認証ができます。コンフィグレーションの設定例については,「10.3.2 RADIUS サーバによる認証の設
定」および「10.3.3 TACACS+サーバによる認証の設定」を参照してください。
10.1.5 リモート運用端末からのログインの許可
コンフィグレーションコマンド line vty を設定することで,リモート運用端末から本装置へログインでき
るようになります。このコンフィグレーションが設定されていない場合,コンソールからだけ本装置にログ
インできます。リモート運用端末からのログインを許可する設定例を次の図に示します。
図 10‒3 リモート運用端末からのログインを許可する設定例
(config)# line vty 0 2
(config-line)#
また,リモート運用端末から ftp プロトコルを用いて,本装置にアクセスする場合には,コンフィグレー
ションコマンド ftp-server を設定する必要があります。本設定を実施しない場合,ftp プロトコルを用いた
本装置へのアクセスはできません。
180
10 ログインセキュリティと RADIUS/TACACS+
図 10‒4 ftp プロトコルによるアクセス許可の設定例
(config)# ftp-server
(config)#
10.1.6 同時にログインできるユーザ数の設定
コンフィグレーションコマンド line vty を設定することで,リモート運用端末から本装置へログインでき
るようになります。line vty コマンドの<num>パラメータで,リモートログインできるユーザ数が制限さ
れます。なお,この設定にかかわらず,コンソールからは常にログインできます。2 人まで同時にログイン
を許可する設定例を次の図に示します。
図 10‒5 同時にログインできるユーザ数の設定例
(config)# line vty 0 1
(config-line)#
同時ログインに関する動作概要を次に示します。
• 複数ユーザが同時にログインすると,ログインしているユーザ数が制限数以下でもログインできない場
合があります。
• 同時にログインできるユーザ数を変更しても,すでにログインしているユーザのセッションが切れるこ
とはありません。
10.1.7 リモート運用端末からのログインを許可する IP アドレスの設定
リモート運用端末から本装置へのログインを許可する IP アドレスを設定することで,ログインを制限でき
ます。なお,設定後はリモート運用端末から本装置へのログインの可否を確認してください。
[設定のポイント]
特定のリモート運用端末からだけ,本装置へのアクセスを許可する場合は,コンフィグレーションコマ
ンド ip access-list standard,ipv6 access-list,access-list,ip access-group,ipv6 access-class
であらかじめアクセスを許可する端末の IP アドレスを登録しておく必要があります。アクセスを許可
する IPv4 アドレスとサブネットマスク,または IPv6 アドレスとプレフィックスは,合わせて最大 128
個の登録ができます。このコンフィグレーションを実施していない場合,すべてのリモート運用端末か
ら本装置へのアクセスが可能となります。なお,アクセスを許可していない(コンフィグレーションで
登録していない)端末からのアクセスがあった場合,すでにログインしているそのほかの端末には,ア
クセスがあったことを示す”Unknown host address <IP アドレス>”のメッセージが表示されます。
アクセスを許可する IP アドレスを変更しても,すでにログインしているユーザのセッションは切れま
せん。
[コマンドによる設定](IPv4 の場合)
1. (config)# ip access-list standard REMOTE
(config-std-nacl)# permit 192.168.0.0 0.0.0.255
(config-std-nacl)# exit
ネットワーク(192.168.0.0/24)からだけログインを許可するアクセスリスト情報 REMOTE を設定
します。
2. (config)# line vty 0 2
(config-line)# ip access-group REMOTE in
(config-line)#
181
10 ログインセキュリティと RADIUS/TACACS+ line モードに遷移し,アクセスリスト情報 REMOTE を適用し,ネットワーク(192.168.0.0/24)に
あるリモート運用端末からだけログインを許可します。
[コマンドによる設定](IPv6 の場合)
1. (config)# ipv6 access-list REMOTE6
(config-ipv6-nacl)# permit ipv6 3ffe:501:811:ff01::/64 any
(config-ipv6-nacl)# exit
ネットワーク(3ffe:501:811:ff01::/64)からだけログインを許可するアクセスリスト情報 REMOTE6
を設定します。
2. (config)# line vty 0 2
(config-line)# ipv6 access-class REMOTE6 in
(config-line)# line モードに遷移し,アクセスリスト情報 REMOTE6 を適用し,ネットワーク(3ffe:
501:811:ff01::/64)にあるリモート運用端末からだけログインを許可します。
10.1.8 ログインバナーの設定
コンフィグレーションコマンド banner でログインバナーの設定を行うと,console から,またはリモート
運用端末の telnet や ftp クライアントなどから本装置に接続したとき,ログインする前やログインしたあ
とにメッセージを表示できます。
[設定のポイント]
リモート運用端末の telnet や ftp クライアントからネットワークを介して本装置の telnet や ftp サー
バへ接続するとき,ログインする前に次のメッセージを表示させます。
##########################################
Warning!!! Warning!!! Warning!!!
This is our system. You should not login.
Please close connection.
##########################################
[コマンドによる設定]
1. (config)# banner login plain-text
--- Press CTRL+D or only '.' line to end ---
##########################################
Warning!!! Warning!!! Warning!!!
This is our system. You should not login.
Please close connection.
##########################################
.
ログイン前メッセージのスクリーンイメージを入力します。
入力が終わったら,"."(ピリオド)だけの行(または CTRL+D)を入力します。
2. (config)# show banner banner login encode
"IyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjCldhcm5pbmchISEgV2FybmluZyEhISBXYX
JuaW5nISEhClRoaXMgaXMgb3VyIHN5c3RlbS4gWW91IHNob3VsZCBub3QgbG9naW4uClBsZWFzZSBjbG9zZSBjb25uZ
WN0aW9uLgojIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMK"
入力されたメッセージは自動的にエンコードされて設定されます。
182
10 ログインセキュリティと RADIUS/TACACS+
3. (config)# show banner login plain-text
##########################################
Warning!!! Warning!!! Warning!!!
This is our system. You should not login.
Please close connection.
##########################################
(config)# show の際に plain- text パラメータを指定すると,テキスト形式で確認できます。
設定が完了したら,リモート運用端末の telnet または ftp クライアントから本装置へ接続します。接続後,
クライアントにメッセージが表示されます。
図 10‒6 リモート運用端末から本装置へ接続した例(telnet で接続した場合)
> telnet 10.10.10.10
Trying 10.10.10.10...
Connected to 10.10.10.10.
Escape character is '^]'.
##########################################
Warning!!! Warning!!! Warning!!!
This is our system. You should not login.
Please close connection.
########################################## login:
図 10‒7 リモート運用端末から本装置へ接続した例(ftp で接続した場合)
> ftp 10.10.10.10
Connected to 10.10.10.10.
220-
##########################################
Warning!!! Warning!!! Warning!!!
This is our system. You should not login.
Please close connection.
##########################################
220 10.10.10.10 FTP server (NetBSD-ftpd) ready.
Name (10.10.10.10:staff):
10.1.9 VRF でのリモート運用端末からのログインの許可【OS-L3SA】
コンフィグレーションコマンド line vty を設定することで,リモート運用端末から本装置にログインでき
るようになります。さらに,コンフィグレーションコマンド transport input の vrf パラメータを設定し
て,VRF からのアクセスを許可します。この vrf パラメータが設定されていない場合,グローバルネット
ワークからのアクセスだけを許可します。
グローバルネットワークを含む全 VRF で,リモート運用端末から本装置への telnet プロトコルによるリ
モートアクセスを許可する設定例を次の図に示します。
図 10‒8 グローバルネットワークを含む全 VRF でリモート運用端末からのログインを許可する設定例
(config)# line vty 0 2
(config-line)# transport input vrf all telnet
(config-line)#
指定 VRF で,リモート運用端末から本装置への telnet プロトコルによるリモートアクセスを許可する設定
例を次の図に示します。なお,グローバルネットワークは含みません。
183
10 ログインセキュリティと RADIUS/TACACS+
図 10‒9 VRF 2 でリモート運用端末からのログインを許可する設定例
(config)# line vty 0 2
(config-line)# transport input vrf 2 telnet
(config-line)#
また,リモート運用端末から ftp プロトコルを使用して本装置にアクセスする場合には,コンフィグレー
ションコマンド ftp-server を設定する必要があります。VRF からのアクセスを許可する場合は,vrf パラ
メータを設定します。この vrf パラメータが設定されていない場合,グローバルネットワークからのアクセ
スだけを許可します。
グローバルネットワークを含む全 VRF で,リモート運用端末から本装置への ftp プロトコルによるリモー
トアクセスを許可する設定例を次の図に示します。
図 10‒10 グローバルネットワークを含む全 VRF でリモート運用端末から ftp プロトコルによるアクセ
スを許可する設定例
(config)# ftp-server vrf all
(config)#
指定 VRF で,リモート運用端末から本装置への ftp プロトコルによるリモートアクセスを許可する設定例
を次の図に示します。なお,グローバルネットワークは含みません。
図 10‒11 VRF 2 でリモート運用端末から ftp プロトコルによるアクセスを許可する設定例
(config)# ftp-server vrf 2
(config)#
10.1.10 VRF でのリモート運用端末からのログインを許可する IP アド
レスの設定【OS-L3SA】
リモート運用端末から本装置へのログインを許可する IP アドレスをアクセスリストに設定することで,ロ
グインを制限できます。
アクセスリストは,グローバルネットワークや VRF に対して個別に設定しますが,同一のアクセスリスト
を,グローバルネットワークを含むすべての VRF に適用する設定もできます。また,これらを組み合わせ
て設定できますが,複数のアクセスリストを使用する場合は,最後のアクセスリストだけ暗黙の廃棄が適用
されます。
なお,アクセス元の VRF に対してアクセスリストがどのように適用される(アクセスリストの適用範囲)
かは,アクセス元とアクセスリストの設定個所との関係によって変わります。例として,グローバルネット
ワーク,VRF 10 および VRF 20 から本装置にアクセスする場合,アクセスリストが設定されている個所
によって,どのアクセスリストが適用されるかを次の表に示します(括弧内が,どのアクセスリストが適用
されるかを示しています)。
表 10‒3 アクセスリストの適用範囲
アクセスリスト設定個所
• global
• global
• VRF 10
• global
• VRF 10
グローバルネットワーク
アクセス元 VRF
VRF 10
(global)
(global)
−
(VRF 10)
(global) ※
適用後
(VRF 10) ※
適用後
−
−
VRF 20
(VRF ALL)
184
10 ログインセキュリティと RADIUS/TACACS+
アクセスリスト設定個所
グローバルネットワーク
アクセス元 VRF
VRF 10 VRF 20
• VRF ALL (VRF ALL) (VRF ALL)
(凡例)
−:アクセスリストは適用されない。したがって,アクセス制限されない。 global:グローバルネットワーク
VRF 10:VRF 10
VRF ALL:グローバルネットワークを含む全 VRF
注※
個別に設定したアクセスリストは,VRF ALL に設定したアクセスリストよりも優先して適用されます。また,アク
セスリストを複数使用しているため,個別に設定したアクセスリストの暗黙の廃棄は無視されます。そのため,個別
に設定したアクセスリストに一致しない場合は,VRF ALL に設定したアクセスリストが適用されます。VRF ALL
に設定したアクセスリストに一致しない場合は,暗黙の廃棄によって制限されます。
なお,設定後はリモート運用端末から本装置へのログインの可否を確認してください。
[設定のポイント]
特定のリモート運用端末からだけ本装置へのアクセスを許可する場合は,アクセスリストを使用しま
す。コンフィグレーションコマンド ip access-list standard,ipv6 access-list,access-list,ip accessgroup,ipv6 access-class で,あらかじめアクセスを許可する端末の IP アドレスを登録しておく必要
があります。アクセスを許可する IPv4 アドレスとサブネットマスク,または IPv6 アドレスとプレ
フィックスは,合わせて最大 128 個の登録ができます。このコンフィグレーションを設定していない場
合,すべてのリモート運用端末から本装置へのアクセスが可能となります。なお,アクセスを許可して
いない(コンフィグレーションで登録していない)端末からのアクセスがあった場合,すでにログイン
しているそのほかの端末には,アクセスがあったことを示す”Unknown host address <IP アドレス
>”のメッセージが表示されます。
設定例を次に示します。まず,グローバルネットワークを含む全 VRF でのリモート運用端末からのロ
グインを制限します。次に,グローバルネットワークと指定 VRF だけ個別にログインを許可します。
これによって,特定のネットワークからだけログインを許可します。
[コマンドによる設定]
1. (config)# ip access-list standard REMOTE_VRFALL
(config-std-nacl)# deny any
(config-std-nacl)# exit
グローバルネットワークを含む全 VRF で,ログインを制限するアクセスリスト REMOTE_VRFALL を
設定します。
2. (config)# ip access-list standard REMOTE_GLOBAL
(config-std-nacl)# permit 192.168.0.0 0.0.0.255
(config-std-nacl)# exit
グローバルネットワークで,ネットワーク(192.168.0.0/24)からだけログインを許可するアクセスリ
スト REMOTE_GLOBAL を設定します。
3. (config)# ip access-list standard REMOTE_VRF10
(config-std-nacl)# permit 10.10.10.0 0.0.0.255
(config-std-nacl)# exit
185
10 ログインセキュリティと RADIUS/TACACS+
VRF 10 で,ネットワーク(10.10.10.0/24)からだけログインを許可するアクセスリスト
REMOTE_VRF10 を設定します。
4. (config)# line vty 0 2
(config-line)# ip access-group REMOTE_VRFALL vrf all in
(config-line)# ip access-group REMOTE_GLOBAL in
(config-line)# ip access-group REMOTE_VRF10 vrf 10 in
(config-line)# line モードに遷移し,グローバルネットワークを含む全 VRF にアクセスリスト REMOTE_VRFALL
を,グローバルネットワークにアクセスリスト REMOTE_GLOBAL を,VRF10 にアクセスリスト
REMOTE_VRF10 を適用します。
グローバルネットワークでは,ネットワーク(192.168.0.0/24)にあるリモート運用端末からだけログ
インを許可します。
VRF10 では,ネットワーク(10.10.10.0/24)にあるリモート運用端末からだけログインを許可しま
す。
また,その他の VRF ではログインを制限します。
186
10 ログインセキュリティと RADIUS/TACACS+
10.2 RADIUS/TACACS+の解説
10.2.1 RADIUS/TACACS+の概要
RADIUS (Remote Authentication Dial In User Service),TACACS+(Terminal Access Controller
Access Control System Plus)とは,NAS(Network Access Server)に対して認証,承認,およびアカ
ウンティングを提供するプロトコルです。NAS は RADIUS/TACACS+のクライアントとして動作する
リモートアクセスサーバ,ルータなどの装置のことです。NAS は構築されている RADIUS/TACACS
+サーバに対してユーザ認証,コマンド承認,およびアカウンティングなどのサービスを要求します。
RADIUS/TACACS+サーバはその要求に対して,サーバ上に構築された管理情報データベースに基づいて
要求に対する応答を返します。本装置は NAS の機能をサポートします。
RADIUS/TACACS+を使用すると一つの RADIUS/TACACS+サーバだけで,複数 NAS でのユーザパス
ワードなどの認証情報や,コマンド承認情報やアカウンティング情報を一元管理できるようになります。本
装置では,RADIUS/TACACS+サーバに対してユーザ認証,コマンド承認,およびアカウンティングを要
求できます。
RADIUS/TACACS+認証の流れを次の図に示します。
図 10‒12 RADIUS/TACACS+認証の流れ
10.2.2 RADIUS/TACACS+の適用機能および範囲
本装置では RADIUS/TACACS+を,運用端末からのログイン認証と装置管理者モードへの変更(enable
コマンド)時の認証,コマンド承認,およびアカウンティングに使用します。また,RADIUS は IEEE802.1X
および Web 認証の端末認証にも使用します。RADIUS/TACACS+機能のサポート範囲を次に示します。
187
10 ログインセキュリティと RADIUS/TACACS+
(1) RADIUS/TACACS+の適用範囲
RADIUS/TACACS+認証を適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)
• 本装置への ftp(IPv4/IPv6)
• コンソール(RS232C)からのログイン
• 装置管理者モードへの変更(enable コマンド)
RADIUS/TACACS+コマンド承認を適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)
• コンソール(RS232C)からのログイン
RADIUS/TACACS+アカウンティングを適用できる操作を次に示します。
• 本装置への telnet(IPv4/IPv6)によるログイン・ログアウト
• 本装置への ftp(IPv4/IPv6)によるログイン・ログアウト
• コンソール(RS232C)からのログイン・ログアウト
• CLI でのコマンド入力(TACACS+だけサポート)
(2) RADIUS のサポート範囲
RADIUS サーバに対して,本装置がサポートする NAS 機能を次の表に示します。
表 10‒4 RADIUS のサポート範囲
分類
文書全体
パケットタイプ
属性
内容
NAS に関する記述だけを対象にします。
ログイン認証,装置管理者モードへの変更(enable コマンド)時の認証,コマンド承認
で使用する次のタイプ
• Access-Request (送信)
• Access-Accept (受信)
• Access-Reject (受信)
アカウンティングで使用する次のタイプ
• Accounting-Request (送信)
• Accounting-Response (受信)
ログイン認証と装置管理者モードへの変更(enable コマンド)時の認証で使用する次の
属性
• User-Name
• User-Password
• Service-Type
• NAS-IP-Address
• NAS-IPv6-Address
• NAS-Identifier
• Reply-Message
188
10 ログインセキュリティと RADIUS/TACACS+
分類
コマンド承認で使用する次の属性
• Class
• Vendor-Specific(Vendor-ID=21839)
アカウンティングで使用する次の属性
• User-Name
• NAS-IP-Address
• NAS-IPv6-Address
• NAS-Port
• NAS-Port-Type
• Service-Type
• Calling-Station-Id
• Acct-Status-Type
• Acct-Delay-Time
• Acct-Session-Id
• Acct-Authentic
• Acct-Session-Time
内容
(a) 使用する RADIUS 属性の内容
使用する RADIUS 属性の内容を次の表に示します。
RADIUS サーバを利用してコマンド承認する場合は,認証時に下の表に示すような Class や Vendor-
Specific を返すようにあらかじめ RADIUS サーバを設定しておく必要があります。RADIUS サーバには,
ベンダー固有属性を登録(dictionary ファイルなどに設定)してください。コマンド承認の属性詳細につい
ては「10.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参照してください。
表 10‒5 使用する RADIUS 属性の内容
属性名 属性値 パケットタイプ
User-Name 1 Access-Request
Accounting-Request
User-Password
Service-Type
NAS-IP-Address
2
6
4
Access-Request
Access-Request
Accounting-Request
Access-Request
Accounting-Request
内容
認証するユーザの名前。
ログイン認証の場合は,ログインユーザ名を送
信します。
装置管理者モードへの変更(enable コマンド)
認証ユーザのパスワード。送信時には暗号化さ
れます。
Login(値=1)。Administrative(値=6,ただしパ
ケットタイプが Access-Request の場合だけ使
用)。Access-Accept および Access-Reject に
添付された場合は無視します。
本装置の IP アドレス。ローカルアドレスが設
定されている場合はローカルアドレス,ローカ
ルアドレスが設定されていない場合は送信イン
タフェースの IP アドレスになります。
189
10 ログインセキュリティと RADIUS/TACACS+
属性名
NAS-IPv6-Address
NAS-Identifier
Reply-Message
Class
Vendor-Specific
NAS-Port
NAS-Port-Type
Calling-Station-Id
Acct-Status-Type
Acct-Delay-Time
Acct-Session-Id
Acct-Authentic
Acct-Session-Time
属性値
95
パケットタイプ
Access-Request
Accounting-Request
32
18
25
26
5
61
31
40
41
44
45
46
Access-Request
Accounting-Request
Access-Accept
Access-Reject
Accounting-Response
Access-Accept
Access-Accept
Accounting-Request
Accounting-Request
Accounting-Request
Accounting-Request
Accounting-Request
Accounting-Request
Accounting-Request
Accounting-Request
(Acct-Status-Type が
Stop の場合だけ)
内容
本装置の IPv6 アドレス。ローカルアドレスが
設定されている場合はローカルアドレス,ロー
カルアドレスが設定されていない場合は送信イ
ンタフェースの IPv6 アドレスになります。た
だし,IPv6 リンクローカルアドレスで通信する
場合は,ローカルアドレス設定の有無にかかわ
らず送信インタフェースの IPv6 リンクローカ
ルアドレスになります。
本装置の装置名。装置名が設定されていない場
合は添付されません。
サーバからのメッセージ。添付されている場合
は,運用ログとして出力されます。
ログインクラス。コマンド承認で適用します。
ログインリスト。コマンド承認で適用します。
ユーザが接続されている NAS のポート番号を
指します。本装置では,tty ポート番号を格納し
ます。ただし,ftp の場合は 100 を格納します。
NAS に接続した方法を指します。本装置では, telnet/ftp は Virtual(5),コンソールは
Async(0)を格納します。
利用者の識別 ID を指します。本装置では, telnet/ftp はクライアントの IPv4/IPv6 アドレ
ス,コンソールは“console”を格納します。
Accounting-Request がどのタイミングで送信
されたかを指します。本装置では,ユーザのロ
グイン時に Start(1),ログアウト時に Stop(2)を
格納します。
送信する必要のあるイベント発生から
Accounting-Request を送信するまでにかかっ
た時間(秒)を格納します。
セッションを識別するための文字列を指しま
す。本装置では,セッションのプロセス ID を格
納します。
ユーザがどのように認証されたかを指します。
本装置では,RADIUS(1),Local(2),Remote(3)
の 3 種類を格納します。
ユーザがサービスを利用した時間(秒)を指しま
す。本装置では,ユーザがログイン後ログアウ
トするまでの時間(秒)を格納します。
• Access-Request パケット
本装置が送信するパケットには,この表で示す以外の属性は添付しません。
190
10 ログインセキュリティと RADIUS/TACACS+
• Access-Accept,Access-Reject,Accounting-Response パケット
この表で示す以外の属性が添付されていた場合,本装置ではそれらの属性を無視します。
(3) TACACS+のサポート範囲
TACACS+サーバに対して,本装置がサポートする NAS 機能を次の表に示します。
表 10‒6 TACACS+のサポート範囲
分類
パケットタイプ
ログイン認証
装置管理者モードへの変
更(enable コマンド)時
の認証
コマンド承認
属性 service
属性
内容
ログイン認証と装置管理者モードへの変更(enable コマンド)時の認証で
使用する次のタイプ
• Authentication Start (送信)
• Authentication Reply(受信)
• Authentication Continue (送信)
コマンド承認で使用する次のタイプ
• Authorization Request (送信)
• Authorization Response (受信)
アカウンティングで使用する次のタイプ
• Accounting Request (送信)
• Accounting Reply (受信)
• User
• Password
• priv-lvl
アカウンティング flag
属性
• taclogin
• class
• allow-commands
• deny-commands
• TAC_PLUS_ACCT_FLAG_START
• TAC_PLUS_ACCT_FLAG_STOP
• task_id
• start_time
• stop_time
• elapsed_time
• timezone
• service
• priv-lvl
• cmd
(a) 使用する TACACS+属性の内容
使用する TACACS+属性の内容を次の表に示します。
191
10 ログインセキュリティと RADIUS/TACACS+
TACACS+サーバを利用してコマンド承認する場合は,認証時に class または allow-commands や denycommands 属性とサービスを返すように TACACS+サーバ側で設定します。コマンド承認の属性詳細に
ついては「10.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」に示します。
表 10‒7 使用する TACACS+属性の内容
service
User
属性 説明
認証するユーザの名前。
ログイン認証の場合は,ログインユーザ名を送信します。 taclogin
Password priv-lvl class allow-commands deny-commands
認証ユーザのパスワード。送信時には暗号化されます。
認証するユーザの特権レベル。
ログイン認証の場合,1 を使用します。装置管理者モードへの変更(enable
コマンド)時の認証の場合,15 を使用します。
コマンドクラス
許可コマンドリスト
制限コマンドリスト
(凡例)−:該当なし
アカウンティング時に使用する TACACS+ flag を次の表に示します。
表 10‒8 TACACS+アカウンティング flag 一覧 flag
TAC_PLUS_ACCT_FLAG_
START
TAC_PLUS_ACCT_FLAG_
STOP
内容
アカウンティング START パケットを示します。ただし,aaa コンフィグレーショ
ンで送信契機に stop-only を指定している場合は,アカウンティング START パ
ケットは送信しません。
アカウンティング STOP パケットを示します。ただし,aaa コンフィグレーション
で送信契機に stop-only を指定している場合は,このアカウンティング STOP パ
ケットだけを送信します。
アカウンティング時に使用する TACACS+属性(Attribute-Value)の内容を次の表に示します。
表 10‒9 TACACS+アカウンティング Attribute-Value 一覧 task_id start_time stop_time
Attribute Value
イベントごとに割り当てられる ID です。本装置ではアカウンティングイベントの
プロセス ID を格納します。
イベントを開始した時刻です。本装置ではアカウンティングイベントが開始された
時刻を格納します。この属性は次のイベントで格納されます。
• 送信契機 start-stop 指定時のログイン時,コマンド実行前
• 送信契機 stop-only 指定時のコマンド実行前
イベントを終了した時刻です。本装置ではアカウンティングイベントが終了した時
刻を格納します。この属性は次のイベントで格納されます。
• 送信契機 start-stop 指定時のログアウト時,コマンド実行後
192
10 ログインセキュリティと RADIUS/TACACS+ timezone service priv-lvl cmd
Attribute elapsed_time
Value
• 送信契機 stop-only 指定時のログアウト時
イベント開始からの経過時間(秒)です。本装置ではアカウンティングイベントの開
始から終了までの時間(秒)を格納します。この属性は次のイベントで格納されま
す。
• 送信契機 start-stop 指定時のログアウト時,コマンド実行後
• 送信契機 stop-only 指定時のログアウト時
タイムゾーン文字列を格納します。
文字列“shell”を格納します。
コマンドアカウンティング設定時に,入力されたコマンドが運用コマンドの場合は
1,コンフィグレーションコマンドの場合は 15 を格納します。
コマンドアカウンティング設定時に,入力されたコマンド文字列(最大 250 文字)
を格納します。
10.2.3 RADIUS/TACACS+を使用した認証
RADIUS/TACACS+を使用した認証方法について説明します。
(1) 認証サービスの選択
ログイン認証および装置管理者モードへの変更(enable コマンド)時の認証に使用するサービスは複数指
定できます。指定できるサービスは RADIUS,TACACS+および adduser/password コマンドによる本
装置単体でのログインセキュリティ機能です。
これらの認証方式は単独でも同時でも指定できます。同時に指定された場合に先に指定された方式で認証
に失敗したときの認証サービスの選択動作を,次に示す end-by-reject を設定するコンフィグレーションコ
マンドで変更できます。
ログイン認証の場合 aaa authentication login end-by-reject
装置管理者モードへの変更(enable コマンド)時の認証の場合 aaa authentication enable end-by-reject
(a) end-by-reject 未設定時 end-by-reject 未設定時の認証サービスの選択について説明します。end-by-reject 未設定時は,先に指定
された方式で認証に失敗した場合に,その失敗の理由に関係なく,次に指定された方式で認証できます。
例として,コンフィグレーションで認証方式に RADIUS,TACACS+,単体でのログインセキュリティの
順番で指定し,それぞれの認証結果が RADIUS サーバ通信不可,TACACS+サーバ認証否認,ログインセ
キュリティ機能認証成功となる場合の認証方式シーケンスを次の図に示します。
193
10 ログインセキュリティと RADIUS/TACACS+
図 10‒13 認証方式シーケンス(end-by-reject 未設定時)
この図で端末からユーザが本装置に telnet を実行すると,RADIUS サーバに対し本装置から RADIUS 認
証を要求します。RADIUS サーバとの通信不可によって RADIUS サーバでの認証に失敗すると,次に
TACACS+サーバに対し本装置から TACACS+認証を要求します。TACACS+認証否認によって
TACACS+サーバでの認証に失敗すると,次に本装置のログインセキュリティ機能での認証を実行します。
ここで認証に成功し,ユーザは本装置へのログインに成功します。
(b) end-by-reject 設定時 end-by-reject 設定時の認証サービスの選択について説明します。end-by-reject 設定時は,先に指定され
た方式で認証否認された場合に,次に指定された方式で認証を行いません。否認された時点で認証を終了
し,一連の認証が失敗となります。通信不可などの異常によって認証が失敗した場合だけ,次に指定された
方式で認証できます。
例として,コンフィグレーションで認証方式に RADIUS,TACACS+,単体でのログインセキュリティの
順番で指定し,それぞれの認証結果が RADIUS サーバ通信不可,TACACS+サーバ認証否認となる場合の
認証方式シーケンスを次の図に示します。
図 10‒14 認証方式シーケンス(end-by-reject 設定時)
194
この図で端末からユーザが本装置に telnet を実行すると,RADIUS サーバに対し本装置から RADIUS 認
証を要求します。RADIUS サーバとの通信不可によって RADIUS サーバでの認証に失敗すると,次に
TACACS+サーバに対し本装置から TACACS+認証を要求します。TACACS+認証否認によって
TACACS+サーバでの認証に失敗すると,この時点で一連の認証が失敗となり,認証を終了します。次に
10 ログインセキュリティと RADIUS/TACACS+
指定されている本装置のログインセキュリティ機能での認証を実行しません。その結果,ユーザは本装置へ
のログインに失敗します。
(2) RADIUS/TACACS+サーバの選択
RADIUS サーバ,TACACS+サーバはそれぞれ最大四つまで指定できます。一つのサーバと通信できず,
認証サービスが受けられない場合は,順次これらのサーバへの接続を試行します。
また,RADIUS サーバ,TACACS+サーバをホスト名で指定したときに,複数のアドレスが解決できた場
合は,優先順序に従い,アドレスを一つだけ決定し,RADIUS サーバ,TACACS+サーバと通信します。
優先順序についての詳細は,「12 ホスト名と DNS 12.1 解説」を参照してください。
注意
DNS サーバを使用してホスト名を解決する場合,DNS サーバとの通信に時間が掛かることがありま
す。このため,RADIUS サーバ,TACACS+サーバは IP アドレスで指定することをお勧めします。
RADIUS/TACACS+サーバと通信不可を判断するタイムアウト時間を設定できます。デフォルト値は 5
秒です。また,各 RADIUS サーバでタイムアウトした場合は,再接続を試行します。この再試行回数も設
定でき,デフォルト値は 3 回です。このため,ログイン方式として RADIUS が使用できないと判断するま
での最大時間は,タイムアウト時間×リトライ回数×RADIUS サーバ設定数になります。なお,各
TACACS+サーバでタイムアウトした場合は,再接続を試行しません。このため,ログイン方式として
TACACS+が使用できないと判断するまでの最大時間は,タイムアウト時間×TACACS+サーバ設定数に
なります。RADIUS サーバ選択のシーケンスを次の図に示します。
図 10‒15 RADIUS サーバ選択のシーケンス
この図でリモート運用端末からユーザが本装置に telnet を実行すると,RADIUS サーバ 1 に対し本装置か
ら RADIUS 認証を要求します。RADIUS サーバ 1 と通信できなかった場合は,続いて RADIUS サーバ 2
に対して RADIUS 認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに成功します。
TACACS+サーバ選択のシーケンスを次の図に示します。
195
10 ログインセキュリティと RADIUS/TACACS+
図 10‒16 TACACS+サーバ選択のシーケンス
この図でリモート運用端末からユーザが本装置に telnet を実行すると,TACACS+サーバ 1 に対し本装置
から TACACS+認証を要求します。TACACS+サーバ 1 と通信できなかった場合は,続いて TACACS
+サーバ 2 に対して TACACS+認証を実行します。ここで認証に成功し,ユーザは本装置へのログインに
成功します。
(3) RADIUS/TACACS+サーバへの登録情報
(a) ログイン認証を使用する場合
RADIUS/TACACS+サーバにユーザ名およびパスワードを登録します。RADIUS/TACACS+サーバへ
登録するユーザ名には次に示す 2 種類があります。
• 本装置に adduser コマンドを使用して登録済みのユーザ名
本装置に登録されたユーザ情報を使用してログイン処理を行います。
• 本装置に未登録のユーザ名
次に示す共通のユーザ情報でログイン処理を行います。
• ユーザ ID:remote_user
• ホームディレクトリ:/usr/home/remote_user
本装置に未登録のユーザでログインした場合の注意点を示します。
• ファイルの管理
ファイルを作成した場合,すべて remote_user 管理となって,別のユーザでも,作成したファイルの読
み込みおよび書き込みができます。重要なファイルは ftp などで外部に保管するなど,ファイルの管理
に注意してください。
(b) 装置管理者モードへの変更(enable コマンド)時の認証を使用する場合
装置管理者モードへの変更(enable コマンド)用に,次のユーザ情報を登録してください。
• ユーザ名
本装置ではユーザ名属性として,次の表に示すユーザ名をサーバに送信します。送信するユーザ名はコ
ンフィグレーションコマンドで変更できます。対応するユーザ名をサーバに登録してください。
196
10 ログインセキュリティと RADIUS/TACACS+
表 10‒10 設定するユーザ名属性
コマンド名
設定なし aaa authentication enable attribute-user-per-method
RADIUS 認証 admin
$enab15$
ユーザ名
TACACS+認証 admin
ログインユーザ名
• 特権レベル
特権レベルは 15 で固定です。
ただし,サーバによっては,送信したユーザ名属性に関係なく特定のユーザ名(例えば$enab15$)を使用
する場合や,特権レベルの登録が不要な場合などがあります。詳細は,使用するサーバのマニュアルを確認
してください。
10.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認
RADIUS/TACACS+/ローカル(コンフィグレーション)を使用したコマンド承認方法について説明しま
す。
(1) コマンド承認の概要
RADIUS サーバ,TACACS+サーバ,またはローカルパスワードによる認証の上ログインしたユーザに対
し,使用できる運用コマンドの種類を制限することができます。これをコマンド承認と呼びます。使用でき
る運用コマンドは,RADIUS サーバまたは TACACS+サーバから取得する,コマンドクラスおよびコマン
ドリスト,またはコンフィグレーションで設定したコマンドクラスおよびコマンドリストに従い制御を行い
ます。また,制限した運用コマンドは,CLI の補完機能で補完候補として表示しません。なお,<option>
や<Host Name>などの,<>で囲まれたパラメータ部分の値や文字列を含んだ運用コマンドを,許可する
コマンドリストに指定した場合は,<>部分は補完候補として表示しません。
図 10‒17 RADIUS/TACACS+サーバによるログイン認証,コマンド承認
197
10 ログインセキュリティと RADIUS/TACACS+
図 10‒18 ローカルによるログイン認証,コマンド承認
本装置の aaa コンフィグレーションでコマンド承認を設定すると,RADIUS/TACACS+指定時は,ログ
イン認証と同時に,サーバからコマンドリストを取得します。ローカル指定時は,ログイン認証と同時に,
コンフィグレーションで設定されたコマンドリストを使用します。本装置ではこれらのコマンドリストに
従ってログイン後の運用コマンドを許可/制限します。
図 10‒19 RADIUS/TACACS+サーバによるコマンド承認のシーケンス
198
図 10‒20 ローカルコマンド承認のシーケンス
10 ログインセキュリティと RADIUS/TACACS+
「図 10‒19 RADIUS/TACACS+サーバによるコマンド承認のシーケンス」で端末からユーザが本装置に
telnet を実行すると,RADIUS/TACACS+サーバに対し本装置から認証,コマンド承認を要求します。認
証成功時に RADIUS/TACACS+サーバからコマンドリストを取得し,ユーザは本装置にログインします。
「図 10‒20 ローカルコマンド承認のシーケンス」で端末からユーザが本装置に telnet を実行すると,ロー
カル認証を行います。認証成功時にコンフィグレーションからコマンドリストを取得し,ユーザは本装置に
ログインします。
ログイン後,ユーザは本装置で運用コマンド show interfaces などを実行できますが,運用コマンド reload
はコマンドリストによって制限されているために実行できません。
!
注意事項
RADIUS/TACACS+サーバのコマンドリストの設定を変更した場合またはコンフィグレーションのコマンドリ
ストを変更した場合は,次回のログイン認証後から反映されます。
(2) RADIUS/TACACS+/ローカルコマンド承認設定手順
RADIUS/TACACS+によるコマンド承認を使用するためには,次の手順で RADIUS/TACACS+サーバ
や本装置を設定します。
1. コマンド制限のポリシーを決める。
各ユーザに対し,運用コマンドの中で,制限・許可するコマンドのポリシーを決めます。
2. コマンドリストを指定する。
コマンドクラス以外に,許可/制限コマンドリストとして,許可コマンドと制限コマンドをそれぞれ指
定できます。
3. RADIUS/TACACS+サーバを設定する。
決定したコマンド制限ポリシーを基に,RADIUS または TACACS+のリモート認証サーバに,コマン
ド制限のための設定を行います。
4. 本装置のリモート認証を設定する。
199
10 ログインセキュリティと RADIUS/TACACS+
本装置で RADIUS または TACACS+サーバのコンフィグレーション設定と aaa コンフィグレーショ
ン設定を行います。
5. コマンド承認の動作を確認する。
RADIUS/TACACS+を使用したリモート運用端末から本装置へログインし,確認を行います。
ローカルコマンド承認を使用するためには,次の手順で本装置を設定します。
1. コマンド制限のポリシーを決める。
各ユーザに対し,運用コマンドの中で,制限・許可するコマンドのポリシーを決めます。
2. コマンドリストを作成する。
コマンドクラス以外に,コマンドリストとして許可コマンドと制限コマンドをそれぞれ指定できます。
決定したコマンド制限ポリシーを基に,コマンドリストのコンフィグレーション設定を行います。
なお,コマンドクラスだけを使用する場合は作成不要です。
3. ユーザにコマンドクラスまたはコマンドリストを割り当てる。
各ユーザに対し,コマンドクラスまたはコマンドリストを割り当てる username コンフィグレーション
設定を行います。
その後に,aaa コンフィグレーション設定を行います。
4. コマンド承認の動作を確認する。
本装置へローカル認証でログインし確認を行います。
(3) コマンド制限のポリシー決定
各ユーザに対し,運用コマンドの中で,制限・許可するコマンドのポリシーを決めます。ここでは,各ユー
ザがログインしたときに,あるコマンド群は許可し,それ以外のコマンドは制限するなどを決めます。ポリ
シーは「(5) RADIUS/TACACS+/ローカルコマンド承認の設定」で設定します。
コマンド制限・許可の対象となるのは,運用コマンドです。マニュアル未掲載のデバッグコマンド(ps コ
マンドなど)は対象外で,常に制限されます(許可が必要な場合は,次に説明するコマンドクラスで root
を指定してコマンド無制限クラスとしてください)。なお,logout,exit,quit,disable,end,set terminal,show whoami,who am i コマンドに関しては常に許可されます。
本装置には,あらかじめ「コマンドクラス」として,以下のポリシーが定義されています。規定のコマンド
クラスを選択することで,そのクラスの応じたコマンド制限を行うことができます。
表 10‒11 コマンドクラス一覧
コマンドクラス 許可コマンド root
全コマンド無制限クラス allcommand
運用コマンド無制限クラス noconfig
コンフィグレーション変更制限クラス(コンフィ
グレーションコマンド指定も制限します) nomanage
ユーザ管理コマンド制限クラス
従来どおりすべてのコマンド
(マニュアル未掲載のデバッ
グコマンドを含む)
すべての運用コマンド"all"
制限以外の運用コマンド
制限以外の運用コマンド
なし
制限コマンド
なし(マニュアル未掲載のデ
バッグコマンドは不可)
"config, copy, erase configuration"
"adduser, rmuser, clear password, password, killuser"
200
10 ログインセキュリティと RADIUS/TACACS+
コマンドクラス noenable
装置管理者モードコマンド制限クラス
許可コマンド
制限以外の運用コマンド "enable"
制限コマンド
また,コマンドクラス以外に,許可コマンドリストと制限コマンドリストをそれぞれ指定することもできま
す。
(4) コマンドリストの指定方法について
コマンドクラス以外に,許可/制限コマンドリストとして,許可コマンドと制限コマンドをそれぞれ指定で
きます。コマンドを指定する場合は,各コマンドリストに設定対象のコマンド文字列をスペースも意識して
指定します。複数指定する場合はコンマ(,)で区切って並べます。なお,ローカルコマンド承認では,コマ
ンド文字列をコンフィグレーションコマンド commands exec で一つずつ設定します。本装置では,その
設定されたコマンド文字列をコンマ(,)で連結したものをコマンドリストとして使用します。
コマンドリストで指定されたコマンド文字列と,ユーザが入力したコマンドの先頭部分とが,合致するかど
うかを判定します(前方一致)。なお,特別な文字列として,all を指定できます。all は運用コマンドすべて
を意味します。
判定時に,許可コマンドリストと制限コマンドリストの両方に合致した場合は,合致したコマンド文字数が
多い方の動作を採用します(ただし,all 指定は文字数を 1 とします)。その際,許可コマンドリストと制限
コマンドリストに同じコマンド文字列が指定されていた場合は,許可として判定されます。
また,コマンドクラスと許可/制限コマンドリストを同時に指定した場合は,コマンドクラスごとに規定さ
れているコマンドリスト(「表 10‒11 コマンドクラス一覧」中の" "で囲まれているコマンドリストに対
応)と許可/制限コマンドリストを合わせて判定を行います。なお,コマンドクラスに root を指定した場
合,許可/制限コマンドクラスの設定は無効となり,マニュアル未掲載のデバッグコマンド(ps コマンド
など)を含むすべてのコマンドが実行できるようになります。
例 1〜7 にある各コマンドリストを設定した場合,本装置でどのようなコマンドが許可/制限されるかを示
します。
(例 1)
許可コマンドリストだけを設定した場合,設定されたコマンドだけが実行を許可されます。
表 10‒12 コマンドリスト例 1
コマンドリスト
許可コマンドリスト="show ,ping"
制限コマンドリスト 設定なし show ip arp ping ipv6 ::1 reload
指定コマンド 判定
許可
許可
制限
(例 2)
許可コマンドリストと制限コマンドリストの両方に合致した場合は,合致したコマンド文字数が多い方
の動作とします(ただし,all 指定は文字数 1 とします)。
表 10‒13 コマンドリスト例 2
コマンドリスト 指定コマンド 判定
許可コマンドリスト="show ,ping ipv6" show system 許可
201
10 ログインセキュリティと RADIUS/TACACS+
コマンドリスト
制限コマンドリスト="show ip,ping"
指定コマンド show ipv6 neighbors ping ipv6 ::1 ping 10.10.10.10
判定
制限
許可
制限
(例 3)
許可コマンドリストと制限コマンドリストの両方を設定し,両方に合致しない場合は,許可として判定
されます。
表 10‒14 コマンドリスト例 3
コマンドリスト
許可コマンドリスト="show"
制限コマンドリスト="reload"
指定コマンド ping 10.10.10.10
reload
判定
許可
制限
(例 4)
許可コマンドリストと制限コマンドリストに同じコマンド文字列が指定されている場合は,許可として
判定されます。
表 10‒15 コマンドリスト例 4
コマンドリスト 指定コマンド 判定
許可コマンドリスト="show"
制限コマンドリスト="show,ping" show system ping ipv6 ::1
許可
制限
(例 5)
コマンドリストをまったく設定しなかった場合は,logout などのコマンド以外はすべて制限されます。
表 10‒16 コマンドリスト例 5
コマンドリスト 指定コマンド 判定
許可コマンドリスト 設定なし
制限コマンドリスト 設定なし
すべて logout,exit,quit,disable,end,set terminal,show whoami,who am i
制限
許可
(例 6)
クラスとして root を指定した場合は,従来どおりすべてのコマンドが実行可能となります。なお,コ
マンドクラスに root を指定した場合,許可/制限コマンドクラスの制限は無効となり,マニュアル未
掲載のデバッグコマンド(ps コマンドなど)を含むすべてのコマンドが実行可能となります。
表 10‒17 コマンドリスト例 6
コマンドリスト
コマンドクラス="root"
指定コマンド
すべて(マニュアル未掲載のデバッグコ
マンドを含む)
判定
許可
(例 7)
制限コマンドリストだけを設定した場合は,リストに合致しない運用コマンドはすべて許可となりま
す。
202
10 ログインセキュリティと RADIUS/TACACS+
表 10‒18 コマンドリスト例 7
コマンドリスト
許可コマンドリスト 設定なし
制限コマンドリスト= "reload"
指定コマンド reload 以外の運用コマンドすべて reload
判定
許可
制限
本マニュアルでは,例として次表のようなポリシーでコマンド制限を行います。
表 10‒19 コマンド制限のポリシー例
ユーザ名 staff guest
コマンドクラス allcommand
なし
許可コマンド
運用コマンドすべて
制限以外の運用コマンドすべて許可
制限コマンド
なし reload … ※ inactivate … ※ enable … ※
許可以外,すべて制限 test なし show ip … ※
(show ipv6 …は制限)
注※ …は任意のパラメータを意味します(show ip …は show ip arp など)。
(5) RADIUS/TACACS+/ローカルコマンド承認の設定
「表 10‒19 コマンド制限のポリシー例」で決定したコマンド制限ポリシーを基に,RADIUS または
TACACS+のリモート認証サーバでは,通常のログイン認証の設定以外に,以下の属性値を使用したコマ
ンド制限のための設定を行います。
なお,サーバ側でコマンド承認の設定を行っていない場合,ユーザが認証されログインできても logout, exit,quit,disable,end,set terminal,show whoami,who am i 以外のすべてのコマンドが制限さ
れ,コマンドを実行できなくなりますのでご注意ください。その場合は,コンソールからログインしてくだ
さい。
また,コンフィグレーションコマンド aaa authorization commands console によってコンソールもコマ
ンド承認の対象となっている場合は,デフォルトリスタート後,ログインしてください。
• RADIUS サーバを使用する場合
RADIUS サーバを利用してコマンド制限する場合は,認証時に以下のような属性を返すようにサーバで設
定します。
表 10‒20 RADIUS 設定属性一覧
属性 ベンダー固有属性
25 Class
26 Vendor-
Specific
Vendor-Id: 21839
−
ALAXALA-Allow-
Commands
Vendor type: 101
値
クラス
次の文字列のどれか一つを指定します。 root,allcommand,noconfig,nomanage,noenable
許可コマンドリスト
許可するコマンドの前方一致文字列をコンマ(,)で区切って
指定します。空白も区別します。
運用コマンドすべては"all"を指定します。
203
10 ログインセキュリティと RADIUS/TACACS+
属性 ベンダー固有属性
ALAXALA-Deny-
Commands
Vendor type: 102
値
許可コマンドリストだけ設定した場合は,許可コマンドリス
ト以外のコマンドはすべて制限となります。
(例:ALAXALA-Allow-Commands="show ,ping ,telnet
")
制限コマンドリスト
制限するコマンドの前方一致文字列をコンマ(,)で区切って
指定します。空白も区別します。
運用コマンドすべては"all"を指定します。
制限コマンドリストだけ設定した場合は,制限コマンドリス
ト以外はすべて許可となります。
(例:ALAXALA-Deny-Commands="enable,reload, inactivate")
(凡例)−:該当なし
RADIUS サーバには,上記のベンダー固有属性を登録(dictionary ファイルなどに設定)してください。
図 10‒21 RADIUS サーバでのベンダー固有属性の dictionary ファイル登録例
VENDOR ALAXALA 21839
ATTRIBUTE ALAXALA-Allow-Commands 101 string ALAXALA
ATTRIBUTE ALAXALA-Deny-Commands 102 string ALAXALA
「表 10‒19 コマンド制限のポリシー例」で決定したポリシーを一般的な RADIUS サーバに設定する場合,
以下のような設定例になります。
図 10‒22 RADIUS サーバ設定例 staff Password = "******"
Class = "allcommand" … 1 guest Password = "******"
Alaxala-Deny-Commands = "enable,reload,inactivate" … 2 test Password = "******"
Alaxala-Allow-Commands = "show ip " … 3
注 ******の部分には各ユーザのパスワードを設定します。
1. クラス"allcommand"で運用コマンドすべてを許可します。
2. enable,reload,および inactivate で始まるコマンドを制限します。 allow-commands が指定されていないため,ほかのコマンドは許可となります。
3. 空白の有無が意味を持ちます。
"show ip "の後ろに空白があるため,show ip arp などのコマンドは許可されますが,show ipv6 neighbors などのコマンドは許可されません。
ほかのコマンドはすべて制限となります。
注意
• 本装置では Class エントリを複数受信した場合,1 個目の Class を認識し 2 個目以降の Class エン
トリは無効となります。
204
10 ログインセキュリティと RADIUS/TACACS+
図 10‒23 複数 Class エントリ設定例
Class = "noenable" … 1
Class = "allcommand"
1. 本装置では一つ目の noenable だけ有効となります。
• 本装置では Class エントリに複数のクラス名を記述した場合,1 個目のクラス名を認識し 2 個目以
降のクラス名は無効となります。例えば,class="nomanage,noenable"と記述した場合, nomanage だけが有効になります。
• ALAXALA-Deny-Commands, ALAXALA-Allow-Commands のそれぞれにおいて,同一属性の
エントリを複数受信した場合,一つの属性につきコンマ(,)と空白も含み 1024 文字までを認識し,
1025 文字以降は受信しても無効となります。なお,下記の例のように同一属性を複数エントリ記述
し,本装置で 2 個目以降のエントリを受信した場合にはエントリの先頭に自動的にコンマ(,)を設定
します。
図 10‒24 複数 Deny-Commands エントリ設定例
ALAXALA-Deny-Commands = "inactivate,reload" … 1
ALAXALA-Deny-Commands = "activate,test,............" … 1
1. 本装置では下線の部分を合計 1024 文字まで認識します。
上記の Deny-Commands を受信した場合は,下記のように 2 個目のエントリの先頭である activate コマンドの前にコンマ(,)が自動的に設定されます。
Deny-Commands = "inactivate,reload,activate,test,........."
• TACACS+サーバを使用する場合
TACACS+サーバを使用してコマンド制限をする場合は,TACACS+サーバで承認の設定として以下のよ
うな属性−値のペアを設定します。
表 10‒21 TACACS+設定属性一覧 service 属性 taclogin class allow-commands deny-commands
値
コマンドクラス
次の文字列のどれかを指定 root,allcommand,noconfig,nomanage,noenable
許可コマンドリスト
許可するコマンドの前方一致文字列をコンマ(,)で区切って指定します。空白
も区別します。
運用コマンドすべては"all"を指定します。
許可コマンドリストだけ設定した場合は,許可コマンドリスト以外のコマンド
はすべて制限となります。
(例:allow-commands="show ,ping ,telnet ")
制限コマンドリスト
制限するコマンドの前方一致文字列をコンマ(,)で区切って指定します。空白
も区別します。
運用コマンドすべては"all"を指定します。制限コマンドリストだけ設定した
場合は,制限コマンドリスト以外はすべて許可となります。
(例:deny-commands="enable,reload,inactivate")
「表 10‒19 コマンド制限のポリシー例」で決定したポリシーを一般的な TACACS+サーバに設定する場
合,以下のような設定ファイルイメージになります。
205
10 ログインセキュリティと RADIUS/TACACS+
図 10‒25 TACACS+サーバの設定例 user=staff {
login = cleartext "******"
service = taclogin { … 1
class = "allcommand"
}
} user=guest {
login = cleartext "******"
service = taclogin {
deny-commands = "enable,reload,inactivate" … 2
} user=test {
login = cleartext "******"
service = taclogin {
allow-commands = "show ip " … 3
}
注 ******の部分には各ユーザのパスワードを設定します。
1. service 名は taclogin と設定します。
クラス"allcommand"で運用コマンドすべてを許可します。
2. enable,reload,および inactivate で始まるコマンドを制限します。 allow-commands が指定されていないため,ほかのコマンドは許可となります。
3. 空白の有無が意味を持ちます。
"show ip "の後ろに空白があるため,show ip arp などのコマンドは許可されますが,show ipv6 neighbors などのコマンドは許可されません。
ほかのコマンドはすべて制限となります。
注意
• 本装置では class エントリに複数のクラス名を記述した場合,1 個目のクラス名を認識し 2 個目以降
のクラス名は無効となります。例えば class="nomanage,noenable"と記述した場合,nomanage
だけが有効になります。
• deny-commands,allow-commands のそれぞれにおいて,一つの属性につきコンマ(,)と空白も
含み 1024 文字までを認識し,1025 文字以降は受信しても無効となります。
• ローカルコマンド承認を使用する場合
「表 10‒19 コマンド制限のポリシー例」で決定したポリシーをローカルコマンド承認で設定する場合,次
のようなコンフィグレーションの設定になります。
図 10‒26 コンフィグレーションの設定例 username guest view guest_view username staff view-class allcommand … 1 username test view test_view
!
parser view guest_view
commands exec exclude all "enable" … 2
commands exec exclude all "inactivate" … 2
commands exec exclude all "reload" … 2
!
parser view test_view
commands exec include all "show ip " … 3
!
aaa authentication login default local aaa authorization commands default local
206
10 ログインセキュリティと RADIUS/TACACS+
1. ユーザ"staff"に対し,クラス"allcommand"で運用コマンドすべてを許可します。
2. enable,inactivate,および reload で始まるコマンドを制限します。 commands exec include が指定されていないため,ほかのコマンドは許可となります。
3. 空白の有無が意味を持ちます。
"show ip "の後ろに空白があるため,show ip arp などのコマンドは許可されますが,show ipv6 neighbors などのコマンドは許可されません。
ほかのコマンドはすべて制限となります。
(a) ログインしての確認
設定が完了した後,RADIUS/TACACS+/ローカルを使用したリモート運用端末から本装置へのログイン
を行います。ログイン後,show whoami コマンドでコマンドリストが設定されていること,コマンドを
実行して制限・許可していることを確認してください。
図 10‒27 staff がログイン後の確認例
> show whoami
Date 20XX/01/07 12:00:00 UTC staff ttyp0 ----- 2 Jan 6 14:17 (10.10.10.10)
Home-directory: /usr/home/staff
Authentication: TACACS+ (Server 192.168.10.1)
Class: allcommand
Allow: "all"
Deny : -----
Command-list: -----
>
> show clock
Wed Jan 7 12:00:10 UTC 20XX
> /bin/date
% Command not authorized.
>
図 10‒28 guest がログイン後の確認例
>show whoami
Date 20XX/01/07 12:00:00 UTC guest ttyp0 ----- 2 Jan 6 14:17 (10.10.10.20)
Home-directory: /usr/home/guest
Authentication: RADIUS (Server 192.168.10.1)
Class: -----
Command-list:
Allow: -----
Deny : "enable,reload,inactivate"
>
> show clock
Wed Jan 7 12:00:10 UTC 20XX
> reload
% Command not authorized.
>
図 10‒29 test がログイン後の確認例
>show whoami
Date 20XX/01/07 12:00:00 UTC test ttyp0 ----- 2 Jan 6 14:17 (10.10.10.30)
Home-directory: /usr/home/test
Authentication: LOCAL
Class: -----
Command-list:
Allow: "show ip "
Deny : -----
>
> show ip arp
***コマンド実行されます***
207
10 ログインセキュリティと RADIUS/TACACS+
> show ipv6 neighbors
% Command not authorized.
>
10.2.5 RADIUS/TACACS+を使用したアカウンティング
RADIUS/TACACS+を使用したアカウンティング方法について説明します。
(1) アカウンティングの指定
本装置の RADIUS/TACACS+コンフィグレーションと aaa accounting コンフィグレーションのアカウ
ンティングを設定すると,運用端末から本装置へのログイン・ログアウト時に RADIUS または TACACS
+サーバへアカウンティング情報を送信します。また,本装置へのコマンド入力時に TACACS+サーバへ
アカウンティング情報を送信します。
アカウンティングの設定は,ログインとログアウトのイベントを送信するログインアカウンティング指定
と,コマンド入力のイベントを送信するコマンドアカウンティング指定があります。コマンドアカウンティ
ングは TACACS+だけでサポートしています。
それぞれのアカウンティングに対して,アカウンティング START と STOP を両方送信するモード(startstop)と STOP だけを送信するモード(stop-only)を選択できます。さらに,コマンドアカウンティング
に対しては,入力したコマンドをすべて送信するモードとコンフィグレーションだけを送信するモードを選
択できます。また,設定された各 RADIUS/TACACS+サーバに対して,通常はどこかのサーバでアカウ
ンティングが成功するまで順に送信しますが,成功したかどうかにかかわらずすべてのサーバへ順に送信す
るモード(broadcast)も選択できます。
(2) アカウンティングの流れ
ログインアカウンティングとコマンドアカウンティングの両方を START-STOP 送信モードで TACACS
+サーバへ送信する設定をした場合のシーケンスを次の図に示します。
図 10‒30 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングの START-
STOP 送信モード時)
208
10 ログインセキュリティと RADIUS/TACACS+
この図で運用端末から本装置にログインが成功すると,本装置から TACACS+サーバに対しユーザ情報や
時刻などのアカウンティング情報を送信します。また,コマンドの入力前後にも本装置から TACACS
+サーバに対し入力したコマンド情報などのアカウンティング情報を送信します。最後に,ログアウト時に
は,ログインしていた時間などの情報を送信します。
ログインアカウンティングは START-STOP 送信モードのままで,コマンドアカウンティングだけを
STOP-ONLY 送信モードして TACACS+サーバへ送信する設定をした場合のシーケンスを次の図に示し
ます。
図 10‒31 TACACS+アカウンティングのシーケンス(ログインアカウンティング START-STOP,コマン
ドアカウンティング STOP-ONLY 送信モード時)
「図 10‒30 TACACS+アカウンティングのシーケンス(ログイン・コマンドアカウンティングの START-
STOP 送信モード時)」の例と比べると,ログイン・ログアウトでのアカウンティング動作は同じですが,
コマンドアカウンティングで STOP-ONLY を指定している場合,コマンドの入力前にだけ本装置から
TACACS+サーバに対し入力したコマンド情報などのアカウンティング情報を送信します。
(3) アカウンティングの注意事項
RADIUS/TACACS+コンフィグレーション,aaa accounting コンフィグレーションのアカウンティング
の設定や interface loopback コンフィグレーションで IPv4 装置アドレスを変更した場合は,送受信途中
や未送信のアカウンティングイベントと統計情報はクリアされ,新しい設定で動作します。
多数のユーザが,コマンドを連続して入力したり,ログイン・ログアウトを繰り返したりした場合,アカウ
ンティングイベントが大量に発生するため,一部のイベントでアカウンティングできないことがあります。
アカウンティングイベントの大量な発生による本装置・サーバ・ネットワークへの負担を避けるためにも,
コマンドアカウンティングは STOP-ONLY で設定することをお勧めします。また,正常に通信できない
RADIUS/TACACS+サーバは指定しないでください。
運用コマンド clear accounting でアカウンティング統計情報をクリアする場合,clear accounting コマン
ドの入力時点で各サーバへの送受信途中のアカウンティングイベントがあるときは,そのイベントの送受信
終了後に,各サーバへの送受信統計のカウントを開始します。
209
10 ログインセキュリティと RADIUS/TACACS+
DNS サーバを使用してホスト名を解決する場合,DNS サーバとの通信に時間が掛かることがあります。
このため,RADIUS サーバおよび TACACS+サーバは IP アドレスで指定することをお勧めします。
10.2.6 RADIUS/TACACS+との接続
(1) RADIUS サーバとの接続
(a) RADIUS サーバでの本装置の識別
RADIUS プロトコルでは NAS を識別するキーとして,要求パケットの発信元 IP アドレスを使用するよう
規定されています。本装置では要求パケットの発信元 IP アドレスに次に示すアドレスを使用します。
• コンフィグレーションコマンド interface loopback 0 のローカルアドレスが設定されている場合は,
ローカルアドレスを発信元 IP アドレスとして使用します。
• ローカルアドレスが設定されていない場合は,送信インタフェースの IP アドレスを使用します。
このため,ローカルアドレスが設定されている場合は,RADIUS サーバに本装置を登録するためにローカ
ルアドレスで指定した IP アドレスを使用する必要があります。これによって,RADIUS サーバと通信する
インタフェースが特定できない場合は,ローカルアドレスを設定することで RADIUS サーバを確実に識別
できる本装置の情報を登録できるようになります。
(b) RADIUS サーバのメッセージ
RADIUS サーバは応答に Reply-Message 属性を添付して要求元にメッセージを送付する場合がありま
す。本装置では,RADIUS サーバからの Reply-Message 属性の内容を運用ログに出力します。RADIUS
サーバとの認証に失敗する場合は,運用ログを参照してください。
(c) RADIUS サーバのポート番号
RADIUS の認証サービスのポート番号は,RFC2865 で 1812 と規定されています。本装置では特に指定
しないかぎり,RADIUS サーバへの要求に 1812 のポート番号を使用します。しかし,一部の RADIUS
サーバで 1812 ではなく初期の実装時に使用されていた 1645 のポート番号を使用している場合がありま
す。このときはコンフィグレーション radius-server host の auth-port パラメータで 1645 を指定してく
ださい。なお,auth-port パラメータでは 1〜65535 の任意の値が指定できますので,RADIUS サーバが
任意のポート番号で待ち受けできる場合にも対応できます。
(2) TACACS+サーバとの接続
(a) TACACS+サーバの設定
• 本装置と TACACS+サーバを接続する場合は,Service と属性名などに注意してください。TACACS
+サーバの属性については,「10.2.4 RADIUS/TACACS+/ローカルを使用したコマンド承認」を参
照してください。
• コンフィグレーションコマンド interface loopback 0 のローカルアドレスが設定されている場合は,
ローカルアドレスを発信元 IP アドレスとして使用します。
210
10 ログインセキュリティと RADIUS/TACACS+
10.3 RADIUS/TACACS+のコンフィグレーション
10.3.1 コンフィグレーションコマンド一覧
RADIUS/TACACS+,アカウンティングに関するコンフィグレーションコマンド一覧を次の表に示しま
す。
表 10‒22 コンフィグレーションコマンド一覧(RADIUS)
コマンド名 radius-server host radius-server key radius-server retransmit radius-server timeout
説明
認証,承認,アカウンティングに使用する RADIUS サーバを設定します。
認証,承認,アカウンティングに使用する RADIUS サーバ鍵を設定します。
認証,承認,アカウンティングに使用する RADIUS サーバへの再送回数を設定しま
す。
認証,承認,アカウンティングに使用する RADIUS サーバの応答タイムアウト値を
設定します。
表 10‒23 コンフィグレーションコマンド一覧(TACACS+)
コマンド名 説明 tacacs-server host tacacs-server key tacacs-server timeout
認証,承認,アカウンティングに使用する TACACS+サーバを設定します。
認証,承認,アカウンティングに使用する TACACS+サーバの共有秘密鍵を設定し
ます。
認証,承認,アカウンティングに使用する TACACS+サーバの応答タイムアウト値
を設定します。
表 10‒24 コンフィグレーションコマンド一覧(アカウンティング)
コマンド名 説明 aaa accounting commands aaa accounting exec
コマンドアカウンティングを行うときに設定します。
ログイン・ログアウトアカウンティングを行うときに設定します。
10.3.2 RADIUS サーバによる認証の設定
(1) ログイン認証の設定例
[設定のポイント]
RADIUS サーバ,およびローカル認証を行う設定例を示します。RADIUS サーバとの通信不可などの
異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認証
に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
あらかじめ,通常のリモートアクセスに必要な設定を行っておく必要があります。
[コマンドによる設定]
1. (config)# aaa authentication login default group radius local
211
10 ログインセキュリティと RADIUS/TACACS+
ログイン時に使用する認証方式を RADIUS 認証,ローカル認証の順に設定します。
2. (config)# aaa authentication login end-by-reject
RADIUS 認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないように
設定します。
3. (config)# radius-server host 192.168.10.1 key "039fkllf84kxm3"
RADIUS 認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
(2) 装置管理者モードへの変更(enable コマンド)時の認証の設定例
[設定のポイント]
RADIUS サーバ,およびローカル認証を行う設定例を示します。RADIUS サーバとの通信不可などの
異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認証
に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
また,RADIUS 認証時のユーザ名属性として$enab15$を送信するように設定します。
[コマンドによる設定]
1. (config)# aaa authentication enable default group radius enable
装置管理者モードへの変更(enable コマンド)時に使用する認証方式を RADIUS 認証,ローカル認証
の順に設定します。
2. (config)# aaa authentication enable end-by-reject
RADIUS 認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないように
設定します。
3. (config)# aaa authentication enable attribute-user-per-method
RADIUS 認証時のユーザ名属性として$enab15$を送信するように設定します。
4. (config)# radius-server host 192.168.10.1 key "039fkllf84kxm3"
RADIUS 認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
10.3.3 TACACS+サーバによる認証の設定
(1) ログイン認証の設定例
[設定のポイント]
TACACS+サーバおよびローカル認証を行う設定例を示します。TACACS+サーバとの通信不可など
の異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認
証に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
あらかじめ,通常のリモートアクセスに必要な設定を行っておく必要があります。
[コマンドによる設定]
1. (config)# aaa authentication login default group tacacs+ local
ログイン時に使用する認証方式を TACACS+認証,ローカル認証の順に設定します。
2. (config)# aaa authentication login end-by-reject
TACACS+認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないよう
に設定します。
3. (config)# tacacs-server host 192.168.10.1 key "4h8dlir9r-w2"
212
10 ログインセキュリティと RADIUS/TACACS+
TACACS+認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
(2) 装置管理者モードへの変更(enable コマンド)時の認証の設定例
[設定のポイント]
TACACS+サーバおよびローカル認証を行う設定例を示します。TACACS+サーバとの通信不可など
の異常によって認証に失敗した場合だけローカル認証を行うように設定します。なお,否認によって認
証に失敗した場合には,その時点で一連の認証を終了し,ローカル認証を行いません。
また,TACACS+認証時のユーザ名属性としてログインユーザ名を送信するように設定します。
[コマンドによる設定]
1. (config)# aaa authentication enable default group tacacs+ enable
装置管理者モードへの変更(enable コマンド)時に使用する認証方式を TACACS+認証,ローカル認
証の順に設定します。
2. (config)# aaa authentication enable end-by-reject
TACACS+認証で否認された場合には,その時点で一連の認証を終了し,ローカル認証を行わないよう
に設定します。
3. (config)# aaa authentication enable attribute-user-per-method
TACACS+認証時のユーザ名属性としてログインユーザ名を送信するように設定します。
4. (config)# tacacs-server host 192.168.10.1 key "4h8dlir9r-w2"
TACACS+認証に使用するサーバ 192.168.10.1 の IP アドレスと共有鍵を設定します。
10.3.4 RADIUS/TACACS+/ローカルによるコマンド承認の設定
(1) RADIUS サーバによるコマンド承認の設定例
[設定のポイント]
RADIUS サーバによるコマンド承認を行う設定例を示します。
あらかじめ,RADIUS 認証を使用する設定を行ってください。
[コマンドによる設定]
1. (config)# aaa authentication login default group radius local
(config)# radius-server host 192.168.10.1 key "RaD#001"
あらかじめ,RADIUS サーバによる認証の設定を行います。
2. (config)# aaa authorization commands default group radius
RADIUS サーバを使用して,コマンド承認を行います。
[注意事項]
本設定後にユーザが RADIUS 認証されてログインしたとき,RADIUS サーバ側でコマンド承認の設定
がされていなかった場合は,コマンドがすべて制限されて実行できなくなります。設定ミスなどでコマ
ンドの実行ができない場合は,コンソールからログインして修正してください。なお,コンフィグレー
ションコマンド aaa authorization commands console によってコンソールもコマンド承認の対象と
なっている場合は,デフォルトリスタート後,ログインして修正してください。
213
10 ログインセキュリティと RADIUS/TACACS+
(2) TACACS+サーバによるコマンド承認の設定例
[設定のポイント]
TACACS+サーバによるコマンド承認を行う設定例を示します。
あらかじめ,TACACS+認証を使用する設定を行ってください。
[コマンドによる設定]
1. (config)# aaa authentication login default group tacacs+ local
(config)# tacacs-server host 192.168.10.1 key "TaC#001"
あらかじめ,TACACS+サーバによる認証の設定を行います。
2. (config)# aaa authorization commands default group tacacs+
TACACS+サーバを使用して,コマンド承認を行います。
[注意事項]
本設定後にユーザが TACACS+認証されてログインしたとき,TACACS+サーバ側でコマンド承認の
設定がされていなかった場合は,コマンドがすべて制限されて実行できなくなります。設定ミスなどで
コマンドの実行ができない場合は,コンソールからログインして修正してください。なお,コンフィグ
レーションコマンド aaa authorization commands console によってコンソールもコマンド承認の対
象となっている場合は,デフォルトリスタート後,ログインして修正してください。
(3) ローカルコマンド承認の設定例
[設定のポイント]
ローカルコマンド承認を行う設定例を示します。
あらかじめ,ユーザ名とそれに対応したコマンドクラス(username view-class)またはコマンドリス
ト(username view・parser view・commands exec)の設定を行ってください。
また,ローカルパスワード認証を使用する設定を行ってください。
[コマンドによる設定]
1. (config)# parser view Local_001
(config-view)# commands exec include all "show"
(config-view)# commands exec exclude all "reload"
コマンドリストを使用する場合は,あらかじめコマンドリストの設定を行います。
なお,コマンドクラスだけを使用する場合は,コマンドリストの設定は必要ありません。
2. (config)# username user001 view Local_001
(config)# username user001 view-class noenable
指定ユーザにコマンドクラスまたはコマンドリストの設定を行います。
なお,コマンドクラスとコマンドリストを同時に設定することもできます。
3. (config)# aaa authentication login default local
ローカルパスワードによる認証の設定を行います。
4. (config)# aaa authorization commands default local
ローカル認証を使用して,コマンド承認を行います。
214
10 ログインセキュリティと RADIUS/TACACS+
[注意事項]
ローカルコマンド承認を設定すると,ローカル認証でログインしたすべてのユーザに適用されますの
で,設定に漏れがないようご注意ください。
コマンドクラスまたはコマンドリストの設定がされていないユーザは,コマンドがすべて制限されて実
行できなくなります。
設定ミスなどでコマンドの実行ができない場合は,コンソールからログインして修正してください。な
お,コンフィグレーションコマンド aaa authorization commands console によってコンソールもコ
マンド承認の対象となっている場合は,デフォルトリスタート後,ログインして修正してください。
10.3.5 RADIUS/TACACS+によるログイン・ログアウトアカウンティ
ングの設定
(1) RADIUS サーバによるログイン・ログアウトアカウンティングの設定例
[設定のポイント]
RADIUS サーバによるログイン・ログアウトアカウンティングを行う設定例を示します。あらかじめ,
アカウンティング送信先となる RADIUS サーバホスト側の設定を行ってください。
[コマンドによる設定]
1. (config)# radius-server host 192.168.10.1 key "RaD#001"
あらかじめ,RADIUS サーバの設定を行います。
2. (config)# aaa accounting exec default start-stop group radius
ログイン・ログアウトアカウンティングの設定を行います。
[注意事項] radius-server コンフィグレーションの設定がされていない状態で aaa accounting exec を設定した
場合,ユーザがログイン・ログアウトしたときに System accounting failed という運用ログが表示さ
れます。使用する radius-server コンフィグレーションを設定してください。
(2) TACACS+サーバによるログイン・ログアウトアカウンティングの設定例
[設定のポイント]
TACACS+サーバによるログイン・ログアウトアカウンティングを行う設定例を示します。あらかじ
め,アカウンティング送信先となる TACACS+サーバホスト側の設定を行ってください。
[コマンドによる設定]
1. (config)# tacacs-server host 192.168.10.1 key "TaC#001"
あらかじめ,TACACS+サーバの設定を行います。
2. (config)# aaa accounting exec default start-stop group tacacs+
ログイン・ログアウトアカウンティングの設定を行います。
[注意事項] tacacs-server コンフィグレーションの設定がされていない状態で aaa accounting exec を設定した
場合,ユーザがログイン・ログアウトしたときに System accounting failed という運用ログが表示さ
れます。使用する tacacs-server コンフィグレーションを設定してください。
215
10 ログインセキュリティと RADIUS/TACACS+
10.3.6 TACACS+サーバによるコマンドアカウンティングの設定
(1) TACACS+サーバによるコマンドアカウンティングの設定例
[設定のポイント]
TACACS+サーバによるコマンドアカウンティングを行う設定例を示します。
あらかじめ,アカウンティング送信先となる TACACS+サーバホスト側の設定を行ってください。
[コマンドによる設定]
1. (config)# tacacs-server host 192.168.10.1 key "TaC#001"
TACACS+サーバの設定を行います。
2. (config)# aaa accounting commands 0-15 default start-stop group tacacs+
コマンドアカウンティングを設定します。
[注意事項] tacacs-server コンフィグレーションの設定がされていない状態で aaa accounting commands を設
定した場合,ユーザがコマンドを入力したときに System accounting failed という運用ログが表示さ
れます。使用する tacacs-server コンフィグレーションを設定してください。
216
11
時刻の設定と NTP
この章では,時刻の設定と NTP について説明します。
217
11 時刻の設定と NTP
11.1 時刻の設定と NTP 確認
時刻は,本装置の初期導入時に設定してください。時刻は,本装置のログ情報や各種ファイルの作成時刻な
どに付与される情報です。運用開始時には正確な時刻を本装置に設定してください。運用コマンド set clock で時刻を設定できます。
また,このほかに,NTP プロトコルを使用して,ネットワーク上の NTP サーバと時刻の同期を行えます。
本装置は RFC1305 NTP バージョン 3 に準拠しています。なお,本装置は NTP モード 6 およびモード 7
のパケットには応答しません。
11.1.1 コンフィグレーションコマンド・運用コマンド一覧
時刻設定および NTP に関するコンフィグレーションコマンド一覧を次の表に示します。
表 11‒1 コンフィグレーションコマンド一覧
コマンド名 clock timezone ntp access-group ntp authenticate ntp authentication-key ntp broadcast ntp broadcast client ntp broadcastdelay ntp master ntp peer ntp server ntp trusted-key
説明
タイムゾーンを設定します。
アクセスグループを作成し,IPv4 アドレスフィルタによって,NTP サービスへのア
クセスを許可または制限できます。
NTP 認証機能を有効化します。
認証鍵を設定します。
インタフェースごとにブロードキャストで NTP パケットを送信し,ほかの装置が本
装置に同期化するように設定します。
接続したサブネット上の装置からの NTP ブロードキャストメッセージを受け付ける
ための設定をします。
NTP ブロードキャストサーバと本装置間で予測される遅延時間を指定します。
ローカルタイムサーバの設定を指定します。
NTP サーバに,シンメトリック・アクティブ/パッシブモードを構成します。
NTP サーバをクライアントモードに設定し,クライアントサーバモードを構成しま
す。
ほかの装置と同期化する場合に,セキュリティ目的の認証をするように鍵番号を設定
します。
時刻設定および NTP に関する運用コマンド一覧を次の表に示します。
表 11‒2 運用コマンド一覧
コマンド名 set clock show clock show ntp associations restart ntp
説明
日付,時刻を表示,設定します。
現在設定されている日付,時刻を表示します。
接続されている NTP サーバの動作状態を表示します。
ローカル NTP サーバを再起動します。
218
11 時刻の設定と NTP
11.1.2 システムクロックの設定
[設定のポイント]
日本時間として時刻を設定する場合は,あらかじめコンフィグレーションコマンド clock timezone で
タイムゾーンに JST,UTC からのオフセットを+9 に設定する必要があります。
[コマンドによる設定]
1. (config)# clock timezone JST +9
日本時間として,タイムゾーンに JST,UTC からのオフセットを+9 に設定します。
2. (config)# save
(config)# exit
保存し,コンフィグレーションモードから装置管理者モードに移行します。
3. # set clock 0506221530
Wed Jun 22 15:30:00 2005 JST
2005 年 6 月 22 日 15 時 30 分に時刻を設定します。
11.1.3 NTP によるタイムサーバと時刻同期の設定
NTP 機能を用いて,本装置の時刻をタイムサーバの時刻に同期させます。
図 11‒1 NTP 構成図(タイムサーバへの時刻の同期)
[設定のポイント]
タイムサーバを複数設定した場合の本装置の同期先は,ntp server コマンドの prefer パラメータを指
定されたタイムサーバが選択されます。また,prefer パラメータが指定されなかった場合は,タイム
サーバの stratum 値が最も小さいタイムサーバが選択され,すべての stratum 値が同じ場合の同期先は
任意となります。
[コマンドによる設定]
1. (config)# ntp server 192.168.1.100
IP アドレス 192.168.1.100 のタイムサーバに本装置を同期させます。
11.1.4 NTP サーバとの時刻同期の設定
NTP 機能を用いて,本装置の時刻と NTP サーバの時刻をお互いに調整しながら,同期させます。
219
11 時刻の設定と NTP
図 11‒2 NTP 構成図(NTP サーバとの時刻の同期)
[設定のポイント]
複数の NTP サーバと本装置を同期する場合には,ntp peer コマンドを用いて複数設定する必要があり
ます。
NTP サーバを複数設定した場合の本装置の同期先は,ntp peer コマンドの prefer パラメータを指定さ
れた NTP サーバが選択されます。また,prefer パラメータが指定されなかった場合は,NTP サーバの stratum 値が最も小さい NTP サーバが選択され,すべての stratum 値が同じ場合の同期先は任意とな
ります。
[コマンドによる設定]
1. (config)# ntp peer 192.168.1.2
IP アドレス 192.168.1.2 の NTP サーバとの間を peer 関係として設定します。
11.1.5 NTP 認証の設定
[設定のポイント]
NTP 機能でほかの装置と時刻の同期を行う場合に,セキュリティ目的の認証を行います。
[コマンドによる設定]
1. (config)# ntp authenticate
NTP 認証機能を有効化します。
2. (config)# ntp authentication-key 1 md5 NtP#001
NTP 認証鍵として,鍵番号 1 に「NtP#001」を設定します。
3. (config)# ntp trusted-key 1
NTP 認証に使用する鍵番号 1 を指定します。
11.1.6 VRF での NTP による時刻同期の設定【OS-L3SA】
NTP 機能を用いて,VRF に存在する NTP サーバや NTP クライアントに対して時刻を同期させる設定を
します。
[設定のポイント]
NTP 機能を用いて,本装置の時刻を任意の VRF に存在する NTP サーバに同期させます。また,本装
置の時刻が NTP サーバに同期している場合,グローバルネットワークを含む全 VRF に存在する複数の
NTP クライアントに本装置の時刻を配布できます。
220
11 時刻の設定と NTP
同期の対象にする NTP サーバと NTP クライアントの VRF が異なる場合,NTP クライアントに対し
て,本装置の参照先ホストをローカルタイムサーバとして通知します。
[コマンドによる設定]
1. (config)# ntp server vrf 10 192.168.1.100
VRF 10 に存在する IP アドレス 192.168.1.100 の NTP サーバに,本装置の時刻を同期させます。構
成はクライアントサーバモードです。
2. (config)# ntp peer vrf 10 192.168.1.100
VRF 10 に存在する IP アドレス 192.168.1.100 の NTP サーバと本装置の時刻を同期させます。構成
はシンメトリック・アクティブ/パッシブモードです。
3. (config)# ntp broadcast client
NTP ブロードキャストメッセージで本装置の時刻を同期させます。グローバルネットワークを含む全
VRF 上のサブネットを対象にして,NTP サーバからの NTP ブロードキャストメッセージを受信しま
す。
4. (config)# interface vlan 100
(config-if)# vrf forwarding 20
(config-if)# ip address 192.168.10.1 255.255.255.0
(config-if)# ntp broadcast
VRF が指定されたインタフェースに対して NTP ブロードキャストの設定をします。本装置の時刻が
NTP サーバに同期すると,VRF20,IPv4 アドレス 192.168.10.0,サブネット 255.255.255.0 のネッ
トワークに NTP ブロードキャストパケットを送信します。
11.1.7 時刻変更に関する注意事項
• 本装置で収集している統計情報の CPU 使用率は,時刻が変更された時点で 0 にクリアされます。
11.1.8 時刻の確認
本装置に設定されている時刻情報は,運用コマンド show clock で確認できます。次の図に例を示します。
図 11‒3 時刻の確認
> show clock
Wed Jun 22 15:30:00 20XX JST
>
また,NTP プロトコルを使用して,ネットワーク上の NTP サーバと時刻の同期を行っている場合,運用
コマンド show ntp associations で動作状態を確認できます。次の図に例を示します。
図 11‒4 NTP サーバの動作状態の確認
> show ntp associations
Date 20XX/01/23 12:00:00 UTC
remote refid st t when poll reach delay offset disp
==============================================================================
*timesvr 192.168.1.100 3 u 1 64 377 0.89 -2.827 0.27
>
221
12
ホスト名と DNS
この章では,ホスト名と DNS の解説と操作方法について説明します。
223
12 ホスト名と DNS
12.1 解説
本装置では,ネットワーク上の装置を識別するためにホスト名情報を設定できます。設定したホスト名情報
は,本装置のログ情報などのコンフィグレーションを設定するときにネットワーク上のほかの装置を指定す
る名称として使用できます。本装置で使用するホスト名情報は次に示す方法で設定できます。
• コンフィグレーションコマンド ip host/ipv6 host で個別に指定する方法
• DNS リゾルバ機能を使用してネットワーク上の DNS サーバに問い合わせる方法
コンフィグレーションコマンド ip host/ipv6 host を使用して設定する場合は,使用するホスト名ごとに
IP アドレスとの対応を明示的に設定する必要があります。DNS リゾルバを使用する場合は,ネットワーク
上の DNS サーバで管理されている名称を問い合わせて参照するため,本装置で参照するホスト名ごとに
IP アドレスを設定する必要がなくなります。
コンフィグレーションコマンド ip host/ipv6 host と DNS リゾルバ機能の両方が設定されている場合,ip host/ipv6 host で設定されているホスト名が優先されます。コンフィグレーションコマンド ip host/ ipv6 host または DNS リゾルバ機能を使用して,IPv4 と IPv6 で同一のホスト名を設定している場合,
IPv4 が優先されます。
本装置の DNS リゾルバ機能は RFC1034 および RFC1035 に準拠しています。
224
12 ホスト名と DNS
12.2 コンフィグレーション
12.2.1 コンフィグレーションコマンド一覧
ホスト名・DNS に関するコンフィグレーションコマンド一覧を次の表に示します。
表 12‒1 コンフィグレーションコマンド一覧
コマンド名 ip domain lookup ip domain name ip host ip name-server ipv6 host
説明
DNS リゾルバ機能を無効化または有効化します。
DNS リゾルバで使用するドメイン名を設定します。
IPv4 アドレスに付与するホスト名情報を設定します。
DNS リゾルバが参照するネームサーバを設定します。
IPv6 アドレスに付与するホスト名情報を設定します。
12.2.2 ホスト名の設定
(1) IPv4 アドレスに付与するホスト名の設定
[設定のポイント]
IPv4 アドレスに付与するホスト名を設定します。
[コマンドによる設定]
1. (config)# ip host WORKPC1 192.168.0.1
IPv4 アドレス 192.168.0.1 の装置にホスト名 WORKPC1 を設定します。
(2) IPv6 アドレスに付与するホスト名の設定
[設定のポイント]
IPv6 アドレスに付与するホスト名を設定します。
[コマンドによる設定]
1. (config)# ipv6 host WORKPC2 3ffe:501:811:ff45::87ff:fec0:3890
IPv6 アドレス 3ffe:501:811:ff45::87ff:fec0:3890 の装置にホスト名 WORKPC2 を設定します。
12.2.3 DNS の設定
(1) DNS リゾルバの設定
[設定のポイント]
DNS リゾルバで使用するドメイン名および DNS リゾルバが参照するネームサーバを設定します。
DNS リゾルバ機能はデフォルトで有効なため,ネームサーバが設定された時点から機能します。
[コマンドによる設定]
1. (config)# ip domain name router.example.com
225
12 ホスト名と DNS
ドメイン名を router.example.com に設定します。
2. (config)# ip nameserver 192.168.0.1
ネームサーバを 192.168.0.1 に設定します。
(2) DNS リゾルバ機能の無効化
[設定のポイント]
DNS リゾルバ機能を無効にします。
[コマンドによる設定]
1. (config)# no ip domain lookup
DNS リゾルバ機能を無効にします。
226
13
装置の管理
この章では,本装置を導入した際,および本装置を管理する上で必要な作業に
ついて説明します。
227
13 装置の管理
13.1 装置の状態確認,および運用形態に関する設定
13.1.1 コンフィグレーション・運用コマンド一覧
装置を管理する上で必要なコンフィグレーションコマンド,および運用コマンド一覧の一覧を次の表に示し
ます。
表 13‒1 コンフィグレーションコマンド一覧
コマンド名 show tcpdump
説明 swrt_multicast_table swrt_table_resource
IPv4/IPv6 マルチキャストと IGMP/MLD snooping を同時に使用す
る場合に設定します。
装置のルーティングのテーブルエントリ数の配分パターンを設定しま
す。
ファンの運転モードを設定します。 system fan mode system l2-table mode system recovery
レイヤ 2 ハードウェアテーブルの検索方式を設定します。 no system recovery コマンドを設定すると,装置の障害が発生した際
に,障害部位の復旧処理を行わないようにし,障害発生以降に障害部位
を停止したままにします。 system temperature-warning-level 装置の入気温度が指定温度以上になった場合に運用メッセージを出力
します。
本装置のモデルを設定します。 switch provision ※
注※
「コンフィグレーションコマンドレファレンス Vol.1 4. スタック」を参照してください。
表 13‒2 運用コマンド一覧(ソフトウェアバージョンと装置状態の確認)
コマンド名 show version show system clear control-counter show environment reload show tech-support
説明
本装置に組み込まれているソフトウェアや実装されているボードの情報を表示します。
本装置の運用状態を表示します。
障害による装置再起動回数および部分再起動回数を 0 クリアします。
筐体のファン,電源,温度の状態と累積稼働時間を表示します。
装置を再起動します。
テクニカルサポートで必要となるハードウェアおよびソフトウェアの状態に関する情報
を表示します。
本装置に対して送受信されるパケットをモニタします。
表 13‒3 運用コマンド一覧(装置内メモリと MC の確認)
コマンド名 show flash show mc
装置内メモリの使用状態を表示します。
MC の形式と使用状態を表示します。
説明
228
13 装置の管理
コマンド名 format mc
説明
MC を本装置用のフォーマットで初期化します。
表 13‒4 運用コマンド一覧(ログ情報の確認)
コマンド名 説明 show logging clear logging
本装置で収集しているログを表示します。
本装置で収集しているログを消去します。 show logging console set logging console コマンドで設定された内容を表示します。 set logging console システムメッセージの画面表示をイベントレベル単位で制御します。
表 13‒5 運用コマンド一覧(リソース情報とダンプ情報の確認)
コマンド名 show cpu show processes show memory df du erase dumpfile show dumpfile
説明
CPU 使用率を表示します。
装置の現在実行中のプロセスの情報を表示します。
装置の現在使用中のメモリの情報を表示します。
ディスクの空き領域を表示します。
ディレクトリ内のファイル容量を表示します。
ダンプファイルを消去します。
ダンプファイル格納ディレクトリに格納されているダンプファイルの一覧を表示します。
13.1.2 ソフトウェアバージョンの確認
運用コマンド show version で本装置に組み込まれているソフトウェアの情報を確認できます。次の図に
例を示します。
図 13‒1 ソフトウェア情報の確認
> show version software
Date 20XX/12/25 15:11:20 UTC
S/W: OS-L3SA Ver. 11.6
>
13.1.3 装置の状態確認
運用コマンド show system で装置の動作状態や実装メモリ量などを確認できます。次の図に例を示しま
す。
図 13‒2 装置の状態確認
> show system
Date 20XX/12/10 15:26:54 UTC
System: AX3650S-20S6XW, OS-L3SA Ver. 11.12
Node : Name=System Name
Contact=Contact Address
Locate=Location
Elapsed time : 04:32:13
LED Brightness mode : normal
Machine ID : 0012.e222.1dd3
229
13 装置の管理
Power redundancy-mode : check is not executed
Power slot 1 : active PS-M(AC)
Fan : active No = Fan1(1) Speed = normal
PS : active
Lamp : Power LED=green , ALM1 LED=light off , ALM2 LED=light off
Power slot 2 : active PS-M(AC)
Fan : active No = Fan2(1) Speed = normal
PS : active
Lamp : Power LED=green , ALM1 LED=light off , ALM2 LED=light off
Fan slot : active FAN-M
Fan : active No = Fan3(1) , Fan3(2) , Fan3(3) , Fan3(4) Speed = normal
Lamp : ALM LED=light off
Main board : active
Boot : 20XX/12/10 10:54:49 , operation reboot
Fatal restart : CPU 0 times , SW 0 times
Lamp : Power LED=green , Status LED1=green
Board : CPU=PowerPC 800MHz , Memory=1,048,576kB(1024MB)
Temperature : normal(28degree)
Flash :
user area config area dump area area total
used 121,161kB 289kB 0kB 121,450kB
free 14,619kB 75,117kB 65,390kB 155,126kB
total 135,780kB 75,406kB 65,390kB 276,576kB
MC : notconnect
Device resources
Current selected swrt_table_resource: l3switch-2
Current selected swrt_multicast_table: On
Current selected unicast multipath number: 8
IP routing entry :
Unicast : current number=6 , max number=8192
Multicast : current number=0 , max number=1024
ARP : current number=1 , max number=2048
IPv6 routing entry :
Unicast : current number=1 , max number=4096
Multicast : current number=0 , max number=256
NDP : current number=0 , max number=2048
Multipath table entry : current number=3 , max number=256
MAC-Address table entry : current number=7 , max number=32768
System Layer2 Table Mode : auto (mode=1)
Flow detection mode : layer3-1
Used resources for filter inbound(Used/Max)
MAC IPv4 IPv6
Port 0/ 1-24 : 0/512 30/512 n/a
Port 0/25-48 : 0/512 24/512 n/a
Port 0/49-52 : 0/512 24/512 n/a
VLAN : 0/512 2/512 n/a
Used resources for QoS inbound(Used/Max)
MAC IPv4 IPv6
Port 0/ 1-52 : 0/256 26/256 n/a
VLAN : 0/256 2/256 n/a
Used resources for UPC inbound(Used/Max)
MAC IPv4 IPv6
Port 0/ 1-52 : 0/256 26/256 n/a
VLAN : 0/256 2/256 n/a
Used resources for TCP/UDP port detection pattern
Resources(Used/Max): 3/32
Flow detection out mode : layer3-3-out
Used resources for filter outbound(Used/Max)
MAC IPv4 IPv6
Port 0/ 1-52 : n/a n/a n/a
VLAN : 256/256 256/256 256/256
Flow action change
cos : enable
>
運用コマンド show environment でファン,電源,温度の状態,累積稼働時間を確認できます。ファンの
運転モードはコンフィグレーションコマンド system fan mode で設定できます。次の図に例を示します。
図 13‒3 装置の環境状態確認
> show environment
Date 20XX/12/10 10:00:00 UTC
Power slot 1 : PS-M(AC)
230
13 装置の管理
Power slot 2 : PS-M(AC)
Fan slot : FAN-M
Fan environment
Power slot 1 : Fan1(1) = active
Speed = normal
Power slot 2 : Fan2(1) = active
Speed = normal
Fan slot : Fan3(1) = active
Fan3(2) = active
Fan3(3) = active
Fan3(4) = active
Speed = normal
Fan mode : 1 (silent)
Power environment
Power slot 1 : active
Power slot 2 : active
Temperature environment
Main : 30 degrees C
Warning level : normal
Accumulated running time
Main : total : 365 days and 18 hours.
critical : 10 days and 8 hours.
Power slot 1 : total : 365 days and 18 hours.
critical : 10 days and 8 hours.
Power slot 2 : total : 365 days and 18 hours.
critical : 10 days and 8 hours.
Fan slot : total : 365 days and 18 hours.
critical : 10 days and 8 hours.
>
運用コマンド show environment の temperature-logging パラメータで温度履歴情報を確認できます。
次の図に例を示します。
図 13‒4 温度履歴情報の確認
> show environment temperature-logging
Date 20XX/12/10 20:00:00 UTC
Date 0:00 6:00 12:00 18:00
20XX/12/10 - - 26.0 24.0
20XX/12/09 22.2 24.9 26.0 24.0
20XX/12/08 24.0 23.5 26.0 24.0
20XX/12/07 21.0 - 26.0 24.0
20XX/12/06 25.6 - 26.0 24.0
20XX/12/05 21.8 25.1 26.0 24.0
20XX/12/04 24.3 24.2 26.0
>
13.1.4 装置内メモリの確認
運用コマンド show flash で装置内メモリ上のファイルシステムの使用状況を確認できます。もし,使用量
が合計容量の 95%を超える場合は,マニュアル「トラブルシューティングガイド」を参照して対応してく
ださい。次の図に例を示します。
図 13‒5 Flash 容量の確認
> show flash
Date 20XX/06/21 17:53:11 UTC
Flash :
user area config area dump area area total
used 121,161kB 289kB 0kB 121,450kB
free 14,619kB 75,117kB 65,390kB 155,126kB
total 135,780kB 75,406kB 65,390kB 276,576kB
>
231
13 装置の管理
13.1.5 運用メッセージの出力抑止と確認
装置の状態が変化した場合,本装置は動作情報や障害情報などを運用メッセージとしてコンソールやリモー
ト運用端末に表示します。例えば,回線が障害状態から回復した場合は回線が回復したメッセージを,回線
が障害になって運用を停止した場合は回線が障害になったメッセージを表示します。運用メッセージの詳
細については,マニュアル「メッセージ・ログレファレンス 2. ルーティング関連のイベント情報」を参
照してください。
運用端末に出力される運用メッセージは,運用コマンド set logging console を使用することでイベントレ
ベル単位で出力を抑止できます。また,その抑止内容については,運用コマンド show logging console で
確認できます。イベントレベルが E5 以下の運用メッセージの運用端末への出力抑止の設定例を次に示し
ます。
図 13‒6 運用メッセージの出力抑止の設定例
> set logging console disable E5
> show logging console
System message mode : E5
>
注意
多数の運用メッセージが連続して発生した際は,コンソールやリモート運用端末上には一部しか表示し
ませんので,運用コマンド show logging で確認してください。
13.1.6 運用ログ情報の確認
運用メッセージは運用端末に出力するほか,運用ログとして装置内に保存します。この情報で装置の運用状
態や障害の発生を管理できます。
運用ログは装置運用中に発生した事象(イベント)を発生順に記録したログ情報で,運用メッセージと同様
の内容が格納されます。運用ログとして格納する情報には次に示すものがあります。
• オペレータの操作および応答メッセージ
• 運用メッセージ
種別ログは装置内で発生した障害や警告についての運用ログ情報をメッセージ ID ごとに分類した上で,同
事象が最初に発生した日時および最後に発生した日時と累積回数をまとめた情報です。
これらのログは装置内にテキスト形式で格納されており,運用コマンド show logging で確認できます。ま
た,grep を使用してパターン文字列の指定を実施することで,特定のログ情報だけを表示することもでき
ます。例えば,障害に関するログは show logging | grep EVT や show logging | grep ERR の実行でま
とめて表示できます。障害に関するログの表示例を次の図に示します。
図 13‒7 障害に関するログ表示
> show logging | grep EVT
:
(途中省略)
:
EVT 08/10 20:39:38 01S E3 SOFTWARE 00005002 1001:000000000000 Login operator from LOGHOST1 (ttyp1).
EVT 08/10 20:41:43 01S E3 SOFTWARE 00005003 1001:000000000000 Logout operator from LOGHOST1 (ttyp1).
:
(以下省略)
:
>
232
13 装置の管理
13.1.7 ルーティングテーブルのエントリ数の配分パターンの設定
本装置では,装置の適用形態に合わせ,ルーティングテーブルのエントリ数の配分パターンを変更すること
ができます。配分パターンはコンフィグレーションコマンド swrt_table_resource のパラメータ l3switch-1,l3switch-2,または l3switch-3 で指定します。
配分パターンごとのテーブルエントリ数を次の表に示します。
表 13‒6 配分パターンごとのテーブルエントリ数【AX3800S】
項目 l3switch-1
配分パターンごとのテーブルエントリ数 l3switch-2 l3switch-3
IPv4
IPv6
ユニキャスト経路
マルチキャスト経路
ARP
ユニキャスト経路
マルチキャスト経路
NDP
13312
1024
8190 ※
−
−
−
8192
256
5120
2048
128
1024
1024
16
128
7560
16
1024
(凡例) −:該当なし
注※
ARP とマルチキャスト経路の併用時は,ARP とマルチキャスト経路を合わせて 8190 までとなります。
表 13‒7 配分パターンごとのテーブルエントリ数【AX3650S】
IPv4
項目
ユニキャスト経路
マルチキャスト経路 l3switch-1
配分パターンごとのテーブルエントリ数 l3switch-2 l3switch-3
16384
1024
8192
1024
1024
16
IPv6
ARP
ユニキャスト経路
マルチキャスト経路
NDP
11264 ※
−
−
−
2048
4096
256
2048
128
7680
768
2048
(凡例) −:該当なし
注※
ARP とマルチキャスト経路の併用時は,ARP とマルチキャスト経路を合わせて 11264 までとなります。
初期状態は l3switch-1 で,IPv4 のルーティングにリソースを割り当てる配分パターンになっています。
IPv6 のルーティングを併用する場合は,設定を変更してください。
なお,配分パターンとテーブルのエントリ数に関する情報は,運用コマンド show system で確認できま
す。
233
13 装置の管理
[設定のポイント]
本設定の変更を有効にするには,本装置の再起動が必要となるため,初期導入時に設定することをお勧
めします。
[コマンドによる設定]
1. (config)# swrt_table_resource l3switch-2
コンフィグレーションモードで,テーブルエントリ数の配分パターンを l3switch-2 に設定します。
2. (config)# save
(config)# exit
保存して,コンフィグレーションモードから装置管理者モードに移行します。
3. # reload
本装置を再起動します。
13.1.8 IPv4/IPv6 マルチキャストと IGMP/MLD snooping 同時使用
時の設定
本装置では,コンフィグレーションコマンド swrt_multicast_table を設定することで,IPv4/IPv6 マルチ
キャストと IGMP/MLD snooping を同時に使用できます。
なお,swrt_multicast_table の設定情報は,運用コマンド show system で確認できます。
[設定のポイント]
初期状態では swrt_multicast_table は設定されていません。swrt_multicast_table を設定したあと,
有効にするには本装置の再起動が必要となるため,初期導入時に設定することをお勧めします。
[コマンドによる設定]
1. (config)# swrt_multicast_table
コンフィグレーションモードで,swrt_multicast_table を設定します。
2. (config)# save
(config)# exit
保存して,コンフィグレーションモードから装置管理者モードに移行します。
3. # reload
本装置を再起動します。
13.1.9 モデルに応じたコンフィグレーション
本装置には,装置のモデルを設定するコンフィグレーションコマンド switch provision があります。
自装置のモデルは自動で設定されます。変更および削除できません。
スタックで動作させる場合は,スタックを構成する前に自装置以外のメンバスイッチに対してモデルを設定
しておく必要があります。
なお,switch provision の設定情報は,運用コマンド show running-config で確認できます。
234
図 13‒8 switch provision の設定情報の確認
# show running-config
#default configuration file for AX3650S-24T6XW
!
switch 1 provision 3650-24t6xw
!
:
:
#
13 装置の管理
235
13 装置の管理
13.2 運用情報のバックアップ・リストア
装置障害または交換時の運用情報の復旧手順を示します。
次に示す「13.2.2 backup/restore コマンドを用いる手順」を実施してください。すべてを手作業で復旧
することもできますが,取り扱う情報が複数にわたるため管理が複雑になり,また,完全に復旧できないた
め,お勧めしません。
13.2.1 運用コマンド一覧
バックアップ・リストアに使用する運用コマンド一覧を次の表に示します。
表 13‒8 運用コマンド一覧
コマンド名 backup restore
説明
稼働中のソフトウェアおよび装置の情報を MC またはリモートの ftp サーバに保存します。
MC およびリモートの ftp サーバに保存している装置情報を本装置に復旧します。
13.2.2 backup/restore コマンドを用いる手順
(1) 情報のバックアップ
装置が正常に稼働しているときに,backup コマンドを用いてバックアップを作成しておきます。backup
コマンドは,装置の稼働に必要な次の情報を一つのファイルにまとめて,MC または外部の FTP サーバに
保存します。
これらの情報に変更があった場合,backup コマンドによるバックアップの作成をお勧めします。
• ソフトウェアを稼働中のバージョンにアップデートするためのファイル
• ソフトウェアアップグレードの有無
• startup-config
• 電源運用モード
• ユーザアカウント/パスワード
• オプションライセンスの有無
• Web 認証データベース
• Web 認証用に登録された認証画面ファイル
• MAC 認証データベース
• IPv6 DHCP サーバ DUID ファイル
• スタック情報ファイル backup コマンドでは次に示す情報は保存されないので注意してください。
• show logging コマンドで表示される運用ログ情報など
• 装置内に保存されているダンプファイルなどの障害情報
• ユーザアカウントごとに設けられるホームディレクトリにユーザが作成および保存したファイル
236
13 装置の管理
(2) 情報のリストア
backup コマンドで作成されたバックアップファイルから情報を復旧する場合,restore コマンドを使用し
ます。 restore コマンドを実行すると,バックアップファイル内に保存されているソフトウェアアップデート用
ファイルを使用して装置のソフトウェアをアップデートします。このアップデート作業後,装置は自動的に
再起動します。再起動後,復旧された環境になります。
なお,restore コマンドを実行するときは,次の点に注意してください。
• restore コマンドで情報を復旧する場合は,リストア対象の装置と同じモデル名称の装置で作成した
バックアップファイルを使用してください。
装置のモデル名称は,show version コマンドで表示される Model で確認してください。
• バックアップファイル作成時のソフトウェアバージョンが,リストア対象の装置に適していることを確
認してください。
• 装置に設定されたユーザアカウントと,バックアップファイルに含まれるユーザアカウントが同じ
(ユーザ名およびユーザの追加/削除順序が同じ)になるようにしてください。ユーザアカウントが異
なる場合,リストア後にファイルが操作できなくなります。
237
13 装置の管理
13.3 障害時の復旧
本装置では運用中に障害が発生した場合は自動的に復旧処理を行います。障害部位に応じて復旧処理を局
所化して行い,復旧処理による影響範囲を狭めることによって,正常運用部分が中断しないようにします。
13.3.1 障害部位と復旧内容
障害発生時,障害の内容によって復旧内容が異なります。障害部位と復旧内容を次の表に示します。
表 13‒9 障害部位と復旧内容
障害部位 装置の対応 復旧内容 影響範囲
ポートで検出した障害 該当するポートの自動復
旧を 6 回/1 時間行いま
す。自動復旧の回数が 6
回のときに障害が発生す
ると停止します。 ※ ただ
し,初回の障害発生から 1
時間以上運用すると,自動
復旧の回数を初期化しま
す。
メインボード障害(CPU) 自動復旧を 6 回まで行い
ます。自動復旧の回数が 6
回のときに障害が発生す
ると停止します。ただし,
復旧後 1 時間以上運用す
ると,自動復旧の回数を初
期化します。
メインボード障害(SW) 自動復旧を 6 回/1 時間行
います。自動復旧の回数
が 6 回のときに障害が発
生すると停止します。 ※ た
だし,初回の障害発生から
1 時間以上運用すると,自
動復旧の回数を初期化し
ます。
該当するポートの再初期
化を行います。
該当するメインボードの
再初期化を行います。
該当するスイッチングプ
ロセッサの再初期化を行
います。
該当するポートを介する
通信が中断されます。
装置内の全ポートを介す
る通信が中断されます。
装置内の全ポートを介す
る通信が中断されます。
電源障害(PS)
ファン障害
装置の運用に必要な電力
が供給されなくなると停
止します。なお,電源機構
が冗長化されている場合
は停止しません。
残りのファンを高速にし
ます。
装置を停止します。なお,
電源機構が冗長化されて
いる場合は停止しません。
自動復旧はありません。
電源機構またはファンユ
ニットを交換して下さい。
装置内全ポートを介する
通信が中断されます。な
お,電源機構が二重化され
ている場合は通信の中断
はありません。
ファンが高速回転します
が通信に影響はありませ
ん。
注※ コンフィグレーションコマンド no system recovery で復旧処理を行わない設定をしている場合には,自動復旧を
行いません。
238
13 装置の管理
13.4 内蔵フラッシュメモリへ保存時の注意事項
本装置はソフトウェア,コンフィグレーション,ログ情報など,装置情報の保存先として,内蔵フラッシュ
メモリを使用しています。
内蔵フラッシュメモリはデバイスの一般的な特性上,書き換えられる回数に上限があります。その回数を超
えて書き換えた場合,内蔵フラッシュメモリは故障するおそれがあります。
本装置の内蔵フラッシュメモリへの書き込み契機は,コンフィグレーションを保存したとき,および装置に
対して一部の運用コマンドを実行したときです。これらの操作を 30 分周期で継続した場合,6 年程度で書
き込み上限値に達することがあります。
(1) コンフィグレーションコマンド
内蔵フラッシュメモリへの書き込み契機になる主なコンフィグレーションコマンドを,次に示します。
• save(write)
• ip dhcp snooping database url flash
(2) 運用コマンド
内蔵フラッシュメモリへの書き込み契機になる主な運用コマンドを,次の表に示します。
表 13‒10 内蔵フラッシュメモリへの書き込み契機になる主な運用コマンド
分類 運用コマンド
運用端末とリモート操作
コンフィグレーションとファイルの操作
スタック
ログインセキュリティと RADIUS/TACACS+
ソフトウェアバージョンと装置状態の確認
ログ
ソフトウェアの管理
Web 認証
MAC 認証
ポリシーベースルーティング
DHCP サーバ機能
IPv4 マルチキャストルーティングプロトコル
IPv4・IPv6 ルーティングプロトコル共通
IPv6 DHCP リレー set terminal pager ※ ,set exec-timeout ※ copy,cp,rm,delete,squeeze,erase configuration set switch,dump stack adduser,rmuser,password,clear password,dump protocols accounting show tcpdump(writefile パラメータ指定時),restore clear logging ppupdate,set license,erase license commit web-authentication,set web-authentication html-files,clear web-authentication html-files commit mac-authentication dump policy,dump protocols track-object dump protocols dhcp dump protocols ipv4-multicast,erase protocoldump ipv4-multicast dump protocols unicast,erase protocol-dump unicast dump protocols ipv6-dhcp relay
239
13 装置の管理
IPv6 DHCP サーバ機能
分類
IPv6 マルチキャストルーティングプロトコル
運用コマンド dump protocols ipv6-dhcp server dump protocols ipv6-multicast,erase protocoldump ipv6-multicast
BFD dump protocols bfd
注※ 運用コマンド adduser で no-flash パラメータを指定したユーザアカウントは,対象外です。
240
14
省電力機能
この章では,本装置の省電力機能について説明します。
241
14 省電力機能
14.1 省電力機能の解説
14.1.1 省電力機能の概要
ネットワークの使用量の増加に備え,収容ポートの帯域を増やしているケースでは,増やしたポート帯域分
の電力も消費しています。本装置では,省電力機能によって,不要に消費される電力を抑えられます。
(1) サポートする省電力機能
本装置では,省電力機能として次に示す機能をサポートします。これらの省電力機能を常時動作させること
も,スケジューリングによって動作させる時間帯を限定することもできます。
• 装置スリープ機能
• ポートの電力供給 OFF
• リンクダウンポートの省電力機能
• LED 輝度制御機能
14.1.2 省電力機能
(1) 装置スリープ機能
スケジュール設定に従って,スケジュール時間帯になると装置スリープ状態にする機能です。通常時間帯に
なるとスリープ状態を解除して装置を起動します。長期連休や土日・祝日,夜間などの計画的な本装置の運
用と停止ができます。装置スリープ中は,PWR LED が長い間隔の緑点滅状態となり,スイッチング機能
(フレーム中継),リモートアクセスなどすべての機能を停止します。装置スリープ状態から強制的に装置を
起動するときは,次の操作をしてください。
• 強制スリープ解除操作
装置スリープ状態のときに,装置正面の RESET スイッチを正面の PWR LED が緑点灯するまで長押し
(5 秒以上)して,PWR LED が緑点灯したらすぐに RESET スイッチを離してください。装置スリープ
状態を解除します。このとき,スケジュール抑止モードで起動します。なお,スケジュール機能の開始
時点で通常時間帯だった場合は,スケジュール抑止モードではなく,通常に装置を起動します。
(2) ポートの電力供給 OFF
使用していないポートの電力供給を OFF にすると,消費電力を削減できます。次の方法でポートの電力供
給を OFF にできます。
• コンフィグレーションコマンドでポートを shutdown 状態にする
• 運用コマンドでポートを inactive 状態にする
(3) リンクダウンポートの省電力機能
LAN ケーブルが未接続のポートや相手装置の電源断などでリンクがダウン状態のポートで,LAN ケーブル
の電気信号を検出できないときに電気信号を検出するまでそのポートの消費電力を削減できます。本機能
を使用すると,リンクダウン中のポートで消費電力を削減できますが,リンクアップまでの時間は長くなり
ます。
本機能を使用するには,コンフィグレーションコマンドでリンクダウンポートの消費電力を削減する設定を
します。この設定は装置で一括の設定となり,ポート単位では設定できません。また,リンクダウン時に消
242
14 省電力機能
費電力が削減できるポートは 10BASE-T/100BASE-TX/1000BASE-T が動作するポートだけです。光信
号を使うポートでは,本機能を設定してもリンクダウン時の消費電力は変わりません。
(4) LED 輝度制御機能
本装置の LED の輝度を制御して,消費電力を削減できます。
本装置は,LED の輝度を固定的に省電力輝度または消灯に設定できます。さらに,本装置には LED の輝度
を自動的に調整する機能があります。この機能を輝度自動調整機能といいます。
輝度自動調整機能を使用すると,次に示す契機が一定時間発生しないときに本装置の LED の輝度を落と
し,さらに一定時間契機が発生しないと LED を消灯します。
• コンソールからのログイン
• MC の挿入または抜去
• イーサネットインタフェースのリンクアップとリンクダウン
ただし,コンソールからのログイン中は LED の輝度を変更しないで,ログアウトするまで LED は通常輝
度となります。
LED 輝度制御を設定したときの LED の輝度を次の表に示します。
表 14‒1 LED 輝度制御設定時の LED の輝度
LED
PWR LED
ポート LED(点灯時)
STATUS1(点灯時)
アクセス LED(点灯時)
通常輝度
通常輝度
通常輝度
通常輝度
通常輝度
LED 輝度制御の設定
省電力輝度
通常輝度
省電力輝度
省電力輝度
省電力輝度
消灯
通常輝度
消灯
点滅
省電力輝度
なお,ポート LED,STATUS1,アクセス LED は,LED 輝度設定の有無とは関係なく,状態によっては
消灯となります。
14.1.3 省電力機能のスケジューリング
時間帯を指定して省電力機能を実行する場合はスケジューリングをします。スケジューリングは,実行する
省電力機能と実施したい時間帯を指定します。これらの指定によって,開始時刻になると,自動的に省電力
機能が実行されます。また,すでに実行中の省電力機能をある時間帯だけ無効にするスケジューリングもで
きます。なお,省電力のスケジュールを設定している時間帯をスケジュール時間帯,スケジュールを設定し
ていない時間帯を通常時間帯と呼びます。
(1) スケジュールに指定できる省電力機能
スケジュールに指定できる省電力機能として,装置スリープ機能,ポートの電力供給 OFF,リンクダウン
ポートの省電力機能,および LED 輝度制御機能があります。装置スリープ機能以外の省電力機能は組み合
わせて使用できますが,装置スリープ機能を設定すると,装置スリープ機能が優先的に動作します。
243
14 省電力機能
(2) スケジュールの時刻指定方法
省電力で運用する時間帯をスケジュール時間帯として,開始と終了の時刻で指定します。時間帯の指定方法
を次に示します。
• 日時で時間帯を指定して省電力にする
• 曜日と時刻で時間帯を指定して省電力にする
• 毎日の時間帯を指定して省電力にする
• 時間帯を指定して省電力スケジュールを無効にする
スケジューリングの際には,これらの指定方法を組み合わせて設定できるため,さまざまな時間帯で省電力
機能を有効にしたり,無効にしたりできます。
(a) 日時で時間帯を指定して省電力にする
省電力に設定したい,開始と終了の日付および時刻を指定します。
例:
2010 年 4 月 2 日から 5 日までは業務システムの稼働が低減します。稼働低減に合わせて,2010 年 4
月 1 日 20 時から 2010 年 4 月 6 日 8 時までを省電力にするスケジュールを指定します。動作スケ
ジュールを次の図に示します。
244
図 14‒1 省電力スケジュール(特定の日付)
14 省電力機能
(b) 曜日と時刻で時間帯を指定して省電力にする
省電力に設定したい,開始と終了の曜日および時刻を指定します。
例:
毎週土曜日と日曜日は休日となっていて,その間は業務システムの稼働が低減します。稼働低減に合わ
せて,毎週金曜日 20 時から毎週月曜日 8 時までを省電力にするスケジュールを指定します。動作スケ
ジュールを次の図に示します。
245
14 省電力機能
図 14‒2 省電力スケジュール(特定の曜日)
(c) 毎日の時間帯を指定して省電力にする
省電力に設定したい,開始と終了の時刻を指定します。
例:
通常業務は毎日 8 時 30 分から 17 時までとなっているため,業務システムを 8 時から 20 時まで通常の
電力で運用します。毎日 20 時から翌日の 8 時までを省電力にするスケジュールを指定します。動作ス
ケジュールを次の図に示します。
246
図 14‒3 省電力スケジュール(毎日)
14 省電力機能
(d) 時間帯を指定して省電力スケジュールを無効にする
すでに省電力機能がスケジュールされている時間帯の,スケジュールの実行を無効にできます。実行を無効
にしたい開始と終了の時刻を指定します。特定の日付,特定の曜日,および毎日の特定時間で無効にする時
間帯を指定できます。
例:
毎週土曜日と日曜日は休日のため,毎週金曜日 20 時から毎週月曜日 8 時までを省電力にするスケ
ジュールが指定してあります。ただし,業務システムのバッチ処理を行うために 2010 年 4 月 3 日 16
時から 20 時までを通常の電力で運用します。動作スケジュールを次の図に示します。
247
14 省電力機能
図 14‒4 省電力スケジュール(無効設定)
14.1.4 省電力機能に関する注意事項
(1) スケジューリングを使用した省電力機能に関する注意事項
• 通常時間帯とスケジュール時間帯で同じ省電力機能を使用する場合は,通常時間帯とスケジュール時間
帯の両方にその設定をしてください。
例
通常時間帯でポートの電力供給を OFF にするために,コンフィグレーションコマンド shutdown
を設定します。スケジュール時間帯でも該当ポートの電力供給を OFF にする場合は,コンフィグ
レーションコマンド schedule-power-control shutdown の設定対象に,shutdown を設定した
ポートも含める必要があります。
(2) スケジュール時間帯の開始・終了時間の誤差に関する注意事項
スケジューリングではソフトウェアのタイマを使用しているため,CPU の負荷が高い場合などに,スケ
ジュール時間帯の開始または終了が設定した時間とずれるおそれがあります。このずれは,通常 1 分を超
えることはありません。また,スケジューリングによってポートの電力供給を OFF にしていた場合,スケ
248
14 省電力機能
ジュールが終了してから実際に通信できるまでネットワークの構成に応じた時間が必要です。省電力機能
のスケジューリングでは余裕を持った時間を設定してください。
(3) 装置スリープ機能に関する注意事項
スケジュール機能で装置スリープ機能を実行する場合は,次の点に注意してください。
• コンフィグレーションコマンドモードで操作中にスケジュール実行時間帯になった場合は,スリープ状
態に遷移しません。コンフィグレーションコマンドモードを終了後(装置管理者モードに遷移後),ス
リープ状態に遷移します。
• ソフトウェアアップデートまたはリストア中にスケジュール実行時間帯になった場合は,スリープ状態
に遷移しません。ソフトウェアアップデートまたはリストア終了後,スリープ状態に遷移します。
• スリープ状態に遷移したとき,保存されていないコンフィグレーションは破棄されます。このため,コ
ンフィグレーションコマンドモードを終了すると,次のメッセージを表示します。
Unsaved changes found! Do you exit "configure" without save ? (y/n):
保存するときは"n"を入力して,save コマンドを実行してください。
• 一定時間(デフォルト:30 分)キー入力操作をしないと,自動的にログアウトします。コンフィグレー
ションの編集中に自動ログアウトしてスリープ状態に遷移した場合,保存されていないコンフィグレー
ションは破棄されます。
• スリープ状態が 20 日間を超えると,20 日に一度自動でスリープ状態を解除して装置を起動します。装
置起動後,再度スリープ状態となります。
• スリープ期間終了後は通常の起動処理時間が掛かるので,すぐに通信運用再開にはなりません。スケ
ジュール時間帯と通常時間帯の設定では,時間に余裕を持たせてください。
• MC から装置を起動した場合は,スケジュール時間帯に装置スリープ状態にするためのコンフィグレー
ションコマンド schedule-power-control system-sleep を設定しないでください。
• 装置スリープ開始のログメッセージ「E3 SOFTWARE 01910405 1001:000000000000 System is going to sleep soon.
」(以降,スリープ通知と呼びます)が出力される直前または直後に実行した操作は,中断
されることがあります。
• スリープ通知が出力されたあとで運用コマンド set power-control schedule の disable パラメータを
実行しても,スケジュールは抑止されないで装置スリープ状態となります。
• スリープ通知が出力される 1 分前から出力されるまでの間に運用コマンド set clock を実行,またはコ
ンフィグレーションコマンド clock timezone でタイムゾーンを変更しても,変更前の時刻で装置ス
リープ機能が実行されることがあります。
• 本装置で装置スリープ機能を使用している場合,スリープ通知の直前または直後に次に示す操作をする
と,ヒストリ機能が正常に動作しない(過去に入力したコマンドを呼び出せない,または呼び出したコ
マンド文字列の表示が正しくない)おそれがあります。この状態になると,過去に入力したコマンドの
内容を元に戻せません。
• ログアウト
• コンフィグレーションコマンドモードから装置管理者モードへ遷移
復旧するにはこの状態になったコマンド入力モードごとに次の操作をしてください。
一般ユーザモードまたは装置管理者モード
コンフィグレーションコマンドモードに遷移したあと,“$rm .clihistory”を実行してファイルを
削除してください。
249
14 省電力機能
コンフィグレーションコマンドモード
装置管理者モードに遷移したあと,“rm .clihihistory”を実行してファイルを削除してください。
なお,この状態になったユーザのホームディレクトリ配下に.clihistory または.clihihistory が存在しな
い場合,操作は必要ありません。
• 本装置で装置スリープ機能を使用している場合,スリープ通知の直前または直後に CLI 環境情報を設定
する運用コマンド(set exec-timeout,set terminal help,set terminal pager)を実行すると,設定
済みの CLI 環境情報(自動ログアウト,ページング,ヘルプ機能のどれか,またはすべて)がデフォル
ト設定に戻るおそれがあります。
復旧するには,この状態になったユーザのホームディレクトリ配下にある.clirc を削除したあと,CLI
環境情報を運用コマンドで再設定してください。
なお,ホームディレクトリ配下に.clirc が存在しない場合,そのまま CLI 環境情報を再設定してくださ
い。
(4) 装置スリープ機能と DHCP snooping との共存
装置スリープ機能と DHCP snooping が共存する場合は,装置スリープ状態となる時間が DHCP サーバか
ら配布する IP アドレスのリース時間より長くなるように設定してください。装置スリープ状態となる時間
がリース時間より短いと,装置スリープ解除時にバインディングデータベースを復元できないために,
DHCP クライアントから通信できなくなるおそれがあります。
通信できなくなった場合は,DHCP クライアント側で IP アドレスを解放および更新してください。例え
ば,Windows の場合,コマンドプロンプトから ipconfig /release を実行したあとに,ipconfig /renew
を実行します。これによって,バインディングデータベースに端末情報が再登録され,DHCP クライアン
トから通信できるようになります。
250
14 省電力機能
14.2 省電力機能のコンフィグレーション
14.2.1 コンフィグレーションコマンド一覧
省電力機能のコンフィグレーションコマンド一覧を次の表に示します。
表 14‒2 コンフィグレーションコマンド一覧
コマンド名
スケジュール時間帯への設定コマンド schedule-power-control system-sleep schedule-power-control shutdown power-control port coolstandby schedule-power-control port coolstandby system port-led system port-led trigger console schedule-power-control port-led
説明
通常時間帯への設定コマンド
− shutdown ※
装置スリープ動作を設定します。
ポートへの電力供給を OFF に設定し
ます。
リンクダウンポートの消費電力を削
減します。
LED の輝度を制御します。
輝度自動調整の契機にコンソールか
らのログインを設定します。 system port-led trigger interface system port-led trigger mc
輝度自動調整の契機にポートのリン
クアップ/ダウンを設定します。
輝度自動調整の契機に MC の挿抜を
設定します。
− schedule-power-control time-range 省電力スケジュールの時間帯を指定
します。
(凡例)−:該当なし
注※
「コンフィグレーションコマンドレファレンス Vol.1 10. イーサネット」を参照してください。
14.2.2 コンフィグレーションコマンド設定例
(1) 装置スリープ機能
スケジュール時間帯に装置スリープ状態にする場合のコンフィグレーションコマンドの設定例を次に示し
ます。
[設定のポイント]
スケジュール時間帯は装置スリープ状態にして,消費電力を低減します。
[コマンドによる設定]
1. (config)# schedule-power-control system-sleep
スケジュール時間帯に装置スリープを設定します。
2. (config)# schedule-power-control time-range 1 weekly start-time fri 2000 end-time mon 0800 action enable
毎週金曜日 20 時から毎週月曜日 8 時まで動作するスケジュールを指定します。
251
14 省電力機能
(2) スケジュールによる未使用ポートの電力供給 OFF
スケジュールによって未使用ポートの電力供給を OFF にする場合のコンフィグレーションコマンドの設
定例を次に示します。
[設定のポイント]
未使用ポートの電力供給 OFF を設定して,消費電力を低減します。
[コマンドによる設定]
1. (config)# schedule-power-control shutdown interface gigabitethernet 1/0/1-10
スケジュール時間帯に電力供給を OFF にするポートを指定します。
2. (config)# schedule-power-control time-range 1 weekly start-time fri 2000 end-time mon 0800 action enable
毎週金曜日 20 時から毎週月曜日 8 時まで動作するスケジュールを指定します。
3. (config)# schedule-power-control time-range 2 date start-time 100403 1600 end-time 100403
2000 action disable
2010 年 4 月 3 日 16 時から 20 時までの時間帯は省電力スケジュールの実行を無効にする指定をしま
す。
(3) スケジュールによるリンクダウンポートの省電力機能
スケジュール時間帯にリンクダウンポートの消費電力を削減する場合のコンフィグレーションコマンドの
設定例を次に示します。
[設定のポイント]
スケジュール時間帯はリンクダウンポートの消費電力を削減して,消費電力を低減します。
[コマンドによる設定]
1. (config)# schedule-power-control port cool-standby
スケジュール時間帯にリンクダウンポートの消費電力を削減します。
(4) LED の輝度制御機能
通常時間帯とスケジュール時間帯のどちらも LED の輝度自動調整をする場合のコンフィグレーションコ
マンドの設定例を次に示します。
[設定のポイント]
スケジュールを設定している場合,通常時間帯とスケジュール時間帯でそれぞれ LED の輝度制御機能
を設定します。輝度自動調整の契機として,ポート 1/0/1-10 とコンソールからのログインを設定しま
す。
[コマンドによる設定]
1. (config)# system port-led enable
通常時間帯に LED の輝度自動調整を設定します。
2. (config)# schedule-power-control port-led enable
スケジュール時間帯に LED の輝度自動調整を設定します。
3. (config)# system port-led trigger interface gigabitethernet 1/0/1-10
252
LED の輝度自動調整の契機に,ポート 1/0/1-10 を設定します。
4. (config)# system port-led trigger console
LED の輝度自動調整の契機にコンソールからのログインを設定します。
14 省電力機能
253
14 省電力機能
14.3 省電力機能のオペレーション
14.3.1 運用コマンド一覧
省電力機能の運用コマンド一覧を次の表に示します。
表 14‒3 運用コマンド一覧
コマンド名 説明 show power-control schedule show power clear power set power-control schedule show power-control port inactivate ※
省電力スケジュールの一覧を表示します。
装置の消費電力,消費電力量情報を表示します。
装置の消費電力量情報をクリアします。
省電力スケジュールの適用または抑止を設定します。
ポートの省電力状態を表示します。
ポートの電力供給を OFF に設定します。
注※
「運用コマンドレファレンス Vol.1 16. イーサネット」を参照してください。
14.3.2 LED 動作状態の表示
LED 動作の設定状態は,運用コマンド show system の「LED Brightness mode」で確認できます。詳細
図 14‒5 LED 動作状態の確認
> show system
Date 20XX/09/06 15:26:54 UTC
System: AX3650S-20S6XW, OS-L3SA Ver. 11.5
Node : Name=System Name
Contact=Contact Address
Locate=Location
Elapsed time : 04:32:13
LED Brightness mode : normal
:
:
>
14.3.3 省電力機能の状態確認
(1) 省電力スケジュールの確認
運用コマンド show power-control schedule で,現在の省電力スケジュールの状態と,設定されている省
電力スケジュールを確認できます。20XX 年 4 月 1 日以降に予定されているスケジュールを 5 件表示する
例を次の図に示します。
図 14‒6 省電力スケジュールの確認
> show power-control schedule XX0401 count 5
Date 20XX/04/01(Thu) 18:36:57 UTC
Current Schedule Status : Disable
Schedule Power Control Date:
20XX/04/01(Thu) 20:00 UTC - 20XX/04/02(Fri) 06:00 UTC
20XX/04/02(Fri) 20:00 UTC - 20XX/04/05(Mon) 06:00 UTC
20XX/04/05(Mon) 20:00 UTC - 20XX/04/06(Tue) 06:00 UTC
254
14 省電力機能
20XX/04/06(Tue) 20:00 UTC - 20XX/04/07(Wed) 06:00 UTC
20XX/04/07(Wed) 20:00 UTC - 20XX/04/08(Thu) 06:00 UTC
>
14.3.4 省電力スケジュールの適用または抑止
運用コマンド set power-control schedule で,スケジュール時間帯に省電力スケジュールの適用または抑
止を設定できます。装置スリープ中にリセットボタンで装置を起動して省電力スケジュールが抑止されて
いる場合に,省電力スケジュールを適用できます。
図 14‒7 省電力スケジュールの適用
> show power-control schedule XX1001 count 1
Date 20XX/10/01(Fri) 18:36:57 UTC
Current Schedule Status : Enable(force disabled)
Schedule Power Control Date:
20XX/10/01(Fri) 18:36 UTC - 20XX/10/02(Sat) 06:00 UTC
省電力スケジュールを確認します。状態が“Enable(force disabled)”となっているので,スケジュール時
間帯でスケジュールが抑止されていることが確認できます。
> set power-control schedule enable
省電力スケジュールを適用します。
> show power-control schedule XX1001 count 1
Date 20XX/10/01(Fri) 18:37:20 UTC
Current Schedule Status : Enable
Schedule Power Control Date:
20XX/10/01(Fri) 18:37 UTC - 20XX/10/02(Sat) 06:00 UTC
省電力スケジュールを確認します。状態が“Enable”となっているので,スケジュール時間帯でスケ
ジュールが適用されていることが確認できます。
14.3.5 ポートの省電力状態の確認
運用コマンド show power-control port で,ポートの省電力状態を確認できます。なお,この例では 0/50
および 0/51 は光信号を使うポートのため,リンクダウンポートの省電力機能は適用外となります。
図 14‒8 ポートの省電力状態の確認
> show power-control port
Date 20XX/09/21 20:03:12 UTC
Port Status Cool-standby
0/1 up -
0/2 down applied
0/3 down applied
0/4 up -
0/5 up -
:
:
0/48 down applied
0/49 up -
0/50 down -
0/51 down -
0/52 up -
>
14.3.6 消費電力情報の確認
消費電力情報を定期的に収集して分析することで,省電力効果を確認したり省電力機能のスケジュール立案
の参考にしたりできます。
255
14 省電力機能
(1) 電力情報の確認
運用コマンド show power で,装置の消費電力や消費電力量の目安値を確認できます。次の図に例を示し
ます。
図 14‒9 電力情報の確認
>show power
Date 20XX/09/21 12:00:00 UTC
Elapsed time 2Days 01:30
H/W Wattage Accumulated Wattage
Chassis 60.59 W 3.50 kWh
>
256
15
ソフトウェアの管理
この章では,ソフトウェアのアップデートについて説明します。実際のアップ
デート手順については,「ソフトウェアアップデートガイド」を参照してくだ
さい。
257
15 ソフトウェアの管理
15.1 運用コマンド一覧
ソフトウェア管理に関する運用コマンド一覧を次の表に示します。
表 15‒1 運用コマンド一覧
コマンド名 ppupdate set license show license erase license
説明 ftp,tftp などでダウンロードした新しいソフトウェアにアップデートします。
購入したオプションライセンスを設定します。
認証しているオプションライセンスを表示します。
指定したオプションライセンスを削除します。
258
15 ソフトウェアの管理
15.2 ソフトウェアのアップデート
ソフトウェアのアップデートとは,旧バージョンのソフトウェアから新バージョンのソフトウェアにバー
ジョンアップすることを指します。ソフトウェアのアップデートは,PC などのリモート運用端末からアッ
プデートファイルを本装置に転送し,運用コマンド ppupdate を実行することで実現します。アップデー
ト時,装置管理のコンフィグレーションおよびユーザ情報(ログインアカウント,パスワードなど)はその
まま引き継がれます。詳細については,「ソフトウェアアップデートガイド」を参照してください。
ソフトウェアのアップデートの概要を次の図に示します。
図 15‒1 ソフトウェアのアップデートの概要
15.2.1 ソフトウェアのアップデートに関する注意事項
装置スリープ中にソフトウェアをアップデートする場合は,強制スリープ解除操作をして装置を起動したあ
とアップデートしてください。
259
15 ソフトウェアの管理
15.3 オプションライセンスの設定
オプションライセンスとは,装置に含まれる付加機能を使用するために必要なライセンスです。付加機能ご
とにオプションライセンスを提供します。オプションライセンスが設定されていない場合,付加機能を使用
できません。オプションライセンスの設定および削除については,「オプションライセンス設定ガイド」を
参照してください。
260
第 3 編 ネットワークインタフェース
16
イーサネット
この章では,本装置のイーサネットについて説明します。
261
16 イーサネット
16.1 イーサネット共通の解説
16.1.1 ネットワーク構成例
本装置を使用した代表的なイーサネットの構成例を次の図に示します。各ビル間,サーバ間を 10GBASE-
R で接続することによって,10BASE-T/100BASE-TX/1000BASE-T および 1000BASE-X よりもサーバ
間のパフォーマンスが向上します。
図 16‒1 イーサネットの構成例
16.1.2 物理インタフェース
イーサネットには次の 4 種類があります。
• IEEE802.3 に準拠した 10BASE-T/100BASE-TX/1000BASE-T のツイストペアケーブル(UTP)
を使用したインタフェース
262
16 イーサネット
• IEEE802.3
※ に準拠した 100BASE-FX/1000BASE-X の光ファイバを使用したインタフェース
• IEEE802.3ae に準拠した 10GBASE-R の光ファイバを使用したインタフェース
• IEEE802.3ba に準拠した 40GBASE-R の光ファイバを使用したインタフェース【AX3800S】
注※ IEEE802.3ah を含みます。
16.1.3 MAC および LLC 副層制御
フレームフォーマットを次の図に示します。
図 16‒2 フレームフォーマット
(1) MAC 副層フレームフォーマット
(a) Preamble および SFD
64 ビット長の 2 進数で「1010...1011(最初の 62 ビットは 10 繰り返し,最後の 2 ビットは 11)」のデータ
です。送信時にフレームの先頭に付加します。この 64 ビットパターンのないフレームは受信できません。
(b) DA および SA
48 ビット形式をサポートします。16 ビット形式およびローカルアドレスはサポートしていません。
(c) TYPE/LENGTH
TYPE/LENGTH フィールドの扱いを次の表に示します。
表 16‒1 TYPE/LENGTH フィールドの扱い
TYPE/LENGTH 値
0x0000〜0x05DC
0x05DD〜
本装置での扱い
IEEE802.3 CSMA/CD のフレーム長
Ethernet V2.0 のフレームタイプ
(d) FCS
32 ビットの CRC 演算を使用します。
263
16 イーサネット
(2) LLC の扱い
Ethernet V2 と同様に扱います。
(3) 受信フレームの廃棄条件
次に示すどれかの条件によって受信したフレームを廃棄します。
• フレーム長がオクテットの整数倍でない
• 受信フレーム長(DA〜FCS)が 64 オクテット未満,または 1523 オクテット以上
ただし,ジャンボフレーム選択時は,指定したフレームサイズを超えた場合
• FCS エラー
• 接続インタフェースが半二重の場合は,受信中に衝突が発生したフレーム
(4) パッドの扱い
送信フレーム長が 64 オクテット未満の場合,MAC 副層で FCS の直前にパッドを付加します。パッドの値
は不定です。
16.1.4 フローコントロール
フローコントロールは,装置内の受信バッファ枯渇でフレームを廃棄しないように,相手装置にフレームの
送信をポーズパケットによって,一時的に停止指示する機能です。自装置がポーズパケット受信時は,送信
規制を行います。この機能は全二重だけサポートします。
(1) サポートするインタフェース
モデルごとに,フローコントロールをサポートするインタフェースを次の表に示します。
表 16‒2 フローコントロールをサポートするインタフェース
モデル
AX3800S
AX3650S
イーサネットのインタフェース
10/100/1000BASE-T
1000BASE-X
10GBASE-R
40GBASE-R
10/100/1000BASE-T
100BASE-FX
1000BASE-X
10GBASE-X
(凡例)○:サポート −:未サポート
サポート状況
−
−
○
○
○
○
○
○
(2) フローコントロールの設定と動作
本装置内の受信バッファが枯渇して受信フレームを廃棄することがないようにするためには,ポーズパケッ
トを送信して相手装置に送信規制を要求します。また,相手装置はポーズパケットを受信して送信規制でき
る必要があります。
264
16 イーサネット
相手装置からのポーズパケットを受信したとき,本装置が送信規制するかどうかは設定に従います。
フローコントロールのコンフィグレーションは,送信と受信でそれぞれ,有効,無効,またはネゴシエー
ション結果によって動作を決定するモードを選択できます。本装置と相手装置の設定を,送信と受信で一致
させてください。
本装置のポーズパケット送信の設定と相手装置の設定を組み合わせたときのフローコントロール動作を,次
の表に示します。
表 16‒3 フローコントロールの送信動作
本装置の
ポーズパケット送信
(send パラメータ)
相手装置の
ポーズパケット受信
フローコントロール動作 on off
有効
無効
相手装置が送信規制を行う
相手装置が送信規制を行わない desired Desired
(凡例)Desired:ネゴシエーション結果によって動作を決定するモード
相手装置が送信規制を行う
本装置のポーズパケット受信の設定と相手装置の設定を組み合わせたときのフローコントロール動作を,次
の表に示します。
表 16‒4 フローコントロールの受信動作
本装置の
ポーズパケット受信
(receive パラメータ)
相手装置の
ポーズパケット送信
フローコントロール動作 on off
有効
無効
本装置が送信規制を行う
本装置が送信規制を行わない desired Desired
(凡例)Desired:ネゴシエーション結果によって動作を決定するモード
本装置が送信規制を行う
オートネゴシエーション時,本装置の設定が off で相手装置が Desired の場合および本装置の設定が desired の場合,フローコントロール動作はネゴシエーション結果に従います。
(3) オートネゴシエーション使用時のフローコントロール動作
本装置では,オートネゴシエーションに対応したインタフェースでオートネゴシエーションの使用時に,相
手装置とポーズパケットを送受信するかどうかを折衝できます。
オートネゴシエーション使用時のフローコントロール動作を次の表に示します。
265
16 イーサネット
表 16‒5 オートネゴシエーション使用時のフローコントロール動作
本装置
(パラメータ)
ポーズパケッ
ト送信 on
ポーズパケッ
ト受信 desired off desired on off
無効
Desired
有効
無効
Desired
有効
無効
Desired
有効
相手装置
ポーズパケッ
ト送信
有効
無効
Desired
有効
無効
Desired
有効
無効
Desired
有効
無効
Desired
有効
Desired
有効
無効
Desired
有効
無効
Desired
有効
ポーズパケッ
ト受信
有効
無効
Desired
有効
無効
Desired
有効
無効
本装置のオートネゴシエー
ション結果 on on off on off on on off on off on off on off on on on on off on
ポーズパ
ケット送信 on on on on on on on on on on on on on on on on on on on off on off on on on on on on
ポーズパケッ
ト受信 on off on on off on on off
フローコントロール動作
行う
行う
行う
行う
行う
行わない
行わない
行う
行う
行わない
行う
行わない
行う
行う
行う
行う
行わない
行わない
行う
行う
本装置の
送信規制
行う
行わない
行う
行わない
行わない
行う
行う
行わない
行わない
行う
行う
行わない
行う
行う
行わない
行う
行う
行わない
行う
行わない
行う
行う
行わない
行う
行う
行わない
行う
行う
相手装置の
送信規制
行う
行わない
行う
行う
行わない
行う
行う
行わない
266
16 イーサネット
本装置
(パラメータ)
ポーズパケッ
ト送信
ポーズパケッ
ト受信 ト送信
無効
Desired
相手装置
ポーズパケッ ポーズパケッ
ト受信
無効
Desired
有効
無効
Desired
有効
無効
本装置のオートネゴシエー
ション結果 desired 有効
無効
Desired
有効
無効
Desired
有効
無効
Desired
有効 on off on on off on off on
Desired
無効
Desired off on
(凡例)Desired:ネゴシエーション結果によって動作を決定するモード
ポーズパ
ケット送信 off off on off on off off on off on on off on off on off on
ポーズパケッ
ト受信 off off off off off off off
フローコントロール動作
16.1.5 本装置の MAC アドレス
(1) 装置 MAC アドレス
本装置は,装置を識別するための MAC アドレスを一つ持ちます。この MAC アドレスのことを装置 MAC
アドレスと呼びます。装置 MAC アドレスは,レイヤ 3 インタフェースの MAC アドレスやスパニングツ
リーなどのプロトコルの装置識別子として使用します。
(2) 装置 MAC アドレスを使用する機能
装置 MAC アドレスを使用する機能を次の表に示します。
表 16‒6 装置 MAC アドレスを使用する機能
機能
VLAN
用途
レイヤ 3 インタフェースの MAC アドレス
行わない
行う
行わない
行う
行わない
行わない
行う
行う
行わない
行う
本装置の
送信規制
行わない
行わない
行わない
行わない
行わない
行わない
行わない
行わない
行う
行わない
行う
行う
行わない
行う
行う
行わない
行う
相手装置の
送信規制
行わない
行わない
行う
行わない
行う
行わない
行わない
267
16 イーサネット
機能
リンクアグリゲーションの LACP
スパニングツリー
Ring Protocol
GSRP
IEEE802.3ah/UDLD
L2 ループ検知
CFM
LLDP
OADP
装置識別子
装置識別子
装置識別子
装置識別子
装置識別子
装置識別子
装置識別子
装置識別子
装置識別子
用途
268
16 イーサネット
16.2 イーサネット共通のコンフィグレーション
16.2.1 コンフィグレーションコマンド一覧
イーサネット共通のコンフィグレーションコマンド一覧を次の表に示します。
表 16‒7 コンフィグレーションコマンド一覧
コマンド名 bandwidth description duplex flowcontrol frame-error-notice interface fortygigabitethernet interface gigabitethernet interface tengigabitethernet link debounce link up-debounce mdix auto mtu shutdown speed system flowcontrol off system mtu
説明
帯域幅を設定します。
補足説明を設定します。 duplex を設定します。
フローコントロールを設定します。
フレーム受信エラーおよびフレーム送信エラー発生時のエラーの通知条件を設定
します。
回線速度が最大 40Gbit/s のイーサネットインタフェースのコンフィグレーショ
ンを指定します。
回線速度が最大 1000Mbit/s のイーサネットインタフェースのコンフィグレー
ションを指定します。
回線速度が最大 10Gbit/s のイーサネットインタフェースのコンフィグレーショ
ンを指定します。
リンクダウン検出時間を設定します。
リンクアップ検出時間を設定します。
自動 MDIX 機能を設定します。
イーサネットの MTU を設定します。
イーサネットをシャットダウンします。
速度を設定します。
装置内の全ポートでフローコントロールを無効にします。
イーサネットの MTU の装置としての値を設定します。
16.2.2 イーサネットインタフェースの設定
[設定のポイント]
イーサネットのコンフィグレーションでは,インタフェースのスイッチ番号,NIF 番号,およびポート
番号を指定して,config-if モードに遷移して情報を設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
ギガビットイーサネットインタフェース 1/0/1 への設定を指定します。
269
16 イーサネット
16.2.3 複数インタフェースの一括設定
[設定のポイント]
イーサネットのコンフィグレーションでは,複数のインタフェースに同じ情報を設定することがありま
す。このような場合,複数のインタフェースを range 指定することで,情報を一括して設定できます。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/0/1-10, gigabitethernet 1/0/15-20, tengigabitethernet 1/0/25
ギガビットイーサネットインタフェース 1/0/1 から 1/0/10,1/0/15 から 1/0/20,および 10G ビッ
トイーサネットインタフェース 1/0/25 への設定を指定します。
2. (config-if-range)# *****
複数のインタフェースに同じコンフィグレーションを一括して設定します。
16.2.4 イーサネットのシャットダウン
[設定のポイント]
イーサネットのコンフィグレーションでは,複数のコマンドでコンフィグレーションを設定することが
あります。そのとき,コンフィグレーションの設定が完了していない状態でイーサネットがリンクアッ
プ状態になると期待した通信ができません。したがって,最初にイーサネットをシャットダウンしてか
ら,コンフィグレーションの設定が完了したあとにイーサネットのシャットダウンを解除することを推
奨します。なお,使用しないイーサネットはシャットダウンしておいてください。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/10
イーサネットインタフェース 1/0/10 の設定を指定します。
2. (config-if)# shutdown
イーサネットインタフェースをシャットダウンします。
3. (config-if)# *****
イーサネットインタフェースに対するコンフィグレーションを設定します。
4. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
[関連事項]
運用コマンド inactivate でイーサネットの運用を停止することもできます。ただし,inactivate コマン
ドで inactive 状態とした場合は,装置を再起動するとイーサネットが active 状態になります。イーサ
ネットをシャットダウンした場合は,装置を再起動してもイーサネットは disable 状態のままとなり, active 状態にするためにはコンフィグレーションで no shutdown を設定してシャットダウンを解除
する必要があります。
16.2.5 ジャンボフレームの設定
イーサネットインタフェースの MTU は規格上 1500 オクテットです。本装置は,ジャンボフレームを使用
して MTU を拡張し,一度に転送するデータ量を大きくすることでスループットを向上できます。
270
16 イーサネット
ジャンボフレームを使用するポートでは MTU を設定します。本装置は,設定された MTU に VLAN Tag
が一つ付いているフレームを送受信できるようになります。
ポートの MTU の設定値は,ネットワークおよび相手装置と合わせて決定します。VLAN トンネリングな
どで,VLAN Tag が二つ付く場合は,そのフレームを送受信できるように,MTU の値に 4 を加えた値を
設定します。
(1) ポート単位の MTU の設定
[設定のポイント]
ポート 1/0/10 のポートの MTU を 8192 オクテットに設定します。この設定によって,Untagged フ
レームであれば 8206 オクテット,Tagged フレームであれば 8210 オクテットまでのジャンボフレー
ムを送受信できるようになります。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/10
(config-if)# shutdown
(config-if)# mtu 8192
ポートの MTU を 8192 オクテットに設定します。
2. (config-if)# no shutdown
[注意事項]
• コンフィグレーションでポートの MTU を設定していても,10BASE-T,100BASE-TX,または
100BASE-FX 半二重で接続する場合(オートネゴシエーションの結果が 10BASE-T または
100BASE-TX 半二重になった場合も含みます)は,ポートの MTU は 1500 オクテットになりま
す。
• AX3650S では本コンフィグレーションで MTU を変更した場合,該当ポートで一時的な通信断が
発生します。
(2) 全ポート共通の MTU の設定
[設定のポイント]
本装置の全イーサネットインタフェースでポートの MTU を 4096 オクテットに設定します。この設
定によって,10GBASE-R または 40GBASE-R の場合,4114 オクテットまでのジャンボフレームを送
受信できるようになります。それ以外の回線種別の場合,Untagged フレームであれば 4110 オクテッ
ト,Tagged フレームであれば 4114 オクテットまでのジャンボフレームを送受信できるようになりま
す。
[コマンドによる設定]
1. (config)# system mtu 4096
装置の全ポートで,ポートの MTU を 4096 オクテットに設定します。
[注意事項]
• コンフィグレーションでポートの MTU を設定していても,10BASE-T,100BASE-TX,または
100BASE-FX 半二重で接続する場合(オートネゴシエーションの結果が 10BASE-T または
100BASE-TX 半二重になった場合も含みます)は,ポートの MTU は 1500 オクテットになりま
す。
271
16 イーサネット
• AX3650S では本コンフィグレーションで MTU を変更した場合,該当ポートで一時的な通信断が
発生します。
16.2.6 リンクダウン検出タイマの設定
リンク障害を検出してからリンクダウンするまでのリンクダウン検出時間が短い場合,相手装置によっては
リンクが不安定になることがあります。このような場合,リンクダウン検出タイマを設定することで,リン
クが不安定になることを防ぐことができます。
[設定のポイント]
リンクダウン検出時間は,リンクが不安定とならない範囲でできるだけ短い値にします。リンクダウン
検出時間を設定しなくてもリンクが不安定とならない場合は,リンクダウン検出時間を設定しないでく
ださい。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/10
イーサネットインタフェース 1/0/10 の設定を指定します。
2. (config-if)# link debounce time 5000
リンクダウン検出タイマを 5000 ミリ秒に設定します。
[注意事項]
リンクダウン検出時間を設定すると,リンクが不安定になることを防ぐことができますが,障害が発生
した場合にリンクダウンするまでの時間が長くなります。リンク障害を検出してからリンクダウンす
るまでの時間を短くしたい場合は,リンクダウン検出タイマを設定しないでください。
16.2.7 リンクアップ検出タイマの設定
リンク障害回復を検出してからリンクアップするまでのリンクアップ検出時間が短い場合,相手装置によっ
てはネットワーク状態が不安定になることがあります。このような場合,リンクアップ検出タイマを設定す
ることで,ネットワーク状態が不安定になることを防ぐことができます。
[設定のポイント]
リンクアップ検出時間は,ネットワーク状態が不安定とならない範囲でできるだけ短い値にします。リ
ンクアップ検出時間を設定しなくてもネットワーク状態が不安定とならない場合は,リンクアップ検出
時間を設定しないでください。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/10
イーサネットインタフェース 1/0/10 の設定を指定します。
2. (config-if)# link up-debounce time 5000
リンクアップ検出タイマを 5000 ミリ秒に設定します。
[注意事項]
リンクアップ検出タイマを長く設定すると,リンク障害回復から通信できるまでの時間が長くなりま
す。リンク障害回復から通信できるまでの時間を短くしたい場合は,リンクアップ検出タイマを設定し
ないでください。
272
16 イーサネット
16.2.8 フレーム送受信エラー通知の設定
軽度のエラーが発生してフレームの受信または送信に失敗した場合,本装置はフレームが廃棄された原因を
統計情報として採取します。30 秒間に発生したエラーの回数とエラーの発生する割合が閾値を超えた場合
は,エラーの発生について,ログで通知し,プライベートの SNMP 通知を送信します。
本装置では,閾値とエラーが発生した場合の通知について設定ができます。設定がない場合,30 秒間に 15
回エラーが発生したときに最初の 1 回だけログを表示します。
(1) エラーフレーム数を閾値にしての通知
[設定のポイント]
エラーの通知条件のうち,エラーの発生回数(エラーフレーム数)の閾値を本装置に設定する場合は, frame-error-notice コマンドで error-frames を設定します。
[コマンドによる設定]
1. (config)# frame-error-notice error-frames 50
エラーの発生回数(エラーフレーム数)の閾値を 50 回に設定します。
(2) エラーレートを閾値にしての通知
[設定のポイント]
エラーの通知条件のうち,エラーの発生割合(エラーレート)の閾値を本装置に設定する場合は,frameerror-notice コマンドで error-rate を設定します。
[コマンドによる設定]
1. (config)# frame-error-notice error-rate 20
エラーの発生割合の閾値を 20%に設定します。
(3) 通知時のログ表示設定
[設定のポイント]
エラーの通知条件のうち,エラーが発生したときのログの表示を設定する場合は,frame-error-notice
コマンドで onetime-display,または everytime-display を設定します。ログを表示しないようにする
場合は,off を設定します。この設定は,プライベートの SNMP 通知には関係しません。
[コマンドによる設定]
1. (config)# frame-error-notice everytime-display
エラーが発生するたびにログを表示します。
(4) 条件の組み合わせ設定
[設定のポイント]
エラーの通知条件を複数組み合わせて設定する場合は,frame-error-notice コマンドで,複数の条件を
同時に設定します。frame-error-notice コマンド入力前に設定していた通知条件は無効となりますの
で,引き続き同じ通知条件を設定する場合は,frame-error-notice コマンドで再度設定し直してくださ
い。
273
16 イーサネット
[コマンドによる設定]
すでにエラーが発生するたびにログを表示することを設定していて,さらにエラーの発生割合(エラー
レート)の閾値を設定する場合の設定例を示します。
1. (config)# frame-error-notice error-frames 50 everytime-display
エラーの発生回数(エラーフレーム数)の閾値を 50 回に設定し,エラーが発生するたびにログを表示
します。
[注意事項]
プライベートの SNMP 通知を使用する場合は,snmp-server host コマンドでフレーム受信エラー発生
時の SNMP 通知とフレーム送信エラー発生時の SNMP 通知を送信するように設定してください。
16.2.9 フローコントロールの設定
本装置では,フローコントロールをポート単位に設定したり,装置内の全ポートでフローコントロールを無
効にしたりできます。装置内の全ポートでフローコントロールを無効にすると,ポート単位のフローコント
ロールの設定はコンフィグレーションファイルに残りますが,動作しません。
(1) ポート単位のフローコントロールの設定
[設定のポイント]
フローコントロールの設定内容は,相手装置と矛盾しないように決定してください。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 1/0/25
(config-if)# shutdown
イーサネットインタフェースをシャットダウンします。
2. (config-if)# flowcontrol send off
(config-if)# flowcontrol receive off
相手装置とのポーズパケット送受信を停止します。
3. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
(2) 全ポート共通のフローコントロールの設定
[設定のポイント]
装置内の全ポートでフローコントロールを無効にします。
[コマンドによる設定]
1. (config)# system flowcontrol off
全ポートで相手装置とのポーズパケット送受信の停止を設定します。
2. (config)# save
(config)# exit
保存して,コンフィグレーションモードから装置管理者モードに移行します。
3. # restart vlan
274
16 イーサネット
VLAN プログラムを再起動します。全ポートで相手装置とのポーズパケット送受信を停止します。す
べてのイーサネットインタフェースが再初期化され,VLAN を構成しているポートは一時的にデータの
送受信ができなくなります。
(3) フローコントロールのルーズモード設定
サーバへの接続などで,パケットの損失をできるだけ防ぎたい場合は,厳密なフローコントロールが求めら
れます。しかし,相互に厳密なフローコントロールを行うと,瞬間的なループ状態を契機として次の図に示
すようにお互いが送信規制されたままの状態となるおそれがあります。フローコントロールのルーズモー
ドは,このようなネットワークでフローコントロールを行う場合に適したモードです。
図 16‒3 相互に送信規制する例
デフォルト動作の場合,“ポーズパケット送信間隔≦送信規制時間”となるため,ポーズパケットの受信側
では送信が完全に停止します。デフォルトでの動作シーケンスを次の図に示します。
図 16‒4 デフォルトでの動作シーケンス
ルーズモードの場合,“ポーズパケット送信間隔>送信規制時間”となるため,本装置同士の接続でも送信
が完全に停止し続けることがありません。ルーズモードでの動作シーケンスを次の図に示します。
275
16 イーサネット
図 16‒5 ルーズモードでの動作シーケンス
[設定のポイント]
フローコントロールのルーズモードを設定します。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 1/0/25
(config-if)# shutdown
イーサネットインタフェースをシャットダウンします。
2. (config-if)# flowcontrol send on loose
相手装置とのポーズパケット送信をルーズモードにします。
3. (config-if)# no shutdown
イーサネットインタフェースのシャットダウンを解除します。
276
16 イーサネット
16.3 イーサネット共通のオペレーション
16.3.1 運用コマンド一覧
イーサネットで使用する運用コマンド一覧を次の表に示します。
表 16‒8 運用コマンド一覧
コマンド名 show interfaces clear counters show port activate inactivate test interfaces no test interfaces
説明
イーサネットの情報を表示します。
イーサネットの統計情報カウンタをクリアします。
イーサネットの情報を一覧で表示します。 inactive 状態のイーサネットを active 状態にします。 active 状態のイーサネットを inactive 状態にします。
回線テストを実行します。
回線テストを停止し,結果を表示します。
16.3.2 イーサネットの動作状態を確認する
(1) 全イーサネットの動作状態を確認する
show port コマンドを実行すると,本装置に実装している全イーサネットの状態を確認できます。使用す
るイーサネットの Status の表示が up になっていることを確認します。 show port コマンドの実行結果を次の図に示します。
図 16‒6 「本装置に実装している全イーサネットの状態」の表示例
> show port
Date 20XX/11/21 15:16:19 UTC
Port Counts: 24
Port Name Status Speed Duplex FCtl FrLen ChGr/Status
0/ 1 geth1/0/1 up 1000BASE-SX full(auto) off 1518 -/-
0/ 2 geth1/0/2 down - - - - -/-
0/ 3 geth1/0/3 up 100BASE-TX full(auto) off 1518 -/-
0/ 4 geth1/0/4 up 1000BASE-SX full(auto) off 1518 -/-
:
:
277
16 イーサネット
16.4 10BASE-T/100BASE-TX/1000BASE-T の解説
10BASE-T/100BASE-TX/1000BASE-T のツイストペアケーブル(UTP)を使用したインタフェース
について説明します。
16.4.1 機能一覧
(1) 接続インタフェース
(a) 10BASE-T/100BASE-TX/1000BASE-T 自動認識(オートネゴシエーション)
10BASE-T/100BASE-TX/1000BASE-T では自動認識機能(オートネゴシエーション)と固定接続機能
をサポートしています。
• 自動認識…10BASE-T,100BASE-TX,1000BASE-T(全二重)
• 固定接続…10BASE-T,100BASE-TX
コンフィグレーションでは次のモードを指定できます。接続するネットワークに合わせて設定してくださ
い。本装置のデフォルト値は,オートネゴシエーションとなります。
• オートネゴシエーション
• 100BASE-TX 全二重固定
• 100BASE-TX 半二重固定
• 10BASE-T 全二重固定
• 10BASE-T 半二重固定
(b) 10BASE-T/100BASE-TX/1000BASE-T 接続仕様
本装置のコンフィグレーションでの指定値と相手装置の伝送速度および,全二重および半二重モードの接続
仕様を次に示します。
10BASE-T および 100BASE-TX は,相手装置によってオートネゴシエーションでは接続できない場合が
ありますので,できるだけ相手装置のインタフェースに合わせた固定設定にしてください。
1000BASE-T は,オートネゴシエーションによる全二重の接続だけとなります。
● AX3830S
10BASE-T(半二重)および 100BASE-TX(半二重)での接続はサポートしていません。
表 16‒9 伝送速度および,全二重および半二重モードごとの接続仕様【AX3800S】
接続装置
設定
固定
インタフェー
ス
10BASE-T
半二重
10BASE-T
10BASE-T
半二重
−
−
10BASE-T
全二重
×
10BASE-T
本装置の設定
固定
100BASE-TX
半二重
100BASE-TX
全二重
− ×
− ×
オート
ネゴシエーショ
ン
×
×
278
16 イーサネット
接続装置
設定
インタフェー
ス
10BASE-T
半二重
オート
ネゴシ
エーショ
ン
全二重
100BASE-TX
半二重
100BASE-TX
全二重
1000BASE-T
半二重
1000BASE-T
全二重
10BASE-T
半二重
10BASE-T
全二重
10BASE-T
全二重および
半二重
100BASE-TX
半二重
100BASE-TX
全二重
100BASE-TX
全二重および
半二重
10BASE-T/
100BASE-TX
全二重および
半二重
1000BASE-T
半二重
1000BASE-T
全二重
1000BASE-T
全二重および
半二重
10BASE-T/
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
10BASE-T
全二重
全二重
×
本装置の設定
固定
100BASE-TX
半二重
100BASE-TX
全二重
− ×
オート
ネゴシエーショ
ン
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
−
−
−
−
−
−
−
−
−
−
−
−
−
−
100BASE-TX
全二重
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
10BASE-T
全二重
10BASE-T
全二重
×
100BASE-TX
全二重
100BASE-TX
全二重
100BASE-TX
全二重
×
1000BASE-T
全二重
1000BASE-T
全二重
1000BASE-T
279
16 イーサネット
設定
接続装置
インタフェー
ス
10BASE-T
半二重
10BASE-T
全二重
本装置の設定
固定
100BASE-TX
半二重
100BASE-TX
全二重
オート
ネゴシエーショ
ン
100BASE-
TX/
1000BASE-T
全二重および
半二重
(凡例) ×:接続できない −:動作モード未サポート
全二重
表 16‒10 伝送速度および,全二重および半二重モードごとの接続仕様(SFP/SFP+共用ポートで
10BASE-T/100BASE-TX/1000BASE-T 用 SFP を使用した場合)【AX3800S】
接続装置
設定
固定
インタフェー
ス
10BASE-T
半二重
−
10BASE-T
全二重
−
本装置の設定
固定
100BASE-TX
半二重
−
100BASE-TX
全二重
−
オート
ネゴシエーショ
ン
×
オート
ネゴシ
エーショ
ン
10BASE-T
半二重
10BASE-T
全二重
100BASE-TX
半二重
100BASE-TX
全二重
1000BASE-T
半二重
1000BASE-T
全二重
10BASE-T
半二重
10BASE-T
全二重
10BASE-T
全二重および
半二重
100BASE-TX
半二重
100BASE-TX
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
−
×
×
×
×
×
×
×
×
×
×
280
16 イーサネット
接続装置
設定
インタフェー
ス
10BASE-T
半二重
10BASE-T
全二重
全二重
100BASE-TX
全二重および
半二重
10BASE-T/
100BASE-TX
全二重および
半二重
1000BASE-T
半二重
1000BASE-T
全二重
1000BASE-T
全二重および
半二重
−
−
−
−
−
−
−
−
−
−
10BASE-T/
100BASE-
TX/
1000BASE-T
全二重および
半二重
− −
(凡例) ×:接続できない −:動作モード未サポート
本装置の設定
固定
100BASE-TX
半二重
100BASE-TX
全二重
−
−
−
−
−
−
−
−
−
−
−
−
● AX3650S
表 16‒11 伝送速度および,全二重および半二重モードごとの接続仕様【AX3650S】
設定
固定
接続装置
インタフェー
ス
10BASE-T
半二重
10BASE-T
全二重
100BASE-TX
半二重
100BASE-TX
10BASE-T
半二重
10BASE-T
半二重
×
×
×
10BASE-T
全二重
×
10BASE-T
全二重
×
×
本装置の設定
固定
100BASE-TX
半二重
×
100BASE-TX
全二重
×
×
100BASE-TX
半二重
×
×
×
100BASE-TX
オート
ネゴシエーショ
ン
×
×
×
1000BASE-T
全二重
1000BASE-T
全二重
1000BASE-T
全二重
オート
ネゴシエーショ
ン
10BASE-T
半二重
×
100BASE-TX
半二重
×
281
16 イーサネット
接続装置
設定
インタフェー
ス
10BASE-T
半二重
オート
ネゴシ
エーショ
ン
全二重
1000BASE-T
半二重
1000BASE-T
全二重
10BASE-T
半二重
10BASE-T
全二重
10BASE-T
全二重および
半二重
100BASE-TX
半二重
100BASE-TX
全二重
100BASE-TX
全二重および
半二重
10BASE-T/
100BASE-TX
全二重および
半二重
1000BASE-T
半二重
1000BASE-T
全二重
1000BASE-T
全二重および
半二重
10BASE-T/
100BASE-
TX/
1000BASE-T
全二重および
半二重
×
×
10BASE-T
半二重
×
10BASE-T
半二重
×
×
×
10BASE-T
半二重
×
×
×
10BASE-T
半二重
10BASE-T
全二重
×
本装置の設定
固定
100BASE-TX
半二重
100BASE-TX
全二重
×
全二重
×
オート
ネゴシエーショ
ン
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
100BASE-TX
半二重
×
100BASE-TX
半二重
100BASE-TX
半二重
×
×
×
100BASE-TX
半二重
×
×
×
×
×
×
×
×
×
×
×
×
×
10BASE-T
半二重
10BASE-T
全二重
10BASE-T
全二重
100BASE-TX
半二重
100BASE-TX
全二重
100BASE-TX
全二重
100BASE-TX
全二重
×
1000BASE-T
全二重
1000BASE-T
全二重
1000BASE-T
全二重
282
16 イーサネット
(凡例) ×:接続できない
(2) オートネゴシエーション
オートネゴシエーションは,伝送速度および,全二重および半二重モード認識およびフローコントロールに
ついて,対向装置間でやりとりを行い,接続動作を決定する機能です。
本装置での接続仕様を,「表 16‒9 伝送速度および,全二重および半二重モードごとの接続仕様
【AX3800S】」から「表 16‒11 伝送速度および,全二重および半二重モードごとの接続仕様【AX3650S】」
に示します。また,本装置では,ネゴシエーションで解決できなかった場合,リンク接続されるまで接続動
作を繰り返します。
(3) 自動 MDIX 機能
自動 MDIX 機能は,MDI と MDI-X を自動的に切り替える機能です。これによって,クロスケーブルまた
はストレートケーブルどちらでも通信できるようになります。オートネゴシエーション時だけサポートし
ます。半二重および全二重固定時は MDI-X となります。MDI/MDI-X のピンマッピングを次の表に示し
ます。
表 16‒12 MDI/MDI-X のピンマッピング
RJ45
Pin No.
1
2
3
4
1000BASE-T
BI_DA +
BI_DA−
BI_DB +
BI_DC +
BI_DC−
BI_DB−
MDI
100BASE-TX
TD +
TD−
RD +
Unused
10BASE-T
TD +
TD−
RD +
Unused
Unused
RD−
1000BASE-T
BI_DB +
BI_DB−
BI_DA +
BI_DD +
BI_DD−
BI_DA−
MDI-X
100BASE-TX
RD +
RD−
TD +
Unused
10BASE-T
RD +
RD−
TD +
Unused
Unused
TD−
5
6
Unused
RD−
Unused
TD−
7
8
BI_DD +
BI_DD−
Unused
Unused
Unused
Unused
BI_DC +
BI_DC−
Unused
Unused
Unused
Unused
注 1
10BASE-T と 100BASE-TX では,送信(TD)と受信(RD)信号は別々の信号線を使用しています。
注 2
1000BASE-T では,8 ピンすべてを送信と受信が同時双方向(bi-direction)通信するため,信号名表記が異なりま
す。(BI_Dx:双方向データ信号)
(4) ジャンボフレーム
ジャンボフレームは,MAC ヘッダの DA〜データが 1518 オクテットを超えるフレームを中継するための
機能です。コンフィグレーションコマンド ip mtu の MTU 長を合わせて変更することで,IP パケットをフ
ラグメント化するサイズを大きくすることもできます。
本装置では,Ethernet V2 形式フレームだけをサポートします。802.3 形式フレームはサポートしていま
せん。フレームについては,「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してく
283
16 イーサネット
してください。また,物理インタフェースは,100BASE-TX(全二重),1000BASE-T(全二重)だけサ
ポートします。ジャンボフレームのサポート機能を次の表に示します。
表 16‒13 ジャンボフレームサポート機能
項目
フレーム形式
EthernetV2 ※
1519〜9234
IEEE802.3
×
※
内容
フレーム長
(オクテット)
受信機能
MAC ヘッダの DA〜データの長さ。FCS は含みま
せん。
○ × IEEE802.3 フレームは,LENGTH フィールド値が
0x05DD(1501 オクテット)以上の場合に廃棄しま
す。
IEEE802.3 フレームは送信しません。 送信機能 ○ ×
(凡例) ○:サポート ×:未サポート
注※ 「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してください。
(5) 10BASE-T/100BASE-TX/1000BASE-T 接続時の注意事項
• 伝送速度,および全二重および半二重モードが相手装置と不一致の場合,接続できないので注意してく
ださい。
不一致の状態で通信を行うと,以降の通信が停止することがあります。この場合,当該ポートに対して inactivate コマンド,activate コマンドを実行してください。
• 使用するケーブルについては,マニュアル「ハードウェア取扱説明書」を参照してください。
• 全二重インタフェースはコリジョン検出とループバック機能を行わないことによって実現しています。
このため,10BASE-T または 100BASE-TX を全二重インタフェース設定で使用する場合,相手接続
ポートは必ず全二重インタフェースに設定して接続してください。
• 1000BASE-T を使用する場合は全二重のオートネゴシエーションだけとなります。
• AX3830S で 10BASE-T および 100BASE-TX を使用する場合は,全二重の接続だけとなります。
• AX3830S-44X4QW および AX3830S-44X4QS の 10BASE-T/100BASE-TX/1000BASE-T ポート
を 1000BASE-T で使用すると,パケット長に応じてスループットが約 600Mbit/s に制限されたり,優
先度に関係なくパケットが廃棄されたり,該当する回線の MIB の一部で正しい値が表示されなかった
りするおそれがあります。そのため,該当するポートを使用する場合は次の条件で使用することを推奨
します。
• 10BASE-T または 100BASE-TX で使用してください(初期導入時または運用コマンド erase configuration を実行したあとのコンフィグレーションには,speed auto 10 100 が設定されてい
ます)。
• 1000BASE-T で使用するときは,自装置および対向装置の回線速度を 600Mbit/s 以下でシェーピ
ングしてください。
• 1000BASE-T で使用するときは,メンテナンス用のポートなど,優先度に関係なくパケットが廃棄
されても問題がない用途で使用してください。
16.4.2 10BASE-T/100BASE-TX/1000BASE-T 用 SFP
本装置では,専用の SFP を使用することで,1000BASE-X(SFP)ポートで 10BASE-T/100BASE-TX/
1000BASE-T を接続できます。
284
16 イーサネット
AX3830S では 1000BASE-T での接続だけをサポートしています。
AX3650S では 10BASE-T/100BASE-TX/1000BASE-T ポートと,SFP による接続で違いはありません。
285
16 イーサネット
16.5 10BASE-T/100BASE-TX/1000BASE-T のコン
フィグレーション
16.5.1 イーサネットの設定
(1) 速度と duplex の設定
本装置と相手装置の伝送速度と duplex を設定できます。デフォルトではオートネゴシエーションで,相手
装置と伝送速度と duplex を決定します。
(a) オートネゴシエーションに対応していない相手装置と接続する場合
[設定のポイント]
10BASE-T および 100BASE-TX では,相手装置によってはオートネゴシエーションで接続できない場
合があります。その場合は,相手装置に合わせて回線速度と duplex を指定し,固定設定で接続します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/10
(config-if)# shutdown
(config-if)# speed 10
(config-if)# duplex half
相手装置と 10BASE-T 半二重で接続する設定をします。
2. (config-if)# no shutdown
(b) オートネゴシエーションでも特定の速度を使用したい場合
[設定のポイント]
本装置は,オートネゴシエーションで接続する場合でも,回線速度を設定できます。オートネゴシエー
ションに加えて回線速度を設定した場合,相手装置とオートネゴシエーションで接続しても,設定され
た回線速度にならないときはリンクがアップしません。そのため,意図しない回線速度で接続されるこ
とを防止できます。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/10
(config-if)# shutdown
(config-if)# speed auto 1000
相手装置とオートネゴシエーションで接続しても,1000BASE-T だけで接続するようにします。
2. (config-if)# no shutdown
[注意事項]
回線速度と duplex は正しい組み合わせで設定してください。オートネゴシエーションの場合は,回線
速度と duplex の両方ともにオートネゴシエーションを設定する必要があります。固定設定の場合は,
回線速度と duplex の両方を固定設定にする必要があります。正しい組み合わせが設定されていない場
合は,オートネゴシエーションで相手装置と接続します。
286
16 イーサネット
16.5.2 自動 MDIX の設定
本装置の 10BASE-T/100BASE-TX/1000BASE-T ポートは,自動 MDIX 機能をサポートしています。そ
のため,オートネゴシエーション時に,ケーブルのストレートまたはクロスに合わせて自動的に MDI 設定
が切り替わり通信できます。また,本装置は MDI の固定機能を持っており,MDI 固定時は MDI-X(HUB
仕様)となります。
[設定のポイント]
自動 MDIX を MDI-X に固定する場合に,固定したいインタフェースに設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/24
イーサネットインタフェース 1/0/24 の設定を指定します。
2. (config-if)# no mdix auto
(config-if)# exit
自動 MDIX 機能を無効にし,MDI-X 固定にします。
287
16 イーサネット
16.6 100BASE-FX の解説【AX3650S】
16.6.1 機能一覧
100BASE-FX の光ファイバを使用したインタフェースについて説明します。
(1) 接続インタフェース
(a) 100BASE-FX
100BASE-FX をサポートしています。回線速度は 100Mbit/s,全二重または半二重の固定接続だけをサ
ポートします。オートネゴシエーションはサポートしていません。
100BASE-FX:
マルチモード光ファイバを使用して 2km の伝送距離を実現します。
(マルチモード,最大 2km)
コンフィグレーションでは次のモードを指定できます。接続するネットワークに合わせて設定してくださ
い。本装置のデフォルト値は,100BASE 全二重固定となります。
• 100BASE-FX 全二重固定
• 100BASE-FX 半二重固定
(b) 100BASE-FX 接続仕様
本装置のコンフィグレーションでの指定値と相手装置の伝送速度および,全二重および半二重モードの接続
仕様を次の表に示します。なお,100BASE-FX の物理仕様については,マニュアル「ハードウェア取扱説
明書」を参照してください。
表 16‒14 伝送速度および,全二重および半二重モードごとの接続仕様
接続装置側設定
固定
設定
オートネゴシエーション
インタフェース
100BASE
半二重
100BASE
全二重
100BASE
半二重
100BASE
全二重
100BASE
半二重
本装置の設定
固定
100BASE
全二重
× 100BASE
半二重
×
×
100BASE
全二重
×
× ×
(凡例) ×:接続できない
288
16 イーサネット
(2) ジャンボフレーム
ジャンボフレームは,MAC ヘッダの DA〜データが 1518 オクテットを超えるフレームを中継するための
機能です。コンフィグレーションコマンド ip mtu の MTU 長を合わせて変更することで,IP パケットをフ
ラグメント化するサイズを大きくすることもできます。
本装置では,Ethernet V2 形式フレームだけをサポートします。802.3 形式フレームはサポートしていま
せん。フレームについては,「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してく
してください。また,物理インタフェースは 100BASE-FX(全二重)だけサポートします。ジャンボフレー
ムのサポート機能を次の表に示します。
表 16‒15 ジャンボフレームサポート機能
フレーム形式
項目
IEEE802.3
※
×
内容
フレーム長
(オクテット)
受信機能
EthernetV2 ※
1519〜9234 MAC ヘッダの DA〜データの長さ。FCS は含みま
せん。
○ × IEEE802.3 フレームは,LENGTH フィールド値が
0x05DD(1501 オクテット)以上の場合に廃棄し
ます。
IEEE802.3 フレームは送信しません。 送信機能 ○ ×
(凡例) ○:サポート ×:未サポート
注※ 「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してください。
(3) 100BASE-FX 接続時の注意事項
• 100BASE 全二重固定および 100BASE 半二重固定接続だけをサポートします。
• 全二重および半二重モードが相手装置と不一致の場合,接続できないので注意してください。
• マニュアル「ハードウェア取扱説明書」に示すトランシーバ以外を使用した場合の動作は保証できませ
ん。
16.6.2 100BASE-FX 用 SFP
本装置では,専用の SFP を使用することで,1000BASE-X(SFP)ポートで 100BASE-FX の接続ができ
ます。
なお,100BASE-FX 用 SFP をサポートするのは次の装置です。
• AX3650S-20S6XW ※
注※ SFP スロットのポート 1〜20 でサポートしています。
289
16 イーサネット
16.7 100BASE-FX のコンフィグレーション
【AX3650S】
16.7.1 ポートの設定
(1) 速度と duplex の設定
本装置と相手装置の伝送速度と duplex を設定できます。デフォルトでは 100BASE 全二重固定となりま
す。
[設定のポイント]
100BASE-FX では相手装置と伝送速度と duplex を合わせる必要があります。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/5
(config-if)# shutdown
(config-if)# speed 100
(config-if)# duplex full
相手装置と 100BASE 全二重で接続する設定をします。
2. (config-if)# no shutdown
[注意事項]
必ず speed を 100(回線速度 100Mbit/s),duplex を full(全二重)または half(半二重)に設定し
てください。指定可能なパラメータ以外を設定した場合,speed は 100,duplex は full で動作します。
290
16 イーサネット
16.8 1000BASE-X の解説
16.8.1 機能一覧
1000BASE-X の光ファイバを使用したインタフェースについて説明します。
(1) 接続インタフェース
(a) 1000BASE-X
1000BASE-SX,1000BASE-SX2,1000BASE-LX,1000BASE-LH,1000BASE-LHB および 1000BASE-
BX をサポートしています。回線速度は 1000Mbit/s 全二重固定です。
1000BASE-SX:
短距離間を接続するために使用します。
(マルチモード,最大 550m)
1000BASE-SX2:【AX3650S】
マルチモード光ファイバを使用して 2km の伝送距離を実現します。
(マルチモード,最大 2km)
1000BASE-LX:
中距離間を接続するために使用します。
(シングルモード,最大 5km/マルチモード,最大 550m)
1000BASE-LH,1000BASE-LHB:
長距離間を接続するために使用します。
1000BASE-LH(シングルモード,最大 70km)
1000BASE-LHB(シングルモード,最大 100km)
1000BASE-BX:
送受信で波長の異なる光を使用することで,1 芯の光ファイバを使い,光ファイバのコストを抑えるこ
とができます。
送受信で異なる波長の光を使用するため,アップ側とダウン側で 1 対となるトランシーバを使用しま
す。
本装置では,IEEE802.3ah で規定されている 1000BASE-BX10-D/1000BASE-BX10-U と,独自規格
の 1000BASE-BX40-D/1000BASE-BX40-U をサポートします。
1000BASE-BX10-D/1000BASE-BX10-U:
中距離間を接続するために使用します。
(シングルモード,最大 10km)
1000BASE-BX40-D/1000BASE-BX40-U:
長距離間を接続するために使用します。
(シングルモード,最大 40km)
コンフィグレーションでは次のモードを指定できます。接続するネットワークに合わせて設定してくださ
い。本装置のデフォルト値は,オートネゴシエーションになります。
• オートネゴシエーション
• 1000BASE-X 全二重固定
291
16 イーサネット
(b) 1000BASE-X 接続仕様
本装置のコンフィグレーションでの指定値と相手装置の伝送速度および,全二重および半二重モードの接続
仕様を次の表に示します。なお,1000BASE-X の物理仕様については,マニュアル「ハードウェア取扱説
明書」を参照してください。
表 16‒16 伝送速度および,全二重および半二重モードごとの接続仕様
固定
設定
接続装置側設定
インタフェース
固定
1000BASE
全二重
×
本装置の設定
オートネゴシエーション
1000BASE
全二重
×
オートネゴ
シエーション
1000BASE
半二重
1000BASE
全二重
1000BASE
半二重
1000BASE
全二重
1000BASE
全二重
×
×
×
×
1000BASE
全二重
(凡例) ×:接続できない
(2) オートネゴシエーション
オートネゴシエーションは,全二重モード選択およびフローコントロールについて,対向装置間でやりとり
を行い,接続動作を決定する機能です。
本装置での接続仕様を,「表 16‒16 伝送速度および,全二重および半二重モードごとの接続仕様」に示し
ます。また,本装置では,ネゴシエーションで解決できなかった場合,リンク接続されるまで接続動作を繰
り返します。
(3) ジャンボフレーム
ジャンボフレームは,MAC ヘッダの DA〜データが 1518 オクテットを超えるフレームを中継するための
機能です。コンフィグレーションコマンド ip mtu の MTU 長を合わせて変更することで,IP パケットをフ
ラグメント化するサイズを大きくすることも可能となります。
本装置では,Ethernet V2 形式フレームだけをサポートします。802.3 形式フレームはサポートしていま
せん。フレームについては,「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してく
してください。ジャンボフレームのサポート機能を次の表に示します。
表 16‒17 ジャンボフレームサポート機能
項目
フレーム長
(オクテット)
フレーム形式
EthernetV2 ※ IEEE802.3
※
1519〜9234 ×
内容
MAC ヘッダの DA〜データの長さ。FCS は含
みません。
292
16 イーサネット
項目
EthernetV2 ※
○
フレーム形式
IEEE802.3
×
※
内容
受信機能 IEEE802.3 フレームは,LENGTH フィールド
値が 0x05DD(1501 オクテット)以上の場合
に廃棄します。
IEEE802.3 フレームは送信しません。 送信機能 ○ ×
(凡例) ○:サポート ×:未サポート
注※ 「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してください。
(4) 1000BASE-X 接続時の注意事項
• 全二重のオートネゴシエーションおよび固定接続だけサポートします。
• 相手装置(スイッチングハブなど)をオートネゴシエーションまたは全二重固定に設定してください。
• マニュアル「ハードウェア取扱説明書」に示すトランシーバ以外を使用した場合の動作は保証できませ
ん。
293
16 イーサネット
16.9 1000BASE-X のコンフィグレーション
16.9.1 ポートの設定
(1) 速度と duplex の設定
本装置と相手装置の伝送速度と duplex を設定できます。デフォルトではオートネゴシエーションで,相手
装置と伝送速度と duplex を決定します。
[設定のポイント]
通常は相手装置とオートネゴシエーションで接続します。本装置のデフォルトはオートネゴシエー
ションなので,速度と duplex を設定する必要はありません。オートネゴシエーションを使用しない場
合は,速度を 1000Mbit/s に,duplex を全二重に設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# shutdown
(config-if)# speed 1000
(config-if)# duplex full
相手装置と 1000Mbit/s 全二重で接続する設定をします。
2. (config-if)# no shutdown
[注意事項]
回線速度を 1000Mbit/s に設定する場合は,必ず duplex も full(全二重)に設定してください。speed
と duplex の両方が正しく設定されている場合以外は,オートネゴシエーションでの接続になります。
294
16 イーサネット
16.10 10GBASE-R の解説
16.10.1 機能一覧
10GBASE-R の光ファイバを使用したインタフェースについて説明します。
(1) 接続インタフェース
(a) 10GBASE-R
10GBASE-SR,10GBASE-LR,10GBASE-ER,および 10GBASE-ZR をサポートしています。回線速度
は 10Gbit/s 全二重固定です。
10GBASE-SR:
短距離間を接続するために使用します。(マルチモード,伝送距離:最大 300m ※ )
注※
伝送距離は使用するケーブルによって異なります。ケーブルごとの伝送距離は,マニュアル「ハー
ドウェア取扱説明書」を参照してください。
10GBASE-LR:
中距離間を接続するために使用します。(シングルモード,伝送距離:最大 10km)
10GBASE-ER:
長距離間を接続するために使用します。(シングルモード,伝送距離:最大 40km)
10GBASE-ZR:
長距離間を接続するために使用します。(シングルモード,伝送距離:最大 80km)
(b) 10GBASE-R 接続仕様
本装置の物理仕様については,マニュアル「ハードウェア取扱説明書」を参照してください。
(2) ジャンボフレーム
ジャンボフレームは,MAC ヘッダの DA〜データが 1518 オクテットを超えるフレームを中継するための
機能です。コンフィグレーションコマンド ip mtu の MTU 長を合わせて変更することで,IP パケットをフ
ラグメント化するサイズを大きくすることもできます。
本装置では,Ethernet V2 形式フレームだけをサポートします。802.3 形式フレームはサポートしていま
せん。フレームについては,「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してく
してください。ジャンボフレームのサポート機能を次の表に示します。
表 16‒18 ジャンボフレームサポート機能
項目
フレーム長
(オクテット)
フレーム形式
EthernetV2 ※
1519〜9234
IEEE802.3
×
※
内容
MAC ヘッダの DA〜データの長さ。FCS は含みま
せん。
295
16 イーサネット
項目
EthernetV2 ※
○
フレーム形式
IEEE802.3
×
※
内容
受信機能 IEEE802.3 フレームは,LENGTH フィールド値が
0x05DD(1501 オクテット)以上の場合に廃棄しま
す。
IEEE802.3 フレームは送信しません。 送信機能 ○ ×
(凡例) ○:サポート ×:未サポート
注※ 「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してください。
(3) 10GBASE-R 接続時の注意事項
• 10GBASE-R の半二重およびオートネゴシエーションは IEEE802.3ae 規格にないため,全二重固定接
続だけになります。
• マニュアル「ハードウェア取扱説明書」に示すトランシーバ以外を使用した場合の動作は保証できませ
ん。
• 10GBASE-ZR は IEEE802.3ae 規格にないベンダー独自仕様ですので,他ベンダーの装置と接続した
場合の動作は保証できません。
296
16 イーサネット
16.11 40GBASE-R の解説【AX3800S】
16.11.1 機能一覧
40GBASE-R の光ファイバを使用したインタフェースについて説明します。
(1) 接続インタフェース
(a) 40GBASE-R
40GBASE-SR4,40GBASE-LR4 および 40GBASE-CR4 をサポートしています。回線速度は 40Gbit/s,
全二重の固定接続またはオートネゴシエーションによる接続をサポートしています。なお,半二重接続はサ
ポートしていません。
40GBASE-SR4:
短距離間を接続するために使用します。全二重固定接続だけをサポートします。(マルチモード,伝送
距離:最大 150m ※ )
40GBASE-LR4:
中距離間を接続するために使用します。全二重固定接続だけをサポートします。(シングルモード,伝
送距離:最大 10km ※ )
40GBASE-CR4:
短距離間を接続するために使用します。オートネゴシエーションによる接続だけをサポートします。
(マルチモード,伝送距離:最大 7m ※ )
注※
伝送距離は使用するケーブルによって異なります。ケーブルごとの伝送距離は,マニュアル「ハー
ドウェア取扱説明書」を参照してください。
(b) 40GBASE-R 接続仕様
本装置の物理仕様については,マニュアル「ハードウェア取扱説明書」を参照してください。
(2) ジャンボフレーム
ジャンボフレームは,MAC ヘッダの DA〜データが 1518 オクテットを超えるフレームを中継するための
機能です。コンフィグレーションコマンド ip mtu の MTU 長を合わせて変更することで,IP パケットをフ
ラグメント化するサイズを大きくすることもできます。
本装置では,Ethernet V2 形式フレームだけをサポートします。802.3 形式フレームはサポートしていま
せん。フレームについては,「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してく
してください。ジャンボフレームのサポート機能を次の表に示します。
表 16‒19 ジャンボフレームサポート機能
項目
フレーム長
(オクテット)
フレーム形式
EthernetV2 ※
1519〜9234
IEEE802.3
×
※
内容
MAC ヘッダの DA〜データの長さ。FCS は含みま
せん。
297
16 イーサネット
項目
EthernetV2 ※
○
フレーム形式
IEEE802.3
×
※
内容
受信機能 IEEE802.3 フレームは,LENGTH フィールド値が
0x05DD(1501 オクテット)以上の場合に廃棄しま
す。
IEEE802.3 フレームは送信しません。 送信機能 ○ ×
(凡例) ○:サポート ×:未サポート
注※ 「16.1.3 MAC および LLC 副層制御」のフレームフォーマットを参照してください。
(3) 40GBASE-R 接続時の注意事項
• 40GBASE-R の半二重接続は IEEE802.3ba 規格にないため,全二重接続だけになります。
• マニュアル「ハードウェア取扱説明書」に示すトランシーバ以外を使用した場合の動作は保証できませ
ん。
298
16 イーサネット
16.12 40GBASE-R のコンフィグレーション
【AX3800S】
16.12.1 ポートの設定
(1) 速度と duplex の設定
40GBASE-R 用 QSFP+を使用する場合は,伝送速度と duplex の動作はインタフェースによって固定のた
め,伝送速度と duplex の設定は必要ありません。
299
16 イーサネット
16.13 SFP/SFP+共用ポートの解説
16.13.1 機能一覧
SFP/SFP+共用ポートについて説明します。
(1) 接続インタフェース
SFP/SFP+共用ポートでは,10GBASE-R 用 SFP+,1000BASE-X 用 SFP,および 10BASE-T/100BASE-
TX/1000BASE-T 用 SFP をサポートしています。ただし,10BASE-T/100BASE-TX/1000BASE-T 用
SFP をサポートしているのは AX3830S だけです。
また,SFP/SFP+共用ポート間を接続するダイレクトアタッチケーブルをサポートしています。
(a) 10GBASE-R
10GBASE-SR,10GBASE-LR,および 10GBASE-ER の SFP+をサポートしています。それぞれのインタ
フェースについては,「16.10 10GBASE-R の解説」を参照してください。
(b) 1000BASE-X
1000BASE-SX,1000BASE-LX,1000BASE-LH,1000BASE-LHB,および 1000BASE-BX の SFP を
サポートしています。それぞれのインタフェースについては,「16.8 1000BASE-X の解説」を参照して
ください。
(c) 1000BASE-T【AX3800S】
10BASE-T/100BASE-TX/1000BASE-T 用 SFP による 1000BASE-T の接続をサポートしています。本
SFP による 10BASE-T,および 100BASE-TX の接続はサポートしていません。1000BASE-T インタ
フェースについては,「16.4 10BASE-T/100BASE-TX/1000BASE-T の解説」を参照してください。
(d) ダイレクトアタッチケーブル
ダイレクトアタッチケーブルは,SFP/SFP+共用ポート間を接続する,両端に SFP+が接続されたケーブル
です。10GBASE-R と同様に動作します。10GBASE-R インタフェースについては,「16.10 10GBASE-
なお,ダイレクトアタッチケーブル使用時は,リンクアップまでに 5〜8 秒掛かります。
300
16 イーサネット
16.14 SFP/SFP+共用ポートのコンフィグレーション
16.14.1 ポートの設定
(1) 速度と duplex の設定
10GBASE-R 用 SFP+を使用する場合は,伝送速度と duplex の動作は固定のため,伝送速度と duplex の
設定は必要ありません。1000BASE-X 用 SFP を使用する場合は,本装置と相手装置の伝送速度と duplex
を設定できます。デフォルトではオートネゴシエーションで,相手装置と伝送速度と duplex を決定しま
す。
なお,10BASE-T/100BASE-TX/1000BASE-T 用 SFP を使用する場合は,オートネゴシエーションだけ
が設定できます。
[設定のポイント]
設定内容はそれぞれのインタフェースと同様ですが,1000BASE-X 用 SFP または 10BASE-T/
100BASE-TX/1000BASE-T 用 SFP を使用した場合でもコンフィグレーションのインタフェース名称
は tengigabitethernet になります。
通常は相手装置とオートネゴシエーションで接続します。本装置のデフォルトはオートネゴシエー
ションなので,速度と duplex を設定する必要はありません。オートネゴシエーションを使用しない場
合は,回線速度と duplex を設定します。
[コマンドによる設定]
1. (config)# interface tengigabitethernet 1/0/25
(config-if)# shutdown
(config-if)# speed 1000
(config-if)# duplex full
相手装置と 1000Mbit/s 全二重で接続する設定をします。
2. (config-if)# no shutdown
[注意事項]
回線速度と duplex は正しい組み合わせで設定してください。オートネゴシエーションの場合は,回線
速度と duplex の両方にオートネゴシエーションを設定する必要があります。固定設定の場合は,回線
速度と duplex の両方を固定設定にする必要があります。正しい組み合わせが設定されていない場合
は,オートネゴシエーションで相手装置と接続します。
301
16 イーサネット
16.15 QSFP+ポートの解説【AX3800S】
16.15.1 機能一覧
QSFP+ポートについて説明します。
(1) 接続インタフェース
QSFP+ポートでは,40GBASE-R 用 QSFP+をサポートしています。また,QSFP+ポート間を接続するダ
イレクトアタッチケーブルをサポートしています。
(a) 40GBASE-R
40GBASE-SR4 および 40GBASE-LR4 の QSFP+をサポートしています。インタフェースについては,
「16.11 40GBASE-R の解説【AX3800S】」を参照してください。
なお,40GBASE-R 用 QSFP+使用時は,トランシーバを挿してから運用コマンド show interfaces の回線
種別が決定するまでに 3〜5 秒掛かります。
(b) ダイレクトアタッチケーブル
ダイレクトアタッチケーブルは,QSFP+ポート間を接続する,両端に QSFP+が接続されたケーブルです。
40GBASE-CR4 として動作します。インタフェースについては,「16.11 40GBASE-R の解説
なお,ダイレクトアタッチケーブル使用時は,トランシーバを挿してから運用コマンド show interfaces
の回線種別が決定するまでに 3〜5 秒掛かります。また,リンクアップまでに 5〜8 秒掛かります。
302
17
リンクアグリゲーション
この章では,リンクアグリゲーションの解説と操作方法について説明します。
303
17 リンクアグリゲーション
17.1 リンクアグリゲーション基本機能の解説
17.1.1 概要
リンクアグリゲーションは,隣接装置との間を複数のイーサネットポートで接続し,それらを束ねて一つの
仮想リンクとして扱う機能です。この仮想リンクをチャネルグループと呼びます。リンクアグリゲーショ
ンによって接続装置間の帯域の拡大や冗長性を確保できます。
17.1.2 リンクアグリゲーションの構成
リンクアグリゲーションの構成例を次の図に示します。この例では四つのポートを集約しています。集約
しているポートのうちの 1 本が障害となった場合には,チャネルグループから離脱し,残りのポートでチャ
ネルグループとして通信を継続します。
図 17‒1 リンクアグリゲーションの構成例
17.1.3 サポート仕様
(1) リンクアグリゲーションのモード
本装置のリンクアグリゲーションは,モードとして LACP およびスタティックの 2 種類をサポートします。
• LACP リンクアグリゲーション
IEEE802.3ad 準拠の LACP を利用したリンクアグリゲーションです。LACP によるネゴシエーション
が成功した場合にチャネルグループとしての運用を開始します。LACP によって,隣接装置との整合性
確認やリンクの正常性確認ができます。
• スタティックリンクアグリゲーション
コンフィグレーションによるスタティックなリンクアグリゲーションです。LACP は動作させません。
チャネルグループとして設定したポートがリンクアップした時点で運用を開始します。
リンクアグリゲーションのサポート仕様を次の表に示します。
表 17‒1 リンクアグリゲーションのサポート仕様
項目 サポート仕様
装置当たりのチャネルグループ数
1 グループ当たりの最大ポート数
リンクアグリゲーションのモード
32(スタンドアロン時)
52(スタック時)
8
• LACP
−
−
−
備考
304
17 リンクアグリゲーション
ポート速度
項目 サポート仕様
• スタティック
デフォルト時:同一速度だけを使用
します。
異速度混在モード時:異なる速度を
同時に使用します。
全二重だけ
備考
デフォルト時:遅い回線は離脱しま
す。
異速度混在モード時:回線速度によ
る離脱はありません。
− Duplex モード
(凡例) −:該当しない
17.1.4 チャネルグループの MAC アドレス
スパニングツリーなどのプロトコルを運用する際に,チャネルグループの MAC アドレスを使用します。本
装置は,チャネルグループの MAC アドレスとして,グループに所属するポートのうちどれかの MAC ア
ドレスを使用します。
チャネルグループに所属するポートから MAC アドレスを使用しているポートを削除すると,チャネルグ
ループの MAC アドレスが変更されます。
スタック構成で運用している場合,メンバスイッチの削除に伴って MAC アドレスを使用しているポートの
イーサネットインタフェースを削除すると,チャネルグループの MAC アドレスが変更されます。また,
チャネルグループの MAC アドレスにマスタスイッチのポートの MAC アドレスを使用している場合,マ
スタスイッチに障害が発生してバックアップスイッチが新しいマスタスイッチになると,チャネルグループ
の MAC アドレスも変更されます。
17.1.5 フレーム送信時のポート振り分け
リンクアグリゲーションへフレームを送信するとき,送信するフレームごとにポートを選択しトラフィック
を各ポートへ分散させることで複数のポートを効率的に利用します。ポートの振り分けは,送信するフレー
ム内の情報を基にポートを選択して振り分けます。
ポートの振り分けに使用する情報を次の表に示します。
中継
表 17‒2 フレーム送信時のポート振り分け(1/2)
レイヤ 3
中継
フレームの種類
IP ユニキャスト
IP ブロードキャスト
振り分けに使用する情
報
宛先 MAC アドレス
送信元 MAC アドレス
受信 VLAN
宛先 IP アドレス
送信元 IP アドレス
宛先 TCP/UDP ポート
番号
○
−
−
− src-mac port-channel load-balance パラメータ dst-mac src-dst-mac srcip src-port
−
○
○
−
○
○
−
−
−
−
○
−
−
−
○
−
−
−
−
−
○
−
−
−
○
−
305
17 リンクアグリゲーション
中継 フレームの種類
IP マルチキャスト
レイヤ 2
中継
MAC アドレス未学
習フレーム
(ユニキャスト/ブ
ロードキャスト/マ
ルチキャスト)
MAC アドレス学習
済の IP フレーム
MAC アドレス学習
済の非 IP フレーム
振り分けに使用する情
報
送信元 TCP/UDP ポー
ト番号
宛先 IP アドレス
送信元 IP アドレス
受信ポート番号または
受信チャネルグループ
番号
宛先 MAC アドレス
送信元 MAC アドレス
受信ポート番号
または受信チャネルグ
ループ番号
宛先 MAC アドレス
送信元 MAC アドレス
VLAN
宛先 IP アドレス
送信元 IP アドレス
宛先 TCP/UDP ポート
番号
送信元 TCP/UDP ポー
ト番号
宛先 MAC アドレス
送信元 MAC アドレス
VLAN
イーサタイプ src-mac
− port-channel load-balance パラメータ dst-mac
− src-dst-mac
− srcip
− src-port
○
○
○
○
○
○
○
−
○
○
−
−
−
−
−
○
○
○
○
○
○
○
○
○
○
−
○
−
−
−
−
○
−
○
○
○
○
○
○
○
○
○
○
○
−
−
−
−
○
○
○
○
○
○
○
○
○
○
−
−
−
−
○
−
−
−
○
○
○
○
○
○
○
○
○
○
○
○
−
○
−
−
−
−
○
−
表 17‒3 フレーム送信時のポート振り分け(2/2) port-channel load-balance パラメータ
中継 フレームの種類 振り分けに使用する情報
レイヤ 3
中継
IP ユニキャスト
IP ブロードキャスト
宛先 MAC アドレス
送信元 MAC アドレス
受信 VLAN
宛先 IP アドレス
−
−
○ dstip
− dst-port
−
−
−
○ src-dst-ip
−
−
−
○ src-dst-port
−
−
−
○
306
17 リンクアグリゲーション port-channel load-balance パラメータ
中継 フレームの種類 振り分けに使用する情報
レイヤ 2
中継
IP マルチキャスト
MAC アドレス未学
習フレーム
(ユニキャスト/ブ
ロードキャスト/マ
ルチキャスト)
送信元 IP アドレス
宛先 TCP/UDP ポート番号
送信元 TCP/UDP ポート番
号
宛先 IP アドレス
送信元 IP アドレス
受信ポート番号または受信
チャネルグループ番号
宛先 MAC アドレス
送信元 MAC アドレス
受信ポート番号
または受信チャネルグループ
番号
MAC アドレス学習
済の IP フレーム
宛先 MAC アドレス
送信元 MAC アドレス
VLAN
宛先 IP アドレス
送信元 IP アドレス
宛先 TCP/UDP ポート番号
送信元 TCP/UDP ポート番
号
宛先 MAC アドレス MAC アドレス学習
済の非 IP フレーム
送信元 MAC アドレス
VLAN
イーサタイプ
(凡例)○:振り分け対象 −:振り分け対象外
−
○
−
−
−
−
− dstip
−
−
−
○
○
○
○
○
○
○
−
○
○ dst-port
−
○
−
−
−
○
−
○
○
○
○
○
○
○
−
○
○
−
○
− src-dst-ip
−
○
−
−
○
−
−
○
○
○
○
○
○
○
○
○
○
○
−
− src-dst-port
○
○
○
○
○
○
○
○
○
○
○
○
○
リンクアグリゲーション上のトラフィックに応じて振り分け方法を適切に選択すると,効率的にロードバラ
ンスができます。例えば,単一の MAC アドレスを持つホストから複数の MAC アドレス宛てに IP フレー
ムを送信する場合,dst-mac を選択すると,src-mac を選択したときよりも効率的に送信ポートを振り分
けられます。
● スタック構成時のフレーム優先振り分け
スタック構成で運用している場合,スタック内でフレームを受信したメンバスイッチのポートへ優先して振
り分けます。スタック構成時のフレーム優先振り分けについて次の図に示します。
−
○
−
−
○
○
○
307
17 リンクアグリゲーション
図 17‒2 スタック構成時のフレーム優先振り分け
この図に示すスタック構成では,装置 A からマスタスイッチを経由して装置 B へ中継する場合,二つの経
路があります。
1. スタックポートからバックアップスイッチを経由して装置 B へ送信する経路
2. マスタスイッチのポートから直接装置 B へ送信する経路
このとき,マスタスイッチは 2 の経路へフレームを優先して振り分けます。2 に該当するポートが複数存在
する場合,「表 17‒2 フレーム送信時のポート振り分け(1/2)」および「表 17‒3 フレーム送信時のポー
ト振り分け(2/2)」に従ってポートを選択して振り分けます。
フレームを受信したメンバスイッチのポートへ優先して振り分けることで,スタックを構成するほかのメン
バスイッチに障害が発生しても通信経路の切り替えが不要になります。優先振り分けを有効に利用するた
めに,スタックでリンクアグリゲーションを使用する場合には,異なるメンバスイッチに設定することをお
勧めします。
17.1.6 リンクアグリゲーション使用時の注意事項
(1) リンクアグリゲーションが不可能な構成
リンクアグリゲーション構成時には,装置間での設定が一致している必要があります。リンクアグリゲー
ションが不可能な構成例を次に示します。
308
図 17‒3 リンクアグリゲーションが不可能な構成例
17 リンクアグリゲーション
(2) リンクアグリゲーションの設定手順
リンクアグリゲーション構成時には,装置間での設定が一致している必要があります。一致していない状態
リンクアグリゲーションが不可能な構成」のような構成になっていないことを確認したあとで,ポートをリ
ンクアップさせることをお勧めします。
(3) CPU 過負荷時
LACP リンクアグリゲーションモード使用時に CPU が過負荷な状態になった場合,本装置が送受信する
LACPDU の廃棄または処理遅延が発生して,タイムアウトのメッセージ出力,一時的な通信断になること
があります。過負荷状態が頻発する場合は,LACPDU の送信間隔を長くするか,スタティックリンクアグ
リゲーションを使用してください。
309
17 リンクアグリゲーション
17.2 リンクアグリゲーション基本機能のコンフィグ
レーション
17.2.1 コンフィグレーションコマンド一覧
リンクアグリゲーション基本機能のコンフィグレーションコマンド一覧を次の表に示します。
表 17‒4 コンフィグレーションコマンド一覧
コマンド名 channel-group lacp systempriority channel-group mode channel-group periodictimer description interface port-channel
説明
チャネルグループごとに LACP システム優先度を設定します。
ポートをチャネルグループに登録します。
LACPDU の送信間隔を設定します。 lacp port-priority lacp system-priority port-channel load-balance shutdown
チャネルグループの補足説明を設定します。
ポートチャネルインタフェースを設定します。
チャネルグループのパラメータもポートチャネルインタフェースコンフィグレー
ションモードで設定します。
LACP のポート優先度を設定します。
LACP システム優先度のデフォルト値を設定します。
振り分け方法を指定します。
チャネルグループの通信を停止します。
17.2.2 スタティックリンクアグリゲーションの設定
[設定のポイント]
スタティックリンクアグリゲーションは,イーサネットインタフェースコンフィグレーションモードで channel-group mode コマンドを使用してチャネルグループ番号と「on」のモードを設定します。ス
タティックリンクアグリゲーションは channel-group mode コマンドを設定することによって動作を
開始します。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/0/1-2
ポート 1/0/1,1/0/2 のイーサネットインタフェースモードに移行します。
2. (config-if-range)# channel-group 10 mode on
ポート 1/0/1,1/0/2 を,スタティックモードのチャネルグループ 10 に登録します。
310
17 リンクアグリゲーション
17.2.3 LACP リンクアグリゲーションの設定
(1) チャネルグループの設定
[設定のポイント]
LACP リンクアグリゲーションは,イーサネットインタフェースコンフィグレーションモードで channel-group mode コマンドを使用してチャネルグループ番号と「active」または「passive」のモー
ドを設定します。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/0/1-2
ポート 1/0/1,1/0/2 のイーサネットインタフェースモードに移行します。
2. (config-if-range)# channel-group 10 mode active
ポート 1/0/1,1/0/2 を LACP モードのチャネルグループ 10 に登録します。LACP は active モード
として対向装置に関係なく LACPDU の送信を開始します。passive を指定した場合は,対向装置から
の LACPDU を受信したときだけ LACPDU の送信を開始します。
(2) システム優先度の設定
LACP のシステム優先度を設定します。本装置では,システム優先度は拡張機能の離脱ポート制限機能で
使用します。通常,本パラメータを変更する必要はありません。
[設定のポイント]
LACP システム優先度は値が小さいほど高い優先度となります。
[コマンドによる設定]
1. (config)# lacp system-priority 100
本装置の LACP システム優先度を 100 に設定します。
2. (config)# interface port-channel 10
(config-if)# channel-group lacp system-priority 50
チャネルグループ 10 の LACP システム優先度を 50 に設定します。本設定を行わない場合は装置のシ
ステム優先度である 100 を使用します。
(3) ポート優先度の設定
LACP のポート優先度を設定します。本装置では,ポート優先度は拡張機能のスタンバイリンク機能で使
用します。通常,本パラメータを変更する必要はありません。
[設定のポイント]
LACP ポート優先度は値が小さいほど高い優先度となります。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# lacp port-priority 100
ポート 1/0/1 の LACP ポート優先度を 100 に設定します。
311
17 リンクアグリゲーション
(4) LACPDU 送信間隔の設定
[設定のポイント]
対向装置が本装置に向けて送信する LACPDU の間隔を設定します。本装置は本パラメータで設定し
た間隔で LACPDU を受信します。
LACPDU の送信間隔は long(30 秒),short(1 秒)のどちらかを選択します。デフォルトは long(30
秒)で動作します。送信間隔を short(1 秒)に変更した場合,リンクの障害によるタイムアウトを検
知しやすくなり,障害時に通信が途絶える時間を短く抑えることができます。
[コマンドによる設定]
1. (config)# interface port-channel 10
(config-if)# channel-group periodic-timer short
チャネルグループ 10 の LACPDU 送信間隔を short(1 秒)に設定します。
[注意事項]
LACPDU 送信間隔を short(1 秒)に設定すると,障害を検知しやすくなる一方で,LACPDU トラ
フィックが増加することによってリンクアグリゲーションプログラムの負荷が増加します。本パラ
メータを short(1 秒)にすることでタイムアウトのメッセージや一時的な通信断が頻発する場合は,
デフォルトの long(30 秒)に戻すかスタティックモードを使用してください。
(5) 振り分け方法の設定
[設定のポイント]
装置単位でチャネルグループの振り分け方法を指定します。
[コマンドによる設定]
1. (config)# port-channel load-balance src-ip
フレームを送信元 IP アドレスによって振り分けるように,チャネルグループの振り分け方法を設定し
ます。
17.2.4 ポートチャネルインタフェースの設定
ポートチャネルインタフェースでは,チャネルグループ上で動作する機能を設定します。
ポートチャネルインタフェースは,コンフィグレーションコマンドで設定するか,イーサネットインタ
フェースコンフィグレーションモードで channel-group mode コマンドを設定することによって自動的
に生成されます。
(1) ポートチャネルインタフェースとイーサネットインタフェースの関係
ポートチャネルインタフェースは,チャネルグループ上で動作する機能を設定します。それらはイーサネッ
トインタフェースコンフィグレーションモードでも設定することができます。このような機能を設定する
コマンドはポートチャネルインタフェースとイーサネットインタフェースで関連性があり,設定する際に次
のように動作します。
• ポートチャネルインタフェースとイーサネットインタフェースで関連コマンドの設定が一致している
必要があります。
• ポートチャネルインタフェースを未設定の状態でイーサネットインタフェースに channel-group mode コマンドを設定すると,自動的にポートチャネルインタフェースを生成します。このとき,
312
17 リンクアグリゲーション channel-group mode コマンドを設定するイーサネットインタフェースに関連コマンドが設定されて
いてはいけません。
• ポートチャネルインタフェースがすでに設定済みの状態でイーサネットインタフェースに channelgroup mode コマンドを設定する場合,関連コマンドが一致している必要があります。
• ポートチャネルインタフェースで関連コマンドを設定すると,channel-group mode コマンドで登録さ
れているイーサネットインタフェースの設定にも同じ設定が反映されます。
ポートチャネルインタフェースとイーサネットインタフェースで一致している必要のあるポートチャネル
関連コマンドを次の表に示します。
表 17‒5 ポートチャネルインタフェースの関連コマンド
VLAN
スパニングツリー
IEEE802.1X
機能 コマンド switchport mode switchport access switchport trunk switchport protocol switchport mac switchport vlan mapping switchport vlan mapping enable spanning-tree portfast spanning-tree bpdufilter spanning-tree bpduguard spanning-tree guard spanning-tree link-type spanning-tree port-priority spanning-tree cost spanning-tree vlan port-priority spanning-tree vlan cost spanning-tree single port-priority spanning-tree single cost spanning-tree mst port-priority spanning-tree mst cost dot1x port-control dot1x force-authorize-port dot1x multiple-hosts dot1x multiple-authentication
313
17 リンクアグリゲーション
DHCP snooping
GSRP
L2 ループ検知
OADP
機能 コマンド dot1x max-supplicant dot1x reauthentication dot1x timeout reauth-period dot1x timeout tx-period dot1x timeout supp-timeout dot1x timeout server-timeout dot1x timeout keep-unauth dot1x timeout quiet-period dot1x max-req dot1x ignore-eapol-start dot1x supplicant-detection ip dhcp snooping trust ip arp inspection trust ip verify source gsrp direct-link gsrp reset-flush-port gsrp no-flush-port gsrp exception-port loop-detection oadp enable
(2) チャネルグループ上で動作する機能の設定
[設定のポイント]
ポートチャネルインタフェースでは,VLAN やスパニングツリーなど,チャネルグループ上で動作する
機能を設定します。ここでは,トランクポートを設定する例を示します。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/0/1-2
(config-if-range)# channel-group 10 mode on
(config-if-range)# exit
ポート 1/0/1,1/0/2 をスタティックモードのチャネルグループ 10 に登録します。また,チャネルグ
ループ 10 のポートチャネルインタフェースが自動生成されます。
2. (config)# interface port-channel 10
チャネルグループ 10 のポートチャネルインタフェースコンフィグレーションモードに移行します。
3. (config-if)# switchport mode trunk
314
17 リンクアグリゲーション
チャネルグループ 10 をトランクポートに設定します。
(3) ポートチャネルインタフェースの shutdown
[設定のポイント]
ポートチャネルインタフェースを shutdown に設定すると,チャネルグループに登録されているすべて
のポートの通信を停止します。リンクアップしているポートはアップ状態のまま通信停止状態になり
ます。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/0/1-2
(config-if-range)# channel-group 10 mode on
(config-if-range)# exit
ポート 1/0/1,1/0/2 をスタティックモードのチャネルグループ 10 として登録します。
2. (config)# interface port-channel 10
(config-if)# shutdown
ポートチャネルインタフェースコンフィグレーションモードに移行して shutdown を設定します。
ポート 1/0/1,1/0/2 の通信が停止し,チャネルグループ 10 は停止状態になります。
17.2.5 チャネルグループの削除
チャネルグループのポートやチャネルグループ全体を削除する場合は,削除する対象のポートをあらかじめ
イーサネットインタフェースコンフィグレーションモードで shutdown に設定しておく必要があります。 shutdown に設定することで,削除する際にループが発生することを防ぎます。
(1) チャネルグループ内のポートの削除
[設定のポイント]
ポートをチャネルグループから削除します。削除したポートはチャネルグループとは別のポートとし
て動作するため,削除時のループを回避するために事前に shutdown に設定します。
削除したポートには,削除前に interface port-channel で設定した関連コマンド(表 17‒5 ポートチャ
ネルインタフェースの関連コマンド)は残るため,別の用途に使用する際には注意してください。
チャネルグループ内のすべてのポートを削除しても,interface port-channel の設定は自動的には削除
されません。チャネルグループ全体の削除は「(2) チャネルグループ全体の削除」を参照してくださ
い。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# shutdown
ポート 1/0/1 をチャネルグループから削除するために,事前に shutdown にしてリンクダウンさせま
す。
2. (config-if)# no channel-group
ポート 1/0/1 からチャネルグループの設定を削除します。
315
17 リンクアグリゲーション
(2) チャネルグループ全体の削除
[設定のポイント]
チャネルグループ全体を削除します。削除したチャネルグループに登録していたポートはそれぞれ個
別のポートとして動作するため,削除時のループを回避するために事前に shutdown に設定します。
チャネルグループは interface port-channel を削除することによって,全体が削除されます。この削除
によって,登録していた各ポートから channel-group mode コマンドが自動的に削除されます。ただ
し,各ポートには削除前に interface port-channel で設定した関連コマンド(表 17‒5 ポートチャネ
ルインタフェースの関連コマンド)は残るため,別の用途に使用する際には注意してください。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/0/1-2
(config-if-range)# shutdown
(config-if-range)# exit
チャネルグループ全体を削除するために,削除したいチャネルグループに登録されているポートをすべ
て shutdown に設定しリンクダウンさせます。
2. (config)# no interface port-channel 10
チャネルグループ 10 を削除します。ポート 1/0/1,1/0/2 に設定されている channel-group mode
コマンドも自動的に削除されます。
316
17 リンクアグリゲーション
17.3 リンクアグリゲーション拡張機能の解説
17.3.1 スタンバイリンク機能
(1) 解説
チャネルグループ内にあらかじめ待機用のポートを用意しておき,運用中のポートで障害が発生したときに
待機用のポートに切り替えることによって,グループとして運用するポート数を維持する機能です。この機
能を使用すると,障害時に帯域の減少を防ぐことができます。
この機能は,スタティックリンクアグリゲーションだけ使用できます。
(2) スタンバイリンクの選択方法
コンフィグレーションでチャネルグループとして運用する最大ポート数を設定します。グループに属する
ポート数が指定された最大ポート数を超えた分のポートが待機用ポートになります。
待機用ポートは,まずコンフィグレーションで設定するポート優先度,次にスイッチ番号およびポート番号
の順で,選択優先度の高い順に決定されます。つまり,ポート優先度が同じ場合は,NIF 番号,ポート番
号の順に判断します。待機用ポートの決定基準を,選択優先度の高い順に次に示します。
1. ポート優先度
優先度の値の大きいポートから待機用ポートとして選択されます。
2. スイッチ番号
スイッチ番号の大きい順に待機用ポートとして選択されます。
3. ポート番号
ポート番号の大きい順に待機用ポートとして選択されます。
スタンバイリンク機能の例を次の図に示します。この例では,グループに属するポート数を 4,運用する最
大ポート数を 3 としています。
図 17‒4 スタンバイリンク機能の構成例
(3) スタンバイリンクのモード
スタンバイリンク機能には,次に示す二つのモードがあります。
• リンクダウンモード
スタンバイリンクをリンクダウン状態にします。スタンバイリンク機能をサポートしていない対向装
置も待機用ポートにすることができます。
• 非リンクダウンモード
317
17 リンクアグリゲーション
スタンバイリンクをリンクダウン状態にしないで,送信だけを停止します。リンクアップ状態のため,
待機中のポートでも障害を監視できます。また,待機中のポートは送信だけを停止して,受信は行いま
す。スタンバイリンク機能をサポートしていない対向装置は,リンクダウンが伝わらないためスタンバ
イリンク上で送信を継続しますが,そのような対向装置とも接続できます。
リンクダウンモードを使用している場合,運用中のポートが一つのとき,そのポートで障害が発生すると,
待機用のポートに切り替わる際にチャネルグループがいったんダウンします。非リンクダウンモードの場
合,ダウンせずに待機用ポートを使用します。
運用中のポートが一つの状態とは,次に示すどちらかの状態です。
• コンフィグレーションコマンド max-active-port で 1 を設定している状態。
• 異速度混在モードを未設定で,最高速のポートが一つだけ,そのほかのポートが一つ以上ある状態。
(4) スタック構成での注意事項
スタンバイリンク機能を使用する場合は次の点に注意してください。
• スタンバイリンク機能をリンクダウンモードで使用して,バックアップスイッチ側のポートが待機用
ポートに選択されているとき,マスタスイッチまたはスタックリンクに障害が発生してバックアップス
イッチが新しいマスタスイッチに切り替わると,該当する待機用ポートはダウンしたままになります。
このときは,運用コマンド activate でそのポートを active 状態にしてください。
• スタック構成では,フレームを受信したメンバスイッチのポートへ優先して振り分けます。しかし,次
の図に示すようにフレームの振り分け先となるポートが待機用ポートとして選択されて経路 2 がスタ
ンバイリンクになった場合,優先振り分けが機能しません。このため,バックアップスイッチに障害が
発生すると,スタンバイリンクを切り替えるために一時的な通信断が発生します。
図 17‒5 スタック構成時のスタンバイリンク機能
17.3.2 離脱ポート制限機能
離脱ポート制限機能は,リンクに障害が発生したポートを離脱して残りのポートで運用を継続する機能を抑
止します。チャネルグループのどれかのポートに障害が発生するとグループ全体を障害とみなして,該当
チャネルグループの運用を停止します。グループ内の全ポートが復旧するとグループの運用を再開します。
318
17 リンクアグリゲーション
GSRP などの冗長化機能と合わせて運用することで,チャネルグループ内に 1 ポートだけ障害が発生した
場合でも,グループ単位で経路を切り替えることができます。
この機能は LACP リンクアグリゲーションだけ使用できます。
離脱ポート制限機能の集約動作は,チャネルグループで接続する装置間で,優先度の高い装置が,自装置お
よび対向装置のチャネルグループ内の全ポートで集約可能な状態と判断できた場合に集約します。そうす
ることで,一部のポートだけが集約することがないようにしており,帯域保証しています。
優先度は,まずコンフィグレーションで設定する LACP システム優先度,次にチャネルグループの MAC
アドレスの順で判断されます。つまり,LACP システム優先度が同じ場合は,チャネルグループの MAC
アドレスで判断します。
チャネルグループ内の全ポートが集約可能か判定する装置の決定基準を,選択優先度の高い順に次に示しま
す。
1. LACP システム優先度
LACP システム優先度の値が小さい装置が優先されます。
2. チャネルグループの MAC アドレス
MAC アドレスの小さい装置が優先されます。
17.3.3 異速度混在モード
異なる速度のポートを一つのチャネルグループで同時に使用するモードです。通常は同じ速度のポートで
チャネルグループを構成しますが,異なる速度のポートで構成することで,スタンバイリンクに低速ポート
を使用することや,チャネルグループの構成変更を容易に行えます。本機能の適用例を次に示します。
なお,フレーム送信時のポート振り分けにはポートの速度は反映しません。例えば,異速度混在モードで
1Gbit/s のポートと 10Gbit/s のポートを使用していても,その速度の差はフレーム振り分けには反映しま
せん。通常の運用時は同じ速度のポートで運用することをお勧めします。
(1) スタンバイリンク機能での適用例
高速なポートに対して低速なポートを待機用ポートにすることができます。例えば,10Gbit/s ポートで接
続する際に,最大ポート数を 1 としてスタンバイリンク機能を適用して,待機用ポートに 1Gbit/s のポー
トを設定します。10Gbit/s のポートに障害が発生した場合にも 1Gbit/s のポートで通信を継続できます。
異速度混在モードでスタンバイリンクを適用する際は,最大ポート数を 1 とすることをお勧めします。最
大ポート数を 2 以上とした場合は,通常運用に異なる速度のポートが混在することがあります。また,最
大ポート数を 1 として運用する場合は,非リンクダウンモードを使用することをお勧めします。リンクダ
ウンモードで最大ポート数が 1 の場合は,切り替え時にチャネルグループがいったんダウンします。
(2) チャネルグループの構成変更手順での適用例
本機能によって,チャネルグループで利用するポートの速度を変更(ネットワーク構成の変更)する際に,
チャネルグループをダウンさせないで構成を変更できます。
異速度混在モードを利用したチャネルグループの速度移行について,移行手順の具体例を次に示します。
1. 従来状態で運用(1Gbit/s の 2 ポートとします)
2. 異速度混在モードを設定
3. チャネルグループに 10Gbit/s の 2 ポートを追加
319
17 リンクアグリゲーション
異速度混在モード未設定時は,この手順でリンクアグリゲーションがいったんダウンします。
4. 手順 3 で追加した 10Gbit/s の 2 ポートをリンクアップ
5. 従来の 1Gbit/s の 2 ポートをリンクダウン
6. 従来の 1Gbit/s の 2 ポートをチャネルグループから削除
7. 10Gbit/s の 2 ポートに移行完了
320
17 リンクアグリゲーション
17.4 リンクアグリゲーション拡張機能のコンフィグ
レーション
17.4.1 コンフィグレーションコマンド一覧
リンクアグリゲーション拡張機能のコンフィグレーションコマンド一覧を次の表に示します。
表 17‒6 コンフィグレーションコマンド一覧
コマンド名 channel-group lacp systempriority channel-group max-active-port
説明
システム優先度をチャネルグループごとに設定します。離脱ポート制限機能
で集約条件を判定する装置を決定します。
スタンバイリンク機能を設定し,最大ポート数を指定します。 channel-group max-detach-port 離脱ポート制限機能を設定します。 channel-group multi-speed 異速度混在モードを設定します。 lacp port-priority lacp system-priority
ポート優先度を設定します。スタンバイリンクを選択するために使用します。
システム優先度のデフォルト値を設定します。離脱ポート制限機能で集約条
件を判定する装置を決定します。
17.4.2 スタンバイリンク機能のコンフィグレーション
[設定のポイント]
チャネルグループにスタンバイリンク機能を設定して,同時に最大ポート数を設定します。また,リン
クダウンモード,非リンクダウンモードのどちらかを設定します。スタンバイリンク機能は,スタ
ティックリンクアグリゲーションだけで使用できます。
待機用ポートはポート優先度によって設定し,優先度が低いポートからスタンバイリンクに選択しま
す。ポート優先度は値が小さいほど高い優先度になります。
[コマンドによる設定]
1. (config)# interface port-channel 10
チャネルグループ 10 のポートチャネルインタフェースコンフィグレーションモードに移行します。
2. (config-if)# channel-group max-active-port 3
チャネルグループ 10 にスタンバイリンク機能を設定して,最大ポート数を 3 に設定します。チャネル
グループ 10 はリンクダウンモードで動作します。
3. (config-if)# exit
グローバルコンフィグレーションモードに戻ります。
4. (config)# interface port-channel 20
(config-if)# channel-group max-active-port 1 no-link-down
(config-if)# exit
チャネルグループ 20 のポートチャネルインタフェースコンフィグレーションモードに移行して,スタ
ンバイリンク機能を設定します。最大ポート数を 1 とし,非リンクダウンモードを設定します。
5. (config)# interface gigabitethernet 1/0/1
321
17 リンクアグリゲーション
(config-if)# channel-group 20 mode on
(config-if)# lacp port-priority 300
チャネルグループ 20 にポート 1/0/1 を登録して,ポート優先度を 300 に設定します。ポート優先度は
値が小さいほど優先度が高く,ポート優先度のデフォルト値の 128 よりもスタンバイリンクに選択され
やすくなります。
17.4.3 離脱ポート制限機能のコンフィグレーション
[設定のポイント]
チャネルグループに離脱ポート制限機能を設定します。本コマンドではチャネルグループから離脱す
ることを許容する最大ポート数に 0 と 7 のどちらかを指定します。7 を指定した場合は離脱ポート制
限機能を設定しない場合と同じです。
離脱ポート制限機能をサポートしている装置と接続する場合,接続先の装置と本設定を合わせてくださ
い。離脱ポート制限機能をサポートしていない装置と接続する場合,本装置の LACP システム優先度を
高くしてください。LACP システム優先度は値が小さいほど優先度が高くなります。
離脱ポート制限機能は,LACP リンクアグリゲーションだけで使用できます。
[コマンドによる設定]
1. (config)# interface port-channel 10
チャネルグループ 10 のポートチャネルインタフェースコンフィグレーションモードに移行します。
2. (config-if)# channel-group max-detach-port 0
チャネルグループ 10 に離脱ポート制限機能を設定します。離脱を許容する最大ポート数を 0 とし,障
害などによって 1 ポートでも離脱した場合にチャネルグループ全体を障害とみなします。
3. (config-if)# channel-group lacp system-priority 100
チャネルグループ 10 のシステム優先度を 100 に設定します。
17.4.4 異速度混在モードのコンフィグレーション
[設定のポイント]
チャネルグループに異速度混在モードを設定します。本機能を設定すると,ポートの速度は離脱条件で
はなくなります。
[コマンドによる設定]
1. (config)# interface port-channel 10
チャネルグループ 10 のポートチャネルインタフェースコンフィグレーションモードに移行します。
2. (config-if)# channel-group multi-speed
チャネルグループ 10 に異速度混在モードを設定します。
322
17 リンクアグリゲーション
17.5 リンクアグリゲーションのオペレーション
17.5.1 運用コマンド一覧
リンクアグリゲーションの運用コマンド一覧を次の表に示します。
表 17‒7 運用コマンド一覧
コマンド名 show channel-group show channel-group statistics clear channel-group statistics lacp restart link-aggregation dump protocols link-aggregation
説明
リンクアグリゲーションの情報を表示します。
リンクアグリゲーションの統計情報を表示します。
LACPDU の送受信統計情報をクリアします。
リンクアグリゲーションプログラムを再起動します。
リンクアグリゲーションの詳細イベントトレース情報および制御テーブル情
報をファイルへ出力します。
17.5.2 リンクアグリゲーションの状態の確認
(1) リンクアグリゲーションの接続状態の確認
リンクアグリゲーションの情報を show channel-group コマンドで表示します。CH Status でチャネル
グループの接続状態を確認できます。また,設定が正しいことを各項目で確認してください。 show channel-group コマンドの実行結果を次の図に示します。
図 17‒6 show channel-group コマンドの実行結果
> show channel-group 1
Date 20XX/12/10 13:13:38 UTC channel-group Counts:1
ChGr:1 Mode:LACP
CH Status :Up Elapsed Time:10:10:39
Multi Speed :Off Load Balance:src-dst-port
Max Active Port:8
Max Detach Port:7
MAC address: 0012.e2ac.8301 VLAN ID:10
Periodic Timer:Short
Actor information: System Priority:1 MAC: 0012.e212.ff02
KEY:1
Partner information: System Priority:10000 MAC: 0012.e2f0.69be
KEY:10
Port(4) :1/0/5-8
Up Port(2) :1/0/5-6
Down Port(2) :1/0/7-8
>
(2) 各ポートの運用状態の確認
show channel-group detail コマンドで各ポートの詳細な状態を表示します。ポートの通信状態を Status
で確認してください。Status が Down 状態のときは Reason で理由を確認できます。 show channel-group detail コマンドの実行結果を次の図に示します。
323
17 リンクアグリゲーション
図 17‒7 show channel-group detail コマンドの実行結果
> show channel-group detail
Date 20XX/12/10 13:13:38 UTC channel-group Counts:1
ChGr:1 Mode:LACP
CH Status :Up Elapsed Time:00:13:51
Multi Speed :Off Load Balance:src-dst-port
Max Active Port:8
Max Detach Port:7
MAC address: 0012.e205.0545 VLAN ID:10
Periodic Timer:Long
Actor information: System Priority:128 MAC: 0012.e205.0540
KEY:1
Partner information: System Priority:128 MAC: 0012.e2c4.2b5b
KEY:1
Port Counts:4 Up Port Counts:2
Port:1/0/5 Status:Up Reason:-
Speed :100M Duplex:Full LACP Activity:Active
Actor Priority:128 Partner Priority:128
Port:1/0/6 Status:Up Reason:-
Speed :100M Duplex:Full LACP Activity:Active
Actor Priority:128 Partner Priority:128
Port:1/0/7 Status:Down Reason:Duplex Half
Speed :100M Duplex:Half LACP Activity:Active
Actor Priority:128 Partner Priority:0
Port:1/0/8 Status:Down Reason:Port Down
Speed :- Duplex:- LACP Activity:Active
Actor Priority:128 Partner Priority:0
>
324
第 4 編 レイヤ 2 スイッチ
18
レイヤ 2 スイッチ概説
この章では,本装置の機能のうち,OSI 階層モデルの第 2 レイヤでデータを
中継するレイヤ 2 スイッチ機能の概要について説明します。
325
18 レイヤ 2 スイッチ概説
18.1 概要
18.1.1 MAC アドレス学習
レイヤ 2 スイッチはフレームを受信すると送信元 MAC アドレスを MAC アドレステーブルに登録しま
す。MAC アドレステーブルの各エントリには,MAC アドレスとフレームを受信したポートおよびエージ
ングタイマを記録します。フレームを受信するごとに送信元 MAC アドレスに対応するエントリを更新し
ます。
レイヤ 2 スイッチは,MAC アドレステーブルのエントリに従ってフレームを中継します。フレームの宛先
MAC アドレスに一致するエントリがあると,そのエントリのポートに中継します(エントリのポートが受
信したポートである場合は中継しません)。一致するエントリがない場合,受信したポート以外のすべての
ポートにフレームを中継します。この中継をフラッディングと呼びます。
18.1.2 VLAN
VLAN は,スイッチ内を仮想的なグループに分ける機能のことです。スイッチ内を複数の VLAN にグルー
プ分けすることによってブロードキャストドメインを分割します。これによって,ブロードキャストフレー
ムの抑制や,セキュリティの強化を図ることができます。
VLAN の概要を次の図に示します。VLAN#A と VLAN#B の間ではブロードキャストドメインが分割さ
れるため,フレームが届くことはありません。
図 18‒1 VLAN の概要
326
18 レイヤ 2 スイッチ概説
18.2 サポート機能
レイヤ 2 スイッチ機能として,本装置がサポートする機能を次の表に示します。
これらの機能は,組み合わせて利用できる機能とできない機能があります。機能の組み合わせ制限について
は,次項で説明します。
表 18‒1 レイヤ 2 スイッチサポート機能
VLAN
サポート機能
MAC アドレス学習
ポート VLAN
プロトコル VLAN
MAC VLAN
デフォルト VLAN
ネイティブ VLAN
トンネリング
Tag 変換
L2 プロトコルフレーム透過
機能
機能概要
MAC アドレステーブルに登録する MAC アドレスの学習機能
ポート単位にスイッチ内を仮想的なグループに分ける機能
プロトコル単位にスイッチ内を仮想的なグループに分ける機能
送信元の MAC アドレス単位にスイッチ内を仮想的なグループに分け
る機能
コンフィグレーションが未設定のときにデフォルトで所属する VLAN
トランクポート,プロトコルポート,MAC ポートでの Untagged フ
レームを扱うポート VLAN の呼称
複数ユーザの VLAN をほかの VLAN に集約して「トンネル」する機能
VLAN Tag を変換して別の VLAN に中継する機能
レイヤ 2 のプロトコルのフレームを中継する機能
スパニングツリー(BPDU),IEEE802.1X(EAP)を透過します。
VLAN ごと MAC アドレス レイヤ 3 インタフェースの MAC アドレスを VLAN ごとに異なるア
ドレスにする機能
PVST+ VLAN 単位のスイッチ間のループ防止機能 スパニン
グツリー
シングルスパニングツリー
マルチプルスパニングツ
リー
Ring Protocol
IGMP snooping/MLD snooping
ポート間中継遮断機能
装置単位のスイッチ間のループ防止機能
MST インスタンス単位のスイッチ間のループ防止機能
リングトポロジーでのレイヤ 2 ネットワークの冗長化機能
レイヤ 2 スイッチで VLAN 内のマルチキャストトラフィック制御機
能
指定したポート間ですべての通信を遮断する機能
327
18 レイヤ 2 スイッチ概説
18.3 レイヤ 2 スイッチ機能と他機能の共存について
レイヤ 2 スイッチ機能と併用する際,共存不可または制限事項がある機能があります。機能間の共存につ
いての制限事項を次の表に示します。
なお,これらの表では各機能間の共存関係で,制限のある項目だけを示しています。
表 18‒2 VLAN での制限事項
VLAN 種別
使用したい機能
ポート VLAN
プロトコル VLAN
制限のある機能
VLAN トンネリング
レイヤ 2 認証
ポートミラーリング(ミラーポート)
デフォルト VLAN
VLAN トンネリング
PVST+
レイヤ 2 認証
制限の内容
一部制限あり ※1
一部制限あり ※2
共存不可
共存不可
MAC VLAN
ポートミラーリング(ミラーポート)
デフォルト VLAN
VLAN トンネリング
PVST+
レイヤ 2 認証
一部制限あり ※2
共存不可
共存不可
デフォルト VLAN
一部制限あり ※2
共存不可
共存不可
ポートミラーリング(ミラーポート)
プロトコル VLAN
MAC VLAN
IGMP snooping
MLD snooping
レイヤ 2 認証
VLAN 拡張機能 Tag 変換
一部制限あり ※2
共存不可
共存不可
VLAN トンネリング
ポートミラーリング(ミラーポート)
PVST+
IGMP snooping
MLD snooping
アップリンク・リダンダント
ポート VLAN
プロトコル VLAN
一部制限あり ※3
一部制限あり ※1
共存不可
328
18 レイヤ 2 スイッチ概説
使用したい機能
MAC VLAN
制限のある機能
PVST+
シングルスパニングツリー
マルチプルスパニングツリー
制限の内容
IGMP snooping
MLD snooping
レイヤ 2 認証
DHCP snooping
アップリンク・リダンダント
一部制限あり ※2
共存不可
一部制限あり ※3
共存不可 L2 プロトコルフレーム
透過機能(BPDU)
PVST+
シングルスパニングツリー
L2 プロトコルフレーム
透過機能(EAP)
ポート間中継遮断機能
MSTP
レイヤ 2 認証 一部制限あり ※2
DHCP snooping 一部制限あり ※4
注※1
VLAN トンネリング機能を使用する場合は,トランクポートでネイティブ VLAN を使用しないでください。
注※2
「コンフィグレーションガイド Vol.2 5.2.1 レイヤ 2 認証と他機能との共存」を参照してください。
注※3
アップリンクポートでは使用できません。
注※4
DHCP snooping を有効にした場合,ポート間中継遮断機能を設定しても本装置が受信したすべての DHCP パケッ
トは遮断の対象になりません。また,ダイナミック ARP 検査も有効にした場合,本装置が受信したすべての ARP パ
ケットも遮断の対象になりません。
表 18‒3 スパニングツリーでの制限事項
PVST+
使用したい機能 制限のある機能
プロトコル VLAN
MAC VLAN
VLAN トンネリング
Tag 変換
L2 プロトコルフレーム透過機能(BPDU)
マルチプルスパニングツリー
GSRP
制限の内容
共存不可
329
18 レイヤ 2 スイッチ概説
使用したい機能 制限のある機能 制限の内容
シングルスパニングツリー
レイヤ 2 認証
アップリンク・リダンダント
VLAN トンネリング
L2 プロトコルフレーム透過機能(BPDU)
マルチプルスパニングツリー
GSRP
レイヤ 2 認証
一部制限あり ※
共存不可
共存不可
マルチプルスパニングツリー
アップリンク・リダンダント
VLAN トンネリング
L2 プロトコルフレーム透過機能(BPDU)
シングルスパニングツリー
PVST+
ループガード
一部制限あり ※
共存不可
共存不可
GSRP
レイヤ 2 認証
アップリンク・リダンダント
一部制限あり ※
共存不可
注※
「コンフィグレーションガイド Vol.2 5.2.1 レイヤ 2 認証と他機能との共存」を参照してください。
表 18‒4 Ring Protocol での制限事項
使用したい機能
Ring Protocol レイヤ 2 認証
制限のある機能 制限の内容
一部制限あり ※1
アップリンク・リダンダント 一部制限あり ※2
注※1
「コンフィグレーションガイド Vol.2 5.2.1 レイヤ 2 認証と他機能との共存」を参照してください。
注※2
リングポートでは使用できません。
表 18‒5 IGMP/MLD snooping での制限事項
使用したい機能
IGMP snooping
制限のある機能
デフォルト VLAN
Tag 変換
VLAN トンネリング
レイヤ 2 認証
制限の内容
共存不可
一部制限あり ※
330
18 レイヤ 2 スイッチ概説
使用したい機能
MLD snooping
制限のある機能
デフォルト VLAN
Tag 変換
VLAN トンネリング
制限の内容
共存不可
注※
「コンフィグレーションガイド Vol.2 5.2.1 レイヤ 2 認証と他機能との共存」を参照してください。
331
19
MAC アドレス学習
この章では,MAC アドレス学習機能の解説と操作方法について説明します。
333
19 MAC アドレス学習
19.1 MAC アドレス学習の解説
本装置は,フレームを宛先 MAC アドレスによって目的のポートへ中継するレイヤ 2 スイッチングを行い
ます。宛先 MAC アドレスによって特定のポートだけに中継することで,ユニキャストフレームのフラッ
ディングによるむだなトラフィックを抑止します。
MAC アドレス学習では,チャネルグループを一つのポートとして扱います。
19.1.1 送信元 MAC アドレス学習
すべての受信フレームを MAC アドレス学習の対象とし,送信元 MAC アドレスを学習して MAC アドレ
ステーブルに登録します。登録した MAC アドレスはエージングタイムアウトまで保持します。学習は
VLAN 単位に行い,MAC アドレステーブルは MAC アドレスと VLAN のペアによって管理します。異な
る VLAN であれば同一の MAC アドレスを学習することもできます。
19.1.2 MAC アドレス学習の移動検出
学習済みの送信元 MAC アドレスを持つフレームを学習時と異なるポートから受信した場合,その MAC
アドレスが移動したものとみなして MAC アドレステーブルのエントリを再登録(移動先ポートに関する上
書き)します。
チャネルグループで学習した MAC アドレスについては,そのチャネルグループに含まれないポートからフ
レームを受信した場合に MAC アドレスが移動したものとみなします。
19.1.3 学習 MAC アドレスのエージング
学習したエントリは,エージングタイム内に同じ送信元 MAC アドレスからフレームを受信しなかった場合
はエントリを削除します。これによって,不要なエントリの蓄積を防止します。エージングタイム内にフ
レームを受信した場合は,エージングタイマを更新しエントリを保持します。エージングタイムを設定でき
る範囲を次に示します。
• エージングタイムの範囲:0,10〜1000000(秒)
0 は無限を意味し,エージングしません。
• デフォルト値:300(秒)
学習したエントリを削除するまでに最大でエージング時間の 2 倍掛かることがあります。
また,ポートがダウンした場合には該当ポートから学習したエントリをすべて削除します。チャネルグルー
プで学習したエントリは,そのチャネルグループがダウンした場合に削除します。
19.1.4 MAC アドレスによるレイヤ 2 スイッチング
MAC アドレス学習の結果に基づいてレイヤ 2 スイッチングを行います。宛先 MAC アドレスに対応する
エントリを保持している場合,学習したポートだけに中継します。
レイヤ 2 スイッチングの動作仕様を次の表に示します。
334
19 MAC アドレス学習
表 19‒1 レイヤ 2 スイッチングの動作仕様
宛先 MAC アドレスの種類
学習済みのユニキャスト
未学習のユニキャスト
ブロードキャスト
マルチキャスト
動作概要
学習したポートへ中継します。
受信した VLAN に所属する全ポートへ中継します。
受信した VLAN に所属する全ポートへ中継します。
受信した VLAN に所属する全ポートへ中継します。ただし,IGMP snooping,MLD snooping 動作時は snooping 機能の学習結果に従って中継
します。
19.1.5 MAC アドレス学習の制限【AX3650S】
受信フレームによるダイナミックな学習に制限を設けて,使用する MAC アドレステーブルのエントリ数を
管理できます。
VLAN ごとにダイナミックに学習する MAC アドレスの数を制限できます。MAC アドレス学習数が制限
値に達すると,ログメッセージを出力してダイナミックな MAC アドレス学習を停止します。MAC アドレ
ス学習数の制限によって送信元 MAC アドレスを学習しなかった受信フレームは,中継しないで廃棄しま
す。
MAC アドレス学習数を制限することで,VLAN に接続する PC などの台数を制限したりできます。
MAC アドレス学習数が制限値に達して学習を停止しても,すでに学習している MAC アドレステーブルの
エントリは,エージングされるか,運用コマンドなどで削除されるまで有効です。
MAC アドレス学習の停止は,MAC アドレステーブルのエントリ数が制限値より少なくなったときに解除
されます。
なお,MAC アドレス学習の制限機能を使用する場合は,MAC アドレステーブルの使用できるエントリ数
が装置全体で 1 少なくなります。
19.1.6 スタティックエントリの登録
受信フレームによるダイナミックな学習のほかに,ユーザ指定によってスタティックに MAC アドレスを登
録できます。ユニキャスト MAC アドレスに対して一つのポートまたはチャネルグループを指定できます。
また,ポートを指定するのではなく「廃棄」を指定することもできます。その場合,指定の宛先 MAC アド
レスまたは送信元 MAC アドレスのフレームはどのポートにも中継されないで廃棄されます。
ユニキャスト MAC アドレスに対してスタティックに登録を行うと,そのアドレスについてダイナミックな
学習は行いません。すでに学習済みのエントリは MAC アドレステーブルから削除してスタティックエン
トリを登録します。また,指定された MAC アドレスが送信元のフレームをポートまたはチャネルグループ
以外から受信した場合は,そのフレームを廃棄します。スタティックエントリの指定パラメータを次の表に
示します。
表 19‒2 スタティックエントリの指定パラメータ
項番
1
2
指定パラメータ
MAC アドレス
VLAN
説明
ユニキャスト MAC アドレスが指定できます。
このエントリを登録する VLAN を指定します。
335
19 MAC アドレス学習
項番
3
指定パラメータ
送信先ポート/廃棄指定
説明
一つのポートまたはチャネルグループを指定できます。また,項番 1,2
に該当するフレームを廃棄する指定ができます。
19.1.7 MAC アドレステーブルのクリア
本装置は運用コマンドやプロトコルの動作などによって MAC アドレステーブルをクリアします。MAC
アドレステーブルをクリアする契機を次の表に示します。
表 19‒3 MAC アドレステーブルをクリアする契機
契機
ポートダウン ※1
チャネルグループダウン ※2
運用コマンド clear macaddress-table の実行
MAC アドレステーブル Clear
用 MIB
(プライベート MIB)
スパニングツリーのトポロジー
変更
説明
該当ポートから学習したエントリを削除します。
該当チャネルグループから学習したエントリを削除します。
パラメータに従って MAC アドレステーブルをクリアします。
セット時に MAC アドレステーブルをクリアします。
GSRP のマスタ/バックアップ
切り替え
Ring Protocol による経路の切
り替え
[本装置でスパニングツリーを構成]
トポロジー変更を検出した時に MAC アドレステーブルをクリアします。
[スパニングツリーと Ring Protocol を併用しているネットワーク構成で本装置
がリングノードとして動作]
Ring Protocol と併用している装置がトポロジー変更を検出した時に送信するフ
ラッシュ制御フレームを受信した場合,MAC アドレステーブルをクリアします。
[本装置が GSRP スイッチとして動作]
バックアップ状態になった時に MAC アドレステーブルをクリアします。
[本装置が GSRP aware として動作]
GSRP スイッチがマスタ状態になった時に送信される GSRP Flush request フ
レームを受信した場合,MAC アドレステーブルをクリアします。
[本装置が GSRP と Ring Protocol を併用して動作]
マスタ状態になった時に MAC アドレステーブルをクリアします。
[GSRP と Ring Protocol を併用しているネットワーク構成で本装置がリング
ノードとして動作]
Ring Protocol と併用している装置がマスタ状態になった時に送信するフラッ
シュ制御フレームを受信した場合,MAC アドレステーブルをクリアします。
[本装置がマスタノードとして動作]
経路切り替え時に MAC アドレステーブルをクリアします。
[本装置がトランジットノードとして動作]
経路切り替え時にマスタノードから送信されるフラッシュ制御フレームを受信し
た場合,MAC アドレステーブルをクリアします。
フラッシュ制御フレーム受信待ち保護時間のタイムアウト時に MAC アドレス
テーブルをクリアします。
336
19 MAC アドレス学習
契機
VRRP の仮想ルータのマスタ/
バックアップ切り替え
アップリンク・リダンダント機
能によるプライマリポートとセ
カンダリポートの切り替え
説明
多重障害監視機能適用時,バックアップリングの切り替え/切り戻しに伴い共有
ノードから送信されるフラッシュ制御フレームを受信した場合,MAC アドレス
テーブルをクリアします。
経路切り替え時にマスタノードから送信される隣接リング用フラッシュ制御フ
レームを受信した場合,MAC アドレステーブルをクリアします。
VRRP の仮想ルータがマスタ状態になった時に送信される Flush Request フ
レームを受信した場合,MAC アドレステーブルをクリアします。
プライマリポートからセカンダリポートへの切り替え時,およびセカンダリポー
トからプライマリポートへの切り戻し時に送信されるフラッシュ制御フレームを
受信した場合,MAC アドレステーブルをクリアします。
注※1
回線障害,運用コマンド inactivate の実行,コンフィグレーションコマンド shutdown の設定などによるポートダ
ウン。
注※2
LACP,回線障害,コンフィグレーションコマンド shutdown の設定などによるチャネルグループダウン。
19.1.8 注意事項
(1) MAC アドレス学習と ARP,NDP について
本装置では,レイヤ 3 中継で ARP や NDP によってアドレス解決した NextHop の MAC アドレスは
MAC アドレステーブルに登録されている必要があります。そのため,次の点に注意してください。
• MAC アドレス学習の情報をコマンドやエージングなどによってクリアすると,MAC アドレスに対応
する ARP や NDP の情報がいったんクリアされます。クリアされた ARP や NDP のエントリは,通信
の必要に応じて再解決を行います。
• MAC アドレス学習のエージングタイムが ARP や NDP のエージングタイムより短い場合,MAC アド
レス学習のエージングによって対応する ARP や NDP のエントリをクリアします。このクリアは,
MAC アドレス学習のエージングタイムを ARP や NDP のエージングタイム以上の時間にすることで
回避できます。
(2) レイヤ 3 中継と MAC アドレス学習の制限の併用について【AX3650S】
レイヤ 3 中継をする VLAN で MAC アドレス学習を制限する場合には,アドレス未学習パケットのハード
ウェア廃棄機能を併用するようにしてください。
337
19 MAC アドレス学習
19.2 MAC アドレス学習のコンフィグレーション
19.2.1 コンフィグレーションコマンド一覧
MAC アドレス学習のコンフィグレーションコマンド一覧を次の表に示します。
表 19‒4 コンフィグレーションコマンド一覧
コマンド名 mac-address-table aging-time mac-address-table limit mac-address-table static
説明
MAC アドレス学習のエージングタイムを設定します。
ダイナミックな MAC アドレス学習の上限を設定します。
スタティックエントリを設定します。
19.2.2 エージングタイムの設定
[設定のポイント]
MAC アドレス学習のエージングタイムを変更できます。設定は装置単位です。設定しない場合,エー
ジングタイムは 300 秒で動作します。
[コマンドによる設定]
1. (config)# mac-address-table aging-time 100
エージングタイムを 100 秒に設定します。
19.2.3 スタティックエントリの設定
スタティックエントリを登録すると,指定した MAC アドレスについて MAC アドレス学習をしないで,
常に登録したエントリに従ってフレームを中継するため,MAC アドレスのエージングによるフラッディン
グを回避できます。本装置に直接接続したサーバなどのように,ポートの移動がなく,かつトラフィック量
の多い端末などに有効な機能です。
スタティックエントリには,MAC アドレス,VLAN および出力先を指定します。出力先はポート,チャ
ネルグループ,廃棄のどれかを指定します。
(1) 出力先にポートを指定するスタティックエントリ
[設定のポイント]
出力先にポートを指定した例を示します。
[コマンドによる設定]
1. (config)# mac-address-table static 0012.e200.1122 vlan 10 interface gigabitethernet 1/0/1
VLAN 10 で,宛先 MAC アドレス 0012.e200.1122 のフレームの出力先をポート 1/0/1 に設定しま
す。
[注意事項]
VLAN 10 で,送信元 MAC アドレス 0012.e200.1122 のフレームをポート 1/0/1 以外から受信した
場合は廃棄します。
338
19 MAC アドレス学習
(2) 出力先にリンクアグリゲーションを指定するスタティックエントリ
[設定のポイント]
出力先にリンクアグリゲーションを指定した例を示します。
[コマンドによる設定]
1. (config)# mac-address-table static 0012.e200.1122 vlan 10 interface port-channel 5
VLAN 10 で,宛先 MAC アドレス 0012.e200.1122 のフレームの出力先をチャネルグループ 5 に設定
します。
[注意事項]
VLAN 10 で,送信元 MAC アドレス 0012.e200.1122 のフレームをチャネルグループ 5 以外から受信
した場合は廃棄します。
(3) 廃棄を指定するスタティックエントリ
[設定のポイント]
指定した MAC アドレス宛および指定した MAC アドレスからのフレームを廃棄に設定します。
[コマンドによる設定]
1. (config)# mac-address-table static 0012.e200.1122 vlan 10 drop
VLAN 10 で,宛先および送信元 MAC アドレス 0012.e200.1122 のフレームを廃棄に設定します。
19.2.4 MAC アドレス学習数制限の設定【AX3650S】
[設定のポイント]
VLAN ごとに MAC アドレスの制限数を設定できます。
[コマンドによる設定]
1. (config)# mac-address-table limit vlan 200 maximum 2500
MAC アドレスの制限値を 2500 にします。
339
19 MAC アドレス学習
19.3 MAC アドレス学習のオペレーション
19.3.1 運用コマンド一覧
MAC アドレス学習の運用コマンド一覧を次の表に示します。
表 19‒5 運用コマンド一覧
コマンド名 show mac-address-table clear mac-address-table
説明
MAC アドレステーブルの情報を表示します。 learning-counter パラメータを指定すると,MAC アドレス学習の学習アドレス数
をポート単位に表示します。
MAC アドレステーブルをクリアします。
19.3.2 MAC アドレス学習の状態の確認
MAC アドレス学習の情報は show mac-address-table コマンドで表示します。MAC アドレステーブル
に登録されている MAC アドレスとその MAC アドレスを宛先とするフレームの中継先を確認してくださ
い。このコマンドで表示されない MAC アドレスを宛先とするフレームは VLAN 全体にフラッディング
されます。 show mac-address-table コマンドでは,MAC アドレス学習によって登録したエントリ,スタティックエ
ントリ,IEEE802.1X,IGMP snooping および MLD snooping によって登録したエントリを表示します。
図 19‒1 show mac-address-table コマンドの実行結果
> show mac-address-table
Date 20XX/10/14 12:08:41 UTC
MAC address VLAN Type Port-list
0012.e22d.eefa 1 Dynamic 1/0/2
0012.e212.2e5f 1 Dynamic 1/0/5
0012.e205.0641 4094 Dynamic 1/0/24
0012.e28e.0602 4094 Dynamic 1/0/24
>
19.3.3 MAC アドレス学習数の確認 show mac-address-table コマンド(learning-counter パラメータ)で MAC アドレス学習によって登録
したダイナミックエントリの数をポート単位に表示できます。このコマンドで,ポートごとの接続端末数の
状態を確認できます。
リンクアグリゲーションを使用している場合,同じチャネルグループのポートはすべて同じ値を表示しま
す。表示する値はチャネルグループ上で学習したアドレス数です。
図 19‒2 show mac-address-table コマンド(learning-counter パラメータ指定)の実行結果
> show mac-address-table learning-counter port 1/0/1-12
Date 20XX/10/14 12:09:40 UTC
Port counts:12
Port Count
1/0/1 0
1/0/2 1
1/0/3 0
1/0/4 0
1/0/5 1
1/0/6 0
1/0/7 0
340
19 MAC アドレス学習
1/0/8 20
1/0/9 0
1/0/10 0
1/0/11 0
1/0/12 0
> show mac-address-table コマンドで learning-counter および vlan パラメータを指定すると,ダイナ
ミックエントリの数を VLAN 単位に表示できます。
図 19‒3 show mac-address-table コマンド(learning-counter および vlan パラメータ指定)の実行
結果
> show mac-address-table learning-counter vlan
Date 20XX/09/24 20:00:57 UTC
VLAN counts:4
ID Count Maximum
1 3 -
100 1000 1000
200 0 -
4094 90 100
341
20
VLAN
VLAN はスイッチ内を仮想的なグループに分ける機能です。この章では,
VLAN の解説と操作方法について説明します。
343
20 VLAN
20.1 VLAN 基本機能の解説
この節では,VLAN の概要を説明します。
20.1.1 VLAN の種類
本装置がサポートする VLAN の種類を次の表に示します。
表 20‒1 サポートする VLAN の種類
項目
ポート VLAN
プロトコル VLAN
MAC VLAN
概要
ポート単位に VLAN のグループを分けます。
プロトコル単位に VLAN のグループを分けます。
送信元の MAC アドレス単位に VLAN のグループを分けます。
20.1.2 ポートの種類
(1) 解説
本装置は,ポートの設定によって使用できる VLAN が異なります。使用したい VLAN の種類に応じて各
ポートの種類を設定する必要があります。ポートの種類を次の表に示します。
表 20‒2 ポートの種類
ポートの種類
アクセスポート
プロトコルポート
MAC ポート
トランクポート
トンネリングポート
概要 使用する VLAN
ポート VLAN として Untagged フレームを扱います。
このポートでは,すべての Untagged フレームを一つのポー
ト VLAN で扱います。
プロトコル VLAN として Untagged フレームを扱います。
このポートでは,フレームのプロトコルによって VLAN を決
定します。
MAC VLAN として Untagged フレームを扱います。
このポートでは,フレームの送信元 MAC アドレスによって
VLAN を決定します。
ポート VLAN
MAC VLAN
プロトコル VLAN
ポート VLAN
MAC VLAN
ポート VLAN
すべての種類の VLAN で Tagged フレームを扱います。
このポートでは,VLAN Tag によって VLAN を決定します。
すべての種類の VLAN
VLAN トンネリングのポート VLAN として,フレームの
Untagged と Tagged を区別しないで扱います。このポート
では,すべてのフレームを一つのポート VLAN で扱います。
ポート VLAN
アクセスポート,プロトコルポート,MAC ポートは Untagged フレームを扱うポートです。これらのポー
トで Tagged フレームを扱うことはできません。Tagged フレームを受信したときは廃棄し,また送信す
ることもありません。
Tagged フレームはトランクポートでだけ扱うことができます。トランクポートの Untagged フレームは
ネイティブ VLAN が扱います。
344
20 VLAN
トンネリングポートは,VLAN トンネリングをするポートで,フレームが Untagged か,Tagged かを区
別しないで扱います。
ポートの種類ごとの,使用できる VLAN の種類を次の表に示します。プロトコル VLAN と MAC VLAN
は同じポートで使用できません。VLAN Tag を扱うトランクポートはすべての VLAN で同じポートを使
用できます。
表 20‒3 ポート上で使用できる VLAN
ポートの種類
アクセスポート
プロトコルポート
MAC ポート
トランクポート
トンネリングポート
ポート VLAN
○
○
○
○
○
(凡例) ○:使用できる ×:使用できない
VLAN の種類
プロトコル VLAN
×
○
×
○
×
MAC VLAN
○
×
○
○
×
(2) ポートのネイティブ VLAN
アクセスポート,トンネリングポート以外のポート(プロトコルポート,MAC ポート,トランクポート)
では,それぞれの設定と一致しないフレームを受信する場合があります。例えば,プロトコルポートで IPv4
プロトコルだけ設定していたときに IPv6 のフレームを受信した場合です。アクセスポート,トンネリング
ポート以外ではこのようなフレームを扱うためにポート VLAN を一つ設定することができます。この
VLAN のことを,各ポートでのネイティブ VLAN と呼びます。
アクセスポート,トンネリングポート以外の各ポートでは,ポートごとに作成済みのポート VLAN をネイ
ティブ VLAN に設定できます。コンフィグレーションで指定がないポートは,VLAN 1(デフォルト
VLAN)がネイティブ VLAN になります。
20.1.3 デフォルト VLAN
(1) 概要
本装置では,コンフィグレーションが未設定の状態であっても,装置の起動後すぐにレイヤ 2 中継ができ
ます。このとき,すべてのポートはアクセスポートとなり,デフォルト VLAN と呼ぶ VLAN ID 1 の
VLAN に属します。デフォルト VLAN は常に存在し,VLAN ID「1」は変更できません。
(2) デフォルト VLAN から除外するポート
アクセスポートは,コンフィグレーションが未設定の場合は VLAN 1(デフォルト VLAN)に属します。
しかし,コンフィグレーションによってデフォルト VLAN の自動的な所属から除外する場合があります。
次に示すポートはデフォルト VLAN に自動的に所属しなくなります。
• アクセスポートで VLAN 1 以外を指定したポート
• VLAN トンネリング機能を設定した場合の全ポート
• ミラーポート
345
20 VLAN
アクセスポート以外のポート(プロトコルポート,MAC ポート,トランクポート,トンネリングポート)
は自動的に VLAN に所属することはありません。
20.1.4 VLAN の優先順位
(1) フレーム受信時の VLAN 判定の優先順位
フレームを受信したとき,受信したフレームの VLAN を判定します。VLAN 判定の優先順位を次の表に示
します。
表 20‒4 VLAN 判定の優先順位
ポートの種類
アクセスポート
プロトコルポート
MAC ポート
トランクポート
トンネリングポート
VLAN 判定の優先順位
ポート VLAN
プロトコル VLAN >ポート VLAN(ネイティブ VLAN)
MAC VLAN >ポート VLAN(ネイティブ VLAN)
VLAN Tag >ポート VLAN(ネイティブ VLAN)
ポート VLAN
VLAN 判定のアルゴリズムを次の図に示します。
346
図 20‒1 VLAN 判定のアルゴリズム
20 VLAN
20.1.5 VLAN Tag
(1) 概要
IEEE 802.1Q 規定による VLAN Tag(イーサネットフレーム中に Tag と呼ばれる識別子を挿入する方法)
を使用して,一つのポートに複数の VLAN を構築できます。
VLAN Tag はトランクポートで使用します。トランクポートはその対向装置も VLAN Tag を認識できな
ければなりません。
347
20 VLAN
(2) プロトコル仕様
VLAN Tag はイーサネットフレームに Tag と呼ばれる識別子を埋め込むことで,VLAN 情報(=VLAN
ID)を離れたセグメントへと伝えることができます。
Tagged フレームのフォーマットを次の図に示します。VLAN Tag を挿入するイーサネットフレームの
フォーマットは,Ethernet V2 フォーマットと 802.3 フォーマットの 2 種類があります。
図 20‒2 Tagged フレームのフォーマット
348
VLAN Tag のフィールドの説明を次の表に示します。
表 20‒5 VLAN Tag のフィールド
フィールド
TPID
(Tag Protocol ID)
User Priority
説明
IEEE802.1Q VLAN Tag が続くことを示
す Ether Type 値を示します。
CF
(Canonical Format)
IEEE802.1D のプライオリティを示しま
す。
MAC ヘッダ内の MAC アドレスが標準
フォーマットに従っているかどうかを示し
ます。
VLAN ID VLAN ID を示します。 ※
本装置の条件
ポートごとに任意の値を設定できます。
コンフィグレーションで 8 段階のプライ
オリティレベルを選択できます。
本装置では標準(0)だけをサポートします。
ユーザが使用できる VLAN ID は 1〜
4094 です。
20 VLAN
注※ Tag 変換を使用している場合,Tag 変換で設定した VLAN ID を使用します。詳細は「21.3 Tag 変換の解説」
を参照してください。VLAN ID=0 を受信した場合は,Untagged フレームと同様の扱いになります。VLAN ID=0 を
送信することはありません。
本装置がレイヤ 2 で中継するフレームの User Priority は,受信したフレームの User Priority と同じです。
受信したフレームが Untagged フレームの場合は,User Priority がデフォルト値の 3 になります。なお,
送信するフレームの User Priority はコンフィグレーションで変更することができます。User Priority の
変更および本装置がレイヤ 3 で中継するフレームの User Priority については,「コンフィグレーションガ
イド Vol.2 3.7 マーカー解説」を参照してください。
20.1.6 VLAN 使用時の注意事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
349
20 VLAN
20.2 VLAN 基本機能のコンフィグレーション
20.2.1 コンフィグレーションコマンド一覧
VLAN 基本機能のコンフィグレーションコマンド一覧を次の表に示します。
表 20‒6 コンフィグレーションコマンド一覧
コマンド名 name state switchport access switchport dot1q ethertype switchport mode switchport trunk vlan vlan-dot1q-ethertype vlan-up-message
説明
VLAN の名称を設定します。
VLAN の状態(停止/開始)を設定します。
アクセスポートの VLAN を設定します。
ポートごとに VLAN Tag の TPID を設定します。
ポートの種類(アクセス,プロトコル,MAC,トランク,トンネリング)を設
定します。
トランクポートの VLAN を設定します。
VLAN を作成します。また,VLAN コンフィグレーションモードで VLAN に
関する項目を設定します。
VLAN Tag の TPID のデフォルト値を設定します。 no vlan-up-message コマンドで,VLAN の Up および Down 時の運用ログ
メッセージならびに LinkUp/LinkDown トラップの送信を抑止します。
20.2.2 VLAN の設定
[設定のポイント]
VLAN を作成します。新規に VLAN を作成するためには,VLAN ID と VLAN の種類を指定します。
VLAN の種類を省略した場合はポート VLAN を作成します。VLAN ID リストによって複数の
VLAN を一括して設定することもできます。 vlan コマンドによって,VLAN コンフィグレーションモードに移行します。作成済みの VLAN を指定
した場合は,モードの移行だけとなります。VLAN コンフィグレーションモードでは VLAN のパラ
メータを設定できます。
なお,ここでは VLAN の種類によらない共通した設定について説明します。ポート VLAN,プロトコ
ル VLAN,MAC VLAN のそれぞれについては次節以降を参照してください。
[コマンドによる設定]
1. (config)# vlan 10
VLAN ID 10 のポート VLAN を作成し,VLAN 10 の VLAN コンフィグレーションモードに移行しま
す。
2. (config-vlan)# name "PORT BASED VLAN 10"
(config-vlan)# exit
作成したポート VLAN 10 の名称を”PORT BASED VLAN 10”に設定します。
3. (config)# vlan 100-200
350
20 VLAN
VLAN ID 100〜200 のポート VLAN を一括して作成します。また,VLAN 100〜200 の VLAN コン
フィグレーションモードに移行します。
4. (config-vlan)# state suspend
作成した VLAN ID 100〜200 のポート VLAN を一括して停止状態にします。
20.2.3 ポートの設定
[設定のポイント]
イーサネットインタフェースコンフィグレーションモード,ポートチャネルインタフェースコンフィグ
レーションモードでポートの種類を設定します。ポートの種類は使用したい VLAN の種類に合わせて
設定します。
なお,ポート VLAN,プロトコル VLAN,MAC VLAN それぞれの詳細な設定方法については次節以
降を参照してください。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。
2. (config-if)# switchport mode access
(config-if)# exit
ポート 1/0/1 をアクセスポートに設定します。ポート 1/0/1 はポート VLAN で Untagged フレーム
を扱うポートになります。
3. (config)# interface port-channel 10
チャネルグループ 10 のポートチャネルインタフェースコンフィグレーションモードに移行します。
4. (config-if)# switchport mode trunk
チャネルグループ 10 をトランクポートに設定します。ポートチャネル 10 は Tagged フレームを扱う
ポートになります。
20.2.4 トランクポートの設定
[設定のポイント]
トランクポートは VLAN の種類に関係なく,すべての VLAN で使用でき,Tagged フレームを扱いま
す。また,イーサネットインタフェースおよびポートチャネルインタフェースで使用できます。
トランクポートは,switchport mode コマンドを設定しただけではどの VLAN にも所属していませ
ん。このポートで扱う VLAN は switchport trunk allowed vlan コマンドによって設定します。
VLAN の追加と削除は,switchport trunk allowed vlan add コマンドおよび switchport trunk allowed vlan remove コマンドによって行います。すでに switchport trunk allowed vlan コマンド
を設定した状態でもう一度 switchport trunk allowed vlan コマンドを実行すると,指定した VLAN
ID リストに置き換わります。
[コマンドによる設定]
1. (config)# vlan 10-20,100,200-300
(config-vlan)# exit
(config)# interface gigabitethernet 1/0/1
(config-if)# switchport mode trunk
351
20 VLAN
VLAN 10〜20,100,200〜300 を作成します。また,ポート 1/0/1 のイーサネットインタフェース
コンフィグレーションモードに移行し,トランクポートに設定します。この状態では,ポート 1/0/1 は
どの VLAN にも所属していません。
2. (config-if)# switchport trunk allowed vlan 10-20
ポート 1/0/1 に VLAN 10〜20 を設定します。ポート 1/0/1 は VLAN 10〜20 の Tagged フレーム
を扱います。
3. (config-if)# switchport trunk allowed vlan add 100
ポート 1/0/1 で扱う VLAN に VLAN 100 を追加します。
4. (config-if)# switchport trunk allowed vlan remove 15,16
ポート 1/0/1 で扱う VLAN から VLAN 15 および VLAN 16 を削除します。この状態で,ポート
1/0/1 は VLAN 10〜14,17〜20,VLAN 100 の Tagged フレームを扱います。
5. (config-if)# switchport trunk allowed vlan 200-300
ポート 1/0/1 で扱う VLAN を VLAN 200〜300 に設定します。以前の設定はすべて上書きされ,
VLAN 200〜300 の Tagged フレームを扱います。
[注意事項]
トランクポートで Untagged フレームを扱うためには,ネイティブ VLAN を設定します。詳しくは,
「20.4.3 トランクポートのネイティブ VLAN の設定」を参照してください。
トランクポートで,一度に削除する VLAN 数が 30 以上の場合,および所属している VLAN 数が 30
以上のときにモードをトランクポート以外に変更する場合は,該当ポートの MAC アドレステーブル,
ARP および NDP 情報を削除します。そのため,L3 中継を行っている場合は,いったん ARP/NDP を
再学習して通信が中断するので注意してください。
20.2.5 VLAN Tag の TPID の設定
[設定のポイント]
本装置は,VLAN Tag の TPID を任意の値に設定することができます。vlan-dot1q-ethertype コマン
ドで装置のデフォルト値を,switchport dot1q ethertype コマンドでポートごとの値を設定します。
ポートごとの値を設定していないポートは装置のデフォルト値で動作します。
ポートごとの TPID の設定は,イーサネットインタフェースコンフィグレーションモードで設定しま
す。
[コマンドによる設定]
1. (config)# vlan-dot1q-ethertype 9100
装置のデフォルト値を 0x9100 に設定します。すべてのポートにおいて VLAN Tag を TPID 9100 と
して動作します。
2. (config)# interface gigabitethernet 1/0/1
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。
3. (config-if)# switchport dot1q ethertype 8100
ポート 1/0/1 の TPID を 0x8100 に設定します。ポート 1/0/1 は 0x8100 を VLAN Tag として認識
します。そのほかのポートは装置のデフォルト値である 0x9100 で動作します。
352
20 VLAN
[注意事項]
TPID は,フレーム上では Untagged フレームの EtherType と同じ位置を使用します。そのため,
IPv4 の EtherType である 0x0800 など,EtherType として使用している値を設定するとネットワー
クが正しく構築できないおそれがあります。EtherType 値として未使用の値を設定してください。
353
20 VLAN
20.3 ポート VLAN の解説
ポート単位に VLAN のグループ分けを行います。
20.3.1 アクセスポートとトランクポート
ポート VLAN は一つのポートに一つの VLAN を割り当てます。ポート VLAN として使用するポートは
アクセスポートとして設定します。複数のポート VLAN をほかの LAN スイッチなどに接続するためには
トランクポートを使用します。トランクポートは VLAN Tag によって VLAN を識別するため,一つの
ポートに複数の VLAN を設定できます。
ポート VLAN の構成例を次の図に示します。ポート 1/0/1〜1/0/3 はアクセスポートとしてポート
VLAN を設定します。2 台の本装置の間はトランクポート(ポート 1/0/4)で接続します。そのとき,
VLAN Tag を使います。
図 20‒3 ポート VLAN の構成例
20.3.2 ネイティブ VLAN
プロトコルポート,MAC ポート,トランクポートにはコンフィグレーションに一致しないフレームを扱う
ネイティブ VLAN があります。各ポートのネイティブ VLAN はコンフィグレーションで指定しない場合
は VLAN 1(デフォルト VLAN)です。また,ほかのポート VLAN にコンフィグレーションで変更する
こともできます。
例えば,「図 20‒3 ポート VLAN の構成例」のトランクポートにおいて VLAN#B をネイティブ VLAN
に設定すると,VLAN#B はトランクポートでも Untagged フレームで中継します。
354
20 VLAN
20.3.3 ポート VLAN 使用時の注意事項
(1) アクセスポートでの Tagged フレームに関する注意事項
アクセスポートは Untagged フレームを扱うポートです。Tagged フレームを受信した場合は廃棄しま
す。また,送信することもできません。なお,VLAN Tag 値が VLAN の ID と一致する場合および 0 の場
合は,受信時に Untagged フレームと同じ扱いになります。これらのフレームを送信することはありませ
ん。
(2) MAC VLAN 混在時の注意事項
同一ポートにポート VLAN と MAC VLAN が混在する場合,マルチキャスト使用時の注意事項がありま
す。詳細は,「20.7.5 VLAN 混在時のマルチキャストについて」を参照してください。
355
20 VLAN
20.4 ポート VLAN のコンフィグレーション
20.4.1 コンフィグレーションコマンド一覧
ポート VLAN のコンフィグレーションコマンド一覧を次の表に示します。
表 20‒7 コンフィグレーションコマンド一覧
コマンド名 switchport access switchport mode switchport trunk vlan
説明
アクセスポートの VLAN を設定します。
ポートの種類(アクセス,トランク)を設定します。
トランクポートの VLAN を設定します。
ポート VLAN を作成します。また,VLAN コンフィグレーションモードで VLAN に関す
る項目を設定します。
20.4.2 ポート VLAN の設定
ポート VLAN を設定する手順を以下に示します。ここでは,次の図に示す本装置#1 の設定例を示します。
ポート 1/0/1 はポート VLAN 10 を設定します。ポート 1/0/2,1/0/3 はポート VLAN 20 を設定しま
す。ポート 1/0/4 はトランクポートでありすべての VLAN を設定します。
図 20‒4 ポート VLAN の設定例
(1) ポート VLAN の作成
[設定のポイント]
ポート VLAN を作成します。VLAN を作成する際に VLAN ID だけを指定して VLAN の種類を指定
しないで作成するとポート VLAN となります。
[コマンドによる設定]
1. (config)# vlan 10,20
356
20 VLAN
VLAN ID 10,VLAN ID 20 をポート VLAN として作成します。本コマンドで VLAN コンフィグ
レーションモードに移行します。
(2) アクセスポートの設定
一つのポートに一つの VLAN を設定して Untagged フレームを扱う場合,アクセスポートとして設定しま
す。
[設定のポイント]
ポートをアクセスポートに設定して,そのアクセスポートで扱う VLAN を設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。
2. (config-if)# switchport mode access
(config-if)# switchport access vlan 10
(config-if)# exit
ポート 1/0/1 をアクセスポートに設定します。また,VLAN 10 を設定します。
3. (config)# interface range gigabitethernet 1/0/2-3
ポート 1/0/2,1/0/3 のイーサネットインタフェースコンフィグレーションモードに移行します。ポー
ト 1/0/2,1/0/3 は同じコンフィグレーションとなるため,一括して設定します。
4. (config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 20
ポート 1/0/2,1/0/3 をアクセスポートに設定します。また,VLAN 20 を設定します。
(3) トランクポートの設定
[設定のポイント]
Tagged フレームを扱うポートはトランクポートとして設定し,そのトランクポートに VLAN を設定
します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/4
ポート 1/0/4 のイーサネットインタフェースコンフィグレーションモードに移行します。
2. (config-if)# switchport mode trunk
(config-if)# switchport trunk allowed vlan 10,20
ポート 1/0/4 をトランクポートに設定します。また,VLAN 10,20 を設定します。
20.4.3 トランクポートのネイティブ VLAN の設定
[設定のポイント]
トランクポートで Untagged フレームを扱いたい場合,ネイティブ VLAN を設定します。ネイティブ
VLAN はポート VLAN だけを設定できます。
ネイティブ VLAN の VLAN ID を switchport trunk allowed vlan コマンドで指定すると,トランク
ポートで Untagged フレームを扱う VLAN となります。ネイティブ VLAN は,コンフィグレーション
で明示して指定しない場合は VLAN 1(デフォルト VLAN)です。
357
20 VLAN
トランクポート上で,デフォルト VLAN で Tagged フレーム(VLAN ID 1 の VLAN Tag)を扱いた
い場合は,ネイティブ VLAN をほかの VLAN に変更してください。
[コマンドによる設定]
1. (config)# vlan 10,20
(config-vlan)# exit
VLAN ID 10,VLAN ID 20 をポート VLAN として作成します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# switchport mode trunk
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。また,トラン
クポートとして設定します。この状態で,トランクポート 1/0/1 のネイティブ VLAN はデフォルト
VLAN です。
3. (config-if)# switchport trunk native vlan 10
(config-if)# switchport trunk allowed vlan 1,10,20
トランクポート 1/0/1 のネイティブ VLAN を VLAN 10 に設定します。また,VLAN 1,10,20 を
設定します。ネイティブ VLAN である VLAN 10 が Untagged フレームを扱い,VLAN 1(デフォル
ト VLAN),VLAN 20 は Tagged フレームを扱います。
358
20 VLAN
20.5 プロトコル VLAN の解説
20.5.1 概要
プロトコル単位で VLAN のグループ分けを行います。IPv4 や IPv6 といったプロトコルごとに異なる
VLAN を構成できます。複数のプロトコルを同一のプロトコル VLAN に設定することもできます。
プロトコル VLAN の構成例を次の図に示します。VLAN#A,#B を IPv4 プロトコルで構成し,VLAN#C
を IPv6 プロトコルで構成した例を示しています。
図 20‒5 プロトコル VLAN の構成例
20.5.2 プロトコルの識別
プロトコルの識別には次の 3 種類の値を使用します。
表 20‒8 プロトコルを識別する値
識別する値
Ether-type 値
LLC 値
SNAP Ether-type 値
概要
EthernetV2 形式フレームの Ether-type 値によってプロトコルを識別します。
802.3 形式フレームの LLC 値(DSAP,SSAP)によってプロトコルを識別します。
802.3 形式フレームの Ether-type 値によってプロトコルを識別します。フレームの
LLC 値が AA AA 03 であるフレームだけが対象となります。
プロトコルは,コンフィグレーションによってプロトコルを作成し VLAN に対応付けます。一つのプロト
コル VLAN に複数のプロトコルを対応付けることもできます。
359
20 VLAN
20.5.3 プロトコルポートとトランクポート
プロトコルポートは Untagged フレームのプロトコルを識別します。プロトコル VLAN として使用する
ポートはプロトコルポートを設定します。プロトコルポートには複数のプロトコルで異なる VLAN を割
り当てることもできます。複数のプロトコル VLAN をほかの LAN スイッチなどに接続するためにはトラ
ンクポートを使用します。なお,トランクポートは VLAN Tag によって VLAN を識別するため,プロト
コルによる識別は行いません。
20.5.4 プロトコルポートのネイティブ VLAN
プロトコルポートでコンフィグレーションに一致しないプロトコルのフレームを受信した場合はネイティ
ブ VLAN で扱います。ネイティブ VLAN は,コンフィグレーションで指定しない場合は VLAN 1(デフォ
ルト VLAN)です。また,ほかのポート VLAN にコンフィグレーションで変更することもできます。
次の図に,プロトコルポートでネイティブ VLAN を使用する構成例を示します。図の構成は,IPX プロト
コルをネットワーク全体で一つの VLAN とし,そのほか(IPv4 など)のプロトコルについてはポート
VLAN で VLAN を分ける例です。VLAN#A,VLAN#B を各ポートのネイティブ VLAN として設定しま
す。なお,この構成例では,VLAN#A,VLAN#B も IPv4 のプロトコル VLAN として設定することもで
きます。
図 20‒6 プロトコルポートでネイティブ VLAN を使用する構成例
360
20 VLAN
20.6 プロトコル VLAN のコンフィグレーション
20.6.1 コンフィグレーションコマンド一覧
プロトコル VLAN のコンフィグレーションコマンド一覧を次の表に示します。
表 20‒9 コンフィグレーションコマンド一覧
コマンド名 protocol switchport mode switchport protocol switchport trunk vlan vlan-protocol
説明
プロトコル VLAN で VLAN を識別するプロトコルを設定します。
ポートの種類(プロトコル,トランク)を設定します。
プロトコルポートの VLAN を設定します。
トランクポートの VLAN を設定します。 protocol-based パラメータを指定してプロトコル VLAN を作成します。
プロトコル VLAN 用のプロトコル名称とプロトコル値を設定します。
20.6.2 プロトコル VLAN の作成
プロトコル VLAN を設定する手順を以下に示します。ここでは,次の図に示す本装置#1 の設定例を示し
ます。
ポート 1/0/1,1/0/2 は IPv4 プロトコル VLAN 10 を設定します。ポート 1/0/3,1/0/4 は IPv4 プロト
コル VLAN 20 を設定します。ポート 1/0/4 は VLAN 20 と同時に IPv6 プロトコル VLAN 30 にも所属
します。ポート 1/0/5 はトランクポートであり,すべての VLAN を設定します。
図 20‒7 プロトコル VLAN の設定例
361
20 VLAN
(1) VLAN を識別するプロトコルの作成
[設定のポイント]
プロトコル VLAN は,VLAN を作成する前に識別するプロトコルを vlan-protocol コマンドで設定し
ます。プロトコルは,プロトコル名称とプロトコル値を設定します。一つの名称に複数のプロトコル値
を関連づけることもできます。
IPv4 プロトコルは,IPv4 の Ether-type と同時に ARP の Ether-type も指定する必要があるため,IPv4
には二つのプロトコル値を関連づけます。
[コマンドによる設定]
1. (config)# vlan-protocol IPV4 ethertype 0800 ethertype 0806
名称 IPV4 のプロトコルを作成します。プロトコル値として,IPv4 の Ether-type 値 0800 と ARP の
Ether-type 値 0806 を関連づけます。
なお,この設定でのプロトコル判定は EthernetV2 形式のフレームだけとなります。
2. (config)# vlan-protocol IPV6 ethertype 86dd
名称 IPV6 のプロトコルを作成します。プロトコル値として IPv6 の Ether-type 値 86DD を関連づけ
ます。
(2) プロトコル VLAN の作成
[設定のポイント]
プロトコル VLAN を作成します。VLAN を作成する際に VLAN ID と protocol-based パラメータを
指定します。また,VLAN を識別するプロトコルとして,作成したプロトコルを指定します。
[コマンドによる設定]
1. (config)# vlan 10,20 protocol-based
VLAN 10,20 をプロトコル VLAN として作成します。VLAN 10,20 は同じ IPv4 プロトコル VLAN
とするため一括して設定します。本コマンドで VLAN コンフィグレーションモードに移行します。
2. (config-vlan)# protocol IPV4
(config-vlan)# exit
VLAN 10,20 を識別するプロトコルとして,作成した IPv4 プロトコルを指定します。
3. (config)# vlan 30 protocol-based
(config-vlan)# protocol IPV6
VLAN 30 をプロトコル VLAN として作成します。また,VLAN 30 を識別するプロトコルとして,作
成した IPv6 プロトコルを指定します。
(3) プロトコルポートの設定
[設定のポイント]
プロトコル VLAN でプロトコルによって VLAN を識別するポートは,プロトコルポートを設定しま
す。このポートでは Untagged フレームを扱います。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/0/1-2
ポート 1/0/1,1/0/2 のイーサネットインタフェースコンフィグレーションモードに移行します。ポー
ト 1/0/1,1/0/2 は同じコンフィグレーションとなるため一括して指定します。
362
20 VLAN
2. (config-if-range)# switchport mode protocol-vlan
(config-if-range)# switchport protocol vlan 10
(config-if-range)# exit
ポート 1/0/1,1/0/2 をプロトコルポートに設定します。また,VLAN 10 を設定します。
3. (config)# interface range gigabitethernet 1/0/3-4
(config-if-range)# switchport mode protocol-vlan
(config-if-range)# switchport protocol vlan 20
(config-if-range)# exit
ポート 1/0/3,1/0/4 をプロトコルポートに設定します。また,VLAN 20 を設定します。
4. (config)# interface gigabitethernet 1/0/4
(config-if)# switchport protocol vlan add 30
ポート 1/0/4 に VLAN 30 を追加します。ポート 1/0/4 は IPv4,IPv6 の 2 種類のプロトコル VLAN
を設定しています。
[注意事項] switchport protocol vlan コマンドは,それ以前のコンフィグレーションに追加するコマンドではなく
指定した<vlan id list>に設定を置き換えます。すでにプロトコル VLAN を運用中のポートで VLAN
の追加や削除を行う場合は,switchport protocol vlan add コマンドおよび switchport protocol vlan remove コマンドを使用してください。
(4) トランクポートの設定
[設定のポイント]
プロトコル VLAN においても,Tagged フレームを扱うポートはトランクポートとして設定し,その
トランクポートに VLAN を設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/5
ポート 1/0/5 のイーサネットインタフェースコンフィグレーションモードに移行します。
2. (config-if)# switchport mode trunk
(config-if)# switchport trunk allowed vlan 10,20,30
ポート 1/0/5 をトランクポートに設定します。また,VLAN 10,20,30 を設定します。
20.6.3 プロトコルポートのネイティブ VLAN の設定
[設定のポイント]
プロトコルポートで設定したプロトコルに一致しない Untagged フレームを扱いたい場合,そのフレー
ムを扱う VLAN としてネイティブ VLAN を設定します。ネイティブ VLAN はポート VLAN だけを
設定できます。
ネイティブ VLAN の VLAN ID を switchport protocol native vlan コマンドで指定すると,プロト
コルポート上で設定したプロトコルに一致しない Untagged フレームを扱う VLAN となります。ネイ
ティブ VLAN は,コンフィグレーションで明示して指定しない場合は VLAN 1(デフォルト VLAN)
です。
ネイティブ VLAN に status suspend が設定されている場合は,設定したプロトコルと一致しないフ
レームが中継されません。
363
20 VLAN
[コマンドによる設定]
1. (config)# vlan 10,20 protocol-based
(config-vlan)# exit
(config)# vlan 30
(config-vlan)# exit
VLAN 10,20 をプロトコル VLAN として作成します。また,VLAN 30 をポート VLAN として作成
します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# switchport mode protocol-vlan
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。また,プロト
コルポートとして設定します。
3. (config-if)# switchport protocol native vlan 30
(config-if)# switchport protocol vlan 10,20
プロトコルポート 1/0/1 のネイティブ VLAN をポート VLAN 30 に設定し,設定したプロトコルに一
致しない Untagged フレームを扱う VLAN とします。また,プロトコル VLAN 10,20 を設定しま
す。
364
20 VLAN
20.7 MAC VLAN の解説
20.7.1 概要
送信元の MAC アドレス単位に VLAN のグループ分けを行います。VLAN への MAC アドレスの登録は,
コンフィグレーションによる登録と,レイヤ 2 認証機能による動的な登録ができます。
MAC VLAN は,許可した端末の MAC アドレスをコンフィグレーションで登録するか,レイヤ 2 認証機
能で認証された MAC アドレスを登録することによって,接続を許可された端末とだけ通信できるように設
定できます。
さらに,コンフィグレーションコマンド mac-based-vlan static-only を設定すると,MAC VLAN の最大
収容数までコンフィグレーションコマンド mac-address で MAC アドレスを設定できます。なお,この場
合,レイヤ 2 認証機能を動作させることはできません。
MAC VLAN の構成例を次の図に示します。VLAN を構成する装置間にトランクポートを設定している場
合は,送信元 MAC アドレスに関係なく VLAN Tag によって VLAN を決定します。そのため,すべての
装置に同じ MAC アドレスの設定をする必要はありません。装置ごとに MAC ポートに接続した端末の
MAC アドレスを設定します。
図 20‒8 MAC VLAN の構成例
20.7.2 装置間の接続と MAC アドレス設定
複数の装置で MAC VLAN を構成する場合,装置間の接続はトランクポートをお勧めします。トランク
ポートで受信したフレームの VLAN 判定は VLAN Tag で行います。そのため,送信元 MAC アドレスが
VLAN に設定されていなくても,MAC VLAN で通信できます。トランクポートで装置間を接続した場合
については,「図 20‒8 MAC VLAN の構成例」を参照してください。
365
20 VLAN
MAC ポートで装置間を接続する場合は,その VLAN に属するすべての MAC アドレスをすべての装置に
設定する必要があります。ルータが存在する場合は,ルータの MAC アドレスも登録してください。また,
VRRP を使用している場合は,仮想ルータ MAC アドレスを登録してください。
MAC ポートで装置間を接続した場合の図を次に示します。
図 20‒9 装置間を MAC ポートで接続した場合
20.7.3 レイヤ 2 認証機能との連携について
MAC VLAN は,レイヤ 2 認証機能と連携して,VLAN への MAC アドレスを動的に登録できます。連携
するレイヤ 2 認証機能を次に示します。
• IEEE802.1X
• Web 認証
• MAC 認証
• 認証 VLAN
プリンタやサーバなど,レイヤ 2 認証機能を動作させないで MAC ポートと接続する端末は,その MAC
アドレスをコンフィグレーションで VLAN に登録します。
コンフィグレーションとレイヤ 2 認証機能で同じ MAC アドレスを設定した場合,コンフィグレーション
の MAC アドレスを登録します。
20.7.4 MAC ポートの VLAN 設定
MAC ポートに VLAN を設定する場合,コンフィグレーションコマンド switchport mac vlan による設定
と,レイヤ 2 認証機能による動的な設定ができます。
366
20 VLAN
なお,同じ MAC ポートに,コンフィグレーションによる VLAN の設定と,レイヤ 2 認証機能による動的
な VLAN の設定とを共存させることはできません。認証対象ポートとして設定されている MAC ポート
に対し,レイヤ 2 認証機能で VLAN が動的に設定されている状態のときにコンフィグレーションコマンド switchport mac vlan が設定された場合,該当ポートに動的に設定されていた VLAN はすべて削除されま
す。
動的に VLAN が設定できるレイヤ 2 認証機能と認証モードを次の表に示します。
表 20‒10 動的に VLAN が設定できるレイヤ 2 認証機能と認証モード
レイヤ 2 認証機能 認証モード
IEEE802.1X
Web 認証
MAC 認証
VLAN 単位認証(動的)
ダイナミック VLAN モード
ダイナミック VLAN モード
20.7.5 VLAN 混在時のマルチキャストについて
同一ポートに複数の MAC VLAN が混在した場合やポート VLAN と MAC VLAN が混在した場合,それ
ぞれの VLAN に所属する端末が同じマルチキャストグループに所属すると,そのポートへは VLAN ごと
に同じマルチキャストフレームを送信するため,端末は同じフレームを重複して受信します。
端末でマルチキャストデータを重複して受信してしまうネットワークの構成例を次に示します。
図 20‒10 VLAN 混在時のマルチキャスト
367
20 VLAN
20.8 MAC VLAN のコンフィグレーション
20.8.1 コンフィグレーションコマンド一覧
MAC VLAN のコンフィグレーションコマンド一覧を次の表に示します。
表 20‒11 コンフィグレーションコマンド一覧
コマンド名 mac-address switchport mac switchport mode switchport trunk vlan
説明
MAC VLAN で VLAN に所属する端末の MAC アドレスをコンフィグレーションに
よって設定します。
MAC ポートの VLAN を設定します。
ポートの種類(MAC,トランク)を設定します。
トランクポートの VLAN を設定します。 mac-based パラメータを指定して MAC VLAN を作成します。
20.8.2 MAC VLAN の設定
MAC VLAN を設定する手順を以下に示します。ここでは,MAC VLAN と VLAN に所属する MAC アド
レスをコンフィグレーションで設定する場合の例を示します。IEEE802.1X との連携については,マニュア
ル「コンフィグレーションガイド Vol.2 7. IEEE802.1X の設定と運用」を参照してください。
次の図に示す本装置#1 の設定例を示します。ポート 1/0/1 は MAC VLAN 10 を設定します。ポート
1/0/2 は MAC VLAN 10 および 20,1/0/3 は MAC VLAN 20 を設定します。ただし,ポート 1/0/3 に
は MAC アドレスを登録していない端末 D を接続しています。
368
図 20‒11 MAC VLAN の設定例
20 VLAN
(1) MAC VLAN の作成と MAC アドレスの登録
[設定のポイント]
MAC VLAN を作成します。VLAN を作成する際に VLAN ID と mac-based パラメータを指定しま
す。
また,VLAN に所属する MAC アドレスを設定します。構成例の端末 A〜C をそれぞれの VLAN に登
録します。端末 D は MAC VLAN での通信を許可しない端末にするので登録しません。
[コマンドによる設定]
1. (config)# vlan 10 mac-based
(config-vlan)# name MACVLAN10
VLAN 10 を MAC VLAN として作成します。本コマンドで VLAN コンフィグレーションモードに移
行します。
2. (config-vlan)# mac-address 0012.e200.0001
(config-vlan)# mac-address 0012.e200.0002
(config-vlan)# exit
端末 A(0012.e200.0001),端末 B(0012.e200.0002)を MAC VLAN 10 に登録します。
3. (config)# vlan 20 mac-based
(config-vlan)# name MACVLAN20
(config-vlan)# mac-address 0012.e200.0003
VLAN 20 を MAC VLAN として作成し,端末 C(0012.e200.0003)を MAC VLAN 20 に登録しま
す。
369
20 VLAN
[注意事項]
MAC VLAN に登録する MAC アドレスでは,同じ MAC アドレスを複数の VLAN に登録できません。
(2) MAC ポートの設定
[設定のポイント]
MAC VLAN で送信元 MAC アドレスによって VLAN を識別するポートは,MAC ポートを設定しま
す。このポートでは Untagged フレームを扱います。
[コマンドによる設定]
1. (config)# interface range gigabitethernet 1/0/1-2
ポート 1/0/1,1/0/2 のイーサネットインタフェースコンフィグレーションモードに移行します。
2. (config-if-range)# switchport mode mac-vlan
(config-if-range)# exit
ポート 1/0/1,1/0/2 を MAC ポートに設定します。ポート 1/0/1,1/0/2 はレイヤ 2 認証機能によっ
て動的に VLAN が登録されます。
3. (config)# interface gigabitethernet 1/0/3
(config-if)# switchport mode mac-vlan
(config-if)# switchport mac vlan 20
ポート 1/0/3 を MAC ポートに設定します。また,VLAN 20 を設定します。
[注意事項] switchport mac vlan コマンドは,それ以前のコンフィグレーションに追加するコマンドではなく指定
した<vlan id list>に設定を置き換えます。すでに MAC VLAN を運用中のポートで VLAN の追加や
削除を行う場合は,switchport mac vlan add コマンドおよび switchport mac vlan remove コマン
ドを使用してください。
(3) トランクポートの設定
[設定のポイント]
MAC VLAN においても,Tagged フレームを扱うポートはトランクポートとして設定し,そのトラン
クポートに VLAN を設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/4
ポート 1/0/4 のイーサネットインタフェースコンフィグレーションモードに移行します。
2. (config-if)# switchport mode trunk
(config-if)# switchport trunk allowed vlan 10,20
ポート 1/0/4 をトランクポートに設定します。また,VLAN 10,20 を設定します。
20.8.3 MAC ポートのネイティブ VLAN の設定
[設定のポイント]
MAC ポートで MAC VLAN に登録した MAC アドレスに一致しない Untagged フレームを扱いたい
場合,そのフレームを扱う VLAN としてネイティブ VLAN を設定します。ネイティブ VLAN はポー
ト VLAN だけが設定できます。
370
20 VLAN
ネイティブ VLAN の VLAN ID を switchport mac native vlan コマンドで指定すると,MAC ポート
上で登録した MAC アドレスに一致しない Untagged フレームを扱う VLAN となります。ネイティブ
VLAN は,コンフィグレーションで明示して指定しない場合は VLAN 1(デフォルト VLAN)です。
ネイティブ VLAN に status suspend が設定されていた場合は,登録した MAC アドレスに一致しない
フレームが中継されません。
[コマンドによる設定]
1. (config)# vlan 10,20 mac-based
(config-vlan)# exit
(config)# vlan 30
(config-vlan)# exit
VLAN 10,20 を MAC VLAN として作成します。また,VLAN 30 をポート VLAN として作成しま
す。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# switchport mode mac-vlan
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。また,MAC
ポートとして設定します。
3. (config-if)# switchport mac native vlan 30
ポート 1/0/1 のネイティブ VLAN をポート VLAN 30 に設定します。VLAN 30 はポート 1/0/1 で
登録されていない MAC アドレスからの Untagged フレームを扱う VLAN となります。
371
20 VLAN
20.9 VLAN インタフェース
20.9.1 IP アドレスを設定するインタフェース
本装置をレイヤ 3 スイッチとして使用するためには,VLAN に IP アドレスを設定します。複数の VLAN
を作成し,各 VLAN に IP アドレスを設定することで本装置はレイヤ 3 スイッチとして動作します。
IP アドレスはコンフィグレーションコマンド interface vlan によって設定します。このインタフェースの
ことを VLAN インタフェースと呼びます。
20.9.2 VLAN インタフェースの MAC アドレス
IP アドレスを設定した VLAN インタフェースは,本装置の持つ MAC アドレスの一つをそのインタフェー
スの MAC アドレスとして使用します。使用する MAC アドレスを次に示します。
• 装置 MAC アドレス
• VLAN ごとの MAC アドレス
デフォルトでは装置 MAC アドレスを使用します。コンフィグレーションによって VLAN ごとの MAC
アドレスを設定できます。
VLAN インタフェースの MAC アドレスは,コンフィグレーションによって運用中に変更できます。運用
中に変更すると,隣接するレイヤ 3 装置(ルータ,レイヤ 3 スイッチ,端末など)が ARP や NDP で学習
した MAC アドレスと,本装置の MAC アドレスが不一致となり,一時的に通信ができなくなる場合があ
るため注意してください。
372
20 VLAN
20.10 VLAN インタフェースのコンフィグレーション
20.10.1 コンフィグレーションコマンド一覧
VLAN インタフェースに IP アドレスを設定し,レイヤ 3 スイッチとして使用するための基本的なコンフィ
グレーションコマンド一覧を次の表に示します。
表 20‒12 コンフィグレーションコマンド一覧
コマンド名 説明 interface vlan vlan-mac vlan-mac-prefix
VLAN インタフェースを設定します。また,インタフェースモードへ移行します。
VLAN ごとの MAC アドレスを使用することを設定します。
VLAN ごとの MAC アドレスのプレフィックスを設定します。 ip address ※ インタフェースの IPv4 アドレスを設定します。
注※
「コンフィグレーションコマンドレファレンス Vol.2 2. IPv4・ARP・ICMP」を参照してください。
20.10.2 レイヤ 3 インタフェースとしての VLAN の設定
[設定のポイント]
VLAN は IP アドレスを設定してレイヤ 3 インタフェースとして使用できます。interface vlan コマン
ドおよび VLAN インタフェースコンフィグレーションモードでさまざまなレイヤ 3 機能を設定できま
す。
ここでは,VLAN インタフェースに IPv4 アドレスを設定する例を示します。VLAN インタフェースで
設定できるレイヤ 3 機能については,使用する各機能の章を参照してください。
[コマンドによる設定]
1. (config)# interface vlan 10
VLAN 10 の VLAN インタフェースコンフィグレーションモードに移行します。interface vlan コマ
ンドで指定した VLAN ID が未設定の VLAN ID の場合,自動的にポート VLAN を作成して vlan コマ
ンドが設定されます。
2. (config-if)# ip address 192.168.1.1 255.255.255.0
VLAN 10 に IPv4 アドレス 192.168.1.1,サブネットマスク 255.255.255.0 を設定します。
20.10.3 VLAN インタフェースの MAC アドレスの設定
本装置の VLAN インタフェースの MAC アドレスは,デフォルトではすべての VLAN で装置 MAC アド
レスを使用します。通常,LAN スイッチは VLAN ごとに MAC アドレス学習を行うため,異なる VLAN
で同じ MAC アドレスを使用できます。しかし,VLAN ごとではなく装置単位に一つの MAC アドレス
テーブルを管理する LAN スイッチを同じネットワーク上で使用している場合,異なる VLAN で同じ
MAC アドレスを使用すると MAC アドレス学習が安定しなくなる場合があります。そのような場合に
VLAN インタフェースの MAC アドレスを VLAN ごとに変更することによってネットワークを安定させ
ることができます。
373
20 VLAN
[設定のポイント]
VLAN をレイヤ 3 インタフェースとして使用する場合,VLAN インタフェースの MAC アドレスを変
更できます。MAC アドレスは vlan-mac-prefix コマンドおよび vlan-mac コマンドで設定します。
VLAN ごとの MAC アドレスは,vlan-mac-prefix コマンドで上位 34bit までのプレフィックスを指定
し,かつ VLAN ごとに vlan-mac コマンドで,VLAN ごとの MAC アドレスを使用することを設定し
ます。MAC アドレスは下位 12bit に VLAN ID を使用します。
[コマンドによる設定]
1. (config)# vlan-mac-prefix 0012.e200.0000 ffff.ffff.c000
VLAN ごと MAC アドレスに使用するプレフィックス(上位 34bit)を指定します。マスクは 34bit で
指定する場合 ffff.ffff.c000 になります。
2. (config)# vlan 10
VLAN 10 の VLAN コンフィグレーションモードに移行します。
3. (config-vlan)# vlan-mac
VLAN 10 で VLAN ごと MAC アドレスを使用することを設定します。MAC アドレスは下位 12bit
に VLAN ID を使用し,この場合 VLAN 10 の MAC アドレスは 0012.e200.000a になります。
MAC アドレスの値は運用コマンド show vlan で確認できます。
[注意事項]
VLAN ごと MAC アドレスの設定で,VLAN インタフェースの MAC アドレスが変更になります。こ
れによって,隣接するレイヤ 3 装置(ルータ,レイヤ 3 スイッチ,端末など)が ARP や NDP で学習
した MAC アドレスと本装置の VLAN インタフェースの MAC アドレスが不一致となり,一時的に通
信できなくなる場合があります。本機能の設定は VLAN インタフェースの運用開始前に設定するか,
または通信の影響が少ないときに行うことをお勧めします。
なお,VLAN ごと MAC アドレスの設定は,該当する VLAN インタフェースに IP アドレスが設定され
ているときだけ有効です。
374
20 VLAN
20.11 VLAN のオペレーション
20.11.1 運用コマンド一覧
VLAN の運用コマンド一覧を次の表に示します。
表 20‒13 運用コマンド一覧
コマンド名 show vlan show vlan mac-vlan restart vlan dump protocols vlan
説明
VLAN の各種情報を表示します。
MAC VLAN に登録されている MAC アドレスを表示します。
VLAN プログラムを再起動します。
VLAN プログラムで採取している詳細イベントトレース情報および制御テーブルを
ファイルへ出力します。
20.11.2 VLAN の状態の確認
(1) VLAN の設定状態の確認
VLAN の情報は show vlan コマンドで確認できます。VLAN ID,Type,IP Address などによって
VLAN に関する設定が正しいことを確認してください。また,Untagged はその VLAN で Untagged フ
レームを扱うポート,Tagged はその VLAN で Tagged フレームを扱うポートになります。VLAN に設定
されているポートの設定が正しいことを確認してください。
図 20‒12 show vlan コマンドの実行結果
> show vlan
Date 20XX/01/26 17:01:40 UTC
VLAN counts:4
VLAN ID:1 Type:Port based Status:Up
Learning:On Tag-Translation:
BPDU Forwarding: EAPOL Forwarding:
Router Interface Name:VLAN0001
IP Address:10.215.201.1/24
Source MAC address: 0012.e212.ad1e(System)
Description:VLAN0001
Spanning Tree:PVST+(802.1D)
AXRP RING ID: AXRP VLAN group:
GSRP ID: GSRP VLAN group: L3:
IGMP snooping: MLD snooping:
Untagged(18) :1/0/1-4,13-26
VLAN ID:3 Type:Port based Status:Up
Learning:On Tag-Translation:On
BPDU Forwarding: EAPOL Forwarding:
Router Interface Name:VLAN0003
IP Address:10.215.196.1/23
3ffe:501:811:ff08::5/64
Source MAC address: 0012.e212.ad1e(System)
Description:VLAN0003
Spanning Tree:Single(802.1D)
AXRP RING ID: AXRP VLAN group:
GSRP ID: GSRP VLAN group: L3:
IGMP snooping: MLD snooping:
Untagged(8) :1/0/5-12
Tagged(2) :1/0/25-26
Tag-Trans(2) :1/0/25-26
VLAN ID:120 Type:Protocol based Status:Up
Protocol VLAN Information Name:ipv6
EtherType:08dd LLC: Snap-EtherType:
Learning:On Tag-Translation:On
375
20 VLAN
BPDU Forwarding: EAPOL Forwarding:
Router Interface Name:VLAN0120
IP Address:
Source MAC address: 0012.e212.ad1e(System)
Description:VLAN0120
Spanning Tree:
AXRP RING ID: AXRP VLAN group:
GSRP ID: GSRP VLAN group: L3:
IGMP snooping: MLD snooping:
Untagged(3) :1/0/5,7,9
Tagged(2) :1/0/25-26
Tag-Trans(2) :1/0/25-26
VLAN ID:1340 Type:Mac based Status:Up
Learning:On Tag-Translation:On
BPDU Forwarding: EAPOL Forwarding:
Router Interface Name:VLAN1340
IP Address:10.215.202.1/24
Source MAC address: 0012.e2de.053c(VLAN)
Description:VLAN1340
Spanning Tree:
AXRP RING ID: AXRP VLAN group:
GSRP ID: GSRP VLAN group: L3:
IGMP snooping: MLD snooping:
Untagged(6) :1/0/13-18
Tagged(2) :1/0/25-26
Tag-Trans(2) :1/0/25-26
>
(2) VLAN の通信状態の確認
VLAN の通信状態は show vlan detail コマンドで確認できます。Port Information でポートの Up/
Down,Forwarding/Blocking を確認してください。Blocking 状態の場合,括弧内に Blocking の要因が
示されています。
図 20‒13 show vlan detail コマンドの実行結果
> show vlan 3,1000-1500 detail
Date 20XX/01/26 17:01:40 UTC
VLAN counts:2
VLAN ID:3 Type:Port based Status:Up
Learning:On Tag-Translation:On
BPDU Forwarding: EAPOL Forwarding:
Router Interface Name:VLAN0003
IP Address:10.215.196.1/23
ee80::220:afff:fed7:8f0a/64
Source MAC address: 0012.e212.ad1e(System)
Description:VLAN0003
Spanning Tree:Single(802.1D)
AXRP RING ID: AXRP VLAN group:
GSRP ID: GSRP VLAN group: L3:
IGMP snooping: MLD snooping:
Port Information
1/0/5 Up Forwarding Untagged
1/0/6 Up Blocking(STP) Untagged
1/0/7 Up Forwarding Untagged
1/0/8 Up Forwarding Untagged
1/0/9 Up Forwarding Untagged
1/0/10 Up Forwarding Untagged
1/0/11 Up Forwarding Untagged
1/0/12 Up Forwarding Untagged
1/0/25(CH:9) Up Forwarding Tagged Tag-Translation:103
1/0/26(CH:9) Up Blocking(CH) Tagged Tag-Translation:103
VLAN ID:1340 Type:Mac based Status:Up
Learning:On Tag-Translation:On
BPDU Forwarding: EAPOL Forwarding:
Router Interface Name:VLAN1340
IP Address:10.215.202.1/24
Source MAC address: 0012.e2de.053c(VLAN)
Description:VLAN1340
Spanning Tree:
AXRP RING ID: AXRP VLAN group:
GSRP ID: GSRP VLAN group: L3:
376
20 VLAN
IGMP snooping: MLD snooping:
Port Information
1/0/13 Up Forwarding Untagged
1/0/14 Up Forwarding Untagged
1/0/15 Up Forwarding Untagged
1/0/16 Up Forwarding Untagged
1/0/17 Up Forwarding Untagged
1/0/18 Up Forwarding Untagged
1/0/25(CH:9) Up Forwarding Tagged Tag-Translation:104
1/0/26(CH:9) Up Blocking(CH) Tagged Tag-Translation:104
>
(3) VLAN ID 一覧の確認
show vlan summary コマンドで,設定した VLAN の種類とその数,VLAN ID を確認できます。
図 20‒14 show vlan summary コマンドの実行結果
> show vlan summary
Date 20XX/10/14 12:14:38 UTC
Total(4) :1,10,20,4094
Port based(2) :1,4094
Protocol based(1) :10
MAC based(1) :20
>
(4) VLAN のリスト表示による確認
show vlan list コマンドは VLAN の設定状態の概要を 1 行に表示します。本コマンドによって,VLAN の
設定状態やレイヤ 2 冗長機能,IP アドレスの設定状態を一覧で確認できます。また,VLAN,ポートまた
はチャネルグループをパラメータとして指定することで,指定したパラメータの VLAN の状態だけを一覧
で確認できます。
図 20‒15 show vlan list コマンドの実行結果
> show vlan list
Date 20XX/01/26 17:01:40 UTC
VLAN counts:4
ID Status Fwd/Up /Cfg Name Type Protocol Ext. IP
1 Up 16/ 18/ 18 VLAN0001 Port STP PVST+:1D - - - - 4
3 Up 9/ 10/ 10 VLAN0003 Port STP Single:1D - - T - 4/6
120 Up 4/ 5/ 5 VLAN0120 Proto - - - - - -
1340 Disable 0/ 8/ 8 VLAN1340 Mac - - - - - 4
AXRP (Control-VLAN)
GSRP GSRP ID:VLAN Group ID(Master/Backup)
S:IGMP/MLD snooping T:Tag Translation
4:IPv4 address configured 6:IPv6 address configured
>
(5) MAC VLAN の登録 MAC アドレスの確認
MAC VLAN に登録されている MAC アドレスを,show vlan mac-vlan コマンドで確認できます。
括弧内は MAC アドレスを登録した機能を示しています。
• 「static」はコンフィグレーションで登録した MAC アドレス
• 「dot1x」は IEEE802.1X で登録した MAC アドレス
図 20‒16 show vlan mac-vlan コマンドの実行結果
> show vlan mac-vlan
Date 20XX/10/14 12:16:04 UTC
VLAN counts:2 Total MAC Counts:5
VLAN ID:20 MAC Counts:4
0012.e200.0001 (static) 0012.e200.0002 (static)
0012.e200.0003 (static) 0012.e200.0004 (dot1x)
VLAN ID:200 MAC Counts:1
377
20 VLAN
0012.e200.1111 (dot1x)
>
378
21
VLAN 拡張機能
この章では,VLAN に適用する拡張機能の解説と操作方法について説明しま
す。
379
21 VLAN 拡張機能
21.1 VLAN トンネリングの解説
21.1.1 概要
VLAN トンネリング機能とは,複数ユーザの VLAN をほかの VLAN の中に集約して「トンネル」する機
能です。IEEE802.1Q VLAN Tag をスタックすることで一つの VLAN 内にほかの VLAN に属するフ
レームをトランスペアレントに通すことができます。トンネルは 3 か所以上のサイトを接続するマルチポ
イント接続ができます。
VLAN トンネリング概要(広域イーサネットサービス適用例)を次の図に示します。VLAN トンネリング
では,VLAN Tag をスタックすることで VLAN トンネリング網内の VLAN を識別します。
この適用例は,レイヤ 2 VPN サービスである広域イーサネットサービスに適用する場合の例です。本装置
に VLAN トンネリング機能を適用します。VLAN トンネリングでは,VLAN Tag をスタックすることで
VLAN トンネリング網内の VLAN を識別します。ユーザサイトを収容するポートをアクセス回線,VLAN
トンネリング網内に接続するポートをバックボーン回線と呼びます。アクセス回線からのフレームに
VLAN Tag を追加してバックボーン回線に中継します。バックボーン回線からのフレームは VLAN Tag
を外しアクセス回線へ中継します。
図 21‒1 VLAN トンネリング概要(広域イーサネットサービス適用例)
21.1.2 VLAN トンネリングを使用するための必須条件
VLAN トンネリング機能を使用する場合は,次の条件に合わせてネットワークを構築する必要があります。
• ポート VLAN を使用します。
• VLAN トンネリング機能を実現する VLAN では,アクセス回線側はトンネリングポートとし,バック
ボーン回線側をトランクポートとします。
• VLAN トンネリング網内のバックボーン回線では VLAN Tag をスタックするため,通常より 4 バイト
大きいサイズのフレームを扱える必要があります。
• 装置内で,アクセスポートとトンネリングポートは共存できません。一つでもトンネリングポートを設
定すると,アクセスポートとして設定していたポートもトンネリングポートとして動作します。
380
21 VLAN 拡張機能
21.1.3 VLAN トンネリング使用時の注意事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
(2) デフォルト VLAN について
デフォルト VLAN の自動加入を行いません。すべての VLAN を明示的に設定してください。
(3) トランクポートのネイティブ VLAN について
VLAN トンネリングのトランクポートは VLAN Tag をスタックするポートとなりますが,ネイティブ
VLAN では VLAN Tag をスタックしません。本装置からフレームを送信するときはアクセスポートと同
様に動作して,フレームを受信するときは Untagged フレームだけを扱います。ほかの VLAN と異なる動
作となるので,VLAN トンネリング網のバックボーン回線の VLAN としては使用できません。VLAN ト
ンネリングを使用する場合,トランクポートのネイティブ VLAN は suspend 状態とすることをお勧めしま
す。
トランクポートのネイティブ VLAN は,コンフィグレーションコマンド switchport trunk native vlan で
設定しない場合デフォルト VLAN です。デフォルト VLAN で VLAN トンネリング機能を使用する場合
は,switchport trunk native vlan でネイティブ VLAN にデフォルト VLAN 以外の VLAN を設定してく
ださい。
(4) フレームの User Priority について
VLAN トンネリングを使用する場合の User Priority については,「コンフィグレーションガイド Vol.2
3.7 マーカー解説」を参照してください。
381
21 VLAN 拡張機能
21.2 VLAN トンネリングのコンフィグレーション
21.2.1 コンフィグレーションコマンド一覧
VLAN トンネリングのコンフィグレーションコマンド一覧を次の表に示します。
表 21‒1 コンフィグレーションコマンド一覧
コマンド名 説明 switchport access switchport mode
アクセス回線をトンネリングポートで設定します。
アクセス回線,バックボーン回線を設定するためにポートの種類を設定します。 switchport trunk mtu ※
バックボーン回線を設定します。
バックボーン回線でジャンボフレームを設定します。
注※
「コンフィグレーションコマンドレファレンス Vol.1 10. イーサネット」を参照してください。
21.2.2 VLAN トンネリングの設定
(1) アクセス回線,バックボーン回線の設定
[設定のポイント]
VLAN トンネリング機能はポート VLAN を使用し,アクセス回線をトンネリングポート,バックボー
ン回線をトランクポートで設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。
2. (config-if)# switchport mode dot1q-tunnel
(config-if)# switchport access vlan 10
ポート 1/0/1 をトンネリングポートに設定します。また,VLAN 10 を設定します。
トランクポートのコンフィグレーションについては,「20.4 ポート VLAN のコンフィグレーション」を
参照してください。
(2) バックボーン回線のジャンボフレームの設定
[設定のポイント]
バックボーン回線は VLAN Tag をスタックするため通常より 4 バイト以上大きいサイズのフレームを
扱います。そのため,ジャンボフレームを設定する必要があります。
[コマンドによる設定]
ジャンボフレームのコンフィグレーションについては,「16.2.5 ジャンボフレームの設定」を参照し
てください。
382
21 VLAN 拡張機能
21.3 Tag 変換の解説
21.3.1 概要
Tag 変換は,Tagged フレームをレイヤ 2 スイッチ中継する際に,フレームの VLAN Tag の VLAN ID
フィールドを別の値に変換する機能です。この機能によって,異なる VLAN ID で設定した既設の VLAN
を一つの VLAN として接続できるようになります。
Tag 変換は,トランクポートで指定します。Tag 変換を使用しない場合は,VLAN Tag の VLAN ID
フィールドにその VLAN の VLAN ID を使用します。Tag 変換を指定した場合はその ID を使用します。
Tag 変換の構成例を次の図に示します。図では,ポート 1 で Tag 変換が未指定であり,ポート 2 および
ポート 3 にそれぞれ Tag 変換を設定し,VLAN Tag の VLAN ID フィールドを変換して中継します。ま
た,フレームを受信する際にも,各ポートで設定した ID の VLAN Tag のフレームを VLAN 100 で扱い
ます。
図 21‒2 Tag 変換の構成例
21.3.2 Tag 変換使用時の注意事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
383
21 VLAN 拡張機能
21.4 Tag 変換のコンフィグレーション
21.4.1 コンフィグレーションコマンド一覧
Tag 変換のコンフィグレーションコマンド一覧を次の表に示します。
表 21‒2 コンフィグレーションコマンド一覧
コマンド名 switchport vlan mapping switchport vlan mapping enable
説明
変換する ID を設定します。
指定したポートで Tag 変換を有効にします。
21.4.2 Tag 変換の設定
Tag 変換を設定する手順を次の図に示します。ここでは,図に示す構成のポート 1/0/2 の設定例を示しま
す。
構成例では,ポート 1/0/2 に Tag 変換を適用します。ポート 1/0/2 では,VLAN 100 のフレームの送受
信は VLAN Tag 1000 で行い,VLAN 200 のフレームの送受信は VLAN Tag 100 で行います。このよ
うに,VLAN 100 で Tag 変換を行った場合,ほかの VLAN で VLAN Tag 100 を使用することもできま
す。また,ポート 1/0/2 では VLAN Tag 200 のフレームを VLAN 200 として扱わないで,未設定の
VLAN Tag として廃棄します。
図 21‒3 Tag 変換の設定例
384
[設定のポイント]
Tag 変換は,Tag 変換を有効にする設定と,変換する ID を設定することによって動作します。Tag 変
換の設定はトランクポートだけ有効です。
Tag 変換は switchport vlan mapping コマンドで設定します。設定した変換を有効にするためには, switchport vlan mapping enable コマンドを設定します。Tag 変換を有効にすると,そのポートで変
換を設定していない VLAN はフレームの送受信を停止します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/2
(config-if)# switchport mode trunk
21 VLAN 拡張機能
(config-if)# switchport trunk allowed vlan 100,200
ポート 1/0/2 をトランクポートに設定して,VLAN 100,200 を設定します。
2. (config-if)# switchport vlan mapping 1000 100
(config-if)# switchport vlan mapping 100 200
ポート 1/0/2 で VLAN 100,200 に Tag 変換を設定します。VLAN 100 では VLAN Tag 1000 でフ
レームを送受信して,VLAN 200 では VLAN Tag 100 でフレームを送受信するように設定します。
3. (config-if)# switchport vlan mapping enable
ポート 1/0/2 で Tag 変換を有効にします。本コマンドを設定するまでは Tag 変換は動作しません。
[注意事項]
Tag 変換を使用するポートは,そのポートのすべての VLAN で Tag 変換の設定をする必要がありま
す。変換しない VLAN の場合は,同じ値に変換する設定を行ってください。なお,Tag 変換の収容条
件はコンフィグレーションの設定数で 768 で,同じ値に変換する設定も含まれます。
385
21 VLAN 拡張機能
21.5 L2 プロトコルフレーム透過機能の解説
21.5.1 概要
この機能は,レイヤ 2 のプロトコルフレームを中継する機能です。中継するフレームにはスパニングツ
リーの BPDU,IEEE802.1X の EAPOL があります。通常,これらレイヤ 2 のプロトコルフレームは中継
しません。
中継するフレームは本装置では単なるマルチキャストフレームとして扱い,本装置のプロトコルには使用し
ません。
(1) BPDU フォワーディング機能
本装置でスパニングツリーを使用しない場合に BPDU を中継できます。VLAN トンネリングでこの機能
を使用すると,ユーザの BPDU を通過させることができます。その際,VLAN トンネリング網のすべての
エッジ装置,コア装置で BPDU フォワーディング機能を設定する必要があります。
(2) EAPOL フォワーディング機能
本装置で IEEE802.1X を使用しない場合に EAPOL を中継できます。本装置を,Authenticator と端末
(Supplicant)の間の L2 スイッチとして用いるときにこの機能を使用します。
図 21‒4 EAPOL フォワーディング機能の適用例
21.5.2 L2 プロトコルフレーム透過機能の注意事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
386
21 VLAN 拡張機能
21.6 L2 プロトコルフレーム透過機能のコンフィグ
レーション
21.6.1 コンフィグレーションコマンド一覧
L2 プロトコルフレーム透過機能のコンフィグレーションコマンド一覧を次の表に示します。
表 21‒3 コンフィグレーションコマンド一覧
コマンド名 l2protocol-tunnel eap l2protocol-tunnel stp
説明
IEEE802.1X の EAPOL を中継します。
スパニングツリーの BPDU を中継します。
21.6.2 L2 プロトコルフレーム透過機能の設定
(1) BPDU フォワーディング機能の設定
[設定のポイント]
本機能の設定は装置単位で有効になります。設定すると,BPDU をすべての VLAN で中継します。
BPDU フォワーディング機能は,本装置のスパニングツリーを停止してから設定する必要があります。
[コマンドによる設定]
1. (config)# spanning-tree disable
(config)# l2protocol-tunnel stp
BPDU フォワーディング機能を設定します。事前にスパニングツリーを停止し,BPDU フォワーディ
ング機能を設定します。本装置は BPDU をプロトコルフレームとして扱わないで中継します。
(2) EAPOL フォワーディング機能の設定
[設定のポイント]
本機能の設定は装置単位で有効になります。設定すると,EAPOL をすべての VLAN で中継します。
EAPOL フォワーディング機能と IEEE802.1X は同時に使用することはできません。
[コマンドによる設定]
1. (config)# l2protocol-tunnel eap
EAPOL フォワーディング機能を設定します。本装置は EAPOL をプロトコルフレームとして扱わない
で中継します。
387
21 VLAN 拡張機能
21.7 ポート間中継遮断機能の解説
21.7.1 概要
ポート間中継遮断機能は,指定したポートですべての通信を遮断する機能です。特定のポートからのアクセ
スだけを許可するサーバの接続や,直接の通信を遮断したい端末の接続などに適用することによってセキュ
リティを確保できます。
次の図に適用例を示します。この例では,管理者専用サーバは通常の端末からのアクセスを遮断して,管理
者専用端末からだけアクセスできます。また,端末間は直接の通信を遮断し,各端末のセキュリティを確保
します。
図 21‒5 ポート間中継遮断機能の適用例
21.7.2 ポート間中継遮断機能使用時の注意事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
(2) 一つのポートに複数の VLAN を設定したポート間の遮断について
ポート間中継遮断機能は,VLAN 内のレイヤ 2 中継,VLAN 間のレイヤ 3 中継のどちらもすべての通信を
遮断します。トランクポートなどで一つのポートに複数の VLAN を設定したポート間での通信を遮断し
た場合,そのポート間では VLAN 間のレイヤ 3 中継もできなくなります。
388
21 VLAN 拡張機能
(3) スパニングツリーを同時に使用するときの注意事項
通信を遮断したポートでスパニングツリーを運用するとトポロジーによって通信できなくなる場合があり
ます。
(4) ポート間中継遮断機能で遮断されないフレームについて
ポート間中継遮断機能は,ハードウェアで中継するフレームだけを遮断します。ソフトウェアで送信するフ
レーム(自発,IP オプション付きパケットなど)は遮断しません。
389
21 VLAN 拡張機能
21.8 ポート間中継遮断機能のコンフィグレーション
21.8.1 コンフィグレーションコマンド一覧
ポート間中継遮断機能のコンフィグレーションコマンド一覧を次の表に示します。
表 21‒4 コンフィグレーションコマンド一覧
コマンド名 switchport isolation
説明
指定したポートへの中継を遮断します。
21.8.2 ポート間中継遮断機能の設定
ポート間中継遮断機能を設定する手順を次に示します。ここでは,図に示す構成の設定例を示します。
構成例では,ポート 1/0/1 からポート 1/0/4 への通信を遮断します。また,ポート 1/0/1,1/0/2 間の通
信を遮断します。ポート 1/0/3 はどのポートとも通信が可能です。
図 21‒6 ポート間中継遮断機能の設定例
390
[設定のポイント]
ポート間中継遮断機能は,イーサネットインタフェースコンフィグレーションモードで,そのポートか
らの通信を許可しないポートを指定することで設定します。通信を双方向で遮断するためには,遮断し
たい各ポートで設定する必要があります。
[コマンドによる設定]
21 VLAN 拡張機能
1. (config)# interface gigabitethernet 1/0/1
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行します。
2. (config-if)# switchport isolation interface gigabitethernet 1/0/2, gigabitethernet 1/0/4
(config-if)# exit
ポート 1/0/1 でポート 1/0/2,1/0/4 からの中継を遮断します。この設定で,ポート 1/0/1 から発信
する片方向の中継を遮断します。
3. (config)# interface gigabitethernet 1/0/2
(config-if)# switchport isolation interface gigabitethernet 1/0/1
(config-if)# exit
ポート 1/0/2 のイーサネットインタフェースコンフィグレーションモードに移行し,ポート 1/0/2 で
ポート 1/0/1 からの中継を遮断します。この設定によって,ポート 1/0/1,1/0/2 間は双方向で通信
を遮断します。
4. (config)# interface gigabitethernet 1/0/4
(config-if)# switchport isolation interface gigabitethernet 1/0/1
ポート 1/0/4 のイーサネットインタフェースコンフィグレーションモードに移行し,ポート 1/0/4 で
ポート 1/0/1 からの中継を遮断します。この設定によって,ポート 1/0/1,1/0/4 間は双方向で通信
を遮断します。
21.8.3 遮断するポートの変更
[設定のポイント] switchport isolation add コマンドおよび switchport isolation remove コマンドでポート間中継遮
断機能で遮断するポートを変更します。すでに設定したポートで switchport isolation <interface-id list>によって一括して指定した場合,指定した設定に置き換わります。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# switchport isolation interface gigabitethernet 1/0/2-10
ポート 1/0/1 のイーサネットインタフェースコンフィグレーションモードに移行し,ポート 1/0/1 か
らポート 1/0/2〜1/0/10 への中継を遮断します。
2. (config-if)# switchport isolation interface add gigabitethernet 1/0/11
(config-if)# switchport isolation interface remove gigabitethernet 1/0/5
ポート 1/0/1 からの遮断にポート 1/0/11 を追加します。また,ポート 1/0/5 の設定を解除します。
この状態で,ポート 1/0/1 はポート 1/0/2〜1/0/4,1/0/6〜1/0/11 への通信を遮断します。
3. (config-if)# switchport isolation interface gigabitethernet 1/0/3-4
ポート 1/0/1 からの中継を遮断するポートを 1/0/3〜1/0/4 に設定します。以前の設定はすべて上書
きされ,ポート 1/0/3〜1/0/4 だけ遮断しそのほかのポートは通信を可能とします。
391
21 VLAN 拡張機能
21.9 VLAN debounce 機能の解説
21.9.1 概要
VLAN インタフェースは VLAN が通信可能な状態になったときにアップし,VLAN のポートがダウンし
た場合や,スパニングツリーなどの機能でブロッキング状態になり通信できなくなった場合にダウンしま
す。
VLAN debounce 機能は,VLAN インタフェースのアップやダウンを遅延させて,ネットワークトポロ
ジーの変更や,ログメッセージ,SNMP 通知などを削減する機能です。
スパニングツリーや Ring Protocol などレイヤ 2 での冗長構成を使用したときに障害が発生した場合,通
常レイヤ 3 のトポロジー変更と比べて短い時間で代替経路へ切り替わります。VLAN debounce 機能に
よってレイヤ 2 での代替経路への切替時間まで VLAN インタフェースのダウンを遅延させると,レイヤ 3
のトポロジーを変化させずにすみ,通信の可用性を確保できます。
レイヤ 3 での冗長構成を使用する場合,マスター側に障害が発生したあとの回復時に,両系がマスターと
して動作することを防ぐために VLAN インタフェースのアップを遅延させたいとき,VLAN debounce 機
能で VLAN インタフェースのアップを遅延できます。
21.9.2 VLAN debounce 機能と他機能との関係
(1) スパニングツリー
スパニングツリーでは,ポートに障害が発生して代替経路へ変更されるまでに,スパニングツリーのトポロ
ジーの変更に必要な時間が掛かります。この間に VLAN インタフェースをダウンさせたくない場合は,
VLAN インタフェースのダウン遅延時間をトポロジーの変更に必要な時間以上に設定してください。
(2) Ring Protocol
Ring Protocol を使用する場合,マスタノードではプライマリポートがフォワーディング,セカンダリポー
トがブロッキングとなっています。VLAN debounce 機能を使わない場合,プライマリポートで障害が発
生するといったん VLAN インタフェースがダウンし,セカンダリポートのブロッキングが解除されると再
び VLAN インタフェースがアップします。
このようなときに VLAN がいったんダウンすることを防ぐためには,VLAN インタフェースのダウン遅延
時間を設定してください。なお,ダウン遅延時間は health-check holdtime コマンドで設定する保護時間
以上に設定してください。
(3) その他の冗長化機能
スパニングツリーや Ring Protocol 以外の冗長化を使用する場合でも,VLAN が短時間にアップやダウン
を繰り返すときには,VLAN debounce 機能を使用するとアップやダウンを抑止できます。
21.9.3 VLAN debounce 機能使用時の注意事項
(1) ダウン遅延時間の注意事項
ダウン遅延時間を設定すると,回復しない障害が発生した場合でも VLAN のダウンが遅延します。VLAN debounce 機能でダウンが遅延している間は,通信できない状態です。ダウン遅延時間は,ネットワークの
構成や運用に応じて必要な値を設定してください。
392
21 VLAN 拡張機能
VLAN に status コマンドで suspend を設定した場合や VLAN のポートをすべて削除した場合など,コン
フィグレーションを変更しないとその VLAN が通信可能とならない場合には,ダウン遅延時間を設定して
いても VLAN のダウンは遅延しません。
(2) アップ遅延時間の注意事項
アップ遅延時間を設定すると,いったんアップした VLAN がダウンしたあと,再度アップするときにアッ
プが遅延します。装置を再起動したり,restart vlan コマンドで VLAN プログラムを再起動したりすると,
VLAN は初期状態になるため,アップ遅延時間を設定していても VLAN のアップは遅延しません。
(3) 遅延時間の誤差に関する注意事項
アップまたはダウン遅延時間は,ソフトウェアのタイマを使用しているため,CPU 利用率が高い場合には
設定した時間より大きくなることがあります。
393
21 VLAN 拡張機能
21.10 VLAN debounce 機能のコンフィグレーショ
ン
21.10.1 コンフィグレーションコマンド一覧
VLAN debounce 機能のコンフィグレーションコマンド一覧を次の表に示します。
表 21‒5 コンフィグレーションコマンド一覧
コマンド名 down-debounce up-debounce
説明
VLAN インタフェースのダウン遅延時間を指定します。
VLAN インタフェースのアップ遅延時間を指定します。
21.10.2 VLAN debounce 機能の設定
VLAN debounce 機能を設定する手順を次に示します。
[設定のポイント]
VLAN debounce 機能の遅延時間は,ネットワーク構成および運用に合わせて最適な値を設定します。
[コマンドによる設定]
1. (config)# interface vlan 100
VLAN 100 の VLAN インタフェースモードに移行します。
2. (config-if)# down-debounce 2
(config-if)# exit
VLAN 100 のダウン遅延時間を 2 秒に設定します。
3. (config)# interface range vlan 201-300
VLAN 201-300 の複数 VLAN インタフェースモードに移行します。
4. (config-if-range)# down-debounce 3
(config-if-range)# exit
VLAN 201-300 のダウン遅延時間を 3 秒に設定します。
394
21 VLAN 拡張機能
21.11 レイヤ 2 中継遮断機能の解説
21.11.1 概要
レイヤ 2 中継遮断機能は,本装置内でレイヤ 2 中継をしないで,レイヤ 3 中継だけをする機能です。本機
能を使用すると,VLAN 内でブロードキャストフレームやマルチキャストフレームを含むすべてのフレー
ムをレイヤ 2 中継しません。
本機能は,ホテルやマンションなどで端末間の通信を遮断したい場合に利用できます。また,本機能を設定
して,複数の端末を一つの VLAN に収容することで,IP アドレスも有効に活用できます。
395
21 VLAN 拡張機能
21.12 レイヤ 2 中継遮断機能のコンフィグレーション
21.12.1 コンフィグレーションコマンド一覧
レイヤ 2 中継遮断機能のコンフィグレーションコマンド一覧を次の表に示します。
表 21‒6 コンフィグレーションコマンド一覧 l2-isolation
コマンド名 説明
VLAN 内のレイヤ 2 中継を遮断します。
21.12.2 レイヤ 2 中継遮断機能の設定
レイヤ 2 中継遮断機能を設定する手順を次に示します。
[コマンドによる設定]
1. (config)# l2-isolation
レイヤ 2 中継遮断機能を設定します。
396
21 VLAN 拡張機能
21.13 VLAN 拡張機能のオペレーション
21.13.1 運用コマンド一覧
VLAN 拡張機能の運用コマンド一覧を次の表に示します。
表 21‒7 運用コマンド一覧
コマンド名 show vlan
説明
VLAN 拡張機能の設定状態を確認します。
21.13.2 VLAN 拡張機能の確認
(1) VLAN の通信状態の確認
VLAN 拡張機能の設定状態を show vlan detail コマンドで確認できます。show vlan detail コマンドに
よる VLAN 拡張機能の確認方法を次の表に示します。
表 21‒8 show vlan detail コマンドによる VLAN 拡張機能の確認方法
機能 確認方法
VLAN トンネリング
Tag 変換
L2 プロトコルフレーム透過機能
先頭に”VLAN tunneling enabled”を表示します。
Port Information で”Tag-Translation”を表示します。
BPDU Forwarding,EAPOL Forwarding の欄に表示します。
図 21‒7 show vlan detail コマンドの実行結果
>show vlan 10 detail
Date 20XX/10/15 16:28:23 UTC
VLAN counts:1 VLAN tunneling enabled …1
VLAN ID:10 Type:Port based Status:Up
Learning:On Tag-Translation:On
BPDU Forwarding:On EAPOL Forwarding: …3
・
・
・
・
Port Information
1/0/5 Up Forwarding Tagged Tag-Translation:1000 …2
1/0/6 Down - Tagged Tag-Translation:2000 …2
1/0/7 Up Forwarding Tagged
>
1. VLAN トンネリングが有効であることを示します。
2. このポートに Tag 変換が設定されていることを示します。
3. BPDU フォワーディング機能が設定され,EAPOL フォワーディング機能が設定されていないことを示
します。
397
22
スパニングツリー
この章では,スパニングツリー機能の解説と操作方法について説明します。
399
22 スパニングツリー
22.1 スパニングツリーの概説
22.1.1 概要
スパニングツリープロトコルは,レイヤ 2 のループ防止プロトコルです。スパニングツリープロトコルを
使用することで,レイヤ 2 ネットワークを冗長化し,ループを防止できます。
スパニングツリーを適用したネットワークの概要を次の図に示します。
図 22‒1 スパニングツリーを適用したネットワークの概要
図の構成は,ネットワークのコアを担うスイッチを冗長化し,また,端末を収容するエッジスイッチからの
通信経路を冗長化しています。装置および通信経路を冗長化することで,通常の通信経路に障害が発生して
も代替の経路で通信を継続できます。
レイヤ 2 ネットワークを冗長化するとレイヤ 2 ループの構成になります。レイヤ 2 のループはブロード
キャストストームの発生や MAC アドレス学習が安定しないなどの問題を引き起こします。スパニングツ
リーは,冗長化してループ構成になったレイヤ 2 ネットワークで,通信を止める場所を選択して Blocking
状態とすることでループを防止するプロトコルです。
22.1.2 スパニングツリーの種類
本装置では,PVST+,シングルスパニングツリーおよびマルチプルスパニングツリーの 3 種類のスパニン
グツリーをサポートします。各スパニングツリーは構築の単位が異なります。スパニングツリーの種類と
概要について次の表に示します。
表 22‒1 スパニングツリーの種類
名称 構築単位
PVST+ VLAN 単位
概要
VLAN 単位にツリーを構築します。一つのポートに複数
の VLAN が所属している場合,VLAN ごとに異なるツ
リー構築結果を適用します。
400
22 スパニングツリー
名称
シングルスパニングツ
リー
マルチプルスパニングツ
リー
装置単位
構築単位
MST インスタンス単位
概要
装置全体のポートを対象としツリーを構築します。
VLAN 構成とは無関係に装置のすべてのポートにツリー
構築結果を適用します。
複数の VLAN をまとめた MST インスタンスというグ
ループごとにスパニングツリーを構築します。一つの
ポートに複数の VLAN が所属している場合,MST イン
スタンス単位に異なるツリー構築結果を適用します。
本装置では,上記で記述したスパニングツリーを単独または組み合わせて使用できます。スパニングツリー
の組み合わせと適用範囲を次の表に示します。
表 22‒2 スパニングツリーの組み合わせと適用範囲
PVST+単独
ツリー構築条件 トポロジー計算結果の適用範囲
PVST+が動作している VLAN には VLAN ごとのスパニングツ
リーを適用します。そのほかの VLAN はスパニングツリーを適用
しません。
本装置では,デフォルトでポート VLAN 上で PVST+が動作しま
す。
シングルスパニングツリー単独
PVST+とシングルスパニングツリーの組み合
わせ
全 VLAN にシングルスパニングツリーを適用します。
PVST+をすべて停止した構成です。
PVST+が動作している VLAN には VLAN ごとのスパニングツ
リーを適用します。そのほかの VLAN にはシングルスパニングツ
リーを適用します。
マルチプルスパニングツリー単独 全 VLAN にマルチプルスパニングツリーを適用します。
注 マルチプルスパニングツリーはほかのツリーと組み合わせて使用できません。
22.1.3 スパニングツリーと高速スパニングツリー
PVST+,シングルスパニングツリーには IEEE802.1D のスパニングツリーと IEEE802.1w の高速スパニ
ングツリーの 2 種類があります。それぞれ,PVST+と Rapid PVST+,STP と Rapid STP と呼びます。
スパニングツリープロトコルのトポロジー計算は,通信経路を変更する際にいったんポートを通信不可状態
(Blocking 状態)にしてから複数の状態を遷移して通信可能状態(Forwarding 状態)になります。IEEE
802.1D のスパニングツリーはこの状態遷移においてタイマによる状態遷移を行うため,通信可能となるま
でに一定の時間が掛かります。IEEE 802.1w の高速スパニングツリーはこの状態遷移でタイマによる待ち
時間を省略して高速な状態遷移を行うことで,トポロジー変更によって通信が途絶える時間を最小限にしま
す。
なお,マルチプルスパニングツリーは IEEE802.1s として規格化されたもので,状態遷移の時間は
IEEE802.1w と同等です。それぞれのプロトコルの状態遷移とそれに必要な時間を以下に示します。
表 22‒3 PVST+,STP(シングルスパニングツリー)の状態遷移
状態
Disable
状態の概要
ポートが使用できない状態です。使用可能となるとすぐに
Blocking に遷移します。
−
次の状態への遷移
401
22 スパニングツリー
状態
Blocking
Listening
Learning
Forwarding
状態の概要
通信不可の状態で,MAC アドレス学習も行いません。リンク
アップ直後またはトポロジーが安定して Blocking になるポート
もこの状態になります。
通信不可の状態で,MAC アドレス学習も行いません。該当ポー
トが Learning になる前に,トポロジーが安定するまで待つ期間
です。
通信不可の状態です。しかし,MAC アドレス学習は行います。
該当ポートが Forwarding になる前に,事前に MAC アドレス学
習を行う期間です。
通信可能の状態です。トポロジーが安定した状態です。
(凡例)−:該当なし
表 22‒4 Rapid PVST+,Rapid STP(シングルスパニングツリー)の状態遷移
状態
Disable
状態の概要
ポートが使用できない状態です。使用可能となるとすぐに
Discarding に遷移します。
Discarding
Learning
通信不可の状態で,MAC アドレス学習も行いません。該当ポー
トが Learning になる前に,トポロジーが安定するまで待つ期間
です。
通信不可の状態です。しかし,MAC アドレス学習は行います。
該当ポートが Forwarding になる前に,事前に MAC アドレス学
習を行う期間です。
Forwarding
(凡例)−:該当なし
通信可能の状態です。トポロジーが安定した状態です。
次の状態への遷移
20 秒(変更可能)または
BPDU を受信
15 秒(変更可能)
15 秒(変更可能)
−
−
次の状態への遷移
省略または 15 秒(変更可能)
省略または 15 秒(変更可能)
−
Rapid PVST+,Rapid STP では,対向装置からの BPDU 受信によって Discarding と Learning 状態を
省略します。この省略により,高速なトポロジー変更を行います。
高速スパニングツリーを使用する際は,以下の条件に従って設定してください。条件を満たさない場合,
Discarding,Learning を省略しないで高速な状態遷移を行わない場合があります。
• トポロジーの全体を同じプロトコル(Rapid PVST+または Rapid STP)で構築する(Rapid PVST
+と Rapid STP の相互接続は「22.3.2 アクセスポートの PVST+」を参照してください)。
• スパニングツリーが動作する装置間は Point-to-Point 接続する。
• スパニングツリーが動作する装置を接続しないポートでは PortFast を設定する。
22.1.4 スパニングツリートポロジーの構成要素
スパニングツリーのトポロジーを設計するためには,ブリッジやポートの役割およびそれらの役割を決定す
るために用いる識別子などのパラメータがあります。これらの構成要素とトポロジー設計における利用方
法を以下に示します。
402
22 スパニングツリー
(1) ブリッジの役割
ブリッジの役割を次の表に示します。スパニングツリーのトポロジー設計はルートブリッジを決定するこ
とから始まります。
表 22‒5 ブリッジの役割
ブリッジの役割
ルートブリッジ
指定ブリッジ
概要
トポロジーを構築する上で論理的な中心となるスイッチです。トポロジー内に一つだ
け存在します。
ルートブリッジ以外のスイッチです。ルートブリッジの方向からのフレームを転送す
る役割を担います。
(2) ポートの役割
ポートの役割を次の表に示します。指定ブリッジは 3 種類のポートの役割を持ちます。ルートブリッジ
は,以下の役割のうち,すべてのポートが指定ポートとなります。
表 22‒6 ポートの役割
ポートの役割
ルートポート
指定ポート
非指定ポート
概要
指定ブリッジからルートブリッジへ向かう通信経路のポートです。通信可能なポート
となります。
ルートポート以外の通信可能なポートです。ルートブリッジからの通信経路でトポロ
ジーの下流へ接続するポートです。
ルートポート,指定ポート以外のポートで,通信不可の状態のポートです。障害が発生
した際に通信可能になり代替経路として使用します。
(3) ブリッジ識別子
トポロジー内の装置を識別するパラメータをブリッジ識別子と呼びます。ブリッジ識別子が最も小さい装
置が優先度が高く,ルートブリッジとして選択されます。
ブリッジ識別子はブリッジ優先度(16bit)とブリッジ MAC アドレス(48bit)で構成されます。ブリッジ
優先度の下位 12bit は拡張システム ID です。拡張システム ID には,シングルスパニングツリー,マルチ
プルスパニングツリーの場合は 0 が設定され,PVST+の場合は VLAN ID が設定されます。ブリッジ識別
子を次の図に示します。
図 22‒2 ブリッジ識別子
403
22 スパニングツリー
(4) パスコスト
スイッチ上の各ポートの通信速度に対応するコスト値をパスコストと呼びます。指定ブリッジからルート
ブリッジへ到達するために経由するすべてのポートのコストを累積した値をルートパスコストと呼びます。
ルートブリッジへ到達するための経路が 2 種類以上ある場合,ルートパスコストが最も小さい経路を使用
します。
速度が速いポートほどパスコストを低くすることをお勧めしています。パスコストはデフォルト値がポー
トの速度に応じた値となっていて,コンフィグレーションで変更することもできます。
(5) ポート識別子
スイッチ内の各ポートを識別するパラメータをポート識別子と呼びます。ポート識別子は 2 台のスイッチ
間で 2 本以上の冗長接続をし,かつ各ポートでパスコストを変更できない場合に通信経路の選択に使用し
ます。ただし,2 台のスイッチ間の冗長接続はリンクアグリゲーションを使用することをお勧めします。リ
ンクアグリゲーションをサポートしていない装置と冗長接続するためにはスパニングツリーを使用してく
ださい。
ポート識別子はポート優先度(4bit)とポート番号(12bit)によって構成されます。ポート識別子を次の
図に示します。
図 22‒3 ポート識別子
22.1.5 スパニングツリーのトポロジー設計
スパニングツリーは,ブリッジ識別子,パスコストによってトポロジーを構築します。次の図に,トポロ
ジー設計の基本的な手順を示します。図の構成は,コアスイッチとして 2 台を冗長化して,エッジスイッ
チとして端末を収容するスイッチを配置する例です。
404
図 22‒4 スパニングツリーのトポロジー設計
22 スパニングツリー
(1) ブリッジ識別子によるルートブリッジの選出
ルートブリッジは,ブリッジ識別子の最も小さい装置を選出します。通常,ルートブリッジにしたい装置の
ブリッジ優先度を最も小さい値(最高優先度)に設定します。図の例では,本装置 A がルートブリッジに
なるように設定します。本装置 B,本装置 C は指定ブリッジとなります。
また,ルートブリッジに障害が発生した場合に代替のルートブリッジとして動作するスイッチを本装置 B
になるように設定します。本装置 C は最も低い優先度として設定します。
スパニングツリーのトポロジー設計では,図の例のようにネットワークのコアを担う装置をルートブリッジ
とし,代替のルートブリッジとしてコアを冗長化する構成をお勧めします。
(2) 通信経路の設計
ルートブリッジを選出した後,各指定ブリッジからルートブリッジに到達するための通信経路を決定しま
す。
(a) パスコストによるルートポートの選出
本装置 B,本装置 C では,ルートブリッジに到達するための経路を最も小さいルートパスコスト値になる
よう決定します。図の例は,すべてのポートがパスコスト 200000 としています。それぞれ直接接続した
ポートが最もルートパスコストが小さく,ルートポートとして選出します。
ルートパスコストの計算は,指定ブリッジからルートブリッジへ向かう経路で,各装置がルートブリッジの
方向で送信するポートのパスコストの総和で比較します。例えば,本装置 C の本装置 B を経由する経路は
パスコストが 400000 となりルートポートには選択されません。
パスコストは,ポートの速度が速いほど小さい値をデフォルト値に持ちます。また,ルートポートの選択に
はルートブリッジまでのコストの総和で比較します。そのため,速度の速いポートや経由する装置の段数が
少ない経路を優先して使用したい場合,通常はパスコスト値を変更する必要はありません。速度の遅いポー
トを速いポートより優先して経路として使用したい場合はコンフィグレーションで変更することによって
通信したい経路を設計します。
405
22 スパニングツリー
(b) 指定ポート,非指定ポートの選出
本装置 B,本装置 C 間の接続はルートポート以外のポートでの接続になります。このようなポートではど
れかのポートが非指定ポートとなって Blocking 状態になります。スパニングツリーは,このように片側が
Blocking 状態となることでループを防止します。
指定ポート,非指定ポートは次のように選出します。
• 装置間でルートパスコストが小さい装置が指定ポート,大きい装置が非指定ポートになります。
• ルートパスコストが同一の場合,ブリッジ識別子の小さい装置が指定ポート,大きい装置が非指定ポー
トになります。
図の例では,ルートパスコストは同一です。ブリッジ優先度によって本装置 B が指定ポート,本装置 C が
非指定ポートとなり,本装置 C が Blocking 状態となります。Blocking 状態になるポートを本装置 B にし
たい場合は,パスコストを調整して本装置 B のルートパスコストが大きくなるように設定します。
22.1.6 STP 互換モード
(1) 概要
Rapid PVST+,Rapid STP,およびマルチプルスパニングツリーで,対向装置が PVST+または STP の
場合,該当するポートは STP 互換モードで動作します。
STP 互換モードで動作すると,該当するポートで高速遷移が行われなくなり,通信復旧に時間が掛かるよ
うになります。
対向装置が Rapid PVST+,Rapid STP,およびマルチプルスパニングツリーに変わった場合,STP 互換
モードから復旧し,再び高速遷移が行われるようになりますが,タイミングによって該当するポートと対向
装置が STP 互換モードで動作し続けることがあります。
STP 互換モード復旧機能は,STP 互換モードで動作しているポートを強制的に復旧させ,正常に高速遷移
ができるようにします。
(2) 復旧機能
運用コマンド clear spanning-tree detected-protocol を実行することで,STP 互換モードから強制的に
復旧します。該当するポートのリンクタイプが point-to-point,shared のどちらの場合でも動作します。
(3) 自動復旧機能
該当するポートのリンクタイプが point-to-point の場合,STP 互換モード復旧機能が自動で動作します。
該当するポートが非指定ポートで STP 互換モードで動作した場合,該当するポートから RST BPDU また
は MST BPDU を送信することで,STP 互換モードを解除します。
該当するポートのリンクタイプが shared の場合,自動復旧モードが正しく動作できないため,自動復旧
モードは動作しません。
406
22 スパニングツリー
22.1.7 スパニングツリー共通の注意事項
(1) CPU の過負荷について
CPU が過負荷な状態になった場合,本装置が送受信する BPDU の廃棄が発生して,タイムアウトのメッ
セージ出力,トポロジー変更,一時的な通信断となることがあります。
(2) VLAN のダウンを伴うコンフィグレーションコマンドの設定について
コンフィグレーションコマンド no spanning-tree disable で本装置にスパニングツリー機能を適用する
と,全 VLAN が一時的にダウンします。
407
22 スパニングツリー
22.2 スパニングツリー動作モードのコンフィグレー
ション
スパニングツリーの動作モードを設定します。
コンフィグレーションを設定しない状態で本装置を起動すると,動作モードは pvst で動作します。
22.2.1 コンフィグレーションコマンド一覧
スパニングツリー動作モードのコンフィグレーションコマンド一覧を次の表に示します。
表 22‒7 コンフィグレーションコマンド一覧
コマンド名 spanning-tree disable spanning-tree mode spanning-tree single mode spanning-tree vlan mode
説明
スパニングツリー機能の停止を設定します。
スパニングツリー機能の動作モードを設定します。
シングルスパニングツリーの STP と Rapid STP を選択します。
VLAN ごとに PVST+と Rapid PVST+を選択します。
22.2.2 動作モードの設定
スパニングツリーは装置の動作モードを設定することで各種スパニングツリーを使用することができます。
装置の動作モードを次の表に示します。動作モードを設定しない場合,pvst モードで動作します。
動作モードに rapid-pvst を指定しても,シングルスパニングツリーのデフォルトは STP であることに注意
してください。
表 22‒8 スパニングツリー動作モード
コマンド名 spanning-tree disable spanning-tree mode pvst spanning-tree mode rapid-pvst spanning-tree mode mst
説明
スパニングツリーを停止します。
PVST+とシングルスパニングツリーを使用できます。デフォルトで PVST
+が動作します。シングルスパニングツリーはデフォルトでは動作しません。
PVST+とシングルスパニングツリーを使用できます。デフォルトで高速スパ
ニングツリーの Rapid PVST+が動作します。シングルスパニングツリーはデ
フォルトでは動作しません。
マルチプルスパニングツリーが動作します。
(1) 動作モード pvst の設定
[設定のポイント]
装置の動作モードを pvst に設定します。ポート VLAN を作成すると,その VLAN で自動的に PVST
+が動作します。VLAN ごとに Rapid PVST+に変更することもできます。
シングルスパニングツリーはデフォルトでは動作しないで,設定することで動作します。その際,デ
フォルトでは STP で動作し,Rapid STP に変更することもできます。
408
22 スパニングツリー
[コマンドによる設定]
1. (config)# spanning-tree mode pvst
スパニングツリーの動作モードを pvst に設定します。ポート VLAN で自動的に PVST+が動作しま
す。
2. (config)# spanning-tree vlan 10 mode rapid-pvst
VLAN 10 の動作モードを Rapid PVST+に変更します。ほかのポート VLAN は PVST+で動作し,
VLAN 10 は Rapid PVST+で動作します。
3. (config)# spanning-tree single
シングルスパニングツリーを動作させます。PVST+を使用していない VLAN に適用します。デフォ
ルトでは STP で動作します。
4. (config)# spanning-tree single mode rapid-stp
シングルスパニングツリーを Rapid STP に変更します。
(2) 動作モード rapid-pvst の設定
[設定のポイント]
装置の動作モードを rapid-pvst に設定します。ポート VLAN を作成すると,その VLAN で自動的に
Rapid PVST+が動作します。VLAN ごとに PVST+に変更することもできます。
シングルスパニングツリーはデフォルトでは動作しないで,設定することで動作します。動作モードに rapid-pvst を指定しても,シングルスパニングツリーのデフォルトは STP であることに注意してくだ
さい。
[コマンドによる設定]
1. (config)# spanning-tree mode rapid-pvst
スパニングツリーの動作モードを rapid-pvst に設定します。ポート VLAN で自動的に Rapid PVST
+が動作します。
2. (config)# spanning-tree vlan 10 mode pvst
VLAN 10 の動作モードを PVST+に変更します。ほかのポート VLAN は Rapid PVST+で動作し,
VLAN 10 は PVST+で動作します。
3. (config)# spanning-tree single
シングルスパニングツリーを動作させます。PVST+を使用していない VLAN に適用します。デフォ
ルトでは STP で動作します。
4. (config)# spanning-tree single mode rapid-stp
シングルスパニングツリーを Rapid STP に変更します。
(3) 動作モード mst の設定
[設定のポイント]
マルチプルスパニングツリーを使用する場合,装置の動作モードを mst に設定します。マルチプルスパ
ニングツリーはすべての VLAN に適用します。PVST+やシングルスパニングツリーとは併用できま
せん。
[コマンドによる設定]
1. (config)# spanning-tree mode mst
マルチプルスパニングツリーを動作させます。
409
22 スパニングツリー
(4) スパニングツリーを停止する設定
[設定のポイント]
スパニングツリーを使用しない場合,disable を設定することで本装置のスパニングツリーをすべて停
止します。
[コマンドによる設定]
1. (config)# spanning-tree disable
スパニングツリーの動作を停止します。
410
22 スパニングツリー
22.3 PVST+解説
PVST+は,VLAN 単位にツリーを構築します。VLAN 単位にツリーを構築できるため,ロードバランシ
ングが可能です。また,アクセスポートでは,シングルスパニングツリーで動作しているスイッチと接続で
きます。
22.3.1 PVST+によるロードバランシング
次の図に示すような本装置 A,B 間で冗長パスを組んだネットワークにおいてシングルスパニングツリーを
組んだ場合,各端末からサーバへのアクセスは本装置 A,B 間のポート 1 に集中します。そこで,複数の
VLAN を組み,PVST+によって VLAN ごとに別々のトポロジーとなるように設定することで冗長パスと
して使用できるようになり,さらに負荷分散を図れます。ポート優先度によるロードバランシングの例を次
の図に示します。
この例では,VLAN100 に対してはポート 1/0/1 のポート優先度をポート 1/0/2 より高く設定し,逆に
VLAN200 に対しては 1/0/2 のポート優先度をポート 1/0/1 より高く設定することで,各端末からサーバ
に対するアクセスを VLAN ごとに負荷分散を行っています。
図 22‒5 PVST+によるロードバランシング
411
22 スパニングツリー
22.3.2 アクセスポートの PVST+
(1) 解説
シングルスパニングツリーを使用している装置,または装置で一つのツリーを持つシングルスパニングツ
リーに相当する機能をサポートしている装置(以降,単にシングルスパニングツリーと表記します)と
PVST+を用いてネットワークを構築できます。シングルスパニングツリーで運用している装置をエッジ
スイッチ,本装置をコアスイッチに配置して使います。このようなネットワークを構築することで,次のメ
リットがあります。
• エッジスイッチに障害が発生しても,ほかのエッジスイッチにトポロジー変更の影響が及ばない。
• コアスイッチ間でロードバランスができる。
シングルスパニングツリーとは,アクセスポートで接続できます。構成例を次の図に示します。この例で
は,エッジスイッチでシングルスパニングツリーを動作させ,コアスイッチで PVST+を動作させていま
す。コアスイッチではエッジスイッチと接続するポートをアクセスポートとしています。各エッジスイッ
チはそれぞれ単一の VLAN を設定しています。
図 22‒6 シングルスパニングツリーとの接続
(2) アクセスポートでシングルスパニングツリーを混在させた場合
PVST+とシングルスパニングツリーを混在して設定している場合,アクセスポートでは,シングルスパニ
ングツリーは停止状態(Disable)になります。
412
22 スパニングツリー
(3) 構成不一致検出機能
同一 VLAN で接続しているポートについて,本装置でアクセスポート,プロトコルポート,MAC ポート
のどれかを設定(Untagged フレームを使用)し,対向装置ではトランクポートを設定(Tagged フレーム
を使用)した場合,該当 VLAN では通信できないポートとなります。このようなポートを構成不一致とし
て検出します。検出する条件は,本装置がアクセスポートで,対向装置でトランクポートを設定(Tagged
フレームを使用)した場合です。この場合,該当するポートを停止状態(Disable)にします。対向装置で
トランクポートの設定(Tagged フレームを使用)を削除すれば,hello-time 値×3 秒(デフォルトは 6
秒)後に,自動的に停止状態を解除します。
22.3.3 PVST+使用時の注意事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
(2) VLAN 1(デフォルト VLAN)の PVST+とシングルスパニングツリーについて
シングルスパニングツリーと VLAN 1 の PVST+を同時に動作させることはできません。シングルスパニ
ングツリーを動作させると VLAN 1 の PVST+は停止します。
(3) 禁止構成
本装置とシングルスパニングツリーで動作する装置は,単一のスパニングツリーで構成してください。複数
のスパニングツリーで構成すると正しいトポロジーになりません。
禁止構成の例を次の図に示します。この例では,装置 E のシングルスパニングツリーが複数の PVST+スパ
ニングツリーとトポロジーを構成しているため,正しいトポロジーになりません。
図 22‒7 シングルスパニングツリーとの禁止構成例
413
22 スパニングツリー
22.4 PVST+のコンフィグレーション
22.4.1 コンフィグレーションコマンド一覧
PVST+のコンフィグレーションコマンド一覧を次の表に示します。
表 22‒9 コンフィグレーションコマンド一覧
コマンド名 説明 spanning-tree cost spanning-tree pathcost method spanning-tree port-priority spanning-tree vlan spanning-tree vlan cost spanning-tree vlan forward-time spanning-tree vlan hello-time spanning-tree vlan max-age spanning-tree vlan pathcost method spanning-tree vlan port-priority
ポートごとにパスコストのデフォルト値を設定します。
ポートごとにパスコストに使用する値の幅のデフォルト値を設定しま
す。
ポートごとにポート優先度のデフォルト値を設定します。
PVST+の動作,停止を設定します。
VLAN ごとにパスコスト値を設定します。
ポートの状態遷移に必要な時間を設定します。
BPDU の送信間隔を設定します。
送信 BPDU の最大有効時間を設定します。
VLAN ごとにパスコストに使用する値の幅を設定します。
VLAN ごとにポート優先度を設定します。 spanning-tree vlan priority ブリッジ優先度を設定します。 spanning-tree vlan transmission-limit hello-time 当たりに送信できる最大 BPDU 数を設定します。
22.4.2 PVST+の設定
[設定のポイント]
動作モード pvst,rapid-pvst を設定するとポート VLAN で自動的に PVST+が動作しますが,VLAN
ごとにモードの変更や PVST+の動作,停止を設定できます。停止する場合は,no spanning-tree vlan
コマンドを使用します。
VLAN を作成するときにその VLAN で PVST+を動作させたくない場合,no spanning-tree vlan コ
マンドを VLAN 作成前にあらかじめ設定しておくことができます。
[コマンドによる設定]
1. (config)# no spanning-tree vlan 20
VLAN 20 の PVST+の動作を停止します。
2. (config)# spanning-tree vlan 20
停止した VLAN 20 の PVST+を動作させます。
[注意事項]
• PVST+はコンフィグレーションに表示がないときは自動的に動作しています。no spanning-tree vlan コマンドで停止すると,停止状態であることがコンフィグレーションで確認できます。
414
22 スパニングツリー
• PVST+は最大 250 個のポート VLAN まで動作します。それ以上のポート VLAN を作成しても自
動的には動作しません。
22.4.3 PVST+のトポロジー設定
(1) ブリッジ優先度の設定
ブリッジ優先度は,ルートブリッジを決定するためのパラメータです。トポロジーを設計する際に,ルート
ブリッジにしたい装置を最高の優先度に設定し,ルートブリッジに障害が発生したときのために,次にルー
トブリッジにしたい装置を 2 番目の優先度に設定します。
[設定のポイント]
ブリッジ優先度は値が小さいほど高い優先度となり,最も小さい値を設定した装置がルートブリッジに
なります。ルートブリッジはブリッジ優先度と装置の MAC アドレスから成るブリッジ識別子で判定
するため,本パラメータを設定しない場合は装置の MAC アドレスが最も小さい装置がルートブリッジ
になります。
[コマンドによる設定]
1. (config)# spanning-tree vlan 10 priority 4096
VLAN 10 の PVST+のブリッジ優先度を 4096 に設定します。
(2) パスコストの設定
パスコストは通信経路を決定するためのパラメータです。スパニングツリーのトポロジー設計において,ブ
リッジ優先度決定後に,指定ブリッジのルートポート(指定ブリッジからルートブリッジへの通信経路)を
本パラメータで設計します。
[設定のポイント]
パスコスト値は指定ブリッジの各ポートに設定します。小さい値で設定することによってルートポー
トに選択されやすくなります。設定しない場合,ポートの速度ごとに異なるデフォルト値になり,高速
なポートほどルートポートに選択されやすくなります。
パスコストは,速度の遅いポートを速いポートより優先して経路として使用したい場合に設定します。
速いポートを優先したトポロジーとする場合は設定する必要はありません。
パスコスト値には short(16bit 値),long(32bit 値)の 2 種類があり,トポロジーの全体で合わせる
必要があります。速度が 10Gbit/s 以上のポートを使用する場合は long(32bit 値)を使用することを
お勧めします。デフォルトでは short(16bit 値)で動作します。イーサネットインタフェースの速度に
よる自動的な設定は,short(16bit 値)か long(32bit 値)かで設定内容が異なります。パスコストの
デフォルト値を次の表に示します。
表 22‒10 パスコストのデフォルト値
10Mbit/s
100Mbit/s
1Gbit/s
10Gbit/s
ポートの速度
4
2
100
19
パスコストのデフォルト値 short(16bit 値) long(32bit 値)
2000000
200000
20000
2000
415
22 スパニングツリー
ポートの速度
40Gbit/s【AX3800S】 2
パスコストのデフォルト値 short(16bit 値) long(32bit 値)
500
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree cost 100
(config-if)# exit
ポート 1/0/1 のパスコストを 100 に設定します。
2. (config)# spanning-tree pathcost method long
(config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree vlan 10 cost 200000 long(32bit 値)のパスコストを使用するように設定した後に,ポート 1/0/1 の VLAN 10 をコスト値
200000 に変更します。ポート 1/0/1 では VLAN 10 だけパスコスト 200000 となり,そのほかの
VLAN は 100 で動作します。
[注意事項]
リンクアグリゲーションを使用する場合,チャネルグループのパスコストのデフォルト値は,チャネル
グループ内の全ポートの合計ではなく一つのポートの速度の値となります。リンクアグリゲーション
の異速度混在モードを使用している場合は,最も遅いポートの速度の値となります。
(3) ポート優先度の設定
ポート優先度は 2 台の装置間での接続をスパニングツリーで冗長化し,パスコストも同じ値とする場合に,
どちらのポートを使用するかを決定するために設定します。
2 台の装置間の接続を冗長化する機能にはリンクアグリゲーションがあり,通常はリンクアグリゲーション
を使用することをお勧めします。接続する対向の装置がリンクアグリゲーションをサポートしていなくス
パニングツリーで冗長化する必要がある場合に本機能を使用してください。
[設定のポイント]
ポート優先度は値が小さいほど高い優先度となります。2 台の装置間で冗長化している場合に,ルート
ブリッジに近い側の装置でポート優先度の高いポートが通信経路として使われます。本パラメータを
設定しない場合はポート番号の小さいポートが優先されます。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree port-priority 64
(config-if)# exit
ポート 1/0/1 のポート優先度を 64 に設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree vlan 10 port-priority 144
ポート 1/0/1 の VLAN 10 をポート優先度 144 に変更します。ポート 1/0/1 では VLAN 10 だけ
ポート優先度 144 となり,そのほかの VLAN は 64 で動作します。
416
22 スパニングツリー
22.4.4 PVST+のパラメータ設定
各パラメータは「2×(forward-time−1) ≧ max-age ≧ 2×(hello-time + 1)」という関係を満たすよう
に設定する必要があります。パラメータを変える場合は,スパニングツリーを構築するすべての装置でパラ
メータを合わせる必要があります。
(1) BPDU の送信間隔の設定
BPDU の送信間隔は,短くした場合はトポロジー変更を検知しやすくなります。長くした場合はトポロ
ジー変更の検知までに時間が掛かるようになる一方で,BPDU トラフィックや本装置のスパニングツリー
プログラムの負荷を軽減できます。
[設定のポイント]
設定しない場合,2 秒間隔で BPDU を送信します。通常は設定する必要はありません。
[コマンドによる設定]
1. (config)# spanning-tree vlan 10 hello-time 3
VLAN 10 の PVST+の BPDU 送信間隔を 3 秒に設定します。
[注意事項]
BPDU の送信間隔を短くすると,トポロジー変更を検知しやすくなる一方で BPDU トラフィックが増
加することによりスパニングツリープログラムの負荷が増加します。本パラメータをデフォルト値(2
秒)より短くすることでタイムアウトのメッセージ出力やトポロジー変更が頻発する場合は,デフォル
ト値に戻して使用してください。
(2) 送信する最大 BPDU 数の設定
スパニングツリーでは,CPU 負荷の増大を抑えるために,hello-time(BPDU 送信間隔)当たりに送信す
る最大 BPDU 数を決めることができます。トポロジー変更が連続的に発生すると,トポロジー変更を通知,
収束するために大量の BPDU が送信され,BPDU トラフィックの増加,CPU 負荷の増大につながります。
送信する BPDU の最大数を制限することでこれらを抑えます。
[設定のポイント]
設定しない場合,hello-time(BPDU 送信間隔)当たりの最大 BPDU 数は 3 で動作します。本パラメー
タのコンフィグレーションは Rapid PVST+だけ有効であり,PVST+は 3(固定)で動作します。通
常は設定する必要はありません。
[コマンドによる設定]
1. (config)# spanning-tree vlan 10 transmission-limit 5
VLAN 10 の Rapid PVST+の hello-time 当たりの最大送信 BPDU 数を 5 に設定します。
(3) BPDU の最大有効時間の設定
ルートブリッジから送信する BPDU の最大有効時間を設定します。BPDU のカウンタは装置を経由する
たびに増加し,最大有効時間を超えた BPDU は無効な BPDU となって無視されます。
[設定のポイント]
最大有効時間を大きく設定することで,多くの装置に BPDU が届くようになります。設定しない場合,
最大有効時間は 20 で動作します。
[コマンドによる設定]
417
22 スパニングツリー
1. (config)# spanning-tree vlan 10 max-age 25
VLAN 10 の PVST+の BPDU の最大有効時間を 25 に設定します。
(4) 状態遷移時間の設定
PVST+モードまたは Rapid PVST+モードでタイマによる動作となる場合,ポートの状態が一定時間ごと
に遷移します。PVST+モードの場合は Blocking から Listening,Learning,Forwarding と遷移し,Rapid
PVST+モードの場合は Discarding から Learning,Forwarding と遷移します。この状態遷移に必要な時
間を設定できます。小さい値を設定すると,より早く Forwarding 状態に遷移できます。
[設定のポイント]
設定しない場合,状態遷移時間は 15 秒で動作します。本パラメータを短い時間に変更する場合,BPDU
の最大有効時間(max-age),送信間隔(hello-time)との関係が「2×(forward-time−1) ≧ max-age
≧ 2×(hello-time + 1)」を満たすように設定してください。
[コマンドによる設定]
1. (config)# spanning-tree vlan 10 forward-time 10
VLAN 10 の PVST+の状態遷移時間を 10 に設定します。
418
22 スパニングツリー
22.5 PVST+のオペレーション
22.5.1 運用コマンド一覧
PVST+の運用コマンド一覧を次の表に示します。
表 22‒11 運用コマンド一覧
コマンド名 show spanning-tree show spanning-tree statistics clear spanning-tree statistics clear spanning-tree detectedprotocol show spanning-tree port-count restart spanning-tree dump protocols spanning-tree
説明
スパニングツリー情報を表示します。
スパニングツリーの統計情報を表示します。
スパニングツリーの統計情報をクリアします。
スパニングツリーの STP 互換モードを強制回復します。
スパニングツリーの収容数を表示します。
スパニングツリープログラムを再起動します。
スパニングツリーで採取している詳細イベントトレース情報および制御
テーブル情報をファイルへ出力します。
22.5.2 PVST+の状態の確認
PVST+の情報は show spanning-tree コマンドの実行結果で示されます。Mode で PVST+,Rapid
PVST+の動作モードを確認できます。トポロジーが正しく構築されていることを確認するためには,Root
Bridge ID の内容が正しいこと,Port Information の Status,Role が正しいことを確認してください。
図 22‒8 show spanning-tree コマンドの実行結果
> show spanning-tree vlan 1
Date 20XX/09/04 11:39:43 UTC
VLAN 1 PVST+ Spanning Tree:Enabled Mode:PVST+
Bridge ID Priority:32769 MAC Address:0012.e205.0900
Bridge Status:Designated
Root Bridge ID Priority:32769 MAC Address:0012.e201.0900
Root Cost:1000
Root Port:0/1
Port Information
0/1 Up Status:Forwarding Role:Root
0/2 Up Status:Forwarding Role:Designated
0/3 Up Status:Blocking Role:Alternate
0/4 Down Status:Disabled Role:-
0/10 Up Status:Forwarding Role:Designated PortFast
0/11 Up Status:Forwarding Role:Designated PortFast
0/12 Up Status:Forwarding Role:Designated PortFast
>
419
22 スパニングツリー
22.6 シングルスパニングツリー解説
シングルスパニングツリーは装置全体を対象としトポロジーを構築します。
22.6.1 概要
シングルスパニングツリーは,一つのスパニングツリーですべての VLAN のループを回避できます。
VLAN ごとに制御する PVST+よりも多くの VLAN を扱えます。
シングルスパニングツリーによるネットワーク構成を次の図に示します。この図では,本装置 A,B,C に
対して,VLAN 10 および VLAN 20 を設定し,すべての VLAN で PVST+を停止しシングルスパニング
ツリーを適用しています。すべての VLAN で一つのトポロジーを使用して通信します。
図 22‒9 シングルスパニングツリーによるネットワーク構成
22.6.2 PVST+との併用
プロトコル VLAN,MAC VLAN では PVST+を使用できません。また,PVST+が動作可能な VLAN 数
は 250 個であり,それ以上の VLAN で使用することはできません。シングルスパニングツリーを使用する
ことで,PVST+を使用しながらこれらの VLAN にもスパニングツリーを適用できます。
シングルスパニングツリーは,PVST+が動作していないすべての VLAN に対し適用します。次の表に,
シングルスパニングツリーを PVST+と併用したときにシングルスパニングツリーの対象になる VLAN を
示します。
420
22 スパニングツリー
表 22‒12 シングルスパニングツリー対象の VLAN
項目
PVST+対象の VLAN
シングルスパニングツリー対
象の VLAN
VLAN
PVST+が動作している VLAN。
最大 250 個のポート VLAN は自動的に PVST+が動作します。
251 個目以上のポート VLAN。
PVST+を停止(no spanning-tree vlan コマンドで指定)している VLAN。
デフォルト VLAN(VLAN ID 1 のポート VLAN)。
プロトコル VLAN。
MAC VLAN。
22.6.3 シングルスパニングツリー使用時の注意事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
(2) VLAN 1(デフォルト VLAN)の PVST+とシングルスパニングツリーについて
シングルスパニングツリーと VLAN 1 の PVST+を同時に動作させることはできません。シングルスパニ
ングツリーを動作させると VLAN 1 の PVST+は停止します。
421
22 スパニングツリー
22.7 シングルスパニングツリーのコンフィグレーショ
ン
22.7.1 コンフィグレーションコマンド一覧
シングルスパニングツリーのコンフィグレーションコマンド一覧を次の表に示します。
表 22‒13 コンフィグレーションコマンド一覧
コマンド名 spanning-tree cost spanning-tree pathcost method spanning-tree port-priority spanning-tree single spanning-tree single cost spanning-tree single forward-time spanning-tree single hello-time spanning-tree single max-age spanning-tree single pathcost method spanning-tree single port-priority spanning-tree single priority spanning-tree single transmission-limit
説明
ポートごとにパスコストのデフォルト値を設定します。
ポートごとにパスコストに使用する値の幅のデフォルト値を設定し
ます。
ポートごとにポート優先度のデフォルト値を設定します。
シングルスパニングツリーの動作,停止を設定します。
シングルスパニングツリーのパスコストを設定します。
ポートの状態遷移に必要な時間を設定します。
BPDU の送信間隔を設定します。
送信 BPDU の最大有効時間を設定します。
シングルスパニングツリーのパスコストに使用する値の幅を設定し
ます。
シングルスパニングツリーのポート優先度を設定します。
ブリッジ優先度を設定します。 hello-time 当たりに送信できる最大 BPDU 数を設定します。
22.7.2 シングルスパニングツリーの設定
[設定のポイント]
シングルスパニングツリーの動作,停止を設定します。シングルスパニングツリーは,動作モード pvst,rapid-pvst を設定しただけでは動作しません。設定することによって動作を開始します。
VLAN 1(デフォルト VLAN)とシングルスパニングツリーは同時に使用できません。シングルスパニ
ングツリーを設定すると VLAN 1 の PVST+は停止します。
[コマンドによる設定]
1. (config)# spanning-tree single
シングルスパニングツリーを動作させます。この設定によって,VLAN 1 の PVST+が停止し,VLAN
1 はシングルスパニングツリーの対象となります。
2. (config)# no spanning-tree single
シングルスパニングツリーを停止します。VLAN 1 の PVST+を停止に設定していないで,かつすでに
250 個の PVST+が動作している状態でない場合,VLAN 1 の PVST+が自動的に動作を開始します。
422
22 スパニングツリー
22.7.3 シングルスパニングツリーのトポロジー設定
(1) ブリッジ優先度の設定
ブリッジ優先度は,ルートブリッジを決定するためのパラメータです。トポロジーを設計する際に,ルート
ブリッジにしたい装置を最高の優先度に設定し,ルートブリッジに障害が発生したときのために,次にルー
トブリッジにしたい装置を 2 番目の優先度に設定します。
[設定のポイント]
ブリッジ優先度は値が小さいほど高い優先度となり,最も小さい値を設定した装置がルートブリッジに
なります。ルートブリッジはブリッジ優先度と装置の MAC アドレスから成るブリッジ識別子で判定
するため,本パラメータを設定しない場合は装置の MAC アドレスが最も小さい装置がルートブリッジ
になります。
[コマンドによる設定]
1. (config)# spanning-tree single priority 4096
シングルスパニングツリーのブリッジ優先度を 4096 に設定します。
(2) パスコストの設定
パスコストは通信経路を決定するためのパラメータです。スパニングツリーのトポロジー設計において,ブ
リッジ優先度決定後に,指定ブリッジのルートポート(指定ブリッジからルートブリッジへの通信経路)を
本パラメータで設計します。
[設定のポイント]
パスコスト値は指定ブリッジの各ポートに設定します。小さい値で設定することによりルートポート
に選択されやすくなります。設定しない場合,ポートの速度ごとに異なるデフォルト値になり,高速な
ポートほどルートポートに選択されやすくなります。
パスコストは,速度の遅いポートを速いポートより優先して経路として使用したい場合に設定します。
速いポートを優先したトポロジーとする場合は設定する必要はありません。
パスコスト値には short(16bit 値),long(32bit 値)の 2 種類があり,トポロジーの全体で合わせる
必要があります。速度が 10Gbit/s 以上のポートを使用する場合は long(32bit 値)を使用することを
お勧めします。デフォルトでは short(16bit 値)で動作します。イーサネットインタフェースの速度に
よる自動的な設定は,short(16bit 値)か long(32bit 値)かで設定内容が異なります。パスコストの
デフォルト値を次の表に示します。
表 22‒14 パスコストのデフォルト値
ポートの速度
パスコストのデフォルト値 short(16bit 値) long(32bit 値)
10Mbit/s
100Mbit/s
1Gbit/s
10Gbit/s
40Gbit/s【AX3800S】
4
2
100
19
2
2000000
200000
20000
2000
500
[コマンドによる設定]
423
22 スパニングツリー
1. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree cost 100
(config-if)# exit
ポート 1/0/1 のパスコストを 100 に設定します。
2. (config)# spanning-tree pathcost method long
(config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree single cost 200000 long(32bit 値)のパスコストを使用するように設定した後に,シングルスパニングツリーのポート
1/0/1 のパスコストを 200000 に変更します。ポート 1/0/1 ではシングルスパニングツリーだけパス
コスト 200000 となり,同じポートで使用している PVST+は 100 で動作します。
[注意事項]
リンクアグリゲーションを使用する場合,チャネルグループのパスコストのデフォルト値は,チャネル
グループ内の全ポートの合計ではなく一つのポートの速度の値になります。リンクアグリゲーション
の異速度混在モードを使用している場合は,最も遅いポートの速度の値になります。
(3) ポート優先度の設定
ポート優先度は 2 台の装置間での接続をスパニングツリーで冗長化し,パスコストも同じ値とする場合に,
どちらのポートを使用するかを決定するために設定します。
2 台の装置間の接続を冗長化する機能にはリンクアグリゲーションがあり,通常はリンクアグリゲーション
を使用することをお勧めします。接続する対向の装置がリンクアグリゲーションをサポートしていないで,
スパニングツリーで冗長化する必要がある場合に本機能を使用してください。
[設定のポイント]
ポート優先度は値が小さいほど高い優先度となります。2 台の装置間で冗長化している場合に,ルート
ブリッジに近い側の装置でポート優先度の高いポートが通信経路として使われます。本パラメータを
設定しない場合はポート番号の小さいポートが優先されます。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree port-priority 64
(config-if)# exit
ポート 1/0/1 のポート優先度を 64 に設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree single port-priority 144
シングルスパニングツリーのポート 1/0/1 のポート優先度を 144 に変更します。ポート 1/0/1 では
シングルスパニングツリーだけポート優先度 144 となり,同じポートで使用している PVST+は 64 で
動作します。
22.7.4 シングルスパニングツリーのパラメータ設定
各パラメータは「2×(forward-time−1) ≧ max-age ≧ 2×(hello-time + 1)」という関係が成立するよ
うに設定する必要があります。パラメータを変える場合はトポロジー全体でパラメータを合わせる必要が
あります。
424
22 スパニングツリー
(1) BPDU の送信間隔の設定
BPDU の送信間隔は,短くした場合はトポロジー変更を検知しやすくなります。長くした場合はトポロ
ジー変更の検知までに時間が掛かるようになる一方で,BPDU トラフィックや本装置のスパニングツリー
プログラムの負荷を軽減できます。
[設定のポイント]
設定しない場合,2 秒間隔で BPDU を送信します。通常は設定する必要はありません。
[コマンドによる設定]
1. (config)# spanning-tree single hello-time 3
シングルスパニングツリーの BPDU 送信間隔を 3 秒に設定します。
[注意事項]
BPDU の送信間隔を短くすると,トポロジー変更を検知しやすくなる一方で BPDU トラフィックが増
加することによりスパニングツリープログラムの負荷が増加します。本パラメータをデフォルト値(2
秒)より短くすることによってタイムアウトのメッセージ出力やトポロジー変更が頻発する場合は,デ
フォルト値に戻して使用してください。
(2) 送信する最大 BPDU 数の設定
スパニングツリーでは,CPU 負荷の増大を抑えるために,hello-time(BPDU 送信間隔)当たりに送信す
る最大 BPDU 数を決めることができます。トポロジー変更が連続的に発生すると,トポロジー変更を通知,
収束するために大量の BPDU が送信され,BPDU トラフィックの増加,CPU 負荷の増大につながります。
送信する BPDU の最大数を制限することでこれらを抑えます。
[設定のポイント]
設定しない場合,hello-time(BPDU 送信間隔)当たりの最大 BPDU 数は 3 で動作します。本パラメー
タのコンフィグレーションは Rapid STP だけ有効であり,STP は 3(固定)で動作します。通常は設
定する必要はありません。
[コマンドによる設定]
1. (config)# spanning-tree single transmission-limit 5
シングルスパニングツリーの hello-time 当たりの最大送信 BPDU 数を 5 に設定します。
(3) BPDU の最大有効時間
ルートブリッジから送信する BPDU の最大有効時間を設定します。BPDU のカウンタは装置を経由する
たびに増加し,最大有効時間を超えた BPDU は無効な BPDU となって無視されます。
[設定のポイント]
最大有効時間を大きく設定することで,多くの装置に BPDU が届くようになります。設定しない場合,
最大有効時間は 20 で動作します。
[コマンドによる設定]
1. (config)# spanning-tree single max-age 25
シングルスパニングツリーの BPDU の最大有効時間を 25 に設定します。
425
22 スパニングツリー
(4) 状態遷移時間の設定
STP モードまたは Rapid STP モードでタイマによる動作となる場合,ポートの状態が一定時間ごとに遷移
します。STP モードの場合は Blocking から Listening,Learning,Forwarding と遷移し,Rapid STP
モードの場合は Discarding から Learning,Forwarding と遷移します。この状態遷移に必要な時間を設
定できます。小さい値を設定すると,より早く Forwarding 状態に遷移できます。
[設定のポイント]
設定しない場合,状態遷移時間は 15 秒で動作します。本パラメータを短い時間に変更する場合,BPDU
の最大有効時間(max-age),送信間隔(hello-time)との関係が「2×(forward-time−1) ≧ max-age
≧ 2×(hello-time + 1)」を満たすように設定してください。
[コマンドによる設定]
1. (config)# spanning-tree single forward-time 10
シングルスパニングツリーの状態遷移時間を 10 に設定します。
426
22 スパニングツリー
22.8 シングルスパニングツリーのオペレーション
22.8.1 運用コマンド一覧
シングルスパニングツリーの運用コマンド一覧を次の表に示します。
表 22‒15 運用コマンド一覧
コマンド名 show spanning-tree show spanning-tree statistics clear spanning-tree statistics clear spanning-tree detectedprotocol show spanning-tree port-count restart spanning-tree dump protocols spanning-tree
説明
スパニングツリー情報を表示します。
スパニングツリーの統計情報を表示します。
スパニングツリーの統計情報をクリアします。
スパニングツリーの STP 互換モードを強制回復します。
スパニングツリーの収容数を表示します。
スパニングツリープログラムを再起動します。
スパニングツリーで採取している詳細イベントトレース情報および制御
テーブル情報をファイルへ出力します。
22.8.2 シングルスパニングツリーの状態の確認
シングルスパニングツリーの情報は show spanning-tree コマンドで確認してください。Mode で STP,
Rapid STP の動作モードを確認できます。トポロジーが正しく構築されていることを確認するためには,
Root Bridge ID の内容が正しいこと,Port Information の Status,Role が正しいことを確認してくださ
い。
図 22‒10 シングルスパニングツリーの情報
> show spanning-tree single
Date 20XX/09/04 11:42:06 UTC
Single Spanning Tree:Enabled Mode:Rapid STP
Bridge ID Priority:32768 MAC Address:0012.e205.0900
Bridge Status:Designated
Root Bridge ID Priority:32768 MAC Address:0012.e205.0900
Root Cost:0
Root Port:-
Port Information
0/1 Up Status:Forwarding Role:Root
0/2 Up Status:Forwarding Role:Designated
0/3 Up Status:Blocking Role:Alternate
0/4 Down Status:Disabled Role:-
0/10 Up Status:Forwarding Role:Designated PortFast
0/11 Up Status:Forwarding Role:Designated PortFast
0/12 Up Status:Forwarding Role:Designated PortFast
>
427
22 スパニングツリー
22.9 マルチプルスパニングツリー解説
22.9.1 概要
マルチプルスパニングツリーには,次の特長があります。MST インスタンスによってロードバランシング
を可能にしています。また,MST リージョンによって,大規模なネットワーク構成を中小構成に分割する
ことでネットワーク設計が容易になります。以降,これらを実現するためのマルチプルスパニングツリーの
機能概要を説明します。
(1) MST インスタンス
マルチプルスパニングツリーは,複数の VLAN をまとめた MST インスタンス(MSTI:Multiple Spanning
Tree Instance)というグループごとにスパニングツリーを構築でき,MST インスタンスごとにロードバ
ランシングが可能です。PVST+によるロードバランシングでは,VLAN 数分のツリーが必要でしたが,マ
ルチプルスパニングツリーでは MST インスタンスによって,計画したロードバランシングに従ったツリー
だけで済みます。その結果,PVST+とは異なり VLAN 数の増加に比例した CPU 負荷およびネットワーク
負荷の増加を抑えられます。本装置では最大 16 個の MST インスタンスが設定できます。
MST インスタンスイメージを次の図に示します。
428
図 22‒11 MST インスタンスイメージ
22 スパニングツリー
(2) MST リージョン
マルチプルスパニングツリーでは,複数の装置をグルーピングして MST リージョンとして扱えます。同一
の MST リージョンに所属させるには,リージョン名,リビジョン番号,MST インスタンス ID と VLAN
の対応を同じにする必要があります。これらはコンフィグレーションで設定します。ツリーの構築は MST
リージョン間と MST リージョン内で別々に行い,MST リージョン内のトポロジーは MST インスタンス
単位に構築できます。
次に,MST リージョン間や MST リージョン内で動作するスパニングツリーについて説明します。
• CST
CST(Common Spanning Tree)は,MST リージョン間や,シングルスパニングツリーを使用して
いるブリッジ間の接続を制御するスパニングツリーです。このトポロジーはシングルスパニングツ
リーと同様で物理ポートごとに計算するのでロードバランシングすることはできません。
• IST
IST(Internal Spanning Tree)は,MST リージョン外と接続するために,MST リージョン内で
Default 動作するトポロジーのことを指し,MST インスタンス ID0 が割り当てられます。MST リー
ジョン外と接続しているポートを境界ポートと呼びます。また,リージョン内,リージョン間で MST
429
22 スパニングツリー
BPDU を送受信する唯一の MST インスタンスとなります。全 MST インスタンスのトポロジー情報
は,MST BPDU にカプセル化し通知します。
• CIST
CIST(Common and Internal Spanning Tree)は,IST と CST とを合わせたトポロジーを指しま
す。
マルチプルスパニングツリー概要を次の図に示します。
図 22‒12 マルチプルスパニングツリー概要
430
22 スパニングツリー
22.9.2 マルチプルスパニングツリーのネットワーク設計
(1) MST インスタンス単位のロードバランシング構成
マルチプルスパニングツリーでは,MST インスタンス単位にロードバランシングができます。ロードバラ
ンシング構成の例を次の図に示します。この例では,VLAN 10,20 を MST インスタンス 1 に,VLAN
30,40 を MST インスタンス 2 に設定して,二つのロードバランシングを行っています。マルチプルスパ
ニングツリーでは,この例のように四つの VLAN であっても二つのツリーだけを管理することでロードバ
ランシングができます。
図 22‒13 マルチプルスパニングツリーのロードバランシング構成
(2) MST リージョンによるネットワーク設計
ネットワーク構成が大規模になるに従ってネットワーク設計は複雑になりますが,MST リージョンによっ
て中小規模構成に分割することで,例えば,ロードバランシングを MST リージョン単位に実施できるた
め,ネットワーク設計が容易になります。
MST リージョンによるネットワーク設計例を次の図に示します。この例では,装置 A,B,C を MST リー
ジョン#1,装置 D,E,F を MST リージョン#2,本装置 G,H,I を MST リージョン#3 に設定して,
ネットワークを三つの MST リージョンに分割しています。
431
22 スパニングツリー
図 22‒14 MST リージョンによるネットワーク構成
22.9.3 ほかのスパニングツリーとの互換性
(1) シングルスパニングツリーとの互換性
マルチプルスパニングツリーは,シングルスパニングツリーで動作する STP,Rapid STP と互換性があり
ます。これらと接続した場合,別の MST リージョンと判断し接続します。Rapid STP と接続した場合は
高速な状態遷移を行います。
432
22 スパニングツリー
(2) PVST+との互換性
マルチプルスパニングツリーは,PVST+と互換性はありません。ただし,PVST+が動作している装置の
アクセスポートはシングルスパニングツリーと同等の動作をするため,マルチプルスパニングツリーと接続
できます。
22.9.4 マルチプルスパニングツリー使用時の注意事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
(2) MST リージョンについて
本装置と他装置で扱える VLAN の範囲が異なることがあります。そのような装置を同じ MST リージョン
として扱いたい場合は,該当 VLAN を MST インスタンス 0 に所属させてください。
(3) トポロジーの収束に時間が掛かる場合について
CIST のルートブリッジまたは MST インスタンスのルートブリッジで,次の表に示すイベントが発生する
と,トポロジーが落ち着くまでに時間が掛かる場合があります。その間,通信が途絶えたり,MAC アドレ
ステーブルのクリアが発生したりします。
表 22‒16 ルートブリッジでのイベント発生
イベント
コンフィグレー
ション変更
その他
内容
リージョン名(1),リビジョン番号(2),ま
たはインスタンス番号と VLAN の対応(3)
をコンフィグレーションで変更し,リー
ジョンを分割または同じにする場合
(1) MST コンフィグレーションモードの name コマンド
(2) MST コンフィグレーションモードの revision コマンド
(3) MST コンフィグレーションモードの instance コマンド
ブリッジ優先度を spanning-tree mst root priority コマンドで下げた(現状より
大きな値を設定した)場合
本装置が停止した場合
本装置と接続している対向装置で,ループ
構成となっている本装置の全ポートがダウ
ンした場合(本装置が当該ループ構成上
ルートブリッジではなくなった場合)
イベントの発生したルート
ブリッジ種別
CIST のルートブリッジ
MST インスタンス 0 (IST)
でのルートブリッジ
MST インスタンス 1 以降
でのルートブリッジ
CIST のルートブリッジ
MST インスタンス 1 以降
でのルートブリッジ
CIST のルートブリッジ
MST インスタンス 0 (IST)
でのルートブリッジ
MST インスタンス 1 以降
でのルートブリッジ
CIST のルートブリッジ
MST インスタンス 0 (IST)
でのルートブリッジ
影響トポロジー
CIST
CIST
当該 MST インス
タンス
CIST
当該 MST インス
タンス
CIST
CIST
当該 MST インス
タンス
CIST
CIST
433
22 スパニングツリー
イベント 内容
イベントの発生したルート
ブリッジ種別
MST インスタンス 1 以降
でのルートブリッジ
影響トポロジー
当該 MST インス
タンス
434
22 スパニングツリー
22.10 マルチプルスパニングツリーのコンフィグレー
ション
22.10.1 コンフィグレーションコマンド一覧
マルチプルスパニングツリーのコンフィグレーションコマンド一覧を次の表に示します。
表 22‒17 コンフィグレーションコマンド一覧 instance name revision
コマンド名 spanning-tree cost spanning-tree mode spanning-tree mst configuration
説明
マルチプルスパニングツリーの MST インスタンスに所属する VLAN を
設定します。
マルチプルスパニングツリーのリージョンを識別するための文字列を設
定します。
マルチプルスパニングツリーのリージョンを識別するためのリビジョン
番号を設定します。
ポートごとにパスコストのデフォルト値を設定します。
スパニングツリー機能の動作モードを設定します。
マルチプルスパニングツリーの MST リージョンの形成に必要な情報を設
定します。 spanning-tree mst cost spanning-tree mst forward-time spanning-tree mst hello-time spanning-tree mst max-age spanning-tree mst max-hops spanning-tree mst port-priority
マルチプルスパニングツリーの MST インスタンスごとのパスコストを設
定します。
ポートの状態遷移に必要な時間を設定します。
BPDU の送信間隔を設定します。
送信 BPDU の最大有効時間を設定します。
MST リージョン内での最大ホップ数を設定します。
マルチプルスパニングツリーの MST インスタンスごとのポート優先度を
設定します。 spanning-tree mst root priority MST インスタンスごとのブリッジ優先度を設定します。 spanning-tree mst transmission-limit hello-time 当たりに送信できる最大 BPDU 数を設定します。 spanning-tree port-priority ポートごとにポート優先度のデフォルト値を設定します。
22.10.2 マルチプルスパニングツリーの設定
(1) マルチプルスパニングツリーの設定
[設定のポイント]
スパニングツリーの動作モードをマルチプルスパニングツリーに設定すると,PVST+,シングルスパ
ニングツリーはすべて停止し,マルチプルスパニングツリーの動作を開始します。
[コマンドによる設定]
435
22 スパニングツリー
1. (config)# spanning-tree mode mst
マルチプルスパニングツリーを使用するように設定し,CIST が動作を開始します。
[注意事項] no spanning-tree mode コマンドでマルチプルスパニングツリーの動作モード設定を削除すると,デ
フォルトの動作モードである pvst になります。その際,ポート VLAN で自動的に PVST+が動作を開
始します。
(2) リージョン,インスタンスの設定
[設定のポイント]
MST リージョンは,同じリージョンに所属させたい装置はリージョン名,リビジョン番号,MST イン
スタンスのすべてを同じ設定にする必要があります。
MST インスタンスは,インスタンス番号と所属する VLAN を同時に設定します。リージョンを一致さ
せるために,本装置に未設定の VLAN ID もインスタンスに所属させることができます。インスタンス
に所属することを指定しない VLAN は自動的に CIST(インスタンス 0)に所属します。
MST インスタンスは,CIST(インスタンス 0)を含め 16 個まで設定できます。
[コマンドによる設定]
1. (config)# spanning-tree mst configuration
(config-mst)# name "REGION TOKYO"
(config-mst)# revision 1
マルチプルスパニングツリーコンフィグレーションモードに移り,name(リージョン名),revision
(リビジョン番号)の設定を行います。
2. (config-mst)# instance 10 vlans 100-150
(config-mst)# instance 20 vlans 200-250
(config-mst)# instance 30 vlans 300-350
インスタンス 10,20,30 を設定し,各インスタンスに所属する VLAN を設定します。インスタンス
10 に VLAN 100〜150,インスタンス 20 に VLAN 200〜250,インスタンス 30 に VLAN 300〜350
を設定します。指定していないそのほかの VLAN は CIST(インスタンス 0)に所属します。
22.10.3 マルチプルスパニングツリーのトポロジー設定
(1) インスタンスごとのブリッジ優先度の設定
ブリッジ優先度は,ルートブリッジを決定するためのパラメータです。トポロジーを設計する際に,ルート
ブリッジにしたい装置を最高の優先度に設定し,ルートブリッジに障害が発生したときのために,次にルー
トブリッジにしたい装置を2番目の優先度に設定します。
[設定のポイント]
ブリッジ優先度は値が小さいほど高い優先度になり,最も小さい値を設定した装置がルートブリッジに
なります。ルートブリッジはブリッジ優先度と装置の MAC アドレスから成るブリッジ識別子で判定
するため,本パラメータを設定しない場合は装置の MAC アドレスが最も小さい装置がルートブリッジ
になります。
マルチプルスパニングツリーのブリッジ優先度はインスタンスごとに設定します。インスタンスごと
に値を変えた場合,インスタンスごとのロードバランシング(異なるトポロジーの構築)ができます。
[コマンドによる設定]
436
22 スパニングツリー
1. (config)# spanning-tree mst 0 root priority 4096
(config)# spanning-tree mst 20 root priority 61440
CIST(インスタンス 0)のブリッジ優先度を 4096 に,インスタンス 20 のブリッジ優先度を 61440
に設定します。
(2) インスタンスごとのパスコストの設定
パスコストは通信経路を決定するためのパラメータです。スパニングツリーのトポロジー設計において,ブ
リッジ優先度決定後に,指定ブリッジのルートポート(指定ブリッジからルートブリッジへの通信経路)を
本パラメータで設計します。
[設定のポイント]
パスコスト値は指定ブリッジの各ポートに設定します。小さい値で設定することによってルートポー
トに選択されやすくなります。設定しない場合,ポートの速度ごとに異なるデフォルト値になり,高速
なポートほどルートポートに選択されやすくなります。
パスコストは,速度の遅いポートを速いポートより優先して経路として使用したい場合に設定します。
速いポートを優先したトポロジーとする場合は設定する必要はありません。
パスコストのデフォルト値を次の表に示します。
表 22‒18 パスコストのデフォルト値
ポートの速度 パスコストのデフォルト値
10Mbit/s
100Mbit/s
1Gbit/s
10Gbit/s
40Gbit/s【AX3800S】
2000000
200000
20000
2000
500
[コマンドによる設定]
1. (config)# spanning-tree mst configuration
(config-mst)# instance 10 vlans 100-150
(config-mst)# instance 20 vlans 200-250
(config-mst)# instance 30 vlans 300-350
(config-mst)# exit
(config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree cost 2000
MST インスタンス 10,20,30 を設定し,ポート 1/0/1 のパスコストを 2000 に設定します。CIST
(インスタンス 0),MST インスタンス 10,20,30 のポート 1/0/1 のパスコストは 2000 になります。
2. (config-if)# spanning-tree mst 20 cost 500
MST インスタンス 20 のポート 1/0/1 のパスコストを 500 に変更します。インスタンス 20 以外は
2000 で動作します。
[注意事項]
リンクアグリゲーションを使用する場合,チャネルグループのパスコストのデフォルト値は,チャネル
グループ内の全ポートの合計ではなく,一つのポートの速度の値となります。リンクアグリゲーション
の異速度混在モードを使用している場合は,最も遅いポートの速度の値となります。
437
22 スパニングツリー
(3) インスタンスごとのポート優先度の設定
ポート優先度は 2 台の装置間での接続をスパニングツリーで冗長化し,パスコストも同じ値とする場合に,
どちらのポートを使用するかを決定するために設定します。
2 台の装置間の接続を冗長化する機能にはリンクアグリゲーションがあり,通常はリンクアグリゲーション
を使用することをお勧めします。接続する対向の装置がリンクアグリゲーションをサポートしていなくス
パニングツリーで冗長化する必要がある場合に本機能を使用してください。
[設定のポイント]
ポート優先度は値が小さいほど高い優先度となります。2 台の装置間で冗長化している場合に,ルート
ブリッジに近い側の装置でポート優先度の高いポートが通信経路として使われます。本パラメータを
設定しない場合はポート番号の小さいポートが優先されます。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree port-priority 64
(config-if)# exit
ポート 1/0/1 のポート優先度を 64 に設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree mst 20 port-priority 144
インスタンス 20 のポート 1/0/1 にポート優先度 144 を設定します。ポート 1/0/1 ではインスタンス
20 だけポート優先度 144 となり,そのほかのインスタンスは 64 で動作します。
22.10.4 マルチプルスパニングツリーのパラメータ設定
各パラメータは「2×(forward-time−1) ≧ max-age ≧ 2×(hello-time + 1)」という関係が成立するよ
うに設定する必要があります。パラメータを変える場合はトポロジー全体でパラメータを合わせる必要が
あります。
(1) BPDU の送信間隔の設定
BPDU の送信間隔は,短くした場合はトポロジー変更を検知しやすくなります。長くした場合はトポロ
ジー変更の検知までに時間が掛かるようになる一方で,BPDU トラフィックや本装置のスパニングツリー
プログラムの負荷を軽減できます。
[設定のポイント]
設定しない場合,2 秒間隔で BPDU を送信します。通常は設定する必要はありません。
[コマンドによる設定]
1. (config)# spanning-tree mst hello-time 3
マルチプルスパニングツリーの BPDU 送信間隔を 3 秒に設定します。
[注意事項]
BPDU の送信間隔を短くすると,トポロジー変更を検知しやすくなる一方で BPDU トラフィックが増
加することによりスパニングツリープログラムの負荷が増加します。本パラメータをデフォルト値(2
秒)より短くすることによってタイムアウトのメッセージ出力やトポロジー変更が頻発する場合は,デ
フォルト値に戻して使用してください。
438
22 スパニングツリー
(2) 送信する最大 BPDU 数の設定
スパニングツリーでは,CPU 負荷の増大を抑えるために,hello-time(BPDU 送信間隔)当たりに送信す
る最大 BPDU 数を決めることができます。トポロジー変更が連続的に発生すると,トポロジー変更を通知,
収束するために大量の BPDU が送信され,BPDU トラフィックの増加,CPU 負荷の増大につながります。
送信する BPDU の最大数を制限することによりこれらを抑えます。
[設定のポイント]
設定しない場合,hello-time(BPDU 送信間隔)当たりの最大 BPDU 数は 3 で動作します。通常は設
定する必要はありません。
[コマンドによる設定]
1. (config)# spanning-tree mst transmission-limit 5
マルチプルスパニングツリーの hello-time 当たりの最大送信 BPDU 数を 5 に設定します。
(3) 最大ホップ数の設定
ルートブリッジから送信する BPDU の最大ホップ数を設定します。BPDU のカウンタは装置を経由する
たびに増加し,最大ホップ数を超えた BPDU は無効な BPDU となって無視されます。
シングルスパニングツリーの装置と接続しているポートは,最大ホップ数(max-hops)ではなく最大有効
時間(max-age)のパラメータを使用します。ホップ数のカウントはマルチプルスパニングツリーの装置
間で有効なパラメータです。
[設定のポイント]
最大ホップ数を大きく設定することによって,多くの装置に BPDU が届くようになります。設定しな
い場合,最大ホップ数は 20 で動作します。
[コマンドによる設定]
1. (config)# spanning-tree mst max-hops 10
マルチプルスパニングツリーの BPDU の最大ホップ数を 10 に設定します。
(4) BPDU の最大有効時間の設定
マルチプルスパニングツリーでは,最大有効時間(max-age)はシングルスパニングツリーの装置と接続
しているポートでだけ有効なパラメータです。トポロジー全体をマルチプルスパニングツリーが動作して
いる装置で構成する場合は設定する必要はありません。
最大有効時間は,ルートブリッジから送信する BPDU の最大有効時間を設定します。BPDU のカウンタは
装置を経由するたびに増加して,最大有効時間を超えた BPDU は無効な BPDU となって無視されます。
[設定のポイント]
最大有効時間を大きく設定することで,多くの装置に BPDU が届くようになります。設定しない場合,
最大有効時間は 20 で動作します。
[コマンドによる設定]
1. (config)# spanning-tree mst max-age 25
マルチプルスパニングツリーの BPDU の最大有効時間を 25 に設定します。
439
22 スパニングツリー
(5) 状態遷移時間の設定
タイマによる動作となる場合,ポートの状態が Discarding から Learning,Forwarding へ一定時間ごと
に遷移します。この状態遷移に必要な時間を設定できます。小さい値を設定すると,より早く Forwarding
状態に遷移できます。
[設定のポイント]
設定しない場合,状態遷移時間は 15 秒で動作します。本パラメータを短い時間に変更する場合,BPDU
の最大有効時間(max-age),送信間隔(hello-time)との関係が「2×(forward-time−1) ≧ max-age
≧ 2×(hello-time + 1)」を満たすように設定してください。
[コマンドによる設定]
1. (config)# spanning-tree mst forward-time 10
マルチプルスパニングツリーの状態遷移時間を 10 に設定します。
440
22 スパニングツリー
22.11 マルチプルスパニングツリーのオペレーション
22.11.1 運用コマンド一覧
マルチプルスパニングツリーの運用コマンド一覧を次の表に示します。
表 22‒19 運用コマンド一覧
コマンド名 show spanning-tree show spanning-tree statistics clear spanning-tree statistics clear spanning-tree detectedprotocol show spanning-tree port-count restart spanning-tree dump protocols spanning-tree
説明
スパニングツリー情報を表示します。
スパニングツリーの統計情報を表示します。
スパニングツリーの統計情報をクリアします。
スパニングツリーの STP 互換モードを強制回復します。
スパニングツリーの収容数を表示します。
スパニングツリープログラムを再起動します。
スパニングツリーで採取している詳細イベントトレース情報および制御
テーブル情報をファイルへ出力します。
22.11.2 マルチプルスパニングツリーの状態の確認
マルチプルスパニングツリーの情報は show spanning-tree コマンドで確認してください。トポロジーが
正しく構築されていることを確認するためには,次の項目を確認してください。
• リージョンの設定(Revision Level,Configuration Name,MST Instance の VLAN Mapped)が
正しいこと
• Regional Root の内容が正しいこと
• Port Information の Status,Role が正しいこと show spanning-tree コマンドの実行結果を次の図に示します。
図 22‒15 show spanning-tree コマンドの実行結果
> show spanning-tree mst
Date 20XX/09/04 11:41:03 UTC
Multiple Spanning Tree: Enabled
Revision Level: 65535 Configuration Name: MSTP001
CIST Information
VLAN Mapped: 1-99,151-4095 …1
CIST Root Priority: 32768 MAC : 0012.e207.7200
External Root Cost : 2000 Root Port: 0/1
Regional Root Priority: 32768 MAC : 0012.e207.7200
Internal Root Cost : 0
Bridge ID Priority: 32768 MAC : 0012.e205.0900
Regional Bridge Status : Designated
Port Information
0/1 Up Status:Forwarding Role:Root
0/2 Up Status:Discarding Role:Backup
0/3 Up Status:Discarding Role:Alternate
0/4 Up Status:Forwarding Role:Designated
MST Instance 10
VLAN Mapped: 100-150
Regional Root Priority: 32778 MAC : 0012.e207.7200
Internal Root Cost : 2000 Root Port: 0/1
441
22 スパニングツリー
Bridge ID Priority: 32778 MAC : 0012.e205.0900
Regional Bridge Status : Designated
Port Information
0/1 Up Status:Forwarding Role:Root
0/2 Up Status:Discarding Role:Backup
0/3 Up Status:Discarding Role:Alternate
0/4 Up Status:Forwarding Role:Designated
>
1. インスタンスマッピング VLAN(VLAN Mapped)の表示について
本装置は 1〜4094 の VLAN ID をサポートしていますが,リージョンの設定に用いる VLAN ID は規
格に従い 1〜4095 としています。表示は規格がサポートする VLAN ID1〜4095 がどのインスタンス
に所属しているか確認できるようにするため 1〜4095 を明示します。
442
22 スパニングツリー
22.12 スパニングツリー共通機能解説
22.12.1 PortFast
(1) 概要
PortFast は,端末が接続されループが発生しないことがあらかじめわかっているポートのための機能です。
PortFast はスパニングツリーのトポロジー計算対象外となり,リンクアップ後すぐに通信できる状態にな
ります。
(2) PortFast 適用時の BPDU 受信
PortFast を設定したポートは BPDU を受信しないことを想定したポートですが,もし,PortFast を設定
したポートで BPDU を受信した場合は,その先にスイッチが存在しループの可能性があることになります。
そのため,PortFast 機能を停止し,トポロジー計算や BPDU の送受信など,通常のスパニングツリー対象
のポートとしての動作を開始します。
いったんスパニングツリー対象のポートとして動作を開始した後,リンクのダウン/アップによって再び
PortFast 機能が有効になります。
なお,BPDU を受信したときに PortFast 機能を停止しないようにする場合は,BPDU フィルタ機能を併
用してください。
(3) PortFast 適用時の BPDU 送信
PortFast を設定したポートではスパニングツリーを動作させないため,BPDU の送信は行いません。
ただし,PortFast を設定したポート同士を誤って接続した状態を検出するために,PortFast 機能によって
即時に通信可状態になった時点から 10 フレームだけ BPDU の送信を行います。
(4) BPDU ガード
PortFast に適用する機能として,BPDU ガード機能があります。BPDU ガード機能を適用したポートで
は,BPDU 受信時に,スパニングツリー対象のポートとして動作するのではなくポートを inactive 状態に
します。 inactive 状態にしたポートを activate コマンドで解放することによって,再び BPDU ガード機能を適用し
た PortFast としてリンクアップして通信を開始します。
22.12.2 BPDU フィルタ
(1) 概要
BPDU フィルタ機能を適用したポートでは,BPDU の送受信を停止します。BPDU フィルタ機能は,端末
が接続されループが発生しないことがあらかじめわかっている,PortFast を設定したポートに適用します。
(2) BPDU フィルタに関する注意事項
PortFast を適用したポート以外に BPDU フィルタ機能を設定した場合,BPDU の送受信を停止するため,
タイマによるポートの状態遷移が終了するまで通信断になります。
443
22 スパニングツリー
22.12.3 ループガード
(1) 概要
片線切れなどの単一方向のリンク障害が発生し,BPDU の受信が途絶えた場合,ループが発生することが
あります。ループガード機能は,このような場合にループの発生を防止する機能です。
次の図に単一方向のリンク障害時の問題点を示します。
図 22‒16 単一方向のリンク障害時の問題点
444
ループガード機能とは BPDU の受信が途絶えたポートの状態を,再度 BPDU を受信するまで転送不可状
態に遷移させる機能です。BPDU 受信を開始した場合は通常のスパニングツリー対象のポートとしての動
作を開始します。
ループガード機能は,端末を接続するポートを指定する機能である PortFast を設定したポート,またはルー
トガード機能を設定したポートには設定できません。
22 スパニングツリー
(2) ループガードに関する注意事項
ループガードはマルチプルスパニングツリーでは使用できません。
ループガード機能を設定したあと,次に示すイベントが発生すると,ループガードが動作してポートをブ
ロックします。その後,BPDU を受信するまで,ループガードは解除されません。
• 装置起動
• ポートのアップ(リンクアグリゲーションのアップも含む)
• スパニングツリープログラムの再起動
• スパニングツリープロトコルの種別変更(STP/高速 STP,PVST+/高速 PVST+)
なお,ループガード機能は,指定ポートだけでなく対向装置にも設定してください。指定ポートだけに設定
すると,上記のイベントが発生しても,指定ポートは BPDU を受信しないことがあります。このような場
合,ループガードの解除に時間が掛かります。ループガードを解除するには,対向装置のポートで BPDU
受信タイムアウトを検出したあとの BPDU の送信を待つ必要があるためです。
また,両ポートにループガードを設定した場合でも,指定ポートで BPDU を一度も受信せずに,ループガー
ドの解除に時間が掛かることがあります。具体的には,対向ポートが指定ポートとなるようにブリッジや
ポートの優先度,パスコストを変更した場合です。対向ポートで BPDU タイムアウトを検出し,ループガー
ドが動作します。このポートが指定ポートになった場合,BPDU を受信しないことがあり,ループガード
の解除に時間が掛かることがあります。
運用中にループガード機能を設定した場合,その時点では,ループガードは動作しません。運用中に設定し
たループガードは,BPDU の受信タイムアウトが発生した時に動作します。
本装置と対向装置のポート間に BPDU を中継しない装置が存在し,かつポートの両端にループガード機能
を設定した状態でポートがリンクアップした場合,両端のポートはループガードが動作したままになりま
す。復旧するには,ポート間に存在する装置の BPDU 中継機能を有効にし,再度ポートをリンクアップさ
せる必要があります。
22.12.4 ルートガード
(1) 概要
ネットワークの管理の届かない個所で誤って装置が接続された場合や設定が変更された場合,意図しないト
ポロジーになることがあります。意図しないトポロジーのルートブリッジの性能が低い場合,トラフィック
が集中するとネットワーク障害のおそれがあります。ルートガード機能は,このようなときのためにルート
ブリッジの候補を特定しておくことによって,ネットワーク障害を回避する機能です。
誤って装置が接続されたときの問題点を次の図に示します。
• 本装置 A,本装置 B をルートブリッジの候補として運用
445
22 スパニングツリー
図 22‒17 本装置 A,本装置 B をルートブリッジの候補として運用
• 本装置 A,本装置 B よりブリッジ優先度の高い本装置 C を接続すると,本装置 C がルートブリッジに
なり,本装置 C にトラフィックが集中するようになる
図 22‒18 本装置 A,本装置 B よりブリッジ優先度の高い本装置 C を接続
ルートガード機能は,現在のルートブリッジよりも優先度の高いブリッジを検出し,BPDU を廃棄するこ
とによってトポロジーを保護します。また,該当するポートをブロック状態に設定することでループを回避
します。ルートガード機能は,ループガード機能を設定したポートには設定できません。
446
22 スパニングツリー
22.13 スパニングツリー共通機能のコンフィグレー
ション
22.13.1 コンフィグレーションコマンド一覧
スパニングツリー共通機能のコンフィグレーションコマンド一覧を次の表に示します。
表 22‒20 コンフィグレーションコマンド一覧
コマンド名 spanning-tree bpdufilter spanning-tree bpduguard spanning-tree guard spanning-tree link-type spanning-tree loopguard default spanning-tree portfast spanning-tree portfast bpduguard default spanning-tree portfast default
説明
ポートごとに BPDU フィルタ機能を設定します。
ポートごとに BPDU ガード機能を設定します。
ポートごとにループガード機能,ルートガード機能を設定します。
ポートのリンクタイプを設定します。
ループガード機能をデフォルトで使用するように設定します。
ポートごとに PortFast 機能を設定します。
BPDU ガード機能をデフォルトで使用するように設定します。
PortFast 機能をデフォルトで使用するように設定します。
22.13.2 PortFast の設定
(1) PortFast の設定
PortFast は,端末を接続するポートなど,ループが発生しないことがあらかじめわかっているポートを直
ちに通信できる状態にしたい場合に適用します。
[設定のポイント] spanning-tree portfast default コマンドを設定すると,アクセスポート,プロトコルポート,MAC
ポートにデフォルトで PortFast 機能を適用します。デフォルトで適用してポートごとに無効にしたい
場合は,spanning-tree portfast disable コマンドを設定します。
トランクポートでは,ポートごとの指定で適用できます。
[コマンドによる設定]
1. (config)# spanning-tree portfast default
すべてのアクセスポート,プロトコルポート,MAC ポートに対して PortFast 機能を適用するように設
定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# switchport mode access
(config-if)# spanning-tree portfast disable
(config-if)# exit
ポート 1/0/1(アクセスポート)で PortFast 機能を使用しないように設定します。
3. (config)# interface gigabitethernet 1/0/3
447
22 スパニングツリー
(config-if)# switchport mode trunk
(config-if)# spanning-tree portfast trunk
ポート 1/0/3 をトランクポートに指定し,PortFast 機能を適用します。トランクポートはデフォルト
では適用されません。ポートごとに指定するためには trunk パラメータを指定する必要があります。
(2) BPDU ガードの設定
BPDU ガード機能は,PortFast を適用したポートで BPDU を受信した場合にそのポートを inactive 状態
にします。通常,PortFast 機能は冗長経路ではないポートを指定し,ポートの先にはスパニングツリー装
置がないことを前提とします。BPDU を受信したことによる意図しないトポロジー変更を回避したい場合
に設定します。
[設定のポイント]
BPDU ガード機能を設定するためには,PortFast 機能を同時に設定する必要があります。spanningtree portfast bpduguard default コマンドは PortFast 機能を適用しているすべてのポートにデフォ
ルトで BPDU ガードを適用します。デフォルトで適用するときに BPDU ガード機能を無効にしたい
場合は,spanning-tree bpduguard disable コマンドを設定します。
[コマンドによる設定]
1. (config)# spanning-tree portfast default
(config)# spanning-tree portfast bpduguard default
すべてのアクセスポート,プロトコルポート,MAC ポートに対して PortFast 機能を設定します。ま
た,PortFast 機能を適用したすべてのポートに対し BPDU ガード機能を設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree bpduguard disable
(config-if)# exit
ポート 1/0/1(アクセスポート)で BPDU ガード機能を使用しないように設定します。ポート 1/0/1 は
通常の PortFast 機能を適用します。
3. (config)# interface gigabitethernet 1/0/2
(config-if)# switchport mode trunk
(config-if)# spanning-tree portfast trunk
ポート 1/0/2(トランクポート)に PortFast 機能を設定します。また,BPDU ガード機能を設定しま
す。トランクポートはデフォルトでは PortFast 機能を適用しないためポートごとに設定します。デ
フォルトで BPDU ガード機能を設定している場合は,PortFast 機能を設定すると自動的に BPDU ガー
ドも適用します。デフォルトで設定していない場合は,spanning-tree bpduguard enable コマンドで
設定します。
22.13.3 BPDU フィルタの設定
BPDU フィルタ機能は,BPDU を受信した場合にその BPDU を廃棄します。また,BPDU を一切送信し
なくなります。通常は冗長経路ではないポートを指定することを前提とします。
[設定のポイント]
インタフェース単位に BPDU フィルタ機能を設定できます。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
448
22 スパニングツリー
(config-if)# spanning-tree bpdufilter enable
ポート 1/0/1 で BPDU フィルタ機能を設定します。
22.13.4 ループガードの設定
片線切れなどの単一方向のリンク障害が発生し,BPDU の受信が途絶えた場合,ループが発生することが
あります。ループガードは,このようにループの発生を防止したい場合に設定します。
[設定のポイント]
ループガードは,PortFast 機能を設定していないポートで動作します。 spanning-tree loopguard default コマンドを設定すると,PortFast を設定したポート以外のすべての
ポートにループガードを適用します。デフォルトで適用する場合に,ループガードを無効にしたい場合
は spanning-tree guard none コマンドを設定します。
[コマンドによる設定]
1. (config)# spanning-tree loopguard default
PortFast を設定したポート以外のすべてのポートに対してループガード機能を適用するように設定し
ます。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree guard none
(config-if)# exit
デフォルトでループガードを適用するように設定した状態で,ポート 1/0/1 はループガードを無効にす
るように設定します。
3. (config)# no spanning-tree loopguard default
(config)# interface gigabitethernet 1/0/2
(config-if)# spanning-tree guard loop
デフォルトでループガードを適用する設定を削除します。また,ポート 1/0/2 に対してポートごとの設
定でループガードを適用します。
22.13.5 ルートガードの設定
ネットワークに誤って装置が接続された場合や設定が変更された場合,ルートブリッジが替わり,意図しな
いトポロジーになることがあります。ルートガードは,このような意図しないトポロジー変更を防止したい
場合に設定します。
[設定のポイント]
ルートガードは指定ポートに対して設定します。ルートブリッジの候補となる装置以外の装置と接続
する個所すべてに適用します。
ルートガード動作時,PVST+が動作している場合は,該当する VLAN のポートだけブロック状態に設
定します。マルチプルスパニングツリーが動作している場合,該当するインスタンスのポートだけブ
ロック状態に設定しますが,該当するポートが境界ポートの場合は,全インスタンスのポートをブロッ
ク状態に設定します。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree guard root
449
22 スパニングツリー
ポート 1/0/1 でルートガード機能を設定します。
22.13.6 リンクタイプの設定
リンクタイプはポートの接続状態を表します。Rapid PVST+,シングルスパニングツリーの Rapid STP,
マルチプルスパニングツリーで高速な状態遷移を行うためには,スイッチ間の接続が point-to-point であ
る必要があります。shared の場合は高速な状態遷移はしないで,PVST+,シングルスパニングツリーの
STP と同様にタイマによる状態遷移となります。
[設定のポイント]
ポートごとに接続状態を設定できます。設定しない場合,ポートが全二重の接続のときは point-topoint,半二重の接続の場合は shared となります。
[コマンドによる設定]
1. (config)# interface gigabitethernet 1/0/1
(config-if)# spanning-tree link-type point-to-point
ポート 1/0/1 を point-to-point 接続とみなして動作させます。
[注意事項]
実際のネットワークの接続形態が 1 対 1 接続ではない構成では,本コマンドで point-to-point を指定
しないでください。1 対 1 接続ではない構成とは,一つのポートに隣接するスパニングツリー装置が 2
台以上存在する構成です。
450
22 スパニングツリー
22.14 スパニングツリー共通機能のオペレーション
22.14.1 運用コマンド一覧
スパニングツリー共通機能の運用コマンド一覧を次の表に示します。
表 22‒21 運用コマンド一覧
コマンド名 show spanning-tree
説明
スパニングツリー情報を表示します。
22.14.2 スパニングツリー共通機能の状態の確認
スパニングツリーの情報は show spanning-tree detail コマンドで確認してください。VLAN 10 の
PVST+の例を次の図に示します。
PortFast はポート 0/3,0/4,0/5 に設定していることを PortFast の項目で確認できます。ポート 0/3 は
PortFast を設定していて,ポート 0/4 は PortFast に加えて BPDU ガードを設定しています。どちらの
ポートも意図しない BPDU を受信しないで正常に動作していることを示しています。ポート 0/5 は
BPDU フィルタを設定しています。
ループガードはポート 0/2 に設定していることを Loop Guard の項目で確認できます。ルートガードは
ポート 0/6 に設定していることを Root Guard の項目で確認できます。リンクタイプは各ポートの Link
Type の項目で確認できます。すべてのポートが point-to-point で動作しています。
図 22‒19 スパニングツリーの情報
> show spanning-tree vlan 10 detail
Date 20XX/10/21 18:13:59 UTC
VLAN 10 PVST+ Spanning Tree:Enabled Mode:Rapid PVST+
Bridge ID
Priority:32778 MAC Address:0012.e210.3004
Bridge Status:Designated Path Cost Method:Short
Max Age:20 Hello Time:2
Forward Delay:15
Root Bridge ID
Priority:32778 MAC Address:0012.e210.1004
Root Cost:4
Root Port:0/1
Max Age:20 Hello Time:2
Forward Delay:15
Port Information
Port:0/1 Up
Status:Forwarding Role:Root
Priority:128 Cost:4
Link Type:point-to-point Compatible Mode:-
Loop Guard:OFF PortFast:OFF
BpduFilter:OFF Root Guard:OFF
BPDU Parameters(20XX/10/21 18:13:59):
Designated Root
Priority:32778 MAC address:0012.e210.1004
Designated Bridge
Priority:32778 MAC address:0012.e210.1004
Root Path Cost:0
Port ID
Priority:128 Number:1
Message Age Time:0(3)/20
Port:0/2 Up
Status:Discarding Role:Alternate
Priority:128 Cost:4
Link Type:point-to-point Compatible Mode:-
Loop Guard:ON PortFast:OFF
451
22 スパニングツリー
BpduFilter:OFF Root Guard:OFF
BPDU Parameters(20XX/10/21 18:13:58):
Designated Root
Priority:32778 MAC address:0012.e210.1004
Designated Bridge
Priority:32778 MAC address:0012.e210.2004
Root Path Cost:4
Port ID
Priority:128 Number:1
Message Age Time:1(3)/20
Port:0/3 Up
Status:Forwarding Role:Designated
Priority:128 Cost:4
Link Type:point-to-point Compatible Mode:-
Loop Guard:OFF PortFast:ON (BPDU not received)
BpduFilter:OFF Root Guard:OFF
Port:0/4 Up
Status:Forwarding Role:Designated
Priority:128 Cost:4
Link Type:point-to-point Compatible Mode:-
Loop Guard:OFF PortFast:BPDU Guard(BPDU not received)
BpduFilter:OFF Root Guard:OFF
Port:0/5 Up
Status:Forwarding Role:Designated
Priority:128 Cost:4
Link Type:point-to-point Compatible Mode:-
Loop Guard:OFF PortFast:ON(BPDU not received)
BpduFilter:ON Root Guard:OFF
Port:0/6 Up
Status:Forwarding Role:Designated
Priority:128 Cost:4
Link Type:point-to-point Compatible Mode:-
Loop Guard:OFF PortFast:OFF
BpduFilter:OFF Root Guard:ON
452
23
Ring Protocol の解説
この章は,Autonomous Extensible Ring Protocol について説明します。
Autonomous Extensible Ring Protocol は,リングトポロジーでのレイヤ 2
ネットワークの冗長化プロトコルで,以降,Ring Protocol と呼びます。
453
23 Ring Protocol の解説
23.1 Ring Protocol の概要
23.1.1 概要
Ring Protocol とは,スイッチをリング状に接続したネットワークでの障害の検出と,それに伴う経路切り
替えを高速に行うレイヤ 2 ネットワークの冗長化プロトコルです。
レイヤ 2 ネットワークの冗長化プロトコルとして,スパニングツリーが利用されますが,障害発生に伴う
切り替えの収束時間が遅いなどの欠点があります。Ring Protocol を使用すると,障害発生に伴う経路切り
替えを高速にできるようになります。また,リングトポロジーを利用することで,メッシュトポロジーより
も伝送路やインタフェースの必要量が少なくて済むという利点もあります。
Ring Protocol の適用例を次の図に示します。
図 23‒1 Ring Protocol の適用例(その 1)
454
図 23‒2 Ring Protocol の適用例(その 2)
23 Ring Protocol の解説
Ring Protocol によるリングネットワークの概要を次の図に示します。
図 23‒3 Ring Protocol の概要
リングを構成するノードのうち一つをマスタノードとして,ほかのリング構成ノードをトランジットノード
とします。各ノード間を接続する二つのポートをリングポートと呼び,マスタノードのリングポートにはプ
455
23 Ring Protocol の解説
ライマリポートとセカンダリポートがあります。マスタノードはセカンダリポートを論理ブロックするこ
とでリング構成を分断します。これによって,データフレームのループを防止しています。マスタノードは
リング内の状態監視を目的とした制御フレーム(ヘルスチェックフレーム)を定期的に送信します。マスタ
ノードは,巡回したヘルスチェックフレームの受信,未受信によって,リング内で障害が発生していないか
どうかを判断します。障害または障害復旧を検出したマスタノードは,セカンダリポートの論理ブロックを
設定または解除することで経路を切り替え,通信を復旧させます。
23.1.2 特長
(1) イーサネットベースのリングネットワーク
Ring Protocol はイーサネットベースのネットワーク冗長化プロトコルです。従来のリングネットワーク
では FDDI のように二重リンクの光ファイバを用いたネットワークが主流でしたが,Ring Protocol を用い
ることでイーサネットを用いたリングネットワークが構築できます。
(2) シンプルな動作方式
Ring Protocol を使用したネットワークは,マスタノード 1 台とそのほかのトランジットノードで構成した
シンプルな構成となります。リング状態(障害や障害復旧)の監視や経路の切り替え動作は,主にマスタ
ノードが行い,そのほかのトランジットノードはマスタノードからの指示によって経路の切り替え動作を行
います。
(3) 制御フレーム
Ring Protocol では,本プロトコル独自の制御フレームを使用します。制御フレームは,マスタノードによ
るリング状態の監視やマスタノードからトランジットノードへの経路の切り替え指示に使われます。制御
フレームの送受信は,専用の VLAN 上で行われるため,通常のスパニングツリーのようにデータフレーム
と制御フレームが同じ VLAN 内に流れることはありません。また,制御フレームは優先的に処理されるた
め,データトラフィックが増大しても制御フレームに影響を与えません。
(4) 負荷分散方式
リング内で使用する複数の VLAN を論理的なグループ単位にまとめ,マスタノードを基点としてデータの
流れを右回りと左回りに分散させる設定ができます。負荷分散や VLAN ごとに経路を分けたい場合に有
効です。
23.1.3 サポート仕様
Ring Protocol でサポートする項目と仕様を次の表に示します。
表 23‒1 Ring Protocol でサポートする項目・仕様
項目
適用レイヤ レイヤ 2
レイヤ 3
シングルリング リング構成
マルチリング
装置当たりのリング ID 最大数
内容
○
×
○
○(共有リンクありマルチリング構成含む)
24 ※1
456
23 Ring Protocol の解説
項目
リングポート(1 リング ID 当たりのポート数)
VLAN 数 1 リング ID 当たりの制御 VLAN 数
1 リング ID 当たりのデータ転送用 VLAN
グループ最大数
1 データ転送用 VLAN グループ当たりの
VLAN マッピング最大数
1VLAN マッピング当たりの VLAN 最大
数
内容
ただし,Ring Protocol とスパニングツリーの併用,
Ring Protocol と GSRP の併用,または多重障害監
視機能を使用する場合は,8 とする
2(物理ポートまたはリンクアグリゲーション)
1(デフォルト VLAN の設定は不可)
2
128 ※2
ヘルスチェックフレーム送信間隔
障害監視時間
負荷分散方式
1023
ただし,リング内にスタック構成のノードを含む場
合は,511 とする
200〜60000 ミリ秒の範囲で 1 ミリ秒単位
500〜300000 ミリ秒の範囲で 1 ミリ秒単位
二つのデータ転送用 VLAN グループを使用するこ
とで可能
多重障害監視機
能
装置当たりの多重障害監視可能リング数
1 リング ID 当たりの多重障害監視 VLAN
数
多重障害監視フレーム送信間隔
4
1(デフォルト VLAN の設定は不可)
多重障害監視時間 ※3
500〜60000 ミリ秒の範囲で 1 ミリ秒単位
1000〜300000 ミリ秒の範囲で 1 ミリ秒単位
(凡例) ○:サポート ×:未サポート
注※1 スタック構成時は,スタック当たりのリング ID 最大数となります。
注※2 スタック構成時は,本装置がマスタノードとして動作するリングで使用する VLAN マッピングの総数の推奨値
は 128 以下となります。
注※3 スタック構成のノードを含むリングの多重障害監視は未サポートです。
457
23 Ring Protocol の解説
23.2 Ring Protocol の基本原理
23.2.1 ネットワーク構成
Ring Protocol を使用する場合の基本的なネットワーク構成を次に示します。
(1) シングルリング構成
シングルリング構成について,次の図に示します。
図 23‒4 シングルリング構成
マスタノード 1 台とトランジットノード数台から成る一つのリング構成をシングルリング構成と呼びま
す。リングを構成するノード間は,リングポートとして,物理ポートまたはリンクアグリゲーションで接続
されます。また,リングを構成するすべてのノードに,制御 VLAN として同一の VLAN,およびデータフ
レームの転送用として共通の VLAN を使用する必要があります。マスタノードから送信した制御フレー
ムは,制御 VLAN 内を巡回します。データフレームの送受信に使用する VLAN は,VLAN グループと呼
ばれる一つの論理的なグループに束ねて使用します。VLAN グループは複数の VLAN をまとめることが
でき,一つのリングにマスタノードを基点とした右回り用と左回り用の最大 2 グループを設定できます。
(2) マルチリング構成
マルチリング構成のうち,隣接するリングの接点となるノードが一つの場合の構成について次の図に示しま
す。
458
23 Ring Protocol の解説
図 23‒5 マルチリング構成
それぞれのリングを構成しているノードは独立したシングルリングとして動作します。このため,リング障
害の検出および復旧の検出はそれぞれのリングで独立して行われます。
(3) 共有リンクありのマルチリング構成
マルチリング構成のうち,隣接するリングの接点となるノードが二つ以上の場合の構成について次の図に示
します。
図 23‒6 共有リンクありのマルチリング構成
複数のシングルリングが,二つ以上のノードで接続されている場合,複数のリングでリンクを共有すること
になります。このリンクを共有リンクと呼び,共有リンクのあるマルチリング構成を,共有リンクありのマ
ルチリング構成と呼びます。これに対し,(2)のように,複数のシングルリングが一つのノードで接続さ
れている場合には,共有リンクがありませんので,共有リンクなしのマルチリング構成と呼びます。
共有リンクありのマルチリング構成では,隣接するリングで共通の VLAN をデータ転送用の VLAN グ
ループとして使用した場合に,共有リンクで障害が発生すると隣接するリングそれぞれのマスタノードが障
害を検出し,複数のリングをまたいだループ(いわゆるスーパーループ)が発生します。このため,本構成
ではシングルリング構成とは異なる障害検出,および切り替え動作を行う必要があります。
459
23 Ring Protocol の解説
Ring Protocol では,共有リンクをリングの一部とする複数のリングのうち,一つを共有リンクの障害およ
び復旧を監視するリング(共有リンク監視リング)とし,それ以外のリングを,共有リンクの障害および復
旧を監視しないリング(共有リンク非監視リング)とします。また,共有リンクの両端に位置するノードを
共有リンク非監視リングの最終端ノード(または,共有ノード)と呼びます。このように,各リングのマス
タノードで監視対象リングを重複させないことによって,共有リンク間の障害によるループの発生を防止し
ます。
(4) スタック構成のノードを含むリング構成
スタック構成のノードを含むリング構成について,次の図に示します。
図 23‒7 スタック構成のノードを含むリング構成
スタック構成時は,メンバスイッチ 2 台で一つのノードとして動作します。スタック構成のノードは,マ
スタスイッチ側とバックアップスイッチ側でそれぞれリングポートとして接続して,スタックリンクを経由
する形でリングを構成します。なお,スタック構成のノードは,共有リンクありのマルチリング構成での共
有ノードをサポートしていません。
スタック構成のノードでは,制御フレームおよびデータフレームの転送にスタックリンクを使用します。そ
のため,2 本以上のスタックリンクを設定して,リングのトラフィックに対して余裕を持った帯域を確保し
てください。なお,スタックポートの最大回線数については,「3.1.1 収容回線数」を参照してください。
23.2.2 制御 VLAN
Ring Protocol を利用するネットワークでは,制御フレームの送信範囲を限定するために,制御フレームの
送受信に専用の VLAN を使用します。この VLAN を制御 VLAN と呼び,リングを構成するすべてのノー
ドで同一の VLAN を使用します。制御 VLAN は,リングごとに共通な一つの VLAN を使用しますので,
マルチリング構成時には,隣接するリングで異なる VLAN を使用する必要があります。
460
23 Ring Protocol の解説
23.2.3 障害監視方法
Ring Protocol のリング障害の監視は,マスタノードがヘルスチェックフレームと呼ぶ制御フレームを定期
的に送信し,マスタノードがこのヘルスチェックフレームの受信可否を監視することで実現します。マスタ
ノードでは,ヘルスチェックフレームが一定時間到達しないとリング障害が発生したと判断し,障害動作を
行います。また,リング障害中に再度ヘルスチェックフレームを受信すると,リング障害が復旧したと判断
し,復旧動作を行います。
23.2.4 通信経路の切り替え
マスタノードは,リング障害の検出による迂回経路への切り替えのために,セカンダリポートをブロッキン
グからフォワーディングに変更します。また,リング障害の復旧検出による経路の切り戻しのために,セカ
ンダリポートをフォワーディングからブロッキングに変更します。これに併せて,早急な通信の復旧を行う
ために,リング内のすべてのノードで,MAC アドレステーブルエントリのクリアが必要です。MAC アド
レステーブルエントリのクリアが実施されないと,切り替え(または切り戻し)前の情報に従ってデータフ
レームの転送が行われるため,正しくデータが届かないおそれがあります。したがって,通信を復旧させる
ために,リングを構成するすべてのノードで MAC アドレステーブルエントリのクリアを実施します。
マスタノードおよびトランジットノードそれぞれの場合の切り替え動作について次に説明します。
461
23 Ring Protocol の解説
図 23‒8 Ring Protocol の経路切り替え動作概要
462
23 Ring Protocol の解説
(1) マスタノードの経路切り替え
マスタノードでは,リング障害を検出するとセカンダリポートのブロッキングを解除します。また,リング
ポートで MAC アドレステーブルエントリのクリアを行います。これによって,MAC アドレスの学習が行
われるまでフラッディングを行います。セカンダリポートを経由したフレームの送受信によって MAC ア
ドレス学習を行い,新しい経路への切り替えが完了します。
(2) トランジットノードの経路切り替え
マスタノードがリングの障害を検出すると,同一の制御 VLAN を持つリング内の,そのほかのトランジッ
トノードに対して MAC アドレステーブルエントリのクリアを要求するために,フラッシュ制御フレームと
呼ぶ制御フレームを送信します。トランジットノードでは,このフラッシュ制御フレームを受信すると,リ
ングポートでの MAC アドレステーブルエントリのクリアを行います。これによって,MAC アドレスの学
習が行われるまでフラッディングを行います。新しい経路でのフレームの送受信によって MAC アドレス
学習が行われ,通信経路の切り替えが完了します。
463
23 Ring Protocol の解説
23.3 シングルリングの動作概要
23.3.1 リング正常時の動作
シングルリングでのリング正常時の動作について次の図に示します。
図 23‒9 リング正常時の動作
(1) マスタノード動作
片方向リンク障害による障害誤検出を防止するために,二つのリングポートからヘルスチェックフレームを
送信します。あらかじめ設定された時間内に,両方向のヘルスチェックフレームを受信するか監視します。
データフレームの転送は,プライマリポートで行います。セカンダリポートは論理ブロックされているた
め,データフレームの転送および MAC アドレス学習は行いません。
(2) トランジットノード動作
トランジットノードでは,マスタノードが送信するヘルスチェックフレームの監視は行いません。ヘルス
チェックフレームを受信すると,リング内の次ノードに転送します。データフレームの転送は,両リング
ポートで行います。
23.3.2 障害検出時の動作
シングルリングでのリング障害検出時の動作について次の図に示します。
464
23 Ring Protocol の解説
図 23‒10 リング障害時の動作
(1) マスタノード動作
あらかじめ設定された時間内に,両方向のヘルスチェックフレームを受信しなければ障害と判断します。障
害を検出したマスタノードは,次に示す手順で切り替え動作を行います。
1. データ転送用リング VLAN 状態の変更
セカンダリポートのリング VLAN 状態をブロッキングからフォワーディングに変更します。障害検出
時のリング VLAN 状態は次の表のように変更します。
表 23‒2 障害検出時のデータ転送用リング VLAN 状態
リングポート
プライマリポート
セカンダリポート
変更前(正常時)
フォワーディング
ブロッキング
変更後(障害時)
フォワーディング
フォワーディング
2. フラッシュ制御フレームの送信
マスタノードのプライマリポートおよびセカンダリポートからフラッシュ制御フレームを送信します。
3. MAC アドレステーブルのクリア
リングポートに関する MAC アドレステーブルエントリのクリアを行います。MAC アドレステーブル
エントリをクリアすることで,迂回経路へ切り替えられます。
4. 監視状態の変更
リング障害を検出すると,マスタノードは障害監視状態から復旧監視状態に遷移します。
(2) トランジットノード動作
障害を検出したマスタノードから送信されるフラッシュ制御フレームを受信すると,トランジットノードで
は次に示す動作を行います。
5. フラッシュ制御フレームの転送
受信したフラッシュ制御フレームを次のノードに転送します。
465
23 Ring Protocol の解説
6. MAC アドレステーブルのクリア
リングポートに関する MAC アドレステーブルエントリのクリアを行います。MAC アドレステーブル
エントリをクリアすることで,迂回経路へ切り替えられます。
23.3.3 復旧検出時の動作
シングルリングでのリング障害復旧時の動作について次の図に示します。
図 23‒11 障害復旧時の動作
(1) マスタノード動作
リング障害を検出している状態で,自身が送出したヘルスチェックフレームを受信すると,リング障害が復
旧したと判断し,次に示す復旧動作を行います。
1. データ転送用リング VLAN 状態の変更
セカンダリポートのリング VLAN 状態をフォワーディングからブロッキングに変更します。復旧検出
時のリング VLAN 状態は次の表のように変更します。
表 23‒3 復旧検出時のデータ転送用リング VLAN 状態
リングポート 変更前(障害時) 変更後(復旧時)
プライマリポート
セカンダリポート
フォワーディング
フォワーディング
フォワーディング
ブロッキング
2. フラッシュ制御フレームの送信
マスタノードのプライマリポートおよびセカンダリポートからフラッシュ制御フレームを送信します。
なお,リング障害復旧時は,各トランジットノードが転送したフラッシュ制御フレームがマスタノード
へ戻ってきますが,マスタノードでは受信しても廃棄します。
3. MAC アドレステーブルのクリア
リングポートに関する MAC アドレステーブルエントリのクリアを行います。
MAC アドレステーブルエントリをクリアすることで,迂回経路へ切り替えられます。
466
23 Ring Protocol の解説
4. 監視状態の変更
リング障害の復旧を検出すると,マスタノードは復旧監視状態から障害監視状態に遷移します。
(2) トランジットノード動作
マスタノードから送信されるフラッシュ制御フレームを受信すると,次に示す動作を行います。
5. フラッシュ制御フレームの転送
受信したフラッシュ制御フレームを次のノードに転送します。
6. MAC アドレステーブルのクリア
リングポートに関する MAC アドレステーブルエントリのクリアを行います。
MAC アドレステーブルエントリをクリアすることで,迂回経路へ切り替えられます。
また,リンク障害が発生したトランジットノードでは,リンク障害が復旧した際のループの発生を防ぐた
め,リングポートのリング VLAN 状態はブロッキング状態となります。ブロッキング状態を解除する契機
は,マスタノードが送信するフラッシュ制御フレームを受信したとき,またはトランジットノードでリング
ポートのフラッシュ制御フレーム受信待ち保護時間(forwarding-shift-time)がタイムアウトしたときと
なります。フラッシュ制御フレーム受信待ち保護時間(forwarding-shift-time)は,リングポートのリン
ク障害復旧時に設定されます。
23.3.4 経路切り戻し抑止および解除時の動作
経路切り戻し抑止機能を適用すると,マスタノードでリングの障害復旧を検出した場合に,マスタノードは
復旧抑止状態になり,すぐには復旧動作を行いません。本機能を有効にするには,コンフィグレーションコ
マンド preempt-delay の設定が必要です。
なお,経路切り戻し抑止状態は,次の契機で解除します。
• 運用コマンド clear axrp preempt-delay の実行によって,経路切り戻し抑止が解除された場合
• コンフィグレーションコマンド preempt-delay で指定した,経路切り戻し抑止時間が経過した場合
• 経路切り戻し抑止機能を有効にするコンフィグレーションコマンド preempt-delay を削除した場合
復旧抑止状態が解除されると,マスタノードは再度,復旧監視状態に遷移します。その後リング障害の復旧
を再検出すると,復旧動作を行います。復旧が完了すると,マスタノードは障害監視状態に遷移します。
また,経路切り戻し抑止状態でリングの障害が発生しても,マスタノードは復旧抑止状態を維持します。運
用コマンド clear axrp preempt-delay の実行によって経路切り戻し抑止状態が解除されると,マスタノー
ドは再度,復旧監視状態に遷移します。このとき,リング障害の復旧は検出しないため,復旧動作は行いま
せん。その後,リングネットワーク上のすべての障害が復旧すると,マスタノードは障害の復旧を検出し
て,すぐに復旧動作を行います。
運用コマンド clear axrp preempt-delay の実行によって経路切り戻し抑止を解除した場合の動作を次の
図に示します。その他の契機で解除した場合も,同様の動作となります。
467
23 Ring Protocol の解説
図 23‒12 運用コマンドの実行によって経路切り戻し抑止を解除した場合の動作
468
また,次に示すイベントが発生した場合は経路の切り戻し抑止状態を解除して,マスタノードが障害監視状
態に遷移します。
• 装置起動(運用コマンド reload および ppupdate の実行を含む)
• コンフィグレーションファイルの運用への反映(運用コマンド copy の実行)
• Ring Protocol プログラムの再起動(運用コマンド restart axrp の実行を含む)
• VLAN プログラムの再起動(運用コマンド restart vlan の実行を含む)
23 Ring Protocol の解説
23.4 マルチリングの動作概要
マルチリング構成のうち,共有リンクありのマルチリング構成について説明します。共有リンクなしのマル
チリング構成については,シングルリング時の動作と同様ですので,「23.3 シングルリングの動作概要」
を参照してください。
なお,この節以降,HC はヘルスチェックフレームを意味し,HC(M)はマスタノードが送信するヘルス
チェックフレーム,HC(S)は共有ノードが送信するヘルスチェックフレームを表します。
23.4.1 リング正常時の動作
共有リンクありのマルチリング構成でのリング正常時の状態について次の図に示します。
図 23‒13 リング正常時の状態
469
23 Ring Protocol の解説
(1) 共有リンク非監視リング
共有リンク非監視リングは,マスタノード 1 台とトランジットノード数台で構成します。しかし,共有リ
ンクの障害を監視しないため,補助的な役割として,共有リンクの両端に位置する共有リンク非監視リング
の最終端ノード(共有ノード)から,ヘルスチェックフレームをマスタノードに向けて送信します。このヘ
ルスチェックフレームは,二つのリングポートのうち,共有リンクではない方のリングポートから送信しま
す。これによって,共有リンク非監視リングのマスタノードは,共有リンクで障害が発生した場合に,自身
が送信したヘルスチェックフレームが受信できなくなっても,共有リンク非監視リングの最終端ノード(共
有ノード)からのヘルスチェックフレームが受信できている間は障害を検出しないようにできます。
図 23‒14 共有リンク非監視リングでの正常時の動作
(a) マスタノード動作
片方向リンク障害による障害誤検出を防止するために,二つのリングポートからヘルスチェックフレーム
(HC(M))を送信します。あらかじめ設定した時間内に,両方向の HC(M)を受信するか監視します。マス
タノードが送信した HC(M)とは別に,共有リンクの両端に位置する共有リンク非監視リングの最終端ノー
ド(共有ノード)から送信したヘルスチェックフレーム(HC(S))についても合わせて受信を監視します。
データフレームの転送は,プライマリポートで行います。セカンダリポートは論理ブロックされているた
め,データフレームの転送および MAC アドレス学習は行いません。
(b) トランジットノード動作
トランジットノードの動作は,シングルリング時と同様です。トランジットノードは,HC(M)および HC(S)
を監視しません。HC(M)や HC(S)を受信すると,リング内の次ノードに転送します。データフレームの転
送は,両リングポートで行います。
(c) 共有リンク非監視リングの最終端ノード動作
共有リンク非監視リングの最終端ノード(共有ノード)は,共有リンク非監視リングのマスタノードに向け
て HC(S)の送信を行います。HC(S)の送信は,二つのリングポートのうち,共有リンクではない方のリン
グポートから送信します。マスタノードが送信する HC(M)や,データフレームの転送については,トラン
ジットノードの場合と同様となります。
470
23 Ring Protocol の解説
(2) 共有リンク監視リング
共有リンク監視リングは,シングルリング時と同様に,マスタノード 1 台と,そのほか数台のトランジッ
トノードとの構成となります。共有リンクの両端に位置するノードは,シングルリング時と同様にマスタ
ノードまたはトランジットノードとして動作します。
図 23‒15 共有リンク監視リングでの正常時の動作
(a) マスタノード動作
片方向リンク障害による障害誤検出を防止するために,二つのリングポートからヘルスチェックフレーム
(HC(M))を送信します。あらかじめ設定された時間内に,両方向の HC(M)を受信するかを監視します。
データフレームの転送は,プライマリポートで行います。セカンダリポートは論理ブロックされているた
め,データフレームの転送および MAC アドレス学習は行いません。
(b) トランジットノード動作
トランジットノードの動作は,シングルリング時と同様です。トランジットノードは,マスタノードが送信
した HC(M)を監視しません。HC(M)を受信すると,リング内の次ノードに転送します。データフレームの
転送は,両リングポートで行います。
23.4.2 共有リンク障害・復旧時の動作
共有リンクありのマルチリング構成時に,共有リンク間で障害が発生した際の障害および復旧動作について
説明します。
(1) 障害検出時の動作
共有リンクの障害を検出した際の動作について次の図に示します。
471
23 Ring Protocol の解説
図 23‒16 共有リンク障害時の動作
(a) 共有リンク監視リングのマスタノード動作
共有リンクで障害が発生すると,マスタノードは両方向の HC(M)を受信できなくなり,リング障害を検出
します。障害を検出したマスタノードはシングルリング時と同様に,次に示す手順で障害動作を行います。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
3. MAC アドレステーブルのクリア
4. 監視状態の変更
(b) 共有リンク監視リングのトランジットノード動作
シングルリング時と同様に,マスタノードから送信されるフラッシュ制御フレームを受信すると次に示す動
作を行います。
5. フラッシュ制御フレームの転送
6. MAC アドレステーブルのクリア
(c) 共有リンク非監視リングのマスタノードおよびトランジットノード動作
共有リンク非監視リングのマスタノードは,共有リンクでのリング障害を検出しないため,障害動作は行い
ません。このため,トランジットノードについても経路の切り替えは発生しません。
(2) 復旧検出時の動作
共有リンクの障害復旧を検出した際の動作について次の図に示します。
472
図 23‒17 共有リンク復旧時の動作
23 Ring Protocol の解説
(a) 共有リンク監視リングのマスタノード動作
リング障害を検出している状態で,自身が送信した HC(M)を受信すると,リング障害が復旧したと判断し,
シングルリング時と同様に,次に示す手順で復旧動作を行います。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
3. MAC アドレステーブルのクリア
4. 監視状態の変更
(b) 共有リンク監視リングのトランジットノード動作
シングルリング時と同様に,マスタノードから送信されるフラッシュ制御フレームを受信すると次に示す動
作を行います。
5. フラッシュ制御フレームの転送
6. MAC アドレステーブルのクリア
(c) 共有リンク非監視リングのマスタノードおよびトランジットノード動作
共有リンク非監視リングのマスタノードは,リング障害を検出していないため,トランジットノードを含
め,復旧動作は行いません。
23.4.3 共有リンク非監視リングでの共有リンク以外の障害・復旧時の
動作
共有リンク非監視リングでの,共有リンク以外のリング障害および復旧時の動作について説明します。
473
23 Ring Protocol の解説
(1) 障害検出時の動作
共有リンク非監視リングでの共有リンク以外の障害を検出した際の動作について次の図に示します。
図 23‒18 共有リンク非監視リングにおける共有リンク以外のリング障害時の動作
(a) 共有リンク非監視リングのマスタノード動作
共有リンク非監視リングのマスタノードは,自身が送信した両方向の HC(M)と共有ノードが送信した
HC(S)が共に未受信となりリング障害を検出します。障害を検出したマスタノードの動作はシングルリン
グ時と同様に,次に示す手順で障害動作を行います。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
3. MAC アドレステーブルのクリア
4. 監視状態の変更
(b) 共有リンク非監視リングのトランジットノードおよび共有ノード動作
シングルリング時と同様に,マスタノードから送信されるフラッシュ制御フレームを受信すると次に示す動
作を行います。
5. フラッシュ制御フレームの転送
6. MAC アドレステーブルのクリア
(c) 共有リンク監視リングのマスタノードおよびトランジットノード動作
共有リンク監視リング内では障害が発生していないため,障害動作は行いません。
(2) 復旧検出時の動作
共有リンク非監視リングでの共有リンク以外の障害が復旧した際の動作について次の図に示します。
474
23 Ring Protocol の解説
図 23‒19 共有リンク非監視リングでの共有リンク以外のリング障害復旧時の動作
(a) 共有リンク非監視リングのマスタノード動作
リング障害を検出している状態で,自身が送信した HC(M)を受信するか,または共有ノードが送信した
HC(S)を両方向から受信すると,リング障害が復旧したと判断し,シングルリング時と同様に,次に示す手
順で復旧動作を行います。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
3. MAC アドレステーブルのクリア
4. 監視状態の変更
(b) 共有リンク非監視リングのトランジットノードおよび共有ノード動作
シングルリング時と同様に,マスタノードから送信されるフラッシュ制御フレームを受信すると次に示す動
作を行います。
5. フラッシュ制御フレームの転送
6. MAC アドレステーブルのクリア
(c) 共有リンク監視リングのマスタノードおよびトランジットノード動作
共有リンク監視リング内では障害が発生していないため,復旧動作は行いません。
23.4.4 共有リンク監視リングでの共有リンク以外の障害・復旧時の動
作
共有リンク監視リングでの共有リンク以外のリング障害および復旧時の動作について説明します。
475
23 Ring Protocol の解説
(1) 障害検出時の動作
共有リンク監視リングでの共有リンク以外の障害を検出した際の動作について次の図に示します。
図 23‒20 共有リンク監視リングでの共有リンク以外のリング障害時の動作
(a) 共有リンク監視リングのマスタノード動作
共有リンク監視リング内で障害が発生すると,マスタノードは両方向の HC(M)を受信できなくなり,リン
グ障害を検出します。障害を検出したマスタノードはシングルリング時と同様に,次に示す手順で障害動作
を行います。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
3. MAC アドレステーブルのクリア
4. 監視状態の変更
(b) 共有リンク監視リングのトランジットノード動作
シングルリング時と同様に,マスタノードから送信されるフラッシュ制御フレームを受信すると次に示す動
作を行います。
5. フラッシュ制御フレームの転送
6. MAC アドレステーブルのクリア
(c) 共有リンク非監視リングのマスタノードおよびトランジットノード(共有ノード)動作
共有リンク非監視リング内では障害が発生していないため,障害動作は行いません。
(2) 復旧検出時の動作
共有リンク監視リングでの共有リンク以外の障害が復旧した際の動作について次の図に示します。
476
図 23‒21 共有リンク監視リングでの共有リンク以外のリング障害復旧時の動作
23 Ring Protocol の解説
(a) 共有リンク監視リングのマスタノード動作
リング障害を検出している状態で,自身が送信した HC(M)を受信すると,リング障害が復旧したと判断し,
シングルリング時と同様に,次に示す手順で復旧動作を行います。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
3. MAC アドレステーブルのクリア
4. 監視状態の変更
(b) 共有リンク監視リングのトランジットノード動作
シングルリング時と同様に,マスタノードから送信されるフラッシュ制御フレームを受信すると次に示す動
作を行います。
5. フラッシュ制御フレームの転送
6. MAC アドレステーブルのクリア
(c) 共有リンク非監視リングのマスタノードおよびトランジットノード(共有ノード)動作
共有リンク非監視リング内では障害が発生していないため,復旧動作は行いません。
23.4.5 経路切り戻し抑止および解除時の動作
マルチリング構成での経路切り戻し抑止および解除時の動作については,シングルリング時の動作と同様で
すので,「23.3 シングルリングの動作概要」を参照してください。
477
23 Ring Protocol の解説
23.5 スタック構成のノードを含むリングの動作概要
23.5.1 シングルリングでの動作
スタック構成のノードを含むシングルリング構成について,次の図に例を示します。
図 23‒22 スタック構成のノードを含むシングルリング構成
スタック構成のノードを含むシングルリング構成では,次に示す動作はスタック構成のノードを含まないシ
ングルリング構成時と同様ですので,「23.3 シングルリングの動作概要」を参照してください。
• リング正常時の動作
• スタックを構成するメンバスイッチの障害を除く,障害検出時の動作
• スタックを構成するメンバスイッチの障害を除く,復旧検出時の動作
23.5.2 マルチリングでの動作
スタック構成のノードを含むマルチリング構成について,次の図に例を示します。
図 23‒23 スタック構成のノードを含む共有リンクなしのマルチリング構成
478
図 23‒24 スタック構成のノードを含む共有リンクありのマルチリング構成
23 Ring Protocol の解説
スタック構成のノードを含むマルチリング構成では,次に示す動作はスタック構成のノードを含まないマル
チリング構成時と同様ですので,「23.4 マルチリングの動作概要」を参照してください。
• リング正常時の動作
• スタックを構成するメンバスイッチの障害を除く,障害検出時の動作
• スタックを構成するメンバスイッチの障害を除く,復旧検出時の動作
23.5.3 メンバスイッチの障害発生時および復旧時の動作
スタック構成のノードを含むリング構成での,メンバスイッチの障害発生時および復旧時の動作について説
明します。
(1) スタック構成のマスタノード動作
スタック構成のマスタノードでの,メンバスイッチの障害発生時および復旧時の動作について説明します。
(a) マスタスイッチ障害発生時の動作
マスタスイッチに障害が発生した場合の動作について,次の図に示します。
479
23 Ring Protocol の解説
図 23‒25 マスタノードでのマスタスイッチ障害発生時の動作
480
マスタスイッチに障害が発生して停止すると,マスタスイッチが送信するヘルスチェックフレーム
(HC(M))が停止します。バックアップスイッチは新しいマスタスイッチに切り替わって,次に示す順序で
動作します。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
3. MAC アドレステーブルのクリア
その後,マスタスイッチはリング状態の監視を開始して,ヘルスチェックフレーム(HC(M))の送信を再
開します。しかし,マスタスイッチは自身が送信するヘルスチェックフレーム(HC(M))を受信できない
ため,リング障害を検出します。障害を検出したマスタスイッチは,監視状態を変更します。
23 Ring Protocol の解説
マスタスイッチが切り替わるとき,新しいマスタスイッチは元のマスタスイッチのリング状態を引き継ぎま
せん。
(b) バックアップスイッチ障害発生時の動作
バックアップスイッチに障害が発生した場合の動作について,次の図に示します。
図 23‒26 マスタノードでのバックアップスイッチ障害発生時の動作
バックアップスイッチに障害が発生して停止すると,マスタスイッチは両方向のヘルスチェックフレーム
(HC(M))を受信できなくなり,リング障害を検出します。障害を検出したマスタスイッチは,次に示す順
序で動作します。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
481
23 Ring Protocol の解説
3. MAC アドレステーブルのクリア
4. 監視状態の変更
(c) メンバスイッチ障害復旧時の動作
メンバスイッチが障害から復旧した場合の動作について,次の図に示します。
図 23‒27 マスタノードでのメンバスイッチ障害復旧時の動作
メンバスイッチが障害から復旧すると,このメンバスイッチはバックアップスイッチになって,メンバス
イッチ 2 台のスタックを構成します。
バックアップスイッチが復旧すると,マスタスイッチは,自身が送信するヘルスチェックフレーム
(HC(M))を受信できるようになります。リング障害を検出している状態で,自身が送信したヘルスチェッ
クフレーム(HC(M))を受信すると,マスタスイッチはリング障害が復旧したと判断して,次に示す順序
で復旧動作をします。
1. データ転送用リング VLAN 状態の変更
2. フラッシュ制御フレームの送信
3. MAC アドレステーブルのクリア
4. 監視状態の変更
(2) スタック構成のトランジットノード動作
スタック構成のトランジットノードでの,メンバスイッチの障害発生時および復旧時の動作について説明し
ます。
(a) メンバスイッチ障害発生時の動作
メンバスイッチに障害が発生した場合の動作について,次の図に示します。
482
図 23‒28 トランジットノードでのメンバスイッチ障害発生時の動作
23 Ring Protocol の解説
メンバスイッチに障害が発生すると,メンバスイッチ 1 台のスタックになります。
障害が発生したメンバスイッチのリングポートはダウン状態になるため,マスタノードでは両方向のヘルス
チェックフレーム(HC(M))を受信できなくなって,リング障害を検出します。障害を検出したマスタノー
ドは,スタック構成のノードを含まないリング構成時と同様の順序で動作します。
障害が発生したトランジットノードのマスタスイッチは,マスタノードから送信されるフラッシュ制御フ
レームを受信すると,リングポートに関する MAC アドレステーブルエントリをクリアします。MAC アド
レステーブルエントリをクリアすることで,迂回経路へ切り替えられます。
(b) メンバスイッチ障害復旧時の動作
メンバスイッチが障害から復旧した場合の動作について,次の図に示します。
483
23 Ring Protocol の解説
図 23‒29 トランジットノードでのメンバスイッチ障害復旧時の動作
メンバスイッチが障害から復旧すると,このメンバスイッチはバックアップスイッチになって,メンバス
イッチ 2 台のスタックを構成します。
バックアップスイッチのリングポートが復旧することで,マスタノードでは,両方向のヘルスチェックフ
レーム(HC(M))を受信できるようになります。リング障害を検出している状態で自身が送信したヘルス
チェックフレーム(HC(M))を受信すると,マスタノードはリング障害が復旧したと判断して,スタック
構成のノードを含まないリング構成時と同様の順序で復旧動作をします。
障害が復旧したトランジットノードのマスタスイッチは,マスタノードから送信されるフラッシュ制御フ
レームを受信すると,リングポートに関する MAC アドレステーブルエントリをクリアします。MAC アド
レステーブルエントリをクリアすることで,迂回経路へ切り替えられます。
484
23 Ring Protocol の解説
23.6 Ring Protocol の多重障害監視機能
23.6.1 概要
多重障害監視機能は,共有リンクありのマルチリング構成での共有リンク監視リングの多重障害を監視し
て,多重障害を検出した場合に共有リンク非監視リングに経路を切り替える機能です。このとき,経路の切
り替えに使用する共有リンク非監視リングをバックアップリングと呼びます。
多重障害監視機能で検出の対象となるのは,共有リンク障害と,共有リンク監視リング内のその他のリンク
障害およびリンク障害を伴う装置障害です。
共有リンク監視リングでの障害発生例と,多重障害監視機能で検出できる障害の組み合わせを次に示しま
す。
図 23‒30 共有リンク監視リングでの障害発生例
表 23‒4 多重障害監視機能で検出できる障害の組み合わせ
障害種別
リンク障害
装置障害
リンク障害 1(共有リンク障害)
リンク障害 1(共有リンク障害)
リンク障害 1(共有リンク障害)
装置障害 1(共有ノード障害)だけ
検出可能な組み合わせ
リンク障害 2(その他のリンク障害)
リンク障害 3(その他のリンク障害)
リンク障害 4(その他のリンク障害)
装置障害 4(共有ノード障害)だけ
装置障害 2(トランジットノード障害)
装置障害 3(トランジットノード障害)
リンク障害 1(共有リンク障害)
リンク障害 1(共有リンク障害)
485
23 Ring Protocol の解説
23.6.2 多重障害監視機能の基本構成
多重障害監視機能を適用できる共有リンクありのマルチリング構成は,共有リンク監視リングとバックアッ
プリングとなる共有リンク非監視リングをそれぞれ 1 リングずつ対応づけた構成です。このとき,共有
ノードを共有リンク監視リングのマスタノードとして設定します。多重障害監視機能の基本構成例を次の
図に示します。
図 23‒31 多重障害監視機能の基本構成例
23.6.3 多重障害監視の動作概要
多重障害は,共有リンクありのマルチリング構成で共有リンクの両端に位置する共有ノードで監視します。
共有ノードは,共有リンク監視リングの多重障害を監視するための制御フレーム(多重障害監視フレームと
呼びます)を送信します。対向の共有ノードでは,多重障害監視フレームの受信を監視します。なお,多重
障害監視フレームは専用の VLAN(多重障害監視 VLAN と呼びます)上に送信します。
486
多重障害監視の動作概要を次の図に示します。
図 23‒32 多重障害監視の動作概要
23 Ring Protocol の解説
(1) 共有リンク監視リングの各ノードの動作
共有リンク監視リングのマスタノードおよびトランジットノードの動作は,マルチリング時の動作と同様で
すので,「23.4.1 リング正常時の動作 (2) 共有リンク監視リング」を参照してください。
共有ノードでは,共有リンク監視リングの多重障害を監視します。共有ノードは,多重障害監視フレームを
両リングポートから送信するとともに,対向の共有ノードが両リングポートから送信した多重障害監視フ
レームをあらかじめ設定した時間内に受信するかを監視します。
(2) バックアップリングの各ノードの動作
バックアップリングのマスタノードおよびトランジットノードの動作は,マルチリング時の動作と同様です
ので,「23.4.1 リング正常時の動作 (1) 共有リンク非監視リング」を参照してください。
23.6.4 多重障害発生時の動作
共有リンク監視リングで,共有リンク障害とその他のリンク障害による多重障害が発生した場合の動作につ
いて説明します。
(1) 共有リンク障害時の動作
共有リンク監視リングでの共有リンク障害時の動作について,次の図に示します。
487
23 Ring Protocol の解説
図 23‒33 共有リンク障害時の動作
(a) 共有リンク監視リングの各ノードの動作
1. HC(M)未受信によってリング障害を検出
マスタノードは両方向の HC(M)を受信できなくなり,リング障害を検出します。リング障害検出時の
マスタノードおよびトランジットノードの動作は,マルチリング時の動作と同様ですので,「23.4.2
共有リンク障害・復旧時の動作 (1) 障害検出時の動作」を参照してください。
2. 共有リンク間の多重障害監視フレームが受信できない
共有ノードは共有リンク間での多重障害監視フレームの受信ができなくなりますが,もう一方のリング
ポートでは受信できているため,多重障害の監視を継続します。
(b) バックアップリングの各ノードの動作
バックアップリングではマスタノードが送信した HC(M)の受信はできなくなりますが,共有ノードが送信
した HC(S)は受信できているため,障害検出時の動作は行いません。
(2) 多重障害発生時の動作
共有リンク障害と共有リンク監視リング内のその他のリンク障害による多重障害発生時の動作について,次
の図に示します。
488
図 23‒34 多重障害発生時の動作
23 Ring Protocol の解説
(a) 共有リンク監視リングの各ノードの動作
1. 共有リンク監視リングの多重障害を検出
共有ノードは両リングポートで多重障害監視フレームを受信できなくなり,多重障害を検出します。
(b) バックアップリングの各ノードの動作
2. HC(S)の送信を停止
多重障害を検出した共有ノードは,バックアップリングの HC(S)の送信を停止します。
(3) バックアップリングへの切り替え動作
多重障害検出によるバックアップリングへの切り替え動作について,次の図に示します。
489
23 Ring Protocol の解説
図 23‒35 バックアップリングへの切り替え動作
(a) バックアップリングの各ノードの動作
1. HC(S)未受信によってリング障害を検出
マスタノードは自身が送信した両方向の HC(M)と共有ノードが送信した HC(S)がどちらも未受信とな
り,リング障害を検出します。リング障害検出時のマスタノードおよびトランジットノードの動作は,
復旧時の動作 (1) 障害検出時の動作」を参照してください。
(b) 共有リンク監視リングの各ノードの動作
2. 共有ノードからフラッシュ制御フレームを送信
バックアップリングのマスタノードから送信されたフラッシュ制御フレームを受信すると,共有ノード
は共有リンク監視リングに向けて,MAC アドレステーブルのクリアだけをするフラッシュ制御フレー
ムを送信します。
3. MAC アドレステーブルのクリア
トランジットノードは共有ノードから送信されたフラッシュ制御フレームを受信して,MAC アドレス
テーブルをクリアします。
23.6.5 多重障害復旧時の動作
共有リンク監視リングでの多重障害が復旧した場合の動作について説明します。
(1) 多重障害からの一部復旧時の動作
共有リンク監視リングで多重障害からの一部復旧時の動作について,次の図に示します。
490
図 23‒36 多重障害からの一部復旧時の動作
23 Ring Protocol の解説
(a) 共有リンク監視リングの各ノードの動作
1. 多重障害の復旧を検出
共有ノードは対向の共有ノードが送信した多重障害監視フレームを受信して,多重障害の復旧を検出し
ます。
(b) バックアップリングの各ノードの動作
2. HC(S)の送信を再開
多重障害の復旧を検出した共有ノードは,バックアップリングの HC(S)の送信を再開します。
(2) バックアップリングからの切り戻し動作
バックアップリングからの切り戻し動作について,次の図に示します。
491
23 Ring Protocol の解説
図 23‒37 バックアップリングからの切り戻し動作
(a) バックアップリングの各ノードの動作
1. HC(S)受信によってリング復旧を検出
マスタノードは共有ノードが送信した HC(S)を両方向から受信すると,リング障害が復旧したと判断し
て復旧動作を行います。復旧検出時のマスタノードおよびトランジットノードの動作は,マルチリング
時の動作と同様ですので,「23.4.3 共有リンク非監視リングでの共有リンク以外の障害・復旧時の動
(b) 共有リンク監視リングの各ノードの動作
2. 共有ノードからフラッシュ制御フレームを送信
バックアップリングのマスタノードから送信されたフラッシュ制御フレームを受信すると,共有ノード
は共有リンク監視リングに向けて,MAC アドレステーブルのクリアだけをするフラッシュ制御フレー
ムを送信します。
3. MAC アドレステーブルのクリア
トランジットノードは共有ノードから送信されたフラッシュ制御フレームを受信して,MAC アドレス
テーブルをクリアします。
4. ブロッキングを保持
リンク障害から復旧したリングポートのリング VLAN 状態は,マスタノードがリング復旧を検出して
いないため,ブロッキングを保持します。
なお,ブロッキングの解除については「23.8 Ring Protocol 使用時の注意事項 (18) 多重障害の一
(3) 共有リンク障害復旧時の動作
共有リンク障害復旧時の動作について,次の図に示します。
492
図 23‒38 共有リンク障害復旧時の動作
23 Ring Protocol の解説
(a) 共有リンク監視リングの各ノードの動作
1. HC(M)受信によってリング復旧を検出
マスタノードは自身が送信した HC(M)を受信すると,リング障害が復旧したと判断して復旧動作を行
います。復旧検出時のマスタノードおよびトランジットノードの動作は,マルチリング時の動作と同様
ですので,「23.4.2 共有リンク障害・復旧時の動作 (2) 復旧検出時の動作」を参照してください。
2. MAC アドレステーブルのクリア
トランジットノードはマスタノードから送信されたフラッシュ制御フレームを受信して,MAC アドレ
ステーブルをクリアします。
3. フォワーディングに変更
トランジットノードはマスタノードが送信したフラッシュ制御フレームの受信によって,リンク障害か
ら復旧したリングポートのリング VLAN 状態をフォワーディングに変更します。
493
23 Ring Protocol の解説
23.7 Ring Protocol のネットワーク設計
23.7.1 VLAN マッピングの使用方法
(1) VLAN マッピングとデータ転送用 VLAN
マルチリング構成などで,一つの装置に複数のリング ID を設定するような場合,それぞれのリング ID に
複数の同一 VLAN を設定する必要があります。このとき,データ転送用 VLAN として使用する VLAN の
リスト(これを VLAN マッピングと呼びます)をあらかじめ設定しておくと,マルチリング構成時のデー
タ転送用 VLAN の設定を簡略できたり,コンフィグレーションの設定誤りによるループなどを防止できた
りします。
VLAN マッピングは,データ転送用に使用する VLAN を VLAN マッピング ID に割り当てて使用します。
この VLAN マッピング ID を VLAN グループに設定して,データ転送用 VLAN として管理します。
図 23‒39 リングごとの VLAN マッピングの割り当て例
(2) PVST+と併用する場合の VLAN マッピング
Ring Protocol と PVST+を併用する場合は,PVST+に使用する VLAN を VLAN マッピングにも設定し
ます。このとき,VLAN マッピングに割り当てる VLAN は一つだけにしてください。PVST+と併用する
VLAN 以外のデータ転送用 VLAN は,別の VLAN マッピングに設定して,PVST+と併用する VLAN
マッピングと合わせて VLAN グループに設定します。
23.7.2 制御 VLAN の forwarding-delay-time の使用方法
トランジットノードの装置起動やプログラム再起動(運用コマンド restart axrp)など,Ring Protocol が
初期状態から動作する場合,データ転送用 VLAN は論理ブロックされています。トランジットノードは,
マスタノードが送信するフラッシュ制御フレームを受信することでこの論理ブロックを解除します。しか
し,プログラム再起動時などは,マスタノードの障害監視時間(health-check holdtime)が長いと,リン
グネットワークの状態変化を認識できないおそれがあります。この場合,フラッシュ制御フレーム受信待ち
保護時間(forwarding-shift-time)がタイムアウトするまで論理ブロックは解除されないため,トランジッ
トノードのデータ VLAN は通信できない状態になります。制御 VLAN のフォワーディング遷移時間
(forwarding-delay-time)を設定すると次に示す手順で動作するため,このようなケースを回避できます。
1. トランジットノードは,装置起動やプログラム再起動直後に,制御 VLAN をいったん論理ブロックし
ます。
494
23 Ring Protocol の解説
2. トランジットノードの制御 VLAN が論理ブロックされたので,マスタノードで障害を検出します(た
だし,装置起動時はこれ以前に障害を検出しています)。このため,通信は迂回経路に切り替わります。
3. トランジットノードは,制御 VLAN のフォワーディング遷移時間(forwarding-delay-time)のタイム
アウトによって制御 VLAN のブロッキングを解除します。
4. マスタノードはヘルスチェックフレームを受信することで復旧を検出し,フラッシュ制御フレームを送
信します。
5. トランジットノードは,このフラッシュ制御フレームを受信することでデータ転送用 VLAN の論理ブ
ロックを解除します。これによってデータ転送用 VLAN での通信が再開され,リングネットワーク全
体でも通常の通信経路に復旧します。
(1) 制御 VLAN のフォワーディング遷移時間(forwarding-delay-time)と障害監視時間
(health-check holdtime)の関係について
制御 VLAN のフォワーディング遷移時間(forwarding-delay-time)は,障害監視時間(health-check holdtime)より大きな値を設定してください。制御 VLAN のフォワーディング遷移時間(forwardingdelay-time)は,障害監視時間(health-check holdtime)の 2 倍程度を目安として設定することを推奨
します。障害監視時間(health-check holdtime)より小さな値を設定した場合,マスタノードで障害を検
出できません。したがって,迂回経路への切り替えが行われないため,通信断の時間が長くなるおそれがあ
ります。
23.7.3 プライマリポートの自動決定
マスタノードのプライマリポートは,ユーザが設定した二つのリングポートの情報に従って,自動で決定し
ます。次の表に示すように,優先度の高い方がプライマリポートとして動作します。また,VLAN グルー
プごとに優先度を逆にすることで,ユーザが特に意識することなく,経路の振り分けができるようになりま
す。
表 23‒5 プライマリポートの選択方式(VLAN グループ#1)
リングポート#1
物理ポート
物理ポート
チャネルグループ
チャネルグループ
リングポート#2
物理ポート
チャネルグループ
物理ポート
チャネルグループ
優先ポート
ポート番号の小さい方がプライマリポートとして動作 ※
物理ポート側がプライマリポートとして動作
物理ポート側がプライマリポートとして動作
チャネルグループ番号の小さい方がプライマリポートとし
て動作
注※
スタック構成時は,スイッチ番号の小さい方がプライマリポートとして動作します。
表 23‒6 プライマリポートの選択方式(VLAN グループ#2)
リングポート#1
物理ポート
物理ポート
チャネルグループ
リングポート#2
物理ポート
チャネルグループ
物理ポート
優先ポート
ポート番号の大きい方がプライマリポートとして動作 ※
チャネルグループ側がプライマリポートとして動作
チャネルグループ側がプライマリポートとして動作
495
23 Ring Protocol の解説
リングポート#1
チャネルグループ
リングポート#2
チャネルグループ
優先ポート
チャネルグループ番号の大きい方がプライマリポートとし
て動作
注※
スタック構成時は,スイッチ番号の大きい方がプライマリポートとして動作します。
また,上記の決定方式以外に,コンフィグレーションコマンド axrp-primary-port を使って,ユーザが
VLAN グループごとにプライマリポートを設定することもできます。
23.7.4 同一装置内でのノード種別混在構成
(1) ノード種別の混在設定
本装置が,二つの異なるリングに属している場合に,一方のリングではマスタノードとして動作し,もう一
方のリングではトランジットノードとして動作させることができます。
23.7.5 共有ノードでのノード種別混在構成
共有リンクありのマルチリング構成で,共有リンクの両端に位置するノードをマスタノードとして動作させ
ることができます。この場合,マスタノードのプライマリポートは,データ転送用の VLAN グループによ
らず,必ず共有リンク側のリングポートになります。このため,本構成では,データ転送用の VLAN グ
ループを二つ設定したことによる負荷分散は実現できません。
496
図 23‒40 共有ノードをマスタノードとした場合のポート状態
23 Ring Protocol の解説
23.7.6 リンクアグリゲーションを用いた場合の障害監視時間の設定
リングポートをリンクアグリゲーションで構成した場合に,ヘルスチェックフレームが転送されているリン
クアグリゲーション内のポートに障害が発生すると,リンクアグリゲーションの切り替えまたは縮退動作が
完了するまでの間,制御フレームが廃棄されてしまいます。このため,マスタノードの障害監視時間
(health-check holdtime)がリンクアグリゲーションの切り替えまたは縮退動作が完了する時間よりも短
いと,マスタノードがリングの障害を誤検出し,経路の切り替えを行います。この結果,ループが発生する
おそれがあります。
リングポートをリンクアグリゲーションで構成した場合は,マスタノードの障害監視時間をリンクアグリ
ゲーションによる切り替えまたは縮退動作が完了する時間よりも大きくする必要があります。
なお,LACP によるリンクアグリゲーションを使用する場合は,LACPDU の送信間隔の初期値が long(30
秒)となっていますので,初期値を変更しないまま運用すると,ループが発生するおそれがあります。LACP
によるリンクアグリゲーションを使用する際は,マスタノードの障害監視時間を変更するか,LACPDU の
送信間隔を short(1 秒)に設定してください。
497
23 Ring Protocol の解説
図 23‒41 リンクアグリゲーション使用時の障害検出
23.7.7 IEEE802.3ah/UDLD 機能との併用
本プロトコルでは,片方向リンク障害での障害の検出および切り替え動作は実施しません。片方向リンク障
害発生時にも切り替え動作を実施したい場合は,IEEE802.3ah/UDLD 機能を併用してください。リング
内のノード間を接続するリングポートに対して IEEE802.3ah/UDLD 機能の設定を行います。
IEEE802.3ah/UDLD 機能によって,片方向リンク障害が検出されると,該当ポートを閉塞します。これ
によって,該当リングを監視するマスタノードはリング障害を検出し,切り替え動作を行います。
23.7.8 リンクダウン検出タイマおよびリンクアップ検出タイマとの併
用
リングポートに使用しているポート(物理ポートまたはリンクアグリゲーションに属する物理ポート)のリ
ンク状態が不安定な場合,マスタノードがリング障害やリング障害復旧を連続で検出してリングネットワー
クが不安定な状態になり,ループや長時間の通信断が発生するおそれがあります。このような状態を防ぐに
は,リングポートに使用しているポートに対して,リンクダウン検出タイマおよびリンクアップ検出タイマ
を設定します。リンクダウン検出タイマおよびリンクアップ検出タイマの設定については,「16.2.6 リン
クダウン検出タイマの設定」および「16.2.7 リンクアップ検出タイマの設定」を参照してください。
498
23 Ring Protocol の解説
23.7.9 Ring Protocol の禁止構成
Ring Protocol を使用したネットワークでの禁止構成を次に示します。
(1) 同一リング内に複数のマスタノードを設定
同一のリング内に 2 台以上のマスタノードを設定しないでください。同一リング内に複数のマスタノード
があると,セカンダリポートが論理ブロックされるためにネットワークが分断されてしまい,適切な通信が
できなくなります。
図 23‒42 同一リング内に複数のマスタノードを設定
(2) 共有リンク監視リングが複数ある構成
共有リンクありのマルチリング構成では,共有リンク監視リングはネットワーク内で必ず一つとなるように
構成してください。共有リンク監視リングが複数あると,共有リンク非監視リングでの障害監視が分断され
るため,正しい障害監視ができなくなります。
図 23‒43 共有リンク監視リングが複数ある構成
499
23 Ring Protocol の解説
(3) ループになるマルチリング構成例
次に示す図のようなマルチリング構成を組むとトランジットノード間でループ構成となります。
図 23‒44 ループになるマルチリング構成
(4) マスタノードのプライマリポートが決定できない構成
次の図のように,二つの共有リンク非監視リングの最終端に位置するノードにマスタノードを設定しないで
ください。このような構成の場合,マスタノードの両リングポートが共有リンクとなるため,プライマリ
ポートを正しく決定できません。
図 23‒45 マスタノードのプライマリポートが決定できない構成
500
23 Ring Protocol の解説
23.7.10 多重障害監視機能の禁止構成
多重障害監視機能使用時の禁止構成について次に示します。
(1) 複数の共有リンク監視リングが同じバックアップリングを使用する構成
共有リンク監視リングと,多重障害検出時にバックアップリングとして使用する共有リンク非監視リング
は,1 対 1 に対応づけて構成する必要があります。複数の共有リンク監視リングが同じ共有リンク非監視リ
ングをバックアップリングとして使用した場合,ある共有リンク監視リングで多重障害を検出したときに,
別の共有リンク監視リングがバックアップリングにわたるループ構成となります。
図 23‒46 複数の共有リンク監視リングが同じバックアップリングを使用する構成
(2) 共有リンク内の共有ノードで多重障害を監視する構成
多重障害を監視する共有ノードは,共有リンクの最終端に位置する必要があります。このため,次の図に示
すような構成では,共有リンク内の共有ノードが多重障害を監視することになり正常に監視できません。ま
た,多重障害発生時にバックアップリングへの切り替えが正常にできません。
501
23 Ring Protocol の解説
図 23‒47 共有リンク内の共有ノードで多重障害を監視する構成
23.7.11 マスタノードの両リングポートが共有リンクとなる構成
次の図のように両リングポートが共有リンクとなるマスタノード(リング 1 の装置 3)が存在する共有リン
クありのマルチリング構成では,共有リンク非監視リングのマスタノード(リング 2 の装置 1)に,コン
フィグレーションコマンド flush-request-transmit vlan で隣接リング用フラッシュ制御フレームを送信す
る設定をしてください。
この設定によって,共有リンク非監視リングでリング障害が発生するとマスタノードは隣接するリングを構
成する装置(以降,隣接リング構成装置)に隣接リング用フラッシュ制御フレームを送信するため,すぐに
新しい通信経路に切り替えられます。なお,共有リンク非監視リングのリング障害が復旧した場合も同様に
なります。
502
図 23‒48 マスタノードの両リングポートが共有リンクとなる構成例
23 Ring Protocol の解説
このような構成で隣接リング用フラッシュ制御フレームを送信する設定をしない場合,共有リンク非監視リ
ングでリング障害が発生すると,共有リンク非監視リングでは経路の切り替えが実施されますが,隣接する
共有リンク監視リングでは実施されません。この結果,共有リンク監視リングを構成する装置では古い
MAC アドレス学習の情報が残るため,すぐに新しい通信経路に切り替わらないおそれがあります。また,
共有リンク非監視リングのリング障害が復旧した場合も同様になります。
23.7.12 スタック構成のノードを含むリングの障害監視時間の設定
スタックでは,複数のスタックリンクが設定されている場合,メンバスイッチ間の通信をロードバランスし
ます。スタックリンクに障害が発生すると,障害が発生したスタックリンクに振り分けないよう切り替えま
すが,切り替えが完了するまでの間,一時的に通信が停止します。
503
23 Ring Protocol の解説
そのとき,マスタノードの障害監視時間(health-check holdtime)がスタックリンクの切り替えが完了す
る時間よりも短いと,ヘルスチェックフレームが廃棄されるため,マスタノードがリング障害を誤検出し
て,経路を切り替えます。その結果,ループが発生するおそれがあります。このため,リング内にスタック
構成のノードを含む場合は,マスタノードの障害監視時間を 1 秒以上に設定してください。
504
23 Ring Protocol の解説
23.8 Ring Protocol 使用時の注意事項
(1) 運用中のコンフィグレーション変更について
運用中に,Ring Protocol の次に示すコンフィグレーションを変更する場合は,ループ構成にならないよう
に注意が必要です。
• Ring Protocol 機能の停止(disable コマンド)
• 動作モード(mode コマンド)の変更および属性(ring-attribute パラメータ)の変更
• 制御 VLAN(control-vlan コマンド)の変更および制御 VLAN に使用している VLAN ID(vlan コマ
ンド,switchport trunk コマンド,state コマンド)の変更
• データ転送用 VLAN(axrp vlan-mapping コマンド,vlan-group コマンド)の変更
• プライマリポート(axrp-primary-port コマンド)の変更
• 共有リンク監視リングのマスタノードが動作している装置に,共有リンク非監視リングの最終端ノード
を追加(動作モードの属性に rift-ring-edge パラメータ指定のあるリングを追加)
これらのコンフィグレーションは,次の手順で変更することを推奨します。
1. コンフィグレーションを変更する装置のリングポート,またはマスタノードのセカンダリポートを shutdown コマンドなどでダウン状態にします。
2. コンフィグレーションを変更する装置の Ring Protocol 機能を停止(disable コマンド)します。
3. コンフィグレーションを変更します。
4. Ring Protocol 機能の停止を解除(no disable コマンド)します。
5. 事前にダウン状態としたリングポートをアップ(shutdown コマンドなどの解除)します。
(2) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
(3) 制御 VLAN に使用する VLAN について
Ring Protocol の制御フレームは Tagged フレームになります。このため,制御 VLAN に使用する VLAN
は,トランクポートの allowed vlan(ネイティブ VLAN は不可)に設定してください。
(4) トランジットノードのリング VLAN 状態について
トランジットノードでは,装置またはリングポートが障害となり,その障害が復旧した際,ループの発生を
防ぐために,リングポートのリング VLAN 状態はブロッキング状態となります。このブロッキング状態解
除の契機の一つとして,フラッシュ制御フレーム受信待ち保護時間(forwarding-shift-time)のタイムア
ウトがあります。このとき,フラッシュ制御フレーム受信待ち保護時間(forwarding-shift-time)がマス
タノードのヘルスチェック送信間隔(health-check interval)よりも短い場合,マスタノードがリング障
害の復旧を検出して,セカンダリポートをブロッキング状態に変更するよりも先に,トランジットノードの
リングポートがフォワーディング状態となることがあり,ループが発生するおそれがあります。したがっ
て,フラッシュ制御フレーム受信待ち保護時間(forwarding-shift-time)はヘルスチェック送信間隔
(health-check interval)より大きい値を設定してください。
スタック構成のマスタノードでメンバスイッチに障害が発生した場合,その障害が復旧するときに,スタッ
クのメンバスイッチを追加します。このとき,隣接するトランジットノードのフラッシュ制御フレーム受信
待ち保護時間(forwarding-shift-time)がメンバスイッチの追加が完了する時間よりも短いと,トランジッ
505
23 Ring Protocol の解説
トノードのリングポートがフォワーディング状態となり,ループが発生するおそれがあります。このため,
スタック構成のマスタノードに隣接するトランジットノードのフラッシュ制御フレーム受信待ち保護時間
(forwarding-shift-time)は,60 秒以上に設定してください。
(5) 共有リンクありのマルチリングでの VLAN 構成について
複数のリングで共通に使用する共有リンクでは,それぞれのリングで同じ VLAN を使用する必要がありま
す。共有リンク間での VLAN のポートのフォワーディング/ブロッキング制御は共有リンク監視リング
で行います。このため,共有リンク監視/非監視リングで異なる VLAN を使用すると,共有リンク非監視
リングで使用している VLAN はブロッキングのままとなり,通信ができなくなります。
(6) Ring Protocol 使用時のネットワーク構築について
Ring Protocol を利用するネットワークはループ構成となります。したがって,次の手順でネットワークを
構築し,ループを防止してください。
1. 事前に,リング構成ノードのリングポート(物理ポートまたはチャネルグループ)を shutdown コマン
ドなどでダウン状態にしてください。
2. Ring Protocol のコンフィグレーションを設定するか,Ring Protocol の設定を含むコンフィグレー
ションファイルのコピー(copy コマンド)をして,Ring Protocol を有効にしてください。
3. ネットワーク内のすべての装置に Ring Protocol の設定が完了した時点でリングポートをアップ
(shutdown コマンドなどの解除)してください。
(7) ヘルスチェックフレームの送信間隔と障害監視時間について
障害監視時間(health-check holdtime)は送信間隔(health-check interval)より大きな値を設定して
ください。送信間隔よりも小さな値を設定すると,受信タイムアウトとなり障害を誤検出します。また,障
害監視時間と送信間隔はネットワーク構成や運用環境などを十分に考慮した値を設定してください。障害
監視時間は送信間隔の 3 倍以上を目安として設定することを推奨します。3 倍未満に設定すると,ネット
ワークの負荷や装置の CPU 負荷などによって遅延が発生した場合に障害を誤検出するおそれがあります。
(8) 相互運用
Ring Protocol は,本装置独自仕様の機能です。他社スイッチとは相互運用できません。
(9) リングを構成する装置について
• Ring Protocol を用いたネットワーク内で,本装置間に Ring Protocol をサポートしていない他社ス
イッチや伝送装置などを設置した場合,本装置のマスタノードが送信するフラッシュ制御フレームを解
釈できないため,即時に MAC アドレステーブルエントリがクリアされません。その結果,通信経路の
切り替え(もしくは切り戻し)前の情報に従ってデータフレームの転送が行われるため,正しくデータ
が届かないおそれがあります。
• AX6700S,AX6600S,または AX6300S シリーズをマスタノード,本装置をトランジットノードとし
てリングネットワークを構成した際は,マスタノードのヘルスチェックフレームの送信間隔を,本装置
で指定できるヘルスチェックフレーム送信間隔の最小値以上の値に設定してください。本装置のヘル
スチェックフレーム送信間隔の最小値より小さい値を設定すると本装置の CPU 使用率が上昇し,正常
にリングの動作が行われないおそれがあります。
(10) マスタノード障害時について
マスタノードが装置障害などによって通信できない状態になると,リングネットワークの障害監視が行われ
なくなります。このため,迂回経路への切り替えは行われずに,マスタノード以外のトランジットノード間
506
23 Ring Protocol の解説
の通信はそのまま継続されます。また,マスタノードが装置障害から復旧する際には,フラッシュ制御フ
レームをリング内のトランジットノードに向けて送信します。このため,一時的に通信が停止するおそれが
あります。
(11) ネットワーク内の多重障害時について
同一リング内の異なるノード間で 2 個所以上の障害が起きた場合(多重障害),マスタノードは既に 1 個所
目の障害で障害検出を行っているため,2 個所目以降の障害を検出しません。また,多重障害での復旧検出
についても,最後の障害が復旧するまでマスタノードが送信しているヘルスチェックフレームを受信できな
いため,復旧を検出できません。その結果,多重障害のうち,一部の障害が復旧した(リングとして障害が
残っている状態)ときには一時的に通信できないことがあります。
なお,多重障害監視機能を適用すると,障害の組み合わせによっては多重障害を検出できる場合がありま
す。多重障害監視機能については,「23.6 Ring Protocol の多重障害監視機能」を参照してください。
(12) VLAN のダウンを伴う障害発生時の経路の切り替えについて
マスタノードのプライマリポートでリンクダウンなどの障害が発生すると,データ転送用の VLAN グルー
プに設定されている VLAN が一時的にダウンする場合があります。このような場合,経路の切り替えによ
る通信の復旧に時間がかかることがあります。
なお,VLAN debounce 機能を使用することで VLAN のダウンを回避できる場合があります。VLAN
debounce 機能の詳細については,「21.9 VLAN debounce 機能の解説」を参照してください。
(13) フラッシュ制御フレームの送信回数について
リングネットワークに適用している VLAN 数や VLAN マッピング数などの構成に応じて,マスタノード
が送信するフラッシュ制御フレームの送信回数を調整してください。
一つのリングポートに 64 個以上の VLAN マッピングを使用している場合には,送信回数を 4 回以上に設
定してください。3 回以下の場合,MAC アドレステーブルエントリが適切にクリアできず,経路の切り替
えに時間がかかることがあります。
(14) VLAN のダウンを伴うコンフィグレーションコマンドの設定について
Ring Protocol に関するコンフィグレーションコマンドが設定されていない状態で,一つ目の Ring
Protocol に関するコンフィグレーションコマンド(次に示すどれかのコマンド)を設定した場合に,すべ
ての VLAN が一時的にダウンします。そのため,Ring Protocol を用いたリングネットワークを構築する
場合には,あらかじめ次に示すコンフィグレーションコマンドを設定しておくことを推奨します。
• axrp
• axrp vlan-mapping
• axrp-ring-port
• axrp-primary-port
• axrp virtual-link
なお,VLAN マッピング(axrp vlan-mapping コマンド)については,新たに追加設定した場合でも,そ
の VLAN マッピングに関連づけられる VLAN が一時的にダウンします。すでに設定されている VLAN
マッピング,およびその VLAN マッピングに関連づけられているその他の VLAN には影響ありません。
507
23 Ring Protocol の解説
(15) マスタノードの装置起動時のフラッシュ制御フレーム送受信について
マスタノードの装置起動時に,トランジットノードがマスタノードと接続されているリングポートのリンク
アップをマスタノードよりも遅く検出すると,マスタノードが初期動作時に送信するフラッシュ制御フレー
ムを受信できない場合があります。このとき,フラッシュ制御フレームを受信できなかったトランジット
ノードのリングポートはブロッキング状態となります。該当するリングポートはフラッシュ制御フレーム
受信待ち保護時間(forwarding-shift-time)が経過するとフォワーディング状態となり,通信が復旧しま
す。
隣接するトランジットノードでフラッシュ制御フレームが受信できない場合には,マスタノードのフラッ
シュ制御フレームの送信回数を調節すると,受信できることがあります。また,フラッシュ制御フレーム未
受信による通信断の時間を短縮したい場合は,トランジットノードのフラッシュ制御フレーム受信待ち保護
時間(初期値:10 秒)を短くしてください。
なお,次の場合も同様です。
• VLAN プログラムの再起動(運用コマンド restart vlan の実行)
• コンフィグレーションファイルの運用への反映(運用コマンド copy の実行)
(16) 経路切り戻し抑止機能適用時のフラッシュ制御フレーム受信待ち保護時間の設定につ
いて
経路切り戻し抑止機能を動作させる場合,トランジットノードでのフラッシュ制御フレーム受信待ち保護時
間(forwarding-shift-time)には infinity を指定するか,または経路切り戻し抑止時間(preempt-delay)
よりも大きな値を指定してください。経路切り戻し抑止中,トランジットノードでのフラッシュ制御フレー
ム受信待ち保護時間がタイムアウトして該当リングポートの論理ブロックを解除してしまうと,マスタノー
ドはセカンダリポートの論理ブロック状態を解除しているため,ループが発生するおそれがあります。
(17) 多重障害監視機能の監視開始タイミングについて
共有ノードでは,多重障害監視機能を適用したあと,対向の共有ノードが送信する多重障害監視フレームを
最初に受信したときに多重障害の監視を開始します。このため,多重障害監視機能を設定するときにリング
ネットワークに障害が発生していると,多重障害の監視を開始できません。多重障害監視機能は,リング
ネットワークが正常な状態で設定してください。
(18) 多重障害の一部復旧時の通信について
多重障害の一部復旧時はマスタノードがリング復旧を検出しないため,トランジットノードのリングポート
はフラッシュ制御フレームの受信待ち保護時間(forwarding-shift-time)が経過するまでの間,論理ブロッ
ク状態となります。論理ブロック状態を解除したい場合は,フラッシュ制御フレーム受信待ち保護時間(初
期値:10 秒)を短くするか,残りのリンク障害を復旧してマスタノードにリング復旧を検出させてくださ
い。なお,フラッシュ制御フレームの受信待ち保護時間を設定するときは,多重障害監視フレームの送信間
隔(コンフィグレーションコマンド multi-fault-detection interval)よりも大きい値を設定してください。
小さい値を設定すると,一時的にループが発生するおそれがあります。
(19) 多重障害監視機能と経路切り戻し抑止機能の併用について
共有リンク非監視リングに経路切り戻し抑止機能を設定すると,多重障害が復旧したときに,セカンダリ
ポートは復旧抑止状態を解除するまでの間フォワーディング状態を維持するため,ループ構成となるおそれ
があります。多重障害監視機能と経路切り戻し抑止機能を併用する場合は,次のどれかで運用してくださ
い。
• 共有リンク監視リングだけに経路切り戻し抑止機能を設定する
508
23 Ring Protocol の解説
• 共有リンク監視リングの切り戻し抑止時間を,共有リンク非監視リングの切り戻し抑止時間よりも十分
に長くなるように設定する
• 共有リンク監視リングおよび共有リンク非監視リングの切り戻し抑止時間に infinity を設定する場合
は,共有リンク非監視リングの復旧抑止状態を解除してから共有リンク監視リングの復旧抑止状態を解
除する
(20) リングポートに指定したリンクアグリゲーションのダウンについて
リングネットワークを構成するノード間をリンクアグリゲーション(スタティックモードまたは LACP
モード)で接続していた場合,リンクアグリゲーションの該当チャネルグループを shutdown コマンドで
ダウン状態にするときは,あらかじめチャネルグループに属するすべての物理ポートを shutdown コマン
ドでダウン状態に設定してください。
なお,該当チャネルグループを no shutdown コマンドでアップ状態にするときは,あらかじめチャネルグ
ループに属するすべての物理ポートを shutdown コマンドでダウン状態に設定してください。
(21) スタック構成のノードの適用について
スタック構成時,複数のメンバスイッチと接続するリンクアグリゲーションは,リングポートとして使用で
きません。
スタック構成のノードは,Ring Protocol とスパニングツリーの併用,Ring Protocol と GSRP の併用をサ
ポートしていません。スパニングツリーや GSRP を併用しているリングネットワークにスタック構成の
ノードを追加すると,仮想リンクを構築できないため意図したトポロジーが構築されません。その結果,
ループが発生するおそれがあります。スタック構成のノードを使用する場合は,リングを構成するすべての
ノードで,スパニングツリーおよび GSRP を停止してください。
スタンドアロンで動作しているノードに本装置を追加して,スタック構成のノードを構築する場合は,次の
点に注意してください。
• 共有ノードとして動作しているノードは,スタック構成にできません。
• スタック機能を有効にする前に,既存のリングポートの設定を一つ削除してください。二つ目のリング
ポートは,スタック機能を有効にしたあと,追加したメンバスイッチのインタフェースに設定してくだ
さい。
• 仮想リンクの設定を削除してから,スタック機能を有効にしてください。
509
24
Ring Protocol の設定と運用
この章では,Ring Protocol の設定例について説明します。
511
24 Ring Protocol の設定と運用
24.1 コンフィグレーション
Ring Protocol 機能が動作するためには,axrp,axrp vlan-mapping,mode,control-vlan,vlangroup,axrp-ring-port の設定が必要です。すべてのノードについて,構成に即したコンフィグレーション
を設定してください。
24.1.1 コンフィグレーションコマンド一覧
Ring Protocol のコンフィグレーションコマンド一覧を次の表に示します。
表 24‒1 コンフィグレーションコマンド一覧
コマンド名 axrp axrp vlan-mapping axrp-primary-port axrp-ring-port control-vlan disable flush-request-count flush-request-transmit vlan forwarding-shift-time health-check holdtime health-check interval mode multi-fault-detection holdtime multi-fault-detection interval multi-fault-detection mode multi-fault-detection vlan name preempt-delay vlan-group
説明
リング ID を設定します。
VLAN マッピング,およびそのマッピングに参加する VLAN を設定します。
プライマリポートを設定します。
リングポートを設定します。
制御 VLAN として使用する VLAN を設定します。
Ring Protocol 機能を無効にします。
フラッシュ制御フレームを送信する回数を設定します。
隣接するリング構成の装置に対して,隣接リング用フラッシュ制御フレーム
を送信する VLAN を設定します。
フラッシュ制御フレームの受信待ちを行う保護時間を設定します。
ヘルスチェックフレームの保護時間を設定します。
ヘルスチェックフレームの送信間隔を設定します。
リングでの動作モードを設定します。
多重障害監視フレームの受信待ち保護時間を設定します。
多重障害監視フレームの送信間隔を設定します。
多重障害監視の監視モードを設定します。
多重障害監視 VLAN として使用する VLAN を設定します。
リングを識別するための名称を設定します。
経路切り戻し抑止機能を有効にして抑止時間を設定します。
Ring Protocol 機能で運用する VLAN グループ,および VLAN マッピング
ID を設定します。
24.1.2 Ring Protocol 設定の流れ
Ring Protocol 機能を正常に動作させるには,構成に合った設定が必要です。設定の流れを次に示します。
512
24 Ring Protocol の設定と運用
(1) スパニングツリーの停止
Ring Protocol を使用する場合には,事前にスパニングツリーを停止することを推奨します。ただし,本装
置で Ring Protocol とスパニングツリーを併用するときは,停止する必要はありません。スパニングツ
リーの停止については,「22 スパニングツリー」を参照してください。
(2) Ring Protocol 共通の設定
リングの構成,またはリングでの本装置の位置づけに依存しない共通の設定を行います。
• リング ID
• 制御 VLAN
• VLAN マッピング
• VLAN グループ
(3) モードとポートの設定
リングの構成,またはリングでの本装置の位置づけに応じた設定を行います。設定の組み合わせに矛盾があ
る場合,Ring Protocol 機能は正常に動作しません。
• モード
• リングポート
(4) 各種パラメータ設定
Ring Protocol 機能は,次に示すコンフィグレーションの設定がない場合,初期値で動作します。値を変更
したい場合はコマンドで設定してください。
• 機能の無効化
• ヘルスチェックフレーム送信間隔
• ヘルスチェックフレーム受信待ち保護時間
• フラッシュ制御フレーム受信待ち保護時間
• フラッシュ制御フレーム送信回数
• プライマリポート
• 経路切り戻し抑止機能の有効化および抑止時間
24.1.3 リング ID の設定
[設定のポイント]
リング ID を設定します。同じリングに属する装置にはすべて同じリング ID を設定する必要がありま
す。
[コマンドによる設定]
1. (config)# axrp 1
リング ID 1 を設定します。
513
24 Ring Protocol の設定と運用
24.1.4 制御 VLAN の設定
(1) 制御 VLAN の設定
[設定のポイント]
制御 VLAN として使用する VLAN を指定します。データ転送用 VLAN に使われている VLAN は使
用できません。また,異なるリングで使われている VLAN ID と同じ値の VLAN ID は使用できませ
ん。
[コマンドによる設定]
1. (config)# axrp 1
リング ID 1 の axrp コンフィグレーションモードに移行します。
2. (config-axrp)# control-vlan 2
制御 VLAN として VLAN2 を指定します。
(2) 制御 VLAN のフォワーディング遷移時間の設定
[設定のポイント]
Ring Protocol が初期状態の場合に,トランジットノードでの制御 VLAN のフォワーディング遷移時間
を設定します。それ以外のノードでは,本設定を実施しても無効となります。トランジットノードでの
制御 VLAN のフォワーディング遷移時間(forwarding-delay-time パラメータでの設定値)は,マス
タノードでのヘルスチェックフレームの保護時間(health-check holdtime コマンドでの設定値)より
も大きな値を設定してください。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# control-vlan 2 forwarding-delay-time 10
制御 VLAN のフォワーディング遷移時間を 10 秒に設定します。
24.1.5 VLAN マッピングの設定
(1) VLAN 新規設定
[設定のポイント]
データ転送用に使用する VLAN を VLAN マッピングに括り付けます。一つの VLAN マッピングを共
通定義として複数のリングで使用できます。設定できる VLAN マッピングの最大数は 128 個です。
VLAN マッピングに設定する VLAN はリストで複数指定できます。
リングネットワーク内で使用するデータ転送用 VLAN は,すべてのノードで同じにする必要がありま
す。ただし,VLAN グループに指定した VLAN マッピングの VLAN が一致していればよいため,リン
グネットワーク内のすべてのノードで VLAN マッピング ID を一致させる必要はありません。
[コマンドによる設定]
1. (config)# axrp vlan-mapping 1 vlan 5-7
VLAN マッピング ID 1 に,VLAN ID 5,6,7 を設定します。
514
24 Ring Protocol の設定と運用
(2) VLAN 追加
[設定のポイント]
設定済みの VLAN マッピングに対して,VLAN ID を追加します。追加した VLAN マッピングを適用
したリングが動作中の場合には,すぐに反映されます。また,複数のリングで適用されている場合に
は,同時に反映されます。リング運用中に VLAN マッピングを変更すると,ループが発生することが
あります。
[コマンドによる設定]
1. (config)# axrp vlan-mapping 1 vlan add 8-10
VLAN マッピング ID 1 に VLAN ID 8,9,10 を追加します。
(3) VLAN 削除
[設定のポイント]
設定済みの VLAN マッピングから,VLAN ID を削除します。削除した VLAN マッピングを適用した
リングが動作中の場合には,すぐに反映されます。また,複数のリングで適用されている場合には,同
時に反映されます。リング運用中に VLAN マッピングを変更すると,ループが発生することがありま
す。
[コマンドによる設定]
1. (config)# axrp vlan-mapping 1 vlan remove 8-9
VLAN マッピング ID 1 から VLAN ID 8,9 を削除します。
24.1.6 VLAN グループの設定
[設定のポイント]
VLAN グループに VLAN マッピングを割り当てることによって,VLAN ID を Ring Protocol で使用
する VLAN グループに所属させます。VLAN グループは一つのリングに最大二つ設定できます。
VLAN グループには,リスト指定によって最大 128 個の VLAN マッピング ID を設定できます。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# vlan-group 1 vlan-mapping 1
VLAN グループ 1 に,VLAN マッピング ID 1 を設定します。
24.1.7 モードとリングポートに関する設定(シングルリングと共有リ
ンクなしマルチリング構成)
シングルリング構成を「図 24‒1 シングルリング構成」に,共有リンクなしマルチリング構成を「図 24‒
515
24 Ring Protocol の設定と運用
図 24‒1 シングルリング構成
図 24‒2 共有リンクなしマルチリング構成
シングルリング構成と共有リンクなしマルチリング構成での,マスタノード,およびトランジットノードに
関するモードとリングポートの設定は同様になります。
(1) マスタノード
[設定のポイント]
リングでの本装置の動作モードをマスタモードに設定します。イーサネットインタフェースまたは
ポートチャネルインタフェースをリングポートとして指定します。リングポートは一つのリングに対
して二つ設定してください。「図 24‒1 シングルリング構成」では M3 ノード,「図 24‒2 共有リンク
なしマルチリング構成」では M1 および M6 ノードがこれに該当します。
[コマンドによる設定]
1. (config)# axrp 2
(config-axrp)# mode master
リング ID 2 の動作モードをマスタモードに設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# axrp-ring-port 2
(config-if)# exit
(config)# interface gigabitethernet 1/0/2
(config-if)# axrp-ring-port 2
ポート 1/0/1 および 1/0/2 のインタフェースモードに移行し,該当するインタフェースをリング ID 2
のリングポートとして設定します。
516
24 Ring Protocol の設定と運用
[注意事項]
スタックを構成するメンバスイッチ 1 台に対して,同じリング ID のリングポートを設定できるのは一
つのインタフェースだけです。二つ目のリングポートは,別のメンバスイッチのインタフェースに設定
してください。
(2) トランジットノード
[設定のポイント]
リングでの本装置の動作モードをトランジットモードに設定します。イーサネットインタフェースま
たはポートチャネルインタフェースをリングポートとして指定します。リングポートは一つのリング
に対して二つ設定してください。「図 24‒1 シングルリング構成」では T1,T2 および T4 ノード,「図
24‒2 共有リンクなしマルチリング構成」では T2,T3,T4,T5 および T7 ノードがこれに該当しま
す。
[コマンドによる設定]
1. (config)# axrp 2
(config-axrp)# mode transit
リング ID 2 の動作モードをトランジットモードに設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# axrp-ring-port 2
(config-if)# exit
(config)# interface gigabitethernet 1/0/2
(config-if)# axrp-ring-port 2
ポート 1/0/1 および 1/0/2 のインタフェースモードに移行し,該当するインタフェースをリング ID 2
のリングポートとして設定します。
[注意事項]
スタックを構成するメンバスイッチ 1 台に対して,同じリング ID のリングポートを設定できるのは一
つのインタフェースだけです。二つ目のリングポートは,別のメンバスイッチのインタフェースに設定
してください。
24.1.8 モードとリングポートに関する設定(共有リンクありマルチリ
ング構成)
共有リンクありマルチリング構成について,モードとリングポートのパラメータ設定パターンを示します。
(1) 共有リンクありマルチリング構成(基本構成)
共有リンクありマルチリング構成(基本構成)を次の図に示します。
517
24 Ring Protocol の設定と運用
図 24‒3 共有リンクありマルチリング構成(基本構成)
(a) 共有リンク監視リングのマスタノード
シングルリングのマスタノード設定と同様です。「24.1.7 モードとリングポートに関する設定(シングル
リングと共有リンクなしマルチリング構成) (1) マスタノード」を参照してください。「図 24‒3 共有リ
ンクありマルチリング構成(基本構成)」では M3 ノードがこれに該当します。
(b) 共有リンク監視リングのトランジットノード
シングルリングのトランジットノード設定と同様です。「24.1.7 モードとリングポートに関する設定(シ
ングルリングと共有リンクなしマルチリング構成) (2) トランジットノード」を参照してください。「図
24‒3 共有リンクありマルチリング構成(基本構成)」では T2,T4 および T5 ノードがこれに該当しま
す。
518
24 Ring Protocol の設定と運用
(c) 共有リンク非監視リングのマスタノード
[設定のポイント]
リングでの本装置の動作モードをマスタモードに設定します。また,本装置が構成しているリングの属
性,およびそのリングでの本装置の位置づけを共有リンク非監視リングに設定します。イーサネットイ
ンタフェースまたはポートチャネルインタフェースをリングポートとして指定します。リングポート
は一つのリングに対して二つ設定してください。「図 24‒3 共有リンクありマルチリング構成(基本構
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# mode master ring-attribute rift-ring
リング ID 1 の動作モードをマスタモード,リング属性を共有リンク非監視リングに設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# axrp-ring-port 1
(config-if)# exit
(config)# interface gigabitethernet 1/0/2
(config-if)# axrp-ring-port 1
ポート 1/0/1 および 1/0/2 のインタフェースモードに移行し,該当するインタフェースをリング ID 1
のリングポートとして設定します。
[注意事項]
スタックを構成するメンバスイッチ 1 台に対して,同じリング ID のリングポートを設定できるのは一
つのインタフェースだけです。二つ目のリングポートは,別のメンバスイッチのインタフェースに設定
してください。
(d) 共有リンク非監視リングのトランジットノード
シングルリングのトランジットノード設定と同様です。「24.1.7 モードとリングポートに関する設定(シ
ングルリングと共有リンクなしマルチリング構成) (2) トランジットノード」を参照してください。「図
24‒3 共有リンクありマルチリング構成(基本構成)」では T6 ノードがこれに該当します。
(e) 共有リンク非監視リングの最終端ノード(トランジット)
[設定のポイント]
リングでの本装置の動作モードをトランジットモードに設定します。また,本装置が構成しているリン
グの属性,およびそのリングでの本装置の位置づけを共有リンク非監視リングの最終端ノードに設定し
ます。構成上二つ存在する共有リンク非監視リングの最終端ノードの区別にはエッジノード ID(1 また
は 2)を指定します。「図 24‒3 共有リンクありマルチリング構成(基本構成)」では S2 および S5 ノー
ドがこれに該当します。リングポート設定は共有リンク側のポートにだけ shared-edge を指定しま
す。「図 24‒3 共有リンクありマルチリング構成(基本構成)」では S2 および S5 ノードのリングポー
ト[R2]がこれに該当します。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# mode transit ring-attribute rift-ring-edge 1
リング ID 1 での動作モードをトランジットモード,リング属性を共有リンク非監視リングの最終端
ノード,エッジノード ID を 1 に設定します。
519
24 Ring Protocol の設定と運用
2. (config)# interface gigabitethernet 1/0/1
(config-if)# axrp-ring-port 1
(config-if)# exit
(config)# interface gigabitethernet 1/0/2
(config-if)# axrp-ring-port 1 shared-edge
ポート 1/0/1 および 1/0/2 のインタフェースモードに移行し,該当するインタフェースをリング ID 1
のリングポートとして設定します。このとき,ポート 1/0/2 を共有リンクとして shared-edge パラ
メータも設定します。
[注意事項]
エッジノード ID は,二つある共有リンク非監視リングの最終端ノードで他方と異なる ID を設定してく
ださい。
スタック構成時は,リング属性に共有リンク非監視リングの最終端ノード(rift-ring-edge パラメータ)
を設定できません。
(2) 共有リンクありのマルチリング構成(拡張構成)
共有リンクありマルチリング構成(拡張構成)を次の図に示します。共有リンク非監視リングの最終端ノー
ド(マスタノード)および共有リンク非監視リングの共有リンク内ノード(トランジット)以外の設定につ
いては,「(1) 共有リンクありマルチリング構成(基本構成)」を参照してください。
520
図 24‒4 共有リンクありのマルチリング構成(拡張構成)
24 Ring Protocol の設定と運用
(a) 共有リンク非監視リングの最終端ノード(マスタノード)
[設定のポイント]
リングでの本装置の動作モードをマスタモードに設定します。また,本装置が構成しているリングの属
性,およびそのリングでの本装置の位置づけを共有リンク非監視リングの最終端ノードに設定します。
構成上二つ存在する共有リンク非監視リングの最終端ノードの区別にはエッジノード ID(1 または 2)
を指定します。「図 24‒4 共有リンクありのマルチリング構成(拡張構成)」では M5 ノードがこれに
該当します。リングポート設定は共有リンク側のポートにだけ shared-edge を指定します。「図 24‒
4 共有リンクありのマルチリング構成(拡張構成)」では M5 ノードのリングポート[R2]がこれに該当
します。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# mode master ring-attribute rift-ring-edge 2
521
24 Ring Protocol の設定と運用
リング ID 1 での動作モードをマスタモード,リング属性を共有リンク非監視リングの最終端ノード,
エッジノード ID を 2 に設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# axrp-ring-port 1
(config-if)# exit
(config)# interface gigabitethernet 1/0/2
(config-if)# axrp-ring-port 1 shared-edge
ポート 1/0/1 および 1/0/2 のインタフェースモードに移行し,該当するインタフェースをリング ID 1
のリングポートとして設定します。このとき,ポート 1/0/2 を共有リンクとして shared-edge パラ
メータも設定します。
[注意事項]
エッジノード ID は,二つある共有リンク非監視リングの最終端ノードで他方と異なる ID を設定してく
ださい。
スタック構成時は,リング属性に共有リンク非監視リングの最終端ノード(rift-ring-edge パラメータ)
を設定できません。
(b) 共有リンク非監視リングの共有リンク内ノード(トランジット)
[設定のポイント]
リングでの本装置の動作モードをトランジットモードに設定します。「図 24‒4 共有リンクありのマル
チリング構成(拡張構成)」では S7 ノードがこれに該当します。リングポートは両ポート共に shared
パラメータを指定し,共有ポートとして設定します。「図 24‒4 共有リンクありのマルチリング構成
(拡張構成)」では S7 ノードのリングポート[R3]がこれに該当します。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# mode transit
リング ID 1 の動作モードをトランジットモードに設定します。
2. (config)# interface gigabitethernet 1/0/1
(config-if)# axrp-ring-port 1 shared
(config-if)# exit
(config)# interface gigabitethernet 1/0/2
(config-if)# axrp-ring-port 1 shared
ポート 1/0/1 および 1/0/2 のインタフェースモードに移行し,該当するインタフェースをリング ID 1
の共有リンクポートに設定します。
[注意事項]
1. 共有リンク監視リングの共有リンク内トランジットノードに shared 指定でポート設定をした場合,
Ring Protocol 機能は正常に動作しません。
2. 共有リンク非監視リングの共有リンク内で shared 指定したノードにマスタモードは指定できませ
ん。
522
24 Ring Protocol の設定と運用
24.1.9 各種パラメータの設定
(1) Ring Protocol 機能の無効
[設定のポイント]
コマンドを指定して Ring Protocol 機能を無効にします。ただし,運用中に Ring Protocol 機能を無効
にすると,ネットワークの構成上,ループが発生するおそれがあります。このため,先に Ring Protocol
機能を動作させているインタフェースを shutdown コマンドなどで停止させてから,Ring Protocol 機
能を無効にしてください。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# disable
該当するリング ID 1 の axrp コンフィグレーションモードに移行します。disable コマンドを実行す
ることで,Ring Protocol 機能が無効となります。
(2) ヘルスチェックフレーム送信間隔
[設定のポイント]
マスタノード,または共有リンク非監視リングの最終端ノードでのヘルスチェックフレームの送信間隔
を設定します。それ以外のノードでは,本設定を実施しても,無効となります。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# health-check interval 500
ヘルスチェックフレームの送信間隔を 500 ミリ秒に設定します。
[注意事項]
マルチリングの構成をとる場合,同一リング内のマスタノードと共有リンク非監視リングの最終端ノー
ドでのヘルスチェックフレーム送信間隔は同じ値を設定してください。値が異なる場合,障害検出処理
が正常に行われません。
(3) ヘルスチェックフレーム受信待ち保護時間
[設定のポイント]
マスタノードでのヘルスチェックフレームの受信待ち保護時間を設定します。それ以外のノードでは,
本設定を実施しても,無効となります。受信待ち保護時間を変更することで,障害検出時間を調節でき
ます。
受信待ち保護時間(health-check holdtime コマンドでの設定値)は,送信間隔(health-check interval
コマンドでの設定値)よりも大きい値を設定してください。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# health-check holdtime 1500
ヘルスチェックフレームの受信待ち保護時間を 1500 ミリ秒に設定します。
523
24 Ring Protocol の設定と運用
(4) フラッシュ制御フレーム受信待ち保護時間
[設定のポイント]
トランジットノードでのフラッシュ制御フレームの受信待ち保護時間を設定します。それ以外のノー
ドでは,本設定を実施しても,無効となります。トランジットノードでのフラッシュ制御フレームの受
信待ちの保護時間(forwarding-shift-time コマンドでの設定値)は,マスタノードでのヘルスチェッ
クフレームの送信間隔(health-check interval コマンドでの設定値)よりも大きい値を設定してくだ
さい。設定誤りからマスタノードが復旧を検出するよりも先にトランジットノードのリングポートが
フォワーディング状態になってしまった場合,一時的にループが発生するおそれがあります。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# forwarding-shift-time 100
フラッシュ制御フレームの受信待ちの保護時間を 100 秒に設定します。
[注意事項]
隣接のノードがスタック構成のマスタノードの場合は,フラッシュ制御フレーム受信待ち保護時間を
60 秒以上に設定してください。
(5) プライマリポートの設定
[設定のポイント]
マスタノードでプライマリポートを設定できます。マスタノードでリングポート(axrp-ring-port コマ
ンド)指定のあるインタフェースに設定してください。本装置が共有リンク非監視リングの最終端と
なっている場合は設定されても動作しません。通常,プライマリポートは自動で割り振られますので, axrp-primary-port コマンドの設定または変更によってプライマリポートを切り替える場合は,リング
動作がいったん停止します。
[コマンドによる設定]
1. (config)# interface port-channel 10
(config-if)# axrp-primary-port 1 vlan-group 1
ポートチャネルインタフェースコンフィグレーションモードに移行し,該当するインタフェースをリン
グ ID 1,VLAN グループ ID 1 のプライマリポートに設定します。
(6) 経路切り戻し抑止機能の有効化および抑止時間の設定
[設定のポイント]
マスタノードで障害復旧検出後,経路切り戻し動作を抑止する時間を設定します。なお,抑止時間とし
て infinity を指定した場合,運用コマンド clear axrp preempt-delay が入力されるまで経路切り戻し
動作を抑止します。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# preempt-delay infinity
リング ID 1 のコンフィグレーションモードに移行し,経路切り戻し抑止時間を infinity に設定します。
524
24 Ring Protocol の設定と運用
24.1.10 多重障害監視機能の設定
(1) 多重障害監視 VLAN の設定
[設定のポイント]
共有リンク監視リングの各ノードに多重障害監視 VLAN として使用する VLAN を設定します。なお,
制御 VLAN とデータ転送用 VLAN に使われている VLAN は使用できません。また,異なるリングで
使用されている多重障害監視 VLAN の VLAN ID と同じ値の VLAN ID は使用できません。
[コマンドによる設定]
1. (config)# axrp 1
リング ID 1 の axrp コンフィグレーションモードに移行します。
2. (config-axrp)# multi-fault-detection vlan 20
多重障害監視 VLAN として VLAN 20 を設定します。
[注意事項]
多重障害監視 VLAN は多重障害監視機能を適用する共有リンク監視リングのすべてのノードに設定し
てください。
(2) 多重障害監視機能の監視モードの設定
[設定のポイント]
共有リンク監視リングの各ノードに多重障害監視の監視モードと,多重障害検出時にバックアップリン
グに使用する共有リンク非監視リングのリング ID を設定します。監視モードは,多重障害監視を行う
共有ノードに monitor-enable,その他の装置に transport-only を設定します。バックアップリングの
リング ID は共有ノードに設定します。
(a) 共有リンク監視リングの共有ノード
[コマンドによる設定]
1. (config)# axrp 1
リング ID 1 の axrp コンフィグレーションモードに移行します。
2. (config-axrp)# multi-fault-detection mode monitor-enable backup-ring 2
多重障害監視の監視モードを monitor-enable,バックアップリングのリング ID を 2 に設定します。
[注意事項]
多重障害監視の監視モード monitor-enable は,共有リンクの両端に位置する 2 台の共有ノードに設定
してください。1 台だけ設定した場合,多重障害監視は行われません。
スタック構成時は,監視モードに monitor-enable を設定できません。
(b) 共有リンク監視リングのその他のノード
[コマンドによる設定]
1. (config)# axrp 1
リング ID 1 の axrp コンフィグレーションモードに移行します。
2. (config-axrp)# multi-fault-detection mode transport-only
多重障害監視の監視モードを transport-only に設定します。
525
24 Ring Protocol の設定と運用
(3) 多重障害監視フレームの送信間隔
[設定のポイント]
共有リンク監視リングの共有ノードでの多重障害監視フレームの送信間隔を設定します。それ以外の
ノードでは,本設定を実施しても無効となります。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# multi-fault-detection interval 1000
多重障害監視フレームの送信間隔を 1000 ミリ秒に設定します。
(4) 多重障害監視フレームの受信待ち保護時間
[設定のポイント]
共有リンク監視リングの共有ノードでの多重障害監視フレームの受信待ち保護時間を設定します。そ
れ以外のノードでは,本設定を実施しても無効となります。
[コマンドによる設定]
1. (config)# axrp 1
(config-axrp)# multi-fault-detection holdtime 3000
多重障害監視フレームの受信待ち保護時間を 3000 ミリ秒に設定します。
[注意事項]
受信待ち保護時間(multi-fault-detection holdtime コマンドでの設定値)には,対向の共有ノードの
送信間隔(multi-fault-detection interval コマンドでの設定値)よりも大きい値を設定してください。
24.1.11 隣接リング用フラッシュ制御フレームの送信設定
マスタノードの両リングポートが共有リンクとなる構成を次の図に示します。このような構成では,共有リ
ンク非監視リングのマスタノードで隣接リング用フラッシュ制御フレームを送信する設定をしてください。
図 24‒5 マスタノードの両リングポートが共有リンクとなる構成
526
24 Ring Protocol の設定と運用
[設定のポイント]
「図 24‒5 マスタノードの両リングポートが共有リンクとなる構成」のように両リングポートが共有リ
ンクとなるマスタノード(リング 1 の装置 3)が存在する共有リンクありのマルチリング構成では,共
有リンク非監視リングのマスタノード(リング 2 の装置 1)で隣接リング用フラッシュ制御フレームを
送信する設定をしてください。
このとき,隣接リング用フラッシュ制御フレームの送信に使用する VLAN として,この図にあるよう
に送信対象となるリングの各ノードで VLAN マッピングに括り付けられた VLAN を設定してくださ
い。
また,この VLAN は隣接リング用フラッシュ制御フレームの送信専用として,データ転送に使用しな
いでください。
[コマンドによる設定]
1. (config)# axrp 2
(config-axrp)# flush-request-transmit vlan 10
リング ID 2(共有リンク非監視リングのマスタノード)のコンフィグレーションモードに移行して,リ
ング ID 2 の障害発生/復旧時に VLAN ID 10 に対して隣接リング用フラッシュ制御フレームを送信
する設定をします。
527
24 Ring Protocol の設定と運用
24.2 オペレーション
24.2.1 運用コマンド一覧
Ring Protocol の運用コマンド一覧を次の表に示します。
表 24‒2 運用コマンド一覧
コマンド名 説明 show axrp clear axrp clear axrp preempt-delay restart axrp dump protocols axrp
Ring Protocol 情報を表示します。
Ring Protocol の統計情報をクリアします。
リングの経路切り戻し抑止状態を解除します。
Ring Protocol プログラムを再起動します。
Ring Protocol プログラムで採取している詳細イベントトレース情報および制御
テーブル情報をファイルへ出力します。
ポートの Ring Protocol 使用状態を表示します。 show port ※1 show vlan ※2 VLAN の Ring Protocol 使用状態を表示します。
注※1
「運用コマンドレファレンス Vol.1 16. イーサネット」を参照してください。
注※2
「運用コマンドレファレンス Vol.1 19. VLAN」を参照してください。
24.2.2 Ring Protocol の状態確認
(1) コンフィグレーション設定と運用の状態確認
show axrp コマンドで Ring Protocol の設定と運用状態を確認できます。コンフィグレーションコマンド
で設定した Ring Protocol の設定内容が正しく反映されているかどうかを確認してください。リング単位
の状態情報確認には show axrp <ring id list>コマンドを使用できます。
表示される情報は,項目"Oper State"の内容により異なります。"Oper State"に"enable"が表示されてい
る場合は Ring Protocol 機能が動作しています。このとき,表示内容は全項目について運用の状態を示し
ています。"Oper State"に"-"が表示されている場合は必須であるコンフィグレーションコマンドが揃って
いない状態です。また,"Oper State"に"Not Operating"が表示されている場合,コンフィグレーションに
矛盾があるなどの理由で,Ring Protocol 機能が動作できていない状態です。"Oper State"の表示状態が
"-",または"Not Operating"時には,コンフィグレーションを確認してください。 show axrp コマンド,show axrp detail コマンドの表示例を次に示します。
図 24‒6 show axrp コマンドの実行結果
> show axrp
Date 20XX/01/27 12:00:00 UTC
Total Ring Counts:4
Ring ID:1
Name:RING#1
Oper State:enable Mode:Master Attribute:-
528
24 Ring Protocol の設定と運用
VLAN Group ID Ring Port Role/State Ring Port Role/State
1 1/0/1 primary/forwarding 1/0/2 secondary/blocking
2 1/0/1 secondary/blocking 1/0/2 primary/forwarding
Ring ID:2
Name:RING#2
Oper State:enable Mode:Transit Attribute:-
VLAN Group ID Ring Port Role/State Ring Port Role/State
1 1(ChGr) -/forwarding 2(ChGr) -/forwarding
2 1(ChGr) -/forwarding 2(ChGr) -/forwarding
Ring ID:3
Name:
Oper State:disable Mode:- Attribute:-
VLAN Group ID Ring Port Role/State Ring Port Role/State
1 - -/- - -/-
2 - -/- - -/-
Ring ID:4
Name:RING#4
Oper State:enable Mode:Transit Attribute:rift-ring-edge(1)
Shared Edge Port:0/3
VLAN Group ID Ring Port Role/State Ring Port Role/State
1 1/0/3 -/- 1/0/4 -/forwarding
2 1/0/3 -/- 1/0/4 -/forwarding
> show axrp detail コマンドを使用すると,統計情報やマスタノードのリング状態などについての詳細情報
を確認できます。統計情報については,Ring Protocol 機能が有効("Oper State"が"enable")でない限り
0 を表示します。
図 24‒7 show axrp detail コマンドの実行結果
> show axrp detail
Date 20XX/01/27 12:00:00 UTC
Total Ring Counts:4
Ring ID:1
Name:RING#1
Oper State:enable Mode:Master Attribute:-
Control VLAN ID:5 Ring State:normal
Health Check Interval (msec):1000
Health Check Hold Time (msec):3000
Flush Request Counts:3
VLAN Group ID:1
VLAN ID:6-10,12
Ring Port:1/0/1 Role:primary State:forwarding
Ring Port:1/0/2 Role:secondary State:blocking
VLAN Group ID:2
VLAN ID:16-20,22
Ring Port:1/0/1 Role:secondary State:blocking
Ring Port:1/0/2 Role:primary State:forwarding
Last Transition Time:20XX/01/24 10:00:00
Fault Counts Recovery Counts Total Flush Request Counts
1 1 12
Ring ID:2
Name:RING#2
Oper State:enable Mode : Transit Attribute : -
Control VLAN ID:15
Forwarding Shift Time (sec):10
Last Forwarding:flush request receive
VLAN Group ID:1
VLAN ID :26-30,32
Ring Port:1(ChGr) Role:- State:forwarding
529
24 Ring Protocol の設定と運用
Ring Port:2(ChGr) Role:- State:forwarding
VLAN Group ID:2
VLAN ID:36-40,42
Ring Port:1(ChGr) Role:- State:forwarding
Ring Port:2(ChGr) Role:- State:forwarding
Ring ID:3
Name:
Oper State:disable Mode:- Attribute:-
Control VLAN ID:-
VLAN Group ID:1
VLAN ID:-
Ring Port:- Role:- State:-
Ring Port:- Role:- State:-
VLAN Group ID:2
VLAN ID:-
Ring Port:- Role:- State:-
Ring Port:- Role:- State:-
Ring ID:4
Name:RING#4
Oper State:enable Mode:Transit Attribute:rift-ring-edge(1)
Shared Edge Port:1/0/3
Control VLAN ID:45
Health Check Interval (msec):1000
Forwarding Shift Time (sec):10
Last Forwarding:flush request receive
VLAN Group ID:1
VLAN ID:46-50,52
Ring Port:1/0/3 Role:- State:-
Ring Port:1/0/4 Role:- State:forwarding
VLAN Group ID:2
VLAN ID:56-60,62
Ring Port:1/0/3 Role:- State:-
Ring Port:1/0/4 Role:- State:forwarding
>
多重障害監視機能を適用すると,show axrp detail コマンドで多重障害の監視状態についての情報を確認
できます。
図 24‒8 多重障害監視機能適用時の show axrp detail コマンドの実行結果
> show axrp detail
Date 20XX/03/10 12:00:00 UTC
Total Ring Counts:2
Ring ID:10
Name:RING#10
Oper State:enable Mode:Master Attribute:-
Control VLAN ID:10 Ring State:normal
Health Check Interval (msec):1000
Health Check Hold Time (msec):3000
Flush Request Counts:3
VLAN Group ID:1
VLAN ID:100-150
Ring Port:1/0/1 Role:primary State:forwarding
Ring Port:1/0/2 Role:secondary State:blocking
VLAN Group ID:2
VLAN ID:151-200
Ring Port:1/0/1 Role:primary State:forwarding
Ring Port:1/0/2 Role:secondary State:blocking
Last Transition Time:20XX/03/01 10:00:00
Fault Counts Recovery Counts Total Flush Request Counts
1 1 12
530
24 Ring Protocol の設定と運用
Multi Fault Detection State:normal
Mode:monitoring Backup Ring ID:20
Control VLAN ID:500
Multi Fault Detection Interval (msec):2000
Multi Fault Detection Hold Time (msec):6000
Ring ID:20
Name:RING#20
Oper State:enable Mode:Transit Attribute:rift-ring-edge(1)
Shared Edge Port:1/0/1
Control VLAN ID:20
Health Check Interval (msec):1000
Forwarding Shift Time (sec):10
Last Forwarding:flush request receive
VLAN Group ID:1
VLAN ID:100-150
Ring Port:1/0/1 Role:- State:-
Ring Port:1/0/3 Role:- State:forwarding
VLAN Group ID:2
VLAN ID:151-200
Ring Port:1/0/1 Role:- State:-
Ring Port:1/0/3 Role:- State:forwarding
>
531
25
Ring Protocol とスパニングツ
リー/GSRP の併用
この章では,同一装置での Ring Protocol とスパニングツリーの併用,およ
び同一装置での Ring Protocol と GSRP の併用について説明します。
533
25 Ring Protocol とスパニングツリー/GSRP の併用
25.1 Ring Protocol とスパニングツリーとの併用
本装置では,Ring Protocol とスパニングツリーの併用ができます。Ring Protocol と併用可能なスパニン
グツリーのプロトコル種別については,「18.3 レイヤ 2 スイッチ機能と他機能の共存について」,Ring
Protocol の詳細については,「23 Ring Protocol の解説」を参照してください。
25.1.1 概要
同一装置で Ring Protocol とスパニングツリーを併用して,コアネットワークを Ring Protocol,アクセス
ネットワークをスパニングツリーとしたネットワークを構成できます。例えば,すべてをスパニングツリー
で構成していたネットワークを,コアネットワークだけ Ring Protocol に変更することで,アクセスネッ
トワークの既存設備の多くを変更することなく流用できます。なお,Ring Protocol は,シングルリングお
よびマルチリング(共有リンクありのマルチリングを含む)のどちらの構成でも,スパニングツリーと併用
できます。
シングルリング構成,またはマルチリング構成での Ring Protocol とスパニングツリーとの併用例を次の
図に示します。本装置 A−G−I 間,B−F−J 間,C−D−K 間でそれぞれスパニングツリートポロジーを構
成しています。なお,本装置 A〜D および F〜G では,Ring Protocol とスパニングツリーが同時に動作し
ています。
図 25‒1 Ring Protocol とスパニングツリーの併用例(シングルリング構成)
534
25 Ring Protocol とスパニングツリー/GSRP の併用
図 25‒2 Ring Protocol とスパニングツリーの併用例(マルチリング構成)
25.1.2 動作仕様
Ring Protocol とスパニングツリーを併用するには,二つの機能が共存している任意の 2 装置間を仮想的な
回線で接続する必要があります。この仮想的な回線を仮想リンクと呼びます。仮想リンクは,リングネット
ワーク上の 2 装置間に構築されます。仮想リンクの構築には,仮想リンクを識別するための仮想リンク ID
と,仮想リンク間で制御フレームの送受信を行うための仮想リンク VLAN が必要です。
Ring Protocol とスパニングツリーを併用するノードは,自装置の仮想リンク ID と同じ仮想リンク ID を
持つ装置同士でスパニングツリートポロジーを構成します。同じ仮想リンク ID を持つ装置グループを拠
点と呼び,各拠点では独立したスパニングツリートポロジーを構成します。
仮想リンクの概要を次の図に示します。
535
25 Ring Protocol とスパニングツリー/GSRP の併用
図 25‒3 仮想リンクの概要
(1) 仮想リンク VLAN
仮想リンク間での制御フレームの送受信には,仮想リンク VLAN を使用します。この仮想リンク VLAN
は,リングポートのデータ転送用 VLAN として管理している VLAN のうち一つを使用します。また,仮
想リンク VLAN は,複数の拠点で同一の VLAN ID を使用できます。
(2) Ring Protocol の制御 VLAN の扱い
Ring Protocol の制御 VLAN は,スパニングツリーの対象外となります。
そのため,PVST+では当該 VLAN のツリーを構築しません。また,シングルスパニングツリーおよびマ
ルチプルスパニングツリーの転送状態も適用されません。
(3) リングポートの状態とコンフィグレーションの設定値
リングポートのデータ転送用 VLAN の転送状態は,Ring Protocol で決定されます。
536
25 Ring Protocol とスパニングツリー/GSRP の併用
例えば,スパニングツリートポロジーでブロッキングと判断しても,Ring Protocol でフォワーディングと
判断すれば,そのポートはフォワーディングとなります。したがって,スパニングツリーでリングポートが
ブロッキングとなるトポロジーを構築すると,ループとなるおそれがあります。このため,リングポートが
常にフォワーディングとなるよう,Ring Protocol と共存したスパニングツリーでは,本装置がルートブ
リッジまたは 2 番目の優先度になるようにブリッジ優先度の初期値を自動的に高くして動作します。な
お,コンフィグレーションで値を設定している場合は,設定した値で動作します。
ブリッジ優先度の設定値を次の表に示します。
表 25‒1 ブリッジ優先度の設定値
設定項目
ブリッジ優先度
関連するコンフィグレーション spanning-tree single priority spanning-tree vlan priority spanning-tree mst root priority
0
初期値
また,仮想リンクのポートは固定値で動作し,コンフィグレーションによる設定値は適用されません。
仮想リンクのポートの設定値を次の表に示します。
表 25‒2 仮想リンクポートの設定値
リンクタイプ
設定項目
ポート優先度
パスコスト
関連するコンフィグレーション spanning-tree link-type spanning-tree port-priority spanning-tree single port-priority spanning-tree vlan port-priority spanning-tree mst port-priority spanning-tree cost spanning-tree single cost spanning-tree vlan cost spanning-tree mst cost
初期値(固定) point-to-point
0
1
(4) リングポートでのスパニングツリー機能について
リングポートでは次に示すスパニングツリー機能は動作しません。
• BPDU フィルタ
• BPDU ガード
• ループガード機能
• ルートガード機能
• PortFast 機能
(5) スパニングツリートポロジー変更時の MAC アドレステーブルクリア
スパニングツリーでのトポロジー変更時に,シングルリングまたはマルチリングネットワーク全体に対し
て,MAC アドレステーブルエントリのクリアを促すフラッシュ制御フレームを送信します。これを受信し
たリングネットワーク内の各装置は,Ring Protocol が動作中のリングポートに対する,MAC アドレス
537
25 Ring Protocol とスパニングツリー/GSRP の併用
テーブルエントリをクリアします。なお,トポロジー変更が発生した拠点の装置は,スパニングツリープロ
トコルで MAC アドレステーブルエントリをクリアします。
(6) リングポート以外のポートの一時的なブロッキングについて
Ring Protocol とスパニングツリーを併用する装置で,次に示すイベントが発生した場合,リングポート以
外のスパニングツリーが動作しているポートを一時的にブロッキング状態にします。
• 装置起動(装置再起動も含む)
• コンフィグレーションファイルのランニングコンフィグレーションへの反映
• restart vlan コマンド
• restart spanning-tree コマンド
スパニングツリーが仮想リンク経由の制御フレームを送受信できるようになる前にアクセスネットワーク
内だけでトポロジを構築した場合,それだけではループ構成とならないためどのポートもブロッキングされ
ません。したがって,このままでは,リングネットワークとアクセスネットワークにわたるループ構成とな
ります。このため,本機能で一時的にブロッキングしてループを防止します。本機能は PortFast 機能を設
定しているポートでも動作します。本機能でのブロッキングは,次のどちらかで行われます。
• イベント発生から 20 秒間
• イベント発生から 20 秒以内に仮想リンク経由で制御フレームを受信した場合は受信から 6 秒間
本機能を有効に動作させるため,次の表に示すコンフィグレーションを「設定値」の範囲内で設定してくだ
さい。範囲内の値で設定しなかった場合,一時的にループが発生するおそれがあります。
表 25‒3 リングポート以外のポートを一時的にブロッキング状態にするときの設定値
設定項目 関連するコンフィグレーション 設定値
Ring Protocol フラッシュ制御フ
レームの受信待ち保護時間
スパニングツリー制御フレーム送
信間隔 forwarding-shift-time spanning-tree single hello-time spanning-tree vlan hello-time spanning-tree mst hello-time
10 秒以下
(デフォルト値 10 秒)
2 秒以下
(デフォルト値 2 秒)
25.1.3 各種スパニングツリーとの共存について
(1) PVST+との共存
PVST+は,Ring Protocol の VLAN マッピングに設定された VLAN が一つだけであれば,その VLAN
で Ring Protocol と共存できます。コンフィグレーションコマンド axrp virtual-link で仮想リンクを設定
すると,仮想リンクによるトポロジーを構築し Ring Protocol との共存を開始します。
最初の Ring Protocol のコンフィグレーション設定によって,動作中の PVST+はすべて停止します。その
後,VLAN マッピングが設定された VLAN で順次 PVST+が動作します。VLAN マッピングに複数の
VLAN を設定した場合,その VLAN では PVST+は動作しません。なお,PVST+が停止している VLAN
はループとなるおそれがあります。ポートを閉塞するなどしてループ構成にならないように注意してくだ
さい。
538
25 Ring Protocol とスパニングツリー/GSRP の併用
また,コンフィグレーションコマンド axrp virtual-link で仮想リンクを設定していない場合は,仮想リン
クを構築できないので意図したトポロジーが構築されません。その結果,ループが発生するおそれがありま
す。
PVST+と Ring Protocol の共存構成を次の図に示します。ここでは,VLAN マッピング 128 には VLAN
30 が一つだけ設定されているので,PVST+が動作します。VLAN マッピング 1 には複数 VLAN が設定さ
れているので,PVST+は動作しません。また,装置 C および D では VLAN 100 を仮想リンク VLAN に
設定しているので,両装置間に仮想リンクを構築します。
図 25‒4 PVST+と Ring Protocol の共存構成
(2) シングルスパニングツリーとの共存
シングルスパニングツリーは Ring Protocol で運用するすべてのデータ VLAN と共存できます。
シングルスパニングツリーは,コンフィグレーションコマンド axrp virtual-link で仮想リンクを設定する
と,仮想リンクによるトポロジーを構築し Ring Protocol との共存を開始します。コンフィグレーション
コマンド axrp virtual-link で仮想リンクを設定していない場合は,仮想リンクを構築できないので意図し
たトポロジーが構築されません。その結果ループが発生するおそれがあります。
シングルスパニングツリーと Ring Protocol の共存構成を次の図に示します。ここでは,装置 C,D,およ
び G にシングルスパニングツリーを設定し,装置 A,B,C,D,E,および F に Ring Protocol の VLAN
539
25 Ring Protocol とスパニングツリー/GSRP の併用
グループを二つ設定しています。シングルスパニングツリーのトポロジーは,全 VLAN グループ(全
VLAN マッピング)に所属している VLAN にそれぞれ反映されます。また,装置 C および D では VLAN
100 を仮想リンク VLAN に設定しているので,両装置間に仮想リンクを構築します。
図 25‒5 シングルスパニングツリーと Ring Protocol の共存構成
(3) PVST+とシングルスパニングツリーの同時動作について
Ring Protocol と共存している場合でも,PVST+とシングルスパニングツリーの同時動作は可能です。こ
の場合,PVST+で動作していない VLAN はすべてシングルスパニングツリーとして動作します(通常の
同時動作と同じです)。
シングルスパニングツリー,PVST+,および Ring Protocol の共存構成を次の図に示します。ここでは,
VLAN マッピング 128 には VLAN 30 が一つだけ設定されているので,PVST+が動作します。VLAN
マッピング 1 では PVST+が動作しないので,シングルスパニングツリーとして動作し,トポロジーを反映
します。また,装置 C および D では VLAN 100 を仮想リンク VLAN に設定しているので,両装置間に仮
想リンクを構築します。
540
25 Ring Protocol とスパニングツリー/GSRP の併用
図 25‒6 シングルスパニングツリー,PVST+,および Ring Protocol の共存構成
(4) マルチプルスパニングツリーとの共存
マルチプルスパニングツリーは Ring Protocol で運用するすべてのデータ転送用 VLAN と共存できます。
マルチプルスパニングツリーは,コンフィグレーションコマンド axrp virtual-link で仮想リンクを設定す
ると,仮想リンクによるトポロジーを構築し Ring Protocol との共存を開始します。コンフィグレーショ
ンコマンド axrp virtual-link で仮想リンクを設定していない場合は,仮想リンクを構築できないので意図
したトポロジーが構築されません。その結果ループが発生するおそれがあります。
MST インスタンスに所属する VLAN と,Ring Protocol の VLAN マッピングで同じ VLAN を設定する
と,MST インスタンスと Ring Protocol で共存動作できるようになります。設定した VLAN が一致しな
い場合,一致していない VLAN はブロッキング状態になります。
マルチプルスパニングツリーと Ring Protocol の共存構成を次の図に示します。ここでは,装置 C,D,お
よび G にマルチプルスパニングツリーを設定し,装置 A,B,C,D,E,および F に Ring Protocol の
VLAN グループを二つ設定しています。Ring Protocol の VLAN グループ 1 は CIST,VLAN グループ 2
は MST インスタンス 3 としてマルチプルスパニングツリーのトポロジーに反映されます。また,装置 C
および D では VLAN 100 を仮想リンク VLAN に設定しているので,両装置間に仮想リンクを構築しま
す。
541
25 Ring Protocol とスパニングツリー/GSRP の併用
図 25‒7 マルチプルスパニングツリーと Ring Protocol の共存構成
(5) 共存して動作させない VLAN について
• Ring Protocol だけを適用させる VLAN
PVST+をコンフィグレーション設定などで停止させると,その VLAN は Ring Protocol だけが適用さ
れる VLAN となります。
シングルスパニングツリー動作時,またはマルチプルスパニングツリー動作時,Ring Protocol が扱う
データ転送用 VLAN は必ず共存して動作します。
• PVST+だけを適用させる VLAN
Ring Protocol で VLAN グループに所属しない VLAN マッピングを設定すると,PVST+だけが適用
される VLAN となります。
• シングルスパニングツリーだけを適用させる VLAN
Ring Protocol で VLAN グループに所属しない VLAN は,シングルスパニングツリーだけが適用され
る VLAN となります。
• マルチプルスパニングツリーだけを適用させる VLAN
Ring Protocol で VLAN グループに所属しない VLAN は,マルチプルスパニングツリーだけが適用さ
れる VLAN となります。
542
25 Ring Protocol とスパニングツリー/GSRP の併用
25.1.4 禁止構成
(1) 1 拠点当たりの装置数
Ring Protocol とスパニングツリーを併用した本装置は,1 拠点に 2 台配置できます。3 台以上で 1 拠点を
構成することはできません。仮想リンクの禁止構成を次の図に示します。
図 25‒8 仮想リンクの禁止構成
25.1.5 Ring Protocol とスパニングツリー併用時の注意事項
(1) 仮想リンク VLAN と VLAN マッピングの対応づけについて
仮想リンク VLAN に指定する VLAN は,リング内のデータ転送用 VLAN に所属(VLAN マッピングおよ
び VLAN グループに設定)している必要があります。
(2) 仮想リンク VLAN の設定範囲について
• リングネットワークへの設定
仮想リンクを構成しているリングネットワークでは,シングルリングおよびマルチリング(共有リンク
ありのマルチリング構成も含む)どちらの場合でも,仮想リンク間で制御フレームを送受信する可能性
のあるすべてのノードに対して仮想リンク VLAN をデータ転送用 VLAN に設定しておく必要があり
ます。設定が不足していると,拠点ノード間で仮想リンクを使って制御フレームの送受信ができず,障
害の誤検出を起こすおそれがあります。
• スパニングツリーネットワークへの設定
仮想リンク VLAN は,リングネットワーク内で使用するため,下流側のスパニングツリーには使用で
きません。このため,スパニングツリーで制御する下流ポートに対して仮想リンク VLAN を設定する
と,ループするおそれがあります。
543
25 Ring Protocol とスパニングツリー/GSRP の併用
(3) 仮想リンク VLAN を設定していない場合のスパニングツリーについて
仮想リンク VLAN を設定していない場合は,仮想リンクを構築できないので意図したトポロジーが構築さ
れません。その結果ループが発生するおそれがあります。
(4) Ring Protocol の設定によるスパニングツリー停止について
最初の Ring Protocol のコンフィグレーション設定によって,動作中の PVST+およびマルチプルスパニン
グツリーはすべて停止します。PVST+またはマルチプルスパニングツリーが停止すると当該 VLAN は
ループとなるおそれがあります。ポートを閉塞するなどしてループ構成にならないように注意してくださ
い。
(5) Ring Protocol とスパニングツリー併用時のネットワーク構築について
Ring Protocol およびスパニングツリーを利用するネットワークは基本的にループ構成となります。既設
のリングネットワークに対し,アクセスネットワークにスパニングツリーを構築する際は,スパニングツ
リーネットワーク側の構成ポート(物理ポートまたはチャネルグループ)を shutdown に設定するなどダ
ウン状態にした上で構築してください。
(6) Ring Protocol の障害監視時間とスパニングツリーの BPDU の送信間隔について
Ring Protocol のヘルスチェックフレームの障害監視時間(health-check holdtime)は,スパニングツ
リーの BPDU のタイムアウト検出時間(hello-time×3(秒))よりも小さな値を設定してください。大きな
値を設定すると,リングネットワーク内で障害が発生した際に,Ring Protocol が障害を検出する前にスパ
ニングツリーが BPDU のタイムアウトを検出してしまい,トポロジー変更が発生し,ループするおそれが
あります。
(7) トランジットノードでのプログラム再起動時の対応について
Ring Protocol プログラムを再起動(運用コマンド restart axrp)する際は,スパニングツリーネットワー
ク側の構成ポート(物理ポートまたはチャネルグループ)を shutdown に設定するなどダウン状態にした
上で実施してください。再起動後は,トランジットノードのフラッシュ制御フレーム受信待ち保護時間
(forwarding-shift-time)のタイムアウトを待つか,制御 VLAN のフォワーディング遷移時間
(forwarding-delay-time)を利用して経路を切り替えたあとで,ダウン状態にしたポートの shutdown な
どを解除してください。
(8) リングネットワークでの片方向リンク障害の対応について
Ring Protocol は,片方向リンク障害でのリング障害は検出しません。リングネットワークで片方向リンク
障害が発生すると,仮想リンク制御フレームを送受信できなくなるため,スパニングツリーが BPDU タイ
ムアウトを誤検出してしまうことがあります。その結果,ループが発生し,ループ状態は片方向リンク障害
が解消されるまで継続するおそれがあります。
Ring Protocol と IEEE802.3ah/UDLD 機能を併用すれば,片方向リンク障害を検出できるようになるた
め,片方向リンク障害によるループの発生を防止できます。
(9) スパニングツリー併用環境での多重障害からの復旧手順について
リングネットワーク内で 2 か所以上の障害(多重障害)が発生したことによって,仮想リンク制御フレー
ムを送受信できなくなり,スパニングツリーのトポロジー変更が発生する場合があります。多重障害には,
Ring Protocol とスパニングツリーを併用した装置で両リングポートに障害が発生した場合も含みます。
この状態からリングネットワーク内のすべての障害を復旧する際は,次に示す手順で復旧してください。
544
25 Ring Protocol とスパニングツリー/GSRP の併用
1. スパニングツリーネットワークの構成ポート(物理ポートまたはチャネルグループ)を shutdown にす
るなどダウン状態にします。
2. リングネットワーク内の障害個所を復旧し,マスタノードでリング障害の復旧を検出させます。
3. スパニングツリーネットワーク側の構成ポートの shutdown などを解除し,復旧させます。
(10) Ring Protocol の VLAN マッピングとマルチプルスパニングツリーの MST インスタ
ンスに所属する VLAN との整合性について
コンフィグレーションの変更過程で,Ring Protocol の VLAN マッピングとマルチプルスパニングツリー
の MST インスタンスに所属する VLAN の設定が完全に一致しない場合,一致していない VLAN はブロッ
キング状態になり,通信できないおそれがあります。
545
25 Ring Protocol とスパニングツリー/GSRP の併用
25.2 Ring Protocol と GSRP との併用
本装置では,Ring Protocol と GSRP との併用ができます。Ring Protocol の詳細については,「23 Ring
25.2.1 動作概要
Ring Protocol と GSRP が併用して動作している装置では,Ring Protocol の VLAN マッピングと GSRP
の VLAN グループの VLAN 情報が一致している必要があります。この装置のリングポートは GSRP の制
御対象外となり,リングポートのデータ転送状態は Ring Protocol で制御します。
障害の監視や障害発生時の経路切り替えは,リングネットワークでは Ring Protocol で,GSRP ネットワー
クでは GSRP で,独立して実施します。ただし,GSRP ネットワークで経路の切り替え時にマスタに遷移
した装置は,GSRP スイッチおよび aware/unaware 装置の MAC アドレステーブルをクリアします。同
時に,リングネットワーク用のフラッシュ制御フレームを送信して,リングネットワークを構成する装置の
MAC アドレステーブルもクリアします。
GSRP のダイレクトリンクは,リングネットワークと同じ回線を使用できます。また,別の回線にすること
もできます。
Ring Protocol と GSRP との併用例を次の図に示します。
図 25‒9 Ring Protocol と GSRP の併用例(ダイレクトリンクをリングネットワークで使用する場合)
546
25 Ring Protocol とスパニングツリー/GSRP の併用
図 25‒10 Ring Protocol と GSRP の併用例(ダイレクトリンクをリングネットワークで使用しない場合)
25.2.2 併用条件
Ring Protocol と GSRP の併用条件を示します。
(1) Ring Protocol と GSRP を併用動作させたい VLAN の設定条件
Ring Protocol の VLAN マッピングの VLAN と GSRP の VLAN グループの VLAN をすべて一致させて
ください。
(2) Ring Protocol または GSRP を単独で動作させたい VLAN の設定条件
すべての VLAN を共存動作させる必要はありません。VLAN 単位に別々のプロトコルを動作させる場合
は,Ring Protocol の VLAN マッピングの VLAN と GSRP の VLAN グループの VLAN で一致する
VLAN がないようにしてください。
25.2.3 リングポートの扱い
リングポートはコンフィグレーションコマンド gsrp exception-port の設定有無にかかわらず,GSRP の制
御対象外ポートとして動作します。リングポートのデータ転送状態は Ring Protocol だけが制御します。
また,リングポートに次のコンフィグレーションコマンドを設定しても無効になります。
• gsrp reset-flush-port(ポートリセット機能を実施するポート)
• gsrp no-flush-port(GSRP Flush request フレームを送信しないポート)
547
25 Ring Protocol とスパニングツリー/GSRP の併用
25.2.4 Ring Protocol の制御 VLAN の扱い
Ring Protocol の制御 VLAN を GSRP の VLAN グループに設定した場合,該当する VLAN を VLAN グ
ループの所属外にします。VLAN グループの所属外になった VLAN については,運用コマンド show gsrp では表示されません。
25.2.5 GSRP ネットワーク切り替え時の MAC アドレステーブルクリ
ア
Ring Protocol と GSRP を併用する場合,GSRP ネットワークの経路切り替え時にはリングネットワーク
を構成する装置の MAC アドレステーブルをクリアする必要があります。MAC アドレステーブルをクリ
アしないと,すぐに通信が復旧しないおそれがあります。リングネットワーク上の装置の MAC アドレス
テーブルをクリアするために,GSRP のマスタに遷移した際,リングネットワーク上に設定した仮想リンク
VLAN を使用して,リングネットワーク用のフラッシュ制御フレームを送信します。この仮想リンク
VLAN は,Ring Protocol のデータ転送用 VLAN グループに所属する必要があります。
GSRP のマスタが送信したフラッシュ制御フレームをリング構成装置が受信すると,MAC アドレステーブ
ルをクリアします。また,送信回数は GSRP のコンフィグレーション(flush-request-count)に従いま
す。
なお,Ring Protocol と GSRP を異なる VLAN で単独動作させる場合は,障害発生時に経路切り替えが発
生しても互いのプロトコルに影響を与えません。したがって,MAC アドレステーブルをクリアする必要が
ないため,仮想リンク VLAN を設定する必要はありません。
25.2.6 Ring Protocol と GSRP 併用動作時の注意事項
(1) 仮想リンク VLAN の設定について
Ring Protocol と GSRP を併用する場合は,フラッシュ制御フレームを送信するために仮想リンク VLAN
の設定が必要です。この仮想リンク VLAN は,Ring Protocol のデータ転送用 VLAN グループに所属する
必要があります。
仮想リンク ID の設定を次の図に示します。仮想リンク ID には,同じ GSRP グループ装置で同一の仮想リ
ンク ID を設定する必要があります。また,同じ仮想リンク VLAN が設定されているリングネットワーク
内で一意となる値を設定する必要があります。同じ GSRP グループではない本装置 A,C,D,および F に
仮想リンク ID 50 を設定すると,該当装置では,フラッシュ制御フレームによる MAC アドレステーブル
のクリアができなくなります。
548
図 25‒11 仮想リンク ID の設定
25 Ring Protocol とスパニングツリー/GSRP の併用
(2) Ring Protocol の VLAN マッピングまたは GSRP の VLAN グループの変更について
Ring Protocol と GSRP を併用する場合は,Ring Protocol の VLAN マッピングの VLAN と GSRP の
VLAN グループの VLAN をすべて一致させる必要があります。コンフィグレーションの変更過程で一致
しない状態になった場合,設定された VLAN の中で,ブロッキング状態となり,通信できない VLAN が
発生するおそれがあります。
このため,Ring Protocol と GSRP を併用するためにコンフィグレーションを変更する場合は,GSRP の
バックアップ装置で,priority コマンドや backup-lock コマンドなどの設定によって,マスタへの切り替
えが発生しないようにしてから,変更する必要があります。
(3) 1VLAN グループ当たりに設定可能な VLAN 数について
Ring Protocol と併用している VLAN グループに 511 以上の VLAN 数を所属させると,該当する VLAN
グループの状態が遷移したときにリングポートが一時的にブロッキング状態になります。
Ring Protocol と併用している VLAN グループに所属させる VLAN 数は 510 以下にしてください。
(4) GSRP VLAN グループ限定制御機能について
Ring Protocol と GSRP の併用時,次に示す状態では,GSRP VLAN グループ限定制御機能を設定してい
ても,VLAN グループに所属しない VLAN のポートがブロッキング状態になるおそれがあります。
・Ring Protocol のコンフィグレーションが適切に設定されていないなどの要因で Ring Protocol が動作
していない
Ring Protocol 機能が正常に動作していないリング ID の,制御 VLAN に設定している VLAN がブ
ロッキング状態になるおそれがあります。ただし,リングポートはブロッキング状態になりません。
549
25 Ring Protocol とスパニングツリー/GSRP の併用
・disable コマンドによって,Ring Protocol 機能を無効にしている
Ring Protocol 機能を無効にしているリング ID の,制御 VLAN に設定している VLAN がブロッキン
グ状態になるおそれがあります。ただし,リングポートはブロッキング状態になりません。
・「25.2.2 併用条件」にある Ring Protocol と GSRP の併用条件を満たしていない
Ring Protocol と GSRP との併用条件を満たしていない VLAN がブロッキング状態になるおそれがあ
ります。
(5) レイヤ 3 冗長切替機能の適用について
Ring Protocol と GSRP を同じデータ VLAN で併用動作させる場合は,レイヤ 3 冗長切替機能を適用でき
ません。レイヤ 3 冗長切替機能を適用して GSRP ネットワークとリングネットワークを接続する場合は,
Ring Protocol と GSRP でそれぞれ異なるデータ VLAN を設定して,単独動作させてください。
25.2.7 単独動作時の動作概要(レイヤ 3 冗長切替機能の適用例)
Ring Protocol と GSRP をそれぞれ異なる VLAN で単独動作させている場合は,レイヤ 3 冗長切替機能で
リングネットワークと接続します。この場合の例を次の図に示します。下流ネットワーク(PC など)から
本装置 A でレイヤ 3 中継し,VLAN 100 のリングネットワークを介して上流ネットワークと通信を行って
います。このとき,本装置 A に障害が発生すると,下流ネットワークと上流ネットワークは装置 B(ダイ
レクトリンク障害検出機能を設定時)でレイヤ 3 中継し,VLAN 200 のリングネットワークを介して通信
を行います。
550
図 25‒12 レイヤ 3 冗長切替機能(通常運用時)
25 Ring Protocol とスパニングツリー/GSRP の併用
551
25 Ring Protocol とスパニングツリー/GSRP の併用
図 25‒13 レイヤ 3 冗長切替機能(障害発生時)
552
25 Ring Protocol とスパニングツリー/GSRP の併用
25.3 仮想リンクのコンフィグレーション
Ring Protocol とスパニングツリープロトコルを同一装置で併用するための仮想リンクを設定します。ま
た,Ring Protocol と GSRP を併用する場合は,フラッシュフレームを送信するために仮想リンク VLAN
の設定が必要です。
25.3.1 コンフィグレーションコマンド一覧
仮想リンクのコンフィグレーションコマンド一覧を次の表に示します。
表 25‒4 コンフィグレーションコマンド一覧
コマンド名 axrp virtual-link 仮想リンク ID を設定します。
説明
25.3.2 仮想リンクの設定
[設定のポイント]
仮想リンク ID および仮想リンク VLAN を設定します。仮想リンクを設定することで,Ring Protocol
とスパニングツリー,または Ring Protocol と GSRP の併用が可能になります。同一拠点内の対向装置
にも,同じ仮想リンク ID と仮想リンク VLAN を設定してください。また,仮想リンク VLAN は必ず
データ転送用 VLAN に使用している VLAN から一つ選んで使用してください。
[コマンドによる設定]
1. (config)# axrp virtual-link 10 vlan 100
仮想リンク ID を 10 に,仮想リンク VLAN を 100 に設定します。
25.3.3 Ring Protocol と PVST+との併用設定
[設定のポイント]
Ring Protocol と PVST+とを併用する場合は,併用したい VLAN ID を VLAN マッピングに設定する
必要があります。その際,VLAN マッピングに指定する VLAN ID は一つだけです。VLAN マッピン
グに対して,PVST+と併用する VLAN 以外の VLAN ID が設定されている場合,その VLAN では
PVST+が動作しません。
[コマンドによる設定]
1. (config)# axrp vlan-mapping 1 vlan 10
VLAN マッピング ID を 1 として,PVST+と併用する VLAN ID 10 を設定します。
2. (config)# axrp vlan-mapping 2 vlan 20,30
VLAN マッピング ID を 2 として,Ring Protocol だけで使用する VLAN ID 20 および 30 を設定しま
す。
3. (config)# axrp 1
(config-axrp)# vlan-group 1 vlan-mapping 1-2
VLAN グループ 1 に,VLAN マッピング ID 1 および 2 を設定します。
553
25 Ring Protocol とスパニングツリー/GSRP の併用
25.3.4 Ring Protocol とマルチプルスパニングツリーとの併用設定
[設定のポイント]
Ring Protocol とマルチプルスパニングツリーを併用する場合は,併用したい VLAN ID を VLAN
マッピングに設定する必要があります。その際,VLAN マッピングに指定する VLAN ID と MST イン
スタンスに所属する VLAN に指定する VLAN ID を一致させる必要があります。VLAN マッピング
と MST インスタンスに所属する VLAN の VLAN ID が一致していない場合,一致していない VLAN
の全ポートがブロッキング状態になります。
[コマンドによる設定]
1. (config)# axrp vlan-mapping 1 vlan 10,20,30
VLAN マッピング ID を 1 として,MST インスタンス 10 と併用する VLAN ID 10,20,および 30
を設定します。
2. (config)# axrp vlan-mapping 2 vlan 40,50
VLAN マッピング ID を 2 として,MST インスタンス 20 と併用する VLAN ID 40 および 50 を設定
します。
3. (config)# axrp 1
(config-axrp)# vlan-group 1 vlan-mapping 1-2
(config-axrp)# exit
VLAN グループ 1 に,VLAN マッピング ID 1 および 2 を設定します。
4. (config)# spanning-tree mst configuration
(config-mst)# instance 10 vlans 10,20,30
MST インスタンス 10 に所属する VLAN に vlan-mapping 1 で指定した VLAN ID 10,20,および
30 を設定し,Ring Protocol との共存を開始します。
5. (config-mst)# instance 20 vlans 40,50
MST インスタンス 20 に所属する VLAN に vlan-mapping 2 で指定した VLAN ID 40 および 50 を
設定し,Ring Protocol との共存を開始します。
25.3.5 Ring Protocol と GSRP との併用設定
[設定のポイント]
Ring Protocol と GSRP とを併用する際には,併用したい VLAN ID を VLAN マッピングと GSRP の
VLAN グループに設定する必要があります。この際,VLAN マッピング ID と GSRP の VLAN グルー
プ ID は一致している必要はありません。
[コマンドによる設定]
1. (config)# axrp vlan-mapping 1 vlan 10,15
VLAN マッピング ID を 1 に,GSRP と併用する VLAN ID 10 および 15 を設定します。
2. (config)# axrp 1
(config-axrp)# vlan-group 1 vlan-mapping 1
(config-axrp)# exit
VLAN グループ 1 に,VLAN マッピング ID 1 を設定します。
3. (config)# gsrp 1
(config-gsrp)# vlan-group 3 vlan 10,15
554
25 Ring Protocol とスパニングツリー/GSRP の併用
GSRP の VLAN グループ 3 に Ring Protocol と併用する VLAN ID 10 および 15 を設定します。
555
25 Ring Protocol とスパニングツリー/GSRP の併用
25.4 仮想リンクのオペレーション
25.4.1 運用コマンド一覧
仮想リンクの運用コマンド一覧を次の表に示します。
表 25‒5 運用コマンド一覧
コマンド名 show spanning-tree show gsrp
説明
スパニングツリーでの仮想リンクの適用状態を表示します。
GSRP での仮想リンクの適用を表示します。
25.4.2 仮想リンクの状態の確認
仮想リンクの情報は show spanning-tree コマンドで確認してください。Port Information で仮想リンク
ポートが存在していることを確認してください。 show spanning-tree コマンドの実行結果を次の図に示します。
図 25‒14 show spanning-tree コマンドの実行結果
> show spanning-tree vlan 2
Date 20XX/11/04 11:39:43 UTC
VLAN 2 PVST+ Spanning Tree:Enabled Mode:PVST+
Bridge ID Priority:4096 MAC Address:0012.e205.0900
Bridge Status:Designated
Root Bridge ID Priority:0 MAC Address:0012.e201.0900
Root Cost:0
Root Port:0/2-3(VL:10) … 1
Port Information
0/1 Up Status:Forwarding Role:Designated
VL(10) Up Status:Forwarding Role:Root … 1
>
1. VL は,仮想リンク ID を示しています。 show gsrp detail コマンドで仮想リンクが運用されているか確認できます。Virtual Link ID で仮想リン
ク ID と仮想リンク VLAN を確認してください。
図 25‒15 show gsrp detail コマンドの実行結果
>show gsrp detail
Date 20XX/04/10 12:00:00 UTC
GSRP ID: 3
Local MAC Address : 0012.e2a8.2527
Neighbor MAC Address : 0012.e2a8.2505
Total VLAN Group Counts : 3
GSRP VLAN ID : 105
Direct Port : 0/10-11
GSRP Exception Port : 0/1-5
No Neighbor To Master : manual
Backup Lock : disable
Port Up Delay : 0
Last Flush Receive Time : -
Layer 3 Redundancy : On
Virtual Link ID : 100(VLAN ID : 20)
Local Neighbor
Advertise Hold Time : 5 5
Advertise Hold Timer : 4 -
Advertise Interval : 1 1
556
25 Ring Protocol とスパニングツリー/GSRP の併用
Selection Pattern : ports-priority-mac ports-priority-mac
VLAN Group ID Local State Neighbor State
1 Backup Master
2 (disable) -
8 Master -
>
557
26
IGMP snooping/MLD snooping
の解説
IGMP snooping/MLD snooping はレイヤ 2 スイッチで VLAN 内のマルチ
キャストトラフィックを制御する機能です。この章では,IGMP snooping/MLD snooping について説明します。
559
26 IGMP snooping/MLD snooping の解説
26.1 IGMP snooping/MLD snooping の概要
この節では,マルチキャスト,IGMP snooping および MLD snooping の概要について説明します。
26.1.1 マルチキャスト概要
同一の情報を複数の受信者に送信する場合,ユニキャストでは送信者が受信者の数だけデータを複製して送
信するため,送信者とネットワークの負荷が高くなります。マルチキャストでは送信者がネットワーク内で
選択されたグループに対してデータを送信します。送信者は受信者ごとにデータを複製する必要がないた
め,受信者の数に関係なくネットワークの負荷を軽減できます。マルチキャスト概要を次の図に示します。
図 26‒1 マルチキャスト概要
560
マルチキャストで送信する場合に,宛先アドレスにはマルチキャストグループアドレスを使用します。マル
チキャストグループアドレスを次の表に示します。
表 26‒1 マルチキャストグループアドレス
IPv4
IPv6
プロトコル アドレス範囲
224.0.0.0〜239.255.255.255
上位 8 ビットが ff(16 進数)となる IPv6 アドレス
26 IGMP snooping/MLD snooping の解説
26.1.2 IGMP snooping および MLD snooping 概要
レイヤ 2 スイッチはマルチキャストトラフィックを VLAN 内の全ポートに中継します。そのため,レイヤ
2 スイッチが接続されているネットワークでマルチキャストを使用すると,マルチキャストトラフィックの
受信者がいないポートに不要なマルチキャストトラフィックが流れることになります。
IGMP snooping および MLD snooping は,IGMP あるいは MLD メッセージを監視して,受信者が接続
しているポートに対してマルチキャストトラフィックを中継します。この機能を利用することで,不要なマ
ルチキャストトラフィックの中継を抑止し,ネットワークを効率的に利用することができます。IGMP snooping/MLD snooping 概要を次の図に示します。
図 26‒2 IGMP snooping/MLD snooping 概要
マルチキャストトラフィックの受信者が接続するポートを検出するため,本装置はグループ管理プロトコル
のパケットを監視します。グループ管理プロトコルは,ルータホスト間でグループメンバーシップ情報を送
受信するプロトコルで,IPv4 ネットワークでは IGMP が使用され,IPv6 ネットワークでは MLD が使用
されます。ホストから送信されるグループ参加・離脱報告を示すパケットを検出することで,どの接続ポー
トへマルチキャストトラフィックを中継すべきかを学習します。
561
26 IGMP snooping/MLD snooping の解説
26.2 IGMP snooping/MLD snooping サポート機能
本装置がサポートする IGMP snooping/MLD snooping 機能を次の表に示します。
表 26‒2 サポート機能
項 目
インタフェース種別
サポート内容
全イーサネットをサポート
フレーム形式は Ethernet V2 だけ
IGMP サポートバージョン
MLD サポートバージョン
この機能による学習
MAC アドレス範囲 ※1
この機能による学習 IP
アドレス範囲 ※2
IPv4
IPv6
IPv4
IPv6
IGMP クエリア
MLD クエリア
マルチキャストルータ接続ポートの設
定
IGMP 即時離脱機能
コンフィグレーションによる static 設定
IGMPv2 Leave メッセージ,またはマルチキャス
トアドレスレコードタイプが
CHANGE_TO_INCLUDE_MODE の IGMPv3
Report(離脱要求)メッセージの受信による即時離
脱
(凡例) −:該当なし
注※1 IPv4/IPv6 マルチキャストを同時に使用しない場合
注※2 IPv4/IPv6 マルチキャストを同時に使用する場合
−
−
−
備考
IGMP: Version 1,2,3
MLD: Version 1,2
0100.5e00.0000 〜 0100.5e7f.ffff
−
3333.0000.0000 〜 3333.ffff.ffff
224.0.0.0〜239.255.255.255
上位 8 ビットが ff(16 進数)となる IPv6 アドレス −
クエリア動作は IGMPv2/IGMPv3,MLDv1/
MLDv2 の仕様に従う
−
RFC1112 を参照
RFC2464 を参照
−
562
26 IGMP snooping/MLD snooping の解説
26.3 IGMP snooping
ここでは,IGMP snooping の機能と動作について説明します。本装置が送受信する IGMP メッセージの
フォーマットおよびタイマは RFC2236 に従います。また,IGMP バージョン 3(以降,IGMPv3)メッ
セージのフォーマットおよび設定値は RFC3376 に従います。
IGMP snooping は IPv4 マルチキャストまたは IPv6 マルチキャストと同時に使用しない場合,MAC アド
レス制御方式でマルチキャストトラフィックの中継制御を行います。IPv4 マルチキャストまたは IPv6 マ
ルチキャストと同時にする場合は,IP アドレス制御方式でマルチキャストトラフィックの中継制御を行い
ます。
26.3.1 MAC アドレス制御方式
(1) MAC アドレスの学習
IGMP snooping が設定された VLAN で IGMP メッセージを受信することによってマルチキャスト MAC
アドレスをダイナミックに学習します。学習したマルチキャスト MAC アドレスは MAC アドレステーブ
ルに登録します。
(a) エントリの登録
IGMPv1/IGMPv2 Report メッセージおよび,IGMPv3 Report(加入要求)メッセージを受信すると,
メッセージに含まれるマルチキャストグループアドレスからマルチキャスト MAC アドレスを学習し,
IGMPv1/IGMPv2/IGMPv3 Report メッセージを受信したポートにだけマルチキャストグループ宛ての
トラフィックを転送するエントリを作成します。
IPv4 マルチキャストデータの宛先 MAC アドレスは IP アドレスの下位 23 ビットを MAC アドレスにコ
ピーして生成します。そのため,下位 23 ビットが同じ IP アドレスは MAC アドレスが重複します。例え
ば,224.10.10.10 と 225.10.10.10 はどちらもマルチキャスト MAC アドレスは 0100.5E0A.0A0A とな
ります。これらのアドレスについては,レイヤ 2 中継で同一 MAC アドレス宛てのパケットとして取り扱
います。IPv4 マルチキャストアドレスと MAC アドレスの対応を次の図に示します。
図 26‒3 IPv4 マルチキャストアドレスと MAC アドレスの対応
(b) エントリの削除
学習したマルチキャスト MAC アドレスは次のどちらかの場合に,すべてのポートにグループメンバーが存
在しなくなった時点で削除されます。
• IGMPv2 Leave メッセージを受信した場合
IGMPv2 Leave メッセージを受信したポートに対して,本装置から Group-Specific Query メッセー
ジを1秒間隔で 2 回送信します(Group-Specific Query メッセージの送信は,クエリア設定時だけで
す。未設定時は代表クエリアから送信されます)。応答がない場合にエントリからこのポートだけを削
563
26 IGMP snooping/MLD snooping の解説
除します(このポートへのマルチキャストトラフィックの中継を抑止します)。VLAN 内のすべての
ポートにグループメンバーが存在しなくなった場合にエントリ自体を削除します。
IGMP 即時離脱機能を使用している場合は,IGMPv2 Leave メッセージを受信すると,エントリから
該当ポートをすぐに削除します。クエリアを設定していても,Group-Specific Query メッセージは送
信しません。
• IGMPv3 Report(離脱要求)メッセージを受信した場合
IGMPv3 Report(離脱要求)メッセージを受信したポートに対して,本装置から Group-Specific Query
メッセージを 1 秒間隔で 2 回送信します(Group-Specific Query メッセージの送信は,クエリア設定
時だけです。未設定時は代表クエリアから送信されます)。応答がない場合にエントリからこのポート
だけを削除します(このポートへのマルチキャストトラフィックの中継を抑止します)。VLAN 内のす
べてのポートにグループメンバーが存在しなくなった場合にエントリ自体を削除します。ただし,マル
チキャストアドレスレコードタイプが BLOCK_OLD_SOURCES の IGMPv3 Report メッセージを受
信した場合は,自装置へのクエリア設定を行っている場合だけ Group-Specific Query メッセージの送
信および,エントリ削除処理を実行します。
IGMP 即時離脱機能を使用している場合は,マルチキャストアドレスレコードタイプが
CHANGE_TO_INCLUDE_MODE の IGMPv3 Report(離脱要求)メッセージを受信すると,エント
リから該当ポートをすぐに削除します。クエリアを設定していても,Group-Specific Query メッセー
ジは送信しません。
• IGMPv1/IGMPv2/IGMPv3 Report(加入要求)メッセージを受信してから一定時間経過した場合
マルチキャストルータは直接接続するインタフェース上にグループメンバーが存在するかを確認する
ため,定期的に Query メッセージを送信します。本装置はルータからの IGMP Query メッセージを受
信した場合,VLAN 内の全ポートに中継します。IGMP Query メッセージに対する応答がない場合,
エントリからこのポートだけを削除します。すべてのポートから応答がない場合は,エントリ自体を削
除します。
本装置では 260 秒間 IGMPv1/IGMPv2/IGMPv3 Report(加入要求)メッセージを受信しない場合,
対応するエントリを削除します。
IGMPv3 で運用している VLAN で他装置が代表クエリアの場合,タイムアウト時間は代表クエリアか
らの IGMPv3 Query メッセージ(QQIC フィールド)から算出します。自装置が代表クエリアの場合
または IGMPv2 で運用している場合は,125 秒となります。この場合,該当する VLAN では Query
Interval を 125 秒で運用してください。
注
タイムアウト時間は,Query Interval(QQIC フィールドの値)×2+Query Response Interval
で算出します。
(2) IPv4 マルチキャストパケットのレイヤ 2 中継
IPv4 マルチキャストパケットの受信 VLAN 内のレイヤ 2 中継は MAC アドレスベースで処理します。
IGMP snooping の結果によるレイヤ 2 中継は,同一 MAC アドレスにマッピングされる IP マルチキャス
トアドレスの IGMP Report(加入要求)メッセージを受信したポートすべてに中継します。
「(1) MAC アドレスの学習 (a) エントリの登録」の例で述べた 224.10.10.10 と 225.10.10.10 のマル
チキャスト MAC アドレスはどちらも 0100.5E0A.0A0A となるので,224.10.10.10 宛てのマルチキャス
トデータをレイヤ 2 中継する際に,225.10.10.10 への IGMP Report(加入要求)メッセージを受信した
ポートへも中継します。
564
26 IGMP snooping/MLD snooping の解説
26.3.2 IP アドレス制御方式
本装置では swrt_multicast_table コマンドを設定することによって,IPv4 マルチキャストと IGMP snooping の両方を同一の VLAN 上で同時に使用できます。IPv4 マルチキャストと IGMP snooping を
同時に使用する場合,該当する VLAN に必ず IPv4 マルチキャストを使用してください。
(1) IP アドレスの学習
IGMP snooping が設定された VLAN で IGMP メッセージを受信することによってマルチキャスト IP ア
ドレスをダイナミックに学習します。学習したマルチキャスト IP アドレスの情報は IPv4 マルチキャスト
のマルチキャスト中継エントリに設定します。
(a) エントリの登録
IGMPv1/IGMPv2 Report メッセージおよび IGMPv3 Report(加入要求)メッセージを受信すると,メッ
セージに含まれるマルチキャストグループアドレスからマルチキャスト IP アドレスを学習し,IGMPv1/
IGMPv2/IGMPv3 Report メッセージを受信したポートにだけマルチキャストグループ宛てのトラフィッ
クを転送するエントリを作成します。
(b) エントリの削除
学習したマルチキャスト IP アドレスは次のどれかの場合に,すべてのポートにグループメンバーが存在し
なくなった時点で削除されます。
• IGMPv2 Leave メッセージを受信した場合
IGMPv2 Leave メッセージを受信したポートに対して,本装置から Group-Specific Query メッセー
ジを 1 秒間隔で 2 回送信します(Group-Specific Query メッセージの送信は,本装置が代表クエリア
のときだけです)。応答がない場合にエントリからこのポートだけを削除します(このポートへのマル
チキャストトラフィックの中継を抑止します)。VLAN 内のすべてのポートにグループメンバーが存在
しなくなった場合にエントリ自体を削除します。
IGMP 即時離脱機能を使用している場合は,IGMPv2 Leave メッセージを受信すると,エントリから
該当ポートをすぐに削除します。
• IGMPv3 Report(離脱要求)メッセージを受信した場合
IGMPv3 Report(離脱要求)メッセージでマルチキャストアドレスレコードタイプが
CHANGE_TO_INCLUDE_MODE の IGMPv3 Report(離脱要求)メッセージを受信した場合,受信
したポートに対して,本装置から Group-Specific Query メッセージを 1 秒間隔で 2 回送信します
(Group-Specific Query メッセージの送信は,本装置が代表クエリアのときだけです)。応答がない場
合にエントリからこのポートだけを削除します(このポートへのマルチキャストトラフィックの中継を
抑止します)。VLAN 内のすべてのポートにグループメンバーが存在しなくなった場合にエントリ自体
を削除します。マルチキャストアドレスレコードタイプが BLOCK_OLD_SOURCES の IGMPv3
Report メッセージを受信した場合は,本装置から Group-and-Source-Specific Query メッセージを
1 秒間隔で 2 回送信します(Group-and-Source-Specific Query メッセージの送信は,本装置が代表
クエリアのときだけです)。Group-Source-and-Specific Query メッセージの応答に関わらず,エント
リはタイムアウトで削除処理を行います。
IGMP 即時離脱機能を使用している場合は,マルチキャストアドレスレコードタイプが
CHANGE_TO_INCLUDE_MODE の IGMPv3 Report(離脱要求)メッセージを受信すると,エント
リから該当ポートをすぐに削除します。
注
タイムアウト時間は,Query Interval(QQIC フィールドの値)×2 + Query Response Interval
で算出します。
565
26 IGMP snooping/MLD snooping の解説
• IGMPv1/IGMPv2/IGMPv3 Report(加入要求)メッセージを受信してから一定時間経過した場合
マルチキャストルータは直接接続するインタフェース上にグループメンバーが存在するかを確認する
ため,定期的に Query メッセージを送信します。本装置はルータからの IGMP Query メッセージを受
信した場合,VLAN 内の全ポートに中継します。IGMP Query メッセージに対する応答がない場合,
エントリからこのポートだけを削除します。すべてのポートから応答がない場合は,エントリ自体を削
除します。
本装置では,エントリを削除するタイムアウト時間を 260 秒(デフォルト値)としています。260 秒間
IGMPv1/IGMPv2/IGMPv3 Report(加入要求)メッセージを受信しない場合,対応するエントリを
削除します。
IGMPv3 で運用している VLAN で他装置が代表クエリアの場合,タイムアウト時間は代表クエリアか
らの IGMPv3 Query メッセージ(QQIC フィールド)から算出します。自装置が代表クエリアの場合
または IGMPv2 で運用している場合は,デフォルト値となります。この場合,該当する VLAN では
Query Interval を 125 秒で運用してください。
注
タイムアウト時間は,Query Interval(QQIC フィールドの値)×2 + Query Response Interval
で算出します。
(2) IPv4 マルチキャストパケットのレイヤ 2 中継
IPv4 マルチキャストパケットの受信 VLAN 内のレイヤ 2 中継は IP アドレスベースで処理します。IGMP snooping の結果によるレイヤ 2 中継は,IGMP Report(加入要求)メッセージを受信したポートすべて
に中継します。
(3) IPv4 マルチキャストパケットのレイヤ 3 中継
IPv4 マルチキャストによる VLAN 間のレイヤ 3 中継時に,中継先の VLAN で IGMP snooping が動作し
ている場合,レイヤ 3 中継されたマルチキャストトラフィックは,中継先の VLAN 内で IGMP snooping
の学習結果に従って中継されます。
(4) IPv4 マルチキャスト同時使用時の Specific Query 送信
IPv4 マルチキャストが動作することで本装置が VLAN 内の代表クエリアである場合,IGMP Leave メッ
セージまたは IGMPv3 Report(離脱要求)メッセージ受信による Group-Specific Query または Groupand-Source-Specific Query の送信は,受信ポートだけでなく VLAN 内の全ポートに送信します。
26.3.3 マルチキャストルータとの接続
マルチキャストパケットの中継先にはグループ加入済みホストだけでなく隣接するマルチキャストルータ
も対象とします。本装置とマルチキャストルータを接続して IGMP snooping を使用する場合,マルチ
キャストルータへマルチキャストパケットを中継するためにマルチキャストルータと接続するポート(以
降,マルチキャストルータポートとします)をコンフィグレーションで指定します。
本装置は指定したマルチキャストルータポートへは全マルチキャストパケットを中継します。
また,IGMP はルータホスト間で送受信するプロトコルであるため,IGMP メッセージはルータおよびホ
ストが受け取ります。本装置は IGMP メッセージを次の表に示すように中継します。
566
26 IGMP snooping/MLD snooping の解説
表 26‒3 IGMPv1/IGMPv2 メッセージごとの動作
IGMP メッセージの種類
Membership Query
Version 2 Membership
Report
Leave Group
全ポートへ中継します。
VLAN 内転送ポート
マルチキャストルータポートにだけ中継します。
備考
ほかのポートにまだグループメンバーが存在する場合はどのポートにも中継し
ません。
ほかのポートにグループメンバーが存在しない場合はマルチキャストルータ
ポートに中継します。
マルチキャストルータポートにだけ中継します。
※
Version 1 Membership
Report
注※
自装置にクエリアを設定している場合の中継動作です。クエリアを設定していない場合は,常にマルチキャストルー
タポートに中継します。ただし,IGMPv1/IGMPv2/IGMPv3 Report(加入要求)メッセージを受信していないポー
トで IGMPv2 Leave メッセージを受信した場合,クエリアの設定にかかわらず IGMPv2 Leave メッセージは中継
しません。
表 26‒4 IGMPv3 メッセージごとの動作
Report
IGMPv3 メッセージの種類
Version3 Membership Query
Version 3
Membership
加入要求の Report
離脱要求の Report
VLAN 内転送ポート
全ポートへ中継します。
マルチキャストルータポートにだけ中継します。
ほかのポートにまだグループメンバーが存在する場合は
どのポートにも中継しません。ほかのポートにグループ
メンバーが存在しない場合はマルチキャストルータポー
トに中継します。
備考
※
注※
自装置にクエリアを設定している場合の中継動作です。クエリアを設定していない場合は,常にマルチキャストルー
タポートに中継します。ただし,IGMPv1/IGMPv2/IGMPv3 Report(加入要求)メッセージを受信していないポー
トで離脱要求の IGMPv3 Report メッセージを受信した場合,クエリアの設定にかかわらず IGMPv3 Report(離脱
要求)メッセージは中継しません。
26.3.4 IGMP クエリア機能
IGMP クエリア機能は,VLAN 内にマルチキャストルータが存在せず,マルチキャストパケットの送信ホ
ストと受信ホストだけが存在する環境で,本装置が IGMP Query メッセージを代理で受信ホストに対して
送信する機能です。マルチキャストルータは定期的に IGMP Query メッセージを送信し,ホストからの応
答を受け取ることでグループメンバーの存在有無を確認します。マルチキャストルータが存在しない場合,
受信ホストからの応答がなくなるためにグループメンバーを監視することができなくなります。この機能
によって,VLAN 内にマルチキャストルータが存在しない場合でも,IGMP snooping 機能を使用可能と
します。本装置では IGMP Query メッセージを 125 秒間隔で送信します。
IGMP クエリア機能を利用するためには,IGMP snooping 機能を利用する VLAN に IP アドレスを設定す
る必要があります。
VLAN 内に IGMP Query メッセージを送信する装置が存在する場合,IGMP Query メッセージの送信元
IP アドレスの小さい方が代表クエリアとなって IGMP Query メッセージを送信します。VLAN 内のほか
567
26 IGMP snooping/MLD snooping の解説
の装置が代表クエリアの場合,本装置は IGMP クエリア機能による Query メッセージの送信を停止しま
す。
代表クエリアが障害などで停止すると新たに代表クエリアを選定します。VLAN 内の他装置が障害などで
本装置が代表クエリアに決定すると Query メッセージの送信を開始します。本装置では代表クエリアの監
視時間を 255 秒としています。
本装置で送信する IGMP Query のバージョンは,IGMPv2 をデフォルト値としています。装置起動以降,
IGMP Query のバージョンは,代表クエリアの IGMP バージョンに従います。
26.3.5 IGMP 即時離脱機能
IGMP 即時離脱機能は,IGMPv2 Leave および IGMPv3 Report(離脱要求)メッセージを受信した場合
に,該当ポートへのマルチキャスト通信をすぐに停止する機能です。
IGMPv3 Report(離脱要求)メッセージでは,マルチキャストアドレスレコードタイプが
CHANGE_TO_INCLUDE_MODE の IGMPv3 Report(離脱要求)メッセージだけを,本機能のサポー
ト対象とします。
568
26 IGMP snooping/MLD snooping の解説
26.4 MLD snooping
ここでは,MLD snooping の機能と動作について説明します。本装置が送受信する MLD メッセージの
フォーマットおよび既定値は RFC2710 に従います。また,MLD バージョン 2(以降,MLDv2)メッセー
ジのフォーマットおよび設定値は RFC3810 に従います。
MLD snooping は IPv6 マルチキャストと同時に使用しない場合,MAC アドレス制御方式でマルチキャス
トトラフィックの中継制御を行います。IPv6 マルチキャストと同時にする場合は,IP アドレス制御方式で
マルチキャストトラフィックの中継制御を行います。
26.4.1 MAC アドレス制御方式
(1) MAC アドレスの学習
MLD snooping が設定された VLAN で MLD メッセージを受信することによってマルチキャスト MAC
アドレスをダイナミックに学習します。学習したマルチキャスト MAC アドレスは MAC アドレステーブ
ルに登録します。
(a) エントリの登録
MLDv1 Report メッセージおよび,MLDv2 Report(加入要求)メッセージを受信すると,メッセージに
含まれるマルチキャストグループアドレスからマルチキャスト MAC アドレスを学習し,MLDv1/MLDv2
Report メッセージを受信したポートにだけマルチキャストグループ宛てのトラフィックを転送するエント
リを作成します。IPv6 マルチキャストデータの宛先 MAC アドレスは IP アドレスの下位 32 ビットを
MAC アドレスにコピーして生成します。
IPv6 マルチキャストアドレスはマルチキャストグループを識別するグループ ID フィールドが 112 ビット
長のフォーマットと 32 ビット長のフォーマットの 2 種類が規定されています。グループ ID フィールドが
112 ビット長のアドレスフォーマットを使用する場合は,IPv4 マルチキャストアドレスと同様に MAC ア
ドレスの重複が発生します。IPv6 マルチキャストアドレスと MAC アドレスの対応を次の図に示します。
図 26‒4 IPv6 マルチキャストアドレスと MAC アドレスの対応
(b) エントリの削除
学習したマルチキャスト MAC アドレスは次のどちらかの場合に,すべてのポートにグループメンバーが存
在しなくなった時点で削除されます。
• MLDv1 Done メッセージを受信した場合
MLDv1 Done メッセージを受信したポートに対して,本装置から Group-Specific Query メッセージ
を 1 秒間隔で 2 回送信します(Group-Specific Query メッセージの送信は,クエリア設定時だけで
す。未設定時は代表クエリアから送信されます)。応答がない場合にエントリからこのポートだけを削
569
26 IGMP snooping/MLD snooping の解説
除します(このポートへのマルチキャストトラフィックの中継を抑止します)。VLAN 内のすべての
ポートにグループメンバーが存在しなくなった場合にエントリ自体を削除します。
• MLDv2 Report(離脱要求)メッセージを受信した場合
MLDv2 Report(離脱要求)メッセージを受信したポートに対して,本装置から Group-Specific Query
メッセージを 1 秒間隔で 2 回送信します(Group-Specific Query メッセージの送信は,クエリア設定
時だけです。未設定時は代表クエリアから送信されます)。応答がない場合にエントリからこのポート
だけを削除します(このポートへのマルチキャストトラフィックの中継を抑止します)。VLAN 内のす
べてのポートにグループメンバーが存在しなくなった場合にエントリ自体を削除します。ただし,マル
チキャストアドレスレコードタイプが BLOCK_OLD_SOURCES の MLDv2 Report メッセージを受
信した場合は,自装置へのクエリア設定を行っている場合だけ Group-Specific Query メッセージの送
信および,エントリ削除処理を実行します。
• MLDv1/MLDv2 Report(加入要求)メッセージを受信してから一定時間経過した場合
マルチキャストルータは直接接続するインタフェース上にグループメンバーが存在するかを確認する
ために,定期的に MLD Query メッセージを送信します。本装置はルータからの MLD Query メッ
セージを受信した場合,VLAN 内の全ポートに中継します。MLD Query メッセージに対する応答がな
い場合,エントリからこのポートだけを削除します。すべてのポートから応答がない場合は,エントリ
自体を削除します。
本装置では 260 秒間 MLDv1/MLDv2 Report(加入要求)メッセージを受信しない場合に対応するエ
ントリを削除します。
本装置ではエントリを削除するタイムアウト時間を 260 秒(デフォルト値)としています。260 秒間
MLDv1/MLDv2 Report(加入要求)メッセージを受信しない場合に対応するエントリを削除します。
MLDv2 で運用している VLAN で他装置が代表クエリアの場合,タイムアウト時間は代表クエリアから
の MLDv2 Query メッセージ(QQIC フィールド)から算出します。自装置が代表クエリアの場合ま
たは MLDv1 で運用している場合は,デフォルト値となります。この場合,該当する VLAN では
Query Interval を 125 秒で運用してください。
注
タイムアウト時間は,Query Interval(QQIC フィールドの値)×2 + Query Response Interval
で算出します。
(2) IPv6 マルチキャストパケットのレイヤ 2 中継
IPv6 マルチキャストパケットの受信 VLAN 内のレイヤ 2 中継は IPv4 マルチキャストパケット同様に
MAC アドレスベースで処理します。MLD snooping の結果によるレイヤ 2 中継は,同一 MAC アドレス
にマッピングされる IPv6 マルチキャストアドレスの MLD Report(加入要求)メッセージを受信したポー
トすべてに中継します。
26.4.2 IP アドレス制御方式
本装置では swrt_multicast_table コマンドを設定することによって,IPv6 マルチキャストと MLD snooping の両方を同一の VLAN 上で同時に使用できます。IPv6 マルチキャストと MLD snooping を同
時に使用する場合,該当する VLAN に必ず IPv6 マルチキャストを使用してください。
(1) IP アドレスの学習
MLD snooping が設定された VLAN で MLD メッセージを受信することによってマルチキャスト IP アド
レスをダイナミックに学習します。学習したマルチキャスト IP アドレスの情報は IPv6 マルチキャストの
マルチキャスト中継エントリに設定します。
570
26 IGMP snooping/MLD snooping の解説
(a) エントリの登録
MLDv1 Report メッセージおよび MLDv2 Report(加入要求)メッセージを受信すると,メッセージに含
まれるマルチキャストグループアドレスからマルチキャスト IP アドレスを学習し,MLDv1/MLDv2
Report メッセージを受信したポートにだけマルチキャストグループ宛てのトラフィックを転送するエント
リを作成します。
(b) エントリの削除
学習したマルチキャスト IP アドレスは次のどれかの場合に,すべてのポートにグループメンバーが存在し
なくなった時点で削除されます。
• MLDv1 Done メッセージを受信した場合
MLDv1 Done メッセージを受信したポートに対して,本装置から Group-Specific Query メッセージ
を 1 秒間隔で 2 回送信します(Group-Specific Query メッセージの送信は,本装置が代表クエリアの
ときだけです)。応答がない場合にエントリからこのポートだけを削除します(このポートへのマルチ
キャストトラフィックの中継を抑止します)。VLAN 内のすべてのポートにグループメンバーが存在し
なくなった場合にエントリ自体を削除します。
• MLDv2 Report(離脱要求)メッセージを受信した場合
MLDv2 Report(離脱要求)メッセージでマルチキャストアドレスレコードタイプが
CHANGE_TO_INCLUDE_MODE の MLDv2 Report(離脱要求)メッセージを受信した場合,受信
したポートに対して,本装置から Group-Specific Query メッセージを 1 秒間隔で 2 回送信します
(Group-Specific Query メッセージの送信は,本装置が代表クエリアのときだけです)。応答がない場
合にエントリからこのポートだけを削除します。VLAN 内のすべてのポートにグループメンバーが存
在しなくなった場合にエントリ自体を削除します。マルチキャストアドレスレコードタイプが
BLOCK_OLD_SOURCES の MLDv2 Report メッセージを受信した場合は,本装置から Group-and-
Source-Specific Query メッセージを 1 秒間隔で 2 回送信します(Group-and-Source-Specific
Query メッセージの送信は,本装置が代表クエリアの時だけです)。Group-and-Source-Specific
Query メッセージの応答に関わらず,エントリはタイムアウトで削除処理を行います。
注
タイムアウト時間は,Query Interval(QQIC フィールドの値)×2 + Query Response Interval
で算出します。
• MLDv1/MLDv2 Report(加入要求)メッセージを受信してから一定時間経過した場合
マルチキャストルータは直接接続するインタフェース上にグループメンバーが存在するかを確認する
ために,定期的に MLD Query メッセージを送信します。本装置はルータからの MLD Query メッ
セージを受信した場合,VLAN 内の全ポートに中継します。MLD Query メッセージに対する応答がな
い場合,エントリからこのポートだけを削除します。すべてのポートから応答がない場合は,エントリ
自体を削除します。
本装置ではエントリを削除するタイムアウト時間を 260 秒(デフォルト値)としています。260 秒間
MLDv1/MLDv2 Report(加入要求)メッセージを受信しない場合に対応するエントリを削除します。
タイムアウト時間は次に示す場合に,動的に設定します。
• 他装置が代表クエリア(MLDv2 での運用)
代表クエリアからの MLDv2 Query メッセージ(QQIC フィールド)から算出します。
• 自装置が代表クエリア
MLDv1/MLDv2 にかかわらず,自装置に設定した Query Interval で算出します(ただし,Query
Interval を設定していなければ,デフォルト値での運用となります)。
• 他装置が代表クエリア(MLDv1 での運用)
571
26 IGMP snooping/MLD snooping の解説
自装置に設定した Query Interval で算出します(ただし,Query Interval を設定していなければ
デフォルト値での運用となります)。
注
タイムアウト時間は,Query Interval(QQIC フィールドの値)×2 + Query Response Interval
で算出します。
(2) IPv6 マルチキャストパケットのレイヤ 2 中継
IPv6 マルチキャストパケットの受信 VLAN 内のレイヤ 2 中継は IP アドレスベースで処理します。MLD snooping の結果によるレイヤ 2 中継は,MLD Report(加入要求)メッセージを受信したポートすべてに
中継します。
(3) IPv6 マルチキャストパケットのレイヤ 3 中継
IPv6 マルチキャストによる VLAN 間のレイヤ 3 中継時に,中継先の VLAN で MLD snooping が動作し
ている場合,レイヤ 3 中継されたマルチキャストトラフィックは,中継先の VLAN 内で MLD snooping
の学習結果に従って中継されます。
(4) IPv6 マルチキャスト同時使用時の Specific Query 送信
IPv6 マルチキャストが動作することで本装置が VLAN 内の代表クエリアである場合,MLD Done メッ
セージまたは MLDv2 Report(離脱要求)メッセージ受信による Group-Specific Query または Groupand-Source-Specific Query の送信は,受信ポートだけでなく VLAN 内の全ポートに送信します。
26.4.3 マルチキャストルータとの接続
マルチキャストパケットの中継先にはグループ加入済みホストだけでなく隣接するマルチキャストルータ
も対象とします。本装置とマルチキャストルータを接続して MLD snooping を使用する場合,マルチキャ
ストルータへマルチキャストパケットを中継するためにマルチキャストルータと接続するポート(以降,マ
ルチキャストルータポートとします)をコンフィグレーションで指定します。
本装置は指定したマルチキャストルータポートへは全マルチキャストパケットを中継します。
また,MLD はルータホスト間で送受信するプロトコルであるため,MLD メッセージはルータおよびホス
トが受け取ります。本装置では MLD メッセージを次の表に示すように中継します。
表 26‒5 MLDv1 メッセージごとの動作
MLDv1 メッセージの種類 VLAN 内転送ポート
備
考
Multicast Listener Query
Multicast Listener Report
Multicast Listener Done
全ポートへ中継します。
マルチキャストルータポートにだけ中継します。
ほかのポートにまだグループメンバーが存在する場合はどのポートにも中継
しません。
ほかのポートにグループメンバーが存在しない場合はマルチキャストルータ
ポートに中継します。
※
注※
自装置にクエリアを設定している場合の中継動作です。クエリアを設定していない場合は,常にマルチキャストルー
タポートに中継します。ただし,MLDv1/MLDv2 Report(加入要求)メッセージを受信していないポートで MLDv1
Done メッセージを受信した場合,クエリアの設定にかかわらず MLDv1 Done メッセージは中継しません。
572
26 IGMP snooping/MLD snooping の解説
表 26‒6 MLDv2 メッセージごとの動作
MLDv2 メッセージの種類 VLAN 内転送ポート
備
考
Version2 Multicast Listener Query
Version2 Multicast
Listener Report
加入要求の
Report
離脱要求の
Report
全ポートへ中継します。
マルチキャストルータポートにだけ中継します。
ほかのポートにまだグループメンバーが存在する場合はどの
ポートにも中継しません。ほかのポートにグループメンバー
が存在しない場合はマルチキャストルータポートに中継しま
す。
※
注※
自装置にクエリアを設定している場合の中継動作です。クエリアを設定していない場合は,常にマルチキャストルー
タポートに中継します。ただし,MLDv1/MLDv2 Report(加入要求)メッセージを受信していないポートで離脱要
求の MLDv2 Report メッセージを受信した場合,クエリアの設定にかかわらず MLDv2 Report(離脱要求)メッ
セージは中継しません。
26.4.4 MLD クエリア機能
MLD クエリア機能とは,VLAN 内にマルチキャストルータが存在せず,マルチキャストパケットの送信
ホストと受信ホストだけが存在する環境で,本装置が MLD Query メッセージを代理で受信ホストに対し
て送信する機能です。マルチキャストルータは定期的に MLD Query メッセージを送信し,ホストからの
応答を受け取ることでグループメンバーの存在有無を確認します。マルチキャストルータが存在しない場
合,受信ホストからの応答がなくなるためにグループメンバーを監視することができなくなります。この機
能によって,VLAN 内にマルチキャストルータが存在しない場合でも,MLD snooping 機能を使用可能と
します。本装置では Query メッセージを 125 秒間隔で送信します。
MLD クエリア機能を利用するためには,MLD snooping 機能を利用する VLAN に IP アドレスを設定す
る必要があります。
VLAN 内に MLD Query メッセージを送信する装置が存在する場合,MLD Query メッセージの送信元 IP
アドレスの小さい方が代表クエリアとなって MLD Query メッセージを送信します。VLAN 内のほかの
装置が代表クエリアの場合,本装置は MLD クエリア機能による MLD Query メッセージの送信を停止し
ます。
代表クエリアが障害などで停止すると新たに代表クエリアを選定します。VLAN 内の他装置が障害などで
本装置が代表クエリアに決定すると MLD Query メッセージの送信を開始します。本装置では代表クエリ
アの監視時間を 255 秒としています。
本装置で送信する MLD Query のバージョンは,MLDv1 をデフォルト値としています。装置起動以降,
MLD Query のバージョンは,代表クエリアの MLD バージョンに従います。
573
26 IGMP snooping/MLD snooping の解説
26.5 IGMP snooping/MLD snooping 使用時の注意
事項
(1) 他機能との共存
「18.3 レイヤ 2 スイッチ機能と他機能の共存について」を参照してください。
(2) 制御パケットのフラッディング
IGMP snooping/MLD snooping が抑止対象とするマルチキャストトラフィックはデータトラフィックで
あり,ルーティングプロトコルなどの制御パケットは VLAN 内の全ルータや全ホストが受信できるように
VLAN 内に flooding する必要があります。そのため,本装置では,次の表に示すアドレス範囲に含まれる
宛先 IP アドレスを持つパケットは,VLAN 内の全ポートに中継します。次の表に示すアドレス範囲外の宛
先 IP アドレスを持つパケットは,IGMP snooping/MLD snooping の学習結果に従って中継します。
表 26‒7 制御パケットのフラッディング
プロトコル
IGMP snooping
MLD snooping
224.0.0.0/24 ff02::/16
アドレス範囲
ただし,制御パケットのマルチキャスト MAC アドレスと重複するマルチキャストグループアドレスは使用
できません。上の表に示したアドレス範囲以外のアドレスで,使用できないマルチキャストグループアドレ
スを次の表に示します。
表 26‒8 MAC アドレス制御方式で使用できないマルチキャストグループアドレス
IGMP snooping
プロトコル マルチキャストグループアドレス
224.128.0.0/24
225.0.0.0/24
225.128.0.0/24
226.0.0.0/24
226.128.0.0/24
227.0.0.0/24
227.128.0.0/24
228.0.0.0/24
228.128.0.0/24
229.0.0.0/24
229.128.0.0/24
230.0.0.0/24
230.128.0.0/24
231.0.0.0/24
574
26 IGMP snooping/MLD snooping の解説
プロトコル
231.128.0.0/24
232.0.0.0/24
232.128.0.0/24
233.0.0.0/24
233.128.0.0/24
234.0.0.0/24
234.128.0.0/24
235.0.0.0/24
235.128.0.0/24
236.0.0.0/24
236.128.0.0/24
237.0.0.0/24
237.128.0.0/24
238.0.0.0/24
238.128.0.0/24
239.0.0.0/24
239.128.0.0/24
マルチキャストグループアドレス
上の表に示したアドレスをマルチキャストグループアドレスに使用した場合,該当マルチキャストグループ
アドレス宛てのマルチキャストデータは,VLAN 内の全ポートに中継します。
トランクポートを設定している場合は,Untagged 制御パケットを受信しないように注意してください。構
成上,トランクポートで Untagged 制御パケットを扱う場合は,ネイティブ VLAN を設定してください。
(3) マルチキャストルータポートの設定
(a) 冗長構成時
スパニングツリーによって冗長構成を採り,スパニングツリーによってトポロジー変更でルータとの接続が
変わる可能性がある場合は,ルータと接続する可能性のある全ポートに対してマルチキャストルータポート
の設定をしておく必要があります。
(b) レイヤ 2 スイッチ間の接続時
複数のレイヤ 2 スイッチだけで構成される VLAN で,マルチキャストトラフィックの送信ホストを収容す
るレイヤ 2 スイッチと接続するポートをマルチキャストルータポートに設定しておく必要があります。
冗長構成を採る場合は,送信ホストを収容するレイヤ 2 スイッチと接続する可能性のある全ポートに対し
てマルチキャストルータポートの設定をしておく必要があります。
575
26 IGMP snooping/MLD snooping の解説
(4) IGMP バージョン 3 ホストとの接続
本装置に IGMPv3 ホストを接続する場合,次のどちらかの対応が必要です。
• 該当する VLAN に IPv4 マルチキャストを使用して,IGMP バージョンを 3 に設定してください。
• IGMPv3 ルータを接続して該当するルータが代表クエリアになるように IP アドレスを設定してくださ
い。
また,IGMPv3 ホストからの IGMPv3 メッセージがフラグメント化されない構成で運用してください。
(5) MLD バージョン 2 ホストとの接続
本装置に MLDv2 ホストを接続する場合,次のどちらかの対応が必要です。
• 該当する VLAN に IPv6 マルチキャストを使用して,MLD バージョンを 2 に設定してください。
• MLDv2 ルータを接続して該当するルータが代表クエリアになるように IP アドレスを設定してくださ
い。
また,MLDv2 ホストからの MLDv2 メッセージがフラグメント化されない構成で運用してください。
(6) 運用コマンド実行によるエントリの再学習
IGMP/MLD snooping の運用コマンドのほかに,下記のコマンドを実行した場合,それまでに学習したエ
ントリをクリアし,再学習を行います。運用コマンド実行後は,一時的にマルチキャスト通信が中断しま
す。
• copy コマンドで running-config に上書きした場合
• restart vlan コマンド
(7) IPv4 マルチキャスト機能との同時使用
(a) IGMP snooping 設定追加時の一時的通信停止
IPv4 マルチキャストを使用している VLAN に IGMP snooping を追加設定した場合,一時的にマルチ
キャスト通信が停止します。IGMP snooping 設定後,IGMP Report(加入要求)を受信することでマル
チキャスト通信が再開します。
(b) 静的グループ参加機能との併用
IPv4 マルチキャストの静的グループ参加機能を使用している VLAN では,ホストから IGMP Report(加
入要求)が送信されないおそれがあります。IGMP snooping と同時使用する場合,IGMP Report(加入
要求)が送信されないとマルチキャスト通信ができないため,静的グループ参加機能を使用している VLAN
でマルチキャスト通信が必要なポートにはマルチキャストルータポートを設定してください。
(8) IPv6 マルチキャスト機能との同時使用
(a) MLD snooping 設定追加時の一時的通信停止
IPv6 マルチキャストを使用している VLAN に MLD snooping を追加設定した場合,一時的にマルチキャ
スト通信が停止します。MLD snooping 設定後,MLD Report(加入要求)を受信することでマルチキャ
スト通信が再開します。
576
26 IGMP snooping/MLD snooping の解説
(b) 静的グループ参加機能との併用
IPv6 マルチキャストの静的グループ参加機能を使用している VLAN では,ホストから MLD Report(加
入要求)が送信されないおそれがあります。MLD snooping と同時使用する場合,MLD Report(加入要
求)が送信されないとマルチキャスト通信ができないため,静的グループ参加機能を使用している VLAN
でマルチキャスト通信が必要なポートにはマルチキャストルータポートを設定してください。
(9) IGMP 即時離脱機能
IGMP 即時離脱機能を使用した場合,IGMPv2 Leave および IGMPv3 Report(離脱要求)メッセージを
受信すると,該当ポートへのマルチキャスト通信をすぐに停止します。このため,本機能を使用する場合
は,接続ポートに各マルチキャストグループの受信者の端末を 1 台だけ設置することを推奨します。
接続ポートに同一マルチキャストグループの受信者の端末を複数台設置した場合は,一時的にほかの受信者
へのマルチキャスト通信が停止します。この場合,受信者からの IGMP Report(加入要求)メッセージを
再度受信することで,マルチキャスト通信は再開します。
577
27
IGMP snooping/MLD snooping
の設定と運用
IGMP snooping/MLD snooping はレイヤ 2 で VLAN 内のマルチキャスト
トラフィックを制御する機能です。この章では,IGMP snooping/MLD snooping の設定と運用方法について説明します。
579
27 IGMP snooping/MLD snooping の設定と運用
27.1 IGMP snooping のコンフィグレーション
27.1.1 コンフィグレーションコマンド一覧
IGMP snooping のコンフィグレーションコマンド一覧を次の表に示します。
表 27‒1 コンフィグレーションコマンド一覧
コマンド名 ip igmp snooping (global) ip igmp snooping (interface) ip igmp snooping fast-leave ip igmp snooping mrouter interface ip igmp snooping querier
説明 no ip igmp snooping で,本装置の IGMP snooping 機能を抑止しま
す。
指定したインタフェースの IGMP snooping 機能を設定します。
IGMP 即時離脱機能を設定します。
IGMP マルチキャストルータポートを設定します。
IGMP クエリア機能を設定します。
27.1.2 IGMP snooping の設定
[設定のポイント]
IGMP snooping を動作させるには,使用する VLAN の VLAN インタフェースコンフィグレーション
モードで,次の設定を行います。
VLAN2 に IGMP snooping 機能を有効にする場合を示します。
[コマンドによる設定]
1. (config)# interface vlan 2
(config-if)# ip igmp snooping
VLAN2 の VLAN インタフェースコンフィグレーションモードに移行して,IGMP snooping 機能を有
効にします。
27.1.3 IGMP クエリア機能の設定
[設定のポイント]
IGMP snooping を設定した VLAN 内にマルチキャストルータが存在しない場合,IGMP クエリア機
能を動作させる必要があります。該当 VLAN の VLAN インタフェースコンフィグレーションモード
で次の設定を行います。
[コマンドによる設定]
1. (config-if)# ip igmp snooping querier
IGMP クエリア機能を有効にします。
[注意事項]
本設定は該当インタフェースに IPv4 アドレスの設定がないと有効になりません。
580
27 IGMP snooping/MLD snooping の設定と運用
27.1.4 マルチキャストルータポートの設定
[設定のポイント]
IGMP snooping を設定した VLAN 内にマルチキャストルータを接続している場合,該当 VLAN の
VLAN インタフェースコンフィグレーションモードで,次の設定を行います。例として,該当 VLAN
内のポート 1/0/1 のギガビット・イーサネットインタフェースにマルチキャストルータを接続している
場合を示します。
[コマンドによる設定]
1. (config-if)# ip igmp snooping mrouter interface gigabitethernet 1/0/1
該当インタフェースで,マルチキャストルータポートを指定します。
581
27 IGMP snooping/MLD snooping の設定と運用
27.2 IGMP snooping のオペレーション
27.2.1 運用コマンド一覧
IGMP snooping の運用コマンド一覧を次の表に示します。
表 27‒2 運用コマンド一覧
コマンド名 show igmp-snooping clear igmp-snooping restart snooping dump protocols snooping
説明
IGMP snooping 情報を表示します。
IGMP snooping 情報をクリアします。 snooping プログラムを再起動します。
イベントトレース情報および制御テーブル情報のファイルを出力します。
27.2.2 IGMP snooping の確認
IGMP snooping 機能を使用した場合の IGMP snooping に関する確認内容には次のものがあります。
(1) コンフィグレーション設定後の確認
show igmp-snooping コマンドを実行し,IGMP snooping に関する設定が正しいことを確認してくださ
い。
図 27‒1 IGMP snooping の設定状態表示
> show igmp-snooping 100
Date 20XX/10/01 15:20:00 UTC
VLAN: 100
IP address: 192.168.11.20/24 Querier: enable
IGMP querying system: 192.168.11.20
Querier version: V2
IPv4 Multicast routing: Off
Fast-leave: On
Port(5): 0/1-5
Mrouter-port: 0/1,3
Group Counts: 3
(2) 運用中の確認
次のコマンドで,IGMP snooping の運用中の状態を確認してください。
• 学習した MAC アドレス,VLAN 内に中継される IPv4 マルチキャストアドレスとその中継先ポートリ
ストの状態は,show igmp-snooping group コマンドで確認してください。
図 27‒2 show igmp-snooping group コマンドの実行結果
> show igmp-snooping group 100
Date 20XX/02/01 15:20:00 UTC
VLAN counts: 1
VLAN: 100 Group counts: 3 IPv4 Multicast routing: Off
Group Address MAC Address Version Mode
224.10.10.10 0100.5e0a.0a0a V2 -
Port-list:0/1-3
225.10.10.10 0100.5e0a.0a0a V3 INCLUDE
Port-list:0/1-2
239.192.1.1 0100.5e40.0101 V2,V3 EXCLUDE
Port-list:0/1
• ポートごとの参加グループ表示例を show igmp-snooping port コマンドで確認してください。
582
27 IGMP snooping/MLD snooping の設定と運用
図 27‒3 show igmp-snooping port コマンドの実行結果
> show igmp-snooping port 0/1
Date 20XX/10/01 15:20:00 UTC
Port 0/1 VLAN counts: 2
VLAN: 100 Group counts: 2
Group Address Last Reporter Uptime Expires
224.10.10.10 192.168.1.3 00:10 04:10
239.192.1.1 192.168.1.3 02:10 03:00
VLAN: 150 Group counts: 1
Group Address Last Reporter Uptime Expires
239.10.120.1 192.168.15.10 01:10 02:30
583
27 IGMP snooping/MLD snooping の設定と運用
27.3 MLD snooping のコンフィグレーション
27.3.1 コンフィグレーションコマンド一覧
MLD snooping のコンフィグレーションコマンド一覧を次の表に示します。
表 27‒3 コンフィグレーションコマンド一覧
コマンド名 ipv6 mld snooping ipv6 mld snooping mrouter interface ipv6 mld snooping querier no ipv6 mld snooping
説明
MLD snooping 機能を使用することを設定します。
MLD マルチキャストルータポートを設定します。
MLD クエリア機能を設定します。
MLD snooping 機能の抑止を設定します。
27.3.2 MLD snooping の設定
[設定のポイント]
MLD snooping を動作させるには,使用する VLAN の VLAN インタフェースのインタフェースコン
フィグレーションモードで,次の設定を行います。例として,VLAN2 に MLD snooping 機能を有効
にする場合を示します。
[コマンドによる設定]
1. (config)# interface vlan 2
(config-if)# ipv6 mld snooping
VLAN2 の VLAN インタフェースコンフィグレーションモードに移行して,MLD snooping 機能を有
効にします。
27.3.3 MLD クエリア機能の設定
[設定のポイント]
MLD snooping を設定した VLAN 内にマルチキャストルータが存在しない場合,MLD クエリア機能
を動作させる必要があります。該当 VLAN の VLAN インタフェースコンフィグレーションモードで,
次の設定を行います。
[コマンドによる設定]
1. (config-if)# ipv6 mld snooping querier
MLD クエリア機能を有効にします。
[注意事項]
本設定は該当インタフェースに IPv6 アドレスの設定がないと有効となりません。
584
27 IGMP snooping/MLD snooping の設定と運用
27.3.4 マルチキャストルータポートの設定
[設定のポイント]
MLD snooping を設定した VLAN 内にマルチキャストルータを接続している場合,該当 VLAN の
VLAN インタフェースコンフィグレーションモードで,次の設定を行います。例として,該当 VLAN
内のポート 1/0/1 のギガビット・イーサネットインタフェースにマルチキャストルータを接続している
場合を示します。
[コマンドによる設定]
1. (config-if)# ipv6 mld snooping mrouter interface gigabitethernet 1/0/1
該当インタフェースでマルチキャストルータポートを指定します。
585
27 IGMP snooping/MLD snooping の設定と運用
27.4 MLD snooping のオペレーション
27.4.1 運用コマンド一覧
MLD snooping の運用コマンド一覧を次の表に示します。
表 27‒4 運用コマンド一覧
コマンド名 show mld-snooping clear mld-snooping restart snooping dump protocols snooping
説明
MLD snooping 情報を表示します。
MLD snooping 情報をクリアします。 snooping プログラムを再起動します。
イベントトレース情報および制御テーブル情報のファイルを出力します。
27.4.2 MLD snooping の確認
MLD snooping 機能を使用した場合の MLD snooping に関する確認内容には次のものがあります。
(1) コンフィグレーション設定後
show mld-snooping コマンドを実行し,MLD snooping に関する設定が正しいことを確認してください。
図 27‒4 MLD snooping の設定状態表示
> show mld-snooping 100
Date 20XX/02/01 15:20:00 UTC
VLAN: 100
IP address: fe80::b1 Querier: enable
MLD querying system: fe80::b1
Querier version: V1
IPv6 Multicast routing: Off
Querier version: V2
Port(5): 0/1-5
Mrouter-port: 0/1,3
Group Counts: 3
(2) 運用中の確認
以下のコマンドで,MLD snooping の運用中の状態を確認してください。
• 学習した MAC アドレス,VLAN 内に中継される IPv6 マルチキャストアドレスとその中継先ポートリ
ストの状態は,show mld-snooping group コマンドで確認してください。
図 27‒5 show mld-snooping group コマンドの実行結果
> show mld-snooping group 100
Date 20XX/02/01 15:20:00 UTC
VLAN: counts: 1
VLAN: 100 Group counts: 2 IPv6 Multicast routing: Off
Group Address MAC Address Version Mode
ff35::1 3333:0000:0001 V1,V2 EXCLUDE
Port-list:0/1-3
ff35::2 3333:0000:0002 V2 EXCLUDE
Port-list:0/1-2
• ポートごとの参加グループ表示例を show mld-snooping port コマンドで確認してください。
586
27 IGMP snooping/MLD snooping の設定と運用
図 27‒6 show mld-snooping port コマンドの実行結果
> show mld-snooping port 0/1
Date 20XX/12/01 15:20:00 UTC
Port 0/1 VLAN counts: 1
VLAN: 100 Group counts: 2
Group Address Last Reporter Uptime Expires
ff35::1 fe80::b2 00:10 04:10
ff35::2 fe80::b3 02:10 03:00
587
付録
589
付録 A 準拠規格
付録 A 準拠規格
付録 A.1 TELNET/FTP
表 A‒1 TELNET/FTP の準拠する規格および勧告
規格番号(発行年月)
RFC854(1983 年 5 月)
RFC855(1983 年 5 月)
RFC959(1985 年 10 月)
規格名
TELNET PROTOCOL SPECIFICATION
TELNET OPTION SPECIFICATIONS
FILE TRANSFER PROTOCOL (FTP)
付録 A.2 RADIUS/TACACS+
表 A‒2 RADIUS/TACACS+の準拠する規格および勧告
規格番号(発行年月)
RFC2865(2000 年 6 月)
RFC2866(2000 年 6 月)
RFC3162(2001 年 8 月) draft-grant-tacacs-02
(1997 年 1 月)
規格名
Remote Authentication Dial In User Service(RADIUS)
RADIUS Accounting
RADIUS and IPv6
The TACACS+ Protocol Version 1.78
付録 A.3 NTP
表 A‒3 NTP の準拠する規格および勧告
規格番号(発行年月)
RFC1305(1992 年 3 月)
規格名
Network Time Protocol (Version 3) Specification, Implementation and
Analysis
付録 A.4 DNS
表 A‒4 DNS リゾルバの準拠する規格および勧告
規格番号(発行年月)
RFC1034(1987 年 3 月)
RFC1035(1987 年 3 月)
規格名
Domain names - concepts and facilities
Domain names - implementation and specification
590
付録 A 準拠規格
付録 A.5 イーサネット
表 A‒5 イーサネットインタフェースの準拠規格
種別
10BASE-T,
100BASE-TX,
1000BASE-T,
100BASE-FX,
1000BASE-X,
10GBASE-R
10GBASE-R
40GBASE-R
規格
IEEE802.3x-1997
IEEE802.2 1998
Edition
IEEE802.3 2000
Edition
IEEE802.3ah 2004
名称
IEEE Standards for Local and Metropolitan Area
Networks:Specification for 802.3 Full Duplex Operation
IEEE Standard for Information Technology -
Telecommunications andInformation Exchange Between
Systems - Local and Metropolitan Area Networks - Specific
Requirements - Part 2: Logical Link Control
Carrier sense multiple access with collision detection
(CSMA/CD) access method and physical layer
Specifications
Amendment: Media Access Control Parameters, Physical
Layers, and Management Parameters for Subscriber Access
Networks
IEEE Std 802.3u-1995 Type 100BASE-T MAC parameters,Physical Layer, MAUs, and Repeater for 100 Mb/s Operation
IEEE802.3ae
Standard-2002
Media Access Control(MAC) Parameters, Physical Layer, and Management Parameters for 10 Gb/s Operation
IEEE802.3ba
Standard-2010
Media Access Control Parameters, Physical Layers, and
Management Parameters for 40 Gb/s and 100 Gb/s
Operation
付録 A.6 リンクアグリゲーション
表 A‒6 リンクアグリゲーションの準拠規格
規格
IEEE802.3ad
(IEEE Std 802.3ad-2000)
名称
Aggregation of Multiple Link Segments
付録 A.7 VLAN
表 A‒7 VLAN の準拠規格および勧告
規格
IEEE802.1Q
(IEEE Std 802.1Q-2003)
名称
Virtual Bridged Local Area Networks
注※ GVRP/GMRP はサポートしていません。
※
591
付録 A 準拠規格
付録 A.8 スパニングツリー
表 A‒8 スパニングツリーの準拠規格および勧告
規格
IEEE802.1D
(ANSI/IEEE Std
802.1D-1998 Edition)
IEEE802.1t
(IEEE Std 802.1t-2001)
IEEE802.1w
(IEEE Std 802.1w-2001)
IEEE802.1s
(IEEE Std 802.1s-2002)
名称
Media Access Control (MAC) Bridges
(The Spanning Tree Algorithm and Protocol)
Media Access Control (MAC) Bridges -
Amendment 1
Media Access Control (MAC) Bridges -
Amendment 2: Rapid Reconfiguration
Virtual Bridged Local Area Networks -
Amendment 3: Multiple Spanning Trees
付録 A.9 IGMP snooping/MLD snooping
表 A‒9 IGMP snooping/MLD snooping の準拠規格および勧告
規格番号(発行年月)
RFC4541(2006 年 5 月)
規格名
Considerations for Internet Group Management Protocol (IGMP) and
Multicast Listener Discovery (MLD) Snooping Switches
592
付録 B 謝辞(Acknowledgments)
付録 B 謝辞(Acknowledgments)
[SNMP]
*****************************************************************************
Copyright 1988-1996 by Carnegie Mellon University
All Rights Reserved
Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission.
CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING
ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT
SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES
OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR
PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER
TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR
PERFORMANCE OF THIS SOFTWARE.
*****************************************************************************
Some of this software has been modified by BBN Corporation and is a derivative of software developed by Carnegie Mellon University. Use of the software remains subject to the original conditions set forth above.
*****************************************************************************
Some of this software is Copyright 1989 by TGV, Incorporated but subject to the original conditions set forth above.
*****************************************************************************
Some of this software is Copyright (C) 1983,1988 Regents of the University of California. All rights reserved.
Redistribution and use in source and binary forms are permitted provided that this notice is preserved and that due credit is given to the University of California at Berkeley. The name of the University may not be used to endorse or promote products derived from this software without specific prior written permission. This software is provided ''as is'' without express or implied warranty.
*****************************************************************************
* Primary Author:
Steve Waldbusser
* Additional Contributors:
Erik Schoenfelder ([email protected]): additions, fixes and enhancements for Linux by
1994/1995.
David Waitzman: Reorganization in 1996.
Wes Hardaker <[email protected]>: Some bug fixes in his UC
Davis CMU SNMP distribution were adopted by David Waitzman
David Thaler <[email protected]>: Some of the code for making the agent embeddable into another application were adopted by David Waitzman
Many more over the years...
593
付録 B 謝辞(Acknowledgments)
[NTP]
The following copyright notice applies to all files collectively called the Network Time
Protocol Version 4 Distribution. Unless specifically declared otherwise in an individual file, this notice applies as if the text was explicitly included in the file.
Copyright (C) David L. Mills 1992-2003 Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appears in all copies and that both the copyright notice and this permission notice appear in supporting documentation, and that the name University of
Delaware not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission. The University of Delaware makes no representations about the suitability this software for any purpose. It is provided "as is" without express or implied warranty.
[PIM sparse-mode pimd]
/*
* Copyright (c) 1998-2001
* The University of Southern California/Information Sciences Institute.
*
* All rights reserved.
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
* notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
* notice, this list of conditions and the following disclaimer in the
* documentation and/or other materials provided with the distribution.
* 3. Neither the name of the project nor the names of its contributors
* may be used to endorse or promote products derived from this software
* without specific prior written permission.
*
* THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND
* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE
* ARE DISCLAIMED. IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE
LIABLE
* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL
* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE
GOODS
* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT
594
付録 B 謝辞(Acknowledgments)
* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY
WAY
* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
* SUCH DAMAGE.
*/
/*
* Part of this program has been derived from mrouted.
*
*/
* The mrouted program is covered by the license in the accompanying file
* named "LICENSE.mrouted".
*
* The mrouted program is COPYRIGHT 1989 by The Board of Trustees of
* Leland Stanford Junior University.
[pim6dd]
/*
* Copyright (C) 1998 WIDE Project.
* All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
* notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
* notice, this list of conditions and the following disclaimer in the
* documentation and/or other materials provided with the distribution.
* 3. Neither the name of the project nor the names of its contributors
* may be used to endorse or promote products derived from this software
*
* without specific prior written permission.
* THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND
* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE
* ARE DISCLAIMED. IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE
LIABLE
* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL
* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE
GOODS
* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
595
付録 B 謝辞(Acknowledgments)
* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT
* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY
WAY
* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
* SUCH DAMAGE.
*/
[pim6sd]
/*
*
* Copyright (C) 1999 LSIIT Laboratory.
* All rights reserved.
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
* notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
* notice, this list of conditions and the following disclaimer in the
* documentation and/or other materials provided with the distribution.
* 3. Neither the name of the project nor the names of its contributors
* may be used to endorse or promote products derived from this software
* without specific prior written permission.
*
* THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND
* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE
* ARE DISCLAIMED. IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE
LIABLE
* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL
* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE
GOODS
* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT
* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY
WAY
* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
* SUCH DAMAGE.
*/
/*
596
付録 B 謝辞(Acknowledgments)
*
*/
* Questions concerning this software should be directed to
* Mickael Hoerdt ([email protected]) LSIIT Strasbourg.
/*
* This program has been derived from pim6dd.
* The pim6dd program is covered by the license in the accompanying file
* named "LICENSE.pim6dd".
*
*/
*/
/*
* This program has been derived from pimd.
* The pimd program is covered by the license in the accompanying file
* named "LICENSE.pimd".
[RADIUS]
Copyright 1992 Livingston Enterprises, Inc.
Livingston Enterprises, Inc. 6920 Koll Center Parkway Pleasanton, CA 94566
Permission to use, copy, modify, and distribute this software for any purpose and without fee is hereby granted, provided that this copyright and permission notice appear on all copies and supporting documentation, the name of Livingston Enterprises, Inc. not be used in advertising or publicity pertaining to distribution of the program without specific prior permission, and notice be given in supporting documentation that copying and distribution is by permission of Livingston Enterprises, Inc.
Livingston Enterprises, Inc. makes no representations about the suitability of this software for any purpose. It is provided "as is" without express or implied warranty.
[totd]
WIDE
Copyright (C) 1998 WIDE Project. All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software must display the following acknowledgement:
This product includes software developed by WIDE Project and and its contributors.
597
付録 B 謝辞(Acknowledgments)
4. Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ''AS IS'' AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS
BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT
OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR
BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE
OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN
IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
University of Tromso
Copyright (C) 1999,2000,2001,2002 University of Tromso, Norway. All rights reserved.
Author: Feike W. Dillema, The Pasta Lab, Institutt for Informatikk University of Tromso,
Norway
Permission to use, copy, modify and distribute this software and its documentation is hereby granted, provided that both the copyright notice and this permission notice appear in all copies of the software, derivative works or modified versions, and any portions thereof, and that both notices appear in supporting documentation.
THE UNIVERSITY OF TROMSO ALLOWS FREE USE OF THIS SOFTWARE IN ITS "AS IS"
CONDITION. THE UNIVERSITY OF TROMSO DISCLAIMS ANY LIABILITY OF ANY KIND
FOR ANY DAMAGES WHATSOEVER RESULTING FROM THE USE OF THIS SOFTWARE.
The author requests users of this software to send back any improvements or extensions that they make and grant him and/or the University the rights to redistribute these changes without restrictions.
Invenia Innovation A.S.
Copyright (C) Invenia Innovation A.S., Norway. All rights reserved.
Author: Feike W. Dillema, Invenia Innovation A.S., Norway.
Permission to use, copy, modify and distribute this software and its documentation is hereby granted, provided that both the copyright notice and this permission notice appear in all copies of the software, derivative works or modified versions, and any portions thereof, and that both notices appear in supporting documentation.
INVENIA INNOVATION A.S. ALLOWS FREE USE OF THIS SOFTWARE IN ITS "AS IS"
CONDITION. INVENIA INNOVATION A.S. DISCLAIMS ANY LIABILITY OF ANY KIND
FOR ANY DAMAGES WHATSOEVER RESULTING FROM THE USE OF THIS SOFTWARE.
The author requests users of this software to send back any improvements or extensions that they make and grant him and/or the Invenia Innovation the rights to redistribute these changes without restrictions.
Todd C. Miller
Copyright (C) 1998 Todd C. Miller <[email protected]> All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
598
付録 B 謝辞(Acknowledgments)
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
3. The name of the author may not be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES,INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN
NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING,
BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS
OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND
ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR
TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF
THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
[libtacplus]
Copyright (C) 1998, 2001, 2002, Juniper Networks, Inc.
All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ''AS IS'' AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS
BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT
OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR
BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE
OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN
IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
[tftp]
Copyright (C) 1983, 1993
The Regents of the University of California. All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
599
付録 B 謝辞(Acknowledgments)
3. All advertising materials mentioning features or use of this software must display the following acknowledgement:
This product includes software developed by the University of California, Berkeley and its contributors.
4. Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ''AS IS'' AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS
BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT
OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR
BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE
OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN
IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
[libfetch]
All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer in this position and unchanged.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
3. The name of the author may not be used to endorse or promote products derived from this software without specific prior written permission
THIS SOFTWARE IS PROVIDED BY THE AUTHOR ''AS IS'' AND ANY EXPRESS OR
IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT,
INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN
ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
POSSIBILITY OF SUCH DAMAGE.
[IPv6 DHCP]
Copyright (C) 1998-2004 WIDE Project.
All rights reserved.
600
付録 B 謝辞(Acknowledgments)
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
3. Neither the name of the project nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE PROJECT AND CONTRIBUTORS ``AS IS'' AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE PROJECT OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE
GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY
WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH DAMAGE.
[iides]
Internet Initiative Japan Inc.
Copyright (c) 1996 Internet Initiative Japan Inc.
All rights reserved.
1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
2. Redistribution with functional modification must include prominent notice stating how and when and by whom it is modified.
3. Redistributions in binary form have to be along with the source code or documentation which include above copyright notice, this list of conditions and the following disclaimer.
4. All commercial advertising materials mentioning features or use of this software must display the following acknowledgement:
This product includes software developed by Internet Initiative Japan Inc.
THIS SOFTWARE IS PROVIDED BY ``AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
[Net-SNMP]
CMU/UCD
601
付録 B 謝辞(Acknowledgments)
Copyright 1989, 1991, 1992 by Carnegie Mellon University
Derivative Work - 1996, 1998-2000
Copyright 1996, 1998-2000 The Regents of the University of California
All Rights Reserved
Permission to use, copy, modify and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appears in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU and The Regents of the University of
California not be used in advertising or publicity pertaining to distribution of the software without specific written permission.
CMU AND THE REGENTS OF THE UNIVERSITY OF CALIFORNIA DISCLAIM ALL
WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING ALL IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL CMU OR
THE REGENTS OF THE UNIVERSITY OF CALIFORNIA BE LIABLE FOR ANY SPECIAL,
INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER
RESULTING FROM THE LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION
OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR
IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
Networks Associates Technology, Inc
Copyright (c) 2001-2003, Networks Associates Technology, Inc
All rights reserved.
* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
* Neither the name of the Networks Associates Technology, Inc nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
HOLDERS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
Cambridge Broadband Ltd.
Portions of this code are copyright (c) 2001-2003, Cambridge Broadband Ltd.
All rights reserved.
* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
602
付録 B 謝辞(Acknowledgments)
* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
* The name of Cambridge Broadband Ltd. may not be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDER ``AS IS'' AND ANY
EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER BE
LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT
OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR
BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE
OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN
IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
Sun Microsystems, Inc.
Copyright (c) 2003 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara,
California 95054, U.S.A. All rights reserved.
Use is subject to license terms below.
This distribution may include materials developed by third parties.
Sun, Sun Microsystems, the Sun logo and Solaris are trademarks or registered trademarks of
Sun Microsystems, Inc. in the U.S. and other countries.
* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
* Neither the name of the Sun Microsystems, Inc. nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
HOLDERS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
Sparta, Inc
Copyright (c) 2003-2004, Sparta, Inc
All rights reserved.
* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
603
付録 B 謝辞(Acknowledgments)
* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
* Neither the name of Sparta, Inc nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
HOLDERS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
Cisco/BUPTNIC
Copyright (c) 2004, Cisco, Inc and Information Network
Center of Beijing University of Posts and Telecommunications.
All rights reserved.
* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
* Neither the name of Cisco, Inc, Beijing University of Posts and Telecommunications, nor the names of their contributors may be used to endorse or promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
HOLDERS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
Apache License Version 2.0
Apache License
Version 2.0, January 2004 http://www.apache.org/licenses/
TERMS AND CONDITIONS FOR USE, REPRODUCTION, AND DISTRIBUTION
1. Definitions.
604
付録 B 謝辞(Acknowledgments)
"License" shall mean the terms and conditions for use, reproduction, and distribution as defined by Sections 1 through 9 of this document.
"Licensor" shall mean the copyright owner or entity authorized by the copyright owner that is granting the License.
"Legal Entity" shall mean the union of the acting entity and all other entities that control, are controlled by, or are under common control with that entity. For the purposes of this definition, "control" means (i) the power, direct or indirect, to cause the direction or management of such entity, whether by contract or otherwise, or (ii) ownership of fifty percent (50%) or more of the outstanding shares, or (iii) beneficial ownership of such entity.
"You" (or "Your") shall mean an individual or Legal Entity exercising permissions granted by this License.
"Source" form shall mean the preferred form for making modifications, including but not limited to software source code, documentation source, and configuration files.
"Object" form shall mean any form resulting from mechanical transformation or translation of a Source form, including but not limited to compiled object code, generated documentation, and conversions to other media types.
"Work" shall mean the work of authorship, whether in Source or Object form, made available under the License, as indicated by a copyright notice that is included in or attached to the work (an example is provided in the Appendix below).
"Derivative Works" shall mean any work, whether in Source or Object form, that is based on
(or derived from) the Work and for which the editorial revisions, annotations, elaborations, or other modifications represent, as a whole, an original work of authorship. For the purposes of this License, Derivative Works shall not include works that remain separable from, or merely link (or bind by name) to the interfaces of, the Work and Derivative Works thereof.
"Contribution" shall mean any work of authorship, including the original version of the Work and any modifications or additions to that Work or Derivative Works thereof, that is intentionally submitted to Licensor for inclusion in the Work by the copyright owner or by an individual or Legal Entity authorized to submit on behalf of the copyright owner. For the purposes of this definition, "submitted" means any form of electronic, verbal, or written communication sent to the Licensor or its representatives, including but not limited to communication on electronic mailing lists, source code control systems, and issue tracking systems that are managed by, or on behalf of, the Licensor for the purpose of discussing and improving the Work, but excluding communication that is conspicuously marked or otherwise designated in writing by the copyright owner as "Not a Contribution."
"Contributor" shall mean Licensor and any individual or Legal Entity on behalf of whom a
Contribution has been received by Licensor and subsequently incorporated within the Work.
2. Grant of Copyright License. Subject to the terms and conditions of this License, each
Contributor hereby grants to You a perpetual, worldwide, non-exclusive, no-charge, royaltyfree, irrevocable copyright license to reproduce, prepare Derivative Works of, publicly display, publicly perform, sublicense, and distribute the Work and such Derivative Works in
Source or Object form.
3. Grant of Patent License. Subject to the terms and conditions of this License, each Contributor hereby grants to You a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable (except as stated in this section) patent license to make, have made, use, offer to sell, sell, import, and otherwise transfer the Work, where such license applies only to those patent claims licensable by such Contributor that are necessarily infringed by their
Contribution(s) alone or by combination of their Contribution(s) with the Work to which such
605
付録 B 謝辞(Acknowledgments)
Contribution(s) was submitted. If You institute patent litigation against any entity (including a cross-claim or counterclaim in a lawsuit) alleging that the Work or a Contribution incorporated within the Work constitutes direct or contributory patent infringement, then any patent licenses granted to You under this License for that Work shall terminate as of the date such litigation is filed.
4. Redistribution. You may reproduce and distribute copies of the Work or Derivative Works thereof in any medium, with or without modifications, and in Source or Object form, provided that You meet the following conditions:
(a) You must give any other recipients of the Work or Derivative Works a copy of this
License; and
(b) You must cause any modified files to carry prominent notices stating that You changed the files; and
(c) You must retain, in the Source form of any Derivative Works that You distribute, all copyright, patent, trademark, and attribution notices from the Source form of the Work, excluding those notices that do not pertain to any part of the Derivative
Works; and
(d) If the Work includes a "NOTICE" text file as part of its distribution, then any erivative Works that You distribute must include a readable copy of the attribution notices contained within such NOTICE file, excluding those notices that do not pertain to any part of the Derivative Works, in at least one of the following places: within a NOTICE text file distributed as part of the Derivative Works; within the
Source form or documentation, if provided along with the Derivative Works; or, within a display generated by the Derivative Works, if and wherever such third-party notices normally appear. The contents of the NOTICE file are for informational purposes only and do not modify the License. You may add Your own attribution notices within Derivative Works that You distribute, alongside or as an addendum to the NOTICE text from the Work, provided that such additional attribution notices cannot be construed as modifying the License.
You may add Your own copyright statement to Your modifications and may provide additional or different license terms and conditions for use, reproduction, or distribution of
Your modifications, or for any such Derivative Works as a whole, provided Your use, reproduction, and distribution of the Work otherwise complies with the conditions stated in this License.
5. Submission of Contributions. Unless You explicitly state otherwise, any Contribution intentionally submitted for inclusion in the Work by You to the Licensor shall be under the terms and conditions of this License, without any additional terms or conditions.
Notwithstanding the above, nothing herein shall supersede or modify the terms of any separate license agreement you may have executed with Licensor regarding such
Contributions.
6. Trademarks. This License does not grant permission to use the trade names, trademarks, service marks, or product names of the Licensor, except as required for reasonable and customary use in describing the origin of the Work and reproducing the content of the
NOTICE file.
7. Disclaimer of Warranty. Unless required by applicable law or agreed to in writing, Licensor provides the Work (and each Contributor provides its Contributions) on an "AS IS" BASIS,
606
付録 B 謝辞(Acknowledgments)
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied, including, without limitation, any warranties or conditions of TITLE, NON-INFRINGEMENT,
MERCHANTABILITY, or FITNESS FOR A PARTICULAR PURPOSE. You are solely responsible for determining the appropriateness of using or redistributing the Work and assume any risks associated with Your exercise of permissions under this License.
8. Limitation of Liability. In no event and under no legal theory, whether in tort (including negligence), contract, or otherwise, unless required by applicable law (such as deliberate and grossly negligent acts) or agreed to in writing, shall any Contributor be liable to You for damages, including any direct, indirect, special, incidental, or consequential damages of any character arising as a result of this License or out of the use or inability to use the Work
(including but not limited to damages for loss of goodwill, work stoppage, computer failure or malfunction, or any and all other commercial damages or losses), even if such Contributor has been advised of the possibility of such damages.
9. Accepting Warranty or Additional Liability. While redistributing the Work or Derivative
Works thereof, You may choose to offer, and charge a fee for, acceptance of support, warranty, indemnity, or other liability obligations and/or rights consistent with this License.
However, in accepting such obligations, You may act only on Your own behalf and on Your sole responsibility, not on behalf of any other Contributor, and only if You agree to indemnify, defend, and hold each Contributor harmless for any liability incurred by, or claims asserted against, such Contributor by reason of your accepting any such warranty or additional liability.
END OF TERMS AND CONDITIONS
APPENDIX: How to apply the Apache License to your work.
To apply the Apache License to your work, attach the following boilerplate notice, with the fields enclosed by brackets "[]" replaced with your own identifying information. (Don't include the brackets!) The text should be enclosed in the appropriate comment syntax for the file format. We also recommend that a file or class name and description of purpose be included on the same "printed page" as the copyright notice for easier identification within third-party archives.
Copyright [yyyy] [name of copyright owner]
Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License.
You may obtain a copy of the License at http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software distributed under the
License is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF
ANY KIND, either express or implied. See the License for the specific language governing permissions and limitations under the License.
607
索引
数字
10BASE-T/100BASE-TX/1000BASE-T 自動認識
10BASE-T/100BASE-TX/1000BASE-T 接続時の注
10BASE-T/100BASE-TX/1000BASE-T 接続仕様
B
C
D
I
IGMP snooping/MLD snooping 概要 561
IGMP snooping/MLD snooping 使用時の注意事項
IGMP snooping/MLD snooping の解説 559
IGMP snooping/MLD snooping の概要 560
IGMP snooping/MLD snooping の設定と運用 579
IGMP snooping および MLD snooping 概要 561
IGMP snooping のコンフィグレーションコマンド一
IGMP クエリア機能〔IGMP snooping〕 567
IGMP 即時離脱機能〔IGMP snooping〕 568
IPv4 マルチキャストアドレスと MAC アドレスの対
IPv4 マルチキャストパケットのレイヤ 2 中継〔IGMP
IPv6 マルチキャストアドレスと MAC アドレスの対
IPv6 マルチキャストパケットのレイヤ 2 中継〔MLD
IP アドレス制御方式〔IGMP snooping〕 565
L
L2 プロトコルフレーム透過機能のコンフィグレー
M
MAC VLAN のコンフィグレーションコマンド一覧
MAC アドレス学習のコンフィグレーションコマンド
MAC アドレス制御方式〔IGMP snooping〕 563
MAC アドレス制御方式〔MLD snooping〕 569
MAC アドレスの学習〔IGMP snooping〕 563
MLD snooping のコンフィグレーションコマンド一
P
609
索引
R
RADIUS/TACACS+に関するコンフィグレーション
Ring Protocol とスパニングツリー/GSRP の併用
Ring Protocol のコンフィグレーションコマンド一覧
T
V
VLAN debounce 機能のコンフィグレーションコマ
VLAN 基本機能のコンフィグレーションコマンド一
VLAN トンネリングのコンフィグレーションコマン
い
イーサネット共通のコンフィグレーションコマンド一
う
運用端末の接続とリモート操作に関する運用コマンド
運用端末の接続とリモート操作に関するコンフィグ
お
オートネゴシエーション〔10BASE-T/100BASE-TX/
か
き
こ
コマンド入力モードの切り換えおよびユーティリティ
コンフィグレーションコマンド一覧〔VLAN インタ
コンフィグレーションの編集および操作に関する運用
コンフィグレーションの編集および操作に関するコン
さ
サポート機能〔IGMP snooping/MLD snooping〕
し
時刻設定および NTP に関するコンフィグレーション
ジャンボフレームサポート機能〔1000BASE-X〕 292
ジャンボフレームサポート機能〔10BASE-T/
610
索引
ジャンボフレーム〔10BASE-T/100BASE-TX/
シングルスパニングツリーのコンフィグレーションコ
す
スパニングツリー共通機能のコンフィグレーションコ
スパニングツリー動作モードのコンフィグレーション
せ
接続インタフェース〔10BASE-T/100BASE-TX/
そ
装置を管理する上で必要なコンフィグレーションコマ
た
ダイレクトアタッチケーブル〔SFP/SFP+共用ポート〕
つ
て
伝送速度および,全二重および半二重モードごとの接
続仕様(SFP/SFP+共用ポートで 10BASE-T/
100BASE-TX/1000BASE-T 用 SFP を使用した場
伝送速度および,全二重および半二重モードごとの接
伝送速度および,全二重および半二重モードごとの接
伝送速度および,全二重および半二重モードごとの接
続仕様〔10BASE-T/100BASE-TX/1000BASE-T〕
伝送速度および,全二重および半二重モードごとの接
続仕様〔10BASE-T/100BASE-TX/1000BASE-T〕
と
に
認証方式シーケンス(end-by-reject 設定時) 194
認証方式シーケンス(end-by-reject 未設定時) 194
611
索引
ね
ネットワークの障害検出による高信頼化機能〔収容条
は
バックアップ・リストアに使用する運用コマンド一覧
ふ
プロトコル VLAN のコンフィグレーションコマンド
へ
ほ
ポート VLAN のコンフィグレーションコマンド一覧
ポート間中継遮断機能のコンフィグレーションコマン
ホスト名・DNS に関するコンフィグレーションコマン
ま
マルチキャストルータとの接続〔IGMP snooping〕
マルチキャストルータとの接続〔MLD snooping〕572
マルチキャストルーティングプロトコル〔収容条件〕
マルチプルスパニングツリーのコンフィグレーション
め
り
リモート運用端末からのログインを許可する IP アド
リンクアグリゲーション拡張機能のコンフィグレー
リンクアグリゲーション基本機能のコンフィグレー
る
れ
レイヤ 2 中継遮断機能のコンフィグレーションコマ
ろ
ログインセキュリティと RADIUS/TACACS+ 177
ログインセキュリティに関するコンフィグレーション
612
advertisement
* Your assessment is very important for improving the workof artificial intelligence, which forms the content of this project