ポートベースのトラフィック制御を使用した Catalyst 3550/3560 シリーズ スイッチの設定例
概要
このドキュメントでは、Catalyst 3550/3560 シリーズ スイッチにポートベースのトラフィック制御機能を設定し、確認する例を紹介します。具体的には、Catalyst 3550 スイッチにポートベースのトラフィック制御機能を設定する方法を説明します。
前提条件
要件
この設定を行う前に、以下の要件を満たしていることを確認してください。
-
Cisco Catalyst 3550/3560シリーズスイッチの設定に関する基本的な知識があること。
-
ポートベースのトラフィック制御機能に関する基本的な知識があること。
使用するコンポーネント
このドキュメントの情報は、Cisco Catalyst 3550 シリーズ スイッチに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
ポートベーストラフィック制御の概要
Catalyst 3550/3560スイッチは、さまざまな方法で実装可能なポートベースのトラフィック制御を提供します。
-
ストーム制御
-
保護ポート
-
ポートブロッキング
-
ポート セキュリティ
ストーム制御は、スイッチの物理インターフェイスの1つでブロードキャスト、マルチキャスト、またはユニキャストストームなどのトラフィックを防止します。LANストームと呼ばれるLAN内の過剰なトラフィックは、ネットワークパフォーマンスの低下を引き起こします。ネットワークパフォーマンスの低下を回避するために、ストーム制御を使用します。
ストーム制御は、インターフェイスを通過するパケットを監視し、パケットがユニキャスト、マルチキャスト、またはブロードキャストのいずれであるかを判断します。着信トラフィックのしきい値レベルを設定します。スイッチは、受信したパケットのタイプに従ってパケットの数をカウントします。ブロードキャストトラフィックとユニキャストトラフィックがインターフェイスのしきい値レベルを超えると、特定のタイプのトラフィックだけがブロックされます。マルチキャストトラフィックがインターフェイス上のしきい値レベルを超えると、そのトラフィックレベルがしきい値レベルを下回るまで、すべての着信トラフィックがブロックされます。storm-controlインターフェイス設定コマンドを使用して、インターフェイス上でトラフィック指定ストーム制御を設定します。
あるネイバーが別のネイバーによって生成されたトラフィックを参照してはならない場合に使用するスイッチ上で保護ポートを設定して、一部のアプリケーショントラフィックが同じスイッチ上のポート間で転送されないようにします。スイッチでは、保護ポートは他の保護ポートにトラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)を転送しませんが、保護ポートは保護されていないポートにトラフィックを転送できます。インターフェイスでswitchport protectedインターフェイス設定コマンドを使用して、レイヤ2のトラフィックを他の保護ポートから隔離します。
不明な宛先MACアドレスのトラフィック(ユニキャストおよびマルチキャスト)がスイッチ内のすべてのポートにフラッディングされると、セキュリティの問題が発生する可能性があります。未知のトラフィックが1つのポートから別のポートに転送されるのを防ぐには、未知のユニキャストまたはマルチキャストパケットをブロックするポートブロッキングを設定します。不明なトラフィックが転送されないようにするには、switchport blockインターフェイス設定コマンドを使用します。
ポートセキュリティを使用して、ポートへのアクセスが許可されているステーションのMACアドレスを特定することにより、インターフェイスへの入力を制限します。セキュアポートにセキュアMACアドレスを割り当て、定義済みアドレスグループ外の送信元アドレスを持つパケットがポートから転送されないようにします。インターフェイスでスティッキラーニング機能を使用して、ダイナミックMACアドレスをスティッキセキュアMACアドレスに変換するインターフェイスでポートセキュリティを設定するには、switchport port-securityインターフェイスコンフィギュレーションコマンドを使用します。
設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
ネットワーク図
このドキュメントでは、次のネットワーク セットアップを使用します。
コンフィギュレーション
このドキュメントでは次の設定を使用しています。
| Catalyst 3550 スイッチ |
|---|
Switch#configure terminal Switch(config)#interface fastethernet0/3 !--- Configure the Storm control with threshold level. Switch(config-if)#storm-control unicast level 85 70 Switch(config-if)#storm-control broadcast level 30 !--- Configure the port as Protected port. Switch(config-if)#switchport protected !--- Configure the port to block the multicast traffic. Switch(config-if)#switchport block multicast !--- Configure the port security. Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security !--- set maximum allowed secure MAC addresses. Switch(config-if)#switchport port-security maximum 30 !--- Enable sticky learning on the port. Switch(config-if)#switchport port-security mac-address sticky !--- To save the configurations in the device. switch(config)#copy running-config startup-config Switch(config)#exit |
確認
このセクションでは、設定が正常に動作していることを確認します。
Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
エントリを確認するには、show interfaces [interface-id] switchportコマンドを使用します。
例:
Switch#show interfaces fastEthernet 0/3 switchport Name: Fa0/3 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: true Unknown unicast blocked: disabled Unknown multicast blocked: enabled Appliance trust: none
show storm-control [interface-id] [broadcast |マルチキャスト | unicast]コマンドを発行して、指定したトラフィックタイプのインターフェイスに設定されているストーム制御抑制レベルを確認します。
例:
Switch#show storm-control fastEthernet 0/3 unicast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 Forwarding 85.00% 70.00% 0.00% Switch#show storm-control fastEthernet 0/3 broadcast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 Forwarding 30.00% 30.00% 0.00% Switch#show storm-control fastEthernet 0/3 multicast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 inactive 100.00% 100.00% N/A
指定したインターフェイスのポートセキュリティ設定を確認するには、show port-security [interface interface-id]コマンドを使用します。
例:
Switch#show port-security interface fastEthernet 0/3 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 30 Total MAC Addresses : 4 Configured MAC Addresses : 0 Sticky MAC Addresses : 4 Last Source Address : 0012.0077.2940 Security Violation Count : 0
show port-security [interface interface-id] address コマンドを使用して、指定したインターフェイスに設定されているすべてのセキュアMACアドレスを確認します。
例:
Switch#show port-security interface fastEthernet 0/3 address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 000d.65c3.0a20 SecureSticky Fa0/3 -
1 0011.212c.0e40 SecureSticky Fa0/3 -
1 0011.212c.0e41 SecureSticky Fa0/3 -
1 0012.0077.2940 SecureSticky Fa0/3 -
-------------------------------------------------------------------
Total Addresses: 4
フィードバック