ネットワークスイッチ 構築実践（講義） ②STP・RSTP・PortSecurity・ StormControl・SPAN・Stacking編

本スライドは、NTTソフトウェア社内技術者育成研修（ソフト道場研修）テキストです。 【著作権・免責事項】 • 本セミナーコースの内容、本資料のすべての著作権は、NTTソフトウェア株式会社に帰属します。 • 無断での本資料の複写、複製、再利用、転載、転用を禁じます。 • 本資料と演習等で利用するすべての教材は、NTTソフトウェア株式会社からの保証なしに提供されます。 • 本書に記載されている会社名および製品名は、一般に各社の商標または登録商標です。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 2 ※ 演習問題に関するスライドは、本ファイルには含まれておりません。ご了承ください。

カリキュラム 時間 研修内容 10:00 10:30 ◆Cisco IOSの概要（復習） Cisco IOSのモードの説明、基本的なコマンドの理解 ◆VLAN（復習） VLANの基本、VLANの設定 演習１ 12:00 昼食 13:00 15:00 16:00 17:30 ◆VLAN（続き） VTPの基本、VTPの設定 ◆LinkAggregation LinkAggregationの基本、LinkAggregationの設定 ◆STP STPの基本、STPの設定 終了 演習２、３ 演習４ 演習５ ～１日目～ ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 3

カリキュラム 時間 研修内容 9:30 10:00 11:00 ◆RSTP RSTPの基本、RSTPの設定 ◆PortSecurity PortSecurityの基本、PortSecurityの設定 ◆StormControl storm-controlの基本、storm-controlの設定 演習６ 演習７ 演習８ 12:00 昼食 13:00 14:00 14:30 17:30 ◆SPAN SPANの基本、SPANの設定 ◆Stacking Stackingの基本 ◆総合演習 ◆研修環境clean up ◆アンケート記入 終了 演習９ 演習１０、１１ ～２日目～ ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 4

STP ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 5

Switchの冗長構成を取りたい場合 LinkAggregationではリンクの冗長であったが、Switch自体の冗長構成を取りたい。 単純に考えて以下のような構成であれば、どのSwitchが故障しても通信が継続できそう。 NIC Teamingに よるホストのリン ク冗長化 NIC Teamingに よるホストのリン ク冗長化 どれか一台のSwitchが故障しても 経路が冗長化されているため通信 を継続できそうな気がする・・・ ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 6

Switchの冗長構成を取りたい場合 しかし、よくよく考えてみるとLoop構成となっているため、このような構成を取ることが出来ない？ NIC Teamingに よるホストのリン ク冗長化 NIC Teamingに よるホストのリン ク冗長化 Loopが発生して通信できなくなる！ ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 7

Switchの冗長構成を取りたい場合 この問題を解決するのがSTPという技術。 例えば、下図でどこか一つのリンクが切れていると想定すればLoopにはならない。 NIC Teamingに よるホストのリン ク冗長化 NIC Teamingに よるホストのリン ク冗長化 ここのリンクが切れているとすれば、 Loop構成にはならず通信が可能 ⇒物理的にリンクが接続されていても、STPにより仮想的にリンクをダウンさせることにより 非ループな構成とすることにより通信を行うことが出来る。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 8

使用しているリンクが切れた場合 以下のようにSTPを構成していたが、使用しているリンクで障害が発生したらどうなるか？ NIC Teamingに よるホストのリン ク冗長化 NIC Teamingに よるホストのリン ク冗長化 STPの機能で、このリンクが仮想的 に切れている状態 このままでは左右のホスト間で通信を行うことが出来ない。 障害発生により このリンクが切れた ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 9

使用しているリンクが切れた場合 STPはリンク断を検知し、仮想的にリンクダウンされていたリンクを接続する NIC Teamingに よるホストのリン ク冗長化 NIC Teamingに よるホストのリン ク冗長化 リンク断の状態から、接続状態 に移行する ⇒これにより通信を継続することが可能となる 障害発生により このリンクが切れた ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 10

STPとは ～STP（Spanning Tree Protocol）～ IEEE802.1Dで標準化されたL2レベルでのループ回避技術。 STA（Spanning Tree Algorithm）を利用し、自動的にループ構成となるスイッチのポートの中 から、とあるポートを選択してブロック状態（仮想的なダウン状態）にする。 この動作によりループを防ぐことが出来る。 また、Switchもしくはブロックされている以外のポートで障害が発生した場合には、ブロック 状態のポートがフォワーディング状態（通信を行える状態）に移行することにより、通信を継続 することが可能となる。 ～BPDU～ STPの動作を制御するプロトコル。 STPが有効になっているSwitch間でやり取りを行い、STAでの計算結果をもとに各ポート の状態を遷移させ、最終的にコンバージェンス状態にする。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 11

STPとは ～スイッチの役割～ STPのスイッチ役割は２種類あり、それぞれの役割は以下のとおり。 スイッチの役割 役割説明 ルートブリッジ • スパニングツリーを構成する際に、ツリーの中心となるスイッチ • ルートブリッジに選出されるのは、スパニングツリーを構成する中 で１台のみ • スイッチが保持する、ブリッジIDが最少のものが選択される 非ルートブリッジ • ルートブリッジに選出されなかったスイッチ全て ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 12

STPとは ～ポートの役割～ STPのポート役割は３種類あり、それぞれの役割は以下のとおり。 ポートの役割 状態説明 ルートポート • RP(Root Port)と表記 • 非ルートブリッジごとに１ポートずつ選出される • ルートブリッジに（パスコスト的に）最も近いポート 指定ポート • DP（Designated Port）と表記 • 各リンクごとに１ポート選出される • ルートブリッジに（パスコスト的に）最も近いポート 非指定ポート • NDP（Non Degsinated Port）と表記 • ルートポートと指定ポートに選出されなかったポート • これがBlockingポートとなり、通信を行わないポートになり、ループ構 成を回避する ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 13

STPとは ～ポートの状態～ STPのポートの状態は５種類あり、それぞれの役割は以下のとおり。 ポートの状態 状態説明 遷移時間 Disable • 管理者により明示的にshutdownされている状態 • 通信を一切転送しない ― Blocking • データ転送を行わずBPDUのみ受信可能な状態 • 全てのポートはBlocking状態から状態遷移を開始する （Disableは除く） ― Listening • データ転送を行わずBPDUの送受信のみ可能な状態 • BPDUを送受信し合い、ルートブリッジ・ルートポート・指 定ポートの選出を行っている状態 20秒 Learning • データ転送を行わずBPDUの送受信のみ可能な状態 • 受信したフレームのMACアドレスを学習する 15秒 Forwarding • データ転送が可能な状態 • ルートポートまたは指定ポートになった状態 15秒 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 14

STPとは ～ポートの状態遷移図～ ①Blocking ②Listening ③Learning ④Forwarding 最大15秒 最大20秒 最大15秒 STPを動作させているSwitchにて、最初の電源投入時とBlockingポート以外での リンクダウン時には、通信可能となるまで最大50秒必要となる。 ～Portfast～ Switch同士を接続する場合には、上記のステータスを経てForwarding/Blocking状態に なるべきだが、接続先がホスト（PC）である場合にはForwardingにならなければならない。 しかし、PCを接続する場合にでも通信可能となるまでに50秒待たなければならない。 この問題を解決するため、ホストを接続するポートにportfast設定を投入することにより Blocking状態からすぐにForwarding状態になることにより、即座に通信可能とする設定。 （もちろんスイッチ間接続のポートに投入してはダメ） ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 15

スパニングツリーの設定 ～スパニングツリーの有効化～ Switch(config)# spanning-tree vlan ～プライオリティ値の変更～ Switch(config)# spanning-tree vlan priority <プライオリティ値> ※プライオリティ値は“0”から“61440”までの範囲で、”4096”の倍数値となるよう設定する。 ※デフォルトは”32768”である。 明示的にプライオリティ値を設定せず、他のスイッチがデフォルト値であることを前提に、 自身がルートブリッジになるようにプライオリティ値を下げることも出来る。 Switch(config)# spanning-tree vlan root primary ※primaryを指定すると“24576”または現在のルートブリッジ値から”-4096”した値が 設定される。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 16

スパニングツリーの設定 ～ポートコストの変更～ ポートコストのデフォルト値は以下のようになっている。 リンク速度 コスト 10Gbps 2 1Gbps 4 100Mbps 19 10Mbps 100 ※古いスイッチの場合、以下の値が デフォルト値となっている。 コスト＝1000÷帯域幅(Mbps) デフォルト値が異なるスイッチが混在すると、意図しないスパニングツリーの計算が行われて しまうため、混在しないように注意する。なお、混在してしまう場合でも、以下のコマンドを用いて 手動でコスト値を設定することが出来る。 Switch(config-if)# spanning-tree vlan cost <コスト値> ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 17

スパニングツリーの設定 ～スパニングツリーの拡張機能（Portfast）～ Switch(config-if)# spanning-tree portfast ※トランクポート以外の全てにPortfastを設定する場合は、グローバルコンフィギュレーション モードにて、defaultを追加したコマンドを投入する。 Switch(config)# spanning-tree portfast default ～スパニングツリーの拡張機能（BPDUガード）～ Switch(config)# spanning-tree portfast bpduguard ※インタフェース単位で投入することも出来る。 Switch(config-if)# spanning-tree bpduguard enable ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 18

スパニングツリーの設定 ～スパニングツリーの拡張機能（BPDUフィルタ）～ Switch(config)# spanning-tree portfast bpdufilter default ※スイッチ全体で有効となる。Portfastが設定されたインタフェースでBPDUを受信した場合、 PortfastおよびBPDUフィルタ機能は無効となる。（BPDUの送信を行うようになる） Switch(config-if)# spanning-tree bpdufilter enable ※Portfastの設定が必須ではない。BPDUを受信してもBPDUフィルタ機能は有効である。 （BPDUの送信は行わない） ループが発生する可能性があるため、設定する際には注意が必要である。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 19

スパニングツリーの確認 ～スパニングツリー情報の確認～ Switch# show spanning-tree [vlan-id] VLAN1000 Spanning tree enabled protocol ieee Root ID Priority 33768 Address 0000.0000.0000 Cost 19 Port 2 (FastEthernet0/2) [省略] Bridge ID Priority 33768 (priority 32768 sys-id-ext 1000) [省略] Interface Role Sts Cost Prio.Nbr Type ------------------- ------- ------ --------- ------------ -------------------------------- Fa0/1 Desg FWD 19 128.1 P2p Edge Fa0/2 Root FWD 19 128.2 P2p Fa0/3 Altn BLK 19 128.3 P2p Fa0/7 Desg FWD 19 128.7 P2p ルートブリッジの場合、この位置に 「This bridge is the root 」と表示される。 ブリッジプライオリティ（プライオリティ値+VLANID） show spanning-tree summaryコマンドで サマリ表示することも可能。 Role：ポートの役割 Sts:ポートの状態 Cost：ポートのコスト Prio：ポートのプライオリティ を示す。 portfastを設定したインタフェースの 場合「Edge」と表示される。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 20

RSTP ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 21

STPの問題点 STPの問題点、それはコンバージェンスするまでに50秒もの時間を要すること。 現在求められているような高可用性、高トラフィックのようなネットワークでは50秒という時間は 長すぎる。 それを解決するため、コンバージェンス時間を短縮したSTPをRSTP（Rapid STP）という。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 22

RSTPとは ～RSTP（Rapid Spanning Tree Protocol）～ IEEE802.1Wで標準化されたL2レベルでのループ回避技術。 STPはコンバージェンスにデフォルト50秒必要であったが、RSTPでは数秒以内で 高速コンバージェンスすることが可能。 ～RSTPのポートの状態～ RSTPではポートの状態を簡略化し、以下の３種類がある。 ポートの状態 状態説明 Discarding • STPでのBlocking、Listening,Disableを統合したもの （通信を転送しない状態という観点でまとめた） Learning • STPのLearningと同様 Forwarding • STPのForwardingと同様 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 23

RSTPとは ～RSTPのポートの役割～ RSTPではポートの状態を簡略化し、以下の４種類がある。 ポートの役割 状態説明 ルートポート • RP(Root Port)と表記 • 非ルートブリッジごとに１ポートずつ選出される • ルートブリッジに（パスコスト的に）最も近いポート 指定ポート • DP（Designated Port）と表記 • 各リンクごとに１ポート選出される • ルートブリッジに（パスコスト的に）最も近いポート 代替ポート • AP（Alternate Port）と表記 • ルートポートのバックアップとなるポート • ルートポートがダウンした場合に、即座にルートポートに昇格して通信 を継続する バックアップポート • BP（Backup Port）と表記 • 指定ポートのバックアップとなるポート • 指定ポートがダウンした場合に、即座に指定ポートに昇格して通信を 継続する ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 24

RSTPの動作 今回、RSTPの動作説明については講義時間の関係上、割愛させていただきます。 興味のある方は後日、書籍などで学習してください。 なお演習ではSTPとRSTPの両者を設定し、コンバージェンスの比較を行うのでその点について 留意しておいてください。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 25

RSTPの設定 ～RSTPの有効化～ Switch(config)# spanning-tree mode rapid-pvst ※プライオリティ値の変更等、STPで説明したコマンドは、RSTPでも同様に設定することが できる。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 26

RSTPの確認 ～RSTP情報の確認～ Switch# show spanning-tree [vlan-id] VLAN1000 Spanning tree enabled protocol rstp Root ID Priority 33768 Address 0000.0000.0000 Cost 19 Port 2 (FastEthernet0/2) [省略] Bridge ID Priority 33768 (priority 32768 sys-id-ext 1000) [省略] Interface Role Sts Cost Prio.Nbr Type ------------------- ------- ------ --------- ------------ -------------------------------- Fa0/1 Desg FWD 19 128.1 P2p Edge Fa0/2 Root FWD 19 128.2 P2p Fa0/3 Altn BLK 19 128.3 P2p Fa0/7 Desg FWD 19 128.7 P2p ルートブリッジの場合、この位置に 「This bridge is the root 」と表示される。 ブリッジプライオリティ（プライオリティ値+VLANID） show spanning-tree summaryコマンドで サマリ表示することも可能。 Role：ポートの役割 Sts:ポートの状態 Cost：ポートのコスト Prio：ポートのプライオリティ を示す。 portfastを設定したインタフェースの 場合「Edge」と表示される。 RSTPを設定した場合、「rstp 」と表示される。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 27

Port Security ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 28

管理対象のNWにむやみやたらにPCを接続したくない 許可された端末だけをNWに接続したい。 接続を許可されている端末だけをNWに接続したい （許可されていない端末はNWに接続させない） ⇒NWに接続が許可されていない端末から物理的に接続（LANケーブルで接続）されても、 Switchで制限をかけることにより接続制限することが可能 接続を許可された 端末 接続を許可された 端末 接続を許可されて いない端末 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 29

接続許可端末のMACアドレスを事前に登録しておく 端末を制限する方法としては、機器固有に保持しているMACアドレスをキーとして制限する。 事前に接続許可対象のMACアドレスを登録しておく 接続許可MAC aaaa:bbbb:cccc、dddd:eeee:ffff ⇒事前登録されていないMACアドレスを持つ端末は、物理的に接続されてもSwitchでNWに 接続できない 接続を許可された端末 MAC：aaaa:bbbb:cccc 接続を許可された端末 MAC：dddd:eeee:ffff 接続を許可されていない 端末 MAC：gggg:hhhh:iiii ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 30

Swich配下でのカスケード防止（１） Switch配下に、SwitchやHUBなどを接続してカスケード構成を取らせたくない ⇒NW管理者が意図していない箇所でSwitch配下にSwitchを接続されて接続端末が多くなることや 結線誤りによりLoopが発生したりすることがある。 セキュリティの観点上、Switch配下にSwitchやHUB などを接続させたくない。 （一つのポートに複数機器を接続させたくない） ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 31

Swich配下でのカスケード防止（２） Switchのポートに、「ここに接続できるMACアドレスは＊個まで」というような制限を行う。 ポートに対して、「ポートに紐付けられるMACアドレス の最大数は２個」などの個数制限を設定する。 ⇒ポートに紐付け可能なMACアドレス上限数を設定することにより、SwitchやHUBのカスケード 接続を防止する。 最初に接続した 端末 ２番目に接続された 端末 ３番目に接続された 端末 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 32

PortSecurityとは ～PortSecurity～ Switchのポートに接続する機器（サーバ、ルータなど）をMACアドレスベースで制限をする ことにより、NWへの接続制限を行う機能。 一般的にCisco Catalystのスイッチポートが使用される。 ～セキュリティ違反を検知した際の動作～ セキュリティ違反を検知した際に定義できる動作は３つある。 ・protect：非登録のMACアドレスからの通信を破棄する。ただしSNMP Trap、Syslogでの 通知は行われない。 ・restrict：非登録のMACアドレスからの通信を破棄し、SNMP Trap、Syslog通知を行う。 ・shutdown：非登録のMACアドレスからの通信を破棄し、Switchのポートを閉じる。 （shutdownではなく、errdisable状態となる。復旧させるには一度shutdown→ no shutdownしなければならない） ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 33

ポートセキュリティの設定 ～ポートセキュリティの有効化～ Switch(config-if)# switchport port-security ※アクセスポートにのみ設定可能である。 ～セキュアMACアドレスの設定～ スタティックにセキュアMACアドレスを登録する場合は、以下のコマンドを投入する。 Switch(config-if)# switchport port-security mac-address ダイナミックにセキュアMACアドレスを登録する場合は、特にコマンドは不要である。 登録できる上限まで、受信したフレームの送信元MACアドレスを登録する。 ただし、スイッチを再起動すると登録されたセキュアMACアドレスが消えてしまう。 以下の設定を行うことで、登録されたセキュアMACアドレスをrunning-configに反映すること が出来るため、startup-configに保存すれば再起動しても登録されたセキュアMACアドレス が消えることはない。 Switch(config-if)# switchport port-security mac-address sticky ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 34

ポートセキュリティの設定 ～バイオレーションモードの設定～ Switch(config-if)# switchport port-security violation {shutdown | restrict | protect} ～セキュアMACアドレスの上限設定～ Switch(config-if)# switchport port-security maximum <上限値> ※デフォルトは”1”である。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 35

ポートセキュリティの確認 ～ポートセキュリティの確認～ Switch# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------------------------------------------- Fa0/1 1 1 0 Shutdown --------------------------------------------------------------------------------------------------------------- [省略] Switch# show port-security interface <インタフェース名> Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown [省略] Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 [省略] セキュリティ違反時の アクションを示す。 ポート状態を示す。 セキュリティ違反時の アクションを示す。 許可されるMACアドレス の上限を示す。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 36

ポートセキュリティの確認 ～登録されたMACアドレスの確認～ Switch# show port-security address Secure Mac Address Table ---------------------------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ------- ---------------------- ---- ------- -------------------- 1000 5254.0002.3a6e SecureConfigured Fa0/1 - ---------------------------------------------------------------------------------------------- 登録されたMACアドレスを示す。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 37

Storm Control ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 38

STPを設定しない構成で、万が一ループが発生したら 何かしらの理由により、LoopFreeと思われていたNWでLoopが発生したら・・・ 当初設計では絶対に接続されることが無い前提で、 STPを設定しないNWであったが、何かしらの理由に よりこのリンクが接続されてしまった。 ⇒STPを設定していないと、Loopが発生したら永遠にBroadcastStormが発生し続けることになる。 そうなるとNWがダウンし、サービス停止にまで発展する。 原因のリンクを抜くだけではなく、最悪、サーバを含む各機器リブートなどの対処が必要になる。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 39

STPを設定しない構成で、万が一ループが発生しても問題ないようにしたい LoopによるBroadcastStormを検知して自動的にポートを閉じる機能を利用する。 ①リンクが接続されて しまった。 ⇒BroadcastStorm発生を検知して、自動的にポートをshutdownすることにより、LoopFreeな構成を 維持することにより通信を継続させる。 ②BroadcastStormを検知して、 自動的にポートを閉じる ③LoopFreeな構成になるため 継続して通信が可能 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 40

Storm-Controlとは ～Storm-Control～ ユニキャスト・マルチキャスト・ブロードキャストのストームを防ぐことが出来る機能。 物理ポート単位に通信量の閾値設定を行い、そのポートを通過した通信量が閾値を超えると 以後の通信を遮断する動作を行う。 閾値は上限と下限を設定することが可能であり、通信量が上限閾値を超えた場合には 以後の通信を制限して下限を下回るまでは通信させない。 上限閾値のみの設定の場合は、下限閾値と同じものを設定することとなり閾値を下回ると 通信をさせることとなる。 ストームを検知した場合の動作は、SNMP Trap通知 or ポートshutdownを選択可能である。 shutdownを指定した場合には、通信が下限閾値を下回っても遮断したままの動作となる。 再度通信を行うためにはポートを明示的に shutdown → no shutdownする必要がある。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 41

Storm-Controlの設定 ～Storm-Controlの設定～ Switch(config-if)# storm-control {broadcast | multicast | unicast} {level [level-low] | bps [bps-low] | pps [pps]} ※ブロードキャスト、マルチキャスト、ユニキャストのいずれかを指定する。 ※しきい値の設定は以下の3種類から選択する。 level ： 帯域幅の割合(%)で指定する。 bps ： ビットレートで指定する。 pps ： 1秒あたりのパケット数で指定する。 ※下限値を指定しない場合は上限値と同じ値が設定されたとみなす。 ～しきい値を超えたときの動作設定～ Switch(config-if)# storm-control action {shutdown | trap} ※デフォルトでは、しきい値を超えると、トラフィックの転送をブロックする。 ※shutdownを指定した場合、しきい値を超えると、ポートをエラーディセーブルにする。 ※trapを指定した場合、しきい値を超えると、SNMPマネージャにTRAPメッセージを送信する。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 42

Storm-Controlの確認 ～ Storm-Controlの確認～ Switch# show storm-control [broadcast|multicast|unicast] Interface Filter State Upper Lower Current ------------ ------------------ ---------- --------- ---------- Fa0/2 Forwarding 20 pps 10 pps 5 pps ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 43

SPAN ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 44

障害発生時などで通信経路途中でキャプチャを取得したい 通常は間にHUBを挿入して、キャプチャを取得する ⇒HUBを挿入するために、一度リンクを切らなければならない。 サービス提供中のNWを落とすことになるので通常は許容されない。 （別途システム停止時間を設定して実施するなどの調整が必要となる） ここでキャプチャ したい キャプチャ端末 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 45

NWを落とさずにキャプチャ取得するためには 中継Switchで、SPANポートを作成することによりキャプチャが可能となる。 ⇒Switchの空いているポートに設定を入れるだけなので、サービスを停止することなくキャプチャ 取得が可能となる。 ここでキャプチャ したい キャプチャ端末 WANに接続されたポート と同じ信号を出す ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 46

SPANとは ～SPAN（Switch Port ANalyzer）～ Switch上でパケットキャプチャを行うための、ポートミラーリング機能。 特定のポートを流れる通信と全く同じものをコピーし、任意に指定したポートに流すことが可能。 例：Fa0/1で送受信している内容を、全く関係のないFa0/24にコピーして流す VLAN 10で送受信されている内容を、全く関係のないGi0/1にコピーして流す 基本的にミラーリング先のポートは、使用していない空いているポートを利用する。 （もし既存で何かしらの通信で利用しているポートを指定した場合には、障害になる可能性が 非常に高くなる） キャプチャする装置・ソフトウェアは特に問わないが、一般的にはWindowsでWiresharkを 利用する。（linuxのtcpdumpでも可能だが、設定に手間がかかる） ※キャプチャする通信量によるが、一般的にはできるだけハイスペックなCPU、NICを搭載 したPCを用意するのが望ましい。通信量が多くなるとキャプチャしきれずに取りこぼすことが 多くなるため。（キャプチャ専用機器もあるので予算次第で利用するのもあり） ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 47

SPANの設定 ～モニター（監視）する対象の設定～ Switch(config)# monitor session source {interface | vlan } [, | -] {both | rx | tx} ※ポート番号またはVLAN番号を指定する。 ※複数設定する場合は、”,”または”-”を用いて指定する。 ※監視するトラフィック（送信と受信両方か、それともどちらかだけか）を指定する。 ～ミラーリングするポートの設定～ Switch(config)# monitor session destination interface [, | -] [encapsulation {dot1q | replicate}] ※セッション番号は、送信元設定のセッション番号と同じにする。 ※宛先インタフェースでIEEE802.1Qカプセル化方式を使用する場合は、 ”encapsulation dot1q”を入力する。 ※”encapsulation replicate”を指定した場合、モニターするポートのカプセル化方式を ミラーリングするポートで複製する。（元のカプセル化ヘッダを伝送する） 指定しない場合（デフォルト）は、ネイティブ形式（タグなし）で送信される。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 48

SPANの確認 ～SPANの確認～ Switch# show monitor session <セッション番号> Session 1 --------- Type : Local Session Source Ports : Both : Fa0/7 Destination Ports : Fa0/1 Encapsulation : Native Ingress : Disabled ミラーリング対象のパケットの方向を示す。 ミラーリング対象のインタフェース名を示す。 ミラーリング先のインタフェース名を示す。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 49

（参考） Stacking ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 50

Stackingとは 専用のケーブルを使用することにより、複数台のSwitchを論理的に１台として利用する方法 ⇒スタックケーブルを利用することにより、論理的に１台となるため、configも一つになる interfaceは一台目がfa0/1～fa0/24、二台目がfa1/1～fa1/24となる。 通常LANケーブルで接続し、 Trunk接続などで機器冗長化を実現する ⇒２台ともにconfigが必要 スタックケーブルを使用して、複数台一 台として機器冗長化を実現する ⇒configは１台に投入するだけ ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 51

Stackingとは スタックケーブルは、Loopになるように接続する。 ⇒スタックは全てのSwitchが構成可能なわけではなく、機器の種類、グレードによるため 要件に応じてベンダに相談するとベター ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 52

参考情報（役に立つコマンド） ～--More-- を非表示にする ～ Switch# terminal length 0 ～ソフトウェアバージョンやハードウェアの基本情報を表示する～ Switch# show version ～ハードウェア情報を表示する（IOS12.3(4)Tから提供されたコマンド）～ Switch# show inventory ～シスコのサポート（TAC）に解析依頼する際の情報を出力する～ Switch# show tech-support ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 53

参考情報（役に立つコマンド） ～拡張ping ～ Switch# ping ～拡張traceroute～ Switch# traceroute ～ログ確認～ Switch# show logging ～CPU使用率の確認～ Switch# show process cpu ～メモリ使用率の確認～ Switch# show process memory ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 54

参考情報（シスコ技術者認定） http://www.cisco.com/web/JP/learning/certifications/index.html 5つの認定レベル エントリーレベルから、アソシエイト、プロフェッショナル、エキスパート（CCIE / CCDE）、 最上級レベルのアーキテクトまで、5つのレベルで構成されています。 10の分野 ルーティング & スイッチング、ネットワーク セキュリティ、サービス プロバイダといった分野 （コース）が複数用意されており、それぞれの職務分担や業界にとって適切な認定試験を 受けることができます。 CCENT CCNA CCNP CCIE エントリーレベル アソシエイト プロフェッショナル エキスパート アーキテクト ※ルーティング＆スイッチングの場合を 示す。 アーキテクトレベルはデザイン分野 のみとなる。 今回の研修レベル ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 55

参考資料 ・ネットワークエンジニアとして http://www.infraexpert.com/ （各技術説明が図解入りで詳細に記載されています） ・CCStudy http://www.ccstudy.org/ （サンプルコンフィグが充実しています） ・Cisco.com http://www.cisco.com/web/JP/index.html （技術キーワードからサンプルコンフィグなどを参照する） ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 56

https://www.ntts.co.jp/products/soft_dojyo/index.html