2.Catalystスイッチの設定とVLAN

CatalystやVLANに関する設定方法

2.1. Catalystスイッチ基本設定

2.1.1. スイッチへのIPアドレスの設定

スイッチにも管理目的のためにIPアドレスを設定可能。 スイッチにIPアドレスを設定するのは以下の理由より。

  • リモート(SSHなど)からスイッチの設定を行うため
  • VSMよりブラウザからスイッチの設定を行うため
  • SNMPプロトコルによるスイッチ管理のため

IPアドレスの設定

スイッチへのIPアドレスの設定は以下コマンドで行える。 スイッチでは管理VLAN(デフォルトでは1)にIPアドレスは設定することになる。

(config)#interface vlan 1
(config-if)#ip address <IPアドレス> <サブネットマスク>
(config-if)#no shutdown

デフォルトゲートウェイの設定

スイッチへのデフォルトゲートウェイ設定は以下コマンドで実行可能。

(config)#ip default-gateway <デフォルトゲートウェイのIPアドレス>

2.1.2. MACアドレステーブルの管理

MACアドレステーブルの確認

MACアドレステーブルの確認は以下コマンドで行う。

show mac-address-table

静的MACアドレスの追加

静的MACアドレスのテーブルへの追加は以下コマンドで行う。

(config)#mac-address-table static <MACアドレス> vlan <VLAN番号> interface <ポート>

2.1.3. ポートセキュリティの設定

Catalystスイッチはポートセキュリティ機能がある。 これはハッキングなどによる情報漏洩を防ぐために使用できる。 具体的にはあらかじめ許可したMACアドレス以外のMACアドレスを持つホストのフレームを遮断する

静的ポートセキュリティの設定

静的(スタティック)にポートセキュリティの設定を行う場合以下手順で行える。

  1. ポートセキュリティを設定するインターフェイスをアクセスポートに設定する
  2. ポートセキュリティの有効化
  3. 最大MACアドレスを設定する
  4. 許可するMACアドレスを登録する
  5. バイオレーションモード(不正なMACアドレスホスト接続時の動作)の設定
  6. ポートセキュリティの設定の確認

コマンド例は以下の通り。

(config)#inyterface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security maximum <最大MACアドレス数>
(config-if)#switchport port-security mac-address <接続許可するMACアドレス>
(config-if)#exit
(config)#switch port-security violation <protect | restrict | shutdown>
(config)#exit
show port-security

なおswitch port-security violation <protect | restict | shutdown>はバイオレーションモードの設定箇所で各挙動は以下の通り。

  • protect … 不正なMACアドレスのフレームは破棄する
  • restrict … protectの機能+SNMPによる通知が可能
  • shutdown … インターフェイスをerr-diabledにして無効化する+SNMPによる通知が可能

動的ポートセキュリティの設定

動的(ダイナミック)にポートセキュリティの設定を行う場合以下手順で行える。

  1. ポートセキュリティを設定するインターフェイスをアクセスポートに設定する
  2. ポートセキュリティの有効化
  3. 最大MACアドレスを設定する
  4. スティキーラーニングの有効化
  5. バイオレーションモード(不正なMACアドレスホスト接続時の動作)の設定
  6. ポートセキュリティの設定の確認

コマンド例は以下の通り。

(config)#inyterface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security maximum <MACアドレス数>
(config-if)#switchport port-security mac-address sticky
(config-if)#exit
(config)#switch port-security violation <protect | restrict | shutdown>
(config)#exit
show port-security

ポートセキュリティにより無効された場合の復旧手順

原因を改善後に以下コマンドを行うことで復旧が可能。

(config)#inyterface fastEthernet <ポート番号>
(config-if)#shutdown
(config-if)#no shutdown

2.2. VLANの設定

2.2.1. VLANの作成と確認

VLANの確認

show vlan

VLANの作成/削除

(config)#vlan <VLAN番号>
(config)#no vlan <VLAN番号>

2.2.2. VLANへのポート割り当て

Access port

(config)#interface fastEthernet <ポート番号>
(config-if)#switchport mode access
(config-if)#switchport access vlan <VLAN番号>

Trunk port

(config)#interface fastEthernet <ポート番号>
(config-if)#switchport mode trunk

2.3. VLAN間ルーティング

VLAN間ルーティングは異なるVLAN同士の通信を実現するために使われる。 VLAN間ルーティングの接続手法は2つある。

  • VLANの数だけ複数のポートで接続 … VLAN非対応ルータでこちらを使用
  • トランクポートを使用して1つのポートで接続 … 上記以外はコチラ

2.3.1. トランクポートを使用したVLAN間ルーティングの設定

ルータ側への設定

ルータ側はVLANの数だけインターフェイスをサブインターフェイスに分割して設定する必要がある。 トランキングプロトコルは通常はIEEE802.1Qであるdot1qを指定するが、Cisco独自のISLはislで指定可能。

(config)#interface fastEthernet <ポート番号>.<サブインターフェイス番号>
(config-if)#encapsulation <dot1q | isl> <VLAN番号>
(config-if)#ip address <IPアドレス> <サブネットマスク>
(config-if)#no shutdown

スイッチ側への設定

基本的にトランクモードにポートをすると良い。

(config)#interface fastEthernet <ポート番号>
(config-if)#switchport mode trunk

クライアントのDGWの設定

上記設定後はクライアント端末にルータのサブインターフェイスに設定したIPをDGWとして設定する。

2.3. VTPの設定

VTPはVLANの設定を自動化しスイッチ間で同期を行う仕組みであり、これによりVLAN設定作業の大幅削減が可能。

2.3.1. VTPの設定と確認

VTPの設定で主に必要な項目は以下の2つとなる。

  1. VTPドメイン名の設定
  2. VTPモードの設定

これらの項目設定をそれぞれのスイッチで行うことになる。

VTPドメイン名の設定

以下コマンドでVTPドメイン名の設定は行える。 なおVTPドメイン名は大文字小文字を区別する。

(config)#vtp domain <VTPドメイン名>

VTPモードの設定

VTPモードの設定は以下コマンドで行える。

(config)#vtp mode <server | client | transparent>

VTP情報の確認

VTPの設定や状態の確認は以下コマンドで行える。

show vtp status

2.3.2. VTPプルーニングの設定

VTPプルーニングはVTPで発生した不要トラフィックを排除する仕組み。

VTPプルーニングの設定。

基本的には以下コマンドを実行するのみとなる。

(config)#vtp pruning

VTPプルーニングの設定確認

show vtp statusコマンドでVTPプルーニングの有効化/無効化は確認可能。

(config)#show vtp status

2.4. スイッチのエラーカウンタ

スイッチのエラーカウンタはshow interface <インターフェイス>で表示される各パラメータの何が増加しているかによって不具合の原因などが分かる。

カウンタ説明カウンタ増加原因例
no buffer受信したがバッファ足りずに廃棄したフレーム数・ブロードキャストストーム
runtsIEEE802.3フレームの最小フレームより小さいフレームを受信した数・物理的(ケーブル故障、NIC不良など) ・duplexの不一致
giantsIEEE802.3フレームの最大サイズを超えるフレームを受信した数・NICの不良
input errorsrunts, giants, no buffer, CRC, frame, overrun, ignoredの総数・各種カウンタの増加
CRCFCSに格納されたCRC値と受信データから再計算したCRCが一致しなかったフレーム数・コリジョン ・NIC不良 ・duplex不一致
ignoredバッファが足りず受信せず無視したフレーム数・ブロードキャストストーム
collisionsコリジョン数・半二重の通信 ・duplex不一致
late collitions通常よりも遅れて検出したコリジョン数・規定値を超える長さのケーブルの使用 ・duplex不一致

2.4.1. 各種エラーの詳細

no buffer

no bufferはブロードキャストストームが発生したときに増加するカウンタ

runts

runtsは物理的(ケーブル故障、NIC不良など) やduplexの不一致で増加するカウンタ

giants

giantsはNIC不良等が原因で増加するカウンタ

input errors

各種カウンタの増加があるとそれに伴って増加するカウンタ。

CRC

CRCはコリジョンの発生やNIC不良/duplex不一致に伴って増加するカウンタ

ignored

ignoredはブロードキャストストームが発生したときに増加するカウンタ

collisions

collitionsはduplexの不一致/半二重通信等が原因で増加するカウンタ

late collitions

late collitionsはduplexの不一致等が原因で増加するカウンタ

2.4.2. 各種エラーのケース

発生内容増加パラメータ
ブロードキャストストームno buffer, ignored
duplexの不一致runts, CRC, collitions, late collitions
NICの不良runts, giants, CRC
ケーブル故障runts
最終更新 2025.01.19: Added ss command (683d062)