Wireless LAN Controller
ワイヤレスLANを集中管理するのに使うデバイス
インバンド管理
サービスポートは通常のトラフィックを送信せず、管理トラフィックのみ送受信する
アウトオブバンド管理
ディストリビューションシステムポートは通常のトラフィックを送受信する
Management、APManagerインターフェース:管理用
Virtualインターフェース:DHCP代理、セキュリティ認証として機能
Dynamicインターフェース:SSIDとVLANのマッピング
インバンド、アウトオブバンドなどの概念が曖昧
3年前の記事はこんなのを書いていたらしい。
現在はiPhoneではなくPixelを使っている。
Macbookとの相性を考えるとiPhoneが良いけど、値段が高いのと顔認証しか無いのはイケてない。
日本では外でマスクをつけるのが常識になっているので、外で顔認証が出来ないのがとても痛い。
うちはお小遣い制なので、月初のお小遣いが貰えるけど、外に出ないので使うことがほぼない。
メルカリで買った本ばかりが溜まっていく。
子供を育てながら自分の時間を確保するのは本当に大変だなあと思う。
あるポートに届いたフレームの送信元MACアドレスを基に接続可否を判断する機能
確認
show port-security interface xxx
設定例
interface xxx
switchport mode access/trunk
switchport port-security 有効化
switchport port-security maximum x 許可MACアドレスの最大数
switchport port-security violation xxx セキュリティ違反時の動作
switchport port-security mac-address xxx
switchport port-security mac-address sticky
switchport port-security aging time x x分後に情報削除
switchport port-security aging type x
セキュリティ違反時の動作
shutdown(デフォルト):err-disableになるのでポートが使えなくなる。違反の通知(SNMP, syslog)行う。
restrict:許可されてない端末のフレームを破棄、違反の通知(SNMP, syslog)行う。
protect:許可されてない端末のフレームを破棄
スティッキーラーニングは、動的にMACアドレスを学習させる機能
手動入力しなくて良く、現在の接続を反映できるので一般的にはこれらしい。
エイジングタイプ
absolute:エイジングタイム時間を過ぎると通信中でも削除
inactivily:通信なくなってからエジングタイム後に削除
不正なDHCPサーバからのなりすましを防げる。
レートを設定することで、DDos攻撃も防げる。
trusted, untrustedポートの2つを設定する。
untrustedポートはDHCPのOffer、Ackを受信しても破棄するので、不正なDHCPサーバからの応答が通らなくなる。
デフォルトでは、前ポートuntrusted
通常、DHCPクライアントとDHCPサーバは同じネットワーク上にいることが想定されている。
そうなると、ネットワーク毎にDHCPサーバを用意する必要が出てくるのでコストがかかる。
なので、異なるネットワークに存在するDHCPサーバへの通信を可能にするのがDHCPリレーエージェント。
ルータ上で以下の設定をすると、指定したDHCPサーバのIPへユニキャスト通信を行って、DHCPのやりとりが行われる。
ip helper-address DHCPservers_ip
ルーテッドポートは、マルチレイヤスイッチの物理ポートをL3ポートとして使用すること。
物理ポートにno switchportコマンドを設定してルーテッドポートにする。
SVI:物理ポートに割り当てるVLANを作成し、SVI上でVLANとIPアドレスを紐づける。
ルーテッドポート:物理ポートに直接IPアドレスを紐づける。
通常、L3スイッチ上のルーティングはSVI(Switch Virtual Interface)を使用すること�が多いらしい。
ルーテッドポートは、L3 EtherChannelを構成したいときに使用する。
interface port-channel 1
no switchport
ip address address mask
no shutdown
通常、異なるVLANにあるデバイスとの通信はできない。
できるようにする方法が、VLAN間ルーティング
以下2つの方法がある。
・マルチレイヤスイッチを用いる
L3スイッチはデフォルトでルーティング機能が無効なので、有効化する
SVI(Switch Virtual Interface)の作成
インターフェースへのVLAN割り当て
・RouterOnAStick構成にする
(単一点障害、輻輳が発生する可能性があるので非推奨のよう。)
ルータと接続しているポートをトランクポートに設定
他をアクセスポートに設定
ルータでやること1:VLAN毎にサブインターフェースを作成
ルータでやること2:VLANカプセル化方式およびVLAN ID設定
ルータでやること3:サブインターフェースにIPアドレスを設定
IPv4アドレスの表現方法
あらかじめアドレスの範囲をクラス分けしておき、各組織に割り当てる方式
クラスA,B,Cはそれぞれ、ネットワーク部が8,16,24ビットに固定されているなど、クラスの定義があらかじめ決まっている。
現在はクラスレス方式が主流。
EIGRPの自動集約の際に、クラスフルの考え方が用いられるなどの用途がある。
ポートVLAN:アクセスポートで使うVLANのこと、タグを付与せずに、ひとつのポートとひとつのVLAN IDを紐づける
タグVLAN:トランクポートで使うVLANのこと、タグを付与して、ひとつのポートで複数のVLAN IDを通過させる
タグの付与プロトコルには、シスコ独自方式のISLと802.1Q系がある。
ネットワークの世界では、シスコ独自の規格が結構あるようで、統一して欲しい。
