Cisco VTPの説明と設定
■VTPの概要
VLANの動的管理
スイッチ間でのVLAN情報を交換し、それを共有する
■VTP管理ドメイン
Cisco独自のVLAN管理用プロトコル
各スイッチは1つのVTP管理ドメインに所属
■VTP動作モード
・サーバモード(デフォルト)
・クライアントモード
・トランスペアレントモード
サーバモード---------VLANの設定変更が可能
クライアントモード---変更結果を受け取って自身の設定を変更する。
クライアントはNVRAMに情報を保存しない。(電源が切れるとVLAN情報
は消える。その場合、サーバからアドバタイズを受けてまた設定をし直す)
トランスペアレントモード---VTP管理ドメインのVLAN情報に関与しない(サーバからのVLAN情報で
自分の設定を変更しない。独立したVLAN情報を持つスイッチ)
アドバタイズをそのまま通過させる。一方VLANの作成、変更、削除は可能
NVRAMに保存する。
■VTPアドバタイズメント
VLAN1宛にトランクリンクでマルチキャストされる
・要約(サマリ)アドバタイズメント
・サブセット アドバタイズメント
・アドバタイズメント要求
リビジョン番号
1. サーバスイッチで、VLANが変更されるとリビジョン番号が1大きくなる
2. サーバはアドバタイズを送る(要約アドバタイズ=VTP管理ドメイン名、リビジョン番号
3. クライアントは管理ドメインが一致するか確認する、次にリビジョン番号を確認する。
自分より大きなリビジョン番号だった場合、変更されたVLAN情報をサーバに要求する。
(アドバタイズメント要求)
4. アドバタイズメント要求を受け取ったサーバは、現在のVLAN情報を送りかえす。
(サブセットアドバタイズメント)
5. サブセットアドバタイズメントを受け取ったクライアントは、その情報をもとに、VLAN
情報を変更する。
※要約アドバタイズメントはVLANの修正時と300秒(5分)間隔で送信される。
VTPプルーニング
宛先が存在しないスイッチにはブロードキャストを送らない
■VTPのバージョン
バージョン1と2のいづれかで設定可能
■バージョン2の追加機能
・イーサネットだけでなく、トークンリングVLANもサポートする
・VLANの整合性をチェックする(VLAN名など)ことができる
・認識不可能なType-Length-Value(TLV)のサポート
・バージョン依存型トランスペアレントモード
■VTPの設定
switch1conf t
switch1(config)#vtp server ←VTPモードをサーバに設定
switch1(config)#vtp domain tk-net.dip.jp ←ドメイン名を設定
switch1(config)#vtp v2-mode ←VTPバージョンを2に設定(オプション)
switch1(config)#vtp password password ←VTPパスワードを設定(オプション)
switch1(config)#vtp pruning ←管理ドメインでVTPプルーニングを有効にする(オプション)
switch1(config)#exit
VLANの動的管理
スイッチ間でのVLAN情報を交換し、それを共有する
■VTP管理ドメイン
Cisco独自のVLAN管理用プロトコル
各スイッチは1つのVTP管理ドメインに所属
■VTP動作モード
・サーバモード(デフォルト)
・クライアントモード
・トランスペアレントモード
サーバモード---------VLANの設定変更が可能
クライアントモード---変更結果を受け取って自身の設定を変更する。
クライアントはNVRAMに情報を保存しない。(電源が切れるとVLAN情報
は消える。その場合、サーバからアドバタイズを受けてまた設定をし直す)
トランスペアレントモード---VTP管理ドメインのVLAN情報に関与しない(サーバからのVLAN情報で
自分の設定を変更しない。独立したVLAN情報を持つスイッチ)
アドバタイズをそのまま通過させる。一方VLANの作成、変更、削除は可能
NVRAMに保存する。
■VTPアドバタイズメント
VLAN1宛にトランクリンクでマルチキャストされる
・要約(サマリ)アドバタイズメント
・サブセット アドバタイズメント
・アドバタイズメント要求
リビジョン番号
1. サーバスイッチで、VLANが変更されるとリビジョン番号が1大きくなる
2. サーバはアドバタイズを送る(要約アドバタイズ=VTP管理ドメイン名、リビジョン番号
3. クライアントは管理ドメインが一致するか確認する、次にリビジョン番号を確認する。
自分より大きなリビジョン番号だった場合、変更されたVLAN情報をサーバに要求する。
(アドバタイズメント要求)
4. アドバタイズメント要求を受け取ったサーバは、現在のVLAN情報を送りかえす。
(サブセットアドバタイズメント)
5. サブセットアドバタイズメントを受け取ったクライアントは、その情報をもとに、VLAN
情報を変更する。
※要約アドバタイズメントはVLANの修正時と300秒(5分)間隔で送信される。
VTPプルーニング
宛先が存在しないスイッチにはブロードキャストを送らない
■VTPのバージョン
バージョン1と2のいづれかで設定可能
■バージョン2の追加機能
・イーサネットだけでなく、トークンリングVLANもサポートする
・VLANの整合性をチェックする(VLAN名など)ことができる
・認識不可能なType-Length-Value(TLV)のサポート
・バージョン依存型トランスペアレントモード
■VTPの設定
switch1conf t
switch1(config)#vtp server ←VTPモードをサーバに設定
switch1(config)#vtp domain tk-net.dip.jp ←ドメイン名を設定
switch1(config)#vtp v2-mode ←VTPバージョンを2に設定(オプション)
switch1(config)#vtp password password ←VTPパスワードを設定(オプション)
switch1(config)#vtp pruning ←管理ドメインでVTPプルーニングを有効にする(オプション)
switch1(config)#exit
Cisco pVLANの説明と設定
■プライベートVLAN ・マルチレイヤスイッチング環境のエンタープライズは、一般にpVLANを使ってインターフェース、 またはインターフェースに接続されたネットワークデバイスどうしが相互に通信することを阻止 しながら、VLANインターフェースやルータなどのデフォルトゲートウェイとは通信できるようにする。 ・同じVLAN上に存在するネットワークデバイス間のトラフィックを分離する →セキュリティ確保 →IPサブネット減少 →VLANの使用率を下げる ・サービスプロバイダはpVLANをセキュリティ機能としてだけでなく、使用するIPアドレスサブネットを 最小限に抑える手段としても利用している。 ■pVLANの仕組み ・個々のpVLANはプライマリVLANとセカンダリVLANの2つのVLANから構成される。 ・すべてのセカンダリVLANはプライマリVLANの子VLANである。 ・プライマリVLANではpVLAN上のすべてのデバイスと通信できる混合(無差別)ポートを定義する。 ・混合(無差別)ポートは一つのVLANのみに属する。 ・一つの混合(無差別)ポートは複数のセカンダリVLANにマッピングでき、混合(無差別)ポートは 通常ルータポート、サーバまたはVLANインターフェースである。独立VLAN 独立VLANに属するポートは混合(無差別)ポートと通信できる。独立ポートと同じ独立VLAN上 にある他のポートとは通信できない。混合(無差別)ポートのみ通信できる。 コミュニティVLAN コミュニティVLANに属するポートは、同じコミュニティ内のほかのポートともpVLANの混合 (無差別)ポートとも通信できる。違うコミュニティVLANとは通信できない。 ■pVLAN 対応ハードウェア Catalyst4500、6500はpVLANの機能をすべてサポートしている。(ただしIOSが稼動している4500はコミュニティVLAN をサポートしていない) Catalyst2900XL、3500XL、2950、3550は独立ポート機能のみをサポートしている。 ■pVLANの設定
Cisco VLANの説明
■VLANの利点
・VLANはブロードキャストドメインを分けることができる
→ブロードキャストの制御
・ネットワーク構成の変更が行われても、VLANのポート設定を変更するだけで対応可能
・ネットワークリソースへのアクセスを制限できる。
→異なるVLANとの通信を行うためには、L3スイッチ、ルータ、RSMなどのL3ルーティング
が必要なためACLなどでセキュリティが保たれる。
・物理的なユーザの位置に関係なく、ユーザをグループ化できる
■2つのリンク
・アクセスリンク
1つのアクセスリンクは1つのVLANだけに属することができる。
アクセスリンクのポートは、そのポートに設定されているVLAN以外のパケットは、ルータ
などのL3機器でルーティングされない限り、受け取ることが出来ない。
※アクセスリンクのポートはVLAN識別子を持つフレームを受信できない!
・トランクリンク
1つのトランクリンクは複数のVLANを運ぶことができる。トランクリンクのポートは、
スイッチとスイッチとの接続、スイッチとルータとの接続に使用される。Cisco 製品では、
FastEthernetポート、GigabitEthernetポート上でトランクのコンフィグ設定が行える。
※トランクリンクには、リンクの障害発生時に使用するネイティブVLANが存在する。
■VLANの作成
VLANコンフィグレーションモードに移行してVLANを作成します。デフォルトでVLAN1は作成されてるので2と3を作成します。
vlanデータベースモードでの作成手順
switch>enable
switch#vlan database
switch(vlan)#vlan 2 name vlan2
VLAN 2 added
NAME: vlan2
switch(vlan)#vlan 3 name vlan3
VLAN 3 added
NAME: vlan3
switch(vlan)#apply←applyで設定反映
APPLY completed.
switch(vlan)#exit←exitするタイミングでも設定反映
APPLY comleted.
Exiting...
グローバルコンフィギュレーションモードでの作成手順
switch(config)#vlan 2←VLAN2を作成
switch(config-vlan)#name vlan2
switch(config-vlan)#exit
1、VLANにポートを割り当てます。設定は次の通り。
ポート 1,2,3,4=VLAN1
ポート 5,6,7 =VLAN2
ポート 8,9,10 =VLAN3
switch(config)#interface fa0/5(5がポート番号)
switch(config-if)#switchport mode access(アクセスリンク-1つのVLANに所属)
switch(config-if)#switchport access vlan 2(番号を指定)
switch(config-if)#end
上記の操作でポート5をVLAN2に所属さしています。これをほかのVLANに移動する全てのポートに対して行います。
2、設定を確認します
switch#show vlan
特殊用途のVLAN ID
番号
0,4095 = システムVLAN
1 = CiscoデフォルトVLAN(標準VLAN)
1002-1005 = FDDI及びトークンリング用のCiscoデフォルトVLAN(標準VLAN)
1024-4095 = 拡張VLAN (VLANデータベースモードでは設定不可)
※VLAN名は1文字以上、32文字以下のASCII文字列で設定する
・VLANはブロードキャストドメインを分けることができる
→ブロードキャストの制御
・ネットワーク構成の変更が行われても、VLANのポート設定を変更するだけで対応可能
・ネットワークリソースへのアクセスを制限できる。
→異なるVLANとの通信を行うためには、L3スイッチ、ルータ、RSMなどのL3ルーティング
が必要なためACLなどでセキュリティが保たれる。
・物理的なユーザの位置に関係なく、ユーザをグループ化できる
■2つのリンク
・アクセスリンク
1つのアクセスリンクは1つのVLANだけに属することができる。
アクセスリンクのポートは、そのポートに設定されているVLAN以外のパケットは、ルータ
などのL3機器でルーティングされない限り、受け取ることが出来ない。
※アクセスリンクのポートはVLAN識別子を持つフレームを受信できない!
・トランクリンク
1つのトランクリンクは複数のVLANを運ぶことができる。トランクリンクのポートは、
スイッチとスイッチとの接続、スイッチとルータとの接続に使用される。Cisco 製品では、
FastEthernetポート、GigabitEthernetポート上でトランクのコンフィグ設定が行える。
※トランクリンクには、リンクの障害発生時に使用するネイティブVLANが存在する。
■VLANの作成
VLANコンフィグレーションモードに移行してVLANを作成します。デフォルトでVLAN1は作成されてるので2と3を作成します。
vlanデータベースモードでの作成手順
switch>enable
switch#vlan database
switch(vlan)#vlan 2 name vlan2
VLAN 2 added
NAME: vlan2
switch(vlan)#vlan 3 name vlan3
VLAN 3 added
NAME: vlan3
switch(vlan)#apply←applyで設定反映
APPLY completed.
switch(vlan)#exit←exitするタイミングでも設定反映
APPLY comleted.
Exiting...
グローバルコンフィギュレーションモードでの作成手順
switch(config)#vlan 2←VLAN2を作成
switch(config-vlan)#name vlan2
switch(config-vlan)#exit
1、VLANにポートを割り当てます。設定は次の通り。
ポート 1,2,3,4=VLAN1
ポート 5,6,7 =VLAN2
ポート 8,9,10 =VLAN3
switch(config)#interface fa0/5(5がポート番号)
switch(config-if)#switchport mode access(アクセスリンク-1つのVLANに所属)
switch(config-if)#switchport access vlan 2(番号を指定)
switch(config-if)#end
上記の操作でポート5をVLAN2に所属さしています。これをほかのVLANに移動する全てのポートに対して行います。
2、設定を確認します
switch#show vlan
特殊用途のVLAN ID
番号
0,4095 = システムVLAN
1 = CiscoデフォルトVLAN(標準VLAN)
1002-1005 = FDDI及びトークンリング用のCiscoデフォルトVLAN(標準VLAN)
1024-4095 = 拡張VLAN (VLANデータベースモードでは設定不可)
※VLAN名は1文字以上、32文字以下のASCII文字列で設定する
Cisco RSTPの説明
■RSTP (Rapid Spanning Tree Protocol)の説明 ・802.1wで規定されている ・ネットワークトポロジが変化したときのスパニングツリーの再計算にかかる時間を大幅に短縮する。 ・Alternate(代替)とBackup(バックアップ)というポートの役割を追加し、ディスカーニング、 ラーニング、フォワ―ディングというポートの状態を定義する。 ■802.1Dポートの状態とRSTPポートの状態の比較■RSTPのポート役割 ・Rootポート (ルートポート) 802.1dと同様の基準で選択される ・Designated Port (指定ポート) 802.1dと同様の基準で選択される ・Alternate Port (代替ポート) 802.1dで非指定ポートとして認識されていたポート役割。ルートポートに障害が発生した場合、 ルートポートに昇格する。 ・Backup Port (バックアップポート) 802.1dでは非指定ポートとして認識されていたポート役割。指定ポートに障害が発生した場合、 指定ポートに昇格する。 ・Diseble Port (ディセーブルポート) 802.1dでは日指定ポートとして認識されていたポート役割。RSTPの動作において特別な意味は 持たない。
STPポートの状態 RSTPポートの状態 MACアドレスの学習 ディセーブルド ディスカーニング No ブロッキング ディスカーニング No リスニング ディスカーニング No ラーニング ラーニング Yes フォワーディング フォワーディング Yes
Cisco STPの説明
■STPの説明
冗長構成をとりながら、ループのないループフリー環境を作り出す
■BPDUが持つ情報(2秒に1回送信される)
・ルート情報・・・ルートに設定されたブリッジのID
・パスコスト・・・そのリンクのルートブリッジからの距離
・ブリッジ情報・・BPDUを送信したブリッジの情報
・ポート情報・・・BPDUを送信したポートの情報
・タイマ・・・・・スパニングツリーを構成するための時間
↓
ループが起きないように転送を停止するポートを決める
STPはルートブリッジを中心としてループの有無を判断する
■STPの順序
①ルートブリッジ の選択
最も小さいブリッジIDを持つものが、ルートブリッジとなる。
STPが稼動(enable)されているブリッジでは、BPDU(STPのHelloパケット)が交換される。
BPDUには、ブリッジID (※ブリッジのプライオリティ+ブリッジのMACアドレス)が含まれている。
このブリッジIDが最も小さい値を持つものが、ルートブリッジとなる。
※0~65535の値が入る。デフォルトはCatalystでは32768。Switchが起動した直後は全てのSwitchが
自分がRoot Bridgeであると認識している
1、各ブリッジは自分がルートブリッジだと思っている。
↓
2、自分のブリッジIDをBPDUにいれブロードキャストを発信
↓
3、他のブリッジが自分のブリッジIDよりも低いブリッジIDを受信
↓
4、自分よりも低いブリッジIDを受け取ったブリッジはルートブリッジ
を自分から他のブリッジに変更する。
↓
5、変更したルートブリッジ情報を今度から発信するようになり、これを
繰り返し全体の中のルートブリッジを決定する。
②Rootポートの選択
ブリッジから、ルートブリッジへ最短経路となるポートがRootポートになる。
最短経路とは通信速度のことであり、10Mbps と 100Mbps のポートでは、後者が最短経路のポートとなる。
通信速度が同じ場合、最も小さいブリッジIDを受け取ったポートがRootポートになる。
ブリッジIDも同じ場合、上位ブリッジの最も小さいポート番号と接続しているポートがRootポートになる。
※1)RootブリッジからRoot Path Cost = "0"のBPDUが下流のSwitchめがけて送信される
2)BPDUを受信したSwitchは受信したPortのCostをBPDUに付加する
3)新たなRoot Path CostとなったBPDUを更に下流のSwitchに対して送信する。
送信時にはPort Costは付加されない。
上述の作業を延々と繰り返し、複数のBPDUを受信し、最も値が小さかったBPDUを受信したPortが
Rootポートとなる。
③Designatedポート(代表ポート)とBlockedポートの選択
セグメントから、ルートブリッジへ最短経路となるポートがDesignatedポートになる。
RootポートにもDesignatedポートにも選択されなかったポートが、Blockedポートになる。
ループ構成のポートにおいて、ルートブリッジの全てのポートはDesignatedポートになる。
代表ポートは、ネットワークループを防ぐためのもので、各セグメントへのパスが複数ある場合に
選択される。
※ルートポートは上から下(つまり、ルートブリッジから各スイッチ)をイメージし、
代表ポートは下から上(つまり、各スイッチからルートブリッジをイメージ)
■さまざまなリンク速度のスパニングツリー パスコスト
リンク速度
コスト(改正後のIEEE仕様)
コスト(改正前のIEEE仕様)
10Gbps
2 1 1Gbps
4 1 100Mbps
19 10 10Mbps
100 100
■STPステータスの移行
初期納入時等では、全てのBridgeが自身をRootと認識しているためRootが複数存在していると
いったような状態となり、全てのBridgeのInterfaceが常にForwarding状態であったとした場合
深刻な Loop 障害を引き起こす原因となってしまう。
こういった障害を防ぐため、STPには5つの状態があり、まず、Blocking状態から開始し
BPDUの受信のみを行いデータフレームの転送は実施しない。
Loop状態にならない事を確認した上で初めてPortはForwarding状態となり、データフレームの
転送を可能にする。
①ブロッキング状態(20秒)
Switchの電源投入時にはSwitchのどれかのPortからBPDUを受信するのを待つ。
BPDUを自身のどのPortからも受信しなかった場合、Switchは自分がRootであると判断する。
自分以外の他のSwitchからBPDUを受信した場合には、BPDUを受信したPortはListening状態となり
BLocking状態から解除される。
・Neighbore Segment から受信したFrameを破棄する
・自身の他のPortから内部SwitchingされたFrameを破棄する
・MAC Addressの学習を行わない
・BPDUを受信のみ実施し、Sytem Moduleに転送する
・System Moduleから受信したBPDUを送信しない
②リスニング状態(15秒)
ブロッキング状態の次にSTPはListening Stateの状態になる。
この状態からBPDUの送受信を行う事が出来るようになり、Root情報の比較による、Rootの決定
Cost等の比較による最適経路を決定する。
・Neighbore Segment から受信したFrameを破棄する
・自身の他のPortから内部SwitchingされたFrameを破棄する
・MAC Addressの学習を行わない
・BPDUを受信しSystem Moduleに転送する
・System Moduleから受信したBPDUを処理する
・Network 管理メッセージを受信して応答する
③ラーニング状態(15秒)
リスニング状態が終了すると、次はラーニング状態となる。
この状態でもPortはまだ監視状態であり、Frameの転送は行えない。
但し、リスニング状態とは異なりMACアドレスの情報を学習し、
Frame転送の準備を行います。
・Neighbore Segment から受信したFrameを破棄する
・自身の他のPortから内部SwitchingされたFrameを破棄する
・MAC Addressの学習を行う
・BPDUを受信しSystem Moduleに転送する
・System Moduleから受信したBPDUを処理して送信する
・Network 管理メッセージを受信して応答する
④フォワーディング状態
最終的にフォワーディング状態になるとSwitchは初めてData Frameの送受信を行う事が
出来るようになる。
・Neighbore Segment から受信したFrameを転送する
・自身の他のPortから内部SwitchingされたFrameを転送する
・MAC Addressの学習を行う
・BPDUを受信しSystem Moduleに転送する
・System Moduleから受信したBPDUを処理して送信する
・Network 管理メッセージを受信して応答する