ネットワークスイッチ構築実践...
Post on 25-Jan-2017
270 Views
Preview:
TRANSCRIPT
本スライドは、NTTソフトウェア社内技術者育成研修(ソフト道場研修)テキストです。
【著作権・免責事項】• 本セミナーコースの内容、本資料のすべての著作権は、NTTソフトウェア株式会社に帰属します。• 無断での本資料の複写、複製、再利用、転載、転用を禁じます。• 本資料と演習等で利用するすべての教材は、NTTソフトウェア株式会社からの保証なしに提供されます。• 本書に記載されている会社名および製品名は、一般に各社の商標または登録商標です。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 2
※ 演習問題に関するスライドは、本ファイルには含まれておりません。ご了承ください。
カリキュラム
時間 研修内容
10:00
10:30
◆Cisco IOSの概要(復習)
Cisco IOSのモードの説明、基本的なコマンドの理解
◆VLAN(復習)
VLANの基本、VLANの設定
演習1
12:00 昼食
13:00
15:00
16:00
17:30
◆VLAN(続き)
VTPの基本、VTPの設定
◆LinkAggregation
LinkAggregationの基本、LinkAggregationの設定
◆STP
STPの基本、STPの設定
終了
演習2、3
演習4
演習5
~1日目~
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 3
カリキュラム
時間 研修内容
9:30
10:00
11:00
◆RSTP
RSTPの基本、RSTPの設定
◆PortSecurity
PortSecurityの基本、PortSecurityの設定
◆StormControl
storm-controlの基本、storm-controlの設定
演習6
演習7
演習8
12:00 昼食
13:00
14:00
14:30
17:30
◆SPAN
SPANの基本、SPANの設定
◆Stacking
Stackingの基本
◆総合演習
◆研修環境clean up
◆アンケート記入
終了
演習9
演習10、11
~2日目~
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 4
Switchの冗長構成を取りたい場合
LinkAggregationではリンクの冗長であったが、Switch自体の冗長構成を取りたい。
単純に考えて以下のような構成であれば、どのSwitchが故障しても通信が継続できそう。
NIC Teamingによるホストのリンク冗長化
NIC Teamingによるホストのリンク冗長化
どれか一台のSwitchが故障しても経路が冗長化されているため通信を継続できそうな気がする・・・
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 6
Switchの冗長構成を取りたい場合
しかし、よくよく考えてみるとLoop構成となっているため、このような構成を取ることが出来ない?
NIC Teamingによるホストのリンク冗長化
NIC Teamingによるホストのリンク冗長化
Loopが発生して通信できなくなる!
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 7
Switchの冗長構成を取りたい場合
この問題を解決するのがSTPという技術。例えば、下図でどこか一つのリンクが切れていると想定すればLoopにはならない。
NIC Teamingによるホストのリンク冗長化
NIC Teamingによるホストのリンク冗長化
ここのリンクが切れているとすれば、Loop構成にはならず通信が可能
⇒物理的にリンクが接続されていても、STPにより仮想的にリンクをダウンさせることにより非ループな構成とすることにより通信を行うことが出来る。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 8
使用しているリンクが切れた場合
以下のようにSTPを構成していたが、使用しているリンクで障害が発生したらどうなるか?
NIC Teamingによるホストのリンク冗長化
NIC Teamingに
よるホストのリンク冗長化
STPの機能で、このリンクが仮想的に切れている状態
このままでは左右のホスト間で通信を行うことが出来ない。
障害発生によりこのリンクが切れた
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 9
使用しているリンクが切れた場合
STPはリンク断を検知し、仮想的にリンクダウンされていたリンクを接続する
NIC Teamingによるホストのリンク冗長化
NIC Teamingに
よるホストのリンク冗長化
リンク断の状態から、接続状態に移行する
⇒これにより通信を継続することが可能となる
障害発生によりこのリンクが切れた
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 10
STPとは
~STP(Spanning Tree Protocol)~
IEEE802.1Dで標準化されたL2レベルでのループ回避技術。STA(Spanning Tree Algorithm)を利用し、自動的にループ構成となるスイッチのポートの中から、とあるポートを選択してブロック状態(仮想的なダウン状態)にする。この動作によりループを防ぐことが出来る。
また、Switchもしくはブロックされている以外のポートで障害が発生した場合には、ブロック状態のポートがフォワーディング状態(通信を行える状態)に移行することにより、通信を継続することが可能となる。
~BPDU~
STPの動作を制御するプロトコル。STPが有効になっているSwitch間でやり取りを行い、STAでの計算結果をもとに各ポートの状態を遷移させ、最終的にコンバージェンス状態にする。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 11
STPとは
~スイッチの役割~
STPのスイッチ役割は2種類あり、それぞれの役割は以下のとおり。
スイッチの役割 役割説明
ルートブリッジ • スパニングツリーを構成する際に、ツリーの中心となるスイッチ
• ルートブリッジに選出されるのは、スパニングツリーを構成する中で1台のみ
• スイッチが保持する、ブリッジIDが最少のものが選択される
非ルートブリッジ • ルートブリッジに選出されなかったスイッチ全て
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 12
STPとは
~ポートの役割~
STPのポート役割は3種類あり、それぞれの役割は以下のとおり。
ポートの役割 状態説明
ルートポート • RP(Root Port)と表記• 非ルートブリッジごとに1ポートずつ選出される• ルートブリッジに(パスコスト的に)最も近いポート
指定ポート • DP(Designated Port)と表記• 各リンクごとに1ポート選出される• ルートブリッジに(パスコスト的に)最も近いポート
非指定ポート • NDP(Non Degsinated Port)と表記• ルートポートと指定ポートに選出されなかったポート• これがBlockingポートとなり、通信を行わないポートになり、ループ構成を回避する
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 13
STPとは
~ポートの状態~
STPのポートの状態は5種類あり、それぞれの役割は以下のとおり。
ポートの状態 状態説明 遷移時間
Disable • 管理者により明示的にshutdownされている状態• 通信を一切転送しない
―
Blocking • データ転送を行わずBPDUのみ受信可能な状態• 全てのポートはBlocking状態から状態遷移を開始する(Disableは除く)
―
Listening • データ転送を行わずBPDUの送受信のみ可能な状態• BPDUを送受信し合い、ルートブリッジ・ルートポート・指定ポートの選出を行っている状態
20秒
Learning • データ転送を行わずBPDUの送受信のみ可能な状態• 受信したフレームのMACアドレスを学習する
15秒
Forwarding • データ転送が可能な状態• ルートポートまたは指定ポートになった状態
15秒
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 14
STPとは
~ポートの状態遷移図~
①Blocking ②Listening ③Learning ④Forwarding
最大15秒最大20秒 最大15秒
STPを動作させているSwitchにて、最初の電源投入時とBlockingポート以外でのリンクダウン時には、通信可能となるまで最大50秒必要となる。
~Portfast~
Switch同士を接続する場合には、上記のステータスを経てForwarding/Blocking状態になるべきだが、接続先がホスト(PC)である場合にはForwardingにならなければならない。しかし、PCを接続する場合にでも通信可能となるまでに50秒待たなければならない。この問題を解決するため、ホストを接続するポートにportfast設定を投入することによりBlocking状態からすぐにForwarding状態になることにより、即座に通信可能とする設定。(もちろんスイッチ間接続のポートに投入してはダメ)
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 15
スパニングツリーの設定
~スパニングツリーの有効化~
Switch(config)# spanning-tree vlan <vlan-id>
~プライオリティ値の変更~
Switch(config)# spanning-tree vlan <vlan-id> priority <プライオリティ値>
※プライオリティ値は“0”から“61440”までの範囲で、”4096”の倍数値となるよう設定する。※デフォルトは”32768”である。
明示的にプライオリティ値を設定せず、他のスイッチがデフォルト値であることを前提に、自身がルートブリッジになるようにプライオリティ値を下げることも出来る。Switch(config)# spanning-tree vlan <vlan-id> root primary
※primaryを指定すると“24576”または現在のルートブリッジ値から”-4096”した値が設定される。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 16
スパニングツリーの設定
~ポートコストの変更~
ポートコストのデフォルト値は以下のようになっている。
リンク速度 コスト
10Gbps 2
1Gbps 4
100Mbps 19
10Mbps 100
※古いスイッチの場合、以下の値がデフォルト値となっている。
コスト=1000÷帯域幅(Mbps)
デフォルト値が異なるスイッチが混在すると、意図しないスパニングツリーの計算が行われてしまうため、混在しないように注意する。なお、混在してしまう場合でも、以下のコマンドを用いて手動でコスト値を設定することが出来る。
Switch(config-if)# spanning-tree vlan <vlan-id> cost <コスト値>
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 17
スパニングツリーの設定
~スパニングツリーの拡張機能(Portfast)~
Switch(config-if)# spanning-tree portfast
※トランクポート以外の全てにPortfastを設定する場合は、グローバルコンフィギュレーションモードにて、defaultを追加したコマンドを投入する。Switch(config)# spanning-tree portfast default
~スパニングツリーの拡張機能(BPDUガード)~
Switch(config)# spanning-tree portfast bpduguard
※インタフェース単位で投入することも出来る。Switch(config-if)# spanning-tree bpduguard enable
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 18
スパニングツリーの設定
~スパニングツリーの拡張機能(BPDUフィルタ)~
Switch(config)# spanning-tree portfast bpdufilter default
※スイッチ全体で有効となる。Portfastが設定されたインタフェースでBPDUを受信した場合、PortfastおよびBPDUフィルタ機能は無効となる。(BPDUの送信を行うようになる)
Switch(config-if)# spanning-tree bpdufilter enable
※Portfastの設定が必須ではない。BPDUを受信してもBPDUフィルタ機能は有効である。(BPDUの送信は行わない)ループが発生する可能性があるため、設定する際には注意が必要である。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 19
スパニングツリーの確認
~スパニングツリー情報の確認~Switch# show spanning-tree [vlan-id]
VLAN1000
Spanning tree enabled protocol ieee
Root ID Priority 33768
Address 0000.0000.0000
Cost 19
Port 2 (FastEthernet0/2)
[省略]
Bridge ID Priority 33768 (priority 32768 sys-id-ext 1000)
[省略]
Interface Role Sts Cost Prio.Nbr Type
------------------- ------- ------ --------- ------------ --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p Edge
Fa0/2 Root FWD 19 128.2 P2p
Fa0/3 Altn BLK 19 128.3 P2p
Fa0/7 Desg FWD 19 128.7 P2p
ルートブリッジの場合、この位置に「This bridge is the root 」と表示される。
ブリッジプライオリティ(プライオリティ値+VLANID)
show spanning-tree summaryコマンドでサマリ表示することも可能。
Role:ポートの役割Sts:ポートの状態Cost:ポートのコストPrio:ポートのプライオリティを示す。
portfastを設定したインタフェースの場合「Edge」と表示される。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 20
STPの問題点
STPの問題点、それはコンバージェンスするまでに50秒もの時間を要すること。現在求められているような高可用性、高トラフィックのようなネットワークでは50秒という時間は長すぎる。
それを解決するため、コンバージェンス時間を短縮したSTPをRSTP(Rapid STP)という。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 22
RSTPとは
~RSTP(Rapid Spanning Tree Protocol)~
IEEE802.1Wで標準化されたL2レベルでのループ回避技術。STPはコンバージェンスにデフォルト50秒必要であったが、RSTPでは数秒以内で高速コンバージェンスすることが可能。
~RSTPのポートの状態~
RSTPではポートの状態を簡略化し、以下の3種類がある。
ポートの状態 状態説明
Discarding • STPでのBlocking、Listening,Disableを統合したもの(通信を転送しない状態という観点でまとめた)
Learning • STPのLearningと同様
Forwarding • STPのForwardingと同様
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 23
RSTPとは
~RSTPのポートの役割~
RSTPではポートの状態を簡略化し、以下の4種類がある。
ポートの役割 状態説明
ルートポート • RP(Root Port)と表記• 非ルートブリッジごとに1ポートずつ選出される• ルートブリッジに(パスコスト的に)最も近いポート
指定ポート • DP(Designated Port)と表記• 各リンクごとに1ポート選出される• ルートブリッジに(パスコスト的に)最も近いポート
代替ポート • AP(Alternate Port)と表記• ルートポートのバックアップとなるポート
• ルートポートがダウンした場合に、即座にルートポートに昇格して通信を継続する
バックアップポート • BP(Backup Port)と表記• 指定ポートのバックアップとなるポート
• 指定ポートがダウンした場合に、即座に指定ポートに昇格して通信を継続する
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 24
RSTPの動作
今回、RSTPの動作説明については講義時間の関係上、割愛させていただきます。興味のある方は後日、書籍などで学習してください。
なお演習ではSTPとRSTPの両者を設定し、コンバージェンスの比較を行うのでその点について留意しておいてください。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 25
RSTPの設定
~RSTPの有効化~
Switch(config)# spanning-tree mode rapid-pvst
※プライオリティ値の変更等、STPで説明したコマンドは、RSTPでも同様に設定することができる。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 26
RSTPの確認
~RSTP情報の確認~Switch# show spanning-tree [vlan-id]
VLAN1000
Spanning tree enabled protocol rstp
Root ID Priority 33768
Address 0000.0000.0000
Cost 19
Port 2 (FastEthernet0/2)
[省略]
Bridge ID Priority 33768 (priority 32768 sys-id-ext 1000)
[省略]
Interface Role Sts Cost Prio.Nbr Type
------------------- ------- ------ --------- ------------ --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p Edge
Fa0/2 Root FWD 19 128.2 P2p
Fa0/3 Altn BLK 19 128.3 P2p
Fa0/7 Desg FWD 19 128.7 P2p
ルートブリッジの場合、この位置に「This bridge is the root 」と表示される。
ブリッジプライオリティ(プライオリティ値+VLANID)
show spanning-tree summaryコマンドでサマリ表示することも可能。
Role:ポートの役割Sts:ポートの状態Cost:ポートのコストPrio:ポートのプライオリティを示す。
portfastを設定したインタフェースの場合「Edge」と表示される。
RSTPを設定した場合、「rstp 」と表示される。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 27
管理対象のNWにむやみやたらにPCを接続したくない
許可された端末だけをNWに接続したい。
接続を許可されている端末だけをNWに接続したい(許可されていない端末はNWに接続させない)
⇒NWに接続が許可されていない端末から物理的に接続(LANケーブルで接続)されても、Switchで制限をかけることにより接続制限することが可能
接続を許可された端末
接続を許可された端末
接続を許可されていない端末
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 29
接続許可端末のMACアドレスを事前に登録しておく
端末を制限する方法としては、機器固有に保持しているMACアドレスをキーとして制限する。
事前に接続許可対象のMACアドレスを登録しておく接続許可MAC aaaa:bbbb:cccc、dddd:eeee:ffff
⇒事前登録されていないMACアドレスを持つ端末は、物理的に接続されてもSwitchでNWに接続できない
接続を許可された端末MAC:aaaa:bbbb:cccc
接続を許可された端末MAC:dddd:eeee:ffff
接続を許可されていない端末MAC:gggg:hhhh:iiii
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 30
Swich配下でのカスケード防止(1)
Switch配下に、SwitchやHUBなどを接続してカスケード構成を取らせたくない
⇒NW管理者が意図していない箇所でSwitch配下にSwitchを接続されて接続端末が多くなることや結線誤りによりLoopが発生したりすることがある。
セキュリティの観点上、Switch配下にSwitchやHUB
などを接続させたくない。(一つのポートに複数機器を接続させたくない)
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 31
Swich配下でのカスケード防止(2)
Switchのポートに、「ここに接続できるMACアドレスは*個まで」というような制限を行う。
ポートに対して、「ポートに紐付けられるMACアドレスの最大数は2個」などの個数制限を設定する。
⇒ポートに紐付け可能なMACアドレス上限数を設定することにより、SwitchやHUBのカスケード接続を防止する。
最初に接続した端末
2番目に接続された端末
3番目に接続された端末
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 32
PortSecurityとは
~PortSecurity~
Switchのポートに接続する機器(サーバ、ルータなど)をMACアドレスベースで制限をすることにより、NWへの接続制限を行う機能。一般的にCisco Catalystのスイッチポートが使用される。
~セキュリティ違反を検知した際の動作~
セキュリティ違反を検知した際に定義できる動作は3つある。・protect:非登録のMACアドレスからの通信を破棄する。ただしSNMP Trap、Syslogでの
通知は行われない。・restrict:非登録のMACアドレスからの通信を破棄し、SNMP Trap、Syslog通知を行う。・shutdown:非登録のMACアドレスからの通信を破棄し、Switchのポートを閉じる。
(shutdownではなく、errdisable状態となる。復旧させるには一度shutdown→
no shutdownしなければならない)
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 33
ポートセキュリティの設定
~ポートセキュリティの有効化~
Switch(config-if)# switchport port-security
※アクセスポートにのみ設定可能である。
~セキュアMACアドレスの設定~
スタティックにセキュアMACアドレスを登録する場合は、以下のコマンドを投入する。
Switch(config-if)# switchport port-security mac-address <MACアドレス>
ダイナミックにセキュアMACアドレスを登録する場合は、特にコマンドは不要である。登録できる上限まで、受信したフレームの送信元MACアドレスを登録する。ただし、スイッチを再起動すると登録されたセキュアMACアドレスが消えてしまう。以下の設定を行うことで、登録されたセキュアMACアドレスをrunning-configに反映することが出来るため、startup-configに保存すれば再起動しても登録されたセキュアMACアドレスが消えることはない。
Switch(config-if)# switchport port-security mac-address sticky
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 34
ポートセキュリティの設定
~バイオレーションモードの設定~
Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}
~セキュアMACアドレスの上限設定~
Switch(config-if)# switchport port-security maximum <上限値>
※デフォルトは”1”である。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 35
ポートセキュリティの確認
~ポートセキュリティの確認~Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown
---------------------------------------------------------------------------------------------------------------
[省略]
Switch# show port-security interface <インタフェース名>
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
[省略]
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
[省略]
セキュリティ違反時のアクションを示す。
ポート状態を示す。
セキュリティ違反時のアクションを示す。
許可されるMACアドレスの上限を示す。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 36
ポートセキュリティの確認
~登録されたMACアドレスの確認~
Switch# show port-security address
Secure Mac Address Table
----------------------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
------- ---------------------- ---- ------- --------------------
1000 5254.0002.3a6e SecureConfigured Fa0/1 -
----------------------------------------------------------------------------------------------
登録されたMACアドレスを示す。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 37
STPを設定しない構成で、万が一ループが発生したら
何かしらの理由により、LoopFreeと思われていたNWでLoopが発生したら・・・
当初設計では絶対に接続されることが無い前提で、STPを設定しないNWであったが、何かしらの理由によりこのリンクが接続されてしまった。
⇒STPを設定していないと、Loopが発生したら永遠にBroadcastStormが発生し続けることになる。そうなるとNWがダウンし、サービス停止にまで発展する。原因のリンクを抜くだけではなく、最悪、サーバを含む各機器リブートなどの対処が必要になる。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 39
STPを設定しない構成で、万が一ループが発生しても問題ないようにしたい
LoopによるBroadcastStormを検知して自動的にポートを閉じる機能を利用する。
①リンクが接続されてしまった。
⇒BroadcastStorm発生を検知して、自動的にポートをshutdownすることにより、LoopFreeな構成を維持することにより通信を継続させる。
②BroadcastStormを検知して、自動的にポートを閉じる
③LoopFreeな構成になるため継続して通信が可能
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 40
Storm-Controlとは
~Storm-Control~
ユニキャスト・マルチキャスト・ブロードキャストのストームを防ぐことが出来る機能。物理ポート単位に通信量の閾値設定を行い、そのポートを通過した通信量が閾値を超えると以後の通信を遮断する動作を行う。
閾値は上限と下限を設定することが可能であり、通信量が上限閾値を超えた場合には以後の通信を制限して下限を下回るまでは通信させない。上限閾値のみの設定の場合は、下限閾値と同じものを設定することとなり閾値を下回ると通信をさせることとなる。
ストームを検知した場合の動作は、SNMP Trap通知 or ポートshutdownを選択可能である。shutdownを指定した場合には、通信が下限閾値を下回っても遮断したままの動作となる。再度通信を行うためにはポートを明示的に shutdown → no shutdownする必要がある。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 41
Storm-Controlの設定
~Storm-Controlの設定~
Switch(config-if)# storm-control {broadcast | multicast | unicast} {level <level>
[level-low] | bps <bps> [bps-low] | pps <pps> [pps]}
※ブロードキャスト、マルチキャスト、ユニキャストのいずれかを指定する。※しきい値の設定は以下の3種類から選択する。
level : 帯域幅の割合(%)で指定する。bps : ビットレートで指定する。pps : 1秒あたりのパケット数で指定する。
※下限値を指定しない場合は上限値と同じ値が設定されたとみなす。
~しきい値を超えたときの動作設定~
Switch(config-if)# storm-control action {shutdown | trap}
※デフォルトでは、しきい値を超えると、トラフィックの転送をブロックする。※shutdownを指定した場合、しきい値を超えると、ポートをエラーディセーブルにする。※trapを指定した場合、しきい値を超えると、SNMPマネージャにTRAPメッセージを送信する。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 42
Storm-Controlの確認
~ Storm-Controlの確認~
Switch# show storm-control [broadcast|multicast|unicast]
Interface Filter State Upper Lower Current
------------ ------------------ ---------- --------- ----------
Fa0/2 Forwarding 20 pps 10 pps 5 pps
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 43
障害発生時などで通信経路途中でキャプチャを取得したい
通常は間にHUBを挿入して、キャプチャを取得する
⇒HUBを挿入するために、一度リンクを切らなければならない。サービス提供中のNWを落とすことになるので通常は許容されない。(別途システム停止時間を設定して実施するなどの調整が必要となる)
ここでキャプチャしたい
キャプチャ端末
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 45
NWを落とさずにキャプチャ取得するためには
中継Switchで、SPANポートを作成することによりキャプチャが可能となる。
⇒Switchの空いているポートに設定を入れるだけなので、サービスを停止することなくキャプチャ取得が可能となる。
ここでキャプチャしたい
キャプチャ端末
WANに接続されたポートと同じ信号を出す
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 46
SPANとは
~SPAN(Switch Port ANalyzer)~
Switch上でパケットキャプチャを行うための、ポートミラーリング機能。特定のポートを流れる通信と全く同じものをコピーし、任意に指定したポートに流すことが可能。例:Fa0/1で送受信している内容を、全く関係のないFa0/24にコピーして流す
VLAN 10で送受信されている内容を、全く関係のないGi0/1にコピーして流す
基本的にミラーリング先のポートは、使用していない空いているポートを利用する。(もし既存で何かしらの通信で利用しているポートを指定した場合には、障害になる可能性が非常に高くなる)
キャプチャする装置・ソフトウェアは特に問わないが、一般的にはWindowsでWiresharkを利用する。(linuxのtcpdumpでも可能だが、設定に手間がかかる)※キャプチャする通信量によるが、一般的にはできるだけハイスペックなCPU、NICを搭載したPCを用意するのが望ましい。通信量が多くなるとキャプチャしきれずに取りこぼすことが多くなるため。(キャプチャ専用機器もあるので予算次第で利用するのもあり)
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 47
SPANの設定
~モニター(監視)する対象の設定~
Switch(config)# monitor session <number> source {interface <interface-id> | vlan
<vlan-id>} [, | -] {both | rx | tx}
※ポート番号またはVLAN番号を指定する。※複数設定する場合は、”,”または”-”を用いて指定する。※監視するトラフィック(送信と受信両方か、それともどちらかだけか)を指定する。
~ミラーリングするポートの設定~
Switch(config)# monitor session <number> destination interface <interface-id>
[, | -] [encapsulation {dot1q | replicate}]
※セッション番号は、送信元設定のセッション番号と同じにする。※宛先インタフェースでIEEE802.1Qカプセル化方式を使用する場合は、”encapsulation dot1q”を入力する。※”encapsulation replicate”を指定した場合、モニターするポートのカプセル化方式をミラーリングするポートで複製する。(元のカプセル化ヘッダを伝送する)指定しない場合(デフォルト)は、ネイティブ形式(タグなし)で送信される。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 48
SPANの確認
~SPANの確認~
Switch# show monitor session <セッション番号>
Session 1
---------
Type : Local Session
Source Ports :
Both : Fa0/7
Destination Ports : Fa0/1
Encapsulation : Native
Ingress : Disabled
ミラーリング対象のパケットの方向を示す。
ミラーリング対象のインタフェース名を示す。
ミラーリング先のインタフェース名を示す。
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 49
Stackingとは
専用のケーブルを使用することにより、複数台のSwitchを論理的に1台として利用する方法
⇒スタックケーブルを利用することにより、論理的に1台となるため、configも一つになるinterfaceは一台目がfa0/1~fa0/24、二台目がfa1/1~fa1/24となる。
通常LANケーブルで接続し、Trunk接続などで機器冗長化を実現する⇒2台ともにconfigが必要
スタックケーブルを使用して、複数台一台として機器冗長化を実現する⇒configは1台に投入するだけ
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 51
Stackingとは
スタックケーブルは、Loopになるように接続する。
⇒スタックは全てのSwitchが構成可能なわけではなく、機器の種類、グレードによるため要件に応じてベンダに相談するとベター
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 52
参考情報(役に立つコマンド)
~--More-- を非表示にする ~
Switch# terminal length 0
~ソフトウェアバージョンやハードウェアの基本情報を表示する~
Switch# show version
~ハードウェア情報を表示する(IOS12.3(4)Tから提供されたコマンド)~
Switch# show inventory
~シスコのサポート(TAC)に解析依頼する際の情報を出力する~
Switch# show tech-support
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 53
参考情報(役に立つコマンド)
~拡張ping ~
Switch# ping
~拡張traceroute~
Switch# traceroute
~ログ確認~
Switch# show logging
~CPU使用率の確認~
Switch# show process cpu
~メモリ使用率の確認~
Switch# show process memory
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 54
参考情報(シスコ技術者認定)
http://www.cisco.com/web/JP/learning/certifications/index.html
5つの認定レベルエントリーレベルから、アソシエイト、プロフェッショナル、エキスパート(CCIE / CCDE)、最上級レベルのアーキテクトまで、5つのレベルで構成されています。
10の分野ルーティング & スイッチング、ネットワーク セキュリティ、サービス プロバイダといった分野(コース)が複数用意されており、それぞれの職務分担や業界にとって適切な認定試験を受けることができます。
CCENT
CCNA
CCNP
CCIE
エントリーレベル
アソシエイト
プロフェッショナル
エキスパート
アーキテクト ※ルーティング&スイッチングの場合を示す。アーキテクトレベルはデザイン分野のみとなる。
今回の研修レベル
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 55
参考資料
・ネットワークエンジニアとしてhttp://www.infraexpert.com/
(各技術説明が図解入りで詳細に記載されています)
・CCStudy
http://www.ccstudy.org/
(サンプルコンフィグが充実しています)
・Cisco.com
http://www.cisco.com/web/JP/index.html
(技術キーワードからサンプルコンフィグなどを参照する)
ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 56
https://www.ntts.co.jp/products/soft_dojyo/index.html
top related