レイヤ 2 l2）機能の設定 - ciscotengigabitethernet 1/2...

Cisco 7600 シリーズイーサネットサービス POL-16147-02-J

C H A P T E R 4
レイヤ 2（L2）機能の設定
この章では、Cisco 7600 シリーズ Ethernet Services Plus（ES+）ラインカードの Layer 2（L2; レイヤ 2）機能をCisco 7600 シリーズルータで設定する方法について説明します。具体的な内容は次のとお

りです。

• フレキシブル QinQ マッピングおよびサービス認識機能（P.4-1）

• Cisco 7600 シリーズ ES+ ラインカードでの MultiPoint Bridging over Ethernet の設定（P.4-9）

• フレキシブルユーザネットワークインターフェイス（UNI）バックアップインターフェイス

（P.4-15）

• ポートチャネルの EVC（P.4-24）

• EVC ポートチャネルの LACP サポート（P.4-29）

• EVC のオプション 82 による Dynamic Host Configuration Protocol（DHCP）スヌーピング

（P.4-34）

• サービスインスタンスの IP ソースガード（P.4-38）

• EVC ブリッジドメインの Multiple Spanning Tree（MST）の設定（8517-1）（P.4-42）

• EVC ブリッジドメインの MAC アドレスセキュリティ（P.4-47）

• 接続障害管理（CFM）と PVST の共存（P.4-63）

• EVC インターフェイスのカスタム ethertype（P.4-68）

• スイッチポートのストームコントロールの設定（P.4-76）

この章で使用するコマンドの詳細については、

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122sr/cr/index.htm の『Cisco IOS Release 12.2 SR Command References』を参照してください。

フレキシブル QinQ マッピングおよびサービス認識機能

フレキシブル QinQ マッピングおよびサービス認識機能により、サービスプロバイダーは、アクセスノードにおける Layer 3（L3; レイヤ 3）サブインターフェイスへのダブルタグ dot1q フレームの終端

に備えて、トリプルプレイサービス、Digital Subscriber Line Access Multiplexer（DSLAM; デジタル

加入者線アクセスマルチプレクサ）からの住宅地のインターネットアクセス、ビジネスレイヤ 2 およ

びレイヤ 3 Virtual Private Network（VPN; バーチャルプライベートネットワーク）を提供できます。

アクセスノードは、Cisco 7600 シリーズ ES+ ラインカードで DSLAM に接続します。これにより、

Virtual Local Area Network（VLAN; バーチャル LAN）タグによってカスタマーインスタンスを識別

し、カスタマーインスタンスをさまざまなサービスにマッピングできます。

4-1lus ラインカードコンフィギュレーションガイド

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122sr/cr/index.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122sr/cr/index.htm

第 4 章レイヤ 2（L2）機能の設定

7600 シリーズ ES+ ラインカードのフレキシブル QinQ マッピングおよびサービス認識機能は、

Ethernet Virtual Connection Service（EVCS）サービスインスタンスだけでサポートされます。

EVCS では、Ethernet Virtual Circuit（EVC; イーサネット仮想回線）およびサービスインスタンスの

コンセプトが使用されます。EVC は、プロバイダーがお客様に提供しているレイヤ 2 サービスの単一

インスタンスのエンドツーエンド表現です。さまざまなパラメータが統合されて、サービスが提供され

ます。サービスインスタンスは、特定ルータの特定ポートにおける EVC のインスタンスです。

図 4-1 は、DSLAM 方向のアクセスルータが VLAN 変換（選択的 QinQ）およびグルーミング機能を

提供し、Service Router（SR; サービスルータ）がレイヤ 2 サービスまたはレイヤ 3 サービスに QinQ 終端を提供する、典型的なメトロアーキテクチャを示しています。

図 4-1 メトロアーキテクチャ

Cisco 7600 シリーズ ES+ ラインカードのフレキシブル QinQ マッピングおよびサービス認識は、次の

機能を提供します。

• ローカルシグニフィカンスとの VLAN 接続（VLAN ローカルスイッチング）

– あるポートから受信した dot1q タグトラフィックがタグの変更によって別のポートに相互接続

するシングルタグイーサネットローカルスイッチング。1 対 1 のマッピングサービスであ

り、Media Access Control（MAC; メディアアクセス制御）学習は関連しません。

– あるポートから受信したダブルタグトラフィックが両方のタグの変更によって別のポートに

相互接続するダブルタグイーサネットローカルスイッチング。ダブルタグのそれぞれの組み

合わせと相互接続のマッピングは 1 対 1 です。MAC 学習は関連しません。

– ヘアピニング（同一ポート内のEthernet Flow Point（EFP; イーサネットフローポイント））。

（注）接続サービスは、Bridge Protocol Data Unit（BPDU; ブリッジプロトコルデータユニッ

ト）パケットの識別をサポートしません。

1912

99

POP

L2/MPLS

DSLAM

L2 DSLAM L2

QinQ /L2/L3 VPNL3

QinQ L3

DHCP DSLAM

Dot1q 1:1 VLAN

N:1 VLAN

V V

IP

DSLAM

Qin Q

VIP

BRAS BRAS

4-2Cisco 7600 シリーズイーサネットサービス Plus ラインカードコンフィギュレーションガイド

OL-16147-02-J


• 選択的 QinQ（1 対 2 変換）

– 相互接続：選択的 QinQ では受信 dot1q トラフィックに外部タグが追加され、レイヤ 2 スイッ

チングまたは Ethernet over MultiProtocol Layer Switching（EoMPLS）でリモートエンドに

トンネリングされます。

– レイヤ 2 スイッチング：選択的 QinQ では受信 dot1q トラフィックに外部タグが追加され、レ

イヤ 2 スイッチングが実行されて、別のサービスを追加するために外部タグに基づいて Switch Virtual Interface（SVI; スイッチ仮想インターフェイス）が許可されます。

• ダブルタグ変換（2 対 2 変換）レイヤ 2 スイッチング：2 つの受信タグ付きフレームがポップ処理

され、2 つの新しいタグがプッシュ処理されます。

• ダブルタグ終端（2 対 1 タグ変換）

– Ethernet MultiPoint Bridging over Ethernet（MPBE）：着信ダブルタグがシングル dot1q タグ

に一意にマッピングされ、MPBE の実行に使用されます。

– ダブルタグ MPBE：入力ラインで入力パケットのダブルタグが使用され、ブリッジング VLAN が検索されます。ダブルタグはポップ処理され、出力ラインカードが新しいダブルタグを追加してパケットを送信します。

– ダブルタグルーティング：通常の dot1q タグルーティングと同じですが、ダブルタグが使用

されて非表示 VLAN が識別されます。

• ローカル VLAN シグニフィカンス：VLAN タグがポートだけで重要になります。

Cisco 7600 シリーズ ES+ ラインカードのサブインターフェイスは、サブインターフェイスに関連

する非表示 VLAN（内部で割り当てられた未設定の VLAN）を取得します。非表示 VLAN 番号

は、カプセル化 VLAN（ユーザまたは回線で認識される VLAN）とは関係ありません。カプセル

化はそのポートにローカルに使用されるため、複数のポートに同じカプセル化 VLAN を設定でき

ます。

• スケーラブル EoMPLS VC：シングルタグパケットはトンネルで送信されます。

• QinQ ポリシングおよび Quality of Service（QoS）

• レイヤ 2 Protocol Data Unit（PDU; プロトコルデータユニット）パケット

– connect および xconnect を使用すると、タグの有無に関係なく、レイヤ 2 PDU が透過的に転

送されます。

– bridge-domain を使用すると、レイヤ 2 PDU にタグが付いている場合、デフォルトではパケッ

トがドロップされます。レイヤ 2 PDU にタグが付いていない場合、パケットは物理ポート設

定によって処理されます（bridge-domain でタグなしサービスインスタンスを使用すると、

CPU は設定に応じて PDU を停止します）。この機能を EFP に設定している場合、BPDU が適

宜 EFP から決定機能に渡されます。

制約事項および使用上のガイドライン

Cisco 7600 シリーズ ES+ ラインカードのフレキシブル QinQ マッピングおよびサービス認識を設定す

る場合は、次の制約事項および使用上のガイドラインに従ってください。

• サービススケーラビリティ：

– サービスインスタンス：16,000

– 入力マッチングペア：8,000

– ブリッジドメイン：4,000

– ローカルスイッチング：32,000

– Xconnect：16,000


OL-16147-02-J


– サブインターフェイス：2,000

• QoS スケーラビリティ：

– シェーピング：2,000 親キュー、16,000 子キュー

– マーキング：2,000 親キュー、16,000 子キュー

• Modular QoS CLI（MQC）処理サポート：

– シェーピング

– 帯域幅

– ポリシーごとに 2 つのプライオリティキュー

– set cos コマンド、set cos-inner コマンド、set cos cos-inner コマンド、set cos-inner cos コマ

ンド

– Weighted Random Early Detection（WRED; 重み付けランダム早期検出）集約

– キュー制限

手順概要

1. enable

2. configure terminal

3. interface gigabitethernet slot/port または interface tengigabitethernet slot/port

4. service instance id ethernet [service-name]

5. encapsulation dot1q vlan-id

6. rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}}symmetric

詳細手順

コマンド目的

ステップ 1 enable

例：Router# enable

特権 EXEC モードをイネーブルにします。

• パスワードを要求されたら入力します。

ステップ 2 configure terminal

例：Router# configure terminal

グローバルコンフィギュレーションモードを開始し

ます。


OL-16147-02-J


例

シングルタグ VLAN 接続

次の例では、dot1q タグが 10 である着信フレームが TenGigabitEthernet 1/1 に入ります。これは TenGigabitEthernet 1/2 へインデックスで誘導され、dot1q タグ 11 で出力されます。MAC 学習は関連

しません。

（注）エンドツーエンドで VLAN 変換があるため、レイヤ 2 プロトコルを慎重に検討する必要があります。

一般に、使用例では両サイドを同じカプセル化に設定します。

ステップ 3 interface gigabitethernet slot/port

または

interface tengigabitethernet slot/port

例：Router(config)# interface gigabitethernet 4/1

設定するギガビットイーサネットまたは 10 ギガビッ

トイーサネットインターフェイスを指定します。

• slot/port：インターフェイスの場所を指定します。

ステップ 4 service instance id ethernet [service-name]

例：Router(config-if)# service instance 101 ethernet

サービスインスタンス（EVC をインスタンス化した

もの）をインターフェイスで作成し、config-if-srv サブモードにデバイスを設定します。

ステップ 5 encapsulation dot1q vlan-id

例：Router(config-if-srv)# encapsulation dot1q 13

入力 dot1q フレームを適切なサービスインスタンスに

インターフェイスでマッピングするために使用する一

致基準を定義します。

ステップ 6 rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

例：Router(config-if-srv)# rewrite ingress tag push dot1q 20 symmetric

サービスインスタンスへのフレーム入力で実行される

タグ操作を指定します。

コマンド目的


OL-16147-02-J


! DSLAM facing portRouter# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 100 ethernetRouter(config-if-srv)# encapsulation dot1q 10Router(config-if-srv)# rewrite ingress tag pop 1 symmetric !L2 facing portRouter(config)# interface TenGigabitEthernet 1/2Router(config-if)# service instance 101 ethernetRouter(config-if-srv)# encapsulation dot1q 11Router(config-if-srv)# rewrite ingress tag pop 1 symmetric! connect serviceRouter# connect EVC1 TenGigabitEthernet 1/1 100 TenGigabitEthernet 1/2 101

ダブルタグ VLAN 接続

次の例では、外部 dot1q タグが 10、内部タグが 20 である着信フレームが TenGigabitEthernet 1/1 に入

ります。これは TenGigabitEthernet 1/2 へインデックスで誘導され、外部 dot1q タグ 11 および内部タ

グ 21 で出力されます。MAC 学習は関連しません。

! DSLAM facing portRouter# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 100 ethernetRouter(config-if-srv)# encapsulation dot1q second-dot1q 20Router(config-if-srv)# rewrite ingress tag pop 2 symmetric!L2 facing portRouter(config)# interface TenGigabitEthernet 1/2Router(config-if)# service instance 101 ethernetRouter(config-if-srv)# encapsulation dot1q 11 second-dot1q 21Router(config-if-srv)# rewrite ingress tag pop 2 symmetric! connect serviceRouter# connect EVC1 TenGigabitEthernet 1/1 100 TenGigabitEthernet 1/2 101

相互接続での選択的 QinQ

この設定ではシングルタグサブインターフェイスで EoMPLS が使用され、パケット転送が実行され

ます。

! DSLAM facing portRouter# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 100 ethernetRouter(config-if-srv)# encapsulation dot1q 10-20,30,50-60Router(config-if-srv)# xconnect 2.2.2.2 999 pw-class vlan-xconnect!Router(config)# interface Loopback1Router(config-if)# ip address 1.1.1.1 255.255.255.255! MPLS core facing portRouter(config)# interface TenGigabitEthernet 2/1Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# mpls ipRouter(config-if)# mpls label protocol ldp! MPLS core facing port


OL-16147-02-J


Router(config)# interface TenGigabitEthernet 2/1Router(config-if)# ip address 192.168.1.2 255.255.255.0Router(config-if)# mpls ipRouter(config-if)# mpls label protocol ldp!Router(config)# interface Loopback1Router(config-if)# ip address 2.2.2.2 255.255.255.255

! CE facing EoMPLS configurationRouter# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/2Router(config-if)# service instance 1000Router(config-if-srv)# encapsulation dot1q 1000 second-dot1q anyRouter(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)#xconnect 1.1.1.1 999 pw-class vlan-xconnect

レイヤ 2 スイッチングでの選択的 QinQ

この設定ではレイヤ 2 スイッチングが使用され、パケット転送が実行されます。転送メカニズムは MPBE と同じですが、サービスインスタンスごとの書き換えだけが異なります。

! DSLAM facing port, single tag incomingRouter# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 100 ethernetRouter(config-if-srv)# encapsulation dot1q 10-20Router(config-if-srv)# bridge-domain 11! QinQ VLANRouter(config)# interface TenGigabitEthernet 1/2Router(config-if)# switchportRouter(config-if)# switchport mode trunkRouter(config-if)# switchport trunk vlan allow 11

ダブルタグ変換（2 対 2 タグ変換）

ここでは、ダブルタグフレームが入力で受信されます。両方のタグがポップ処理され、2 つの新しいタ

グがプッシュ処理されます。パケットはブリッジドメイン VLAN にレイヤ 2 スイッチングされます。

! QinQ facing portRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 100 ethernetRouter(config-if-srv)# encapsulation dot1q 100 second-dot1q 10Router(config-if-srv)# rewrite ingress tag translate 2-to-2 dot1q 200 second-dot1q 20 symmetricRouter(config-if-srv)# bridge-domain 200! QinQ VLAN! Router(config)# interface TenGigabitEthernet 1/2Router(config-if)# service instance 101 ethernetRouter(config-if-srv)# encapsulation dot1q 200 second-dot1q 20Router(config-if-srv)# bridge-domain 200


OL-16147-02-J


ダブルタグ終端（2 対 1 タグ変換）

次の例はレイヤ 2 スイッチングに分類されます。

! Double tag trafficRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 100 ethernetRouter(config-if-srv)# encapsulation dot1q 200 second-dot1q 20Router(config-if-srv)# rewrite ingress tag pop 2 symmetricRouter(config-if-srv)# bridge-domain 10!Router(config)# interface TenGigabitEthernet 1/2Router(config-if)# service instance 101 ethernetRouter(config-if-srv)# encapsulation dot1q 10Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 10!Router(config)# interface TenGigabitEthernet 1/3Router(config-if)# service instance 101 ethernetRouter(config-if-srv)# encapsulation dot1q 30Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 10

検証

動作を検証するには、次のコマンドを使用します。

コマンド目的

Router# show ethernet service evc [id evc-id | interface interface-id] [detail]

EVC ID を指定した場合は、指定 EVC に関する情報が表示さ

れ、インターフェイスを指定した場合は、インターフェイス

のすべての EVC に関する情報が表示されます。detail オプ

ションを指定すると、EVC の詳細情報が表示されます。

Router# show ethernet service instance [id instance-id interface interface-id | interface interface-id] [detail]

1 つまたは複数のサービスインスタンスに関する情報が表示

されます。サービスインスタンス ID およびインターフェイ

スを指定した場合は、特定サービスインスタンスに関する

データだけが表示されます。インターフェイス ID だけを指

定した場合は、特定インターフェイスのすべてのサービスインスタンスのデータが表示されます。

Router# show ethernet service interface [interface-id] [detail]

Port Data Block（PDB）の情報が表示されます。

Router# show mpls l2 vc detail Virtual Connection（VC; 仮想接続）に関する詳細情報が表示

されます。

Router# show mpls forwarding MultiProtocol Label Switching（MPLS; マルチプロトコルラベルスイッチング）Label Forwarding Information Base

（LFIB; ラベル転送情報ベース）の内容が表示されます。

（注）出力にはラベルエントリ l2ckt が含まれます。

Router# show connect フレームリレー /ATM 間のネットワークインターワーキング

（FRF.5）接続およびフレームリレー /ATM 間サービスイン

ターワーキング（FRF.8）接続に関する統計情報などを表示

します。

Router# show xconnect xconnect 接続回線および擬似回線に関する情報を表示します。


OL-16147-02-J


Cisco 7600 シリーズ ES+ ラインカードでの MultiPoint Bridging over Ethernet の設定

Cisco 7600 シリーズ ES+ ラインカードの MultiPoint Bridging over Ethernet（MPBE）では、MAC 学習、ローカル VLAN シグニフィカンス、フル QoS サポートがイーサネット LAN スイッチングに提供

されます。MPBE では、スイッチポートへのフル実装が不要な、レイヤ 2 スイッチポートのような機

能も提供します。MPBE は、Ethernet Virtual Connection Services（EVCS）サービスインスタンスだ

けでサポートされます。

EVCS では、EVC（イーサネット仮想回線）およびサービスインスタンスのコンセプトが使用されま

す。EVC は、プロバイダーがお客様に提供しているレイヤ 2 サービスの単一インスタンスのエンド

ツーエンド表現です。さまざまなパラメータが統合されて、サービスが提供されます。サービスイン

スタンスは、特定ルータの特定ポートにおける EVC のインスタンスです。

MPBE では、EVC パケットフィルタリング機能により、ブロードキャストまたはマルチキャストブリッジドメイントラフィックパケットが、あるサービスインスタンスから別のサービスインスタン

スにリークすることが防止されます。フィルタリングは書き換えの前後に実行され、パケットは意図し

たサービスインスタンスだけに移動します。

MPBE は次のように使用できます。

• レイヤ 2 VPN、レイヤ 3 VPN、レイヤ 2 ブリッジングなどのレイヤ 2 サービスおよびレイヤ 3 サービスを同一物理ポートで同時に設定します。

• ブロードキャストドメインをシステムで定義します。ブロードキャストドメインの一部であるカ

スタマーインスタンスを、同一物理ポートまたは別々のポートに含めることができます。

• さまざまなカプセル化で複数のサービスインスタンスを設定し、単一ブリッジドメインにマッピ

ングします。

• 同一ブリッジドメインにおいて、サービスインスタンス間のローカルスイッチングを実行します。

• 同一ブリッジドメインの一部であるサービスインスタンスを使用し、さまざまな物理インター

フェイスにローカルスイッチングを実行します。

• ブリッジドメインのコアからすべてのサービスインスタンスに、フラッディングパケットを複製

します。

• レイヤ 2 トンネリングサービスまたはレイヤ 3 終端サービスをブリッジドメイン VLAN で設定し

ます。

MPBE は、サービスインスタンスごとに VLAN タグを操作して、操作した VLAN タグをレイヤ 2 サービスまたはレイヤ 3 サービスにマッピングし、これを達成します。可能な VLAN タグ操作は次の

とおりです。

• シングルタグ終端

• シングルタグトンネリング

• シングルタグ変換

• ダブルタグ終端

• ダブルタグトンネリング

• ダブルタグ変換

• 選択的 QinQ 変換


OL-16147-02-J



Cisco 7600 シリーズ ES+ ラインカードの MPBE over Ethernet を設定する場合は、次の制約事項およ

び使用上のガイドラインに従ってください。

• 各サービスインスタンスは、ブリッジドメインの別々の回路と見なされます。

• カプセル化は、dot1q パケットまたは QinQ パケットにすることができます。

• 440 MPB VC は、1 つのブリッジドメインでサポートされます（ネットワークプロセッサごとに 110）。

• Internet Group Management Protocol（IGMP; インターネットグループ管理プロトコル）スヌーピ

ングは、サービスインスタンスがブリッジドメインで終端する場合（すべてのタグを symmetric でポップ処理）、MPB VC でサポートされます。

• スプリットホライズンは MPB VC でサポートされます。

• タグなし BPDU パケットは、ピアリング、ドロップ、またはデータとして転送されます。

• タグ付き BPDU パケットは、ドロップまたはデータとして転送されます。

手順概要

1. enable



4. [no] service instance id {Ethernet [service-name]}

5. encapsulation dot1q vlan-id [second-dot1q vlan-id]

6. [no] rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

7. [no] bridge-domain bridge-id

詳細手順

コマンド目的







グローバルコンフィギュレーションモードを開始します。


OL-16147-02-J


ステップ 3 interface gigabitethernet slot/port またはinterface tengigabitethernet slot/port


設定するギガビットイーサネットまたは 10 ギガビットイーサネットインターフェイスを指定します。


ステップ 4 [no] service instance id {Ethernet [service-name]}


サービスインスタンス（EVC をインスタンス化したもの）

をインターフェイスで作成し、config-if-srv サブモードに

デバイスを設定します。

ステップ 5 encapsulation dot1q vlan-id [second-dot1q vlan-id]


入力 dot1q フレームを適切なサービスインスタンスにイン

ターフェイスでマッピングするために使用する一致基準を

定義します。

ステップ 6 [no] rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric


サービスインスタンスへのフレーム入力で実行されるタグ

操作を指定します。

（注）このコマンドを設定しない場合、フレームは入力

でそのまま残ります（サービスインスタンスはト

ランクポートに相当します）。

ステップ 7 [no] bridge-domain bridge-id

例：Router(config-if-srv)# bridge-domain 12

サービスインスタンスをブリッジドメインインスタンス

にバインドします。bridge-id はブリッジドメインインス

タンスの識別子です。

コマンド目的


OL-16147-02-J


例

シングルタグ終端の例

次の例では、シングルタグ終端により、単一 VLAN タグに基づいてカスタマーが識別され、シングル VLAN タグがブリッジドメインにマッピングされます。

Router# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 10 Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 12

シングルタグトンネリングの例

次のシングルタグトンネリングの例では、着信 VLAN タグが削除されずにパケットに残ります。

Router# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 10Router(config-if-srv)# bridge-domain 200

シングルタグ変換の例

次のシングルタグ変換の例では、着信 VLAN タグが削除され、VLAN 200 がパケットに追加されます。

Router# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 3/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 10Router(config-if-srv)# rewrite ingress tag translate 1-to-1 dot1q 200 symmetricRouter(config-if-srv)# bridge-domain 200

ダブルタグトンネリングの例

次のダブルタグトンネリングの例では、着信 VLAN タグが削除されずにパケットに残ります。

Router# enable Router# configure terminal Router(config)# interface TenGigabitEthernet 1/1 Router(config-if)# service instance 10 ethernet Router(config-if-srv)# encapsulation dot1q 10 second-dot1q 20 Router(config-if-srv)# bridge-domain 200

ダブルタグ終端設定の例

次のダブルタグ終端の例では、入力がダブルタグを受信してブリッジ VLAN を識別します。ダブルタグはパケットから取り除かれます（終端します）。

Router# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 2/1


OL-16147-02-J


Router(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 10 inner 20Router(config-if-srv)# rewrite ingress tag pop 2 symmetric Router(config-if-srv)# bridge-domain 200Router(config-if)# service instance 2Router(config-if-srv)# encapsulation dot1q 40 inner 30Router(config-if-srv)# rewrite ingress tag pop 2 symmetric Router(config-if-srv)# bridge-domain 200

ダブルタグ変換設定の例

次の例では、ダブルタグフレームが入力で受信されます。両方のタグがポップ処理され、2 つの新しい

タグがプッシュ処理されます。パケットはブリッジドメイン VLAN にレイヤ 2 スイッチングされます。

Router# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 10 second-dot1q 20Router(config-if-srv)# rewrite ingress tag translate 2-to-2 dot1q 40 second dot1q 30 symmetricRouter(config-if-srv)# bridge-domain 200Router(config-if)# service instance 2 ethernetRouter(config-if-srv)# encapsulation dot1q 40 second-dot1q 30Router(config-if-srv)# rewrite ingress tag translate 2-to-2 dot1q 10 second dot1q 20 symmetricRouter(config-if-srv)# bridge-domain 200

選択的 QinQ 設定の例

次の例では VLAN の範囲が設定され、単一 MPB VC に接続されます。

Router# enableRouter# configure terminalRouter(config)# interface TenGigabitEthernet 1/1Router(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 10-20Router(config-if-srv)# bridge-domain 200

Router(config)# interface TenGigabitEthernet 2/1Router(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 10-20Router(config-if-srv)# bridge-domain 200

タグなしトラフィックの設定例

次の例では、タグなしトラフィックがブリッジドメインにブリッジングされ、スイッチポートトラン

クに転送されます。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# no ip addressRouter(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation untaggedRouter(config-if-srv)# bridge-domain 11Router(config)# interface TenGigabitEthernet 1/1Router(config-if)# switchportRouter(config-if)# switchport mode trunk


OL-16147-02-J


Router(config-if)# switchport trunk allowed vlan 11

スプリットホライズンを含む MPBE の設定例

次の例では、トラフィックの発信元インターフェイスを除いて、不明ユニキャストトラフィックがブ

リッジドメインでフラッディングします。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# no ip addressRouter(config-if)# service instance 1000 ethernetRouter(config-if-srv)# encapsulation dot1q 100 second-dot1q 10-20Router(config-if-srv)# bridge-domain 100 split-horizonRouter(config-if)# service instance 1001 ethernetRouter(config-if-srv)# encapsulation dot1q 101 second-dot1q 21-30Router(config-if-srv)# bridge-domain 101 split-horizonRouter(config-if)# service instance 1010 ethernetRouter(config-if-srv)# encapsulation dot1q 100Router(config-if-srv)# rewrite ingress tag symmetric translate 1-to-2 dot1q 10 second-dot1q 100 symmetricRouter(config-if-srv)# bridge-domain 10 split-horizonRouter(config-if)# mls qos trust dscp

次の例では、サービスインスタンスがイーサネットインターフェイスで設定され、ブリッジドメイン

で終端します。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 100 ethernetRouter(config-if-srv)# encapsulation dot1q 1000Router(config-if-srv)# bridge-domain 10

Router(config)# interface GigabitEthernet 1/1Router(config-if)# switchportRouter(config-if)# switchport mode trunkRouter(config-if)# switchport trunk allowed vlan 10


OL-16147-02-J


検証


フレキシブルユーザネットワークインターフェイス（UNI）バックアップインターフェイス

フレキシブル UNI バックアップインターフェイス機能では、イーサネットインターフェイス用の冗長 User-to-Network Interface（UNI; ユーザネットワークインターフェイス）接続を設定でき、デュアル

ホーム接続デバイスに冗長機能を提供します。

冗長 User Provider-Edge（U-PE; ユーザプロバイダーエッジ）デバイスを通じて柔軟なサービスを提

供するために、Network Provider-Edge（N-PE; ネットワークプロバイダーエッジ）デバイス上に冗長

（フレキシブル）UNI を設定することができます。N-PE の UNI は、プライマリおよびバックアップと

して指定され、同じ設定になります。プライマリインターフェイスに障害が発生した場合、サービス

は自動的にバックアップインターフェイスに移行されます。

図 4-2 では、Cisco 7600 シリーズルータをデュアルホーム接続の N-PE（NPE1）およびデュアルホー

ム接続の U-PE（UPE2）として設定したときのフレキシブル UNI の使用方法を示しています。

図 4-2 デュアルホームのデバイスのバックアップインターフェイス

コマンド目的














Router# show ethernet service instance summary 全体の EVC カウントおよび個々のインターフェイスの EVC カウントを表示します。

NPE10 NPE11NPE12

NPE14

ge2/4.4 gi3/0/0/0

fa1/0.4

72a

fa1/0.2

gi3/0/0/11

ge1/3.2

ge1/3.4

ge2/4.2

1919

78


OL-16147-02-J


（注）プライマリおよびバックアップインターフェイスの設定は、同一である必要があります。

プライマリインターフェイスは、バックアップの設定対象のインターフェイスです。動作時、プライ

マリインターフェイスはアクティブで、バックアップ（セカンダリ）インターフェイスはスタンバイモードになります。プライマリインターフェイスが（信号の消失によって）ダウンすると、ルータは

バックアップインターフェイスの使用を開始します。

プライマリインターフェイスがアクティブ（アップ）の間、バックアップインターフェイスはスタン

バイモードになります。プライマリインターフェイスがダウンすると、バックアップインターフェイ

スがアップステートに移行し、ルータはプライマリインターフェイスの代わりにバックアップイン

ターフェイスの使用を開始します。プライマリインターフェイスがアップに戻ると、バックアップインターフェイスはスタンバイモードに戻ります。スタンバイモードの間、バックアップインターフェ

イスは実質的にダウンしていて、ルータはその状態をモニタせず、統計も収集しません。

この機能には、次のような利点があります。

• 次のイーサネット仮想回線（EVC）機能をサポートしています。

– フレームマッチング：サポートされているカプセル化（Dot1q、デフォルト、タグなし）が設

定された EVC

– フレーム再書き込み：すべてサポート（プッシュ、ポップ、および変換による入出力）

– フレーム転送：MultiPoint Bridging over Ethernet（MPBE）、xconnect、connect

– EVC の Quality Of Service（QoS）

• レイヤ 3（L3）終端と L3 Virtual Routing and Forwarding（VRF）をサポート

• 複数のタイプのアップリンク：MultiProtocol Label Switching（MPLS）、Virtual Private LAN Service（VPLS）、スイッチポート

フレキシブル UNI バックアップインターフェイス機能では、次のイーサネットコンポーネントを使用

します。

• イーサネット仮想回線（EVC）：プロバイダーネットワーク内でポイントツーポイントまたはポイ

ントツーマルチポイントパスを示す 2 つ以上の UNI 間の関係。EVC の詳細については、「フレキ

シブル QinQ マッピングおよびサービス認識機能」（P.4-1）を参照してください。

• イーサネットフローポイント（EFP）：インターフェイス上の EVC の論理境界ポイント。2 つ以上

の UNI を使用する EVC は、EVC が通過する各デバイスに関連する入力インターフェイスおよび

出力インターフェイスに EFP を必要とします。


ルータでフレキシブル UNI バックアップインターフェイスを設定する際は、次の制約事項および使用

上のガイドラインに従ってください。

• ハードウェアおよびソフトウェアのサポート

– Cisco 7600 シリーズ ES+ ラインカードでサポート

– Route Switch Processor 720、Supervisor Engine 720、Supervisor Engine 32 でサポート

– Cisco IOS Release 12.2(33)SRD 以降が必要

• プライマリおよびセカンダリインターフェイスで同じ IP アドレスを使用することができます。こ

れにより、インターフェイスで L3 終端（シングルまたはダブルタグ付き）がサポート可能になり

ます。


OL-16147-02-J


• プライマリおよびバックアップインターフェイスの設定は、同一である必要があります。設定が

同一でないとこの機能はうまく動作しませんが、ルータでは設定の一致はチェックされません。

（注）設定に xconnect コマンドが含まれている場合、プライマリインターフェイスとバック

アップインターフェイスに異なる VCID を指定する必要があります。

• プライマリインターフェイスおよびセカンダリインターフェイスで必要な重複リソースは、ルー

タで利用可能な合計リソースから取得されるので、利用可能なリソースに影響を与えます。たとえ

ば、xconnect コマンドは、プライマリインターフェイスおよびバックアップインターフェイスで

リソースを消費します。

• プライマリインターフェイスとバックアップインターフェイスで設定された機能

（bridge-domain、xconnect、connect コマンドなど）は、インターフェイスのステートの移行に

合わせてアップまたはダウンします。

• プライマリインターフェイスとバックアップインターフェイス間の切り替え時間は、ベストエフォート型です。バックアップインターフェイスがスタンバイモードからアクティブモードに移

行する時間は、リンクステート検出時間と、EVC と機能がアップステートに移行する時間の合計

によります。

• プライマリインターフェイスでの設定変更や管理動作は、自動的にバックアップインターフェイ

スに反映されます。

• ルータは、アクティブインターフェイスの統計をモニタおよび収集しますが、バックアップイン

ターフェイスに対しては実行しません。通常動作では、プライマリインターフェイスがアクティブ

ですが、プライマリインターフェイスがダウンするとバックアップインターフェイスがアクティブ

になり、ルータはバックアップインターフェイスのモニタリングと統計の収集を開始します。

• プライマリインターフェイスがアップに戻ると、バックアップインターフェイスはすぐにスタン

バイモードに戻ります。信号がプライマリインターフェイスで復元されると、インターフェイス

はプライマリとして復元されます。

手順概要

1. enable


3. interface type slot/port

4. backup interface type interface

（注）プライマリインターフェイスおよびバックアップインターフェイスの設定を同一にしないと、

機能はうまく動作しません。インターフェイスに EVC サービスインスタンスを設定するには、

service instance、encapsulation、rewrite、bridge-domain、および xconnect コマンドを使

用します。詳細については、「Cisco 7600 シリーズ ES+ ラインカードでの MultiPoint Bridging over Ethernet の設定」（P.4-9）および「Any Transport over MPLS（AToM）の設定」（P.6-1）を参照してください。

5. （任意）backup delay enable-delay disable-delay

6. （任意）backup load enable-percent disable-percent

7. exit

8. （任意）connect primary interface srv-inst interface srv-inst

9. （任意）connect backup interface srv-inst interface srv-inst


OL-16147-02-J


10.（任意）connect primary interface srv-inst1 interface srv-inst2

11.（任意）connect backup interface srv-inst1 interface srv-inst2

12. exit

詳細手順

コマンドまたはアクション目的








ステップ 3 Router(config)# interface type slot/port


プライマリインターフェイスを選択します。これは、

バックアップインターフェイスの作成対象のインター

フェイスです。たとえば interface gigabitEthernet 3/1 は、スロット 3 に搭載されているギガビットイーサネッ

トカードのポート 1 のインターフェイスを選択します。

• type は、インターフェイスタイプを指定します。有

効値は、gigabitethernet または tengigabitethernet です。

• slot/port は、インターフェイスの場所を指定します。

ステップ 4 Router(config-if)# backup interface type interface

例：Router(config)# backup interface gigabitethernet 4/1

バックアップインターフェイスとして機能するインター

フェイスを選択します。

（注）プライマリインターフェイスおよびバックアップインターフェイスの設定を同一にしないと、機能はうまく動作

しません。インターフェイスに EVC サービスインスタンスを設定するには、service instance、encapsulation、rewrite、bridge-domain、および xconnect コマンドを使用します。詳細については、「Cisco 7600 シリーズ ES+ ラインカードでの MultiPoint Bridging over Ethernet の設定」（P.4-9）および「Any Transport over MPLS（AToM）

の設定」（P.6-1）を参照してください。


OL-16147-02-J


ステップ 5 Router(config-if)# backup delay enable-delay disable-delay

例：Router(config-if)# backup delay 0 0

（任意）バックアップインターフェイスをイネーブルまた

はディセーブルにする時間遅延を（秒単位で）指定します。

• enable-delay は、プライマリインターフェイスがダウ

ンしてバックアップインターフェイスがアップにな

るまでの待機時間です。

• disable-delay は、プライマリインターフェイスがアッ

プに戻って、バックアップインターフェイスがスタン

バイ（ダウン）ステートに戻るまでの時間です。

（注）フレキシブル UNI バックアップインターフェイス

機能のデフォルトの遅延期間（0 0）は変更しない

でください。変更すると正しく動作しなくなる可

能性があります。

ステップ 6 Router(config-if)# backup load enable-percent disable-percent

例：Router(config-if)# backup load 50 10

（任意）バックアップインターフェイスがイネーブルまた

はディセーブルになるときのプライマリインターフェイ

スのトラフィック負荷のしきい値を（合計容量のパーセン

テージとして）指定します。

• enable-percent：プライマリインターフェイスのトラ

フィック負荷がこの合計容量のパーセンテージを超過

した場合にバックアップインターフェイスをアク

ティブにします。

• disable-percent：プライマリインターフェイスとバッ

クアップインターフェイスの合計負荷がプライマリインターフェイスのこのパーセンテージに戻った場合

に、バックアップインターフェイスを非アクティブ

にします。

10 MB の容量のあるプライマリインターフェイスに例の

設定を適用すると、プライマリインターフェイスのトラ

フィック負荷が 5 MB（50%）を超過した場合にルータは

バックアップインターフェイスをアクティブにし、両方

のインターフェイスの合計トラフィックが 1 MB（10%）

を下回った場合にバックアップインターフェイスをディ

セーブルにします。

ステップ 7 exit

例：Router(config-if)# exit

インターフェイスコンフィギュレーションモードを終了し、

グローバルコンフィギュレーションモードに戻ります。

ステップ 8 Router(config)# connect primary interface srv-inst interface srv-inst

例：Router(config-if)# connect primary gi3/2 gi3/3

（任意）2 つの異なるインターフェイス上の 1 つのサービスインスタンス（srv-inst）間にローカル接続を確立します。

connect primary コマンドはプライマリインターフェイ

ス間の接続を確立します。



OL-16147-02-J


次に、設定例を示します。

• gi3/1 がプライマリインターフェイスで、gi4/1 がバックアップインターフェイスです。

• 各インターフェイスでは 2 つのサービスインスタンス（2 と 4）をサポートしており、各サービスインスタンスは異なるタイプの転送（bridge-domain および xconnect）を使用しています。

• サービスインスタンス 2 の xconnect コマンドは、各インターフェイスで異なる VCID を使用して

います。

Router# enableRouter# configure terminalRouter(config)# interface gi3/1Router(config-if)# backup interface gi4/1Router(config-if)# service instance 4 ethernetRouter(config-if-srv)# encapsulation dot1q 4Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 4Router(config-if-srv)# exitRouter(config-if)# service instance 2 ethernetRouter(config-if-srv)# encapsulation dot1q 2Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# xconnect 10.0.0.0 2 encap mpls

Router(config)# interface gi4/1 Router(config-if)# service instance 4 ethernetRouter(config-if-srv)# encapsulation dot1q 4Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 4Router(config-if-srv)# exitRouter(config-if)# service instance 2 ethernet

ステップ 9 Router(config)# connect backup interface srv-inst interface srv-inst

例：Router(config-if)# connect backup gi4/2 gi4/2

（任意）2 つの異なるインターフェイス上の 1 つのサービスインスタンス（srv-inst）間にローカル接続を確立します。

connect backup コマンドはバックアップインターフェイ

ス間の接続を確立します。

ステップ 10 Router(config)# connect primary interface srv-inst1 interface srv-inst2

例：Router(config-if)# connect primary gi3/2 gi3/3

（任意）同一ポート上で別のサービスインタンス

（srv-inst1 と srv-inst2）間でのローカルスイッチングをイ

ネーブルにします。

connect primary コマンドを使用してプライマリイン

ターフェイスで接続を確立します。

ステップ 11 Router(config)# connect backup interface srv-inst1 interface srv-inst2

例：Router(config-if)# connect backup gi4/2 gi4/3

（任意）同一ポート上で別のサービスインタンス

（srv-inst1 と srv-inst2）間でのローカルスイッチングをイ

ネーブルにします。

connect backup コマンドを使用してバックアップイン

ターフェイスで接続を確立します。

ステップ 12 exit


インターフェイスコンフィギュレーションモードを終了

します。



OL-16147-02-J


Router(config-if-srv)# encapsulation dot1q 2Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# xconnect 10.0.0.0 5 encap mpls

検証

ここでは、ルータに設定されているプライマリインターフェイスとバックアップインターフェイスに

関する情報を表示するコマンドを示します。次の例では、プライマリインターフェイスが gi3/1 で、セ

カンダリ（バックアップ）インターフェイスが gi3/11 です。

• バックアップインターフェイスの一覧を表示するには、特権 EXEC モードで show backup コマン

ドを使用します。この出力例では、単一のバックアップ（セカンダリ）インターフェイスを示して

います。

Router# show backup Primary Interface Secondary Interface Status----------------- ------------------- ------GigabitEthernet 3/1 GigabitEthernet 3/11 normal operation

• プライマリインターフェイスやバックアップインターフェイスに関する情報を表示するには、特

権 EXEC モードで show interfaces コマンドを使用します。情報を表示するインターフェイスでコ

マンドを発行します。次の例では、プライマリインターフェイス（gi3/1）とバックアップイン

ターフェイス（gi3/11）でコマンドを発行した場合の出力を示しています。

Router# show interface gi3/1 GigabitEthernet3/1 is up, line protocol is up (connected) Hardware is GigEther SPA, address is 0005.dc57.8800 (bia 0005.dc57.8800) Backup interface GigabitEthernet 3/11, failure delay 0 sec, secondary disable delay 0 sec, kickin load not set, kickout load not set[…]

Router# show interface gi3/11 GigabitEthernet3/11 is standby mode, line protocol is down (disabled)

プライマリインターフェイスがダウンした場合、次のコマンド出力のとおり、バックアップ（セカン

ダリ）インターフェイスはアップステートに移行します。このとき、show backup および show interfaces コマンドを再び発行した場合、コマンド出力がどのように変化するかに注意してください。

show backup のステータスが変わり、gi3/1 のラインプロトコルはダウン（notconnect）に、gi3/11 のラインプロトコルがアップ（connected）になります。

Router# !!! Link gi3/1 (active) goes down… 22:11:11: %LINK-DFC3-3-UPDOWN: Interface GigabitEthernet3/1, changed state to down22:11:12: %LINK-DFC3-3-UPDOWN: Interface GigabitEthernet3/11, changed state to up22:11:12: %LINEPROTO-DFC3-5-UPDOWN: Line protocol on Interface GigabitEthernet3/1, changed state to down22:11:13: %LINEPROTO-DFC3-5-UPDOWN: Line protocol on Interface GigabitEthernet3/11, changed state to up

Router# show backup Primary Interface Secondary Interface Status----------------- ------------------- ------GigabitEthernet3/1 GigabitEthernet3/11 backup mode

Router# show interface gi3/1 GigabitEthernet3/1 is down, line protocol is down (notconnect) Hardware is GigEther SPA, address is 0005.dc57.8800 (bia 0005.dc57.8800)


OL-16147-02-J


Backup interface GigabitEthernet3/11, failure delay 0 sec, secondary disable delay 0 sec,

Router# show interface gi3/11 GigabitEthernet3/11 is up, line protocol is up (connected)

例

図 4-3 は、フレキシブル UNI バックアップインターフェイスの設定例を示しています。この設定には、

次のように設定されている EVC（サービスインスタンス）が含まれています。

• サービスインスタンス 4 が、ネットワークプロバイダーエッジ NPE12 への VPLS アップリンク

のあるブリッジドメインで終端されているプライマリおよびバックアップインターフェイス（リ

ンク）に設定されています。

• サービスインスタンス 2 は、スケーラブル Ethernet over MPLS として設定されており、NPE12 の SVI VPLS とピアになっています。

図 4-3 フレキシブル UNI バックアップインターフェイスの設定

NPE10 で次のように設定します。

interface ge2/4.4 description npe10 to npe11 gi3/11 – backup - bridged encapsulation dot1q 4 ip address 100.4.1.33 255.255.255.0

interface ge2/4.2 description npe10 to npe11 gi3/11 – backup – xconnect encapsulation dot1q 2 ip address 100.2.1.33 255.255.255.0


interface ge1/3.4 description npe14 to npe11 gi3/1 – primary - bridged encapsulation dot1q 4 ip address 100.4.1.22 255.255.255.0

interface ge1/3.2 description npe14 to npe11 gi3/1 – primary - xconnect encapsulation dot1q 2 ip address 100.2.1.22 255.255.255.0

ユーザプロバイダーエッジ（U-PE）の 72a で次のように設定します。

interface fa1/0.4 description 72a to npe12 – bridged encapsulation dot1q 4

NPE10 NPE11NPE12

NPE14

ge2/4.4 gi3/0/0/0

fa1/0.4

72a

fa1/0.2

gi3/0/0/11

ge1/3.2

ge1/3.4

ge2/4.2

1919

78


OL-16147-02-J


ip address 100.4.1.12 255.255.255.0

interface fa1/0.2 description 72a to npe12 - xconnect encapsulation dot1q 2 ip address 100.2.1.12 255.255.255.0


interface gigabitEthernet 3/1 backup interface gigabitEthernet 3/11 service instance 2 ethernet encapsulation dot1q 2 rewrite ingress tag pop 1 symmetric xconnect 12.0.0.1 2 encapsulation mpls service instance 4 ethernet encapsulation dot1q 4 rewrite ingress tag pop 1 symmetric bridge-domain 4

interface gigabitEthernet 3/11 service instance 2 ethernet encapsulation dot1q 2 rewrite ingress tag pop 1 symmetric xconnect 12.0.0.1 21 encapsulation mpls service instance 4 ethernet encapsulation dot1q 4 rewrite ingress tag pop 1 symmetric bridge-domain 4


interface GE-WAN 4/3 description npe11 to npe12 ip address 10.3.3.1 255.255.255.0 mpls ipl2 vfi vlan4 manual vpn id 4 neighbor 12.0.0.1 4 encapsulation mplsinterface Vlan 4 xconnect vfi vlan4

l2 vfi vlan4 manual vpn id 4 neighbor 11.0.0.1 4 encap mplsinterface Vlan4 description npe12 to npe11 xconnect xconnect vfi vlan4l2 vfi vlan2 manual vpn id 2 neighbor 11.0.0.1 2 encap mpls neighbor 11.0.0.1 21 encap mplsinterface Vlan2 xconnect vfi vlan2interface GE-WAN 9/4 description npe12 to npe11 ip address 10.3.3.2 255.255.255.0 mpls ip

interface fastEthernet 8/2 description npe12 to 72a switchport switchport trunk encap dot1q switchport mode trunk


OL-16147-02-J


switchport trunk allowed vlan 2-4

プライマリインターフェイスをイネーブルにしています。

NPE 11# show backupPrimary interface Secondary interface Status--------------------------------------------GigabitEthernet3/1GigabitEthernet3/11 normal operationNPE-11#sh int gi3/1GigabitEthernet3/1 is up, line protocol is up (connected)Hardware is GigEther SPA, address is 0005.dc57.8800(bia 0005.dc57.8800)Backup interface GigabitEthernet3/11, failure delay 0 sec, secondary disable delay 0 sec,kicking load not set, kickout load not set,[...]NPE-11# show interface gi3/11GigabitEthernet 3/11 is standby mode, line protocol is down (disabled)

プライマリリンクをディセーブルにします。

NPE 11#!!!Link gi3/1 (active) goes down22:11:11: % LINK-DFC3-3-UPDOWN:Interface GigabitEthernet3/1, changed state to down22:11:12: % LINK-DFC3-3-UPDOWN:Interface GigabitEthernet3/1, changed state to up22:11:12: % LINKPROTO-DFC3-3-5-UPDOWN:Line protocol on Interface GigabitEthernet3/1, changed state to down22:11:13: % LINKPROTO-DFC3-3-5-UPDOWN:Line protocol on Interface GigabitEthernet3/11, changed state to upNP-11# show backupPrimary interface Secondary interface Status--------------------------------------------GigabitEthernet3/1GigabitEthernet3/11 backup modeNP-11#sh int gi3/1GigabitEthernet3/1 is down, line protocol is down (notconnect)Hardware is GigEther SPA, address is 0005.dc57.8800(bia 0005.dc57.8800)Backup interface GigabitEthernet3/11, failure delay 0 sec, secondary disable delay 0 secNPE-11#sh int gi3/11GigabitEthernet 3/11 is up, line protocol is up (connected)

ポートチャネルの EVC EtherChannel は、個々のイーサネットリンクを 1 つの論理リンクにバンドルすることによって、大 8 つの物理リンクを合計した帯域幅を提供します。EVC EtherChannel 機能は、Ethernet Virtual Connection Services（EVCS）サービスインスタンスで EtherChannel をサポートします。

EtherChannel の詳細、およびレイヤ 2 またはレイヤ 3 LAN ポートでの EtherChannel の設定の詳細に

ついては、

http://www.cisco.com/univercd/cc/td/doc/product/core/cis7600/software/122sr/swcg/channel.htm の『Configuring EtherChannels』を参照してください。

EVC EtherChannel 機能は、MPBE、ローカル接続、および xconnect の各サービスタイプをサポート

します。

イーサネットフローポイント（EFP）ごとにロードバランシングが実行されます。複数の EFP がメン

バーリンクだけにトラフィックを通過させます。


OL-16147-02-J

http://www.cisco.com/univercd/cc/td/doc/product/core/cis7600/software/122sr/swcg/channel.htm

http://www.cisco.com/univercd/cc/td/doc/product/core/cis7600/software/122sr/swcg/channel.htm



EVC EtherChannel を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

• ポートチャネルのメンバーリンクはすべて、Cisco 7600-ES+ ラインカード上に配置されます。

• ポートチャネルインターフェイスおよびメインインターフェイスでは、ブリッジドメイン、

xconnect、接続 EVC、スイッチポート、および IP サブインターフェイスが有効です。

（注）スイッチポートを備えたポートの場合、service instance ethernet コマンドを使用して、

Operation, Administration, and Maintenance（OAM）要件をサポートするサービスインス

タンスを作成できますが、これはデータトラフィック用ではありません。

• 物理ポートをチャネルグループの一部として設定する場合は、その物理ポートに EVC を設定でき

ません。

• EVC ポートチャネルの一部である物理ポートに、スイッチポートを設定できません。

• Link Aggregation Control Protocol（LACP）を使用したポートチャネルメンバシップの静的な設

定はサポートされません。

• 入力マイクロフローポリシングはサポートされていませんが、ポートチャネルの EVC に QoS ポリシーを適用できます。EVC での QoS の設定の詳細については、「Quality Of Service（QoS）の

設定」（P.7-1）を参照してください。

• フラットポリシーマップまたは親 Hierarchical Quality of Service（HQoS）ポリシーマップでは、

EVC ポートチャネルに bandwidth percent コマンドまたは police percent コマンドを使用できま

せん。

手順概要

1. enable


3. interface port-channel number

4. [no] ip address


6. encapsulation {default|untagged|dot1q vlan-id [second-dot1q vlan-id]}

7. rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id | dot1ad vlan-id}| 2-to-1 dot1q vlan-id | dot1ad vlan-id}| 1-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id | dot1ad vlan-id dot1q vlan-id}} symmetric

8. [no] bridge-domain bridge-id または xconnect vfi vfi name


OL-16147-02-J


詳細手順

コマンド目的








ステップ 3 interface port-channel number

例：Router(config)# interface port-channel 11

ポートチャネルインターフェイスを作成します。

ステップ 4 [no] ip address

例：Router(config-if)# no ip address

IP アドレスとサブネットマスクを EtherChannel に割

り当てます。

ステップ 5 [no] service instance id Ethernet [service-name}


サービスインスタンス（EVC をインスタンス化したも

の）をインターフェイスで作成し、config-if-srv サブ

モードにデバイスを設定します。

ステップ 6 encapsulation {default|untagged|dot1q vlan-id [second-dot1q vlan-id]}






OL-16147-02-J


例

次の例では、スロット 1 および 2 からの 3 本のメンバーリンク候補を持つ、単一のポートチャネルインターフェイスを作成します。

Router# enableRouter# configure terminalRouter(config)# interface Port-channel5Router(config-if)# no shutdownRouter(config-if)# no ip addressRouter(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 350Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 350 !

Router(config-if)# service instance 2 ethernetRouter(config-if-srv)# encapsulation dot1q 400Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 350

Router(config-if)# service instance 3 ethernetRouter(config-if-srv)# encapsulation dot1q 500Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 370 !

Router(config)# interface Port-channel5.1Router(config-if-srv)# encapsulation dot1Q 500 second-dot1q 300Router(config-if)# ip address 60.0.0.1 255.0.0.0!






または

xconnect vfi vfi name


または

Router(config-if)# xconnect vfi vfi16

bridge-domain コマンドは、サービスインスタンスを

ブリッジドメインインスタンスにバインドします。

bridge-id はブリッジドメインインスタンスの識別子

です。

xconnect コマンドは、VLAN ポートにバインドするレ

イヤ 2 Virtual Forwarding Instance（VFI）を指定します。

コマンド目的


OL-16147-02-J


Router(config)# interface GigabitEthernet 1/1Router(config-if)# channel-group 5 mode on



次は、標準的な QoS の設定例です。

Router# enableRouter# configure terminalRouter(config)# interface port-channel10Router(config-if)# no ip addressRouter(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 11Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if)# service-policy input xRouter(config-if)# service-policy output yRouter(config-if-srv)# bridge-domain 1500

検証


コマンド目的














Router# show mpls l2 vc detail 仮想接続（VC）に関する詳細情報が表示されます。

Router# show mpls forwarding マルチプロトコルラベルスイッチング（MPLS）ラベル転送

情報ベース（LFIB）の内容が表示されます。

（注）出力にはラベルエントリ l2ckt が含まれます。

Router# show etherchannel summary すべての EtherChannel グループの状態およびポートを表示し

ます。

Router# show policy-map interface service instance 特定のサービスインスタンスのポリシーマップ情報を表示し

ます。


OL-16147-02-J


EVC ポートチャネルの LACP サポートイーサネットリンクバンドルまたはポートチャネルは、大 8 つの物理的なイーサネットリンクの集

合体で、1 つの L2/L3 転送用の論理リンクを形成します。バンドルされたイーサネットポートを使用

すると、論理リンクのキャパシティが増加し、ハイアベイラビリティおよび冗長性を得ることができ

ます。EVC EtherChannel 機能は、Ethernet Virtual Connection Services（EVCS）サービスインスタン

スで EtherChannel をサポートします。

EtherChannel の詳細、およびレイヤ 2 またはレイヤ 3 LAN ポートでの EtherChannel の設定の詳細に

ついては、

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/guide/channel.html の『Configuring EtherChannels』を参照してください。

EVC EtherChannel 機能は、MPBE、ローカル接続、および xconnect の各サービスタイプをサポート

します。IEEE 802.3ad/Link Aggregation Control Protocol（LACP）は、ポートチャネルのアソシエー

ションを提供します。EVC ポートチャネル LACP サポート機能は、バンドルされたイーサネットリンクを介したサービスインスタンスをサポートします。

Ethernet flow points（EFP）は、ポートチャネル下に設定されます。EFP によって送信されたトラ

フィックは、メンバーリンク全体で負荷分散されます。ポートチャネル下の EFP はグループ化され、

各グループは、1 つのメンバーリンクに関連付けられます。1 つの EVC の入力トラフィックは、バン

ドルのどのメンバーにも着信できます。EFP のすべての出力トラフィックは、メンバーリンクを 1 つだけ使用します。ロードバランシングは、EFP をグループ化して 1 つのメンバーリンクに割り当てる

ことで実行されます。

リンクバンドリング EVC のスケーラビリティは、シャーシあたり 8k です。ES+ ラインカードのポー

トチャネル EVC スケーラビリティは、物理インターフェイス下に設定された EVC と同じ要因に加え、

追加パラメータとしてメンバーリンク数および Trident 全体に分散された状態によって決まります。

EVC ポートチャネル QoS は、EVC QoS インフラストラクチャを利用します。


EVC EtherChannel を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

• ポートチャネルのメンバーリンクはすべて、Cisco 7600-ES+ ラインカード上に配置されます。

• ポートチャネルインターフェイスでは、ブリッジドメイン、xconnect、接続 EVC、および IP サブインターフェイスだけが有効です。スイッチポートと EVC 設定は、同一のポートチャネルイン

ターフェイスに適用できません。

• 物理ポートをチャネルグループの一部として設定する場合は、その物理ポートに EVC を設定でき

ません。

• EVC ポートチャネルの一部である物理ポートに、スイッチポートを設定できません。

• ポートチャネルメンバシップは、次のフェーズで有効な LACP を使用して静的に設定されます。

• 入力マイクロフローポリシングはサポートされていませんが、ポートチャネルの EVC に QoS ポリシーを適用できます。EVC での QoS の設定の詳細については、「Quality Of Service（QoS）の

設定」（P.7-1）を参照してください。

• フラットポリシーマップまたは親 Hierarchical Quality of Service（HQoS）ポリシーマップでは、

EVC ポートチャネルに bandwidth percent コマンドまたは police percent コマンドを使用できま

せん。

手順概要

1. enable


OL-16147-02-J

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/guide/channel.html

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/guide/channel.html



3. interface port-channel

4. [no] ip address

5. service instance id Ethernet [service-name]




9. channel-protocol {lacp | pagp}

10. channel-group channel-group-number mode {active | on | passive}

（注） channel-group コマンドオプション on/off は、ポートチャネルを EVC 経由で設定する場合に使用で

きます。また、オプション active/passive は、ポートチャネルを EVC 経由で LACP とあわせて設定す

る場合に使用できます。

詳細手順

コマンド目的








ます。

ステップ 3 interface port-channel number

例：Router(config)# interface port-channel 12

ポートチャネルインターフェイスを作成します。



IP アドレスとサブネットマスクを EtherChannel に割

り当てます。

ステップ 5 [no] service instance id Ethernet [service-name]


サービスインスタンス（EVC のインスタンス）をイ

ンターフェイスで作成し、config-if-srv サブモードに



OL-16147-02-J













サービスインスタンスをブリッジドメインインスタ

ンスにバインドします。bridge-id はブリッジドメインインスタンスの識別子です。

ステップ 9 channel-protocol {lacp | pagp}

例：Router(config-if)# channel-protocol lacp

チャネリング管理インターフェイスで使用されるプロ

トコルを設定します。

ステップ 10 channel-group channel-group-number mode {active | on | passive}

例：Router(config-if)# channel-group 5 mode active

EtherChannel インターフェイスを EtherChannel グループに割り当てて設定します。

コマンド目的


OL-16147-02-J


例

次の例では、スロット 1 および 2 からの 3 本のメンバーリンク候補を持つ、単一のポートチャネルインターフェイスを作成します。

Router# enableRouter# configure terminalRouter(config)# interface Port-channel5Router(config-if)# no ip addressRouter(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 350Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 350 !Router(config-if)# service instance 2 ethernetRouter(config-if-srv)# encapsulation dot1q 400Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 350

Router(config-if)# service instance 3 ethernetRouter(config-if-srv)# encapsulation dot1q 500Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# bridge-domain 370 !Router# enableRouter# configure terminalRouter(config)# interface Port-channel5.1Router(config-if-srv)# encapsulation dot1Q 500 second-dot1q 300Router(config-if)# ip address 60.0.0.1 255.0.0.0!Router(config)# interface GigabitEthernet 1/1Router(config-if)# channel-protocol lacp Router(config-if)# channel-group 5 mode active Router(config)# interface GigabitEthernet 1/3 Router(config-if)# channel-protocol lacp Router(config-if)# channel-group 5 mode active Router(config)# interface GigabitEthernet 2/1 Router(config-if)# channel-protocol lacp Router(config-if)# channel-group 5 mode active

次は、標準的な QoS の設定例です。

Router# enableRouter# configure terminalRouter(config)# interface port-channel10Router(config-if)# no ip addressRouter(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 11Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if)# service-policy input xRouter(config-if)# service-policy output yRouter(config-if-srv)# bridge-domain 1500

次に、1 つのインターフェイスで設定された EVC ポートチャネル上の LACP の設定例を示します。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 1/1Router(config-if)# channel-protocol lacpRouter(config-if)# channel-group 5 mode ?Router(config-if)# channel-group 5 mode activeRouter(config-if)# channel-group 5 mode passive


OL-16147-02-J


次に、ポートチャネルの設定例を示します。

Router# enableRouter# configure terminalRouter(config-if)# interface Port-channel102Router(config-if)# mtu 9216Router(config-if)# no ip addressRouter(config-if)# lacp fast-switchoverRouter(config-if)# lacp max-bundle 1Router(config-if)# service instance 50 ethernetRouter(config-if)# encapsulation dot1q 50Router(config-if)# rewrite ingress tag pop 1 symmetricRouter(config-if)# service-policy output lacp-parentRouter(config-if)# bridge-domain 50

次に、メンバーリンクの設定例を示します。

Router# enableRouter# configure terminalRouter(config-if)# interface GigabitEthernet 3/12Router(config-if)# mtu 9216Router(config-if)# no ip addressRouter(config-if)# lacp rate fastRouter(config-if)# channel-protocol lacpRouter(config-if)# channel-group 102 mode active

検証


コマンド目的

EVC 設定を検証するには、次のコマンドを使用します。














LACP over EVC を検証するには、次のコマンドを使用します。

Router# show etherchannel 15 port-channel ポートチャネル 15 の詳細を表示します。このコマンドは EVC ポートチャネル、スイッチポートチャネル、レイヤ 3 ポートチャネルで共通です。CLI は Route Processor（RP; ルートプロセッサ）で実行されます。


OL-16147-02-J


EVC のオプション 82 による Dynamic Host Configuration Protocol（DHCP）スヌーピング

DHCP スヌーピングは、トラフィックの送信元が信頼できるかどうかを判別します。信頼できない送

信元であれば、トラフィック攻撃などの敵意のある行動を仕掛ける可能性があります。そのような攻撃

を防ぐために、DHCP スヌーピングは信頼できない送信元からのメッセージトラフィックをフィルタ

リングします。

それには、DHCP メッセージを傍受して抽出した情報で、DHCP スヌーピングデータベースを動的に

構築して保持します。信頼できないホストが属している VLANで DHCP スヌーピングがイネーブルに

されている場合には、各ホストとリースされた IP アドレスのエントリがデータベースに登録されます。

信頼できるインターフェイスで接続されたホストのエントリは、データベースに登録されません。

DHCP スヌーピングデータベースの各エントリには、ホストの MAC アドレス、リースされた IP アド

レス、リース期間、バインディングタイプ、ホストに関連付けられた VLAN の番号およびインター

フェイス情報が含まれます。

また、オプション 82 DHCP スヌーピング機能は、多数の加入者の IP アドレス割り当てを一元管理で

きます。オプション 82 DHCP スヌーピング機能をルータでイネーブルにすると、加入者のデバイス

は、ネットワークに接続するルータポート（および MAC アドレス）で識別されます。加入者 LAN 上の複数のホストは、アクセスルータの同一ポートに接続でき、一意に識別されます。

ただし、EVC には追加情報が必要です。インターフェイス上の各 EVC が単一の VPN にマッピングさ

れた場合、内部の VLAN を使用して、応答パケットのパスを識別できます。ただし、異なるカプセル

化を設定した複数の EVC を同じ VPN にマッピングできるため、実際の EVC カプセル化を使用してこ

れを区別する必要があります。

EVC オプション 82 DHCP スヌーピング機能では、EVC 対応インターフェイスに必要な追加情報が得

られます。この情報は、オプション 82 に挿入され、他のサービスで取得できるようにバインディングテーブルに保存されます。

ip dhcp relay information option subscriber-id コマンドを使用すると、DHCP パケットをサーバにリ

レーするときに、オプション 82 フィールドに挿入する EVC の加入者ストリングを他の情報とともに

設定できます。サーバはオプション 82 情報を解析し、加入者ストリングを照合したうえでそれに応じ

た処理を行います。EVC に設定された加入者ストリングは、バインディングテーブルに保存されませ

ん。オプション 82 フィールドに挿入して、DHCP パケットをサーバに送信する場合に使用されるだけ

です。

Cisco 7600 ルータの DHCP スヌーピングおよびオプション 82 の詳細については、

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/snoodhcp.html の『Configuring DHCP Snooping』を参照してください。


オプション 82 の DHCP スヌーピングを設定する場合は、次の制約事項および使用上のガイドラインに

従ってください。

• DHCP スヌーピングは、設定して実行します。

• 複数のカプセル化を含む EVC はサポートされません。

• 同じインターフェイスとブリッジドメインでは、次の EVC がサポートされます。

– dot1q カプセル化

– q-in-q カプセル化

– タグなしカプセル化

• 各ポートでサポートされる EVC の数は 4k です。


OL-16147-02-J

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/snoodhcp.html

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/snoodhcp.html


• 各ルータでサポートされる EVC の数は 32k です。

• 同じブリッジドメインまたは異なるブリッジドメインを持つ複数の EVC が同一のポートでサポー

トされます。

• 同じブリッジドメインまたは異なるブリッジドメインを持つ複数の EVC が異なるポートでサポー

トされます。

手順概要

1. enable



4. [no] ip address

5. negotiation {forced | auto}




9. ip dhcp relay information option subscriber-id value


詳細手順

コマンド目的








ステップ 3 interface gigabitethernet slot/port またはinterface tengigabitethernet slot/port




ステップ 4 no ip address

例：Router# Router(config-if)# no ip address

IP アドレスを削除するか、IP 処理をディセーブルにし

ます。


OL-16147-02-J


例

次の例は、リレーエージェントおよびサーバでの一般的な設定を示しています。次はリレーエージェ

ント上の設定です。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet8/1Router(config-if)# no ip addressRouter(config-if)# negotiation autoRouter(config-if)# service instance 2 ethernetRouter(config-if-srv)# encapsulation dot1q 2Router(config-if-srv)# rewrite ingress tag pop 1 symmetric

ステップ 5 negotiation {forced | auto}

例：Router(config-if)# negotiation auto

ギガビットイーサネットインターフェイス上で速度、

デュプレックスモード、およびフロー制御のアドバタ

イズをイネーブルにします。









インターフェイスでマッピングするために使用する一致

基準を定義します。





ステップ 9 ip dhcp relay information option subscriber-id value

例：Router(config)# ip dhcp relay information option subscriber-id 123

DHCP パケットの送信元インターフェイスを一意に識別

する加入者ストリングを設定します。



サービスインスタンスをブリッジドメインインスタン

スにバインドします。bridge-id はブリッジドメインインスタンスの識別子です。

コマンド目的


OL-16147-02-J


ip dhcp relay information option subscriber-id 11Router(config-if-srv)# bridge-domain 100

Router(config)# interface Vlan100Router(config-if)# ip address 10.0.0.1 255.255.255.0Router(config-if)# ip helper-address global 20.0.0.2Router(config-if)# ip helper-address 20.0.0.2

Router(config)# interface GigabitEthernet 2/1Router(config-if)# ip dhcp snooping packetsRouter(config-if)# ip address 20.0.0.1 255.255.255.0Router(config-if)# negotiation auto!

次はサーバ上の設定例です。

:Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 1/1Router(config-if)# ip address 20.0.0.2 255.255.255.0Router(config-if)# negotiation autoRouter(config-if)# end Router(config)# ip dhcp pool pool1Router(dhcp-config)# network 10.0.0.0 255.255.0.0 lease 2Router(dhcp-config)# update arp class C1 address range 10.0.0.2 10.0.0.10 class C2 address range 10.0.0.11 10.0.0.20!Router(config)# ip dhcp pool pool2Router(config)# network 11.0.0.0 255.255.0.0 lease 2!Router(config)# ip dhcp pool pool3 vrf vrf1Router(config)# network 10.0.0.0 255.255.255.0 lease 0 0 2!!ip dhcp class C1 <-----------Class C1 maps to the subcriber-id string aabb11. relay agent information relay-information hex 00000000000000000000000000000006616162623131 mask fffffffffffffffffffffffffffffff0000000000000!ip dhcp class C2 relay agent information relay-information hex 00000000000000000000000000000006313162626161 mask fffffffffffffffffffffffffffffff0000000000000

******************************************************************************************


OL-16147-02-J


検証


サービスインスタンスの IP ソースガード IP ソースガードは、送信元の IP アドレスをレイヤ 2 ポートでフィルタリングし、悪意のあるホストが

正規のホストの IP アドレスを装うことによる正規のホストへのなりすましを防ぎます。IP ソースガー

ド機能は、動的な DHCP スヌーピングおよび静的な IP ソースバインディングを使用し、信頼できない

レイヤ 2 アクセスポートのホストの IP アドレスを照合します。

まず、サービスインスタンスのすべての IP トラフィックは、DHCP スヌーピングでキャプチャされる DHCP パケットを除いて遮断されます。クライアントが DHCP サーバから IP アドレスを受信した後、

または管理者が IP ソースバインディングを設定した後、サービスインスタンス IP ソースガード機能

によりそのトラフィックを許可する Access Control List （ACL; アクセスコントロールリスト）が自

動的に作成されます。そのため、他のホストからのトラフィックは拒否されます。このフィルタリング

は、隣接ホストの IP アドレスを要求することによって、ホストのネットワーク攻撃を制限します。


サービスインスタンスの IP ソースガードを設定する場合は、次の制約事項および使用上のガイドライ

ンに従ってください。

• 他の Ternary Content Addressable Memory（TCAM; Ternary CAM）機能と同様に、IP ソースガードの中で設定できる ACL および Access Control Entry（ACE; アクセスコントロールエント

リ）の数は、ラインカードのハードウェアリソースによって制限されます。使用可能な TCAM リソースは、ラインカードに設定されたさまざまな機能で共有されます。

• IP ソースガード機能は、送信元ホストの IP および MAC 情報を確認するものです。入力トラ

フィックだけがフィルタリングされ、出力方向には適用されません。

• IP ソースガードは、ソフトウェア転送パケットには有効ではありません。IP ソースガードの TCAM が回復不能な例外に陥った場合、IP フィルタリングは無効になり、パケットが許可されま

す。

• IP ソースガード機能は、サブインターフェイスではサポートされません。

手順概要

1. enable



4. [no] ip address



コマンド目的

Router# show ip dhcp snooping DHCP スヌーピングをイネーブルにしたすべての VLAN（プ

ライマリおよびセカンダリ）を表示します。

Router# show ip dhcp snooping binding DHCP スヌーピングデータベースを確認します。


OL-16147-02-J



（注） DHCP パケットかどうかをルータで判別するためには、すべてのタグを pop する必要があ

ります。push および translate はサービスインタンス IP ソースガード機能でサポートさ

れません。

8. ip verify source vlan dhcp-snooping [port-security]


10. exit

11. end )

詳細手順

コマンド目的









または







IP アドレスを削除するか、IP 処理をディセーブルにし

ます。









インターフェイスでマッピングするために使用する一致

基準を定義します。


OL-16147-02-J


例

次は、EVC シングルタグ（Dot1q）設定の例です。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet7/1Router(config-if)# no ip addressRouter(config-if)# service instance 71 ethernetRouter(config-if-srv)# encapsulation dot1q 71Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# ip verify source vlan dhcp-snoopingRouter(config-if-srv)# bridge-domain 10


例：Router(config-if-srv)# rewrite ingress tag pop 1 symmetric



（注） DHCP パケットかどうかをルータで判別するた

めには、すべてのタグを pop する必要がありま

す。push および translate はサービスインタン

ス IP ソースガード機能でサポートされません。

ステップ 8 ip verify source vlan dhcp-snooping [port-security]

例：Router(config-if-srv)# ip verify source vlan dhcp-snooping

IP ソースガードの各状態をイネーブルにします。次の

コマンドオプションがあります。

• vlan dhcp-snooping は、IP モードをイネーブルに

し、インターフェイスの特定の VLAN だけに機能を

適用します。dhcp-snooping オプションは、DHCP スヌーピングをイネーブルにしているインターフェ

イスのすべての VLAN に機能を適用します。

• port-security は、IP/MAC モードをイネーブルに

し、IP および MAC フィルタリングを適用します。





ステップ 10 exit


グローバルコンフィギュレーションモードに戻ります。

ステップ 11 end

例：Router(config)# end

コンフィギュレーションモードを終了します。

コマンド目的


OL-16147-02-J


次は、EVC ダブルタグ（QinQ）設定の例です。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet7/1Router(config-if)# no ip addressRouter(config-if)# service instance 71 ethernetRouter(config-if-srv)# encapsulation dot1q 71 second-dot1q 100Router(config-if-srv)# rewrite ingress tag pop 1 symmetricRouter(config-if-srv)# ip verify source vlan dhcp-snoopingRouter(config-if-srv)# bridge-domain 10

次は、EVC タグなし設定の例です。

Router# enableRouter# configure terminalinterface GigabitEthernet7/1no ip address service instance 71 ethernet encapsulation untagged ip verify source vlan dhcp-snooping bridge-domain 10

次は、EVC デフォルト設定の例です。

Router# enableRouter# configure terminalinterface GigabitEthernet7/1no ip address service instance 71 ethernet encapsulation default ip verify source vlan dhcp-snooping bridge-domain 10

検証

設定を検証するには、show ip verify source interface を使用します。

router# show ip verify source interface gi5/1 efp_id 10Interface Filter-type Filter-mode IP-address Mac-address Vlan EFP ID--------- ----------- ----------- --------------- ----------------- ---------- ----------Gi5/1 ip-mac active 123.1.1.1 00:0A:00:0A:00:0A 100 10

router# show ip verify source interface gi5/1Interface Filter-type Filter-mode IP-address Mac-address Vlan EFP ID--------- ----------- ----------- --------------- ----------------- ---------- ----------Gi5/1 ip-mac active 123.1.1.1 00:0A:00:0A:00:0A 100 10 Gi5/1 ip-mac active 123.1.1.2 00:0A:00:0A:00:0B 100 20 Gi5/1 ip-mac active 123.1.1.3 00:0A:00:0A:00:0C 100 30


OL-16147-02-J


EVC ブリッジドメインの Multiple Spanning Tree（MST）の設定（8517-1）

EVC ブリッジドメイン MST 機能は、EVC インターフェイスで Multiple Spanning Tree（MST）をイ

ネーブルにします。これは、Cisco IOS Release 12.2(33)SRC でリリースされた QinQ および MPLS アクセス機能に対して、Hierarchical Virtual Private LAN Service（H-VPLS）N-PE 冗長性を補足するも

のです。この機能の詳細については、

http://www.cisco.com/en/US/docs/ios/mpls/configuration/guide/mp_hvpls_npe_red.html を参照してく

ださい。

ここでは、EVC ブリッジドメイン MST の設定方法について説明します。具体的な内容は次のとおり

です。

• MST およびスパニングツリープロトコル（STP）の概要（P.4-42）

• EVC ブリッジドメインの MST の概要（P.4-43）

• 制約事項および使用上のガイドライン（P.4-43）

• 例（P.4-45）

MST およびスパニングツリープロトコル（STP）の概要

Spanning Tree Protocol（STP; スパニングツリープロトコル）は、ネットワーク内の予想できない

ループを防止すると同時にパスの冗長性を確保するレイヤ 2 リンク管理プロトコルです。正常に動作す

るレイヤ 2 イーサネットネットワークでは、任意の 2 つの端末間にはアクティブなパスが 1 つしか存

在しません。STP 動作は端末に対して透過的なため、端末が単一の LAN セグメントに接続している

か、複数のセグメントのスイッチングされた LAN に接続しているかを検出できません。

Cisco 7600 シリーズルータは、すべての VLAN で STP（IEEE 802.1D ブリッジプロトコル）を使用

します。デフォルトでは、設定された各 VLAN で STP の単一インスタンスが動作します（STP を手動

でディセーブルにしない場合）。STP は、VLAN 単位でイネーブルおよびディセーブルにできます。

Multiple Spanning Tree（MST）は、複数の VLAN を 1 つのスパニングツリーインスタンスにマッピ

ングします。各インスタンスは、他のスパニングツリーインスタンスから独立したスパニングツリートポロジを持ちます。このアーキテクチャにより、データトラフィックに複数の転送パスが備わり、

ロードバランシングが可能になります。また、大規模な VLAN のサポートに必要となるスパニングツリーインスタンスの数を削減できます。MST は、1 つのインスタンス（転送パス）の障害が他のイン

スタンス（転送パス）に影響しないため、ネットワークの耐障害性が向上します。

MST インスタンスに加えるルータは、同じ MST 設定情報を使用して、設定を統一する必要がありま

す。MST 領域は、同じ MST 設定を持つ相互接続されたルータの一群で構成されます。同一の MST 領域内に複数のルータがある場合、それらのルータの VLAN/インスタンスマッピング、設定リビジョン

番号、および MST 名は同じになります。

MST 設定により、各ルータが属する MST 領域が決まります。設定には、領域の名前、リビジョン番

号、および MST の VLAN/インスタンス割り当てマップが定められています。

同じ MST 設定のメンバーが領域に 1 つまたは複数含まれる可能性があります。各メンバーは、Rapid Spanning Tree Protocol（RSTP; 高速スパニングツリープロトコル）ブリッジプロトコルデータユニット（BPDU）を処理できる必要があります。ネットワーク内の MST 領域の数に制限はありません

が、各領域でサポートできるスパニングツリーインスタンスは、大 65 です。インスタンスは、0 ～ 4094 の番号で識別されます。1 つの VLAN は、一度に 1 つのスパニングツリーインスタンスだけに

割り当てることができます。

Cisco 7600 シリーズルータの STP および MST の詳細については、http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/spantree.html#wp1101938 の『Configuring STP and MST』を参照してください。


OL-16147-02-J

http://www.cisco.com/en/US/docs/ios/mpls/configuration/guide/mp_hvpls_npe_red.html

http://www.cisco.com/en/US/docs/ios/mpls/configuration/guide/mp_hvpls_npe_red.html

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/spantree.html#wp1101938




EVC ブリッジドメインの MST の概要

EVC ブリッジドメイン MST 機能は、サービスインスタンス /MST インスタンスマッピングに VLAN ID を使用します。EVC サービスインスタンスが他の MST インスタンスと同じ VLAN ID（QinQ の場

合は外部 VLAN ID）を持つならば、その MST インスタンスにマッピングされます。

EVC サービスインスタンスは、シングルタグおよびダブルタグでカプセル化を設定できます。ダブ

ルタグカプセル化の場合、MST インスタンスマッピングには外部 VLAN ID が使用され、内部 VLAN ID は無視されます。

MST インスタンスとのマッピングには、EVC ごとに 1 つの VLAN が必要です。次に示す VLAN ID を持たないサービスインスタンスや複数の外部 VLAN ID を持つサービスインスタンスはサポートさ

れません。

• タグなし（encapsulation untagged）

• プライオリティタグ付き（encapsulation priority-tagged）

• デフォルト（encapsulation default）

• 複数の外部タグ（encapsulation dot1q 200-400 second-dot1q 300）


EVC ブリッジドメインに MST を設定する場合は、次の制約事項および使用上のガイドラインに従っ

てください。

• EFP が設定されたメインインターフェイスを起動し、選択したスパニングツリーモードとして Multiple Spanning Tree Protocol（MSTP）で実行する必要があります（Per VLAN Spanning Tree

（PVST; VLAN単位スパニングツリー）および Rapid-PVST はサポートされません）。

• SPT PortFast 機能は EFP でサポートされません。

• VPORT（物理ポートの特定の VLAN を表す）で実行される処理は、ブリッジドメインやその他

のサービスに影響を与えます。

• この機能は、PVST だけをサポートする、Frame Relay（FR; フレームリレー）/ATM のイーサ

ネットブリッジングと共存できません。

• 64 の MST および 1 つの Common and Internal Spanning Tree（CIST）をサポートします。

• 1 つの MST 領域をサポートします。

• 32k EFP まで拡張できます。

• EVC ポートチャネルをサポートしません。

• カプセル化に VLAN ID が含まれていない EVC サービスインスタンスはサポートされません。

• 明確な外部 VLAN タグを持つ EFP（つまり、範囲指定なし、外部 VLAN リスト、デフォルト以

外、タグ付き）をサポートします。

• Cisco 7600 シリーズ ES+ ラインカードだけをサポートします。

• dot1q カプセル化を削除すると、MST から EVC ポートが削除されます。

• 同一ポート内の複数のサービスインスタンスを同じ外部 VLAN で設定した場合、同じ外部 VLAN を持つすべてのサービスインスタンスに処理の影響が及びます。

• 同じインターフェイス内の異なる EVC サービスインスタンスでは、同じ外部 VLAN を設定でき

ません。

• VLAN（EVC の外部カプセル化 VLAN）マッピングを別の MST インスタンスに変更すると、

EVC ポートは新しい MST インスタンスに移動します。


OL-16147-02-J


• EFP の外部カプセル化を変更すると、対応する MST インスタンスが変わります（外部 VLAN の変更により EFP がマッピングされていた MST インスタンスが変わります）。

• EVC サービスインスタンスを MST 1 で定義されていない VLAN に変更すると、EVC ポートは MST 0 にマッピングされます。

• EVC ポートのピアルータでも MST を実行する必要があります。

手順概要

1. enable






詳細手順

コマンド目的








ます。

ステップ 3 interface gigabitethernet slot/port または interface tengigabitethernet slot/port





ステップ 4 [no] service instance id Ethernet [service-name]


サービスインスタンス（EVC のインスタンス）をイン

ターフェイスで作成し、config-if-srv サブモードにデ

バイスを設定します。


OL-16147-02-J


例

次の例では、2 つのインターフェイスを MST インスタンス 0（デフォルトのインスタンス）に加えま

す。このインスタンスにすべての VLAN がマッピングされます。

Router# enableRouter# configure terminalRouter(config)# interface g4/1Router(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 2Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# interface g4/3Router(config-if)# service instance 1 ethernetRouter(config-if-srv)# encapsulation dot1q 2Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# end

検証

次のコマンドを実行して検証します。

Router# show spanning-tree vlan 2

MST0 Spanning tree enabled protocol mstp Root ID Priority 32768 Address 0009.e91a.bc40 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768 (priority 32768 sys-id-ext 0) Address 0009.e91a.bc40 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Interface Role Sts Cost Prio.Nbr Type------------------- ---- --- --------- -------- --------------------------------Gi4/1 Desg FWD 20000 128.1537 P2p Gi4/3 Back BLK 20000 128.1540 P2p










コマンド目的


OL-16147-02-J


次の例では、インターフェイス gi4/1 とインターフェイス gi4/3 がバックツーバックで接続されていま

す。それぞれにサービスインスタンス（EFP）が結合されています。両方のインターフェイスの EFP にカプセル化 VLAN ID 2 を設定しています。インターフェイス gi4/1 にある EFP のカプセル化ディレ

クティブで VLAN ID を 2 から 8 に変更すると、前の VLAN がマッピングされている MST インスタ

ンスで動作中の MSTP が停止し、新しい VLAN がマッピングされる MST インスタンスで MSTP が起

動します。

Router(config-if)# interface g4/1Router(config-if)# service instance 1 ethernetRouter(config-if-srv)# encap dot1q 8Router(config-if-srv)# end

次のコマンドを実行して検証します。




Interface Role Sts Cost Prio.Nbr Type------------------- ---- --- --------- -------- --------------------------------Gi4/3 Desg FWD 20000 128.1540 P2p




Interface Role Sts Cost Prio.Nbr Type------------------- ---- --- --------- -------- --------------------------------Gi4/1 Desg FWD 20000 128.1537 P2p

次の例では、外部カプセル化 VLAN ID が 2、ブリッジドメインが 100 の EFP を持つインターフェイ

ス gi4/3 が新しいサービスを受けます。

Router# enableRouter# configure terminalRouter(config)# interface g4/3Router((config-if)# service instance 2 ethernetRouter((config-if-srv)# encap dot1q 2 second-dot1q 100Router((config-if-srv)# bridge-domain 200


OL-16147-02-J


2 つの EFP がインターフェイス gi4/3 に設定されることになり、両方の EFP は同じ外部 VLAN 2 を持

ちます。

interface GigabitEthernet4/3 no ip addressservice instance 1 ethernetencapsulation dot1q 2bridge-domain 100

! service instance 2 ethernet encapsulation dot1q 2 second-dot1q 100 bridge-domain 200

前の設定によりインターフェイスの MSTP 動作が変わることはありません。つまり、インターフェイ

ス gi4/3 が属する MST インスタンスでは、インターフェイスの状態変化はありません。

Router# show spanning-tree mst 1

##### MST1 vlans mapped: 2Bridge address 0009.e91a.bc40 priority 32769 (32768 sysid 1)Root this switch for MST1

Interface Role Sts Cost Prio.Nbr Type---------------- ---- --- --------- -------- --------------------------------Gi4/3 Desg FWD 20000 128.1540 P2p

EVC ブリッジドメインの MAC アドレスセキュリティ Cisco 7600 シリーズルータは、現在ポート単位でポートセキュリティをサポートしています。詳細に

ついては、

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/port_sec.html の『Configuring Port Security』を参照してください。

EVC ブリッジドメインメディアアクセス制御（MAC）アドレスセキュリティ機能は、MAC アドレ

ス学習動作の制御およびフィルタリングを EFP 単位まで詳細に実施し、EVC のポートセキュリティに

対応します。たとえば、違反によりシャットダウンが必要な場合、影響を受けるのは、ポートを使用す

るすべてのカスタマーではなく、特定の EFP に割り当てられたカスタマーだけになります。

EVC ブリッジドメインのポートセキュリティおよび MAC アドレスセキュリティ機能は、相互に独立

して動作します。MAC セキュリティから見ると、ポートのセキュリティは安全ではありません。ポー

トセキュリティから見ると、EFP のセキュリティは安全ではありません。

ここで説明する内容は、次のとおりです。

• 制約事項および使用上のガイドライン（P.4-48）

• EVC ブリッジドメインの MAC アドレスセキュリティのイネーブル化（P.4-48）

• EVC ブリッジドメインの MAC アドレスセキュリティのイネーブル化（P.4-48）

• EFP の EVC ブリッジドメイン MAC アドレスセキュリティのディセーブル化（P.4-50）

• EFP の MAC アドレスホワイトリストの設定（P.4-51）

• EFP のスティッキ MAC アドレスの設定（P.4-53）

• EFP のセキュア MAC アドレスエージングの設定（P.4-55）

• EFP の MAC アドレス制限の設定（P.4-57）

• ブリッジドメインの MAC アドレス制限の設定（P.4-58）

• EFP の違反応答の設定（P.4-59）


OL-16147-02-J



EVC ブリッジドメインの MAC アドレスセキュリティを設定する場合は、次の制約事項および使用上

のガイドラインに従ってください。

• 設定されたホワイトリストおよび学習された MAC アドレスの総数は、システム全体で次の制限が

適用されます。

– MAC セキュリティでサポートされる MAC アドレスの総数は、32K に制限されています。

– MAC セキュリティでサポートされる MAC アドレスの総数は、ブリッジドメインごとに 10K に制限されています。

– MAC セキュリティでサポートされる MAC アドレスの総数は、EFP ごとに 1K に制限されて

います。

• MAC セキュリティを EFP でイネーブルにするかどうかに関係なく、各種の MAC セキュリティ要

素を設定または削除できます。ただし、これらの設定は、MAC セキュリティをイネーブルにしな

いと、動作可能な状態になりません。

• EVC ブリッジドメイン MAC アドレスセキュリティ機能をイネーブルにすると、EFP の既存の MAC アドレステーブルエントリが削除されます。

• EVC ブリッジドメイン MAC アドレスセキュリティ機能をディセーブルにすると、EFP の既存の MAC アドレステーブルエントリが削除されます。

• EVC ブリッジドメイン MAC アドレスセキュリティ機能は、EFP がブリッジドメインのメンバー

である場合に限り、EFP に設定できます。

EVC ブリッジドメインの MAC アドレスセキュリティのイネーブル化

ここでは、EVC ブリッジドメインの MAC アドレスセキュリティをイネーブルにする方法について説

明します。

手順概要

1. enable





6. bridge-domain bridge-id

7. mac security


OL-16147-02-J


詳細手順

例

次の例は、EVC ブリッジドメインの MAC アドレスセキュリティをイネーブルにする方法を示してい

ます。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernet

コマンド目的








ます。


または






ステップ 4 service instance id Ethernet [service-name]










ステップ 6 bridge-domain bridge-id




ステップ 7 mac security

例：Router(config-if-srv)# mac security

MAC セキュリティを EFP でイネーブルにします。


OL-16147-02-J


Router(config-srv)# encapsulation dot1q 20Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# mac security

EFP の EVC ブリッジドメイン MAC アドレスセキュリティのディセーブル化

ここでは、EVC ブリッジドメインの MAC アドレスセキュリティをディセーブルにする方法について

説明します。

手順概要

1. enable




5. no mac security

詳細手順

コマンド目的








ます。


または







OL-16147-02-J


例

次の例は、EVC ブリッジドメインの MAC アドレスセキュリティをディセーブルにする方法を示して

います。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# no mac security

EFP の MAC アドレスホワイトリストの設定

ここでは、ブリッジドメインのメンバーである EFP のホワイトリストに登録する MAC アドレスの設

定方法について説明します。

手順概要

1. enable






7. mac security address permit mac address

8. mac security






ステップ 5 no mac security

例：Router(config-if-srv)# no mac security

MAC セキュリティを EFP でディセーブルにします。

コマンド目的


OL-16147-02-J


詳細手順

コマンド目的








ます。


または




















ステップ 7 mac security address permit mac address

例：Router(config-if-srv)# mac security address permit 0000.1111.2222

指定した MAC アドレスを EFP のホワイトリスト

（「許可」）MAC アドレスとして追加します。





OL-16147-02-J


例

次の例は、ブリッジドメインのメンバーである EFP のホワイトリストに登録する MAC アドレスの設

定方法を示しています。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernetRouter(config-srv)# encapsulation dot1q 20Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# mac security address permit 0000.1111.2222Router(config-if-srv)# mac security

EFP のスティッキ MAC アドレスの設定

MAC セキュリティスティッキを設定した後に EFP で動的に学習される MAC アドレスは、リンクダ

ウン状態時に保持されます。ここでは、スティッキ MAC アドレスを EFP に設定する方法について説

明します。

手順概要

1. enable






7. mac security sticky

8. mac security

詳細手順

コマンド目的








ます。


OL-16147-02-J


例

次の例では、スティッキ MAC アドレスを EFP に設定します。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 20Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# mac security stickyRouter(config-if-srv)# mac security


または




















ステップ 7 mac security sticky

例：Router(config-if-srv)# mac security sticky

スティッキ動作を EFP でイネーブルにします。




コマンド目的


OL-16147-02-J


EFP のセキュア MAC アドレスエージングの設定

ここでは、MAC セキュリティでセキュア MAC アドレスのエージングを設定する方法について示しま

す。セキュア MAC アドレスは、システムの MAC テーブルエントリによる通常のエージングの影響は

受けません。エージングを設定しない場合、セキュア MAC アドレスはエージングアウトしません。

手順概要

1. enable






7. mac security aging time m [inactivity]

8. mac security

詳細手順

コマンド目的







グローバルコンフィギュレーションモードを開始

します。


または












OL-16147-02-J


例

次の例は、セキュアアドレスのエージングタイムを 10 分に設定する方法を示しています。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 20Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# mac security aging time 10Router(config-if-srv)# mac security

次の例は、送信ホストの非アクティビティに基づいてアドレスをエージングアウトする指定を示して

います。アドレスが 10 分間確認されなければ、エージングアウトします。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 20Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# mac security aging time 10 inactivityRouter(config-if-srv)# mac security

mac security aging time コマンドは、学習されたセキュアアドレスだけをエージングアウトします。

mac security aging time コマンドを設定するときにホワイトリストまたはスティッキアドレスのエー

ジングアウトをイネーブルにする場合、mac security aging static コマンド（エージングコントロー

ルを静的な設定アドレスに適用）または mac security aging sticky コマンド（エージングコントロー

ルを固定（スティッキ）アドレスに適用）を使用します。次の設定は、エージングをスティッキアド

レスに適用する例を示しています。

Router# enableRouter# configure terminal










ステップ 7 mac security aging time m [inactivity]

例：Router(config-if-srv)# mac security aging time 200

セキュアアドレスのエージングタイムを m 分に設定

します。オプションの inactivity キーワードは、（絶対

エージングとは異なり）送信ホストの非アクティビ

ティに基づいてアドレスをエージングアウトするよう

に指定します。




コマンド目的


OL-16147-02-J


Router(config)# interface GigabitEthernet 1/1 Router(config-if)# service instance 10 ethernet Router(config-if-srv)# encapsulation dot1q 10 Router(config-if-srv)# bridge-domain 100 Router(config-if-srv)# mac security Router(config-if-srv)# mac security sticky Router(config-if-srv)# mac security aging time 100

EFP の MAC アドレス制限の設定

ここでは、EFP で許可されるセキュア MAC アドレスの大数を設定する方法について説明します。ホ

ワイトリストの中に追加されるアドレスと動的に学習される MAC アドレスを含みます。大数を下げ

ると、学習された MAC エントリが 1 つ以上削除されます。デフォルトの大数は 1 です。

手順概要

1. enable






7. mac security maximum addresses n

8. mac security

詳細手順

コマンド目的







グローバルコンフィギュレーションモードを開始

します。


または





• slot/port：インターフェイスの場所を指定し

ます。


OL-16147-02-J


例

次の例では、EFP で許可されるセキュア MAC アドレスの大数を 10 に設定します。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 20Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# mac security maximum addresses 10Router(config-if-srv)# mac security

ブリッジドメインの MAC アドレス制限の設定

ここでは、ブリッジドメインにあるセキュア MAC アドレスの大数を設定する方法について説明し

ます。

手順概要

1. enable


3. bridge-domain vlan-id [access | dot1q [tag] | dot1q-tunnel] [broadcast] [ignore-bpdu-pid] [pvst-tlv CE-vlan] [increment] [lan-fcs] [split-horizon]



サービスインスタンス（EVC のインスタンス）を

インターフェイスで作成し、config-if-srv サブ




入力 dot1q フレームを適切なサービスインスタン

スにインターフェイスでマッピングするために使

用する一致基準を定義します。



サービスインスタンスをブリッジドメインインス

タンスにバインドします。bridge-id はブリッジドメインインスタンスの識別子です。

ステップ 7 mac security maximum addresses n

例：Router(config-if-srv)# mac security maximum addresses 10

EFP で許可されるセキュアアドレスの大数を整

数値 n に設定（または変更）します。




コマンド目的


OL-16147-02-J


4. mac limit maximum addresses [n]

詳細手順

例

次の例では、セキュア MAC アドレスの大数を 1000 に設定します。

Router# enableRouter# configure terminalRouter(config)# bridge-domain 100Router(config-if-srv)# mac limit maximum address 10240

EFP の違反応答の設定

ここでは、EFP に設定された MAC セキュリティポリシーを違反したことによって、MAC アドレスを

動的に学習できないときのデバイスの動作を指定する方法について説明します。違反時のデフォルトの

動作は EFP のシャットダウンです。

手順概要

1. enable




コマンド目的








ます。

ステップ 3 bridge-domain vlan-id [access | dot1q [tag] | dot1q-tunnel] [broadcast] [ignore-bpdu-pid] [pvst-tlv CE-vlan] [increment] [lan-fcs] [split-horizon]

例：Router(config)# bridge-domain 12

ブリッジドメインを指定します。

ステップ 4 mac limit maximum addresses [n]

例：Router(config-bdomain)# mac limit maximum addresses 1000

MAC アドレスの大数を設定します。デフォルト値

は大（10240）です。


OL-16147-02-J




7. mac security violation restrict または mac security violation protect

8. mac security

詳細手順

コマンド目的








ます。


または





















OL-16147-02-J


例

次の例では、restrict 違反応答を EFP に設定します。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 20Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# mac security violation restrictRouter(config-if-srv)# mac security

エラーの回復

ここでは、EFP シャットダウン（デフォルトの違反応答）の原因となる違反から回復する方法につい

て説明します。その内容は次のとおりです。

手動回復

自動回復

手動回復

次に示すように、手動回復でエラーディセーブル状態からサービスインスタンスを回復するには、

clear ethernet service instance id id interface interface-name errdisable コマンドを使用します。

Router# enableRouter# configure terminal

Router# clear ethernet service instance id 10 interface gi1/1 errdisable

自動回復

自動回復では、errdisable recovery cause mac security コマンドを使用します。タイマーの間隔を指

定する必要があります。有効値は、30 ～ 86,400 秒です。次の設定例では、違反によるシャットダウン

の 60 秒後に EFP が回復します。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 2/1Router(config-if)# service instance 10 ethernetRouter(config-if-srv)# encapsulation dot1q 10

ステップ 7 mac security violation restrictまたはmac security violation protect

例：Router(config-if-srv)# mac security violation restrict

違反モードを、restrict または protect のいずれかに設

定します。

このコマンドに no を加えると、違反応答がデフォル

トに戻ります（デフォルトはシャットダウン）。




コマンド目的


OL-16147-02-J


Router(config-if-srv)# bridge-domain 100Router(config-if-srv)# mac security Router(config-if-srv)# errdisable recovery cause mac-security 60

検証


コマンド目的

Router# show ethernet service instance id id interface interface mac security address

指定した EFP のセキュアアドレスを表示します。

Router# show ethernet service instance id id interface interface mac security last violation

指定した EFP で後に記録された違反を表示します。

Router# show ethernet service instance id id interface interface mac security statistics

EFP で許可された現在のセキュアアドレスの数および記録さ

れた違反の数を表示します。

Router# show ethernet service instance id id interface interface mac security

指定した EFP の MAC セキュリティステータスを表示します。

Router# show ethernet service instance mac security address

システム内のすべての EFP のセキュアアドレスを表示します。

Router# show ethernet service instance mac security last violation

（すべてのサービスインスタンスで）デバイスに後に記録

された違反、および各サービスインスタンスに後に記録さ

れた違反に関する情報を表示します。

Router# show ethernet service instance mac security statistics

システム内のすべての EFP で許可された現在のセキュアアド

レスの数および記録された違反の数を表示します。

Router# show ethernet service instance mac security MAC セキュリティをイネーブルにしているシステム内のす

べての EFP を表示します。

Router# show bridge-domain id mac security address 指定したブリッジドメインに属するすべての EFP のセキュアアドレスを表示します。

Router# show bridge-domain id mac security last violation ブリッジドメインに属する各サービスインスタンスに後に

記録された違反に関する情報を表示します。

Router# show bridge-domain id mac security statistics 指定したブリッジドメインに属するすべての EFP で許可され

た現在のセキュアアドレスの数および記録された違反の数を

表示します。

Router# show bridge-domain id mac security 指定したブリッジドメインに属し、MAC セキュリティをイ

ネーブルにしているすべての EFP を表示します。


OL-16147-02-J


接続障害管理（CFM）と PVST の共存イーサネット Connectivity Fault Management（CFM; 接続障害管理）は、予防的な接続モニタリング、

障害の確認、障害の分離などを含むサービスインスタンス単位のエンドツーエンドイーサネットレイ

ヤ OAM プロトコルです。現在、イーサネット CFM は、内方向と外方向の Maintenance Endpoint（MEP）をサポートします。イーサネット CFM については、

http://www.cisco.com/en/US/docs/ios/12_2sr/12_2sra/feature/guide/srethcfm.html を参照してください。

CFM および PVST 共存機能により、Cisco 7600 シリーズルータで Per VLAN Spanning Tree（PVST）と CFM を共存させることができます。

CFM および PVST 共存機能は、次のイーサネットコンポーネントを利用します。

• イーサネット仮想回線（EVC）：プロバイダーネットワーク内でポイントツーポイントまたはポイ

ントツーマルチポイントパスを示す 2 つ以上の UNI 間の関係。

• イーサネットフローポイント（EFP）：インターフェイス上の EVC の論理境界ポイント。

各 EFP は EVC と同一のものとされます。EVC ID は、ネットワーク内全体で一意の値です。また、

EFP は 1 つのブリッジドメインと関連付けられます。ブリッジドメイン内のすべての EFP は、同じ EVC に属します（指定された場合）。

EFP では、タグなし、シングルタグ、およびダブルタグカプセル化は、dot1q、QinQ、および IEEE dot1ad の ethertype で存在します。ブリッジドメインに属する異なる EFP は、カプセル化が異なる可

能性があります。


CFM と PVST の共存を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

• マッチレジスタが 3 つ以上の次のラインカードおよびスーパーバイザがサポートされます。

– ES20 ラインカード

– ES+ ラインカード

– RSP720-3C-10GE および

– Supervisor Engine 32

– WS-X67xx ラインカード（サポートされるスーパーバイザを使用）

• Generic VLAN Registration Protocol（GVRP）と CFM の共存もサポートされます。

• 次の共存設定がサポートされます。

– PVST と CFM。CFM を設定する前に PVST を設定する必要があります。

– Generic VLAN Registration Protocol（GVRP）と CFM。CFM を設定する前に GVRP を設定

する必要があります。

– PVST と GVRP。設定順序の制約事項はありません。

• CFM は 2 つのマッチレジスタを使用して、コントロールパケットタイプを識別します。また、

PVST は 1 つのマッチレジスタを使用して、コントロールパケットタイプを識別します。した

がって、同じシステムで両方のプロトコルを動作させるためには、各ラインカードで 3 つのマッチレジスタをサポートし、少なくとも 1 つのレジスタは 44 ビットの MAC マッチングだけをサポー

トする必要があります。

– マッチレジスタが使用できない場合、次のメッセージが表示されます。

msgdef(CFM_ON_SUPERVISOR_PORTS_DISALLOWED, CFM_CONST, LOG_ERR, 0, "CFM is enabled system wide except on supervisor ports "


OL-16147-02-J

http://www.cisco.com/en/US/docs/ios/12_2sr/12_2sra/feature/guide/srethcfm.html

http://www.cisco.com/en/US/docs/ios/12_2sr/12_2sra/feature/guide/srethcfm.html


"due to spanning tree configuration."); msgdef_explanation("Unable to program all port ASIC MAC match registers " "on supervisor ports for CFM due to hardware limitations " "on these ports. Continued with enabling CFM system-wide " "to allow coexistence with other protocols such " "such as PVST.");msgdef_recommended_action("Administrator action may be required. " "Ensure no CFM traffic is presented to any " "supervisor ports via configuration. If not possible " "configure STP mode to MST and re-enable CFM " "or disable CFM completely."); msgdef_ddts_component("cfm");

– 48 ビットマッチレジスタが使用できない場合、次のメッセージが表示されます。

msgdef(CFM_ON_SUPERVISOR_PORTS_DISABLED, CFM_CONST, LOG_ERR, 0, "CFM is enabled system wide except it's disabled on supervisor ports " "due to spanning tree or GVRP configuration.");msgdef_explanation("Unable to program all port ASIC MAC match registers " "on supervisor ports for CFM due to hardware limitations " "on these ports. Continued with enabling CFM system-wide " "to allow coexistence with other protocols such " "such as PVST or GVRP.");msgdef_recommended_action("System has handled this by disabling CFM on " "all supervisor ports. If this is unacceptable" "configure STP mode to MST and re-enable CFM or disable CFM completely."); msgdef_ddts_component("cfm");

– PVST と CFM または GVRP と CFM の共存を設定した後、サポートされていないラインカー

ドの電源を投入しようとするか、サポートされていないラインカードをルータに挿入しようと

すると、次のメッセージが表示されます。

%C6KPWR-SP-4-UNSUPPORTED: unsupported module in slot 3, power not allowed: Module has insufficient match registers. Enabled relevant protocols include SSTP CFM_MULTICAST.

PVST と CFM の共存の設定

（注） PVST モードはデフォルトのスパニングツリーモードであり、ルータを起動すると、イネーブルにな

ります。

（注） PVST スパニングツリーモードまたは MST スパニングツリーモードは、spanning-tree mode mst または spanning-tree mode pvst コマンドに no を加えてもディセーブルにできません。既存のスパニン

グツリーモードをディセーブルにするには、もう一方のスパニングツリーモードをイネーブルにする

必要があります。たとえば、MST スパニングツリーモードをディセーブルにする場合は、PVST スパ

ニングツリーモードをイネーブルにします。

手順概要

1. enable


3. spanning-tree mode pvst


OL-16147-02-J


4. ethernet cfm enable

詳細手順

次の例では、PVST と CFM の共存を設定します。

Router# enableRouter# configure terminalRouter(config)# spanning-tree mode pvstRouter(config)# ethernet cfm enable

GVRP と CFM の共存の設定

手順概要

1. enable


3. gvrp global

4. ethernet cfm enable

コマンド目的








ます。

ステップ 3 spanning-tree mode pvst

例：Router(config)# spanning-tree mode pvst

Per VLAN Spanning Tree+（PVST+）モードを設定し

ます。

ステップ 4 ethernet cfm enable

例：Router(config)# ethernet cfm enable

接続障害管理（CFM）処理をデバイスでグローバルに

イネーブルにします。


OL-16147-02-J


詳細手順

次の例では、GVRP と CFM の共存を設定します。

Router# enableRouter# configure terminalRouter(config)# gvrp globalRouter(config)# ethernet cfm enable

PVST と GVRP の共存の設定

手順概要

1. enable


3. gvrp global

4. spanning-tree mode pvst

コマンド目的








ます。

ステップ 3 gvrp global

例：Router(config)# gvrp global

GVRP をグローバルにイネーブルにします。

ステップ 4 ethernet cfm enable

例：Router(config)# ethernet cfm enable

接続障害管理（CFM）処理をデバイスでグローバルに

イネーブルにします。


OL-16147-02-J


詳細手順

次の例では、PVST と GVRP の共存を設定します。

Router# enableRouter# configure terminalRouter(config)# ethernet cfm enableRouter(config)# spanning-tree mode pvst

検証


コマンド目的








ます。

ステップ 3 gvrp global

例：Router(config)# gvrp global

GVRP をグローバルにイネーブルにします。

ステップ 4 spanning-tree mode pvst

例：Router(config)# spanning-tree mode pvst

Per VLAN Spanning Tree+（PVST+）モードを設定し

ます。

コマンド目的

Router# show running configuration 特定のモジュールで現在稼動している設定ファイルまたはそ

の設定の内容を表示します。

Router# remote command switch show platform mrm info ポート Application Specific Integrated Circuit（ASIC; 特定用途

向け IC）マッチレジスタを使用するプロトコルを表示します。


OL-16147-02-J


EVC インターフェイスのカスタム ethertype カスタム ethertype 機能では、dot1q パケットおよび QinQ パケットの外部タグに使用する ethertype を設定できます。デフォルトでは、Cisco 7600 シリーズルータは、dot1q および QinQ 外部タグとして ethertype 0x8100 をサポートします。次の ethertype を物理ポートで設定できます。

• 0x8100 – 802.1q

• 0x9100 – Q-in-Q

• 0x9200 – Q-in-Q

• 0x88a8 – 802.1ad

dot1 q tunneling ethertype ethertype-value コマンドを使用して、物理ポートでカスタム ethertype を設定できます。

次の設定例では、ethertype を 0x9100 に設定し、サービスインスタンスを作成し、書き換えプロセス

を開始しています。

interface GigabitEthernet 1/1 dot1q tunneling ethertype 0x9100 service instance <number> ethernet encapsulation dot1q <vlan 1> [second-dot1q <vlan 2>] Rewrite <Rewrite>

（注） 802.1q（0x8100）はデフォルトの ethertype 設定です。

カスタム ethertype 設定でサポートされる書き換え規則

サービスプロバイダーネットワーク内の 2 つのカスタマーサイト間で送信されるパケットの VLAN タグは、書き換えによって追加または削除できます。

次のタイプの書き換えが Network Network Interface（NNI）でサポートされます。

• NNI の C-Tag が範囲なしの場合

• NNI の C-Tag が範囲の場合

NNI の C-Tag が範囲なしの場合にサポートされる書き換え

カスタム ethertype を NNI 物理インターフェイス内で設定し、VLAN の範囲を指定しない場合、プロ

バイダーブリッジには次の書き換えがサポートされます。

• 「encapsulation untagged」の場合：

– No Rewrite

– Rewrite ingress tag push dot1q <vlan1> [second-dot1q <vlan2>] symmetric

• 「encapsulation default」の場合：

– No Rewrite

• 「encapsulation dot1q <vlan>」の場合：

– No Rewrite

– Rewrite ingress tag pop 1 symmetric

– Rewrite ingress tag translate 1-to-1 dot1q <vlan> symmetric

– Rewrite ingress tag translate 1-to-2 dot1q <vlan 1> second-dot1q <vlan 2> symmetric


OL-16147-02-J


• 「encapsulation dot1q <vlan1> second-dot1q <vlan2>」の場合：

– No Rewrite







NNI の C-Tag が範囲の場合にサポートされる書き換え

C-Tag に VLAN の範囲を指定すると、push の書き換えはサポートされません。C-Tag の VLAN 範囲

には次の書き換えがサポートされます。

• 「encapsulation dot1q <vlan1 – vlan2>」の場合：

– No Rewrite

• 「encapsulation dot1q <vlan1> second-dot1q <vlan2 – vlan3>」の場合：

– No Rewrite




（注）カスタム ethertype を設定した場合、階層的なプロバイダーブリッジを回避するために、NNI インター

フェイスでは「encap untagged」以外の「ingress push」書き換えがサポートされません。


カスタム ethertype を設定する場合は、次の制約事項および使用上のガイドラインに従ってください。

• EVC が設定されているメインインターフェイスのカスタム ethertype を適用できます。

• カスタム ethertype はポートチャネルでサポートされません。

• 物理ポートでカスタム ethertype を設定した場合、物理ポートのすべてのサービスインスタンス

は、強制的にその特定の ethertype を使用します。

• カスタム ethertype をメインインターフェイス内に設定した場合、サービスインスタンスでは 802.1Q および QinQ カプセル化がサポートされます。

• カスタム ethertype をメインインターフェイスに設定した場合、サブインターフェイスでは QinQ カプセル化だけがサポートされ、802.1Q カプセル化はサポートされません。

• カスタム ethertype の混在はサポートされません。入力インターフェイスが 8100/9100/9200/88a8 で設定されている場合、外部タグの etype が対応するものでなければトラフィックはサポートされ

ません（設定されたカスタム ethertype 以外の外部タグを含むパケットが受信されると、入力で QinQ パケットがドロップされます。なお、.1Q パケットは通過できます）。

次の例では、外部タグ 9100 を含むパケットが入力で受信されます。このパケットは、初のケー

スではドロップされず、2 番目のケースではカスタム ethertype の不一致によりドロップされます。

//Ingress configuration


OL-16147-02-J


Int Gi1/1 Dot1q tunnel ethertype 0x9100 Service instance 1 ethernet Encap dot1q <vlan1> second-dot1q <vlan2> //Ingress configuration Int Gi2/1 Dot1q tunneling ethertype 0x9200 Service instance 1 eth Encap dot1q <vlan1> second-dot1q <vlan2>

手順概要

1. enable



4. Dot1q tunneling ethertype [0x9100|0x9200|0x88A8]


6. [no] encapsulation untagged, dot1q {any | vlan-id[vlan-id[vlan-id]} second-dot1q {any |vlan-id[vlan-id[vlan-id]]}

7. Rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id}| 2-to-1 dot1q vlan-id }| 1-to-2 {dot1q vlan-id second-dot1q vlan-id dot1q vlan-id} | 2-to-2 {dot1q vlan-id second-dot1q vlan-id dot1q vlan-id}} symmetric

詳細手順

コマンド目的


例：Router> enable






ます。

ステップ 3 interface gigabitethernet slot/subslot/port[.subinterface-number] または interface tengigabitethernet slot/subslot/port[.subinterface-number]





OL-16147-02-J


例

connect でカスタム ethertype を設定したシングルタグカプセル化

次の例では、connect 設定を使用して、シングルタグカプセル化にカスタム ethertype を設定しています。

Roputer#sh running-config int Gi1/1//Building configuration...interface GigabitEthernet 1/1 no ip address dot1q tunneling ethertype 0x9100 no mls qos trust service instance 1 ethernet encapsulation dot1q 10

interface GigabitEthernet 1/2 no ip address

ステップ 4 dot1q tunneling ethertype [0x9100 | 0x9200 | 0x88A8]

例：Router(config)# dot1q tunneling ethertype 0x88A8

物理インターフェイスでカスタム ethertype を 9100、9200、または 88A8 として設定します。物理インター

フェイスのすべてのサービスインターフェイスが設定

された ethertype を使用します。

ステップ 5 service instance id ethernet [service-name]




ステップ 6 encapsulation untagged dot1q {any | vlan-id[vlan-id[-vlain-id]]} second-dot1q {any | vlan-id[vlan-id[-vlan-id]]}

例：Router(config-if-serv)# encapsulation dot1q 100 second dot1q 200

入力 dot1q、QinQ、またはタグなしのフレームをイン

ターフェイスで適切なサービスインスタンスにマッピ

ングする一致基準を定義します。

ステップ 7 Rewrite ingress tag {push {dot1q vlan-id | dot1q vlan-id second-dot1q vlan-id dot1q vlan-id} | pop {1 | 2} | translate {1-to-1 {dot1q vlan-id}| 2-to-1 dot1q vlan-id }| 1-to-2 {dot1q vlan-id second-dot1q vlan-id dot1q vlan-id} | 2-to-2 {dot1qvlan-id second-dot1q vlan-id dot1q vlan-id}} symmetric

例：Router(config-if-srv)# Rewrite ingress tag push dot1q 20

書き換え動作を指定します。

コマンド目的


OL-16147-02-J


dot1q tunneling ethertype 0x9100 mls qos trust dscp service instance 1 ethernet encapsulation dot1q 10Router)# connect LC1 GigabitEthernet 1/1 1 GigabitEthernet 1/2 1

bridge domain を使用したシングルタグカプセル化

次の例では、bridge domain 設定を使用して、シングルタグカプセル化にカスタム ethertype を設定し

ています。

interface GigabitEthernet 1/1 no ip address dot1q tunneling ethertype 0x9100 no mls qos trust service instance 1 ethernet encapsulation dot1q 10 bridge-domain 100

interface GigabitEthernet 1/2 no ip address dot1q tunneling ethertype 0x9100 mls qos trust dscp service instance 1 ethernet encapsulation dot1q 10 bridge-domain 100

xconnect を使用したシングルタグカプセル化

次の例では、xconnect 設定を使用して、シングルタグカプセル化にカスタム ethertype を設定してい

ます。

interface GigabitEthernet 1/1 no ip address dot1q tunneling ethertype 0x9100 no mls qos trust service instance 1 ethernet encapsulation dot1q 10 xconnect 3.3.3.3 10 encapsulation mpls

interface GigabitEthernet 1/1 ip address 10.10.10.2 255.255.255.0 no mls qos trust mpls label protocol ldp mpls ip

サブインターフェイスのカスタム ethertype サポート

次の例では、サブインターフェイスにカスタム ethertype を設定しています。カスタム ethertype は、

常にメインの物理インターフェイスに設定され、QinQ カプセル化はサブインターフェイスに設定され

ます。

interface GigabitEthernet 1/1 no ip address dot1q tunneling ethertype 0x9100 no mls qos trustendinterface GigabitEthernet 1/1.10


OL-16147-02-J


encapsulation dot1Q 10 second-dot1q 20 ip address 20.20.20.2 255.255.255.0end

検証


EVC が設定されたスイッチポートおよびポートのストームコントロールパケットが LAN でフラッディングすると、トラフィックストームが発生し、トラフィックが過密にな

り、ネットワークパフォーマンスが低下します。トラフィックストームコントロール機能は、物理イ

ンターフェイス上のブロードキャストやマルチキャストのトラフィックストームにより LAN ポートが

不通になるのを防ぎます。トラフィックストームコントロールレベルは、ポートの総有効帯域幅に対

する割合を示します。

LAN ベースイーサネットラインカードのブロードキャストストームコントロールについては、

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/storm.html の『Configuring Traffic Storm Control』を参照してください。

この機能は、ブロードキャストやマルチキャストの輻輳またはストームをレートコントロールメカニ

ズムで検出して制御する方法を ES ラインカードに実装します。

ES20 および ES+ カードのストームコントロールは、次のポートでサポートされます。

• スイッチポート

（注）レイヤ 3（ルーティングポート）からレイヤ 2（スイッチポート）への変換は、ポートに

サブインターフェイスが設定されていない場合に限り可能です。

• EVC 設定のポート

この機能はポート単位であり、EVC 単位ではありません。そのため、ポート内のすべての EVC は同じ

ストームコントロールレートを使用します。

コマンド目的

Router# show ethernet service instance [id instance-id | interface interface-id | interface interface-id] [detail]

次の情報を表示します。

• EVC ID を指定した場合は特定の EVC

• インターフェイスを指定した場合は、インターフェイス

上のすべての EVC

detail オプションを指定すると、EVC の詳細情報が表示され

ます。RP コンソールおよび LC コンソールから入力し、物理

ポートに設定されているカスタム ethertype を確認できます。


OL-16147-02-J

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/storm.html

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/storm.html



トラフィックストームコントロールを設定する場合は、次の制約事項および使用上のガイドラインに

従ってください。

（注）これらの制約事項および使用上のガイドラインは、Cisco 7600 ES20 イーサネットラインカードおよび Cisco 7600 シリーズ ES+ ラインカードだけに適用されます。

• トラフィックストームコントロールはデフォルトでディセーブルにされています。

• ユニキャストストームコントロールはサポートされません。

• レイヤ 3 サブインターフェイスのストームコントロールはサポートされません。

• ストームコントロール機能は、EVC レベルでは設定できません。

• ストームコントロール機能は、ポートチャネルインターフェイスではサポートされません。

• ストームコントロールレートは、Packets/Second（PPS; パケット /秒）で指定できません。

• ストームコントロール処理（トラップまたはシャットダウン）はサポートされません。

• ブロードキャストとマルチキャストの抑制は、同じ抑制率を共有しているため、ブロードキャスト

とマルチキャストで異なる比率を設定する場合は、新しく設定した比率がブロードキャストとマル

チキャストの両方に適用されます。

• ストームコントロール機能は、ポートチャネルのメンバーインターフェイスではサポートされま

せん。

• タグなしフレームは、すべてのタグなしフレームにマークを付けるサービスインスタンスを設け

ることによって、ストームコントロールを実行できます。そのようなサービスインスタンスを作

成すれば、これらのフレームは他の EVC のストームコントロールと同じように動作します。

• インターフェイスの総帯域幅に対する割合でレベルを指定します。

– レベルは 0 ～ 100 です。

– レベルの小数はオプションで 0 ～ 99 を指定できます。

– 100 %はトラフィックストームコントロールなしの意味です。

– 0.0 %はすべてのトラフィックを抑制します。

– 0.01 % の単位で許可する比率を指定できます。

• 大ストームコントロールレートは 4 Gbps（10 Gb インターフェイスで回線速度の 40%）です。

• ストームコントロールは、スイッチポートの dot1q-tunnel モードで動作します。

• インバウンドレイヤ 2 ACL が適用されたインターフェイスにストームコントロールを使用する

と、設定した抑制レベルに関係なく、すべてのパケットがドロップされます。

EVC 設定を使用したポートのストームコントロールの設定

ここでは、EVC 設定を使用したポートにストームコントロールを設定する方法について説明します。

手順概要

1. enable



OL-16147-02-J



4. [no] service instance id {Ethernet service-name}



7. storm-control {broadcast | multicast} level level[.level]

詳細手順

コマンド目的








ます。

ステップ 3 interface gigabitethernet slot/port または interface tengigabitethernet slot/port















例：Router(config-subif)# bridge domain 12



ステップ 7 storm-control {broadcast | multicast} level level[.level]

例：Router(config-if)# storm-control broadcast level 30

ストームコントロール抑制レベルを設定します。


OL-16147-02-J


例

次の例は、EVC のポートに対する設定を示しています。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 4/1Router(config-if)# service instance 2 ethernetRouter(config-if-srv)# encapsulation dot1q 20Router(config-if-srv)# bridge-domain 10Router(config-if)# storm-control multicast level 45

スイッチポートのストームコントロールの設定

手順概要

1. enable



4. switchport

5. switchport mode {access | dot1q-tunnel | dynamic {auto | desirable} | private-vlan | trunk}

6. storm-control {broadcast | multicast} level level[.level]

詳細手順

コマンド目的








ステップ 3 interface gigabitethernet slot/port or interface tengigabitethernet slot/port




ステップ 4 switchport

例：Router(config-if)# switchport

レイヤ 2 スイッチインターフェイスのスイッチング特性

を設定します。


OL-16147-02-J


例

次の例は、スイッチポート設定を使用したポートに対する設定を示しています。

Router# enableRouter# configure terminalRouter(config)# interface GigabitEthernet 4/1Router(config)# switchportRouter(config)# switchport mode trunk Router(config)# storm-control multicast level 45

検証


ステップ 5 switchport mode {access | dot1q-tunnel | dynamic {auto | desirable} | private-vlan | trunk}

例：Router(config-if)# switchport mode trunk

インターフェイスタイプを設定します。

ステップ 6 storm-control {broadcast | multicast} level level[.level]

例：Router(config-if)# storm-control broadcast level 30

ストームコントロール抑制レベルを設定します。

コマンド目的

表 4-1 トラフィックストームコントロールのステータスおよび設定を表示するコマンド

コマンド目的

Router# show interfaces [{type1 slot/port} | switchport]

1. type = ethernet、fastethernet、gigabitethernet、または tengigabitethernet

すべてのレイヤ 2 LAN ポートまたは指定したレイヤ 2 LAN ポートの管理ステータスや動作ステータスを表示

します。

Router# show interfaces [{type1 slot/port} | counters storm-control

Router# show interfaces counters storm-control [module slot_number]

すべてのインターフェイスまたは指定インターフェイ

スにおいて、3 つすべてのトラフィックストームコン

トロールモードで廃棄されたパケットの総数を表示し

ます。


OL-16147-02-J



OL-16147-02-J

レイヤ 2 l2）機能の設定 - ciscotengigabitethernet 1/2...

Documents