Saturday, May 27, 2006

わからないとしか言えない!

いま流行りの「~としか言えない」をパクってみました。
networkerさんすみません(笑)

何がわからないのかというと、

So Where The Bloody Hell Are You?

という言葉の語感というか、ニュアンスというか。

この言葉はオーストラリアへの観光をアピールする広告に書かれて
いるものです。地下鉄でよく目にします。
最初にこれを見たときは、Bloody Hellなんて書かれているので
「えっ?」と思ったのです。

Bloody Hellって、直訳すると「血みどろの地獄」ですかね(笑)
でもBloodyって、俗語で「すごい」という強調語にもなるみたい
ですね。あとThe Hellも強調の意味で使われるんでしたっけ。

それで、The Bloody Hellと組み合わせて使うとなると、すっごく
強調されてるってことですよね。

So Where Are You?

だと、「で、どこにいるの?(そんな所にいないで、オーストラリアへ
来てみなよ!」みたいなニュアンスでしょうか。

で、

So Where The Bloody Hell Are You?

だと、強調されているものが何なのか

わからないとしか言えない!

強調されてるのって、どこなんでしょうね。Whereかな。
そのときの意味って、

「で、ったく一体全体どこにいるいるのさ!」


みたいな感じ?ホントかな。誰か教えてください。。。

Thursday, May 25, 2006

Configuring Protected Ports(後半)

Geneさんのメルマガで今週の月曜日に掲載された記事をUPします。

はじめに
 前回はProcted Portsの動作と注意点についてお勉強しました。
 さて今回はProtected Portsの設定についてみていきましょう。
 もし前回の内容を見ていない場合は、先に前回の内容を読んで
 おいた方が効果的です。

 基本的な設定のステップを勉強したあとは、設定例を見て、練習
 問題を解いてみます。
 また、最後にちょっと難しめの問題にチャレンジしてもらいます。


Default設定
 Protected Portsは、Defaultでは設定されていません。


Configuring Protected Ports
 Protected Portsの設定はとても簡単です。
 ただし、SwitchのインタフェースがRouted Port(no switchport)
 に設定されていると、そのポートをProtected Portsにはできない
 ので注意してください。

 以下に設定のステップを示します。
 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Protected Portsを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport protected

  Protected Portsの設定をします。
  引数は特にありません。

 Step4
  以上で設定は終了です。

  なお、Protectedポートの設定は最低でも2ポート分必要です。
  #Protected Potrsは、switchport protectedと設定されてい
  #インタフェースでのパケットのやり取りをブロックするため。


Configuration Example
 設定例を示します。ここではfa0/1とfa0/2同士が直接パケット
 のやり取りをブロックする設定です。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchprot access vlan 10
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Swtich(config-if)# int fa 0/2
 Switch(config-if)# switchprot access vlan 10
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Switch(config-if)# end


Basic Configuring Exercise
 設定が単純なため、基本的な設定問題は特ににありません。


Advanced Configuring Exercise
 今回の応用問題は少し難しいかもしれません。この問題も
 私のオリジナルです。

 構成は、VLAN123にR1、R2、R3がいます。このVLAN123の
 ネットワークアドレスは、192.168.123.0/24です。

 R1、R2、R3はEIGRP123を動作させていて、Loopback0の
 アドレスをアドバタイズしています。

 各ルータのIPアドレスは以下のとおりです。

 R1 fa0/0 : 192.168.123.1/24 loopback0 : 1.1.1.1/24
 R2 fa0/0 : 192.168.123.2/24 loopback0 : 2.2.2.2/24
 R3 fa0/0 : 192.168.123.3/24 loopback0 : 3.3.3.3/24

 SWとの接続は以下のとおりです。
 SW[fa0/1]-----[fa0/0]R1
 SW[fa0/2]-----[fa0/0]R2
 SW[fa0/3]-----[fa0/0]R3


 では、ここから問題です。
 R1とR3で、パケットのやり取りをブロックしてください。
 R1とR3で、パケットのやり取りを行う必要がある場合、R2を
 経由するようにしてください。
 R1とR2とR3で、お互いのLoopbackアドレスがルーティング
 テーブルに見えるようにしてください。
 ただし、EIGRPのneighborコマンドは使用してはいけません。

 解けましたでしょうか。
 実機を持っている方は実際にやってみることをオススメします。
 持っていない方は頭の中で考えてみましょう(笑)


 それでは、解答です。

 まず、SWの設定は以下のようになります。

 Switch(config)# vlan123
 Switch(config-vlan)# exit

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected

 Switch(config)# int fa 0/2
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access

 Switch(config)# int fa 0/3
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected

 問題にはR1とR3でパケットのブロックをしないように、と書いて
 いましたので、fa0/1とfa0/3にswitchport protectedコマンドを
 設定しています。これで、Protected Ports同士のパケットの
 やりとりをSWがブロックします。

 次に各ルータの設定は以下のようになります。

 R1(config)# int lo0
 R1(config-if)# ip address 1.1.1.1 255.255.255.0
 R1(config-if)# int fa 0/0
 R1(config-if)# ip address 192.168.123.1 255.255.255.0
 R1(config-if)# no shut
 R1(config-if)# router eigrp 123
 R1(config-router)# no auto-summary
 R1(config-router)# network 192.168.123.1 0.0.0.0
 R1(config-router)# network 1.1.1.1 0.0.0.0

 R2(config)# int lo0
 R2(config-if)# ip address 2.2.2.2 255.255.255.0
 R2(config-if)# int fa 0/0
 R2(config-if)# ip address 192.168.123.2 255.255.255.0
 R2(config-if)# no shut
 R2(config-if)# router eigrp 123
 R2(config-router)# no auto-summary
 R2(config-router)# network 192.168.123.2 0.0.0.0
 R2(config-router)# network 2.2.2.2 0.0.0.0

 R3(config)# int lo0
 R3(config-if)# ip address 3.3.3.3 255.255.255.0
 R3(config-if)# int fa 0/0
 R3(config-if)# ip address 192.168.123.3 255.255.255.0
 R3(config-if)# no shut
 R3(config-if)# router eigrp 123
 R3(config-router)# no auto-summary
 R3(config-router)# network 192.168.123.3 0.0.0.0
 R3(config-router)# network 3.3.3.3 0.0.0.0

 各ルータでは、インタフェースの設定とEIGRPの設定を行って
 います。
 これで終わり!ではありません。
 この設定だと、ある問題が生じます。

 その問題とは、R1とR3では全てのルート情報がルーティング
 テーブルに表示されていない、ということです。

 R1とR3は自身のConnectedのルートと2.2.2.0/24のルートを
 EIGRPで受け取っています。
 R1とR3はLoopbackのアドレスを交換できていないようです。

 これは、SW1でR1とR3のパケットのやりとりをブロックしている
 ため、R1とR3がEIGRPのneighborになっていないことと関係が
 あります。

 SW1でR1とR3のインタフェースにswitchport protectedの設定
 を行ったことにより、全てのパケットはR2を経由します。
 これはEIGRPのアップデート情報も同様で、R1のルート情報は
 R2へ、R3のルート情報はR2へ送られます。

 EIGRPは基本的にはディスタンスベクタに属するプロトコルで
 すので、R2のfa0/0にはsplit-horizonが有効になっています。

 つまり、R1のLoopback0のルート情報がR2のfa0/0を介して
 EIGRPのプロセスに届きます。そのルート情報は、再びfa0/0
 を通って、R3に通知されることはありません。これが
 split-horizonの動作です。

 よって、解決策はR2のfa0/0でsplit-horizonを無効にすること
 となります。
 設定はこのようになります。

 R2(config-if)# no ip split-horizon eigrp 123

 これで、R1とR3に全てのルート情報が表示されるようになります。


Further Reading
 Protected Ports関連のDocumentへのLinkです。

  Catalyst 3550 Software Configuration Guide
   http://www.cisco.com/univercd/cc/td/doc/product/
    lan/c3550/12225see/scg/swtrafc.htm

さて、次回はPort Blockingのお話です。
 次回のコンテンツは、
 -はじめに
 -Port Blockingとは
 -Default設定
 -Configuring Port Blocking
 -Configuration Example
 -Basic Configuring Exercise
 -Further Reading
です。お楽しみに。

Monday, May 22, 2006

Configuring Protected Ports(前半)

Geneさんのメルマガで先週の金曜日に掲載された記事をUPします。

はじめに
 前回は2回にわたってStorm-Controlをお勉強しました。
 今回はProtected Portsについてみていきます。
 このProtected Portsも前半と後半に分かれています。
 前半は動作についての話、後半は設定や練習問題をやります。

 このProtected PortsはPort Blockingと混同しやすいので、この
 記事を読んでProtected Portsの特徴を正しく掴みましょう。

Protected Portsとは
 Protected Portsがどんな役割を果たすのかを例をもとに説明します。

 SWのfa0/10とfa0/11は同一のセグメントで、それぞれのポートに
 サーバAとサーバBが接続されている、とします。
 fa0/10とfa0/11にProtected Portsの設定を行うと次の動作になり
 ます。

 -サーバAからサーバBへのユニキャストパケットがブロックさ
  れる。(その逆も同様)
 -サーバAからサーバBへのマルチキャストパケットがブロック
  される。(その逆も同様)
 -サーバAからサーバBへのブロードキャストパケットがブロック
  される。(その逆も同様)
 -サーバAからProtected Portsの設定されていないポートへ
  通信する場合は制限されない。(サーバBの場合も同様)

 つまり、Protected Portと設定されているポート間だけ直接のやり
 とりがブロックされます。

 また、例の最後にあるように、Protected Portsが設定されている
 ポートと、設定されていないポート間は何も制限はなく、通常の
 状態と変わりません。

 Protected Portsを設定するときに2点、注意が必要です。

 まず1点めは、Protected PortsはFallback Bridgingと連携して動作
 することができないということです。

 Fallback Bridgingとは異なるVLAN間をBridgingして、ルーティング
 することなく直接のやり取りを可能にする仕組みです。
 以下、例をもとに説明します。

 fa0/10はVLAN10に属していて、Protected Portsが設定されてい
 ます。Fa0/11はVLAN11に属していてProtected Portsが設定され
 ています。

 通常はVLAN10とVLAN11はVLANが異なるため、ルーティングさ
 れなければ直接のやりとりはできません。
 しかし、ここでは何か別の要件によって、VLAN10とVLAN11は
 ルーティングすることなく通信できる必要があったとしましょう。

 このような要件の場合、VLAN10とVLAN11はFallback Bridgingを
 設定します。
 #Fallback Bridgingの設定については、ここで解説するのが目的
 #ではないので、サンプル程度のコンフィグを示します。

 Switch(config)# int fa 0/10
 Switch(config-if)# switchport access vlan 10
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Switch(config-if)# int fa 0/11
 Switch(config-if)# switchport access vlan 11
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Switch(config-if)# exit
 Switch(config)# bridge 1 protocol vlan-bridge
 Switch(config)# int vlan 10
 Switch(config-if)# bridge group 1
 Switch(config-if)# int vlan 11
 Switch(config-if)# bridge group 1

 VLAN10とVLAN11でFallback Bridginを設定すると、fa0/10
 とfa0/11に設定したProtected Portsは機能しません。
 ですので、Fallback BridgingとProtected Portsは併用しないよう
 にしましょう。


 2点目は、問題というよりはSwitchの仕様です。

 最初の例で、サーバAとサーバBのお話をしました。
 その際、こんな疑問を感じませんでしたか?

 何故SwitchはサーバAからサーバB宛てのパケットを
 「fa0/10からfa0/11に流れる」
 と認識できたのでしょうか。

 Switchは、誰がどこにつながっているかを認識するためにMAC
 アドレスと、そのMACがどのポートの先に存在するかという2つの
 情報を併せてMACアドレステーブルに記憶しています。

 SwitchのMACテーブルが空っぽのとき、サーバAがサーバBに
 フレームを送った場合、SwitchはサーバBがどのポートに接続され
 ているのか判断できないため、Floodingするしかありません。

 よって、SwitchのMACテーブルが空っぽの場合や、あて先の
 MACアドレスを学習していない場合は、Protected Portsが設定さ
 れているポート同士でもパケットが届いてしまう場合があります。

 この動作を防ぐ方法は2つあります。1つは予めサーバAとサーバB
 のMACアドレスをStaticに設定します。もう1つは冒頭で述べた
 Port Blockingを使用します。
 このPort Blockingは、別の機会にとりあげますのでお楽しみに。


さて、次回はProtected Portsを設定するときのお話です。
 次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuring Protected Ports
 -Configuration Example
 -Basic Configuring Exercise
 -Advanced Configuring Exercise
 -Further Reading
です。

Wednesday, May 17, 2006

Configuring Storm Control(後半)

Geneさんのメルマガで今週の月曜日に掲載された記事をUPします。

はじめに
 前回はStorm Controlの動作についてお勉強しました。
 さて今回はStrom Controlの設定をみていきましょう。
 もし前回の内容を見ていない場合は、先に前回の内容を読んで
 おいた方が効果的です。

 基本的な設定のステップを勉強したあとは、設定例を見て、練習
 問題を解いてみます。
 また、最後にちょっと難しめの問題にチャレンジしてもらいます。

Default設定
 Storm ControlはDefaultで無効になっています。

Configuring Storm Control and Threshold Level
 Storm ControlはInterface Configuration Modeで設定し、物理イン
 タフェースのみサポートしています。
 EtherChannelインタフェースでも設定できますが、サポートされて
 いないので設定しても効果はありません。
 また、Channelメンバーの物理ポートで設定しても効果はありません。

 以下に設定のステップを示します。
 Step1
  Switch# conf t
 
  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Storm Controlを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# storm-control { broadcast | multicast |
   unicast } level { level [ level-low] | pps pps [ pps-low ] }

  Storm Controlを設定します。各引数は以下のとおりです。
  broadcast・・・BroadcastのStorm Controlを有効にします。
  multicast・・・MulticastのStorm Controlを有効にします。
  unicast・・・UnicastのStorm Controlを有効にします。

  level・・・利用可能な帯域幅のうち、パーセンテージで上限
  を指定します。この値を超えるとブロックされます。
  値は、0.00から100.00まで指定可能です。
  0.00は全てブロックを意味し、100.00は全てブロックしない
  を意味します。

  level-low・・・パーセンテージで下限を指定します。
  この設定はオプションです。ここで指定した下限を下回る
  とブロックされていたパケットの送受信が再開されます。
  この値を設定しない場合、実質的には上限と同じ値と
  いうことになります。

  pps・・・受信可能なppsを設定します。指定可能な値は、
  0.0から10000000000.0です。

 Step4(Optional)
  Swtich(config-if)# storm-control action { shutdown | trap }

  Stormを検出した際のアクションを定義します。Defaultでは、
  パケットをブロックするのみですが、以下の2つのアクション
  をとることも可能です。

  shutdown・・・Stormを検出した場合、そのインタフェース
  をerr-disableにすることができます。

  trap・・・Stormを検出した場合、SNMP Trapを送信します。

 Step5
  以上で設定は終了です。

Configuration Example
 コマンドの構文を見てもピンとこないでしょうから、設定例を示します。

 Switch(config)# int fa 0/10
 Switch(config-if)# storm-control broadcast level 8.5

 このコマンドはfa0/10に流れてくるBroadcastを約8.5%に制限します。
 fa 0/10が100Mbpsの帯域に設定されているとすると、約8.5Mbps
 となりますが、実際にはこの数字はもっと前後すると思います。

 次にPPSを指定した例を示します。

 Switch(config)# int fa 0/10
 Switch(config-if)# storm-control unicast level pps 80k

 PPSの場合、そのインタフェースの帯域に関係なく、1秒あたりに
 受信するパケット数で判断します。
 ここで「k」という文字がついていますが、キロ(1000倍)を表して
 います。同様に「m」や「g」も使えます。

Basic Configuring Exercise
 では、練習問題を解いてみましょう。

 問1)SwitchのFa0/1で受信されたBroadcastが、そのインタフェース
 で利用可能な帯域の30%を超えたらブロックするようにしてください。
 また、Broadcastが15%を下回ったら再度受信可能な状態にしてくだ
 さい。

 問2)SwitchのFa0/1で受信されたUnicastが、10,000,000パケット
 を超えたらブロックし、5,000,000を下回ったら受信できるようにして
 ください。また、SNMP TrapでStormを検出したことを通知できる
 ようにしてください。
 SNMP関連の設定は別途設定されているものとします。


 設定できましたか?では問1の解答です。

 Switch(config)# int fa 0/1
 Switch(config-if)# storm-control broadcast level 30 15

 設定は難しくありません。Levelキーワードの後は、最初が上限、次
 が下限の値になります。


 次に問2の解答です。

 Switch(config)# int fa 0/1
 Switch(config)# storm-control unicast level pps 10m 5m
 Switch(config)# storm-control action trap

 パケット数で判断するにはppsオプションを使用します。「m」はメガ
 を表しています。SNMP Trapを投げるようにするにはstorm-control
 actionコマンドを使用します。


Advanced Configuring Exercise
 最後に、ちょっと難しめの問題を解いてみましょう。
 構成はR1とR2がSWをはさんで接続されています。
 
 R1 [fa0/0]-------[fa0/1] SW [fa0/2]-------[fa0/0] R2

 各機器のアドレス情報は以下のようになっています。
 
 R1 IP:192.168.1.1/24 MAC:1111.1111.1111
 R2 IP:192.168.1.2/24 MAC:2222.2222.2222

 ここから問題です。
 SWでR1からのBroadcastを全てブロックしてください。
 ただし、R1からR2へのPingには影響を及ぼさないようにしてくだ
 さい。

 解けましたでしょうか。
 実機を持っている方は実際にやってみることをオススメします。

 それでは、解答です。

 まず、SWの設定は以下のようになります。

 SW(config)# int fa 0/1
 SW(config)# storm-control broadcast level 0

 この設定にピンと来なかった方は、ConfigurationのStep3に戻って
 ください。Levelを0と指定すると、全てブロックという意味になると
 説明しました。

 これで終わり!と思った方は残念ながら不正解となります。
 この問題のHidden Issueは、R1からR2へのPingには影響を及ぼさ
 ないようにする、というところです。

 Broadcastの抑制とPingという一見何の関連性も無いように見え
 ますが、R1がR2にPingするとき、R1はまず何をするでしょうか。

 そうです。192.168.1.2のMACアドレスを解決しようとしますね。
 ARPキャッシュに192.168.1.2に対応するMACアドレスが記憶されて
 いない場合は、R1はまずARP Requestを送信します。

 このARP Requestは、Broadcastで送信されます。
 よって、SWのfa0/1でBroadcastを全てブロックしているとR1から
 R2へのPingに影響が出る場合が考えられます。

 では、何を設定すればよいかというと、R1にStatic ARPの設定を
 追加します。コンフィグは次のようになります。

 R1(config)# arp 192.168.1.2 2222.2222.2222 arpa

 この設定を追加するとR1からARPを出す必要がなくなるため、Ping
 が問題なくできるようになります。

 SWとR1の設定ができてはじめて正解となります。

Further Reading
 Storm Control関連のDocumentへのLinkです。

 -Catalyst 3550 Software Configuration Guide
  http://www.cisco.com/univercd/cc/td/doc/product/
   lan/c3550/12225see/scg/swtrafc.htm

さて、次回はProtected Portsのお話です。
次回のコンテンツは、
 -はじめに
 -Protected Portsとは
 です。
 
 これだけ見ると内容が少なそうに見えますが、そんなことはあり
 ません。次回も内容が濃いですのでお楽しみ。

Monday, May 15, 2006

八ちゃんラーメン

ラーメンって、個人的には音楽と同じぐらいに好みが分かれる
食べ物だと思っていますので、なかなか人に勧めるのは難しい
と思いますが、個人的にうまいと感じた物を紹介しますので、仮に
食べてみてマズイと感じたからといって文句は言わないでくださ
いね(笑)

今回紹介するのは、福岡空港のお土産屋で売っているという

「八ちゃんラーメン」

です。

売っているという、と書いたのは、自分が買ったわけではなくて
貰い物だったからです。なので、福岡空港のどのお土産屋で売って
いるのかまでは知らないのであしからず。

このラーメン、インスタントだと甘く見ていたのですが、出来上がっ
た時のスープのこってり感や、スープが麺にしっかりとからみ合う
具合など、とてもインスタントラーメンとは思わせない仕上がりに
なっていて、かなりイケます。

私は「ギトギトのとんこつラーメン」が好きなのですが、この八ちゃん
ラーメンには大満足でした。インスタントラーメンでここまでうまい
と思ったのはこのラーメンが初めてです。

福岡空港でしか買えない(売ってない)、と思っていましたが千葉の
「ららぽーと」の中にあるココに売っているのを発見しました。


インスタントラーメンにしてはかなり美味しいと思いますので、興味
のある方はお試しあれ。

最後に実際に作るうえでのアドバイスと注意点を。

まずは注意点から。

博多ラーメンは基本的に極細麺です。この八ちゃんラーメンも麺を茹
でる時間は約1分です。1分30秒茹でるとちょっとやわくなるかな、と
思います。

なので、麺を茹でる間にスープを作る、なんてことをするとノビノビ
の麺を食べてしまうかもしれないので注意が必要です。

そこで、先にスープを作ってから麺を茹でるというのが正しい作り方
です。

詳細は、

①やかんに水を入れて沸騰させます。このときの水の量は多いほど
 良いかと思います。理由は②で。

②水が沸騰したら、ラーメンをいれるどんぶりにお湯を注ぎます。
 これはスープが冷めてしまわないように予めどんぶりを温めて
 おくためです。

③麺を茹でるための鍋に水を入れ、沸騰させます。

④どんぶりが十分温まったら、スープの素をいれ、お湯を注ぎます。
 このときのお湯の量は、作り方に書いてある量よりちょっぴり少な
 くします。

⑤このスープの素はなかなか溶けにくい(粉末ではない)ので、
 よくかき混ぜます。

⑥鍋の水が沸騰したら麺を入れます。約1分ほど茹でたら火を止め
 スープが入っているどんぶりに麺を入れます。

⑦最後に葱を入れ、お好みでコショウをかければ出来上がりです。

以上のように、作る段階から真剣勝負で望まないと、インスタントと
は思えないスープと麺を楽しむことはできません。

ラーメン好きな方、ぜひチャレンジしてみてください。

The new world is waiting for your tongue.

Sunday, May 14, 2006

Configuring Storm Control

Geneさんのメルマガで先週の金曜日に掲載された記事をUPします。


はじめに
 Catalyst3550はルータが持っていない様々な機能を備えています。
 今回は、ポートベースでトラフィックを制御する技術の中のStorm
 Controlについてお勉強したいと思います。
 Storm Controlは前半と後半の2部構成で、前半でStorm Control
 の動作についての話、後半で基本的な設定や練習問題をみていこう
 と思います。

Storm Controlとは
 Storm Controlとは、Broadcast Storm、Multicast Storm、Unicast
 Stormを物理インタフェースレベルで制御します。
 これらのStormは主にDenial-of-Service(DoS) Attackや、設定ミス
 ケーブリングミス、IOSの不具合などによって発生する可能性があ
 ります。

 Storm Control(traffic suppressionと呼ばれる場合もある)は物理
 インタフェースからSwitching Busを通るパケット(すなわち受信パ
 ケット)の流量と、そのパケットがBroadcastがなのか、Multicastな
 のか、Unicastなのかを監視して予め設定しておいたThresholdを
 超えないようにします。

 Storm Controlではパケットをブロックするか受信するかを判断する
 方法として、以下の2つのどちらかを設定できます。

 -ある物理インタフェースの利用可能な帯域幅のうち、Broadcast
  Multicast、Unicastが使用できる帯域幅をパーセンテージで設定
  する。
 -ある物理インタフェースで受信されるBroadcast、Multicast
  UnicastのPacket Per Second(PPS)を設定する。

 1番目の方法では、設定されたパーセンテージを超えるパケットが
 ブロックされます。Switchは設定されたパーセンテージを上限として
 認識しており、オプションとして下限のパーセンテージも設定できま
 す。

 下限のパーセンテージが設定されているかどうかで、ブロックされた
 パケットが再度受信される場合の動作が変わります。


 まず上限のパーセンテージのみの設定の場合、パケットがブロック
 されたあと、その後に流れるパケットの流量が上限を下回っていれ
 ばパケットの受信が再開されます。下限のパーセンテージも設定
 されている場合、下限のパーセンテージを下回っていたらパケット
 の受信が再開されます。


 2番目の方法では、ある物理インタフェースで受信できるPPSを指定
 します。
 このPPSも上限と下限が設定でき、下限はオプションです。
 ブロックされたパケットの受信を再開する考え方は、最初の方法と
 同一です。

 このStorm Controlでは2つの注意が必要です。

 まず1つめは時間に関することで、Switchは1秒ごとにパケットの
 流量を計測しているという点です。リアルタイムで計測しているわ
 けではないので、多少の「時差」があります。

 例えば、あるタイミングでパケット流量を計測したところ、上限は
 超えていなかったため、パケットの受信を許可します。それから
 0.5秒後にBroadcast Stormが発生し、大量のパケットが流れ込んで
 きました。
 しかし、次の計測のタイミングまで0.5秒あるので、その間は大量の
 パケットが流れっぱなしになります。

 次の計測のタイミングで、上限を超えるパケットが計測されたので次
 の計測タイミングまでBroadcastをブロックしつづけます。
 Broadcastがブロックされてから0.5秒後にBroadcast Stormは収
 まったとしても、その後も次の計測タイミングまでBroadcastはブ
 ロックされたままになります。

 この例で分かるように、Switchはリアルタイムで計測しているわけ
 ではないのでパケットのブロックや受信の再開に多少のズレが
 あることだけ認識していてください。

 2つめはMultiastパケットのStorm Controlを設定していた場合です。
 Multicastパケットが上限を超えた場合、そのポートで受信される
 BroadcastとUnicastも併せてブロックされます。ただしSTPは特別
 に許可されます。
 
 BroadcastやUnicastの場合は、それぞれ個別にブロックされます。
 つまり、Broadcastが上限を超えてブロックされたからといって
 Unicastがブロックされることはありません。

さて、次回はStorm Controlを設定するときのお話です。
 次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuring Storm Control and Threshold Level
 -Configuration Example
 -Basic Configuring Exercise
 -Advanced Configuring Exercise
です。

Friday, May 12, 2006

新企画とは

さて、次のLabに向けてというEntryの中である大御所サイトとのコラボ
レーションという話題を書きました。

この大御所サイトとは、


Geneさんの、ネットワークのおべんきょしませんか?

です。


が、

コラボレーションと言っても、そんな大層なものではありません。
Geneさんのメルマガに、CCIE Candidate向けの技術解説記事を書く
ことになった、というだけです。

この技術解説記事は毎週金曜日のメルマガに掲載される予定です。
私の書くペースが早ければ月曜日にも掲載されるかもしれません。

内容は私の独断と偏見でテーマ(CatalystやRouterの機能)を選ん
で、そのことについて動作や設定方法、注意点などを説明します。
可能な限りConfigurationの例や練習問題などを取り上げ、より実践
的な内容に仕上げています。

更に可能であれば応用問題的なちょっぴり複雑なケースも取り上げ
る場合もあります。

また、Geneさんのメルマガに掲載された記事は、このBlogでもUPして
いきますのでお楽しみに。

CCIEを目指す人、返り討ちにあってしまった人、自腹で孤独にがん
ばる人の役に立つコンテンツ作りをしていきますね。

Wednesday, May 10, 2006

コマンドを入力したと同時に時刻を表示するには

CCIEのLabには役に立たないと思いますが、仕事では役に立つ (と
思う)コマンドの紹介をします。
もしかすると皆さん知っているのかもしれませんが、私の周りでは使っ
ている人を見たことがないので。

よくTroubleshootingの作業をやるときに、showコマンドを投入した
ときの時刻を一緒に表示したいことがあります。その場合は、show
clockコマンドと実行したいshowコマンドを一緒にコピーしておいて、
実行する際にコピーしておいたコマンドを貼り付けします。
そうすることで、show clockと実行したいshowコマンドをほぼ同時に
打つことができます。

でもIOSにはもっとスマートなやり方があります。

Line Configuration Modeで以下のように設定します。
今回は例としてコンソールに設定していますが、vtyでも設定できます。

Router(config)# line con 0
Router(config-line)# exec prompt timestamp
Router(config-line)# end

このexec prompt timestampというコマンドは、showコマンドを実行
すると、そのコマンド出力の先頭にhow clockの内容と同じものを併せ
て表示してくれます。以下に出力のサンプルを示します。

Router#sh run
Load for five secs: 5%/0%; one minute: 7%; five minutes: 7%
Time source is NTP, 00:25:10.137 UTC Fri April 28 2006

Building configuration...

!output omitted

この例では、show runと実行した際にshow clockのコマンド出力が
一緒に表示されていることが分かります。

私は結構便利なコマンドだと思ったので、設定にはいつも入れるよう
にしています。

Tuesday, May 09, 2006

次のLabに向けて

私のとって次のLabを受験する際の最大の難関は受験費用の捻出
ですが、2つの新企画で受験費用の問題を乗り越えようと目論んで
います。

その2つとは、

 -Adsense
 -とある大御所サイトとのコラボレーション

です。

AdsenseとはGoogleの広告ですね。広告収入なんてたいした額に
はならないと思いますが、無いよりはいいかなと思ってはじめてみ
ました。

広告収入を得るためには、このBlogの内容をもっと充実させる必要
があるわけで、CCIE candidateのためになる情報満載という形に
していかなければいけないな、と思っています。
更新頻度をあげたりとか、勉強になるようなEntryをUPするとか。


そしてもうひとつがとある大御所サイトとのコラボレーションです。
コラボレーションという言葉はもう死語になりつつあるんですかね(笑)
言い方は大げさですが、まだどうなるか未定なので、現時点では
秘密ということにしておきます。

Saturday, May 06, 2006

受験記削除のお知らせ

先日、私のCCIE Labの2回目の受験記をUPしましたが、気持ちを
込めて書きすぎた結果、内容に問題があると思うので削除すること
にしました。

誤解してほしくないので念のため書きますが、私はCCIEのNDAを
尊重していますし、これに抵触するような行為は行いたくありません
し、するつもりもありません。

書いている内容を吟味せず、ご迷惑をおかけしましたことをお詫び
申し上げます。