Geneさんのメルマガで先週の金曜日に掲載された記事をUPします。
はじめに
前回は2回にわたってStorm-Controlをお勉強しました。
今回はProtected Portsについてみていきます。
このProtected Portsも前半と後半に分かれています。
前半は動作についての話、後半は設定や練習問題をやります。
このProtected PortsはPort Blockingと混同しやすいので、この
記事を読んでProtected Portsの特徴を正しく掴みましょう。
Protected Portsとは
Protected Portsがどんな役割を果たすのかを例をもとに説明します。
SWのfa0/10とfa0/11は同一のセグメントで、それぞれのポートに
サーバAとサーバBが接続されている、とします。
fa0/10とfa0/11にProtected Portsの設定を行うと次の動作になり
ます。
-サーバAからサーバBへのユニキャストパケットがブロックさ
れる。(その逆も同様)
-サーバAからサーバBへのマルチキャストパケットがブロック
される。(その逆も同様)
-サーバAからサーバBへのブロードキャストパケットがブロック
される。(その逆も同様)
-サーバAからProtected Portsの設定されていないポートへ
通信する場合は制限されない。(サーバBの場合も同様)
つまり、Protected Portと設定されているポート間だけ直接のやり
とりがブロックされます。
また、例の最後にあるように、Protected Portsが設定されている
ポートと、設定されていないポート間は何も制限はなく、通常の
状態と変わりません。
Protected Portsを設定するときに2点、注意が必要です。
まず1点めは、Protected PortsはFallback Bridgingと連携して動作
することができないということです。
Fallback Bridgingとは異なるVLAN間をBridgingして、ルーティング
することなく直接のやり取りを可能にする仕組みです。
以下、例をもとに説明します。
fa0/10はVLAN10に属していて、Protected Portsが設定されてい
ます。Fa0/11はVLAN11に属していてProtected Portsが設定され
ています。
通常はVLAN10とVLAN11はVLANが異なるため、ルーティングさ
れなければ直接のやりとりはできません。
しかし、ここでは何か別の要件によって、VLAN10とVLAN11は
ルーティングすることなく通信できる必要があったとしましょう。
このような要件の場合、VLAN10とVLAN11はFallback Bridgingを
設定します。
#Fallback Bridgingの設定については、ここで解説するのが目的
#ではないので、サンプル程度のコンフィグを示します。
Switch(config)# int fa 0/10
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
Switch(config-if)# int fa 0/11
Switch(config-if)# switchport access vlan 11
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
Switch(config-if)# exit
Switch(config)# bridge 1 protocol vlan-bridge
Switch(config)# int vlan 10
Switch(config-if)# bridge group 1
Switch(config-if)# int vlan 11
Switch(config-if)# bridge group 1
VLAN10とVLAN11でFallback Bridginを設定すると、fa0/10
とfa0/11に設定したProtected Portsは機能しません。
ですので、Fallback BridgingとProtected Portsは併用しないよう
にしましょう。
2点目は、問題というよりはSwitchの仕様です。
最初の例で、サーバAとサーバBのお話をしました。
その際、こんな疑問を感じませんでしたか?
何故SwitchはサーバAからサーバB宛てのパケットを
「fa0/10からfa0/11に流れる」
と認識できたのでしょうか。
Switchは、誰がどこにつながっているかを認識するためにMAC
アドレスと、そのMACがどのポートの先に存在するかという2つの
情報を併せてMACアドレステーブルに記憶しています。
SwitchのMACテーブルが空っぽのとき、サーバAがサーバBに
フレームを送った場合、SwitchはサーバBがどのポートに接続され
ているのか判断できないため、Floodingするしかありません。
よって、SwitchのMACテーブルが空っぽの場合や、あて先の
MACアドレスを学習していない場合は、Protected Portsが設定さ
れているポート同士でもパケットが届いてしまう場合があります。
この動作を防ぐ方法は2つあります。1つは予めサーバAとサーバB
のMACアドレスをStaticに設定します。もう1つは冒頭で述べた
Port Blockingを使用します。
このPort Blockingは、別の機会にとりあげますのでお楽しみに。
さて、次回はProtected Portsを設定するときのお話です。
次回のコンテンツは、
-はじめに
-Default設定
-Configuring Protected Ports
-Configuration Example
-Basic Configuring Exercise
-Advanced Configuring Exercise
-Further Reading
です。
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment