Geneさんのメルマガで今週の月曜日に掲載された記事をUPします。
はじめに
前回はProcted Portsの動作と注意点についてお勉強しました。
さて今回はProtected Portsの設定についてみていきましょう。
もし前回の内容を見ていない場合は、先に前回の内容を読んで
おいた方が効果的です。
基本的な設定のステップを勉強したあとは、設定例を見て、練習
問題を解いてみます。
また、最後にちょっと難しめの問題にチャレンジしてもらいます。
Default設定
Protected Portsは、Defaultでは設定されていません。
Configuring Protected Ports
Protected Portsの設定はとても簡単です。
ただし、SwitchのインタフェースがRouted Port(no switchport)
に設定されていると、そのポートをProtected Portsにはできない
ので注意してください。
以下に設定のステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Protected Portsを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport protected
Protected Portsの設定をします。
引数は特にありません。
Step4
以上で設定は終了です。
なお、Protectedポートの設定は最低でも2ポート分必要です。
#Protected Potrsは、switchport protectedと設定されてい
#インタフェースでのパケットのやり取りをブロックするため。
Configuration Example
設定例を示します。ここではfa0/1とfa0/2同士が直接パケット
のやり取りをブロックする設定です。
Switch(config)# int fa 0/1
Switch(config-if)# switchprot access vlan 10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
Swtich(config-if)# int fa 0/2
Switch(config-if)# switchprot access vlan 10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
Switch(config-if)# end
Basic Configuring Exercise
設定が単純なため、基本的な設定問題は特ににありません。
Advanced Configuring Exercise
今回の応用問題は少し難しいかもしれません。この問題も
私のオリジナルです。
構成は、VLAN123にR1、R2、R3がいます。このVLAN123の
ネットワークアドレスは、192.168.123.0/24です。
R1、R2、R3はEIGRP123を動作させていて、Loopback0の
アドレスをアドバタイズしています。
各ルータのIPアドレスは以下のとおりです。
R1 fa0/0 : 192.168.123.1/24 loopback0 : 1.1.1.1/24
R2 fa0/0 : 192.168.123.2/24 loopback0 : 2.2.2.2/24
R3 fa0/0 : 192.168.123.3/24 loopback0 : 3.3.3.3/24
SWとの接続は以下のとおりです。
SW[fa0/1]-----[fa0/0]R1
SW[fa0/2]-----[fa0/0]R2
SW[fa0/3]-----[fa0/0]R3
では、ここから問題です。
R1とR3で、パケットのやり取りをブロックしてください。
R1とR3で、パケットのやり取りを行う必要がある場合、R2を
経由するようにしてください。
R1とR2とR3で、お互いのLoopbackアドレスがルーティング
テーブルに見えるようにしてください。
ただし、EIGRPのneighborコマンドは使用してはいけません。
解けましたでしょうか。
実機を持っている方は実際にやってみることをオススメします。
持っていない方は頭の中で考えてみましょう(笑)
それでは、解答です。
まず、SWの設定は以下のようになります。
Switch(config)# vlan123
Switch(config-vlan)# exit
Switch(config)# int fa 0/1
Switch(config-if)# switchport access vlan 123
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
Switch(config)# int fa 0/2
Switch(config-if)# switchport access vlan 123
Switch(config-if)# switchport mode access
Switch(config)# int fa 0/3
Switch(config-if)# switchport access vlan 123
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
問題にはR1とR3でパケットのブロックをしないように、と書いて
いましたので、fa0/1とfa0/3にswitchport protectedコマンドを
設定しています。これで、Protected Ports同士のパケットの
やりとりをSWがブロックします。
次に各ルータの設定は以下のようになります。
R1(config)# int lo0
R1(config-if)# ip address 1.1.1.1 255.255.255.0
R1(config-if)# int fa 0/0
R1(config-if)# ip address 192.168.123.1 255.255.255.0
R1(config-if)# no shut
R1(config-if)# router eigrp 123
R1(config-router)# no auto-summary
R1(config-router)# network 192.168.123.1 0.0.0.0
R1(config-router)# network 1.1.1.1 0.0.0.0
R2(config)# int lo0
R2(config-if)# ip address 2.2.2.2 255.255.255.0
R2(config-if)# int fa 0/0
R2(config-if)# ip address 192.168.123.2 255.255.255.0
R2(config-if)# no shut
R2(config-if)# router eigrp 123
R2(config-router)# no auto-summary
R2(config-router)# network 192.168.123.2 0.0.0.0
R2(config-router)# network 2.2.2.2 0.0.0.0
R3(config)# int lo0
R3(config-if)# ip address 3.3.3.3 255.255.255.0
R3(config-if)# int fa 0/0
R3(config-if)# ip address 192.168.123.3 255.255.255.0
R3(config-if)# no shut
R3(config-if)# router eigrp 123
R3(config-router)# no auto-summary
R3(config-router)# network 192.168.123.3 0.0.0.0
R3(config-router)# network 3.3.3.3 0.0.0.0
各ルータでは、インタフェースの設定とEIGRPの設定を行って
います。
これで終わり!ではありません。
この設定だと、ある問題が生じます。
その問題とは、R1とR3では全てのルート情報がルーティング
テーブルに表示されていない、ということです。
R1とR3は自身のConnectedのルートと2.2.2.0/24のルートを
EIGRPで受け取っています。
R1とR3はLoopbackのアドレスを交換できていないようです。
これは、SW1でR1とR3のパケットのやりとりをブロックしている
ため、R1とR3がEIGRPのneighborになっていないことと関係が
あります。
SW1でR1とR3のインタフェースにswitchport protectedの設定
を行ったことにより、全てのパケットはR2を経由します。
これはEIGRPのアップデート情報も同様で、R1のルート情報は
R2へ、R3のルート情報はR2へ送られます。
EIGRPは基本的にはディスタンスベクタに属するプロトコルで
すので、R2のfa0/0にはsplit-horizonが有効になっています。
つまり、R1のLoopback0のルート情報がR2のfa0/0を介して
EIGRPのプロセスに届きます。そのルート情報は、再びfa0/0
を通って、R3に通知されることはありません。これが
split-horizonの動作です。
よって、解決策はR2のfa0/0でsplit-horizonを無効にすること
となります。
設定はこのようになります。
R2(config-if)# no ip split-horizon eigrp 123
これで、R1とR3に全てのルート情報が表示されるようになります。
Further Reading
Protected Ports関連のDocumentへのLinkです。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/
lan/c3550/12225see/scg/swtrafc.htm
さて、次回はPort Blockingのお話です。
次回のコンテンツは、
-はじめに
-Port Blockingとは
-Default設定
-Configuring Port Blocking
-Configuration Example
-Basic Configuring Exercise
-Further Reading
です。お楽しみに。
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment