Thursday, May 25, 2006

Configuring Protected Ports(後半)

Geneさんのメルマガで今週の月曜日に掲載された記事をUPします。

はじめに
 前回はProcted Portsの動作と注意点についてお勉強しました。
 さて今回はProtected Portsの設定についてみていきましょう。
 もし前回の内容を見ていない場合は、先に前回の内容を読んで
 おいた方が効果的です。

 基本的な設定のステップを勉強したあとは、設定例を見て、練習
 問題を解いてみます。
 また、最後にちょっと難しめの問題にチャレンジしてもらいます。


Default設定
 Protected Portsは、Defaultでは設定されていません。


Configuring Protected Ports
 Protected Portsの設定はとても簡単です。
 ただし、SwitchのインタフェースがRouted Port(no switchport)
 に設定されていると、そのポートをProtected Portsにはできない
 ので注意してください。

 以下に設定のステップを示します。
 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Protected Portsを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport protected

  Protected Portsの設定をします。
  引数は特にありません。

 Step4
  以上で設定は終了です。

  なお、Protectedポートの設定は最低でも2ポート分必要です。
  #Protected Potrsは、switchport protectedと設定されてい
  #インタフェースでのパケットのやり取りをブロックするため。


Configuration Example
 設定例を示します。ここではfa0/1とfa0/2同士が直接パケット
 のやり取りをブロックする設定です。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchprot access vlan 10
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Swtich(config-if)# int fa 0/2
 Switch(config-if)# switchprot access vlan 10
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected
 Switch(config-if)# end


Basic Configuring Exercise
 設定が単純なため、基本的な設定問題は特ににありません。


Advanced Configuring Exercise
 今回の応用問題は少し難しいかもしれません。この問題も
 私のオリジナルです。

 構成は、VLAN123にR1、R2、R3がいます。このVLAN123の
 ネットワークアドレスは、192.168.123.0/24です。

 R1、R2、R3はEIGRP123を動作させていて、Loopback0の
 アドレスをアドバタイズしています。

 各ルータのIPアドレスは以下のとおりです。

 R1 fa0/0 : 192.168.123.1/24 loopback0 : 1.1.1.1/24
 R2 fa0/0 : 192.168.123.2/24 loopback0 : 2.2.2.2/24
 R3 fa0/0 : 192.168.123.3/24 loopback0 : 3.3.3.3/24

 SWとの接続は以下のとおりです。
 SW[fa0/1]-----[fa0/0]R1
 SW[fa0/2]-----[fa0/0]R2
 SW[fa0/3]-----[fa0/0]R3


 では、ここから問題です。
 R1とR3で、パケットのやり取りをブロックしてください。
 R1とR3で、パケットのやり取りを行う必要がある場合、R2を
 経由するようにしてください。
 R1とR2とR3で、お互いのLoopbackアドレスがルーティング
 テーブルに見えるようにしてください。
 ただし、EIGRPのneighborコマンドは使用してはいけません。

 解けましたでしょうか。
 実機を持っている方は実際にやってみることをオススメします。
 持っていない方は頭の中で考えてみましょう(笑)


 それでは、解答です。

 まず、SWの設定は以下のようになります。

 Switch(config)# vlan123
 Switch(config-vlan)# exit

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected

 Switch(config)# int fa 0/2
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access

 Switch(config)# int fa 0/3
 Switch(config-if)# switchport access vlan 123
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport protected

 問題にはR1とR3でパケットのブロックをしないように、と書いて
 いましたので、fa0/1とfa0/3にswitchport protectedコマンドを
 設定しています。これで、Protected Ports同士のパケットの
 やりとりをSWがブロックします。

 次に各ルータの設定は以下のようになります。

 R1(config)# int lo0
 R1(config-if)# ip address 1.1.1.1 255.255.255.0
 R1(config-if)# int fa 0/0
 R1(config-if)# ip address 192.168.123.1 255.255.255.0
 R1(config-if)# no shut
 R1(config-if)# router eigrp 123
 R1(config-router)# no auto-summary
 R1(config-router)# network 192.168.123.1 0.0.0.0
 R1(config-router)# network 1.1.1.1 0.0.0.0

 R2(config)# int lo0
 R2(config-if)# ip address 2.2.2.2 255.255.255.0
 R2(config-if)# int fa 0/0
 R2(config-if)# ip address 192.168.123.2 255.255.255.0
 R2(config-if)# no shut
 R2(config-if)# router eigrp 123
 R2(config-router)# no auto-summary
 R2(config-router)# network 192.168.123.2 0.0.0.0
 R2(config-router)# network 2.2.2.2 0.0.0.0

 R3(config)# int lo0
 R3(config-if)# ip address 3.3.3.3 255.255.255.0
 R3(config-if)# int fa 0/0
 R3(config-if)# ip address 192.168.123.3 255.255.255.0
 R3(config-if)# no shut
 R3(config-if)# router eigrp 123
 R3(config-router)# no auto-summary
 R3(config-router)# network 192.168.123.3 0.0.0.0
 R3(config-router)# network 3.3.3.3 0.0.0.0

 各ルータでは、インタフェースの設定とEIGRPの設定を行って
 います。
 これで終わり!ではありません。
 この設定だと、ある問題が生じます。

 その問題とは、R1とR3では全てのルート情報がルーティング
 テーブルに表示されていない、ということです。

 R1とR3は自身のConnectedのルートと2.2.2.0/24のルートを
 EIGRPで受け取っています。
 R1とR3はLoopbackのアドレスを交換できていないようです。

 これは、SW1でR1とR3のパケットのやりとりをブロックしている
 ため、R1とR3がEIGRPのneighborになっていないことと関係が
 あります。

 SW1でR1とR3のインタフェースにswitchport protectedの設定
 を行ったことにより、全てのパケットはR2を経由します。
 これはEIGRPのアップデート情報も同様で、R1のルート情報は
 R2へ、R3のルート情報はR2へ送られます。

 EIGRPは基本的にはディスタンスベクタに属するプロトコルで
 すので、R2のfa0/0にはsplit-horizonが有効になっています。

 つまり、R1のLoopback0のルート情報がR2のfa0/0を介して
 EIGRPのプロセスに届きます。そのルート情報は、再びfa0/0
 を通って、R3に通知されることはありません。これが
 split-horizonの動作です。

 よって、解決策はR2のfa0/0でsplit-horizonを無効にすること
 となります。
 設定はこのようになります。

 R2(config-if)# no ip split-horizon eigrp 123

 これで、R1とR3に全てのルート情報が表示されるようになります。


Further Reading
 Protected Ports関連のDocumentへのLinkです。

  Catalyst 3550 Software Configuration Guide
   http://www.cisco.com/univercd/cc/td/doc/product/
    lan/c3550/12225see/scg/swtrafc.htm

さて、次回はPort Blockingのお話です。
 次回のコンテンツは、
 -はじめに
 -Port Blockingとは
 -Default設定
 -Configuring Port Blocking
 -Configuration Example
 -Basic Configuring Exercise
 -Further Reading
です。お楽しみに。
POSTED BY AT:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)