Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormCon...

ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編

NTTソフトウェア社内のソフト道場研修で実施した、ネットワークスイッチ構築実践研修テキストの2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編です。

More Decks by NTTテクノクロス株式会社

Other Decks in Technology

Transcript

  1. カリキュラム 時間 研修内容 10:00 10:30 ◆Cisco IOSの概要(復習) Cisco IOSのモードの説明、基本的なコマンドの理解 ◆VLAN(復習)

    VLANの基本、VLANの設定 演習1 12:00 昼食 13:00 15:00 16:00 17:30 ◆VLAN(続き) VTPの基本、VTPの設定 ◆LinkAggregation LinkAggregationの基本、LinkAggregationの設定 ◆STP STPの基本、STPの設定 終了 演習2、3 演習4 演習5 ~1日目~ ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 3
  2. カリキュラム 時間 研修内容 9:30 10:00 11:00 ◆RSTP RSTPの基本、RSTPの設定 ◆PortSecurity PortSecurityの基本、PortSecurityの設定

    ◆StormControl storm-controlの基本、storm-controlの設定 演習6 演習7 演習8 12:00 昼食 13:00 14:00 14:30 17:30 ◆SPAN SPANの基本、SPANの設定 ◆Stacking Stackingの基本 ◆総合演習 ◆研修環境clean up ◆アンケート記入 終了 演習9 演習10、11 ~2日目~ ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 4
  3. Switchの冗長構成を取りたい場合 この問題を解決するのがSTPという技術。 例えば、下図でどこか一つのリンクが切れていると想定すればLoopにはならない。 NIC Teamingに よるホストのリン ク冗長化 NIC Teamingに よるホストのリン

    ク冗長化 ここのリンクが切れているとすれば、 Loop構成にはならず通信が可能 ⇒物理的にリンクが接続されていても、STPにより仮想的にリンクをダウンさせることにより 非ループな構成とすることにより通信を行うことが出来る。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 8
  4. 使用しているリンクが切れた場合 以下のようにSTPを構成していたが、使用しているリンクで障害が発生したらどうなるか? NIC Teamingに よるホストのリン ク冗長化 NIC Teamingに よるホストのリン ク冗長化

    STPの機能で、このリンクが仮想的 に切れている状態 このままでは左右のホスト間で通信を行うことが出来ない。 障害発生により このリンクが切れた ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 9
  5. 使用しているリンクが切れた場合 STPはリンク断を検知し、仮想的にリンクダウンされていたリンクを接続する NIC Teamingに よるホストのリン ク冗長化 NIC Teamingに よるホストのリン ク冗長化

    リンク断の状態から、接続状態 に移行する ⇒これにより通信を継続することが可能となる 障害発生により このリンクが切れた ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 10
  6. STPとは ~STP(Spanning Tree Protocol)~ IEEE802.1Dで標準化されたL2レベルでのループ回避技術。 STA(Spanning Tree Algorithm)を利用し、自動的にループ構成となるスイッチのポートの中 から、とあるポートを選択してブロック状態(仮想的なダウン状態)にする。 この動作によりループを防ぐことが出来る。

    また、Switchもしくはブロックされている以外のポートで障害が発生した場合には、ブロック 状態のポートがフォワーディング状態(通信を行える状態)に移行することにより、通信を継続 することが可能となる。 ~BPDU~ STPの動作を制御するプロトコル。 STPが有効になっているSwitch間でやり取りを行い、STAでの計算結果をもとに各ポート の状態を遷移させ、最終的にコンバージェンス状態にする。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 11
  7. STPとは ~スイッチの役割~ STPのスイッチ役割は2種類あり、それぞれの役割は以下のとおり。 スイッチの役割 役割説明 ルートブリッジ • スパニングツリーを構成する際に、ツリーの中心となるスイッチ • ルートブリッジに選出されるのは、スパニングツリーを構成する中

    で1台のみ • スイッチが保持する、ブリッジIDが最少のものが選択される 非ルートブリッジ • ルートブリッジに選出されなかったスイッチ全て ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 12
  8. STPとは ~ポートの役割~ STPのポート役割は3種類あり、それぞれの役割は以下のとおり。 ポートの役割 状態説明 ルートポート • RP(Root Port)と表記 •

    非ルートブリッジごとに1ポートずつ選出される • ルートブリッジに(パスコスト的に)最も近いポート 指定ポート • DP(Designated Port)と表記 • 各リンクごとに1ポート選出される • ルートブリッジに(パスコスト的に)最も近いポート 非指定ポート • NDP(Non Degsinated Port)と表記 • ルートポートと指定ポートに選出されなかったポート • これがBlockingポートとなり、通信を行わないポートになり、ループ構 成を回避する ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 13
  9. STPとは ~ポートの状態~ STPのポートの状態は5種類あり、それぞれの役割は以下のとおり。 ポートの状態 状態説明 遷移時間 Disable • 管理者により明示的にshutdownされている状態 •

    通信を一切転送しない ― Blocking • データ転送を行わずBPDUのみ受信可能な状態 • 全てのポートはBlocking状態から状態遷移を開始する (Disableは除く) ― Listening • データ転送を行わずBPDUの送受信のみ可能な状態 • BPDUを送受信し合い、ルートブリッジ・ルートポート・指 定ポートの選出を行っている状態 20秒 Learning • データ転送を行わずBPDUの送受信のみ可能な状態 • 受信したフレームのMACアドレスを学習する 15秒 Forwarding • データ転送が可能な状態 • ルートポートまたは指定ポートになった状態 15秒 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 14
  10. STPとは ~ポートの状態遷移図~ ①Blocking ②Listening ③Learning ④Forwarding 最大15秒 最大20秒 最大15秒 STPを動作させているSwitchにて、最初の電源投入時とBlockingポート以外での

    リンクダウン時には、通信可能となるまで最大50秒必要となる。 ~Portfast~ Switch同士を接続する場合には、上記のステータスを経てForwarding/Blocking状態に なるべきだが、接続先がホスト(PC)である場合にはForwardingにならなければならない。 しかし、PCを接続する場合にでも通信可能となるまでに50秒待たなければならない。 この問題を解決するため、ホストを接続するポートにportfast設定を投入することにより Blocking状態からすぐにForwarding状態になることにより、即座に通信可能とする設定。 (もちろんスイッチ間接続のポートに投入してはダメ) ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 15
  11. スパニングツリーの設定 ~スパニングツリーの有効化~ Switch(config)# spanning-tree vlan <vlan-id> ~プライオリティ値の変更~ Switch(config)# spanning-tree vlan

    <vlan-id> priority <プライオリティ値> ※プライオリティ値は“0”から“61440”までの範囲で、”4096”の倍数値となるよう設定する。 ※デフォルトは”32768”である。 明示的にプライオリティ値を設定せず、他のスイッチがデフォルト値であることを前提に、 自身がルートブリッジになるようにプライオリティ値を下げることも出来る。 Switch(config)# spanning-tree vlan <vlan-id> root primary ※primaryを指定すると“24576”または現在のルートブリッジ値から”-4096”した値が 設定される。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 16
  12. スパニングツリーの設定 ~ポートコストの変更~ ポートコストのデフォルト値は以下のようになっている。 リンク速度 コスト 10Gbps 2 1Gbps 4 100Mbps

    19 10Mbps 100 ※古いスイッチの場合、以下の値が デフォルト値となっている。 コスト=1000÷帯域幅(Mbps) デフォルト値が異なるスイッチが混在すると、意図しないスパニングツリーの計算が行われて しまうため、混在しないように注意する。なお、混在してしまう場合でも、以下のコマンドを用いて 手動でコスト値を設定することが出来る。 Switch(config-if)# spanning-tree vlan <vlan-id> cost <コスト値> ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 17
  13. スパニングツリーの設定 ~スパニングツリーの拡張機能(Portfast)~ Switch(config-if)# spanning-tree portfast ※トランクポート以外の全てにPortfastを設定する場合は、グローバルコンフィギュレーション モードにて、defaultを追加したコマンドを投入する。 Switch(config)# spanning-tree portfast

    default ~スパニングツリーの拡張機能(BPDUガード)~ Switch(config)# spanning-tree portfast bpduguard ※インタフェース単位で投入することも出来る。 Switch(config-if)# spanning-tree bpduguard enable ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 18
  14. スパニングツリーの設定 ~スパニングツリーの拡張機能(BPDUフィルタ)~ Switch(config)# spanning-tree portfast bpdufilter default ※スイッチ全体で有効となる。Portfastが設定されたインタフェースでBPDUを受信した場合、 PortfastおよびBPDUフィルタ機能は無効となる。(BPDUの送信を行うようになる) Switch(config-if)#

    spanning-tree bpdufilter enable ※Portfastの設定が必須ではない。BPDUを受信してもBPDUフィルタ機能は有効である。 (BPDUの送信は行わない) ループが発生する可能性があるため、設定する際には注意が必要である。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 19
  15. スパニングツリーの確認 ~スパニングツリー情報の確認~ Switch# show spanning-tree [vlan-id] VLAN1000 Spanning tree enabled

    protocol ieee Root ID Priority 33768 Address 0000.0000.0000 Cost 19 Port 2 (FastEthernet0/2) [省略] Bridge ID Priority 33768 (priority 32768 sys-id-ext 1000) [省略] Interface Role Sts Cost Prio.Nbr Type ------------------- ------- ------ --------- ------------ -------------------------------- Fa0/1 Desg FWD 19 128.1 P2p Edge Fa0/2 Root FWD 19 128.2 P2p Fa0/3 Altn BLK 19 128.3 P2p Fa0/7 Desg FWD 19 128.7 P2p ルートブリッジの場合、この位置に 「This bridge is the root 」と表示される。 ブリッジプライオリティ(プライオリティ値+VLANID) show spanning-tree summaryコマンドで サマリ表示することも可能。 Role:ポートの役割 Sts:ポートの状態 Cost:ポートのコスト Prio:ポートのプライオリティ を示す。 portfastを設定したインタフェースの 場合「Edge」と表示される。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 20
  16. RSTPとは ~RSTP(Rapid Spanning Tree Protocol)~ IEEE802.1Wで標準化されたL2レベルでのループ回避技術。 STPはコンバージェンスにデフォルト50秒必要であったが、RSTPでは数秒以内で 高速コンバージェンスすることが可能。 ~RSTPのポートの状態~ RSTPではポートの状態を簡略化し、以下の3種類がある。

    ポートの状態 状態説明 Discarding • STPでのBlocking、Listening,Disableを統合したもの (通信を転送しない状態という観点でまとめた) Learning • STPのLearningと同様 Forwarding • STPのForwardingと同様 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 23
  17. RSTPとは ~RSTPのポートの役割~ RSTPではポートの状態を簡略化し、以下の4種類がある。 ポートの役割 状態説明 ルートポート • RP(Root Port)と表記 •

    非ルートブリッジごとに1ポートずつ選出される • ルートブリッジに(パスコスト的に)最も近いポート 指定ポート • DP(Designated Port)と表記 • 各リンクごとに1ポート選出される • ルートブリッジに(パスコスト的に)最も近いポート 代替ポート • AP(Alternate Port)と表記 • ルートポートのバックアップとなるポート • ルートポートがダウンした場合に、即座にルートポートに昇格して通信 を継続する バックアップポート • BP(Backup Port)と表記 • 指定ポートのバックアップとなるポート • 指定ポートがダウンした場合に、即座に指定ポートに昇格して通信を 継続する ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 24
  18. RSTPの確認 ~RSTP情報の確認~ Switch# show spanning-tree [vlan-id] VLAN1000 Spanning tree enabled

    protocol rstp Root ID Priority 33768 Address 0000.0000.0000 Cost 19 Port 2 (FastEthernet0/2) [省略] Bridge ID Priority 33768 (priority 32768 sys-id-ext 1000) [省略] Interface Role Sts Cost Prio.Nbr Type ------------------- ------- ------ --------- ------------ -------------------------------- Fa0/1 Desg FWD 19 128.1 P2p Edge Fa0/2 Root FWD 19 128.2 P2p Fa0/3 Altn BLK 19 128.3 P2p Fa0/7 Desg FWD 19 128.7 P2p ルートブリッジの場合、この位置に 「This bridge is the root 」と表示される。 ブリッジプライオリティ(プライオリティ値+VLANID) show spanning-tree summaryコマンドで サマリ表示することも可能。 Role:ポートの役割 Sts:ポートの状態 Cost:ポートのコスト Prio:ポートのプライオリティ を示す。 portfastを設定したインタフェースの 場合「Edge」と表示される。 RSTPを設定した場合、「rstp 」と表示される。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 27
  19. PortSecurityとは ~PortSecurity~ Switchのポートに接続する機器(サーバ、ルータなど)をMACアドレスベースで制限をする ことにより、NWへの接続制限を行う機能。 一般的にCisco Catalystのスイッチポートが使用される。 ~セキュリティ違反を検知した際の動作~ セキュリティ違反を検知した際に定義できる動作は3つある。 ・protect:非登録のMACアドレスからの通信を破棄する。ただしSNMP Trap、Syslogでの

    通知は行われない。 ・restrict:非登録のMACアドレスからの通信を破棄し、SNMP Trap、Syslog通知を行う。 ・shutdown:非登録のMACアドレスからの通信を破棄し、Switchのポートを閉じる。 (shutdownではなく、errdisable状態となる。復旧させるには一度shutdown→ no shutdownしなければならない) ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 33
  20. ポートセキュリティの設定 ~ポートセキュリティの有効化~ Switch(config-if)# switchport port-security ※アクセスポートにのみ設定可能である。 ~セキュアMACアドレスの設定~ スタティックにセキュアMACアドレスを登録する場合は、以下のコマンドを投入する。 Switch(config-if)# switchport

    port-security mac-address <MACアドレス> ダイナミックにセキュアMACアドレスを登録する場合は、特にコマンドは不要である。 登録できる上限まで、受信したフレームの送信元MACアドレスを登録する。 ただし、スイッチを再起動すると登録されたセキュアMACアドレスが消えてしまう。 以下の設定を行うことで、登録されたセキュアMACアドレスをrunning-configに反映すること が出来るため、startup-configに保存すれば再起動しても登録されたセキュアMACアドレス が消えることはない。 Switch(config-if)# switchport port-security mac-address sticky ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 34
  21. ポートセキュリティの設定 ~バイオレーションモードの設定~ Switch(config-if)# switchport port-security violation {shutdown | restrict |

    protect} ~セキュアMACアドレスの上限設定~ Switch(config-if)# switchport port-security maximum <上限値> ※デフォルトは”1”である。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 35
  22. ポートセキュリティの確認 ~ポートセキュリティの確認~ Switch# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation

    Security Action (Count) (Count) (Count) --------------------------------------------------------------------------------------------------------------- Fa0/1 1 1 0 Shutdown --------------------------------------------------------------------------------------------------------------- [省略] Switch# show port-security interface <インタフェース名> Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown [省略] Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 [省略] セキュリティ違反時の アクションを示す。 ポート状態を示す。 セキュリティ違反時の アクションを示す。 許可されるMACアドレス の上限を示す。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 36
  23. ポートセキュリティの確認 ~登録されたMACアドレスの確認~ Switch# show port-security address Secure Mac Address Table

    ---------------------------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ------- ---------------------- ---- ------- -------------------- 1000 5254.0002.3a6e SecureConfigured Fa0/1 - ---------------------------------------------------------------------------------------------- 登録されたMACアドレスを示す。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 37
  24. Storm-Controlの設定 ~Storm-Controlの設定~ Switch(config-if)# storm-control {broadcast | multicast | unicast} {level

    <level> [level-low] | bps <bps> [bps-low] | pps <pps> [pps]} ※ブロードキャスト、マルチキャスト、ユニキャストのいずれかを指定する。 ※しきい値の設定は以下の3種類から選択する。 level : 帯域幅の割合(%)で指定する。 bps : ビットレートで指定する。 pps : 1秒あたりのパケット数で指定する。 ※下限値を指定しない場合は上限値と同じ値が設定されたとみなす。 ~しきい値を超えたときの動作設定~ Switch(config-if)# storm-control action {shutdown | trap} ※デフォルトでは、しきい値を超えると、トラフィックの転送をブロックする。 ※shutdownを指定した場合、しきい値を超えると、ポートをエラーディセーブルにする。 ※trapを指定した場合、しきい値を超えると、SNMPマネージャにTRAPメッセージを送信する。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 42
  25. Storm-Controlの確認 ~ Storm-Controlの確認~ Switch# show storm-control [broadcast|multicast|unicast] Interface Filter State

    Upper Lower Current ------------ ------------------ ---------- --------- ---------- Fa0/2 Forwarding 20 pps 10 pps 5 pps ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 43
  26. SPANとは ~SPAN(Switch Port ANalyzer)~ Switch上でパケットキャプチャを行うための、ポートミラーリング機能。 特定のポートを流れる通信と全く同じものをコピーし、任意に指定したポートに流すことが可能。 例:Fa0/1で送受信している内容を、全く関係のないFa0/24にコピーして流す VLAN 10で送受信されている内容を、全く関係のないGi0/1にコピーして流す 基本的にミラーリング先のポートは、使用していない空いているポートを利用する。

    (もし既存で何かしらの通信で利用しているポートを指定した場合には、障害になる可能性が 非常に高くなる) キャプチャする装置・ソフトウェアは特に問わないが、一般的にはWindowsでWiresharkを 利用する。(linuxのtcpdumpでも可能だが、設定に手間がかかる) ※キャプチャする通信量によるが、一般的にはできるだけハイスペックなCPU、NICを搭載 したPCを用意するのが望ましい。通信量が多くなるとキャプチャしきれずに取りこぼすことが 多くなるため。(キャプチャ専用機器もあるので予算次第で利用するのもあり) ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 47
  27. SPANの設定 ~モニター(監視)する対象の設定~ Switch(config)# monitor session <number> source {interface <interface-id> |

    vlan <vlan-id>} [, | -] {both | rx | tx} ※ポート番号またはVLAN番号を指定する。 ※複数設定する場合は、”,”または”-”を用いて指定する。 ※監視するトラフィック(送信と受信両方か、それともどちらかだけか)を指定する。 ~ミラーリングするポートの設定~ Switch(config)# monitor session <number> destination interface <interface-id> [, | -] [encapsulation {dot1q | replicate}] ※セッション番号は、送信元設定のセッション番号と同じにする。 ※宛先インタフェースでIEEE802.1Qカプセル化方式を使用する場合は、 ”encapsulation dot1q”を入力する。 ※”encapsulation replicate”を指定した場合、モニターするポートのカプセル化方式を ミラーリングするポートで複製する。(元のカプセル化ヘッダを伝送する) 指定しない場合(デフォルト)は、ネイティブ形式(タグなし)で送信される。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 48
  28. SPANの確認 ~SPANの確認~ Switch# show monitor session <セッション番号> Session 1 ---------

    Type : Local Session Source Ports : Both : Fa0/7 Destination Ports : Fa0/1 Encapsulation : Native Ingress : Disabled ミラーリング対象のパケットの方向を示す。 ミラーリング対象のインタフェース名を示す。 ミラーリング先のインタフェース名を示す。 ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 49
  29. 参考情報(役に立つコマンド) ~--More-- を非表示にする ~ Switch# terminal length 0 ~ソフトウェアバージョンやハードウェアの基本情報を表示する~ Switch#

    show version ~ハードウェア情報を表示する(IOS12.3(4)Tから提供されたコマンド)~ Switch# show inventory ~シスコのサポート(TAC)に解析依頼する際の情報を出力する~ Switch# show tech-support ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 53
  30. 参考情報(役に立つコマンド) ~拡張ping ~ Switch# ping ~拡張traceroute~ Switch# traceroute ~ログ確認~ Switch#

    show logging ~CPU使用率の確認~ Switch# show process cpu ~メモリ使用率の確認~ Switch# show process memory ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 54
  31. 参考情報(シスコ技術者認定) http://www.cisco.com/web/JP/learning/certifications/index.html 5つの認定レベル エントリーレベルから、アソシエイト、プロフェッショナル、エキスパート(CCIE / CCDE)、 最上級レベルのアーキテクトまで、5つのレベルで構成されています。 10の分野 ルーティング &

    スイッチング、ネットワーク セキュリティ、サービス プロバイダといった分野 (コース)が複数用意されており、それぞれの職務分担や業界にとって適切な認定試験を 受けることができます。 CCENT CCNA CCNP CCIE エントリーレベル アソシエイト プロフェッショナル エキスパート アーキテクト ※ルーティング&スイッチングの場合を 示す。 アーキテクトレベルはデザイン分野 のみとなる。 今回の研修レベル ネットワークスイッチ構築実践 Copyright© 2016 NTT Software Corporation 55