Configuring Protected Ports(前半)
目次
はじめに
前回は2回にわたってStorm-Controlをお勉強しました。今回はProtected Ports
についてみていきます。
このProtected Portsも前半と後半に分かれています。前半は動作についての
話、後半は設定や練習問題をやります。
このProtected PortsはPort Blockingと混同しやすいので、この記事を読んで
Protected Portsの特徴を正しく掴みましょう。
Protected Portsとは
Protected Portsがどんな役割を果たすのかを例をもとに説明します。
SWのfa0/10とfa0/11は同一のセグメントで、それぞれのポートにサーバAとサ
ーバBが接続されている、とします。fa0/10とfa0/11にProtected Portsの設定
を行うと次の動作になります。
-サーバAからサーバBへのユニキャストパケットがブロックされる。(その逆も同様)
-サーバAからサーバBへのマルチキャストパケットがブロックされる。(その逆も同様)
-サーバAからサーバBへのブロードキャストパケットがブロックされる。(その逆も同様)
-サーバAからProtected Portsの設定されていないポートへ通信する場合は制限され
ない。(サーバBの場合も同様)
つまり、Protected Portと設定されているポート間だけ直接のやりとりがブロ
ックされます。
また、例の最後にあるように、Protected Portsが設定されているポートと、
設定されていないポート間は何も制限はなく、通常の状態と変わりません。
Protected Portsを設定するときに2点、注意が必要です。
まず1点めは、Protected PortsはFallback Bridgingと連携して動作すること
ができないということです。
Fallback Bridgingとは異なるVLAN間をBridgingして、ルーティングすること
なく直接のやり取りを可能にする仕組みです。以下、例をもとに説明します。
fa0/10はVLAN10に属していて、Protected Portsが設定されています。Fa0/11
はVLAN11に属していてProtected Portsが設定されています。
通常はVLAN10とVLAN11はVLANが異なるため、ルーティングされなければ直接の
やりとりはできません。
しかし、ここでは何か別の要件によって、VLAN10とVLAN11はルーティングする
ことなく通信できる必要があったとしましょう。
このような要件の場合、VLAN10とVLAN11はFallback Bridgingを設定します。
#Fallback Bridgingの設定については、ここで解説するのが目的
#ではないので、サンプル程度のコンフィグを示します。
Switch(config)# int fa 0/10 Switch(config-if)# switchport access vlan 10 Switch(config-if)# switchport mode access Switch(config-if)# switchport protected Switch(config-if)# int fa 0/11 Switch(config-if)# switchport access vlan 11 Switch(config-if)# switchport mode access Switch(config-if)# switchport protected Switch(config-if)# exit Switch(config)# bridge 1 protocol vlan-bridge Switch(config)# int vlan 10 Switch(config-if)# bridge group 1 Switch(config-if)# int vlan 11 Switch(config-if)# bridge group 1
VLAN10とVLAN11でFallback Bridginを設定すると、fa0/10とfa0/11に設定した
Protected Portsは機能しません。ですので、Fallback BridgingとProtected Ports
は併用しないようにしましょう。
2点目は、問題というよりはSwitchの仕様です。
最初の例で、サーバAとサーバBのお話をしました。その際、こんな疑問を感じ
ませんでしたか?
何故SwitchはサーバAからサーバB宛てのパケットを「fa0/10からfa0/11に流れる」
と認識できたのでしょうか。
Switchは、誰がどこにつながっているかを認識するためにMACアドレスと、そ
のMACがどのポートの先に存在するかという2つの情報を併せてMACアドレステ
ーブルに記憶しています。
SwitchのMACテーブルが空っぽのとき、サーバAがサーバBにフレームを送った
場合、SwitchはサーバBがどのポートに接続されているのか判断できないため、
Floodingするしかありません。
よって、SwitchのMACテーブルが空っぽの場合や、あて先のMACアドレスを学習
していない場合は、Protected Portsが設定されているポート同士でもパケッ
トが届いてしまう場合があります。
この動作を防ぐ方法は2つあります。1つは予めサーバAとサーバBのMACアドレ
スをStaticに設定します。もう1つは冒頭で述べたPort Blockingを使用します。
このPort Blockingは、別の機会にとりあげますのでお楽しみに。
さて、次回はProtected Portsを設定するときのお話です。
次回のコンテンツは、
-はじめに
-Default設定
-Configuring Protected Ports
-Configuration Example
-Basic Configuring Exercise
-Advanced Configuring Exercise
-Further Reading
です。
By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/