Configuring Protected Ports(後半)
目次
はじめに
前回はProcted Portsの動作と注意点についてお勉強しました。さて今回は
Protected Portsの設定についてみていきましょう。もし前回の内容を見てい
ない場合は、先に前回の内容を読んでおいた方が効果的です。
基本的な設定のステップを勉強したあとは、設定例を見て、練習問題を解いて
みます。また、最後にちょっと難しめの問題にチャレンジしてもらいます。
Default設定
Protected Portsは、Defaultでは設定されていません。
Configuring Protected Ports
Protected Portsの設定はとても簡単です。ただし、Switchのインタフェース
がRouted Port(no switchport)に設定されていると、そのポートを
Protected Portsにはできないので注意してください。
以下に設定のステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Protected Portsを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport protected
Protected Portsの設定をします。引数は特にありません。
Step4
以上で設定は終了です。
なお、Protectedポートの設定は最低でも2ポート分必要です。
#Protected Potrsは、switchport protectedと設定されている
#インタフェースでのパケットのやり取りをブロックするため。
Configuration Example
設定例を示します。ここではfa0/1とfa0/2同士が直接パケットのやり取りをブ
ロックする設定です。
Switch(config)# int fa 0/1 Switch(config-if)# switchprot access vlan 10 Switch(config-if)# switchport mode access Switch(config-if)# switchport protected Swtich(config-if)# int fa 0/2 Switch(config-if)# switchprot access vlan 10 Switch(config-if)# switchport mode access Switch(config-if)# switchport protected Switch(config-if)# end Switch#
Basic Configuring Exercise
設定が単純なため、基本的な設定問題は特ににありません。
Advanced Configuring Exercise
今回の応用問題は少し難しいかもしれません。この問題も私のオリジナルです。
構成は、VLAN123にR1、R2、R3がいます。このVLAN123のネットワークアドレスは、
192.168.123.0/24です。
R1、R2、R3はEIGRP123を動作させていて、Loopback0のアドレスをアドバタイ
ズしています。
各ルータのIPアドレスは以下のとおりです。
R1 fa0/0 : 192.168.123.1/24 loopback0 : 1.1.1.1/24 R2 fa0/0 : 192.168.123.2/24 loopback0 : 2.2.2.2/24 R3 fa0/0 : 192.168.123.3/24 loopback0 : 3.3.3.3/24
SWとの接続は以下のとおりです。
SW[fa0/1]-----[fa0/0]R1 SW[fa0/2]-----[fa0/0]R2 SW[fa0/3]-----[fa0/0]R3
では、ここから問題です。R1とR3で、パケットのやり取りをブロックしてくだ
さい。R1とR3で、パケットのやり取りを行う必要がある場合、R2を経由するよ
うにしてください。
R1とR2とR3で、お互いのLoopbackアドレスがルーティングテーブルに見えるよ
うにしてください。ただし、EIGRPのneighborコマンドは使用してはいけません。
解けましたでしょうか。
実機を持っている方は実際にやってみることをオススメします。
持っていない方は頭の中で考えてみましょう(笑)
それでは、解答です。
まず、SWの設定は以下のようになります。
Switch(config)# vlan123 Switch(config-vlan)# exit Switch(config)# int fa 0/1 Switch(config-if)# switchport access vlan 123 Switch(config-if)# switchport mode access Switch(config-if)# switchport protected Switch(config)# int fa 0/2 Switch(config-if)# switchport access vlan 123 Switch(config-if)# switchport mode access Switch(config)# int fa 0/3 Switch(config-if)# switchport access vlan 123 Switch(config-if)# switchport mode access Switch(config-if)# switchport protected
問題にはR1とR3でパケットのブロックをしないように、と書いていましたので、
fa0/1とfa0/3にswitchport protectedコマンドを設定しています。これで、
Protected Ports同士のパケットのやりとりをSWがブロックします。
次に各ルータの設定は以下のようになります。
R1(config)# int lo0 R1(config-if)# ip address 1.1.1.1 255.255.255.0 R1(config-if)# int fa 0/0 R1(config-if)# ip address 192.168.123.1 255.255.255.0 R1(config-if)# no shut R1(config-if)# router eigrp 123 R1(config-router)# no auto-summary R1(config-router)# network 192.168.123.1 0.0.0.0 R1(config-router)# network 1.1.1.1 0.0.0.0 R2(config)# int lo0 R2(config-if)# ip address 2.2.2.2 255.255.255.0 R2(config-if)# int fa 0/0 R2(config-if)# ip address 192.168.123.2 255.255.255.0 R2(config-if)# no shut R2(config-if)# router eigrp 123 R2(config-router)# no auto-summary R2(config-router)# network 192.168.123.2 0.0.0.0 R2(config-router)# network 2.2.2.2 0.0.0.0 R3(config)# int lo0 R3(config-if)# ip address 3.3.3.3 255.255.255.0 R3(config-if)# int fa 0/0 R3(config-if)# ip address 192.168.123.3 255.255.255.0 R3(config-if)# no shut R3(config-if)# router eigrp 123 R3(config-router)# no auto-summary R3(config-router)# network 192.168.123.3 0.0.0.0 R3(config-router)# network 3.3.3.3 0.0.0.0
各ルータでは、インタフェースの設定とEIGRPの設定を行っています。
これで終わり!ではありません。この設定だと、ある問題が生じます。
その問題とは、R1とR3では全てのルート情報がルーティングテーブルに表示さ
れていない、ということです。
R1とR3は自身のConnectedのルートと2.2.2.0/24のルートをEIGRPで受け取って
います。R1とR3はLoopbackのアドレスを交換できていないようです。
これは、SW1でR1とR3のパケットのやりとりをブロックしているため、R1とR3
がEIGRPのneighborになっていないことと関係があります。
SW1でR1とR3のインタフェースにswitchport protectedの設定を行ったことに
より、全てのパケットはR2を経由します。これはEIGRPのアップデート情報も
同様で、R1のルート情報はR2へ、R3のルート情報はR2へ送られます。
EIGRPは基本的にはディスタンスベクタに属するプロトコルですので、R2のfa0/0
にはsplit-horizonが有効になっています。
つまり、R1のLoopback0のルート情報がR2のfa0/0を介してEIGRPのプロセスに
届きます。そのルート情報は、再びfa0/0を通って、R3に通知されることはあ
りません。これがsplit-horizonの動作です。
よって、解決策はR2のfa0/0でsplit-horizonを無効にすることとなります。設
定はこのようになります。
R2(config-if)# no ip split-horizon eigrp 123
これで、R1とR3に全てのルート情報が表示されるようになります。
Further Reading
Protected Ports関連のDocumentへのLinkです。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swtrafc.htm
さて、次回はPort Blockingのお話です。
次回のコンテンツは、
- はじめに
- Port Blockingとは
- Default設定
- Configuring Port Blocking
- Configuration Example
- Basic Configuring Exercise
- Further Reading
です。お楽しみに。
By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/