Configuring Protected Ports(後半)

はじめに

前回はProcted Portsの動作と注意点についてお勉強しました。さて今回は
Protected Portsの設定についてみていきましょう。もし前回の内容を見てい
ない場合は、先に前回の内容を読んでおいた方が効果的です。

基本的な設定のステップを勉強したあとは、設定例を見て、練習問題を解いて
みます。また、最後にちょっと難しめの問題にチャレンジしてもらいます。

Default設定

Protected Portsは、Defaultでは設定されていません。

Configuring Protected Ports

Protected Portsの設定はとても簡単です。ただし、Switchのインタフェース
がRouted Port(no switchport)に設定されていると、そのポートを
Protected Portsにはできないので注意してください。

以下に設定のステップを示します。

Step1
Switch# conf t

まず、Global Configuration Modeに移ります。

Step2
Switch(config)# interface fa 0/x

Protected Portsを設定するインタフェースを選択します。

Step3
Switch(config-if)# switchport protected

Protected Portsの設定をします。引数は特にありません。

Step4
以上で設定は終了です。

なお、Protectedポートの設定は最低でも2ポート分必要です。

#Protected Potrsは、switchport protectedと設定されている
#インタフェースでのパケットのやり取りをブロックするため。

Configuration Example

設定例を示します。ここではfa0/1とfa0/2同士が直接パケットのやり取りをブ
ロックする設定です。

Switch(config)# int fa 0/1
Switch(config-if)# switchprot access vlan 10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
Swtich(config-if)# int fa 0/2
Switch(config-if)# switchprot access vlan 10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
Switch(config-if)# end
Switch#

Basic Configuring Exercise

設定が単純なため、基本的な設定問題は特ににありません。

Advanced Configuring Exercise

今回の応用問題は少し難しいかもしれません。この問題も私のオリジナルです。

構成は、VLAN123にR1、R2、R3がいます。このVLAN123のネットワークアドレスは、
192.168.123.0/24です。

R1、R2、R3はEIGRP123を動作させていて、Loopback0のアドレスをアドバタイ
ズしています。

各ルータのIPアドレスは以下のとおりです。

R1 fa0/0 : 192.168.123.1/24  loopback0 : 1.1.1.1/24
R2 fa0/0 : 192.168.123.2/24  loopback0 : 2.2.2.2/24
R3 fa0/0 : 192.168.123.3/24  loopback0 : 3.3.3.3/24

SWとの接続は以下のとおりです。

SW[fa0/1]-----[fa0/0]R1
SW[fa0/2]-----[fa0/0]R2
SW[fa0/3]-----[fa0/0]R3

では、ここから問題です。R1とR3で、パケットのやり取りをブロックしてくだ
さい。R1とR3で、パケットのやり取りを行う必要がある場合、R2を経由するよ
うにしてください。
R1とR2とR3で、お互いのLoopbackアドレスがルーティングテーブルに見えるよ
うにしてください。ただし、EIGRPのneighborコマンドは使用してはいけません。

解けましたでしょうか。
実機を持っている方は実際にやってみることをオススメします。
持っていない方は頭の中で考えてみましょう(笑)

それでは、解答です。

まず、SWの設定は以下のようになります。

Switch(config)# vlan123
Switch(config-vlan)# exit
Switch(config)# int fa 0/1
Switch(config-if)# switchport access vlan 123
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected
Switch(config)# int fa 0/2
Switch(config-if)# switchport access vlan 123
Switch(config-if)# switchport mode access
Switch(config)# int fa 0/3
Switch(config-if)# switchport access vlan 123
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected

問題にはR1とR3でパケットのブロックをしないように、と書いていましたので、
fa0/1とfa0/3にswitchport protectedコマンドを設定しています。これで、
Protected Ports同士のパケットのやりとりをSWがブロックします。

次に各ルータの設定は以下のようになります。

R1(config)# int lo0
R1(config-if)# ip address 1.1.1.1 255.255.255.0
R1(config-if)# int fa 0/0
R1(config-if)# ip address 192.168.123.1 255.255.255.0
R1(config-if)# no shut
R1(config-if)# router eigrp 123
R1(config-router)# no auto-summary
R1(config-router)# network 192.168.123.1 0.0.0.0
R1(config-router)# network 1.1.1.1 0.0.0.0
R2(config)# int lo0
R2(config-if)# ip address 2.2.2.2 255.255.255.0
R2(config-if)# int fa 0/0
R2(config-if)# ip address 192.168.123.2 255.255.255.0
R2(config-if)# no shut
R2(config-if)# router eigrp 123
R2(config-router)# no auto-summary
R2(config-router)# network 192.168.123.2 0.0.0.0
R2(config-router)# network 2.2.2.2 0.0.0.0
R3(config)# int lo0
R3(config-if)# ip address 3.3.3.3 255.255.255.0
R3(config-if)# int fa 0/0
R3(config-if)# ip address 192.168.123.3 255.255.255.0
R3(config-if)# no shut
R3(config-if)# router eigrp 123
R3(config-router)# no auto-summary
R3(config-router)# network 192.168.123.3 0.0.0.0
R3(config-router)# network 3.3.3.3 0.0.0.0

各ルータでは、インタフェースの設定とEIGRPの設定を行っています。
これで終わり!ではありません。この設定だと、ある問題が生じます。

その問題とは、R1とR3では全てのルート情報がルーティングテーブルに表示さ
れていない、ということです。

R1とR3は自身のConnectedのルートと2.2.2.0/24のルートをEIGRPで受け取って
います。R1とR3はLoopbackのアドレスを交換できていないようです。

これは、SW1でR1とR3のパケットのやりとりをブロックしているため、R1とR3
がEIGRPのneighborになっていないことと関係があります。

SW1でR1とR3のインタフェースにswitchport protectedの設定を行ったことに
より、全てのパケットはR2を経由します。これはEIGRPのアップデート情報も
同様で、R1のルート情報はR2へ、R3のルート情報はR2へ送られます。

EIGRPは基本的にはディスタンスベクタに属するプロトコルですので、R2のfa0/0
にはsplit-horizonが有効になっています。

つまり、R1のLoopback0のルート情報がR2のfa0/0を介してEIGRPのプロセスに
届きます。そのルート情報は、再びfa0/0を通って、R3に通知されることはあ
りません。これがsplit-horizonの動作です。

よって、解決策はR2のfa0/0でsplit-horizonを無効にすることとなります。設
定はこのようになります。

R2(config-if)# no ip split-horizon eigrp 123

これで、R1とR3に全てのルート情報が表示されるようになります。

Further Reading

Protected Ports関連のDocumentへのLinkです。

Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swtrafc.htm

さて、次回はPort Blockingのお話です。

次回のコンテンツは、

- はじめに
- Port Blockingとは

- Default設定
- Configuring Port Blocking

- Configuration Example
- Basic Configuring Exercise
- Further Reading

です。お楽しみに。

By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA