goo blog サービス終了のお知らせ 

のんびり・ゆっくりCCIE

CCIEラボにゆっくり一歩、ゆっくり前進で挑戦するブログ(覚書)です。

VRRP設定

2008-07-23 03:48:45 | Switching-その4【その他】
●R1(マスタ)
int fa0/10
vrrp 7 ip 169.254.1.10
vrrp 7 priority 200 ★デフォルト100なのでそれより大きければOK

●R2(バックアップ)
int fa0/10
duplex auto
speed auto
vrrp 7 ip 169.254.1.10

●R2(バックアップ)と対向のSW
int fa1/2
switchport port-security maximum 2 ★IP Phoneとつながっている場合を想定
switchport port-security 0000.5e00.0107

■参考:
・VRRPのVirtual MacAddress
 0000.5e00.01【ルータID】 ★今回ルータIDは7
・HSRPのVirtual MacAddress
 0000.0c07.ac【ルータID】

MAC-AddressのベンダーIDをフィルタする。

2008-07-10 21:57:01 | Switching-その4【その他】
SW2のG0/3で送信元MAC-Address
ベンダーID(0000a1)をフィルタする。

mac access-list extend MAC-DENY
deny 0000.a1 00.0000 0000.00 ff.ffff
    (固定)  (可変) (固定) (可変)
permit any any

interface GigabitEthernet0/7
mac access-group MAC-DENY in

補足1:
あて先をフィルタ:ブロードキャスト、マルチキャストも含まれる。
送信元をフィルタ:こっちをなるべく使う。(8割がた)
          ユニキャストなので確実にフィルタできる。

補足2:
sw2(config)#mac address-table static <mac address>
で、mac addressは自由に変えられる


vlan10上のホストでipv6通信できないようにする。

2008-07-10 21:31:07 | Switching-その4【その他】
ルータで設定する場合はIF上でipv6 traffic-filterコマンドを
使用して設定できるが、2つのルータ間のVLAN上のホスト同士は
通信できてしまうそのため、今回はL2レベル(SW1)で下記の設定を行う。

●SW1
mac access-list extended PERMIT-IPV6
permit any any 0x86DD 0x0
#Type「0x86DD」でIPv6を許容(IPv4なら0x08DD,ARPなら0x0806)

vlan access-map DENY-IPV6 10 
action drop
match mac address PERMIT-IPV6

vlan access-map DENY-IPV6 20
action forward

vlan filter denyipv6 vlan-list 10

※確認:Ipv4のpingはとぶことを確認した方がいい。

switchport port-security mac-addressコマンド(手動と自動)

2008-07-04 12:05:19 | Switching-その4【その他】
●手動の場合(相手もmac-address入れる!)
int fa1/2
switchport port-security
switchport port-security mac-address 000f.907d.1111

●自動の場合(相手のmac-addressを
 ダイナミックに学習してきてアドレス情報をConfig上に残す!)
int fa1/2
switchport port-security
switchport port-security mac-address ★sticky
switchport port-security 000f.907d.1111
#上の★を入れると、show runではちゃんとMAC-Address(000f.907d.1111)が
#表示されるとおもっていたけど、実機確認ではなぜか表示されなかった。。
# ⇒継続確認中

switchport port-security violationコマンドについて

2008-07-04 08:39:32 | Switching-その4【その他】
安いswitchでポートふやしたいとかいう場合、余計なトラヒック受け取らないように高いswitchg側でport-security使ったりするけど(絵1参照)、
violation(違反)counterが増えないようにとか問題分に条件があったら迷わずprotect(下記●)を選ぶべし!

(config-if)# switchport port-security violation [ restrict | restrict | shutdown]
 protect : 違反したらパケットDrop,アラーム出力なし,●violation counter増ない
 restrict : 違反したらパケットDrop,アラーム出力あり,★violation counter増える
 shutdown : 違反パケットが来たら、インタフェースをおとす,アラーム出力あり、★violation counter増える

■確認コマンド
show port-security address
show port-security interface