switchport trunk allowed コマンドについて 2008-10-04 08:53:14 | Switching-その4【その他】 デフォルトではトランクリンク上ですべてのVLANが転送される為、 トランクリンク上で流れるVLANを指定するコマンドです。 (config-if)#switchport trunk allowed <vlan-id> ※vlan-idはカンマやハイフンで複数指定可能
VRRP設定 2008-07-23 03:48:45 | Switching-その4【その他】 ●R1(マスタ) int fa0/10 vrrp 7 ip 169.254.1.10 vrrp 7 priority 200 ★デフォルト100なのでそれより大きければOK ●R2(バックアップ) int fa0/10 duplex auto speed auto vrrp 7 ip 169.254.1.10 ●R2(バックアップ)と対向のSW int fa1/2 switchport port-security maximum 2 ★IP Phoneとつながっている場合を想定 switchport port-security 0000.5e00.0107 ■参考: ・VRRPのVirtual MacAddress 0000.5e00.01【ルータID】 ★今回ルータIDは7 ・HSRPのVirtual MacAddress 0000.0c07.ac【ルータID】
SwitchとRouterのネイティブVLANの設定のちがいついて 2008-07-23 02:51:54 | Switching-その4【その他】 例:Vlan10をネイティブVLANに設定 ●Switch int fa1/1 switchport trunk encapsulation dot1q switchport mode trunk switchport mode trunk allowed vlan 10 20 switchport trunk native vlan 10 ★ ●Router int fa0/0.10 encapsulation dot1q 10 native vlan 10 ★
MAC-AddressのベンダーIDをフィルタする。 2008-07-10 21:57:01 | Switching-その4【その他】 SW2のG0/3で送信元MAC-Address ベンダーID(0000a1)をフィルタする。 mac access-list extend MAC-DENY deny 0000.a1 00.0000 0000.00 ff.ffff (固定) (可変) (固定) (可変) permit any any interface GigabitEthernet0/7 mac access-group MAC-DENY in 補足1: あて先をフィルタ:ブロードキャスト、マルチキャストも含まれる。 送信元をフィルタ:こっちをなるべく使う。(8割がた) ユニキャストなので確実にフィルタできる。 補足2: sw2(config)#mac address-table static <mac address> で、mac addressは自由に変えられる
vlan10上のホストでipv6通信できないようにする。 2008-07-10 21:31:07 | Switching-その4【その他】 ルータで設定する場合はIF上でipv6 traffic-filterコマンドを 使用して設定できるが、2つのルータ間のVLAN上のホスト同士は 通信できてしまうそのため、今回はL2レベル(SW1)で下記の設定を行う。 ●SW1 mac access-list extended PERMIT-IPV6 permit any any 0x86DD 0x0 #Type「0x86DD」でIPv6を許容(IPv4なら0x08DD,ARPなら0x0806) vlan access-map DENY-IPV6 10 action drop match mac address PERMIT-IPV6 vlan access-map DENY-IPV6 20 action forward vlan filter denyipv6 vlan-list 10 ※確認:Ipv4のpingはとぶことを確認した方がいい。
DTP(Dynamic Trunking Protocol)流しちゃダメとよきたら。 2008-07-04 12:39:35 | Switching-その4【その他】 int fa1/11 switch trunc encapsulation dot1q switch port mode trunk switchport nonegotiate ★これでDTP流さないようにする。 なるほどと。
switchport port-security mac-addressコマンド(手動と自動) 2008-07-04 12:05:19 | Switching-その4【その他】 ●手動の場合(相手もmac-address入れる!) int fa1/2 switchport port-security switchport port-security mac-address 000f.907d.1111 ●自動の場合(相手のmac-addressを ダイナミックに学習してきてアドレス情報をConfig上に残す!) int fa1/2 switchport port-security switchport port-security mac-address ★sticky switchport port-security 000f.907d.1111 #上の★を入れると、show runではちゃんとMAC-Address(000f.907d.1111)が #表示されるとおもっていたけど、実機確認ではなぜか表示されなかった。。 # ⇒継続確認中
switchport port-security violationコマンドについて 2008-07-04 08:39:32 | Switching-その4【その他】 安いswitchでポートふやしたいとかいう場合、余計なトラヒック受け取らないように高いswitchg側でport-security使ったりするけど(絵1参照)、 violation(違反)counterが増えないようにとか問題分に条件があったら迷わずprotect(下記●)を選ぶべし! (config-if)# switchport port-security violation [ restrict | restrict | shutdown] protect : 違反したらパケットDrop,アラーム出力なし,●violation counter増ない restrict : 違反したらパケットDrop,アラーム出力あり,★violation counter増える shutdown : 違反パケットが来たら、インタフェースをおとす,アラーム出力あり、★violation counter増える ■確認コマンド show port-security address show port-security interface