switchport trunk allowed コマンドについて

デフォルトではトランクリンク上ですべてのVLANが転送される為、
トランクリンク上で流れるVLANを指定するコマンドです。

(config-if)#switchport trunk allowed ＜vlan-id＞

※vlan-idはカンマやハイフンで複数指定可能

VRRP設定

●R1（マスタ）
int fa0/10
vrrp 7 ip 169.254.1.10
vrrp 7 priority 200 ★デフォルト100なのでそれより大きければOK

●R2（バックアップ）
int fa0/10
duplex auto
speed auto
vrrp 7 ip 169.254.1.10

●R2（バックアップ）と対向のSW
int　fa1/2
switchport port-security maximum 2 ★IP Phoneとつながっている場合を想定
switchport port-security 0000.5e00.0107

■参考：
・VRRPのVirtual MacAddress
　0000.5e00.01【ルータID】　★今回ルータIDは7
・HSRPのVirtual MacAddress
　0000.0c07.ac【ルータID】

SwitchとRouterのネイティブVLANの設定のちがいついて

例：Vlan10をネイティブVLANに設定

●Switch
int fa1/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport mode trunk　allowed vlan 10 20
switchport trunk native vlan 10　★

●Router
int fa0/0.10
encapsulation dot1q 10 native vlan 10　★

MAC-AddressのベンダーIDをフィルタする。

SW2のG0/3で送信元MAC-Address
ベンダーID（0000a1）をフィルタする。

mac access-list extend MAC-DENY
deny 0000.a1 00.0000 0000.00 ff.ffff
　　　　(固定)　　(可変) (固定) (可変)
permit any any

interface GigabitEthernet0/7
mac access-group MAC-DENY in

補足1：
あて先をフィルタ：ブロードキャスト、マルチキャストも含まれる。
送信元をフィルタ：こっちをなるべく使う。（8割がた）
　　　　　　　 　　ユニキャストなので確実にフィルタできる。

補足2：
sw2(config)#mac address-table static <mac address>
で、mac addressは自由に変えられる

vlan10上のホストでipv6通信できないようにする。

ルータで設定する場合はIF上でipv6 traffic-filterコマンドを
使用して設定できるが、2つのルータ間のVLAN上のホスト同士は
通信できてしまうそのため、今回はL2レベル(SW1)で下記の設定を行う。

●SW1
mac access-list extended PERMIT-IPV6
permit any any 0x86DD 0x0
＃Type「0x86DD」でIPv6を許容(IPv4なら0x08DD,ARPなら0x0806）

vlan access-map DENY-IPV6 10　
action drop
match mac address PERMIT-IPV6

vlan access-map DENY-IPV6 20
action forward

vlan filter denyipv6 vlan-list 10

※確認：Ipv4のpingはとぶことを確認した方がいい。

DTP（Dynamic Trunking Protocol）流しちゃダメとよきたら。

int fa1/11
switch trunc encapsulation dot1q
switch port mode trunk
switchport nonegotiate　★これでDTP流さないようにする。
なるほどと。

switchport port-security mac-addressコマンド（手動と自動）

●手動の場合（相手もmac-address入れる！）
int fa1/2
switchport port-security
switchport port-security mac-address 000f.907d.1111

●自動の場合（相手のmac-addressを
　ダイナミックに学習してきてアドレス情報をConfig上に残す！）
int fa1/2
switchport port-security
switchport port-security mac-address ★sticky
switchport port-security 000f.907d.1111
＃上の★を入れると、show runではちゃんとMAC-Address(000f.907d.1111)が
＃表示されるとおもっていたけど、実機確認ではなぜか表示されなかった。。
＃　⇒継続確認中

switchport port-security violationコマンドについて

安いswitchでポートふやしたいとかいう場合、余計なトラヒック受け取らないように高いswitchg側でport-security使ったりするけど（絵1参照）、
violation（違反）counterが増えないようにとか問題分に条件があったら迷わずprotect（下記●）を選ぶべし！

(config-if)# switchport port-security violation [ restrict | restrict | shutdown]
　protect　: 違反したらパケットDrop,アラーム出力なし,●violation counter増ない
　restrict : 違反したらパケットDrop,アラーム出力あり,★violation counter増える
　shutdown : 違反パケットが来たら、インタフェースをおとす,アラーム出力あり、★violation counter増える

■確認コマンド
show port-security address
show port-security interface