spanning-tree guard loop コマンドについて

UTPは1,2,3,6ピンで送信するが、
送信ピンに異常があり
RXだけつながるとか、逆にTXだけ
つながるとかの状況が発生した場合は
DPが移行してしまい、ループ問題に
つながる可能性がある。

spanning-tree guard loopコマンドで
これを防止する。

interface GigabitEthernet0/12
spanning-tree guard loop

※これでloop-inconsistentという状態になり
　　FW状態にならない。(ループ状態にならない）

spanning-tree guard root コマンドについて

DistributionSW(priority 100)は、
NW上にどんな悪いSW(Priority 0)が
新しくつながれても、

自分のRootBrigeは変更されないように
spanning-tree guard rootコマンドを
使ってガードをかける。

●DistributionSW
interface GigabitEthernet0/1
spanning-tree guard root

MAC-AddressのベンダーIDをフィルタする。

SW2のG0/3で送信元MAC-Address
ベンダーID（0000a1）をフィルタする。

mac access-list extend MAC-DENY
deny 0000.a1 00.0000 0000.00 ff.ffff
　　　　(固定)　　(可変) (固定) (可変)
permit any any

interface GigabitEthernet0/7
mac access-group MAC-DENY in

補足1：
あて先をフィルタ：ブロードキャスト、マルチキャストも含まれる。
送信元をフィルタ：こっちをなるべく使う。（8割がた）
　　　　　　　 　　ユニキャストなので確実にフィルタできる。

補足2：
sw2(config)#mac address-table static <mac address>
で、mac addressは自由に変えられる

vlan10上のホストでipv6通信できないようにする。

ルータで設定する場合はIF上でipv6 traffic-filterコマンドを
使用して設定できるが、2つのルータ間のVLAN上のホスト同士は
通信できてしまうそのため、今回はL2レベル(SW1)で下記の設定を行う。

●SW1
mac access-list extended PERMIT-IPV6
permit any any 0x86DD 0x0
＃Type「0x86DD」でIPv6を許容(IPv4なら0x08DD,ARPなら0x0806）

vlan access-map DENY-IPV6 10　
action drop
match mac address PERMIT-IPV6

vlan access-map DENY-IPV6 20
action forward

vlan filter denyipv6 vlan-list 10

※確認：Ipv4のpingはとぶことを確認した方がいい。

PPP over FRの設定

FRは、何のためにPPP使うの？
→FRは認証するための機能はないので
　PPPを使用して、これをFRにのっける！

＜例:r1(対向r2も同様設定）＞
hostname r1
username r2 password 0 cisco
!
interface Virtual-Template1　★Ⅰ
ip address 161.254.2.1 255.255.255.0
ppp authentication chap
!
interface Serial1/0
encapsulation frame-relay
!
interface Serial1/0.2 point-to-point
frame-relay interface-dlci 151 ppp Virtual-Template1
★Ⅱ：上記★Ⅰと関連付ける(DLCI 151に対して
　PPPをのっけるイメージ)

NBMA対策 その1(ip ospf network non-broadcast コマンド)

NBMA（FRなどの非ブロードキャスト）のネットワークタイプを
手動で設定する場合は「ip ospf network non-broadcast」
(※Helloをユニキャストで流せる）を設定する。

この場合、hello:30s,Dead:120sだが、
対向がpoint-to-pointで「ip ospf network」コマンドが使えない
という条件の場合は、hello:10s,Dead:40sに合わせてあげる。

補足
・「ip ospf network point-to-point（hello:10s,Dead:40s)」は、
　 Helloでマルチキャスト使うのでNBMAではNG
・「ip ospf network point-to-multipoint（hello:30s,Dead:120s)」は、
　 Helloでマルチキャスト使うのでNBMAではNG