2007.07.15 今日も今日とて Catalyst 三昧 Cisco Catalyst 2960-24TT-L 3 台使って散々実験してきたので, メモ をかねて記録しておく。 Catalyst 2960 は 2950 の後継として発売された L2SW です。2950 と の違いで目に付いた点としては 1. VLAN の数が 64 から 255 へ増えた。 もっとも初期の 2950 との比較で, 2950 の後期型では 128 または 250 なのでまぁふつーっちゃ普通かもしれませんが。 あと 1-1005 まで…が標準(?)でしたが, 2960 では 1-4094 (1006 か らの拡張範囲VLANを標準でサポート)まで扱う仕様になっています。 このあたり仕様がイメージ毎, 売られた時期毎にばらばらになって いたのが統一された感じとなります。とは言え, 拡張範囲VLAN(1006 〜4094)は相変わらず VLAN データベースでは取り扱ってくれないよ うです:-(。 2. トランク時に許可 VLAN に 1 が必須であったのが不要になった。 2950 時代は switchport trunk allowed vlan で必要な VLAN ID の設定を行う際にはかならず 1 を入れなければなりませんでした が, 2960 では不要になりました。2960 で必要な分の VLAN 1 の パケット(CDP やら何やら)は必要な分だけ勝手に流してくれるそう です。あと 1002-1005 も通さないと駄目だった記憶があるのです が, 根拠が見つかりませんでした:-(。 3. GbE が 2 ポート付いてくる。 24 ポートの製品買っても +2 ポート付いてくる。しかも GbE なの で色々と応用が利いて便利(auto MDI であるとか:-)。 4. IOS が素直 複数の 2950 使っててあれ?っと思ったことは多々ありますが, 流 石に後期型の 2950 ベースで, 発売されてから時間が経ってない(マ ジ? :-)せいもあって, 思ったとおり動いてくれます。 これは例えば, no spanning-tree vlan 1-4094 と指定できると思 っていたら -4094 あたりでエラーを吐くなど。できる 2950 と できない 2950 があって f(?_?)? なんて思った時期もありました が…。。。後, さっきも書いたけど, VLAN id が 1〜1005 ではな く, 1〜4094 など。 あたりでしょうか。まぁあと 2950 と違って高いってのはあるかもし れませんな。ちょうど資産か消耗品扱いかの分岐点(?)であるところ の 10 万円を切る(2950), 切らない(2960) あたりで調達のし易さの 違いがあったりしますが(技術的な問題というよりも政治的な問題)。 Cisco からは他にも違いを上げていますが, 私にはさっぱりです:-)。 http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sw/cat29/2960cg2/appendixC/16881_02_appendixc.shtml ■今回構築したネットワークは下記のようなものです。まずは結線 から。L2SW の台数は 4 台。結線する本数は A〜F の 6 本。VLAN は 3 系統 10(WAN), 20(LAN), 30(管理用)となります(下記の図は はじめに結論ありきで若干わかりずらくなっています)。 | ++---------+ | ルーター | ++---------+ | |A(VLAN10) | -+-+-+-+-+-+-+-+-+--+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 2960A | | |B(VLAN10,VLAN30)|F(VLAN20, VLAN30) | | -+-+-+-+-+-+-+-+-+-+|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 2960B | | |C(VLAN10) | | | +----+-----+ | | サーバー | | +-+--+-----+ | | |D(VLAN20) | | | | |E(VLAN30) | | | | -+|+-+-+-+-+-+-+-+--+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 2960C | | | |G(VLAN30) | | -+-+-+-+-+-+--+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 安物L2SW ■順を追って説明します。 ・WAN 側 / A, B, C ルーターから 2960A, 2960B そしてサーバーに入る流れが WAN 側となります。便宜上 VLAN ID 10 を割り当てます。これが基本 です。他の VLAN (20, 30)は管理上のおまけとなります。 また WAN が 2 段になっているのは, 将来下段にサーバーが埋ま った場合に再度上段からスター型に配置するためです。本質的に は下段のみでネットワーク組めますが, 将来の拡張において, 下 段からカスケードしなければならなくなるので, 1. 故障率が直 列で高くなる, 2. トラフィックボトルネックで後段にカスケー ドされればされるほど不利になる, のが嫌で設置しています。 ・LAN 側 / D サーバーの裏側から 2960C に流れている線が LAN 側になります。 便宜上 VLAN ID 20 を割り当てます。基本的には VLAN ID 20 の みとなりますが, これに管理系統を組み込みます(考察について は後述)。 ・管理側 / E, G, F サーバーの一方の裏側から安物 L2SW に流れている線が管理側に なります。便宜上 VLAN ID 30 を割り当てます。 これは HP なら iLO, DELL なら DRAC, いわゆるリモート KVM (Keyboard, Video, Mouse)のためのネットワークです。それ系の 装置のためのネットワークです。ついでに Catalyst の管理用と しても使います。いわゆる telnet でログインする, SNMP 用の VLAN と。 また, サービス品質的にどうよ。というのがあるのでこのあたり Catalyst ではなく普通に L2SW 買ってきて使っています。 あと, この結線はとりあえず LAN 側につなげるように今回してい ます。LAN 側と同じく 2960A につないでしまうのも手かもしれま せんが今回その対応をしませんでした。自分の中に明確な基準が あるわけではありませんが, 結線距離が短くていいかなという安 直な判断でやっつけ仕事しています:-)。 ★特殊な配線 (実は)B, F, G 本質的には A, B, C, D, E の結線で十分機能するわけですが, B(これは設定が特殊になる), F, G の流れを別途作っています。 これは Catalyst を管理サイドのネットワーク(VLAN30) に持っ てくるために使用します。そういう基準で流れを見ると, G, F, B という流れで管理側ネットワークにつながっているのがわかる かと思います。 LAN(2960C)についですが, ではなぜ管理用の VLAN だけ上げれば いいのに LAN (VLAN20) を上げているのか。についてですが, こ れも将来拡張があった場合に LAN 側をカスケードしてつなぐの ではなく, スター型につなぐために戻しています。これも本当な ら LAN の 2 段構成に落とし込んだ方がいいかもしれませんね。 ■コーヒーブレイク(Cisco における VLAN の考え方について) VLAN のための規格であるところの IEEE802.1q では VLAN ID を 0〜4095 (12ビット)と定義しています。実際 FreeBSD では素直に この数字が使えるようになっています。また設定にあたって例外 (予約)はありません。 Cisco では 0(ネイティブ VLAN?), 1(ディフォルトのタグなし VLAN, 管理VLAN), 1002〜1005 を予約としており, 実際 1〜4094 を使うようにマニュアルに書いてあります。 使ってみた限りでは, FreeBSD で指定した VLAN ID と Cisco の VLAN ID は一致しているようですが, 0 や 1 の扱いがどうなって いるのかまったくわかりません:-)。まぁ 255 VLAN しか使えない し, 普通に運用していれば問題になることは無いので, あんまり 地雷踏まなくてもいいかな。ということで放置。 さて, いくらかの疑問が残ったところで, この疑問は棚上げしてお くとして, なぜタグなしVLAN をわざわざ 1 と定義しているんだろ うと思っていたのですが, やっとその流儀がわかってきました。 はじめに VLAN ありき。で, たまたま VLAN 1 がディフォルトでタ グなしだったに過ぎないというものです。設定により別の VLAN を タグなしにすることができます。 (もっともかなり例外的に取り扱 われているようですが > VLAN 1 は消せないなど) たしかに FreeBSD であれば, このあたりの「どの VLAN に所属」 しているかという考え方はないので, ネットワークの設定状況に応 じて解釈するしかなく, 例えば bge0 につながっている先でタグな しパケットは WAN 側である。というルール程度の話になってしま います。そこに明示的な(VLAN というレベルでは) WAN であるとい う読み取りはできませんが, Cisco では vlan 10 の名前は wan と あるので, 明示的にその VLAN (あるいはポート)が WAN であるこ とがわかります。敢えて FreeBSD でもポリシー化したいなら ifconfig bge0 name vlan10 してみるってところでしょうが, こう いう名前変更ができるのか不明だし, 個人的にあまり好きでないの で検証しないです(そもそも ifconfig bge0 name eth0 が正解だ! という話も:-)。 サーバーと違って集中管理する必要のあるところのルールというこ で勉強になりました:-)。 ■ネットワークのつなぎ方 各 A, B, C, D, E, F のつなぎ方はどうなっているのでしょう。接 続と接点, 各々の L2SW から順に見ていきます。事前に作っておく べき VLAN については後付で説明します。 ・A ルーターA ⇔ 2960A-Gi0/1 ルーターとの接続になります。ここは 2960A の Gi0/1 につなぎ ます。ルーター側は 100/Full 固定として設定しています。よっ て 2960A の設定としては下記の通りとなります。 - ルーターの設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (ここでは省略) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2960A の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface GigabitEthernet0/1 switchport access vlan 10 speed 100 duplex full - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ・B 2960A-Fa0/1 ⇔ 2960B-Gi0/1 2960A と 2960B の接続となります。ここでは 2960A の Fa0/1 と 2960B の Gi0/1 をつなぎます。100/Full 固定とし, VLAN10 と VLAN30 を流します。VLAN10 についてはタグ無しとします。 VLAN10 をタグ無しとしたのは, 故障等により交換になったとし ても, 設定無しでも本サービスに影響を与えないためです。 - 2960A の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface FastEthernet0/1 switchport access vlan 10 switchport trunk native vlan 10 switchport trunk allowed vlan 10,30 switchport mode trunk speed 100 duplex full - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2960B の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface GigabitEthernet0/1 switchport access vlan 10 switchport trunk native vlan 10 switchport trunk allowed vlan 10,30 switchport mode trunk speed 100 duplex full - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ・C 2960B-Fa0/1 ⇔ サーバー(bge0) 2960B とサーバーの接続となります。ここでは 2960B の Fa0/1 と サーバーは bge0 をつなぎます。auto nego 設定とし, VLAN 10 でタグ無しとします。 - 2960B の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface FastEthernet0/1 switchport access vlan 10 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - サーバーの設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (ここでは省略) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ・D サーバー(bge1) ⇔ 2960C-Fa0/1 サーバーと 2960C の接続となります。ここでは bge1 と 2960C の Fa0/1 をつなぎます。auto nego 設定とし, VLAN 20 でタグ無しと します。 - サーバーの設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (ここでは省略) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2960B の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface FastEthernet0/1 switchport access vlan 20 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ・E リモートKVM ⇔ 安物L2SW リモート KVM と安物 L2SW とをつなぎます。IP はともかく, L2SW では設定項目はないので, ここでは完全に省略します。 ・F 2960A-Fa0/2 ⇔ 2960C-Gi0/1 2960A と 2960C の接続となります。ここでは 2960A の Fa0/2 と 2960C の Gi0/1 をつなぎます。100/Full 固定とし, VLAN20 と VLAN30 を流します。VLAN20 についてはタグ無しとします。 VLAN20 をタグ無しとしたのは, 故障等により交換になったとし ても, 設定無しでも本サービスに影響を与えないためです。 - 2960A の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface FastEthernet0/2 switchport access vlan 20 switchport trunk native vlan 20 switchport trunk allowed vlan 20,30 switchport mode trunk speed 100 duplex full - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2960C の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface GigabitEthernet0/1 switchport access vlan 20 switchport trunk native vlan 20 switchport trunk allowed vlan 20,30 switchport mode trunk speed 100 duplex full - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ・G 2960C-fa0/24 ⇔ 安物L2SW-port24 2960C と安物 L2SW の接続となります。それぞれ互いの 24 番ポー トに接続します。 - 2960C の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface FastEthernet0/24 switchport access vlan 30 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ■ポートの所属 VLAN の考え方 Cisco のポートの所属(Fa0/1, Gi0/1 等)は状況に応じて以下の 3 種 類あります。実際にはもっと複雑な構成(EtherChannel等)をとること ができるため, 3 種類以上ありますが, それは今回見なかったことに します:-)。 1. タグ無しパケットのみ通信 単純に下記の通りの設定となります。 switchport access vlan VLANID switchport mode access (たぶん…検証してないけど) 後になって気がついて, すっかり検証し忘れていたのですが, switchport trunk native vlan 設定と合わせてどうなるか調べたい ところ。あと積極的に mode access とすべきか。など。 2. タグ無しパケットとタグ付きパケットが通信 基本的にトランクモードとし, native vlan を指定することで実現 します。 switchport access vlan VLANID1 switchport trunk native vlan VLANID1 switchport trunk allowed vlan VLANID1,VLANID2,... switchport mode trunk switchport access が無くてもいいのかはすっかり検証忘れていま す。「VLAN 1 をディセーブルにしたトランク ポートが非トランク ポートになると、そのポートはアクセス VLAN に追加されます。」 とあるので, おそらく設定しなくても switchport access が追加 されると思われますがわかりません:-)。 3. タグ付きパケットのみ通信 基本的に 2 から native vlan の設定をはずしたものとなります。 まぁ逆を言えば vlan1 で通信するとタグ無しになってしまうわけ ですが。。 switchport trunk allowed vlan VLANID1,VLANID2,... switchport mode trunk とりあえず参考文献的には http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sw/cat29/2960cg2/chapter12/16881_02_12.shtml あたり。 ■全体的な設定 全体的な設定として以下のものが挙げられる(順番に意味はないです:-)。 1, 2 は装置固有になると思われるが, 4, 7 はネットワーク固有, 6 は サイト固有の話になるのでそれぞれルールを決めておく必要がある。 1. L2SW のホスト名 2. L2SW の IP アドレス(NTP, SNMP で使用) 3. スパニングツリーの停止 4. 時刻設定(タイムゾーン, NTPサーバー) 5. ドメインルックアップの停止 6. アクセスリストの設定 7. SNMP 設定 8. ラインの設定(タイムアウト, telnet 設定) 1. L2SW のホスト名 ディフォルトで「Switch」になってるので, 1 台しか管理しないなら このままでもいいけど, できることなら固有の名称をつけておきたい ところ。プロンプトにホスト名が表示されるので, どの L2SW をいじ っているかはっきりするので安全に作業できる。たぶん:-)。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal hostname dmz - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2. L2SW の IP アドレス L2SW の IP アドレスをどう決めるかは置いておくとして, L2SW に 外部からアクセスしやすい状況に置いておくのは良くないです。と いうわけで管理された制限ネットワークを設けて運用するのが一番 となります。今回 VLAN30 内に設置するので下記のように設定しま す。なお, IP 設定はどこかの VLAN に全体で 1 個だけ設定ができ ます(複数設定できるのは L3SW から:-)。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface vlan30 ip address AAA.BBB.CCC.DDD EEE.FFF.GGG.HHH - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 3. スパニングツリーの停止 とりあえずスパニングツリーを必要とするようなネットワーク構成 は行わない。ということで, 接続後しばらく通信してくれいない, この機能を停止します。まぁ基幹系では設定する必要があるのでし ょうが, とりあえず私の目の黒いうちは省略の方向で。。。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal no spanning-tree vlan 1-4094 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 4. 時刻設定(タイムゾーン, NTPサーバー) 時間設定に当たっては先にタイムゾーンを設定しましょうというこ とで, 特に手動で設定した場合はずれっぱなしになってしまいます。 まぁ NTP 設定したら自動補正するから, しばらく放っておくなら 順番は気にしなくてもいいです。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal clock timezone JST 9 ntp server III.JJJ.KKK.LLL - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ディフォルトゲートウェイを設定してインターネットに出れるなら mfeed やら nict あたり指定するのが便利ですが, まぁ管理サーバ に NTP やらせる方が色々便利ですね。 5. ドメインルックアップの停止 間違った(IOSが知らない)コマンドを実行すると domain look-up してくれる微妙におせっかいな機能は無効にすべし。ということで。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal no ip domain-lookup - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 6. アクセスリストの設定 とりあえず管理サーバーからのみアクセスするように設定するための 設定を入れておく。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal access-list 1 permit MMM.NNN.OOO.PPP - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 7. SNMP 設定 どう SNMP を運用するかによってきますが, とりあえず手抜きの 方向で。管理サーバーからのみ接続できるように設定しておきま す(ReadOnly でアクセスリスト 1 を適用)。SNMP v3 設定は色々 面倒そうなのでとりあえず v2c で。v1 と同じコミュニティベー スで使えるようなので, むしろ機能強化されてるあたりが評価で きるかな。と。 > バルク転送ができるなど効率が良い とりあえずコミュニティ名は一般的事例に沿って public という ことで。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal snmp-server group public v2c snmp-server community public RO 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 8. ラインの設定(タイムアウト, telnet 設定) a. 10分作業しないとログアウトされちゃうので exec-timeout 0 0 を指定してタイムアウト無しにしておく。 b. ログインしたら enable 状態にするため privilege level 15 を設定しておく。パスワード設定しなくてどうよ。って感じ だけど, このあたり真面目に運用するならがんばってね。って ところで。個人的には telnet でパスワード保護もないだろう といいたい:-)。 c. length 0 にすると画面の長さに制限が無くなるので, more で 止まらなくなるという話ですが, はて。止まってるような気が するのは気のせいでしょうか。ということで要調査。 d. access-class 1 in で telnet での接続を許可するマシンを制 限します。なお先の SNMP で設定した IP と同一という扱いに なります。別けるなら適度に別途指定します。 e. no login でログインパスワード無しで接続できます。これと privilege level 15 と exec-timeout 0 0 付けると危険がい っぱいです:-)。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal line con 0 exec-timeout 0 0 privilege level 15 length 0 exit line vty 0 15 access-class 1 in exec-timeout 0 0 privilege level 15 no login length 0 exit - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - なお show running-config すると 0-15 の指定は 0-4, 5-15 の 2 つに分割されてしまいます。歴史的事情とのことですが。。 ■VLAN設定 今回 VLAN 設定にあたって VTP によるアドバタイズ(広報)を積極的 に行っていこうと思い設定しています(ネットワーク全体で VLAN ID を統合しておく必要があるため)。よって設定項目は 1. VLAN 設定, 2. VTP 設定, の 2 つとなります。 1. VLAN ID の設定 それぞれ vlan 10, 20, 30 の名前を設定します。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal vlan 10 name dmz exit vlan 20 name lan exit vlan 30 name sys exit - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - この上で更に interface Vlan30 の設定を行うことになりますが, それについては前述。正直 interface Vlan30 あたりで vlan の 名前設定ができるとありがたいのですが, 何故か分離されていま すね。このあたりの事情は深く追ってないです。 2. VTP の設定 初めて VTP 使ったので勘所を押さえてないのですが, とりあえず 懸念事項というか, 考えないとアカン点として, a. たぶん vtp password 設定した方がいい。なんとなくどっかに VTP アドバタイズ(広報)してるやつがいると, 全てそれに巻き 込まれる。たぶん vtp domain 設定しないとそんなことはない はずですが, 自信は無いです。 b. vtp pruning を有効にした方がいいと思われ。とは言え, 設定 した記憶が無いのですが, show vtp status 見ると設定されて るんですよねぇ。。どっかで試験的にやった記憶はありますが 3 台とも設定されてるとなると…。。。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal vtp domain cisco-catalyst vtp version 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - c. 全体的に影響範囲を把握して作業していません。ミスいっぱい の予感が…。。。あるいは副作用を考えてないというか。。 ■検証方法 1. show running-config VLAN 以外のほとんどの設定が見れる状態と思われ。もしかしたら 他にもここには出てこない設定があるかもしれないけど, 今のと ころ気が付かなかった方向で。。 長すぎるので特にコメント無しの方向で。 2. show vlan VLAN の設定状況が確認できます。とりあえず下記は show vlan brief 程度の設定になります。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active 10 dmz active 20 lan active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Gi0/2 30 sys active Fa0/24 1002 fddi-default act/unsup 1003 trcrf-default act/unsup 1004 fddinet-default act/unsup 1005 trbrf-default act/unsup - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 3. show vtp status VTP の設定状況が確認できます。VTP は v2 で, 運用中の VLAN ID は 8 個。設定回数は 8 回。サーバーモードなので VLAN 設定で, アドバタイズ(広報)と記録(NVRAM内)を行う。となります。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - VTP Version : running VTP2 Configuration Revision : 8 Maximum VLANs supported locally : 255 Number of existing VLANs : 8 VTP Operating Mode : Server VTP Domain Name : cisco-catalyst VTP Pruning Mode : Enabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0xFC 0x61 0x73 0x50 0x0D 0x7E 0x9E 0x9D Configuration last modified by AAA.BBB.CCC.DDD 7-14-07 14:36:06 Local updater ID is WWW.XXX.YYY.ZZZ on interface Vl30 (lowest numbered VLAN interface found) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 4. show ntp status とりあえず MMM.NNN.OOO.PPP からの同期に成功していて, ストレイ タム 3 (なお MMM.NNN.OOO.PPP は ntp.nict.jp を参照)で運用中と いう意味になります。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Clock is synchronized, stratum 3, reference is MMM.NNN.OOO.PPP nominal freq is 119.2092 Hz, actual freq is 119.2088 Hz, precision is 2**18 reference time is CA44B7F3.FC445FBF (00:12:51.985 JST Mon Jul 16 2007) clock offset is 0.0805 msec, root delay is 8.76 msec root dispersion is 32.10 msec, peer dispersion is 0.08 msec - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 5. SNMP の動作検証 とりあえず一般的なところで net-snmp (今回 5.3.1 を使用)をイン ストールして管理サーバーから SNMP Query を投げてみます。これ データが得られないとしたら, 管理サーバーのファイアウォール設定 であるとか, ルーティングの問題だったり, ACL 設定ミスってたりと 色々と考えられますが, そんなところでしょう。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - $ snmpwalk -v 2c -c public AAA.BBB.CCC.DDD system SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(37)SE, RELEASE SOFTWARE (fc2) Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Thu 10-May-07 14:05 by antonino SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.716 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (107257348) 12 days, 9:56:13.48 SNMPv2-MIB::sysContact.0 = STRING: SNMPv2-MIB::sysName.0 = STRING: lan SNMPv2-MIB::sysLocation.0 = STRING: SNMPv2-MIB::sysServices.0 = INTEGER: 2 SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - こんだけ動いたので後は mrtg なりなんなりでデータ取りします。 ■管理サーバーの運用について 今回管理サーバーとして FreeBSD を採用し, LAN 側で設定をいじっ て運用しています。管理用にトランクを追加という位置付けで設定 したので, 他のサーバーとは vlan 周りの設定を追加しただけとな ります。 - FreeBSD 設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - cloned_interfaces="vlan30" ifconfig_bge0="inet AAA.BBB.CCC.DDD/24" ※ネタ切れごめん! ifconfig_bge1="inet EEE.FFF.GGG.HHH/24" ※ネタ切れごめん! ifconfig_vlan30="inet MMM.NNN.OOO.PPP/24 vlan 30 vlandev bge1" - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2960C の設定 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enable configure terminal interface FastEthernet0/10 switchport access vlan 20 switchport trunk native vlan 20 switchport trunk allowed vlan 20,30 switchport mode trunk - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - なお直感的には他のサーバーでも vlan 30 通すように設定入れれば 管理ネットワークに通信できてしまうのでは?と思うところですが, Catalyst 側の設定で無効になってるので通信できません。もっとも, もっと積極的に switchport mode access を入れるなどした方がい いかもしれませんが, ちょっとよくわからないです:-(。 ■全体的に… 全体的にプルーニングについての検討や不必要なネゴシエーション (DTPやら CDP やら VTP やらなにやら)の検討を行っていません。 そのあたりのチューニングポイントが多々残っています。 それ以外にも Vlan 1 は積極的に shutdown しておくべきか, 各 インターフェースの description を記述してないなど, 細かいと ころで検討抜けがあります。 とりあえずステータス変わって瞬断するような類の抜けは無いと思 いますが, 残ってたら嫌だな。。ということで, しばらくしたらま た Catalyst 2960 の設定を総なめしないと。。 orz CDP? いや面白いから残してます。ports 見ると net-mgmt/cdpd と net-mgmt/cdpr の 2 つの ports があって, それぞれアドバタ イズデーモンとレポーターになります。いかんせん対応してるバ ージョンが古く v1 だけのサポートとなります。レポーターの方 はちょっとわかりませんが。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - # cdpr -d bge1 (しばし待つこと 60 秒程度) Device ID value: lan Addresses value: XXX.XXX.XXX.XXX Port ID value: FastEthernet0/10 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - そうそう。私の VLAN 運用の仕方が, 行って戻ってとやってるの でよく心配されます(ループしてるんぢゃないかと)。頭の中では ちゃんと分割されてるのですが, 例えば 2960A は 12 ポートの 2960 を 2 つくっつけました的に理解すると違和感がなくなると 思われ。 しかしまとめればまとめるほど, 抜けが見えてくるなぁ。。 orz SEE ALSO: http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/index_sw_cat2960.shtml http://www.server-rack.jp/list/cisco/catalyst.html http://takabsd.jp/w/tech/?cisco http://ccstudy.org/labtech/privilege/privilege.html http://itpro.nikkeibp.co.jp/article/COLUMN/20051031/223754/?ST=nettech Written by 重村法克