Cisco Catalyst 3850 シリーズスイッチおよび Cisco Catalyst 3650 …œ€終更新日：2016 年 7 月 18 ... 推奨事項は、すべて正確であると考えていますが、明示的

Cisco Systems, Inc. www.cisco.com

シスコは世界各国 200 箇所にオフィスを開設しています。各オフィスの住所、電話番号、FAX 番号は当社の Web サイトをご覧ください。 www.cisco.com/go/offices

Cisco Catalyst 3850 シリーズスイッチおよび Cisco Catalyst 3650 シリーズスイッチのベストプラクティスガイド

初版：2015 年 11 月 30 日

最終更新日：2016 年 7 月 18 日

http://www.cisco.com

http://www.cisco.com/go/offices

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および

推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製

品の使用は、すべてユーザ側の責任になります。

対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡

ください。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public

domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコ

およびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する

保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめと

する、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わな

いものとします。

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this

URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership

relationship between Cisco and any other company. (1110R)

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、

ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとして

も、それは意図的なものではなく、偶然の一致によるものです。

© 2015 Cisco Systems, Inc. All rights reserved.

http://www.cisco.com/go/trademarks

iCisco Catalyst 3850 シリーズスイッチおよび Cisco Catalyst 3650 シリーズスイッチのベストプラクティスガイド

C O N T E N T S

はじめに vii

対象読者 iii-vii

表記法 vii

マニュアルの入手方法およびテクニカルサポート viii

容易な導入 1-1

設定ツール 1-1

LAN アクセススイッチトポロジ 1-2

Cisco Catalyst スイッチ設定のワークフロー 1-3

スイッチのアドレス計画 1-5

スイッチスタックの更新 2-7

前提条件 2-7

設定値の確認 2-8

設定済みの TFTP サーバを使用した LAN アクセススイッチのトポロジ 2-8

スタック更新の実行 2-9

スイッチのソフトウェアイメージの取得 2-9

スタックメンバーのソフトウェアバージョンの確認 2-10

インストールモードで実行するためのスイッチの設定 2-10

ローカルの TFTP/FTP サーバからの IOS イメージのインストール 2-11

スイッチスタックイメージの更新 2-14

スイッチイメージの自動アップグレードの有効化 2-15

スイッチの初期設定 3-17

スイッチの初期設定の前提条件 3-17


初期管理情報の割り当て 3-18

スイッチを識別するためのホスト名の設定 3-19

セキュアな LAN 管理のためのセキュア HTTPS およびセキュアシェルの設定 3-19

リモート管理用の SNMP の設定 3-20

スイッチアクセス用のローカルログインとパスワードの設定 3-20

TACACS+ を使用した一元化されたユーザ認証の設定 3-20

スイッチへの IP アドレスの割り当て 3-21

アウトオブバンドインターフェイスでの管理 IP アドレスの設定 3-22

目次

iiCisco Catalyst 3850 シリーズスイッチおよび Cisco Catalyst 3650 シリーズスイッチのベストプラクティスガイド

インバンドインターフェイスでの管理 IP アドレスの設定 3-23

ハードウェアでの管理 VLAN の作成 3-24

グローバルシステム設定 4-27

グローバルシステム設定の前提条件 4-27


グローバル設定情報の割り当て 4-29

スイッチスタックでの高可用性の設定 4-29

VTP トランスペアレントモードで実行するためのスイッチの設定 4-30

Rapid Per-VLAN Spanning Tree Plus の有効化 4-30

スパニングツリー PortFast インターフェイス用の BPDU Guard の設定 4-31

リンク障害を検出するための UDLD の設定 4-31

スイッチアクセスを制限するためのアクセスリストの設定 4-32

システムクロックとコンソールタイムスタンプの設定 4-32

DHCP スヌーピングのセキュリティ機能の設定 4-32

ARP インスペクションの設定 4-33

EtherChannel ロードバランシングの設定 4-33

アクセスレイヤ VLAN の作成 4-33

IPv6 ファーストホップセキュリティポリシーの作成 4-34

TFTP ブロックサイズの拡大 4-35

スイッチスタックイメージへの自動更新のための新規メンバーの設定 4-35

アップリンクインターフェイス接続 5-37

アップリンクインターフェイス接続の前提条件 5-37

アップリンクインターフェイス接続の制限 5-37


ディストリビューションスイッチまたはディストリビューションルータへのアップリンクを持つ LAN アクセススイッチのトポロジ 5-39

アップリンクインターフェイス接続の設定 5-40

ルータまたはスイッチへのアップリンクインターフェイスを設定するための推奨事項 5-40

アップリンク EtherChannel インターフェイスでの QoS の設定 5-41

EtherChannel およびトランクとしてのアップリンクインターフェイスの設定 5-42

VSS または VPC ディストリビューションスイッチに接続するためのアップリンクインターフェイスの設定 5-42

ディストリビューションルータ（または、スタンドアロンディストリビューションスイッチ）に接続するためのアップリンクインターフェイスの設定 5-43

アップリンク EtherChannel インターフェイスでのセキュリティ機能の設定 5-44

目次

iiiCisco Catalyst 3850 シリーズスイッチおよび Cisco Catalyst 3650 シリーズスイッチのベストプラクティスガイド

ディストリビューションスイッチに接続するアップリンクインターフェイスのスパニングツリーの推奨事項 5-45

アップリンクインターフェイス設定の確認 5-46

スイッチのアップリンクインターフェイス接続の表示 5-47

アクセスインターフェイス接続 6-49

アクセスインターフェイス接続の前提条件 6-49


エンドデバイスに接続する LAN アクセススイッチのトポロジ 6-51

アクセスインターフェイス接続の設定 6-51

アクセスインターフェイスを設定するための推奨事項 6-51

アクセスモードのインターフェイスの設定 6-53

VLAN メンバーシップの設定 6-53

インターフェイスの説明の作成 6-53

アクセスインターフェイスのセキュリティ機能の設定 6-54

アクセスインターフェイスでの QoS の設定 6-55

アクセスインターフェイス設定の確認 6-55

アクセスインターフェイス接続の実行コンフィギュレーションの表示 6-58

有線ネットワークのアクセス制御 7-63

有線ネットワークのアクセス制御の前提条件 7-63

有線ネットワークのアクセス制御の制限 7-63


IEEE 802.1x のセキュアなアクセス制御を使用した LAN アクセススイッチのトポロジ 7-65

有線 LAN 上での 802.1x を使用したアクセスの保護 7-65

有線 LAN でセキュリティを設定するための推奨事項 7-65

共通の有線セキュリティアクセスのプロビジョニング 7-67

モニタモードでのプロビジョニング 7-70

ローインパクトモードでのプロビジョニング 7-70

ハイインパクトモードでのプロビジョニング 7-71

プロビジョニングモードの実行コンフィギュレーションの表示 7-73

IEEE 802.1x のステータスと統計情報のモニタリング 7-76

有線およびワイヤレスのコンバージドアクセス 8-79

前提条件 8-79

機能制限 8-80


ワイヤレス接続を使用した LAN アクセススイッチのトポロジ 8-81

目次

ivCisco Catalyst 3850 シリーズスイッチおよび Cisco Catalyst 3650 シリーズスイッチのベストプラクティスガイド

ワイヤレスコントローラとしてのスイッチの有効化 8-82

スイッチでのアクセスポイントライセンスのインストール 8-82

AP-Count ライセンスのインストールの確認 8-83

ワイヤレス管理 VLAN の設定 8-84

サービス接続の設定 8-84

ワイヤレスコントローラ機能の有効化 8-85

モビリティコントローラモードで実行するスイッチの変更 8-85

アクセスポイント接続の有効化 8-86

クライアント VLAN の有効化 8-87

小規模ブランチ WLAN のプロビジョニング 8-87

Easy-RADIUS でのプロビジョニング 8-88

Easy-RADIUS を有効にするための認証の無効化 8-88

WLAN をセキュアにするための QoS の設定 8-89

RADIUS のクライアント接続の確認 8-89

セキュアモードでのプロビジョニング 8-91

AAA RADIUS サーバの有効化 8-91

IEEE 802.1x 認証を使用した WLAN の設定 8-91

オープン WLAN の QoS サービスポリシーの設定 8-92

DHCP スヌーピング 8-92

無線周波数およびチャネル設定の管理 8-93

低データレートの無効化 8-93

Clean Air の有効化 8-95

動的チャネル割り当ての有効化 8-96

WLAN クライアントの関連付け 8-96

WLAN クライアント接続の確認 8-96

無線 LAN コンバージドアクセスの実行コンフィギュレーションの表示 8-97

システムヘルスモニタリング 9-99

システムヘルスモニタリングの前提条件 9-99

実行ステータスの表示 9-99

コアリソースのシステム基準の実行 9-100

CPU とコアプロセッサの使用率の取得 9-100

スイッチのメモリ使用率の取得 9-102

ファイルシステム使用率のモニタ 9-102

環境リソースのシステム基準の実行 9-103

システムモニタリングのその他の考慮事項 9-104

スパニングツリーモニタリング 9-104

I N D E X

viiCatalyst 3850 および Catalyst 3650 スイッチシリーズのベストプラクティスユーザガイド

はじめに

対象読者このドキュメントでは、Cisco Catalyst 3850 シリーズスイッチ、Cisco 3650 シリーズスイッチ、およびそのネットワーク内のスイッチスタックの管理について説明します。イーサネットネットワークの基礎知識が求められます。Cisco Certified Network Associate（CCNA）レベルの知識は有用ですが、必須ではありません。

表記法このマニュアルでは、次の表記法を使用しています。

表記法説明

イタリック体の青色のフォント

実際の値に置き換えられる設定値の例。

太字コマンド、キーワード、およびユーザが入力する CLI は、太字フォントで示しています。

イタリック体文書のタイトル、新規用語、強調する用語、およびユーザが値を指定する引数は、イタリック体で示しています。

[ ] • システムプロンプトに対するデフォルトの応答は、角カッコで囲んで示しています。

• 角カッコの中の要素は、省略可能です。

{x | y | z} 必ずいずれか 1 つを選択しなければならない必須キーワードは、波カッコで囲み、縦棒で区切って示しています。

[x | y | z] いずれか 1 つを選択できる省略可能なキーワードは、角カッコで囲み、縦棒で区切って示しています。

string 引用符を付けない一組の文字。string の前後には引用符を使用しません。引用符を使用すると、その引用符も含めて string と見なされます。

courier フォントシステムが表示する端末セッションおよび情報は、courier フォントで示しています。

< > パスワードのように出力されない文字は、山カッコで囲んで示しています。

!、# コードの先頭に感嘆符（!）またはポンド記号（#）がある場合には、コメント行であることを示します。

viiiCatalyst 3850 および Catalyst 3650 スイッチシリーズのベストプラクティスユーザガイド

対象読者

（注）「注釈」です。役立つ情報やこのマニュアルに記載されていない参照資料を紹介しています。

ヒントヒントには、トラブルシューティングや操作方法ではなく、ワンポイントアドバイスと同様に知っておくと役立つ情報が記述される場合もあります。

ワンポイントアドバイス記述されている操作を実行すると時間を節約できます。

マニュアルの入手方法およびテクニカルサポートマニュアルの入手方法、テクニカルサポート、その他の有用な情報について、次の URL で、毎月更新される『What’s New in Cisco Product Documentation』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html

『What's New in Cisco Product Documentation』は、シスコの新規および改訂版の技術マニュアルの一覧も示し、RSS フィードとして購読できます。また、リーダーアプリケーションを使用してコンテンツをデスクトップに配信することもできます。RSS フィードは無料のサービスです。

http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html

http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html

Cisco Systems, Inc.www.cisco.com

容易な導入

このドキュメントでは、Cisco Catalyst 3850 シリーズおよび Cisco Catalyst 3650 シリーズのスイッチを導入するためのベストプラクティスについて説明します。

（注）特に明記しない限り、スイッチという用語はスタンドアロン Catalyst 3850 スイッチ、 Catalyst 3650 スイッチ、またはスイッチスタックを指します。

シスコスイッチの導入におけるベストプラクティスは、Catalyst スイッチで使用される推奨設定方法です。この方法は、ネットワークのセキュリティ、パフォーマンス、可用性を向上させる、テストおよび実証済みの方法です。

ベストプラクティス設定では、指定されたタスクを実行する理由について説明します。また、特定のシナリオ用の設定を予測できる完全な実行コンフィギュレーションのサンプルスナップショットを提供します。

ヒントこのドキュメントの推奨設定をスイッチ導入用のテンプレートとして使用してください。

（注）さまざまな機能とソリューションのベストプラクティスを解説した多数のシスコドキュメントが提供されています。このガイドに記載された情報とその他のベストプラクティスおよび導入ガイドの情報は一部重複します。このドキュメントでは、読者が 3850 の操作の特定の側面についてより深い理解が得られるように、関連がある場合は他の既存のドキュメントを参照します。それ以外の箇所では、このドキュメントは単独で使用することができ、完全なベストプラクティス設定を提供します。

設定ツールこのドキュメントの設定例では、スイッチの設定に使用するも一般的なツールである Cisco IOS CLI 設定ツールを使用します。

ただし、異なるツールを使用してスイッチの設定を行うこともできます。その他の設定ツールとして、Express Setup、デバイスマネージャ、および Cisco Prime を使用できます。

容易な導入

LAN アクセススイッチトポロジ

2Catalyst 3850 および Catalyst 3650 スイッチシリーズのベストプラクティスユーザガイド

このドキュメントで紹介されている例では、スイッチで実行する必要がある CLI コマンドを示します。青色の斜体で示された値の例を実際の値に置き換えてください。

LAN アクセススイッチトポロジこのドキュメントで説明されているワークフローでは、スイッチが LAN アクセススイッチとして導入されていることが前提となります。特に断りのない限り、LAN アクセスレイヤ内のスイッチはレイヤ 2 スイッチとして設定され、すべてのレイヤ 3 サービスは、直接接続されたディストリビューションスイッチまたはルータにより提供されます。

このドキュメントでは、スイッチがスタックされてスイッチスタック（共通のスイッチングユニット）が形成されていることが前提となります。組み込みの冗長性が得られるため、スイッチスタックを使用することをお勧めします。また、コンバージドアクセスモード（ワイヤレスモード）でのスイッチの導入時、および各種スタックメンバーへのアクセスポイントの接続時にスイッチスタックを使用することも推奨します。

LAN アクセスレイヤで導入されるスイッチは、ギガビットと 10 ギガビットの両方のアップリンク接続オプションを備えた 10/100/1000 イーサネット経由で、デバイスへの高帯域幅接続を提供します。

スイッチがアクセスモードで導入されると、IP フォン、ワイヤレスアクセスポイント、デスクトップなどのエンドデバイスがネットワークにアクセスできるようになります。Power over Ethernet（PoE）スイッチモデルは、IP フォン、ワイヤレスアクセスポイント、および IP カメラに電力を供給するために PoE+（30 W）および UPoE（60 W）をサポートしています。スイッチの現場交換可能なアップリンクモジュールにより、さまざまなアップリンク接続タイプを使用することができます。

図 1 に、企業のキャンパス導入環境を示します。ここでは、スイッチがディストリビューションレイヤスイッチ（Catalyst 6500、6800、4500、または Nexus 7000 スイッチなど）に接続されています。

図 1 ディストリビューションスイッチを使用した LAN アクセススイッチのトポロジ

set system location Building 1, San Jose, CA

Dual redundant switchesin distribution layer runningVSS (Cat6500/6800/4500),or VPC (Nexus 7000)

Desktop userdirect connect

Desktop user

Printer

Wireless access

Catalyst 3850 stack in access

Voice VLAN 11Data VLAN 10

Data VLAN 10

Data VLAN 10

Switch managementVLAN 100

Access point VLAN 12

3916

37

Trunk linkNative VLAN 999All VLANs included

容易な導入

Cisco Catalyst スイッチ設定のワークフロー


図 2 は、スイッチがルータ（ISR）に接続されたブランチ導入を示しています。スイッチはレイヤ 2 スイッチとして動作するため、キャンパス導入の場合もブランチの導入の場合も設定に大きな違いはありません。設定の違いについては、ベストプラクティスの手順に記載します。

図 2 ディストリビューションルータを使用した LAN アクセススイッチのトポロジ

Cisco Catalyst スイッチ設定のワークフローこのドキュメントは、主にスイッチネットワークの設定について説明しており、ワークフローパターンで構成されています。このワークフローは、スイッチがラックに収容され、マウントおよび接続され、電源が投入された後の初期設定から始まり、システムヘルスのモニタリングで終了します。

図 3 に、このドキュメントで説明しているベストプラクティス設定を示します。

スイッチをインストールする方法については、『Switch Hardware Installation Guide』を参照してください。

Dual redundantrouters running HSRP


Desktop userbehind IP phone

Printer

Wireless access



Data VLAN 10

Data VLAN 10



3916

38


容易な導入

Cisco Catalyst スイッチ設定のワークフロー


図 3 Cisco Catalyst スイッチ：設定のワークフロー

Install a switch

Complete initial switch configurationon the first day of deploying the switch

Are switch stack members

running the same image?

Update the image on switch stack members

Yes No

Configure global switch settings to define common configuration

Configure QoS on wired and wireless traffic to guarantee network performance

Configure switch connections todistribution switches or routers

Configure switch connections to end devices (such as access points,

IP phones, laptops, printers)

Configure secure access on the switch and on

connected devices

Configure wireless LAN access on the switch to enable converged access functionality

Monitor switch health to maintainnetwork stability and performance

3537

33

容易な導入

スイッチのアドレス計画


スイッチのアドレス計画このドキュメントでスイッチに指定され、使用されている VLAN ID と IP アドレスはベストプラクティスの構成要素ではなく、設定例に指定された値にすぎません。実際の導入では、特定のネットワークに適した IP アドレス計画が立てられます。

このドキュメントでは、説明を簡単にするために、すべての IP アドレス範囲を /24 としています。導入されたアクセススイッチ全体で VLAN ID を再使用することをお勧めします。

たとえば、アクセスレイヤでは、VLAN 10 は常にデータに使用され、VLAN 11 は常に音声に使用されます。これらの VLAN の IP サブネットはアクセススイッチで異なりますが、VLAN ID は同一です。このタイプのアドレス計画では、同じ VLAN ID が一貫して使用されるため、ネットワークの運用が容易になります。

表 1 IP アドレス計画

VLAN ID IP アドレスサーバ説明

100 192.168.1.0/24 — スイッチのインバンド管理 VLAN。

10 192.168.10.0/24 アップストリームデバイス

エンドデバイス用データアクセス VLAN およびサブネット。

11 192.168.11.0/24 アップストリームデバイス

IP フォン用音声アクセス VLAN およびサブネット。

12 192.168.12.0/24 Catalyst 3850 スイッチアクセスポイント VLAN およびサブネット。

200 192.168.13.0/24 アップストリームデバイス

ワイヤレスクライアント VLAN およびサブネット。

— 192.168.254.0 — すべての中央サービスの IP アドレス範囲。各サービスはスイッチに物理的に隣接していません。

容易な導入

スイッチのアドレス計画



スイッチスタックの更新

このワークフローでは、同じソフトウェアイメージを使用してスイッチスタックのすべてのメンバーを更新する方法について説明します。

スイッチスタックのグローバルコンフィギュレーションおよび詳細設定に進む前に、リリースの不一致による問題が発生しないように、すべてのスタックメンバーで同じ Cisco IOS XE リリースが稼働しているようにしてください。また、スイッチスタックに追加する必要のある新しいスイッチでも同じ Cisco IOS XE リリースが稼働している必要があります。非稼動の]場合、スイッチスタックは統合されず、新しいスイッチはスタンドアロン状態のままになります。

（注） Catalyst 3850 または 3650 スイッチスタックの更新は、Catalyst 3750 スイッチスタックの更新とは異なります。単に boot ステートメントを目的の .bin ファイルに変更する方法は、Catalyst 3850 および 3650 スイッチスタックでは推奨されません。Catalyst 3850 および 3650 スイッチスタックの更新プロセスには、.bin ファイルから抽出され、フラッシュにロードされる一連のパッケージファイルが含まれています。

前提条件 • 資格のあるクレデンシャルを持つ有効な Cisco Connection Online（CCO）のアカウントを取得

します。

• 新しい IOS バージョンをインストールするプロセスでは、FTP または TFTP を使用します。そのため、FTP または TFTP サーバで 3850 IOS ソフトウェアをホストすることができ、当該サーバに IP ネットワーク経由で到達可能である必要があります。

• 作業を開始する前に、TFTP または FTP をインストールして設定します。

• 「TFTP ブロックサイズの拡大」の項で説明しているように、TFTP ブロックサイズが大値の 8192 に設定されていることを確認します。


設定値の確認


設定値の確認中断せずにこのセクションの手順を進めることができるように、特定のスイッチ設定値を事前に確認しておくことをお勧めします。手順に従って設定を進める際に、列 B の値を列 C に記載した実際の値で置き換えてください。

（注）設定例では、青色の斜体で示された値の例を実際の値に置き換えてください。

（注）特に断りのない限り、設定例はグローバルコンフィギュレーションモードで開始されます。

設定済みの TFTP サーバを使用した LAN アクセススイッチのトポロジ

図 4 設定済みの TFTP サーバを使用した LAN アクセススイッチのトポロジ

表 2 スイッチスタック更新の設定値

A. 値の名前 B. 値の例 C. 実際の値

ホスト名 3850-access-Bld1Flr1

TFTP サーバ 192.168.254.12

フラッシュファイル cat3k_caa-universalk9.SSA.16.1.0.EFT3-1.bin



Desktop user

Printer

Wireless access



Data VLAN 10

Data VLAN 10


FTP SERVER172.18.121.121


3917

00



スタック更新の実行


スタック更新の実行 • スイッチのソフトウェアイメージの取得

• スタックメンバーのソフトウェアバージョンの確認

• インストールモードで実行するためのスイッチの設定

• ローカルの TFTP/FTP サーバからの IOS イメージのインストール

• スイッチスタックイメージの更新

（注）次のタスクをリストされた順序で実行します。

スイッチのソフトウェアイメージの取得

ご使用のネットワークトポロジとの互換性を保つために、インストールの前に該当するスイッチのリリースノートを参照することをお勧めします。Cisco.com の各プラットフォームには、ソフトウェアの品質、安定性、および長期利用性に基づくシスコ推奨リリースがあります。このリリースは、付録 2「Cisco Catalyst 3850-48P-S スイッチ」に表示されているように、記号で示されます。

ステップ 1 必要な .bin ファイルを Cisco.com からスイッチのフラッシュストレージにダウンロードします。

（注）この例は、シスコ推奨リリースを示す記号がどのように表示されるかを示すためのもので、推奨されるリリースバージョンを示すものではありません（推奨リリースバージョンは時間とともに変化します）。

図 5 Cisco Catalyst 3850-48P-S スイッチ .




スタックメンバーのソフトウェアバージョンの確認

ステップ 2 実行中のソフトウェアバージョンを確認します。

インストールモードで実行するためのスイッチの設定

実稼働環境ではスイッチをインストールモードで実行する必要があります。このモードは必須ではありませんが、スイッチがインストールモード以外のモードで実行される場合は、更新手順が異なります。

（注）インストールモードとバンドルインストールモードの違いについては、『Cisco IOS File System,

Configuration Files, and Bundle Files Appendix, Cisco IOS XE Release 3SE (Catalyst 3850 Switches)』の「Working with the Cisco IOS File System, Configuration File, and Software Bundle Files」の章を参照してください。

ステップ 3 スイッチスタックがバンドルモードで実行されている場合、request platform software package expand switch file to flash コマンドを使用して、インストールモードに変換します。

ステップ 4 .bin ファイルがフラッシュに正常に抽出されたら、boot ステートメントを変更し、packages.conf ファイルを使用して起動するようにします。

（注） pacakges.conf ファイルのフォーマットが Cisco IOS XE リリース Denali 16.1 で変更されたため、古い packages.conf ファイルを新しい packages.conf ファイルで上書きします。スタック内のスイッチごとに上記の手順を実行します。3 つのメンバーのスタックの場合、flash:、flash-2:、および flash-3: で実行する必要があります。

（注） TFTP サーバが到達可能であることを確認します。パフォーマンスを向上させるには、TFTP ブロックサイズを 8192 に増やします。グローバルコンフィギュレーションモードで ip tftp blocksize bytes コマンドを使用します。

Switch Ports Model SW Version SW Image Mode------ ----- ----- ---------- ---------- ----* 1 32 WS-C3850-24P Denali 16.1.1 CAT3K_CAA-UNIVERSALK9 BUNDLE 2 32 WS-C3850-24P Denali 16.1.1 CAT3K_CAA-UNIVERSALK9 BUNDLE 3 32 WS-C3850-24P Denali 16.1.1 CAT3K_CAA-UNIVERSALK9

request platform software package expand switch 1 fileflash:cat3k_caa-universalk9.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.bin to flash::

no boot systemboot system switch all flash:packages.confexitwrite memoryreload

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3850/software/release/3-2_0_se/system_management/appendix/iosfsApp.html




ステップ 5 スイッチスタックがインストールモードで実行されていることを確認します。

ローカルの TFTP/FTP サーバからの IOS イメージのインストール

使い慣れたファイル転送方式を使用できますが、TFTP または FTP を使用することをお勧めします。

ステップ 6 次のコマンドを使用してブロックサイズの設定を確認します。

TFTP または FTP を使用してスイッチへのファイル転送を試みる前に、TFTP ブロックサイズに 8192（大許容値）を使用することをお勧めします。詳細については、「グローバルシステム設定」ワークフローの「TFTP ブロックサイズの拡大」の項を参照してください。

ステップ 7 TFTP サーバに接続できることを確認します。

この例では、インバンドネットワーク経由でアクセス可能な TFTP サーバを使用しています。

ステップ 8 接続を確認した後、すべてのスイッチスタックメンバーのフラッシュに十分な空き領域があることを確認します。

ステップ 9 ファイルをフラッシュから消去する必要があると判断した場合、request platform clean switch コマンドを実行して、すべてのスタックメンバーのフラッシュ内にある不要なファイルを削除します。

Switch# show versionCisco IOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version Denali 16.1.1, RELEASE SOFTWARE (fc1)Technical Support: http://www.cisco.com/techsupportCopyright (c) 1986-2015 by Cisco Systems, Inc.Compiled Thu 12-Nov-15 16:23 by mcpre

Switch Ports Model SW Version SW Image Mode------ ----- ----- ---------- ---------- ----* 1 32 WS-C3850-24P Denali 16.1.1 CAT3K_CAA-UNIVERSALK9 BUNDLE 2 32 WS-C3850-24P Denali 16.1.1 CAT3K_CAA-UNIVERSALK9 BUNDLE 3 32 WS-C3850-24P Denali 16.1.1 CAT3K_CAA-UNIVERSALK9 BUNDLE

# show run | inc blockip tftp blocksize 8192

ping 192.168.254.12

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.254.12, timeout is 2 seconds: !!!!




ファイルを個々に削除するのではなく、request platform clean switch コマンドを使用することをお勧めします。削除の確認時に削除されるファイルがわかるように、消去されるファイルの一覧がコマンドで表示されます。

（注）スタック内のすべてのスイッチをクリーンアップするには、switch all オプションを使用します。

（注） request platform clean switch コマンドは、新しい Cisco IOS ソフトウェアのインストールに使用される .bin ファイルも削除します。.bin は抽出処理後に必要になることはありません。

Device# request platform software package clean switch all file flash:Running command on switch 1Cleaning up unnecessary package filesScanning boot directory for packages ... done.Preparing packages list to delete ...done.Running command on switch 2Cleaning up unnecessary package filesScanning boot directory for packages ... done.Preparing packages list to delete ...done.The following files will be deleted:[1]:/flash/cat3k_caa-rpbase.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg/flash/cat3k_caa-srdriver.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg/flash/cat3k_caa-universalk9.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.bin/flash/cat3k_caa-wcm.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg/flash/cat3k_caa-webui.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg/flash/packages.conf/flash/packages.conf.00-/flash/packages.conf.01-/flash/packages.conf.02-[2]:




/flash/cat3k_caa-rpbase.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg/flash/cat3k_caa-srdriver.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg/flash/cat3k_caa-universalk9.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.bin/flash/cat3k_caa-wcm.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg/flash/cat3k_caa-webui.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg/flash/packages.conf/flash/packages.conf.00-/flash/packages.conf.01-/flash/packages.conf.02-Do you want to proceed?[y/n]y[1]:Deleting file flash:cat3k_caa-rpbase.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg ...done.Deleting file flash:cat3k_caa-srdriver.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg... done.Deleting file flash:cat3k_caa-universalk9.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.bin... done.Deleting file flash:cat3k_caa-wcm.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg ...done.Deleting file flash:cat3k_caa-webui.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg ...done.

Deleting file flash:packages.conf ... done.Deleting file flash:packages.conf.00- ... done.Deleting file flash:packages.conf.01- ... done.Deleting file flash:packages.conf.02- ... done.SUCCESS: Files deleted.[2]:Deleting file flash:cat3k_caa-rpbase.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg ...done.Deleting file flash:cat3k_caa-srdriver.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg... done.Deleting file flash:cat3k_caa-universalk9.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.bin... done.Deleting file flash:cat3k_caa-wcm.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg ...done.Deleting file flash:cat3k_caa-webui.BLD_V161_0_THROTTLE_LATEST_20151116_230450.SSA.pkg ...done.Deleting file flash:packages.conf ... done.Deleting file flash:packages.conf.00- ... done.Deleting file flash:packages.conf.01- ... done.Deleting file flash:packages.conf.02- ... done.SUCCESS: Files deleted.




ステップ 10 copy tftp://flash コマンドを使用して、スイッチイメージを TFTP サーバにコピーします。

次の例は、TFTP サーバ（192.168.254.12）でユーザ名（admin）とパスワード（cisco）が必要になることを示しています。これらは、copy コマンドに容易に含めることができます。

スイッチスタックイメージの更新

ステップ 11 イメージをスタックメンバーにアップロードし、スイッチをリロードします。

イメージのダウンロードとインストールはスタックの稼働中に実行できますが、更新インストールを完了するには、スイッチのリロードを実行する必要があるため、サービスの停止が発生します。

ステップ 12 リロードが完了したら、request platform software package clean switch all file flash コマンドを実行します。

スタックメンバーが同じソフトウェアを使用していることを確認するには、スイッチスタックのすべてのメンバーで show version コマンドを使用します。

copy tftp://admin:[email protected]/IOS/3850/cat3k_caa-universalk9.SSA.16.1.0.EFT3-1.bin flash:

software install file flash: cat3k_caa-universalk9.SSA.16.1.0.EFT3-1.bin

[1 2]: Do you want to proceed with reload?[yes/no]

request platform software package clean switch all file flashDevice# request platform software package clean switch all file flash:Running command on switch 1Cleaning up unnecessary package filesScanning boot directory for packages ... done.Preparing packages list to delete ...

done.Running command on switch 2Cleaning up unnecessary package filesScanning boot directory for packages ... done.Preparing packages list to delete ...

done.




スイッチイメージの自動アップグレードの有効化

ステップ 13 新規または代替のスタックメンバーが、スイッチスタックで実行されているソフトウェアに自動的にアップグレードされるように、自動アップグレードを有効にします。

新しいメンバーを追加したり、スタックメンバーを置き換えたりする場合、スタック内で自動アップグレード機能を有効にすることをお勧めします。この機能は、スタックの不一致による問題を回避し、すべての新規スイッチが、スタックで現在実行中のバージョンにアップグレードされるようにします。また、バンドルモードのメンバーをインストールモードに変換します。

自動アップグレード機能は、互換性のないソフトウェアを稼働しているスタックメンバーに、ソフトウェアパッケージを既存のスタックメンバーから自動的にインストールします。

（注）自動アップグレードはデフォルトでディセーブルになっています。

（注）ローリングアップグレード機能はサポートされていません。

software auto-upgrade enable end





スイッチの初期設定

次のワークフローでは、スイッチ上で基本設定を行う方法について説明します。

スイッチの設定を一度に導入する場合も段階的に導入する場合も、スイッチの基本設定を初に行う必要があります。初期管理設定には、IP アドレス、パスワード、および VLAN の設定が含まれ、これらは以降の機能設定の前提条件となります。

スイッチの初期設定の前提条件次のタスクを実行するには、スイッチの『Hardware Installation Guide』を参照してください。

1. スイッチをラックマウントします。

2. StackWise ケーブルを接続します。

3. スイッチポートを接続します。

4. 電源をオンにします。

5. 上流に位置するスイッチをプロビジョニングします。

6. スイッチのアップリンクインターフェイスと上流に位置するスイッチまたはルータを、少なくとも 1 つのイーサネットケーブルで接続します。

設定値の確認中断せずにこのセクションの手順を進めることができるように、特定のスイッチ設定値を事前に確認しておくことをお勧めします。表 2 を印刷することをお勧めします。また、手順に従って設定を進める際に、列 B の値を列 C に記載した実際の値で置き換えてください。

（注）青色の斜体で示された値の例を実際の値に置き換えてください。

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3850/hardware/installation/guide/b_c3850_hig.html


初期管理情報の割り当て


（注）特に断りのない限り、このドキュメントで説明されている設定例はグローバルコンフィギュレーションモードで開始されます。

初期管理情報の割り当て • （注）以下の設定は、リストされている順序で実行する必要があります。

• （注）次に、ユーザは「セキュアな LAN 管理のためのセキュア HTTPS およびセキュアシェルの設定」に進むことができます。

• リモート管理用の SNMP の設定

• スイッチアクセス用のローカルログインとパスワードの設定

• TACACS+ を使用した一元化されたユーザ認証の設定

• アウトオブバンドインターフェイスでの管理 IP アドレスの設定

• インバンドインターフェイスでの管理 IP アドレスの設定

• ハードウェアでの管理 VLAN の作成

• （注）スイッチの初期管理情報を表示するには、show running-configuration コマンドを入力します。

表 3 初期設定値


ホスト名 3850-access-Bld1Flr1

読み取り専用アクセスと読み書きアクセス用の SNMP コミュニティ文字列

my-SNMP-RO-name

my-SNMP-RW-name

管理 VLAN ID 100

インバンド管理 IP アドレスおよびマスク

192.168.1.2 255.255.255.0

デフォルトゲートウェイ 192.168.1.1

シークレットパスワード my-secret-password

TACAS サーバの IP アドレス 192.168.254.10

TACAS サーバの秘密キー cisco123

アップリンクインターフェイス ID

GigabitEthernet 1/1/1

アウトオブバンドインターフェイスの管理 VRF IP アドレス

Mgmt-vrf 192.168.128.5

255.255.255.0

Mgmt-VRF のデフォルトルートのネクストホップ

192.168.128.1

ネイティブ VLAN 999、ダミー




（注）以下の設定は、リストされている順序で実行する必要があります。

スイッチを識別するためのホスト名の設定

ステップ 1 ネットワーク内でスイッチを識別するためにスイッチでホスト名を設定します。デフォルトでは、システム名およびプロンプトは Switch です。

スイッチ製品ファミリのホスト名、ネットワーク内のスイッチの役割、およびスイッチの場所を設定します。

システム名は、システムプロンプトとしても使用されることに注意してください。

システムプロンプトを設定していない場合は、システム名の初の 20 文字がシステムプロンプトとして使用されます。大なり記号（>）が付加されます。システム名が変更されると、プロンプトは更新されます。

以下に、ビルディング 1 の 1 階に設置されたアクセスレイヤスイッチとして機能しているスイッチの例を示します。

.

（注）次に、ユーザは「セキュアな LAN 管理のためのセキュア HTTPS およびセキュアシェルの設定」に進むことができます。

セキュアな LAN 管理のためのセキュア HTTPS およびセキュアシェルの設定

ステップ 2 スイッチの HTTP および Telnet の非暗号化プロトコルを無効にします。

ステップ 3 スイッチのセキュアな管理を可能にするために、セキュア HTTP（HTTPS）およびセキュアシェル（SSH）を設定します。

HTTPS を有効にすると、サービスを使用するための暗号キーが自動的に生成されます。HTTPS の後に SSH を設定する場合、デフォルトキーサイズを変更する必要がある場合を除き、SSH で必要になる暗号キーを明示的に生成する必要はありません。

VTY 回線で transport preferred none コマンドを使用して、CLI プロンプトからの接続試行エラーが発生しないようにすることをお勧めします。このコマンドを使用しないと、IP ネームサーバが到達不能になり、長いタイムアウト遅延が発生することがあります。

hostname 3850-access-Bld1Flr1

no ip http server

ip http secure-serverip ssh version 2!line vty 0 15 transport input ssh transport preferred none




（注）スイッチが Web 認証サーバまたは認証プロキシとして機能ししている場合は、no ip http server コマンドを実行して HTTP サーバを無効にしないでください。

リモート管理用の SNMP の設定

ステップ 4 ネットワークインフラストラクチャデバイスをリモートネットワーク管理システム（NMS）で管理できるように Simple Network Management Protocol（SNMP）を設定します。次の例に示すように、SNMPv2c の読み取り専用および読み書き用のコミュニティ文字列を設定します。SNMP コミュニティ文字列を設定すると、SNMP ツールを使用して、3850 を（統計情報を含めて）モニタできるようになります。

スイッチアクセス用のローカルログインとパスワードの設定

ステップ 5 スイッチへのアクセスを保護するためにローカルユーザ ID とパスワードを設定します。

デバイス設定モードへのアクセスを保護するためにパスワードを暗号化し、コンフィギュレーションファイルに平文のパスワードが表示されないようにすることをお勧めします。

TACACS+ を使用した一元化されたユーザ認証の設定

（注） TACACS+ プロトコルの設定はオプションで、TACACS を使用してすべてのネットワークデバイスを管理する場合にのみ推奨されます。

ステップ 6 TACACS+ プロトコルを使用して一元化されたユーザ認証を設定します。

ネットワーク上の保守対象デバイスの数が増えると、すべてのデバイスのローカルユーザアカウントを維持するための運用上の負担が発生します。一元化された認証、認可、およびアカウンティング（AAA）サービスにより、各デバイスの運用タスクが削減され、セキュリティコンプライアンスと根本原因分析のためのユーザアクセスの監査ログが得られます。AAA のアクセス制御が有効化されると、ネットワークインフラストラクチャデバイスへのすべての管理アクセス（SSH および HTTPS）が AAA サービスによって制御されます。

TACACS+ は、AAA サーバに対するアクセスが許可されるかどうかを判別するための管理インフラストラクチャデバイスの認証に使用されるプライマリプロトコルです。一元化された TACACS+ サーバが使用できない場合にフォールバック認証ソースを提供するために、ネットワークインフラストラクチャデバイスごとにローカル AAA ユーザデータベースが定義されています。

snmp-server community my-SNMP-RO-name ROsnmp-server community my-SNMP-RW-name RW

username admin privilege 15 secret my-passwordenable secret my-secret-passwordservice password-encryption




次の例は、TACACS 管理アクセス用にスイッチを設定する方法を示しています。

ステップ 7 設定を保存するには、特権モードで write memory EXEC コマンドを使用します。

スイッチへの IP アドレスの割り当て

IP アドレスをスイッチに割り当てることにより、コンソールポートへの直接接続を介したスイッチの管理だけではなく、スイッチをリモートから管理できるようにします。

スイッチでは、スイッチ管理用に複数の IP アドレスがサポートされますが、プライマリ IP アドレスのみがスイッチ管理を担当します。

スイッチ管理には、インバンドとアウトオブバンドの 2 種類の IP アドレスを使用します。

インバンド IP アドレスは、実稼働ネットワークを経由して到達するインターフェイスに割り当てられるアドレスです。IP アドレスが割り当てられたインバンドインターフェイスには、VLAN、イーサネット、ループバックインターフェイスなどがあります。

アウトオブバンド IP アドレスは、実稼働ネットワークを介して到達できないインターフェイスに割り当てられるアドレスです。アウトオブバンドネットワークは大規模なネットワーク導入で一般的です。アウトオブバンドネットワークがない場合は、インバンドネットワークのみ管理に使用します。

スイッチでは、アウトオブバンドインターフェイスは GigabitEthernet 0/0 です。GigabitEthernet 0/0 インターフェイスは、内部のスイッチングハードウェアには接続されず、直接 CPU に接続されます。GigabitEthernet 0/0 の IP トラフィックは、運用中のネットワークを使用しません。スイッチ導入環境の物理トポロジでアウトオブバンドをサポートしていない場合、当該スイッチはインバンド IP アドレスで管理できます。

高可用性を確保するためにスイッチに複数の IP アドレスを割り当てることをお勧めします。アウトオブバンドインターフェイスで 1 つ、インバンドインターフェイスで 1 つの IP アドレスを割り当ててください。可用性の高いスイッチ管理を実現することにより、スイッチスタックでも可用性が高いスイッチがアクティブスイッチになり、そのスイッチに管理 IP アドレスが割り当てられるため、すべてのスタックメンバーに管理のためのアクセスができます。同じサブネットにない限り、インバンドとアウトオブバンドの両方の IP アドレスを設定できます。管理に推奨される方法はアウトオブバンドです。これは、アウトオブバンドは可用性が高く、DoS やブロードキャストストームの影響を受ける可能性が低いためです。スイッチ上の GigabitEthernet 0/0 インターフェイスは、アウトオブバンド管理用に使用されます。

aaa new-modeltacacs server TACACS-SERVER-1 address ipv4 192.168.254.10 key cisco123 exit!aaa group server tacacs+ TACACS-SERVERS server name TACACS-SERVER-1 exit!aaa authentication login default group TACACS-SERVERS local aaa authorization exec default group TACACS-SERVERS local ip http authentication local

write memory




次の項に記載されている説明に従って、管理 IP アドレスを設定します。

• アウトオブバンドインターフェイスでの管理 IP アドレスの設定

• インバンドインターフェイスでの管理 IP アドレスの設定

• ハードウェアでの管理 VLAN の作成

アウトオブバンドインターフェイスでの管理 IP アドレスの設定

ステップ 8 IP アドレスをアウトオブバンドインターフェイスに割り当てます。

アウトオブバンド管理は、エンドユーザトラフィックを伝送する実稼働ネットワークから分離している物理ネットワークを介して、スイッチおよび他のすべてのネットワークデバイスを管理します。アウトオブバンドネットワークでスイッチを管理するために、スイッチは GigabitEthernet 0/0 インターフェイスを使用します。GigabitEthernet0/0 インターフェイスは、スイッチの背面の、青いコンソールポートの隣に物理的に配置されています。

GigabitEthernet 0/0 インターフェイスの利点は次のとおりです。

• このインターフェイスはデータプレーンから分離されているため、実稼働ネットワークにおけるブロードキャストストームなどの潜在的な問題によるネットワークの停止が発生しにくいという利点があります。

• インターフェイスはアウトオブバンドインターフェイスであり、スイッチおよび他のすべてのネットワークデバイスを常に管理可能な状態にしておくことができるため、ネットワークの問題が発生するたびに迅速に対応できます。

ステップ 9 Virtual Routing and Forwarding（VRF）インスタンスを設定します。

アウトオブバンド管理インターフェイスは、独自の VRF インスタンス内にあります。このことは、このインターフェイスのルーティングデータベースとプロトコル交換も、他のデータネットワークインターフェイスから分離していることを意味します。

GigabitEthernet 0/0 インターフェイスの制限事項は次のとおりです。

• スイッチから発信される管理トラフィックは、GigabitEthernet 0/0 の VRF インスタンスに関連付ける必要があります。スイッチのグローバルルーティングテーブルから管理トラフィックをセグメント化するために Mgmt-vrf が使用されます。

• Mgmt-vrf のデフォルトルートが必要です。

• このインターフェイスは、SNMP トラップを送信するための送信元インターフェイスとして使用することはできません。SNMP トラップサーバにトラップを送信するには、VLAN インターフェイスの IP アドレスが必要になります。「インバンドインターフェイスでの管理 IP アドレスの設定」の項を参照してください。

（注）アウトオブバンド管理設定用にリストに書き出した（表 3）IP アドレス値を使用します。

interface GigabitEthernet 0/0 ip address 192.168.128.5 255.255.255.0 exit

ip default-gateway 192.168.2.1




次の例では、GigabitEthernet 0/0 インターフェイスは、スイッチのデータプレーン上にありません。このインターフェイス（サービスポートとも呼ばれる）は、転送 ASIC の論理インターフェイスとは対照的に、スイッチの CPU で終端します。GigabitEthernet 0/0 は、レイヤ 3 インターフェイス（ルーティング可能インターフェイスとも呼ばれる）であるため、スイッチの前面にあるイーサネットインターフェイスとは異なります。スイッチの前面のイーサネットインターフェイスは、デフォルトでレイヤ 2 モードに設定され、ブリッジングに使用されます。

no switchport インターフェイスコマンドを使用して、前面のイーサネットインターフェイスをルーティング可能なインターフェイスとして設定できます。IP アドレスが割り当てられていない GigabitEthernet 0/0 インターフェイスは機能しません。

Mgmt-vrf が組み込まれているため、アウトオブバンド管理用に Mgmt-vrf を作成する必要はありません。

ステップ 10 次に、show ip route vrf コマンドの例を示します。

インバンドインターフェイスでの管理 IP アドレスの設定

ステップ 11 管理のみに使用し、他のネットワークトラフィックの伝送には使用しない VLAN インターフェイスに管理 IP アドレスを割り当てます。

VLAN インターフェイスは、対応する VLAN に割り当てられたサブネット上にあるレイヤ 3 のエンドポイントです。

（注）セキュリティ上の理由で、VLAN 1 を管理 VLAN として使用しないでください。

ip route vrf Mgmt-vrf 192.168.128.5 255.255.255.0 192.168.128.1 exit

show ip route vrf Mgmt-vrf

Routing Table: Mgmt-vrfC- IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override

Gateway of last resort is not set

192.168.128.5/16 is variably subnetted, 3 subnets, 2 masksS 192.168.128.5/24 [1/0] via 192.168.128.1C 192.168.128.5/24 is directly connected, GigabitEthernet0/0L 192.168.128.2/32 is directly connected, GigabitEthernet0/0

ping vrf Mgmt-vrf 192.168.128.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.128.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 msodes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i




管理 VLAN は、同じサブネット内のスイッチなどのすべてのネットワークデバイスを管理するために分離した VLAN です。IP アドレスがアウトオブバンドインターフェイスに割り当てられているかどうかに関係なく、VLAN インターフェイスにインバンド IP アドレスを割り当てる必要があります。

インバンド管理の場合、IP アドレスには実稼働ネットワークを介して到達できます。管理に使用する場合、インバンド IP アドレスはアウトオブバンド IP アドレスと同じように使用できます。機能上の違いはありません。ただし、インバンド IP アドレスは、スイッチから発信される自動生成トラフィックの一部の送信元 IP アドレスであるため、より多くの機能を備えています。たとえば、SNMP トラップはインバンド IP アドレスを使用します。

スイッチで VLAN を設定する前に、VLAN インターフェイスに IP アドレスを割り当てることができます。VLAN がハードウェアで作成され、VLAN のメンバーである 1 つ以上の物理インターフェイスがフォワーディングステートになったときに初めて、VLAN インターフェイスは動作可能な状態になります。

次の例は、管理用に作成された VLAN の例で、IP アドレスが到達可能であることが示されています。

（注）スイッチでは、レイヤ 3 モードで動作するように設定された物理イーサネットインターフェイスへの IP アドレスの割り当てをサポートしています。

ステップ 12 次の例に示すように、デフォルトゲートウェイを設定します。このゲートウェイは、デフォルトルートとして機能します。

VLAN インターフェイスを使用する場合、デフォルトルートは不要です。

ハードウェアでの管理 VLAN の作成

前述の項で、VLAN 100 のインターフェイスに IP アドレスを割り当てました。付録 3「インバンドインターフェイスでの管理 IP アドレスの設定」の項を参照し、インターフェイスに IP アドレスを割り当てます。ただし、単に VLAN 100 に IP アドレスを割り当てるだけでは、ハードウェアで VLAN は作成されません。次の手順を実行して、割り当てられた IP アドレスを介してスイッチをアクセス可能にします。

ステップ 13 ハードウェアで管理 VLAN を設定し、その VLAN のメンバーとしてアップリンクインターフェイスを設定します。

（注）この手順は、SSH または HTTPS、およびコンソールまたは Express Setup からレイヤ 3 で到達可能および管理可能になるようスイッチを設定するためにのみ必要な中間ステップです。引き続きコンソールを使用してこの設定を行う場合は、この手順を省略できます。ただし、別のツールを使用してスイッチの設定を行う場合は、この手順を実行してください。アップリンク接続用の完全なベストプラクティス設定は、「アップリンクインターフェイス接続」ワークフローで説明しています。

interface vlan 100

ip address 192.168.1.2 255.255.255.0

no shutdown exit

ip default-gateway 192.168.1.1




トランクインターフェイス上のネイティブ VLAN には、デフォルトの VLAN 1 ではなく、ダミーの VLAN を使用することをお勧めします。スイッチ上のすべてのインターフェイスはデフォルトで VLAN 1 に割り当てられているため、この手順では、トランク上に伝達されるユーザ設定エラーおよび接続エラーが発生する可能性があるトラフィックを制限します。

アップリンクインターフェイス上の他のすべての VLAN は、フレームパケットのレイヤ 2 ヘッダーをカプセル化する IEEE 802.1q のタグが付けられます。

次の例に、ハードウェアで VLAN ID を設定し、名前を割り当てる方法を示します。スイッチまたはルータへのアップストリームインターフェイスは、新しい VLAN のメンバーになるように変更されています。ハードウェアで管理 VLAN を正しく設定するには、イーサネットリンクの両端で同じ VLAN ID が必要になります。「ダミー」の VLAN は、トランクインターフェイスのネイティブ VLAN として使用されます。ダミーの VLAN は、データトラフィックにも管理トラフィックにも使用されません。

（注）この例で使用される短パスツリー（SPT）および ping コマンドでは、アップストリームレイヤデバイス（スイッチまたはルータ）を実稼働ネットワークで動作するように設定する必要があります。それ以外の設定変更は必要ありません。

vlan 100

name switch_mgmt

exit vlan 999

name dummy

exit!!The next step assumes the uplink interface is GigabitEthernet 1/1/1, but! your uplink interface may be different.! interface GigabitEthernet 1/1/1

Switchport mode trunk Switchport trunk native vlan 999




（注）スイッチの初期管理情報を表示するには、show running-configuration コマンドを入力します。

!Use “show spanning-tree vlan 100” to confirm VLAN 100 FWD on the uplink ! interface. !Use “show interface trunk” to confirm GigabitEthernet 1/1/1 is! operating in Trunk mode correctly.

show spanning-tree vlan 100

VLAN0100 Spanning tree enabled protocol rstp Root ID Priority 32868 Address 0022.bdd9.4c00 Cost 4 Port 49 (GigabitEthernet1/1/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32868 (priority 32768 sys-id-ext 100) Address 20bb.c05f.b300 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type------------------- ---- --- --------- -------- --------------------------------Gi1/1/1 Root FWD 4 128.49 P2p Gi1/1/2 Altn BLK 4 128.50 P2p

show interfaces trunk

Port Mode Encapsulation Status Native vlanGi1/1/1 on 802.1q trunking 999Gi1/1/2 on 802.1q trunking 999

Port Vlans allowed on trunkGi1/1/1 1-4094Gi1/1/2 1-4094

Port Vlans allowed and active in management domainGi1/1/1 1,100,999Gi1/1/2 1,100,999

Port Vlans in spanning tree forwarding state and not prunedGi1/1/1 1,100,999Gi1/1/2 none! !Now the default gateway will respond to pings!ping 182.168.1.1


グローバルシステム設定

このワークフローでは、アクセスレイヤにおけるすべてのスイッチ導入環境で共通のグローバル設定について説明します。

グローバルシステム設定の前提条件 • 「スイッチの初期設定」ワークフローで説明されているタスクを完了します。

• 「アップリンクインターフェイス接続」ワークフローで説明されているタスクを完了していない場合、スイッチが IP 到達可能な状態になっていない可能性があります。このような場合は、スイッチコンソールのみ使用して、グローバルシステム設定のワークフローを実行します。

「アップリンクインターフェイス接続」ワークフローが完了している場合は、スイッチコンソール、SSH、または任意の管理ツールを使用して、グローバルシステム設定のワークフローを実行できます。「スイッチの初期設定」ワークフローの項で説明したように、コンソール以外のツールを使用する場合は、設定したユーザ名とパスワードを使用してログインする必要があります。

設定値の確認中断せずにこのワークフローの手順を進めることができるように、特定のスイッチ設定値を事前に確認しておくことをお勧めします。表 4 を印刷することをお勧めします。また、手順に従って設定を進める際に、列 B の値を列 C に記載した実際の値で置き換えてください。



設定値の確認



表 4 グローバルシステム：設定値


許可する管理サブネット 192.168.128.5/0.0.0.255192.168.0.0/0.0.0.255192.168.254.0/0.0.0.255

NTP サーバの IP アドレス 192.168.254.11

データ VLAN 10

音声 VLAN 11

アクセスポイント VLAN 12

管理 VLAN ID 100

ワイヤレスクライアント VLAN

200

データの VLAN 名 Data

音声の VLAN 名 Voice

アクセスポイントの VLAN 名 Access_Points

ワイヤレスクライアントの VLAN 名

Wireless_Client

読み取り専用アクセスと読み書きアクセス用の SNMP コミュニティ文字列

my-SNMP-RO-name,

my-SNMP-RW-name

アクセスインターフェイスの IPv6 ルータアドバタイズメントガードポリシー

endhost_ipv6_raguard

上流に位置するルータインターフェイスの IPv6 ルータアドバタイズメントガードポリシー

router_ipv6_raguard

上流に位置するスイッチインターフェイスの IPv6 ルータアドバタイズメントガードポリシー

switch_ipv6_raguard

アクセスインターフェイスの IPv6 DHCP ガードポリシー

endhost_ipv6_dhcp_guard

アップリンクインターフェイスの IPv6 DHCP ガードポリシー

uplink_ipv6_dhcp_guard


グローバル設定情報の割り当て



（注）以下のタスクは、リストされている順序で実行する必要があります。

• スイッチスタックでの高可用性の設定

• VTP トランスペアレントモードで実行するためのスイッチの設定

• Rapid Per-VLAN Spanning Tree Plus の有効化

• スパニングツリー PortFast インターフェイス用の BPDU Guard の設定

• リンク障害を検出するための UDLD の設定

• スイッチアクセスを制限するためのアクセスリストの設定

• システムクロックとコンソールタイムスタンプの設定

• DHCP スヌーピングのセキュリティ機能の設定

• ARP インスペクションの設定

• EtherChannel ロードバランシングの設定

• アクセスレイヤ VLAN の作成

• IPv6 ファーストホップセキュリティポリシーの作成

• TFTP ブロックサイズの拡大

• スイッチスタックイメージへの自動更新のための新規メンバーの設定

スイッチスタックでの高可用性の設定

ステップ 1 高いスタックメンバープライオリティ値を使用して、アクティブスイッチとスタンバイスイッチを割り当てて、スタックメンバーの障害時にネットワークの運用が影響を受けないようにします。

推奨事項：一貫性を確保するために、アクティブスタックメンバーの決定に使用されるスタックメンバープライオリティを設定します。1 つのメンバーをアクティブスタックメンバーとして設定することにより、スタックのライフタイム期間中、スタックを選択する際に必ずこのメンバーがアクティブなメンバーになることが保証されます。も高いプライオリティが設定されたメンバーがアクティブメンバーになります。

スイッチスタックでは、障害が発生する可能性がも高いメンバーはアクティブメンバーです。したがって、3 つ以上のメンバーを持つスイッチスタックでは、複数のスタックメンバーでアップリンク接続を設定し、アクティブメンバーではアップリンク接続を設定しないことをお勧めします。このようにすることで、アクティブメンバーに障害が発生してもアップリンク接続は影響を受けなくなります。

このドキュメントでは、スタックは 2 つのメンバーを持つスタックを指し、以下の例では、メンバー 1 にも高いプライオリティを割り当てる方法を示します。若干低いプライオリティを付与することで、セカンダリメンバーを割り当てます。デフォルトのプライオリティは 1 です。

switch 1 priority 15switch 2 priority 14




（注）スイッチスタックの管理、およびスイッチでの高可用性機能の設定の詳細については、『Stack

Manager and High Availability Configuration Guide, Cisco IOS XE Release』を参照してください。

VTP トランスペアレントモードで実行するためのスイッチの設定

ステップ 2 ネットワークから送信される VLAN 設定の更新を防止するために、VTP トランスペアレントモードで実行されるようにスイッチを設定します。そのような更新が生じると、エラー動作が原因で予期しない動作が発生する可能性があるためです。

通常、VLAN はスイッチの初期設定時に一度定義され、スイッチの稼働後は継続的な VTP 更新を必要としません。

VTP トランスペアレントモードのスイッチは、（VTP サーバと同じ方法で）VLAN を作成、変更、および削除できます。ただし、このモードのスイッチはネットワーク上で VLAN 情報を動的に伝達せず、受信したアドバタイズメントに基づく VLAN 設定の同期も行いません。スイッチがこのモードのときに設定を変更すると、変更内容がスイッチの実行コンフィギュレーションに保存されます。この変更はスイッチのスタートアップコンフィギュレーションファイルに保存することもできます。

（注）スイッチのデフォルトの VTP モードは、VTP サーバモードです。このモードでは、VLAN の作成、変更、削除ができます。また、VTP ドメイン全体に対して他の設定パラメータを指定できます。VTP サーバは、同一 VTP ドメイン内の他のスイッチに、自分の VLAN 設定をアドバタイズメントし、また、トランクリンクを介して受信したアドバタイズメントに基づいて、自分の VLAN 設定を他のスイッチと同期させます。

Rapid Per-VLAN Spanning Tree Plus の有効化

ステップ 3 Rapid Per-VLAN Spanning Tree Plus（PVST+）を有効にして、従来のスパニングツリーでの間接的な障害やリンクアップ回復イベントの検出を向上させます。

Rapid PVST+ は、VLAN ごとに RSTP（IEEE 802.1w）のインスタンスを提供し、PVST+ は、従来のスパニングツリー（IEEE 802.1D）上の間接的な障害やリンクアップ回復イベントの検出を向上させます。

推奨事項：レイヤ 2 ループなしで導入環境を作成した場合でも、スパニングツリーを有効にしてください。スパニングツリーを有効にすることで、物理的または論理的なループが誤って設定された場合に、実際のレイヤ 2 ループが発生しないようにすることができます。

vtp mode transparent

spanning-tree mode rapid-pvst

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3850/software/release/3se/ha_stack_manager/configuration_guide/b_hastck_3se_3850_cg.html

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3850/software/release/3se/ha_stack_manager/configuration_guide/b_hastck_3se_3850_cg.html




スパニングツリー PortFast インターフェイス用の BPDU Guard の設定

ステップ 4 Bridge protocol data unit（BPDU）Guard をグローバルに設定して、すべてのスパニングツリー PortFast 対応インターフェイスを保護します。

BPDU Guard は、検出されない致命的なスパニングツリーループを引き起こす可能性がある、アクセスポートへのスイッチの接続からネットワークを保護します。

スパニングツリー PortFast 設定インターフェイスが BPDU を受信する場合、許可されていないデバイスの接続など、無効な設定が存在します。BPDU Guard 機能は、STPF が有効な場合に非トランキングインターフェイスで BPDU が受信されたときに、そのインターフェイスを errdisable ステートに移行させることにより、ループを防止します。

BPDU 設定は、別のスイッチがポートに接続された場合にポートを無効にすることにより、STPF 対応インターフェイスを保護します。

このコマンドは、インターフェイスレベルではなく、グローバルに設定する必要があります。

リンク障害を検出するための UDLD の設定

ステップ 5 単方向リンク検出（UDLD）を、通常モードではなく、アグレッシブモードで設定します。

UDLD は、単方向リンクを検出し、対象となるインターフェイスを無効にしてユーザにアラートを送信します。単方向リンクが存在すると、スパニングツリーループ、ブラックホール、非決定論的な転送など、さまざまな問題が発生することがあります。また、UDLD を使用すると、リンク障害をよりすばやく検出し、インターフェイストランクを高速に再コンバージェンスすることができます。単方向による障害が発生しやすい光ファイバの場合は特にそうです。

アグレッシブモードでは、ポートのリンクステートが双方向と判断され、ポート上のリンクがまだ UP 状態の間に UDLD 情報がタイムアウトした場合、UDLD はポートの状態を再確立しようとします。この試行に失敗すると、ポートは errdisable ステートになります。通常モードでは、UDLD のポート状態は未確定にマークされ、スパニングツリープロトコルの状態に応じて動作します。

UDLD アグレッシブタイマーは変更しないでください。

（注）アップストリームデバイスが VSS モードで動作しているスイッチの場合、アグレッシブモードの UDLD は必要ありません。

VSS 対応のキャンパス設計の詳細については、『Campus 3.0 Virtual Switching System Design

Guide』を参照してください。

spanning-tree portfast bpduguard default

udld aggressive

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Campus/VSS30dg/campusVSS_DG/VSS-dg_ch3.html





スイッチアクセスを制限するためのアクセスリストの設定

ステップ 6 ネットワーク運用サポートが一元化されている場合、アクセスリストを使用して、スイッチにアクセスできるネットワークを制限することにより、ネットワークセキュリティを強化できます。

アクセスリストを使用して、既知の送信元管理場所からの IP アドレスを許可することをお勧めします。

次の例では、192.168.128.0、192.168.0.0、および 192.168.254.0 のネットワーク上のホストのみ、SSH または SNMP を使用してスイッチにアクセスできます。この例では、3 つのサブネットを許可する ACL を示します。実際のネットワークのサブネットはこれより多い場合も少ない場合もあります。貴社のネットワークに適な ACL を設定してください。ネットワークを導入する際に、必要に応じてさらにサブネットをリストに追加できます。

システムクロックとコンソールタイムスタンプの設定

ステップ 7 ネットワークデバイスをネットワーク内のローカル NTP サーバに同期するようプログラムすることにより、同期クロックを設定します。

ローカル NTP サーバは通常、外部ソースからのより正確なクロック供給を参照します。

ステップ 8 出力にタイムスタンプが示されるようにコンソールメッセージ、ログ、およびデバッグ出力を設定し、ネットワーク内のイベントを相互参照できるようにします。

DHCP スヌーピングのセキュリティ機能の設定

ステップ 9 データ、音声、およびワイヤレス AP VLAN で Dynamic Host Configuration Protocol（DHCP）スヌーピングを有効にします。

スイッチは、VLAN 内の DHCP メッセージをインターセプトして保護します。この設定により、許可されていない DHCP サーバがエンドユーザのデバイスにアドレスを割り当てることができなくなります。

access-list 55 permit 192.168.128.0 0.0.0.255access-list 55 permit 192.168.0.0 0.0.0.255access-list 55 permit 192.168.254.0 0.0.0.255line vty 0 15 access-class 55 in vrf-also exitsnmp-server community sample-READONLY RO 55snmp-server community sampe-READWRITE RW 55!

ntp server 192.168.0.10!clock timezone PST -8clock summer-time PDT recurring

service timestamps debug datetime msec localtimeservice timestamps log datetime msec localtime




ARP インスペクションの設定

ARP インスペクションは、ARP スプーフィングを防止するセキュリティ機能です。

ステップ 10 データ、音声、および管理 VLAN で Address Resolution Protocol（ARP）インスペクションを有効にします。

EtherChannel ロードバランシングの設定

ステップ 11 トラフィックの送信先のリンクを計算する際に、トラフィックの送信元と宛先の IP アドレスを使用するように、EtherChannel を設定します。

EtherChannel トラフィックは、すべての物理インターフェイスでバランスを取る必要があります。EtherChannel のデフォルトのロードバランシングスキームは、送信元 MAC アドレスに基づいています。

この設定により、EtherChannel のメンバーリンク間でトラフィックを負荷共有する方法が標準化されます。EtherChannel は復元力が優れているため、この設計では広く使用されます。

アクセスレイヤ VLAN の作成

ステップ 12 VLAN を作成して、エンドユーザのデバイスに基づいてトラフィックを分離します。

VLAN が作成されると、その VLAN は、トランクモード用に設定された任意のインターフェイスに自動的に参加します。前述の項で、アップリンクインターフェイスをトランクモード用に設定しました。したがって、アップリンクインターフェイスはこれらの VLAN のメンバーになっているはずです。

アクセスレイヤで一貫性のある VLAN ID と VLAN 名を使用します。一貫性のある ID と名前により整合性が向上し、ネットワーク運用がより効率的になります。

（注） VLAN 1 を使用しないでください。

（注）スイッチがコンバージドアクセスモードのワイヤレスコントローラとして動作する場合にのみ、ワイヤレスクライアントに VLAN 200 を使用します。

ip dhcp snooping vlan 10,11,12,100no ip dhcp snooping information option ip dhcp snooping ip dhcp snooping wireless bootp-broadcast enable

ip arp inspection vlan 10,11,100

port-channel load-balance src-dst-ip




IPv6 ファーストホップセキュリティポリシーの作成

ステップ 13 アップリンクインターフェイスでグローバル IPv6 セキュリティポリシーを作成して適用し、接続されたディストリビューションスイッチまたはルータで信頼性と役割を定義します。

ルータアドバタイズメントガードによるルータアドバタイズメントのブロック、および信頼できない送信元からの DHCP 応答は、IPv6 で特に頻繁に生じる問題からネットワークを保護するための簡単な方法です。

（注）エンドデバイスへのアクセスインターフェイスでは、ルータアドバタイズメントと IPv6 DHCP 応答を信頼できません。

次の設定例に、「有線ネットワークのアクセス制御」ワークフローで説明しているインターフェイスに適用されるグローバルポリシーの作成方法を示します。

vlan 10 name Datavlan 11 name Voicevlan 12 name Access_Pointsvlan 200 name Wireless_Client

ipv6 nd raguard policy endhost_ipv6_raguard device-role host!ipv6 nd raguard policy router_ipv6_raguard device-role router trusted-port

!ipv6 nd raguard policy switch_ipv6_raguard device-role switch trusted-port!ipv6 dhcp guard policy endhost_ipv6_dhcp_guard device-role client!ipv6 dhcp guard policy uplink_ipv6_dhcp_guard device-role server trusted-port




TFTP ブロックサイズの拡大

ステップ 14 TFTP ブロックサイズを大許容値の 8192 に増やします。

デフォルトでは、スイッチは TFTP ブロックサイズの小許容値である 512 を使用します。このグローバル値を増やすと、TFTP ファイル転送時間が大幅に短縮します。

スイッチスタックイメージへの自動更新のための新規メンバーの設定

ステップ 15 新しいスイッチメンバーがスイッチスタックで実行されている Cisco IOS バージョンに自動的に更新されるように、自動アップグレード機能を有効にします。

新しいメンバーが既存のスイッチスタックに追加されるとき、新しいメンバーの Cisco IOS バージョンは既存のメンバーの Cisco IOS バージョンと一致する必要があります。自動アップグレード機能により、新しいメンバーの追加時に、その新規メンバーを自動的に更新することができます。ただし、この機能は、デフォルトでは有効になっていません。

（注）スイッチスタックでは、Cisco IOS XE リリース 3.3.1 以降がインストールモードで実行されている必要があります。

自動アップグレード機能の詳細については、『Using the Auto-Upgrade feature on the Cisco Catalyst

3850』のドキュメントを参照してください。

ip tftp blocksize 8192

software auto-upgrade enable

https://supportforums.cisco.com/document/12067921/using-auto-upgrade-feature-cisco-catalyst-3850

https://supportforums.cisco.com/document/12067921/using-auto-upgrade-feature-cisco-catalyst-3850





アップリンクインターフェイス接続

このワークフローでは、スイッチまたはスイッチスタックをディストリビューションスイッチまたはルータに接続するイーサネットインターフェイスの設定方法を説明します。これらのインターフェイスはアップリンクインターフェイスです。このインターフェイスは、IP フォン、パーソナルコンピュータ、ワイヤレスアクセスポイント、プリンタ、IP カメラなどの非ネットワークエンドデバイスに接続するアクセスインターフェイスとは異なります。

スイッチインターフェイスの推奨設定は、アクセスレイヤのキャンパスまたはブランチに導入されたスイッチスタックに基づいています。

複数の物理スイッチを 1 つの論理スイッチにスタックする場合、アップリンクインターフェイスを物理メンバー上に設定し、アクティブなアップリンクインターフェイスがスイッチスタックメンバーで常に使用できるようにすることをお勧めします。

アップリンクインターフェイス接続の前提条件グローバルシステム設定ワークフローの説明に従って、ベストプラクティス設定が実行されていることを確認します。

アップリンクインターフェイス接続の制限 • 単一の EtherChannel グループでは、大で 8 個の物理リンクしかアクティブにできません。

• EtherChannel のすべてのポートは同じ VLAN に割り当てるか、またはトランクポートとして設定する必要があります。

• EtherChannel のすべてのインターフェイスは、同じタイプである必要があります。たとえば、ギガビットイーサネットインターフェイスは 10 Gbps インターフェイスと混在させることはできません。


設定値の確認


設定値の確認中断せずにこのワークフローの手順を進めることができるように、特定のスイッチ設定値を事前に確認しておくことをお勧めします。表 5 を印刷することをお勧めします。また、手順に従って設定を進める際に、列 B の値を列 C に記載した実際の値で置き換えてください。



表 5 アップリンク接続の値


アップリンクインターフェイス GigabitEthernet 1/1/1GigabitEthernet 1/1/2GigabitEthernet 2/1/1GigabitEthernet 2/1/2

データ VLAN 10

音声 VLAN 11


ワイヤレスクライアント VLAN 200

管理 VLAN ID 100

ダミーの VLAN 999

IPv6 ルータアドバタイズメントガードのポリシー名

switch_ipv6_raguard router_ipv6_raguard

IPv6 ルータアドバタイズメントガードのポリシー名

uplink_ipv6__quard

QoS サービスポリシーの input 名 AutoQos-4.0-Trust-Dscp-Input-Policy

QoS サービスポリシーの output 名 AutoQos-4.0-Output-Policy


ディストリビューションスイッチまたはディストリビューションルータへのアップリンクを持つ LAN アクセススイッチのトポロジ


ディストリビューションスイッチまたはディストリビューションルータへのアップリンクを持つ LAN アクセススイッチのトポロジ

次の図に、ディストリビューションスイッチまたはディストリビューションルータへのアップリンクを持つ LAN アクセススイッチのトポロジを示します。

図 6 ディストリビューションスイッチへのアップリンクを持つ LAN アクセススイッチのトポロジ



Desktop user

Printer

Wireless access



Data VLAN 10

Data VLAN 10



3919

35



アップリンクインターフェイス接続の設定


図 7 ディストリビューションルータ用のアップリンク

アップリンクインターフェイス接続の設定 • ルータまたはスイッチへのアップリンクインターフェイスを設定するための推奨事項

• アップリンク EtherChannel インターフェイスでの QoS の設定

• EtherChannel およびトランクとしてのアップリンクインターフェイスの設定

• アップリンク EtherChannel インターフェイスでのセキュリティ機能の設定

• ディストリビューションスイッチに接続するアップリンクインターフェイスのスパニングツリーの推奨事項

• アップリンクインターフェイス設定の確認

ルータまたはスイッチへのアップリンクインターフェイスを設定するための推奨事項

アップリンクインターフェイスを設定する場合、インターフェイスから上流に位置するルータまたはスイッチへ設定をガイドする以下の推奨事項に従ってください。

• スイッチスタックからディストリビューションスイッチへのアップリンク接続に、スイッチスタック上のすべてのアクセスインターフェイスに関連するトラフィックを伝送するための十分な帯域幅があることを確認します。

• EtherChannel を使用して、アップリンクインターフェイスに障害が発生した場合の復元力を向上させます。

• EtherChannel では、IEEE 802.3ad 標準規格に準拠する、Link Aggregation Control Protocol（LACP）アクティブ-アクティブモードを使用します。アクティブ-アクティブモードは、EtherChannel のスイッチスタックとディストリビューションスイッチサイドの両方が LACP アクティブモードで構成されている必要があることを意味します。




Printer

Wireless access



Data VLAN 10

Data VLAN 10



3919

36





• ディストリビューションスイッチへのバック接続には、スイッチスタック内の異なるスイッチのアップリンクポートを使用します。この設定により、スイッチスタックに単一の障害発生源が存在しなくなります。アップリンク接続の 1 つを所有するスタック内のスイッチが故障しても、ディストリビューションスイッチに接続するスイッチスタックの残りのメンバーからアップリンクポートに接続できます。

• デフォルトでは、すべてのインターフェイスが VLAN 1 に割り当てられます。トランクで VLAN 1 を設定しないでください。これは、ユーザ接続エラーが発生する可能性のあるトラフィックがトランク上に伝達されないようにするためです。

アップリンク EtherChannel インターフェイスでの QoS の設定

（注）この設定は、EtherChannel に追加する前の物理アップリンクインターフェイスに適用する必要があります。

ステップ 1 入力方向のインターフェイスでトラスト DiffServ コードポイント（DSCP）サービスポリシーを適用します。続いて、2P6Q3T ポリシーを適用し、出力方向のインターフェイスで適切な輻輳管理と出力帯域幅の分散が確実に行われるようにします。

上流に位置するスイッチまたはルータから受信したイーサネットトラフィックは、信頼された QoS を示すマーキングが付けられ、タイプオブサービス（ToS）が保証されるよう分類されます。

追加のサービスポリシーは、輻輳を軽減するために、トラフィックが送信された後に適用します。詳細については、以下を参照してください。「アクセスインターフェイスでの QoS の設定」（55 ページ）

interface GigabitEthernet 1/1/1 auto qos trust dscp service-policy input AutoQos-4.0-Trust-Dscp-input-Policy service-policy output 2P6Q3T exit



interface GigabitEthernet 2/1/2 auto qos trust dscp service-policy input AutoQos-4.0-Trust-Dscp-input-Policy service-policy output 2P6Q3T




EtherChannel およびトランクとしてのアップリンクインターフェイスの設定

ステップ 1 ネットワークトポロジに基づいて次のいずれかの設定を選択します。

• 「VSS または VPC ディストリビューションスイッチに接続するためのアップリンクインターフェイスの設定」

• 「ディストリビューションルータ（または、スタンドアロンディストリビューションスイッチ）に接続するためのアップリンクインターフェイスの設定」

VSS または VPC ディストリビューションスイッチに接続するためのアップリンクインターフェイスの設定

1. 分散仮想スイッチシステム（VSS）またはバーチャルポートチャネル（VPC）のスイッチの接続が同じ方法で設定され、EtherChannel が LACP アクティブモードで設定されていることを確認します。

2. 復元力を高めるために、アップリンクインターフェイスをスイッチスタックの異なるスイッチに配置するようにします。

図 6 に、VSS または VPC のディストリビューションスイッチペアに対する単一の EtherChannel 接続を持つスイッチスタックを示します。

VSS および VPC システムでは、ディストリビューションスイッチペア間で明示的な設定が使用されます。この設定により、これらのスイッチが EtherChannel に接続されたときに単一の論理スイッチとして動作できるようになります。EtherChannel は、VLAN 10、11、12、および 100 を持つトランクとして設定し、ネイティブ VLAN は 999 に設定します。

（注）スイッチスタックアップリンクインターフェイス設定は、スイッチスタックを VSS または VPC のディストリビューションスイッチペアに接続する場合にのみ使用してください。ディストリビューションスイッチペアを 2 つのスタンドアロンスイッチとして構成する場合は使用しないでください。




ディストリビューションルータ（または、スタンドアロンディストリビューションスイッチ）に接続するためのアップリンクインターフェイスの設定

（注）この設定は、スイッチスタックを 2 つのスタンドアロンディストリビューションスイッチ（VSS または VPC ペアとして設定されていないもの）に接続するときに使用します。ただし、スイッチ設定に spanning-tree portfast trunk コマンドは使用しないでください。

• 接続の VSS または VPC ディストリビューションルータサイドが同様に設定され、EtherChannel が LACP アクティブモードで設定されていることを確認します。

• 復元力を高めるために、設定されたアップリンクインターフェイスをスイッチスタックの異なるスイッチに配置します。

• ルータはスパニングツリーに参加しないので、spanning-tree portfast trunk コマンドを使用して、リンクが使用可能になったときに、アップリンクのスイッチサイドがスパニングツリーのフォワーディングステートに即座に遷移できるようにします。

interface GigabitEthernet 1/1/1 description connection to Distribution VSS or VPC switch 1 switchport mode trunk switchport trunk native vlan 999 switchport trunk allowed vlan 10,11,12,100,200 channel-protocol lacp channel-group 1 mode active! interface GigabitEthernet 2/1/1 description connection to Distribution VSS or VPC switch 1 switchport mode trunk switchport trunk native vlan 999 switchport trunk allowed vlan 10,11,12,100,200 channel-protocol lacp channel-group 1 mode active!interface GigabitEthernet 1/1/2 description connection to Distribution VSS or VPC switch 2 switchport mode trunk switchport trunk native vlan 999 switchport trunk allowed vlan 10,11,12,100,200 channel-protocol lacp channel-group 1 mode active! interface GigabitEthernet 2/1/2 description connection to Distribution VSS or VPC switch 2 switchport mode trunk switchport trunk native vlan 999 switchport trunk allowed vlan 10,11,12,100,200 channel-protocol lacp channel-group 1 mode active




図 7 に、各ディストリビューションルータに対して別々の EtherChannel を持つスイッチスタックを示します。各 EtherChannel は、VLAN 10、11、12、100、200、および 999 を持つトランクとして設定され、ネイティブ VLAN は 999 に設定されます。

ルータ 1 への EtherChannel 接続

ルータ 2 への EtherChannel 接続

interface GigabitEthernet 1/1/1 description connection to Distribution router 1 switchport mode trunk switchport trunk native vlan 999 switchport trunk allowed vlan 10,11,12,100,200 spanning-tree portfast trunk channel-protocol lacp channel-group 1 mode active interface GigabitEthernet 2/1/1 description connection to Distribution router 1 switchport mode trunk switchport trunk native vlan 999 switchport trunk allowed vlan 10,11,12,100,200 spanning-tree portfast trunk channel-protocol lacp channel-group 1 mode active

interface GigabitEthernet 1/1/2 description connection to Distribution router 2 switchport mode trunk switchport trunk native vlan 999 switchport trunk allowed vlan 10,11,12,100,200 spanning-tree portfast trunk channel-protocol lacp channel-group 2 mode active interface GigabitEthernet 2/1/2 description connection to Distribution router 2 switchport mode trunk switchport trunk native vlan 999 switchport trunk allowed vlan 10,11,12,100,200 spanning-tree portfast trunk channel-protocol lacp channel-group 2 mode active




アップリンク EtherChannel インターフェイスでのセキュリティ機能の設定

ステップ 2 アップリンク EtherChannel インターフェイスで IPv4 と IPv6 のセキュリティ機能を設定します。

ディストリビューションルータとスイッチへのアップリンク EtherChannel インターフェイスは、ルータアドバタイズメントと IP 応答を信頼するように設定する必要があります。これは、レイヤ 3 のルーティングおよびサーバ機能がディストリビューションスイッチおよびルータにあるためです。この手順は、信頼できない設定である、エンドデバイスへのアクセスインターフェイス設定（「アクセスインターフェイス接続」ワークフローで指定）とは異なります。

適用するポリシーは、「グローバルシステム設定」ワークフローで定義されています。

次の例では、VPC、VSS、またはスタンドアロンスイッチに接続するアップリンクインターフェイスにセキュリティが適用されます。

次の例では、ルータに接続するアップリンクインターフェイスにセキュリティを適用します。

ディストリビューションスイッチに接続するアップリンクインターフェイスのスパニングツリーの推奨事項

（注）この設定は、スイッチではなく、ディストリビューションスイッチで実行します。次の推奨事項は、ルータがディストリビューションレイヤで使用される場合は適用されません。

ステップ 3 ディストリビューションスイッチへのアップリンクインターフェイスで（図 6）、スイッチスタック VLAN のスパニングツリールートがディストリビューションスイッチペアに設定されていることを確認します。

VSS または VPC システムではなく、スタンドアロンディストリビューションスイッチを使用する場合は、次の推奨事項に従ってください。

• VLAN のスパニングツリールートが、2 つのスタンドアロンディストリビューションスイッチ間で均等に分散されるようにします。たとえば、一方のスイッチをすべての偶数 VLAN 用のスパニングツリールートとして設定し、もう一方のスイッチをすべての奇数

interface Port-channel 1 ip arp inspection trust ip snooping trust ipv6 nd raguard attach-policy switch_ipv6_raguard ipv6 guard attach-policy uplink_ipv6__guard

interface Port-channel 1 ip arp inspection trust ip snooping trust ipv6 nd raguard attach-policy router_ipv6_raguard ipv6 guard attach-policy uplink_ipv6__guard exit!interface Port-channel 2 ip arp inspection trust ip snooping trust ipv6 nd raguard attach-policy router_ipv6_raguard ipv6 guard attach-policy uplink_ipv6__guard




VLAN 用のスパニングツリールートとして設定します。この分散構成により、スパニングツリーで単一のアップリンクインターフェイス上のすべての VLAN がブロックされることがなくなり、アップリンクインターフェイス上のトラフィックフローが均一になります。

• スタンドアロンディストリビューションスイッチにある VLAN に、Hot Standby Router Protocol（HSRP）または Virtual Router Redundancy Protocol（VRRP）が設定されている場合、アクティブスイッチの VLAN 設定が、その VLAN のスパニングツリールートであるスイッチと同一になるようにします。

• arp timeout インターフェイス設定コマンドを設定して、トラフィックフローの非対称ルーティングにより発生するトラフィックのフラッディングを防止します。このコマンドは、ARP エージングタイマーを、ディストリビューションスイッチのレイヤ 3 VLAN インターフェイスの MAC アドレステーブルのエージングタイマーよりも小さい値に調整します。デフォルトでは、MAC アドレステーブルのエージングタイマーは、スイッチ上で 5 分（300 秒）に設定されます。

VSS のスパニングツリールートの設定の詳細については、『VSS Enabled Campus Design Guide』の「Spanning Tree Configuration Best Practice with VSS」の項を参照してください。

ディストリビューションスイッチのスパニングツリールートの詳細については、『Campus

Network for High Availability Design Guide』の「Spanning VLANs across Access Layer Switches」の項を参照してください。

スパニングツリールートの設定と非対称ルーティングの詳細については、『Campus Network for

High Availability Design Guide』の「Spanning VLANs Across Access Layer Switches」を参照してください。

アップリンクインターフェイス設定の確認

以下のコマンドを使用して、このワークフローの設定がアップリンクインターフェイスに正しく適用されているかどうかを確認します。

• show etherchannel summary

• show interface

• show interface trunk

• show cdp neighbors

• show auto qos interface

• show policy-map interface


http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Campus/HA_campus_DG/hacampusdg.html





スイッチのアップリンクインターフェイス接続の表示



ステップ 1 show running-configuration コマンドを入力して、スイッチのアップリンクインターフェイス接続を表示します。

Switch#sh int te2/1/3TenGigabitEthernet2/1/3 is up, line protocol is up (connected) Hardware is Ten Gigabit Ethernet, address is 381c.1a24.d537 (bia

381c.1a24.d537) MTU 1500 bytes, BW 10000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive not set Full-duplex, 10Gb/s, link type is auto, media type is SFP-10GBase-SR input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 0:00:19, output hang never Last clearing of "show interface" counters never Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 1000 bits/sec, 1 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 2596461 packets input, 426179392 bytes, 0 no buffer Received 2596461 broadcasts (2596461 multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 2596461 multicast, 0 pause input 0 input packets with dribble condition detected 303459 packets output, 45794121 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out





アクセスインターフェイス接続

このワークフローでは、スイッチのエンドデバイスに接続するイーサネットインターフェイスを設定する方法を説明します。エンドデバイスとは、IP フォン、パーソナルコンピュータ、ワイヤレスアクセスポイント、プリンタ、IP カメラなど、ネットワークに接続する非ネットワークデバイスです。エンドデバイスに接続するイーサネットインターフェイスは、アクセスインターフェイスと呼ばれます。アクセスインターフェイスは、他のネットワークデバイスにリンクするアップリンクインターフェイスとは異なります。

アクセスインターフェイスを設定するためのワークフローは、キャンパスネットワークやブランチネットワーク内のアクセスレイヤに導入されたスイッチに基づきます（図 8 を参照）。エンドデバイスに接続されているスイッチインターフェイスは、ネットワークセキュリティおよび QoS の処理が開始されるネットワークエッジです。

アクセスインターフェイス接続の前提条件 • グローバルシステム設定ワークフローで説明されている手順を実行します。このワークフ

ローには、アクセスインターフェイス設定に必要な設定情報が記載されています。

• 「アップリンク EtherChannel インターフェイスでの QoS の設定」ワークフローで説明されている手順を実行します。このワークフローには、エンドデバイスの入力サービスポリシーの作成方法が記載されています。

設定値の確認中断せずにこのセクションの手順を進めることができるように、特定のスイッチ設定値を事前に確認しておくことをお勧めします。表 6 を印刷することもお勧めします。また、手順に従って設定を進める際に、列 B の値を列 C に記載した実際の値で置き換えてください。



設定値の確認



表 6 アクセスインターフェイス接続の値


アクセスインターフェイスの範囲

interface range GigabitEthernet1/0/1-48

interface range GigabitEthernet2/0/1-48

データ VLAN 10

音声 VLAN 11


管理 VLAN ID 100

ワイヤレスクライアント VLAN

200

IPv6 ルータアドバタイズメントガードポリシーの名前

endhost_ipv6_raguard

IPv6 ルータアドバタイズメントガードポリシーの名前

endhost_ipv6__guard

QoS サービスポリシーの input 名

（「アップリンク EtherChannel インターフェイスでの QoS の設定」の項を参照）。

IPPhone-Input-Policy

Classify-Police-Input-Policy

Classify-Police-Input-Policy

Trust-Dscp-Input-Policy

SoftPhone-Input-Policy



Trust-COS-Input-Policy

No-Trust-Input-Policy

QoS サービスポリシーの output 名

2P6Q3T


エンドデバイスに接続する LAN アクセススイッチのトポロジ


エンドデバイスに接続する LAN アクセススイッチのトポロジ

次の図に、エンドデバイスへの LAN アクセススイッチのトポロジを示します。

図 8 エンドデバイスに接続する LAN アクセススイッチのトポロジ

アクセスインターフェイス接続の設定 • アクセスインターフェイスを設定するための推奨事項

• アクセスモードのインターフェイスの設定

• VLAN メンバーシップの設定

• インターフェイスの説明の作成

• アクセスインターフェイスのセキュリティ機能の設定

• アクセスインターフェイスでの QoS の設定

• アクセスインターフェイス設定の確認

アクセスインターフェイスを設定するための推奨事項

エンドデバイスの中には以下のアクセスインターフェイス設定を必要としないものもありますが、一貫性を保つために以下の設定を行うことをお勧めします。これらの設定は、ネットワークまたは接続されたエンドデバイスの動作に干渉せず、安全に使用できると判断されます。

アクセスインターフェイスを設定する際には、次のタスクを実行する必要があります。

• アクセスモードのインターフェイスの設定

• VLAN メンバーシップの設定


Desktop user

Printer

Wireless access point



Data VLAN 10


3916

89

Access point VLAN 12Data VLAN 10


アクセスインターフェイス接続の設定


• インターフェイスの説明の作成

• アクセスインターフェイスのセキュリティ機能の設定

• アクセスインターフェイスでの QoS の設定

• アクセスインターフェイス設定の確認

IP デバイストラッキング

注意 IP デバイストラッキング（IPDT）機能では、スイッチの通常の日常業務に影響を与えることがある副次的な悪影響が発生する可能性があります。

（注） IPDT の問題により、いくつかの症状がエンドデバイスで発生します。たとえば、Windows PC では、重複 IP アドレス 0.0.0.0 についてのエラーメッセージレポートが表示されます。

IPDT はグローバルに有効化されますが、グローバルに無効にすることはできません。IPDT を無効にするには、インターフェイスレベルで無効にする必要があります。

（注）ポートチャネルで IPDT を無効にするには、初に、ポートチャネルから物理イーサネットインターフェイスをアンバンドルする必要があります。

すべてのアクセスインターフェイスで IPDT を無効にすることをお勧めします。ただし、次のケースのように、機能で IPDT が明示的に有効化されている場合は除きます。

• IPDT は、Identity Services Engine（ISE）を使用した中央 Web 認証に必要です。

• Network Mobility Services は、位置をトラッキングするために Mobility Services Engine と通信します。

• デバイスセンサーは、接続されたエンドデバイスから入力される制御パケットを監視し、接続されているデバイスタイプを判別します。デバイスセンサーはデバイスタイプを決定するために複数のソース（IPDT など）を使用します。デバイスセンサーは、Auto Smartports や AutoConf など、その他の機能に不可欠です。

• Auto Smartports と AutoConf はデバイスセンサーのクライアントであるため、間接的に影響を受けます。デバイスセンサー機能は、接続されたデバイスタイプの検出に IPDT を使用します。

• IPDT が無効な場合、Address Resolution Protocol（ARP）スヌーピングが影響を受けます。

インターフェイスレベルで IPDT を無効にするための推奨方法

または、次の方法を使用できます。

interface GigabitEthernet1/0/1|

nmsp attach suppress

interface GigabitEthernet1/0/1|

ip device tracking maximum 0




アクセスモードのインターフェイスの設定

ステップ 1 switchport host コマンドを使用して、スイッチ上でエンドデバイス用の以下の設定を行います。

• 静的アクセスモード（ネゴシエーションなしの単一 VLAN モード）用のアクセスインターフェイスを設定します。

• Spanning Tree PortFast（STPF）用のインターフェイスを設定します。STPF により、インターフェイスが転送モードに移行するための所要時間が短縮されます。他のブリッジングデバイス（イーサネットスイッチ）に接続しないインターフェイスでは STPF を推奨します。

スイッチ上のイーサネットインターフェイスのデフォルトの管理モードは dynamic auto です。ダイナミックモードでは、リンク側のネットワークデバイスがトランクになるためのネゴシエーションを開始する（「dynamic desirable」管理モード）場合に、インターフェイスはトランクモードになるためのネゴシエーションを行います。

VLAN メンバーシップの設定

ステップ 2 音声およびデータトラフィック用の VLAN を設定します。

インターフェイスの VLAN 設定は、使用しているエンドデバイスによって異なります。

• 一般的に、IP フォン、IP カメラ、およびアクセスポイントは別個の VLAN に設定されます。

• VLAN 10 はデータ VLAN として、VLAN 11 は音声 VLAN としてそれぞれ定義されます。

推奨事項：データおよび音声用に VLAN 1 を使用しないでください。VLAN 1 は 3850 のデフォルトの VLAN です。この VLAN は、経験豊富なネットワーク担当者によって詳しく解説されており、十分に理解されています。そのため、VLAN 1 は攻撃を受ける可能性が高くなります。イーサネットスイッチングに関して、従来より、VLAN ID を VLAN1 以外の値に変更することを推奨しています。

インターフェイスの説明の作成

ステップ 3 エンドデバイスのタイプを特定するためにインターフェイスの説明を作成します。

ヒントインターフェイスの説明を作成する際、インターフェイスの長いリストを素早くスキャンして、ネットワーク内でのそれらの使用方法を確認できます。

switchport access vlan 10 switchport voice vlan 11

description IP Phone




アクセスインターフェイスのセキュリティ機能の設定

ステップ 4 ポートセキュリティ機能により、悪意のあるエンドデバイスや問題のあるエンドデバイスからネットワークを保護します。

ポートセキュリティの主な目的は、エンドデバイスの送信元 MAC アドレスが多すぎることによりスイッチが過負荷になることを防ぐことです。ポートセキュリティは、接続されたネットワークデバイスで記憶される MAC アドレスを制御します。ポートセキュリティは、記憶される MAC アドレスの数、それらが記憶される期間、および記憶される MAC アドレスの数が多すぎる場合に発生する動作を制御します。

MAC アドレスの制限数は 11 です。エンドデバイスの送信元 MAC アドレス数が 11 を超えると、超過後の送信元 MAC アドレスでのスイッチへの入力トラフィックは廃棄されます。

（注）ポートセキュリティが有効になっているインターフェイスに記憶される MAC アドレスは、ダイナミック MAC アドレステーブルには表示されません。これらは静的 MAC アドレステーブルに表示されます。

ステップ 5 インターフェイスで、IP ARP インスペクションおよびスヌーピング（DHCP、IGMP など）を 100 p/s に設定します（100 p/s を超える入力 ARP パケットは通常のパケットではなく、悪意があると見なされます。これらのパケットは廃棄され、syslog メッセージが生成されます）。

ステップ 6 インターフェイスで IP アドレススプーフィングを防止するように IP ソースガードを設定します。

ステップ 7 インターフェイス上のブロードキャストパケットおよびマルチキャストパケットに対してストーム制御を有効化することにより、ブロードキャストパケットやマルチキャストパケットのフラッディングからネットワークを保護します。

switchport port-security maximum 11 switchport port-security switchport port-security aging time 2 switchport port-security aging type inactivity switchport port-security violation restrict

ip arp inspection limit rate 100 ip snoopping limit rate 100

ip verify source

storm-control broadcast level pps 1k

storm-control multicast level pps 2k

storm-control action trap

switchport block unicast




設定されたレベルを超えると、スイッチは SNMP トラップを送信します。インターフェイスは無効状態にはなりません。

ユニキャストパケットは出力トラフィックでブロックされますが、入力トラフィックではブロックされません。スイッチは、エンドデバイスに送られないように不明なユニキャストパケットを廃棄し、エンドデバイス宛てのパケットのみ送信されるようにします。

ステップ 8 インターフェイス上で IPv6 セキュリティを設定し、エンドデバイスが IPv6 ルータアドバタイズメントや IPv6 応答を送信しないようにすることで、悪意のある操作や予期しない操作からエンドデバイスを保護します。

適用されるポリシーは、「グローバルシステム設定」ワークフローで定義されます。

アクセスインターフェイスでの QoS の設定

Quality of Service（QoS）を使用すると、特定のトラフィックを他のトラフィックタイプよりも優先的に処理できます。QoS を使用しなかった場合、スイッチはパケットの内容やサイズに関係なく、各パケットにベストエフォート型のサービスを提供します。信頼性、遅延限度、またはスループットに関して保証することなく、スイッチはパケットを送信します。

スイッチの Auto QoS により、さまざまなエンドデバイスの複数のサービスポリシーが生成されます。生成されるサービスポリシーはエンドデバイスのタイプによって異なります。

ステップ 9 単一のアクセスインターフェイスにサービスポリシーを適用します。

スイッチは、アクセスに必要なモジュラ QoS コマンドラインインターフェイス（MQC）サービスポリシーを自動的に生成します。

次の例に、サービスポリシー設定の一部を示します。

ステップ 10 入力と出力のサービスポリシーを適用します。

エンドデバイス固有の設定にマークを付けて、エンドデバイスに推奨されるサービスポリシーが分かるようにします。

アクセスインターフェイス設定の確認

この項では、このワークフローの設定がスイッチに正しく適用されていることを確認するために使用するコマンドについて説明します。

ステップ 11 アクセスインターフェイスの動作設定を確認するには、show running-configuration コマンドを使用します。

ipv6 nd raguard attach-policy endhost_ipv6_raguard

ipv6 guard attach-policy endhost_ipv6__guard

auto qos voip cisco-phone service-policy input AutoQos-4.0-CiscoPhone-Input-Policy service-policy output 2P6Q3T




インターフェイスでストーム制御が設定されていることを確認するには、show storm-control コマンドを使用します。

インターフェイスでスヌーピングが設定されていることを確認するには、show ip snooping コマンドを使用します。

show storm-controlKey: U - Unicast, B - Broadcast, M - MulticastInterface Filter State Upper Lower Current Action Type--------- ------------- ----------- ----------- ---------- --------- ----Gi1/0/1 Link Down 1k pps 1k pps 0 pps Trap B

Gi1/0/1 Link Down 2k pps 2k pps 0 pps Trap M

Gi1/0/2 Link Down 1k pps 1k pps 0 pps Trap B






show ip snooping Switch snooping is enabledSwitch gleaning is disabled snooping is configured on following VLANs:10-13,100 snooping is operational on following VLANs:10-13,100 snooping is configured on the following L3 Interfaces:

Insertion of option 82 is disabled circuit-id default format: vlan-mod-port remote-id: 2037.0653.c800 (MAC)Option 82 on untrusted port is not allowedVerification of hwaddr field is enabledVerification of giaddr field is enabled snooping trust/rate is configured on the following Interfaces:

Interface Trusted Allow option Rate limit (pps)----------------------- ------- ------------ ---------------- GigabitEthernet1/0/1 no no 100 Custom circuit-ids:GigabitEthernet1/0/2 no no 100 Custom circuit-ids:GigabitEthernet1/0/3 no no 100 Custom circuit-ids:GigabitEthernet1/0/4 no no 100 Custom circuit-ids:




IP ソースガードが設定され、動作していることを確認するには、show ip verify source コマンドを使用します。

アクセスインターフェイスでポートセキュリティが設定されていることを確認するには、show port-security コマンドを使用します。

アクセスインターフェイスのレートおよび untrusted（信頼できない）状態を確認するには、show ip arp inspection interfaces コマンドを使用します。

アクセスインターフェイスに特定のポリシーを持つルータアドバタイズメントガードが設定されていることを確認するには、show ipv6 nd raguard policy コマンドを使用します。

show ip verify source Interface Filter-type Filter-mode IP-address Mac-address Vlan--------- ----------- ----------- --------------- ----------------- ----Gi1/0/1 ip active deny-all 10-11Gi1/0/2 ip active deny-all 10Gi1/0/3 ip active deny-all 12Gi1/0/4 ip active deny-all 10

show port-securitySecure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count)--------------------------------------------------------------------------- Gi1/0/1 11 1 0 Restrict Gi1/0/2 11 1 0 Restrict Gi1/0/3 11 1 0 Restrict Gi1/0/4 11 1 0 Restrict---------------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0Max Addresses limit in System (excluding one mac per port) : 4096

show ip arp inspection interfaces

Interface Trust State Rate (pps) Burst Interval --------------- ----------- ---------- -------------- Gi1/0/1 Untrusted 100 1 Gi1/0/2 Untrusted 100 1 Gi1/0/3 Untrusted 100 1 Gi1/0/4 Untrusted 100 1

show ipv6 nd raguard policy endhost_ipv6_raguardPolicy endhost_ipv6_raguard configuration: device-role hostPolicy endhost_ipv6_raguard is applied on the following targets: Target Type Policy Feature Target rangeGi1/0/1 PORT endhost_ipv6_raguard RA guard vlan allGi1/0/2 PORT endhost_ipv6_raguard RA guard vlan allGi1/0/3 PORT endhost_ipv6_raguard RA guard vlan allGi1/0/4 PORT endhost_ipv6_raguard RA guard vlan all


アクセスインターフェイス接続の実行コンフィギュレーションの表示


アクセスインターフェイスのガードを確認するには、show ipv6 guard policy コマンドを使用します。

アクセスインターフェイスに適用される入力および出力のサービスポリシーを確認するには、show policy-map interface コマンドを使用します。


ステップ 1 このワークフローの初に説明した各エンドデバイスタイプの推奨設定を表示します。

ヒントスイッチ上の複数のインターフェイスで同じインターフェイス設定を使用するには、interface range コマンドを使用します。このコマンドを使用すると、コマンドを 1 回発行し、それを多数のインターフェイスに適用することができます。アクセスレイヤのほとんどのインターフェイスでは同一の設定が使用されるため、このコマンドを使用することにより、設定に費やす時間を大幅に節約できます。たとえば、次のコマンドでは、48 個のすべてのインターフェイス（GigabitEthernet 1/0/1 から GigabitEthernet 1/0/48）にコマンドを同時に入力することができます。

.

（注）すべてのスイッチスタックメンバーに interface range コマンドを適用します。この range コマンドは、1 つのスイッチメンバー上のすべてのインターフェイスに対して有効です。メンバーごとに range コマンドを入力します。

show ipv6 guard policy endhost_ipv6__guard guard policy: endhost_ipv6__guard Device Role: client Target: Gi1/0/1 Gi1/0/2 Gi1/0/3 Gi1/0/4

show policy-map interface GigabitEthernet1/0/1 GigabitEthernet1/0/1

Service-policy input: AutoQos-4.0-CiscoPhone-Input-Policy

<省略> Service-policy output: AutoQos-4.0-Output-Policy

interface range GigabitEthernet 1/0/1-1/0/48




IP フォンのアクセスインターフェイス

次に、IP フォンのアクセスインターフェイス情報を表示する例を示します。

show running-configuration...

Description IP Phoneswitchport hostswitchport access vlan 10switchport voice vlan 11switchport port-security maximum 11switchport port-security switchport port-security aging time 2switchport port-security aging type inactivityswitchport port-security violation restrictip arp inspection limit rate 100ip snooping limit rate 100 ip verify sourceswitchport block unicaststorm-control broadcast level pps 1kstorm-control multicast level pps 2kstorm-control action trapipv6 nd raguard attach-policy endhost_ipv6_raguardipv6 guard attach-policy endhost_ipv6__guardauto qos voip cisco-phoneservice-policy input AutoQos-4.0-CiscoPhone-Input-Policyservice-policy output 2P6Q3T




パーソナルコンピュータアクセスインターフェイス

次に、パーソナルコンピュータのアクセスインターフェイス情報を表示する例を示します。

Lightweight アクセスポイントのアクセスインターフェイス

次に、Lightweight アクセスポイントのアクセスインターフェイス情報を表示する例を示します。

show running-configuration...Description Personal Computerswitchport hostswitchport access vlan 10switchport port-security maximum 11switchport port-security switchport port-security aging time 2switchport port-security aging type inactivityswitchport port-security violation restrictip arp inspection limit rate 100ip snooping limit rate 100 ip verify sourceswitchport block unicaststorm-control broadcast level pps 1kstorm-control multicast level pps 2kstorm-control action trapipv6 nd raguard attach-policy endhost_ipv6_raguardipv6 guard attach-policy endhost_ipv6__guardauto qos trust dscpservice-policy input AutoQos-4.0-Classify-Input-Policyservice-policy output 2P6Q3T

show running-configuration...Description Lightweight Access Pointswitchport hostswitchport access vlan 12switchport port-security maximum 11switchport port-security switchport port-security aging time 2switchport port-security aging type inactivityswitchport port-security violation restrictip snooping limit rate 100 switchport block unicaststorm-control broadcast level pps 1kstorm-control multicast level pps 2kstorm-control action trap




プリンタのアクセスインターフェイス

次に、プリンタのアクセスインターフェイス情報を表示する例を示します。

show running-configuration...Description Printerswitchport hostswitchport access vlan 10switchport port-security maximum 11switchport port-security switchport port-security aging time 2switchport port-security aging type inactivityswitchport port-security violation restrictip arp inspection limit rate 100ip snooping limit rate 100 ip verify sourceswitchport block unicaststorm-control broadcast level pps 1kstorm-control multicast level pps 2kstorm-control action trapipv6 nd raguard attach-policy endhost_ipv6_raguardipv6 guard attach-policy endhost_ipv6__guardauto qos classify police service-policy input AutoQos-4.0-Classify-Police-Input-Policyservice-policy output 2P6Q3T





有線ネットワークのアクセス制御

このワークフローでは、スイッチスタックネットワークのエッジでアイデンティティに基づくセキュアなアクセス制御を提供するために、IEEE 802.1x ポートベースの認証を導入する際の段階的アプローチについて説明します。

有線ネットワークのアクセス制御の前提条件 • IEEE 802.1x 認証をグローバルに有効にする前に、すべてのインターフェイスから

EtherChannel 設定を削除します。

• RADIUS サーバ通信に対するオーセンティケータ（スイッチ）を定義します。

• エンドデバイス（サプリカント）を正しく認証するために、Extensible Authentication Protocol（EAP）over LAN（EAPoL）メッセージングを開始します。

• 要件に基づいて、適切な EAP 方式を選択します。詳細については、『Wired 802.1x Deployment

Guide』を参照してください。

• 『Certificate Autoenrollment in Windows Server 2003』の説明に従って、サプリカントの証明書の登録プロセスを自動化します。

• エンドポイント（プリンタなど）でのマシン認証を有効にして、ユーザログインがサポートされるようにします。

有線ネットワークのアクセス制御の制限 • EtherChannel のメンバーである IEEE 802.1x ポートは設定できません。

• スイッチドポートアナライザ（SPAN）およびリモート SPAN（RSPAN）を使用して設定された宛先ポートで IEEE 802.1x 認証を有効にすることはできません。

• トランクポートまたはダイナミックポートで IEEE 802.1x ポートを有効にすることはできません。ダイナミックポートは、ネイバーとネゴシエートして、トランクポートになることができます。

• IEEE 802.1x とともにポートセキュリティを使用しないでください。IEEE 802.1x が有効な場合、ポートセキュリティが重複し、IEEE 802.1x の機能を妨げる可能性があります。

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/Dot1X_Deployment/Dot1x_Dep_Guide.html#wp387066


http://technet.microsoft.com/en-us/library/cc778954.aspx#EFD


設定値の確認


設定値の確認中断せずに手順を進めることができるように、特定のスイッチ設定値を事前に確認しておくことをお勧めします。表 7 を印刷することをお勧めします。また、手順に従って設定を進める際に、列 B の値を列 C に記載した実際の値で置き換えてください。

（注）認証サーバの設定に応じて、認証ポートとアカウンティングポートに、それぞれ 1812 と 1813 の値を割り当てることができます。



表 7 有線ネットワークのセキュアなアクセス制御の値


インターフェイス範囲 GigabitEthernet 1/0/1-1/0/24

RADIUS サーバ AuthServer

RADIUS サーバの IPv4 アドレス 192.168.254.14

認証ポート 1656

Acct ポート 1646

RADIUS サーバの暗号キー cisco123

データ VLAN 10

音声 VLAN 11

認証サーバデッド VLAN 20

拡張 IP ACL LowImpactSecurity-acl


IEEE 802.1x のセキュアなアクセス制御を使用した LAN アクセススイッチのトポロジ


IEEE 802.1x のセキュアなアクセス制御を使用した LAN アクセススイッチのトポロジ

図 9 IEEE 802.1x のセキュアなアクセス制御を使用した LAN アクセススイッチのトポロジ

有線 LAN 上での 802.1x を使用したアクセスの保護次のタスクをリストされた順序で実行します。

• 有線 LAN でセキュリティを設定するための推奨事項

• 共通の有線セキュリティアクセスのプロビジョニング

• モニタモードでのプロビジョニング

• ローインパクトモードでのプロビジョニング

• ハイインパクトモードでのプロビジョニング

有線 LAN でセキュリティを設定するための推奨事項

IEEE 802.1x は、ユーザおよびデバイスのアイデンティティに基づいてネットワーク接続を許可または拒否します。IEEE 802.1x は、ユーザ名と、スイッチの IP アドレス、MAC アドレス、ポートとの間のリンクを提供します。また、エンドデバイスまたはユーザのアイデンティティに基づいてカスタマイズされたネットワークアクセスを提供します。

IEEE 802.1x の主なコンポーネントは次のとおりです。

• サプリカント（エンドデバイス）

• オーセンティケータ（スイッチ）

• 認証サーバ（RADIUS または ISE）


Desktop user

Printer



Data VLAN 10


3917

03

Data VLAN 10

AuthenticationServer


有線 LAN 上での 802.1x を使用したアクセスの保護


有線スイッチネットワークへのセキュアなアクセスを提供するには、まず、共通の有線セキュリティ機能をプロビジョニングすることをお勧めします。IEEE 802.1x 認証と MAC 認証バイパス（MAB）の段階的な導入（モニタモードから高セキュリティモードへ）により、セキュリティの各モードをプロビジョニングします。MAC 認証バイパス（MAB）は、エンドデバイス（サプリカント）の MAC アドレスを使用してアクセスに関する決定を行う機能です。

（注）段階的導入の各フェーズは、時間をかけてネットワークが次のセキュリティモードへの遷移の準備ができたことを確認した後、実施します。

表 8 に、ネットワークアクセスの影響が限定的な IEEE 802.1x の推奨される導入シナリオの説明を示します。モニタモード中にネットワークインフラストラクチャをテストします。問題がないことを確認したら、ローインパクトモードに遷移し、一部のネットワークトラフィックがパススルーできるようにします。後に、すべてのエンドデバイスからの認証を必要とする高セキュリティモードに遷移します。

参照先

有線モードの導入の詳細については、『TrustSec Phased Deployment Configuration Guide』を参照してください。

IEEE 802.1x プロトコルの詳細については、『Wired 802.1X Deployment Guide』の「8021X Protocols」の項を参照してください。

表 8 IEEE 802.1x 導入モード

モニタモードローインパクトモード高セキュリティモード（クローズモード）

• 許可されていないサプリカントの場合はオープンアクセス。

• 許可されていないサプリカントの場合は制限付きアクセス。

• 許可されていないサプリカントの場合はアクセスなし。

• 広範囲にわたるネットワーク可視性。

• ダイナミック ACL を使用した差別化されたアクセス制御。

• サプリカントへの大きな影響。

• ネットワークのモニタ。 • エンドデバイスへの限定的な影響。

• エンドデバイスへの影響なし。

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/Phased_Deploy/Phased_Dep_Guide.html#wp392148





共通の有線セキュリティアクセスのプロビジョニング

IEEE 802.1x ポートのホストモードでは、ポート上で複数のクライアントが認証可能かどうかが判断され、認証の実行方法が決定されます。

特に明記しない限り、セキュリティ強化のために、単一ホストモードではなく、複数認証モードを設定することをお勧めします。

• 複数認証モードは、単一のスイッチポートを介してネットワークにアクセスするすべてのデバイス（たとえば、IP フォンを介して接続されるデバイスなど）を認証します。

• 複数認証モードは、ネットワークへのアクセスを試みるすべてのデバイスを認証するため、複数ホストモード（このモードも複数のデータデバイスを許可します）よりも安全です。

ステップ 1 スイッチ上で show run コマンドを実行して、アクセスインターフェイス接続がセットアップされていることを確認します。

次に、IP フォンに接続されたインターフェイスに対して「アクセスインターフェイス接続」ワークフロー設定を実行した後に得られる出力を示します。

表 9 IEEE 802.1x ポートのホストモードのタイプ

単一ホスト複数ホストマルチドメイン複数認証

IEEE 802.1x が有効化されたスイッチポートに対して 1 つのエンドデバイスのみ許可します。

初の MAC アドレスを認証した後、他の MAC アドレスは無制限に許可します。

ポート上で 2 つのエンドポイント（データエンドポイントと音声エンドポイントをそれぞれ 1 つずつ）を許可します。

音声エンドデバイスは 1 つしか許可しませんが、データエンドデバイスは複数許可します。このモードでは、すべてのデバイスが認証されます。




ステップ 2 （オプション）過度に長いタイムアウトが確認された場合、IEEE 802.1x タイマーと変数を微調整します。タイマーと変数は、スイッチの IEEE 802.1x オーセンティケータプロセスを制御するために重要です。

IEEE 802.1x タイマーおよび変数のデフォルト設定は、必要な場合以外は変更しないことをお勧めします。

インターフェイスコンフィギュレーションモードで開始します。

ステップ 3 適切なインターフェイスにタイマーを設定します。

エンドデバイスの機能が認証中に停止すると、これらのタイマーと変数により IEEE 802.1x オーセンティケータの動作が制御されます。


Switch#show running-config int Te3/0/12Building configuration... Current configuration : 766 bytes!interface TenGigabitEthernet3/0/12switchport mode accessswitchport block unicastswitchport voice vlan 2switchport port-security maximum 3switchport port-security maximum 2 vlan accessswitchport port-security violation restrictswitchport port-security aging time 1switchport port-security aging type inactivityswitchport port-securityload-interval 30trust device cisco-phonestorm-control broadcast level pps 1kstorm-control multicast level pps 2kstorm-control action trapauto qos voip cisco-phone macro description CISCO_PHONE_EVENTspanning-tree portfastspanning-tree bpduguard enableservice-policy input AutoQos-4.0-CiscoPhone-Input-Policyservice-policy output AutoQos-4.0-Output-Policyip dhcp snooping limit rate 15end

dot1x timeout tx-period 30 dot1x max-reauth-req 2 authentication timer restart 60 dot1x timeout quiet-period 60

dot1x timeout supp-timeout 30 dot1x max-req 2




参照先

IEEE 802.1x タイマーと変数の詳細については、『Wired 802.1x Deployment Guide』を参照してください。

ステップ 4 IEEE 802.1x 認証をサポートしないサプリカントを認証するように、インターフェイスコンフィギュレーションモードで MAC 認証バイパス（MAB）を有効化します。

MAB を有効にすると、スイッチはアイデンティティとしてデバイスの MAC アドレスを使用します。認証には、ネットワークアクセスを許可された MAC アドレスのデータベースが使用されます。

802.1x 非対応デバイスをサポートするため MAB を設定することをお勧めします。MAB は、ACL によるアクセス制限が原因でエンドデバイスが IEEE 802.1x 認証に失敗したときの代替認証方式としても使用されます。


ステップ 5 該当するインターフェイスに IEEE 802.1x を設定します。

ポートで IEEE 802.1x パラメータを設定すると、dot1x オーセンティケータがポート上に自動的に作成されます。その場合、dot1x 認証がレガシー構成で機能するように、dot1x pae authenticator コマンドも設定する必要があります。


ステップ 6 アクセス制御と IEEE 802.1x 認証を有効にします。

グローバルコンフィギュレーションモードで開始します。

ステップ 7 RADIUS サーバは、認証およびアカウンティングサーバの IP アドレス、UDP ポート、およびサーバの暗号キーを使用して設定します。

mab

authentication port-control auto dot1x pae authenticator

!Enable new access control!aaa new-model!!Set authentication list for 802.1x!aaa authentication dot1x default group radius!!Enable 802.1x authentication!dot1x system-auth-control

radius server AuthServeraddress ipv4 192.168.254.14 auth-port 1656 acct-port 1646key cisco123

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/Dot1X_Deployment/Dot1x_Dep_Guide.html




モニタモードでのプロビジョニング

モニタモードは、スイッチ（オーセンティケータ）へのエンドデバイス（サプリカント）のアクセスに影響を与えずに、IEEE 802.1x 認証を有効化します。このモードでは、ネットワークに接続されたすべてのデバイスについて、次の種類のデータを継続的に収集することができます。

• IEEE 802.1x 対応デバイスのリスト

• IEEE 802.1x に対応していないデバイスのリスト

• 適切なクレデンシャルを持つデバイス

• 不適切なクレデンシャルを持つデバイス

• 有効な MAC アドレスのリスト（MAB 用）

• 認識できないか無効な MAC アドレスのリスト（MAB 用）

IEEE 802.1x を使用してセキュアなアクセスを提供するための第 1 フェーズのアプローチとして、モニタモードを推奨します。このモードではエンドデバイスとユーザ（サプリカント）を認証しますが、認証に失敗してもトラフィックは影響を受けません。

モニタモードでは、IEEE 802.1x および MAB が有効ですが、すべてのユーザにアクセスが許可されます。

ステップ 8 制御ポートにホストがアクセスできるようにするには、複数認証ホストモードおよびオープン認証を設定します。

ステップ 9 ポートセキュリティ機能を無効にします。IEEE 802.1x が有効な場合、ポートセキュリティが重複し、IEEE 802.1x 機能を妨げる可能性があるためです。


ローインパクトモードでのプロビジョニング

ネットワークのセキュリティ確保のための次の導入フェーズは、ローインパクトモードでのプロビジョニングです。このモードでは、認証済みユーザに差別化されたネットワークアクセスを許可すると同時に、すべてのユーザが基本的なネットワークサービスを使用できるようにします。

（注） IEEE 802.1x ポートでの複数認証モードの設定の詳細については、「共通の有線セキュリティアクセスのプロビジョニング」を参照してください。

authentication host-mode multi-authauthentication open

no switchport port-security no switchport port-security violation no switchport port-security aging type no switchport port-security aging time no switchport port-security maximum




ネットワークアクセスの初期設定への影響を小化し、ローインパクトモードのプロビジョニングにより、認証済みユーザに差別化されたネットワークアクセスを許可します。ローインパクトモードでは、認証はオープン認証であり、ネットワークアクセスは制限が緩和されたポート ACL を使用して行われます。認証後に、エンドデバイスへの完全なネットワークアクセスを許可するために dACL が使用されます。

ステップ 10 許可されたユーザが認証された後、無許可のユーザがインターフェイスにアクセスしないようマルチドメインモードを設定します。

ステップ 11 基本的なネットワークアクセスを許可するためのスタティック ACL を追加します。

設定用アクセスおよび Configured Trust List（CTL：設定された信頼リスト）を許可する制限されたポート ACL を設定します。


ハイインパクトモードでのプロビジョニング有線ネットワークのセキュリティ確保の終導入フェーズは、ハイインパクトモードです。

このフェーズでは、ローインパクトモードより高度なセキュリティを提供し、差別化されたアクセスを可能にするためのダイナミック VLAN を使用してデフォルトの IEEE 802.1x 認証モードを設定することで、ネットワークポート上で厳密なアクセス制御をプロビジョニングします。

ステップ 12 複数認証ホストモードおよびオープン認証を設定します。

ステップ 13 この導入フェーズでは RADIUS を無効にします。

ハイインパクトモードでは、認証に失敗したデバイスとユーザはネットワークにアクセスできません。モニタモードとローインパクトモードで、認証に失敗したデバイスおよびユーザアカウントを特定し、認証の問題を解決することをお勧めします。エンドデバイス（ネットワークアクセスが必要）の認証は成功し、アクセスが不要なデバイスとユーザの認証は失敗することが確認できた段階で、ハイインパクトモードに移行します。


authentication host-mode multi-domain

ip access-list extended LowImpactSecurity-acl permit tcp any any established permit udp any any eq bootps permit udp any any eq tftp permit udp any any eq domain exitinterface GigabitEthernet1/0/1 ip access-group LowImpactSecurity-acl in

authentication host-mode multi-authauthentication open




ステップ 14 認証サーバが使用できない状況に対応するために、クリティカル VLAN 割り当てを行います。

次のコマンドは、RADIUS サーバが使用できない場合に、新規および既存の両方のホストをクリティカル VLAN に送信するようポートを設定する際に使用します。マルチ認証（multiauth）モードのポートの場合、またはポートの音声ドメインが MDA モードである場合に、このコマンドを使用します。

ステップ 15 認証サーバが応答しない場合、音声を許可します。

interface GigabitEthernet 1/0/1-1/0/24 no authentication open

authentication event server dead action authorize vlan 20

authentication dead action authorize voice


プロビジョニングモードの実行コンフィギュレーションの表示



ステップ 1 show running-configuration コマンドを入力して、スイッチのプロビジョニングモードを表示します。

図 10 モニタモードのプロビジョニングに対する show running-configuration コマンド

show running-configuration

hostname 3850-access-Bld1Flr1!!aaa new-model!aaa authentication dot1x default group radius!ip device tracking!!dot1x system-auth-control!!interface GigabitEthernet1/0/1 switchport access vlan 10 switchport mode accessswitchport block unicast switchport voice vlan 11 ip arp inspection limit rate 100 trust device cisco-phone authentication host-mode multi-auth authentication open authentication port-control auto mab dot1x pae authenticator storm-control broadcast level pps 1k storm-control multicast level pps 2k storm-control action trap Ipv6 nd raguard attach-policy endhost_ipv6_raguard Ipv6 guard attach-policy endhost_ipv6__guard auto qos voip cisco-phone service-policy input AutoQos-4.0-CiscoPhone-Input-Policy service-policy output AutoQos-4.0-Output-Policy ip verify source ip snooping limit rate 100!!radius server AuthServer address ipv4 192.168.254.14 auth-port 1645 acct-port 1646 key cisco123!




図 11 ローインパクトモードのプロビジョニングに対する show running-configuration コマンド


hostname 3850-access-Bld1Flr1!!aaa new-model!aaa authentication dot1x default group radius!ip device tracking!!dot1x system-auth-control!!aaa session-id commoninterface GigabitEthernet1/0/1 switchport access vlan 10 switchport mode accessswitchport block unicast switchport voice vlan 11 ip arp inspection limit rate 100 trust device cisco-phone ip access-group LowImpactSecurity-acl in authentication event fail action next-method authentication host-mode multi-domain authentication open authentication port-control auto mab dot1x pae authenticatorstorm-control broadcast level pps 1k storm-control multicast level pps 2k storm-control action trap Ipv6 nd raguard attach-policy endhost_ipv6_raguard Ipv6 guard attach-policy endhost_ipv6__guard auto qos voip cisco-phone service-policy input AutoQos-4.0-CiscoPhone-Input-Policy service-policy output AutoQos-4.0-Output-Policy ip verify source ip snooping limit rate 100!! ip access-group LowImpactSecurity-acl in permit tcp any any established permit udp any any eq bootps permit udp any any eq tftp permit udp any any eq domain!radius server AuthServer address ipv4 192.168.254.14 auth-port 1645 acct-port 1646 key cisco123




図 12 ハイインパクトモードのプロビジョニングに対する show running-configuration コマンド


hostname 3850-access-Bld1Flr1!!aaa new-model!aaa authentication dot1x default group radius!ip device tracking!!dot1x system-auth-control!!aaa session-id commoninterface GigabitEthernet1/0/1 switchport access vlan 10 switchport mode accessswitchport block unicast switchport voice vlan 11 ip arp inspection limit rate 100 trust device cisco-phone authentication event server dead action authorize vlan 20 authentication event server dead action authorize voice authentication host-mode multi-auth authentication port-control auto mab dot1x pae authenticator storm-control broadcast level pps 1k storm-control multicast level pps 2k storm-control action trap Ipv6 nd raguard attach-policy endhost_ipv6_raguard Ipv6 guard attach-policy endhost_ipv6__guard auto qos voip cisco-phone service-policy input AutoQos-4.0-CiscoPhone-Input-Policy service-policy output AutoQos-4.0-Output-Policy ip verify source ip snooping limit rate 100!!radius server AuthServer address ipv4 192.168.254.14 auth-port 1645 acct-port 1646 key cisco123


IEEE 802.1x のステータスと統計情報のモニタリング



ステップ 1 show dot1x statistics コマンドを使用して、スイッチ関連およびポート関連の IEEE 802.1x 統計情報を表示します。

エラーを検出するには、デフォルトで有効になっている dot1x 冗長メッセージをフィルタ処理します。

ステップ 2 show dot1x interface statistics コマンドを使用して、特定のポートの IEEE 802.1x 統計情報を表示します。

show dot1x statistics

Dot1x Global Statistics for--------------------------------------------RxStart = 7 RxLogoff = 0 RxResp = 0 RxRespID = 8RxReq = 0 RxInvalid = 0 RxLenErr = 0RxTotal = 29

TxStart = 0 TxLogoff = 0 TxResp = 0TxReq = 0 ReTxReq = 0 ReTxReqFail = 0TxReqID = 8 ReTxReqID = 0 ReTxReqIDFail = 0TxTotal = 8

show dot1x interface g1/0/1 statistics

Dot1x Authenticator Port Statistics for GigabitEthernet1/0/1--------------------------------------------RxStart = 10 RxLogoff = 0 RxResp = 0 RxRespID = 10RxInvalid = 0 RxLenErr = 0 RxTotal = 37

TxReq = 0 TxReqID = 11 TxTotal = 11

RxVersion = 1 LastRxSrcMAC = 0023.33db.e970




ステップ 3 show dot1x all コマンドを使用して、スイッチの IEEE 802.1x 管理ステータスおよび動作ステータスを表示します。

.

ステップ 4 show dot1x interface コマンドを使用して、特定のポートの IEEE 802.1x 管理ステータスおよび動作ステータスを表示します。

.

show dot1x all

Sysauthcontrol EnabledDot1x Protocol Version 3

Dot1x Info for GigabitEthernet1/0/1-----------------------------------PAE = AUTHENTICATORQuietPeriod = 60ServerTimeout = 0SuppTimeout = 30ReAuthMax = 2MaxReq = 2TxPeriod = 30

show dot1x interface g1/0/1

Dot1x Info for GigabitEthernet1/0/1-----------------------------------PAE = AUTHENTICATORQuietPeriod = 60ServerTimeout = 0SuppTimeout = 30ReAuthMax = 2MaxReq = 2TxPeriod = 30





有線およびワイヤレスのコンバージドアクセス

このワークフローでは、スイッチのコンバージドアクセス機能を有効にする方法を説明するとともに、スイッチが小規模ブランチ導入内のワイヤレスモビリティコントローラ（MC）およびワイヤレスモビリティアンカー（MA）としてどのように動作するかについて説明します。

同じプラットフォーム内で有効化された有線およびワイヤレス機能は、コンバージドアクセスと呼ばれます。有線およびワイヤレスの機能が単一の Cisco IOS ソフトウェアイメージに統合されているため、ネットワーク内でそれらの機能を有効にする前に、ユーザが認定および認証しなければならないソフトウェアイメージの数を削減できます。

コンバージドアクセスにより、ネットワーク全体のワイヤレス帯域幅が改善され、ワイヤレスの導入規模が拡大されます。たとえば、48 ポートの Catalyst 3850 スイッチは、40 Gbps のワイヤレススループットを提供します。このワイヤレス容量は、スタック内のメンバー数とともに増加します。これにより、IEEE 802.11n ベースのアクセスポイントによる現在のワイヤレス帯域幅要件、および IEEE 802.11ac などの将来のワイヤレス標準規格にも対応したネットワークへ拡張できます。

前提条件ワイヤレスの設定手順を進める前に、次のタスクを実行します。

• スイッチスタックはステートフルスイッチオーバー（SSO）モードで動作する必要があります。

• 「アクセスインターフェイス接続」ワークフローの説明に従って、インターフェイスの設定を完了します。

• Lightweight アクセスポイントを使用します。

• 「グローバルシステム設定」ワークフローの説明に従って、NTP を設定し、動作可能な状態になっている必要があります。

• ワイヤレスサイト調査が完了している必要があります。サイト調査により、適なカバレッジを提供するためのワイヤレスアクセスポイントの適切な配置を確認します。サイト調査のプロセスおよび使用するツールの詳細については、『Wireless Site Survey FAQ』を参照してください。

• QoS のワークフローを実行します。

http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/68666-wireless-site-survey-faq.html


機能制限


機能制限 • AP-Count ライセンスは、IP Base ライセンスおよび IP Services ライセンスでのみサポートさ

れます。『Cisco Catalyst 3850 Switch Right-to-Use Licensing Model』を参照してください。

• Catalyst 3850 スイッチスタックは大 50 個のアクセスポイントをサポートできます。

• Cisco Catalyst 3650 スタックは大 25 個のアクセスポイントをサポートできます。

• WLAN はクライアント VLAN 0 を使用できません。

設定値の確認中断せずにこのセクションの手順を進めることができるように、特定のスイッチ設定値を事前に確認しておくことをお勧めします。手順に従って設定を進める際に、列 B の値を列 C に記載した実際の値で置き換えてください。

（注）このワークフローでは、アクセスポイント用の VLAN とワイヤレスクライアント用の VLAN を含む 2 つの別々の IP サブネットを使用します。アクセスポイントは VLAN 12 にあり、IP サブネット 192.168.12.x を使用します。ワイヤレスクライアントは VLAN 200 にあり、IP サブネット 192.168.13.x を使用します。

（注）設定例では、青色の斜体で示された値の例を実際の値に置き換えてください。

表 10 ワイヤレス LAN コントローラの値


アクセスポイントカウントライセンスおよびスロットの数

10/1•15/2

管理 VLAN wireless-management-vlan

管理 VLAN アクセスポイントおよび説明

Wireless VLAN

Wireless Management VLAN Interface

アクセスポイントを管理する VLAN インターフェイスの IP アドレス

192.168.12.2 255.255.255.0

アクセスポイントプール APVlan10-Pool

アクセスポイントクライアントプール

192.168.12.0 255.255.255.0

クライアント用のデフォルトルータ

10.1.1.1

除外アドレス 192.168.12.1

ワイヤレス管理インターフェイス

vlan12

アクセスインターフェイス GigabitEthernet1/0/3

http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3850-series-switches/deployment_guide_c07-727067.html#_Toc350855349


ワイヤレス接続を使用した LAN アクセススイッチのトポロジ



ワイヤレス接続を使用した LAN アクセススイッチのトポロジ

このトポロジは、複数のルータに接続されたスイッチスタックを示しています。コンバージドアクセスのも一般的な導入シナリオはブランチへの適用ですが、このワークフローはキャンパス環境にも適用されます。

スイッチはスタック構成にされ、MA と MC の両方として機能します。単一スタックコンバージドアクセスの導入では、大 50 個の直接接続されたアクセスポイントをサポートできます。コンバージドアクセスでは、少なくとも 1 つの Lightweight アクセスポイントが必要です。1 つのスイッチスタックで大 50 個のアクセスポイントをサポートできます。

信頼性を確保するためにアクセスポイントをスタック全体に均等に分散することをお勧めします。これにより、スイッチオーバーの発生時に、メンバースイッチまたはスタンバイスイッチに接続されたアクセスポイントへの接続が失われることを防止できます。

説明 Lightweight Access Point

クライアント VLAN 用の WLAN インターフェイス

200

WLAN のプロファイルと ID Wireless_Client

ワイヤレスクライアント VLAN の IP アドレス

192.168.13.2 255.255.254.0

Easy-RADIUS 用の WLAN および ID

OPEN_WLAN 1 open_wlan

RADIUS サーバ AuthServer

RADIUS 用の IPv4 アドレス 192.168.254.14

認証ポート 1645

Acct ポート 1646

AAA グループ RADIUS-GROUP

RADIUS サーバのデッド基準時間/試行数

10/3

RADIUS サーバのデッドタイム 1

WPA2 および IEEE 802.1x が有効な WLAN

Secure_WLAN1 CISCO_WLAN

入力サービスポリシー wlan-Guest-Client-Input-Policy

出力サービスポリシー wlan-Guest-SSID-Output-Policy

表 10 ワイヤレス LAN コントローラの値（続き）



ワイヤレスコントローラとしてのスイッチの有効化


図 13 ワイヤレス接続を使用した LAN アクセススイッチのトポロジ

ワイヤレスコントローラとしてのスイッチの有効化 • スイッチでのアクセスポイントライセンスのインストール

• ワイヤレス管理 VLAN の設定

• サービス接続の設定

• ワイヤレスコントローラ機能の有効化

• モビリティコントローラモードで実行するスイッチの変更

• アクセスポイント接続の有効化

スイッチでのアクセスポイントライセンスのインストール

すぐにご利用いだけるように、評価ライセンスがスイッチにプリインストールされています。ただし、90 日間の有効期限が切れる前にエンドユーザライセンス契約（EULA）に同意する必要があります。

IP Base および IP Services のイメージベースライセンスは、ワイヤレス機能をサポートしています。IP Base はワイヤレス機能の小のライセンスレベルです。

スイッチスタックの AP-Count ライセンスの総数は、大 50 AP-Count ライセンスまでで、すべての個別メンバーの AP-Count ライセンスの合計と等しくなります。

スタックの AP-Count ライセンスの総数は、スタックメンバーが追加または取り除かれたときに影響を受けます。

• 新しいメンバーが既存の AP-Count ライセンスを持つスタックに追加されると、スイッチスタックの使用可能な AP-Count ライセンス総数は自動的に再計算されます。

• メンバーがスタックから取り除かれると、AP-Count ライセンスの合計はスタックの使用可能な AP-Count ライセンス総数から減算されます。




Printer

Wireless access

Catalyst 3850 stack in access DHCP Server ISE


Data VLAN 10

Data VLAN 10



3917

01





• 承認された AP-Count ライセンスの総数より多いアクセスポイントが接続されると、syslog 警告メッセージが送信されます。この場合、スタックがリロードされるまでは、新しく接続されたアクセスポイントは切断されません。

• スタックのリロード後に、新しく接続されたアクセスポイントが合計のアクセスポイントから削除されます。

EULA に同意すると、永続 RTU ライセンスを有効にできます。EULA は、永続ライセンスを購入したことを前提としています。Adder AP-Count タイプのライセンスを使用して、アクセスポイントのライセンスを有効化します。Adder AP-Count ライセンスは、「増えた分を追加する」ライセンスです。ネットワークの成長に応じてアクセスポイントライセンスを追加できます。Adder AP-Count ライセンスは EXEC コマンドで有効化し、スイッチをリロードすることなくアクティブ化されます。

ステップ 1 永続アクセスポイントライセンスを有効化し、EULA に同意します。

アクセスポイントライセンスは、永続ライセンスまたは評価目的ライセンスとして設定されます。操作の中断を避けるために、スイッチは、評価ライセンスの有効期限が切れてもライセンスを変更しません。評価ライセンスの期限がもうすぐ切れることを示す警告が表示されたら、評価ライセンスを無効にして、永続ライセンスを購入する必要があります。

タイミングが悪いときに有効期限が切れる事態を避けるために、永続ライセンスを購入して有効化し、EULA に同意することをお勧めします。

次の例では、メンバー 1 で 10 個のアクセスポイントライセンスを、メンバー 2 で 15 個のアクセスポイントライセンスを有効化します。

RTU ライセンスの詳細については、『System Management Configuration Guide, Cisco IOS SE

Release 3E』の「Configuring Right-To-Use Licenses」の章を参照してください。

AP-Count ライセンスのインストールの確認

ステップ 2 スイッチ上のアクセスポイントライセンスの割り当てを確認します。

次の例は、スタック内の 2 つのメンバーを示しています。

license right-to-use activate apcount 10 slot 1 acceptEULAlicense right-to-use activate apcount 15 slot 2 acceptEULA

show license right-to-use

Slot# License name Type Count Period left----------------------------------------------------------1 ipbase permanent N/A Lifetime1 lanbase permanent N/A Lifetime1 apcount adder 10 LifetimeLicense Level on Reboot: ipbase Slot# License name Type Count Period left----------------------------------------------------------2 ipbase permanent N/A Lifetime2 lanbase permanent N/A Lifetime2 apcount adder 15 LifetimeLicense Level on Reboot: ipbase

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3850/software/release/3e/system_management/configuration_guide/b_sm_3e_3850_cg/b_sm_3se_3850_cg_chapter_0100.html




ステップ 3 RTU ライセンスの要約についての詳細を確認します。

次の例は、スイッチのリブート時に永続 IP Services ライセンスがインストールされて使用可能になり、5 つの AP-Count ライセンスが使用されていることを示しています。

ワイヤレス管理 VLAN の設定

ステップ 4 VLAN および SVI を設定して IP アドレスを割り当てます。

ワイヤレス管理 VLAN は、アクセスポイント CAPWAP およびその他の CAWAP モビリティトンネルに使用されます。ワイヤレス管理 VLAN の作成は必須です。まず、ハードウェアで VLAN を設定し、次に SVI を作成して IP アドレスを割り当てます（スイッチの初期設定ワークフローの「ハードウェアでの管理 VLAN の作成」の項を参照してください）。

サービス接続の設定

ステップ 5 サーバアドレスプールの名前を作成し、アドレスプールクライアントのサブネットネットワーク番号とマスク、およびクライアントのデフォルトルータを指定します。

スイッチで IP アドレス情報を受信できるようにする場合、クライアントの IP アドレスとサブネットマスク、およびルータの IP アドレスを使用して、スイッチのデフォルトゲートウェイを提供するようにサーバを設定する必要があります。サーバは、DNS サーバを使用して TFTP サーバ名を IP アドレスに解決しますが、DNS サーバの IP アドレスの設定はオプションです。

MC と MA を組み合わせて使用している小規模ブランチ導入では、Lightweight アクセスポイント用のサーバとしてスイッチを使用することを推奨します。この導入では、スイッチはレイヤ 2 モードで動作し、上流に位置するルータがすべてのルーティング機能を提供します。

show license right-to-use summary

License Name Type Count Period left----------------------------------------------- ipservices permanent N/A Lifetime apcount base 0 Lifetime apcount adder 25 Lifetime

--------------------------------------------

License Level In Use: ipservicesLicense Level on Reboot: ipservicesEvaluation AP-Count: DisabledTotal AP Count Licenses: 25AP Count Licenses In-use: 5AP Count Licenses Remaining: 20

!To activate the VLAN in the database if it does not exist.interface vlan 12 name Wireless VLAN description Wireless Management VLAN Interface ip address 192.168.12.2 255.255.255.0 no shutdown end




デフォルトルータおよび使用中のワイヤレス管理 SVI アドレスですでに使用されている IP アドレスを除外して、上流に位置するルータがそのような IP アドレスをアクセスポイントに割り当てないようにすることをお勧めします。

ワイヤレスコントローラ機能の有効化

ステップ 6 管理 VLAN として（物理インターフェイスではなく）SVI を設定します。

wireless management interface コマンドは、アクセスポイント CAPWAP およびその他の CAPWAP モビリティトンネルのために使用されます。

ワイヤレスコントローラを有効にする前に、SVI に IP アドレスを設定する必要があります。

モビリティコントローラモードで実行するスイッチの変更

ステップ 7 AP-Count ライセンスをインストールする前に MC としてスイッチを有効にします。

ワイヤレスライセンスモデルでは、MA はアクセスポイントのエンフォーサであり、MC はアクセスポイントのゲートキーパーです。MC によりアクセスポイントのスイッチへの接続を制御できます。起動後のスイッチのデフォルト役割は MA です。

MC の役割を有効にするには、設定を保存し、スイッチをリロードする必要があります。

ステップ 8 スイッチのリブート後、スイッチの役割がモビリティコントローラに変更されたことを確認します。

ip pool APVlan10-Poolnetwork 192.168.12.0 255.255.255.0default-router 192.168.12.1ip excluded-address 192.168.12.1 192.168.12.2

wireless management interface vlan12

wireless mobility controller% Mobility role changed to Mobility Controller.Please save config and reboot the whole stack. endwrite memoryreloadproceed with reload?[confirm] y




アクセスポイント接続の有効化

ステップ 9 アクセスポイントをスイッチポートに直接接続し、インストールを完了します。

アクセスポイントの接続ポートはアクセスポートとして設定する必要があります。アクセスポイントは、ポートがトランクとして設定されている場合は登録されません。

（注）スイッチポートのアクセス VLAN はこのワークフローのステップ 4 で設定したワイヤレス管理 VLAN と同じものである必要があります。

show wireless mobility summary

Mobility Controller Summary:

Mobility Role : Mobility ControllerMobility Protocol Port : 16666Mobility Group Name : defaultMobility Oracle IP Address : 0.0.0.0DTLS Mode : EnabledMobility Domain ID for 802.11r : 0xac34Mobility Keepalive Interval : 10Mobility Keepalive Count : 3Mobility Control Message DSCP Value : 48Mobility Domain Member Count : 3

Link Status is Control Link Status : Data Link Status

Controllers configured in the Mobility Domain:

IP Public IP Group Name Multicast IP Link Status--------------------------------------------------------------------------192.168.102.210 -N/A default 0.0.0.0 UP : UP


小規模ブランチ WLAN のプロビジョニング


クライアント VLAN の有効化

ステップ 10 クライアントの IP アドレスを割り当てるように外部サーバを設定します。クライアント VLAN を定義し、データベース内の VLAN を有効化します。

すべての WLAN プロファイルは、クライアント VLAN と関連付ける必要があります。

小規模ブランチ WLAN のプロビジョニング • Easy-RADIUS でのプロビジョニング— も設定が容易であり、外部サービスは使用しません。

• セキュアモードでのプロビジョニング—エンドユーザは外部の RADIUS サーバまたは ISE によって認証されます。

• 無線周波数およびチャネル設定の管理

interface GigabitEthernet1/0/3 description Lightweight Access Point switchport host switchport access vlan 12 switchport port-security maximum 11 switchport port-security switchport port-security aging time 2 switchport port-security aging type inactivity switchport port-security violation restrict ip snooping limit rate 100 switchport block unicast storm-control broadcast level pps 1k storm-control multicast level pps 2k storm-control action trap

!Activate the client VLAN in the VLAN database.!Configure VLAN 200 if not already configured.!vlan 200name Wireless_Clientend!interface vlan 200 description Client VLAN ip address 192.168.13.2 255.255.254.0 no shutdown end




セキュリティ上の観点から、セキュアモードのプロビジョニングを強くお勧めします。ただし、ネットワークの設計上必要な場合は、両方の WLAN モードを共存させることができます。たとえば、単一のスイッチに両方の WLAN をプロビジョニングし、それぞれの WLAN に独自の目的をネットワーク内に設定することができます。

（注）ネットワークでワイヤレスデバイス用のオープンアクセスが許可されていない場合、「セキュアモードでのプロビジョニング」の項に進み、セキュアモードでワイヤレスネットワークをプロビジョニングします。

（注）ゲストアクセスネットワークの導入については、このマニュアルでは説明しません。詳細については、『Security Configuration Guide, Cisco IOS XE Release 3E, (Catalyst 3850 Switches)』の「Configuring Wireless Guest Access」の章を参照してください。

Easy-RADIUS でのプロビジョニング

Easy-RADIUS では、認証せずにネットワークにアクセスできるため、セキュアではありません。

• Easy-RADIUS を有効にするための認証の無効化

• WLAN をセキュアにするための QoS の設定

• RADIUS のクライアント接続の確認

（注）ネットワークでワイヤレスデバイス用のオープンアクセスが許可されていない場合、「セキュアモードでのプロビジョニング」の項に進み、セキュアモードでワイヤレスネットワークをプロビジョニングします。

Easy-RADIUS を有効にするための認証の無効化

ステップ 1 Easy-RADIUS をプロビジョニングするには、no security EXEC コマンドを使用して、WLAN の認証を無効にします。

デフォルトでは、WLAN は Wi-Fi Protected Access（WPA）および Wi-Fi Protected Access II（WPA2）によるセキュリティが有効になっています。WLAN をオープンにするには、no security wpa wpa2 コマンドを使用します。

wlan OPEN_WLAN 1 open_wlanclient vlan 200no security wpano security wpa akm dot1xno security wpa wpa2no security wpa wpa2 ciphers aesno shutdown

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3850/software/release/3e/security/configuration_guide/b_sec_3e_3850_cg/b_sec_3e_3850_cg_chapter_010101.html




（注）デフォルトでは、ブロードキャスト SSID が有効になっており、WLAN/SSID 情報はビーコンで送られます。no broadcast-ssid コマンドを使用して、ブロードキャストで SSID を非表示にしたり、エンドクライアントから見えるようにしたりすることができます。SSID ブロードキャストを無効にした場合でも、エンドユーザは、ワイヤレスクライアントネットワークのプロパティで SSID 情報を明示的に手動で入力することにより、SSID に接続することができます。

WLAN をセキュアにするための QoS の設定

ステップ 2 トラフィックを適切に分類するために、入力方向でのサービスポリシーを設定します。

すべての入力トラフィックは、有線トラフィックと同様に分類されます。出力では、使用可能な帯域幅の大半が安全な WLAN に割り当てられます。

セキュアな WLAN の QoS 設定では、優先度の低い他の WLAN（ゲスト WLAN やオープン WLAN など）が存在することを前提としています。セキュアな WLAN 上のエンドユーザが、他の WLAN 上の重要性の低いトラフィックの影響を受けないようにする必要があります。

すべての WLAN は、デフォルトの port_child_policy 出力サービスポリシーを共有します。このポリシーはデフォルトで設定され、WLAN 上に明示的に設定する必要はありません。

RADIUS のクライアント接続の確認

ステップ 3 クライアントを関連付けて、接続を確認します。

クライアントは、適切な SSID を選択することにより WLAN のエンドデバイスに関連付けられます。

クライアント接続は、状態と認証の情報を表示するワイヤレス show コマンドを使用して確認できます。

wlan secure_WLAN 2 CISCO_WLANshutdownservice-policy client input wlan-Entr-Client-Input-Policyservice-policy output wlan-Entr-SSID-Output-policyno shutdownexit




pol-edu-3850-mc-12#show wireless client summary Number of Local Clients : 2

MAC Address AP Name WLAN State Protocol --------------------------------------------------------------------------------0000.3a40.0001 pol-edu-tsim-40-6 4 UP 11a 0000.3a40.0002 pol-edu-tsim-40-1 4 UP 11a

pol-edu-3850-mc-12#show wcdb database all Total Number of Wireless Clients = 2 Clients Waiting to Join = 0 Local Clients = 2 Anchor Clients = 0 Foreign Clients = 0 MTE Clients = 0

Mac Address VlanId IPv4 Address Src If Mob -------------- ------ --------------- ------------------ -------0000.3a40.0001 340 153.40.125.100 0x00000000800000E2 LOCAL0000.3a40.0002 340 153.40.125.101 0x00000000800000A1 LOCAL

!!Look for client open auth state.

pol-edu-3850-mc-12#show access-session mac 0000.3a40.0001 details Interface: Capwap33 MAC Address: 0000.3a40.0001 IPv6 Address: fe80::200:3aff:fe40:1 IPv4 Address: 153.40.125.100 User-Name: cisco Status: Authorized Domain: DATA Oper host mode: multi-auth Oper control dir: both Session timeout: N/A Common Session ID: 000000000000002D000B81FD Acct Session ID: Unknown Handle: 0xe9000023 Current Policy: (No Policy) Blocked On:

Server Policies: Vlan Group: Name: 340, Vlan: 340

Method status list: Method State dot1x Authc Success

!




セキュアモードでのプロビジョニング

セキュアモードではセキュアなワイヤレス接続が可能になります。エンドユーザは、外部の RADIUS サーバまたは ISE によって認証されます。ネットワークでワイヤレスデバイス用のオープンアクセスが許可されていない場合、セキュアモードでプロビジョニングを行います。

• AAA RADIUS サーバの有効化

• IEEE 802.1x 認証を使用した WLAN の設定

• オープン WLAN の QoS サービスポリシーの設定

• DHCP スヌーピング

AAA RADIUS サーバの有効化

RADIUS サーバの設定は、選択した RADIUS サービスによって異なります。

ステップ 1 AAA RADIUS サーバを有効にします。

以下の設定を RADIUS サーバ上の同じ設定と一致させる必要があります。

IEEE 802.1x 認証を使用した WLAN の設定

ステップ 2 WPA2 および IEEE 802.1x を有効にして WLAN を作成します。

コントローラおよびアクセスポイントでは、WPA と WPA2 を同時に使用した SSID を持つ WLAN をサポートしますが、ワイヤレスクライアントドライバの中には、複雑な SSID 設定をサポートできないものもあります。

可能な限り、Advanced Encryption Standard（AES）に従って WPA2 のみ設定することをお勧めします。

aaa new-modelaaa session-id commonaaa authentication dot1x default group RADIUSaaa authorization network default group RADIUSaaa accounting dot1x default start-stop group RADIUS!!Enable 802.1X authentication globally on the switch!dot1x system-auth-control!Radius Server definition (adds ISE to the Radius Group)!RADIUS server AuthServer address ipv4 192.168.254.14 auth-port 1645 acct-port 1646 key cisco123!!aaa group server RADIUS RADIUS-GROUPserver name AuthServer




（注） AES 暗号化および IEEE 802.1x キー管理を使用した WPA2 は、スイッチの WLAN でデフォルトで有効になっているため、これらのセキュリティ設定を明示的に行う必要はありません。

オープン WLAN の QoS サービスポリシーの設定

ステップ 3 オープン WLAN の入出力トラフィックのサービスポリシーを設定します。

すべての入力トラフィックは有線トラフィックと同様に分類されますが、出力トラフィックには使用可能な帯域幅の 30 % しか割り振られません。

オープン WLAN の QoS を設定する際、ゲスト用に優先度の低い WLAN を作成する必要があります。オープン WLAN のエンドユーザは制限されており、セキュアな企業 WLAN のビジネスクリティカルなトラフィックに影響を及ぼさないようにする必要があります。

すべての WLAN は、port_child_policy イーグレスポリシーを共有します。ポリシーはデフォルトで設定され、WLAN で明示的に設定することはありません。

DHCP スヌーピング

ステップ 4 クライアントの参加機能を適切に処理するために、コントローラ上で DHCP スヌーピングを設定する必要があります。DHCP スヌーピングは各クライアント VLAN 上で有効にする必要があります。WLAN でオーバーライドが適用される場合は、オーバライド VLAN も対象となります。

bootp-broadcast コマンドを有効にします。これは、ブロードキャストアドレスを使用して DHCP メッセージを送信するクライアントに必要で、DHCP メッセージでブロードキャストビットが送信されます。

インターフェイス上で、次のように設定します。

（注）アップストリームがポートチャネル経由で行われる場合、ポートチャネルインターフェイスでも trust 構成が必要になります。

wlan Secure_WLAN1 CISCO_WLANclient vlan 200no shutdown

wlan OPEN_WLAN 1 open_wlanshutdownservice-policy client input wlan-Guest-Client-Input-Policyservice-policy output wlan-Guest-SSID-Output-Policyno shutdownexit

ip dhcp snooping ip dhcp snooping vlan 100

ip dhcp snooping wireless bootp-broadcast enable




（注）ゲストアクセス用のゲストアンカーコントローラで、上記の構成と同様に DHCP スヌーピングを設定する必要があります。

ネットワーク上で入出力トラフィックを許可するには、WLAN との関連付けが行われるたびに、WLAN 設定で -required オプションを使用して、クライアントがアドレス要求を実行し、操作を再開するよう強制します。このオプションは、使用される IP アドレスを厳格に制御できます。

無線周波数およびチャネル設定の管理

無線リソース管理（RRM）は Auto-RF とも呼ばれ、チャネルや電力の設定管理に有効です。ただし、無線周波数設計の不備を Auto-RF で修正することはできません。

• 低データレートの無効化

• Clean Air の有効化

• 動的チャネル割り当ての有効化

• WLAN クライアントの関連付け

• WLAN クライアント接続の確認

すべてのワイヤレス導入で、ワイヤレスクライアントに適した高品質サービス設計を実現するために、サイト調査を推奨します。

低データレートの無効化

ステップ 1 5 GHz および 2.4 GHz ネットワークを無効にして、ワイヤレススペクトルのレートを適切に変更します。

十分な無線周波数カバレッジが確保され、適切に設計された無線ネットワークでは、低いデータレートを無効にできます。低いデータレートは無線通信時間をもの多く消費します。

クライアントが再送時にレートをより早くダウンシフトできるように、サポートするデータレートの数を制限してください。ワイヤレスクライアントは速のデータレートでの送信を試みます。フレームの送信が失敗すると、ワイヤレスクライアントは次に低い使用可能なデータレートで再送信します。サポートされるデータレートの一部を削除することは、フレームを再送する必要があるクライアントが複数のデータレートを直接ダウンシフトすることを意味し、2 回目の試行でフレームが届く可能性が高まります。IEEE 802.11b 専用デバイスは設置する必要がなくなりました。IEEE 802.11b 専用デバイスで使用される速度を無効にします。

interface TenGigabitEthernet1/0/1 switchport trunk allowed vlan 100 switchport mode trunk ip dhcp snooping trust




ステップ 2 ワイヤレススペクトルを有効にします。

Lightweight アクセスポイントでは、5 GHz と 2.4 GHz の 2 つのワイヤレススペクトルをサポートします。各スペクトルの速度を有効化/無効化する必要がありますが、速度が一致する必要はありません。

• 5 GHz スペクトルでは、IEEE 802.11n および IEEE 802.11ac を有効にします。

• 2.4 GHz スペクトルでは、IEEE 802.11n および IEEE 802.11g を有効にします。

（注）ビーコンは低の必須レートで送信され、セルサイズを定義します。

コンバージドアクセスモードでスイッチをホットスポットとして導入する際、速度ではなくカバレッジの達成を向上させるために、低のデータレートを有効にする必要があります。また、十分な無線周波数カバレッジが確保されたワイヤレスネットワークで、推奨されるデータレートが使用されます。データレートは、無線周波数の導入状況によって異なります。

!Shutdown 5ghz network.!ap dot11 5ghz shutdown !!Enable 802.11n and 802.11ac for the 5Ghz spectrum.!ap dot11 5ghz dot11n ap dot11 5ghz rate RATE_6M disable ap dot11 5ghz rate RATE_9M disable ap dot11 5ghz rate RATE_12M mandatory ap dot11 5ghz rate RATE_18M supported ap dot11 5ghz rate RATE_24M mandatory ap dot11 5ghz rate RATE_36M supported ap dot11 5ghz rate RATE_48M supported ap dot11 5ghz rate RATE_54M supported no ap dot11 5ghz shutdown !!Shutdown 2.4Ghz network!ap dot11 24ghz shutdown !




Clean Air の有効化

ステップ 3 導入環境で一般的に使用されるスイッチおよびデバイスで Clean Air を有効にします。

Clean Air が有効な場合、スイッチは無線周波数干渉を検出して軽減します。周波数干渉の原因は、妨害装置、電子レンジ、Bluetooth デバイスなどです。

.

ステップ 4 Clean Air がデバイスで有効になっていることを確認します。

.

!Enable 802.11n and 802.11g for the 2.4Ghz spectrum.!ap dot11 24ghz dot11g ap dot11 24ghz dot11n ap dot11 24ghz rate RATE_24M mandatory ap dot11 24ghz rate RATE_1M disable ap dot11 24ghz rate RATE_2M disable ap dot11 24ghz rate RATE_5_5M disable ap dot11 24ghz rate RATE_6M disable ap dot11 24ghz rate RATE_9M disable ap dot11 24ghz rate RATE_11M disable ap dot11 24ghz rate RATE_12M mandatory ap dot11 24ghz rate RATE_18M supported ap dot11 24ghz rate RATE_36M supported ap dot11 24ghz rate RATE_48M supported ap dot11 24ghz rate RATE_54M supported no ap dot11 24ghz shutdown

ap dot11 24ghz cleanair ap dot11 5ghz cleanair ap dot11 24ghz cleanair device jammerap dot11 24ghz cleanair device cont-txap dot11 24ghz cleanair device dect-likeap dot11 24ghz cleanair device mw-ovenap dot11 24ghz cleanair device video!ap dot11 5ghz cleanair device jammerap dot11 5ghz cleanair device cont-txap dot11 5ghz cleanair device dect-likeap dot11 5ghz cleanair device video

show ap dot11 24ghz cleanair configshow ap dot11 5ghz cleanair config




動的チャネル割り当ての有効化

ステップ 5 「低データレートの無効化」の説明に従って、ワイヤレス 2.4 GHz および 5 GHz ネットワークがシャットダウンされていることを確認します。

ステップ 6 2.4 GHz および 5 GHz の両方のワイヤレススペクトルで動的チャネル割り当て（DCA）を有効にして、無線でのチャネルの割り当てを適化し、干渉のない動作を可能にします。5 GHz スペクトルでは、スループットを向上させるためにチャネルボンディングを有効にします。

DCA は、各無線によってできる限り多くのチャネルについて報告された Over-the-Air メトリックを使用して、チャネルの帯域幅を大化し、すべての原因（当該ネットワーク（信号）、他のネットワーク（外部干渉）、ノイズ（その他すべて））からの無線周波数干渉を小化する解決策を提供します。

.

WLAN クライアントの関連付け

WLAN クライアントの関連付けは、適切な SSID を選択し、認証に必要なクレデンシャルを提供することにより、エンドクライアントデバイスで行われます。クライアント接続は、使用中のデバイスのタイプによって異なります。どのデバイスタイプが使用されているかは、ワイヤレスネットワークインターフェイスの詳細で確認できます。

WLAN クライアント接続の確認

ステップ 7 クライアント接続を確認します。

ap dot11 24ghz rrm channel dca global auto ap dot11 5ghz rrm channel dca global auto

ap dot11 5ghz shutdown ap dot11 5ghz rrm channel dca chan-width 80no ap dot11 5ghz shutdown

show authentication sessions mac ec55.f9c6.266b detail Interface: Capwap4 IIF-ID: 0x506280000033A0 MAC Address: ec55.f9c6.266b IPv6 Address: Unknown IPv4 Address: 121.1.0.253 User-Name: Employee1 Status: Authorized Domain: DATA Oper host mode: multi-auth Oper control dir: both Session timeout: N/A Common Session ID: 64010101539f285900003353 Acct Session ID: Unknown Handle: 0xDB000467 Current Policy: (No Policy)

Server Policies (priority 100)

Method status list: Method State dot1x Authc Success


無線 LAN コンバージドアクセスの実行コンフィギュレーションの表示



ステップ 1 スイッチのワイヤレス構成設定を表示するには、show running-configuration コマンドを入力します。

show wcb database all!Need to look for the output of ‘AUTH’ equals to ‘RUN’.!

Total Number of Wireless Clients = 1Clients Waiting to Join = 0Local Clients = 1Anchor Clients = 0Foreign Clients = 0MTE Clients = 0

Mac Address VlanId IP Address Src If Auth Mob -------------- ------ --------------- ------------------ -------- -------ec55.f9c6.266b 200 121.1.0.253 0x006B2F4000002844 RUN LOCAL

show running configuration

ip arp inspection vlan 10-11,100!ip device trackingip snooping vlan 10-13,100,200no ip snooping information optionip snooping wireless bootp-broadcast enable!! the default router for subnet 192.168.12.x /24 is the upstream router!192.168.12.2 is the layer 3 address of the 3850 vlan interface on vlan 12!ip excluded-address 192.168.12.1ip excluded-address 192.168.12.2!!!Access Point IP pool defined locally on the 3850!ip pool APVlan12-poolnetwork 192.168.12.0 255.255.255.0default-router 192.168.12.1 !!Vlan 200 for wireless clients, and the subnet 192.168.13.x /23!the server is external to the 3850. vlan 200 name Wireless_Client!

<省略>!




（続き）!remember to exclude 192.168.13.2 on the server.Its statically defined on the vlan 200 intfinterface Vlan200description wireless Clientsip address 192.168.13.2 255.255.255.0!wireless mobility controllerwireless management interface Vlan12!! this is copied from the “show run” output.wlan OPEN_WLAN 1 WiFi_Openclient vlan 200no security wpano security wpa akm dot1xno security wpa wpa2no security wpa wpa2 ciphers aesno shutdown!!Radio Resource management featuresap dot11 24ghz shutdownap dot11 24ghz cleanairap dot11 24ghz rate RATE_1M disableap dot11 24ghz rate RATE_2M disableap dot11 24ghz rate RATE_5_5M disableap dot11 24ghz rate RATE_6M disableap dot11 24ghz rate RATE_9M disableap dot11 24ghz rate RATE_11M disableap dot11 24ghz rate RATE_12M supportedap dot11 24ghz rate RATE_18M supportedap dot11 24ghz rate RATE_24M mandatoryap dot11 24ghz rate RATE_36M supportedap dot11 24ghz rate RATE_48M supportedap dot11 24ghz rate RATE_54M supportedno ap dot11 24ghz shutdown!ap dot11 5ghz shutdownap dot11 5ghz rrm channel dca chan-width 80ap dot11 5ghz cleanairap dot11 5ghz rate RATE_6M disableap dot11 5ghz rate RATE_9M disableap dot11 5ghz rate RATE_12M disableap dot11 5ghz rate RATE_18M disableap dot11 5ghz rate RATE_24M mandatoryap dot11 5ghz rate RATE_36M supportedap dot11 5ghz rate RATE_48M supportedap dot11 5ghz rate RATE_54M supportedno ap dot11 5ghz shutdownap group default-groupend


システムヘルスモニタリング

重要なシステムリソースをモニタすることは、ネットワークの安定性を維持するために非常に重要です。スイッチの CPU、メモリ、ファイルシステム、および環境リソースを定期的にモニタすることをお勧めします。

このワークフローでは、システムヘルスをモニタおよび保守するための一般的なコマンドと手順について説明します。

システムヘルスモニタリングの前提条件実行中のソフトウェアリリース、スイッチの実行時間、および新のリロードの原因など、スイッチに関する情報を取得します。これらの情報を取得するには、show version コマンドを使用します。コマンドにパイプ機能を使用して、稼働時間、およびあらゆるリロード情報を取得できます。

実行ステータスの表示稼働時間とリロードの原因を特定します。時間の経過に伴い、気付かないうちにスイッチがクラッシュしてリロードされることがあります。

ステップ 1 show version コマンドを使用して、スイッチ全体の状況を取得します。

スイッチの稼働時間と後のリロードに関する情報のみ必要な場合は、Cisco IOS XE（および Cisco IOS）ソフトウェアに組み込まれているパイプ「|」機能を使用して、より直接的なコマンドを実行できます。

show version|inc software|uptime|LastCisco IOS Software, IOS-XE Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version 03.03.02.SE RELEASE SOFTWARE (fc2)3850-access-Bld1Flr1 uptime is 5 weeks, 3 days, 2 hours, 59 minutesLast reload reason: reload


コアリソースのシステム基準の実行


この例では、Cisco IOS XE リリース 3.3.2 SE が 5 週間実行された後、特権ユーザがスイッチのリロードを開始したことを示しています。

コアリソースのシステム基準の実行通常の実稼働時間中のシステムの基準使用率を設定し、予想されるリソース値から変更がないかどうか確認します。使用率の増加が正当だと説明できない場合は、原因について調べます。何らかのタイプのネットワークモニタリングシステム（NMS）をセットアップして、これらの値を自動的にモニタするのが理想的ですが、このような値を手動でポーリングする方法を知っておくことも重要です。

スイッチの実行状況が分かったら、コアリソースがすべて適な値になっていることを確認します。

CPU とコアプロセッサの使用率の取得

ステップ 2 CPU とコアプロセッサの使用率を表示するには、show process cpu コマンドを使用します。

特定のプロセスで実行されているサブプロセスとタスクによる CPU 使用率を確認するには、show process cpu detailed コマンドを使用します。アクティビティ使用率の高さでソートするには、show process cpu sorted コマンドを使用します。

CPU 使用率は、スタック環境内でスイッチ単位でモニタできます。

show process cpu コマンドの以下のバリエーションを定期的に実行することをお勧めします。

（注）このスイッチは、従来のスイッチとは異なり、マルチコアプラットフォームです。シングルコアでは CPU 使用率が高くなることがあるため、これらのコマンドの実行時に各コアをモニタすることが重要です。

次の出力には、各 CPU コアの 5 秒、1 分、および 5 分間の使用率が示されています。また、

フォワーディングエンジンドライバ（FED）、IOS デーモン IOSd、およびワイヤレスコントローラモジュール（WCM）のプロセスの CPU 使用率が特に高いことも示されています。

show version|inc software|uptime|LastCisco IOS Software, IOS-XE Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version 03.03.02.SE RELEASE SOFTWARE (fc2)

3850-access-Bld1Flr1 uptime is 5 weeks, 3 days, 2 hours, 59 minutes

Last reload reason: reload




ステップ 3 history コマンドを使用して、継続的な CPU 使用率のグラフを表示します。

このグラフはパターンの形成に役立ちます。たとえば、30 分ごとに 100 パーセントの急上昇が確認される場合、何かが定期的にスイッチをポーリングしている可能性があると結論付けることができます。原因の特定のため、SNMP 設定を調べます。

参考資料:

CPU 高使用率の問題のトラブルシュートに役立つ詳細情報については、『Catalyst 3850 Series

Switch High CPU Usage Troubleshooting』のドキュメントを参照してください。

show process cpu sorted | ex 0.00Core 0: CPU utilization for five seconds: 4%; one minute: 5%; five minutes: 5%Core 1: CPU utilization for five seconds: 2%; one minute: 1%; five minutes: 1%Core 2: CPU utilization for five seconds: 0%; one minute: 0%; five minutes: 0%Core 3: CPU utilization for five seconds: 1%; one minute: 2%; five minutes: 1%PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process5639 1598657 15898882 68 0.98 1.06 1.08 1088 fed8503 1554112 10180648 52 0.54 0.50 0.44 0 iosd8499 982266 14501353 18 0.20 0.15 0.15 0 wcm5640 427135 54197163 16 0.05 0.10 0.11 0 platform_mgr6170 502150 9040937 55 0.05 0.01 0.01 0 obfld6177 2057130 87345912 23 0.05 0.01 0.03 0 pdsd

show process cpu history

History information for system:

1111122222222222222222222 111111111111111111111111111111222225555588888888886666666666100 90 80 70 60 50 40 30 ******************** 20 ************************* 10 ************************* 0....5....1....1....2....2....3....3....4....4....5....5.... 0 5 0 5 0 5 0 5 0 5 CPU% per second (last 60 seconds)

http://www.cisco.com/c/en/us/support/docs/switches/catalyst-3850-series-switches/117594-technote-hicpu3850-00.html

http://www.cisco.com/c/en/us/support/docs/switches/catalyst-3850-series-switches/117594-technote-hicpu3850-00.html




スイッチのメモリ使用率の取得

ステップ 4 show process memory コマンドを使用して、スイッチのメモリ使用率の状態を表示します。

特定のプロセスで実行されているサブプロセスとタスクによるメモリ使用率を確認するには、show process cpu detailed コマンドを使用します。アクティビティ使用率の高さでソートするには、show process memory detailed sorted コマンドを使用します。

メモリ使用率は、スタック環境内でスイッチ単位でモニタできます。

ファイルシステム使用率のモニタ

ステップ 5 show file systems コマンドを定期的に使用して、スイッチ内のファイルシステムをモニタし、常に十分な空き容量があることを確認します。

以前のプラットフォームとは異なり、スイッチは別のディレクトリにクラッシュファイルを作成します。たとえば、show file systems コマンドの出力には、crashinfo フォルダにファイルが作成されることが示されています。使用可能な空き領域とフォルダのサイズを比較します。

スイッチには各種ファイルシステムが用意されており、show file systems コマンドを使用してこれらのファイルシステムをリストできます。

（注）アスタリスク（*）はデフォルトのファイルシステムを示します。ファイルシステムで Size(b) フィールドにダッシュ（-）かゼロ（0）が表示される場合、そのファイルシステムは存在しないか、認識されていないことを意味します。

ステップ 6 dir filesystem コマンドまたは show filesystem コマンドを使用して、特定のファイルシステムにあるファイルをリストします。

クラッシュファイルを見つけたら、直ちにそれらを取得して、システム障害や予期せぬクラッシュを診断することが重要です。

show process memory sortedSystem memory : 3930840K total, 1487028K used, 2443812K free, 222004K kernel reservedLowest(b) : 1915568076PID Text Data Stack Heap RSS Total Process5681 9988 269088 92 476 233060 584844 fed10162 72268 34364 104 288 206548 343980 iosd10158 24260 519732 88 10628 108612 662328 wcm

show file systemsFile Systems:

Size(b) Free(b) Type Flags Prefixes 248354816 148799488 disk rw crashinfo: crashinfo-1: 248512512 178782208 disk rw crashinfo-2: stby-crashinfo:* 1621966848 346673152 disk rw flash: flash-1: 1622147072 350224384 disk rw flash-2: stby-flash:


環境リソースのシステム基準の実行


次の例は、クラッシュファイルがディレクトリに作成されたことを示しています。

環境リソースのシステム基準の実行ステップ 7 スイッチヘルスに関する概要を表示するには、show environment コマンドを使用します。

ファンの障害などの小さな問題が重大なハードウェア問題の原因となる可能性があるため、環境リソース値をモニタすることが重要です。スイッチに Power Over Ethernet（POE）が備えられている場合、show environment コマンドにより電源の状況が表示され、給電が期待どおりに実行されているかどうかが示されます。

ステップ 8 スイッチがスタックされている場合、show environment stack コマンドを実行して、スタック全体のすべての環境出力を表示します。

設定の一部は調整可能ですが、設定はデフォルト値のままにしておくことをお勧めします。

dir crashinfo Directory of crashinfo:/

6073 drwx 1024 Jul 17 2013 17:53:48 +00:00 ap_crash 12 -rwx 0 Jan 1 1970 00:00:06 +00:00 koops.dat 11 -rwx 357 Jun 1 2014 13:05:15 +00:00 last_systemreport_log 13 -rwx 1128623 Nov 22 2013 12:33:27 +00:00 system-report_2_20131122-123229-UTC.gz 14 -rwx 39 Jun 1 2014 13:05:15 +00:00 last_systemreport 15 -rwx 657766 Jun 5 2013 09:17:03 +00:00 system-report_1_20130605-091616-UTC.gz 16 -rwx 737390 Jun 26 2013 22:48:22 +00:00 system-report_1_20130626-224726-UTC.gz

show environment allSwitch 1 FAN 1 is OKSwitch 1 FAN 2 is OKSwitch 1 FAN 3 is OKFAN PS-1 is OKFAN PS-2 is OKSwitch 1: SYSTEM TEMPERATURE is OKSW PID Serial# Status Sys Pwr PoE Pwr Watts-- ------------------ ---------- --------------- ------- ------- -----1A PWR-C1-715WAC LIT171310MT OK Good Good 7151B PWR-C1-715WAC LIT171310PS OK Good Good 715


システムモニタリングのその他の考慮事項



スパニングツリーモニタリング

スパニングツリーの設計はこのドキュメントの範囲外ですが、この手順では簡単なスパニングツリーモニタリングコマンドについて紹介します。ネットワーク内のスパニングツリートポロジを常に把握しておくことが重要です。スパニングツリーの期待される役割をスイッチが実行していることを確認するためのいくつかの簡単なコマンドがあります。

show environment stackSWITCH: 1Switch 1 FAN 1 is OKSwitch 1 FAN 2 is OKSwitch 1 FAN 3 is OKFAN PS-1 is OKFAN PS-2 is OKSwitch 1: SYSTEM TEMPERATURE is OKInlet Temperature Value: 34 Degree CelsiusTemperature State: GREENYellow Threshold : 41 Degree CelsiusRed Threshold : 56 Degree CelsiusHotspot Temperature Value: 45 Degree CelsiusTemperature State: GREENYellow Threshold : 105 Degree CelsiusRed Threshold : 125 Degree CelsiusSWITCH: 2Switch 2 FAN 1 is OKSwitch 2 FAN 2 is OK...




ステップ 9 スパニングツリー環境の安定性を定期的にモニタして、ループフリー環境を確保するには、show spanning-tree summary コマンドを使用します。

次の出力例は、スイッチがすべての VLAN のルートブリッジとして動作していることを示しています。これが誤って設定された場合、ネットワークパフォーマンスの極度の低下を引き起こす可能性があります。

show spanning-tree summarySwitch is in pvst modeRoot bridge for: VLAN0001, VLAN0011, VLAN0015, VLAN0100-VLAN0101 VLAN0881-VLAN0883Extended system ID is enabledPortfast Default is disabledPortFast BPDU Guard Default is disabledPortfast BPDU Filter Default is disabledLoopguard Default is disabledEtherChannel misconfig guard is enabledUplinkFast is disabledBackboneFast is disabledConfigured Pathcost method used is short

Name Blocking Listening Learning Forwarding STP Active---------------------- -------- --------- -------- ---------- ----------VLAN0001 0 0 0 2 2VLAN0011 0 0 0 1 1VLAN0015 0 0 0 1 1VLAN0100 0 0 0 1 1VLAN0101 0 0 0 1 1VLAN0777 0 0 0 2 2VLAN0881 0 0 0 1 1

Name Blocking Listening Learning Forwarding STP Active---------------------- -------- --------- -------- ---------- ----------VLAN0882 0 0 0 1 1VLAN0883 0 0 0 1 1---------------------- -------- --------- -------- ---------- ----------9 vlans 0 0 0 11 11




ステップ 10 頻繁に STP の安定性を確認するには、show spanning-tree detail コマンドを使用します。

このコマンドは、各 VLAN 内のトポロジ変更回数や TCN が後に受信された時刻などに関するネットワークの安定性情報を表示します。スイッチとネットワークの全体的なヘルスを維持するには、この情報を頻繁にモニタすることが不可欠です。

show spanning-tree detail |inc ieee|occur|from|is|exec VLAN0001 is executing the ieee compatible Spanning Tree protocol Number of topology changes 55 last change ed 4d07h ago from GigabitEthernet1/0/1 VLAN0011 is executing the ieee compatible Spanning Tree protocol Number of topology changes 7 last change ed 4d07h ago from GigabitEthernet1/0/1 VLAN0015 is executing the ieee compatible Spanning Tree protocol Number of topology changes 7 last change ed 4d07h ago from GigabitEthernet1/0/1 VLAN0100 is executing the ieee compatible Spanning Tree protocol Number of topology changes 7 last change ed 4d07h ago from GigabitEthernet1/0/1 VLAN0101 is executing the ieee compatible Spanning Tree protocol Number of topology changes 7 last change ed 4d07h ago from GigabitEthernet1/0/1 VLAN0777 is executing the ieee compatible Spanning Tree protocol Number of topology changes 12 last change ed 4d07h ago from GigabitEthernet1/0/1 VLAN0881 is executing the ieee compatible Spanning Tree protocol Number of topology changes 7 last change ed 4d07h ago from GigabitEthernet1/0/1


I N D E X

A

AP ライセンス 83

auto-upgrade 15, 35

D

DHCP サーバ 84

DHCP スヌーピング 32

E

Easy-open モード 88

EtherChannel 33, 40

H

HSRP （ホットスタンバイルータプロトコル） 45

HTTP （HTTPS） 19

I

IPv6 セキュリティポリシー 34

IP デバイストラッキング（IPDT） 52

L

LACP （Link Aggregation Control Protocol） 40

M

MAC 認証バイパス（MAB） 66

N

NTP サーバ 32

P

password 20

R

Rapid Per-VLAN Spanning-Tree （PVST+） 30

Rapid PVST+ 30

S

show environment コマンド 103

show process cpu コマンド 100

show version コマンド 99

software clean 11, 12, 14

T

TACACS+ 20

TFTP および FTP サーバ 11

TFTP のブロックサイズ 7, 35

V

VLAN 1 41

VLAN 管理インターフェイス 24

VRRP （仮想ルータ冗長プロトコル） 45

VTP トランスペアレントモード 30

索引


W

Wi-Fi Protected Access （WPA） 88

Wi-Fi Protected Access II （WPA2） 88

あ

アウトオブバンド管理 22

アクティブなスタックメンバー 29

い

インストールモード 10

インバンド IP アドレス 24

え

エンドユーザライセンス契約（EULA） 82

か

管理 IP アドレス 23

く

グローバル管理割り当ての実行コンフィギュレーションの表示 35

し

初期管理割り当ての実行コンフィギュレーションの表示 26

す

スタックメンバーのプライオリティ 29

スタンドアロンディストリビューションスイッチ 45

スパニングツリーモニタリングコマンド 104

せ

セキュアシェル（SSH） 19

セキュアモード 91

そ

ソフトウェアの展開 10

た

単一方向リンク検出（UDLD） 31

段階的な導入によるプロビジョニング 66

て

ディストリビューションスイッチへのアップリンク 45

と

同期されたクロック 32

動的チャネル割り当て（DCA） 96

は

ハイインパクトモード 71

バンドルモード 10

ひ

評価ライセンス 82

ふ

ブリッジプロトコルデータユニット（BPDU） 31

索引


も

モニタモード 70

ゆ

ユーザ ID 20

る

ルータアドバタイズメント 34, 55

ルータアドバタイズメントガード 34

ろ

ローインパクトモード 70

索引


Documents

Cisco Catalyst 3850 シリーズ スイッチおよび Cisco Catalyst 3650 …œ€終更新日：2016 年 7 月 18 ... 推奨事項は、すべて正確であると考えていますが、明示的

Cisco Catalyst 3850 シリーズスイッチおよび Cisco Catalyst 3650 …œ€終更新日：2016 年 7 月 18 ... 推奨事項は、すべて正確であると考えていますが、明示的