トップページ/動作検証 ネットワーク系/INE Workbook Volume I Bridging Switching - DynagenでCCIEを目指す

進捗確認

正答率 チェック

	2週目	3週目	4週目	5週目
1.1. Layer 2 Access Switchports		省略
1.2. Layer 2 Dynamic Switchports		省略
1.3. ISL Trunking		省略
1.4. 802.1q Trunking		省略
1.5. 802.1q Native VLAN		省略
1.6. Disabling DTP Negotiation		省略
1.7. Router-On-A-Stick		省略
1.8. VTP
1.9. VTP Transparent
1.10. VTP Pruning
1.11. VTP Pruning-Eligible List
1.12. Layer 2 EtherChannel
1.13. Layer 2 EtherChannel with PAgP
1.14. Layer 2 EtherChannel with LACP
1.15. Layer 3 EtherChannel
1.16. 802.1q Tunneling	x
1.17. EtherChannel over 802.1q Tunneling	x
1.18. STP Root Bridge Election
1.19. STP Load Balancing with Port Cost	x
1.20. STP Load Balancing with Port Priority	x
1.21. Tuning STP Convergence Timers
1.22. STP PortFast
1.23. STP PortFast Default
1.24. STP UplinkFast
1.25. STP BackboneFast
1.26. STP BPDU Guard
1.27. STP BPDU Guard Default
1.28. STP BPDU Filter
1.29. STP BPDU Filter Default
1.30. STP BPDU Root Guard
1.31. STP Loop Guard
1.32. Unidirection Link Detection
1.33. MST Root Bridge Election
1.34. MST Load Balancing with Port Cost
1.35. MST Load Balancing with Port Priority
1.36. MST and Rapid Spanning Tree		x
1.37. Protected Ports
1.38. Storm Control
1.39. MAC-Address Table Static Entries & Aging	x
1.40. SPAN
1.41. RSPAN
1.42. Voice VLAN	x
1.43. IP Phone Trust and CoS Extend	x	x
1.44. Smartport Macros
1.45. Flex Links		x
1.46. Fallback Bridging		x
1.47. Private VLANs	x	△
1.48. PPP
1.49. PPP AAA Authentication
1.50. PPPoE	x	x
正答率	82%	88%

所感

2週目 2011/05/21

• 1.1 - 15 VLAN作成漏れによるトラブルシュートに時間がかかってしまいました。
• 1.16. l2protocol-tunnelの設定を失念しただけでなく、ヘルプコマンドからも当該の設定を見つける事ができませんでした。
• 1.17. err disableで発生。後日、1.17のみの設定を投入したところ、err disableが発生しませんでした。恐らく1.16の設定が残っていたため、STPが想定外の動きをしerr disableが発生してしまったのではないかと推測しています。3週目ではSTP関連のログを中心に読みたいを思います。
• 1.17 - 18 英文誤読。the last linkはf0/21の意味で、the second linkはf0/20の意味らしいです。
• 1.24 - 25 configは投入できましたが、backbonefast, uplinkfastなどの挙動を理解していない事が判明しました。BPDUの基本的な挙動から復習する意味を込めて、まとめ直した方が良いと感じました(例 : STPはRoot BridgeがBPDUを送信する)
• 1.33. spanning-tree mode mstを投入しなければならない事に気づくのに時間がかかりました。
• 1.39. 誤ってmac access-groupの設定を投入してしまいました。問題文に、CAMテーブル(mac addressとI/Fのマッピング)と記載されているので、mac access-groupでは不適切です。
• 1.42 - 43 不正解。動作検証するすべがないので、丸暗記に頼らざるを得ないのが辛いです。
• 1.46. bridge-groupを設定するI/Fを間違え、相当のロスタイム。デバッグにも時間がかかってしまったのも敗因のひとつです。
• 1.47. switchport mode private-vlanなどI/Fにも設定が必要である事に気づかず
• 1.50. Virtual-Templateがupしない状態に陥る

3週目 2011/10/15

• 1.36 MSTを有効にすると自動的にRSTPも有効になる事を失念していたため、問題文の意味を理解できませんでした。
• 1.43 相変わらず以下のコマンドが覚えられません。

Router(config-if)# switchport priority extented cos cos

• 1.45 switchport backupはbackup側(待機系)ではなくactive側(主系)に投入します。Flex LinkだけでなくBackup Interfaceも同様です。
• 1.46 IPv6疎通不能である事に、今更ながら気付きました。IEOCによると"IPv6はサポートされない"と書き込まれています。
• 1.47 オンラインドキュメントで設定を調べて何とか正解できました。なかなか当該のドキュメントが見つからなかったので、ドキュメントの位置を覚えてしまった方が無難と感じました。
• 1.50 不正解です。Virtual-Templateが必要な設定は苦手意識が払拭できません。

誤植

1.38. Storm Control

模範解答を以下の通り訂正します。

SW1:
interface FastEthernet0/1
 storm-control unicast level pps 100

SW2:
interface FastEthernet0/6
 storm-control broadcast level bps 10m

SW4:
interface FastEthernet0/4
 storm-control broadcast level 1

1.46 Fallback Bridging

問題文はIPv6をbridgeする設定になっていますが、レンタルラック環境はIPv6のbridgeをサポートしていないようです。IPv6によるbridge設定の確認はできないと思われますので、代わりにIPXを用いてbridgeの動作確認を行います。
以下設定を投入し、ipx routing有効化とipx network設定を行います。

 R4:
ipx routing
interface FastEthernet 0/1
 ipx network 46 encapsulation snap

 R6:
ipx routing
interface FastEthernet 0/1
 ipx network 46 encapsulation snap

R6のipxアドレスを確認し、R4からR6へのipx pingによる疎通確認を行います。

 R6:
Rack30R6#show ipx interface FastEthernet 0/1
FastEthernet0/1 is up, line protocol is up
  IPX address is 46.001a.6ce2.8c5d, SNAP [up]
  Delay of this IPX network, in ticks is 1
  IPXWAN processing not enabled on this interface.
  IPX SAP update interval is 60 seconds
  IPX type 20 propagation packet forwarding is disabled

 R4:
Rack30R4#ping 46.001a.6ce2.8c5d

Translating "46.001a.6ce2.8c5d"

Type escape sequence to abort.
Sending 5, 100-byte IPX Novell Echoes to 46.001a.6ce2.8c5d, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Rack30R4#

まとめ

1.1. Layer 2 Access Switchport

物理構成図と論理構成図の違いを意識して設定する必要があります。

1.8. VTP

DTPを介してvlan情報を伝搬させるため、DTPが無効になっていない事を確認します。

1.11. VTP Prune-Eligile List

以下のコマンドでVTP Prune-Eligible Listを定義します。

Switch(config-if)# swichport trunk pruning vlan vlan-list

1.16. 802.1q Tunneling

構成図および概要は以下の通りです。

• R1/SW1, SW2/R2間では、tag12を付与します。
• SW1/SW2間では、tag12の外側にtag100を付与します。
• cdpをtunnelし、R1/R2が互いを認識できるようにします。

┏━┓f0/0  ┏━━┓f0/2  ┏━━┓f0/1  ┏━┓
┃R1┣━━━┫SW1 ┣━━━┫SW2 ┣━━━┫R2┃
┗━┛  f0/1┗━━┛  f0/2┗━━┛  f0/0┗━┛

R1側の設定です。

interface FastEthernet0/0.12
 encapsulation dot1q 12
 ip address 12.0.0.1 255.255.255.0

SW1側の設定です。

interface fastEthernet0/1
 switchport access vlan 100
 switchport mode dot1q-tunnel
 l2protocol-tunnel cdp
 no cdp enable

上記設定のみでは、802.1qタグが2重で付けられるため、1500byteのパケットを転送する事ができなくなります (1500byteのping送信で確認可能 )。
MTUサイズを変更し、1500byteのパケットを転送できるようにします ( 要スイッチ再起動 )。

system mtu 1504

1.20 STP Load Balancing with Port Priority

STPにおいてroot portを選出する時に、以下の順番で優先順位を比較します。

• Root Bridgeまでのport cost
• 対向のbridge priority
• 対向のport priority (自身のport priorityではありません)

この優先順位を確認するためには、以下のshowコマンドを実行します。

Rack17SW4#show spa vlan 146 detail

 omitted

 Port 20 (FastEthernet0/20) of VLAN0146 is alternate blocking
   Port path cost 19, Port priority 128, Port Identifier 128.20.
   Designated root has priority 4242, address 001f.6d94.7b80
   Designated bridge has priority 32914, address 000f.f76d.ac80
   Designated port id is 16.20, designated path cost 19
   Timers: message age 2, forward delay 0, hold 0
   Number of transitions to forwarding state: 0
   Link type is point-to-point by default
   BPDU: sent 3, received 783

 Port 21 (FastEthernet0/21) of VLAN0146 is root forwarding
   Port path cost 19, Port priority 128, Port Identifier 128.21.
   Designated root has priority 4242, address 001f.6d94.7b80
   Designated bridge has priority 32914, address 000f.f76d.ac80
   Designated port id is 0.21, designated path cost 19
   Timers: message age 2, forward delay 0, hold 0
   Number of transitions to forwarding state: 1
   Link type is point-to-point by default
   BPDU: sent 5, received 785

Rack17SW4#

1.21. Tuning STP Convergence Timers

	BPDU	MAC address 学習	フレーム転送	遷移条件
Blocking	受信のみ	×	×	max age (20秒) 経過 or BPDU受信でListeningに遷移
Listening	送受信	×	×	forwarding delay (15秒) 経過でLearningに遷移
Learning	送受信	○	×	forwarding delay (15秒) 経過でLearningに遷移
Forwarding	送受信	○	○

1.24. STP UplinkFast

Edge Switch ( Access Layer ) に設定する機能で、Uplinkへの高速切換を提供します。

STPはdesignated portがnon-designated portに対しBPDUを定期的に送信する事で、障害を検出します。より具体的言えば、non-designated portはmax age (20秒)間、BPDUが受信できなかった場合、障害が発生したと判断しBlockingからListeningに遷移します。しかし、UplinkFastが設定されていると、root portがlink downすると、rootへの代替経路がmax ageを待たずに、BlockingからListeningに遷移します。その結果、切り替わり時間が50秒から30秒に削減されます。

さらに、Uplink fastは自身がRoot BridgeにならないようBridge Priorityを49153に変更し、path costに3000を加えます。

1.25. STP BackboneFast

BackboneFastは、UplinkFastでは検知できない間接リンクの障害を検知できるようになり、切り替わり時間が50秒から30秒に削減されます。

root portへの経路を失ったスイッチは、まず自身がroot bridgeとして立候補するために、自身のbridge priorityを設定したBPDUを他のスイッチへ送信します。もし、他のスイッチがnon desingeted portから現在参加しているSTPのbridge priorityよりも小さいbridge priorityのBPDUを受信したならば、間接リンクで障害が発生したのではないかと疑います。間接リンク障害の疑いがある場合は、代替経路のポートをBlockingからListeningに遷移されます。この機能がBackboneFastです。
以上、大雑把な説明になりましたが、詳細は以下のドキュメントを参照下さい。

http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800c2548.shtml

TODO 後で図ありの説明に変更しておこう。そうしないと忘れる気がする…

1.26. STP BPDU Guard

以下設定で、err disableを自動的に修復します。

Switch(config)# errdisable recovery cause bpduguad
Switch(config)# errdisable recovery interval sec

1.31 STP Loop guard

Loop guardは後述のUDLD guardと併用して用いる事が多い設定で、STP関連の不具合によるLoopを防止する機能です。
Loop guardを有効にするには以下の設定を投入します。

Switch(config-if)# spanning-tree guard loop

STPはdesigneted portからnon designeted portに対して、BPDUを送信する事で障害を検知します。通常の挙動では、non designeted portがBPDUを受信しなくなると、Blocking, Listening, Learning, Forwardingの順で遷移し転送可能になります。
一方、Loop guardを使用すると、non designeted portがBPDUを受信しなくなると、Listeningではなく"loop-inconsistent blocking"という状態に遷移します。loop-inconsistent blockingが正常にBPDUを受信し始めると、スイッチはLoopが発生していないと判断し、Forwardingに状態遷移させます。

なお、Vol I の設問では全ポートに対してLoop guardが設定されていますが、Loop guardが機能するのはnon designated portのみです。オンラインドキュメントによると、(状況によるので一概に良いとは言い切れませんが、)non designated port(正確には、root portとalternate port)に対してLoop guardを設定するのが良いデザインとされています。

Loop guardとUDLDの違いをまとめると以下の通りです。オンラインドキュメントそのままの引用ですが、大事な事なので転記します。

Function	Loop Guard	UDLD
Configuration	Per-port	Per-port
Action granularity	Per-VLAN	Per-port
Auto recover	Yes	Yes, with err-disable timeout feature
Protection against STP failures caused by unidirectional links	Yes, when enabled on all root and alternate ports in redundant topology	Yes, when enabled on all links in redundant topology
Protection against STP failures caused by problems in the software (designated switch does not send BPDU)	Yes	No
Protection against miswiring	No	Yes

1.32 Unidirection Link Detection

下記設定で、単方向リンクによる障害を検知します。何も指定しない場合はnormal modeで、aggressiveを指定した場合はaggressive modeになります。

Switch(config-if)# udld port [ aggressive ]

UDLDの各モードは以下の通りです。特に指定がない限りaggressive modeで設定するのが無難です。

aggressive mode	単方向リンク検出時に errdisable にします
mormal mode	単方向リンク検出時に undetermined とマークし、STPと同様の挙動をします (要は何もしないって事？)

1.37. Protected Ports

protected portを定義すると、そのポート間で通信しなくなります。

Switch(config-if)# switchport protected

1.40. SPAN

ingressを指定で、入力転送を許可できます。Linuxサーバなどでtcp dumpを取得しながらでも通常の通信ができるようになります。

Switch(config-if)# monitor session num destination interface interface ingress vlan vlan

1.42. Voice VLAN

Cosのタグ付き音声VLANによる通信です。音声がVLANを経由するようIP phone側で設定する必要があります。

Switch(config-if)# switchport voice vlan vlan

Cosのタグ付きアクセスVLANによる通信です。音声もデータもnative vlan経由で転送されます。具体的には以下のシナリオを想定した機能です。

• IP PhoneにPCを接続しない場合
• CDPを認識しない third party製IP Phoneを使用する場合

Switch(config-if)# switchport voice vlan dot1p

1.43. IP Phone Trust and CoS Extend

QoSを有効にします

Switch(config)# mls qos

IP Phone側で定義したCos値を信頼します。

Switch(config-if)# mls qos trust cos

受信したパケットのCos値を、対向の機種によって信頼するかどうかを定義する事ができます。以下は対向がCisco製のIP Phoneの場合、Cos値を信頼する設定です (cdpを有効にし、対向の機種を識別できるようにする必要があります) 。

Switch(config-if)# mls qos trust device cisco-phone

IP Phoneのsecond portに接続された機器(PCなど)のCos値を定義します。またはCos値を信頼します。

Switch(config-if)# switchport priority extend [{ cos value | trust }] 

1.44. Smartport Macros

マクロを定義する事で、ポートに対する設定を省力化する事ができます。マクロを定義する例は以下の通りです。

Switch(config)# macro name VLAN_100
switchport mode trunk
switchport encapsulation dot1q
switchport trunk native vlan 100
switchport nonegotiate
@

macro applyコマンドでマクロを適用する事ができます

Switch(config-if)# macro apply macro_name 

1.45. Flex Link

backup interfaceとは、冗長経路を提供する機能です。平常時はbackup interfaceを疎通不能な状態にし、active interfaceがdownした時のみ、backup interfaceを開放します。設定コマンドは以下の通りです。プリエンプト (active interfaceに障害が発生した後に、復旧した) 時の挙動は、以下3つのモードから選択できます。

Switch(config-if)# switchport backup interface backup_IF preemption mode [{ force | bandwidth | off }] 

preemption mode	description
force	active側を常に使用します
bandwidth	帯域が大きい方をactiveとします
off	active interfaceが復旧しても元の経路に戻しません (デフォルト)

active interfaceが復旧した際、backupからactiveに経路を戻す待ち時間を定義する事もできます。適切な値を設定する事で、フラッピングの影響を小さくする事ができます。

Switch(config-if)# switchport backup interface backup_IF preemption delay second

1.46. Fallback Bridging

以下設定で、SVIやルーテッドポート間でのブリッジングが可能となります。

Switch(config)# bridge group-num protocol vlan-bridge
Switch(config)# 
Switch(config)# interface interface
Switch(config-if)# bridge-group group-num

1.47. Private VLAN

Private VLANという機能により、VLANをさらに分割する事ができます。Private VLANに関する概念をまとめると以下の通りです。

vlan name	port name	転送先
primary vlan	promiscuous port	全てのvlanに転送します
community vlan (secondary vlan)	community port	同一のcommunity vlanとprimary vlanに転送します
isolate vlan (secondary vlan)	isolate port	primary vlanにのみ転送します

1.48. PPP

PPP接続においてPAP認証を設定する方法は以下の通りです。

• サーバ側設定

interface interface
encapsulation ppp
ppp authentication pap
!
username username password password

• クライアント側設定

interface interface
 encapsulation ppp
 ppp pap sent-username username password password

PPP接続においてCHAP認証を設定する方法は以下の通りです。CHAPは双方で同じパスワードを設定する必要があります。

interface interface
 encapsulation ppp
 ppp authentication chap
 ppp chap hostname alter_chap_hostname
!
username remote_alter_chap_hostname password password

以下の設定により、サーバ側からPAP接続を求められた場合、クライアントはPAPを拒否しPAP以外の認証方法を求める事ができます。

Router(config-if)# ppp pap refuse

1.49. PPP AAA Authentication

認証サーバの設定方法は、全体に対して設定する方法(global configuration)と認証サーバ設定に対して名前をつけて設定する方法があります。全体に対して設定する方法は以下の通りです。

Router(config)# [{ tacacs-server | radius-server }] host addr

認証サーバに対して名前をつけて設定する方法は以下の通りです。

Router(config)# aaa group server [{ tacacs | radiusgroup_name
Router(config-xxx)# server-private addr 

1.50. PPPoE

PPPoEサーバの基本的な設定は、以下のようにBBA(broadband access)グループを用いて物理I/FとVirtual-templateの紐づけを定義します。

interface interface
 pppoe enable group bba_group
!
bba-group pppoe bba_group
 virtual-template num
!
&b(){interface Virtual-Template} &i(){num}
&space() &b(){encapsulation ppp}
&space() &b(){ip address} &i(){addr} &i(){mask} 

</pre>
}}

BBAに対し、session数の上限を定義する事ができます。

Router(config-bba-group)# sessions [{ per-mac | per-vc | per-vlan }] limit allow_count
Router(config-bba-group)# sessions [{ per-mac | per-vc | per-vlan }] throttle allow_count allow_time block_time

PPPoEクライアントの基本的な設定は、以下のようにdialer poolを用いて物理I/FとダイヤルI/Fの紐づけを定義します。また、ダイヤルI/F側にカプセル化やIPアドレスの設定をする事にも注意する必要があります。

interface interface
 pppoe enable
 pppoe dialer-pool-number pool_num
!
interface Dialer num
 encapsulation ppp
 ip address addr mask
 dialer pool pool_num