本連載は、ネットワーク構築に必須となるLANスイッチについて、動作や仕組みを解説しながら実際の設定例を示し、ネットワークを身近に感じていただける事を目的としています。
第一回では、LANスイッチの管理と監視について解説しました。第二回の本稿では、LANスイッチで通信量を制御する方法について解説します。通信量はトラフィックとも呼ばれます。
1.ブロードキャストストーム
スパニングツリープロトコルが無効なLANスイッチでループ構成になると、フレームが回り続ける可能性があります。また、スパニングツリープロトコルを有効にしていても、無効なLANスイッチが接続されてループ構成になると、大量のフレームが流れてくる可能性があります。
宛先が全てといったフレームをブロードキャストと言います。ブロードキャストの宛先MACアドレスは、FF:FF:FF:FF:FF:FFです。ブロードキャストは全てのポートに転送されるため、ループが発生すると永遠に回り続けて減る事がありません。 このため、すぐに輻輳状態となって通信できなくなります。これをブロードキャストストームと言います。以下は、ブロードキャストストームが発生した時のトラフィック推移です。
ブロードキャストストームが発生すると、ループしたポートだけが通信できなくなるのではありません。ブロードキャストは全てのポートに転送されるため、他のポートに接続された機器もほとんど通信できなくなります。
2.ストームコントロール
ブロードキャストストームを防ぐ1つの方法として、ストームコントロールがあります。ストームコントロールは、上限となる閾値(しきいち:Threshold)よりトラフィックが多くなると、フレームを破棄したり、ポートを使えなくしたりできます。 以下は、ループ発生時にストームコントロールでフレームを破棄した場合のトラフィック推移です。
このように、ループしたポートのブロードキャストを破棄し、他のポートに転送されるトラフィックを一定量に抑える事ができます。上記のトラフィックであれば、他のポートは継続して通信ができます。
一定量に抑えるのではなく、ループしたフレームを完全に遮断したい場合は、閾値を超えたポートを使えないようにする事もできます。
3.ストームコントロールの設定例
ネットギア製品のスマートスイッチでは、ログイン後に「Security」→「Traffic Control」→「Storm Control」を選択する事でストームコントロールが設定できます。
赤枠部分で「Broadcast」を選択すると、ブロードキャストに対するストームコントロールを設定できます。他には「Unknown Unicast」と「Multicast」が選択できます。「Unknown Unicast」は宛先が決まっていますが、MACアドレステーブルにない全てのポートに転送されるフレームです。「Multicast」はグループ宛てのフレームで、グループに属する機器だけ受信しますが、デフォルトでは全てのポートに転送されます。
つまり、複数のポートに転送してフレームを増殖する可能性のある3種類のフレームから選択し、個別に閾値が設定できます。緑枠部分の「Status」で「Enable」を選択し、「Threshold」を%で指定します。例えば、1000BASE-Tのポートに対して5を指定すると、1000Mbpsの5%で50Mbpsが閾値になります。「Control Action」は、デフォルトが「Rate Limit」でThresholdを上限にフレームを破棄します。「Broadcast」を選択した時は「Shutdown」が選択でき、ポートを使えない状態にします。「APPLY」をクリックすると、設定が反映されます。ここで設定した内容は、全ポートに反映されます。ボート別に設定する場合、赤枠部分を選択後、青枠部分でポートにチェックを入れ、黄色部分で設定を行います。
4.ポートセキュリティ
LANスイッチ配下に別のLANスイッチを接続し、自由にパソコン等を接続されるとセキュリティ上問題になる事があります。これを防ぐ1つの方法として、ポートセキュリティがあります。ポートセキュリティは、接続可能な台数を設定し、その台数分のMACアドレスを学習します。 学習したMACアドレスを送信元とするフレームは転送されますが、台数を越えた場合はMACアドレスが学習されず、そのフレームは破棄されます。
学習したMACアドレスはLANスイッチを再起動すると消えてしまいますが、再起動しても消えないように登録する事もできます。
5.ポートセキュリティの設定例
ポートセキュリティは、「Port Security」→「Port Security Configuration」を選択する事で有効にできます。
赤枠部分でEnableを選択し、「APPLY」をクリックする事で設定が反映されます。ポートセキュリティを利用するポートは、「Interface Configuration」で設定します。
赤枠部分をチェックすると全ポートに対して設定が可能です。青枠部分でポートを選択すると、選択したポートに対して個別に設定ができます。 緑枠部分では「Port Security」で「Enable」を選択し、「Max Allowed Dynamically Learned MAC」で学習するMACアドレスの数、「Max Allowed Statically Learned MAC」で再起動しても消えないMACアドレスの数を指定します。 「Enable Violation Traps」で「Yes」を選択すると、学習するMACアドレスの数を超えた時にTrapを送信する事ができます。「APPLY」をクリックすると、設定が反映されます。学習したMACアドレスは、「Security MAC Address」で確認できます。
赤枠部分でポートを選択すると、選択したポートで現在学習しているMACアドレスが緑枠部分に表示されます。表示されたMACアドレスが再起動しても消えないよう登録するには、青枠部分にチェックを入れて「APPLY」をクリックします。 ポートに設定した「Max Allowed Statically Learned MAC」の数まで登録できます。登録したMACアドレスは、「Switching」→「Address Table」→「Advanced」→「Static MAC Address」で参照可能です。また、MACアドレスを選択して削除する事もできます。
6.プロテクトポート
同一VLAN内でも通信できないようにしたい場合があります。例えば、他のパソコンで通信を傍受されたくない、またはパソコン間の通信によりウィルスが蔓延するのを防ぎたい場合等です。このような時は、プロテクトポートが有効です。
プロテクトポートを設定すると、プロテクトポートと通常のポート間のフレームは転送されますが、プロテクトポート間のフレームは全て破棄されます。
7.プロテクトポートの設定例
プロテクトポートは「Protected Ports」を選択する事で設定できます。
赤枠部分の「PORT」をクリックすると青枠部分のようにポート一覧が表示されるため、プロテクトポートにしたいポートをクリックして×にします。「APPLY」をクリックすると設定が反映されて、×にしたポート間のフレームは破棄されるようになります。
8.おわりに
第二回では、トラフィック制御の機能と設定について解説しました。ストームコントロールでダウンしたポートは、「Switching」→「Ports」→「Port Configuration」で「Admin Mode」がDisableになっています。 このため、該当のポートを選択してEnableにすると、使えるようになります。次回は、ACL(Access Control List)についてご紹介します。
著者:のびきよ
2004 年に「ネットワーク入門サイト」を立ち上げ、初心者にも分かりやすいようネットワーク全般の技術解説を掲載中。著書に「短期集中! CCNA Routing and Switching/CCENT教本」、「ネットワーク運用管理の教科書」(マイナビ出版)がある。
(マイナビニュース広告企画:提供 ネットギアジャパン)
[PR]提供: