PRIMERGY BX600 スイッチブレード（1Gbps）（PG-SW107）コマンド設定事例集

Size: px

Start display at page:

Download "PRIMERGY BX600 スイッチブレード（1Gbps）（PG-SW107）コマンド設定事例集"

さわつちた
9 years ago
Views:

1 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集本書の構成本書をお読みになる前に安全にお使いいただくための注意事項や本書の表記について説明しています必ずお読みください第 1 章 VLAN 機能を使うここではパケットを VLAN で送受信する場合の設定方法について説明します第 2 章第 3 章第 4 章第 5 章第 6 章リンクアグリゲーション機能を使うここでは 4 ポートの 1000M 回線をリンクアグリゲーションとする場合の設定方法を説明しますバックアップポート機能を使うここではアップリンクポートをバックアップポートとして利用する場合の設定方法について説明します MAC フィルタリング機能を使うここでは VLAN 内のポートで制御する MAC フィルタの設定方法について説明しますスタティック MAC フォワーディング機能を使うここではスタティック MAC フォワーディング機能を利用する場合の設定方法について説明します QoS 機能を使うここでは QoS 機能を利用する場合の設定方法について説明します第 7 章 STP 機能を使うここでは STP 機能を利用する場合の設定方法を説明します第 8 章 IGMP スヌープ機能を使うここでは IGMP スヌープ機能を利用する場合の設定方法について説明します第 9 章 IEEE802.1X 認証機能を使うここでは IEEE802.1X 認証機能を利用する場合の設定方法について説明します第 10 章 MAC アドレス認証機能を使うここでは MAC アドレス認証機能を利用する場合の設定方法について説明します第 11 章接続端末数制限機能を使うここでは接続端末数制限機能を利用する場合の設定方法について説明します第 12 章ループ検出機能を使うここではループ検出機能を利用する場合の設定方法について説明します 1

設定方法について説明します MAC フィルタリング機能を使うここでは VLAN 内のポートで制御する MAC フィルタの設定方法について説明しますスタティック MAC フォワーディング機能を使うここではスタティック MAC フォワーディング機能を利用する場合の設定方法について説明します QoS

2 第 13 章第 14 章ポートミラーリング機能を使うここではポートミラーリング機能を使ってソースポートを監視する場合の設定方法について説明します ether L3 監視機能を使うここでは ether L3 監視機能を利用する場合の設定方法について説明します第 15 章ポート閉塞機能を使うここではポート閉塞機能を利用する場合の設定方法について説明します第 16 章 IP フィルタリング機能を使うここでは IP フィルタリング機能を利用する場合の設定方法について説明します第 17 章 DSCP 値書き換え機能を使うここでは DSCP 値書き換え機能を利用する場合の設定方法について説明します第 18 章 DHCP 機能を使うここでは DHCP 機能を使用する場合の設定方法について説明します第 19 章 DNS サーバ機能を使う(ProxyDNS) ここでは DNS サーバ機能の設定方法について説明します第 20 章 SNMP エージェント機能を使うここでは SNMP ホストに対して MIB 情報を通知する場合の設定方法を説明します第 21 章システムログを採取するここではシステムログを採取する場合の設定方法を説明します第 22 章スケジュール機能を使うここではスケジュール機能を利用する場合の設定方法について説明します第 23 章アプリケーションフィルタ機能を使うここではアプリケーションフィルタを利用して各サーバ機能へのアクセスを制限する場合の設定方法を説明します 2

機能を利用する場合の設定方法について説明します第 18 章 DHCP 機能を使うここでは DHCP 機能を使用する場合の設定方法について説明します第 19 章 DNS サーバ機能を使う(ProxyDNS) ここでは DNS サーバ機能の設定方法について説明します第 20 章 SNMP

3 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集本書をお読みになる前に安全にお使いいただくためにこのマニュアルには本製品を安全に正しくお使いいただくための重要な情報が記載されています本製品をお使いになる前にこのマニュアルを熟読してください特にシャーシまたはサーバブレードに添付の安全上のご注意をよくお読みになり理解された上で本製品をお使いくださいまた安全上のご注意およびマニュアルは本製品の使用中にいつでもご覧になれるよう大切に保管してくださいデータのバックアップについて本装置に記録されたデータ( 基本ソフト(OS) アプリケーションソフトも含む)の保全についてはお客様ご自身でバックアップなどの必要な対策を行ってくださいまた修理を依頼される場合もデータの保全については保証されませんので事前にお客様ご自身でバックアップなどの必要な対策を行ってくださいデータが失われた場合でも保証書の記載事項以外は弊社ではいかなる理由においてもそれに伴う損害やデータの保全修復などの責任を一切負いかねますのでご了承ください注意この装置は情報処理装置等電波障害自主規制協議会 (VCCI)の基準に基づくクラス A 情報技術装置ですこの装置を家庭環境で使用すると電波妨害を引き起こすことがありますこの場合には使用者が適切な対策を講ずるよう要求されることがありますアルミ電解コンデンサについて本装置のプリント板ユニットやマウスキーボードに使用しているアルミ電解コンデンサは寿命部品であり寿命が尽きた状態で使用し続けると電解液の漏れや枯渇が生じ異臭の発生や発煙の原因になる場合があります目安として通常のオフィス環境 (25 )で使用された場合には保守サポート期間内 (5 年 )には寿命に至らないものと想定していますが高温環境下での稼働等お客様のご使用環境によってはより短期間で寿命に至る場合があります寿命を越えた部品について交換が可能な場合は有償にて対応させて頂きますなお上記はあくまで目安であり保守サポート期間内に故障しないことをお約束するものではありません本製品のハイセイフティ用途での使用について本製品は一般事務用パーソナル用家庭用通常の産業用等の一般的用途を想定して設計製造されているものであり原子力施設における核反応制御航空機自動飛行制御航空交通管制大量輸送システムにおける運行制御生命維持のための医療器具兵器システムにおけるミサイル発射制御など極めて高度な安全性が要求され仮に当該安全性が確保されない場合直接生命身体に対する重大な危険性を伴う用途 ( 以下ハイセイフティ用途という)に使用されるよう設計製造されたものではございませんお客様は当該ハイセイフティ用途に要する安全性を確保する措置を施すことなく本製品を使用しないでくださいハイセイフティ用途に使用される場合は弊社の担当営業までご相談ください当社のドキュメントには外国為替および外国貿易管理法に基づく特定技術が含まれていることがあります特定技術が含まれている場合は当該ドキュメントを輸出または非居住者に提供するとき同法に基づく許可が必要となります 3

アプリケーションソフトも含む)の保全についてはお客様ご自身でバックアップなどの必要な対策を行ってくださいまた修理を依頼される場合もデータの保全については保証されませんので事前にお客様ご自身でバックアップなどの必要な対策を行ってくださいデータが失われた場合でも保証書の

4 本書の内容についてこのたびは弊社の PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)をお買い上げいただき誠にありがとうございます本書はネットワークを構築するために代表的な接続形態や本製品の機能を活用した接続形態について説明しています本書をよくお読みになり正しい取り扱いをされますようお願いいたします 2007 年 5 月本書の表記警告表示本書ではいろいろな絵表示を使っていますこれは装置を安全に正しくお使いいただきあなたや他の人々に加えられるおそれのある危害や損害を未然に防止するための目印となるものですその表示と意味は次のようになっています内容をよくご理解の上お読みください警告注意この表示を無視して誤った取り扱いをすると人が死亡する可能性または重傷を負う可能性があることを示していますこの表示を無視して誤った取り扱いをすると人が傷害を負う可能性があることおよび物的損害のみが発生する可能性があることを示していますまた危害や損害の内容がどのようなものかを示すために上記の絵表示と同時に次の記号を使っていますで示した記号は警告注意を促す内容であることを告げるものです記号の中やその脇には具体的な警告内容が示されていますで示した記号はしてはいけない行為 ( 禁止行為 )であることを告げるものです記号の中やその脇には具体的な禁止内容が示されていますで示した記号は必ず従っていただく内容であることを告げるものです記号の中やその脇には具体的な指示内容が示されています本文中の記号本文中に記載されている記号には次のような意味があります記号重要 POINT 意味お使いになる際の注意点やしてはいけないことを記述しています必ずお読みくださいハードウェアやソフトウェアを正しく動作させるために必要なことが書いてあります必ずお読みください参照ページや参照マニュアルを示しています 4

次のようになっています内容をよくご理解の上お読みください警告注意この表示を無視して誤った取り扱いをすると人が死亡する可能性または重傷を負う可能性があることを示していますこの表示を無視して誤った取り扱いをすると人が傷害を負う可能性があることおよび物

5 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集キーの表記と操作方法本文中のキーの表記はキーボードに書かれているすべての文字を記述するのではなく説明に必要な文字を次のように記述しています例 : Ctrl キー Enter キーキーなどまた複数のキーを同時に押す場合には次のように + でつないで表記しています例 : Ctrl + F3 キー Shift + キーなどコマンド入力 (キー入力 ) 本文中ではコマンド入力を次のように表記していますの箇所のように文字間隔を空けて表記している部分は Space キーを 1 回押してください使用する OS が Windows の場合はコマンド入力を英大文字英小文字のどちらで入力してもかまいませんご使用の環境によってが \ と表示される場合があります CD-ROM ドライブのドライブ名を [CD-ROM ドライブ]で表記しています入力の際はお使いの環境に合わせてドライブ名を入力してください [CD-ROM ドライブ]:\setup.exe 画面例およびイラストについて表記されている画面およびイラストは一例ですお使いの機種によって実際に表示される画面やイラストおよびファイル名などが異なることがありますまたこのマニュアルに表記されているイラストは説明の都合上本来接続されているケーブル類を省略していることがあります連続する操作の表記本文中の操作手順において連続する操作手順をでつないで表記しています例 : スタートボタンをクリックしプログラムをポイントしアクセサリをクリックする操作スタートボタンプログラムアクセサリの順にクリックします設定例の記述についてコマンド例では configure コマンドを実行して構成定義モードに入ったあとのコマンドを記述していますまたプロンプトは設定や機種によって変化するため "#" に統一しています 5

$OS が Windows の場合はコマンド入力を英大文字英小文字のどちらで入力してもかまいませんご使用の環境によってが \ と表示される場合があります CD-ROM ドライブのドライブ名を [CD-ROM ドライブ]で表記しています入力の際はお使いの環境に合わせてドライブ名を入力$

6 製品の呼び方本文中の製品名称を次のように略して表記しますなお本書ではお使いの OS 以外の情報もありますがご了承ください製品名称 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107) Microsoft Windows Server 2003 R2, Standard x64 Edition Microsoft Windows Server 2003 R2, Enterprise x64 Edition Microsoft Windows Server 2003 R2, Standard Edition Microsoft Windows Server 2003 R2, Enterprise Edition Microsoft Windows Server 2003, Standard x64 Edition Microsoft Windows Server 2003, Enterprise x64 Edition Microsoft Windows Server 2003, Standard Edition Microsoft Windows Server 2003, Enterprise Edition Microsoft Windows XP Professional operating system Microsoft Windows XP Home Edition operating system Microsoft Windows 2000 Professional operating system Microsoft Windows 2000 Server Network operating system 本文中の表記スイッチブレードスイッチ本製品 Windows Windows 2000 本書の対象読者本書はネットワーク管理を行う担当者を対象としていますネットワークおよびインターネットに関する基本的な知識が必要です製品のマニュアルの構成本製品のマニュアルの構成は次のとおりです使用目的に応じてお使いくださいマニュアル名称取扱説明書コマンド設定事例集 ( 本書 ) コマンドリファレンスコマンドユーザーズガイド機能説明書メッセージ集トラブルシューティング内容本製品の取り扱いの基本的な事柄について説明していますコマンドを使用した基本的な接続形態または機能の活用方法について説明していますコマンドの項目やパラメタの詳細な情報について説明していますコマンドを使用して時刻などの基本的な設定またはメンテナンスについて説明しています本製品の便利な機能について説明していますシステムログ情報などのメッセージの詳細な情報について説明していますトラブルが起きたときの原因と対処方法について説明しています Microsoft Windows Windows Server は米国 Microsoft Corporation の米国およびその他の国における登録商標または商標ですその他の各製品名は各社の商標または登録商標ですその他の各製品は各社の著作物です All Rights Reserved, Copyright FUJITSU LIMITED

Standard x64 Edition Microsoft Windows Server 2003, Enterprise x64 Edition Microsoft Windows Server 2003, Standard Edition Microsoft Windows Server 2003, Enterprise Edition Microsoft Windows XP

7 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集目次第 1 章 VLAN 機能を使う 1.1 ポート VLAN 機能を使うタグ VLAN 機能を使うプロトコル VLAN 機能を使う第 2 章リンクアグリゲーション機能を使う 2.1 リンクアグリゲーション機能を使う LACP 機能を使う第 3 章バックアップポート機能を使う 3.1 バックアップポート機能を使う第 4 章 MAC フィルタリング機能を使う 4.1 MACフィルタリング機能を使うフィルタリング条件フィルタリングの設計方針特定 MAC アドレスからのパケットだけを許可する特定 MAC アドレスへのパケットだけを許可する特定パケット形式のパケットだけを禁止する VLAN 単位で特定 MAC アドレス間の通信だけを遮断する VLAN 単位で特定パケット形式のパケットだけを許可する第 5 章スタティック MAC フォワーディング機能を使う 5.1 スタティック MAC フォワーディング機能を使う第 6 章 QoS 機能を使う 6.1 優先制御機能を使う優先制御情報書き換え機能を使うパケットの COS 値を指定した値で書き換えるパケットの COS 値をパケットの ip precedence 値で書き換えるパケットの DSCP 値を指定した値で書き換えるパケットの ip precedence 値を指定した値で書き換えるパケットの ip precedence 値をパケットの COS 値で書き換える VLAN 単位でパケットの出力キューを変更する

1 バックアップポート機能を使う............................. 24 第 4 章 MAC フィルタリング機能を使う 4.1 MACフィルタリング機能を使う............................ 26 4.1.1 フィルタリング条件...........................................27 4.

8 第 7 章 STP 機能を使う 7.1 STPを使う MSTPを使う第 8 章 IGMP スヌープ機能を使う 8.1 IGMPスヌープ機能を使う第 9 章 IEEE802.1X 認証機能を使う 9.1 IEEE802.1X 認証機能を使う第 10 章 MAC アドレス認証機能を使う 10.1 MACアドレス認証機能を使う第 11 章接続端末数制限機能を使う 11.1 接続端末数制限機能を使う第 12 章ループ検出機能を使う 12.1 ループ検出機能を使う第 13 章ポートミラーリング機能を使う 13.1 ポートミラーリング機能を使う第 14 章 ether L3 監視機能を使う 14.1 ether L3 監視機能を使うリンクアグリゲーション機能を使用した ether L3 監視機能を使う. 76 第 15 章ポート閉塞機能を使う 15.1 ポート閉塞機能を使う第 16 章 IP フィルタリング機能を使う 16.1 IPフィルタリング機能を使う IP フィルタリングの条件 IP フィルタリングの設計方針外部の特定サービスへのアクセスだけ許可する外部から特定サーバへのアクセスだけ許可する外部の特定サーバへのアクセスだけを禁止する外部から特定サーバへの ping だけを禁止する

............................ 60 第 11 章接続端末数制限機能を使う 11.1 接続端末数制限機能を使う............................... 64 第 12 章ループ検出機能を使う 12.1 ループ検出機能を使う.

9 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集第 17 章 DSCP 値書き換え機能を使う 17.1 DSCP 値書き換え機能を使う DSCP 値書き換え機能の条件第 18 章 DHCP 機能を使う 18.1 DHCPサーバ機能を使う DHCPスタティック機能を使う第 19 章 DNS サーバ機能を使う(ProxyDNS) 19.1 DNS サーバの自動切り替え機能 ( 順引き)を使うパソコン側の設定を確認する DNS サーバの自動切り替え機能 ( 逆引き)を使うパソコン側の設定を確認する DNS 問い合わせタイプフィルタ機能を使う本製品側を設定するパソコン側の設定を行う DNSサーバ機能を使う本製品側を設定するパソコン側の設定を行う第 20 章 SNMP エージェント機能を使う 20.1 SNMPエージェント機能を使う第 21 章システムログを採取する 21.1 システムログを採取する採取したシステムログを確認する第 22 章スケジュール機能を使う 22.1 構成定義情報の切り替えを予約する第 23 章アプリケーションフィルタ機能を使う 23.1 アプリケーションフィルタ機能を使う

1 DNS サーバの自動切り替え機能 ( 順引き)を使う............ 104 19.1.1 パソコン側の設定を確認する..................................105 19.2 DNS サーバの自動切り替え機能 ( 逆引き)を使う............ 106 19.2.1 パソコン側の設定を確認する..................................107 19.

10 10

11 第 1 章 VLAN 機能を使うここではパケットを VLAN で送受信する場合の設定方法について説明します機能説明書 2.5 VLAN 機能 1.1 ポート VLAN 機能を使うタグ VLAN 機能を使うプロトコル VLAN 機能を使う

....................... 12 1.2 タグ VLAN 機能を使う.......................... 13 1.

12 第 1 章 VLAN 機能を使う 1.1 ポート VLAN 機能を使う適用機種 PG-SW107 ここではポート単位でグループ化したタグなしパケットをポート VLAN で送受信する場合の設定方法を説明します VLAN HUB VLAN HUB / /24 VLAN ID 10 VLAN ID 20 設定条件 ETHER31 35 ポートを使用する VLAN 対応スイッチング HUB で VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:10 ネットワークアドレス: /24 VLAN ID:20 ネットワークアドレス: /24 前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド ETHER31 ポートを設定する # ether 31 vlan untag 10 ETHER35 ポートを設定する # ether 35 vlan untag /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan /24 のネットワークを設定する # lan 1 ip address /24 3 # lan 1 vlan 20 設定終了 # save # commit 12

168.20.0/24 前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド ETHER31 ポートを設定する # ether 31 vlan untag 10 ETHER35 ポートを設定する # ether 35 vlan untag 20 192.168.10.1/24 のネットワークを設定する # lan 0 ip address 192.

13 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 1.2 タグ VLAN 機能を使う適用機種 PG-SW107 ここでは 1 つのポートで 2 つの VLAN からのタグ付きパケットをそれぞれの VLAN で送受信する場合の設定方法を説明します 1 VLAN 機能を使う VLAN HUB VLAN HUB VLAN ID 10 VLAN ID 20 VLAN ID 10 VLAN ID 20 設定条件 ETHER31 35 ポートを使用する VLAN 対応スイッチング HUB で VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:10 ネットワークアドレス: /24 VLAN ID:20 ネットワークアドレス: /24 前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド ETHER31 ポートを設定する # ether 31 vlan tag 10,20 ETHER35 ポートを設定する # ether 35 vlan tag 10, /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan /24 のネットワークを設定する # lan 1 ip address /24 3 # lan 1 vlan 20 設定終了 # save # commit 13

VLAN ID 20 設定条件 ETHER31 35 ポートを使用する VLAN 対応スイッチング HUB で VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:10 ネットワークアドレス:192.168.10.0/24 VLAN ID:20 ネットワークアドレス:192.168.20.0/24 前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド ETHER31 ポートを設定する # ether 31 vlan tag 10,20 ETHER35 ポートを設定する # ether 35 vlan tag 10,20 192.

14 第 1 章 VLAN 機能を使う 1.3 プロトコル VLAN 機能を使う適用機種 PG-SW107 ここでは IP プロトコルのパケットをそれぞれのポートで VLAN10 および VLAN20 として送受信し IP プロトコル以外のパケットについては VLAN100 として送受信する場合の設定方法を説明します VLAN HUB VLAN HUB / /24 VLAN ID 10 IP VLAN ID 20 IP VLAN ID 100 IP 設定条件 ETHER31 35 ポートを使用する VLAN 対応スイッチング HUB で VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:10 ネットワークアドレス: /24 VLAN ID:20 ネットワークアドレス: /24 VLAN ID:100 14

のパケットについては VLAN100 として送受信する場合の設定方法を説明します VLAN HUB VLAN HUB 192.168.10.0/24 192.168.20.

15 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド ETHER31 ポートを設定する # ether 31 vlan untag 10,100 ETHER35 ポートを設定する # ether 35 vlan untag 20,100 VLAN10 20 を IPv4 プロトコル VLAN に設定する # vlan 10 protocol ipv4 # vlan 20 protocol ipv /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan 10 1 VLAN 機能を使う /24 のネットワークを設定する # lan 1 ip address /24 3 # lan 1 vlan 20 設定終了 # save # commit 15

10 protocol ipv4 # vlan 20 protocol ipv4 192.168.10.1/24 のネットワークを設定する # lan 0 ip address 192.168.10.1/24 3 # lan 0 vlan 10 1 VLAN 機能を使う 192.

16 16 第 1 章 VLAN 機能を使う

17 第 2 章リンクアグリゲーション機能を使うここでは 4 ポートの 1000M 回線をリンクアグリゲーションとする場合の設定方法を説明します機能説明書 2.6 リンクアグリゲーション機能 2.1 リンクアグリゲーション機能を使う LACP 機能を使う

6 リンクアグリゲーション機能 2.1 リンクアグリゲーション機能を使う................ 18 2.

18 第 2 章リンクアグリゲーション機能を使う 2.1 リンクアグリゲーション機能を使う適用機種 PG-SW107 ここでは 4 ポートの 1000M 回線をリンクアグリゲーションとする場合の設定方法を説明します 1 2 設定条件 ETHER31~ 34 ポートを使用するメディア種別を 10/100/1000BASE-T ポートに変更する通信速度を 1000Mbps 固定に変更する VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:10 ネットワークアドレス: /24 VLAN ID:20 ネットワークアドレス: /24 前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド [ 本製品 1] ETHER31 ~ 34 ポートを設定する # ether mode 1000 # ether vlan tag 10,20 ETHER31 ~ 34 ポートをリンクアグリゲーションとして設定する # ether type linkaggregation /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan /24 のネットワークを設定する # lan 1 ip address /24 3 # lan 1 vlan 20 設定終了 # save # commit 18

1000Mbps 固定に変更する VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:10 ネットワークアドレス:192.168.10.0/24 VLAN ID:20

19 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 [ 本製品 2] ETHER31 ~ 34 ポートを設定する # ether mode 1000 # ether vlan tag 10,20 ETHER31 ~ 34 ポートをリンクアグリゲーションとして設定する # ether type linkaggregation /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan /24 のネットワークを設定する # lan 1 ip address /24 3 # lan 1 vlan 20 設定終了 # save # commit 2 リンクアグリゲーション機能を使う 19

31 192.168.10.2/24 のネットワークを設定する # lan 0 ip address 192.168.10.2/24 3 # lan 0 vlan 10 192.168.20.

20 第 2 章リンクアグリゲーション機能を使う 2.2 LACP 機能を使う適用機種 PG-SW107 ここでは 4 ポートの 1000M 回線を LACP を利用したリンクアグリゲーションとする場合の設定方法を説明します機能説明書 LACP 機能 1 2 設定条件 ETHER31~ 34 ポートを使用するメディア種別を 10/100/1000BASE-T ポートに変更する通信速度を 1000Mbps 固定に変更する VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:10 ネットワークアドレス: /24 VLAN ID:20 ネットワークアドレス: /24 前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド [ 本製品 1] ETHER31 ~ 34 ポートを設定する # ether mode 1000 # ether vlan tag 10,20 ETHER31 ~ 34 ポートをリンクアグリゲーションとして設定する # ether type linkaggregation 1 1 LACP を利用したリンクアグリゲーションとして設定する # linkaggregation 1 mode active /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan /24 のネットワークを設定する # lan 1 ip address /24 3 # lan 1 vlan 20 設定終了 # save # commit 20

21 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 [ 本製品 2] ETHER31 ~ 34 ポートを設定する # ether mode 1000 # ether vlan tag 10,20 ETHER31 ~ 34 ポートをリンクアグリゲーションとして設定する # ether type linkaggregation 1 1 LACP を利用したリンクアグリゲーションとして設定する # linkaggregation 1 mode active /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan /24 のネットワークを設定する # lan 1 ip address /24 3 # lan 1 vlan 20 設定終了 # save # commit 2 リンクアグリゲーション機能を使う 21

22 22 第 2 章リンクアグリゲーション機能を使う

23 第 3 章バックアップポート機能を使うここではアップリンクポートをバックアップポートとして利用する場合の設定方法について説明します 3.1 バックアップポート機能を使う

24 第 3 章バックアップポート機能を使う 3.1 バックアップポート機能を使う適用機種 PG-SW107 ここではアップリンクポートをバックアップポートとして利用する場合の設定方法について説明します機能説明書 2.7 バックアップポート機能アップリンクポートをそれぞれ異なるスイッチに接続することで冗長アップリンクの形態にできます PG-SW107 ETHER31 ETHER32 設定条件 ETHER31 32 ポートをバックアップポートとして使用する (ETHER31 をマスタポート ETHER32 をバックアップポートとする) マスタポートを優先的に使用する前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド [ 本製品 1] ETHER31 ポートをバックアップポート(グループ 1)のマスタポートに設定する # ether 31 type backup 1 master ETHER32 ポートをバックアップポート(グループ 1)のバックアップポートに設定する # ether 32 type backup 1 backup バックアップグループ 1 をマスタポート優先モードに設定する # backup 1 mode master 設定終了 # save # commit 24

25 第 4 章 MAC フィルタリング機能を使うここでは VLAN 内のポートで制御する MAC フィルタの設定方法について説明します機能説明書 2.9 MAC フィルタ機能 4.1 MAC フィルタリング機能を使う特定 MAC アドレスからのパケットだけを許可する特定 MAC アドレスへのパケットだけを許可する特定パケット形式のパケットだけを禁止する VLAN 単位で特定 MAC アドレス間の通信だけを遮断する VLAN 単位で特定パケット形式のパケットだけを許可する 32 25

26 第 4 章 MAC フィルタリング機能を使う 4.1 MAC フィルタリング機能を使う適用機種 PG-SW107 本製品を経由するパケットを MAC アドレスパケット形式 ETHERNET タイプ VLAN ID COS 値などの組み合わせで制御することによってネットワークのセキュリティを向上させたりネットワークへの負荷を軽減できます MAC 26

27 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集フィルタリング条件以下の条件を指定することによってパケットデータの流れを制御できます ACLの MAC 定義および VLAN 定義で指定した以下の情報送信元 MAC 情報 (MAC アドレス/パケット形式 / ETHERNET タイプ/ LSAP) あて先 MAC 情報 (MAC アドレス/パケット形式 / ETHERNET タイプ/ LSAP) VLAN ID COS 値送信元 IP 情報 (IP アドレス/アドレスマスク) あて先 IP 情報 (IP アドレス/アドレスマスク) プロトコル TCP UDP のポート番号 ICMP TYPE ICMP CODE IP パケットの TOS 値 DSCP 値フィルタ処理の対象となるパケット入力 ETHER ポートフィルタ処理の対象となるパケットが入力 ETHER ポートに入力された場合の動作 ( 遮断または透過 ) フィルタリングの設計方針フィルタリングの設計方針には大きく分類して以下の 2 つがあります A. 特定の条件のパケットだけを透過させその他はすべて遮断する B. 特定の条件のパケットだけを遮断しその他はすべて透過させるここでは設計方針 A の例として以下の設定例について説明します特定 MAC アドレスからのパケットだけを許可する特定 MAC アドレスへのパケットだけを許可するまた設計方針 B の例として以下の設定例について説明します特定パケット形式のパケットだけを禁止する 4 MAC フィルタリング機能を使う

28 第 4 章 MAC フィルタリング機能を使う 4.2 特定 MAC アドレスからのパケットだけを許可する適用機種 PG-SW107 ここでは VLAN 内の特定ポートで特定の MAC アドレスを持つホストからの入力パケットだけを許可しその他のホストからの入力パケットを禁止する場合の設定方法を説明しますフィルタリング設計 VLAN 10 は ETHER31 ~ 38 ポートで構成されるポート VLAN でそれぞれのポートでタグなしである VLAN 20 は ETHER31 ~ 34 ポートおよび ETHER9 ~ 12 ポートで構成されるポート VLAN で ETHER31 ~ 34 ポートでタグ付き ETHER9 ~ 12 ポートでタグなしである ETHER32ポートの VLAN 10 では MAC アドレス 00:0b:01:02:03:04 のホストからの入力パケットだけを許可しその他はすべて禁止する前述のフィルタリング設計に従って設定を行う場合のコマンド例を示しますコマンド VLAN ID が 10 で送信元 MAC アドレスが 00:0b:01:02:03:04 であるパケットの形式を ACL で設定する ---- (1) # acl 100 mac 00:0b:01:02:03:04 any any # acl 100 vlan 10 any VLAN ID が 10 のすべてのパケットの形式を ACL で設定する ---- (2) # acl 110 vlan 10 any ETHER32 ポートで(1)で設定した形式のパケットを透過させる # ether 32 macfilter 0 pass 100 ETHER32 ポートで(2)で設定した形式のパケットを遮断する # ether 32 macfilter 1 reject

29 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 4.3 特定 MAC アドレスへのパケットだけを許可する適用機種 PG-SW107 ここでは VLAN 内の特定ポートで特定の MAC アドレスを持つホストへの送信パケットだけを許可しその他のホストへの送信パケットを禁止する場合の設定方法を説明しますフィルタリング設計 VLAN 10 は ETHER31 ~ 38 ポートで構成されるポート VLAN でそれぞれのポートでタグなしである VLAN 20 は ETHER31 ~ 34 ポートおよび ETHER9 ~ 12 ポートで構成されるポート VLAN で ETHER31 ~ 34 ポートでタグ付き ETHER9 ~ 12 ポートでタグなしである ETHER34~ 38 ポートの VLAN 10 では MAC アドレス 00:0b:01:02:03:04 のホストへの送信パケットだけを許可しその他はすべて禁止する前述のフィルタリング設計に従って設定を行う場合のコマンド例を示しますコマンド VLAN ID が 10 で送信先 MAC アドレスが 00:0b:01:02:03:04 であるパケットの形式を ACL で設定する ---- (1) # acl 120 mac any 00:0b:01:02:03:04 any # acl 120 vlan 10 any VLAN ID が 10 のすべてのパケットの形式を ACL で設定する ---- (2) # acl 110 vlan 10 any ETHER34 ~ 38 ポートで(1)で設定した形式のパケットを透過させる # ether macfilter 0 pass MAC フィルタリング機能を使う 5 ETHER34 ~ 38 ポートで(2)で設定した形式のパケットを遮断する # ether macfilter 1 reject

30 第 4 章 MAC フィルタリング機能を使う 4.4 特定パケット形式のパケットだけを禁止する適用機種 PG-SW107 ここでは VLAN 内の特定ポートで特定のパケット形式を持つ入力パケットだけを禁止しその他の入力パケットを許可する場合の設定方法を説明しますフィルタリング設計 VLAN 10 は ETHER31 ~ 38 ポートで構成されるポート VLAN でそれぞれのポートでタグなしである VLAN 20 は ETHER31 ~ 34 ポートおよび ETHER9 ~ 12 ポートで構成されるポート VLAN で ETHER31 ~ 34 ポートでタグ付き ETHER9 ~ 12 ポートでタグなしである ETHER31~ 34 ポートでは IP プロトコルの入力パケットだけを禁止しその他はすべて許可する前述のフィルタリング設計に従って設定を行う場合のコマンド例を示しますコマンド IP プロトコルのパケット(IP,ARP, Reverse ARP)の形式を ACL で設定する ---- (1) # acl 130 mac any any ether 0800 # acl 131 mac any any ether 0806 # acl 132 mac any any ether 8035 ETHER31 ~ 34 ポートで(1)で作成したパケットのパターンを遮断する # ether macfilter 0 reject 130 # ether macfilter 1 reject 131 # ether macfilter 2 reject

31 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 4.5 VLAN 単位で特定 MAC アドレス間の通信だけを遮断する適用機種 PG-SW107 ここでは VLAN 内のポートで特定の MAC アドレスを持つホスト間の通信だけを遮断する場合の設定方法を説明しますフィルタリング設計 VLAN10 は ETHER31 ~ 34 ポートでタグなし ETHER35 ~ 38 ポートでタグ付きで構成されるポート VLAN である VLAN20 は ETHER31 ~ 34 ポートでタグ付き ETHER35 ~ 38 ポートでタグなしで構成されるポート VLAN である VLAN10 では MAC アドレス 00:0b:01:02:03:04 のホストから MAC アドレス 00:0b:11:12:13:14 間の TCP 通信だけを禁止し VLAN 20 では MAC アドレス 00:0b:21:22:23:24 のホストから MAC アドレス 00:0b:31:32:33:34 間の UDP 通信だけを禁止する前述のフィルタリング設計に従って設定を行う場合のコマンド例を示しますコマンド送信元 MAC アドレスが 00:0b:01:02:03:04 送信先 MAC アドレスが 00:0b:11:12:13:14 である TCP パケットの形式を ACL で設定する ---- (1) # acl 0 mac 00:0b:01:02:03:04 00:0b:11:12:13:14 any # acl 0 ip any any 6 any 送信元 MAC アドレスが 00:0b:11:12:13:14 送信先 MAC アドレスが 00:0b:01:02:03:04 である TCP パケットの形式を ACL で設定する ---- (2) # acl 1 mac 00:0b:11:12:13:14 00:0b:01:02:03:04 any # acl 1 ip any any 6 any 4 MAC フィルタリング機能を使う 5 送信元 MAC アドレスが 00:0b:21:22:23:24 送信先 MAC アドレスが 00:0b:31:32:33:34 である UDP パケットの形式を ACL で設定する ---- (3) # acl 2 mac 00:0b:21:22:23:24 00:0b:31:32:33:34 any # acl 2 ip any any 17 any 送信元 MAC アドレスが 00:0b:31:32:33:34 送信先 MAC アドレスが 00:0b:21:22:23:24 である UDP パケットの形式を ACL で設定する ---- (4) # acl 3 mac 00:0b:31:32:33:34 00:0b:21:22:23:24 any # acl 3 ip any any 17 any 7 VLAN10 で(1) (2)で設定した形式のパケットを遮断する # vlan 10 macfilter 0 reject 0 # vlan 10 macfilter 1 reject 1 VLAN20 で(3) (4)で設定した形式のパケットを遮断する # vlan 20 macfilter 0 reject 2 # vlan 20 macfilter 1 reject 3 31

32 第 4 章 MAC フィルタリング機能を使う 4.6 VLAN 単位で特定パケット形式のパケットだけを許可する適用機種 PG-SW107 ここでは VLAN 内のポートで特定のパケット形式を持つ入力パケットだけを許可しその他の入力パケットを遮断する場合の設定方法を説明しますフィルタリング設計 VLAN10 は ETHER31 ~ 34 ポートでタグなし ETHER35 ~ 38 ポートでタグ付きで構成されるポート VLAN である VLAN20 は ETHER31 ~ 34 ポートでタグ付き ETHER35 ~ 38 ポートでタグなしで構成されるポート VLAN である VLAN10 では IP プロトコルの入力パケットだけを許可する VLAN 20 では FNA プロトコルの入力パケットだけを許可する前述のフィルタリング設計に従って設定を行う場合のコマンド例を示しますコマンド IP プロトコルのパケット(IP,ARP, Reverse ARP)の形式を ACL で設定する ---- (1) # acl 10 mac any any ether 0800 # acl 11 mac any any ether 0806 # acl 12 mac any any ether 8035 FNA プロトコルのパケットの形式を ACL で設定する ---- (2) # acl 20 mac any any llc 8080 # acl 21 mac any any llc 0000 # acl 22 mac any any llc 0001 全プロトコルのパケットの形式を ACL で設定する ---- (3) # acl 30 mac any any any VLAN10 で(1)で作成したパケットのパターン以外を遮断する # vlan 10 macfilter 0 pass 10 # vlan 10 macfilter 1 pass 11 # vlan 10 macfilter 2 pass 12 # vlan 10 macfilter 3 reject 30 VLAN20 で(2)で作成したパケットのパターン以外を遮断する # vlan 20 macfilter 0 pass 20 # vlan 20 macfilter 1 pass 21 # vlan 20 macfilter 2 pass 22 # vlan 20 macfilter 3 reject 30 32

33 第 5 章スタティック MAC フォワーディング機能を使うここではスタティック MAC フォワーディング機能を利用する場合の設定方法について説明します 5.1 スタティック MAC フォワーディング機能を使う

34 第 5 章スタティック MAC フォワーディング機能を使う 5.1 スタティック MAC フォワーディング機能を使う適用機種 PG-SW107 スタティック MAC フォワーディング機能を利用すると構成定義によって MAC アドレスをスタティックに FDB に登録することができフラッディングによる余分なフレームがネットワーク上を流れることを防止できますここでは各 ETHER ポートに接続されるサーバの MAC アドレスをスタティックエントリとして設定する方法を説明します ETHER40 ETHER35 ETHER VLAN20 VLAN10 設定条件 ETHER32 35 ポートにサーバ 1 2 を接続し VLAN を 10 とする ETHER40ポートにサーバ 3 を接続し VLAN を 20 とするサーバ 1 の MAC アドレス:00:00:00:00:00:11 サーバ 2 の MAC アドレス:00:00:00:00:00:22 サーバ 3 の MAC アドレス:00:00:00:00:00:33 前述の設定条件に従って設定を行う場合のコマンド例を示します 34

35 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集コマンド ETHER32 35 ポートに VLAN10 を設定する # ether 32, 35 vlan untag 10 ETHER40 ポートに VLAN20 を設定する # ether 40 vlan untag 20 VLAN10 にスタティック MAC フォワーディングを設定する # vlan 10 forward 0 00:00:00:00:00:11 32 # vlan 10 forward 1 00:00:00:00:00:22 35 VLAN20 にスタティック MAC フォワーディングを設定する # vlan 20 forward 0 00:00:00:00:00: 設定終了 # save # commit 5 スタティック MAC フォワーディング機能を使う 35

36 36 第 5 章スタティック MAC フォワーディング機能を使う

37 第 6 章 QoS 機能を使うここでは QoS 機能を利用する場合の設定方法について説明します機能説明書 2.10 QoS 機能 6.1 優先制御機能を使う優先制御情報書き換え機能を使う

38 第 6 章 QoS 機能を使う 6.1 優先制御機能を使う適用機種 PG-SW107 本製品では VLAN 機能のユーザプライオリティ値に出力ポート( 自装置あてポート含む)の複数の優先度の異なるキューを対応付けることでパケットの優先制御を行うことができます機能説明書優先制御機能重要本製品の初期設定は機能説明書優先制御機能を参照してください本製品の場合キューは 8 個となります優先制御設計パケットのタイプ CoS 値装置内部のキュークラス管理パケット音声 5 3 FAX / 呼制御 4 2 映像その他前述の優先制御設定に従って設定を行う場合のコマンド例を示しますコマンド優先制御を設定する #qos cosmap 0 0 #qos cosmap 1 0 #qos cosmap 2 1 #qos cosmap 3 1 #qos cosmap 4 2 #qos cosmap 5 3 #qos cosmap 6 4 #qos cosmap

39 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 6.2 優先制御情報書き換え機能を使う適用機種 PG-SW107 本製品を経由して送出されるパケットを MAC アドレスパケット形式 ETHERNET タイプ VLAN ID COS 値などの組み合わせで指定し ETHER ポートへの入力時に優先制御情報を書き換えることができます機能説明書優先制御情報書き換え機能書き換え条件以下の条件を指定することによって優先制御情報を書き換えることができます ACLの MAC 定義および VLAN 定義で指定した以下の情報送信元 MAC 情報 (MAC アドレス/パケット形式 / ETHERNET タイプ/ LSAP) あて先 MAC 情報 (MAC アドレス/パケット形式 / ETHERNET タイプ/ LSAP) VLAN ID COS 値送信元 IP 情報 (IP アドレス/アドレスマスク) あて先 IP 情報 (IP アドレス/アドレスマスク) TCP UDP のポート番号 ICMP TYPE ICMP CODE IP パケットの TOS 値 DSCP 値優先制御情報書き換えの対象となるパケット入力 ETHER ポート優先制御情報書き換えの対象となるパケットが入力 ETHER ポートに入力された場合の以下の動作パケットの COS 値を指定した値で書き換えるパケットの COS 値をパケットの ip precedence 値で書き換えるパケットの DSCP 値を指定した値で書き換えるパケットの ip precedence 値を指定した値で書き換えるパケットの ip precedence 値をパケットの COS 値で書き換える入力パケットが出力される際に使用される出力ポートのキューを指定したキューに変更する 1 6 QoS 機能を使う以降設定例を示します 39

40 第 6 章 QoS 機能を使うパケットの COS 値を指定した値で書き換える適用機種 PG-SW107 ここでは VLAN 内の特定ポートで特定の MAC アドレスを持つホストからの入力パケットの COS 値を指定した値に書き換える方法を説明します書き換え要求 VLAN 20 は ETHER1 ~ 5 ポートで構成されるポート VLAN で ETHER1 ~ 4 ポートでタグ付き ETHER5 ポートでタグなしである ETHER5ポートの VLAN 20 では MAC アドレス 00:0b:01:02:03:04 のホストからの入力パケットの COS 値を 5 に変更する前述の書き換え要求に従って設定を行う場合のコマンド例を示しますコマンド VLAN IDが20で送信元 MACアドレスが00:0b:01:02:03:04であるパケットの形式をACLで設定する ---- (1) # acl 100 mac 00:0b:01:02:03:04 any any # acl 100 vlan 20 any ETHER5 ポートで(1)で設定した形式のパケットの COS 値を 5 に書き換える # ether 5 qos aclmap 0 cos パケットの COS 値をパケットの ip precedence 値で書き換える適用機種 PG-SW107 ここでは VLAN 内の特定ポートで特定の MAC アドレスを持つホストへの送信パケットの COS 値をパケットの ip precedence 値で書き換える方法を説明します書き換え要求 VLAN 10 は ETHER1 ~ 8 ポートで構成されるポート VLAN ですべてタグ付きである ETHER1ポートの VLAN 10 では MAC アドレス 00:0b:01:02:03:04 のホストへの送信パケットの COS 値をパケットの ip precedence 値で書き換える前述の書き換え要求に従って設定を行う場合のコマンド例を示しますコマンド VLAN IDが10で送信先 MACアドレスが00:0b:01:02:03:04であるパケットの形式をACLで設定する ---- (1) # acl 110 mac any 00:0b:01:02:03:04 any # acl 110 vlan 10 any ETHER1 ポートで(1)で設定した形式のパケットの COS 値をパケットの ip precedence 値で書き換える # ether 1 qos aclmap 0 cos tos

41 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集パケットの DSCP 値を指定した値で書き換える適用機種 PG-SW107 ここでは VLAN 内の特定ポートですべての入力パケットの DSCP 値を指定した値で書き換える方法を説明します 1 書き換え要求 VLAN 10 は ETHER1 ~ 8 ポートで構成されるポート VLAN ですべてタグ付きである ETHER1ポートでは全入力パケットの DSCP 値を 40 に書き換える前述の書き換え要求に従って設定を行う場合のコマンド例を示しますコマンドすべてのパケットの形式を ACL で設定する ---- (1) # acl 120 mac any any any ETHER1 ポートで(1)で設定した形式のパケットの DSCP 値を 40 に書き換える # ether 1 qos aclmap 0 dscp パケットの ip precedence 値を指定した値で書き換える適用機種 PG-SW107 ここでは VLAN 内の特定ポートで特定の COS 値の入力パケットの ip precedence 値を指定した値に書き換える方法を説明します書き換え要求 VLAN 10 は ETHER1 ~ 8 ポートで構成されるポート VLAN ですべてタグ付きである VLAN 10 では COS 値 5 のパケットが入力された場合に入力パケットの ip precedence 値を 6 に書き換える前述の書き換え要求に従って設定を行う場合のコマンド例を示しますコマンド 6 QoS 機能を使う VLAN ID が 10 で COS 値が 5 のパケットの形式を ACL で設定する ---- (1) # acl 150 vlan 10 5 VLAN10 に属する ETHER1 ~ 8 ポートで(1)で設定した形式のパケットの ip precedence 値を 6 に書き換える # ether 1-8 qos aclmap 0 tos

42 第 6 章 QoS 機能を使うパケットの ip precedence 値をパケットの COS 値で書き換える適用機種 PG-SW107 ここでは VLAN 内の特定ポートで特定の VLAN からの入力パケットの ip precedence 値をパケットの COS 値で書き換える方法を説明します書き換え要求 ETHER10 ポートは VLAN10 VLAN20 VLAN30 にタグ付き VLAN100 にタグなしで属する ETHER10 ポートからの VLAN 20 VLAN30 VLAN100 からの入力パケットの ip precedence 値をパケットの COS 値に書き換える前述の書き換え要求に従って設定を行う場合のコマンド例を示しますコマンド VLAN ID がのパケットの形式をそれぞれ ACL で設定する ---- (1) # acl 100 vlan 20 any # acl 110 vlan 30 any # acl 120 vlan 100 any ETHER10 ポートで(1)で作成した形式のパケットの ip precedence 値をパケットの COS 値に書き換える # ether 10 qos aclmap 0 tos cos 100 # ether 10 qos aclmap 1 tos cos 110 # ether 10 qos aclmap 2 tos cos

43 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 VLAN 単位でパケットの出力キューを変更する適用機種 PG-SW107 ここでは VLAN 内のポートで特定の MAC アドレスを持つホストからの入力パケットが出力ポートから出力される際に使用されるキューを変更する方法を説明します 1 書き換え要求 VLAN20 は ETHER1 ~ 5 ポートで構成されるポート VLAN で ETHER1 ~ 4 ポートでタグ付き ETHER5 ポートでタグなしである VLAN20 では MAC アドレス 00:0b:01:02:03:04 のホストからの入力パケットが出力される際に使用される出力ポートのキューを 3 に変更する前述の書き換え要求に従って設定を行う場合のコマンド例を示しますコマンド送信元 MAC アドレスが 00:0b:01:02:03:04 であるパケットの形式を ACL で設定する ---- (1) # acl 100 mac 00:0b:01:02:03:04 any any VLAN20 で(1)で設定した形式のパケットが出力ポートから出力される際に使用されるキューを変更する # vlan 20 qos aclmap 0 queue QoS 機能を使う 43

44 44 第 6 章 QoS 機能を使う

45 第 7 章 STP 機能を使うここでは STP 機能を利用する場合の設定方法を説明します機能説明書 2.8 STP 機能 7.1 STP を使う MSTP を使う

46 第 7 章 STP 機能を使う 7.1 STP を使う適用機種 PG-SW107 STP を使用すると物理的にループしているネットワークでも論理的にループしないようにすることができますこれによってネットワーク内のデータを円滑に流すことができます機能説明書 STP ETHER32 ETHER31 設定条件 STP を使用する ETHER31 32 ポートを VID 10 のポート VLAN とする前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド VLAN を設定する # ether 31 vlan untag 10 # ether 32 vlan untag 10 STP を設定する # ether 31 stp use on # ether 32 stp use on 設定終了 # save # commit 46

47 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 7.2 MSTP を使う適用機種 PG-SW107 物理的にループしているネットワークでも VLAN の構成によっては論理的にループしない場合があります STP ではループと判断して一方の LAN を通信に使わないで動作しますが MSTP では VLAN 単位に扱うことができるため STP よりも効率的にネットワーク内のデータを流すことができます機能説明書 MSTP 設定条件以下のような VLAN 環境下で MSTP を併用した VLAN 単位でフレームの制御を行う本製品 1 - 本製品 2 間は 1G とする本製品 1 - 本製品 3 間は 100M としトラフィック量が多いものは本製品 1-2 間に流す装置間の回線はクロスケーブルを使用する VLAN VLAN 300 STP 機能を使う [インスタンス 0] ブリッジの優先順位 : 本製品 1 本製品 2 本製品 3 本製品 4 [インスタンス 1] ブリッジの優先順位 : 本製品 1 本製品 2 本製品 3 本製品 4 VLAN 割り当て:

48 第 7 章 STP 機能を使う [インスタンス 2] ブリッジの優先順位 : 本製品 1 本製品 3 本製品 2 本製品 4 VLAN 割り当て:300 [ 本製品 1] ETHER31ポートで本製品 2 と接続し回線速度は 1G とする ETHER32ポートで本製品 3 と接続し回線速度は 100M とする ETHER31 32 ポートの STP パスコストは全インスタンスとする [ 本製品 2] ETHER31ポートで本製品 1 と接続し回線速度は 1G とする ETHER32ポートで本製品 3 と接続し回線速度は 100M とする ETHER33ポートで本製品 4 と接続し回線速度は 1G とする ETHER31~ 33 ポートの STP パスコストは全インスタンスとする [ 本製品 3] ETHER31ポートで本製品 1 と接続し回線速度は 100M とする ETHER32ポートで本製品 2 と接続し回線速度は 100M とする ETHER33ポートで本製品 4 と接続し回線速度は 100M とする ETHER31~ 33 ポートの STP パスコストは全インスタンスとする [ 本製品 4] ETHER31ポートで本製品 2 と接続し回線速度は 1G とする ETHER32ポートで本製品 3 と接続し回線速度は 100M とする ETHER31 32 ポートの STP パスコストは全インスタンスとする ETHER33~ 39 ポートで VID100 の端末と接続し回線速度は 100M とする ETHER10~ 14 ポートで VID200 の端末と接続し回線速度は 100M とする ETHER15 16 ポートで VID300 の端末と接続し回線速度は 100M とする前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド [ 本製品 1] MDI を設定する # ether 31,32 mdi mdix ETHER31 32 ポートの STP パスコストを設定する # ether stp domain 0 cost # ether stp domain 1 cost # ether stp domain 2 cost ETHER31 32 ポートを設定する # ether 31 mode 1000 # ether 32 mode 100 VLAN を設定する # ether vlan tag 100,200,300 STP を設定する # stp mode mstp # stp domain 1 vlan 100,200 # stp domain 2 valn 300 # stp domain 0 priority

49 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 # stp domain 1 priority 4096 # stp domain 2 priority 4096 設定終了 # save # commit [ 本製品 2] MDI を設定する # ether mdi mdix ETHER31 ~ 33 ポートの STP パスコストを設定する # ether stp domain 0 cost # ether stp domain 1 cost # ether stp domain 2 cost ETHER31 ~ 33 ポートを設定する # ether 31 mode 1000 # ether 32 mode 100 # ether 33 mode 1000 VLAN を設定する # ether vlan tag 100,200,300 STP を設定する # stp mode mstp # stp domain 1 vlan 100,200 # stp domain 2 valn 300 # stp domain 0 priority 8192 # stp domain 1 priority 8192 # stp domain 2 priority 設定終了 # save # commit [ 本製品 3] MDI を設定する # ether mdi mdix 7 ETHER31 ~ 33 ポートの STP パスコストを設定する # ether stp domain 0 cost # ether stp domain 1 cost # ether stp domain 2 cost ETHER31 ~ 33 ポートを設定する # ether mode 100 STP 機能を使う VLAN を設定する # ether vlan tag 100,200,300 STP を設定する # stp mode mstp # stp domain 1 vlan 100,200 # stp domain 2 valn 300 # stp domain 0 priority # stp domain 1 priority

50 第 7 章 STP 機能を使う # stp domain 2 priority 8192 設定終了 # save # commit [ 本製品 4] MDI を設定する # ether 10-16,31-39 mdi mdix ETHER31 32 ポートの STP パスコストを設定する # ether stp domain 0 cost # ether stp domain 1 cost # ether stp domain 2 cost ETHER10 ~ ~ 39 ポートを設定する # ether 31 mode 1000 # ether 10-16,32-39 mode 100 VLAN を設定する # ether 31 vlan tag 100,200,300 # ether 32 vlan tag 100,200,300 # ether vlan untag 100 # ether vlan untag 200 # ether 15,16 vlan untag 300 STP を設定する # stp mode mstp # stp domain 1 vlan 100,200 # stp domain 2 valn 300 # stp domain 0 priority # stp domain 1 priority # stp domain 2 priority 設定終了 # save # commit 50

51 第 8 章 IGMP スヌープ機能を使うここでは IGMP スヌープ機能を利用する場合の設定方法について説明します 8.1 IGMP スヌープ機能を使う

52 第 8 章 IGMP スヌープ機能を使う 8.1 IGMP スヌープ機能を使う適用機種 PG-SW107 IGMP スヌープ機能を使用するとマルチキャストパケットを必要としているポートを IGMP パケットから検出しそのポート以外へはマルチキャストパケットを転送しませんこれにより無用なトラフィックを端末やサーバに送出することが防止できマルチキャストを利用しているネットワークで端末やサーバの負荷を軽減できます機能説明書 2.11 IGMP スヌープ機能重要マルチキャストルーティング機能が有効である lan 定義が存在する場合 IGMP スヌープ機能は無効となり動作しません IGMP を利用しないでマルチキャスト通信を行っている場合は通信ができなくなる可能性がありますまた本製品では IGMP スヌープの対象となるアドレスに x(x:0 ~ 255)を含みます IGMP スヌープが有効である装置と接続するポートは構成定義でマルチキャストルータポートとして設定してくださいマルチキャストルータが 2 台以上接続される場合はマルチキャストルータポートを構成定義で設定してくださいマルチキャストルータポートが正しく認識されなくなりマルチキャストルータの先に接続される端末がマルチキャストパケットを受信できなくなる場合があります本製品では一度登録されたグループアドレスはリスナ端末が存在しなくなった場合でもエントリ自体を消去しないで出力ポートの情報のみを消去します不要なグループアドレスが登録されている場合は clear igmpsnoop group コマンドで消去することができます詳細はコマンドリファレンスを参照してください最大登録可能なマルチキャストグループアドレス数を超えた場合超えたアドレスはすべて破棄されます扱われるグループアドレスが最大登録可能数を超える場合は IGMP スヌープ機能は利用しないでください IGMP スヌープ機能を有効にすると vlan igmpsnoop source 定義がないと送信元アドレスとしてを使用します送信元アドレスがである IGMP Query パケットを扱えない装置が接続されている場合 vlan igmpsnoop source 定義で送信元アドレスを設定してくださいなおマルチキャストルータが接続されているネットワークではマルチキャストルータのアドレスより大きな値となるアドレスを送信元アドレスとして指定してください IGMP V1/V2 が混在する環境では vlan igmpsnoop proxy 定義で off( 代理応答しない)を選択してください IPv4 マルチキャスト以外の通信 ( 例 :IPv6 通信 )を利用するネットワークでは利用できません IGMP スヌープ機能は有効にしないでくださいマルチキャストルータが接続されないネットワークでは vlan igmpsnoop querier コマンドで Querier 動作を無効としないでください 52

53 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 1 2 設定条件 IGMP スヌープ機能を利用するリスナ端末はそれぞれ以下に属するリスナ端末 1 ポート:ETHER37 38 ポート VLAN:10 リスナ端末 2 ポート:ETHER39 40 ポート VLAN:11 リスナ端末 3 ポート:ETHER41 42 ポート VLAN:12 マルチキャストルータ 1 はタグ VLAN を使用し VLAN10 ~ 12 を設定するポートは ETHER31 に接続するマルチキャストルータ 2 は VLAN10 に属しポートは ETHER32 に接続する IGMP スヌープ機能を使う 8 53

54 第 8 章 IGMP スヌープ機能を使う前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド IGMP スヌープ機能を使用する # igmpsnoop use on ポートを設定する # ether vlan untag 10 # ether vlan untag 11 # ether vlan untag 12 # ether 31 vlan tag 10,11,12 # ether 32 vlan untag 10 複数のマルチキャストルータが接続される VLAN10 にマルチキャストルータポートを設定する # vlan 10 igmpsnoop router yes 15,16 設定終了 # save # commit 54

55 第 9 章 IEEE802.1X 認証機能を使うここでは IEEE802.1X 認証機能を利用する場合の設定方法について説明します 9.1 IEEE802.1X 認証機能を使う

56 第 9 章 IEEE802.1X 認証機能を使う 9.1 IEEE802.1X 認証機能を使う適用機種 PG-SW107 IEEE802.1X 認証を使用すると本製品に接続する端末ユーザがネットワークへのアクセス権限を持っているかを認証できますまた認証データベースでユーザごとに所属する VLAN ID を設定すると認証されたユーザが所属するネットワークも同時に管理できますこれらの機能によりネットワークへのアクセスをユーザ単位で制御できネットワークのセキュリティを向上させることができます機能説明書 2.12 IEEE802.1X 認証機能重要 IEEE802.1X 認証を利用するポート(ETHER 定義 )には VLAN ID を設定しないでください IEEE802.1X 認証で利用する AAA のグループ ID を正しく設定してくださいローカル認証で利用できる認証方式は EAP-MD5 のみです 1 つの物理ポートで複数端末の認証を行う環境で確認済みのサプリカントソフトは富士通製 Systemwalker Desktop Inspection 802.1X サプリカントですマルチサプリカント環境では課金情報のうち以下の項目が正しく採取できません送信パケット数受信パケット数送信バイト数受信バイト数 Supplicant-1 RADIUS ETHER31 ETHER40 Supplicant-2 ETHER41 ETHER32 VLAN ID 10 Supplicant-3 ETHER42 ETHER35 ETHER34 ETHER33 VLAN ID 11 VLAN ID 123 VLAN ID

57 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集設定条件 ETHER40~ 42 ポートで IEEE802.1X 認証を使用する ETHER40~ 42 ポートで利用する認証データベース ETHER40 41 ポート :RADIUS サーバ ETHER42 ポート :ローカルで設定した認証情報 AAA グループ ID ETHER40 41 ポート :0 ETHER42 ポート :1 Supplicant の MAC アドレスごとに認証を行う ETHER42ポートで利用可能なユーザは以下のとおり RADIUS サーバの IP アドレス: RADIUS サーバは VLAN13 に接続されている RADIUS サーバのシークレット:radius-secret ETHER40 41 ポートで利用する RADIUS サーバで認証処理と課金情報 (*) の収集を行う *) 本製品がサポートする課金情報と対応する属性を以下に示します接続時間 :Acct-Session-Time 送信パケット数 :Acct-Output-Packets 受信パケット数 :Acct-Input-Packets 送信バイト数 :Acct-Output-Octets 受信バイト数 :Acct-Input-Packets 重要ユーザ ID パスワード割り当てる VLAN ID Supp1 Supp1-pass VLAN123 Supp2 Supp2-pass VLAN100 RADIUS サーバにはユーザに VLAN ID を割り当てるために以下の属性を設定してください設定方法については RADIUS サーバのマニュアルを参照してください名前番号属性値 (*) Tunnel-Type 64 VLAN(13) Tunnel-Media-Type (6) Tunnel-Private-Group-ID 81 VLAN ID(10 進数表記を ASCII コードでコーディング) *)( ) 内の数字は属性として設定される 10 進数の値タグにより複数のトンネル属性が設定されている場合は利用可能な値が指定されているもっとも小さなタグの情報がユーザに割り当てる VLAN 情報として選択されます IEEE802.1X 認証機能を使う 9 57

58 第 9 章 IEEE802.1X 認証機能を使う前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド IEEE802.1X 認証を使用する # dot1x use on RADIUS サーバの VLAN を設定する # lan 0 vlan 13 # lan 0 ip address /16 3 RADIUS サーバを接続するポートを設定する # ether 31 vlan untag 13 IEEE802.1X により認証された Supplicant が接続される VLAN 情報を設定する # ether 32 vlan untag 10 # ether 33 vlan untag 11 # ether 34 vlan untag 100 # ether 35 vlan untag 123 IEEE802.1X 認証ポートを設定する # ether 40 dot1x use on # ether 40 dot1x aaa 0 # ether 41 dot1x use on # ether 41 dot1x aaa 0 # ether 42 dot1x use on # ether 42 dot1x aaa 1 RADIUS サーバを利用する AAA グループ情報を設定する # aaa 0 name radiusauth # aaa 0 radius service client both # aaa 0 radius auth source # aaa 0 radius client server-info auth secret radius-secret # aaa 0 radius client server-info auth address # aaa 0 radius client server-info account secret radius-secret # aaa 0 radius client server-info account address ローカル認証情報を利用する AAA グループ情報を設定する # aaa 1 name localauth # aaa 1 user 0 id Supp1 # aaa 1 user 0 password Supp1-pass # aaa 1 user 0 supplicant vid 123 # aaa 1 user 1 id Supp2 # aaa 1 user 1 password Supp2-pass # aaa 1 user 1 supplicant vid 100 設定終了 # save # commit 58

59 第 10 章 MAC アドレス認証機能を使うここでは MAC アドレス認証機能を利用する場合の設定方法について説明します 10.1 MAC アドレス認証機能を使う

60 第 10 章 MAC アドレス認証機能を使う 10.1MAC アドレス認証機能を使う適用機種 PG-SW107 MAC アドレス認証機能を使用すると本製品に接続する端末がネットワークへのアクセス権限を持っているかを認証することができます機能説明書 2.13 MAC アドレス認証機能重要 MAC アドレス認証を利用するポート(ETHER 定義 )には VLAN ID を設定しないでください MAC アドレス認証で利用する AAA のグループ ID を正しく設定してください Supplicant-1 RADIUS ETHER31 ETHER40 Supplicant-2 VLAN ID 10 ETHER41 ETHER32 Supplicant-3 ETHER42 ETHER35 ETHER34 ETHER33 VLAN ID 11 VLAN ID 123 VLAN ID 100 設定条件 ETHER40~ 42 ポートで MAC アドレス認証を使用する ETHER40~ 42 ポートで利用する認証データベース ETHER40 41 ポート :RADIUS サーバ ETHER42 ポート :ローカルで設定した認証情報 AAA グループ ID ETHER40 41 ポート :0 ETHER42 ポート :1 Supplicant の MAC アドレスごとに認証を行う 60

61 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 ETHER42ポートで利用可能なユーザは以下のとおり RADIUS サーバの IP アドレス : RADIUS サーバは VLAN13 に接続されている RADIUS サーバのシークレット :radius-secret 重要 MAC アドレス割り当てる VLAN ID 00:11:11:00:00:01 VLAN123 00:22:22:00:00:02 VLAN100 RADIUS サーバにはユーザに VLAN ID を割り当てるために以下の属性を設定してください設定方法については RADIUS サーバのマニュアルを参照してください名前番号属性値 (*) Tunnel-Type 64 VLAN(13) Tunnel-Media-Type (6) Tunnel-Private-Group-ID 81 VLAN ID(10 進数表記を ASCII コードでコーディング) *)( ) 内の数字は属性として設定される 10 進数の値タグにより複数のトンネル属性が設定されている場合は利用可能な値が指定されているもっとも小さなタグの情報がユーザに割り当てる VLAN 情報として選択されます前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド MAC アドレス認証を使用する # macauth use on MAC アドレス認証にて使用するパスワードを設定する # macauth password macauth-pass RADIUS サーバの VLAN を設定する # lan 0 vlan 13 # lan 0 ip address /16 3 RADIUS サーバを接続するポートを設定する # ether 31 vlan untag 13 MAC アドレス認証により認証された Supplicant が接続される VLAN 情報を設定する # ether 32 vlan untag 10 # ether 33 vlan untag 11 # ether 34 vlan untag 100 # ether 35 vlan untag 123 MAC アドレス認証ポートを設定する # ether 40 macauth use on # ether 40 macauth aaa 0 # ether 41 macauth use on # ether 41 macauth aaa 0 # ether 42 macauth use on # ether 42 macauth aaa 1 MAC アドレス認証機能を使う 10 61

62 第 10 章 MAC アドレス認証機能を使う RADIUS サーバを利用する AAA グループ情報を設定する # aaa 0 name radiusauth # aaa 0 radius service client auth # aaa 0 radius auth source # aaa 0 radius client server-info auth secret radius-secret # aaa 0 radius client server-info auth address ローカル認証情報を利用する AAA グループ情報を設定する # aaa 1 name localauth # aaa 1 user 0 id # aaa 1 user 0 password macauth-pass # aaa 1 user 0 supplicant vid 123 # aaa 1 user 1 id # aaa 1 user 1 password macauth-pass # aaa 1 user 1 supplicant vid 100 設定終了 # save # commit 62

63 第 11 章接続端末数制限機能を使うここでは接続端末数制限機能を利用する場合の設定方法について説明します 11.1 接続端末数制限機能を使う

64 第 11 章接続端末数制限機能を使う 11.1 接続端末数制限機能を使う適用機種 PG-SW107 接続端末数制限機能を使用すると簡易的に本製品への不正接続を検出することができます機能説明書 2.14 接続端末数制御機能重要本機能は不正接続を検出する機能であり不正接続とみなした端末に対する通信の遮断は行いません不正な接続を検出した際に通信を遮断したい場合はポート閉塞モードを有効にしてください IEEE802.1X 認証および MAC アドレス認証のどれかを有効にしたポートでは本機能は無効となりますリンクアグリゲーションとして設定されたポートでは本機能は無効となります閉塞されたポートは自動では復旧しません online コマンドで復旧させてください o HUB 設定条件 ETHER35~ 37 ポートで接続端末数制限機能を使用する接続許容端末数 ETHER35 36 ポート :1 ETHER37 ポート :6 ポート閉塞モード ETHER35 36 ポート : 閉塞する ETHER37 ポート : 閉塞しない 64

65 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド接続端末数制限機能を使用する # ether mac detection use on 11 接続許容最大数を設定する # ether 37 mac detection max_user 6 ポート閉塞モードを設定する # ether mac detection portdisable yes 設定終了 # save # commit 接続端末数制限機能を使う 65

66 66 第 11 章接続端末数制限機能を使う

67 第 12 章ループ検出機能を使うここではループ検出機能を利用する場合の設定方法について説明します 12.1 ループ検出機能を使う

68 第 12 章ループ検出機能を使う 12.1ループ検出機能を使う適用機種 PG-SW107 ループ検出機能を利用するとネットワーク上でのパケットのループを防止するためにループ検出およびループしているポートを閉鎖できます機能説明書 2.18 ループ検出機能設定条件ループ検出機能を有効にするポート閉塞を行うループ検出用フレームの送信間隔 :1 分前述の設定条件に従って設定を行う場合のコマンド例を示します 68

69 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集コマンドループ検出機能を設定する # loopdetect use on # loopdetect portdisable yes # loopdetect interval 1m 設定終了 # save # commit 重要閉塞されたポートは自動では復旧しません online コマンドで復旧させてくださいトラフィックが高負荷状態になった場合ループを検出できませんブロードキャスト/マルチキャストストーム制御を併用してください 12 ループ検出機能を使う 69

70 70 第 12 章ループ検出機能を使う

71 第 13 章ポートミラーリング機能を使うここではポートミラーリング機能を使ってソースポートを監視する場合の設定方法について説明します 13.1 ポートミラーリング機能を使う

72 第 13 章ポートミラーリング機能を使う 13.1ポートミラーリング機能を使う適用機種 PG-SW107 ポートミラーリング機能を利用すると指定したターゲットポートから指定したソースポートの受信 / 送信 / 送受信トラフィックを監視できます機能説明書 2.20 ポートミラーリング機能ここでは ETHER31 ポートをソースポート ETHER38 ポートをターゲットポートとして設定しソースポートの受信トラフィックをターゲットポートへミラーリングする場合の設定方法を説明します ETHER31 ETHER38 設定条件 ETHER31ポートをソースポートとする( 受信フレーム指定 ) ETHER38ポートをターゲットポートとする前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド ETHER38 ポートのポート種別をミラーポートに設定する # ether 38 type mirror 0 31 rx 設定終了 # save # commit 72

73 第 14 章 ether L3 監視機能を使うここでは ether L3 監視機能を利用する場合の設定方法について説明します機能説明書 2.21 ether L3 監視機能 14.1 ether L3 監視機能を使うリンクアグリゲーション機能を使用した ether L3 監視機能を使う

74 第 14 章 ether L3 監視機能を使う 14.1ether L3 監視機能を使う適用機種 PG-SW107 ether L3 監視機能を使用すると指定した ETHER ポートから監視相手装置を監視することによって経路上の障害を検出および監視をしているポートを閉塞しますここでは ether L3 監視機能を使用する場合の設定方法を説明します重要閉塞されたポートは自動では復旧しません online コマンドで復旧させてください 1 ETHER31 ETHER31 2 設定条件 ETHER31ポートを使用する VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:1ネットワークアドレス: /24 ether L3 監視機能を使用する前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド [ 本製品 1] ETHER31 ポートを設定する # ether 31 vlan untag /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan 1 監視あて先 IP アドレスを設定する # ether 31 icmpwatch address 監視間隔を設定する # ether 31 icmpwatch interval 15s 40s 5s 設定終了 #save #commit 74

75 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 [ 本製品 2] ETHER31 ポートを設定する # ether 31 vlan untag /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan 1 設定終了 #save #commit 14 ether L3 監視機能を使う 75

76 第 14 章 ether L3 監視機能を使う 14.2リンクアグリゲーション機能を使用した ether L3 監視機能を使う適用機種 PG-SW107 ここではリンクアグリゲーション機能を利用したポートで ether L3 監視機能を使用する場合の設定方法を説明します設定条件 ETHER31~ 34 ポートを使用するメディア種別を 10/100/1000BASE-T ポートに変更する通信速度を 1000Mbps 固定に変更する VLAN ID とネットワークアドレスを以下のように対応付ける VLAN ID:10 ネットワークアドレス: /24 ether L3 監視機能を使用する前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド [ 本製品 1] ETHER31 ~ 34 ポートを設定する # ether media metal # ether mode 1000 # ether vlan tag 10 ETHER31 ~ 34 ポートをリンクアグリゲーションとして設定する # ether type linkaggregation /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan 10 監視あて先 IP アドレスを設定する # linkaggregation 1 icmpwatch address 監視間隔を設定する # linkaggregation 1 icmpwatch interval 15s 40s 5s 設定終了 #save #commit 76

77 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 [ 本製品 2] ETHER31 ~ 34 ポートを設定する # ether media metal # ether mode 1000 # ether vlan tag 10 ETHER31 ~ 34 ポートをリンクアグリゲーションとして設定する # ether type linkaggregation /24 のネットワークを設定する # lan 0 ip address /24 3 # lan 0 vlan 10 設定終了 #save #commit 14 ether L3 監視機能を使う 77

78 78 第 14 章 ether L3 監視機能を使う

79 第 15 章ポート閉塞機能を使うここではポート閉塞機能を利用する場合の設定方法について説明します 15.1 ポート閉塞機能を使う

80 第 15 章ポート閉塞機能を使う 15.1ポート閉塞機能を使う適用機種 PG-SW107 ポート閉塞機能を利用すると間欠障害発生時にも接続ポートが閉塞状態を保持するため安定した通信を保つことができます機能説明書 2.22 ポート閉塞機能ここではバックアップポート機能と併用しマスタポートの間欠障害発生時にはマスタポートを閉塞しバックアップポートだけを使用する場合を例に説明します重要閉塞されたポートは自動では復旧しません online コマンドで復旧させてください 1 2 設定条件 [ 本製品 1] 各装置で ETHER31 42 ポートをバックアップポートとして使用する (ETHER31 をマスタポート ETHER42 をバックアップポートとしマスタポートを優先的に使用する) リンクダウン回数による閉塞を行うリンクダウン回数の上限値の設定 [ 本製品 2] 各装置で ETHER31 42 ポートをバックアップポートとして使用する (ETHER31 をマスタポート ETHER42 をバックアップポートとしマスタポートを優先的に使用する) リンクダウン回数による閉塞を行うリンクダウン回数の上限値の設定 80

81 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド [ 本製品 1 側 ] ETHER31 ポートでリンクダウン回数の上限値を設定する # ether 31 recovery limit 5 ETHER31 ポートをバックアップポート(グループ 1)のマスタポートに設定する # ether 31 type backup 1 master ETHER42 ポートをバックアップポート(グループ 1)のバックアップポートに設定する # ether 42 type backup 1 backup バックアップグループ 1 をマスタポート優先モードに設定する # backup 1 mode master 設定終了 # save # commit [ 本製品 2 側 ] ETHER31 ポートでリンクダウン回数の上限値を設定する # ether 31 recovery limit 5 ETHER31 ポートをバックアップポート(グループ 1)のマスタポートに設定する # ether 31 type backup 1 master ETHER42 ポートをバックアップポート(グループ 1)のバックアップポートに設定する # ether 42 type backup 1 backup バックアップグループ 1 をマスタポート優先モードに設定する # backup 1 mode master 設定終了 # save # commit 15 ポート閉塞機能を使う 81

82 82 第 15 章ポート閉塞機能を使う

83 第 16 章 IP フィルタリング機能を使うここでは IP フィルタリング機能を利用する場合の設定方法について説明します機能説明書 2.23 IP フィルタリング機能 16.1 IP フィルタリング機能を使う外部の特定サービスへのアクセスだけ許可する外部から特定サーバへのアクセスだけ許可する外部の特定サーバへのアクセスだけを禁止する外部から特定サーバへの ping だけを禁止する

84 第 16 章 IP フィルタリング機能を使う 16.1IP フィルタリング機能を使う適用機種 PG-SW107 本製品を経由してインターネットに送出されるパケットまたはインターネットから受信したパケットを IP アドレスとポート番号の組み合わせで制御することによってネットワークのセキュリティを向上させることができます IP Internet 84

85 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 IP フィルタリングの条件本製品では ACL 番号で指定した ACL 定義の中で以下の条件を指定することによってデータの流れを制御できますプロトコル送信元情報 (IP アドレス/アドレスマスク/ポート番号 ) あて先情報 (IP アドレス/アドレスマスク/ポート番号 ) IP パケットの TOS 値 DSCP 値 POINT IP アドレスとアドレスマスクの決め方 IP フィルタリング条件の要素には IP アドレスとアドレスマスクがあります制御対象となるパケットは本製品に届いたパケットの IP アドレスとアドレスマスクの論理積の結果が指定した IP アドレスと一致したものに限ります IP フィルタリングの設計方針 IP フィルタリングの設計方針には大きく分類して以下の 2 つがあります基本的にパケットをすべて遮断し特定の条件のものだけを透過させる基本的にパケットをすべて透過させ特定の条件のものだけを遮断するここでは設計方針 A の例として以下の設定例について説明します外部の特定サービスへのアクセスだけを許可する外部から特定サーバへのアクセスだけを許可するまた設計方針 B の例として以下の設定例について説明します外部の特定サーバへのアクセスだけを禁止する外部から特定サーバへの ping だけを禁止する 16 重要 IP フィルタリングで DHCP(ポート番号 67 68)でのアクセスを制限する設定を行った場合 DHCP 機能が使用できなくなる場合があります IP フィルタリング条件が複数存在する場合それぞれの条件に優先順位がつき数値の小さいものから優先的に採用されます設定内容によっては通信できなくなる場合がありますので優先順位を意識して設定してください IP フィルタリング機能を使う 85

86 第 16 章 IP フィルタリング機能を使う 16.2 外部の特定サービスへのアクセスだけ許可する適用機種 PG-SW107 ここでは一時的に LAN を作成し外部 LAN のすべての FTP サーバに対してアクセスすることだけを許可しほかのサーバ(WWW サーバなど)へのアクセスを禁止する場合の設定方法を説明しますただし FTP サーバ名を解決するために DNS サーバへのアクセスは許可します POINT ftp でホスト名を指定する場合 DNS サーバに問い合わせが発生するため DNS サーバへのアクセスを許可する必要があります DNS サーバへのアクセスを許可することによって ftp サービス以外でドメイン名を指定した場合も DNS サーバへの発信が発生しますあらかじめ接続する FTP サーバが決まっている場合は本製品の DNS サーバ機能を利用することによって DNS サーバへの発信を抑止できます LAN LAN LAN LAN IP FTP DNS WWW / /24 フィルタリング設計内部 LAN のホスト( /24)から外部 LAN の FTP サーバへのアクセスを許可内部 LAN のホスト( /24)から外部 LAN への DNS サーバへのアクセスを許可 ICMP の通信を許可その他はすべて遮断 86

87 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集重要 ICMP は IP 通信を行う際にさまざまな制御メッセージを交換します ICMP の通信を遮断すると正常な通信ができなくなる場合がありますので ICMP の通信を透過させる設定を行ってくださいフィルタリングルール FTP サーバへのアクセスを許可するには /24 の任意のポートから任意の FTP サーバのポート 21(ftp)への TCP パケットを透過させる DNS サーバへのアクセスを許可するには /24 の任意のポートから DNS サーバのポート 53(domain)への UDP パケットを透過させる ICMP の通信を許可するためには ICMP パケットを透過させるその他をすべて遮断するにはすべてのパケットを遮断する前述のフィルタリングルールに従って設定を行う場合のコマンド例を示しますコマンド任意の FTP サーバのポート 21 への TCP パケットを透過させる # acl 0 ip /24 any 6 any # acl 0 tcp any 21 # lan 1 ip filter 0 pass acl 0 DNS サーバのポート 53 への UDP パケットを透過させる # acl 1 ip / /32 17 any # acl 1 udp any 53 # lan 1 ip filter 1 pass acl 1 ICMP のパケットを透過させる # acl 2 ip any any 1 any # lan 1 ip filter 2 pass acl 2 残りのパケットをすべて遮断する # acl 3 ip any any any any # lan 1 ip filter 3 reject acl 3 設定終了 # save # commit 16 IP フィルタリング機能を使う 87

88 第 16 章 IP フィルタリング機能を使う 16.3 外部から特定サーバへのアクセスだけ許可する適用機種 PG-SW107 ここでは内部 LAN の特定サーバに対するアクセスを許可しほかのサーバに対するアクセスを禁止する場合の設定方法を説明しますただし FTP サーバ名を解決するために DNS サーバへのアクセスは許可します POINT ftp でホスト名を指定する場合 DNS サーバに問い合わせが発生するため DNS サーバへのアクセスを許可する必要があります DNS サーバへのアクセスを許可することによって ftp サービス以外でもドメイン名で指定されると DNS サーバへの問い合わせが発生しますあらかじめ接続する ftp サーバが決まっている場合は本製品の DNS サーバ機能を利用することで DNS サーバへの問い合わせを抑止することができます LAN LAN LAN LAN FTP IP DNS WWW / /24 フィルタリング設計内部 LAN のホスト( /32)を FTP サーバとして利用を許可内部 LAN のネットワークへの DNS サーバへのアクセスを許可 ICMP の通信を許可その他はすべて遮断重要 ICMP は IP 通信を行う際にさまざまな制御メッセージを交換します ICMP の通信を遮断すると正常な通信ができなくなる場合がありますので ICMP の通信を透過させる設定を行ってください 88

89 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集フィルタリングルール内部 LAN のホストの FTP サーバとしての利用を許可するには /32 のポート 21(ftp)への TCP パケットを透過させる DNS サーバへのアクセスを許可するには /24 の任意のポートから DNS サーバのポート 53(domain)への UDP パケットを透過させる ICMP の通信を許可するためには ICMP パケットを透過させるその他をすべて遮断するにはすべてのパケットを遮断する前述のフィルタリングルールに従って設定を行う場合のコマンド例を示しますコマンド LAN 上のホストのポート 21 への TCP パケットを透過させる # acl 0 ip /24 any 6 any # acl 0 tcp any 21 # lan 0 ip filter 0 pass acl 0 DNS サーバのポート 53 への UDP パケットを透過させる # acl 1 ip / /32 17 any # acl 1 udp any 53 # lan 0 ip filter 1 pass acl 1 ICMP のパケットを透過させる # acl 2 ip any any 1 any # lan 0 ip filter 2 pass acl 2 残りのパケットをすべて遮断する # acl 3 ip any any any any # lan 0 ip filter 3 reject acl 3 16 設定終了 # save # commit IP フィルタリング機能を使う 89

90 第 16 章 IP フィルタリング機能を使う 16.4 外部の特定サーバへのアクセスだけを禁止する適用機種 PG-SW107 ここでは外部 LAN の FTP サーバに対するアクセスを禁止する場合の設定方法を説明します LAN LAN LAN LAN IP FTP DNS / /24 WWW フィルタリング設定内部 LAN のホスト( /24)から外部 LAN の FTP サーバ( )へのアクセスを禁止フィルタリングルール FTP サーバへのアクセスを禁止するには /24 からのポート 21(ftp)への TCP パケットを遮断する前述のフィルタリングルールに従って設定を行う場合のコマンド例を示しますコマンド内部の LAN からへの FTP のパケットを遮断する # acl 0 ip / /32 6 any # acl 0 tcp any 21 # lan 1 ip filter 0 reject acl 0 設定終了 # save # commit 90

91 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 16.5 外部から特定サーバへの ping だけを禁止する適用機種 PG-SW107 ここでは内部 LAN の特定のサーバに対する ping(icmp ECHO)を禁止しこの特定のサーバに対するほかの ICMP パケットその他のプロトコルのパケットおよびほかのホストに対するパケットはすべて許可する場合の設定方法を説明します LAN1 LAN ping IP ping ping フィルタリング設定内部 LAN のサーバ( /32)に対して外部からの ping(icmp ECHO)を禁止その他はすべて通過フィルタリングルール内部 LAN のサーバ( /32)に対して外部からの ping(icmp ECHO)を禁止するには /32 への ICMP TYPE 8 の ICMP パケットを遮断するその他のパケットを許可するすべてのパケットを透過させる 16 IP フィルタリング機能を使う 91

92 第 16 章 IP フィルタリング機能を使う前述のフィルタリングルールに従って設定を行う場合のコマンド例を示しますコマンドアドレス /32 への ICMP TYPE 8 の ICMP パケットを遮断する # acl 0 ip any /32 1 any # acl 0 icmp 8 any # lan 0 ip filter 0 reject acl 0 残りのパケットをすべて透過させる # acl 1 ip any any any any # lan 0 ip filter 1 pass acl 1 設定終了 # save # commit 92

93 第 17 章 DSCP 値書き換え機能を使うここでは DSCP 値書き換え機能を利用する場合の設定方法について説明します 17.1 DSCP 値書き換え機能を使う

94 第 17 章 DSCP 値書き換え機能を使う 17.1DSCP 値書き換え機能を使う適用機種 PG-SW107 本製品を経由してネットワークに送信されるまたはネットワークから受信したパケットを IP アドレスとポート番号の組み合わせで DSCP 値を変更することによりポリシーベースネットワークのポリシに合わせることができます機能説明書 2.24 DSCP 値書き換え機能 DSCP 値書き換え機能の条件本製品では ACL 番号で指定した ACL 定義の中で以下の条件を指定することによってポリシーベースネットワークのポリシに合った DSCP 値に書き換えることができますプロトコル送信元情報 (IP アドレス/アドレスマスク/ポート番号 ) あて先情報 (IP アドレス/アドレスマスク/ポート番号 ) IP パケットの TOS 値または DSCP 値ここではネットワークが以下のポリシを持つ場合の設定方法を説明します FTP(DSCP 値 10)を最優先とするその他はなし LAN0 LAN1 DSCP 0 DSCP 10 FTP DSCP TOS 00 DSCP 0 WWW DSCP /24 94

95 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集設定条件送信元 IP アドレス / アドレスマスク: /24 送信元ポート番号 : 指定しないあて先 IP アドレス / アドレスマスク: 指定しないあて先ポート番号 :20(ftp-data のポート番号 ) 21(ftp のポート番号 ) プロトコル :TCP DSCP 値 :0 新 DSCP 値 :10 前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド FTP サーバのアクセスで DSCP 値を 0 から 10 に書き換える # acl 0 ip /24 any 6 dscp 0 # acl 0 tcp any 20,21 # lan 0 ip dscp 0 acl 0 10 設定終了 # save # commit 17 DSCP 値書き換え機能を使う 95

96 96 第 17 章 DSCP 値書き換え機能を使う

97 第 18 章 DHCP 機能を使うここでは DHCP 機能を使用する場合の設定方法について説明します機能説明書 2.25 DHCP 機能 18.1 DHCP サーバ機能を使う DHCP スタティック機能を使う重要 1 つのインタフェースでは 1 つの機能だけ動作します同時に複数の機能を動作することはできません本製品の DHCP サーバはリレーエージェントを経由して運用することはできません 97

98 第 18 章 DHCP 機能を使う 18.1DHCP サーバ機能を使う適用機種 PG-SW107 DHCP サーバ機能はネットワークに接続されているパソコンに対して IP アドレスの自動割り当てを行う機能です管理者はパソコンが増えるたびに IP アドレスが重複しないように設定する必要がありますこの機能を利用すると DHCP クライアント機能を持つパソコンは IP アドレスの設定が不要になり管理者の手間を大幅に省くことができます本製品の DHCP サーバ機能は以下の情報を広報することができます IP アドレスネットマスクリース期間デフォルトルータの IP アドレス DNS サーバの IP アドレスドメイン名重要本製品の DHCP サーバ機能は DHCP リレーエージェントのサーバにはなれませんここでは DHCP サーバ機能を使用する場合の設定方法を説明します POINT DHCP サーバ機能で割り当てることのできる IP アドレスの最大数は 253 個です IP IP LAN LAN /24 前提条件 LAN0 が設定されている LAN1 は VLAN が設定されている 98

99 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集設定条件本製品の IP アドレス : ブロードキャストアドレス :3(ネットワークアドレス+オール 1) パソコンに割り当てる IP アドレス : ~ パソコンに割り当て可能 IP アドレス数 :32 ネットワークアドレス / ネットマスク : /24 DHCP サーバ機能を使用する前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド VLAN を設定する # ether 31 vlan untag 10 # lan 1 vlan 10 DHCP サーバ機能を設定する # lan 1 ip address /24 3 # lan 1 ip dhcp info dns # lan 1 ip dhcp info address /24 32 # lan 1 ip dhcp info time 1d # lan 1 ip dhcp info gateway # lan 1 ip dhcp service server 設定終了 # save # commit DHCP 機能を使う 18 99

100 第 18 章 DHCP 機能を使う 18.2DHCP スタティック機能を使う適用機種 PG-SW107 DHCP サーバは使用していない IP アドレスを一定期間 (またはパソコンが IP アドレスを返却するまで) 割り当てます不要になった IP アドレスは自動的に再利用されるためパソコンの IP アドレスが変わることがあります本製品では IP アドレスと MAC アドレスを対応付けることによって登録されたパソコンから DHCP 要求が発行されると常に同じ IP アドレスを割り当てることができますこれを DHCP スタティック機能といいます DHCP スタティック機能を利用する場合はホストデータベース情報に IP アドレスと MAC アドレスを設定してください POINT MAC アドレスとは LAN 機器に設定されており世界中で重複されないように管理されている固有のアドレスです本製品がサポートしているIPフィルタリング機能などはパソコンのIPアドレスが固定されていないと使いにくい場合がありますこれらの機能と DHCP サーバ機能の併用を実現するために本製品では DHCP スタティック機能をサポートしていますここでは DHCP スタティック機能を使用する場合の設定方法を説明します POINT ホストデータベース情報は DHCP スタティック機能 DNS サーバ機能で使われておりそれぞれ必要な項目だけを設定します DHCP スタティック機能で設定できるホストの最大数は 100 個です IP IP MAC 00:00:0e:12:34:56 LAN LAN /24 100

101 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集設定条件ネットワークアドレス / ネットマスク : /24 IP アドレスを固定するパソコンの MAC アドレス:00:00:0e:12:34:56 割り当て IP アドレス : DHCP サーバ機能を使用する重要 DHCP サーバ機能を使用するコマンドを実行していない場合 DHCP スタティック機能の設定は無効となります前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド VLAN を設定する # ether 31 vlan untag 10 # lan 1 vlan 10 DHCP サーバ機能を設定する # lan 1 ip address /24 3 # lan 1 ip dhcp info dns # lan 1 ip dhcp info address /24 32 # lan 1 ip dhcp info time 1d # lan 1 ip dhcp info gateway # lan 1 ip dhcp service server DHCP スタティック機能を設定する # host 0 ip address # host 0 mac 00:00:0e:12:34:56 設定終了 # save # commit DHCP 機能を使う

102 第 18 章 DHCP 機能を使う 102

103 第 19 章 DNS サーバ機能を使う (ProxyDNS) ここでは DNS サーバ機能の設定方法について説明します機能説明書 2.26 DNS サーバ機能 19.1 DNS サーバの自動切り替え機能 ( 順引き)を使う DNS サーバの自動切り替え機能 ( 逆引き)を使う DNS 問い合わせタイプフィルタ機能を使う DNS サーバ機能を使う

104 第 19 章 DNS サーバ機能を使う(ProxyDNS) 19.1DNS サーバの自動切り替え機能 ( 順引き)を使う適用機種 PG-SW107 ProxyDNS はパソコン側で本製品の IP アドレスを DNS サーバの IP アドレスとして登録するだけでドメインごとに使用する DNS サーバを切り替えて中継できますここでは順引きの場合の設定方法を説明します honsya.co.jp honsya.co.jp DNS DNS LAN /24 internet DNS 設定条件会社の DNS サーバを使用する場合使用するドメイン :honsya.co.jp DNS サーバの IP アドレス : インターネット上の DNS サーバを使用する場合使用するドメイン :honsya.co.jp 以外 DNS サーバの IP アドレス : 重要コマンド入力時は半角文字 (0 ~ 9 A ~ Z a ~ z および記号 )だけを使用してくださいただし空白文字 < > & % は入力しないでくださいコマンドユーザーズガイド 1.7 コマンドで入力できる文字一覧 104

105 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド DNS サーバ自動切り替え機能 ( 順引き)を設定する # proxydns domain 0 any *.honsya.co.jp any static # proxydns domain 1 any * any static 設定終了 # save # commit パソコン側の設定を確認する 1 パソコン側が DHCP クライアントかどうか確認します DHCP クライアントでない場合は設定します DNS サーバ機能を使う

106 第 19 章 DNS サーバ機能を使う(ProxyDNS) 19.2DNS サーバの自動切り替え機能 ( 逆引き)を使う適用機種 PG-SW107 ProxyDNS は先に説明した順引きとは逆に IP アドレスごとに使用する DNS サーバを切り替えて中継できますここでは逆引きの場合の設定方法を説明します honsya.co.jp DNS DNS LAN /24 internet DNS 設定条件会社の DNS サーバを使用する場合逆引き対象のネットワークアドレス : DNS サーバの IP アドレス : インターネット上の DNS サーバを使用する場合逆引き対象のネットワークアドレス : 以外 DNS サーバの IP アドレス : 重要コマンド入力時は半角文字 (0 ~ 9 A ~ Z a ~ z および記号 )だけを使用してくださいただし空白文字 < > & % は入力しないでくださいコマンドユーザーズガイド 1.7 コマンドで入力できる文字一覧 106

107 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド DNS サーバ自動切り替え機能 ( 逆引き)を設定する # proxydns address /24 static # proxydns address 1 any static 設定終了 # save # commit パソコン側の設定を確認する 1 パソコン側が DHCP クライアントかどうか確認します DHCP クライアントでない場合は設定します DNS サーバ機能を使う

108 第 19 章 DNS サーバ機能を使う(ProxyDNS) 19.3DNS 問い合わせタイプフィルタ機能を使う適用機種 PG-SW107 端末が送信する DNS パケットのうち特定の問い合わせタイプ(QTYPE)のパケットを破棄することができます重要 ProxyDNS 機能を使用する場合問い合わせタイプが A(1)の DNS 問い合わせパケットを破棄するように指定にすると正常な通信が行えなくなります設定条件ドメイン名 :* 問い合わせタイプ :SOA(6) 動作 : 破棄する重要コマンド入力時は半角文字 (0 ~ 9 A ~ Z a ~ z および記号 )だけを使用してくださいただし空白文字 < > & % は入力しないでくださいコマンドユーザーズガイド 1.7 コマンドで入力できる文字一覧前述の設定条件に従って設定を行う場合のコマンド例を示します本製品側を設定するコマンド DNS 問い合わせパケット破棄を設定する # proxydns domain 0 6 * any reject 設定終了 # save # commit 108

109 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集パソコン側の設定を行うここでは Windows 2000 の場合を例に説明します 1 スタートボタンコントロールパネル [ネットワークとダイヤルアップ接続 ]の順にクリックします 2 [ローカルエリア接続 ]を右クリックしプロパティを選択しますローカルエリア接続のプロパティ画面が表示されます 3 一覧からインターネットプロトコル(TCP/IP) をクリックして選択します 4 [プロパティ]をクリックします 5 次の DNS サーバ-のアドレスを使うを選択します 6 優先 DNS サーバーに本製品の IP アドレスを入力します 7 [OK]をクリックします 8 [はい]をクリックしパソコンを再起動します再起動後に設定した内容が有効になります DNS サーバ機能を使う

110 第 19 章 DNS サーバ機能を使う(ProxyDNS) 19.4DNS サーバ機能を使う適用機種 PG-SW107 本製品のホストデータベースにホスト名と IP アドレスを登録します登録したホストに対して DNS 要求があった場合は ProxyDNS が DNS サーバの代わりに応答します設定条件ホスト名 :host.com IPv4アドレス : 重要コマンド入力時は半角文字 (0 ~ 9 A ~ Z a ~ z および記号 )だけを使用してくださいただし空白文字 < > & % は入力しないでくださいコマンドユーザーズガイド 1.7 コマンドで入力できる文字一覧前述の設定条件に従って設定を行う場合のコマンド例を示します本製品側を設定するコマンドホストデータベース情報を設定する # host 0 name host.com # host 0 ip address 設定終了 # save # commit POINT ホストデータベース情報は DHCP スタティック機能 DNS サーバ機能で使われておりそれぞれ必要な項目だけを設定しますパソコン側の設定を行うパソコン側の設定を行います設定方法はパソコン側の設定を行う ( P.109)を参照してください 110

111 第 20 章 SNMP エージェント機能を使うここでは SNMP ホストに対して MIB 情報を通知する場合の設定方法を説明します 20.1 SNMP エージェント機能を使う

112 第 20 章 SNMP エージェント機能を使う 20.1SNMP エージェント機能を使う適用機種 PG-SW107 本製品は SNMP(Simple Network Management Protocol)エージェント機能をサポートしています機能説明書 2.27 SNMP 機能 suzuki SR-S316C2 IP SNMP MIB SNMP POINT SNMP とは? SNMP(Simple Network Management Protocol)はネットワーク管理用のプロトコルです SNMP ホストはネットワーク上の端末の稼動状態や障害状況を一元管理します SNMP エージェントは SNMP ホストの要求に対して MIB(Management Information Base)という管理情報を返しますまた特定の情報についてはトラップという機能を用いて SNMP エージェントから SNMP ホストに対して非同期通知を行うことができます取扱説明書付録 C MIB / Trap 一覧設定条件 SNMPエージェント機能を使用する管理者 :suzuki 機器名称 :PG-SW107 機器設置場所 :1F(1 階 ) エージェントアドレス : ( 自装置 IP アドレス) SNMPホストアドレス : コミュニティ名 :public00(snmpv1/snmpv2c 時 ) ユーザ名 :user00(snmpv3 時 ) 112

113 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集前述の設定条件に従って設定を行う場合のコマンド例を示しますコマンド SNMP エージェント情報を設定する # snmp agent contact suzuki # snmp agent sysname SB9F # snmp agent location 1F # snmp agent address SNMPv1 または SNMPv2c 情報を設定する(SNMPv1 または SNMPv2c 使用時のみ) # snmp manager public00 off disable SNMPv3 情報を設定する(SNMPv3 使用時のみ) # snmp user 0 name user00 # snmp user 0 address SNMP エージェント機能を使用する # snmp service on 設定終了 # save # commit 重要エージェントアドレスには本製品に設定されたどれかのインタフェースの IP アドレスを設定してください誤った IP アドレスを設定した場合は SNMP ホストとの通信ができなくなります SNMP エージェント機能を使う

114 第 20 章 SNMP エージェント機能を使う 114

115 第 21 章システムログを採取するここではシステムログを採取する場合の設定方法を説明します 21.1 システムログを採取する

116 第 21 章システムログを採取する 21.1システムログを採取する適用機種 PG-SW107 本製品では各種システムログ( 回線の接続 / 切断など)をネットワーク上のシステムログサーバに送信することができますまたセキュリティログとして以下のログを採取できます URL フィルタ( 遮断したパケット) DHCP( 配布した IPv4 アドレス) LAN LAN 設定条件以下のプライオリティを設定するプライオリティ LOG_ERROR プライオリティ LOG_WARNING プライオリティ LOG_NOTICE プライオリティ LOG_INFO 以下のセキュリティログを採取する DHCP Proxy DNS ログ受信用サーバの IP アドレス:

117 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集前述の設定条件に従ってシステムログを採取する場合のコマンド例を示しますコマンド # syslog server システムログを設定する # syslog pri error,warn,notice,info # syslog security dhcp,proxydns 設定終了 # save # commit 採取したシステムログを確認する採取したシステムログの確認方法はお使いのサーバによって異なります 21 システムログを採取する 117

118 第 21 章システムログを採取する 118

119 第 22 章スケジュール機能を使うここではスケジュール機能を利用する場合の設定方法について説明します 22.1 構成定義情報の切り替えを予約する重要設定前に本製品の内部時刻を正しくセットしてくださいコマンドユーザーズガイド 1.2 時刻を設定する 119

120 第 22 章スケジュール機能を使う 22.1 構成定義情報の切り替えを予約する適用機種 PG-SW107 本製品のスケジュール機能は構成定義情報切り替え予約です本製品は内部に 2 つの構成定義情報を持つことができます運用構成の変更に備えあらかじめ構成定義情報を用意し指定した日時に新しい構成定義に切り替えることができますここでは 2006 年 12 月 1 日 6 時 30 分に構成定義情報を構成定義情報 1 から構成定義情報 2 に切り替える場合の設定方法を説明します設定条件実行日時 :2006 年 12 月 1 日 6 時 30 分構成定義情報切り替え: 構成定義情報 1 の構成定義情報構成定義情報 2 の構成定義情報前述の設定条件に従って構成定義情報を切り替える場合のコマンド例を示しますコマンド構成定義を切り替える # addact reset config2 設定終了 # save # commit 120

121 第 23 章アプリケーションフィルタ機能を使うここではアプリケーションフィルタを利用して各サーバ機能へのアクセスを制限する場合の設定方法を説明します 23.1 アプリケーションフィルタ機能を使う

122 第 23 章アプリケーションフィルタ機能を使う 23.1アプリケーションフィルタ機能を使う適用機種 PG-SW107 本製品上で動作する各サーバ機能に対してアクセス制限を行うことができます機能説明書 2.29 アプリケーションフィルタ機能これにより装置をメンテナンスまたは装置のサーバ機能を使用する端末を限定しセキュリティを向上させることができます FTP TELNET SSH TIME internet LAN /24 DNS 設定条件管理用のホスト( )からのみ TELNET/FTP/SSH サーバ機能へのアクセスを許可する内部 LAN のホスト( /24)からのみ TIME サーバ機能へのアクセスを許可するその他のサーバ機能は制限しない重要 IP フィルタリングにより自装置へのパケットを遮断している場合アプリケーションフィルタで許可する設定を行っていてもアクセスはできません 122

123 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集前述の設定条件に従ってアプリケーションフィルタを設定する場合のコマンド例を示しますコマンド制限するサーバ機能に対しデフォルトのアクセスを遮断する # serverinfo ftp filter default reject # serverinfo telnet filter default reject # serverinfo ssh filter default reject # serverinfo time filter default reject 管理用のホストからの FTP/TELNET/SSH サーバ機能へのアクセスを許可する # acl 0 ip /32 any any any # serverinfo ftp filter 0 accept acl 0 # serverinfo telnet filter 0 accept acl 0 # serverinfo ssh filter 0 accept acl 0 内部 LAN のホストからの TIME サーバ機能へのアクセスを許可する # acl 1 ip /24 any any any # serverinfo time filter 0 accept acl 1 23 設定終了 # save # commit アプリケーションフィルタ機能を使う 123

124 索引ああて先情報 , 94 アドレスマスクアプリケーションフィルタ機能き逆引きこ構成定義情報切り替え予約しシステムログシステムログの確認順引きすスイッチング HUB スケジュール機能スタティック MAC フォワーディング機能. 33 せ制御セキュリティ接続端末数制限機能そ送信元情報 , 94 ソースポートたターゲットポートタグ VLAN 機能とドメインはバックアップポート機能ふプロトコル , 94 プロトコル VLAN 機能ほポート閉塞機能ポートミラーリング機能ポート VLAN 機能ホストデータベースホストデータベース情報ポリシーベースネットワークまマルチキャストパケットゆ優先順位優先制御情報書き換え機能優先制御機能りリンクアグリゲーション機能るループ検出機能 A ACL 番号 , 94 D DHCP 機能 DHCP サーバ機能 DHCP スタティック機能 DHCP リレーエージェント機能 DNS サーバ機能 DNS サーバの自動切り替え機能 ( 逆引き)106 DNS サーバの自動切り替え機能 ( 順引き)104 DNS 問い合わせタイプフィルタ機能 DSCP 値 , 94 DSCP 値書き換え機能 E ether L3 監視機能 I IEEE802.1X 認証機能 IGMP スヌープ機能 IGMP パケット IP アドレス

125 PRIMERGY BX600 スイッチブレード(1Gbps)(PG-SW107)コマンド設定事例集 IP アドレスの自動割り当て IP フィルタリング機能 IP フィルタリングの条件 IP フィルタリングの設計方針 L LACP 機能 M MAC アドレス認証機能 MAC フィルタリング機能 MIB MSTP P ProxyDNS Q QoS 機能 S SNMP SNMP エージェント機能 STP 機能 T TOS 値 , 94 V VLAN 機能 VRRP 機能

126 126

すべて見る

SR-Sシリーズセキュアスイッチ　コマンド設定事例集

SR-Sシリーズセキュアスイッチ　コマンド設定事例集 SR-S P3NK-3822-06Z0 V13 SR-S V13 2009 11 2010 7 2 2010 10 3 2012 7 4 2012 9 5 2013 1 6 Microsoft Corporation Copyright FUJITSU LIMITED 2009-2013 2 SR-S V13...2...6...6...7...8 1 VLAN...9 1.1 VLAN...9 1.2

PRIMERGY BX600 スイッチブレード（1Gbps）（PG-SW107） コマンド設定事例集

PRIMERGY BX600 スイッチブレード（1Gbps）（PG-SW107）コマンド設定事例集