9424T/SP-E + GS916M V2 [TAG+マルチプルVLAN(Protected Ports VLAN)]

更新日2010-04-13 (火) 09:34:57

アライド製のスイッチ9424T/SP-E(L3) + GS916M V2(L2)で複数グループにおけるグループ間の接続を制御する設定

仕様

9424T/SP-E(L3 SW)

  • UNTAGのProtected Ports VLAN(VLAN 31)を作成し、3つのグループに分ける。
  • 上記VLANはグループ内は接続するがRouterの属するVLAN(VLAN 10)、及びメンテ用VLAN(VLAn X)以外は接続しない
  • 上記VLANのすべてのグループから接続できるUPLINKポートを作成する
  • GS916M接続できるVLAN(VLAN B)を作成する

GS916M V2(L2 SW)

  • GS916M V2(L2 SW)内には9424T/SP-Eから3つTAGをうけるようにし、そのうちの1つのTAGの下ではProtected Ports VLAN(VLAN 41)で3つに分け、グループ間接続を禁止しする
  • メンテナス用TAG VLAN(VLAN X)はポートに接続しないでTELNETとして制御部と接続できるようにする
  • 9424T/SP-EのVLAN Bと接続可能なProtected Ports VLAN(VLAN B)を作成
  • すべてVLANはRouter属するVLAN(VLAN 10)と接続可能

TAG VLAN と Protected Ports VLANの併用時の注意

  • L3 SWにおけるVLANはL2の上にルータが乗っているイメージで、このルータに各VLANへのインターフェースがありそれにIPを指定するとルータ内でルートができ接続できるようになる。よってVLAN間を制御するにはIPフィルタが必要になる

    L3のイメージ

                  ----------------------------------------------------
                  |            L3 SW                                 |
                  |    --------------------------------------        |
                  |    |       ルータ                       |        |
                  |    --------------------------------------        |
                  |         |IPアドレス1 |IPアドレス2   |IPアドレス3 |
                  |         |            |              |            |
                  |    ----------   ------------   ------------      |
                  |    | VLAN A |   |  VLAN  B |   | VLAN  C31|      |
                  |    ----------   ------------   ------------      |
                  ------|--|--|------|---|---|-------|--|---|---------
             物理ポート□ □ □     □  □  □      □ □  □
  • Protected Ports VLANはひとつのSWで完結している
  • ポートにTAG VLAN と Protected Ports VLANが指定された場合はProtected Ports VLANのルールが優先される

    (GS916M V2の9424T/SP-Eに接続するポートはTAGの指定をするが、同時にProtected Ports VLANのUPLINKにも指定される。この場合TAGだけの接続でよいVLAN BはProtected Ports VLANは必要ないが、このポートはProtected Ports VLANに属しているためTAGが通らないそのため、VLAN BもProtected Ports VLANを作成しこのポートをUPLINKに指定する必要がある)

  • TAGポートに指定したポートに接続されるデバイスはTAGを理解できるデバイスである必要がある。

    (GS916M V2のUPLINKはどのProtected Ports VLANのグループからでもアクセスできるポートが、UPLINKもひとつのグループなので複数グループ作成できない。よってVLAN C41だけのUPLINKは作成できないのでたとえばポート15もUPLINKに指定するにはTAGも指定する必要がある。そのためポート15の接続デバイスはTAGを理解する必要がある)

  • ポートに接続しないVLANはProtected Ports VLAN指定できないので仕様と思われるがUPKINKに指定されたポートからTAGVLANとして9424T/SP-Eと接続できる
  • 9424T/SP-EにおいてはProtected Ports VLAN(VLAN C31)はL3で別VLANと接続するためポート24をはUPLINKに指定する必要はない。
  • GS916M V2においてカスケード接続行い下流にTAGだけ流す場合、Protected Ports VLANの指定は必要ないが、UPLINK Portで上位に接続されているため 結局Protected Ports VLANを指定しなとrotected Ports優先でどのグループにも属さないないので接続できない。

ところでTAG VLANで接続されている場合はスタティックIPを使用すればVLAN間は今回ように接続されたVLAN Bであれば接続できる。(当たり前)

構成図

下の添付ファイル

設定内容

# VLAN ID 10 Defalut Route
# VLAN ID 3x,4x間の接続は不可
# VLAN ID 3x,4xと20間の接続は不可
# VLAN ID 10と VLAN ID 20間の接続は可
# VLAN ID 10と VLAN ID 3x,4x間の接続は可
# VLAN ID 10と 99間の接続は可(メンテナス用)

NetWork

VLAN 10  192.168.1.0/24
VLAN 20  192.168.2.0/24
VLAN 31  192.168.31.0/24
VLAN 41  192.168.41.0/24
VLAN 99  192.168.99.0/24

設定内容

スイッチの設定(9424T/SP-E) TagPortが21

CREATE VLAN=A VID=10
CREATE VLAN=B VID=20

# Protected Ports VLANの設定

CREATE VLAN=C31 VID=31 PORTPROTECTED
CREATE VLAN=C41 VID=41
CREATE VLAN=X VID=99

ADD VLAN=A PORT=24
ADD VLAN=B PORT=1-2

# Protected Ports VLAN(グループ内通信、UPLINK、別ネットワークへの接続が可)

ADD VLAN=C31 PORT=3-8 GROUP=1
ADD VLAN=C31 PORT=9-14 GROUP=2
ADD VLAN=C31 PORT=15-19 GROUP=3

#上記ポートより接続可なポート(プリンタなど)を指定
ADD VLAN=C31 PORT=20 GROUP=UPLINK 


# TAGを流すPort21はVlanTagIDが20,41,99

ADD VLAN=B PORT=21 FRAME=TAGGED
ADD VLAN=C41 PORT=21 FRAME=TAGGED
ADD VLAN=X PORT=21 FRAME=TAGGED


ADD IP INT=vlan-A IP=192.168.10.51 MASK=255.255.255.0
ADD IP INT=vlan-B IP=192.168.2.1 MASK=255.255.255.0
ADD IP INT=vlan-C31 IP=192.168.31.1 MASK=255.255.255.0
ADD IP INT=vlan-C41 IP=192.168.41.1 MASK=255.255.255.0
ADD IP INT=vlan-X IP=192.168.99.1 MASK=255.255.255.0

#Telnet conect vlan(SW内部へのアクセスするVLAN)

SET IP LOCAL INT vlan-x

# Hard Filter
CREATE CLASSIFIER=1 IPSADDR=192.168.2.0/24 IPDADDR=192.168.31.0/24 
CREATE CLASSIFIER=2 IPSADDR=192.168.2.0/24 IPDADDR=192.168.41.0/24 
CREATE CLASSIFIER=8 IPSADDR=192.168.31.0/24 IPDADDR=192.168.2.0/24 
CREATE CLASSIFIER=9 IPSADDR=192.168.31.0/24 IPDADDR=192.168.41.0/24 
CREATE CLASSIFIER=15 IPSADDR=192.168.41.0/24 IPDADDR=192.168.2.0/24 
CREATE CLASSIFIER=16 IPSADDR=192.168.41.0/24 IPDADDR=192.168.31.0/24 


CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=1-24 
CREATE ACL=2 ACTION=DENY CLASSIFIERLIST=2 PORTLIST=1-24
CREATE ACL=8 ACTION=DENY CLASSIFIERLIST=8 PORTLIST=1-24
CREATE ACL=9 ACTION=DENY CLASSIFIERLIST=9 PORTLIST=1-24 
CREATE ACL=15 ACTION=DENY CLASSIFIERLIST=15 PORTLIST=1-24 
CREATE ACL=16 ACTION=DENY CLASSIFIERLIST=16 PORTLIST=1-24

# DHCP

ENABLE DHCP

CREATE DHCP POLICY=base LEASE=7200

ADD DHCP POLICY=base SUBNET=255.255.255.0 DNSSERVER=192.168.10.253

CREATE DHCP POLICY=B LEASE=7200 INHERIT=base 
CREATE DHCP POLICY=C31 LEASE=7200 INHERIT=base 
CREATE DHCP POLICY=C41 LEASE=7200 INHERIT=base 

ADD DHCP POLICY=B ROUTER=192.168.2.1
ADD DHCP POLICY=C31 ROUTER=192.168.31.1
ADD DHCP POLICY=C41 ROUTER=192.168.41.1

CREATE DHCP RANGE=Bip POLICY=B IP=192.168.2.100 NUMBER=100 
CREATE DHCP RANGE=C31ip POLICY=C31 IP=192.168.31.100 NUMBER=100 
CREATE DHCP RANGE=C41ip POLICY=C41 IP=192.168.41.100 NUMBER=100 
# Default G/Wの設定
ADD IP ROUTE=0.0.0.0 int=vlan-A nexthop=192.168.10.253

ADD IP ROUTEのINTの指定等 vlan-(VLAN名)のように"vlan-"をつける必要がある指定があるので注意

スイッチの設定(GS916M V2) TagPortが16

#VLAN BもポートプロテクトVLANに指定しないとGS916M V2では9424T/SP-EとTAG接続できなった。
#ポートプロテクトVLAN(マルチプルVLAN)はスイッチをまたいでは構成できない

CREATE VLAN=B VID=20 PORTPROTECTED
CREATE VLAN=C41 VID=41 PORTPROTECTED
CREATE VLAN=X VID=99

# Protected Ports VLAN(グループ内通信、UPLINK接続が可)

 ADD VLAN=B PORT=1-2 GROUP=4

ADD VLAN=C41 PORT=3-5 GROUP=1
ADD VLAN=C41 PORT=6-12 GROUP=2
ADD VLAN=C41 PORT=13-14 GROUP=3


# TAGを流すPort16はVlanTagIDが20,41,99
ADD VLAN=B PORT=16 FRAME=TAGGED GROUP=UPLINK
ADD VLAN=C41 PORT=16 FRAME=TAGGED GROUP=UPLINK
ADD VLAN=X PORT=16 FRAME=TAGGED

#内部制御用のIPの設定
ADD IP INT=X IP=192.168.99.2 MASK=255.255.255.0 GATEWAY=192.168.99.1

G916M V2でのVLAN削除

トランクポートが存在するときは以下のようにトランクグループからポートを削除してからVLANを削除後DESTROYする。

Manager > DELETE SWITCH TRUNK=uplink PORT=1-2
Manager > delete vlan=V44 PORT=ALL
Manager > DESTROY VLAN=V44

9424T/SP-E 設定変更

Passwordの変更(manager)

# set password manager
Enter current manager password->******
Enter new manager password->**********
Re-enter manager password ->**********
# Default G/Wの変更
delete ip route=0.0.0.0 mask=0.0.0.0 nexthop=192.168.XXX.XXX
add ip route=0.0.0.0 int=vlan-VDMZ nexthop=192.168.xxx.xxx

SET IP ROUTEはメトリックの変更で、NEXTHOPは変更できない。マニュアルのパラメータの黒文字は変更できない可能性があるので注意

# DHCP Server DNSの変更
SET DHCP POLICY=base SUBNET=255.255.255.0 DNSSERVER=192.168.xxx.xxx

スパニングツリープロトコル/Multiple STP

今回の構成図で

以下のように予備線を接続しスパニングツリープロトコルを実践するにはVLANごとに設定の必要があうようだが、Multiple STPにすると複数のVLANをまとめたMSTインスタンスごとにスパニングツリーを作成して管理できるようだ.
また1つのインスタンスには複数のVLANを入れることができる。

構成図

 9424T/SP-E
 --------------------------------------
 |                                    |
 |         Port 21  22(両方TAG VLAN)  |
 --------------------------------------
                 |   |
                 |   |(予備線)
 GS916M V2       |   |
 ------------------------------------|
 |         Port 15  16(両方TAG       |
 |                      +UPLINK VLAN)|
 |                                   |
 -------------------------------------

スパニングツリープロトコル(STP。STP Compatible Modeで動作)、ラピッドスパニングツリープロトコル(Rapid STP。IEEE802.1w準拠)およびマルチプルスパニングツリープロトコル(Multiple STP。IEEE802.1s準拠)をサポートしています。どちらのプロトコルを使用するかを決定してから、それぞれのプロトコルに関する基本設定を行います。(デフォルトは、ラピッドスパニングツリープロトコルが起動。)

備考・注意事項~ ・MSTインスタンスを作成し、VLANの割り当てを行った場合は、デフォルトVLANも含めて、すべてのVLANを、ID=1〜15のMSTインスタンスに割り当てること

設定

基本設定

  • MSTをアクティブまたは有効にする
  • その後MSTインスタンスのインスタンスを作成
  • 作成インスタンスにVLANを割り振る

9424T/SP-E

ACTIVATE MSTP
ENABLE MSTP 

MSTインスタンスを作成 defaultで0があるが、GS916M V2では0が設定できないので1を作成

CREATE MSTP MSTIID=1

MSTインスタンスにVLANを指定

SET MSTP MSTIVLANASSOC MSTIID=1 VLANLIST=20,41,99

GS916M V2

ENABLE MSTP
CREATE MSTP MSTI=1
ADD MSTP MSTI=1 VLAN=20,41,99

削除

設定内容

# show MSTP MSTIVLANASSOC

MSTP VLAN association Information:
MSTI/CIST   Associated VLANs
-----------------------------------------------------------------------------
0         1,10,31
1         20,41,99
# show MSTP PORTSTATE
The current protocol Version is: MSTP

MSTP Port State Information for Spanning Tree Instance: 0
                                                      |         Cost        |
Port | State      | Role      | Edge  | P2P | Version | External | Internal |
---------------------------------------------------------------------------
   1   DISAbled     ---------------------------------------
   2   DISAbled     ---------------------------------------

(略)

  17   DISAbled     ---------------------------------------
  18   DISAbled     ---------------------------------------
  19   DISAbled     ---------------------------------------
  20   DISAbled     ---------------------------------------
  21   Forwarding   DEsignated  No      Yes   Mstp      20000      20000
  22   DISCarding   DEsignated  No      Yes   Mstp      20000      20000
  23   DISAbled     ---------------------------------------

  24   Forwarding   DEsignated  No      Yes   Mstp      20000      20000

MSTP Port State Information for Spanning Tree Instance: 1
                                                      |         Cost        |
Port | State      | Role      | Edge  | P2P | Version | External | Internal |
---------------------------------------------------------------------------
   1   DISAbled     ---------------------------------------
   2   DISAbled     ---------------------------------------
  21   Forwarding   DEsignated  No      Yes   Mstp      20000      20000
  22   DISCarding   DEsignated  No      Yes   Mstp      20000      20000
# show MSTP MSTIVLANASSOC

MSTP VLAN association Information:
MSTI/CIST   Associated VLANs
-----------------------------------------------------------------------------
0         1,10,31
1         20,41,99

インスタンス1に設定されているVLANの削除

GS916M V2

DELETE MSTP MSTI=1 VLAN=20,41,99

9424T/SP-E

DELETE MSTP MSTIID=1 MSTIVLANASSOC=20,41,99

# show MSTP MSTIVLANASSOC

MSTP VLAN association Information:
MSTI/CIST   Associated VLANs
-----------------------------------------------------------------------------
0         1,10,20,31,41,99
1

インスタンス1の削除

GS916M V2

DESTROY MSTP MSTI=1

9424T/SP-E

DESTROY MSTP MSTIID=1

# show MSTP MSTIVLANASSOC

MSTP VLAN association Information:
MSTI/CIST   Associated VLANs
-----------------------------------------------------------------------------
0         1,10,20,31,41,99

ポートトランキングの設定

  • トランクポートは同じVLANに所属している必要があります。

構成図はMSTと同じ

9424T/SP-E

# CREATE SWITCH TRUNK=uplink PORT=21-22
# SHOW SWITCH TRUNK
Switch trunk group(s)
---------------------------------------------------------------------

Trunk group ID ...................... 1
   Trunk Status   ................... UP
   Trunk group name ................. uplink
   Trunk method ..................... SRC/DST MAC
   Ports ............................ 21-22
---------------------------------------------------------------------

GS916M V2

  • コンボ(共用)ポートとコンボポート以外のポートを、同一のトランクグループに所属させることはできません。(GS916M V2の場合、1000BASE-Tポートの15R、16RとSFPポートの15、16がコンボポート。GS924M V2の場合、1000BASE-Tポートの15R、16R、23R、24RとSFPポートの15、16、23、24がコンボポート)
  • コンボポートでポートトランキングを使用する場合は、コンボポートの設定(SET SWITCH PORTコマンドのCOMBOパラメーターで設定)が、SFPポートのみ使用可(FIBER)、または、1000BASE-Tポートのみ使用可(COPPER)の設定にしてください。また、コンボポート同士は、同じ設定にしてください。
Manager > CREATE SWITCH TRUNK=uplink SPEED=1000M
Manager > set switch port=15-16 COMBO=COPPER
Manager > ADD SWITCH TRUNK=uplink PORT=15-16
Manager > SHOW SWITCH TRUNK

Switch Trunk Group
-----------------------------------------------------------
 Trunk group name ... uplink
   Speed .............. 1000 Mbps
   Ports .............. 15-16
-----------------------------------------------------------

参考


添付ファイル: file図面1_TEST02.pdf 72件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2010-04-13 (火) 09:34:57 (3082d)