- - PR -
スイッチのインタフェース設定で複数のVLANを割り当てたい
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-07-18 23:28
んー。自信ありませんが;
interface Fa0/x switchport mode trunk switchport trunk native vlan 10 switchport trunk allowed vlan add 11 とかでよさげですが。タグの制御がどうなるのか、いまいち見えません。 充分にご検証ください。 secondaryIPでもよさそうですが、セキュリティを考えると、 vlanインタフェースごとにaccess-listを当てたいですよね。 歯切れが悪くてすみません。 _________________ _福田太郎_ | ||||||||
|
投稿日時: 2007-07-19 09:44
返信感謝。
この状況なら大丈夫そうですね。 # CISCOのスイッチ類はポート単位で故障するケースを結構経験していますので # 予備の無い構成はかなり危険に思い、前のコメントした次第です。
設定だけの問題だとたらお様のアドバイスにある通り、実インタフェイスに vlan定義をマッピングさせる方法でいけそうですね。 # 個人的な好みだと、部署単位でVLANを分離する際にL2SW以降を部署単位に # 分けたい衝動に駆られますwww | ||||||||
|
投稿日時: 2007-07-20 10:49
たらおさん、レスありがとうございます。返信遅れてすいません。
早速、試してみましたが、sh runで確認すると、 interface FastEthernet0/x switchport trunk native vlan 10 switchport mode trunk となり、switchport trunk allowed vlan add 11が反映されません。コマンド入力時はエラーもないので適用されてるようにみえます。勿論、PCのIP AddressをVLAN11に変更しても疎通不可です。VLAN10のIP Addressでは疎通可。 以下のようにVLAN11専用にすると疎通可ですのでVLAN11自体は問題ありません。 interface FastEthernet0/x switchport access vlan 11 switchport mode access あと「secondaryIPでもよさそうですが、セキュリティを考えると、 vlanインタフェースごとにaccess-listを当てたいですよね。 」の意味がわかりません。別の方法があれば具体的に教えていただいても宜しいでしょうか? 最初の方法がNGならこちらも試してみたいと思います。ちなみにご心配されているセキュリティは、全PCのIP Address変更後、switchport access vlan 11でVLAN11専用ポートにしてVLAN毎にACLを設定しますので今回の対処はIP Address変更時の一時的なものになります。 よろしくお願いします。 | ||||||||
|
投稿日時: 2007-07-21 12:31
要件的には、SecondaryIPでもよさそうですね。
interface vlan 10 ip address 172.16.xx.xx 255.255.255.0 ←現在のIPアドレス ip address 172.16.yy.yy secondary ←セカンダリIPアドレス とするだけです。移行後は、vlan10のセカンダリIPを削除して、 interface vlan 10 ip address 172.16.xx.xx 255.255.255.0 interface vlan 11 ip address 172.16.yy.yy 255.255.255.0 ip access-group 100 in access-list 100 deny ip 172.16.yy.0 0.0.0.255 172.16.xx.0 0.0.0.255 ! vlan11 から vlan10への通信を許可しない access-list 100 permit ip any any ! その他の通信はすべて許可する。 とかになると思います。 Trunkについては、学術的な疑問が残りますが、 Catalystの設定作法に依存しているかと考えています。 何か混在できない設定をしたとか、必要手順を飛ばしたのでしょう。 こちらは自己検証したいと思います。 _________________ _福田太郎_ | ||||||||
|
投稿日時: 2007-07-21 17:02
こんにちわ。
遅レスですが、、 === 手動設定の場合、"switchport access vlan 10"と設定しているポートを 、"switchport access vlan 11"とすればいいのですが、業務上PC側の アドレス変更は同時にできないため、その都度スイッチ側設定を少しづつ 行うのが大変と感じています。 === 同時にできないとおっしゃってますので、業務通信に影響があると まずいネットワークかな、、と感じます。 十分な評価時間と調整が可能ならばセカンダリIPを使用した作業手順で いいと思いますが、それも工数がかかると思います。 業務通信に影響が出ない方法を模索して、調整可能であれば少数でも クライアントのアドレス変更と同時にSW変更を確実に作業を行う方が がいいと感じました。 私だと、どちらが工数が少なくて確実にミスなくやれるかで 作業方法は選択します。 あと、 作業は『事前調整と評価が7割、作業2割、運1割』で、 設計は『現状把握が5割、設計2割、金2割、適当1割』ですww がんばってくださいね。 [ メッセージ編集済み 編集者: KYO 編集日時 2007-07-21 17:20 ] | ||||||||
|
投稿日時: 2007-07-21 20:38
◆セカンダリIPの場合、以下手順4で通信断が発生します。
1.初期状態 vlan10(IPa)----I/F----(IPa')PC →通信可 2.セカンダリ作成 vlan10(IPa,b)----I/F----(IPa')PC →通信可 3.PCのIPアドレス変更 vlan10(IPa,b)----I/F----(IPb')PC →IP変更時のみ瞬断 4.vlan11作成 vlan10(IPa)----I/F----(IPb')PC →▲通信断が発生 vlan11(IPb) 5.I/Fのaccess設定を変更 vlan10(IPa) vlan11(IPb)----I/F----(IPb')PC →通信可 ◆Trunkの場合は、 1.初期状態 vlan10(IPa)----I/F----(IPa')PC →通信可 2.vlan11作成とTrunk設定 vlan10(IPa)----I/F----(IPa')PC →設定変更時に瞬断 vlan11(IPb)----┘ 3.PCのIPアドレス変更 vlan10(IPa)----I/F----(IPb')PC →IP変更時のみ瞬断 vlan11(IPb)----┘ 4.I/Fのaccess設定を変更 vlan10(IPa) vlan11(IPb)----I/F----(IPb')PC →通信可 このように、Trunk設定がうまく行けば、瞬断で済みますね。 セカンダリ方式だと、vlan11にIPアドレスを付与してからI/F設定が終わるまでは、 当該I/Fの先のPCは通信できないことになります。 _________________ _福田太郎_ | ||||||||
|
投稿日時: 2007-07-25 11:56
たらおさん、KYOさん
レスありがとうございました。 出張のため、確認が遅くなり申し訳ありません。 結論、セカンダリIPをVLAN10に設定することで目的が達成できそうです。 VLANにセカンダリIPを設定することができるんですね。 この方法ならPCのIP Address変更後も同じVLANでいけます。別のVLANにしないといけないものと勝手に考えていました。 従って同じVLANのままでいけますのでPCのIP Address変更時のみ瞬断が発生しますが、PC側はnetshを使ったスクリプトをタスクスケジューラで深夜に動かすので問題ありません。 ありがとうございました! | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。