ここから質問投稿すると、最大4000ポイント当たる!!!! >>

CiscoのCatalystを使用しています。
Native VLANはデフォルトではVLAN1ですが、これを他のVLAN IDに
変更しているネットワークがありました。

Native VLANを変更するメジャーな理由はありますでしょうか。
SWの管理情報フレームのトラフィックが多くて、個別のVLANに分離すると
推測していますが、、

A 回答 (1件)

こんにちは


結論から先に申し上げますと、「設定者に聞かないとナントモ」です。
機種やNW 構成によって、VLAN1 以外が作成・使用されるケースは、
いくらでも存在します。


ただ、プレーンな設定状態に近い状態で、
VLAN1 以外を作成・使用する場合に
考えられる事、注意すべき点を紹介します。


Cisco 製品を含め、多くの他ベンダーのスイッチ機器にしても、
Default では全てのPort がVLAN 1 に属しています。

このDefault の状態で運用する場合、全てのトラフィックは同じVLAN に所属するため、
同一NW にあることになります。

これでは、サービストラフィックや管理用のトラフィックも同じ扱いになってしまいます。

そのスイッチがリモートで監視するよう設定が施され、
CLI で接続するには難しい場所に設置されていた場合、
仮にブロードキャストストームが発生するとどうなるでしょうか?

ブロードキャストストームのフレームが
サービスネットワーク・管理用ネットワーク関係無く両者に広がってしまい、
管理者がリモートでそのスイッチだけでなく、
全てのスイッチにTelnet できなくなる危険性があります。

この為、Default で存在するVLAN1 以外のVLAN を用意し、
それを管理用かサービス用とする方法がとられます。

丁寧なNW 設計を心がけるとすれば、トラフィックの種類ごとにVLAN を分ける事が必要です。
特にアクセススイッチとなるL2SW ではVLAN を分け、
上位のディストリビューション(アグリゲーションスイッチ)やコアスイッチとなるL3SW などで
ルーティング、ACL、帯域制御などのトラフィックコントロールを行うことになります。
    • good
    • 0
この回答へのお礼

わかり易く御回答頂き有難う御座いました。

確かに当NWは規模が大きく、かなりのセグメント(VLAN)や
トラフィックの種類があります。そんな環境では整然と構築すべきと
思います。

設計者とコンタクトを取るのも簡単では無く、
Catによる大規模なLANの担当は初めてですので参考になりました。

お礼日時:2005/09/02 15:47

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QネイティブVLANについて

よろしくお願いします。
ネイティブVLANについて教えてください。
フレームは、ISL トランク上でも、dot1q 上でも
タグ付けされないのでしょうか。
また、非トランキングホストもフレームを解釈できるのでしょうか。

Aベストアンサー

_| ̄|○

まさか、ISL はカプセリングなので、”タグ付けされない”と表現が間違い、と言うオチですか??

勉強し直してきます。。。

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

Qサブインタフェースは必要?

CCNAの勉強をしているのですが、VLANを作成する際にルータでサブインタフェースの設定をしなければならないとあります。
何故ですか?

例えばルータにスイッチが接続され、更にその下にホストA、Bが接続されているとします。
ホストA、Bを異なるVLANに所属させ、なおかつ同じネットワークアドレスを持つようには出来ないということですよね?
ルータで、タグだけ付け替えて、受信したポートに転送することはできないんですか?

Aベストアンサー

全体的に、L2/L3に関してこんがらがっているようです。
・VLANは単に、線の仮想化
・ルータはパケットの宛先IPアドレスを見て別のインターフェイスから転送をする、だけ
 ・VLANタグとか見ない

ルータのフォワーディング機能が働く段階では、VLANタグは取れてます。
IPヘッダ・イーサネットフレーム・802.1Qのフォーマットを改めて見てみて、ネットワークのどこで何が起きているのかを想像してみてください。

蛇足になりますが、、
> ホストA、Bを異なるVLANに所属させ、なおかつ同じネットワークアドレスを持つようには出来ないということですよね?
スイッチとPCで設定するぶんには、出来るっちゃできます(そういう設定が必要な状況もあります)

QCatalystのL2スイッチのIPアドレス設定

CCNA取得勉強の為に教えてgoo!の過去の質問を見ていたときに疑問が発生しました。
分かる方がいらっしゃいましたら教えてください。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=1199795

疑問が発生したのは↑の質問なのですが、

Catalyst2950に、インターフェースに対してIPアドレスを割り当てることができるのですか?

自分の認識だと、
・Catalyst2950はL2SWなので、データリンク層の機器であるため、インターフェースに対しIPアドレスは振れない
・但し、TELNETでアクセスしたり、snmpTRAPをあげるため、(管理的な意味で)管理VLAN(デフォルトでは1)に対し、IPアドレスを割り当てることが出来る。

なのですが。もしこの認識が間違っていた場合、インターフェースにIPアドレスを割り当てる方法をご教示いただきたいです。
よろしくお願いします。

Aベストアンサー

ネットワークエンジニアをしております。

>Catalyst2950に、インターフェースに対してIPアドレスを割り当てる
>ことができるのですか?

言葉の問題になってしまいますよね。インターフェースという言葉は、「その対象に出入りするための口」という意味なので、使い方やその人の認識に依存する話だと思います。。。

「インターフェースに割り当てることができるか」ということであれば
可能でしょう。要は「どういうインタフェースを意味しているのか」というのが問題です。

No.3さんが回答されている通り、Catalyst2950のスイッチポート(物理インタフェース)にはMACアドレスは振られますが、IPアドレスは振れません。

スイッチの「管理VLAN」は「論理インタフェース」です。これにはIPアドレスを振ることができます。
このVLANに振るIPアドレスは、スイッチ装置自身を特定するアドレスだと思ってよいと思います。(PCに振るIPアドレスと同様です)

理解されていると思いますが
紹介されているURLでは、telnetでCatalyst2950にアクセスする方法を聞かれているものだと思いますが、
telnet経由でCatalyst2950スイッチにアクセスするためには、スイッチポートを管理VLANと同じVLANに所属させておけば、スイッチポート経由でスイッチにアクセスできます。

スイッチポートで認識するPDU(プロトコルデータユニット)はフレームであり、そのアドレスはMACアドレスなど(メディアに依存)です。そのフレーム中にカプセル化されているパケットの(使うプロトコルがIPであれば)IPアドレスやそのほかのデータはフレーム中にカプセル化されていて、スイッチポートでは認識されません。
スイッチポートでフレームのMACアドレス(タグVLANを使用していればVLAN他)などが認識されて、スイッチポートからスイッチ内部に入ることを許可されればカプセル化がはずされ(フレームヘッダがはずされ)、パケット(IPアドレス等)が検査されることになります。

ネットワークエンジニアをしております。

>Catalyst2950に、インターフェースに対してIPアドレスを割り当てる
>ことができるのですか?

言葉の問題になってしまいますよね。インターフェースという言葉は、「その対象に出入りするための口」という意味なので、使い方やその人の認識に依存する話だと思います。。。

「インターフェースに割り当てることができるか」ということであれば
可能でしょう。要は「どういうインタフェースを意味しているのか」というのが問題です。

No.3さんが回答されてい...続きを読む

QWindowsのフリーソフトでSYSLOGサーバってありますか?

現在YAMAHAのルータRT58iというルータを使っているのですが、たまにSYSLOGで調べたいことがあり、telnetで入ってSYSLOGをみてみると2時間前くらいのLOGしか残っていません。もっと前にさかのぼりたいと思っているのですが、500件を超してしまっているようです。そこで、Windows用のフリーのSYSLOGサーバソフトを探しているのですが、どなたかご存じのかたいらっしゃいませんでしょうか。

Aベストアンサー

http://www.google.co.jp/search?hl=ja&q=windows+syslog%E3%82%B5%E3%83%BC%E3%83%90&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja&aq=0&oq=Windows+Syslog

ちょっと検索しただけでそれらしいものが見つかるようですが……。

QキャプチャではIEEE802.1qのタグが埋め込まれていない?動作は正常

こんにちは、よろしくお願いします。

IEEE802.1qのトランクポート間で流れるパケットをキャプチャしたところ、タグが挿入されていない(?)模様、という件です。

CatalystとLinux(ルータとして使います)を接続し、vlan設定をし、正常に動作していることを確認しました。
動作に全く問題はないのですが、興味本位で調べたところ、疑問がわいてきました。

「現場で使えるCatalystスイッチ130の技」によると、.1qのバイト構成は、
宛先MACアドレス・送信元MACアドレス・TPID・TCI・タイプ・データ・CRC
とのことでした。ところがcatalystスイッチのトランクポート - Linux間をEtherealでキャプチャしたところ、TPIDとTCIが見当たらないのです。

情報を以下に記載します。

##########################################
ネットワーク構成図

Linux
eth0.2 : 192.168.2.1/24
|
リピータハブ ---- PCでパケットキャプチャ
|
(Fa0/1)
SwitchA
(Fa0/3)
|
192.168.2.2/24
ping用PC
##########################################


##########################################
Catalystでの実行結果(一部省略)
SwitchA#sh ver
IOS (tm) C2900XL Software (C2900XL-C3H2S-M), Version 12.0(5.3)WC(1), MAINTENANCE
INTERIM SOFTWARE
System image file is "flash:c2900XL-c3h2s-mz-120-5.3.WC.1.bin"
Processor is running Enterprise Edition Software
witchA#sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12
2 VLAN0002 active Fa0/2, Fa0/3
3 VLAN0003 active Fa0/4, Fa0/5
SwitchA#sh int fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Trunking VLANs Active: 1-3
Pruning VLANs Enabled: 2-1001

Priority for untagged frames: 0
Override vlan tag priority: FALSE
Voice VLAN: none
Appliance trust: none
##########################################


##########################################
linux Ubuntuに投入したコマンド
vconfig add eth0 2
vconfig add eth0 3
vconfig add eth0 4
ifconfig eth0.2 192.168.2.1 netmask 255.255.255.0
ifconfig eth0.3 192.168.3.1 netmask 255.255.255.0
ifconfig eth0.4 192.168.4.1 netmask 255.255.255.0
##########################################


ping用PCから192.168.2.1にpingすると正常に届きます。
キャプチャしていたのはそのタイミングです。
arpにもICMPにも、.1qのタグが埋め込まれていないようなのです。

別の構成で試した内容は以下です。

・ping用をPCFa0/3からFa0/4に差し替えたところpingは通らなかった。
 Catalystトランクポート - linux間にはarp requestが飛ぶだけだった。
 →VLANとしての機能は正常の模様。

・linuxは使わずにCatalyst2台でトランクポート間をキャプチャしたが
 状況は同じで、パケットにタグは挿入されていない。
 →Linuxが原因ではない模様。

・リピータハブをはずしてLinuxとCatalystを直接接続した。
 キャプチャはできないが動作は同じ。
 →リピータハブが原因ではない模様。

・.1qからISLに変えてCatalyst2台で試したところ、ISLヘッダが挿入されていることはEtherealで確認できた。


このVLANタグは、Etherealには反映されないものだったりするのでしょうか?

どなたかアドバイスなど頂けますと大変嬉しいです。

ぜひ、よろしくお願いします。

こんにちは、よろしくお願いします。

IEEE802.1qのトランクポート間で流れるパケットをキャプチャしたところ、タグが挿入されていない(?)模様、という件です。

CatalystとLinux(ルータとして使います)を接続し、vlan設定をし、正常に動作していることを確認しました。
動作に全く問題はないのですが、興味本位で調べたところ、疑問がわいてきました。

「現場で使えるCatalystスイッチ130の技」によると、.1qのバイト構成は、
宛先MACアドレス・送信元MACアドレス・TPID・TCI・タイプ・データ・CRC...続きを読む

Aベストアンサー

受信したIEEE 802.1qフレームのVLANタグが削除されてEtherealに渡される場合があります。

対処の方法はキャプチャに使用しているNICやマシンのOSによって異なります。参考URL(Wiresharkのページですが Etherealにもそのまま通用するでしょう)のページを参照してください。

参考URL:http://wiki.wireshark.org/CaptureSetup/VLAN

QCISCOルータのIPアドレスの確認方法。

CISCOルータ自身のIPアドレスの取得方法が知りたいです。ブラウザから設定をしたいので、IPアドレスを知りたいのですが、そういったコマンドはあるでしょうか?(初心者すぎで、トンチンカンなことを言っているかもしれません)

ターミナルソフト?で特権モードに入るまではできたのですが…。

Aベストアンサー

> すみません、常識以前の質問なのでしょうが、IPアドレス等は、CISCOルータに直接設定しなくてはならないのでしょうか?

以前の回答のように、BBルータであればWAN側をDHCPで運用みたいなことはあるでしょうけど.......
(CiscoでもCisco1812Jみたいな機種はそのような運用はありかもしれません)

基本的には各interfaceに固定でIPアドレスを振って使うのが普通です
あと、interfaceに振られたIPアドレスを確認する方法として、
show interface
(省略形はsh int)
を実行すればinterfaceに割り振られたIPアドレスも含めてinterfaceの状態も確認することができます

QL2スイッチからpingを打つ時について。

L2スイッチからpingを打つ時について。

VLANが設定できるL2スイッチであれば、ポートによって所属しているネットワークが異なる場合があると思うのですが、pingを打つ際、ping元のIPアドレスおよび送出されるネットワークは、管理IPアドレスと管理VLANから、になるのでしょうか?
(たとえば、↓はL2スイッチだと思いますが、このような場合、どのような動作をするのでしょう)

http://www.alaxala.com/jp/techinfo/archive/manual/AX2400S/HTML/11_4/COMMINDX/INDEX.HTM

Aベストアンサー

通常、L2SWに付与できるIPアドレスは1つ、そのIPアドレスをくくりつけられるVLANは1つです
ですので、

> pingを打つ際、ping元のIPアドレスおよび送出されるネットワークは、管理IPアドレスと管理VLANから、になるのでしょうか?

ということになります

QIPSECとL2TP/IPSECの違いについて

基本的な事ですいません。よくわからなくて困っておりますので助けていただけると助かります。

ヤマハのルータRTX1100と107eを使って2拠点間VPNを構築しようと思っています。ipsecを使う予定なのですが、ヤマハのサイトなど色々調べても、l2tp/ipsecでのVPNの設定例はiphoneやipadと拠点をつなぐ例になっているものばかりで、ルータを使っての拠点間VPNの場合はipsecの設定が紹介されています。
そもそもルータでつなぐ拠点間VPNの場合は選択肢としてl2tp/ipsecを使うことはできないのでしょうか? (意味ないのでしょうか?)

l2tp/ipsecの方が新しいファームから実装されているようなので、スピードやセキュリティ面でもそちらを使った方がいいのかなと思っているのですが(単純ですいません)

l2tp/ipsecを使うべきかipsecのみでいいのか教えていただけると幸いです

Aベストアンサー

 お尋ねの件ですが、L2TPアクセス自体リモートアクセス型接続ですので、LAN間接続VPNでは出来ません。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#support」
 因みに、RT107EのL2TPアクセスはファームウェア更新した際に利用可能となりますが、認証レベルはchapかpapしか対応出来ません。特定のアンドロイド端末ですと、mschap-v2しか対応出来ない機種もありますので、注意点です。
 よって、LAN間VPNはIPSEC-VPNになりますが、アクセスレスポンスで言うと「3des-cbc sha-hmac」、セキュリティレベルで言うと「aes256-cbc sha256-hmac」になります。なおIPSEC-VPN接続には、鍵交換用ポート解放・パススルー設定(UDP500)と、暗号化双方向通信ポートとしてespパケットをパススルーする設定が必要です。
 それと、相手先IPセグメント(対向ルーターセグメント)のネットワーク経路を通知する設定(静的ルーティング)をIPSECトンネルルートアクセス出来るようにしないといけません。Yamahaでは出来ませんが、富士通ルーターでは、「Ethernet over IP」設定をする事で、全拠点・同一セグメントでのアクセスが可能です。IPSECトンネル通信内部に仮想HUBを構築し、仮想HUBを経由して同一セグメントアクセスを可能としています。
 つまり、Yamahaルーターで構築する場合、夫々の拠点のIPアドレスは違う数値でなければいけない点、YamahaルーターのWAN側の接続機器(モデム)により、モデム内部にDMZ設定(YamahaのWAN側に全転送)、若しくは静的IPマスカレードにてespパケットとUDP500番の通信をYamahaWAN側へ転送する設定、モデムにもスタティックルート設定でYamahaとセグメント通信出来るようにする作業が発生することも想定されます。
 Yamahaルーターが、上記の様にルーターモデムに接続するのではなく、自身でPPPOE接続する場合にはYamahaのみの設定でOKです。 ※IPSEC-VPN接続する為には、グローバルIPが最低1個必要です。(NetvolanteDNSドメインでも代用可能です)

 お尋ねの件ですが、L2TPアクセス自体リモートアクセス型接続ですので、LAN間接続VPNでは出来ません。
 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#support」
 因みに、RT107EのL2TPアクセスはファームウェア更新した際に利用可能となりますが、認証レベルはchapかpapしか対応出来ません。特定のアンドロイド端末ですと、mschap-v2しか対応出来ない機種もありますので、注意点です。
 よって、LAN間VPNはIPSEC-VPNになりますが、アクセスレスポンスで言うと「3des-cbc sha-hmac」、...続きを読む

Q今更聞けないバカハブについて。

HUBについでです、よろしくお願いします。

今主流のスイッチングハブ以前にバカハブというものが
出回っていましたが、性能がよくわかっていません。

PC複数台でネットワークを組んでいる時、
どこかのPCから情報を要求すると、
バカハブはどのPCからの要求か識別出来ず、
他のPCすべてに情報を流してくるという認識ですが、
これのデメリットがよくわかっていません。

※ スイッチングハブは要求したPCを識別して
そのPCにレスポンスが返ってくるという認識です。

例えばどこかのPCでネット上からなにかをダウンロードした時に、
すべてのPCに「ダウンロードしますか?」等のメッセージが出たり、
勝手にダウンロードされてしまったりということでしょうか。

なにか事例を出してメリット、デメリットを教えてくだされば幸いです。

よろしくお願いします。

Aベストアンサー

ITエンジニアです。

スイッチはどのポートにどのPCが繋がっているかを
記憶する機能が付いていて、バカハブにはそれが
付いていないんですね。その機能が無いとどんな
デメリットがあるかというと・・・

「不要なデータのせいで流せるデータ量が圧迫される」

って事です。
バカハブにPC1~3の3台が繋がっていたとします。
PC1から2へデータを流した時、PC3にも問答無用で
同じデータが送られてしまいます。その時もし、PC3が
インターネットから容量の大きいファイルをダウンロード
しようとしたら、いつもよりダウンロードに時間がかかって
しまいます。それはPC3とハブとの間に「PC1⇒2へのデータ」
と「インターネット⇒PC3へのデータ」が混在してしまうからです。

もしこれがスイッチなら、「PC1⇒2へのデータ」はPC3には
流しませんので、普段通りのスピードでダウンロードができる
訳です。

因みに、バカハブで接続していてPC3に不要な
「PC1⇒2へのデータ」が流れて来ても、PC3が自分で
「これは自分宛じゃない」と判断し、データは破棄します。
つまり、質問文にある「全てのPCにメッセージが」って事には
なりません。

最後に・・・
分かりやすくするため細かい説明は省きましたので、少々の
御幣はご了承ください。

ITエンジニアです。

スイッチはどのポートにどのPCが繋がっているかを
記憶する機能が付いていて、バカハブにはそれが
付いていないんですね。その機能が無いとどんな
デメリットがあるかというと・・・

「不要なデータのせいで流せるデータ量が圧迫される」

って事です。
バカハブにPC1~3の3台が繋がっていたとします。
PC1から2へデータを流した時、PC3にも問答無用で
同じデータが送られてしまいます。その時もし、PC3が
インターネットから容量の大きいファイルをダウンロード
しようとしたら、い...続きを読む


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング