tag:crieit.net,2005:https://crieit.net/tags/%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81/feed Crieitでタグ「スイッチ」に投稿された最近の記事 2021-07-12T13:59:06+09:00 https://crieit.net/tags/%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81/feed tag:crieit.net,2005:PublicArticle/17498 2021-07-12T13:59:06+09:00 2021-07-12T13:59:06+09:00 https://crieit.net/posts/7dd8343d175c01861002f60c5e7956bd <h1 id="まず、ポートセキュリティとは"><a href="#%E3%81%BE%E3%81%9A%E3%80%81%E3%83%9D%E3%83%BC%E3%83%88%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%A8%E3%81%AF">まず、ポートセキュリティとは</a></h1> <p>ポートセキュリティとは、その名の通り、スイッチに接続するポートに対してのセキュリティです。</p> <p>知らない機器がスイッチポートに繋がってLAN接続するのを防ぎます。<br /> <code>インターフェースコンフィギュレーションモードにて</code><br /> <code>switchport port-security</code><br /> で有効にします</p> <p>ここで、</p> <p><code>switchport port-security maximum 3</code><br /> とか設定すると、このスイッチには最大３台までしか接続できなくなる。</p> <p>これを超えて6台とか繋いだら、<br /> セキュリティ違反モードが作動します。</p> <h2 id="セキュリティ違反モードとは"><a href="#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E9%81%95%E5%8F%8D%E3%83%A2%E3%83%BC%E3%83%89%E3%81%A8%E3%81%AF">セキュリティ違反モードとは</a></h2> <p>違反すると何が起こるかというと、</p> <ol> <li>セキュアなMACアドレス以外のパケットを破棄する</li> <li>SNMPトラップやSyslogメッセージの送信と、違反カウンタの増加</li> <li>ポートのシャットダウン</li> </ol> <p>です。。。が。</p> <p>これは違反モードがshutdown（デフォルト）の時の話。</p> <p>違反モードは3つ（shutdown、restrict、protect）あって</p> <p>restrictにすると、<br /> 3. ポートのシャットダウンがなくなり</p> <p>protectにすると、<br /> 2. SNMPトラップやSyslogメッセージの送信と、違反カウンタの増加がさらになくなります。</p> skyms tag:crieit.net,2005:PublicArticle/17484 2021-07-05T16:34:54+09:00 2021-07-05T16:36:09+09:00 https://crieit.net/posts/DTP <h1 id="DTPについて"><a href="#DTP%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6">DTPについて</a></h1> <p>DTP（Dynamic Trunking Protocol）とは、<br /> スイッチとスイッチを接続したポートで、トランクポート接続をするのか、アクセスポート接続をするのかを動的に決めるためのプロトコル。<br /> （Cisco独自）</p> <p>・スイッチポートモードの変更方法<br /> (config-if)#switchport mode {access | trunk | dynamic {auto | desirable<span>}</span><span>}</span></p> <p>desirableでは、DTPを送信してみて、対向ポートがtrunk、dynamic desirable、dynamic autoのいずれかの場合、トランクポートになる。</p> <p>autoでは、DTPを受信したときにtrunkかdesirableのときにトランスポートになる。</p> <p>・DTPの無効化<br /> (config-if)#switchport nonegotiate</p> skyms tag:crieit.net,2005:PublicArticle/17482 2021-07-05T15:52:01+09:00 2021-07-05T15:52:01+09:00 https://crieit.net/posts/5ea2e845a4d8584a26cfcc0a1d73ecd3 <h2 id="アクセスポートとトランクポートの違い"><a href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%A8%E3%83%88%E3%83%A9%E3%83%B3%E3%82%AF%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E9%81%95%E3%81%84">アクセスポートとトランクポートの違い</a></h2> <p>スイッチを設定するときに、アクセスポートとトランクポートの違いをいまいち理解できていなかったので。</p> <h5 id="スイッチのポートは、「どのVLANに対応しているか」で、アクセスポートとトランクポートに分類される"><a href="#%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AF%E3%80%81%E3%80%8C%E3%81%A9%E3%81%AEVLAN%E3%81%AB%E5%AF%BE%E5%BF%9C%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E3%81%8B%E3%80%8D%E3%81%A7%E3%80%81%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%A8%E3%83%88%E3%83%A9%E3%83%B3%E3%82%AF%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AB%E5%88%86%E9%A1%9E%E3%81%95%E3%82%8C%E3%82%8B">スイッチのポートは、「どのVLANに対応しているか」で、アクセスポートとトランクポートに分類される</a></h5> <p>・アクセスポート<br /> 1つのVLANに対応。エンドユーザーのPCを接続するポートなどに利用される。（デフォルトはVLAN1）</p> <p>・トランクポート<br /> 複数のVLANに対応。スイッチ同士やスイッチとルータを接続（VLAN間通信の際に利用）するポートなどに利用される。</p> <h4 id="アクセスポートの設定例"><a href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B">アクセスポートの設定例</a></h4> <p>・Fa0/2をアクセスポートにして、VLAN20を割り当てる<br /> Switch(config)#interface FastEthernet 0/2<br /> Switch(config-if)#switchport mode access<br /> Switch(config-if)#switchport access vlan 20</p> <p>・Fa0/5をアクセスポートにして、VLAN30を割り当てる<br /> Switch(config)#interface FastEthernet 0/5<br /> Switch(config-if)#switchport mode access<br /> Switch(config-if)#switchport access vlan 30</p> <h4 id="トランクポートの設定例"><a href="#%E3%83%88%E3%83%A9%E3%83%B3%E3%82%AF%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B">トランクポートの設定例</a></h4> <p>・Fa0/1のカプセル化方式を802.1Qにしてdynamic desirableモードにする<br /> （対向とのネゴシエーションの結果トランクポートになる）<br /> Switch(config)#interface FastEthernet 0/1<br /> Switch(config-if)#switchport trunk encapsulation dot1q<br /> Switch(config-if)#switchport mode dynamic desirable</p> <p>・Fa0/6のカプセル化方式を802.1Qにしてトランクポートにする<br /> Switch(config)#interface FastEthernet 0/6<br /> Switch(config-if)#switchport trunk encapsulation dot1q<br /> Switch(config-if)#switchport mode trunk</p> <h3 id="アクセスポートとトランクポートの確認方法"><a href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%A8%E3%83%88%E3%83%A9%E3%83%B3%E3%82%AF%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95">アクセスポートとトランクポートの確認方法</a></h3> <p>アクセスポートになっているのか、トランクポートになっているのかは「show vlan」「show interfaces trunk」「show interfaces status」「show interfaces switchport」などのコマンドで確認できます。<br /> 各コマンドの表示は以下のようになります。なお、いずれもFa0/1とFa0/6がトランクポートになっている場合の表示例です。</p> <p>・show vlan<br /> 「Ports」の項目に表示されるポートがアクセスポート<br /> 「Ports」の項目に表示されないポートがトランクポート</p> <p>・show interfaces trunk<br /> 「Port」の項目に表示されないポートがアクセスポート<br /> 「Port」の項目に表示されるポートがトランクポート</p> <p>・show interfaces status<br /> 「VLAN」の項目がVLAN番号になっているポートがアクセスポート<br /> 「VLAN」の項目がtrunkとなっているポートがトランクポート</p> <p>・show interfaces switchport<br /> 「Operational Mode」の項目がaccessとなっているポートがアクセスポート<br /> 「Operational Mode」の項目がtrunkとなっているポートがトランクポート</p> skyms tag:crieit.net,2005:PublicArticle/17039 2021-04-30T11:36:36+09:00 2021-04-30T11:36:36+09:00 https://crieit.net/posts/befa15ba18877b86aaee9cd5490af769 <h2 id="コマンドプロンプトにて、ARPテーブルの削除コマンド"><a href="#%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%97%E3%83%AD%E3%83%B3%E3%83%97%E3%83%88%E3%81%AB%E3%81%A6%E3%80%81ARP%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E5%89%8A%E9%99%A4%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89">コマンドプロンプトにて、ARPテーブルの削除コマンド</a></h2> <p><code>arp-d</code><br /> <strong>管理者として起動することを忘れない</strong></p> <h2 id="コマンドプロンプトでARPテーブルを確認するためのコマンド"><a href="#%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%97%E3%83%AD%E3%83%B3%E3%83%97%E3%83%88%E3%81%A7ARP%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E3%81%9F%E3%82%81%E3%81%AE%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89">コマンドプロンプトでARPテーブルを確認するためのコマンド</a></h2> <p><code>arp-a</code></p> <h2 id="ciscoスイッチにおいて、MACアドレステーブルの確認コマンド"><a href="#cisco%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%81%AB%E3%81%8A%E3%81%84%E3%81%A6%E3%80%81MAC%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E7%A2%BA%E8%AA%8D%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89">ciscoスイッチにおいて、MACアドレステーブルの確認コマンド</a></h2> <p><code>Switch#show mac-address-table</code></p> ko00w1 tag:crieit.net,2005:PublicArticle/17038 2021-04-30T11:29:04+09:00 2021-04-30T12:21:14+09:00 https://crieit.net/posts/316ed156d1a1a8fcd64cbadadd41fdec <h2 id="コマンドプロンプトを管理者権限がある状態で起動する場合"><a href="#%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%97%E3%83%AD%E3%83%B3%E3%83%97%E3%83%88%E3%82%92%E7%AE%A1%E7%90%86%E8%80%85%E6%A8%A9%E9%99%90%E3%81%8C%E3%81%82%E3%82%8B%E7%8A%B6%E6%85%8B%E3%81%A7%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B%E5%A0%B4%E5%90%88">コマンドプロンプトを管理者権限がある状態で起動する場合</a></h2> <p>「<strong>Windowsキー</strong>」＋「<strong>R</strong>」(ショートカットキー)で「<strong>ファイル名を指定して実行</strong>」を表示し、「<strong>cmd</strong>」と入力し、<br /> <strong>Ctrl＋Shift＋Enter</strong>で起動する。</p> <h2 id="MACアドレステーブル"><a href="#MAC%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB">MACアドレステーブル</a></h2> <p>・・・スイッチがMACアドレスをもとに<strong>データ中継するとき</strong>に参照するもの。</p> <h2 id="ARP(Address Resolution Protocol)"><a href="#ARP%28Address+Resolution+Protocol%29">ARP(Address Resolution Protocol)</a></h2> <p>・・・<strong>アドレス解決するためのプロトコル</strong>で、<strong>IPアドレスから指定されたインターフェースのMACアドレス</strong>を調べることができる。<br /> <strong>データ送信には、アドレス解決が必要。そのためのARPである。</strong><br /> 宛先のMACアドレスがわからないとデータが送信できない(フレームが完成しない)<br /> ※通信したことのない機器のMACアドレスがわからないときは、宛先のIPアドレスから調べる。<br /> ARP要求(Request)に対してARP応答(Reply)が返ってくると、宛先のMACアドレスを知ることができる。<br /> →<strong>ARPテーブルに登録される。</strong><br /> ※cisco社のルータは独自のパケットを出してARPテーブルを自動作成してしまう。PC１からpingコマンドを打つ前にARPテーブルを作ってしまうので、PC1からPC２にpingコマンドを打つ前に、ルータにはそれぞれのMACアドレスがARPテーブルに入った状態で始まってしまっているから、すんなりとエコー要求をPC2に送ることができてしまう。<br /> なので、ルータを介して２台のPCを接続した場合の8~13の手順が通常と変わってくる。</p> <h2 id="L2スイッチ"><a href="#L2%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81">L2スイッチ</a></h2> <p>・・・L2スイッチは、データを受け取ると、そのデータに付加されているEthernetヘッダから、送信元のMACアドレスをMACアドレステーブルに学習する。また、宛先のMACアドレスがMACアドレステーブルに載っている場合は該当するポートからデータを転送し、載っていない場合は、データをフラッディングする。</p> <h2 id="フラッディング"><a href="#%E3%83%95%E3%83%A9%E3%83%83%E3%83%87%E3%82%A3%E3%83%B3%E3%82%B0">フラッディング</a></h2> <p>・・・ポートから受信したフレームの<strong>宛先がわからず受信したフレーム以外の全ポートに転送する挙動</strong>のこと。<br /> <a target="_blank" rel="nofollow noopener" href="https://e-words.jp/w/フラッディング.html　">https://e-words.jp/w/フラッディング.html　</a><br /> から参照</p> <h2 id="ICMPエコーヘッダ"><a href="#ICMP%E3%82%A8%E3%82%B3%E3%83%BC%E3%83%98%E3%83%83%E3%83%80">ICMPエコーヘッダ</a></h2> <p>ICMP<strong>エコー要求</strong>(Request)は<strong>Type8</strong>のヘッダ<br /> ICMP<strong>エコー応答</strong>(Reply)は<strong>Type0</strong>のヘッダとなる</p> ko00w1 tag:crieit.net,2005:PublicArticle/17036 2021-04-30T10:21:25+09:00 2021-04-30T10:21:25+09:00 https://crieit.net/posts/48d603663d27b6f9210caa7fad3be7ae <h1><strong>スイッチの動き</strong></h1> <p><strong>送られてきたデータのEthernetヘッダの情報（送信元、送信先のMACアドレス）と自身が持っているMACアドレステーブルの情報を見比べながらデータの中継をする。</strong><br /> その際Ethernetヘッダを外さないためデータの中身は見ていない</p> <h1 id="MACアドレステーブル"><a href="#MAC%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB">MACアドレステーブル</a></h1> <p>一度情報をもらったものの<strong>MACアドレスとどのポートにつながっているかの情報が詰まっている</strong>テーブル<br /> 特権モードでshow mac-address-tableで表示できる</p> <h1 id="フラッティング"><a href="#%E3%83%95%E3%83%A9%E3%83%83%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0">フラッティング</a></h1> <p>データの送信を要求してきたポート以外のすべての繋がっているポートにデータを中継すること</p> tobara