IPテレフォニーと音声VLAN：CCNP対策講座 SWITCH編（9）（2/2 ページ）

[齋藤理恵，グローバル ナレッジ ネットワーク]

IP Phoneを使えるようにスイッチを設定

　では、IP Phoneを接続できるようにスイッチを設定します。まずは、ポートをアクセスポートに設定しましょう。

(config-if)#switchport mode access

　データ用VLANと音声用VLANの2種類のVLANを定義することになりますが、アクセスポートとして設定します。次は音声VLANの設定です。これで、IP Phoneはタグ付きのフレームを送信するようになります。また、音声VLANの設定をすると、IP Phoneはフレームにタグを付けて送信するようになります。

(config-if)#switchport voice vlan [vlan-id]

　次は、データ用VLANの設定です。データ用VLANの設定をすると、PCはフレームにタグを付けずに送信するようになります。

(config-if)#switchport access vlan [vlan-id]

　最後に、音声パケットを最優先させるように設定します。

(config-if)#mls qos trust cos

　フレームがスイッチのポートに着信したとき、CoS（Class of Service）値を信頼するという設定です。CoS値とはQoSに関連するフィールドで、フレームの優先度を表す3ビットの値です。VLANのタグ内にあります。3ビットですので、取り得る値は0から7までになりますが、6、7は予約済みです。CoS値が大きいフレームが最優先して送信されます。優先度を識別する値を設定することをマーキングといいます。IP Phoneは自動的に音声パケットには5、制御用パケットには3をマーキングして送信します。

　IP Phoneのポートで受信したデータトラフィックのCoS値を設定するには、以下のようにします。

(config-if)#switchport priority extend cos 0

　スイッチからIP Phoneに対して命令を出す設定です。PCからCoS値の付いたフレームをIP Phoneで受信したらCoS値を0に設定するとCDPによって伝えています。PCが送信するフレームはネイティブVLANに流れるのでタグは付きません。タグが付いてないフレームをIP Phoneが受信すると、デフォルトで最も優先度が低いCoS値0のフレームとしてスイッチに送信します。

　しかし、攻撃者がVLANタグに対応したNICで優先度の最も高いCos値5を付けてデータを送信するケースがあります。大量のデータを最優先に設定して送信し、システムダウンを引き起こさせる攻撃があるのです。このため、通常PCが送信するデータは信頼させないようにすることが一般的です。もし、CoS値の付いたフレームをIP Phoneが受信したらCoS値を0に再設定してスイッチに送信します。

　音声用VLAN、データ用VLANの番号は、以下のコマンドで分かります。

show interface [interface-id] switchport

　実行例は以下のようになります。

DSW1#show interfaces fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 100 (VLAN100)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: 200(VLAN200)
以下省略

　フレームの優先度を示す値を設定することをマーキングといいましたが、このマーキングは通常ネットワークのエッジ（入口）で済ませます。一度マーキングした値はネットワーク全体で一貫して使用されるため、ネットワークのエッジで適切な値にマーキング設定することが推奨されています。

　マーキングするポイントを信頼境界といいます。信頼境界でマーキングした値を、コア部分でそのまま信頼して使用できるようにポートを設定しておく必要があります。図3ではIP PhoneがマーキングをするのでIP Phoneが信頼境界となります。ここでマーキングした値を隣のSwitch1が受信すると、マーキング情報をそのまま信頼し、フレームを隣接するSwitch2に転送します。Switch2がフレームを受信するとマーキング情報をそのまま利用してフレームを処理します。

図3　マーキングと信頼境界の関係

確認問題1

• 問題

信頼境界を作成する場所として不適切な場所を、次の中から1つ選びなさい。

a. コアスイッチ
b. クライアントのIP電話
c. アクセススイッチ
d. クライアントPC

• 正解

　a

• 解説

　正解はaです。信頼境界は、できるだけトラフィックの発信元に近い場所、つまりネットワークのエッジで済ませます。コアスイッチは、高速転送に専念させなければならないため、あまり多くの機能を実装しないのが普通です。

筆者紹介

グローバル ナレッジ ネットワーク ソリューション本部

齋藤理恵（さいとうりえ）

Cisco認定トレーナー。トレーナー歴は11年。マイクロソフト、サン・マイクロシステムズ、シスコシステムズなどIT業界でトレーナーとして活動。現在は、グローバル ナレッジ ネットワークで、Cisco認定トレーニングコース（CCNA、CCNP）、ネットワーク系オリジナルコースを中心に講師を担当している。グローバル ナレッジ ネットワーク講師寄稿記事一覧はこちら。

「次回」へ