IPテレフォニーと音声VLANCCNP対策講座 SWITCH編(9)(2/2 ページ)

» 2011年11月04日 00時00分 公開
[齋藤理恵グローバル ナレッジ ネットワーク]
前のページへ 1|2       

IP Phoneを使えるようにスイッチを設定

 では、IP Phoneを接続できるようにスイッチを設定します。まずは、ポートをアクセスポートに設定しましょう。

(config-if)#switchport mode access

 データ用VLANと音声用VLANの2種類のVLANを定義することになりますが、アクセスポートとして設定します。次は音声VLANの設定です。これで、IP Phoneはタグ付きのフレームを送信するようになります。また、音声VLANの設定をすると、IP Phoneはフレームにタグを付けて送信するようになります。

(config-if)#switchport voice vlan [vlan-id]

 次は、データ用VLANの設定です。データ用VLANの設定をすると、PCはフレームにタグを付けずに送信するようになります。

(config-if)#switchport access vlan [vlan-id]

 最後に、音声パケットを最優先させるように設定します。

(config-if)#mls qos trust cos

 フレームがスイッチのポートに着信したとき、CoS(Class of Service)値を信頼するという設定です。CoS値とはQoSに関連するフィールドで、フレームの優先度を表す3ビットの値です。VLANのタグ内にあります。3ビットですので、取り得る値は0から7までになりますが、6、7は予約済みです。CoS値が大きいフレームが最優先して送信されます。優先度を識別する値を設定することをマーキングといいます。IP Phoneは自動的に音声パケットには5、制御用パケットには3をマーキングして送信します。

 IP Phoneのポートで受信したデータトラフィックのCoS値を設定するには、以下のようにします。

(config-if)#switchport priority extend cos 0

 スイッチからIP Phoneに対して命令を出す設定です。PCからCoS値の付いたフレームをIP Phoneで受信したらCoS値を0に設定するとCDPによって伝えています。PCが送信するフレームはネイティブVLANに流れるのでタグは付きません。タグが付いてないフレームをIP Phoneが受信すると、デフォルトで最も優先度が低いCoS値0のフレームとしてスイッチに送信します。

 しかし、攻撃者がVLANタグに対応したNICで優先度の最も高いCos値5を付けてデータを送信するケースがあります。大量のデータを最優先に設定して送信し、システムダウンを引き起こさせる攻撃があるのです。このため、通常PCが送信するデータは信頼させないようにすることが一般的です。もし、CoS値の付いたフレームをIP Phoneが受信したらCoS値を0に再設定してスイッチに送信します。

 音声用VLAN、データ用VLANの番号は、以下のコマンドで分かります。

show interface [interface-id] switchport

 実行例は以下のようになります。

DSW1#show interfaces fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 100 (VLAN100)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: 200(VLAN200)
以下省略

 フレームの優先度を示す値を設定することをマーキングといいましたが、このマーキングは通常ネットワークのエッジ(入口)で済ませます。一度マーキングした値はネットワーク全体で一貫して使用されるため、ネットワークのエッジで適切な値にマーキング設定することが推奨されています。

 マーキングするポイントを信頼境界といいます。信頼境界でマーキングした値を、コア部分でそのまま信頼して使用できるようにポートを設定しておく必要があります。図3ではIP PhoneがマーキングをするのでIP Phoneが信頼境界となります。ここでマーキングした値を隣のSwitch1が受信すると、マーキング情報をそのまま信頼し、フレームを隣接するSwitch2に転送します。Switch2がフレームを受信するとマーキング情報をそのまま利用してフレームを処理します。

図3 マーキングと信頼境界の関係 図3 マーキングと信頼境界の関係

確認問題1

  • 問題

信頼境界を作成する場所として不適切な場所を、次の中から1つ選びなさい。

a. コアスイッチ
b. クライアントのIP電話
c. アクセススイッチ
d. クライアントPC

  • 正解

 a

  • 解説

 正解はaです。信頼境界は、できるだけトラフィックの発信元に近い場所、つまりネットワークのエッジで済ませます。コアスイッチは、高速転送に専念させなければならないため、あまり多くの機能を実装しないのが普通です。

筆者紹介

グローバル ナレッジ ネットワーク ソリューション本部

齋藤理恵(さいとうりえ)

Cisco認定トレーナー。トレーナー歴は11年。マイクロソフト、サン・マイクロシステムズ、シスコシステムズなどIT業界でトレーナーとして活動。現在は、グローバル ナレッジ ネットワークで、Cisco認定トレーニングコース(CCNA、CCNP)、ネットワーク系オリジナルコースを中心に講師を担当している。グローバル ナレッジ ネットワーク講師寄稿記事一覧はこちら



前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。