ネットワーク機器 L2（Allied Telesis）基礎２

今回２回目、１回目から見たい方は次のリンクからどうぞ！
前回は、稼働中の機器に対する確認等を主にしていましたが、今回は機器購入後における初期設定あたりを整理して詰め込みます。
ファームウェアバージョンにより設定できない項目やコマンド違いもあるため参考程度に

電源と電源投入後の動作

本体電源は電源ケーブルの抜き差し
電源投入後の動作は、
１．自己診断テストの実行
２．システムソフトウェアの起動
３．スタートアップコンフィグの実行
４．起動後、プロンプトが表示されるのでログインを行う。

Allied Telesis 機器ログイン（default）

ログインユーザ名：　manager　（デフォルト）
パスワード：　friend　（デフォルト）
※Web GUIを使用するには、コンソールターミナルからログインしてIPアドレス等の設定が必要。

パスワード変更

set passwordコマンドにてログイン時のパスワードを変更。
Old password: friend 
New password: ********
Confirm : ********

CLI モード

CLIモードによって機器に対して出来ることが異なり。
３つのモードが存在し各モードは次のとおり
・非特権EXECモード
　ログイン直後のモード
　プロンプトは　>
・特権EXECモード
　全てのコマンドの表示と実行が可能なモード
　プロンプトは　#
　移行コマンドは　enable（en）　戻るときはexit
・グローバルコンフィグモード
　設定コマンドを実行可能
　プロンプトは　(config)#
　移行コマンドは　configure terminal

工場出荷状態に戻す（初期化）

特権 EXEC モードで　erase factory-default　を実行。

ホスト名の設定

グローバルコンフィグモードで　hostname HOSTの名前　を実行
ホスト名を初期値（awplus）に戻すときは、no hostname　を実行

IPホスト（管理IPアドレス）の設定

ネットワーク経由でTelnetログインしたり、SNMPによる管理を行うときは、機器にIPアドレスを割り当てます。
管理IPアドレス設定（機器のIPアドレス）は一般的に VLAN 1の VLAN インタフェースに設定。
<192.168.10.10を設定するとき>
１．IPアドレスを設定
　　ADD IP INTERFACE=vlan1 IP=192.168.10.10 MASK=255.255.255.0
２．Default_VLANをローカルインターフェースとして指定。
　　ネットワーク上のホストから本製品へのアクセスが可能。
　　SET IP LOCAL INTERFACE=vlan1
３．デフォルトゲートウェイアドレスを設定
　　ADD IP ROUTE=0.0.0.0 NEXTHOP=192.168.10.1
４．起動時に設定が有効になるよう、設定を保存し、起動スクリプトに指定
　　CREATE CONFIG=basic.cfg
　　SET CONFIG=basic.cfg
SHOW IP INTERFACE コマンドで、IPアドレスの確認
SHOW IP ROUTE コマンドで、デフォルトゲートウェイアドレスの確認

IPホスト（管理IPアドレス）のDHCPによるIPアドレス自動設定

ネットワーク上のDHCPサーバーを利用して、IPアドレスを自動設定（DHCPクライアント機能）。
ADD IP INTERFACEコマンドで、IPアドレスの動的設定機能を有効にし、IPアドレスを自動設定。
ADD IP INTERFACE=vlan1 IPADDRESS=DHCP
　
DHCPクライアント機能では、IPアドレス、サブネットマスク、デフォルトゲートウェイアドレスとSNTPサーバーのIPアドレス、UTCオフセットの情報が取得・自動設定。

タイムゾーンの設定

グローバルコンフィグモードで　clock timezone JST plus 9　を実行

NTPサーバの設定

NTP サーバから時刻を取得する場合はグローバルコンフィグモードで
ntp server サーバーのipアドレス　を実行
（構文）
ntp server SERVER [version <1-4>] [prefer]
　SERVER：NTP サーバの IP アドレス
　version <1-4>：NTP バージョンを 1-4 から指定。デフォルトは 4
　prefer：この NTP サーバを優先して使用したい場合に指定
　　
NTPサーバを削除するときは　no ntp サーバのIPアドレス　を実行

手動で時刻を設定

特権 EXEC モードで　clock set 12:00:00 26 jul 2023　を実行
時刻を確認するときは、非特権 EXEC モードで　show clock　を実行

インターフェースの有効化・無効化

1番のポートを有効化するとき
interface port1.0.1　←インターフェースモードにして1番ポートを指定
no shutdown　　　←有効化する

8番のポートを使わないため無効化するとき
interface port1.0.8　←インターフェースモードにして8番ポートを指定
shutdown　　　　　←無効化する
（shutdownとすると無効となる）

スイッチポートの表現

ポートを指定する際に　port1.0.1のように、ピリオドで区切られた3つの数字は、先頭から順に「スタックメンバーID」、「拡張モジュールベイ番号」、「ポート番号」を表している。

インターフェースのSpeed と Duplex の設定

速度（10/100/1000/auto）や通信モード（全/半二重/auto）を設定します。
インターフェースによって設定出来る内容が異なり、対向装置で設定を一致させる必要があるので注意が必要です。
無線APは半二重だったような…

速度が100Mbps、通信モードが全二重のときのコマンド
interface port1.0.1　　←インターフェースモードにして1番ポートを指定
speed 100　　　　　←速度100Mbps
duplex full　　　　　←通信モード全二重

インターフェースのSpeed と Duplex の確認コマンド

show interfaces status

IPインターフェースの作成

ip addressコマンドを使ってIPアドレスとネットマスクを割り当てIPインターフェースを作成します。
interface vlan10
ip address 192.168.10.1/24

ポート

LAN側スイッチポートがVLAN default（VID=1）にタグなしポート（Untagged Port）として設定され、スイッチポート間の通信（スイッチング）が可能。
1つのポートは1つのVLANにしか設定できない。VLANインターフェース上ではPPPoEを使用できません。

ポートVLAN（機器単体）

複数のVLANを構築する。
１．CREATE VLANコマンドにて新規にVLANを作成する。
　CREATE VLAN=A VID=10
　CREATE VLAN=B VID=20
２．ADD VLAN PORTコマンドでVLANにポートを割り当てます。
　ADD VLAN=A PORT=1-3
　ADD VLAN=B PORT=4-5
３．SHOW VLANコマンドでVLANの情報を確認
　SHOW VLAN
４．DELETE VLAN PORTコマンドでVLANからポートを削除。
　DELETE VLAN=A PORT=3
　VLANから削除されたポートは、自動的にVLAN defaultの設定に戻る。
※　ポートに設定したVLANを変更は、削除して設定の流れ。
※　VLANの削除はVLANからポートを削除して次のコマンド
　　DELETE VLAN=B PORT=ALL
　　DESTROY VLAN=B
　　削除後はdefaultとなる。

タグVLAN（複数機器）トランクポートともいう

ポートVLANは、各ポートを1つのVLANしか設定できないが、タグVLAN（802.1Q）を使用すると、1つのポートに複数のVLANを設定できる。
タグVLANは、複数のVLANを複数の機器にまたがって作成したい場合や、QoS（802.1p）を利用したい場合に利用。
タグVLANを使用する場合、接続先機器もタグVLAN（802.1Q）に対応している必要があります。

スイッチポートのVLAN設定ルール
・ポートは、0～1つのVLANにタグなしポート（Untagged Port）として所属できる
・ポートは、0～複数のVLANにタグ付きポート（Tagged Port）として所属できる
・ポートは、必ず1つ以上のVLANに所属していなくてはならない
・ポートは、同じVLANにタグなし兼タグ付きポートとして所属することはできない

タグVLAN設定の例
ポート5をVLAN A（VID=10）とVLAN B（VID=20）にタグ付きポートとして所属させ、
本製品とL2スイッチの間を、両VLANのトラフィックがタグ付きで流すときの例
１．VLAN A、Bを作成します。タグVLANでは、VLANタグにVLAN IDの値を格納するため、VLAN IDは必ずすべての機器で同じ設定にしてください。
　　なお、VLAN名は機器ごとに異なっていてもかまいませんが、混乱を避けるため通常は同じにします。
　　CREATE VLAN=A VID=10 ↓
　　CREATE VLAN=B VID=20 ↓
２．VLAN Aにポートを追加します。ポート1～2はタグを使わない通常のポートに設定し、ポート5はタグを使用するポートとして設定します。
　　VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを
　　付けなかったときはタグなし（UNTAGGED）となります。
　　ADD VLAN=A PORT=1-2 ↓
　　ADD VLAN=A PORT=5 FRAME=TAGGED
３．VLAN Bにポートを追加します。ポート3～4はタグを使わない通常のポートに設定し、ポート5はタグを使用するポートとして設定します。
　　ADD VLAN=B PORT=3-4 ↓
　　ADD VLAN=B PORT=5 FRAME=TAGGED
※　ポート5はVLAN defaultにも（タグなしポートとして）所属したままになっている。
　　他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート5にもVLAN defaultのブロードキャストパケットが送出される。
　　これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート5をVLAN defaultから削除。
　　DELETE VLAN=default PORT=5 ↓
※　複数のスイッチにまたがるVLANを作成する場合は、各機器で同じVLAN IDを設定。
※　一方、VLAN名は個々の機器でしか意味を持たないので、異なっていてもかまわないが、混乱を防ぐため同じ名前とする。

上位層とのインターフェース（IPアドレス設定）

VLANインターフェースは、EthernetやPPPと並ぶ第2層（データリンク層）インターフェースとして扱われ、上位にIPやIPv6等の第3層（ネットワーク層）インターフェースを作成できます。

VLANインターフェースの上位層設定でVLANインターフェースを指定するときは、2とおりの方法があります。
VLAN名による指定：「vlan-」+VLAN名で指定します。VLAN名が「white」なら、「vlan-white」となります。
VLAN ID（VID）による指定：「vlan」+VIDで指定します。VIDが10ならば、「vlan10」となります。VLAN名のときとは異なり、ハイフンが入らないことに注意してください。

ADD IP INTERFACEコマンドでVLANインターフェース上にIPインターフェースを作成。
ADD IP INT=vlan1 IP=192.168.100.1 MASK=255.255.255.0 ↓

ADD IPV6 INTERFACEコマンドでVLANインターフェース上にIPv6インターフェースを作成。
アドレスを明示的に割り当てるか、CREATE IPV6 INTERFACEコマンドでリンクローカルアドレスを自動設定します。
グローバルアドレスやサイトローカルアドレスを明示的に割り当てるときは、ADD IPV6 INTERFACEコマンドを使います。リンクローカルアドレスがまだ割り当てられていない場合は、同時に自動設定されます。
ADD IPV6 INT=vlan1 IP=3ffe:10:10:10::1/128
リンクローカルアドレスだけで運用する場合は、CREATE IPV6 INTERFACEコマンドを使います。この場合、アドレス自動設定の手順にしたがいリンクローカルアドレスが設定されます。
CREATE IPV6 INT=vlan1

syslog送信先サーバーの設定

グローバルコンフィグモードで次のコマンドにて設定
log host Syslog サーバの IP アドレス
※ログフィルタが設定されるまで Syslog サーバへのログ送信は行われない。

syslogフィルタの設定

グローバルコンフィグモードにて log host コマンドでログフィルタの設定を行う。
　
ログフィルタには以下の3種類のパラメータがあります。
・ログレベル
　どの重要度のログを出力するかの設定
・ファシリティ
　どの種類のログを出力するかの設定
・プログラム
　どのプログラムが生成したログを出力するかの設定

syslogフィルタの設定（ログレベルの設定）

コマンドは次のとおり
log host サーバの IP アドレス level 出力するログレベル（デフォルトはすべてのレベル）

出力するログレベル
指定したレベル以上の重要度のログが出力(数値が小さいと重要度が高い)
３を指定したときは0から3までのログが出力される。
emergencies または 0
alerts または 1
critical または 2
errors または 3
warnings または 4
notices または 5
informational または 6
debugging または 7
[例] ログレベルとして errors を指定した場合、emergencies～errors のログが出力されます

syslogフィルタの設定（ファシリティの設定）

コマンドは次のとおり
log host サーバの IP アドレス facility 出力するFACILITY（デフォルトはすべてのファシリティ）

出力するFACILITY
auth：認証サブシステム
authpriv：認証サブシステム（機密性の高いもの）
cron：定期実行デーモン（crond）
daemon：システムデーモン
ftp：ファイル転送サブシステム
kern：カーネル
lpr：プリンタースプーラーサブシステム
mail：メールサブシステム
news：ネットニュースサブシステム
syslog：syslogデーモン（syslogd）
user：ユーザープロセス
uucp：UUCPサブシステム

syslogフィルタの設定（プログラムの設定）

コマンドは次のとおり
log host サーバの IP アドレス program 出力するPROGRAM（デフォルトはすべてのプログラム）

出力するPROGRAM
bgp
dot1x
epsr、など
プログラム名の一覧はコマンドラインの「?」ヘルプを参照

Syslog サーバおよびログフィルタ設定例：以下の通り設定する場合
Syslog サーバ：10.20.30.40
ログレベル：warnings
ファシリティ：デフォルト
プログラム：bgp
log host 10.20.30.40
log host 10.20.30.40 level warnings
log host 10.20.30.40 program bgp

ポートミラーリング

ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能。
任意のポートのトラフィックをミラーポートでキャプチャーできます。

ミラーリング対象ポートを増やすことはパフォーマンス低下につながる。
ミラーリング対象ポートを増やす場合、ミラーポートの帯域を超えてしまう可能性がある。

＜使用するコマンド＞
mirror interface SRCIFRANGE direction SNOOPDIRECTION
no mirror interface SRCIFRANGE
パラメーター
SRCIFRANGE　ソースポートのインターフェース名。
　　　　　　ハイフン、カンマを使った複数指定も可能。
　　　　　　トランクグループ（LACPチャンネルグループ、スタティックチャンネルグループ）およびトランクグループの所属ポートは指定不可
SNOOPDIRECTION　ミラーリングするトラフィックの向き。次から選択する
　　　　　　　　both　送受信パケット
　　　　　　　　receive　受信パケット
　　　　　　　　transmit　送信パケット

＜設定例＞
ポート1.0.5をミラーポートに設定し、ポート1.0.1から送受信されるトラフィックがミラーポートにコピーされるよう設定する。
以下の設定をすると、ポート1.0.5はどのVLANにも所属しない状態となり、通常のスイッチポートとしては機能しなくなる。
※このあたりは機器によって異なるため要確認
interface port1.0.5 ↓
mirror interface port1.0.1 direction both

ポート1.0.2と1.0.4から送受信されるトラフィックもポート1.0.5にコピーされるよう設定する。
interface port1.0.5
mirror interface port1.0.2,port1.0.4 direction both

ポート1.0.4のトラフィックをミラーしないよう設定する。
interface port1.0.5
no mirror interface port1.0.4

ポート1.0.5のミラーポート設定を解除する。
以下の設定をすると、ポート1.0.5はvlan1のタグなしポート（アクセスポート）になる。
必ずしもミラーポート設定前のVLANには戻らない。
interface port1.0.5
no mirror interface port1.0.1-port1.0.2

ハードウェアパケットフィルターのcopy-to-mirrorアクションを利用して、ポート1.0.1～1.0.2で受信したTCPパケットだけがミラーポート1.0.24にコピーされるよう設定。
この場合、mirror interfaceコマンドで指定するソースポート（この例では1.0.23）はダミーポート、すなわち、リンクダウンさせたままにしておかなくてはならない（directionパラメーターは無視されるので何を指定してもよい）。
また、通常のソースポートを追加してはならない。
access-list 3000 copy-to-mirror tcp any any
interface port1.0.1-1.0.2
ip access-group 3000
exit
interface port1.0.24
mirror interface port1.0.23 direction both

＜注意事項＞
・ミラーポートはシステム内で1つしか設定できないので、本コマンドを入力するためにインターフェースモードに入るときは、interfaceコマンドでスイッチポートを1つだけ指定すること。
　複数ポートを指定してインターフェースモードに入った場合、本コマンドは失敗する。
・すでに他のポートがミラーポートに設定されている場合も本コマンドは失敗する。
　その場合は、現行ミラーポートの設定を解除してから再実行すること。
・トランクグループ（LACPチャンネルグループ「poX」、スタティックチャンネルグループ「saX」）、および、トランクグループに参加しているポートをミラーポートやソースポートに設定することはできない。
・複数のポートをミラーリングしたいときは、ソースポートを「port1.0.1-port1.0.3」のように複数指定するか、同一ミラーポートに対して本コマンドを複数回実行すればよい。
　ただし、ミラーリング対象ポートを増やすことはパフォーマンス低下につながるため注意が必要。なお、ミラーリングのソースポートは3ポートまでに制限される。
・ソースポートを指定する通常のポートミラーリングを使用するときは、ハードウェアパケットフィルターやQoSポリシーマップのcopy-to-mirrorアクションを使用しないこと。
・ハードウェアパケットフィルターやQoSポリシーマップのcopy-to-mirrorアクションを使用する場合、mirror interfaceコマンドではソースポートとしてダミーポート（リンクダウンさせたままで使用しないポート）を1ポートだけ指定すること（トラフィックの向きは無視されるのでどのように指定してもよい）。
　copy-to-mirrorアクションは、access-list(hardware ip)コマンド、access-list(hardware mac)コマンド、default-actionコマンドで設定する。

参考サイト

サポート｜販売終了製品一覧 | ハードウェア