FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

指定期間 の記事一覧

Cisco レイヤ2EtherChannlelのTrunkポートに新規VLANを追加する方法 LAG/リンクアグリゲーション

2014.06.27 (Fri)

レイヤ2イーサチャネル+TRUNKポートを利用している場合に、
VLANを追加/削除する作業を行った。

後輩がが担当したのだが仕組みを理解していないのか、
誤った設定を行ってしまい障害を出してしまったので、
今後そのようなことを起こさないためにメモ。

























■構成

CiscoCatalystスイッチでの例レイヤー2EtherChanelのTRUNKポートのVLAN追加・削除設定方法(LAG_LACP_リンクアグリゲーション



■現状の状態確認

L3SW#show etherchannel 1 summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator

M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port


Number of channel-groups in use: 1
Number of aggregators: 1

Group Port-channel Protocol Ports
------+-------------+-----------+----------------
1 Po1(SU) LACP Gi1/6/48(P) Gi2/6/48(P)

L3SW#


port-channel 1のメンバーとして、
Gi1/6/48とGi2/6/48が設定されており、
両ポートともアップしていることが確認できる。



■誤った設定手順による通信障害の例

port-channel 1にVLAN50追加しようとして、
下記コンフィグを流し込んだところ、


---
interface GigabitEthernet1/6/48
switchport trunk allowed vlan add 50

interface GigabitEthernet2/6/48
switchport trunk allowed vlan add 50

interface Port-channel1
switchport trunk allowed vlan add 50
---



インターフェイスがダウンした。

---
L3SW(config-if)#switchport trunk allowed vlan add 50
L3SW(config-if)#
000240: Jun 27 02:53:37.748: %EC-5-CANNOT_BUNDLE2: Gi2/6/48 is not compatible with Gi1/6/48 and will be suspended (vlan mask is different)
000241: Jun 27 02:53:38.755: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/6/48, changed state to down
L3SW(config-if)#
---



本来、Port-channelのTRUNKポートへのVLANの変更は、
Port-channelの変更をすれば
自動的に物理ポートの変更がされるようになっている。

Port-channelのメンバーポートは
すべて同じ設定でなければならないので、当然の動作である。


一応インターフェイスのステータスを確認してみる


---
L3SW(config-if)#do show int status

Port Name Status Vlan Duplex Speed Type
Gi1/6/48 connected trunk a-full a-1000 10/100/1000BaseTX
Gi2/6/48 suspended trunk a-full a-1000 10/100/1000BaseTX
Po1 connected trunk a-full a-1000
L3SW(config-if)#
---


Gi2/6/48がサスペンド状態になっている。






■正しい設定手順


port-channel 1にVLAN50追加する



まずは、現状のコンフィグを確認


---
L3SW#show running-config
interface Port-channel1
switchport trunk allowed vlan 10,20,30,40
switchport mode trunk
!
interface GigabitEthernet1/6/48
switchport trunk allowed vlan 10,20,30,40
switchport mode trunk
no cdp enable
channel-group 1 mode active
!
interface GigabitEthernet2/6/48
switchport trunk allowed vlan 10,20,30,40
switchport mode trunk
media-type rj45
no cdp enable
channel-group 1 mode active
!
L3SW#
---



VLAN50を追加するには以下のコンフィグを追加

---
interface port-channel 1
switchport trunk allowed vlan add 50
---

※このとき注意する点は、"add"を忘れないこと。
 "add"をつけないとVLAN50のみが許可されるようになってしまうので注意。



設定変更後、再度コンフィグを確認してみる。


---
L3SW(config-if)#do show run
interface Port-channel1
switchport trunk allowed vlan 10,20,30,40,50
switchport mode trunk
!
interface GigabitEthernet1/6/48
switchport trunk allowed vlan 10,20,30,40,50
switchport mode trunk
no cdp enable
channel-group 1 mode active
!
interface GigabitEthernet2/6/48
switchport trunk allowed vlan 10,20,30,40,50
switchport mode trunk
media-type rj45
no cdp enable
channel-group 1 mode active
!
L3SW(config-if)#
---



上記のようにport-channel 1だけではなく、
メンバーポートにも自動的に適用されていることがわかる。

スポンサーサイト



Juniper SecureAccess/JunosPulseにおけるOpenSSLの脆弱性 CVE-2014-0224 JSA10629

2014.06.09 (Mon)

6/5 新たにOpenSSLに関する脆弱性が公表され、
JuniperNetworks製のSecureAccessシリーズのIVE OSで
影響を受けることをJuniperが公表した。


サーバ・クライアント両者で使用されている
OpenSSLのバージョンが以下の場合に該当する場合に
本脆弱性の影響を受ける模様。

尚、両者が以下に一致していなければ影響を受けないハズ。



サーバ側:
OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前

クライアント側:
OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前












SecureAccressシリーズでいうと、
以下の組み合わせが脆弱性の対象となっている。

■サーバ側:
IVE OS 7.4Rx または 8.0Rx

■クライアント側:
Junos Pulse (Desktop) 全バージョン
Junos Pulse (Mobile) (Windows Phone 8.1) 全バージョン
Junos Pulse (Mobile) (iOS) 全FIPSバージョン
Junos Pulse (Mobile) (Android) 全バージョン
Windows In-Box Junos Pulse Client( Windows 8.1)

Network Connect (Linux)
Network Connect (全プラットフォーム) FIPSバージョン
Network Connect (Mac OS X ※)

Host Checker 全バージョン


※インストールされているOpenSSLのバージョンがいかに該当する場合

OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前


本脆弱性はサーバ側のIVE OSを
改修版にアップデートすることで回避可能であるが、
6/9現在、開発中であり、リリースされていない。

改修バージョン及びリリース予定日

8.0 系 8.0R4.1   2014/06/11(PST)
7.4 系 7.4R11.1 2014/06/12(PST)



 | HOME |