特定のプロトコルでイーサネット フレームを受け入れる、またはドロップする

重要:

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  • Scalable Platforms (MaestroおよびChassis)では、該当するセキュリティグループのエキスパートモードで該当するコマンドを実行する必要があります。

デフォルトでは、Security Gateway、クラスタ、またはブリッジ モードのスケーラブル プラットフォーム セキュリティ グループは、IPv4 (0x0800)、IPv6 (0x86DD)、またはARP (0x0806) プロトコル以外のプロトコルを伝送するイーサネット フレームを許可します。

管理者は、ブリッジ モードのSecurity Gateway、クラスタ、またはスケーラブル プラットフォーム セキュリティ グループを設定して、特定のプロトコルを伝送するイーサネット フレームを受け入れるか、ドロップすることができます。

アクセス モードVLAN (VLAN 変換) が設定されている場合、BPDUフレームが誤ったVLAN番号でブリッジ インタフェースを介してスイッチ ポートに到達する可能性があります。この不一致により、スイッチ ポートがブロッキングモードになる可能性があります。

アクティブ/スタンバイ ブリッジ モードでのみ、BPDU転送を無効にして、このようなブロッキング モードを回避できます。

ステップ

手順

1

Security Gateway、各クラスタメンバ、またはスケーラブル プラットフォーム セキュリティ グループのコマンドラインに接続します。

2

Expertモードにログインします。

3

現在の/etc/rc.d/init.d/networkファイルをバックアップします:

  • Security Gateway /各クラスタメンバ:

    cp -v /etc/rc.d/init.d/network{,_BKP}

  • スケーラブル プラットフォーム セキュリティ グループ:

    g_cp -v /etc/rc.d/init.d/network{,_BKP}

4

現在の/etc/rc.d/init.d/networkファイルを編集します:

vi /etc/rc.d/init.d/network

5

次の行の後:

./etc/init.d/functions

この行を追加します:

/sbin/sysctl -w net.bridge.bpdu_forwarding=0

6

変更をファイルに保存し、Viエディタを終了します。

7

スケーラブル プラットフォーム セキュリティ グループ:

変更したファイルを他のセキュリティ グループ メンバにコピーします。

asg_cp2blades -b all /etc/rc.d/init.d/network

8

再起動します。

  • Security Gateway /各クラスタメンバ:

    reboot

  • スケーラブル プラットフォーム セキュリティ グループ:

    g_reboot -a

9

新しい設定が読み込まれていることを確認します。

  • Security Gateway /各クラスタメンバ:

    sysctl net.bridge.bpdu_forwarding

  • スケーラブル プラットフォーム セキュリティ グループ:

    g_all sysctl net.bridge.bpdu_forwarding

出力には次が表示される必要があります。

net.bridge.bpdu_forwarding = 0