Cisco WAFS 3.0 コマンド リファレンス
I コマンド
I コマンド
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

I コマンド

inetd

install

interface

ip(グローバル コンフィギュレーション)

ip(インターフェイス コンフィギュレーション)

ip access-group

ip access-list

I コマンド

この章では、文字 I で始まる Cisco WAFS 3.0 ソフトウェア コマンドについて詳しく説明します。 各コマンドの説明は、構文、デフォルト値、コマンド モード、使用上の注意事項、および使用例で構成されます。

CLI コマンド モードの使用方法については、 第 1 章、 「WAFS コマンドライン インターフェイスの使用方法」 を参照してください。

この章で説明するコマンドは、次のとおりです。

inetd

install

interface

ip(グローバル コンフィギュレーション)

ip(インターフェイス コンフィギュレーション)

ip access-group

ip access-list

inetd

FTP、 RCP、および TFTP サービスを有効にするには、 inetd enable グローバル コンフィギュレーション コマンドを使用します。 上記のサービスを無効にするには、このコマンドの no形式を使用します。

inetd enable { ftp | rcp | tftp }

no inetd enable { ftp | rcp | tftp }

 
構文の説明

enable

サービスを有効にします。

ftp

File Transfer Protocol(FTP;ファイル転送プロトコル)サービスを有効にします。

rcp

Receiver-Centric Transport Protocol(RCP)サービスを有効にします。

tftp

Trivial FTP(TFTP)サービスを有効にします。

 
デフォルト

FTP は有効で、RCP および TFTP は無効です。

 
コマンド モード

グローバル コンフィギュレーション

 
使用上の注意事項

Inetd(Internet daemon = インターネット デーモンの略で「アイ ネット ディー」と発音)は、特定ポートの接続要求またはメッセージを受信するプログラムで、このようなポートに関連付けられたサービスを実行するサーバ プログラムを起動します。 inetd enable コマンドを ftp rcp 、および tftp キーワードと共に使用して WAE でのサービスを有効または無効にします。 サービスを無効にするには、 no 形式で inetd enable コマンドを入力します。 現在の inetd セッションが有効か無効か確認するには、show inetd コマンドを使用します。

次の例は、FTP サービス セッションを有効にします。

WAE(config)# inetd enable ftp
 

次の例では、FTP サービスを無効にします。

WAE(config)# no inetd enable ftp

 
関連コマンド

show inetd

install

新しいソフトウェア イメ―ジを WAFS アプリケーション ソフトウェアなどのフラッシュにインストールするには、 install EXEC コマンドを使用します。

install imagefilename


installコマンドは .pax ファイルを受け付けません。 ファイルのタイプは .bin(たとえば、
cache-sw.bin
)である必要があります。 また、インストールするリリースが新しいシステム イメージを必要としない場合は、フラッシュ メモリに書き込む必要がないこともあります。 新しいバージョンに変更が加えられており、そのために、新しいシステム イメージをインストールする必要がある場合は、install コマンドによって、フラッシュ メモリへの書き込みが実行される場合があります。


 
構文の説明

imagefilename

インストールする .bin ファイルの名前

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

EXEC

 
使用上の注意事項

install コマンドは、システム イメージをフラッシュ メモリにロードし、オプションのソフトウェアのコンポーネントをソフトウェア ファイルシステム(swfs)パーティションにコピーします。


オプションのソフトウェアを格納するシステム イメージをインストールする場合は、SWFS パーティションが disk00 にマウントされていることを確認してください。


システム イメージをインストールするには、 イメージ ファイルを SYSFS ディレクトリ local1 または local2 にコピーします。 install コマンドを実行する前に、現在の作業ディレクトリをシステム イメージのあるディレクトリに変更します。 install コマンドを実行すると、イメージ ファイルは拡張されます。 拡張されたファイルは、WAE の既存のファイルを上書きします。 システム イメージをリロードすると、新たにインストールされたバージョンが適用されます。

次の例は、 wae511-cache-300.bin ファイルに格納されたシステム イメージをロードします。

WAE# install wae511-cache-300.bin
 

 
関連コマンド

copy

reload

interface

ギガビット イーサネット、ポート チャネル、またはスタンバイ グループ インターフェイスを設定するには、 interface グローバル コンフィギュレーション コマンドを使用します。 選択したオプションを無効にしたり、デフォルト値に戻したり、シャットダウン インターフェイスを有効にしたりするには、このコマンドの no 形式を使用します。

interface GigabitEthernet slot/port [ autosense | bandwidth { 10 | 100 | 1000 } | cdp enable | channel-group { 1 | 2 } | full-duplex | half-duplex | ip { access-group { ip-access list | accesslist_name } { in | out } | address { ip_address netmask [ secondary ] | dhcp [ client-id id hostname name | hostname name client-id id ]}} | mtu mtusize | shutdown | standby grpnumber [ priority priority ]]

interface PortChannel { 1 | 2 } [ description text | ip { access-group { ip-access list | accesslist_name } { in | out } | address ip-address netmask }} | shutdown ]

interface Standby { 1 | 2 | 3 | 4 } [ description text | errors max-error-number | ip address ip-address netmask } | shutdown ]

no interface { GigabitEthernet slot/port [ autosense | bandwidth { 10 | 100 | 1000 } | cdp enable | channel-group { 1 | 2 } | description | full-duplex | half-duplex | ip { access-group { ip-access list | accesslist_name } { in | out } | address { ip_address netmask [ secondary ] | dhcp [ client-id id hostname name | hostname name client-id id ]}} | mtu mtusize | shutdown | standby grpnumber [ priority priority ]] | PortChannel { 1 | 2 } [ description | ip { access-group { ip-access list | accesslist_name } { in | out } | address ip-address netmask } | shutdown ] | Standby { 1 | 2 | 3 | 4 } [ description text | errors max-error-number | ip address ip-address netmask } | shutdown ]}

 
構文の説明

GigabitEthernet

設定するギガビット イーサネット インターフェイスを選択します。

slot / port

選択したインターフェイスのスロットおよびポート番号。 スロットの範囲は 1~2 で、ポートの範囲は 0~0 です。スロットおよびポート番号はスラッシュ(/)で区切ります。

autosense

(オプション)インターフェイスを自動感知に設定します。

bandwidth

(オプション)指定されたインターフェイスの帯域幅を設定します。

10

インターフェイスの帯域幅を 10 Mbps に設定します。

100

インターフェイスの帯域幅を 100 Mbps に設定します。

1000

インターフェイスの帯域幅を 1000 Mbps に設定します。 このオプションはすべてのポートで利用できるわけではなく、自動感知と同じです。

cdp

(オプション)指定されたインターフェイスに Cisco Discovery Protocol(CDP)を設定します。

enable

(オプション)指定されたインターフェイスの Cisco Discovery Protocol(CDP)を有効にします。

channel-group

(オプション) EtherChannel グループを設定します。

1

インターフェイスの EtherChannel をグループ 1 に設定します。

2

インターフェイスの EtherChannel をグループ 2 に設定します。

full-duplex

(オプション)インターフェイスを全二重動作に設定します。

half-duplex

(オプション)インターフェイスを半二重動作に設定します。

ip

(オプション)インターフェイスの IP コンフィギュレーション コマンドを有効にします。

access-group

access control list(ACL; アクセス コントロール リスト)を使用して、このインターフェイスの IP パケットに対してアクセス コントロールを設定します。

ip-access list

現在のインターフェイスに適用する ACL を識別するための数値の ID。 有効な範囲は、標準の ACL では 1~99、拡張 ACL では 100~199 です。

accesslist_name

最大 30 文字の英数字の ID で、文字で始まります。現在のインターフェイスに適用する ACL を識別します。

in

指定された ACL を現在のインターフェイスの着信パケットに適用します。

out

指定された ACL を現在のインターフェイスの発信パケットに適用します。

address

(オプション)インターフェイスの IP アドレスとサブネット マスクを設定します。

ip-address

インターフェイスの IP アドレス。

netmask

インターフェイスのネットマスク。

secondary

(オプション)この IP アドレスをセカンダリ アドレスにします。

dhcp

(オプション) Dynamic Host Configuration Protocol(DHCP)でネゴシエーションされたものに IP アドレスを設定します。

client-id

(オプション)クライアント ID を指定します。

id

クライアントの ID。

hostname

(オプション)ホスト名を指定します。

name

ホスト名。

mtu

(オプション)インターフェイスの Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズを設定します。

mtusize

MTU サイズ(バイト単位で 68~1500)。

shutdown

(オプション)このインターフェイスをシャットダウンします。

standby

(オプション)スタンバイ インターフェイス コンフィギュレーション コマンドを設定します。

grpnumber

スタンバイ グループ番号(1~4)。

prority

(オプション)スタンバイ グループのインターフェイスのプライオリティを設定します。

priority

スタンバイ グループのインターフェイスのプライオリティ
(0~4294967295)。

PortChannel

設定するインターフェイスのイーサネット チャネルを選択します。

1

ポート チャネル インターフェイス番号を 1 に設定します。

2

ポート チャネル インターフェイス番号を 2 に設定します。

description

このインターフェイスを記述するテキスト。

ip

(オプション)インターフェイスの IP コンフィギュレーション コマンドを有効にします。

access-group

access control list(ACL; アクセス コントロール リスト)を使用して、このインターフェイスの IP パケットに対してアクセス コントロールを設定します。

ip-access list

現在のインターフェイスに適用する ACL を識別するための数値の ID。 有効な範囲は、標準の ACL では 1~99、拡張 ACL では 100~199 です。

accesslist_name

最大 30 文字の英数字の ID で、文字で始まります。現在のインターフェイスに適用する ACL を識別します。

in

指定された ACL を現在のインターフェイスの着信パケットに適用します。

out

指定された ACL を現在のインターフェイスの発信パケットに適用します。

address

インターフェイスの IP アドレスを設定します。

ip-address

このインターフェイスの IP アドレス。

netmask

このインターフェイスのネットマスク。

shutdown

(オプション)このインターフェイスをシャットダウンします。

Standby

設定するスタンバイ グループを選択します。

1

スタンバイ グループ番号を 1 に設定します。

2

スタンバイ グループ番号を 2 に設定します。

3

スタンバイ グループ番号を 3 に設定します。

4

スタンバイ グループ番号を 4 に設定します。

description

このインターフェイスの説明のテキスト。

ip

(オプション)インターフェイスの IP コンフィギュレーション コマンドを有効にします。

address

インターフェイスの IP アドレスを設定します。

ip-address

このインターフェイスの IP アドレス。

netmask

このインターフェイスのネットマスク。

shutdown

(オプション)このインターフェイスをシャットダウンします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
使用上の注意事項

WAE 上のインターフェイスのリンク速度を設定するには、 bandwidth インターフェイス コンフィギュレーション コマンドを使用します。 帯域幅は、Mbps 単位で指定します。 速度が 1000 Mbps に設定された場合、WAFS ソフトウェアでは自動的に自動感知を有効にします。

グローバル コンフィギュレーション モードで cdp enable コマンドを使用すると、すべてのインターフェイスでグローバルに CDP が有効になります。 インターフェイスごとに CDP の動作を制御するには、 インターフェイス コンフィギュレーション モードで cdp enable コマンドを使用します。 インターフェイス レベルの制御は、グローバル制御を上書きします。

インターフェイス ID(たとえば、ギガビット イーサネット 1/0)を表示するには show running-config または show startup-config コマンドを使用します。 autosense bandwidth full-duplex half-duplex ip 、および shutdown コマンドは、このコマンド リファレンスでは別々にリストしています。

単一物理インターフェイスでの複数のセカンダリ IP アドレスの設定

interface secondary グローバル コンフィギュレーション コマンドを使用して、同一インターフェイスに複数の IP アドレスを設定します。 単一インターフェイスに複数の IP アドレスを設定することで、WAE は複数のサブネットに存在できます。 これにより、ルータを介してリダイレクトすることなく、コンテンツが直接 WAE から要求クライアントに行くので、応答時間を最適化できます。 クライアントは、WAE と同じサブネット上に設定されているので、WAE を認識できるようになります。

WAE 上の 1 つのインターフェイスに最大 4 つのセカンダリ アドレスを割り当てできます。 このようなアドレスがアクティブになるのは、プライマリ アドレスが設定された後だけです。 同一のサブネットでは、2 つのインターフェイスが同一の IP アドレスを持つことはできません。 このようなセカンダリ IP アドレスを設定するには、 ip address コマンドを使用します。

複数のセカンダリ IP アドレスが割り当てられた物理インターフェイスを 1つ WAE が備えている場合、出力トラフィックは、IP ルーティングによって選択された送信元 IP アドレスを使用します。 セカンダリ IP アドレスが プライマリ IP アドレスと同一のサブネットにある場合、出力トラフィックはプライマリ IP アドレスしか使用しません。 対照的に、セカンダリ IP アドレスがプライマリ IP アドレスと別のサブネットにある場合、宛先 IP アドレスにより、WAE 上のどの IP アドレスを出力トラフィックに使用するかが決定されます。

DHCP に対するインターフェイスの設定

WAE の初期設定時に、WAE に静的 IP アドレスを設定するか、インターフェイスレベルの DHCP を使用して WAE 上のインターフェイスに動的に IP アドレスを割り当てるか選択できます。

WAE 上でインターフェイスレベルの DHCP を有効にしていない場合は、手動で WAE の静的 IP アドレスとネットワーク マスクを指定する必要があります。 WAE を、ネットワークの別の部分の別の場所に移動する場合は、手動で WAE の新しい静的 IP アドレスとネットワーク マスクを入力する必要があります。

インターフェイスは、 ip address dhcp [ client_id | hostname ] インターフェイス コンフィギュレーション コマンドを使用すると、DHCP に対して有効にできます。 クライアント ID は ASCII 値です。 WAE は、ネットワーク情報要求の際、設定済みのクライアント ID とホスト名を DHCPに送信します。 DHCP サーバは、WAE が送信しているクライアント ID 情報とホスト名情報を識別し、WAE に割り当てられた特定のネットワーク コンフィギュレーションを送り返すように設定できます。


) 手動で DHCP のインターフェイスを設定するまでは、自動登録は無効にしておく必要があります。 自動登録は、デバイスの最初のインターフェイス上では、デフォルトで有効になっています。


インターフェイスの説明の定義

WAE 上の特定のインターフェイスについて簡潔な説明を指定できます。 description text インターフェイス コンフィギュレーション コマンドを使用して特定のインターフェイスの説明を入力します。 説明テキストの長さは最大 240 文字です。

この機能は、ギガビット イーサネット、ポート チャネル、およびスタンバイの各インターフェイスでサポートされています。 次に例を示します。

WAE(config)# interface GigabitEthernet 1/0
WAE(config-if)# description &dlq;This an interface to the WAN.&drq;
 

) この機能は現在、SCSI や IDE インターフェイスに対してはサポートされていません。


インターフェイスの説明の定義後、 show EXEC コマンドを使用して定義したインターフェイスの説明を表示させます。 たとえば、 show running-config EXEC コマンドを実行すると、定義したインターフェイスの説明がすべて表示されます。

WAE# show running-config
...
interface GigabitEthernet 1/0
description This is the interface to the WAN
ip address dhcp
ip address 192.168.1.200 255.255.255.0
autosense
bandwidth 100
full-duplex
exit
...
 

show interface interface type slot/port EXEC コマンドを使用しても、WAE 上の特定のインターフェイスの定義した説明が表示されます。 次のコマンド出力の抜粋が示すように、指定されたインターフェイスの説明がコマンドライン出力の最初の行として表示されます。

WAE# show interface GigabitEthernet 1/0
Description This is the interface to the lab
type: Ethernet
...
 

ポート チャネル(EtherChannel)インターフェイス

WAFS 対応の EtherChannel ソフトウェアは、最大 4 つの同一速度ネットワーク インターフェイスが 1 つの仮想インターフェイスにグループ化するのをサポートします。 このグループ化機能により、2 つのギガビット イーサネット インターフェイスで構成される仮想インターフェイスの設定または削除が可能になります。 EtherChannel は、シスコ製ルータ、スイッチ、および EtherChannel をサポートするその他のネットワーク デバイスまたはホストとの相互運用性も提供します。具体的にはロードバランシング、各インターフェイスの現在のリンク ステータスに基づく自動障害検出およびリカバリなどです。

いずれかのギガビット イーサネット ポートを使用して EtherChannel を形成できます。 デバイス設定を条件として物理インターフェイスを EtherChannel に追加できます。

次の例は、1 つの CLI コマンドでインターフェイスの属性を設定します。

WAE(config)# interface GigabitEthernet 1/0 half-duplex
 

次のように一連の CLI コマンドでインターフェイスを設定できます。

WAE(config)# interface GigabitEthernet 1/0
WAE(config-if)# half-duplex
WAE(config-if)# exit
WAE(config)#
 

次の例では、シャットダウン インターフェイスを有効にします。

WAE(config)# no interface GigabitEthernet 1/0 shutdown
 

次の例では、EtherChannel を作成します。 この例では、ポート チャネルはポート チャネル 2 で、10.10.10.10 の IP アドレスと 255.0.0.0 のネットマスクを割り当てられています。

WAE# configure
WAE(config)# interface PortChannel 2
WAE(config-if)# ip address 10.10.10.10 255.0.0.0
WAE(config-if)# exit
 

次の例では、EtherChannel を削除します。

WAE(config)# interface PortChannel 2
WAE(config-if)# no ip address 10.10.10.10 255.0.0.0
WAE(config-if)# exit
WAE(config)# no interface PortChannel 2
 

次の例では、チャネル グループにインターフェイスを追加します。

WAE# configure
WAE(config)# interface GigabitEthernet 2/0
WAE(config-if)# channel-group 2
WAE(config-if)# exit
 

次の例では、チャネル グループからインターフェイスを削除します。

WAE(config)# interface GigabitEthernet 2/0
WAE(config-if)# no channel-group 2
WAE(config-if)# exit
 

次の例では、 ip address インターフェイス コンフィギュレーション コマンドを使用して、WAE 上のギガビット イーサネットにセカンダリ IP アドレスを割り当てます。

WAE# configure
WAE(config)# interface GigabitEthernet 2/0
WAE(config-if)# ip address 10.10.10.10 255.0.0.0 secondary
 

次の例では、ポート チャネル インターフェイスに対して説明を設定します。

WAE(config)# interface PortChannel 0/0
WAE(config-if)# description This is a Port Channel interface.
 

 
関連コマンド

show interface

show running-config

show startup-config

ip(グローバル コンフィギュレーション)

ネットワーク デバイスの初期設定を変更するには、 ip グローバル コンフィギュレーション コマンドを使用します。 このような設定を削除または無効にするには、このコマンドの no 形式を使用します。

ip default-gateway ip-address

ip domain-name name1 name2 name3

ip name-server ip-addresses

ip path-mtu-discovery enable

ip route dest_addrs net_addrs gateway_addrs

no ip { default-gateway | domain-name } | name-server ip-addresses | path-mtu-discovery enable | route dest_addrs net_addrs gateway_addrs }

 
構文の説明

default-gateway

デフォルト ゲートウェイを指定します(ルーティング IP でない場合)。

ip-address

デフォルト ゲートウェイの IP アドレス。

domain-name

ドメイン名を指定します。

name1 name3

ドメイン名(最大 3 つまで指定できます)。

name-server

DNS サーバのアドレスを指定します。

ip-address

ネーム サーバの IP アドレスを指定します(最大 8 個)。

path-mtu-discovery

RFC 1191 Maximum Transmission Unit(MTU; 最大伝送ユニット)discovery を設定します。

enable

Path MTU discovery を有効にします。

route

ネット ルートを指定します。

dest_addrs

宛先のルート アドレス。

net_addrs

ネットマスク アドレス。

gateway_addrs

ゲートウェイ アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
使用上の注意事項

デフォルト ゲートウェイを定義するには、 ip default-gateway コマンドを使用します。 設定できるデフォルト ゲートウェイは 1 つだけです。 IP デフォルト ゲートウェイを削除するには、このコマンドの no 形式を使用します。 WAE は、宛先への明確なルートが見つからない場合、デフォルト ゲートウェイを使用して IP パケットをルーティングします。

デフォルト ドメイン名を定義するには、 ip domain-name コマンドを使用します。 IP デフォルト ドメイン名を削除するには、このコマンドの no 形式を使用します。 ドメイン名は最大 3 つまで入力できます。 ホスト名にドメイン名が追加されていない状態で要求が着信した場合、プロキシは name1 name2 、および name3 をこの順序で追加して、これらの名前のいずれかが成功するまで、ホスト名を解決しようとします。

WAE は、設定されたドメイン名を、ドメイン名が入っていない IP ホスト名すべてに追加します。 追加された名前は DNS によって解決され、ホスト テーブルに追加されます。 ホスト名解決を正常に動作させるには、WAE に最低限 1 つのドメイン ネーム サーバが指定されている必要があります。

複数のネーム サーバのアドレスを指定して名前とアドレスの解決に使用するには、 ip name-server ip-addresses コマンドを使用します。 IP ネーム サーバを無効にするには、このコマンドの no 形式を使用します。 ホスト名を IP アドレスに、または IP アドレスをホスト名に正しく解決するため、WAE では DNS サーバを使用します。 ip name-server コマンドを使用して、WAE を 特定の DNS サーバにポイントします。 最大 8 つのサーバを設定できます。

Cisco WAFS ソフトウェアは、RFC 1911 で規定されているように IP Path Maximum Transmission Unit(MTU; 最大伝送ユニット)discovery メカニズムをサポートします。 Path MTU discovery ユーティリティ(デフォルトで有効に設定)は、転送パスに沿ったさまざまなリンク間で許容される最大 IP パケット サイズを検出し、パケット サイズに対して自動的に正しい値を設定します。 リンクが搬送する最大の MTU を使用することで、送信側デバイスは送信する必要のあるパケットの数を最小限にできます。


) IP Path MTU discovery は、ネットワーク内のリンクがダウンし、強制的に、別の異なる MTU にサイズ調整したリンクを使用させられる場合に便利です。 また、IP Path MTU discovery は、最初に接続が確立され、送信側に仲介リンクに関する情報が全くない場合にも便利です。


IP Path MTU discovery は、送信側デバイスによって開始されるプロセスです。 サーバが IP Path MTU discovery をサポートしていない場合、受信側デバイスには、サーバによって生成されるデータグラムの断片化を避けるのに利用できるメカニズムがありません。

この自動検出ユーティリティを無効にするには、 no ip path-mtu-discovery enable コマンドを使用します。 この機能が無効にされると、送信側デバイスは、より小さい 576 バイトのパケット サイズとネクストホップ MTU を使用します。 既存の接続は、この機能が有効または無効になっても影響を受けません。

ip route コマンドを使用して、ネットワークまたはホストについて特定のスタティック ルートを追加します。 指定の宛先が示された IP パケットはすべて、設定済みのルートを使用します。

スタティック IP ルーティングを設定するには、ip route コマンドを使用します。 ルートを削除するには、このコマンドの no 形式を使用します。 ip route 0.0.0.0 0.0.0.0 コマンドを使用してデフォルト ゲートウェイを設定しないでください。代わりに、 ip default-gateway コマンドを使用してください。

WAFS ネットワークでは、 ip dscp コマンドを使用して、Type of Service(ToS; タイプ オブ サービス)または differentiated services code point(DSCP; DiffServ コード ポイント)用に WAE を設定できます。

ディファレンシエーテッド サービス アーキテクチャは、ネットワークに入るトラフィックが、ネットワークの境界で分類され、調整される可能性もあるという簡易モデルに基づきます。 ここで、トラフィックのクラスは、differentiated services code point(DSCP; DiffServ コード ポイント) または IP ヘッダのビット マーキングで識別されます。 ネットワークのコア内では、パケットは DSCP に関連付けられたホップ単位の動作に基づいて転送されます。

次の例は、WAE のデフォルト ゲートウェイを設定します。

WAE(config)# ip default-gateway 192.168.7.18
 

次の例では、デフォルト ゲートウェイを無効にします。

WAE(config)# no ip default-gateway
 

次の例では、WAE のスタティック IP ルートを設定します。

WAE(config)# ip route 172.16.227.128 255.255.255.0 172.16.227.250
 

次の例では、スタティック IP ルートを無効にします。

WAE(config)# no ip route 172.16.227.128 255.255.255.0 172.16.227.250
 

次の例は、WAE のデフォルト ドメイン名を設定します。

WAE(config)# ip domain-name cisco.com
 

次の例は、デフォルト ドメイン名を無効にします。

WAE(config)# no ip domain-name
 

次の例は、WAE のネーム サーバを設定します。

WAE(config)# ip name-server 10.11.12.13
 

次の例では、ネーム サーバを無効にします。

WAE(config)# no ip name-server 10.11.12.14
 

 
関連コマンド

show ip route

ip(インターフェイス コンフィギュレーション)

IP アドレスまたはサブネット マスクを設定したり、WAE インターフェイス上の DHCP から IP アドレスをネゴシエーションしたりするには、 ip インターフェイス コンフィギュレーション コマンドを使用します。 この機能を無効にするには、このコマンドの no 形式を使用します。

ip address { ip-address ip-subnet [ secondary ] | dhcp [ client-id id [ hostname name ] | hostname name [ client-id id ]]}

no ip address { ip-address ip-subnet [ secondary ] | dhcp [ client-id id [ hostname name ] | hostname name [ client-id id ]]}

 
構文の説明

address

インターフェイスの IP アドレスを設定します。

ip-address

IP アドレス。

ip-subnet

IP サブネット マスク。

secondary

(オプション)この IP アドレスをセカンダリ アドレスにします。

dhcp

DHCP でネゴシエーションした IP アドレスを設定します。

client-id

(オプション)クライアント ID を指定します。

id

クライアントの ID。

hostname

(オプション)ホスト名を指定します。

name

ホスト名。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
使用上の注意事項

このコマンドを使用して、WAE ネットワーク インターフェイスの IP アドレス、サブネット マスク、DHCP IP アドレス ネゴシエーションの設定や変更を行います。 IP アドレスへの変更は、すぐに有効となります。

ip address インターフェイス コンフィギュレーション コマンドにより、次のように指定されたインターフェイスのセカンダリ IP アドレスの設定が可能になります。

WAE(config-if)# ip address ip_address netmask [secondary]
 

各インターフェイスについて最大 4 つのセカンダリ IP アドレスを指定できます。 同一 IP アドレスは複数のインターフェイスに割り当てできません。 セカンダリ IP アドレスは、プライマリ IP アドレスが設定されている場合にのみ、アクティブになります。 次のコマンドはプライマリ IP アドレスを設定します。

WAE(config-if)# ip address ip_address netmask
 

セカンダリ IP アドレスは、インターフェイスがシャットダウンすると無効になり、インターフェイスが起動すると有効になります。

特定の IP アドレスを無効にするには、このコマンドの no 形式を使用します。

WAE(config-if)# no ip address ip_address netmask

) 同一のサブネットで、 2 つのインターフェイスが IP アドレスを持つことはできません。


再利用可能な IP アドレスを DHCP からネゴシエーションするには、 ip-address dhcp コマンドを使用します。

次の例は、IP アドレスが 10.10.10.10、ネットマスクが 255.0.0.0 のポート チャネル インターフェイスを設定する方法を示します。

WAE# configure
WAE(config)# interface PortChannel 2
WAE(config-if)# ip address 10.10.10.10 255.0.0.0
 

次の例では、インターフェイスに設定された IP アドレスを削除します。

WAE(config-if)# no ip address
 

次の例では、インターフェイスを DHCP 対応として有効にします。

WAE(config-if)# ip address dhcp
 

次の例では、DHCP サーバに送信する、WAE のクライアント ID とホスト名を設定します。

WAE(config-if)# ip address dhcp client-id myclient hostname myhost

 
関連コマンド

interface

show interface

show running-config

show startup-config

ip access-group

定義済みアクセス リストを適用することによって、特定のインターフェイスでの接続を制御するには、ip access-group インターフェイス コンフィギュレーション コマンドを使用します。

ip access-group { acl-name | acl-num } { in | out }

no ip access-group { acl-name | acl-num } { in | out }

 
構文の説明

acl-name

最大 30 文字の英数字の ID で、文字で開始します。現在のインターフェイスに適用する ACL を識別します。

acl-num

現在のインターフェイスに適用するアクセス リストを識別する数値の ID。 有効な範囲は、標準のアクセス リストでは 1~99、拡張アクセス リストでは 100~199 です。

in

指定されたアクセス リストを現在のインターフェイスの着信パケットに適用します。

out

指定されたアクセス リストを現在のインターフェイスの発信パケットに適用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
使用上の注意事項

ip access-group インターフェイス コンフィギュレーション コマンドを使用して、特定のインターフェイス上のアクセス リストをアクティブにします。 各インターフェイスについて、発信アクセス リストと着信アクセス リストをそれぞれ 1 つずつ使用できます。

ip access-group コマンドを入力する前に、アクセス リストを適用するインターフェイスのインターフェイス コンフィギュレーション モードに切り替えます。 ip access-list コマンドを使用して、適用するアクセス リストを定義します。

次のコマンドは、インターフェイス ギガビット イーサネット 1/0 の発信トラフィックに対して、acl-outという名前のアクセス リストを適用します。

WAE(config)# interface GigabitEthernet 1/0
WAE(config-if)# ip access-group acl-out out
 

 
関連コマンド

ip access-list

show ip access-lists

clear ip access-list counters

ip access-list

インターフェイスまたはアプリケーションへのアクセス制御のためのアクセス リストを作成および変更するには、ip access-list standard または ip access-list extended グローバル コンフィギュレーション コマンドを使用します。

ip access-list { standard | extended { acl-name | acl- num }

no ip access-list { standard | extended } { acl-name | acl- num }

標準 ACL コンフィギュレーション モード コマンド

標準アクセス リストを処理するには、グローバル コンフィギュレーション モード プロンプトから ip access-list standard コマンドを入力します。 CLI は、コンフィギュレーション モードを開始します。このモードでは、以降のすべてのコマンドが現在のアクセス リストに適用され、次のプロンプトが表示されます。

WAE(config-std-nacl)#
 

標準アクセス リストのエントリを処理するには、標準 ACL コンフィギュレーション モード (config-std-nacl)#から次のコマンドを入力します。

標準 IP ACL に行を追加するには、次の構文を使用します。

[insert line-num] {deny | permit} {source-ip [wildcard] | host source-ip | any}

たとえば、パケットを渡すかまたはドロップするかを指定する目的(permit または deny)を選択し、送信元 IP アドレスを入力し、送信元 IP ワイルドカード アドレスを入力します。

標準 IP ACL から行を削除するには、次の構文を使用します。

delete line-num

標準 IP ACL 内の指定したエントリのリストを表示させるには、次の構文を使用します。

list [ start-line-num [ end-line-num ]]

標準 IP ACL 内の新しい位置に行を移動するには、次の構文を使用します。

move old-line-num new-line-num

CLI グローバル コンフィギュレーション モード プロンプトに戻るには、次の構文を使用します。

exit

標準 IP ACL を無効にするには、次の構文を使用します。

no { deny | permit } { source- ip [ wildcard ] | host source- ip | any }

拡張 ACL コンフィギュレーション モード コマンド

拡張アクセス リストを処理するには、グローバル コンフィギュレーション モード プロンプトから ip access-list extended コマンドを入力します。 CLI は、コンフィギュレーション モードを開始します。このモードでは、以降のすべてのコマンドが現在のアクセス リストに適用され、次のプロンプトが表示されます。

WAE(config-ext-nacl)#
 

拡張アクセス リストのエントリを処理するには、拡張 ACL コンフィギュレーション モード (config-ext-nacl)# から次のコマンドを入力します。

拡張 IP ACL から行を削除するには、次の構文を使用します。

delete line-num

拡張 IP ACL 内の新しい位置に行を移動するには、次の構文を使用します。

move old-line-num new-line-num

標準 IP ACL 内の指定したエントリのリストを表示させるには、次の構文を使用します。

list [ start-line-num [ end-line-num ]]

CLI グローバル コンフィギュレーション モード プロンプトに戻るには、次の構文を使用します。

exit

拡張 IP ACL に条件を追加する際、オプションは選択したプロトコルによって異なるので注意してください。

IP の場合、次の構文を使用して条件を追加します。

[ insert line-num ] { deny | permit }{ gre | icmp | tcp | udp | ip | proto-num } { source- ip [ wildcard ] | host source- ip | any } { dest -ip [ wildcard ] | host dest- ip | any }

no { deny | permit }{ gre | icmp | tcp | udp | ip | proto-num } { source- ip [ wildcard ] | host source- ip | any } { dest -ip [ wildcard ] | host dest- ip | any }

TCP の場合、次の構文を使用して条件を追加します。

[ insert line-num ] { deny | permit } tcp { source- ip [ wildcard ] | host source- ip | any } [ operator port [ port ]] { dest- ip [ wildcard ] | host dest- ip | any } [ operator port [ port ]] [ established ]

no { deny | permit } tcp { source- ip [ wildcard ] | host source- ip | any } [ operator port [ port ]] { dest- ip [ wildcard ] | host dest- ip | any } [ operator port [ port ]] [ established ]

UDP の場合、次の構文を使用して条件を追加します。

[ insert line-num ] { deny | permit } udp { source- ip [ wildcard ] | host source- ip | any } [ operator port [ port ]] { dest- ip [ wildcard ] | host dest- ip | any } [ operator port [ port ]]

no { deny | permit } udp { source- ip [ wildcard ] | host source- ip | any } [ operator port [ port ]] { dest- ip [ wildcard ] | host dest- ip | any } [ operator port [ port ]]

ICMP の場合、次の構文を使用して条件を追加します。

[ insert line-num ] { deny | permit } icmp { source- ip [ wildcard ] | host source- ip | any } { dest- ip [ wildcard ] | host dest- ip | any } [ icmp-type [ code ] | icmp-msg ]

no { deny | permit } icmp { source- ip [ wildcard ] | host source- ip | any } { dest- ip [ wildcard ] | host dest- ip | any } [ icmp-type [ code ] | icmp-msg ]

拡張 IP ACL の場合、host キーワードが指定されていないときは、wildcardパラメータは必須です。 特定の ICMP メッセージ タイプおよびコードの照合に使用できるキーワードのリストについては、 表10-3 を参照してください。 サポートされている UDP および TCPの キーワードのリストについては、 表10-1 および 表10-2 を参照してください。

 
構文の説明

standard

標準 ACL コンフィギュレーション モードを有効にします。

extended

拡張 ACL コンフィギュレーション モードを有効にします。

acl-name

ACL コンフィギュレーション モードから入力されたすべてのコマンドが適用するアクセス リスト。最大 30 文字の英数字文字列を使用し、文字で始まります。

acl-num

アクセス リスト コンフィギュレーション モードから入力されたすべてのコマンドが適用するアクセス リスト。数値 ID を使用します。 有効な範囲は、標準のアクセス リストでは 1~99、拡張アクセス リストでは 100~199 です。

insert

(オプション)アクセス リストの指定された行番号に、指定された条件を挿入します。

line-num

アクセス リストの指定された行番号にエントリを挿入します。

deny

指定された条件に一致するパケットをドロップさせます。

permit

指定された条件に一致するパケットをさらに処理するため受け入れさせます。

source- ip

送信元 IP アドレス。 パケットの送信元となるネットワークまたはホストの番号で、4 桁のドット区切り 10 進表記の 32 ビット数を使用します(たとえば、0.0.0.0)。

wildcard

(オプション)上記 source-ip アドレスの各部分に対して照合される、4 桁のドット区切り 10 進表記で表わされたワイルドカード。 0 は照合するビット、1 は無視するビットを示します。


) 標準 IP ACL の場合、ip access-list コマンドの wildcard パラメータは常にオプションです。 標準 IP ACL で host キーワードを指定した場合、wildcard パラメータは認められません。


 

host

後続の IP アドレスを照合します。

any

任意の IP アドレスを照合します。

delete

指定されたエントリを削除します。

line-num

アクセス リストの指定された行番号に、エントリを挿入します。

list

指定されたエントリをリストします(または、何も指定されていない場合はすべてのエントリ)。

start-line-num

リスト開始行の番号。

end-line-num

(オプション)リストの最終行の番号。

move

アクセス リストの指定されたエントリを、リストの新しい位置に移動します。

old-line-num

移動するエントリの行番号。

new-line-num

エントリの新しい位置。 既存のエントリは、アクセス リストの後方に移動します。

exit

CLI グローバル コンフィギュレーション モード プロンプトに戻ります。

gre

Generic Routing Encapsulation(GRE;総称ルーティング カプセル化)プロトコルを使用してパケットを照合します。

ip

すべての IP パケットを照合します。

proto-num

(オプション)IP プロトコル番号。

tcp

TCP プロトコルを使用してパケットを照合します。

udp

UDP プロトコルを使用してパケットを照合します。

operator

(オプション)指定されたポートで使用する演算子。lt = 小なり、gt = 大なり、eq = 等しい、neq = 等しくない、range = 包含範囲です。

port

(オプション)ポート。数値(0~65535)またはキーワードを使用します。2 ポートの数値では range が必要です。 表10-1 および 表10-2 に、UDP および TCP のキーワードをリストします。

dest- ip

宛先 IP アドレス。 パケットの送信先となるネットワークまたはホストの番号で、4 桁のドット区切り 10 進表記の 32 ビット数を使用します(たとえば、0.0.0.0)。

established

(オプション) ACK または RST ビットが設定された TCP パケットを照合します。

icmp

ICMP パケットを照合します。

icmp-type

(オプション) ICMP メッセージ タイプ(0~255)で照合します。

code

(オプション) icmp-type とともに使用して、さらに ICMP コード タイプ(0~255)で照合します。

icmp-msg

(オプション) 表10-3 のキーワードで示すように、ICMP メッセージ タイプとコード タイプの組み合わせで照合します。

 
デフォルト

アクセス リストは、少なくとも 1 つ permit エントリが設定されていない限り、すべてのパケットをドロップします。

 
コマンド モード

グローバル コンフィギュレーション

 
使用上の注意事項

アクセス リストは、WAE の特定のアプリケーションまたはインターフェイスへのアクセスを制御するために使用してください。 アクセス コントロール リストは、パケットの種類を指定する複数のエントリで構成され、WAE はこのパケットをドロップするかさらに処理するため受け入れます。 WAE は、アクセス リストに出現する順序で各エントリを適用します。この順序はデフォルトでは、エントリが設定された順序です。

次の例は、WAE のある環境での IP ACL の使用方法を示します。

WAE は顧客宅内にあり、サービス プロバイダーによって管理され、サービス プロバイダーは管理のためにだけデバイスを保護します。

WAE は企業のどこにでも配備できます。 ルータやスイッチと同様、管理者は、ITソース サブネットへの、Telnet、SSH、および WAE GUI アクセスを制限しようとします。

強化外部インターフェイスを持つアプリケーション層プロキシ ファイアウォールでは、ポートは公開されていません ( 強化 とは、主に安全上の理由から、どのポートがアクセス可能かをインターフェイスが慎重に制限するということです。 外部インターフェイスでは、多様な種類のセキュリティ攻撃が考えられます)。 WAE の外部アドレスはインターネット グローバルで、内部アドレスは非公開です。 内部インターフェイスには IP ACL があり、WAE への、Telnet、SSH、および WAE GUI アクセスを制限します。

WCCP を使用する WAE は、ファイアウォールとインターネット ルータ、またはインターネット ルータから離れたサブネットとの間に位置します。 WAE とルータはともに IP ACL を備えている必要があります。

ACL コンフィギュレーション モード内では、編集コマンド( list delete move )を使用して、現在の条件エントリを表示したり、特定のエントリを削除したり、エントリの評価順序を変更したりできます。 グローバル コンフィギュレーション モードに戻るには、ACL コンフィギュレーション モード プロンプトで exit を入力します。

エントリを作成するには、deny または permit キーワードを使用して、WAE にドロップさせる、またはさらに処理するために受け入れさせるパケットのタイプを指定します。 デフォルトでは、アクセス リストはすべてを拒否します。アクセス リストが暗黙の deny any エントリで終了しているためです。 したがって、少なくとも 1 つ permit エントリを指定して、有効なアクセス リストを作成する必要があります。

アクセス リストを作成した後、access-group コマンドを使用してアクセス リストをアクセス グループに組み入れることができます。このコマンドはアクセス リストの適用方法を決定します。 アクセス リストは、当該のコマンドを使用すれば特定のアプリケーションにも適用できます。 存在しないアクセス リストの参照は、permit any 条件文と同等です。

アクセス リストを処理するには、ip access-list standard または ip access-list extended グローバル コンフィギュレーション コマンドを実行します。 新しいまたは既存のアクセス リストは、文字または数字で始まる、最大 30 文字の長さの名前を付けて識別します。 数字を使用して標準アクセス リストを識別する場合は、1~99 の範囲にしてください。拡張アクセス リストの場合は、100~199 の数字を使用します。 SNMP サーバまたは TFTP ゲートウェイ/サーバのアクセスには標準アクセス リストを使用する必要があります。 ただし、WCCP アプリケーションへのアクセスには、標準アクセス リストまたは拡張アクセス リストのどちらでも使用できます。

アクセス リストを識別すると、CLI により適切なコンフィギュレーション モードが開始され、以降のコマンドはすべて、指定されたアクセス リストに適用されます。 各コンフィギュレーション モードのプロンプトを次の例に示します。

WAE(config)# ip access-list standard test
WAE(config-std-nacl)# exit
WAE(config)# ip access-list extended test2
WAE(config-ext-nacl)#
 

ip access-list standard コマンド

通常は、標準アクセス リストを使用して、特定の IP アドレスを持つホスト、または特定のネットワークのホストからの接続を許可します。 特定のホストからの接続を許可するには、permit host source-ipオプションを使用し、source-ip には指定されたホストの IP アドレスを指定します。

特定のネットワークからの接続を許可するには、permit host source-ip wildcard オプションを使用します。 source-ip には、ネットワーク ID または指定したいネットワークのホストの IP アドレスを指定します。 wildcard には、マスクをドット区切り 10 進表記で指定します。これはサブネット マスクとは逆で、0 は照合が必要な位置を示し、1 は無視する位置を示します。 たとえば、ワイルドカード 0.0.0.255 により、送信元 IP アドレスの最後の 8 ビットは無視されます。 したがって、permit 192.168.1.0 0.0.0.255 のエントリにより、192.168.1.0 ネットワークの任意のホストからのアクセスが許可されます。

ip access-list extended コマンド

拡張アクセス リストは、宛先 IP アドレスまたはプロトコル タイプに基づく接続を制御するために使用します。 この条件を送信元 IP アドレスに関する情報と結合して、より限定的な条件を作成できます。 表10-1 に、拡張アクセス リストで使用できる UDP キーワードをリストします。

 

表10-1 UDP キーワードとポート番号

CLI キーワード
説明
UDP ポート番号

bootpc

Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント

68

bootps

BOOTP サーバ

67

domain

Domain Name System(DNS; ドメイン ネーム システム)

53

mms

Microsoft Media Server

1755

netbios-dgm

NetBIOS データグラム サービス

138

netbios-ns

NetBIOS ネーム サービス

137

netbios-ss

NetBIOS セッション サービス

139

nfs

ネットワーク ファイル システム サービス

2049

ntp

ネットワーク タイム プロトコル

123

snmp

簡易ネットワーク管理プロトコル

161

snmptrap

SNMP トラップ

162

tacacs

Terminal Access Controller Access Control System

49

tftp

Trivial File Transfer Protocol

69

wccp

Web Cache Communication Protocol

2048

表10-2 に、拡張アクセス リストで使用できる TCP キーワードをリストします。

 

表10-2 TCP キーワードとポート番号

CLI キーワード
説明
TCP ポート番号

domain

ドメイン ネーム システム

53

exec

Exec (RCP)

512

ftp

ファイル転送プロトコル

21

ftp-data

FTP データ接続(ほとんど使用されない)

20

https

Secure HTTP

443

mms

Microsoft Media Server

1755

nfs

ネットワーク ファイル システム サービス

2049

rtsp

Real-Time Streaming Protocol

554

ssh

セキュア シェル ログイン

22

tacacs

Terminal Access Controller Access Control System

49

telnet

Telnet

23

www

WWW(HTTP)

80

表10-3 に、特定の ICMP メッセージ タイプおよびコードの照合に使用できるキーワードをリストします。

 

表10-3 ICMP メッセージ タイプおよびコードのキーワード

administratively-prohibited

alternate-address

conversion-error

dod-host-prohibited

dod-net-prohibited

echo

echo-reply

general-parameter-problem

host-isolated

host-precedence-unreachable

host-redirect

host-tos-redirect

host-tos-unreachable

host-unknown

host-unreachable

information-reply

information-request

mask-reply

mask-request

mobile-redirect

net-redirect

net-tos-redirect

net-tos-unreachable

net-unreachable

network-unknown

no-room-for-option

option-missing

packet-too-big

parameter-problem

port-unreachable

precedence-unreachable

protocol-unreachable

reassembly-timeout

redirect

router-advertisement

router-solicitation

source-quench

source-route-failed

time-exceeded

timestamp-reply

timestamp-request

traceroute

ttl-exceeded

unreachable

次のコマンドは、すべての Web トラフィックと、Secure Shell(SSH; セキュア シェル)による特定のホスト管理アクセスだけを許可するアクセス リストを作成します。

WAE(config)# ip access-list extended example
WAE(config-ext-nacl)# permit tcp any any eq www
WAE(config-ext-nacl)# permit tcp host 10.1.1.5 any eq ssh
WAE(config-ext-nacl)# exit
 

次のコマンドは、インターフェイスのアクセス リストをアクティブにします。

WAE(config)# interface gigabitethernet 1/0
WAE(config-if)# ip access-group example in
WAE(config-if)# exit
 

次の例は、 show running-configuration コマンドを実行したときに、この設定がどう表示されるかを示します。

...
!
interface GigabitEthernet 1/0
ip address 10.1.1.50 255.255.0.0
ip access-group example in
exit
. . .
ip access-list extended example
permit tcp any any eq www
permit tcp host 10.1.1.5 any eq ssh
exit
. . .

 
関連コマンド

ip access-group

show ip access-list

clear ip access-list counters