Catalyst 2960-XR スイッチ セキュリティ コマンド リファレンス、Cisco IOS Release 15.0(2)EX1
セキュリティ コマンド
セキュリティ コマンド
発行日;2014/01/09   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

セキュリティ コマンド

aaa accounting dot1x

認証、許可、アカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1x セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}

no aaa accounting dot1x { name | default }

構文の説明

name

サーバ グループ名。 これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に指定します。

start-stop

プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。 start アカウンティング レコードはバックグラウンドで送信されます。 アカウンティング サーバが start accounting 通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。 最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。

group
アカウンティング サービスに使用するサーバ グループを指定します。 有効なサーバ グループ名は次のとおりです。
  • name:サーバ グループ名
  • radius:すべての RADIUS ホストのリスト
  • tacacs+:全 TACACS+ ホストのリスト

broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。 オプションの group キーワードより多くのキーワードを入力できます。

radius

(任意)RADIUS アカウンティングをイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

コマンド デフォルト

AAA アカウンティングはディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

このコマンドは、RADIUS サーバへのアクセスが必要です。

インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。

次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。

Switch(config)# aaa new-model
Switch(config)# aaa accounting dot1x default start-stop group radius

aaa accounting identity

IEEE 802.1x、MAC 認証バイパス(MAB)および Web 認証セッションの認証、許可、およびアカウンティング(AAA)アカウンティングをイネーブルにするには、aaa accounting identity グローバル コンフィギュレーション コマンドを使用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting identity { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}

no aaa accounting identity { name | default }

構文の説明

name

サーバ グループ名。 これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。

start-stop

プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。 start アカウンティング レコードはバックグラウンドで送信されます。 アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。 最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。

group
アカウンティング サービスに使用するサーバ グループを指定します。 有効なサーバ グループ名は次のとおりです。
  • name:サーバ グループ名
  • radius:すべての RADIUS ホストのリスト
  • tacacs+:全 TACACS+ ホストのリスト

broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。 オプションの group キーワードより多くのキーワードを入力できます。

radius

(任意)RADIUS 認証をイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

コマンド デフォルト

AAA アカウンティングはディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

AAA アカウンティング アイデンティティをイネーブルにするには、ポリシー モードをイネーブルにする必要があります。 ポリシー モードをイネーブルにするには、特権 EXEC モードで authentication display new-style コマンドを入力します。

次の例では、IEEE 802.1x アカウンティング アイデンティティを設定する方法を示します。

Switch# authentication display new-style

Please note that while you can revert to legacy style
configuration at any time unless you have explicitly
entered new-style configuration, the following caveats
should be carefully read and understood.

(1) If you save the config in this mode, it will be written
    to NVRAM in NEW-style config, and if you subsequently
    reload the router without reverting to legacy config and
    saving that, you will no longer be able to revert.

(2) In this and legacy mode, Webauth is not IPv6-capable. It
    will only become IPv6-capable once you have entered new-
    style config manually, or have reloaded with config saved
    in 'authentication display new' mode.

Switch# configure terminal
Switch(config)# aaa accounting identity default start-stop group radius

aaa authentication dot1x

IEEE 802.1x 認証に準拠するポートで認証、許可、アカウンティング(AAA)方式を使用するように指定するには、スイッチ スタックまたはスタンドアロン スイッチ上で aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。 認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default} method1

no aaa authentication dot1x { default} method1

構文の説明

default

ユーザがログインするときのデフォルトの方式。 この引数の後に続く、リストされた認証方式を使用します。

method1

サーバ認証を指定します。 認証用にすべての RADIUS サーバのリストを使用するには、group radius キーワードを入力します。

(注)     

他のキーワードがコマンドラインのヘルプ ストリングに表示されますが、サポートされているのは default および group radius キーワードだけです。

コマンド デフォルト

認証は実行されません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために特定の順序で試みる方式を指定します。 実際に 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。

設定された認証方式のリストを表示するには、show running-config 特権 EXEC コマンドを使用します。

次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。 この認証は、最初に RADIUS サーバとの交信を試みます。 この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。

Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius

aaa authorization network

IEEE 802.1x VLAN 割り当てなどのすべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を使用するようにスイッチを設定するには、aaa authorization network グローバル コンフィギュレーション コマンドを使用します。 RADIUS ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization network default group radius

no aaa authorization network default

構文の説明

default group radius

デフォルトの認証リストとして、サーバ グループ内のすべての RADIUS ホストのリストを使用します。

コマンド デフォルト

認証はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

スイッチが、デフォルトの認証リスト内にある RADIUS サーバから IEEE 802.1x 認証パラメータをダウンロードできるようにするには、aaa authorization network default group radius グローバル コンフィギュレーション コマンドを使用します。 認証パラメータは、VLAN 割り当てなど、RADIUS サーバからパラメータを取得する機能で使用されます。

設定された認証方式リストを表示するには、show running-config 特権 EXEC コマンドを使用します。

この例では、すべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を行うようスイッチを設定する方法を示します。

Switch(config)# aaa authorization network default group radius

authentication host-mode

ポートで認証マネージャ モードを設定するには、authentication host-mode インターフェイス コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication host-mode { multi-auth | multi-domain | multi-host | single-host}

no authentication host-mode

構文の説明

multi-auth

ポートのマルチ認証モード(multi-auth モード)をイネーブルにします。

multi-domain

ポートのマルチドメイン モードをイネーブルにします。

multi-host

ポートのマルチホスト モードをイネーブルにします。

single-host

ポートのシングルホスト モードをイネーブルにします。

コマンド デフォルト

シングルホスト モードがイネーブルにされています。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

接続されているデータ ホストが 1 つだけの場合は、シングルホスト モードを設定する必要があります。 シングルホスト ポートでの認証のために音声デバイスを接続しないでください。 ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。

データ ホストが IP フォン経由でポートに接続されている場合は、マルチドメイン モードを設定する必要があります。 音声デバイスを認証する必要がある場合は、マルチドメイン モードを設定する必要があります。

ハブの背後にデバイスを配置し、それぞれを認証してポート アクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。 音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。

マルチホスト モードでも、ハブ越しの複数ホストのためのポート アクセスが提供されますが、マルチホスト モードでは、最初のユーザが認証された後でデバイスに対して無制限のポート アクセスが与えられます。

次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-auth

次の例では、ポートのマルチドメイン モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-domain

次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-host

次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode single-host

設定を確認するには、show authentication sessions interface interface details 特権 EXEC コマンドを入力します。

authentication mac-move permit

スイッチ上での MAC 移動をイネーブルにするには、authentication mac-move permit グローバル コンフィギュレーション コマンドを使用します。 MAC 移動をディセーブルにするには、このコマンドの no 形式を使用します。

authentication mac-move permit

no authentication mac-move permit

構文の説明

このコマンドには、引数またはキーワードはありません。

コマンド デフォルト

MAC 移動はイネーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

このコマンドを使用すると、スイッチ上の ポート間で認証ホストを移動できます。 たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。

次の例では、スイッチ上で MAC 移動をイネーブルにする方法を示します。


Switch(config)# authentication mac-move permit

authentication priority

プライオリティ リストに認証方式を追加するには、インターフェイス コンフィギュレーション モードで authentication priority コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。

authentication priority [ dot1x | mab] { webauth}

no authentication priority [ dot1x | mab] { webauth}

構文の説明

dot1x

(任意)認証方式の順序に 802.1x を追加します。

mab

(任意)認証方式の順序に MAC 認証バイパス(MAB)を追加します。

webauth

認証方式の順序に Web 認証を追加します。

コマンド デフォルト

デフォルトのプライオリティは、802.1x 認証、MAC 認証バイパス、Web 認証の順です。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。

ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。

異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。


(注)  


クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。


認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x 認証、MAC 認証バイパス(MAB)、Web 認証の順です。 このデフォルトの順序を変更するには、キーワード dot1xmab、および webauth を使用します。

次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。


Switch(config-if)# authentication priority dotx webauth

次の例では、MAB を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。


Switch(config-if)# authentication priority mab webauth

関連コマンド

コマンド

説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event fail

認証マネージャが認証エラーを認識されないユーザ クレデンシャルの結果として処理する方法を指定します。

authentication event no-response action

認証マネージャが認証エラーを応答のないホストの結果として処理する方法を指定します。

authentication event server alive action reinitialize

以前に到達不能であった認証、許可、アカウンティング サーバが使用可能になったときに認証マネージャ セッションを再初期化します。

authentication event server dead action authorize

認証、許可、アカウンティング サーバが到達不能になったときに認証マネージャ セッションを許可します。

authentication fallback

Web 認証のフォール バック方式をイネーブルにします。

authentication host-mode

ホストの制御ポートへのアクセスを許可します。

authentication open

ポートでオープン アクセスをイネーブルにします。

authentication order

認証マネージャがポート上のクライアントの認証を試みる順序を指定します。

authentication periodic

ポートの自動再認証をイネーブルにします。

authentication port-control

制御ポートの許可ステートを設定します。

authentication timer inactivity

機能しない認証マネージャ セッションを強制終了するまでの時間を設定します。

authentication timer reauthenticate

認証マネージャが許可ポートの再認証を試みる間隔を指定します。

authentication timer restart

認証マネージャが無許可ポートの認証を試みる間隔を指定します。

authentication violation

ポート上でセキュリティ違反が生じた場合に取るアクションを指定します。

mab

ポートの MAC 認証バイパスをイネーブルにします。

show authentication registrations

認証マネージャに登録されている認証方式に関する情報を表示します。

show authentication sessions

現在の認証マネージャ セッションに関する情報を表示します。

show authentication sessions interface

特定のインターフェイスの認証マネージャに関する情報を表示します。

authentication violation

新しいデバイスがポートに接続するとき、または最大数のデバイスがポートに接続されている状態で新しいデバイスがポートに接続するときに発生する違反モードを設定するには、authentication violation インターフェイス コンフィギュレーション コマンドを使用します。

authentication violation{ protect| replace| restrict| shutdown }

no authentication violation{ protect| replace| restrict| shutdown }

構文の説明

protect

予期しない着信 MAC アドレスをドロップします。 syslog エラーは生成されません。

replace

現在のセッションを削除し、新しいホストによる認証を開始します。

restrict

違反エラーの発生時に Syslog エラーを生成します。

shutdown

エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。

コマンド デフォルト

authentication violation shutdown モードがイネーブルにされています。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

ポート上でセキュリティ違反が発生したときに実行するアクションを指定するには、authentication violation コマンドを使用します。

次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation shutdown

次の例では、新しいデバイスがポートに接続する場合に、システム エラー メッセージを生成して、ポートを制限モードに変更するように 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation restrict

次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation protect

次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデバイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation replace

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

cisp enable

スイッチ上で Client Information Signalling Protocol(CISP)をイネーブルにして、サプリカント スイッチのオーセンティケータとして機能するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。

cisp enable

no cisp enable

構文の説明

このコマンドには、引数またはキーワードはありません。

コマンド デフォルト

デフォルト設定はありません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

オーセンティケータとサプリカント スイッチの間のリンクはトランクです。 両方のスイッチで VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要があります。

VTP モードを設定する場合に MD5 チェックサムの不一致エラーにならないようにするために、次の点を確認してください。

  • VLAN が異なる 2 台のスイッチに設定されていないこと。同じドメインに VTP サーバが 2 台存在することがこの状態の原因になることがあります。
  • 両方のスイッチで、設定のリビジョン番号が異なっていること。

次の例では、CISP をイネーブルにする方法を示します。


Switch(config)# cisp enable 

関連コマンド

コマンド

説明

dot1x credentialsprofile

プロファイルをサプリカント スイッチに設定します。

dot1x supplicant force-multicast

802.1X サプリカントがマルチキャスト パケットを送信するように強制します。

dot1x supplicant controlled transient

802.1X サプリカントによる制御アクセスを設定します。

show cisp

指定されたインターフェイスの CISP 情報を表示します。

clear errdisable interface vlan

errdisable の VLAN を再びイネーブルにするには、スイッチ上で clear errdisable interface 特権 EXEC コマンドを使用します。

clear errdisable interface interface-id vlan [ vlan-list]

構文の説明

interface-id

インターフェイスを指定します。

vlan list

(任意)再びイネーブルにする VLAN のリストを指定します。 VLAN リストを指定しない場合は、すべての VLAN が再びイネーブルになります。

コマンド デフォルト

デフォルトは定義されていません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、clear errdisable インターフェイス コマンドを使用して VLAN の errdisable をクリアできます。

次の例では、ギガビット イーサネット ポート 4/0/2 で errdisable になっているすべての VLAN を再びイネーブルにする方法を示します。

Switch# clear errdisable interface gigabitethernet4/0/2 vlan

関連コマンド

コマンド

説明

errdisable detect cause

特定の原因、またはすべての原因に対して errdisable 検出をイネーブルにします。

errdisable recovery

回復メカニズム変数を設定します。

show errdisable detect

errdisable 検出ステータスを表示します。

show errdisable recovery

errdisable 回復タイマーの情報を表示します。

show interfaces status err-disabled

errdisable ステートになっているインターフェイスのリストのインターフェイス ステータスを表示します。

clear mac address-table

特定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、スタック メンバ上のすべてのダイナミック アドレス、または特定の VLAN 上のすべてのダイナミック アドレスを MAC アドレス テーブルから削除するには、clear mac-address-table コマンドを特権 EXEC モードで使用します。 このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id] | move update | notification}

構文の説明

dynamic

すべてのダイナミック MAC アドレスを削除します。

address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

interface interface-id

(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。

vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。 指定できる範囲は 1 ~ 4094 です。

move update

MAC アドレス テーブルの move-update カウンタをクリアします。

notification

履歴テーブルの通知をクリアし、カウンタをリセットします。

コマンド デフォルト

デフォルトは定義されていません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。

次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。


Switch# clear mac address-table dynamic address 0008.0070.0007

関連コマンド

コマンド

説明

mac address-table notification

MAC アドレス通知機能をイネーブルにします。

mac address-table move update {receive | transmit}

スイッチ上の MAC アドレス テーブル移行更新を設定します。

show mac address-table

MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。

show mac address-table move update

スイッチに MAC アドレス テーブル移行更新情報を表示します。

show mac address-table notification

interface キーワードが追加されると、すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。

snmp trap mac-notification change

特定のインターフェイスの SNMP MAC アドレス通知トラップをイネーブルにします。

deny(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されるのを防止するには、スイッチ スタックまたはスタンドアロン スイッチ上で deny MAC アクセスリスト コンフィギュレーション コマンドを使用します。 名前付き MAC アクセス リストから拒否条件を削除するには、このコマンドの no 形式を使用します。

deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

no deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

構文の説明

any

すべての送信元または宛先 MAC アドレスを拒否します。

host src-MAC-addr | src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを定義します。 パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを定義します。 パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの Ethertype 番号と、Ethernet II または SNAP カプセル化を指定して、パケットのプロトコルを識別します。

type には、0 ~ 65535 の 16 進数を指定できます。

mask は、一致をテストする前に Ethertype に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を指定します。

amber

(任意)EtherType DEC-Amber を指定します。

appletalk

(任意)EtherType AppleTalk/EtherTalk を指定します。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを指定します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを指定します。

diagnostic

(任意)EtherType DEC-Diagnostic を指定します。

dsm

(任意)EtherType DEC-DSM を指定します。

etype-6000

(任意)EtherType 0x6000 を指定します。

etype-8042

(任意)EtherType 0x8042 を指定します。

lat

(任意)EtherType DEC-LAT を指定します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を指定します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを指定します。

mask は、一致をテストする前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を指定します。

mop-dump

(任意)EtherType DEC-MOP Dump を指定します。

msdos

(任意)EtherType DEC-MSDOS を指定します。

mumps

(任意)EtherType DEC-MUMPS を指定します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を指定します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)Echo を指定します。

vines-ip

(任意)EtherType VINES IP を指定します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を指定します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までのサービス クラス(CoS)値を指定します。 CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

コマンド デフォルト

このコマンドには、デフォルトはありません。 ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

コマンド モード

MAC アクセス リスト コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

MAC アクセス リスト コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。

host キーワードを使用した場合、アドレス マスクは入力できません。host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。 つまり、一致がない場合にはパケットは拒否されます。 ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、type mask または lsap lsap mask キーワードを使用します。 Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を表に一覧表示します。

表 1 IPX フィルタ基準

IPX カプセル化タイプ

フィルタ基準

Cisco IOS 名

Novel 名

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。 このリストに一致するトラフィックは拒否されます。


Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。


Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.

次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。


Switch(config-ext-macl)# deny any any 0x4321 0

設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

permit

MAC アクセスリスト コンフィギュレーションから許可します。

条件が一致した場合に非 IP トラフィックが転送されるのを許可します。

show access-lists

スイッチに設定されたアクセス コントロール リストを表示します。

device-role(IPv6 スヌーピング)

ポートに接続されているデバイスのロールを指定するには、IPv6 スヌーピング コンフィギュレーション モードで device-role コマンドを使用します。

device-role { node | switch}

構文の説明

node

接続されたデバイスのロールをノードに設定します。

switch

接続されたデバイスのロールをスイッチに設定します。

コマンド デフォルト

デバイスのロールはノードです。

コマンド モード

IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。 デフォルトでは、デバイスのロールはノードです。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。 ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、デバイスをノードとして設定する例を示します。

Switch(config)# ipv6 snooping policy policy1
Switch(config-ipv6-snooping)# device-role node

device-role(IPv6 ND 検査)

ポートに接続されているデバイスのロールを指定するには、ネイバー探索(ND)インスペクション ポリシー コンフィギュレーション モードで device-role コマンドを使用します。

device-role { host | monitor | router | switch}

構文の説明

host

接続されたデバイスのロールをホストに設定します。

monitor

接続されたデバイスのロールをモニタに設定します。

router

接続されたデバイスのロールをルータに設定します。

switch

接続されたデバイスのロールをスイッチに設定します。

コマンド デフォルト

デバイスのロールはホストです。

コマンド モード

ND 検査ポリシー コンフィギュレーション(config-nd-inspection)

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。 デフォルトでは、デバイスのロールはホストであるため、すべての着信ルータ アドバタイズメントとリダイレクト メッセージはブロックされます。 デバイス ロールが router キーワードを使用してイネーブルになっている場合、このポートですべてのメッセージ(ルータ送信要求 [RS]、ルータ アドバタイズメント(RA)、またはリダイレクト)が許可されます。

router または monitor キーワードが使用されている場合、マルチキャストの RS メッセージは制限付きブロードキャストがイネーブルかどうかに関係なく、ポートでブリッジされます。 ただし、monitor キーワードは着信 RA またはリダイレクト メッセージを許可しません。 monitor キーワードを使用すると、これらのメッセージを必要とするデバイスがそれらを受け取ります。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。 ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。

次に、Neighbor Discovery Protocol(NDP)ポリシー名を policy1 と定義し、デバイスを ND インスペクション ポリシー コンフィギュレーション モードにして、デバイスをホストとして設定する例を示します。

Switch(config)#  ipv6 nd inspection policy policy1
Switch(config-nd-inspection)# device-role host

dot1x critical(グローバル コンフィギュレーション)

IEEE 802.1X クリティカル認証パラメータを設定するには、グローバル コンフィギュレーション モードで dot1x critical コマンドを使用します。

dot1x critical eapol

構文の説明

eapol

スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定します。

コマンド デフォルト

eapol はディセーブルです

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

次に、スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するよう指定する例を示します。

Switch(config)# dot1x critical eapol

dot1x pae

Port Access Entity(PAE)タイプを設定するには、インターフェイス コンフィギュレーション モードで dot1x pae コマンドを使用します。 設定された PAE タイプをディセーブルにするには、このコマンドの no 形式を使用します。

dot1x pae { supplicant | authenticator}

no dot1x pae { supplicant | authenticator}

構文の説明

supplicant

インターフェイスはサプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。

authenticator

インターフェイスはオーセンティケータとしてだけ動作し、サプリカント向けのメッセージに応答しません。

コマンド デフォルト

PAE タイプは設定されていません。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

IEEE 802.1x 認証をポート上でディセーブルにする場合は、no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。

dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。 オーセンティケータの PAE 動作は、no dot1x pae インターフェイス コンフィギュレーション コマンドを入力した後でディセーブルになります。

次に、インターフェイスがサプリカントとして動作するように設定されている例を示します。

Switch(config)# interface g1/0/3
Switch(config-if)# dot1x pae supplicant

dot1x supplicant controlled transient

認証中に 802.1x サプリカント ポートへのアクセスを制御するには、グローバル コンフィギュレーション モードで dot1x supplicant controlled transient コマンドを使用します。 認証中にサプリカントのポートを開くには、このコマンドの no 形式を使用します。

dot1x supplicant controlled transient

no dot1x supplicant controlled transient

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

認証中に 802.1x サプリカントのポートへのアクセスが許可されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

デフォルトでは、BPCU ガードがイネーブルにされたオーセンティケータ スイッチにサプリカントのスイッチを接続する場合、オーセンティケータのポートはサプリカント スイッチが認証する前にスパニングツリー プロトコル(STP)のブリッジ プロトコル データ ユニット(BPDU)を受信した場合、errdisable 状態になる可能性があります。 Cisco IOS Release 15.0(1) SE 以降では、認証中にサプリカントのポートから送信されるトラフィックを制御できます。 dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証が完了する前にオーセンティケータ ポートがシャットダウンすることがないように、認証中に一時的にサプリカントのポートをブロックします。 認証に失敗すると、サプリカントのポートが開きます。 no dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証期間中にサプリカント ポートが開きます。 これはデフォルトの動作です。

BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータのスイッチ ポートでイネーブルになっている場合、サプリカント スイッチで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。

次に、認証の間にスイッチの 802.1x サプリカントのポートへのアクセスを制御する例を示します。

Switch(config)# dot1x supplicant controlled transient

dot1x supplicant force-multicast

マルチキャストまたはユニキャストの Extensible Authentication Protocol over LAN(EAPOL)パケットを受信した場合、常にサプリカント スイッチにマルチキャスト EAPOL だけを送信させるようにするには、dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x supplicant force-multicast

no dot1x supplicant force-multicast

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

サプリカント スイッチは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パケットを送信します。 同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケットを送信します。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。

次の例では、サプリカント スイッチがオーセンティケータ スイッチにマルチキャスト EAPOL パケットを送信するように設定する方法を示します。


Switch(config)# dot1x supplicant force-multicast

関連コマンド

コマンド

説明

cisp enable

スイッチの Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにします。

dot1x credentials

ポートに 802.1x サプリカント資格情報を設定します。

dot1x pae supplicant

インターフェイスがサプリカントとしてだけ機能するように設定します。

dot1x test eapol-capable

すべてのスイッチ ポート上の IEEE 802.1x のアクティビティをモニタリングして、IEEE 802.1x をサポートするポートに接続しているデバイスの情報を表示するには、dot1x test eapol-capable 特権 EXEC コマンドを使用します。

dot1x test eapol-capable [ interface interface-id]

構文の説明

interface interface-id

(任意)クエリー対象のポートです。

コマンド デフォルト

デフォルト設定はありません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

スイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。

このコマンドには、no 形式はありません。

次の例では、スイッチ上で IEEE 802.1x の準備チェックをイネーブルにして、ポートに対してクエリーを実行する方法を示します。 また、ポートに接続しているデバイスを確認するためのクエリーの実行対象ポートから受信した応答が IEEE 802.1x 対応であることを示します。


Switch# dot1x test eapol-capable interface gigabitethernet1/0/13 

DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable

関連コマンド

コマンド

説明

dot1x test timeout timeout

IEEE 802.1x 準備クエリーに対する EAPOL 応答を待機するために使用されるタイムアウトを設定します。

dot1x test timeout

EEE 802.1x 準備状態を照会しているポートからの EAPOL 応答の待機に使用されるタイムアウトを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。

dot1x test timeout timeout

構文の説明

timeout

EAPOL 応答を待機する時間(秒)。 指定できる範囲は 1 ~ 65535 秒です。

コマンド デフォルト

デフォルト設定は 10 秒です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

EAPOL 応答を待機するために使用されるタイムアウトを設定するには、このコマンドを使用します。

このコマンドには、no 形式はありません。

次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。


Switch# dot1x test timeout 27

タイムアウト設定のステータスを確認するには、show run 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

dot1x test eapol-capable [interface interface-id]

すべての、または指定された IEEE 802.1x 対応ポートに接続するデバイスで IEEE 802.1x の準備が整っているかを確認します。

dot1x timeout

再試行タイムアウトの値を設定するには、グローバル コンフィギュレーション モードまたはインターフェイス コンフィギュレーション モードで dot1x timeout コマンドを使用します。 再試行タイムアウトのデフォルト値に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds | ratelimit-period seconds | server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds}

構文の説明

auth-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

指定できる範囲は 1 ~ 65535 です。 デフォルトは 30 です。

held-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

指定できる範囲は 1 ~ 65535 です。 デフォルト値は 60 です。

quiet-period seconds

認証情報の交換に失敗したあと、クライアントの再認証を試みるまでにオーセンティケータ(サーバ)が待機状態(HELD 状態)を続ける秒数を設定します。

指定できる範囲は 1 ~ 65535 です。 デフォルト値は 60 です。

ratelimit-period seconds

動作の不正なクライアント PC(たとえば、スイッチ処理電力の無駄につながる、EAP-START パケットを送信する PC)から送信される EAP-START パケットを抑制します。

  • オーセンティケータはレート制限時間中、認証に成功したクライアントからの EAPOL-Start パケットを無視します。
  • 指定できる範囲は 1 ~ 65535 です。 デフォルトでは、レート制限はディセーブルになっています。
server-timeout seconds

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

  • 指定できる範囲は 1 ~ 65535 です。 デフォルトは 30 です。

サーバが指定時間内に 802.1X パケットへの応答を送信しない場合、パケットは再度送信されます。

start-period seconds

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

指定できる範囲は 1 ~ 65535 です。 デフォルトは 30 です。

supp-timeout seconds

EAP 要求 ID 以外のすべての EAP メッセージについて、オーセンティケータからホストへの再送信時間を設定します。

指定できる範囲は 1 ~ 65535 です。 デフォルトは 30 です。

tx-period seconds

クライアントに EAP 要求 ID パケットを再送信する間隔を(応答が受信されないものと仮定して)秒数で設定します。

  • 指定できる範囲は 1 ~ 65535 です。 デフォルトは 30 です。
  • 802.1X パケットがサプリカントに送信され、そのサプリカントが再試行期間後に応答しなかった場合、そのパケットは再度送信されます。

コマンド デフォルト

定期的な再認証と定期的なレート制限が行われます。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。 デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。

ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。

次に、さまざまな 802.1X 再送信およびタイムアウト時間が設定されている例を示します。

Switch(config)# configure terminal
Switch(config)# interface g1/0/3
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x timeout auth-period 2000
Switch(config-if)# dot1x timeout held-period 2400
Switch(config-if)# dot1x timeout quiet-period 600
Switch(config-if)# dot1x timeout start-period 90
Switch(config-if)# dot1x timeout supp-timeout 300
Switch(config-if)# dot1x timeout tx-period 60
Switch(config-if)# dot1x timeout server-timeout 60

epm access-control open

アクセス コントロール リスト(ACL)が設定されていないポートにオープン ディレクティブを設定するには、グローバル コンフィギュレーション モードで epm access-control open コマンドを使用します。 オープン ディレクティブをディセーブルにするには、このコマンドの no 形式を使用します。

epm access-control open

no epm access-control open

構文の説明

このコマンドには、引数またはキーワードはありません。

コマンド デフォルト

デフォルトのディレクティブが適用されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

スタティック ACL が設定されたアクセス ポートに、認可ポリシーのないホストを許可するオープン ディレクティブを設定するには、このコマンドを使用します。 このコマンドを設定しない場合、ポートは設定された ACL のポリシーをトラフィックに適用します。 ポートにスタティック ACL が設定されていない場合、デフォルトおよびオープンの両方のディレクティブがポートへのアクセスを許可します。

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

次の例では、オープン ディレクティブを設定する方法を示します。


Switch(config)# epm access-control open

関連コマンド

コマンド

説明

show running-config

現在実行されているコンフィギュレーション ファイルの内容を表示します

ip admission

Web 認証をイネーブルにするには、ip admission コンフィギュレーション コマンドを使用します。 このコマンドは、fallback-profile モードでも使用できます。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ip admission rule

no ip admission rule

構文の説明

rule

IP アドミッション ルールの名前。

コマンド デフォルト

Web 認証はディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

フォールバック プロファイル モード

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

ip admission コマンドにより、スイッチ ポートに Web 認証ルールが適用されます。

次の例では、スイッチ ポートに Web 認証ルールを適用する方法を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip admission rule1

次の例では、IEEE 802.1x 対応のスイッチ ポートで使用するフォールバック プロファイルに Web 認証ルールを適用する方法を示します。

Switch# configure terminal
Switch(config)# fallback profile profile1
Switch(config-fallback-profile)# ip admission rule1

ip admission name

Web 認証をイネーブルにするには、グローバル コンフィギュレーション モードで ip admission name コマンドを使用します。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ip admission name name { consent | proxy http} [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]

no ip admission name name { consent | proxy http} [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]

構文の説明

name

ネットワーク アドミッション制御ルールの名前。

consent

admission-name 引数を使用して、認証プロキシ コンテンツの Web ページを指定された IP アドミッション ルールに関連付けます。

proxy http

Web 認証のカスタム ページを設定します。

absolute-timer minutes

(任意)外部サーバがタイム アウトするまでの経過時間(分)。

inactivity-time minutes

(任意)外部ファイル サーバが到達不能であると見なされるまでの経過時間(分)。

list (任意)指定されたルールをアクセス コントロール リスト(ACL)に関連付けます。
acl

標準、拡張リストを指定のアドミッション制御ルールに適用します。 値の範囲は 1~199、または拡張範囲で 1300 から 2699 です。

acl-name

名前付きのアクセス リストを指定のアドミッション制御ルールに適用します。

service-policy type tag

(任意)コントロール プレーン サービス ポリシーを設定できます。

service-policy-name

policy-map type control tagpolicyname コマンド、キーワード、および引数を使用して設定されたコントロール プレーン タグのサービス ポリシー。 このポリシー マップは、タグを受信したときのホストでの処理を適用するために使用されます。

コマンド デフォルト

Web 認証はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

ip admission name コマンドにより、Web 認証がスイッチ上でグローバルにイネーブルになります。

スイッチ上で Web 認証をグローバルにイネーブルにしてから、ip access-group in および ip admission web-rule インターフェイス コンフィギュレーション コマンドを使用して、特定のインターフェイス上で Web 認証をイネーブルにします。

次に、スイッチ ポートで Web 認証のみを設定する例を示します。

Switch# configure terminal
Switch(config) ip admission name http-rule proxy http
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 101 in
Switch(config-if)# ip admission rule
Switch(config-if)# end

次の例では、スイッチ ポートでのフォールバック メカニズムとして、Web 認証とともに IEEE 802.1x 認証を設定する方法を示します。

Switch# configure terminal
Switch(config)# ip admission name rule2 proxy http
Switch(config)# fallback profile profile1
Switch(config)# ip access group 101 in
Switch(config)# ip admission name rule2
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x fallback profile1
Switch(config-if)# end

関連コマンド

コマンド

説明

dot1x fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

fallback profile

Web 認証のフォールバック プロファイルを作成します。

ip admission

ポートで Web 認証をイネーブルにします。

show authentication sessions interface interface detail

Web 認証セッションのステータスに関する情報を表示します。

show ip admission

NAC のキャッシュされたエントリまたは NAC 設定についての情報を表示します。

ip device tracking maximum

レイヤ 2 ポートで IP ポート セキュリティ バインディングのトラッキングをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip device tracking maximum コマンドを使用します。 信頼できないレイヤ 2 インターフェイスで IP ポート セキュリティをディセーブルにするには、このコマンドの no 形式を使用します。

ip device tracking maximum number

no ip device tracking maximum number

構文の説明

number

ポートの IP デバイス トラッキング テーブルに作成するバインディングの数。 範囲は 1~10 です。

コマンド デフォルト

なし

コマンド モード

インターフェイス コンフィギュレーション モード

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、レイヤ 2 アクセス ポートで IP-MAC フィルタを使用して IP ポート セキュリティをイネーブルにする方法を示します。

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip device tracking
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# switchport mode access 
Switch(config-if)# switchport access vlan 1
Switch(config-if)# ip device tracking maximum 5
Switch(config-if)# switchport port-security 
Switch(config-if)# switchport port-security maximum 5
Switch(config-if)# end 

ip device tracking probe

Address Resolution Protocol(ARP)プローブの IP デバイス トラッキング テーブルを設定するには、グローバル コンフィギュレーション モードで ip device tracking probe コマンドを使用します。 ARP インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。

ip device tracking probe { count number | delay seconds | interval seconds | use-svi address }

no ip device tracking probe { count number | delay seconds | interval seconds | use-svi address }

構文の説明

count number

が ARP プローブを送信する回数を設定します。 範囲は 1 ~ 255 です。

delay seconds

が ARP プローブを送信するまで待機する秒数を設定します。 範囲は 1 ~ 120 です。

intervalseconds

が応答を待ち、ARP プローブを再送信するまでの秒数を設定します。 指定できる範囲は 30 ~ 1814400 秒です。

use-svi

仮想インターフェイス(SVI)IP アドレスを ARP プローブのソースとして使用します。

コマンド デフォルト

カウント番号は 3 です。

遅延はありません。

30 秒間隔です。

ARP プローブのデフォルト ソース IP アドレスはレイヤ 3 インターフェイスで、スイッチポートでは 0.0.0.0 です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

スイッチ ポートのデフォルト ソース IP アドレス 0.0.0.0 が使用され、ARP プローブがドロップする場合に、IP デバイス トラッキング テーブルが SVI IP アドレスを ARP プローブに使用するように設定するには、use-svi キーワードを使用します。

次の例では、SVI を ARP プローブのソースとして設定する方法を示します。

Switch(config)# ip device tracking probe use-svi

ip dhcp snooping database

ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)のスヌーピング データベースを設定するには、グローバル コンフィギュレーション モードで ip dhcp snooping database コマンドを使用します。 DHCP スヌーピング サーバをディセーブルにするには、このコマンドの no 形式を使用します。

no ip dhcp snooping database [ timeout | write-delay ]

構文の説明

flash:url

flash を使用して、エントリを格納するためのデータベースの URL を指定します。

ftp:url

FTP を使用して、エントリを格納するためのデータベースの URL を指定します。

http:url

HTTP を使用して、エントリを格納するためのデータベースの URL を指定します。

https:url

セキュア HTTP(HTTPS)を使用して、エントリを格納するためのデータベースの URL を指定します。

rcp:url

リモート コピー(RCP)を使用して、エントリを格納するためのデータベースの URL を指定します。

scp:url

セキュア コピー(SCP)を使用して、エントリを格納するためのデータベースの URL を指定します。

tftp:url

TFTP を使用して、エントリを格納するためのデータベースの URL を指定します。

timeout seconds

中断タイムアウト インターバルを指定します。有効値は 0 ~ 86,400 秒です。

write-delay seconds

ローカル DHCP スヌーピング データベースにデータが追加されてから、DHCP スヌーピング エントリを外部サーバに書き込みするまでの時間を指定します。有効値は 15 ~ 86,400 秒です。

コマンド デフォルト

DHCP スヌーピング データベースは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

このコマンドを入力する前に、インターフェイス上で DHCP スヌーピングをイネーブルにする必要があります。 DHCP スヌーピングをイネーブルにするには、ip dhcp snooping コマンドを使用します。

次に、TFTP を使用してデータベースの URL を指定する例を示します。

Switch(config)#  ip dhcp snooping database tftp://10.90.90.90/snooping-rp2

次に、DHCP スヌーピング エントリを外部サーバに書き込むまでの時間を指定する例を示します。

Switch(config)#  ip dhcp snooping database write-delay 15

ip dhcp snooping information option format remote-id

オプション 82 リモート ID サブ オプションを設定するには、スイッチで ip dhcp snooping information option format remote-id グローバル コンフィギュレーション コマンドを使用します。 デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping information option format remote-id { hostname | string string}

no ip dhcp snooping information option format remote-id { hostname | string string}

構文の説明

hostname

スイッチのホスト名をリモート ID として指定します。

string string

1 ~ 63 の ASCII 文字(スペースなし)を使用して、リモート ID を指定します。

コマンド デフォルト

スイッチの MAC アドレスは、リモート ID です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

DHCP スヌーピング設定を有効にするには、ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの MAC アドレスです。 このコマンドを使用すると、スイッチのホスト名または 63 個の ASCII 文字列(スペースなし)のいずれかをリモート ID として設定できます。


(注)  


ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。


次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。

Switch(config)# ip dhcp snooping information option format remote-id hostname

ip dhcp snooping verify no-relay-agent-address

DHCP クライアント メッセージのリレー エージェント アドレス(giaddr)が信頼できないポート上のクライアントのハードウェア アドレスに一致することを確認して、DHCP スヌーピング機能をディセーブルにするには、グローバル コンフィギュレーション モードで ip dhcp snooping verify no-relay-agent-address コマンドを使用します。 検証をイネーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping verify no-relay-agent-address

no ip dhcp snooping verify no-relay-agent-address

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

DHCP スヌーピング機能では、信頼できないポート上の DHCP クライアント メッセージのリレー エージェント IP アドレス(giaddr)フィールドが 0 であることを確認します。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

デフォルトでは、DHCP スヌーピング機能では、信頼できないポート上の DHCP クライアント メッセージのリレー エージェントの IP アドレス(giaddr)フィールドが 0 であることを確認します。giaddr フィールドが 0 でない場合、メッセージはドロップされます。 検証をディセーブルにするには、ip dhcp snooping verify no-relay-agent-address コマンドを使用します。 検証を再度イネーブルにするには、no ip dhcp snooping verify no-relay-agent-address コマンドを使用します。

次に、DHCP クライアント メッセージの giaddr 検証をイネーブルにする例を示します。

Switch(config)# no ip dhcp snooping verify no-relay-agent-address

ip source binding

スタティック IP ソース バインディング エントリを追加するには、ip source binding コマンドを使用します。 スタティック IP ソース バインディング エントリを削除するには、このコマンドの no 形式を使用します。

ip source binding mac-address vlan vlan-id ip-address interface interface-id

no ip source binding mac-address vlan vlan-id ip-address interface interface-id

構文の説明

mac-address

バインディング対象 MAC アドレスです。

vlan vlan-id

レイヤ 2 VLAN ID を指定します。有効な値は 1~4094 です。

ip-address

バインディング対象 IP アドレスです。

interface interface-id

物理インターフェイスの ID です。

コマンド デフォルト

IP 送信元バインディングは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

このコマンドは、スタティック IP ソース バインディング エントリだけを追加するために使用できます。

no 形式は、対応する IP ソース バインディング エントリを削除します。 削除が正常に実行されるためには、すべての必須パラメータが正確に一致しなければなりません。 各スタティック IP バインディング エントリは MAC アドレスと VLAN 番号がキーであることに注意してください。 コマンドに既存の MAC アドレスと VLAN 番号が含まれる場合、別のバインディング エントリが作成される代わりに既存のバインディング エントリが新しいパラメータで更新されます。

次の例では、スタティック IP ソース バインディング エントリを追加する方法を示します。

Switch# configure terminal
Switchconfig) ip source binding 0100.0230.0002 vlan 11 10.0.0.4 interface gigabitethernet1/0/1

ip verify source

インターフェイス上の IP ソース ガードをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip verify source コマンドを使用します。 IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。

ip verify source [ port-security] [ smartlog]

no ip verify source

構文の説明

port-security

(任意)IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにします。

port-security キーワードを入力しない場合、IP アドレス フィルタリングによる IP ソース ガードがイネーブルになります。

smartlog

(任意)インターフェイスの IP ソース ガード スマート ロギングをイネーブルにします。

コマンド デフォルト

IP 送信元ガードはディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

送信元 IP アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source インターフェイス コンフィギュレーション コマンドを使用します。

送信元 IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source port-security インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイス上で IP ソース ガード スマート ログインがイネーブルになっている場合、拒否されたパケットの内容が Flexible NetFlow コレクタに送られます。

次の例では、送信元 IP アドレス フィルタリングによる IP ソース ガードをインターフェイス上でイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip verify source

次の例では、送信元 IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip verify source port-security

次に、インターフェイスの IP ソース ガード スマート ロギングをイネーブルにする例を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip verify source smartlog

設定を確認するには、show ip verify source 特権 EXEC コマンドを入力します。

ipv6 snooping policy

IPv6 スヌーピング ポリシーを設定し、IPv6 スヌーピング コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ipv6 snooping policy コマンドを使用します。 IPv6 スヌーピング ポリシーを削除するには、このコマンドの no 形式を使用します。

ipv6 snooping policy snooping-policy

no ipv6 snooping policy snooping-policy

構文の説明

snooping-policy

スヌーピング ポリシーのユーザ定義名。 ポリシー名には象徴的な文字列(Engineering など)または整数(0 など)を使用できます。

コマンド デフォルト

IPv6 スヌーピング ポリシーは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

IPv6 スヌーピング ポリシーを作成するには、ipv6 snooping policy コマンドを使用します。 ipv6 snooping policy コマンドがイネーブルの場合、コンフィギュレーション モードが IPv6 スヌーピング コンフィギュレーション モードに変更されます。 このモードでは、管理者が次の IPv6 ファーストホップ セキュリティ コマンドを設定できます。
  • device-role コマンドは、ポートに接続されているデバイスのロールを指定します。
  • limit address-count maximum コマンドはポートで使用できる IPv6 アドレスの数を制限します。
  • protocol コマンドは、アドレスをダイナミック ホスト コンフィギュレーション プロトコル(DHCP)またはネイバー探索プロトコル(NDP)で収集する必要があることを指定します。
  • security-level コマンドは適用されるセキュリティのレベルを指定します。
  • tracking コマンドは、ポートのデフォルトのトラッキング ポリシーを上書きします。
  • trusted-port コマンドは、あるポートを信頼できるポートとして設定します。つまり、メッセージが受信されると検証は限定的に実行されるか、まったく実行されません。

次に、IPv6 スヌーピング ポリシーを設定する例を示します。

Switch(config)# ipv6 snooping policy policy1
Switch(config-ipv6-snooping)# 

limit address-count

ポートで使用できる IPv6 アドレスの数を制限するには、ネイバー探索プロトコル(NDP)インスペクション ポリシー コンフィギュレーション モードまたは IPv6 スヌーピング コンフィギュレーション モードで limit address-count コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。

limit address-count maximum

no limit address-count

構文の説明

maximum

ポートで許可されているアドレスの数。 範囲は 1 ~ 10000 です。

コマンド デフォルト

デフォルト設定は無制限です。

コマンド モード

ND 検査ポリシー コンフィギュレーション(config-nd-inspection)

IPv6 スヌーピング コンフィギュレーション(ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

limit address-count コマンドは、ポリシーが適用されているポートで使用できる IPv6 アドレスの数を制限します。 ポート上の IPv6 アドレスの数を制限すると、バインディング テーブル サイズの制限に役立ちます。 範囲は 1 ~ 10000 です。

次に、NDP ポリシー名を policy1 と定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートで使用できる IPv6 アドレスの数を 25 に制限する例を示します。

Switch(config)# ipv6 nd inspection policy policy1
Switch(config-nd-inspection)# limit address-count 25

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートで使用できる IPv6 アドレスの数を 25 に制限する例を示します。

Switch(config)# ipv6 snooping policy policy1
Switch(config-ipv6-snooping)# limit address-count 25

mab request format attribute 32

スイッチ上で VLAN ID ベースの MAC 認証をイネーブルにするには、mab request format attribute 32 vlan access-vlan グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mab request format attribute 32 vlan access-vlan

no mab request format attribute 32 vlan access-vlan

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

VLAN-ID ベースの MAC 認証はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

RADIUS サーバがホスト MAC アドレスと VLAN に基づいて新しいユーザを認証できるようにするには、このコマンドを使用します。

Microsoft IAS RADIUS サーバを使用したネットワークでこの機能を使用します。 Cisco ACS はこのコマンドを無視します。

次の例では、スイッチで VLAN-ID ベースの MAC 認証をイネーブルにする方法を示します。


Switch(config)# mab request format attribute 32 vlan access-vlan

関連コマンド

コマンド

説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

mab

ポートの MAC-based 認証をイネーブルにします。

mab eap

Extensible Authentication Protocol(EAP)を使用するようポートを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

match(アクセス マップ コンフィギュレーション)

1 つまたは複数のアクセス リストとパケットと照合するように VLAN マップを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上でアクセスマップ コンフィギュレーション モードで match コマンドを使用します。 照合パラメータを削除するには、このコマンドの no 形式を使用します。

match { ip address { name | number } [ name | number ] [ name | number ] ... | mac address { name } [ name ] [ name ] ... }

no match { ip address { name | number } [ name | number ] [ name | number ] ... | mac address { name } [ name ] [ name ] ... }

構文の説明

ip address

パケットを IP アドレス アクセス リストと照合するようにアクセス マップを設定します。

mac address

パケットを MAC アドレス アクセス リストと照合するようにアクセス マップを設定します。

name

パケットを照合するアクセス リストの名前です。

number

パケットを照合するアクセス リストの番号です。 このオプションは、MAC アクセス リストに対しては無効です。

コマンド デフォルト

デフォルトのアクションでは、一致パラメータは VLAN マップに適用されません。

コマンド モード

アクセス マップ コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

vlan access-map グローバル コンフィギュレーション コマンドを使用して、アクセス マップ コンフィギュレーション モードを開始します。

1 つのアクセス リストの名前または番号を入力する必要があります。その他は任意です。 パケットは、1 つまたは複数のアクセス リストに対して照合できます。 いずれかのリストに一致すると、エントリの一致としてカウントされます。

アクセス マップ コンフィギュレーション モードでは、match コマンドを使用して、VLAN に適用される VLAN マップの一致条件を定義できます。 action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。

パケットは、同じプロトコル タイプのアクセス リストに対してだけ照合されます。IP パケットは、IP アクセス リストに対して照合され、その他のパケットはすべて MAC アクセス リストに対して照合されます。

同じマップ エントリに、IP アドレスと MAC アドレスの両方を指定できます。

次の例では、VLAN アクセス マップ vmap4 を定義して VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップでは、パケットがアクセス リスト al2 に定義された条件に一致すると、インターフェイスは IP パケットをドロップします。

Switch(config)# vlan access-map vmap4
Switch(config-access-map)# match ip address al2
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# vlan filter vmap4 vlan-list 5-6

設定を確認するには、show vlan access-map 特権 EXEC コマンドを入力します。

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no authentication logging verbose グローバル コンフィギュレーション コマンドを使用します。

no authentication logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

すべての詳細情報はシステム メッセージに表示されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、認証システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 失敗メッセージはフィルタリングされません。

verbose 認証システム メッセージをフィルタリングするには、次の手順に従います。


Switch(config)# no authentication logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no dot1x logging verbose グローバル コンフィギュレーション コマンドを使用します。

no dot1x logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

すべての詳細情報はシステム メッセージに表示されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、802.1x システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 失敗メッセージはフィルタリングされません。

verbose 802.1x システム メッセージをフィルタリングするには、次の手順に従います。


Switch(config)# no dot1x logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)のシステム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no mab logging verbose グローバル コンフィギュレーション コマンドを使用します。

no mab logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

すべての詳細情報はシステム メッセージに表示されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、MAC 認証バイパス(MAB)システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 失敗メッセージはフィルタリングされません。

verbose MAB システム メッセージをフィルタリングするには、次の手順に従います。


Switch(config)# no mab logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

permit(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されるのを許可するには、スイッチ スタックまたはスタンドアロン スイッチ上で permit MAC アクセスリスト コンフィギュレーション コマンドを使用します。 拡張 MAC アクセス リストから許可条件を削除するには、このコマンドの no 形式を使用します。

{ permit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

nopermit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

構文の説明

any

すべての送信元または宛先 MAC アドレスを拒否します。

host src-MAC-addr | src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを指定します。 パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを指定します。 パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの Ethertype 番号と、Ethernet II または SNAP カプセル化を指定して、パケットのプロトコルを識別します。

  • type には、0 ~ 65535 の 16 進数を指定できます。
  • mask は、一致をテストする前に Ethertype に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を指定します。

amber

(任意)EtherType DEC-Amber を指定します。

appletalk

(任意)EtherType AppleTalk/EtherTalk を指定します。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを指定します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを指定します。

diagnostic

(任意)EtherType DEC-Diagnostic を指定します。

dsm

(任意)EtherType DEC-DSM を指定します。

etype-6000

(任意)EtherType 0x6000 を指定します。

etype-8042

(任意)EtherType 0x8042 を指定します。

lat

(任意)EtherType DEC-LAT を指定します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を指定します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを指定します。

mask は、一致をテストする前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を指定します。

mop-dump

(任意)EtherType DEC-MOP Dump を指定します。

msdos

(任意)EtherType DEC-MSDOS を指定します。

mumps

(任意)EtherType DEC-MUMPS を指定します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を指定します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)Echo を指定します。

vines-ip

(任意)EtherType VINES IP を指定します。

xns-idp

(任意)EtherType Xerox Network Systems(XNS)プロトコル スイートを指定します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までの任意の Class of Service(CoS)値を指定します。 CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

コマンド デフォルト

このコマンドには、デフォルトはありません。 ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

コマンド モード

MAC アクセス リスト コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。

MAC アクセス リスト コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。

host キーワードを使用した場合、アドレス マスクは入力できません。any キーワードまたは host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加されると、リストの最後には暗黙の deny-any-any 条件が存在します。 つまり、一致がない場合にはパケットは拒否されます。 ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、type mask または lsap lsap mask キーワードを使用します。 Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を、次の表に一覧表示します。

表 2 IPX フィルタ基準

IPX カプセル化タイプ

フィルタ基準

Cisco IOS 名

Novell 名

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを許可する名前付き MAC 拡張アクセス リストを定義する方法を示します。 このリストに一致するトラフィックは許可されます。


Switch(config-ext-macl)# permit any host 00c0.00a0.03fa netbios

次の例では、名前付き MAC 拡張アクセス リストから許可条件を削除する方法を示します。


Switch(config-ext-macl)# no permit any 00c0.00a0.03fa 0000.0000.0000 netbios

次の例では、Ethertype 0x4321 のすべてのパケットを許可します。


Switch(config-ext-macl)# permit any any 0x4321 0

設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

deny

MAC アクセスリスト コンフィギュレーションを拒否します。 条件が一致した場合に非 IP トラフィックが転送されるのを拒否します。

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

show access-lists

スイッチに設定されたアクセス コントロール リストを表示します。

protocol(IPv6 スヌーピング)

アドレスをダイナミック ホスト コンフィギュレーション プロトコル(DHCP)またはネイバー探索プロトコル(NDP)で収集する必要があることを指定するか、プロトコルを IPv6 プレフィックス リストに関連付けるには、protocol コマンドを使用します。 DHCP または NDP によるアドレス収集をディセーブルにするには、このコマンドの no 形式を使用します。

protocol { dhcp | ndp}

no protocol { dhcp | ndp}

構文の説明

dhcp

アドレスをダイナミック ホスト コンフィギュレーション プロトコル(DHCP)パケットで収集する必要があることを指定します。

ndp

アドレスをネイバー探索プロトコル(NDP)パケットで収集する必要があることを指定します。

コマンド デフォルト

スヌーピングとリカバリは DHCP および NDP の両方を使用して試行します。

コマンド モード

IPv6 スヌーピング コンフィギュレーション モード(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

アドレスが DHCP または NDP に関連付けられたプレフィックス リストと一致しない場合は、制御パケットがドロップされ、バインディング テーブル エントリのリカバリはそのプロトコルに対しては試行されません。

  • no protocol {dhcp | ndp} コマンドを使用すると、プロトコルはスヌーピングまたはグリーニングに使用されません。
  • no protocol dhcp コマンドを使用すると、DHCP は依然としてバインディング テーブルのリカバリに使用できます。
  • データ収集は DHCP および NDP でリカバリできますが、宛先ガードは DHCP によってのみリカバリできます。

次に、IPv6 スヌーピングポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、アドレスの収集に DHCP を使用するようにポートを設定する例を示します。

Switch(config)# ipv6 snooping policy policy1
Switch(config-ipv6-snooping)# protocol dhcp

security level(IPv6 スヌーピング)

適用されるセキュリティのレベルを指定するには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで security-level コマンドを使用します。

security level { glean | guard | inspect}

構文の説明

glean

アドレスをメッセージから抽出し、検証を行わずにそれらをバインディング テーブルにインストールします。

guard

収集と検査の両方を実行します。 さらに、信頼できるポートで受信されていない場合、または別のポリシーによって許可されていない場合、RA メッセージおよび DHCP サーバ メッセージは拒否されます。

inspect

メッセージの一貫性と準拠度を検証します。特に、アドレス所有権が強制されます。 無効なメッセージはドロップされます。

コマンド デフォルト

デフォルトのセキュリティ レベルは guard です。

コマンド モード

IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、セキュリティ レベルを inspect として設定する例を示します。

Switch(config)# ipv6 snooping policy policy1
Switch(config-ipv6-snooping)# security-level inspect

show aaa acct-stop-cache

改竄されたセッションのアカウンティング セッション ID を表示するには、show aaa acct-stop-cache コマンドを使用します。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

改竄されたセッションのアカウンティング終了レコードはスタンバイ スイッチにのみキャッシュされます。

次の例では、show aaa acct-stop-cache コマンドの出力を示します。

Switch# show aaa acct-stop-cache



show aaa clients

AAA クライアントの統計情報を表示するには、show aaa clients コマンドを使用します。

show aaa clients [ detailed]

構文の説明

detailed

(任意)詳細な AAA クライアントの統計情報を示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show aaa clients コマンドの出力を示します。

Switch# show aaa clients

Dropped request packets: 0

show aaa command handler

コマンド ハンドラの統計情報を表示するには、show aaa command handler コマンドを使用します。

show aaa command handler

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show aaa command handler コマンドの出力を示します。

Switch# show aaa command handler

AAA Command Handler Statistics:
    account-logon: 0, account-logoff: 0
    account-query: 0, pod: 0
    service-logon: 0, service-logoff: 0
    user-profile-push: 0, session-state-log: 0
    reauthenticate: 0, bounce-host-port: 0
    disable-host-port: 0, update-rbacl: 0
    update-sgt: 0, update-cts-policies: 0
    invalid commands: 0
    async message not sent: 0

show aaa local

AAA ローカル方式オプションを表示するには、show aaa local コマンドを使用します。

show aaa local { netuser { name | all } | statistics | user lockout}

構文の説明

netuser

AAA ローカル ネットワークまたはゲスト ユーザ データベースを指定します。

name

ネットワーク ユーザ名。

all

ネットワークおよびゲスト ユーザ情報を指定します。

statistics

ローカル認証の統計情報を表示します。

user lockout

AAA ローカルのロックアウトされたユーザを指定します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show aaa local statistics コマンドの出力を示します。

Switch# show aaa local statistics

Local EAP statistics

EAP Method         Success       Fail
-------------------------------------
Unknown                  0          0
EAP-MD5                  0          0
EAP-GTC                  0          0
LEAP                     0          0
PEAP                     0          0
EAP-TLS                  0          0
EAP-MSCHAPV2             0          0
EAP-FAST                 0          0

Requests received from AAA:                  0
Responses returned from EAP:                 0
Requests dropped (no EAP AVP):               0
Requests dropped (other reasons):            0
Authentication timeouts from EAP:            0

Credential request statistics
Requests sent to backend:                    0
Requests failed (unable to send):            0
Authorization results received

  Success:                                   0
  Fail:                                      0

show aaa servers

AAA サーバの MIB によって認識されるすべての AAA サーバを表示するには、show aaa servers コマンドを使用します。

show aaa servers [ private| public| [ detailed] ]

構文の説明

detailed

(任意)AAA サーバの MIB によって認識されるプライベート AAA サーバを表示します。

public

(任意)AAA サーバの MIB によって認識されるパブリック AAA サーバを表示します。

detailed

(任意)詳細な AAA サーバの統計情報を表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show aaa servers コマンドの出力を示します。

Switch# show aaa servers
RADIUS: id 1, priority 1, host 172.20.128.2, auth-port 1645, acct-port 1646
State: current UP, duration 9s, previous duration 0s
Dead: total time 0s, count 0
Quarantined: No
Authen: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Author: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Account: request 0, timeouts 0, failover 0, retransmission 0
Request: start 0, interim 0, stop 0
Response: start 0, interim 0, stop 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Elapsed time since counters last cleared: 0m
Estimated Outstanding Access Transactions: 0
Estimated Outstanding Accounting Transactions: 0
Estimated Throttled Access Transactions: 0
Estimated Throttled Accounting Transactions: 0
Maximum Throttled Transactions: access 0, accounting 0

show aaa sessions

AAA セッション MIB によって認識される AAA セッションを表示するには、show aaa sessions コマンドを使用します。

show aaa sessions

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show aaa sessions コマンドの出力を示します。

Switch# show aaa sessions
Total sessions since last reload: 7
Session Id: 4007
   Unique Id: 4025
   User Name: *not available*
   IP Address: 0.0.0.0
   Idle Time: 0
   CT Call Handle: 0

show authentication sessions

現在の認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。

show authentication sessions [ database] [ handle handle-id [ details] ] [ interface type number [ details] [ mac mac-address [ interface type number] [ method method-name [ interface type number [ details] [ session-id session-id [ details] ]

構文の説明

database

(任意)セッション データベースに格納されているデータだけを示します。

handle handle-id

(任意)認証マネージャ情報を表示する特定のハンドルを指定します。

details

(任意)詳細情報を表示します。

interface type number

(任意)認証マネージャ情報を表示する特定のインターフェイスのタイプと番号を指定します。

mac mac-address

(任意)情報を表示する特定の MAC アドレスを指定します。

method method-name

(任意)認証マネージャ情報を表示する特定の認証方法を指定します。 方式を指定する場合(dot1xmab、または webauth)、インターフェイスも指定できます。

session-id session-id

(任意)認証マネージャ情報を表示する特定のセッションを指定します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

現在のすべての認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。 特定の認証マネージャ セッションに関する情報を表示するには、1 つ以上のキーワードを使用します。

このテーブルは、報告された認証セッションで想定される動作状態を示します。

表 3  認証方式のステート

状態

説明

Not run

このセッションの方式は実行されていません。

Running

このセッションの方式が実行中です。

Failed over

この方式は失敗しました。次の方式が結果を出すことが予期されています。

Success

この方式は、セッションの成功した認証結果を提供しました。

Authc Failed

この方式は、セッションの失敗した認証結果を提供しました。

次の表に、使用できる認証方式を示します。

表 4  認証方式のステート

状態

説明

dot1x

802.1X

mab

MAC 認証バイパス

webauth

Web 認証

次に、スイッチ上のすべての認証セッションを表示する例を示します。

Switch# show authentication sessions 
Interface    MAC Address     Method   Domain   Status         Session ID
Gi1/0/48     0015.63b0.f676  dot1x    DATA     Authz Success  0A3462B1000000102983C05C
Gi1/0/5      000f.23c4.a401  mab      DATA     Authz Success  0A3462B10000000D24F80B58
Gi1/0/5      0014.bf5d.d26d  dot1x    DATA     Authz Success  0A3462B10000000E29811B94

次に、インターフェイス上のすべての認証セッションを表示する例を示します。

Switch# show authentication sessions interface gigabitethernet2/0/47
            Interface:  GigabitEthernet2/0/47
          MAC Address:  Unknown
           IP Address:  Unknown
               Status:  Authz Success
               Domain:  DATA
       Oper host mode:  multi-host
     Oper control dir:  both
        Authorized By:  Guest Vlan
          Vlan Policy:  20
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0A3462C8000000000002763C
      Acct Session ID:  0x00000002
               Handle:  0x25000000
Runnable methods list:
       Method   State
       mab      Failed over
       dot1x    Failed over
----------------------------------------
            Interface:  GigabitEthernet2/0/47
          MAC Address:  0005.5e7c.da05
           IP Address:  Unknown
            User-Name:  00055e7cda05
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0A3462C8000000010002A238
      Acct Session ID:  0x00000003
               Handle:  0x91000001
Runnable methods list:
       Method   State
       mab      Authc Success
       dot1x    Not run

show cisp

指定されたインターフェイスの CISP 情報を表示するには、show cisp 特権 EXEC コマンドを使用します。

show cisp {[ clients | interface interface-id] | registrations | summary}

構文の説明

clients

(任意)CISP クライアントの詳細を表示します。

interface interface-id

(任意)指定されたインターフェイスの CISP 情報を表示します。 有効なインターフェイスには、物理ポートとポート チャネルが含まれます。

registrations

CISP の登録情報を表示します。

summary

(任意)CISP のサマリー情報を表示します。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show cisp interface コマンドの出力を示します。


Switch# show cisp interface fast 0
CISP not enabled on specified interface

次の例では、show cisp registration コマンドの出力を示します。


Switch# show cisp registrations
Interface(s) with CISP registered user(s):
------------------------------------------
Fa1/0/13
Auth Mgr (Authenticator)
Gi2/0/1
Auth Mgr (Authenticator)
Gi2/0/2
Auth Mgr (Authenticator)
Gi2/0/3
Auth Mgr (Authenticator)
Gi2/0/5
Auth Mgr (Authenticator)
Gi2/0/9
Auth Mgr (Authenticator)
Gi2/0/11
Auth Mgr (Authenticator)
Gi2/0/13
Auth Mgr (Authenticator)
Gi3/0/3
Gi3/0/5
Gi3/0/23

関連コマンド

コマンド

説明

cisp enable

Client Information Signalling Protocol(CISP)をイネーブルにします。

dot1x credentials profile

サプリカント スイッチでプロファイルを設定します。

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示するには、show dot1x ユーザ EXEC コマンドを使用します。

show dot1x [ all [ count | details | statistics | summary] ] [ interface type number [ details | statistics] ] [ statistics]

構文の説明

all

(任意)すべてのインターフェイスの IEEE 802.1x 情報を表示します。

count

(任意)許可されたクライアントと無許可のクライアントの総数を表示します。

details

(任意)IEEE 802.1x インターフェイスの詳細を表示します。

statistics

(任意)すべてのインターフェイスの IEEE 802.1x 統計情報を表示します。

summary

(任意)すべてのインターフェイスの IEEE 802.1x サマリー情報を表示します。

interface type number

(任意)指定したポートの IEEE 802.1X ステータスを表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show dot1x all コマンドの出力を示します。

Switch# show dot1x all
Sysauthcontrol              Enabled
Dot1x Protocol Version            3

次の例では、show dot1x all count コマンドの出力を示します。

Switch# show dot1x all count
Number of Dot1x sessions
-------------------------------
Authorized Clients        = 0
UnAuthorized Clients      = 0
Total No of Client        = 0

次の例では、show dot1x all statistics コマンドの出力を示します。

Switch# show dot1x statistics
Dot1x Global Statistics for
--------------------------------------------
RxStart = 0     RxLogoff = 0    RxResp = 0      RxRespID = 0
RxReq = 0       RxInvalid = 0   RxLenErr = 0
RxTotal = 0

TxStart = 0     TxLogoff = 0    TxResp = 0
TxReq = 0       ReTxReq = 0     ReTxReqFail = 0
TxReqID = 0     ReTxReqID = 0   ReTxReqIDFail = 0
TxTotal = 0

show eap pac peer

拡張認証プロトコル(EAP)のセキュア トンネリングを介したフレキシブル認証(FAST)ピアの格納済み Protected Access Credential(PAC)を表示するには、show eap pac peer 特権 EXEC コマンドを使用します。

show eap pac peer

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show eap pac peers 特権 EXEC コマンドの出力を示します。


Switch> show eap pac peers
No PACs stored

関連コマンド

コマンド

説明

clear eap sessions

スイッチまたは指定されたポートの EAP のセッション情報をクリアします。

show ip dhcp snooping statistics

DHCP スヌーピング統計情報をサマリー形式または詳細形式で表示するには、show ip dhcp snooping statistics ユーザ EXEC コマンドを使用します。

show ip dhcp snooping statistics [ detail ]

構文の説明

detail

(任意)詳細な統計情報を表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

スイッチ スタックでは、すべての統計情報がスタック マスターで生成されます。 新しいアクティブ スイッチが選定された場合、統計カウンタはリセットされます。

次の例では、show ip dhcp snooping statistics コマンドの出力を示します。

Switch> show ip dhcp snooping statistics

 Packets Forwarded                                     = 0
 Packets Dropped                                       = 0
 Packets Dropped From untrusted ports                  = 0

次の例では、show ip dhcp snooping statistics detail コマンドの出力を示します。

Switch> show ip dhcp snooping statistics detail

 Packets Processed by DHCP Snooping                    = 0
 Packets Dropped Because
   IDB not known                                       = 0
   Queue full                                          = 0
   Interface is in errdisabled                         = 0
   Rate limit exceeded                                 = 0
   Received on untrusted ports                         = 0
   Nonzero giaddr                                      = 0
   Source mac not equal to chaddr                      = 0
   Binding mismatch                                    = 0
   Insertion of opt82 fail                             = 0
   Interface Down                                      = 0
   Unknown output interface                            = 0
   Reply output port equal to input port               = 0
   Packet denied by platform                           = 0

次の表に、DHCP スヌーピング統計情報およびその説明を示します。

表 5 DHCP スヌーピング統計情報

DHCP スヌーピング統計情報

説明

Packets Processed by DHCP Snooping

転送されたパケットおよびドロップされたパケットも含めて、DHCP スヌーピングによって処理されたパケットの合計数。

Packets Dropped Because IDB not known

パケットの入力インターフェイスを判断できないエラーの数。

Queue full

パケットの処理に使用される内部キューが満杯であるエラーの数。 非常に高いレートで DHCP パケットを受信し、入力ポートでレート制限がイネーブルになっていない場合、このエラーが発生することがあります。

Interface is in errdisabled

errdisable としてマークされたポートでパケットを受信した回数。 これが発生する可能性があるのは、ポートが errdisable ステートである場合にパケットが処理キューに入り、そのパケットが後で処理される場合です。

Rate limit exceeded

ポートで設定されているレート制限を超えて、インターフェイスが errdisable ステートになった回数。

Received on untrusted ports

信頼できないポートで DHCP サーバ パケット(OFFER、ACK、NAK、LEASEQUERY のいずれか)を受信してドロップした回数。

Nonzero giaddr

信頼できないポートで受信した DHCP パケットのリレー エージェント アドレス フィールド(giaddr)がゼロ以外だった回数。または no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを設定しておらず、信頼できないポートで受信したパケットにオプション 82 データが含まれていた回数。

Source mac not equal to chaddr

DHCP パケットのクライアント MAC アドレス フィールド(chaddr)がパケットの送信元 MAC アドレスと一致せず、ip dhcp snooping verify mac-address グローバル コンフィギュレーション コマンドが設定されている回数。

Binding mismatch

MAC アドレスと VLAN のペアのバインディングになっているポートとは異なるポートで、RELEASE パケットまたは DECLINE パケットを受信した回数。 これは、誰かが本来のクライアントをスプーフィングしようとしている可能性があることを示しますが、クライアントがスイッチの別のポートに移動して RELEASE または DECLINE を実行したことを表すこともあります。 MAC アドレスは、イーサネット ヘッダーの送信元 MAC アドレスではなく、DHCP パケットの chaddr フィールドから採用されます。

Insertion of opt82 fail

パケットへのオプション 82 挿入がエラーになった回数。 オプション 82 データを含むパケットがインターネットの単一物理パケットのサイズを超えた場合、挿入はエラーになることがあります。

Interface Down

パケットが DHCP リレー エージェントへの応答であるが、リレー エージェントの SVI インターフェイスがダウンしている回数。 DHCP サーバへのクライアント要求の送信と応答の受信の間で SVI がダウンした場合に発生するエラーですが、めったに発生しません。

Unknown output interface

オプション 82 データまたは MAC アドレス テーブルのルックアップのいずれかで、DHCP 応答パケットの出力インターフェイスを判断できなかった回数。 パケットはドロップされます。 オプション 82 が使用されておらず、クライアント MAC アドレスが期限切れになった場合に発生することがあります。 ポートセキュリティ オプションで IPSG がイネーブルであり、オプション 82 がイネーブルでない場合、クライアントの MAC アドレスは学習されず、応答パケットはドロップされます。

Reply output port equal to input port

DHCP 応答パケットの出力ポートが入力ポートと同じであり、ループの可能性の原因となった回数。 ネットワークの設定の誤り、またはポートの信頼設定の誤用の可能性を示します。

Packet denied by platform

プラットフォーム固有のレジストリによってパケットが拒否された回数。

show radius server-group

RADIUS サーバ グループのプロパティを表示するには、show radius server-group コマンドを使用します。

show radius server-group { name | all}

構文の説明

name

サーバ グループの名前。 サーバ グループの名前の指定に使用する文字列は、aaa group server radius コマンドを使用して定義する必要があります。

all

すべてのサーバ グループのプロパティを表示します。

コマンド モード

ユーザ EXEC

特権 EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

aaa group server radius コマンドで定義したサーバ グループを表示するには、show radius server-group コマンドを使用します。

次の例では、show radius server-group all コマンドの出力を示します。

Switch# show radius server-group all
Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1

次の表で、この出力に表示される重要なフィールドを説明します。

表 6  show radius server-groups コマンドのフィールドの説明

フィールド

説明

Server group

サーバ グループの名前。

Sharecount

このサーバ グループを共有している方式リストの数。 たとえば、1 つの方式リストが特定のサーバ グループを使用する場合、sharecount は 1 です。 2 つの方式リストが同じサーバ グループを使用する場合、sharecount は 2 です。

sg_unconfigured

サーバ グループが設定解除されました。

Type

タイプは、standard または nonstandard のいずれかです。 タイプはグループ内のサーバが非標準の属性を受け入れるかどうかを示します。 グループ内のすべてのサーバに非標準のオプションが設定されている場合、タイプは「nonstandard」と表示されます。

Memlocks

メモリ内にあるサーバ グループ構造の内部参照の数。 この数は、このサーバ グループへの参照を保持している内部データ構造パケットまたはトランザクションがいくつあるかを表します。 Memlocks はメモリ管理のために内部的に使用されます。

show vlan access-map

特定の VLAN アクセスマップまたはすべての VLAN アクセスマップに関する情報を表示するには、特権 EXEC モードで show vlan access-map コマンドを使用します。

show vlan access-map [ map-name ]

構文の説明

map-name

(任意)特定の VLAN アクセス マップ名。

コマンド デフォルト

なし

コマンド モード

特権 EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、show vlan access-map コマンドの出力を示します。

show vlan group

VLAN グループにマッピングされている VLAN を表示するには、特権 EXEC モードで show vlan group コマンドを使用します。

show vlan group [ group-name vlan-group-name [user_count] ]

構文の説明

group-name vlan-group-name

(任意)指定した VLAN グループにマッピングされている VLAN を表示します。

user_count

(任意)特定の VLAN グループにマッピングされている各 VLAN のユーザ数を表示します。

コマンド デフォルト

なし

コマンド モード

特権 EXEC

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

show vlan group コマンドは既存の VLAN グループを表示し、各 VLAN グループのメンバである VLAN および VLAN の範囲を示します。 group-name キーワードを入力すると、指定した VLAN グループのメンバーのみが表示されます。

次の例では、特定の VLAN グループのメンバを表示する方法を示します。

switchport port-security aging static

設定されたセキュア アドレスに対してポート セキュリティ エージングをイネーブルにするには、インターフェイス コンフィギュレーション モードで switchport port-security aging static コマンドを使用します。 エージングをディセーブルにするには、このコマンドの no 形式を使用します。

switchport port-security aging static

no switchport port-security aging static

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

ディセーブル

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

次の例では、設定されたセキュア アドレスに対してポート セキュリティ エージングをイネーブルにする方法を示します。

Switch(config-if)# switchport port-security aging static

tracking(IPv6 スヌーピング)

ポートのデフォルト トラッキング ポリシーを上書きするには、ipv6 スヌーピング ポリシー コンフィギュレーション モードで tracking コマンドを使用します。

tracking { enable [ reachable-lifetime { value | infinite}] | disable [ stale-lifetime { value | infinite}

構文の説明

enable

トラッキングをイネーブルにします。

reachable-lifetime

(任意)到達可能という証明がない状態で、到達可能なエントリが直接的または間接的に到達可能であると判断される最大時間を指定します。

  • reachable-lifetime キーワードは、enable キーワードがあるときのみ使用可能です。
  • reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドで設定されたグローバルな到達可能ライフタイムがオーバーライドされます。
value

秒単位のライフタイム値。 指定できる範囲は 1 ~ 86400 で、デフォルトは 300 です。

infinite

エントリを無限に到達可能状態またはステイル状態に維持します。

disable

トラッキングをディセーブルにします。

stale-lifetime

(任意)時間エントリをステイル状態に維持します。これによりグローバルの stale-lifetime 設定が上書きされます。

  • ステイル ライフタイムは 86,400 秒です。
  • stale-lifetime キーワードは、disable キーワードがあるときのみ使用可能です。
  • stale-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドで設定されたグローバルなステイル ライフタイムがオーバーライドされます。

コマンド デフォルト

時間のエントリは到達可能な状態に維持されます。

コマンド モード

IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

tracking コマンドはこのポリシーが適用されるポートの、ipv6 neighbor tracking コマンドで設定されたデフォルトのトラッキング ポリシーを上書きします。 この機能は、たとえば、エントリを追跡しないが、バインディング テーブルにエントリを残して盗難を防止する場合などに、信頼できるポート上で有用です。

reachable-lifetime キーワードは、到達可能という証明がない状態で、あるエントリがトラッキングにより直接的に、または IPv6 スヌーピングにより間接的に到達可能であると判断される最大時間を示します。 reachable-lifetime 値に到達すると、エントリはステイル状態に移動します。 tracking コマンドとともに reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドで設定されたグローバルな到達可能ライフタイムがオーバーライドされます。

stale-lifetime キーワードはエントリが削除されるか到達可能であると証明される前にテーブルに直接または間接的に保持される最大時間です。 tracking コマンドとともに reachable-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドで設定されたグローバルなステイル ライフタイムがオーバーライドされます。

次に、IPv6 スヌーピングポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、エントリを信頼できるポート上で無限にバインディング テーブルに保存するように設定する例を示します。

Switch(config)# ipv6 snooping policy policy1
Switch(config-ipv6-snooping)# tracking disable stale-lifetime infinite

trusted-port

あるポートを信頼できるポートとして設定するには、IPv6 スヌーピング ポリシー モードまたは ND 検査ポリシー コンフィギュレーション モードで trusted-port コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。

trusted-port

no trusted-port

構文の説明

このコマンドには、引数またはキーワードはありません。

コマンド デフォルト

どのポートも信頼されていません。

コマンド モード

ND 検査ポリシー コンフィギュレーション(config-nd-inspection)

IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

trusted-port コマンドをイネーブルにすると、メッセージがこのポリシーを持つポートで受信された場合、限定的に実行されるか、まったく実行されません。 ただし、アドレス スプーフィングから保護するために、メッセージは伝送するバインディング情報の使用によってバインディング テーブルを維持できるように分析されます。 これらのポートで検出されたバインディングは、信頼できるものとして設定されていないポートから受信したバインディングよりも信頼性が高いものと見なされます。

次に、NDP ポリシー名を policy1 と定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートを信頼するように設定する例を示します。

Switch(config)# ipv6  nd inspection  policy1
Switch(config-nd-inspection)# trusted-port

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートを信頼するように設定する例を示します。

Switch(config)# ipv6 snooping policy policy1
Switch(config-ipv6-snooping)# trusted-port

vlan access-map

VLAN パケット フィルタリング用の VLAN マップ エントリを作成または修正し、VLAN アクセスマップ コンフィギュレーション モードに変更するには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで vlan access-map コマンドを使用します。 VLAN マップ エントリを削除するには、このコマンドの no 形式を使用します。

vlan access-map name [ number ]

no vlan access-map name [ number ]


(注)  


このコマンドは、LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。


構文の説明

name

VLAN マップ名

number

(任意)作成または変更するマップ エントリのシーケンス番号(0 ~ 65535)。 VLAN マップを作成する際にシーケンス番号を指定しない場合、番号は自動的に割り当てられ、10 から開始して 10 ずつ増加します。 この番号は、VLAN アクセス マップ エントリに挿入するか、または VLAN アクセス マップ エントリから削除する順番です。

コマンド デフォルト

VLAN に適用する VLAN マップ エントリまたは VLAN マップはありません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

グローバル コンフィギュレーション モードでは、このコマンドは VLAN マップを作成または修正します。 このエントリは、モードを VLAN アクセス マップ コンフィギュレーションに変更します。match アクセス マップ コンフィギュレーション コマンドを使用して、一致する IP または非 IP トラフィック用にアクセス リストを指定します。action コマンドは、この一致によりパケットを転送またはドロップするかどうかを設定します。

VLAN アクセス マップ コンフィギュレーション モードでは、次のコマンドが利用できます。

  • action:実行するアクションを設定します(転送またはドロップ)。
  • default:コマンドをデフォルト値に設定します。
  • exit:VLAN アクセスマップ コンフィギュレーション モードを終了します。
  • match:一致する値を設定します(IP アドレスまたは MAC アドレス)。
  • no:コマンドを無効にするか、そのデフォルトに設定します。

エントリ番号(シーケンス番号)を指定しない場合、マップの最後に追加されます。

VLAN ごとに VLAN マップは 1 つだけ設定できます。VLAN マップは、VLAN でパケットを受信すると適用されます。

シーケンス番号を指定して no vlan access-map name [number] コマンドを使用すると、エントリを 1 つ削除できます。

vlan filter インターフェイス コンフィギュレーション コマンドは、VLAN マップを 1 つまたは複数の VLAN に適用します。

VLAN マップ エントリの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、vac1 という名の VLAN マップを作成し、一致条件とアクションをその VLAN マップに適用する方法を示します。 他のエントリがマップに存在しない場合、これはエントリ 10 になります。

Switch(config)# vlan access-map vac1
Switch(config-access-map)# match ip address acl1
Switch(config-access-map)# action forward

次の例では、VLAN マップ vac1 を削除する方法を示します。

Switch(config)# no vlan access-map vac1

vlan filter

1 または複数の VLAN に VLAN マップを適用するには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで vlan filter コマンドを使用します。 マップを削除するには、このコマンドの no 形式を使用します。

vlan filter mapname vlan-list { list | all }

no vlan filter mapname vlan-list { list | all }


(注)  


このコマンドは、LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。


構文の説明

mapname

VLAN マップ エントリ名

vlan-list

マップを適用する VLAN を指定します。

list

tt、uu-vv、xx、および yy-zz 形式での 1 つまたは複数の VLAN リスト。カンマとダッシュの前後のスペースは任意です。 指定できる範囲は 1 ~ 4094 です。

all

マップをすべての VLAN に追加します。

コマンド デフォルト

VLAN フィルタはありません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

パケットを誤って過剰にドロップし、設定プロセスの途中で接続が無効になることがないように、VLAN アクセス マップを完全に定義してから VLAN に適用することを推奨します。

VLAN マップ エントリの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、VLAN マップ エントリ map1 を VLAN 20 および 30 に適用します。

Switch(config)# vlan filter map1 vlan-list 20, 30

次の例では、VLAN マップ エントリ map1 を VLAN 20 から削除する方法を示します。

Switch(config)# no vlan filter map1 vlan-list 20

設定を確認するには、show vlan filter 特権 EXEC コマンドを入力します。

vlan group

VLAN グループを作成または変更するには、グローバル コンフィギュレーション モードで vlan group コマンドを使用します。 VLAN グループから VLAN リストを削除するには、このコマンドの no 形式を使用します。

vlan group group-name vlan-list vlan-list

no vlan group group-name vlan-list vlan-list

構文の説明

group-name

VLAN グループの名前。 名前は最大 32 文字で、文字から始める必要があります。

vlan-list vlan-list

VLAN グループに追加される 1 つ以上の VLAN を指定します。 vlan-list 引数には単一の VLAN ID、VLAN ID リスト、または VLAN ID 範囲を指定できます。 複数のエントリはハイフン(-)またはカンマ(,)で区切ります。

コマンド デフォルト

なし

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS 15.0(2)EX1

このコマンドが導入されました。

使用上のガイドライン

指定された VLAN グループが存在しない場合、vlan group コマンドはグループを作成し、指定された VLAN リストをそのグループにマッピングします。 指定された VLAN グループが存在する場合は、指定された VLAN リストがそのグループにマッピングされます。

vlan group コマンドの no 形式を使用すると、指定された VLAN リストが VLAN グループから削除されます。 VLAN グループから最後の VLAN を削除すると、その VLAN グループは削除されます。

最大 100 の VLAN グループを設定でき、1 つの VLAN グループに最大 4094 の VLAN をマッピングできます。

次に、VLAN 7 ~ 9 と 11 を VLAN グループにマッピングする例を示します。

Switch(config)# vlan group group1 vlan-list 7-9,11 

次の例では、VLAN グループから VLAN 7 を削除する方法を示します。

Switch(config)# no vlan group group1 vlan-list 7