LAN スイッチング コマンド リファレンス、Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)
mac access-group から private-vlan mapping まで
mac access-group から private-vlan mapping まで
発行日;2013/08/07   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

mac access-group から private-vlan mapping まで

mac access-group

MAC アクセス コントロール リスト(ACL)を使用して、ギガビット イーサネット インターフェイス、802.1Q VLAN サブインターフェイス、802.1Q-in-Q スタック VLAN サブインターフェイスで着信トラフィックの受信を制御するには、インターフェイスまたはサブインターフェイス コンフィギュレーション モードで macaccess-group コマンドを使用します。 MAC ACL を削除するには、このコマンドの no 形式を使用します。

mac access-group access-list-number in

no mac access-group access-list-number in

構文の説明

access-list-number

インターフェイスまたはサブインターフェイスに適用する MAC ACL の番号(access-list(MAC)コマンドで指定された番号)。 これは 10 進数の 700 ~ 799 です。

in

インバウンド パケットに対してフィルタリングします。

コマンド デフォルト

インターフェイスまたはサブインターフェイスにアクセス リストは適用されていません。

コマンド モード

インターフェイス コンフィギュレーション(config-if)サブインターフェイス コンフィギュレーション(config-subif)

コマンド履歴

リリース

変更内容

12.0(32)S

このコマンドが Cisco 12000 シリーズ インターネット ルータに追加されました。

12.2(33)SXH

このコマンドが、Cisco IOS Release 12.2(33)SXH に統合されました。

使用上のガイドライン

MAC ACL は、ギガビット イーサネット インターフェイスおよび VLAN サブインターフェイス上の着信トラフィックに対して適用されます。 ネットワーキング デバイスでパケットを受信すると、Cisco IOS ソフトウェアはアクセス リストと、ギガビット イーサネット、802.1Q VLAN、または 802.1Q-in-Q のパケットの送信元 MAC アドレスを照合します。 MAC アクセス リストでアドレスが許可されている場合、ソフトウェアはパケットの処理を続行します。 アクセス リストでアドレスが拒否されている場合、ソフトウェアはパケットを廃棄し、インターネット制御メッセージ プロトコル(ICMP)ホスト到達不能メッセージを返します。

指定した MAC ACL がインターフェイスまたはサブインターフェイス上に存在しない場合、パケットはすべて通過します。

Catalyst 6500 シリーズ スイッチの場合、このコマンドをサポートするのはレイヤ 2 ポートだけです。


(注)  


VLAN サブインターフェイス上で macaccess-group コマンドをサポートするのは、すでに VLAN がサブインターフェイス上で設定済みの場合だけです。


次は、ギガビット イーサネット インターフェイス 0 で受信した着信トラフィックに対して MAC ACL 101 を適用する例です。

Router> enable
Router# configure terminal
Router(config)# interface gigabitethernet 0
Router(config-if)# mac access-group 101 in

関連コマンド

コマンド

説明

access-list(MAC)

MAC ACL を定義します。

clear mac access-list counters

MAC ACL のカウンタをクリアします。

ip access-group

非同期ホストから送信されたパケットに対して使用する IP アクセス リストを設定します。

show access-group mode interface

レイヤ 2 インターフェイスの ACL コンフィギュレーションを表示します。

show mac access-list

1 つまたはすべての MAC ACL の内容を表示します。

mac access-list extended

拡張 MAC アクセス コントロール リスト(ACL)を作成し、アクセス コントロール エントリ(ACE)を定義するには、グローバル コンフィギュレーション モードで macaccess-listextended コマンドを使用します。 MAC ACL を削除するには、このコマンドの no 形式を使用します。

mac access-list extended name

no mac access-list extended name

構文の説明

name

エントリが属する ACL 名

コマンド デフォルト

拡張 ACL は定義されません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

12.2(14)SX

このコマンドのサポートが Supervisor Engine 720 に追加されました。

12.2(17b)SXA

このコマンドが次のように変更されました。

  • vlanvlan および cosvalue キーワードおよび引数が追加されました。
  • ip キーワードが有効なプロトコル名のリストに追加されました。

12.2(17d)SXB

Supervisor Engine 2 上のこのコマンドのサポートが Release 12.2(17d)SXB に拡張されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

12.2(33)SRD

次の Ethertype プロトコル値が、有効なプロトコル リストに追加されました。bpdu-sapbpdu-snapdtplacppagpvtp

Cisco IOS XE Release 3.5S

このコマンドが Cisco IOS XE Release 3.5S に統合されました。

15.1(2)SNG

このコマンドが、Cisco ASR 901 シリーズの集約サービス ルータに実装されました。

Cisco 7600 シリーズ プラットフォームの場合、ES20 または ES40 ラインカードが使用されていると、コマンド構文の {permit | deny} {src-macmask | any} {dest-macmask | any} の部分だけが適用されます。 拡張 MAC アクセス コントロール リストが [protocol [vlan vlan] [cosvalue]] オプションを使用して作成された場合、これらのオプションは無視されます。

ACL 名を入力するときには、次の命名規則に従ってください。

  • 最大 31 文字で、a ~ z、A ~ Z、0 ~ 9、ダッシュ文字(-)、アンダースコア(_)、ピリオド文字(.)を含むことができます。
  • 英文字で始まり、すべてのタイプのすべての ACL で一意である必要があります。
  • 大文字と小文字を区別します。
  • 数字は使用できません。
  • キーワードは使用できません。避けるべきキーワードは、alldefault-actionmaphelp、および editbuffer です。

MAC アドレスに基づいて Internet Packet Exchange(IPX)、DECnet、AppleTalk、Virtual Integrated Network Service(VINES)、または Xerox Network Services(XNS)のトラフィックをフィルタリングする名前付き ACL を設定できます(MAC ACL による IPX フィルタリングをサポートするのは、ポリシー フィーチャ カード 3(PFC3)が搭載されている場合だけです)。

PFC3 が搭載されたシステムで、EtherType 0x8137 に適合する MAC アクセス リストを使用してすべての IPX トラフィックを分類する場合、ipx-arpa または ipx-non-arpa プロトコルを使用します。

macaccess-listextendedname コマンドを入力したら、次のサブセットを使用して、MAC ACL のエントリを作成または削除します。

no permit deny src-mac mask any dest-mac mask any protocol vlan vlan cos value

vlanvlan および cosvalue キーワードおよび引数は、Release 12.2(17b)SXA 以降のリリースの PFC3BXL または PFC3B モードでサポートされます。

vlanvlan および cosvalue キーワードおよび引数は、MAC VLAN アクセス コントロール リスト(VACL)ではサポートされません。

次の表は、macaccess-listextended コマンドの構文を示します。

表 1 mac access-list extended コマンドの構文

構文

説明

no

(任意)アクセス リストからステートメントを削除します。

permit

条件が一致した場合にアクセスを許可します。

deny

条件に一致する場合、アクセスを拒否します。

src-mac mask

source-mac-addresssource-mac-address-mask の形式の送信元 MAC アドレスです。

any

任意のプロトコル タイプを指定します。

dest-mac mask

(任意)dest-mac-addressdest-mac-address-mask の形式の宛先 MAC アドレスです。

protocol

(任意)プロトコル名または番号。この引数の有効なエントリのリストについては、次を参照してください。

vlan vlan

(任意)VLAN ID を指定します。有効値は 0 ~ 4095 です。

cos value

(任意)CoS 値を指定します。有効値は 0 ~ 7 です。

protocol 引数の有効なエントリは次のとおりです。

  • 0x0-0xFFFF -- 任意の EtherType(16 進数)
  • aarp -- EtherType:AppleTalk Address Resolution Protocol(ARP)
  • amber -- EtherType:DEC-Amber
  • appletalk -- EtherType:AppleTalk/EtherTalk
  • bpdu-sap -- BPDU SAP カプセル化パケット
  • bpdu-snap -- BPDU SNAP カプセル化パケット
  • dec-spanning -- EtherType:DEC スパニングツリー
  • decnet-iv -- EtherType:DECnet Phase IV
  • diagnostic -- EtherType:DEC-Diagnostic
  • dsm -- EtherType:DEC-DSM
  • dtp -- DTP パケット
  • etype-6000 -- EtherType:0x6000
  • etype-8042 -- EtherType:0x8042
  • ip -- EtherType:0x0800
  • ipx-arpa -- IPX Advanced Research Projects Agency(ARPA)
  • ipx-non-arpa -- IPX 非 ARPA
  • lacp -- LACP カプセル化パケット
  • lat -- EtherType:DEC-LAT
  • lavc-sca -- EtherType:DEC-LAVC-SCA
  • mop-console -- EtherType:DEC-MOP リモート コンソール
  • mop-dump -- EtherType:DEC-MOP Dump
  • msdos -- EtherType:DEC-MSDOS
  • mumps -- EtherType:DEC-MUMPS
  • netbios -- EtherType:DEC-NETBIOS
  • pagp -- PAGP カプセル化パケット
  • vines-echo -- EtherType:VINES Echo
  • vines-ip -- EtherType:VINES IP
  • vtp -- VTP パケット
  • xns-idp -- EtherType:XNS IDP

src-macmask または dest-macmask 値を入力する場合は、次の注意事項および制限事項に注意してください。

  • MAC アドレスは、0030.9629.9f84 などのドット付き 16 進表記で 3 つの 4 バイト値として入力します。
  • MAC アドレス マスクは、ドット付き 16 進表記で 3 つの 4 バイト値として入力します。 1 ビットをワイルドカードとして使用します。 たとえば、アドレスを完全に一致させるには、0000.0000.0000 を使用します(0.0.0 として入力できます)。
  • 省略可能な protocol については、EtherType またはキーワードのいずれかを入力できます。
  • protocol なしのエントリはどのプロトコルとも一致します。
  • アクセス リスト エントリは入力順にスキャンされます。 最初に一致したエントリが使用されます。 パフォーマンスを高めるには、アクセス リストの冒頭付近に最も一般に使用されるエントリを置きます。
  • リストの最後に明示的な permitanyany エントリを含めなかった場合、アクセス リストの最後には暗示的な denyanyany エントリが存在します。
  • 新しいエントリはすべて既存のリストの最後に置かれます。 リストの中間にエントリを追加することができません。

変造されたり、無効であったり、故意に破壊されたりした EtherType 0x800 IP フレームは、IP トラフィックとして認識されず、IP ACL によりフィルタリングされます。

macaccess-listextended コマンドを ip キーワードとともに使用して作成された ACE は、変造されたり、無効であったり、故意に破壊されたりした EtherType 0x800 IP フレームだけをフィルタリングします。その他の IP トラフィックはフィルタリングしません。

次に、0000.4700.0001 から 0000.4700.0009 へのトラフィックを拒否する mac_layer という名前の MAC ACL を作成する例を示します。その他のトラフィックはすべて許可されます。

Router(config)# mac access-list extended mac_layer
 
Router(config-ext-macl)# deny 0000.4700.0001 0.0.0 0000.4700.0009 0.0.0 dsm
 
Router(config-ext-macl)# permit any any
 

関連コマンド

コマンド

説明

mac access-group in

イーサネット サービス インスタンスに MAC ACL を適用します。

show mac-address-table

MAC アドレス テーブルに関する情報を表示します。

mac-address-table aging-time

レイヤ 2 テーブルのエントリの最大エージング タイムを設定するには、グローバル コンフィギュレーション モードで mac-address-tableaging-time コマンドを使用します。 最大エージング タイムをデフォルト設定にリセットするには、このコマンドの no 形式を使用します。

Cisco 2600 Series, Cisco 3600 Series, and Cisco 3700 Series Routers

mac-address-table aging-time seconds

no mac-address-table aging-time seconds

Cisco 7600 Series Routers

mac-address-table aging-time seconds [ routed-mac | vlan vlan-id ]

no mac-address-table aging-time seconds [ routed-mac | vlan vlan-id ]

Catalyst Switches

mac-address-table aging-time seconds [ routed-mac | vlan vlan-id ]

no mac-address-table aging-time seconds [ routed-mac | vlan vlan-id ]

構文の説明

seconds

MAC アドレス テーブル エントリの最大エージング タイム。 有効値は、0 および 5 ~ 1000000 秒です。 エージング タイムは、スイッチが最後に MAC アドレスを検出した時点からカウントされます。 デフォルト値は 300 秒です。

vlan vlan -id

(任意)変更されたエージング タイムを適用する VLAN を指定します。 有効値は、2 ~ 1001 です。

routed-mac

(任意)ルーテッド MAC エージング インターバルを指定します。

vlan vlan-id

(任意)変更するエージング タイムを適用させる VLAN を指定します。有効値は、1 ~ 4094 です。

コマンド デフォルト

デフォルト エージング タイムは 300 秒です。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

12.0(7)XE

このコマンドが Catalyst 6000 シリーズ スイッチに追加されました。

12.1(1)E

このコマンドが Catalyst 6000 シリーズ スイッチに追加されました。

12.2(2)XT

このコマンドが Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータに導入されました。

12.2(8)T

このコマンドが、Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータの Cisco IOS Release 12.2(8)T に統合されました。

12.2(11)T

このコマンドが Cisco IOS Release 12.2(11)T に統合されました。

12.2(14)SX

このコマンドが Supervisor Engine 720 を搭載した Catalyst スイッチおよび Cisco 7600 インターネット ルータに実装されました。

12.2(17d)SXB

このコマンドが Supervisor Engine 2 を搭載した Catalyst スイッチおよび Cisco 7600 インターネット ルータに実装されました。

12.2(18)SXE

routed-mac キーワードが追加されました。 このキーワードがサポートされるのは、Cisco 7600 インターネット ルータおよび Catalyst 6500 スイッチの Supervisor Engine 720 上だけです。

12.2(18)SXF5

seconds 引数の最小値が、10 秒から 5 秒に変更されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

12.2(33)SXI

このコマンドの出力では、追加のフィールドと説明のテキストを含むように変更されました。

使用上のガイドライン

Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータ

エージング タイムのエントリには、指定された値が使用されます。 有効なエントリは、10 ~ 1000000 秒です。

このコマンドをディセーブルにすることはできません。

Catalyst スイッチおよび Cisco 7600 ルータ

VLAN を入力しない場合、変更はすべてのルーテッド ポート VLAN に適用されます。

エージングをディセーブルにするには、0 秒を入力します。

routed-mac キーワードを入力して、ルーテッド MAC(RM)ビットが設定されたトラフィックの MAC アドレスのエージング タイムを設定できます。

次に、エージング タイムを 300 秒に設定する例を示します。

mac-address-table aging-time 300

次に、エージング タイムを設定する例を示します。

mac-address-table aging-time 400

次に、RM エージング タイムを 500 秒に変更する例を示します。

mac-address-table aging-time 500 routed-mac

次に、OOB によるエージング タイムの変更に対する影響の例を示します。

mac-address-table aging-time 250 
%% Vlan Aging time not changed since OOB is enabled and requires aging time to be atleast 3 times OOB interval - default: 480 seconds 

次に、エージング タイムをディセーブルにする例を示します。

mac-address-table aging-time 0

関連コマンド

コマンド

説明

show mac-address-table

MAC アドレス テーブルに関する情報を表示します。

show mac address table aging time

MAC アドレスのエージング タイムを表示します。

mac-address-table dynamic

ダイナミック アドレスを MAC アドレス テーブルに追加するには、グローバル コンフィギュレーション モードで mac-address-tabledynamic コマンドを使用します。 ダイナミック アドレスは、アドレス テーブルに自動的に追加され、使用されていない場合はアドレス テーブルから廃棄されます。 ダイナミック エントリを MAC アドレス テーブルから削除するには、このコマンドの no 形式を使用します。

Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータ

mac-address-table dynamic hw-addressinterface { fa | gi } [ slot/port ] vlan vlan-id

no mac-address-table dynamic hw-address vlan vlan-id

Catalyst スイッチ

no mac-address-table dynamic hw-address [ atm slot/port ] [ vlan vlan-id ]

構文の説明

hw -address

テーブルに対して追加または削除する MAC アドレス。

interface

hw-address 宛てのパケットが転送されるポート。

fa

FastEthernet を指定します。

gi

GigabitEthernet を指定します。

slot

(任意)ダイナミック アドレスを追加するスロット(スロット 1 またはスロット 2)。

port

(任意)ポート インターフェイス番号。 使用されているイーサネット スイッチのネットワーク モジュールのタイプに応じた範囲は次のとおりです。

  • NM-16ESW の場合は 0 ~ 15
  • NM-36ESW の場合は 0 ~ 35
  • GigabitEthernet の場合は 0 ~ 1

atm slot /port

(任意)ダイナミック アドレスをスロット 1 またはスロット 2 の ATM モジュールに追加します。 ATM インターフェイス用のポートは常に 0 です。

vlan vlan -id

Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータ

interface および vlan パラメータを合わせて使用して、hw-address 宛てのパケットを転送する宛先を指定します。

ポートがスタティック アクセスまたはダイナミック アクセスの VLAN ポートである場合、vlan キーワードは省略可能です。 この場合、ポートに割り当てられている VLAN は、MAC アドレスに関連付けられたポートの VLAN であると見なされます。

複数の VLAN ポートおよびトランク ポートに対しては、vlan キーワードが必要です。 トランク ポートの場合は、ダイナミック アドレスが割り当てられた VLAN を指定するためにこのキーワードが必要です。

vlan-id は、hw-address 宛てのパケットが転送される VLAN の ID の値です。 有効な ID は 1 ~ 1005 です。先行してゼロを入力しないでください。

Catalyst スイッチ

(任意)interface および vlan パラメータを合わせて使用して、hw-address 宛てのパケットを転送する宛先を指定します。

ポートがスタティック アクセスまたはダイナミック アクセスの VLAN ポートである場合、vlan キーワードは省略可能です。 この場合、ポートに割り当てられている VLAN は、MAC アドレスに関連付けられたポートの VLAN であると見なされます。

(注)     

このコマンドをダイナミック アクセス ポートで実行すると、VLAN メンバーシップ ポリシー サーバ(VMPS)へのクエリーは行われません。 VMPS は、アドレスが許可されていることを確認できません。また、ポートを割り当てる必要がある VLAN を判断できません。 このコマンドは、テスト用に限定して使用する必要があります。

複数の VLAN ポートおよびトランク ポートに対しては、vlan キーワードが必要です。 トランク ポートの場合は、ダイナミック アドレスが割り当てられた VLAN を指定するためにこのキーワードが必要です。

vlan-id は、hw-address 宛てのパケットが転送される VLAN の ID の値です。 有効な ID は 1 ~ 1005 です。先行してゼロを入力しないでください。

コマンド デフォルト

ダイナミック アドレスは、MAC アドレス テーブルに追加されません。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

11.2(8)SA

このコマンドが導入されました。

11.2(8)SA3

vlan キーワードが追加されました。

11.2(8)SA5

atm キーワードが追加されました。

12.2(2)XT

このコマンドが、Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータに実装されました。

12.2(8)T

このコマンドが、Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータの Cisco IOS Release 12.2(8)T に統合されました。

12.2(11)T

このコマンドが Cisco IOS Release 12.2(11)T に統合されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

使用上のガイドライン

vlan-id 引数を省略して、このコマンドの no 形式を使用した場合、MAC アドレスがすべての VLAN から削除されます。

次に、ポート fa1/1 の MAC アドレスを VLAN 4 に追加する例を示します。

Switch(config)# mac-address-table dynamic 00c0.00a0.03fa fa1/1 vlan 4

関連コマンド

コマンド

説明

clear mac -address-table

MAC アドレス テーブルからエントリを削除します。

mac -address-tableaging-time

ダイナミック エントリが使用または更新された後、MAC アドレス テーブル内に保持される時間を設定します。

mac -address-tablestatic

MAC アドレス テーブルにスタティック アドレスを追加します。

show mac -address-table

MAC アドレス テーブルを表示します。

mac-address-table limit

MAC 制限機能をイネーブルにし、制限が適用されるように設定するには、グローバル コンフィギュレーション モードで mac-address-tablelimit コマンドを使用します。 MAC 制限をディセーブルにするには、このコマンドの no 形式を使用します。

mac-address-table limit { action | }

構文の説明

maximum num

(任意)Encoded Address Recognition Logic(EARL)ごとに許容される VLAN 単位の MAC エントリ最大数を指定します。有効値は、5 ~ 32768 の MAC アドレス エントリです。

action

(任意)違反が生じた場合にとるアクションのタイプを指定します。

warning

(任意)違反が生じた場合に、Syslog メッセージを 1 回送信し、それ以上のアクションはとらないように指定します。

limit

(任意)違反が生じた場合に、Syslog メッセージの送信 1 回または MAC 制限に対応するトラップの生成のいずれか(またはその両方)を行うように指定します。

shutdown

(任意)違反が生じた場合に、Syslog メッセージの送信 1 回または VLAN のブロック ステートへの移行のいずれか(またはその両方)を行うように指定します。

notification

(任意)違反が生じた場合に送信される通知のタイプを指定します。

syslog

(任意)違反が生じた場合に、Syslog メッセージを送信します。

trap

(任意)違反が生じた場合に、トラップ通知を送信します。

both

(任意)違反が生じた場合に、Syslog およびトラップ通知を送信します。

vlan vlan

(任意)VLAN 単位で MAC 制限をイネーブルにします。

interface type mod / port

(任意)ポート単位で MAC 制限をイネーブルにします。

flood

(任意)VLAN で不明なユニキャスト フラッディングをイネーブルにします。

コマンド デフォルト

デフォルトの設定は次のとおりです。

  • maximum num500 MAC アドレス エントリです。
  • actionwarning です。
  • notificationsyslog です。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

12.2(17b)SXA

このコマンドのサポートが Supervisor Engine 720 に追加されました。

12.2(17d)SXB

Supervisor Engine 2 上のこのコマンドのサポートが Release 12.2(17d)SXB に拡張されました。

12.2(18)SXD1

vlanvlan キーワードおよび引数が組み込まれ、VLAN 単位の MAC 制限をサポートするように、このコマンドが変更されました。

12.2(18)SXE

interfacetypemod/port キーワードおよび引数が組み込まれ、ポート単位の MAC 制限をサポートするように、このコマンドが変更されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

使用上のガイドライン

MAC 制限は、インターフェイス単位(つまり、インターフェイスを指定)または VLAN 単位(つまり、VLAN を指定)でイネーブルにできます。 ただし、MAC 制限はグローバル コンフィギュレーション モード(config)で最初にルータ(上位レベル)用にイネーブルにする必要があります。

MAC 制限に関する一般的なポイント

MAC 制限をイネーブルにするには、次の点に注意してください。

  • MAC エントリの最大数は VLAN 単位および EARL 単位で決まります
  • 最大数、アクション、または通知を指定しない場合、デフォルト設定が使用されます。
  • VLAN 単位の MAC 制限をイネーブルにした場合、MAC 制限は指定された VLAN 上でだけイネーブルになります。
  • flood キーワードがサポートされるのは、VLAN インターフェイス上だけです。
  • limit アクションが設定され、違反が生じた場合にだけ、flood アクションが実行されます。
  • shutdown ステートでは、VLAN はコマンド構文を使用して再度イネーブルにするまでブロック ステートのままになります。

VLAN 単位の MAC 制限をイネーブルにするための構文

次は VLAN 単位の MAC 制限をイネーブルにするために使用できるサンプル構文です。 両方のコマンドを使用して、正しく VLAN 単位の MAC 制限をイネーブルにする必要があります。

mac-address-table limit


(注)  


このコマンドは、ルータの MAC 制限機能をイネーブルにします。


mac-address-table limit [vlanvlan] [maximumnum] [action {warning | limit | shutdown}] [ flood ]


(注)  


このコマンドは VLAN レベルで適用する特定の制限と任意のアクションを設定します。


インターフェイス単位の MAC 制限をイネーブルにするための構文

次はインターフェイス単位の MAC 制限をイネーブルにするために使用できるサンプル構文です。 両方のコマンドを使用して、正しくインターフェイス単位の MAC 制限をイネーブルにする必要があります。

mac-address-table limit


(注)  


このコマンドは、ルータの MAC 制限機能をイネーブルにします。


mac-address-table limit [interfacetypemod/port] [maximumnum] [action {warning | limit | shutdown}] [ flood ]


(注)  


このコマンドはインターフェイス レベルで適用する特定の制限と任意のアクションを設定します。


次に、VLAN 単位の MAC 制限をイネーブルにする例を示します。 mac-address-tablelimit コマンドの最初のインスタンスが、MAC 制限をイネーブルにします。 コマンドの 2 番目のインスタンスでは VLAN レベルで適用する制限と任意のアクションを設定します。

Router# enable
Router# configure terminal
Router(config)# mac-address-table limit
Router(config)# mac-address-table limit vlan 501 maximum 50 action shutdown
Router(config)# end

次に、インターフェイス単位の MAC 制限をイネーブルにする例を示します。 mac-address-tablelimit コマンドの最初のインスタンスが、MAC 制限をイネーブルにします。 コマンドの 2 番目のインスタンスではインターフェイス レベルで適用する制限と任意のアクションを設定します。

Router# enable
Router# configure terminal
Router(config)# mac-address-table limit
Router(config)# mac-address-table limit fastethernet0/0 maximum 50 action shutdown
Router(config)# end

関連コマンド

コマンド

説明

show mac-address-table limit

MAC アドレス テーブル情報を表示します。

mac-address-table notification change

MAC アドレス テーブルに対する動的な変更についての通知を送信するには、グローバル コンフィギュレーション モードで mac-address-tablenotificationchange コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mac-address-table notification change [ history size | interval seconds ]

no mac-address-table notification change

構文の説明

history size

(任意)履歴バッファのエントリ数を設定します。有効値は、0 ~ 500 エントリです。

interval seconds

(任意)変更を送信する最小インターバルを設定します。有効値は、0 ~ 2147483647 秒です。

コマンド デフォルト

デフォルト設定は、次のとおりです。

  • ディセーブル
  • MAC アドレス テーブルに対する動的な変更についての通知がイネーブルの場合、デフォルト設定は次のとおりです。
    • historysize は 1 エントリです。
    • intervalvalue は 1 秒です。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

12.2(33)SXH

このコマンドが導入されました。

次に、MAC アドレス テーブルへのアドレスの動的な追加に関する簡易ネットワーク管理プロトコル(SNMP)通知を設定する例を示します。

Router(config)# mac-address-table notification change interval 5 history 25

関連コマンド

コマンド

説明

show mac-address-table

MAC アドレス テーブルに関する情報を表示します。

snmp-server trap mac-notification

アドレス テーブルに対して MAC アドレスが追加または削除されたときの LAN ポートでの SNMP トラップ通知をイネーブルにします。

mac-address-table notification mac-move

MAC 移動通知をイネーブルにするには、グローバル コンフィギュレーション モードで mac-address-tablenotificationmac-move コマンドを使用します。 MAC 移動通知をディセーブルにするには、このコマンドの no 形式を使用します。

mac-address-table notification mac-move [ counter [syslog] ]

no mac-address-table notification mac-move [ counter [syslog] ]

構文の説明

counter

(任意)MAC 移動カウンタ機能を指定します。

syslog

(任意)MAC 移動通知が MAC 移動の最初のインスタンスを検出したときに、syslogging 機能を指定します。

コマンド デフォルト

MAC 移動通知はイネーブルになりません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

12.2(14)SX

このコマンドのサポートが Supervisor Engine 720 に追加されました。

12.2(17d)SXB

Supervisor Engine 2 上のこのコマンドのサポートが 12.2SX リリースに拡張されました。

12.2(33)SXI

このコマンドは、countersyslog キーワードを追加するように変更されました。

使用上のガイドライン

MAC アドレスまたはホストが異なるスイッチ ポート間で移動した場合、MAC 移動通知は Syslog メッセージを生成します。

新しい MAC アドレスが連想メモリ(CAM)に追加された場合または MAC アドレスが CAM から削除された場合には、MAC 移動通知は生成されません。

MAC 移動通知をサポートするのは、スイッチ ポート上だけです。

MAC 移動カウンタ通知は、VLAN の MAC 移動が最大制限を超えた場合に syslog メッセージを生成します。 最大制限は 1000 MAC 移動です。

MAC 移動カウンタの syslog 通知では、MAC が VLAN 内で移動した回数およびシステムで発生したこれらのインスタンス数をカウントします。

次に、MAC 移動通知をイネーブルにする例を示します。

Router(config)# mac-address-table notification mac-move

次に、MAC 移動通知をディセーブルにする例を示します。

Router(config)# no mac-address-table notification mac-move

次に、MAC 移動カウンタの syslog 通知をイネーブルにする例を示します。

Router(config)# mac-address-table notification mac-move counter syslog

次に、MAC 移動カウンタ通知をディセーブルにする例を示します。

Router(config)# no mac-address-table notification mac-move counter

関連コマンド

コマンド

説明

show mac-address-table notification mac-move

MAC アドレス テーブル情報を表示します。

clear mac-address-table notification mac-move

MAC アドレス テーブル通知カウンタをクリアします。

mac-address-table static

スタティック エントリを MAC アドレス テーブルに追加する、または特定のスタティック マルチキャスト MAC アドレスに対する Internet Group Multicast Protocol(IGMP)のスヌーピングをディセーブルにするには、グローバル コンフィギュレーション モードで mac-address-table static コマンドを使用します。 指定されたエントリ情報の組み合わせによって作成されたエントリを削除するには、このコマンドの no 形式を使用します。

Cisco 2600 Series, Cisco 3600 Series, Cisco 3700 and Cisco 7600 Series Routers

mac-address-table static mac-address vlan vlan-id interface type slot/port

no mac-address-table static mac-address vlan vlan-id interface type slot/port

Catalyst Switches

mac-address-table static mac-address vlan vlan-id interface type number drop [ disable-snooping ] [ dlci dlci | pvc vpi/vci ] [ auto-learn | disable-snooping ] [protocol] { ip | ipx | assigned }

no mac-address-table static mac-address vlan vlan-id interface type number drop [ disable-snooping ] [ dlci dlci | pvc vpi/vci ] [ auto-learn | disable-snooping ] [protocol] { ip | ipx | assigned }

構文の説明

mac-aadress

MAC アドレス テーブルに追加するアドレス。

vlan vlan-id

MAC アドレス エントリに関連付ける VLAN を指定します。 範囲は 2 ~ 100 です。

interface type slot/port または interface type number

設定するインターフェイス タイプ、およびスロットとポートを指定します。

Catalyst スイッチでは、type および number 引数は、インターフェイス タイプおよび slot/port または slot/subslot/port 番号を指定する必要があります(interface pos 5/0 または interface ATM 8/0/1 など)。

drop

指定の VLAN 内の設定済みの MAC アドレスとの間で送受信されるすべてのトラフィックをドロップします。

disable-snooping

(任意)マルチキャスト MAC アドレスの IGMP スヌーピングをディセーブルにします。

dlci dlci

(任意)この MAC アドレスにマッピングするデータリンク接続識別子(DLCI)を指定します。 有効な値の範囲は 16 ~ 1007 です。

(注)     

指定されたインターフェイス上でフレーム リレー カプセル化がイネーブルになっている場合にだけ、このオプションが利用可能です。

pvc vpi/vci

(任意)この MAC アドレスにマッピングする相手先固定接続(PVC)を指定します。 仮想パス識別子(VPI)および仮想回線識別子(VCI)の両方をスラッシュで区切って指定する必要があります。

(注)     

このオプションは、ATM インターフェイスにだけ利用できます。

auto-learn

(任意)ルータがこれと同じ MAC アドレスを別のポート上で見つけた場合、MAC エントリをその新しいポートで更新する必要があることを指定します。

disable-snooping

(任意)フレーム リレー DLCI または ATM PVC の IGMP スヌーピングをディセーブルにします。

protocol

(任意)エントリに関連付けられたプロトコルを指定します。

ip

(任意)IP プロトコルを指定します。

ipx

(任意)Internetwork Packet Exchange(IPX)プロトコルを指定します。

assigned

(任意)DECnet、Banyan VINES、および AppleTalk などの割り当てられたプロトコルのバケット アカウントを指定します。

コマンド デフォルト

スタティック エントリは、MAC アドレス テーブルに追加されません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

12.0(7)XE

このコマンドが Catalyst 6000 シリーズ スイッチに追加されました。

12.1(1)E

Catalyst 6000 シリーズ スイッチにおけるこのコマンドのサポートが、12.1E トレインにまで拡張されました。

12.1(5c)EX

このコマンドが変更されました。 マルチキャスト アドレスのサポートが追加されました。

12.2(2)XT

このコマンドが、Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータに実装されました。

12.2(8)T

このコマンドが、Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータの Cisco IOS Release 12.2(8)T に統合されました。

12.2(14)SX

このコマンドのサポートが Supervisor Engine 720 に追加されました。

12.2(17a)SX

マルチキャスト MAC アドレスには、mac-address-table static mac-address vlan vlan-id {interface type number drop} コマンドを適用できません。

12.2(17d)SXB

Supervisor Engine 2 上のこのコマンドのサポートが Cisco IOS Release 12.2(17d)SXB に拡張されました。

12.2(18)SXE

このコマンドが変更されました。 dlci dlci および pvc vpi/vci キーワードと引数のペアは、MAC アドレスのフレーム リレー DLCI または ATM PVC へのマッピングを許可するために追加されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

12.2(33)SRC

このコマンドが変更されました。 Cisco 7600 シリーズ ルータの High-Speed Serial Interface(HSSI)、MLPP、およびシリアル インターフェイスにサポートが追加されました。

使用上のガイドライン

Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータ

指定する出力インターフェイスをスイッチ仮想インターフェイス(SVI)にすることはできません。

このコマンドの no 形式は、システムの MAC アドレスを削除しません。

MAC アドレスを削除する場合、interface type slot/port 引数の入力は省略可能です。 ユニキャスト エントリの場合、エントリは自動的に削除されます。 マルチキャスト エントリの場合、インターフェイスを指定しないとエントリ全体が削除されます。 インターフェイスを指定することにより、削除する選択ポートを指定できます。

Catalyst スイッチ

指定する出力インターフェイスを SVI にすることはできません。

適切な方法として、レイヤ 2 EtherChannel でだけスタティック MAC アドレスを設定し、EtherChannel のレイヤ 2 物理メンバー ポートでは設定しません。 この方法は、レイヤ 3 EtherChannels とメンバーには適用されません。

このコマンドの no 形式は、次の場合に使用します。

  • 指定したエントリ情報の組み合わせによって作成されたエントリを削除する場合
  • 指定したアドレスの IGMP スヌーピングを再びイネーブルにする場合

dlci dlci キーワードおよび引数が有効なのは、指定されたインターフェイス上でフレーム リレー カプセル化がイネーブルになっている場合だけです。

pvc vpi/vci キーワードおよび引数をサポートするのは、ATM インターフェイスだけです。 pvcvpi/vci 引数とキーワードのペアを指定する場合は、VPI および VCI の両方をスラッシュで区切って指定する必要があります。

スタティック MAC アドレスをインストールすると、スタティック MAC アドレスはポートに関連付けられます。 別のポートに同じ MAC アドレスが表示される場合には、auto-learn キーワードを入力すると、エントリが新しいポートによってアップデートされます。

指定する出力インターフェイスはレイヤ 2 インターフェイス記述子ブロック(IDB)である必要があります。SVI にすることはできません。

1 つの入力コマンドで入力できるインターフェイス数は最大 15 個ですが、コマンドを繰り返すことによりさらに多くのインターフェイスを入力できます。

プロトコル タイプを入力しない場合、各プロトコル タイプについてエントリが自動的に作成されます。

このコマンドの no 形式を入力しても、システム MAC アドレスは削除されません。

MAC アドレスを削除する場合、interface type number の入力は省略可能です。 ユニキャスト エントリの場合、プロトコル エントリは自動的に削除されます。 マルチキャスト エントリの場合、インターフェイスを指定しないとプロトコル エントリ全体が削除されます。 インターフェイスを指定することにより、削除する選択ポートを指定できます。

mac-address-table static mac-address vlan vlan-id interface type numberdisable-snooping コマンドは、指定されたスタティック MAC アドレス/VLAN ペアのスヌーピングだけをディセーブルにします。 スヌーピングをイネーブルにするには、まず MAC アドレスをこのコマンドの no 形式を使用して削除し、mac-address-table static mac-address vlan vlan-id interface type number コマンドを disable-snooping キーワードを入力せずに使用して、MAC アドレスを再インストールします。

mac-address-table static mac-address vlan vlan-id drop コマンドをマルチキャスト MAC アドレスに適用することはできません。


(注)  


ユニキャスト MAC アドレスもマルチキャスト MAC アドレスも WAN インターフェイスを 1 つだけ許可します。



(注)  


複数のインターフェイスに同じスタティック MAC アドレスを設定できません。 別のインターフェイスに既存のスタティック MAC アドレスを設定しようとすると、mac-address-table static コマンドが、スタティック MAC アドレスをこのインターフェイスの新しい MAC アドレスに上書きします。


DLCI 回線または PVC 回線の MAC アドレスの指定

Cisco IOS Release 12.2(18)SXE 以降のリリースでは、ATM およびフレーム リレーのインターフェイスにおいて、次のコマンドの動作が、マルチポイント ブリッジングおよびその他の機能をサポートするように変更されています。 以前のリリースでは、VLAN ID およびインターフェイスだけを指定する必要がありました。

Device(config)# mac-address-table static 000C.0203.0405 vlan 101 interface ATM6/1

次の例に示すように、Cisco IOS Release 12.2(18) SXE 以降のリリースでは、フレーム リレー インターフェイスに対して dlci オプション、または ATM インターフェイスに対しては pvc オプションを指定してください。

Device(config)# mac-address-table static 000C.0203.0405 vlan 101 interface ATM6/1 pvc6/101 

(注)  


フレーム リレー インターフェイスの dlci オプションを省略すると、MAC アドレスはこのインターフェイス上で指定された VLAN に最初に設定された DLCI 回線にマッピングされます。 同様に、ATM インターフェイスの pvc オプションを省略すると、MAC アドレスはこのインターフェイス上で指定された VLAN に設定された最初の PVC にマッピングされます。 MAC アドレスが正しく設定されていることを確認するために、常に適切なインターフェイスで dlci キーワードおよび pvc キーワードを使用することを推奨します。


次に、MAC アドレス テーブルにスタティック エントリを追加する例を示します。

Device(config)# mac-address-table static 0050.3e8d.6400 vlan 100 interface fastethernet5/7

次に、指定されたアドレスに対して IGMP スヌーピングをディセーブルにしてスタティック MAC アドレスを設定する例を示します。

Device(config)# 
mac-address-table static 0050.3e8d.6400 vlan 100 interface fastethernet5/7 disable-snooping
 

次に、ATM PVC 回線およびフレーム リレー DLCI 回線の MAC アドレス テーブルにスタティック エントリを追加する例を示します。

Device(config)# mac-address-table static 0C01.0203.0405 vlan 101 interface ATM6/1 pvc 6/101
Device(config)# mac-address-table static 0C01.0203.0406 vlan 202 interface POS4/2 dlci 200
 

関連コマンド

コマンド

説明

show mac-address-table address

特定の MAC アドレスの MAC アドレス テーブル情報を表示します。

mac-address-table secure

セキュア アドレスを MAC アドレス テーブルに追加するには、グローバル コンフィギュレーション モードで mac-address-tablesecure コマンドを使用します。 セキュア エントリを MAC アドレス テーブルから削除するには、このコマンドの no 形式を使用します。

Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータ

no mac-address-table secure hw-address vlan vlan-id

Catalyst スイッチ

mac-address-table secure hw-address [ atm slot/portvlan vlan-id ]

no mac-address-table secure hw-address [ vlan vlan-id ]

構文の説明

hw -address

テーブルに追加する MAC アドレス。

interface

hw-address 宛てのパケットが転送されるポート。

fa

FastEthernet を指定します。

gi

Gigabit Ethernet を指定します。

slot

(任意)ダイナミック アドレスを追加するスロット(スロット 1 またはスロット 2)。

port

(任意)ポート インターフェイス番号。 使用されているイーサネット スイッチのネットワーク モジュールのタイプに応じた範囲は次のとおりです。

  • NM-16ESW の場合は 0 ~ 15
  • NM-36ESW の場合は 0 ~ 35
  • GigabitEthernet の場合は 0 ~ 1

atm slot / port

(任意)セキュア アドレスをスロット 1 またはスロット 2 の ATM モジュールに追加します。 ATM インターフェイス用のポートは常に 0 です。

vlan vlan -id

Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータ

interface および vlan パラメータを合わせて使用して、hw-address 宛てのパケットを転送する宛先を指定します。

ポートがスタティック アクセスの VLAN ポートである場合、vlan キーワードは省略可能です。 この場合、ポートに割り当てられている VLAN は、MAC アドレスに関連付けられたポートの VLAN であると見なされます。 複数の VLAN ポートおよびトランク ポートに対しては、このキーワードが必要です。

vlan-id の値は、セキュア エントリを追加する VLAN の ID です。 有効な ID は 1 ~ 1005 です。先行してゼロを入力しないでください。

Catalyst スイッチ

(任意)interface および vlan パラメータを合わせて使用して、hw-address 宛てのパケットを転送する宛先を指定します。

ポートがスタティック アクセスの VLAN ポートである場合、vlan キーワードは省略可能です。 この場合、ポートに割り当てられている VLAN は、MAC アドレスに関連付けられたポートの VLAN であると見なされます。 複数の VLAN ポートおよびトランク ポートに対しては、このキーワードが必要です。

vlan-id の値は、セキュア エントリを追加する VLAN の ID です。 有効な ID は 1 ~ 1005 です。先行してゼロを入力しないでください。

コマンド デフォルト

セキュア アドレスは、MAC アドレス テーブルに追加されません。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

11.2(8)SA

このコマンドが導入されました。

11.2(8)SA3

vlan キーワードが追加されました。

11.2(8)SA5

atm キーワードが追加されました。

12.2(2)XT

このコマンドが、Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータに実装されました。

12.2(8)T

このコマンドが、Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズ ルータの Cisco IOS Release 12.2(8)T に統合されました。

12.2(11)T

このコマンドが Cisco IOS Release 12.2(11)T に統合されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。 このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

使用上のガイドライン

Catalyst スイッチ

セキュア アドレスを割り当てることができるポートは、一度に 1 つだけです。 したがって、指定した MAC アドレスおよび VLAN に対するセキュア アドレス テーブルのエントリが他のポート上にすでに存在する場合、エントリがそのポート上から削除されて、指定されたポートに割り当てられます。

ダイナミック アクセス ポートをセキュア アドレスで設定することはできません。

次に、セキュア MAC アドレスをポート fa1/1 の VLAN 6 に追加する例を示します。

Router(config)# mac-address-table secure 00c0.00a0.03fa fa1/1 vlan 6

次に、セキュア MAC アドレスをポート fa1/1 の VLAN 6 に追加する例を示します。

Switch(config)# mac-address-table secure 00c0.00a0.03fa fa1/1 vlan 6

次に、セキュア MAC アドレスを ATM ポート 2/1 に追加する例を示します。

Switch(config)# mac-address-table secure 00c0.00a0.03fa atm 2/1

関連コマンド

コマンド

説明

clear mac -address-table

MAC アドレス テーブルからエントリを削除します。

mac -address-tableaging-time

ダイナミック エントリが使用または更新された後、MAC アドレス テーブル内に保持される時間を設定します。

mac -address-tabledynamic

ダイナミック アドレスを MAC アドレス テーブルに追加します。

mac -address-tablestatic

MAC アドレス テーブルにスタティック アドレスを追加します。

show mac -address-table

MAC アドレス テーブルを表示します。

mls switching unicast

インターフェイスのユニキャスト トラフィックのハードウェア スイッチングをイネーブルにするには、インターフェイス コンフィギュレーション モードで mlsswitchingunicast コマンドを使用します。 インターフェイスのユニキャスト トラフィックのハードウェア スイッチングをディセーブルにするには、このコマンドの no 形式を使用します。

mls switching unicast

no mls switching unicast

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

インターフェイスのユニキャスト トラフィックのハードウェア スイッチングはイネーブルになりません。

コマンド モード

インターフェイス コンフィギュレーション(config-if)

コマンド履歴

リリース

変更内容

12.2(14)SX

このコマンドのサポートが Supervisor Engine 720 に追加されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

使用上のガイドライン

このコマンドは、Supervisor Engine2 が搭載された Cisco 7600 シリーズ ルータではサポートされません。

次に、インターフェイスのハードウェア スイッチングをイネーブルにする例を示します。

Router(config-if
)# mls switching unicast
Router(config-if)#

次に、インターフェイスのハードウェア スイッチングをディセーブルにする例を示します。

Router(config-if
)# no mls switching unicast
Router(config-if)#

関連コマンド

コマンド

説明

mls switching

ハードウェア スイッチングをイネーブルにします。

mode dot1q-in-dot1q access-gateway

ギガビット イーサネット WAN インターフェイスをイネーブルにして、802.1Q-in-802.1Q(Q-in-Q)VLAN 変換のゲートウェイとして動作させるには、modedot1q-in-dot1qaccess-gateway コマンドを使用します。 Q-in-Q VLAN 変換をインターフェイスでディセーブルにするには、このコマンドの no 形式を使用します。

mode dot1q-in-dot1q access-gateway

no mode dot1q-in-dot1q access-gateway

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

ギガビット イーサネット WAN インターフェイスは 802.1Q-in-802.1Q(Q-in-Q)VLAN 変換のゲートウェイとして機能しません。

コマンド モード

インターフェイス コンフィギュレーション(config-if)

コマンド履歴

リリース

変更内容

12.2(18)SXD

このコマンドのサポートが Supervisor Engine 720 に追加されました。

12.2(18)SXE

仮想ポートチャネル インターフェイスを使用した Q-in-Q リンク バンドルのサポートが追加されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

使用上のガイドライン

このコマンドは、Optical Services Module(OSM)-2+4GE-WAN+ OSM モジュールだけで設定された Cisco 7600 シリーズにおけるギガビット イーサネット(GE)WAN インターフェイスでサポートされます。

OSM は、Supervisor Engine 32 が搭載された Cisco 7600 シリーズ ルータでサポートされていません。

802.1Q は、パケットに 2 つの VLAN タグでタグ付けするトランキング オプションを提供して、複数の VLAN が中間ネットワーク間で同時にトランキングできるようにします。 この二重タグ付きトンネルの使用方法は、Q-in-Q トンネリングとも呼ばれます。

modedot1q-in-dot1qaccess-gateway コマンドは、2 つの VLAN タグでパケットにタグ付けすることにより Q-in-Q トンネリングを拡張し、中間ネットワーク間で複数の VLAN を同時にトランキングできるようにします。 この二重タグ付きトンネルを使用して、次の機能が実行されます。

  • 2 つの 802.1Q VLAN タグでタグ付けされたパケットを、VLAN タグの組み合わせに基づく宛先サービスにスイッチングします。
  • VLAN タグに基づくトラフィック シェーピングをサポートします。
  • 802.1P 優先順位ビット(P bit)を内部(カスタマー)VLAN タグから外部(サービス プロバイダー)VLAN タグにコピーします。

Cisco IOS Release 12.2(18)SXE 以降のリリースでは、複数の GE-WAN インターフェイスを 1 つの仮想ポートチャネル インターフェイスに組み合わせて、Q-in-Q リンク バンドルをイネーブルにすることもできます。 インターフェイスを組み合わせると、コンフィギュレーションを簡略化するだけではなく、GE-WAN OSM がバンドルのメンバである物理インターフェイス間のプロバイダー エッジ(PE)VLAN をロード バランスできるようになります。 また、リンク バンドルのインターフェイス メンバの 1 つがダウンした場合、PE VLAN は自動的に他のバンドル メンバへと再割り当てされます。


(注)  


modedot1q-in-dot1qaccess-gateway コマンドを使用する前に、インターフェイス上で設定されているすべての IP アドレスを削除する必要があります。


modedot1q-in-dot1qaccess-gateway コマンドを設定したあと、各サブインターフェイス上で使用される VLAN マッピングを設定するには、bridge-domain(サブインターフェイス コンフィギュレーション)コマンドを使用します。


注意    


インターフェイス上で modedot1q-in-dot1qaccess-gateway コマンドを使用することにより、インターフェイスで設定されている可能性のあるすべてのサブインターフェイスは自動的に削除されます。 また、インターフェイスおよびそのサブインターフェイス上で事前に使用された可能性のあるすべての内部 VLAN がリリースされ、Q-in-Q 変換で再利用できるようになります。 コマンドの no 形式の使用時にも同じ状況が発生します。no 形式でも、すべてのサブインターフェイスが削除され、インターフェイスとサブインターフェイスで現在使用中の VLAN がすべてリリースされます。 modedot1q-in-dot1qaccess-gateway コマンドを入力する前に、インターフェイスのコンフィギュレーションを保存しておくことを推奨します。



(注)  


ポートチャネル インターフェイス カウンタ(showcountersinterfaceport-channel コマンドおよび showinterfaceport-channelcounters コマンドで表示される)は、Q-in-Q リンク バンドルに GE-WAN インターフェイスを使用するチャネル グループではサポートされません。 ただし、showinterfaceport-channel{number | number.subif } コマンド(counters キーワードなし)は、サポートされます。



ヒント


mlsqostrust コマンドは、modedot1q-in-dot1qaccess-gateway コマンドで設定された GE-WAN インターフェイスまたはポートチャネル グループには影響しません。 これらのインターフェイスおよびポートチャネルは常に、このコンフィギュレーションにおける VLAN サービス クラス(CoS)ビットを信頼します。


次に、modedot1q-in-dot1qaccess-gateway コマンドの一般的なコンフィギュレーションの例を示します。

Router# configure terminal
 
Router(config)# interface GE-WAN 4/1
 
Router(config-if)# mode dot1q-in-dot1q access-gateway
 
Router(config-if)# 

次に、IP アドレスの設定を最初に削除せずに modedot1q-in-dot1qaccess-gateway コマンドを設定しようとした場合に表示されるシステム メッセージの例を示します。

Router# configure terminal
 
Router(config)# interface GE-WAN 3/0
 
Router(config-if)# mode dot1q-in-dot1q access-gateway
 
% interface GE-WAN3/0 has IP address 192.168.100.101 
configured. Please remove the IP address before configuring 
'mode dot1q-in-dot1q access-gateway' on this interface. 
Router(config-if)# no ip address 192.168.100.101 255.255.255
 
Router(config-if)# mode dot1q-in-dot1q access-gateway
 
Router(config-if)# 

次に、modedot1q-in-dot1qaccess-gateway コマンドの no 形式を使用してインターフェイス上の Q-in-Q マッピングをディセーブルにする例を示します。 さらに、このコマンドはインターフェイス上のすべてのサブインターフェイス、およびサブインターフェイス Q-in-Q マッピング(bridge-domain(サブインターフェイス コンフィギュレーション) コマンド)とサービス ポリシーのすべてを自動的に削除します。

Router# configure terminal
 
Router(config)# interface GE-WAN 3/0
 
Router(config-if)# no mode dot1q-in-dot1q access-gateway
 
Router(config-if)# 

次に、2 つの GE-WAN インターフェイスで作成され割り当てられた仮想ポートチャネル インターフェイスの例を示します。 modedot1q-in-dot1qaccess-gateway コマンドはポートチャネル インターフェイス上でイネーブルとなり、ポートチャネル インターフェイスが Q-in-Q リンク バンドルとして動作できるようになります。

Router(config)# interface port-channel 20
 
Router(config-if)# interface GE-WAN 3/0
 
Router(config-if)# port-channel 20 mode on
 
Router(config-if)# interface GE-WAN 3/1
 
Router(config-if)# port-channel 20 mode on
 
Router(config-if)# interface port-channel 20
 
Router(config-if)# no ip address
 
Router(config-if)# mode dot1q-in-dot1q access-gateway
 
Router(config-if)# 

次に、1 つまたは複数の無効なインターフェイスを含むポートチャネル インターフェイス上で Q-in-Q 変換をイネーブルにしようとした場合に表示されるエラー メッセージの例を示します。

Router# configure terminal
 
Router(config)# interface port-channel 30
 
7600-2(config-if)# mode dot1q-in-dot1q access-gateway
 
% 'mode dot1q-in-dot1q access-gateway' is not supported on Port-channel30 
% Port-channel30 contains 2 Layer 2 Gigabit Ethernet interface(s)
Router(config-if)# 

関連コマンド

コマンド

説明

bridge-domain (サブインターフェイス コンフィギュレーション)

指定された VLAN ID に PVC をバインドします。

class-map

QoS クラス マップ コンフィギュレーション モードにアクセスして QoS クラス マップを設定します。

policy-map

QoS ポリシー マップを設定するための QoS ポリシー マップ コンフィギュレーション モードにアクセスします。

service-policy

ポリシー マップをインターフェイスに付加します。

set cos cos-inner(ポリシーマップ コンフィギュレーション)

Q-in-Q 変換された送信パケットのトランク VLAN タグの 802.1Q 優先順位ビットを、内部カスタマー エッジの VLAN タグからのプライオリティ値で設定します。

show cwan qinq

Q-in-Q 変換で使用される内部、外部、およびトランク VLAN を表示します。

show cwan qinq bridge-domain

ギガビット イーサネット WAN インターフェイスで Q-in-Q 変換に使用されるプロバイダーエッジ VLAN ID を表示するか、特定プロバイダーエッジ VLAN に使用されるカスタマーエッジ VLAN を表示します。

show cwan qinq interface

1 つまたはすべてのギガビット イーサネット WAN インターフェイスおよびポート チャネル インターフェイス上の IEEE Q-in-Q 変換のインターフェイス統計を表示します。

show cwtlc qinq

Q-in-Q 変換に関連した、スーパーバイザ エンジンに搭載された XCM に保存されている情報を表示します。

name(MST)

マルチ スパニングツリー(MST)のリージョン名を設定するには、MST コンフィギュレーション サブモードで name コマンドを使用します。 デフォルト名に戻すには、このコマンドの no 形式を使用します。

name name

no name name

構文の説明

name

MST リージョンに付ける名前を指定します。 最大 32 文字の任意のストリングです。

コマンド デフォルト

空の文字列

コマンド モード

MST コンフィギュレーション(config-mst)

コマンド履歴

リリース

変更内容

12.2(14)SX

このコマンドのサポートが Supervisor Engine 720 に追加されました。

12.2(17d)SXB

Supervisor Engine 2 上のこのコマンドのサポートが Release 12.2(17d)SXB に拡張されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

Cisco IOS XE Release XE 3.7S

このコマンドが、Cisco IOS XE Release XE 3.7S に統合されました。

使用上のガイドライン

同じ VLAN マッピングおよびコンフィギュレーション バージョン番号を持つ 2 つ以上の Cisco 7600 シリーズ ルータは、リージョン名が異なっている場合は別個の MST リージョンにあると考えられます。


注意    


name コマンドを使用して MST リージョン名を設定する場合には注意してください。 設定を間違えると、Cisco 7600 シリーズ ルータが別のリージョンに配置されます。 設定名は、大文字と小文字が区別されるパラメータです。


次に、リージョンに名前を付ける例を示します。

Device(config-mst)# name Cisco
Device(config-mst)# 

関連コマンド

コマンド

説明

instance

VLAN または VLAN セットを MST インスタンスにマッピングします。

revision

MST コンフィギュレーションのリビジョン番号を設定します。

show

MST コンフィギュレーションを確認します。

show spanning-tree mst

MST プロトコルに関する情報を表示します。

spanning-tree mst configuration

MST コンフィギュレーション サブモードを開始します。

port-channel load-defer

すべてのポート チャネルのポート ロード シェアの延期間隔を設定するには、グローバル コンフィギュレーション モードで port-channelload-defer コマンドを使用します。 ポート延期間隔をデフォルト設定にリセットするには、このコマンドの no 形式を使用します。

port-channel load-defer seconds

no port-channel load-defer seconds

構文の説明

seconds

ロード シェアリングがスイッチで延期される間隔を秒で設定します。 有効な範囲は、1 ~ 1800 秒です。 デフォルトの延期間隔は、120 秒です。

コマンド デフォルト

ポート延期間隔は、120 秒です。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

12.2(33)SXH

このコマンドが導入されました。

12.2(50)SY

このコマンドが導入されました。 Cisco IOS Release 12.2(50)SY で使用する seconds 変数が追加されました。

使用上のガイドライン

ステートフル スイッチオーバー(SSO)後に発生するデータの損失を減らすために、Multichassis EtherChannel(MEC)によって Virtual Switching System(VSS)に接続されるスイッチのポート チャネルで port-channelportload-defer コマンドを入力して、ポート ロード シェアの延期をイネーブルにできます。 ポート ロード シェアの延期により、VSS が SSO から回復する間に、スイッチが、VSS の失敗したシャーシにおける MEC メンバ ポートに一時的にデータ トラフィックを転送できないようにします。

ロード シェア延期間隔は、port-channelload-defer コマンドで設定可能な 1 つのグローバル タイマーで決まります。 SSO スイッチオーバー後の数秒から数分までの期間が、ラインカードの再初期設定およびフォワーディング テーブルの再確立、特にマルチキャスト トポロジーに対して必要となります。

seconds の有効な範囲は 1 ~ 1800 秒であり、そのデフォルトは 120 秒です。

次に、グローバル ポート延期間隔を 60 秒に設定する例を示します。

Router(config)# 
port-channel load-defer 60
Router(config)# 

次に、ポート チャネルにおけるポート延期間隔のコンフィギュレーションを確認する例を示します。

Router# show etherchannel 50 port-channel
 
                Port-channels in the group: 
                ----------------------
Port-channel: Po50    (Primary Aggregator)
------------
Age of the Port-channel   = 0d:00h:22m:20s
Logical slot/port   = 46/5          Number of ports = 3
HotStandBy port = null 
Port state          = Port-channel Ag-Inuse 
Protocol            =   LACP
Fast-switchover     = disabled
Load share deferral = enabled   defer period = 60 sec
   time left = 57 sec 
Router# 

関連コマンド

コマンド

説明

interface port-channel

ポート チャネル仮想インターフェイスを作成し、インターフェイス コンフィギュレーション モードに入ります。

port-channel port load-defer

ポート チャネルにおけるポート ロード シェア延期機能をイネーブルにします。

show etherchannel

チャネルの EtherChannel 情報を表示します。

private-vlan

プライベート VLAN(PVLAN)を設定するには、VLAN コンフィギュレーション サブモードで private-vlan コマンドを使用します。 PVLAN コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

private-vlan { isolated | community | primary }

no private-vlan { isolated | community | primary }

構文の説明

isolated

VLAN を独立 PVLAN として指定します。

community

VLAN をコミュニティ PVLAN として指定します。

primary

VLAN をプライマリ PVLAN として指定します。

コマンド デフォルト

PVLAN は設定されていません。

コマンド モード

VLAN コンフィギュレーション(config-vlan)

コマンド履歴

リリース

変更内容

12.2(14)SX

このコマンドが Supervisor Engine 720 に導入されました。

12.2(17a)SX

このコマンドが変更されました。 設定に関する制限事項が追加されました。 詳細については、「使用上のガイドライン」の項を参照してください。

12.2(17d)SXB

このコマンドが変更されました。 Supervisor Engine 2 上のこのコマンドのサポートが Release 12.2(17d)SXB に拡張されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

15.0(1)M

このコマンドが、Cisco IOS Release 15.0(1)M に統合されました。

使用上のガイドライン

PVLAN をポートセキュリティ ポートには設定できません。 ポートセキュリティが設定されたポートで pvlan コマンドを入力すると、次のエラー メッセージが表示されます。

Command rejected: Gix/y is Port Security enabled port.

12 ポートから構成されるグループ(1 ~ 12、13 ~ 24、25 ~ 36、および 37 ~ 48)内のポートの 1 つがトランクやスイッチ ポート アナライザ(SPAN)の宛先、または無差別 PVLAN ポートの場合は、ポートを独立 VLAN ポートまたはコミュニティ VLAN ポートとして設定しないでください。 設定すると、12 ポート内の他のポートの独立またはコミュニティ VLAN 設定が非アクティブになります。 これらのポートを再びアクティブにするには、独立 VLAN ポートまたはコミュニティ VLAN ポートの設定を削除して、shutdown および noshutdown コマンドを入力します。


注意    


PVLAN(プライマリまたはセカンダリ)における VLAN コンフィギュレーション モードで shutdown コマンドを入力し、次に noshutdown コマンドを入力すると、PVLAN タイプおよびアソシエーション情報が削除される場合があります。 VLAN を PVLAN として設定し直します。



(注)  


Release 12.2(17a)SX では、この制約事項は WS-X6548-RJ-45 および WS-X6548-RJ-21 を除く Ethernet 10 Mb、10/100 Mb、100 Mb モジュールに適用されます。 Release 12.2(17a)SX よりも前のリリースでは、この制約事項は Ethernet 10 Mb、10/100 Mb、100 Mb モジュールに適用されます。


VLAN 1 または VLAN 1001 ~ 1005 を PVLAN として設定できません。

VLAN トランキング プロトコル(VTP)は PVLAN コンフィギュレーションを伝播しません。 各保護ポートまたはプライベート ポートは、VTP にサポートされない PVLAN に関連付けられます。 したがって、PVLAN ポートを必要とするデバイスごとに、PVLAN を設定する必要があります。

無差別ポートは、プライマリ VLAN に割り当てられたプライベート ポートです。

独立 VLAN は、混合モード ポートと通信するために独立ポートが使用する VLAN です。 同じ VLAN 上の他のすべてのプライベート ポートでは、独立 VLAN のトラフィックはブロックされます。 独立 VLAN のトラフィックは、対応するプライマリ VLAN に割り当てられた標準トランキング ポートおよび無差別ポートだけが受信できます。

プライマリ VLAN は、ルータからプライベート ポート上の顧客端末ステーションにトラフィックを伝送するために使用される VLAN です。

コミュニティ VLAN は、対応するプライマリ VLAN 上にある、コミュニティ ポート間のトラフィックおよびコミュニティ ポートから無差別ポートへのトラフィックを運ぶ VLAN です。

複数のコミュニティ VLAN が許可されますが、vlan コマンドには独立 vlan-id を 1 つだけ指定できます。 独立 VLAN およびコミュニティ VLAN は、1 つの VLAN にだけ関連付けることができます。 関連付けられた VLAN リストには、プライマリ VLAN が含まれていてはなりません。 すでにプライマリ VLAN に関連付けられている VLAN は、プライマリ VLAN として設定できません。

VLAN コンフィギュレーション モードを終了するまで、private-vlan コマンドは作用しません。

プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。

その他の設定ガイドラインについては、『Cisco 7600 Series Router Cisco IOS Software Configuration Guide』を参照してください。

次に、コミュニティ LAN として VLAN 303 を設定する例を示します。

Router# configure terminal
Router(config)# vlan 303
Router(config-vlan)# private-vlan community
Router(config-vlan)# end

次に、独立 VLAN として VLAN 440 を設定する例を示します。

Router# configure terminal
Router(config)# vlan 440
Router(config-vlan)# private-vlan isolated
Router(config-vlan)# end

次に、プライマリ LAN として VLAN 233 を設定する例を示します。

Router# configure terminal
Router(config)# vlan 233
Router(config-vlan)# private-vlan primary
Router(config-vlan)# end

次に、PVLAN 関係を削除し、プライマリ VLAN を削除する例を示します。 関連付けられたセカンダリ VLAN は削除されません。

Router(config-vlan)# no private-vlan

関連コマンド

コマンド

説明

private-vlan association

PVLAN 間のアソシエーションを作成します。

show vlan

VLAN 情報を表示します。

show vlan private-vlan

PVLAN 情報を表示します。

vlan(VLAN)

特定の VLAN を設定します。