Cisco CGS 2520 コマンド リファレンス Cisco IOS Release 12.2(53)EX
Cisco CGS 2520 の Cisco IOS コマンド - 1
Cisco CGS 2520 の Cisco IOS コマンド
発行日;2012/07/02 | 英語版ドキュメント(2010/08/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 28MB) | フィードバック

目次

Cisco CGS 2520 の Cisco IOS コマンド

aaa accounting dot1x

aaa authentication dot1x

action

alarm contact

alarm facility fcs-hysteresis

alarm facility power-supply

alarm facility temperature

alarm profile(グローバル コンフィギュレーション)

alarm profile(インターフェイス コンフィギュレーション)

alarm relay-mode

archive download-sw

archive tar

archive upload-sw

arp access-list

authentication control-direction

authentication critical recovery delay

authentication event

authentication fallback

authentication host-mode

authentication mac-move permit

authentication open

authentication order

authentication periodic

authentication port-control

authentication priority

authentication timer

authentication violation

bandwidth

boot config-file

boot enable-break

boot helper

boot helper-config-file

boot manual

boot private-config-file

boot system

channel-group

channel-protocol

class

class-map

clear ip arp inspection log

clear ip arp inspection statistics

clear ip dhcp snooping

clear ipc

clear ipv6 dhcp conflict

clear l2protocol-tunnel counters

clear lacp

clear logging onboard

clear mac address-table

clear mac address-table move update

clear pagp

clear policer cpu uni-eni counters

clear port-security

clear rep counters

clear scada modbus tcp server statistics

clear spanning-tree counters

clear spanning-tree detected-protocols

clear vmps statistics

conform-action

copy logging onboard module

cpu traffic qos cos

cpu traffic qos dscp

cpu traffic qos precedence

cpu traffic qos qos-group

define interface-range

delete

deny(ARP アクセス リスト コンフィギュレーション)

deny(IPv6 アクセス リスト コンフィギュレーション)

deny(MAC アクセス リスト コンフィギュレーション)

diagnostic monitor

diagnostic schedule test

diagnostic start test

dot1x credentials

dot1x critical eapol(グローバル コンフィギュレーション)

dot1x default

dot1x guest-vlan supplicant

dot1x initialize

dot1x max-reauth-req

dot1x max-req

dot1x pae

dot1x supplicant force-multicast

dot1x system-auth-control

dot1x test eapol-capable

dot1x test timeout

dot1x timeout

duplex

errdisable detect cause

errdisable recovery

ethernet evc

ethernet lmi

ethernet lmi ce-vlan map

ethernet loopback(イーサネット コンフィギュレーション)

ethernet loopback(特権 EXEC)

ethernet oam remote-failure

ethernet uni

ethernet uni id

exceed-action

fcs-threshold

flowcontrol

hw-module module logging onboard

interface port-channel

interface range

interface vlan

ip access-group

ip address

ip arp inspection filter vlan

ip arp inspection limit

ip arp inspection log-buffer

ip arp inspection trust

ip arp inspection validate

ip arp inspection vlan

ip arp inspection vlan logging

ip device tracking maximum

ip dhcp snooping

ip dhcp snooping binding

ip dhcp snooping database

ip dhcp snooping information option

ip dhcp snooping information option allowed-untrusted

ip dhcp snooping information option format remote-id

ip dhcp snooping limit rate

ip dhcp snooping trust

ip dhcp snooping verify mac-address

ip dhcp snooping vlan

ip dhcp snooping vlan information option format-type circuit-id string

ip igmp filter

ip igmp max-groups

ip igmp profile

ip igmp snooping

ip igmp snooping last-member-query-interval

ip igmp snooping querier

ip igmp snooping report-suppression

ip igmp snooping tcn

ip igmp snooping tcn flood

ip igmp snooping vlan immediate-leave

ip igmp snooping vlan mrouter

ip igmp snooping vlan static

ip sla responder twamp

ip sla server twamp

ip source binding

ip ssh

ip sticky-arp(グローバル コンフィギュレーション)

ip sticky-arp(インターフェイス コンフィギュレーション)

ip verify source

ipv6 access-list

ipv6 address dhcp

ipv6 dhcp client request vendor

ipv6 dhcp ping packets

ipv6 dhcp pool

ipv6 dhcp server

ipv6 mld snooping

ipv6 mld snooping last-listener-query-count

ipv6 mld snooping last-listener-query-interval

ipv6 mld snooping listener-message-suppression

ipv6 mld snooping robustness-variable

ipv6 mld snooping tcn

ipv6 mld snooping vlan

ipv6 traffic-filter

l2protocol-tunnel

l2protocol-tunnel cos

lacp port-priority

lacp system-priority

link state group

link state track

location(グローバル コンフィギュレーション)

location(インターフェイス コンフィギュレーション)

logging event

logging event power-inline-status

logging file

mac access-group

mac access-list extended

mac address-table aging-time

mac address-table learning vlan

mac address-table move update

mac address-table notification

mac address-table static

mac address-table static drop

macro apply

macro description

macro global

macro global description

macro name

match(アクセス マップ コンフィギュレーション)

match access-group

match cos

match ip dscp

match ip precedence

match qos-group

match vlan

mdix auto

media-type

monitor session

mvr(グローバル コンフィギュレーション)

mvr(インターフェイス コンフィギュレーション)

oam protocol cfm svlan

pagp learn-method

pagp port-priority

permit(ARP アクセス リスト コンフィギュレーション)

permit(IPv6 アクセスリスト コンフィギュレーション)

permit(MAC アクセス リスト コンフィギュレーション)

police

policer aggregate(グローバル コンフィギュレーション)

police aggregate(ポリシーマップ クラス コンフィギュレーション)

policer cpu uni

policy-map

port-channel load-balance

port-type

power inline

power inline consumption

power inline police

priority

private-vlan

private-vlan mapping

queue-limit

radius-server dead-criteria

radius-server host

reload

remote-span

renew ip dhcp snooping database

rep admin vlan

rep block port

rep lsl-age-timer

rep preempt delay

rep preempt segment

rep segment

rep stcn

reserved-only

Cisco CGS 2520 の Cisco IOS コマンド

aaa accounting dot1x

認証、認可、およびアカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1x セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ }... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ]}

no aaa accounting dot1x { name | default }

 
構文の説明

name

サーバ グループ名。これは、 broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。

start-stop

プロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信します。start アカウンティング レコードはバックグラウンドで送信されます。アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。

group

アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は次のとおりです。

name :サーバ グループ名

radius :全 RADIUS ホストのリスト

tacacs+ :全 TACACS+ ホストのリスト

broadcast group および group キーワードの後に入力する場合、 group キーワードはオプションです。オプションの group キーワードは、複数入力できます。

radius

(任意)RADIUS 認証をイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

 
デフォルト

AAA アカウンティングはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、RADIUS サーバへのアクセスが必要です。


) インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、authentication periodic インターフェイス コンフィギュレーション コマンドを入力することを推奨します。


次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。

Switch(config)# aaa accounting dot1x
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)#

) RADIUS 認証サーバは、AAA クライアントから更新パケットやウォッチドッグ パケットを受け入れて記録するよう、適切に設定する必要があります。


 
関連コマンド

コマンド
説明

aaa authentication dot1x

IEEE 802.1x が動作しているインターフェイスで使用する 1 つ以上の AAA メソッドを指定します。

aaa-new-model

AAA アクセス コントロール モデルをイネーブルにします。構文情報については、『 Cisco IOS Security Command Reference, Release 12.2 』 > 「 Authentication, Authorization, and Accounting 」 > 「 Authentication Commands 」を参照してください。

authentication periodic

定期的な再認証をイネーブルまたはディセーブルにします。

authentication timer

再認証の試行の間隔(秒)を設定します。

aaa authentication dot1x

IEEE 802.1x に準拠するポートで認証、認可、およびアカウンティング(AAA)方式を使用するように指定するには aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default } method1

no aaa authentication dot1x { default }

 
構文の説明

default

この引数の後に続く、リストされた認証方式をログイン時のデフォルトの方式として使用します。

method1

認証用にすべての RADIUS サーバのリストを使用するには、 group radius キーワードを入力します。


) 他のキーワードがコマンドラインのヘルプ ストリングに表示されますが、サポートされているのは default および group radius キーワードだけです。


 
デフォルト

認証は実行されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式を指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、 radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。

設定された認証方式のリストを表示するには、 show running-config 特権 EXEC コマンドを使用します。

次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。

Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。構文情報については、『 Cisco IOS Security Command Reference, Release 12.2 』 > 「 Authentication, Authorization, and Accounting 」 > 「 Authentication Commands 」を参照してください。

show running-config

動作設定を表示します。構文情報については、Cisco IOS Release 12.2 のコマンド リファレンス一覧ページへアクセスする次のリンクを使用します。 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html
Cisco IOS Commands Master List, Release 12.2 」を選択して、コマンドの項目へ移動します。

 

action

VLAN アクセス マップ エントリに対してアクションを設定するには、 action アクセスマップ コンフィギュレーション コマンドを使用します。このアクションをデフォルト値である forward に設定するには、このコマンドの no 形式を使用します。

action { drop | forward }

no action

 
構文の説明

drop

指定された条件に一致する場合に、パケットをドロップします。

forward

指定された条件に一致する場合に、パケットを転送します。

 
デフォルト

デフォルトのアクションは、パケットの転送です。

 
コマンド モード

アクセス マップ コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

vlan access-map グローバル コンフィギュレーション コマンドを使用して、アクセスマップ コンフィギュレーション モードを開始します。

アクションが drop の場合は、一致条件に Access Control List(ACL; アクセス コントロール リスト)名を設定後、そのマップを VLAN に適用してアクセス マップを定義する必要があります。定義しない場合、すべてのパケットがドロップされることがあります。

アクセス マップ コンフィギュレーション モードでは、 match アクセス マップ コンフィギュレーション コマンドを使用して、VLAN マップの一致条件を定義できます。 action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。

drop パラメータおよび forward パラメータは、このコマンドの no 形式では使用されません。

次の例では、VLAN アクセス マップ vmap4 を指定し VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップは、パケットがアクセス リスト al2 に定義された条件に一致する場合に、VLAN がその IP パケットを転送するように指定します。

Switch(config)# vlan access-map vmap4
Switch(config-access-map)# match ip address al2
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter vmap4 vlan-list 5-6
 

設定を確認するには、 show vlan access-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

access-list { deny | permit }

番号付き標準 ACL を設定します。構文情報については、『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 』 > 「 IP Services Commands 」を選択してください。

ip access-list

名前付きアクセス リストを作成します。構文情報については、『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 』 > 「 IP Services Commands 」を選択してください。

mac access-list extended

名前付き MAC アドレス アクセス リストを作成します。

match(アクセス マップ コンフィギュレーション)

VLAN マップの一致条件を定義します。

show vlan access-map

スイッチで作成された VLAN アクセス マップを表示します。

vlan access-map

VLAN アクセス マップを作成します。

alarm contact

外部アラームのトリガーおよび重大度を設定するには、 alarm contact グローバル コンフィギュレーション コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

alarm contact { contact-number { description string | severity {critical | major | minor } | trigger { closed | open }} | all { severity { critical | major | minor } | trigger { closed | open }}

no alarm contact { contact-number { description | severity | trigger } | all { severity | trigger }

contact-number

特定のアラーム接点番号を設定します。指定できる範囲は 1 ~ 4 です。

description string

アラーム接点番号の説明を追加します。説明の文字列の長さは 80 文字以下の英数字にすることができます。この文字列は、アラームのトリガー時に生成されるシステム メッセージに含まれます。

all

すべてのアラーム接点を設定します。

severity

アラームがトリガーされたときに設定される重大度を設定します。重大度はアラーム通知に含まれます。 no alarm contact severity を入力すると、重大度がマイナーに設定されます。

critical

重大度をクリティカルに設定します。

major

重大度をメジャーに設定します。

minor

重大度をマイナーに設定します。

trigger

アラームをトリガーする状態を設定します(接続回線がオープンか、またはクローズか)。 no alarm contact trigger を入力すると、トリガーがクローズに設定されます。

closed

接点がクローズの場合に、アラームがトリガーされることを指定します。

open

接点がオープンの場合に、アラームがトリガーされることを指定します。

 
デフォルト

アラームは設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

no alarm contact contact-number description は、説明を空の文字列に設定します。

no alarm contact { contact-number | all } severity は、アラーム接点の重大度をマイナーに設定します。

no alarm contact { contact-number | all } trigger は、外部アラーム接点のトリガーをクローズに設定します。

次の例は、接点がオープンのときにクリティカル アラームを報告するようにアラーム接点番号 1 を設定する方法を示します。

Switch(config)# alarm contact 1 description main_lab_door
Switch(config)# alarm contact 1 severity critical
Switch(config)# alarm contact 1 trigger open
Dec 4 10:34:09.049: %PLATFORM_ENV-1-EXTERNAL_ALARM_CONTACT_ASSERT: Alarm asserted: main_lab_door
 

show env alarm-contact または show running-config 特権 EXEC コマンドを入力すると、設定を確認できます。

Switch# show env alarm-contact
ALARM CONTACT 1
Status: asserted
Description: main_lab_door
Severity: critical
Trigger: open
 

次の例は、クリア アラーム接点番号 1 と show のコマンド出力を設定する方法を示します。

Switch(config)# no alarm contact 1 description
Dec 4 10:39:33.621: %PLATFORM_ENV-1-EXTERNAL_ALARM_CONTACT_CLEAR: Alarm cleared: main_lab_door Dec 4 10:39:33.621: %PLATFORM_ENV-1-EXTERNAL_ALARM_CONTACT_ASSERT: Alarm asserted: external alarm contact 1
 
Switch(config)# no alarm contact 1 severity
Dec 4 10:39:46.774: %PLATFORM_ENV-1-EXTERNAL_ALARM_CONTACT_CLEAR: Alarm cleared: external alarm contact 1 Dec 4 10:39:46.774: %PLATFORM_ENV-1-EXTERNAL_ALARM_CONTACT_ASSERT: Alarm asserted: external alarm contact 1
 
Switch(config)# no alarm contact 1 trigger open
Dec 4 10:39:56.547: %PLATFORM_ENV-1-EXTERNAL_ALARM_CONTACT_CLEAR: Alarm cleared: external alarm contact 1
 
Switch(config)# end
Switch# show env alarm-contact
ALARM CONTACT 1
Status: not asserted
Description: external alarm contact 1
Severity: minor
Trigger: closed
Switch# show hard led
SWITCH: 1
SYSTEM: GREEN
MGMT: GREEN
ALARM 1: BLACK
ALARM 2: BLACK
ALARM 3: BLACK
ALARM 4: BLACK
 

 
関連コマンド

コマンド
説明

show env alarm-contact

スイッチのアラーム設定およびステータスを表示します。

alarm facility fcs-hysteresis

フレーム チェック シーケンス(FCS)エラー ヒステリシスしきい値を FCS ビットエラー レートの変動率として設定するには、alarm facility fcs-hysteresis グローバル コンフィギュレーション コマンドを使用します。FCS エラー ヒステリシスしきい値をデフォルト値に戻すには、このコマンドの no 形式を使用します。

alarm facility fcs-hysteresis percentage

no alarm facility fcs-hysteresis percentage

 
構文の説明

percentage

ヒステリシスしきい値の変動率です。指定できる範囲は 1 ~ 10% です。

 
デフォルト

デフォルトのしきい値は 10% です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ヒステリシスしきい値を設定すると、設定されたレートの近くまで FCS ビットエラー レートが変動した場合にアラームがトリガーされます。

FCS ヒステリシスしきい値はスイッチすべてのポートで設定します。ポートごとに FCS エラー レートを設定するには、fcs-threshold インターフェイス コンフィギュレーション コマンドを使用します。

しきい値がデフォルト値ではない場合、 show running-config 特権 EXEC コマンドの出力に表示されます。

次の例では、FCS エラー ヒステリシスを 5% に設定する方法を示します。ビット エラー レートが設定した FCS ビットエラー レートを 5% 超過するとアラームがトリガーされます。

Switch(config)# alarm facility fcs-hysteresis 5

 
関連コマンド

コマンド
説明

fcs-threshold

インターフェイスの FCS エラー レートを設定します。

show running-config

FCS ヒステリシスしきい値(デフォルト値以外の場合)を含むスイッチの実行コンフィギュレーションを表示します。

alarm facility power-supply

システムがデュアル電源モードで稼動している場合に、電源の欠落または障害を検出するアラーム オプションを設定するには、alarm facility power-supply グローバル コンフィギュレーション コマンドを使用します。指定した設定をディセーブルにするには、このコマンドの no 形式を使用します。

alarm facility power-supply { disable | notifies | relay major | syslog }

no alarm facility power-supply { disable | notifies | relay major | syslog }

 
構文の説明

disable

電源アラームをディセーブルにします。

notifies

電源装置アラーム トラップを SNMP サーバに送信します。

relay major

リレー回路にアラームを送信します。

Syslog

電源装置アラーム トラップを Syslog サーバに送信します。

 
デフォルト

電源アラーム メッセージは保存されますが、SNMP サーバ、リレー、または syslog サーバに送信されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

電源アラームは、システムがデュアル電源モードの場合にのみ生成されます。2 つ目の電源が接続された場合、 power-supply dual グローバル コンフィギュレーション コマンドを使用してデュアル電源モードの動作を設定します。

キーワード notifies を使用してアラーム トラップを SNMP ホストに送信する前に、snmp-server enable traps グローバル コンフィギュレーション コマンドを使用して SNMP サーバを設定してください。

次の例では、電源モニタリング アラームをマイナー リレー回路に送信する設定方法を示します。

Switch(config)# alarm facility power-supply relay minor

 
関連コマンド

コマンド
説明

show alarm settings

環境アラーム設定およびオプションが表示されます。

snmp-server enable traps

スイッチでさまざまなトラップの SNMP 通知をネットワーク管理システム(NMS)に送信できるようにします。

 

alarm facility temperature

プライマリ温度モニタリング アラームの設定または上限値が低いセカンダリ温度アラームしきい値を設定するには、alarm facility temperature グローバル コンフィギュレーション コマンドを使用します。温度モニタリング アラームの設定を削除またはセカンダリ温度アラームをディセーブルにするには、このコマンドの no 形式を使用します。

alarm facility temperature { primary { high | low | notifies | relay major | syslog } | secondary { high | low | notifies | relay major | syslog }}

no alarm facility temperature { primary { high | low | notifies | relay major | syslog } | secondary { high | low | notifies | relay major | syslog }}

 
構文の説明

high

プライマリ温度アラームまたはセカンダリ温度アラームの高温しきい値を設定します。指定できる範囲は、-238 ~ 572 ºF(-150 ~ 300 ºC)です。

low

プライマリ温度アラームまたはセカンダリ温度アラームの低温しきい値を設定します。指定できる範囲は、-328 ~ 482 ºF(-200 ~ 250 ºC)です。

notifies

プライマリ温度アラーム トラップまたはセカンダリ温度アラーム トラップを SNMP サーバに送信します。

relay major

プライマリ温度アラームまたはセカンダリ温度アラームがリレー回路に送信されます。

Syslog

プライマリ温度アラーム トラップまたはセカンダリ温度アラーム トラップを Syslog サーバに送信します。

 
デフォルト

プライマリ温度アラームは -4 ~ 203 ºF(-20 ~ 95 ºC)の範囲でイネーブルになっており、ディセーブルにできません。アラームはメジャー リレーに関連付けられています。セカンダリ温度アラームはデフォルトでディセーブルになっています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

プライマリ温度アラームは自動的にイネーブルになります。アラームはディセーブルにできませんが、アラーム オプションを設定できます。

プライマリ温度アラームの範囲は、high および low キーワードを使用して設定できます。

温度が最大プライマリ温度のしきい値よりも小さいしきい値に達した場合に高温アラームをトリガーするには、セカンダリ温度アラームを使用します。温度しきい値とアラーム オプションを設定できます。

notifies キーワードを使用してアラーム トラップを SNMP ホストに送信する前に、snmp-server enable traps グローバル コンフィギュレーション コマンドを使用して SNMP サーバを設定してください。

次の例では、セカンダリ温度の高温しきい値に 113 ºF(45 ºC)とアラームを設定し、トラップをマイナー リレー回路、syslog、および SNMP サーバに送信する方法を示します。

Switch(config)# alarm facility temperature secondary high 45
Switch(config)# alarm facility temperature secondary relay minor
Switch(config)# alarm facility temperature secondary syslog
Switch(config)# alarm facility temperature secondary notifies
 

次の例では、セカンダリ温度アラームをディセーブルにする方法を示します。

Switch(config)# no alarm facility temperature secondary 45
 

次の例では、プライマリ温度アラームを設定し、syslog とメジャー リレー回路にアラームとトラップを送信する方法を示します。

Switch(config)# alarm facility temperature primary syslog
Switch(config)# alarm facility temperature primary relay major

 
関連コマンド

コマンド
説明

show alarm settings

環境アラーム設定およびオプションが表示されます。

snmp-server enable traps

スイッチでさまざまなトラップ タイプ SNMP 通知を Network Management System(NMS;ネットワーク管理システム)に送信します。

alarm profile(グローバル コンフィギュレーション)

アラーム プロファイルを作成し、アラーム プロファイル コンフィギュレーション モードを開始するには、alarm profile グローバル コンフィギュレーション コマンドを使用します。アラーム プロファイルを削除するには、このコマンドの no 形式を使用します。

alarm profile name

no alarm profile name

 
構文の説明

name

アラームのプロファイル名です。

 
デフォルト

アラーム プロファイルは作成されません。

プロファイルを作成しても、アラームは 1 つもイネーブルになりません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

アラームプロファイル モードの使用可能なコマンド:

alarm alarm-id :特定のアラームがイネーブルになります。

exit :アラームプロファイル コンフィギュレーション モードを終了します。

help :インタラクティブ ヘルプ システムの説明が表示されます。

no: コマンドを無効にするか、デフォルトに設定します。

notifies alarm-id: アラームの通知がイネーブルになり、Simple Network Management Protocol(SNMP;簡易ネットワーク管理プロトコル)トラップが SNMP サーバに送信されます。

relay-major alarm-id :アラームがメジャー リレー回路に送信されます。

relay-minor alarm-id: アラームがマイナー リレー回路に送信されます。

syslog alarm-id: アラームが syslog ファイルに送信されます。

alarm-id には、アラーム ID を 1 つまたはスペースで区切って複数入力します。

キーワード notifies を使用してアラーム トラップを SNMP ホストに送信する前に、snmp-server enable traps グローバル コンフィギュレーション コマンドを使用して SNMP サーバを設定してください。

インターフェイスにはすべて、デフォルト プロファイルが存在します。 show alarm profile ユーザ EXEC コマンドを入力して defaultPort の出力を確認してください。

 

表 2-1 AlarmList ID 番号とアラームの説明

AlarmList ID
アラームの説明

1

リンク障害です。

2

ポートでフォワーディングされません。

3

ポートが動作していません。

4

FCS エラー レートがしきい値を超過しています。

アラーム プロファイルを作成すると、 alarm-profile インターフェイス コンフィギュレーション コマンドを使用して、プロファイルをインターフェイスに関連付けられます。

デフォルトでは、 defaultPort プロファイルはすべてのインターフェイスに適用されます。このプロファイルによって、ポートが動作していない(3)アラームのみがイネーブルになります。このプロファイルは、 alarm profile defaultPort グローバル コンフィギュレーション コマンドを使用し、アラーム プロファイル コンフィギュレーション モードを開始して変更できます。

次の例では、ポートのリンク障害(アラーム 1)とポートでフォワーディングされない(アラーム 2)アラームがイネーブルのアラーム プロファイル fastE を作成する方法を示します。リンク障害アラームはマイナー リレー回路に関連付けられており、ポートでフォワーディングされないアラームはメジャーリレー回路に関連付けられてます。このアラームは SNMP サーバに送信され、システム ログ ファイル(syslog)に書き込まれます。

Switch(config)# alarm profile fastE
Switch(config-alarm-prof)# alarm 1 2
Switch(config-alarm-prof)# relay major 2
Switch(config-alarm-prof)# relay minor 1
Switch(config-alarm-prof)# notifies 1 2
Switch(config-alarm-prof)# syslog 1 2
 

次の例では、my-profile という名前のアラーム リレー プロファイルを削除する方法を示します。

Switch(config)# no alarm profile my-profile

 
関連コマンド

コマンド
説明

alarm profile(インターフェイス コンフィギュレーション)

インターフェイスにアラーム プロファイルを関連付けます。

show alarm settings

アラーム プロファイルすべてまたは指定したアラーム プロファイルを表示し、それぞれのプロファイルが関連付けられているインターフェイスをリスト表示します。

snmp-server enable traps

スイッチでさまざまなトラップ タイプ SNMP 通知を Network Management System(NMS;ネットワーク管理システム)に送信します。

alarm profile(インターフェイス コンフィギュレーション)

アラーム プロファイルをポートに関連付けるには、alarm profile インターフェイス コンフィギュレーション コマンドを使用します。ポートからプロファイルの関連付けを解除するには、このコマンドの no 形式を使用します。

alarm profile name

no alarm profile

 
構文の説明

name

アラームのプロファイル名です。

 
デフォルト

アラーム プロファイル defaultPort がすべてのインターフェイスに適用されています。このプロファイルでは、ポートが動作していないアラームのみがイネーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

アラーム プロファイルを作成して、アラームを 1 つ以上イネーブルにし、アラーム オプションを指定するには、 alarm profile グローバル コンフィギュレーション コマンドを使用します。

インターフェイスに関連付けられるアラーム プロファイルは 1 つのみです。

アラーム プロファイルをインターフェイスに関連付けると、そのインターフェイスにすでに関連付けられていたアラーム プロファイルは上書きされます( defaultPort プロファイルを含む)。

次の例では、ポートにアラーム プロファイル fastE を関連付ける方法を示します。

Switch(config)# interface fastethernet1/2
Switch(config-if)# alarm profile fastE
 

次の例では、ポートからアラーム プロファイルの関連付けを解除して、 defaultPort プロファイルに戻す方法を示します。

Switch(config)# interface fastethernet1/2
Switch(config-if)# no alarm profile

 
関連コマンド.

コマンド
説明

alarm profile(グローバル コンフィギュレーション)

アラーム プロファイルを作成および指定して、アラームプロファイル コンフィギュレーション モードが開始されます。

show alarm settings

アラーム プロファイルすべてまたは指定したアラーム プロファイルを表示し、それぞれのプロファイルが関連付けられているインターフェイスをリスト表示します。

alarm relay-mode

スイッチのアラーム リレー モードをポジティブまたはネガティブに設定するには、 alarm relay-mode グローバル コンフィギュレーション コマンドを使用します。アラーム リレー モードをデフォルトに戻すには、このコマンドの no 形式を使用します。

alarm relay-mode { negative }

no alarm relay-mode { negative }

 
構文の説明

negative

アラーム リレー モードをネガティブに設定します。

 
デフォルト

デフォルトでは、アラーム リレーがオープンされると、ポジティブ モードに設定されます。スイッチの電源がオフの場合、アラーム リレーはすべてオープンです。アラーム イベントが 1 つ以上検出されると、アラーム リレーはクローズされます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

アラーム リレーの動作を元に戻すには、このコマンドを使用します。アラーム リレー モードがネガティブに設定されている場合、アラーム リレーは通常クローズされています。アラーム イベントが 1 つ以上検出されると、該当するアラーム リレーがオープンされます。

次の例では、アラーム リレーをネガティブ モードに設定する方法を示します。

Switch(config)# alarm relay-mode negative

 
関連コマンド

コマンド
説明

alarm profile(グローバル コンフィギュレーション)

アラーム プロファイルを作成および指定して、アラームプロファイル コンフィギュレーション モードが開始されます。

show alarm profile

アラーム プロファイルすべてまたは指定したアラーム プロファイルを表示し、それぞれのプロファイルが関連付けられているインターフェイスをリスト表示します。

show alarm settings

環境アラーム設定およびオプションが表示されます。

archive download-sw

新しいイメージを TFTP サーバからスイッチにダウンロードし、既存のイメージを上書きまたは保持するには、 archive download-sw 特権 EXEC コマンドを使用します。

archive download-sw { /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /no-version-check | /overwrite | /reload | /safe | /warm } source-url

 
構文の説明

/force-reload

ソフトウェア イメージのダウンロードが成功した後で無条件にシステムのリロードを強制します。

/imageonly

ソフトウェア イメージだけをダウンロードし、組み込みデバイス マネージャに関連する HTML ファイルはダウンロードしません。既存のバージョンの HTML ファイルは、既存のバージョンが上書きまたは削除されている場合にだけ削除されます。

/leave-old-sw

ダウンロードに成功した後で古いソフトウェア バージョンを保存します。

/no-set-boot

新しいソフトウェア イメージのダウンロードに成功した後に、BOOT 環境変数の設定が新しいソフトウェア イメージを指定するように変更されません。

/no-version-check

互換性のないイメージをインストールしないように確認せずに、ソフトウェア イメージをダウンロードします。

/overwrite

ダウンロードされたイメージで、フラッシュ メモリのソフトウェア イメージを上書きします。

/reload

変更された設定が保存されていない場合を除き、イメージのダウンロードに成功した後でシステムをリロードします。

/safe

現在のソフトウェア イメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェア イメージ用の領域を作る目的で現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。

/warm

イメージをダウンロードしたら、ストレージからイメージを読み取らずにスイッチをリロードします。

source-url

ローカルまたはネットワーク ファイル システム用の送信元 URL エイリアス。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Remote Copy Protocol(RCP)の構文: rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP の構文:
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。

 
デフォルト

現行のソフトウェア イメージは、ダウンロードされたイメージで上書きされません。

ソフトウェア イメージと HTML ファイルの両方がダウンロードされます。

新しいイメージは flash: ファイル システムにダウンロードされます。

BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを示すよう変更されます。

イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar フォーマットで提供されます。

ダウンロードするイメージでのバージョンの互換性がチェックされます。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。(HTML ファイルのない)Cisco IOS イメージだけがダウンロードされます。

/safe または /leave-old-sw オプションを指定すると、十分なフラッシュ メモリがない場合には新しいイメージのダウンロードが行われないようにすることができます。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合に、エラーが発生します。

/leave-old-sw オプションを使用し、新しいイメージをダウンロードしたときに古いイメージが上書きされなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除することができます。詳細については、「delete」を参照してください。


/no-version-check オプションの使用には注意が必要です。このオプションを使用すると、最初にイメージにスイッチとの互換性があることを確認せずにイメージをダウンロードできます。


フラッシュ デバイスのイメージをダウンロードされたイメージで上書きする場合は、 /overwrite オプションを使用します。

/overwrite オプション なし でこのコマンドを指定する場合、ダウンロード アルゴリズムは、新しいイメージが、スイッチ フラッシュ デバイスのイメージと同じではないことを確認します。イメージが同じである場合は、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。

新しいイメージをダウンロードした後で、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、または archive download-sw コマンドの /reload オプションか /force-reload オプションを指定してください。

次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチでイメージを上書きする方法を示します。

Switch# archive download-sw /overwrite tftp://172.20.129.10/test-image.tar
 

次の例では、172.20.129.10 の TFTP サーバからソフトウェア イメージだけをスイッチにダウンロードする方法を示します。

Switch# archive download-sw /imageonly tftp://172.20.129.10/test-image.tar
 

次の例では、ダウンロードに成功した後で古いソフトウェア バージョンを保存する方法を示します。

Switch# archive download-sw /leave-old-sw tftp://172.20.129.10/test-image.tar

 
関連コマンド

コマンド
説明

archive tar

tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

delete

フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。

archive tar

archive tar 特権 EXEC コマンドを使用して、tar ファイルの作成、tar ファイル内のファイルの一覧表示、または tar ファイルからのファイルの抽出を行います。

archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-url [ dir / file... ]}

 
構文の説明

/create destination-url flash:/ file-url

ローカルまたはネットワーク ファイル システムに新しい tar ファイルを作成します。

destination-url には、ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスおよび作成する tar ファイルの名前を指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

Remote Copy Protocol(RCP)の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、作成する tar ファイルです。

flash:/ file-url には、新しい tar ファイルが作成されるローカル フラッシュ ファイル システムの場所を指定します。

送信元ディレクトリ内のファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。

/table source-url

既存の tar ファイルの内容を画面に表示します。

source-url には、ローカル ファイル システムまたはネットワーク ファイル システムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文:
ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

RCP の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、表示する tar ファイルです。

/xtract source-url flash:/ file-url [ dir/file ...]

tar ファイルからローカル ファイル システムにファイルを抽出します。

source-url には、ローカル ファイル システムの 送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

RCP の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、抽出される tar ファイルです。

flash:/ file-url [ dir/file ...] には、tar ファイルが抽出されるローカル フラッシュ ファイル システムの場所を指定します。tar ファイルから抽出されるファイルまたはディレクトリのオプション リストを指定するには、 dir/file ... オプションを使用します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。

 
デフォルト

なし

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

イメージ名では、大文字と小文字が区別されます。

次の例では、tar ファイルを作成する方法を示します。このコマンドはローカル フラッシュ デバイスの new-configs ディレクトリの内容を、172.20.10.30 の TFTP サーバの saved.tar という名前のファイルに書き込みます。

Switch# archive tar /create tftp:172.20.10.30/saved.tar flash:/new-configs
 

次の例では、フラッシュ メモリに含まれるファイルの内容を表示する方法を示します。tar ファイルの内容が画面に表示されます。

Switch# archive tar /table flash:image_name-mz.122-release.tar
info (219 bytes)
image_name-mz.122-release/(directory)
image_name-mz.122-release(610856 bytes)
image_name-mz.122-release/info (219 bytes)
info.ver (219 bytes)
 

次の例は、 html ディレクトリおよびその内容だけを表示する方法を示します。

Switch# archive tar /table flash:image_name-mz.122-release.tar image_name-mz.122-release/html
image_name-mz.122-release/html/ (directory)
image_name-mz.122-release/html/const.htm (556 bytes)
image_name-mz.122-release/html/xhome.htm (9373 bytes)
image_name-mz.122-release/html/menu.css (1654 bytes)
<output truncated>
 

次の例では、172.20.10.30 のサーバにある tar ファイルの内容を抽出する方法を示します。ここでは、ローカル フラッシュ ファイル システムのルート ディレクトリに単に new-configs ディレクトリを抽出しています。 saved.tar ファイルの残りのファイルは無視されます。

Switch# archive tar /xtract tftp://172.20.10.30/saved.tar flash:/ new-configs

 
関連コマンド

コマンド
説明

archive download-sw

TFTP サーバからスイッチに新しいイメージをダウンロードします。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

 

archive upload-sw

archive upload-sw 特権 EXEC コマンドを使用して、既存のスイッチ イメージをサーバにアップロードします。

archive upload-sw [ /version version_string ] destination-url

 
構文の説明

/version version_string

(任意)アップロードするイメージの特定バージョン文字列を指定します。

destination-url

ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスです。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

Remote Copy Protocol(RCP)の構文: rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP の構文:
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、サーバに保存するソフトウェア イメージの名前です。

 
デフォルト

flash: ファイル システムから現在稼動中のイメージをアップロードします。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

組み込みデバイス マネージャに関連付けられている HTML ファイルが既存のイメージとともにインストールされている場合にだけ、アップロード機能を使用します。

ファイルは、Cisco IOS イメージ、HTML ファイル、info の順序でアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。

イメージ名では、大文字と小文字が区別されます。

次の例では、現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。

Switch# archive upload-sw tftp://172.20.140.2/test-image.tar

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードします。

archive tar

tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。

 

arp access-list

Address Resolution Protocol(ARP; アドレス解決プロトコル)Access Control List(ACL; アクセス コントロール リスト)を定義する場合、または以前定義したリストの最後にコマンドを追加する場合は、arp access-list グローバル コンフィギュレーション コマンドを使用します。指定された ARP アクセス リストを削除するには、このコマンドの no 形式を使用します。

arp access-list acl-name

no arp access-list acl-name

 
構文の説明

acl-name

ACL の名前

 
デフォルト

ARP アクセス リストは定義されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

arp access-list コマンドを入力すると、ARP アクセス リスト コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。

default :コマンドをデフォルト設定に戻します。

deny :パケットを拒否するように指定します。詳細については、「deny(ARP アクセス リスト コンフィギュレーション)」を参照してください。

exit :ARP アクセス リスト コンフィギュレーション モードを終了します。

no :コマンドを無効にするか、デフォルト設定に戻します。

permit :パケットを転送するように指定します。詳細については、「permit(ARP アクセス リスト コンフィギュレーション)」を参照してください。

指定された一致条件に基づいて ARP パケットを転送またはドロップするには、 permit または deny アクセス リスト コンフィギュレーション コマンドを使用します。

ARP ACL が定義されると、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用して VLAN に ARP ACL を適用できます。IP/MAC アドレス バインディングだけを含む ARP パケットが ACL と比較されます。それ以外のすべてのパケット タイプは、検証されずに、入力 VLAN 内でブリッジングされます。ACL がパケットを許可すると、スイッチがパケットを転送します。明示的拒否ステートメントによって ACL がパケットを拒否すると、スイッチがパケットをドロップします。暗黙拒否ステートメントによって ACL がパケットを拒否すると、スイッチはパケットを DHCP バインディングのリストと比較します。ただし、ACL が スタティック (パケットがバインディングと比較されない)である場合を除きます。

次の例では、ARP アクセス リストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を許可する方法を示します。

Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 00001.0000.abcd
Switch(config-arp-nacl)# end
 

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの比較による一致に基づいて ARP パケットを拒否します。

ip arp inspection filter vlan

スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。

permit(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの比較による一致に基づいて ARP パケットを許可します。

show arp access-list

ARP アクセス リストに関する詳細を表示します。

 

authentication control-direction

authentication control-direction インターフェイス コンフィギュレーション コマンドを使用して、ポート モードを単一方向または双方向に設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication control-direction {both | in}

no authentication control-direction

 
構文の説明

both

ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。

in

ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。

 
デフォルト

ポートは双方向モードに設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

デフォルト設定の双方向モードに戻すには、このコマンドの both キーワードまたは no 形式を使用します。

次の例では、双方向モードをイネーブルにする方法を示します。

Switch(config-if)# authentication control-direction both
 

次の例では、単一方向モードをイネーブルにする方法を示します。

Switch(config-if)# authentication control-direction in
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

authentication critical recovery delay

Auth Manager のクリティカルな回復遅延を設定するには、グローバル コンフィギュレーション モードで authentication critical recovery delay コマンドを使用します。以前に設定した回復遅延を削除するには、このコマンドの no 形式を使用します。

authentication critical recovery delay milliseconds

no authentication critical recovery delay

 
構文の説明

milliseconds

使用不可になっていた RADIUS サーバが使用可能になったときに、クリティカル ポートの再初期化を Auth Manager が待機する時間(ミリ秒単位)です。有効な値は 1 ~ 10000 です。

 
コマンド デフォルト

デフォルト遅延は 1000 ミリ秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例は、クリティカルな回復遅延時間を 1500 ミリ秒に設定する方法を示します。

Switch(config)# authentication critical recovery delay 1500
 

authentication event

authentication event インターフェイス コンフィギュレーション コマンドを使用して、ポートの特定の認証イベントに関するアクションを設定します。

authentication event {fail [action [authorize vlan vlan-id | next-method] {| retry {retry count}]} { no-response action authorize vlan vlan-id} {server {alive action reinitialize} | {dead action [authorize | reinitialize vlan vlan-id]}}

no authentication event {fail [action [authorize vlan vlan-id | next-method] {| retry {retry count}]} { no-response action authorize vlan vlan-id} {server {alive action reinitialize} | {dead action [authorize | reinitialize vlan vlan-id]}}

 
構文の説明

action

認証イベントの必須アクションを設定します。

alive

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバ稼動アクションを設定します。

authorize

ポートを認証します。

dead

AAA サーバ停止アクションを設定します。

fail

失敗認証のパラメータを設定します。

next-method

次の認証方式に移動します。

no-response

非応答ホスト アクションを設定します。

reinitialize

認証済みクライアントすべてを再初期化します。

retry

失敗認証後の再試行の試行をイネーブルにします。

retry count

0 ~ 5 の再試行の回数です。

server

AAA サーバ イベントのアクションを設定します。

vlan

1 ~ 4094 で認証失敗 VLAN を指定します。

vlan-id

1 ~ 4094 の VLAN ID 番号です。

イベント応答はポートに設定されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドに fail no-response 、または event キーワードを付けて使用して、特定のアクションのスイッチ応答を設定します。

server-dead イベントの場合:

スイッチが critical-authentication ステートに移ると、認証を試行している新しいホストが critical-authentication VLAN(またはクリティカル VLAN)に移動されます。ポートがシングルホスト モード、マルチホスト モード、マルチ認証モード、または MDA モードの場合、これが適用されます。認証済みホストは認証済み VLAN に残り、再認証タイマーはディセーブルになります。

クライアントで Windows XP を稼動し、クライアントが接続されているクリティカル ポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことを報告します。

Windows XP クライアントに DHCP が設定されており、DHCP サーバからの IP アドレスが設定されている場合に、クリティカル ポートで EAP 認証成功メッセージを受信しても、DHCP 設定プロセスは再初期化できません。

no-response イベントの場合:

IEEE 802.1x ポートでゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN(EAPOL)Request/Identity フレームに対する応答を受信しないか、EAPOL パケットがクライアントから送信されないと、スイッチではクライアントをゲスト VLAN に割り当てます。

スイッチは EAPOL パケット履歴を保持します。リンクの存続時間内に別の EAPOL パケットがポート上で検出された場合、ゲスト VLAN 機能はディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。EAPOL 履歴はクリアされます。

スイッチ ポートがゲスト VLAN(マルチホスト モード)に移動されると、IEEE 802.1x 対応でないクライアントに、アクセスが許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN を設定しているポートと同じポートに加わると、ポートは RADIUS 設定 VLAN またはユーザ設定アクセス VLAN の無許可ステートに移行し、認証が再開されます。

Remote Switched Port Analyzer(RSPAN; リモート スイッチド ポート アナライザ)VLAN、プライマリ プライベート VLAN、または音声 VLAN 以外のアクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN 機能は、アクセス ポートでだけサポートされます。内部 VLAN(ルーテッド ポート)またはトランク ポートではサポートされません。

MAC 認証バイパスが IEEE 802.1x ポートでイネーブルの場合に、EAPOL メッセージ交換を待機している間に IEEE802.1x 認証が期限切れになると、スイッチでは、クライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出した後で、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。

認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。

認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます(指定されていない場合)。

詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」の項を参照してください。

authentication-fail イベントの場合:

サプリカントが認証に失敗すると、ポートは制限 VLAN に移動され、EAP 成功メッセージがサプリカントに送信されます。これは、サプリカントには実際の認証の失敗が通知されないためです。

EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。

一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで DHCP を実装できません。

制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でだけサポートされます。ポートが制限 VLAN に配置されると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加されます。ポート上の他の MAC アドレスはすべてセキュリティ違反として扱われます。

レイヤ 3 ポートの内部 VLAN を制限 VLAN として設定することはできません。同じ VLAN を制限 VLAN としておよび音声 VLAN として指定することはできません。

制限 VLAN による再認証をイネーブルにしてください。再認証がディセーブルにされていると、制限 VLAN に含まれているポートでは、ディセーブルにされている場合に再認証要求を受け取りません。

再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブ経由で接続されている場合:

ホストが切断された場合にポートではリンクダウン イベントを受け取らないことがあります。

ポートでは、次の再認証試行が行われるまで、新しいホストを検出しないことがあります。

制限 VLAN を異なるタイプの VLAN として再設定すると、制限 VLAN のポートも移行され、それらは現在認証されたステートのままになります。

次の例では、authentication event fail コマンドの設定方法を示します。

Switch(config-if)# authentication event fail action authorize vlan 20
 

次の例では、応答なしアクションの設定方法を示します。

Switch(config-if)# authentication event no-response action authorize vlan 10
 

次の例では、サーバ応答アクションの設定方法を示します。

Switch(config-if)# authentication event server alive action reinitialize
 

次の例では、RADIUS サーバが使用できない場合に、新規および既存のホストをクリティカル VLAN に送信するようポートを設定する方法を示します。

Switch(config-if)# authentication event server dead action authorize vlan 10
 

次の例では、RADIUS サーバが使用できない場合に、新規および既存のホストをクリティカル VLAN に送信するようポートを設定する方法を示します。ポートをマルチホスト モードまたはマルチ認証モードにするには、このコマンドを使用します。

 
Switch(config-if)# authentication event server dead action reinitialize vlan 10
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

authentication fallback

authentication fallback インターフェイス コンフィギュレーション コマンドを使用して、IEEE 802.1x 認証をサポートしないクライアントに対し、Web 認証をフォールバック方式として使用するようにポートを設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication fallback name

no authentication fallback name

 
構文の説明

name

Web 認証のフォールバック プロファイルを指定します。

 
デフォルト

フォールバックはイネーブルではありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

フォールバック方式を設定する前に authentication port-control auto インターフェイス コンフィギュレーション コマンドを入力する必要があります。

Web 認証をフォールバック方式として設定できるのは、802.1x または MAB に対してだけです。したがってフォールバックできるようにするには、この認証方式の 1 つまたは両方を設定する必要があります。

次の例では、ポートのフォールバック プロファイルを指定する方法を示します。

Switch(config-if)# authentication fallback profile1
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

authentication host-mode

ポートで認証マネージャ モードを設定するには、 authentication host-mode インターフェイス コンフィギュレーション コマンドを使用します。

authentication host-mode [ multi-auth | multi-host | single-host ]

no authentication host-mode [multi-auth | multi-host | single-host ]

 
構文の説明

multi-auth

ポートのマルチ認証モード(multiauth モード)をイネーブルにします。

multi-host

ポートのマルチホスト モードをイネーブルにします。

single-host

ポートのシングルホスト モードをイネーブルにします。

 
デフォルト

シングルホスト モードがイネーブルにされています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

接続されているデータ ホストが 1 つだけの場合は、シングルホスト モードを設定する必要があります。シングルホスト ポートでの認証のために音声デバイスを接続しないでください。ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。

ハブ越しの 8 台までのデバイスに、個別の認証を通じて保護されたポート アクセスの取得を許可するには、マルチ認証モードを設定する必要があります。音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。

マルチホスト モードでも、ハブ越しの複数ホストのためのポート アクセスが提供されますが、マルチホスト モードでは、最初のユーザが認証された後でデバイスに対して無制限のポート アクセスが与えられます。

次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-auth
 

次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-host
 

次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode single-host
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

authentication mac-move permit

スイッチ上で MAC 移動をイネーブルにするには、authentication mac-move permit グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication mac-move permit

no authentication mac-move permit

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

MAC 移動はイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、スイッチの 802.1x 対応ポート間で認証ホストを移動できます。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。

MAC 移動は、ポート セキュリティ対応の 802.1x ポートではサポートされません。MAC 移動がスイッチ上でグローバルに設定され、ポート セキュリティ対応ホストが 802.1x 対応ポートに移動した場合、違反エラーが発生します。

次の例では、スイッチ上で MAC 移動をイネーブルにする方法を示します。

Switch(config)# authentication mac-move permit

 
関連コマンド

コマンド
説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

authentication open

authentication open インターフェイス コンフィギュレーション コマンドを使用して、ポートでオープン アクセスをイネーブルまたはディセーブルにします。オープン アクセスをディセーブルにするには、このコマンドの no 形式を使用します。

authentication open

no authentication open

 
デフォルト

オープン アクセスはディセーブルにされています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

認証の前にネットワーク アクセスを必要とするデバイスでは、オープン認証がイネーブルにされている必要があります。

オープン認証をイネーブルにしてあるときは、ポート ACL を使用してホスト アクセスを制限する必要があります。

次の例では、ポートのオープン アクセスをイネーブルにする方法を示します。

Switch(config-if)# authentication open
 

次の例では、ポートのオープン アクセスをディセーブルにするようポートを設定する方法を示します。

Switch(config-if)# no authentication open

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

 

authentication order

authentication order インターフェイス コンフィギュレーション コマンドを使用して、ポートで使用する認証方式の順序を設定します。

authentication order [dot1x | mab] {webauth}

no authentication order

 
構文の説明

dot1x

認証方式の順序に 802.1x を追加します。

mab

認証方式の順序に MAC Authentication Bypass(MAB; MAC 認証バイパス)を追加します。

webauth

認証方式の順序に Web 認証を追加します。

 
コマンド デフォルト

デフォルトの認証順序は dot1x mab 、および webauth の順です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。リスト内の方式の 1 つで成功しないと、次の方式が試行されます。

各方式は一度だけ試行できます。弾力的順序付けは、802.1x と MAB の間でだけ可能です。

Web 認証は、スタンドアロン方式として設定するか、順序において 802.1x または MAB のいずれかの後で最後の方式として設定することができます。Web 認証は dot1x または mab に対するフォールバックとしてだけ設定する必要があります。

次の例では、最初の認証方式として 802.1x を、2 番めの方式として MAB を、3 番めの方式として Web 認証を追加する方法を示します。

Switch(config-if)# authentication order dotx mab webauth
 

次の例では、最初の認証方式として MAC 認証バイパス(MAB)を、2 番めの認証方式として Web 認証を追加する方法を示します。

Switch(config-if)# authentication order mab webauth
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

mab

ポートの MAC 認証バイパスをイネーブルにします。

mab eap

Extensible Authentication Protocol(EAP)を使用するようポートを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

 

authentication periodic

authentication periodic インターフェイス コンフィギュレーション コマンドを使用して、ポートで再認証をイネーブルまたはディセーブルにします。再認証をディセーブルにする場合は、このコマンドの no 形式を入力します。

authentication periodic

no authentication periodic

 
コマンド デフォルト

再認証はディセーブルにされています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

定期的に再認証を行う間隔の時間を設定するには、 authentication timer reauthentication インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポートの定期的再認証をイネーブルにする方法を示します。

Switch(config-if)# authentication periodic
 

次の例では、ポートの定期的再認証をディセーブルにする方法を示します。

Switch(config-if)# no authentication periodic
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

authentication port-control

authentication port-control インターフェイス コンフィギュレーション コマンドを使用して、ポート許可ステートの手動制御をイネーブルにします。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication port-control {auto | force-authorized | force-un authorized}

no authentication port-control {auto | force-authorized | force-un authorized}

 
構文の説明

auto

ポートの IEEE 802.1x 認証をイネーブルにします。ポートは、IEEE 802.1x 認証情報のスイッチとクライアントの間での交換に基づいて、許可ステートまたは無許可ステートに変わります。

force-authorized

ポートの IEEE 802.1x 認証をディセーブルにします。ポートは、認証情報を交換することなく、許可ステートに変わります。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

force-un authorized

ポートへのアクセスをすべて拒否します。ポートは、クライアントによる認証の試行をすべて無視して、無許可ステートに変わります。スイッチはポートを介してクライアントに認証サービスを提供できません。

 
デフォルト

デフォルトの設定は force-authorized です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

auto キーワードは、次のいずれかのポート タイプでだけ使用してください。

トランク ポート:トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート:ダイナミック ポートは、ネイバーとネゴシエートして、トランク ポートになることができます。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとすると、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol(VQP))ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミック VLAN に変更しようとすると、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート:アクティブまたはアクティブでない EtherChannel メンバであるポートを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにすることができます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにすることができます。

スイッチで IEEE 802.1x 認証をグローバルにディセーブルにするには、no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポートで IEEE 802.1x 認証をディセーブルにするか、デフォルト設定に戻すには、no authentication port-control インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポート ステートを自動に設定する方法を示します。

Switch(config-if)# authentication port-control auto
 

次の例では、ポート ステートを force- authorized ステートに設定する方法を示します。

Switch(config-if)# authentication port-control force-authorized
 

次の例では、ポート ステートを force-unauthorized ステートに設定する方法を示します。

Switch(config-if)# authentication port-control force-unauthorized
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

 

authentication priority

authentication priority インターフェイス コンフィギュレーション コマンドを使用して、ポート プライオリティ リストに認証方式を追加します。

auth priority [dot1x | mab] {webauth}

no auth priority [dot1x | mab] {webauth}

 
構文の説明

dot1x

認証方式の順序に 802.1x を追加します。

mab

認証方式の順序に MAC Authentication Bypass(MAB; MAC 認証バイパス)を追加します。

webauth

認証方式の順序に Web 認証を追加します。

 
コマンド デフォルト

デフォルトのプライオリティは、802.1x 認証、MAC 認証バイパス、Web 認証の順です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。

ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。

異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。


) クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。


認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x 認証、MAC 認証バイパス、Web 認証の順です。このデフォルトの順序を変更するには、キーワード dot1x、mab、および webauth を使用します。

次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。

Switch(config-if)# authentication priority dotx webauth
 

次の例では、MAC 認証バイパス(MAB)を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。

Switch(config-if)# authentication priority mab webauth
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

mab

ポートの MAC 認証バイパスをイネーブルにします。

mab eap

Extensible Authentication Protocol(EAP)を使用するようポートを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

 

authentication timer

authentication timer インターフェイス コンフィギュレーション コマンドを使用して、802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication timer {{[inactivity | reauthenticate]} {restart value}}

no authentication timer {{[inactivity | reauthenticate]} {restart value}}

 
構文の説明

inactivity

この時間間隔を過ぎてもアクティビティがない場合に、クライアントが無許可にされる秒数です。

reauthenticate

自動再認証の試行が開始されるまで時間(秒)です。

restart

無許可ポートの認証の試行が行われるまでの間隔(秒)です。

value

1 から 65535 までの値(秒)を入力します。

 
デフォルト

キーワード inactivity および restart は、オフに設定されています。reauthenticate キーワードは 1 時間に設定されます。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

タイムアウト値を設定しないと、802.1x セッションは、無期限で認証されたままになります。他のホストではそのポートを使用できず、接続されているホストは、同じスイッチの別のポートに移動できません。

次の例では、認証非アクティビティ タイマーを 60 秒に設定する方法を示します。

Switch(config-if)# authentication timer inactivity 60
 

次の例では、再認証タイマーを 120 秒に設定する方法を示します。

Switch(config-if)# authentication timer restart 120
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

 

authentication violation

authentication violation インターフェイス コンフィギュレーション コマンドを使用して、新しいデバイスがポートに接続するとき、または最大数のデバイスがポートに接続されている状態で新しいデバイスがポートに接続するときに発生する違反モードを設定します。

authentication violation {protect | restrict | shutdown | replace}

no authentication violation {protect | restrict | shutdown | replace}

 
構文の説明

protect

予期しない着信 MAC アドレスがドロップされます。syslog エラーは生成されません。

restrict

違反エラーが発生し、着信 MAC アドレスがドロップされると、Syslog エラーが生成されます。

shutdown

エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。

replace

古いセッションを切断し、着信 MAC アドレスを使用して認証シーケンスを開始します。

 
デフォルト

デフォルトでは、authentication violation shutdown モードはイネーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation shutdown
 

次の例では、新しいデバイスがポートに接続された場合にシステム エラー メッセージを生成し、制限モードに切り替わるように IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation restrict
 

次の例では、新しいデバイスがポートに接続された場合にそのデバイスを無視するように IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation protect
 

次の例は、新しいデバイスがポートに接続された場合に、古いセッションを切断して、新しいデバイスを認証する単一ホスト モードである IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation replace
 

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

bandwidth

ポリシーマップ クラスの出力帯域幅を設定して、クラスベース均等化キューイング(CBWFQ)を設定するには、bandwidth ポリシーマップ クラス コンフィギュレーション コマンドを使用します。クラスの帯域幅設定を削除するには、このコマンドの no 形式を使用します。

bandwidth { rate | percent value | remaining percent value }

no bandwidth [ rate | percent value | remaining percent value ]

 
構文の説明

rate

クラスの帯域幅レートをキロビット/秒(kb/s)単位で設定します。指定できる範囲は 64 ~ 1000000 です。

percent value

合計帯域幅の割合としてクラスの帯域幅を設定します。指定できる範囲は 1 ~ 100% です。

remaining percent value

残りの帯域幅の割合としてクラスの帯域幅を設定します。指定できる範囲は 1 ~ 100% です。

 
デフォルト

帯域幅は定義されていません。

 
コマンド モード

ポリシー マップ クラス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

出力トラフィックを制御するには、 bandwidth ポリシーマップ クラス コマンドを使用します。 bandwidth コマンドは、そのクラス内のトラフィックの帯域幅を指定します。CBWFQ はクラスに割り当てられた帯域幅から、クラスに属するパケットの重み付けを取得し、この重み付けを使用して、このクラスのキューが適正に処理されるようにします。帯域幅設定は、入力ポリシー マップでサポートされません。

トラフィックのクラスの帯域幅を絶対レート(kb/s)または帯域幅に対する割合( percent value )として設定すると、その帯域幅はそのトラフィック クラスの最小帯域幅保証または認定情報レート(CIR)を表します。つまり、トラフィック クラスは最低でもコマンドにより指定された帯域幅を取得しますが、その帯域幅に制限されるわけではありません。ポートの超過帯域幅はすべて、設定済み CIR レートと同じ比率で各クラスに割り当てられます。

bandwidth remaining percent コマンドを入力すると、絶対帯域幅が保証されず、相対帯域幅のみが確認されます。クラスの帯域幅は、常に、ポートに設定された指定帯域幅の割合に比例します。

出力ポリシーで帯域幅を設定する場合、各帯域幅設定で同じ単位を指定する必要があります。つまり、すべての絶対値(レート)にするか、またはパーセントにします。

ポリシーの各キューにおける最小帯域幅保証の合計速度は、インターフェイスの合計速度を上回ることはできません。 percent キーワードが使用されている場合、クラスの帯域幅の割合の合計が 100% を超えることはできません。

queue-limit コマンドを使用してデフォルトのキュー制限を変更すると、インターフェイスに必要な最小帯域幅保証を満たすことができるため、高速のインターフェイスで特に重要です。

bandwidth ポリシーマップ クラス コンフィギュレーション コマンドを使用して CBWFQ を設定したり、 shape average コマンドを使用してポリシー マップの同じクラスのクラスベース シェーピングを設定したりすることはできません。

プライオリティ キューイング( priority ポリシーマップ クラス コンフィギュレーション コマンドを使用して設定)を含むクラスの帯域幅は設定できません。

次に、帯域幅(kbps)を設定することにより、出力キューの優先順位を設定する例を示します。クラス outclass1 outclass2 、および outclass3 は、それぞれ 50000、20000、および 10000 kb/s の最小帯域幅を取得します。クラス class-default は、最低限として、残りの帯域幅を取得します。

Switch(config)# policy-map out-policy
Switch(config-pmap)# class outclass1
Switch(config-pmap-c)# bandwidth 50000
Switch(config-pmap-c)# exit
Switch(config-pmap)# class outclass2
Switch(config-pmap-c)# bandwidth 20000
Switch(config-pmap-c)# exit
Switch(config-pmap)# class outclass3
Switch(config-pmap-c)# bandwidth 10000
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
Switch(config)# interface fastethernet 0/1
Switch(config-if)# service-policy output out-policy
Switch(config-if)# exit
 

次に、各トラフィック クラスに、使用可能な合計帯域幅の割合を割り当てることで、出力キューの優先順位を設定する例を示します。クラス outclass1 outclass2 および outclass3 は、それぞれ 50、20、および 10% の最小帯域幅を取得します。クラス class-default は、最低限 20% の帯域幅を取得します。

Switch(config)# policy-map out-policy
Switch(config-pmap)# class outclass1
Switch(config-pmap-c)# bandwidth percent 50
Switch(config-pmap-c)# exit
Switch(config-pmap)# class outclass2
Switch(config-pmap-c)# bandwidth percent 20
Switch(config-pmap-c)# exit
Switch(config-pmap)# class outclass3
Switch(config-pmap-c)# bandwidth percent 10
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
Switch(config)# interface fastethernet 0/1
Switch(config-if)# service-policy output out-policy
Switch(config-if)# exit
 

次に、プライオリティ キューとして outclass1 を設定し、プライオリティ キューが処理された後に outclass2 および outclass3 がそれぞれ残りの帯域幅の 50% および 20% を取得するように設定する例を示します。クラス class-default は、保証なしで、残りの 30% を取得します。

Switch(config)# policy-map out-policy
Switch(config-pmap)# class outclass1
Switch(config-pmap-c)# priority
Switch(config-pmap-c)# exit
Switch(config-pmap)# class outclass2
Switch(config-pmap-c)# bandwidth remaining percent 50
Switch(config-pmap-c)# exit
Switch(config-pmap)# class outclass3
Switch(config-pmap-c)# bandwidth remaining percent 20
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
Switch(config)# interface fastethernet 0/1
Switch(config-if)# service-policy output out-policy
Switch(config-if)# exit
 

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class

指定したクラスマップ名のトラフィック分類一致基準を定義します。

policy-map

複数のポートに接続可能なポリシー マップを作成または変更して、サービス ポリシーを指定します。

show policy-map

Quality of Service(QoS)ポリシー マップを表示します。

 

boot config-file

Cisco IOS がシステム設定の不揮発性コピーの読み書きに使用するファイル名を指定するには、 boot config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot config-file flash: / file-url

no boot config-file

 
構文の説明

flash:/ file-url

コンフィギュレーション ファイルのパス(ディレクトリ)および名前です。

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、flash:config.text です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細については、 付録 A「Cisco CGS 2520 スイッチのブート ローダー コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot enable-break

自動ブート プロセスの中断をイネーブルにするには、 boot enable-break グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot enable-break

no boot enable-break

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブル。コンソール上でブレーク キーを押しても自動ブート プロセスを中断することはできません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力すると、フラッシュ ファイル システムが初期化された後にブレーク キーを押して、自動ブート プロセスを中断できます。ブレーク キーは、オペレーティング システムごとに異なります。

UNIX を実行している SUN ワークステーションでは、Ctrl+C が ブレーク キーです。

Windows 2000 を実行する PC では、Ctrl+Break がブレーク キーとなります。

このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細については、 付録 A「Cisco CGS 2520 スイッチのブート ローダー コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot helper

boot helper グローバル コンフィギュレーション コマンドを使用して、ブート ローダー初期化中に動的にファイルをロードして、ブート ローダーの機能を拡張したり、パッチを当てたりします。このコマンドをデフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper filesystem :/ file-url ...

no boot helper

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ローダー初期化中に動的にロードするためのパス(ディレクトリ)およびロード可能なファイルのリストです。イメージ名はセミコロンで区切ります。

 
デフォルト

ヘルパー ファイルはロードされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、HELPER 環境変数の設定を変更します。詳細については、 付録 A「Cisco CGS 2520 スイッチのブート ローダー コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot helper-config-file

boot helper-config-file グローバル コンフィギュレーション コマンドを使用して、Cisco IOS ヘルパー イメージが使用するコンフィギュレーション ファイルの名前を指定します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルが、ロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper-config-file filesystem :/ file-url

no boot helper-config file

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ロードするパス(ディレクトリ)およびヘルパー コンフィギュレーション ファイル

 
デフォルト

ヘルパー コンフィギュレーション ファイルは指定されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細については、 付録 A「Cisco CGS 2520 スイッチのブート ローダー コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot manual

次回のブート サイクル中に、スイッチの手動起動をイネーブルにするには、 boot manual グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot manual

no boot manual

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

手動による起動はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

システムを次回リブートすると、スイッチはブート ローダー モードで起動します。これは switch: プロンプトによってわかります。システムを起動するには、 boot ブート ローダ コマンドを使用して、起動可能なイメージの名前を指定します。

このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細については、 付録 A「Cisco CGS 2520 スイッチのブート ローダー コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot private-config-file

Cisco IOS がプライベート設定の不揮発性コピーの読み書きに使用するファイル名を指定するには、 boot private-config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot private-config-file filename

no boot private-config-file

 
構文の説明

filename

プライベート コンフィギュレーション ファイルの名前

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、 private-config です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名は、大文字と小文字を区別します。

次の例では、プライベート コンフィギュレーション ファイルの名前を pconfig と指定する方法を示します。

Switch(config)# boot private-config-file pconfig

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot system

boot system グローバル コンフィギュレーション コマンドを使用して、次回のブート サイクル中にロードする Cisco IOS イメージを指定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot system filesystem:/file-url ...

no boot system

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ブート可能なイメージのパス(ディレクトリ)および名前。各イメージ名はセミコロンで区切ります。

 
デフォルト

スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムをブートしようとします。この変数が設定されていない場合、スイッチは、フラッシュ ファイル システム全体に再帰的に縦型検索し、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

archive download-sw 特権 EXEC コマンドを使用してシステム イメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。

このコマンドは、BOOT 環境変数の設定を変更します。詳細については、 付録 A「Cisco CGS 2520 スイッチのブート ローダー コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

channel-group

EtherChannel グループにイーサネット ポートを割り当てるには、 channel-group インターフェイス コンフィギュレーション コマンドを使用します。イーサネット ポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。

channel-group channel -group-number mode { active | { auto [ non-silent ] | desirable [ non-silent ] | on } | passive }

no channel-group

PAgP モード:
channel-group channel -group-number mode { auto [ non-silent ] | { desirable [ non-silent ]}

LACP モード:
channel-group channel -group-number mode {active | passive}

On モード:
channel-group channel -group-number mode on


) Link Aggregation Control Protocol(LACP)およびポート集約プロトコル(PAgP)は、ネットワーク ノード インターフェイス(NNI)または拡張ネットワーク インターフェイス(ENI)でだけ使用できます。activeautodesirable、および passive キーワードは、ユーザ ネットワーク インターフェイス(UNI)では表示されません。


 
構文の説明

channel-group-number

チャネル グループ番号を指定します。指定できる範囲は 1 ~ 48 です。

mode

EtherChannel モードを指定します。

active

無条件に LACP をイネーブルにします

active モードは、ポートをネゴシエーション ステートにします。このステートでは、ポートは LACP パケットを送信することによって、他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードの別のポート グループで形成されます。

auto

PAgP デバイスが検出された場合に限り、PAgP をイネーブルにします。

auto モードは、ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケット ネゴシエーションを開始することはありません。チャネルは、desirable モードの別のポート グループでだけ形成されます。 auto がイネーブルの場合、サイレント動作がデフォルトになります。

desirable

無条件に PAgP をイネーブルにします。

desirable モードは、ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。相手側のポート グループが desirable または auto モードの場合にチャネルが形成されます。 desirable がイネーブルの場合は、デフォルトでサイレント動作となります。

non-silent

(任意)他の装置からのトラフィックが予想されている場合に PAgP モードで auto または desirable キーワードとともに使用されます。

on

on モードをイネーブルにします。

on モードでは、使用可能な EtherChannel が存在するのは、両方の接続ポート グループが on モードになっている場合だけです。

passive

LACP 装置が検出された場合に限り、LACP をイネーブルにします。

passive モードは、ポートをネゴシエーション ステートにします。この場合、ポートは受信した LACP パケットに応答しますが、LACP パケット ネゴシエーションを開始することはありません。チャネルは、active モードの別のポート グループでだけ形成されます。

 
デフォルト

チャネル グループは割り当てることができません。

モードは設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

レイヤ 2 EtherChannel の場合、物理ポートをチャネル グループに割り当てる前に、先に interface port-channel グローバル コンフィギュレーション コマンドを使用してポートチャネル インターフェイスを作成しておく必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。論理インターフェイスがまだ作成されていない場合は、チャネル グループが最初の物理ポートを取得した時点で、自動的にポートチャネル インターフェイスが作成されます。最初にポートチャネル インターフェイスを作成する場合は、 channel-group-number port - channel-number と同じ番号にしても、新しい番号にしてもかまいません。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。

ポートが UNI または ENI の場合、 channel-group コマンドを使用する前に、no shutdown インターフェイス コンフィギュレーション コマンドを使用してポートをイネーブルにする必要があります。UNI と ENI は、デフォルトでディセーブルに設定されています。NNI はデフォルトでイネーブルです。

チャネル グループの一部である物理ポートに割り当てられた IP アドレスをディセーブルにする必要はありませんが、これをディセーブルにすることを強く推奨します。

interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポート チャネルの論理インターフェイスを手動で設定してください。

EtherChannel を設定した後、ポートチャネル インターフェイスに加えられた設定の変更は、そのポートチャネル インターフェイスに割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、設定を適用したポートだけに有効です。EtherChannel 内のすべてのポートのパラメータを変更するには、ポートチャネル インターフェイスに対してコンフィギュレーション コマンドを適用します。たとえば、spanning-tree コマンドを使用して、レイヤ 2 EtherChannel をトランクとして設定します。

auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものと見なされます。サイレント モードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレント パートナーの例は、トラフィックを生成しないファイル サーバ、またはパケット アナライザなどです。この場合、物理ポート上で稼動している PAgP は、そのポートを動作可能にしません。ただし、PAgP は動作可能で、チャネル グループにポートを付与したり、伝送用ポートを使用したりできます。リンクの両端はサイレントに設定することはできません。

on モードでは、使用可能な EtherChannel が存在するのは、 on モードのポート グループが、 on モードの別のポート グループに接続する場合だけです。


注意 モードを on に設定(手動設定)する場合は、慎重に実行する必要があります。on モードに設定したすべてのポートは、同じグループにバンドルされており、同様の特性を持つようになります。グループの設定を誤ると、パケット損失またはスパニング ツリー ループが発生することがあります。

EtherChannel は、PAgP と LACP の両方のモードには設定しないでください。PAgP および LACP が稼動している複数の EtherChannel グループは、同じスイッチ上で共存できます。個々の EtherChannel グループは PAgP または LACP のいずれかを実行できますが、相互運用することはできません。


) PAgP および LACP は、NNI および ENI 上でだけ使用できます。


channel-protocol インターフェイス コンフィギュレーション コマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイス コンフィギュレーション コマンドによっては上書きされません。

アクティブまたはアクティブでない EtherChannel メンバであるポートを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。

セキュア ポートを EtherChannel の一部として、または EtherChannel ポートをセキュア ポートとしては設定しないでください。

設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」の章を参照してください。


注意 物理 EtherChannel ポート上で、レイヤ 3 のアドレスをイネーブルにしないでください。物理 EtherChannel ポート上でブリッジ グループを割り当てることは、ループが発生する原因になるため、行わないでください。

次に、EtherChannel を設定する例を示します。VLAN 10 のスタティックアクセス ポート 2 つを PAgP モード desirable であるチャネル 5 に割り当てます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode desirable
Switch(config-if-range)# end
 

次に、EtherChannel を設定する例を示します。VLAN 10 のスタティックアクセス ポート 2 つを LACP モード active であるチャネル 5 に割り当てます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode active
Switch(config-if-range)# end
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-protocol

チャネリングを管理するため、ポート上で使用されるプロトコルを制限します。

interface port-channel

ポート チャネルへのアクセスや、ポート チャネルの作成を行います。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show lacp

LACP チャネル グループ情報を表示します。

show pagp

PAgP チャネル グループ情報を表示します。

show running-config

動作設定を表示します。構文情報については、Cisco IOS Release 12.2 のコマンド リファレンス一覧ページへアクセスする次のリンクを使用します。 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html
Cisco IOS Commands Master List, Release 12.2 」を選択して、コマンドの項目へ移動します。

channel-protocol

channel-protocol インターフェイス コンフィギュレーション コマンドを使用して、チャネリングを管理するために、ポート上で使用されるプロトコルを制限します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

channel-protocol { lacp | pagp }

no channel-protocol

 
構文の説明

lacp

Link Aggregation Control Protocol(LACP)で EtherChannel を設定します。

pagp

Port Aggregation Protocol(PAgP; ポート集約プロトコル)で EtherChannel を設定します。

 
デフォルト

EtherChannel に割り当てられているプロトコルはありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

channel-protocol コマンドは、チャネルを LACP または PAgP に制限するためだけに使用します。 channel-protocol コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイス コンフィギュレーション コマンドで上書きされることはありません。


) PAgP および LACP を使用できるのは、ネットワーク ノード インターフェイス(NNI)および拡張ネットワーク インターフェイス(ENI)上だけです。


ポートがユーザ ネットワーク インターフェイス(UNI)または ENI の場合、channel-protocol コマンドを使用する前に、no shutdown インターフェイス コンフィギュレーション コマンドを使用してポートをイネーブルにする必要があります。UNI と ENI は、デフォルトでディセーブルに設定されています。NNI はデフォルトでイネーブルです。

channel-group インターフェイス コンフィギュレーション コマンドは、EtherChannel のパラメータ設定に使用してください。また、 channel-group コマンドは、EtherChannel に対しモードを設定することもできます。

EtherChannel グループ上で、PAgP および LACP モードの両方をイネーブルにすることはできません。

PAgP と LACP には互換性がありません。両方ともチャネルの終端は同じプロトコルを使用する必要があります。

次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。

Switch(config-if)# channel-protocol lacp
 

設定を確認するには、 show etherchannel [ channel-group-number ] protocol 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel protocol

EtherChannel のプロトコル情報を表示します。

 

class

ポリシーを作成、変更、またはポリシーを設定する前にポリシーにシステムのデフォルト クラスを指定するクラスの名前を指定し、ポリシーマップ クラス コンフィギュレーション モードを開始するには、class ポリシーマップ コンフィギュレーション コマンドを使用します。ポリシー マップからクラスを削除するには、このコマンドの no 形式を使用します。

class { class-map-name| class-default }

no class { class-map-name| class-default }

 
構文の説明

class-map-name

class-map グローバル コンフィギュレーション コマンドを使用して作成されたクラス マップの名前。

class-default

システムのデフォルト クラス。このクラスは、すべての分類されないトラフィックと一致します。デフォルト クラスは作成または削除できません。

 
デフォルト

ポリシー マップ クラスは定義されていません。

 
コマンド モード

ポリシー マップ コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ポリシーマップ コンフィギュレーション モードで class class-map-name コマンドを使用する前に、 class-map class-map-name グローバル コンフィギュレーション コマンドを使用して、クラスを作成する必要があります。 class-default クラスは、トラフィックが設定されているクラス マップのいずれの一致基準とも一致しない場合に、そのトラフィックが送られるクラスです。

ポリシー マップを指定し、ポリシーマップ コンフィギュレーション モードを開始するには、 policy-map グローバル コンフィギュレーション コマンドを使用します。ポリシー マップを指定すると、ポリシー マップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりすることができます。

入力ポリシー マップの最大クラス数は 64 + class-default です。

service-policy インターフェイス コンフィギュレーション コマンドを使用して、ポリシー マップをポートへ添付することができます。

class コマンドを入力すると、ポリシー マップ クラス コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。

bandwidth ポリシー マップに属しているクラスに割り当てる帯域幅を指定します。詳細については、 bandwidth コマンドを参照してください。

exit :ポリシー マップ クラス コンフィギュレーション モードを終了し、ポリシー マップ コンフィギュレーション モードに戻ります。

no :コマンドをデフォルト設定に戻します。

police :分類したトラフィックにそれぞれポリサーまたは集約ポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate(ポリシーマップ クラス コンフィギュレーション) ポリシーマップ クラス コマンドを参照してください。

priority :このクラスに厳密なスケジューリング プライオリティを設定します。または、 police キーワードと併用して、ポリシングを含むプライオリティを設定します。詳細については、 priority ポリシーマップ クラス コマンドを参照してください。

queue-limit :重み付きテール ドロップ(WTD)のキューの最大しきい値を設定します。詳細については、 queue-limit コマンドを参照してください。

service-policy QoS サービス ポリシーを設定して、入力ポリシーまたは出力ポリシーの親ポリシー マップに適用します。詳細については、 service-policy(ポリシーマップ クラス コンフィギュレーション) コマンドを参照してください。

set :分類したトラフィックに割り当てる値を指定します。詳細については、 set コマンドを参照してください。

shape average :平均トラフィック シェーピング レートを指定します。詳細については、 shape average コマンドを参照してください。

ポリシー マップ コンフィギュレーション モードに戻るには、 exit コマンドを使用します。特権 EXEC モードに戻るには、 end コマンドを使用します。

次に、ポリシー マップ policy1 を作成し、クラス class1 を定義し、ポリシーマップ クラス コンフィギュレーション モードを開始してクラスの基準を設定する例を示します。

Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# exit
 

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class-map

名前を指定したクラスとパケットとの照合に使用されるクラス マップを作成します。

policy-map

複数のポートに接続可能なポリシー マップを作成または変更して、サービス ポリシーを指定します。

show policy-map

QoS ポリシー マップを表示します。

show policy-map interface [ interface-id ]

(任意)指定したインターフェイスまたはすべてのインターフェイスに設定されているポリシー マップを表示します。

class-map

指定した基準とパケットのマッチングに使用されるクラス マップを作成し、クラスマップ コンフィギュレーション モードを開始するには、 class-map グローバル コンフィギュレーション コマンドを使用します。既存のクラス マップを削除する場合は、このコマンドの no 形式を使用します。

class-map [ match-all | match-any ] class-map-name

no class-map [ match-all | match-any ] class-map-name

 
構文の説明

match-all

(任意)このクラス マップ内のすべての一致ステートメントの論理積をとります。パケットがすべての一致基準を満たす必要があります。

match-any

(任意)このクラス マップ内の一致ステートメントの論理和をとります。パケットが 1 つまたは複数の一致基準を満たす必要があります。

class-map-name

クラス マップ名です。

 
デフォルト

クラス マップは定義されていません。

match-all または match-any のいずれのキーワードも指定しない場合、デフォルトは match-all です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

クラスマップ一致基準を作成または変更するクラスの名前を指定し、クラスマップ コンフィギュレーション モードを開始する場合は、このコマンドを使用します。

スイッチでは、最大 1024 の一意のクラス マップをサポートしています。

ポート単位で適用されるグローバルに名付けられたサービス ポリシーの一部としてパケット分類を定義するには、 class-map コマンドとクラスマップ コンフィギュレーション モードを使用します。クラス マップを設定したら、1 つまたは複数の match コマンドを使用して一致基準を指定できます。入力インターフェイスまたは出力インターフェイスのいずれかに到達( service-policy インターフェイス コンフィギュレーション コマンドの設定によって決定されます)するパケットは、クラスマップの一致基準に照らしてチェックされ、パケットがそのクラスに属しているかどうかが判断されます。

match-all クラス マップは、パケットがすべてのエントリと一致する必要があり、他の一致ステートメントがない可能性があることを意味します。

クラスマップ コンフィギュレーション モードを開始すると、次のコンフィギュレーション コマンドが利用できます。

description :クラス マップを説明します(最大 200 文字)。 show class-map 特権 EXEC コマンドを実行すると、クラス マップの説明と名前が表示されます。

exit :QoS クラスマップ コンフィギュレーション モードを終了します。

match :分類基準を設定します。詳細については、 match クラスマップ コンフィギュレーション コマンドを参照してください。

no :クラス マップから一致ステートメントを削除します。

次の例は、 class1 というクラス マップの設定方法を示します。デフォルトでは、クラス マップは match-all であるため、他の一致基準が含まれない場合があります。

Switch(config)# class-map class1
Switch(config-cmap)# exit
 

次の例は、一致基準が 1 つの match-any クラス マップ(アクセス リスト 103 )を設定する方法を示します。このクラス マップ(ACL に一致)は、入力ポリシー マップでだけサポートされます。

Switch(config)# class-map class2
Switch(config-cmap)# match access-group 103
Switch(config-cmap)# exit
 

次の例では、クラス マップ cla ss1 を削除する方法を示します。

Switch(config)# no class-map class1
 

show class-map 特権 EXEC コマンドを入力すると、設定を確認できます。

 
関連コマンド

コマンド
説明

class

指定したクラスマップ名のトラフィック分類一致基準を定義します。

match access-group

指定したアクセス コントロール リスト(ACL)に基づいて、クラス マップの一致基準を設定します

match cos

レイヤ 2 サービス クラス(CoS)マーキングに基づいて、クラス マップの一致基準を設定します。

match ip dscp

特定の IPv4 の DiffServ コード ポイント(DSCP)値に基づいて、クラス マップの一致基準を設定します。

match ip precedence

IPv4 precedence 値に基づいて、クラス マップの一致基準を設定します。

match qos-group

特定の Quality of Service(QoS)グループ値に基づいて、クラス マップの一致基準を設定します。

match vlan

VLAN ID または一連の VLAN ID に基づいて、階層型ポリシー マップの親ポリシーのクラス マップの一致基準を設定します。

policy-map

複数のポートに接続可能なポリシー マップを作成または変更して、サービス ポリシーを指定します。

show class-map

QoS クラス マップを表示します。

 

clear ip arp inspection log

ダイナミック アドレス解決プロトコル(ARP)インスペクション ログ バッファを消去するには、 clear ip arp inspection log 特権 EXEC コマンドを使用します。

clear ip arp inspection log

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例では、ログ バッファの内容をクリアする方法を示します。

Switch# clear ip arp inspection log
 

ログがクリアされたかどうかを確認するには、 show ip arp inspection log 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP Access Control List(ACL; アクセス コントロール リスト)を定義します。

ip arp inspection log-buffer

ダイナミック ARP 検査ロギング バッファを設定します。

ip arp inspection vlan logging

VLAN 単位で記録するパケットのタイプを制御します。

show ip arp inspection log

ダイナミック ARP 検査ログ バッファの設定と内容を表示します。

 

clear ip arp inspection statistics

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査の統計情報をクリアするには、 clear ip arp inspection statistics 特権 EXEC コマンドを使用します

clear ip arp inspection statistics [ vlan vlan-range ]

 
構文の説明

vlan vlan-range

(任意)指定された 1 つ以上の VLAN の統計情報をクリアします。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例では、VLAN 1 の統計情報をクリアする方法を示します。

Switch# clear ip arp inspection statistics vlan 1
 

統計情報が削除されたかどうかを確認するには、 show ip arp inspection statistics vlan 1 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip arp inspection statistics

すべての VLAN または指定された VLAN の転送済みパケット、ドロップ済みパケット、MAC 検証に失敗したパケット、および IP 検証に失敗したパケットの統計情報を表示します。

 

clear ip dhcp snooping

DHCP バインディング データベース エージェント統計情報または DHCP スヌーピング統計情報カウンタを消去するには、 clear ip dhcp snooping 特権 EXEC コマンドを使用します。

clear ip dhcp snooping { binding {* | ip-address | interface interface-id | vlan vlan-id } | database statistics | statistics }

 
構文の説明

binding

DHCP スヌーピング バインディング データベースをクリアします。

*

すべての自動バインディングをクリアします。

ip-address

バインディング エントリ IP アドレスをクリアします。

interface interface-id

バインディング入力インターフェイスをクリアします。

vlan vlan-id

バインディング エントリ VLAN をクリアします。

database statistics

DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアします。

database statistics

DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアします。

statistics

DHCP スヌーピング統計カウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは統計情報をクリアする前にバインディング データベースおよびバインディング ファイル内のエントリを更新しません。

次の例では、DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアする方法を示します。

Switch# clear ip dhcp snooping database statistics
 

統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

次の例では、DHCP スヌーピング統計カウンタをクリアする方法を示します。

Switch# clear ip dhcp snooping statistics
 

統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping statistics ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

VLAN 上で DHCP スヌーピングをイネーブルにします。

ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定します。

show ip dhcp snooping binding

DHCP スヌーピング データベース エージェントのステータスを表示します。

show ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントの統計情報を表示します。

show ip dhcp snooping statistics

DHCP スヌーピングの統計情報を表示します。

 

clear ipc

Interprocess Communication(IPC; プロセス間通信)プロトコルの統計情報をクリアするには、 clear ipc 特権 EXEC コマンドを使用します。

clear ipc { queue-statistics | statistics }

 
構文の説明

queue-statistics

IPC キューの統計情報をクリアします。

statistics

IPC の統計情報をクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

clear ipc statistics コマンドを使用してすべての統計情報をクリアできますが、 clear ipc queue-statistics コマンドを使用してキューの統計情報だけをクリアすることもできます。

次の例では、すべての統計情報をクリアする方法を示します。

Switch# clear ipc statistics
 

次の例では、キューの統計情報だけをクリアする方法を示します。

Switch# clear ipc queue-statistics
 

統計情報が削除されたかどうかを確認するには、 show ipc rpc または show ipc session 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ipc { rpc | session }

IPC マルチキャスト ルーティングの統計情報を表示します。

clear ipv6 dhcp conflict

Dynamic Host Configuration Protocol for IPv6(DHCPv6)サーバ データベースからアドレス競合をクリアするには、 clear ipv6 dhcp conflict 特権 EXEC コマンドを使用します。

clear ipv6 dhcp conflict {* | IPv6-address}


) このコマンドは、スイッチでメトロ IP アクセス イメージが稼動しており、スイッチにデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にだけ使用できます。


 
構文の説明

*

すべてのアドレス競合をクリアします。

IPv6-address

競合するアドレスを含むホスト IPv6 アドレスをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | routing | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

競合を検出するように DHCPv6 サーバを設定する場合、DHCPv6 サーバは ping を使用します。クライアントはネイバー探索を使用してクライアントを検出し、DECLINE メッセージを介してサーバに報告します。アドレス競合が検出されると、このアドレスはプールから削除されます。管理者がこのアドレスを競合リストから削除するまでこのアドレスは割り当てられません。

アドレス パラメータとしてアスタリスク(*)文字を使用すると、DHCP はすべての競合をクリアします。

次の例では、DHCPv6 サーバ データベースからすべてのアドレス競合をクリアする方法を示します。

Switch# clear ipv6 dhcp conflict *

 
関連コマンド

コマンド
説明

show ipv6 dhcp conflict

DHCPv6 サーバによって検出された、またはクライアントから DECLINE メッセージにより報告されたアドレス競合を表示します。

 

clear l2protocol-tunnel counters

プロトコル トンネル ポートのプロトコル カウンタを消去するには、 clear l2protocol-tunnel counters 特権 EXEC コマンドを使用します。

clear l2protocol-tunnel counters [ interface-id ]

このコマンドは、スイッチでメトロ IP アクセス イメージまたはメトロ アクセス イメージが稼動している場合にのみサポートされます。

 
構文の説明

interface-id

(任意)プロトコル カウンタをクリアするインターフェイス(物理インターフェイスまたはポート チャネル)を指定します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

スイッチまたは指定されたインターフェイスのプロトコル トンネル カウンタをクリアするには、このコマンドを使用します。

次の例では、インターフェイスのレイヤ 2 プロトコル トンネル カウンタをクリアする方法を示します。

Switch# clear l2protocol-tunnel counters gigabitethernet0/2

 
関連コマンド

コマンド
説明

show l2protocol-tunnel

レイヤ 2 プロトコル トンネリングが設定されたポートに関する情報を表示します。

 

clear lacp

Link Aggregation Control Protocol(LACP)チャネル グループのカウンタをクリアするには、 clear lacp 特権 EXEC コマンドを使用します。

clear lacp { channel-group-number counters | counters }


) LACP を使用できるのは、ネットワーク ノード インターフェイス(NNI)および拡張ネットワーク インターフェイス(ENI)上だけです。


 
構文の説明

channel-group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 48 です。

counters

トラフィックのカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

clear lacp counters コマンドを使用することで、カウンタをすべてクリアできます。また、指定のチャネル グループのカウンタだけをクリアする場合には、 clear lacp channel-group-number counters コマンドを使用します。

次の例では、すべてのチャネル グループ情報をクリアする方法を示します。

Switch# clear lacp counters
 

次の例では、グループ 4 の LACP トラフィックのカウンタをクリアする方法を示します。

Switch# clear lacp 4 counters
 

情報が削除されたかどうかを確認するには、 show lacp counters または show lacp 4 counters 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show lacp

LACP チャネル グループ情報を表示します。

clear logging onboard

フラッシュ メモリに保存されている稼働時間と CLI コマンド情報以外のすべてのオンボード障害ロギング(OBFL)を消去するには、 clear logging onboard 特権 EXEC コマンドを使用します。

clear logging onboard [ module { slot-number | all }]

 
構文の説明

module { slot-number | all }

(任意)スロット番号は常に 1 で、CGS 2520 には関連しません。 clear logging onboard module 1 または clear logging onboard all を入力した結果は、 clear logging onboard を入力した結果と同じになります。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

OBFL はイネーブルにしておき、フラッシュ メモリに保存されたデータは消さないようにすることを推奨します。

次の例に、稼働時間と CLI コマンド情報以外のすべての OBFL 情報を消去する方法を示します。

Switch# clear logging onboard
Clear logging onboard buffer [confirm]
PID: CGS-2520-24TC , VID: 03 , SN: FOC1225U4CY
 
Switch# clear logging onboard module all
Clear logging onboard buffer [confirm]
PID: CGS-2520-24TC , VID: 03 , SN: FOC1225U4CY
 

情報が消去されたかどうかを確認するには、 show logging onboard onboard 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

hw-module module logging onboard

OBFL をイネーブルにします。

show logging onboard

OBFL 情報を表示します。

 

clear mac address-table

特定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、または特定の VLAN 上のすべてのダイナミック アドレスを MAC アドレス テーブルから削除するには、 clear mac address-table 特権 EXEC コマンドを使用します。このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }

 
構文の説明

dynamic

すべてのダイナミック MAC アドレスを削除します。

dynamic address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

dynamic interface interface-id

(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。

dynamic vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4096 です。

notification

履歴テーブルの通知をクリアし、カウンタをリセットします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。

Switch# clear mac address-table dynamic address 0008.0070.0007
 

show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

mac address-table notification

MAC アドレス通知機能をイネーブルにします。

show mac address-table

MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。

show mac address-table notification

すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。

snmp trap mac-notification change

特定のインターフェイス上の Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)MAC アドレス通知トラップをイネーブルにします。

clear mac address-table move update

MAC アドレス テーブルの移行更新関連カウンタをクリアするには、 clear mac address-table move update 特権 EXEC コマンドを使用します。

clear mac address-table move update

このコマンドは、スイッチでメトロ IP アクセス イメージまたはメトロ アクセス イメージが稼動している場合にのみサポートされます。

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例では、MAC アドレス テーブル移行更新関連カウンタをクリアする方法を示します。

Switch# clear mac address-table move update
 

show mac address-table move update 特権 EXEC コマンドを入力することにより、情報がクリアされたかどうかを確認できます。

 
関連コマンド

コマンド
説明

mac address-table move update

スイッチ上の MAC アドレス テーブル移行更新を設定します。

show mac address-table move update

スイッチに MAC アドレス テーブル移行更新情報を表示します。

 

clear pagp

Port Aggregation Protocol(PAgP; ポート集約プロトコル)チャネル グループ情報を表示するには、 clear pagp 特権 EXEC コマンドを使用します

clear pagp { channel-group-number counters | counters }


) PAgP を使用できるのは、ネットワーク ノード インターフェイス(NNI)および拡張ネットワーク インターフェイス(ENI)上だけです。


 
構文の説明

channel- group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 48 です。

counters

トラフィックのカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

すべてのカウンタをクリアするには、 clear pagp counters コマンドを使用します。また、 clear pagp channel-group-number counters コマンドを使用すると、指定のチャネル グループのカウンタだけをクリアできます。

次の例では、すべてのチャネル グループ情報をクリアする方法を示します。

Switch# clear pagp counters
 

次の例では、グループ 10 の PAgP トラフィックのカウンタをクリアする方法を示します。

Switch# clear pagp 10 counters
 

情報が削除されたかどうかを確認するには、 show pagp 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show pagp

PAgP チャネル グループ情報を表示します。

clear policer cpu uni-eni counters

コントロール プレーン ポリサー統計情報を消去するには、 clear policer cpu uni-eni counters 特権 EXEC コマンドを使用します。 コントロール プレーン ポリサーは、ユーザ ネットワーク インターフェイス(UNI)および拡張ネットワーク インターフェイス(ENI)から制御パケットをドロップまたはレート制限して、CPU を過負荷から保護します。

clear policer cpu uni-eni counters { classification | drop }

 
構文の説明

classification

機能によって統計情報を維持するコントロールプレーン ポリサー分類カウンタを消去します。

drop

コントロールプレーン ポリサーで維持されるすべてのフレーム ドロップ統計情報を消去します。

 
コマンド デフォルト

デフォルトは定義されていません。

 
コマンド モード

ユーザ EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、機能またはドロップされたフレームに関する統計情報ごとに維持される統計情報を消去できます。

clear コマンドを使用する前後に機能の統計情報またはドロップされたフレームを表示するには、 show platform policer cpu classification コマンドまたは show policer cpu uni drop コマンドを入力します。

 
関連コマンド

コマンド
説明

show platform policer cpu classification

機能ごとの CPU ポリサー統計情報を表示します。

show policer cpu uni-eni

スイッチの CPU ポリサー情報を表示します。

 

clear port-security

MAC アドレス テーブルからすべてのセキュア アドレスを削除するか、スイッチまたはインターフェイス上の特定のタイプ(設定済み、ダイナミック、またはスティッキ)のすべてのセキュア アドレスを削除するには、 clear port-security 特権 EXEC コマンドを使用します。

clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | {access | voice}}]]

 
構文の説明

all

すべてのセキュア MAC アドレスを削除します。

configured

設定済みセキュア MAC アドレスを削除します。

dynamic

ハードウェアによって自動学習されたセキュア MAC アドレスを削除します。

sticky

自動学習または設定済みセキュア MAC アドレスを削除します。

address mac-addr

(任意)指定されたダイナミック セキュア MAC アドレスを削除します。

interface interface-id

(任意)指定された物理ポートまたは VLAN 上のすべてのダイナミック セキュア MAC アドレスを削除します。

vlan

(任意)指定された VLAN から指定されたセキュア MAC アドレスを削除します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。

vlan-id :トランク ポート上で、クリアする必要のあるアドレスの VLAN の VLAN ID を指定します。

access :アクセス ポートで、アクセス VLAN 上の指定されたセキュア MAC アドレスをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例では、MAC アドレス テーブルからすべてのセキュア アドレスを削除する方法を示します。

Switch# clear port-security all
 

次の例では、MAC アドレス テーブルから特定の設定済みセキュア アドレスを削除する方法を示します。

Switch# clear port-security configured address 0008.0070.0007
 

次の例では、特定のインターフェイスで学習されたすべてのダイナミック セキュア アドレスを削除する方法を示します。

Switch# clear port-security dynamic interface gigabitethernet0/1
 

次の例では、アドレス テーブルからすべてのダイナミック セキュア アドレスを削除する方法を示します。

Switch# clear port-security dynamic
 

show port-security 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

switchport port-security

インターフェイス上でポート セキュリティをイネーブルにします。

switchport port-security mac-address mac-address

セキュア MAC アドレスを設定します。

switchport port-security maximum value

セキュア インターフェイスにセキュア MAC アドレスの最大数を設定します。

show port-security

インターフェイスまたはスイッチに定義されたポート セキュリティ設定を表示します。

clear rep counters

指定したインターフェイスまたはすべてのインターフェイスの Resilient Ethernet Protocol(REP; レジリエント イーサネット プロトコル)カウンタをクリアするには、 clear rep counters 特権 EXEC コマンドを使用します。

clear rep counters [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)カウンタをクリアする REP インターフェイスを指定します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

すべての REP カウンタをクリアするには、 clear rep counters コマンドを使用します。また、clear rep counters interface interface-id コマンドを使用すると、そのインターフェイスのカウンタだけをクリアできます。

clear rep counters コマンドを入力すると、 show interface rep detail コマンドの出力に表示されるカウンタだけをクリアできます。SNMP に表示されるカウンタは読み取り専用であるため、クリアできません。

次の例では、すべての REP インターフェイスのすべての REP カウンタをクリアする方法を示します。

Switch# clear rep counters
 

REP 情報が削除されたかどうかを確認するには、 show interfaces rep detail 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces rep detail

REP の設定およびステータス情報の詳細を表示します。

 

clear scada modbus tcp server statistics

MODBUS TCP サーバおよびクライアントの統計情報を消去するには、 clear scada modbus tcp server statistics グローバル コンフィギュレーション コマンドを使用します。

clear scada modbus tcp server statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

Switch# clear scada modbus tcp server statistics
 

統計情報が消去されたかどうかを確認するには、 show scada modbus tcp server [ connections ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

scada modbus tcp server

スイッチ上で MODBUS TCP をイネーブルにします。スイッチは、MODBUS TCP サーバとして機能します。

show scada modbus tcp server [ connections ]

サーバ情報および統計情報を表示します。クライアント情報および統計情報を表示するには、connection キーワードを使用します。

clear spanning-tree counters

スパニング ツリーのカウンタをクリアするには、 clear spanning-tree counters 特権 EXEC コマンドを使用します

clear spanning-tree counters [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)指定のインターフェイスのスパニング ツリー カウンタをすべてクリアします。有効なインターフェイスは、物理ネットワーク ノード インターフェイス(NNI)、スパニング ツリーがイネーブルになっている拡張ネットワーク インターフェイス(ENI)、VLAN、スパニング ツリー ポート チャネルなどです。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 48 です。

(注) スパニング ツリー プロトコル(STP)は、ユーザ ネットワーク インターフェイス(UNI)ではサポートされていません。このコマンドは、コマンドラインのヘルプには表示されますが、STP を実行していない UNI または ENI では無効です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

interface-id が指定されていない場合は、すべての STP ポートのスパニング ツリー カウンタが消去されます。

次の例は、すべての STP ポートのスパニング ツリー カウンタを消去する方法を示します。

Switch# clear spanning-tree counters

 
関連コマンド

コマンド
説明

show spanning-tree

スパニング ツリー ステート情報を表示します。

clear spanning-tree detected-protocols

すべてのスパニング ツリー インターフェイスまたは指定されたインターフェイスで、プロトコル移行プロセスを再開する(ネイバー スイッチと強制的に再ネゴシエーションさせる)には、 clear spanning-tree detected-protocols 特権 EXEC コマンドを使用します

clear spanning-tree detected-protocols [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスは、物理ネットワーク ノード インターフェイス(NNI)、スパニング ツリーがイネーブルになっている拡張ネットワーク インターフェイス(ENI)、VLAN、ポート チャネルなどです。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 48 です。

(注) スパニング ツリー プロトコル(STP)は、ユーザ ネットワーク インターフェイス(UNI)ではサポートされていません。このコマンドは、コマンドラインのヘルプには表示されますが、STP を実行していない UNI または ENI では無効です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

Rapid Per-VLAN Spanning-Tree Plus(Rapid PVST+)プロトコルまたは Multiple Spanning-Tree Protocol(MSTP)が稼動するスイッチは、組み込み済みのプロトコル移行メカニズムをサポートしています。それによって、スイッチはレガシー IEEE 802.1D スイッチと相互に動作できるようになります。Rapid PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信した場合は、そのポートで IEEE 802.1D BPDU だけを送信します。Multiple Spanning-Tree(MST)スイッチが、レガシー BPDU、別のリージョンに関連付けられた MST BPDU(バージョン 3)、または Rapid Spanning-Tree(RST; 高速スパニング ツリー)BPDU(バージョン 2)を受信したときは、そのポートがリージョンの境界にあることを検知します。

ただし、それ以上 IEEE 802.1D BPDU を受信しなければ、スイッチが自動的に Rapid-PVST+ または MSTP モードに戻ることはありません。レガシー スイッチが指定スイッチでない限り、スイッチはレガシー スイッチがリンクから削除されたことを検出できません。この状況では、 clear spanning-tree detected-protocols コマンドを使用します。

次の例では、ポートでプロトコル移行プロセスを再開する方法を示します。

Switch# clear spanning-tree detected-protocols interface gigabitethernet0/1

 
関連コマンド

コマンド
説明

show spanning-tree

スパニング ツリー ステート情報を表示します。

spanning-tree link-type

デフォルト リンクタイプ設定を上書きし、スパニング ツリーがフォワーディング ステートに高速移行できるようにします。

 

clear vmps statistics

VLAN Query Protocol(VQP)クライアントが保持する統計情報を消去するには、 clear vmps statistics 特権 EXEC コマンドを使用します。

clear vmps statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例では、VLAN Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)統計情報をクリアする方法を示します。

Switch# clear vmps statistics
 

情報が削除されたかどうかを確認するには、 show vmps statistics 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show vmps

VQP バージョン、再確認間隔、再試行回数、VMPS IP アドレス、および現在のサーバとプライマリ サーバを表示します。

conform-action

レートを適合バーストよりも小さくすることによって、認定情報レート(CIR)または最大情報レート(PIR)に適合するパケットのポリシーマップ クラスのアクションを複数設定するには、 conform-action ポリシーマップ クラス ポリシング コンフィギュレーション コマンドを使用します。アクションをキャンセルしたり、デフォルト アクションに戻したりする場合は、このコマンドの no 形式を使用します。

conform-action { drop | set-cos-transmit { new-cos-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-dscp-transmit { new-dscp-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-prec-transmit { new-precedence-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-qos-transmit qos-group-value | transmit ]}

no conform-action { drop | set-cos-transmit { new-cos-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-dscp-transmit { new-dscp-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-prec-transmit { new-precedence-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-qos-transmit qos-group-value | transmit ]}

 
構文の説明

drop

パケットをドロップします。

set-cos-transmit new-cos-value

パケットの新しいサービス クラス(CoS)値を設定し、パケットを送信します。これにより、マーキング アクションの to - type が指定されます。新規 CoS 値に指定できる範囲は 0 ~ 7 です。

set-dscp-transmit new-dscp-value

パケットの新しい DiffServ コード ポイント(DSCP)値を設定し、パケットを送信します。これにより、マーキング アクションの to - type が指定されます。新規 DSCP 値に指定できる範囲は 0 ~ 63 です。

set-prec-transmit new-precedence-value

パケットの新しい IP precedence 値を設定し、パケットを送信します。これにより、マーキング アクションの to - type が指定されます。新規 IP precedence 値に指定できる範囲は 0 ~ 7 です。

set-qos-transmit qos-group-value

パケットの新しい Quality of Service(QoS)グループ値を設定し、パケットを送信します。これにより、マーキング アクションの to - type が指定されます。新規 QoS 値に指定できる範囲は 0 ~ 99 です。

cos

(任意)着信パケットの CoS 値に基づき上記のキーワードに指定されているパケット マーキングを設定し、パケットを送信します。これにより、拡張パケットマーキング アクションの from - type が指定されます。

dscp

(任意)着信パケットの DSCP 値に基づき上記のキーワードに指定されているパケット マーキングを設定し、パケットを送信します。これにより、拡張パケットマーキング アクションの from - type が指定されます。

precedence

(任意)着信パケットの IP precedence 値に基づき上記のキーワードに指定されているパケット マーキングを設定し、パケットを送信します。これにより、拡張パケットマーキング アクションの from - type が指定されます。

table table-map name

(任意)上記の from-type キーワードとともに使用します。拡張パケット マーキングに使用するテーブル マップを指定します。このテーブル マップを使用して、アクションの from-type パラメータに基づき、アクションの to-type がマーキングされます。

transmit

(任意)パケットを変更せずに送信します。

 
デフォルト

デフォルトの適合アクションは、パケットの送信です。

 
コマンド モード

ポリシーマップ クラス ポリシング設定

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

パケット レートが設定されている適合バーストよりも少ない場合に、パケットの適合アクションを設定します。

適合アクションが drop に設定されている場合、超過アクションおよび違反アクションは自動的に drop に設定されます。

適合アクション マーキングを設定するには、拡張パケット マーキングを使用して、任意の着信 QoS マーキングおよびテーブル マップに基づき QoS マーキングを変更します。また、スイッチは、同じクラスの複数の QoS パラメータの同時マーキングと適合アクション、超過アクション、および違反アクション マーキングをサポートします。

ポリシーマップ クラス ポリシング コンフィギュレーション モードにアクセスするには、 police ポリシーマップ クラス コマンドを入力します。詳細については、 police ポリシーマップ クラス コンフィギュレーション コマンドを参照してください。

トラフィック クラスに 1 つ以上の適合アクションを設定するには、このコマンドを使用します。

次の例は、23000 ビット/秒(bps)の認定情報レートおよび 10000 bps の適合バースト レートを設定するポリシー マップの複数の適合アクションを設定する方法を示します。このポリシー マップには、複数の適合アクション(DSCP 用およびレイヤ 2 CoS 用)および超過アクションが含まれます。

Switch(config)# policy-map map1
Switch(config-pmap)# class cos-set-1
Switch(config-pmap-c)# police cir 23000 bc 10000
Switch(config-pmap-c-police)# conform-action set-dscp-transmit 48
Switch(config-pmap-c-police)# conform-action set-cos-transmit 5
Switch(config-pmap-c-police)# exceed-action drop
Switch(config-pmap-c-police)# exit
 

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class

指定したクラスマップ名のトラフィック分類一致基準を定義します。

exceed-action

CIR を超過するトラフィックに対して実行するアクションを定義します。

policy-map

複数のポートに接続可能なポリシー マップを作成または変更して、サービス ポリシーを指定します。

police

分類したトラフィックにポリサーを定義します。

show policy-map

QoS ポリシー マップを表示します。

violate-action

適合レートに超過バーストを加えたレートよりも大きいレートのトラフィックで実行されるアクションを定義します。

copy logging onboard module

オンボード障害ロギング(OBFL)データをローカル ネットワークまたは特定のファイル システムにコピーするには copy logging onboard module 特権 EXEC コマンドを使用します。

copy logging onboard module [ slot-number ] destination

 
構文の説明

slot-num ber

(任意)スロット番号は常に 1 で、CGS 2520 には関連しません。

destination

ローカル ネットワーク上またはファイル システム上にある、システム メッセージのコピー先とする場所を指定します。

destination には、ローカルまたはネットワーク ファイル システム上のコピー先の場所とファイル名を指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:/ filename

FTP の構文:
ftp:// username : password @ host / filename

HTTP サーバの構文:
http:// [[ username : password ] @ ]{ hostname | host-ip }[ / direct o ry ] /filename

null ファイル システムの構文:
null:/ filename

NVRAM の構文:
nvram:/ filename

Remote Copy Protocol(RCP)の構文: rcp:// username @ host / filename

スイッチ ファイル システムの構文:
system: filename

TFTP の構文:
tftp: [[ // location ] / directory ] / filename

一時ファイル システムの構文:
tmpsys:/ filename

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

OBFL については、 hw-module module logging onboard グローバル コンフィギュレーション コマンドを参照してください。

次の例は、フラッシュ ファイル システムの obfl_file ファイルに OBFL データ メッセージをコピーする方法を示します。

Switch# copy logging onboard module flash:obfl_file
OBFL copy successful

 
関連コマンド

コマンド
説明

hw-module module logging onboard

OBFL をイネーブルにします。

show logging onboard

OBFL 情報を表示します。

 

cpu traffic qos cos

コントロール プレーン トラフィックのサービス クラス(CoS)に基づいて Quality of Service(QoS)マーキングを設定するには、グローバル コンフィギュレーション モードで cpu traffic qos cos コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cpu traffic qos cos { cos_value | cos [table-map table-map-name ] | dscp [table-map table-map-name ] | precedence [table-map table-map-name ]}

no cpu traffic qos cos { cos_value | cos [table-map table-map-name ] | dscp [table-map table-map-name ] | precedence [table-map table-map-name ]}

 
構文の説明

cos-value

CoS 値を指定します。指定できる範囲は 0 ~ 7 です。CoS 値が設定されていない場合、各パケットのプロトコル固有のデフォルト値が適用されます。

cos

テーブルマップを使用して、パケットの CoS 値に基づく CoS 値を設定します。

table-map table-map-name

パケットの CoS 値に基づく CPU トラフィック CoS のマーキングに使用するテーブルマップを指定します。

dscp

テーブルマップを使用して、パケットの DSCP 値に基づく CoS 値を設定します。

table-map table-map-name

パケットの DSCP 値に基づく CPU トラフィック CoS のマーキングに使用するテーブルマップを指定します。

precedence

precedence 値を設定します。指定できる範囲は 0 ~ 7 です。

table-map table-map-name

パケットの IP-precedence 値に基づく CPU トラフィック CoS のマーキングに使用するテーブルマップを指定します。

 
コマンド デフォルト

コントロール プレーン(CPU)トラフィックは QoS ではマーキングされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

必要なテーブルマップを設定してから、CPU トラフィックのマーキングまたはキューイングを設定します。

この機能はスイッチでグローバルに設定する必要があります。ポート単位またはプロトコル単位では設定できません。

個別の回線上でそれぞれ cpu traffic qos マーキング アクションを入力します。

cpu traffic qos cos グローバル コンフィギュレーション コマンドは、特定の CoS 値またはテーブル マップの両方ではなく、いずれかを使用して、CPU 生成トラフィックの CoS マーキングを設定します。新しく設定を行うと、既存の設定は置き換えられます。

cpu traffic qos cos グローバル コンフィギュレーション コマンドがテーブル マップで設定されている場合、一度に 2 つの map from 値(CoS と DSCP または precedence のいずれか)を設定できます。

cpu traffic qos cos グローバル コンフィギュレーション コマンドが IP-DSCP または IP-precedence の map from 値だけで設定されている場合、次のようになります。

IP パケットの CoS 値は、パケットの IP-DSCP(または IP-precedence)値および設定されたテーブル マップを使用してマッピングされます。パケットは、マーキングされた CoS 値に基づいて、出力ポリシー マップで分類し、キューイングできます。

非 IP パケットの CoS 値は変わりません。

cpu traffic qos cos グローバル コンフィギュレーション コマンドが CoS の map from 値で設定されている場合、次のようになります。

IP パケットの CoS 値は、パケットの CoS 値および設定されたテーブル マップを使用してマッピングされています。パケットは、マーキングされた CoS 値に基づいて、出力ポリシー マップで分類し、キューイングできます。

非 IP パケットの CoS 値は、パケットの CoS 値および設定されたテーブル マップを使用してマッピングされています。パケットは、マーキングされた CoS 値に基づいて、出力ポリシー マップで分類し、キューイングできます。

cpu traffic qos cos グローバル コンフィギュレーション コマンドが DSCP または precedence および CoS の map from 値で設定されている場合、次のようになります。

IP パケットの CoS 値は、パケットの DSCP または precedence 値および設定されたテーブル マップを使用してマッピングされています。パケットは、マーキングされた CoS 値に基づいて、出力ポリシー マップで分類し、キューイングできます。

非 IP パケットの CoS 値は、パケットの CoS 値および設定されたテーブル マップを使用してマッピングされています。パケットは、マーキングされた CoS 値に基づいて、出力ポリシー マップで分類し、キューイングできます。

次に、パケットの DSCP 値に基づいて CPU 生成 IP トラフィック(IP-SLA および TWAMP を含む)の CoS をマーキングし、CoS 値に基づいて出力キューイングを設定する例を示します。

この設定例の結果は次のとおりです。

CPU によって生成されたすべての IP トラフィックは、DSCP 値および output-policy という設定済み出力ポリシー マップに基づいて出力ポートのキューに格納される。

音声トラフィックをシミュレートする DSCP 値が ef のすべての IP SLA または TWAMP プローブが voice クラスに割り当てられている。

音声トラフィックをシミュレートする DSCP 値が af41 af42 および af43 のすべての IP SLA または TWAMP が video クラスに割り当てられている。

DSCP 値が 48 および 56 のすべての IP 制御プロトコル トラフィックが network-internetwork-control クラスに割り当てられている。

残りの IP トラフィックがデフォルト クラスに割り当てられている。

CoS 5 のすべての CPU 生成非 IP トラフィックが voice クラスに割り当てられている。

CoS 3 のすべての CPU 生成非 IP トラフィックが video クラスに割り当てられている。

CoS 6 および 7 のすべての CPU 生成非 IP トラフィックが network-internetwork-control クラスに割り当てられている。

CoS 5 のすべての CFM トラフィックが voice クラスに割り当てられている。

CoS 3 のすべての CFM トラフィックが video クラスに割り当てられている。

CoS 6 および 7 のすべての CFM トラフィックが network-internetwork-control クラスに割り当てられている。

テーブル マップ:

Switch(config)# table-map dscp-to-cos
Switch(config-tablemap)# map from 46 to 5
Switch(config-tablemap)# map from 48 to 6
Switch(config-tablemap)# map from 56 to 7
Switch(config-tablemap)# map from af41 to 3
Switch(config-tablemap)# map from af42 to 3
Switch(config-tablemap)# map from af43 to 3
Switch(config-tablemap)# default 0
Switch(config-tablemap)# end

CPU QoS:

Switch(config)# cpu traffic qos cos dscp table-map dscp-to-cos
Switch(config)# cpu traffic qos cos cos

クラス:

Switch(config)# class-map match-any video
Switch(config-cmap)# match cos 3
Switch(config-cmap)# exit
 
Switch(config)# class-map match-any voice
Switch(config-cmap)# match cos 5
Switch(config-cmap)# exit
 
Switch(config)# class-map match-any network-internetwork-control
Switch(config-cmap)# match cos 6 7
Switch(config-cmap)# exit

ポリシー:

Switch(config)# policy-map output-policy
Switch(config-pmap)# class voice
Switch(config-pmap-c)# priority
Switch(config-pmap-c)# police cir 10000000
Switch(config-pmap-c)# exit
Switch(config-pmap)# class video
Switch(config-pmap-c)# bandwidth percent 40
Switch(config-pmap-c)# exit
Switch(config-pmap)# class network-internetwork-control
Switch(config-pmap-c)# bandwidth percent 10
Switch(config-pmap-c)# exit
Switch(config-pmap)# class class-default
Switch(config-pmap-c)# bandwidth percent 30
Switch(config-pmap-c)# exit

インターフェイス

Switch(config)# interface fastethernet0/1
Switch(config-if)# service-policy output output-policy
Switch(config-pmap-c)# exit

 
関連コマンド

コマンド
説明

class-map

指定した基準とパケットのマッチングに使用されるクラス マップを設定し、クラスマップ コンフィギュレーション モードを開始します。

cpu traffic qos dscp

コントロール プレーン トラフィックの DSCP に基づく Quality of Service(QoS)マーキングを設定します。

cpu traffic qos precedence

コントロール プレーン トラフィックの優先順位に基づく Quality of Service(QoS)マーキングを設定します。

cpu traffic qos qos-group

サービス クラス(CoS)、IP DiffServ コード ポイント(DSCP)、または IP-precedence パケット マーキングを変更せずに、 すべての CPU 生成トラフィックを出力ポリシーマップの 1 つのクラスにマッピングします。

policy-map

複数の物理ポートに適用できるポリシー マップを設定し、ポリシーマップ コンフィギュレーション モードを開始します。

show cpu traffic qos

CPU トラフィックに設定される QoS マーキングを表示します。

show policy-map

指定されたポリシー マップ名、インターフェイス、入力/出力ポリシー マップ、またはポリシーマップ クラスの QoS ポリシー マップ情報を表示します。

show running-config

設定済みのクラス マップ、ポリシー マップ、テーブル マップ、および集約ポリサーを表示します。

show table-map

すべての設定済みテーブル マップまたは指定されたテーブル マップの情報を表示します。

table-map

Quality of Service(QoS)マッピングを設定し、テーブルマップ コンフィギュレーション モードを開始します。

 

cpu traffic qos dscp

コントロール プレーン トラフィックの DiffServ コード ポイント(DSCP)値に基づいて Quality of Service(QoS)マーキングを設定するには、グローバル コンフィギュレーション モードで cpu traffic qos dscp コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cpu traffic qos dscp { dscp_value | cos [table-map table-map-name ] | dscp [table-map table-map-name ] | precedence [table-map table-map-name ]}

no cpu traffic qos dscp { dscp_value | cos [table-map table-map-name ] | dscp [table-map table-map-name ] | precedence [table-map table-map-name ]}

 
構文の説明

dscp-value

IP-DSCP 値を指定します。指定できる範囲は 0 ~ 63 です。IP-DSCP 値が設定されていない場合、各パケットのプロトコル固有のデフォルト値が適用されます。

cos

テーブル マップを使用して、パケットの IP-DSCP 値に基づく CoS 値を設定します。

table-map table-map-name

パケットの CoS 値に基づく CPU トラフィック IP-DSCP のマーキングに使用するテーブルマップを指定します。

dscp

テーブル マップを使用して、パケットの IP-DSCP に基づく IP-DSCP 値を設定します。

table-map table-map-name

パケットの IP-DSCP 値に基づく CPU トラフィック IP-DSCP のマーキングに使用するテーブルマップを指定します。

precedence

テーブル マップを使用して、パケットの IP-precedence 値に基づく IP-precedence 値を設定します。

table-map table-map-name

パケットの IP-precedence 値に基づく CPU トラフィック IP-DSCP 値のマーキングに使用するテーブルマップを指定します。

 
コマンド デフォルト

コントロール プレーン(CPU)トラフィックは QoS ではマーキングされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

この機能はスイッチでグローバルに設定する必要があります。ポート単位またはプロトコル単位では設定できません。

個別の回線上でそれぞれ cpu traffic qos マーキング アクションを入力します。

cpu traffic qos dscp グローバル コンフィギュレーション コマンドは、特定の DSCP 値またはテーブル マップの両方ではなく、いずれかを使用して、CPU 生成 IP トラフィックの IP-DSCP マーキングを設定します。新しく設定を行うと、既存の設定は置き換えられます。

cpu traffic qos dscp グローバル コンフィギュレーション コマンドと cpu traffic qos precedence グローバル コンフィギュレーション コマンドは相互に排他的です。新しく設定を行うと、既存の設定は置き換えられます。

cpu traffic qos dscp グローバル コンフィギュレーション コマンドがテーブル マップで設定されている場合、一度に 1 つの map from 値(DSCP、precedence、または CoS)しか設定できません。新しく設定を行うと、既存の設定は置き換えられます。このコマンドでマーキングされたパケットは、マーキングされた DSCP 値または precedence 値に基づいて、出力ポリシー マップで分類し、キューイングできます。

DSCP および precedence 両方の map from 値は設定できません。新しく設定を行うと、既存の設定は置き換えられます。

次に、CPU 生成 IP パケットの DSCP 値に基づいて出力キューイングを設定する例を示します。

この設定例の結果は次のとおりです。

IP DSCP 値および設定済み出力ポリシー マップ output-policy に基づく、出力ポート上のすべての CPU 生成 IP トラフィック キュー。

音声トラフィックをシミュレートする DSCP 値が ef のすべての IP SLA または TWAMP プローブが voice クラスに割り当てられている。

音声トラフィックをシミュレートする DSCP 値が af41 af42 および af43 のすべての IP SLA または TWAMP が video クラスに割り当てられている。

DSCP 値が 48 および 56 のすべての IP 制御プロトコル トラフィックが network-internetwork-control クラスに割り当てられている。

残りの IP トラフィックがデフォルト クラスに割り当てられている。

すべての CPU 生成非 IP トラフィックが、スタティックに出力ポートの固定キューにマッピングされている。

CoS に基づくクラスが存在しないため、すべての CFM トラフィックがデフォルト クラスにキューイングされている。

Switch(config)# cpu traffic qos dscp dscp

クラス:

Switch(config)# class-map match-any video
Switch(config-cmap)# match ip dscp af41 af42 af43
Switch(config-cmap)# exit
 
Switch(config)# class-map match-any voice
Switch(config-cmap)# match ip dscp ef
Switch(config-cmap)# exit
 
Switch(config)# class-map match-any network-internetwork-control
Switch(config-cmap)# match ip dscp 48 56
Switch(config-cmap)# exit

ポリシー:

Switch(config)# policy-map output-policy
Switch(config-pmap)# class voice
Switch(config-pmap-c)# priority
Switch(config-pmap-c)# police cir 10000000
Switch(config-pmap-c)# exit
Switch(config-pmap)# class video
Switch(config-pmap-c)# bandwidth percent 40
Switch(config-pmap-c)# exit
Switch(config-pmap)# class network-internetwork-control
Switch(config-pmap-c)# bandwidth percent 10
Switch(config-pmap-c)# exit
Switch(config-pmap)# class class-default
Switch(config-pmap-c)# bandwidth percent 30
Switch(config-pmap-c)# exit

インターフェイス

Switch(config)# interface fastethernet0/1
Switch(config-if)# service-policy output output-policy
Switch(config-pmap-c)# exit
 

次の例を示します。

パケットの DSCP 値に基づいて CPU 生成 IP トラフィック(IP-SLA および TWAMP を含む)の DSCP 値をマーキングする。

パケットの DSCP 値に基づいて CPU 生成 IP トラフィック(IP-SLA および TWAMP を含む)の CoS をマーキングする。

パケットの CoS 値に基づいて CPU 生成非 IP トラフィックの CoS をマーキングする。

QoS グループが付いたすべての CPU 生成トラフィックをマーキングする。

QoS グループに基づいて出力キューイングを設定する。

この例の結果は次のとおりです。

DSCP 値が 46 48 、および 56 のすべての CPU 生成 IP トラフィックでは、既存のマーキングが維持される。

その他のすべての CPU 生成 IP パケットについては、DSCP 値は 0 にリセットされる。

DSCP 値が 46 48 、および 56 のすべての CPU 生成 IP トラフィックは、それぞれ対応する CoS 値 5 6 、および 7 にマッピングされる。

その他のすべての CPU 生成 IP パケットについては、CoS 値は 0 にリセットされる。

CoS 値が 5 6 、および 7 のすべての CPU 生成非 IP トラフィックでは、既存のマーキングが維持される。

その他のすべての CPU 生成非 IP パケットについては、CoS 値は 0 にリセットされる。

すべての CPU 生成トラフィックは、 cpu-traffic という 1 つのクラスを通過する。 user-voice クラスである user-voice および user-video は、ユーザ トラフィック用に確保されています。その結果、CPU トラフィックおよびユーザ トラフィックは出力ポートのさまざまなキューに分割されています。

テーブルマップ

Switch(config)# table-map dscp-to-cos
Switch(config-tablemap)# map from 46 to 5
Switch(config-tablemap)# map from 48 to 6
Switch(config-tablemap)# map from 56 to 7
Switch(config-tablemap)# default 0
Switch(config-tablemap)# end
 
Switch(config)# table-map dscp-to-dscp
Switch(config-tablemap)# map from 46 to 46
Switch(config-tablemap)# map from 48 to 48
Switch(config-tablemap)# map from 56 to 56
Switch(config-tablemap)# default 0
Switch(config-tablemap)# end
 
Switch(config)# table-map cos-to-cos
Switch(config-tablemap)# map from 5 to 5
Switch(config-tablemap)# map from 6 to 6
Switch(config-tablemap)# map from 7 to 7
Switch(config-tablemap)# default 0
Switch(config-tablemap)# end

CPU QoS:

Switch(config)# cpu traffic qos dscp dscp table-map dscp-to-dscp
Switch(config)# cpu traffic qos cos dscp table dscp-to-cos
Switch(config)# cpu traffic qos cos cos table cos-to-cos
Switch(config)# cpu traffic qos qos-group 50

クラス:

Switch(config)# class-map match-any cpu-traffic
Switch(config-cmap)# match qos-group 50
Switch(config-cmap)# exit
 
Switch(config)# class-map match-any user-video
Switch(config-cmap)# match cos 3
Switch(config-cmap)# exit
 
Switch(config)# class-map match-any user-voice
Switch(config-cmap)# match cos 5
Switch(config-cmap)# exit

ポリシー:

Switch(config)# policy-map output-policy
Switch(config-pmap)# class user-voice
Switch(config-pmap-c)# priority
Switch(config-pmap-c)# police cir 10000000
Switch(config-pmap-c)# exit
Switch(config-pmap)# class user-video
Switch(config-pmap-c)# bandwidth percent 40
Switch(config-pmap-c)# exit
Switch(config-pmap)# class cpu-traffic
Switch(config-pmap-c)# bandwidth percent 10
Switch(config-pmap-c)# exit
Switch(config-pmap)# class class-default
Switch(config-pmap-c)# bandwidth percent 30
Switch(config-pmap-c)# exit

インターフェイス:

Switch(config)# interface fastethernet0/1
Switch(config-if)# service-policy output output-policy
Switch(config-pmap-c)# exit

 
関連コマンド

コマンド
説明

class-map

指定した基準とパケットのマッチングに使用されるクラス マップを設定し、クラスマップ コンフィギュレーション モードを開始します。

cpu traffic qos cos

コントロール プレーン トラフィックのサービス クラス(CoS)マーキングを設定します。

cpu traffic qos precedence

コントロール プレーン トラフィックの優先順位に基づく Quality of Service(QoS)マーキングを設定します。

cpu traffic qos qos-group

サービス クラス(CoS)、IP DiffServ コード ポイント(DSCP)、または IP-precedence パケット マーキングを変更せずに、 すべての CPU 生成トラフィックを出力ポリシーマップの 1 つのクラスにマッピングします。

policy-map

複数の物理ポートに適用できるポリシー マップを設定し、ポリシーマップ コンフィギュレーション モードを開始します。

show cpu traffic qos

CPU トラフィックに設定される QoS マーキングを表示します。

show policy-map

指定されたポリシー マップ名、インターフェイス、入力/出力ポリシー マップ、またはポリシーマップ クラスの QoS ポリシー マップ情報を表示します。

show running-config

設定済みのクラス マップ、ポリシー マップ、テーブル マップ、および集約ポリサーを表示します。

show table-map

すべての設定済みテーブル マップまたは指定されたテーブル マップの情報を表示します。

table-map

Quality of Service(QoS)マッピングを設定し、テーブルマップ コンフィギュレーション モードを開始します。

 

cpu traffic qos precedence

コントロール プレーン トラフィックの Quality Of Service(QoS)を設定するには、グローバル コンフィギュレーション モードで cpu traffic qos precedence コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cpu traffic qos precedence { precedence_value | cos [ table-map table-map-name ] | dscp [ table-map table-map-name ] | precedence [ table-map table-map-name ]}

no cpu traffic qos precedence { precedence_value | cos [ table-map table-map-name ] | dscp [ table-map table-map-name ] | precedence [ table-map table-map-name ]}

 
構文の説明

precedence-value

precedence 値を設定します。指定できる範囲は 0 ~ 7 です。IP-precedence 値が設定されていない場合、各パケットのプロトコル固有のデフォルト値が適用されます。

(注) 次のキーワードを 0 ~ 7 の数字に置き換えることができます。

routine(0)

priority(1)

immediate(2)

flash(3)

flash-override(4)

critical(5)

internet(6)

network(7)

cos

テーブルマップを使用して、パケットの CoS 値に基づく CoS 値を設定します。

table-map table-map-name

パケットの CoS 値に基づく CPU トラフィック CoS のマーキングに使用するテーブルマップを指定します。

dscp

テーブルマップを使用して、パケットの IP-DSCP 値に基づく DiffServ コード ポイント(DSCP)値を設定します。

table-map table-map-name

パケットの DSCP 値に基づく CPU トラフィック precedence のマーキングに使用するテーブルマップを指定します。

precedence

テーブルマップを使用して、パケットの IP-precedence 値に基づく IP-precedence 値を設定します。

table-map table-map-name

パケットの precedence 値に基づく CPU トラフィック precedence のマーキングに使用するテーブルマップを指定します

 
コマンド デフォルト

コントロール プレーン(CPU)トラフィックは QoS ではマーキングされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

この機能はスイッチでグローバルに設定する必要があります。ポート単位またはプロトコル単位では設定できません。

個別の回線上でそれぞれ cpu traffic qos マーキング アクションを入力します。

cpu traffic qos dscp グローバル コンフィギュレーション コマンドと cpu traffic qos precedence グローバル コンフィギュレーション コマンドは相互に排他的です。新しく設定を行うと、既存の設定は置き換えられます。

cpu traffic qos precedence グローバル コンフィギュレーション コマンドがテーブル マップで設定されている場合、一度に 1 つの map from 値(DSCP、precedence、または CoS)しか設定できません。新しく設定を行うと、既存の設定は置き換えられます。このコマンドでマーキングされたパケットは、マーキングされた precedence 値または DSCP 値に基づいて、出力ポリシー マップで分類し、キューイングできます。

DSCP および precedence 両方の map from 値は設定できません。新しく設定を行うと、既存の設定は置き換えられます。

次の例は、DSCP 値に基づいて precedence をマーキングし、precedence 値に基づいて出力キューイングを設定する方法を示します。

この例の結果は次のとおりです。

DSCP 値が 48 の CPU 生成 IP トラフィックが precedence 値 7 にマーキングされる。

その他の CPU 生成 IP トラフィックが precedence 値 0 にマーキングされる。

その他すべての CPU 生成非 IP トラフィックがデフォルト クラスによって処理される。

クラスの優先順位 7 を使用して precedence 値 7 の CPU 生成 IP トラフィックがキューに格納される。

その他すべての CPU 生成 IP トラフィックがデフォルト クラスによって処理される。

テーブルマップ:

switch(config)# table-map dscp-to-prec
switch(config-tablemap)# map from 48 to 7
switch(config-tablemap)# default 0
switch(config-tablemap)# end

CPU QoS

switch(config)# cpu traffic qos precedence dscp table-map dscp-to-prec

クラスマップ:

switch(config)# class-map prec7
switch(config-cmap)# match ip precedence 7
switch(config-cmap)# end

ポリシーマップ:

switch(config)# policy-map output-policy
switch(config-pmap)# class prec7
switch(config-pmap-c)# priority
switch(config-pmap-c)# end

インターフェイス:

switch(config)# interface g1/0/1
switch(config-if)# service-policy output output-policy
switch(config-if)# exit

 
関連コマンド

コマンド
説明

class-map

指定した基準とパケットのマッチングに使用されるクラス マップを設定し、クラスマップ コンフィギュレーション モードを開始します。

cpu traffic qos cos

コントロール プレーン トラフィックのサービス クラス(CoS)マーキングを設定します。

cpu traffic qos dscp

コントロール プレーン トラフィックの DSCP に基づく Quality of Service(QoS)マーキングを設定します。

cpu traffic qos qos-group

サービス クラス(CoS)、IP DiffServ コード ポイント(DSCP)、または IP-precedence パケット マーキングを変更せずに、 すべての CPU 生成トラフィックを出力ポリシーマップの 1 つのクラスにマッピングします。

policy-map

複数の物理ポートに適用できるポリシー マップを設定し、ポリシーマップ コンフィギュレーション モードを開始します。

show cpu traffic qos

CPU トラフィックに設定される QoS マーキングを表示します。

show policy-map

指定されたポリシー マップ名、インターフェイス、入力/出力ポリシー マップ、またはポリシーマップ クラスの QoS ポリシー マップ情報を表示します。

show running-config

設定済みのクラス マップ、ポリシー マップ、テーブル マップ、および集約ポリサーを表示します。

show table-map

すべての設定済みテーブル マップまたは指定されたテーブル マップの情報を表示します。

table-map

Quality of Service(QoS)マッピングを設定し、テーブルマップ コンフィギュレーション モードを開始します。

 

cpu traffic qos qos-group

サービス クラス(CoS)、IP DiffServ コード ポイント(DSCP)、または IP-precedence パケット マーキングを変更せずに、 すべて の CPU 生成トラフィックを出力ポリシーマップの 1 つのクラスにマッピングするには、グローバル コンフィギュレーション モードで cpu traffic qos qos-group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cpu traffic qos qos-group qos-group-value

no cpu traffic qos qos-group qos-group-value

 
構文の説明

qos-group-value

QoS グループ番号を指定します。有効な値は 0 ~ 99 です。

 
コマンド デフォルト

コントロール プレーン(CPU)トラフィックは QoS ではマーキングされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

この機能はスイッチでグローバルに設定する必要があります。ポート単位またはプロトコル単位では設定できません。

個別の回線上でそれぞれ cpu traffic qos マーキング アクションを入力します。

cpu traffic qos qos-group グローバル コンフィギュレーション コマンドを使用して、特定の QoS グループの CPU 生成トラフィックだけの QoS グループ マーキングを設定できます。table-map オプションは使用できません。

次の例は、すべての CPU 生成トラフィックを QoS グループでマーキングし、その QoS グループに基づいて出力キューイングを設定する方法を示します。

CPU QoS

switch(config)# cpu traffic qos qos-group 40

クラスマップ:

switch(config)# class-map group40
switch(config-cmap)# match qos-group 40
switch(config-cmap)# end

ポリシーマップ:

switch(config)# policy-map output-policy
switch(config-pmap)# class group40
switch(config-pmap-c)# bandwidth percent 50
switch(config-pmap-c)# end

インターフェイス:

Switch(config)# interface g1/0/1
Switch(config-if)# service-policy output output-policy
Switch(config-if)# exit

 
関連コマンド

コマンド
説明

class-map

指定した基準とパケットのマッチングに使用されるクラス マップを設定し、クラスマップ コンフィギュレーション モードを開始します。

cpu traffic qos cos

コントロール プレーン トラフィックのサービス クラス(CoS)マーキングを設定します。

cpu traffic qos dscp

コントロール プレーン トラフィックの DSCP に基づく Quality of Service(QoS)マーキングを設定します。

cpu traffic qos precedence

コントロール プレーン トラフィックの優先順位に基づく Quality of Service(QoS)マーキングを設定します。

policy-map

複数の物理ポートに適用できるポリシー マップを設定し、ポリシーマップ コンフィギュレーション モードを開始します。

show cpu traffic qos

CPU トラフィックに設定される QoS マーキングを表示します。

show policy-map

指定されたポリシー マップ名、インターフェイス、入力/出力ポリシー マップ、またはポリシーマップ クラスの QoS ポリシー マップ情報を表示します。

show running-config

設定済みのクラス マップ、ポリシー マップ、テーブル マップ、および集約ポリサーを表示します。

show table-map

すべての設定済みテーブル マップまたは指定されたテーブル マップの情報を表示します。

table-map

Quality of Service(QoS)マッピングを設定し、テーブルマップ コンフィギュレーション モードを開始します。

 

define interface-range

インターフェイス範囲マクロを作成するには define interface-range グローバル コンフィギュレーション コマンドを使用します。定義されたマクロを削除するには、このコマンドの no 形式を使用します。

define interface-range macro-name interface-range

no define interface-range macro-name interface-range

 
構文の説明

macro-name

インターフェイス範囲マクロの名前(最大 32 文字)

interface-range

インターフェイス範囲。インターフェイス範囲の有効な値については、「使用上のガイドライン」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

マクロ名は、最大 32 文字の文字列です。

マクロには、最大 5 つの範囲を含めることができます。

ある範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイス タイプを組み合わせることができます。

interface-range を入力する場合は、次のフォーマットを使用します。

type { first-interface } - { last-interface }

interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gabitethernet 0/1 - 2 であれば範囲は指定されますが、 gigabit ethernet 0/1-2 では指定されません。

type および interface の有効値は次のとおりです。

vlan vlan-id 。ここで、 vlan-id の範囲は 1 ~ 4094 です。

VLAN インターフェイスは、 interface vlan コマンドで設定する必要があります( show running-config 特権 EXEC コマンドは、設定された VLAN インターフェイスを表示します)。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。

port-channel port-channel-number 、ここで、 port-channel-number は 1 ~ 48 です。

fastethernet module /{ first port } - { last port }

gigabitethernet module /{ first port } - { last port }

物理インターフェイス

モジュールは常に 0 です。

指定できる範囲は、type 0/number - number です(例:gigabitethernet 0/1 - 2)。

範囲を定義するときは、ハイフン(-)の前にスペースが必要です。次に例を示します。

gigabitethernet0/1 - 2

複数の範囲を入力することもできます。複数の範囲を定義するときは、カンマ(,)の前の最初のエントリの後にスペースを入力する必要があります。カンマの後のスペースは任意になります。次に例を示します。

fastethernet0/3, gigabitethernet0/1 - 2

fastethernet0/3 -4, gigabitethernet0/1 - 2

次の例では、複数インターフェイスのマクロを作成する方法を示します。

Switch(config)# define interface-range macro1 fastethernet0/1 - 2, gigabitethernet0/1 - 2

 
関連コマンド

コマンド
説明

interface range

複数のポートで 1 つのコマンドを同時に実行します。

show running-config

動作設定を表示します。構文情報については、Cisco IOS Release 12.2 のコマンド リファレンス一覧ページへアクセスする次のリンクを使用します。 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html
Cisco IOS Commands Master List, Release 12.2 」を選択して、コマンドの項目へ移動します。

delete

フラッシュ メモリ デバイス上のファイルまたはディレクトリを削除するには、 delete 特権 EXEC コマンドを使用します。

delete [ /force ] [/ recursive ] filesystem :/ file-url

 
構文の説明

/force

(任意)削除を確認するプロンプトを抑制します。

/recursive

(任意)指定されたディレクトリおよびそのディレクトリに含まれるすべてのサブディレクトリおよびファイルを削除します。

filesystem :

フラッシュ ファイル システムのエイリアスです。

ローカル フラッシュ ファイル システムの構文:
flash:

/ file-url

削除するパス(ディレクトリ)およびファイル名

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

/force キーワードを使用すると、削除プロセスにおいて削除の確認を要求するプロンプトが、最初の 1 回だけとなります。

/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。

プロンプト動作は、 file prompt グローバル コンフィギュレーション コマンドの設定によって異なります。デフォルトでは、スイッチは、破壊的なファイル操作に関する確認をプロンプトで要求します。このコマンドの詳細については、『 Cisco IOS Command Reference for Release 12.1 』を参照してください。

次の例では、新しいイメージのダウンロードが正常に終了した後で、古いソフトウェア イメージを含むディレクトリを削除する方法を示します。

Switch# delete /force /recursive flash:/old-image
 

dir filesystem : 特権 EXEC コマンドを入力することにより、ディレクトリが削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードし、既存のイメージを上書きまたは保存します。

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの照合に基づいて Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットを拒否するには、 deny ARP アクセス リスト コンフィギュレーション コマンドを使用します。アクセス リストから指定された Access Control Entry(ACE; アクセス コントロール エントリ)を削除するには、このコマンドの no 形式を使用します。

deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

 
構文の説明

request

(任意)ARP 要求との一致を定義します。request を指定しない場合は、すべての ARP パケットに対して照合が行われます。

ip

送信側 IP アドレスを指定します。

any

すべての IP アドレスまたは MAC アドレスを拒否します。

host sender-ip

指定された送信側 IP アドレスを拒否します。

sender-ip sender-ip-mask

指定された範囲の送信側 IP アドレスを拒否します。

mac

送信側 MAC アドレスを拒否します。

host sender-mac

特定の送信側 MAC アドレスを拒否します。

sender-mac sender-mac-mask

指定された範囲の送信側 MAC アドレスを拒否します。

response ip

ARP 応答の IP アドレス値を定義します。

host target-ip

指定されたターゲット IP アドレスを拒否します。

target-ip target-ip-mask

指定された範囲のターゲット IP アドレスを拒否します。

mac

ARP 応答の MAC アドレス値を拒否します。

host target-mac

指定されたターゲット MAC アドレスを拒否します。

target-mac target-mac-mask

指定された範囲のターゲット MAC アドレスを拒否します。

log

(任意)ACE と一致するパケットを記録します。

 
デフォルト

デフォルト設定はありません。ただし、ARP アクセス リストの末尾に暗黙の deny ip any mac any コマンドがあります。

 
コマンド モード

ARP アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

deny 句を追加すると、一致条件に基づいて ARP パケットをドロップできます。

次の例では、ARP アクセス リストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を拒否する方法を示します。

Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# deny ip host 1.1.1.1 mac host 0000.0000.abcd
Switch(config-arp-nacl)# end
 

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP Access Control List(ACL; アクセス コントロール リスト)を定義します。

ip arp inspection filter vlan

スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。

permit(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの一致に基づいて ARP パケットを許可します。

show arp access-list

ARP アクセス リストに関する詳細を表示します。

deny(IPv6 アクセス リスト コンフィギュレーション)

IPv6 アクセス リストの拒否条件を設定するには、IPv6 アクセス リスト コンフィギュレーション モードで deny コマンドを使用します。拒否条件を削除するには、このコマンドの no 形式を使用します。

deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ routing ] [ sequence value ] [ time-range name ]

no deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ routing ] [ sequence value ] [ time-range name ]

インターネット制御メッセージ プロトコル

deny icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ routing ] [ sequence value ] [ time-range name ]

伝送制御プロトコル

deny tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ routing ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]

ユーザ データグラム プロトコル

deny udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ routing ] [ sequence value ] [ time-range name ]


) このコマンドは、スイッチでメトロ IP アクセス イメージが稼動しており、スイッチにデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にだけ使用できます。


 
構文の説明

protocol

インターネット プロトコルの名前または番号。 ahp esp icmp ipv6 pcp sctp tcp 、または udp キーワードの 1 つ、あるいは IPv6 プロトコル番号を示す 0 ~ 255 の範囲の整数にすることができます。

source-ipv6-prefix / prefix-length

拒否条件を設定する送信元 IPv6 ネットワークまたはネットワークのクラス。

この引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

any

IPv6 プレフィクス ::/0 の省略形。

host source-ipv6-address

拒否条件を設定する送信元 IPv6 ホスト アドレス。

この source-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

operator [ port-number ]

(任意)指定のプロトコルの送信元または宛先ポートを比較する演算子を指定します。演算子は、 lt (less than:未満)、 gt (greater than:より大きい)、 eq (equal:一致)、 neq (not equal:不一致)、 range (inclusive range:包含範囲)です。

source-ipv6-prefix / prefix-length 引数の後ろに演算子が置かれた場合、送信元ポートと一致する必要があります。

destination-ipv6-prefix/prefix-length 引数の後ろに演算子が置かれた場合、宛先ポートと一致する必要があります。

range 演算子には 2 つのポート番号が必要です。他のすべての演算子は 1 つのポート番号が必要です。

任意の port-number 引数は 10 進数、または TCP あるいは UDP ポートの名前です。ポート番号の範囲は 0 ~ 65535 です。TCP ポート名は TCP をフィルタリングする場合に限り使用できます。UDP ポート名は UDP をフィルタリングする場合に限り使用できます。

destination-ipv6-prefix / prefix-length

拒否条件を設定する宛先 IPv6 ネットワークまたはネットワークのクラス。

この引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

host destination-ipv6-address

拒否条件を設定する宛先 IPv6 ホスト アドレス。

この destination-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

dscp value

(任意)各 IPv6 パケット ヘッダーのトラフィック クラス フィールドのトラフィック クラス値と DiffServ コード ポイント値を照合します。指定できる範囲は 0 ~ 63 です。

fragments

(任意)フラグメント拡張ヘッダーに 0 以外のフラグメント オフセットが含まれる場合、非初期フラグメント パケットを照合します。 fragments キーワードは、プロトコルが ipv6 operator [ port-number ] 引数が指定されていない場合に限り、指定できるオプションです。

log

(任意)エントリと一致するパケットに関する情報ロギング メッセージをコンソールに送信します (コンソールに送信するメッセージ レベルは logging console コマンドで制御します)。

メッセージには、アクセス リスト名、シーケンス番号、パケットが拒否されたかどうか、プロトコル(TCP、UDP、ICMP または番号のいずれか)、適正な場合には送信元/宛先アドレス、送信元/宛先ポート番号が含まれます。メッセージは、一致した最初のパケットに対して生成され、その後、5 分間隔で拒否されたパケット数を含めて生成されます。

(注) ロギングはポート ACL ではサポートされません。

log-input

(任意) log キーワードと同じ機能を提供しますが、ロギング メッセージには受信インターフェイスも表示されます。

routing

(任意)ルーティング拡張ヘッダーを持つパケットをマッチングします。

sequence value

(任意)アクセス リスト ステートメントのシーケンス番号を指定します。指定できる範囲は 1 ~ 4294967295 です。

time-range name

(任意)拒否ステートメントに適用する時間範囲を指定します。時間範囲の名前と制限事項は、 time-range コマンドと、 absolute または periodic コマンドによってそれぞれ指定します。

icmp-type

(任意)ICMP パケットのフィルタリングに ICMP メッセージ タイプを指定します。ICMP パケットは ICMP メッセージ タイプによってフィルタリングできます。メッセージ タイプの番号は 0 ~ 255 です。

icmp-code

(任意)ICMP パケットのフィルタリングに ICMP メッセージ コードを指定します。ICMP メッセージ タイプによってフィルタリングされる ICMP パケットは、ICMP メッセージ コードによってもフィルタリングできます。メッセージ コードの番号は 0 ~ 255 です。

icmp-message

(任意)ICMP パケットのフィルタリングに ICMP メッセージ名を指定します。ICMP パケットは、ICMP メッセージ名、または ICMP メッセージ タイプおよびコードによってフィルタリングできます。使用可能な名前については、「使用上のガイドライン」の項を参照してください。

ack

(任意)TCP プロトコルの場合に限り ACK ビットを設定します。

established

(任意)TCP プロトコルの場合に限り、接続が確立済みであることを意味します。TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。接続するための初期 TCP データグラムの場合は照合しません。

fin

(任意)TCP プロトコルの場合に限り、FIN ビットを設定します。送信元からのデータはこれ以上ありません。

neq { port | protocol }

(任意)指定のポート番号上にないパケットだけを照合します。

psh

(任意)TCP プロトコルの場合に限り、PSH ビットを設定します。

range { port | protocol }

(任意)ポート番号範囲のパケットだけを照合します。

rst

(任意)TCP プロトコルの場合に限り RST ビットを設定します。

syn

(任意)TCP プロトコルの場合に限り SYN ビットを設定します。

urg

(任意)TCP プロトコルの場合に限り URG ビットを設定します。


flow-labelrouting および undetermined-transport キーワードはコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。


 
デフォルト

IPv6 アクセス リストは定義されていません。

 
コマンド モード

IPv6 アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

deny (IPv6 アクセス リスト コンフィギュレーション モード)コマンドは、 deny (IPv4 アクセス リスト コンフィギュレーション モード)コマンドと類似していますが、IPv6 固有です。

IPv6 アクセス リスト コンフィギュレーション モードを開始し、パケットがアクセス リストを通過する条件を定義するには、 ipv6 access-list コマンドの後ろに deny (IPv6) コマンドを使用します。

protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーに対して照合を行います。

デフォルトでは、アクセス リストの最初のステートメントの番号は 10 で、その次のステートメントからは 10 ずつ増加します。

リスト全体を再入力しないで、 permit deny 、または remark ステートメントを既存のアクセス リストに追加できます。リストの最後以外の場所に新しいステートメントを追加するには、挿入する場所を示す、既存の 2 つのエントリ番号の間にある適切なエントリ番号を持った新しいステートメントを作成します。


) すべての IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-napermit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうち 2 つの permit 条件は、ICMPv6 ネイバー探索を許可します。ICMPv6 ネイバー探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。3 つの暗黙的なステートメントを有効にするには、IPv6 ACL に 1 つ以上のエントリを含める必要があります。

IPv6 ネイバー探索プロセスでは、IPv6 ネットワーク層サービスを使用します。したがって、デフォルトでは IPv6 ACL により、IPv6 ネイバー探索パケットのインターフェイス上での送受信が暗黙的に許可されます。IPv4 では、IPv6 ネイバー探索プロセスと同等の Address Resolution Protocol(ARP)は、別のデータリンク層プロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙的に許可されます。


source-ipv6-prefix / prefix-length destination-ipv6-prefix / prefix-length の両方の引数をトラフィック フィルタリングに使用します ( source プレフィクスは、ソースに基づいてトラフィックをフィルタリングします。 destination プレフィクスは、宛先に基づいてトラフィックをフィルタリングします)。

このスイッチは、すべての範囲のプレフィクス長で IPv6 アドレス マッチングをサポートしています。

fragments キーワードは、プロトコルが ipv6 operator [ port-number ] 引数が指定されていない場合に限り、指定できるオプションです。

次に、ICMP メッセージ名を表示します。

 

beyond-scope

destination-unreachable

echo-reply

echo-request

header

hop-limit

mld-query

mld-reduction

mld-report

nd-na

nd-ns

next-header

no-admin

no-route

packet-too-big

parameter-option

parameter-problem

port-unreachable

reassembly-timeout

renum-command

renum-result

renum-seq-number

router-advertisement

router-renumbering

router-solicitation

time-exceeded

unreachable

 

次の例では、CISCO という名の IPv6 アクセス リストを設定し、そのアクセス リストをレイヤ 3 インターフェイス上の発信トラフィックに適用する方法を示します。最初の拒否エントリは、5000 より大きい宛先 TCP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。2 番めの拒否エントリは、5000 未満の送信元 UDP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。また、この 2 番めの拒否エントリは、すべての一致をコンソールに表示します。最初の許可エントリは、すべての ICMP パケットがインターフェイスで送信されるのを許可します。2 番めの許可エントリは、その他すべてのトラフィックがインターフェイスで送信されるのを許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるため、この 2 番めの許可エントリが必要となります。

Switch(config)# ipv6 access-list CISCO
Switch(config-ipv6-acl)# deny tcp any any gt 5000
Switch config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log
Switch(config-ipv6-acl)# permit icmp any any
Switch(config-ipv6-acl)# permit any any
Switch(config-ipv6-acl)# exit
Switch(config)# interface gigabitethernet0/2
Switch(config-if)# no switchport
Switch(config-if)# ipv6 address 2001::/64 eui-64
Switch(config-if)# ipv6 traffic-filter CISCO out

 
関連コマンド

コマンド
説明

ipv6 access-list

IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

ipv6 traffic-filter

インターフェイス上の着信または発信 IPv6 トラフィックをフィルタリングします。

permit(IPv6 アクセスリスト コンフィギュレーション)

IPv6 アクセス リストに許可条件を設定します。

show ipv6 access-list

現在のすべての IPv6 アクセス リストの内容を表示します。

 

deny(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されないようにするには deny MAC アクセスリスト コンフィギュレーション コマンドを使用します。拒否条件を名前付き MAC アクセス リストから削除するには、このコマンドの no 形式を使用します。

{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

 
構文の説明

any

あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワードです。

host src MAC-addr | src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの Ethertype 番号と、Ethernet II または SNAP カプセル化を使用して、パケットのプロトコルを識別します。

type には、0 ~ 65535 の 16 進数を指定できます。

mask は、照合を行う前に Ethertype に適用される don t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。

amber

(任意)EtherType DEC-Amber を選択します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までの Class of Service(CoS; サービス クラス)値を選択します。CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニング ツリーを選択します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを選択します。

diagnostic

(任意)EtherType DEC-Diagnostic を選択します。

dsm

(任意)EtherType DEC-DSM を選択します。

etype-6000

(任意)EtherType 0x6000 を選択します。

etype-8042

(任意)EtherType 0x8042 を選択します。

lat

(任意)EtherType DEC-LAT を選択します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を選択します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と IEEE 802.2 カプセル化を使用して、パケットのプロトコルを識別します。

mask は、照合を行う前に LSAP 番号に適用される don t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を選択します。

mop-dump

(任意)EtherType DEC-MOP Dump を選択します。

msdos

(任意)EtherType DEC-MSDOS を選択します。

mumps

(任意)EtherType DEC-MUMPS を選択します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を選択します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)Echo を選択します。

vines-ip

(任意)EtherType VINES IP を選択します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を選択します。


appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。


IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 表 2-2 に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。

 

表 2-2 IPX フィルタ基準

IPX カプセル化タイプ
フィルタ基準
Cisco IOS 名
フレーム タイプ

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

 
デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

 
コマンド モード

MAC アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

mac access-list extended グローバル コンフィギュレーション コマンドを使用して、MAC アクセス リスト コンフィギュレーション モードを開始します。

host キーワードを使用した場合、アドレス マスクは入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

Access Control Entry(ACE; アクセス コントロール エントリ)がアクセス コントロール リストに追加された場合、リストの最後には暗黙の deny - any - any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。


) 名前付き MAC 拡張アクセス リストの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。


次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。

Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
 

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。

Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
 

次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。

Switch(config-ext-macl)# deny any any 0x4321 0
 

設定を確認するには、 show access-lists 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

permit(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されるのを許可します。

show access-lists

スイッチに設定された ACL を表示します。

diagnostic monitor

ヘルス モニタリング診断テストを設定するには、 diagnostic monitor グローバル コンフィギュレーション コマンドを使用します。テストをディセーブルにし、デフォルト設定に戻すには、このコマンドの no 形式を使用します。

diagnostic monitor interval test { name | test-id | test-id-range | all } hh:mm:ss milliseconds day

diagnostic monitor test { name | test-id | test-id-range | all }

diagnostic monitor syslog

diagnostic monitor threshold test { name | test-id | test-id-range | all } failure count count

no diagnostic monitor interval test { name | test-id | test-id-range | all }

no diagnostic monitor test { name | test-id | test-id-range | all }

no diagnostic monitor syslog

no diagnostic monitor threshold test { name | test-id | test-id-range | all } failure coun t count

 
構文の説明

interval test

テストの間隔を設定します。

test

実行するテストを指定します。

name

テスト名を指定します。テスト ID のリストのテスト名を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

test-id

テストの ID 番号を指定します。指定できる範囲は 1 ~ 6 です。テスト ID のリストのテスト番号を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

test-id-range

複数のテストをテストの ID 番号の範囲で指定します。 カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。 テスト ID のリストのテスト番号を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

all

すべての診断テストを指定します。

hh:mm:ss

モニタリング間隔を時、分、秒で設定します。

hh :時間(0 ~ 24)を入力します。

mm :分(0 ~ 60)を入力します。

ss :秒(0 ~ 60)を入力します。

milliseconds

モニタリング間隔(テスト時間)をミリ秒(ms)単位で設定します。指定できる範囲は 0 ~ 999 ミリ秒です。

day

モニタリング間隔をテストとテストの間の日数で設定します。指定できる範囲は 0 ~ 20 日です。

Syslog

ヘルス モニタ診断テストが失敗した場合に Syslog メッセージを生成します。

threshold test

障害しきい値を設定します。

failure count count

障害しきい値のカウントを設定します。 count に指定できる範囲は 0 ~ 99 です。

 
デフォルト

モニタリングはディセーブルで、障害しきい値は設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

診断モニタリングをイネーブルにする前に、障害しきい値およびテストの間隔を設定する必要があります。

診断モニタリングイネーブルにするには、 diagnostic monitor test 1 コマンドを入力します。

diagnostic monitor test { name | test-id | test-id-range | all } コマンドを入力する場合は、接続されているすべてのポートをディセーブルにしてネットワーク トラフィックを分離する必要があります。

テスト中はテスト パケットを送信しないでください。

次に、ヘルス モニタリング テストを設定する例を示します。

Switch(config)# diagnostic monitor threshold test 1 failure count 20
Switch(config)# diagnostic monitor interval test 1 12:30:00 750 5

 
関連コマンド

コマンド
説明

show diagnostic

オンライン診断テストの結果を表示します。

diagnostic schedule test

診断テストのスケジュールを設定するには、 diagnostic schedule test グローバル コンフィギュレーション コマンドを使用します。スケジュールを削除する場合は、このコマンドの no 形式を使用します。

diagnostic schedule test { name | test-id | test-id-range | all | basic | non-disruptive } { daily hh : mm | on mm dd yyyy hh : mm | weekly day-of-week hh : mm }

no diagnostic schedule test { name | test-id | test-id-range | all | basic | non-disruptive } { daily hh : mm | on mm dd yyyy hh : mm | weekly day-of-week hh : mm }

 
構文の説明

name

テスト名を指定します。テスト ID のリストのテスト名を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

test-id

テストの ID 番号を指定します。指定できる範囲は 1 ~ 6 です。テスト ID のリストのテスト番号を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

test-id-range

複数のテストをテストの ID 番号の範囲で指定します。 カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。 テスト ID のリストのテスト番号を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

all

すべての診断テストを指定します。

basic

基本的なオンデマンドの診断テストを指定します。

non-disruptive

ノンディスラプティブ ヘルス モニタリング テストを指定します。

daily hh : mm

診断テストのスケジューリング(日単位)を指定します。

hh : mm 2 桁の数字(24 時間表記)で時間および分を入力します。コロン( : )が必要です(例:12:30)。

on mm dd yyyy hh : mm

特定の日時の診断テストのスケジューリングを指定します。

mm dd yyyy

mm January、February のように、月を大文字または小文字で入力します。

dd 2 桁の数字で日を入力します(例:03、16)。

yyyy 4 桁の数字で年を入力します(例:2008)。

weekly day-of-week hh : mm

診断テストのスケジューリング(週単位)を指定します。

day-of-week Monday、Tuesday のように、曜日を大文字または小文字で入力します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次に、特定の日時に診断テストをスケジューリングする例を示します。

Switch(config)# diagnostic schedule test 1,2,4-6 on november 3 2006 23:10
 

次に、毎週特定の時間に診断テストを行うようスケジューリングする例を示します。

Switch(config)# diagnostic schedule test TestPortAsicMem weekly friday 09:23

 
関連コマンド

コマンド
説明

show diagnostic

オンライン診断テストの結果を表示します。

 

diagnostic start test

オンライン診断テストを実行するには、 diagnostic start test 特権 EXEC コマンドを使用します。

diagnostic start test { name | test-id | test-id-range | all | basic | non-disruptive }

 
構文の説明

name

テスト名を指定します。テスト ID のリストのテスト名を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

test-id

テストの ID 番号を指定します。指定できる範囲は 1 ~ 6 です。テスト ID のリストのテスト番号を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

test-id-range

複数のテストをテストの ID 番号の範囲で指定します。 カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。 テスト ID のリストのテスト番号を表示するには、 show diagnostic content 特権 EXEC コマンドを入力します。

all

すべての診断テストを指定します。

basic

基本的なオンデマンドの診断テストを指定します。

non-disruptive

ノンディスラプティブ ヘルス モニタリング テストを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

diagnostic start コマンドを使用してテストを開始したら、テスト プロセスの停止はできません。

スイッチは、次のテストをサポートしています。

ID Test Name [On-Demand Test Attributes]
--- -------------------------------------------
1 TestPortAsicStackPortLoopback [B*N****]
2 TestPortAsicLoopback [B*D*R**]
3 TestPortAsicCam [B*D*R**]
4 TestPortAsicRingLoopback [B*D*R**]
5 TestMicRingLoopback [B*D*R**]
6 TestPortAsicMem [B*D*R**]
--- -------------------------------------------
 

テスト名を確認するには show diagnostic content 特権 EXEC コマンドを使用してテスト ID リストを表示します。テスト名を使用してテスト 3 を指定するには、 diagnostic start switch number test TestPortAsicCam 特権 EXEC コマンドを入力します。

複数のテストを指定するには test-id-range パラメータを使用し、カンマとハイフンで区切られた整数を入力します。 たとえば、テスト 2、3、および 4 を指定するには、 diagnostic start test 2-4 コマンド を入力します。テスト 1、3、4、5、および 6 を指定するには、 diagnostic start test 1,3-6 コマンド を入力します。

次に、診断テスト 1 を開始する例を示します。

Switch# diagnostic start test 1
Switch#
06:27:50: %DIAG-6-TEST_RUNNING: Running TestPortAsicStackPortLoopback{ID=1} ...
06:27:51: %DIAG-6-TEST_OK: TestPortAsicStackPortLoopback{ID=1} has completed
successfully
 

次に、診断テスト 2 を開始する例を示します。このテストを実行すると、通常のシステム動作が中断され、スイッチがリロードされます。

Switch# diagnostic start test 2
Running test(s) 2 will cause the switch under test to reload after completion of
the test list.
Running test(s) 2 may disrupt normal system operation
Do you want to continue?[no]: y
Switch#
00:00:25: %SPANTREE-5-EXTENDED_SYSID: Extended SysId enabled for type vlan
00:00:29: %SYS-5-CONFIG_I: Configured from memory by console
00:00:30: %DIAG-6-TEST_RUNNING : Running TestPortAsicLoopback{ID=2} ...
00:00:30: %DIAG-6-TEST_OK: TestPortAsicLoopback{ID=2} has completed successfully
 

 
関連コマンド

コマンド
説明

show diagnostic

オンライン診断テストの結果を表示します。

 

dot1x credentials

dot1x credentials グローバル コンフィギュレーション コマンドを使用して、サプリカント スイッチでプロファイルを設定します。

dot1x credentials profile

no dot1x credentials profile

 
構文の説明

profile

サプリカント スイッチのプロファイルを指定します。

 
デフォルト

スイッチにプロファイルは設定されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このスイッチをサプリカントにするには、オーセンティケータとして別のスイッチをセットアップしてある必要があります。

次の例では、スイッチをサプリカントとして設定する方法を示します。

Switch(config)# dot1x credentials profile
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

cisp enable

Client Information Signalling Protocol(CISP)をイネーブルにします。

show cisp

指定されたインターフェイスの CISP 情報を表示します。

 

dot1x critical eapol(グローバル コンフィギュレーション)

スイッチによりクリティカルなポートが critical-authentication ステートに置かれた場合、スイッチが EAPOL-Success メッセージを送信するよう指定するには、 dot1x critical eapol グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x critical eapol

no dot1x critical eapol

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

クリティカルなポートを critical-authentication ステートに置くことによってそのクリティカルなポートの認証に成功した場合に、スイッチは EAPOL-Success メッセージをホストに送信しません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ポートのアクセス不能認証バイパスをイネーブルにするか、またはスイッチがクリティカルなポートを割り当てるアクセス VLAN を設定するには、 authencation event インターフェイス コンフィギュレーション コマンドを使用します。

 
関連コマンド

コマンド
説明

authentication event

アクセス不能な認証バイパス機能をインターフェイス上でイネーブルにし、ポートが critical-authentication ステートに置かれた場合にスイッチがクリティカルなポートに割り当てるアクセス VLAN を設定します。

show dot1x

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x default

設定可能な IEEE 802.1x パラメータをデフォルト値にリセットするには、 dot1x default インターフェイス コンフィギュレーション コマンドを使用します。

dot1x default

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値は次のとおりです。

ポート単位の IEEE 802.1x プロトコルのイネーブル ステートはディセーブルです(force-authorized)。

再認証の試行間隔の秒数は 3600 秒です。

定期的な再認証はディセーブルです。

待機時間は 60 秒です。

再伝送時間は 30 秒です。

最高再伝送回数は 2 回です。

ホスト モードはシングル ホストです。

クライアントのタイムアウト時間は 30 秒です。

認証サーバのタイムアウト時間は 30 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

次の例では、ポート上の設定可能な IEEE 802.1x パラメータをリセットする方法を示します。

Switch(config-if)# dot1x default
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x guest-vlan supplicant

スイッチでオプションの IEEE 802.1x ゲスト VLAN 動作をグローバルにイネーブルにするには、 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x guest-vlan supplicant

no dot1x guest-vlan supplicant

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ゲスト VLAN 動作はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

スイッチのゲスト VLAN を設定する方法については、 authentication event no-response action authorize vlan vlan-id インターフェイス コンフィギュレーション コマンドを参照してください。

次の例では、スイッチでオプションのゲスト VLAN の動作をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x guest-vlan supplicant
 

 
関連コマンド

コマンド
説明

authentication event

スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。

show authentication [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x initialize

ポート上で新しく認証セッションを初期化する前に、指定の IEEE 802.1x 対応ポートを、手動で無許可ステートに戻すには、 dot1x initialize 特権 EXEC コマンドを使用します。

dot1x initialize interface interface-id

 
構文の説明

interface interface-id

ポートを初期化します。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IEEE 802.1x ステート マシンを初期化し、新たな認証環境を設定します。このコマンドを入力した後、ポートの状態は無許可になります。

このコマンドの no 形式はありません。

次の例では、ポートを手動で初期化する方法を示します。

Switch# dot1x initialize interface gigabitethernet0/2
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力することにより、ポート ステータスが無許可になっていることを確認できます。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

 

dot1x max-reauth-req

ポートが無許可ステートに移行するまでスイッチが認証プロセスを再起動する上限回数を設定するには、 dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max -reauth -req count

no dot1x max -reauth -req

 
構文の説明

count

ポートが無許可ステートに移行する前に、スイッチが EAPOL-Identity-Request フレームを再送信して認証プロセスを開始する回数を設定します。ポートに 802.1x 非対応のデバイスが接続されている場合、スイッチは、デフォルトでは 2 回の認証試行を行います。ポートにゲスト VLAN が設定されている場合は、2 回の再認証試行後にポートはデフォルトでゲスト VLAN で許可されます。指定できる範囲は 1 ~ 10 です。デフォルトは 2 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数を 4 に設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが認証プロセスを再起動する前に、EAP フレームを認証サーバに送信する最高回数を設定します(応答を受信しないと仮定)。

authentication timer

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show authentication

指定されたポートの認証ステータスを表示します。

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

dot1x max-req

スイッチが認証プロセスを再起動する前に、拡張認証プロトコル(EAP)フレームを認証サーバからクライアントに送信する最大回数を設定するには(応答を受信しないことが前提)、 dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max-req count

no dot1x max-req

 
構文の説明

count

スイッチが、認証プロセスを再起動する前に、EAPOL DATA パケットの再送信を試行する回数です。たとえば、認証プロセス中にサプリカントに問題が発生した場合、オーセンティケータがデータ要求を 2 回再送信し、応答がなければプロセスを中止します。指定できる範囲は 1 ~ 10 です。デフォルト値は 2 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

次の例では、認証プロセスを再起動する前に、スイッチが EAP フレームを認証サーバから送信する回数を 5 回に設定する方法を示します。

Switch(config-if)# dot1x max-req 5
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication timer

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show authentication

指定されたポートの認証ステータスを表示します。

dot1x pae

IEEE 802.1x ポート アクセス エンティティ(PAE)タイプを設定するには、 dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。設定されている PAE タイプをディセーブルにする場合は、このコマンドの no 形式を使用します

dot1x pae [supplicant | authenticator | both]

no dot1x pae [supplicant | authenticator | both]

 
構文の説明

supplicant

(任意)インターフェイスは、IEEE 802.1x サプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。

authenticator

(任意)インターフェイスは、IEEE 802.1x オーセンティケータとしてだけ機能し、サプリカント向けのメッセージに応答しません。

both

(任意)インターフェイスは、IEEE 802.1x サプリカントおよび IEEE 802.1x オーセンティケータとして動作するため、すべての dot1x メッセージに応答します。

 
デフォルト

IEEE 802.1x PAE タイプは設定されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

dot1x system-auth-control コマンドが設定されていない場合、 supplicant キーワードがこのコマンドで使用できる唯一のキーワードとなります (つまり、 dot1x system-auth-control コマンドが設定されていない場合、インターフェイスをオーセンティケータとして設定できません)。

authentication port-control インターフェイス コンフィギュレーション コマンドを入力して、ポートに IEEE 802.1x 認証を設定すると、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。オーセンティケータの PAE 動作は、 no dot1x pae インターフェイス コンフィギュレーション コマンドを入力した後でディセーブルになります。

次に、インターフェイスをサプリカントとして動作するように設定する例を示します。

Router (config-if)# dot1x pae supplicant

 

設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x system-auth-control

スイッチ上で IEEE 802.1x 認証をグローバルにイネーブルにします。

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

 

スイッチまたは指定されたポートの EAP のレジストレーション情報およびセッション情報を表示します。

dot1x supplicant force-multicast

マルチキャストまたはユニキャスト Extensible Authentication Protocol over LAN(EAPOL)パケットを受信した場合、常にサプリカント スイッチにマルチキャスト EAPOL だけを送信させるようにするには、 dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x supplicant force-multicast

no dot1x supplicant force-multicast

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

サプリカント スイッチは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パケットを送信します。同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケットを送信します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。

次の例では、サプリカント スイッチがオーセンティケータ スイッチにマルチキャスト EAPOL パケットを送信するように設定する方法を示します。

Switch(config)# dot1x supplicant force-multicast

 
関連コマンド

コマンド
説明

cisp enable

スイッチの Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにします。

dot1x credentials

ポートに 802.1x サプリカントのクレデンシャルを設定します。

dot1x pae supplicant

インターフェイスがサプリカントとしてだけ機能するように設定します。

dot1x system-auth-control

IEEE 802.1x をグローバルにイネーブルにするには、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x system-auth-control

no dot1x system-auth-control

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

IEEE 802.1x はディセーブルに設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

IEEE 802.1x をグローバルにイネーブルにする前に、認証、許可、およびアカウンティング(AAA)をイネーブルにし、認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためにクエリー送信を行う手順と認証方式を記述したものです。

スイッチの IEEE 802.1x をグローバルにイネーブルにする前に、IEEE 802.1x および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除します。

次の例では、スイッチで IEEE 802.1x をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

show authentication

指定されたポートの認証ステータスを表示します。

dot1x test eapol-capable

すべてのスイッチ ポート上の IEEE 802.1x のアクティビティをモニタリングして、IEEE 802.1x をサポートするポートに接続しているデバイスの情報を表示するには、 dot1x test eapol-capable 特権 EXEC コマンドを使用します。

dot1x test eapol-capable [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)クエリー対象のポートです。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

スイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。

このコマンドには、 no 形式はありません。

次の例では、スイッチ上で IEEE 802.1x の準備チェックをイネーブルにして、ポートに対してクエリーを実行する方法を示します。また、ポートに接続しているデバイスを確認するためのクエリーの実行対象ポートから受信した応答が IEEE 802.1x 対応であることを示します。

switch# dot1x test eapol-capable interface gigabitethernet1/0/13
 
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable
 

 
関連コマンド

コマンド
説明

dot1x test timeout timeout

IEEE 802.1x 準備クエリーに対する EAPOL 応答を待機するために使用されるタイムアウトを設定します。

dot1x test timeout

IEEE 802.1x の準備が整っているかどうかを確認するためにクエリーが実行されるポートからの EAPOL 応答の待機に使用するタイムアウトを設定するには、 dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。

dot1x test timeout timeout

 
構文の説明

timeout

EAPOL 応答を待機する時間(秒)。指定できる範囲は 1 ~ 65535 秒です。

 
デフォルト

デフォルト設定は 10 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

EAPOL 応答を待機するために使用されるタイムアウトを設定するには、このコマンドを使用します。

このコマンドには、 no 形式はありません。

次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。

Switch# dot1x test timeout 27
 

タイムアウト設定のステータスを確認するには、 show run 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x test eapol-capable [ interface interface-id ]

すべての、または指定された IEEE 802.1x 対応ポートに接続するデバイスで IEEE 802.1x の準備が整っているかを確認します。

dot1x timeout

IEEE 802.1x のタイマーを設定するには、 dot1x timeout インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds | ratelimit-period seconds | reauth-period { seconds | server } | server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds }

no dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds | ratelimit-period seconds | reauth-period { seconds | server } | server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds }

 
構文の説明

auth-period seconds

サプリカント(クライアント)がオーセンティケータからの応答(Extensible Authentication Protocol over LAN(EAPOL)-Start 以外のパケット)を何秒待機するとタイムアウトとなるかを設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

held-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

有効な範囲は 1 ~ 65535 です。デフォルト値は 60 です。

quiet- period seconds

スイッチがクライアントとの認証情報の交換に失敗した後、待機状態を続ける秒数。指定できる範囲は 1 ~ 65535 です。

ratelimit- period seconds

この期間中に認証に成功したクライアントからの Extensible Authentication Protocol over LAN(EAPOL)パケットをスイッチが無視した秒数。指定できる範囲は 1 ~ 65535 です。

reauth-period { seconds | server }

再認証の試行の間隔(秒)を設定します。

キーワードの意味は次のとおりです。

seconds :1 ~ 65535 の範囲で秒数を設定します 。デフォルトは 3600 秒です。

server :セッションタイムアウト RADIUS 属性(属性 [27])の値として秒数を設定します。

server-timeout seconds

認証サーバに対して、スイッチのパケット再送信を待機する秒数。

指定できる範囲は 1 ~ 65535 です。30 の最小設定を推奨します。

start-period second

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

指定できる値は 1 ~ 65535 です。デフォルトは 30 です。

supp-timeout seconds

スイッチが IEEE 802.1x クライアントへパケットを再送信する前に待機する秒数。指定できる範囲は 30 ~ 65535 です。

tx- period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルトの設定は次のとおりです。

auth-period は 30 秒です。

held-period は 60 秒です。

quiet-period は 60 秒です。

rate-limit は 1 秒です。

reauth-period は 3600 秒です。

server-timeout は 30 秒です。

start-period は 30 秒です。

supp-timeout は 30 秒です。

tx-period は 5 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

dot1x timeout コマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、 authentication periodic インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにした場合にのみスイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# authentication periodic
Switch(config-if)# dot1x timeout reauth-period 4000
 

次の例では、定期的な再認証をイネーブルにし、再認証の間隔の秒数としてセッションタイムアウト RADIUS 属性の値を指定する方法を示します。

Switch(config-if)# authentication periodic
Switch(config-if)# dot1x timeout reauth-period server
 

次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout quiet-period 30
 

次の例では、スイッチから認証サーバへの再送信時間を 45 秒に設定する方法を示します。

Switch(config)# dot1x timeout server-timeout 45
 

次の例では、EAP request フレームに対するスイッチからクライアントへの再送信時間を 45 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout supp-timeout 45
 

次の例では、EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout tx-period 60
 

次の例では、認証に成功したクライアントからの EAPOL パケットをスイッチが無視する秒数を 30 と設定する方法を示します。

Switch(config-if)# dot1x timeout ratelimit-period 30
 

設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication timer

802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。

dot1x max-req

スイッチが、認証プロセスを再始動する前に、EAP-Request/Identity フレームを送信する最高回数を設定します。

authentication periodic

クライアントの定期的再認証をイネーブルにします。

show dot1x

すべてのポートの IEEE 802.1x ステータスを表示します。

duplex

ポートの動作のデュプレックス モードを指定するには、 duplex インターフェイス コンフィギュレーション コマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。

duplex { auto | full | half }

no duplex

 
構文の説明

auto

自動によるデュプレックス設定をイネーブルにします(接続されたデバイス モードにより、ポートが自動的に全二重モードか半二重モードかを判断します)。

full

全二重モードをイネーブルにします。

half

半二重モードをイネーブルにします(10 Mb/s または 100 Mb/s で動作するインターフェイスに限る)。1000 Mb/s または 10,000 Mb/s で動作するインターフェイスに対しては半二重モードを設定できません。

 
デフォルト

ファスト イーサネット ポート、ギガビット イーサネット ポート、および 1000BASE-T 小型フォーム ファクタ(SFP)モジュールのデフォルトは auto です。

100BASE-x(-x は -BX、-FX、-FX-FE、または -LX)SFP モジュールのデフォルトは half です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、1000BASE-T SFP モジュールまたは 100BASE-FX MMF SFP モジュールが SFP モジュール スロットに挿入されている場合のみ使用できます。他のすべての SFP モジュールは全二重モードだけで動作します。

1000BASE-T SFP モジュールが SFP モジュール スロットに挿入されている場合は、デュプレックス モードを auto または full に設定できます。

100BASE-FX MMF SFP モジュールが SFP モジュール スロットに挿入されている場合は、デュプレックス モードを half または full に設定できます。100BASE-FX MMF SFP モジュールでは、 auto キーワードを使用できますが、自動ネゴシエーションがサポートされていないため、インターフェイスは半デュプレックス モード(デフォルト)になります。

特定のポートを全二重または半二重のいずれかに設定できます。このコマンドの適用可能性は、スイッチが接続されているデバイスによって異なります。

ファスト イーサネット ポートでは、接続された装置がデュプレックス パラメータの自動ネゴシエーションを行わない場合にポートを auto に設定すると、 half を指定するのと同じ効果があります。

ギガビット イーサネット ポートでは、接続装置がデュプレックス パラメータを自動ネゴシエートしないときにポートを auto に設定すると、 full を指定する場合と同じ効果があります。


) デュプレックス モードが auto で、接続されている装置が半二重で動作している場合、半二重モードはギガビット イーサネット インターフェイスでサポートされます。ただし、これらのインターフェイスを半二重モードで動作するように設定することはできません。


両方のラインの終端が自動ネゴシエーションをサポートしている場合、デフォルトの自動ネゴシエーションを使用することを強く推奨します。片方のインターフェイスが自動ネゴシエーションをサポートし、もう片方がサポートしていない場合、両方のインターフェイス上でデュプレックスと速度を設定し、サポートされている側で auto の設定を使用してください。

速度が auto に設定されている場合、スイッチはリンクの反対側のデバイスと速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。

デュプレックス設定を行うことができるのは、速度が auto に設定されている場合です。


注意 インターフェイス速度とデュプレックス モードの設定を変更すると、再設定中にインターフェイスがシャットダウンし、再びイネーブルになる場合があります。


) スイッチの速度およびデュプレックスのパラメータの設定に関する注意事項は、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。


次の例では、インターフェイスを全二重動作に設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# duplex full
 

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

スイッチのインターフェイスの設定を表示します。

speed

10/100 または 10/100/1000 Mb/s インターフェイスの速度を設定します。

errdisable detect cause

特定の原因、またはすべての原因に対して、errdisable 検出をイネーブルにするには、 errdisable detect cause グローバル コンフィギュレーション コマンドを使用します。errdisable 検出機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

errdisable detect cause { all | arp-inspection | dhcp-rate-limit | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | small-frame }

no errdisable detect cause { all | arp-inspection | dhcp-rate-limit | gbic-invalid | inline-power | l2ptguard | link-flap | pagp-flap | small-frame }


) コマンドライン インターフェイスでは表示されますが、既存のブロードキャスト ストーム ディセーブル機能が小さなフレームを正しく制御できるので、small-frame キーワードは必要ありません。


 
構文の説明

all

すべての errdisable の原因に対して、エラー検出をイネーブルにします

arp-inspection

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査のエラー検出をイネーブルにします。

dhcp-rate-limit

Dynamic Host Configuration Protocol(DHCP)スヌーピング用のエラー検出をイネーブルにします。

gbic-invalid

無効な Gigabit Interface Converter(GBIC; ギガビット インターフェイス コンバータ)モジュール用のエラー検出をイネーブルにします。

(注) このエラーは、無効な小型フォーム ファクタ(SFP)モジュールを意味します。

inline-power

Power over Ethernet(PoE)の errdisable 原因に対して、エラー検出をイネーブルにします。

l2ptguard

レイヤ 2 プロトコル トンネルの errdisable 原因に対して、エラー検出をイネーブルにします。

link-flap

リンクステートのフラップに対して、エラー検出をイネーブルにします。

loopback

検出されたループバックに対して、エラー検出をイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP; ポート集約プロトコル)フラップの errdisable 原因のエラー検出をイネーブルにします。

small-frame

スイッチでは、この機能は不要です。

 
デフォルト

検出はすべての原因に対してイネーブルです。VLAN ごとの errdisable を除くすべての原因について、ポート全体をシャットダウンするように設定されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

原因( all dhcp-rate-limit など)は、errdisable ステートが発生した理由です。原因がインターフェイスで検出された場合、インターフェイスは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。

ポートが errdisable になっているときは事実上シャットダウンし、トラフィックはポートで送受信されません。BPDU ガード機能およびポートセキュリティ機能の場合は、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN だけをシャットダウンするようにスイッチを設定できます。

原因に対して errdisable recovery グローバル コンフィギュレーション コマンドを入力して、原因の回復メカニズムを設定する場合は、すべての原因がタイムアウトになった時点で、インターフェイスは errdisable ステートから抜け出して、処理を再試行できるようになります。回復メカニズムを設定しない場合は、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、インターフェイスを手動で errdisable ステートから回復させる必要があります。

次の例では、リンクフラップ errdisable 原因に対して errdisable 検出をイネーブルにする方法を示します。

Switch(config)# errdisable detect cause link-flap
 

設定を確認するには、 show errdisable detect 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show errdisable detect

errdisable 検出情報を表示します。

show interfaces status err-disabled

インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

errdisable recovery

回復メカニズムの変数を設定するには、 errdisable recovery グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | small-frame | udld | unicast-flood | vmps } | { interval interval }

no errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | small-frame | udld | unicast-flood | vmps } | { interval interval }


storm-control キーワードおよび unicast-flood キーワードはコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。small-frame キーワードは、ブロードキャスト ストーム ディセーブル機能が小さなフレームを処理するため、使用されません


 
構文の説明

cause

特定の原因から回復するように errdisable メカニズムをイネーブルにします。

all

すべての errdisable の原因から回復するタイマーをイネーブルにします。

bpduguard

Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)ガード errdisable ステートから回復するタイマーをイネーブルにします。

arp-inspection

Address Resolution Protocol(ARP; アドレス解決プロトコル)検査による errdisable ステートから回復するためのタイマーをイネーブルにします。

channel-misconfig

EtherChannel の設定矛盾による errdisable ステートから回復するタイマーをイネーブルにします。

dhcp-rate-limit

DHCP スヌーピング errdisable ステートから回復するタイマーをイネーブルにします。

gbic-invalid

Gigabit Interface Converter(GBIC; ギガビット インターフェイス コンバータ)モジュールを無効な errdisable ステートから回復するタイマーをイネーブルにします。

(注) このエラーは無効な小型フォーム ファクタ(SFP)の errdisable ステートを意味します。

inline-power

Power over Ethernet(PoE)の errdisable ステートから回復するタイマーをイネーブルにします。

l2ptguard

レイヤ 2 プロトコル トンネルによる errdisable ステートから回復するためのタイマーをイネーブルにします。

link-flap

リンクフラップ errdisable ステートから回復するタイマーをイネーブルにします。

loopback

ループバック errdisable ステートから回復するタイマーをイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP; ポート集約プロトコル)フラップ errdisable ステートから回復するタイマーをイネーブルにします。

psecure-violation

ポート セキュリティ違反ディセーブル ステートから回復するタイマーをイネーブルにします。

security-violation

IEEE 802.1x 違反ディセーブル ステートから回復するタイマーをイネーブルにします。

small-frame

このキーワードは使用されません。

udld

UniDirectional Link Detection(UDLD; 単方向リンク検出)errdisable ステートから回復するタイマーをイネーブルにします。

unicast-flood

ユニキャスト フラッディング ディセーブル ステートから回復するタイマーをイネーブルにします。

vmps

VLAN Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)errdisable ステートから回復するタイマーをイネーブルにします。

interval interval

指定された errdisable ステートから回復する時間を指定します。指定できる範囲は 30 ~ 86400 秒です。すべての原因に同じ間隔が適用されます。デフォルト間隔は 300 秒です。

(注) errdisable recovery のタイマーは、設定された間隔値からランダムな差で初期化されます。実際のタイムアウト値と設定された値の差は、設定された間隔の 15% まで認められます。

 
デフォルト

すべての原因に対して回復はディセーブルです。

デフォルトの回復間隔は 300 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

原因( all bpduguard など)は、errdisable ステートが発生した理由として定義されます。原因がインターフェイスで検出された場合、インターフェイスは errdisable ステート(リンクダウン ステートに類似した動作ステート)となります。その原因の errdisable 回復をイネーブルにしない場合、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力するまで、インターフェイスは errdisable ステートのままです。原因の回復をイネーブルにした場合、インターフェイスは errdisable ステートから回復し、すべての原因がタイムアウトになったときに処理を再開できるようになります。

原因の回復をイネーブルにしない場合、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、手動でインターフェイスを errdisable ステートから回復させる必要があります

次の例では、BPDU ガード errdisable 原因に対して回復タイマーをイネーブルにする方法を示します。

Switch(config)# errdisable recovery cause bpduguard
 

次の例では、タイマーを 500 秒に設定する方法を示します。

Switch(config)# errdisable recovery interval 500
 

設定を確認するには、 show errdisable recovery 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show errdisable recovery

errdisable の回復タイマー情報を表示します。

show interfaces status err-disabled

インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

ethernet evc

イーサネット仮想接続(EVC)を定義し、EVC コンフィギュレーション モードを開始するには、 ethernet evc グローバル コンフィギュレーション コマンドを使用します。EVC を削除するには、このコマンドの no 形式を使用します。

ethernet evc evc-id

no ethernet evc evc-id

 
構文の説明

evc-id

EVC の ID。1 ~ 100 文字の文字列を設定できます。

 
デフォルト

EVC は定義されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ethernet evc evc-id コマンドを入力すると、スイッチは、EVC コンフィギュレーション モードを開始して、次のコンフィギュレーション コマンドを使用できるようになります。

default EVC をデフォルト ステートに設定します。

exit :EVC コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

no :コマンドを無効にするか、コマンドをデフォルト設定に戻します。

oam protocol cfm svlan :イーサネットの運用管理および保守(OAM)プロトコルを IEEE 802.1ag の接続障害管理(CFM)として設定し、パラメータを設定します。 oam protocol cfm svlan コマンドを参照してください。

uni count :EVC の UNI カウントを設定します。 uni count コマンドを参照してください。

次の例では、EVC を定義して EVC コンフィギュレーション モードを開始する方法を示します。

Switch(config)# ethernet evc test1
Switch(config-evc)#

 
関連コマンド

コマンド
説明

service instance id ethernet evc-id

イーサネット サービス インスタンスを設定し、EVC を適用します。

show ethernet service evc

設定された EVC に関する情報を表示します。

ethernet lmi

イーサネット ローカル管理インターフェイス(E-LMI)としてイネーブルにする設定を行ったり、スイッチをプロバイダー エッジ(PE)デバイスまたはカスタマー エッジ(CE)デバイスとして設定したりするには、 ethernet lmi グローバル コンフィギュレーション コマンドを使用します。E-LMI をグローバルにディセーブルにしたり、E-LMI CE をディセーブルにしたりするには、このコマンドの no 形式を使用します。

ethernet lmi { ce | global }

no ethernet lmi { ce | global }

 
構文の説明

ce

スイッチを E-LMI CE デバイスとしてイネーブルにします。

(注) イーサネット LMI はデフォルトでディセーブルです。E-LMI は CE モードでイネーブルにするだけではなく、グローバルにまたはインターフェイスでもイネーブルにする必要があります。

global

スイッチで E-LMI をグローバルにイネーブルにします。デフォルトでは、スイッチは PE デバイスです。

 
デフォルト

イーサネット LMI はディセーブルです。global キーワードを使用してイネーブルにされた場合、デフォルトでは、スイッチは PR デバイスです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

E-LMI をグローバルにイネーブルにするには、 ethernet lmi global コマンドを使用します。E-LMI CE デバイスとしてスイッチをイネーブルにするには、 ethernet lmi ce コマンドを使用します。

イーサネット LMI はインターフェイスではデフォルトでディセーブルであり、 ethernet lmi interface インターフェイス コンフィギュレーション コマンドを入力して、明示的にイネーブルにする必要があります。 ethernet lmi global コマンドはデバイス全体のすべてのインターフェイスにおいて、PE モードでイーサネット LMI をイネーブルにします。このコマンドの利点は、各インターフェイスでイーサネット LMI を個別にイネーブルにする代わりに 1 種類のコマンドですべてのインターフェイスのイーサネット LMI をイネーブルにできることです。CE モードでインターフェイスをイネーブルにするには、 ethernet lmi ce グローバル コンフィギュレーション コマンドも入力する必要があります。

ethernet lmi global コマンドを入力したあとで、特定のインターフェイスで E-LMI をディセーブルにするには、 no ethernet lmi interface インターフェイス コンフィギュレーション コマンドを入力します。

ethernet lmi interface インターフェイス コンフィギュレーション コマンドと ethernet lmi global グローバル コンフィギュレーション コマンドを入力する順序が重要です。入力された最新のコマンドが前のコマンドを上書きします。


ethernet lmi インターフェイス コンフィギュレーション コマンドの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/ps6441/products_feature_guide09186a0080690f2d.html#wp1166797


スイッチを E-LMI CE デバイスとしてイネーブルにするには、 ethernet lmi global コマンドおよび ethernet lmi ce コマンドの両方を入力します。デフォルトでは E-LMI はディセーブルです。E-LMI をイネーブルにしても ethernet lmi ce コマンドを入力しない限り、スイッチは PE モードです。

スイッチを E-LMI CE デバイスとして設定すると、次のインターフェイス コンフィギュレーション コマンドとキーワードが表示されますが、サポートされていません。

service instance

ethernet uni

ethernet lmi t392

次の例では、スイッチを E-LMI CE デバイスとして設定する方法を示します。

Switch(config)# ethernet lmi global
Switch(config)# ethernet lmi ce

 
関連コマンド

コマンド
説明

ethernet lmi インターフェイス コンフィギュレーション コマンド

ユーザネットワーク インターフェイスの E-LMI をイネーブルにします。

ethernet lmi ce-vlan map

イーサネット ローカル管理インターフェイス(ELMI)パラメータを設定するには、 ethernet lmi ce-vlan map のイーサネット サービス コンフィギュレーション コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ethernet lmi ce-vlan map { vlan-id | any | default | untagged}

no ethernet lmi ce-vlan map { vlan-id | any | default | untagged}

 
構文の説明

vlan-id

マッピングする 1 つ以上のカスタマー VLAN ID を入力します。単一の VLAN ID(範囲は 1 ~ 4094)、ハイフンで区切られた VLAN ID の範囲、またはカンマで区切った一連の VLAN ID を入力できます。

any

すべての VLAN(タグ付けされていない VLAN および 1 ~ 4094 の VLAN)をマッピングします。

default

デフォルトのサービス インスタンスにマッピングします。 default キーワードは、すでにサービス インスタンスを 1 つの VLAN または VLAN のグループにマッピングしている場合にだけ使用できます。

untagged

タグ付けされていない VLAN のみをマッピングします。

 
デフォルト

E-LMI マッピング パラメータは定義されていません。

 
コマンド モード

イーサネット サービス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

特定の User-Network Interface(UNI; ユーザネットワーク インターフェイス)の E-LMI カスタマー VLAN から EVC へのマッピングを設定するには、このコマンドを使用します。

ethernet uni { bundle [ all-to-one ] | multiplex } インターフェイス コンフィギュレーション コマンドを入力して設定されたバンドル特性に E-LMI マッピング パラメータが関連付けられます。

デフォルト UNI 属性(バンドルおよび多重化)の使用では、複数の EVC および複数の VLAN がサポートされます。

ethernet uni bundle コマンドの入力では、1 つ以上の VLAN を持つ 1 つの EVC だけがサポートされます。

ethernet uni bundle all-to-one コマンドの入力では、複数の VLAN がサポートされますが、EVC は 1 つだけサポートされます。 ethernet lmi ce-vlan map any イーサネット サービス コンフィギュレーション コマンドを使用する場合、事前に all-to-one バンドルをインターフェイスで設定する必要があります。

ethernet uni multiplex コマンドの入力では、EVC ごとに VLAN を 1 つだけ持つ、複数の EVC がサポートされます。

次の例では、E-LMI カスタマー VLAN から EVC へのマッピングを設定し、インターフェイスのサービス インスタンス 333 にあるカスタマー VLAN 101 に EVC test をマッピングする方法を示します。

Switch(config-if)# service instance 333 ethernet test
Switch(config-if-srv)# ethernet lmi ce-vlan map 101

 
関連コマンド

コマンド
説明

service instance id ethernet

イーサネット サービス インスタンスを定義し、イーサネット サービス コンフィギュレーション モードを開始します。

show ethernet service instance

設定されたイーサネット サービス インスタンスに関する情報を表示します。

ethernet loopback(イーサネット コンフィギュレーション)

複数のスイッチ間での接続をテストするためのポート単位のループバックを設定するには、 ethernet loopback facility インターフェイス コンフィギュレーション コマンドを使用します。Quality of Service(QoS)をテストするには、 ethernet loopback terminal インターフェイス コンフィギュレーション コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ethernet loopback facility [ vlan vlan-list ] [ mac-address { swap | copy }] [ timeout { seconds | none }] supported

ethernet loopback terminal [ mac-address { swap | copy }] [ timeout { seconds | none }] supported

no ethernet loopback

 
構文の説明

facility

接続テスト用のファシリティ ループバックを設定します。

vlan vlan-list

中断のないループバック テストの VLAN のループバックを設定します。

terminal

QoS のテストのターミナル ループバックを設定します。

mac-address swap

ループバック処理のため送信元 MAC アドレスと宛先 MAC アドレスをスワップするようスイッチを設定します。

mac-address copy

ループバック処理のため送信元 MAC アドレスと宛先 MAC アドレスをコピーするようスイッチを設定します。

timeout seconds

秒単位でのループバック タイムアウト時間を設定します。指定できる範囲は 5 ~ 300 秒です。デフォルトは 60 秒です。

timeout none

ループバックがタイムアウトしないように設定します。

supported

設定されたループバックをサポートするように指定します。

 
デフォルト

ループバックは設定されません。 mac-address オプションが設定されていない場合、デフォルトでは、送信元アドレスおよび宛先アドレスがコピーされます。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

イーサネット ループバックは、VLAN またはポート チャネルではなく、物理ポートでだけ設定できます。

ファシリティ ループバックにより、ポートでは、通常のトラフィックに対してリンクはアップ状態になりますが、ライン プロトコルはダウン状態になります。スイッチにより、すべての受信トラフィックはループバックされます。

キーワード vlan vlan-list を入力して VLAN ループバックを設定すると、ポートのその他の VLAN では引き続き正常にスイッチが行われるため、処理を中断させずにループバック テストできます。

ループバックは、ポートのシャットダウンやスイッチ ポートからルーテッド ポートへの変更などのポート イベント後に終了します。

ターミナル ループバックの場合、ソフトウェアでは、ポートはアップ状態であるがリンクはダウン状態であると認識され、パケットは送信されません。ポートの設定変更は、ループバックされているトラフィックに即座に影響を与えます。

ポート 1 つにつきループバックを 1 つ設定でき、スイッチ 1 つにつきループバックを 2 つまで設定できます。スイッチ 1 つにつきターミナル ループバックは 1 つだけ設定できます。そのため、スイッチには 1 つのファシリティ ループバックおよび 1 つのターミナル ループバック、または 2 つのファシリティ ループバックが存在する可能性があります。

他の機能とのイーサネット ループバックの相互作用:

SPAN とループバックは同じスイッチで同時に設定できません。いずれかのポートにループバックが設定されている場合に任意のポートに SPAN を設定しようとすると、エラー メッセージが表示されます。

ポート ループバック機能は、VLAN マッピング機能とハードウェア リソースを共有します。ループバックを設定しようとするとき、VLAN マッピング設定のために十分な TCAM リソースが使用できない場合、エラー メッセージを受信し、設定は許可されません。

ループバックがポート上でアクティブな場合、このポートを Flex Link ペアまたは EtherChannel に追加できません。

イーサネット ループバックを設定したら、ループバックを開始するために ethernet loopback start interface-id 特権 EXEC コマンドを入力します。ループバックを停止するには、 ethernet loopback stop { interface-id | all } コマンドを入力します。

次に、宛先 MAC アドレスおよび送信元 MAC アドレスをスワップし、30 秒後にタイムアウトし、ループバック プロセスを開始して、設定を確認するようイーサネット ループバックを設定する方法の例を示します。設定する前に処理を確認する必要があります。

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ethernet loopback facility mac-address swap timeout 30 supported
Switch(config-if)# end
Switch# ethernet loopback start gigabitethernet 0/1
This is an intrusive loopback.
Therefore, while you test Ethernet connectivity,
you will be unable to pass traffic across that link.
Proceed with Local Loopback?[confirm]
 
Switch# show ethernet loopback
=====================================
Loopback Session 0 : Interface GI0/1
Direction : facility
Type : port
Status : active
MAC Mode : swap
Time out : 30
Time remaining : 25 seconds
 

また、2 番めのインターフェイスに中断のないループバックを設定する例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# ethernet loop facility mac-address swap timeout none supported
Switch(config-if)# exit
Switch(config-if)# interface fastethernet0/2
Switch(config-if)# ethernet loop facility vlan 3 mac-address copy timeout 100 supported
switch(config-if)# switch mode trunk
Switch(config-if)# exit
switch(config)# vlan 3
switch(config-vlan)# end
 
Switch# show ethernet loopback
=====================================
Loopback Session 0 : Interface Fa0/1
Direction : facility
Type : port
Status : configured
MAC Mode : swap
Time out : none
=====================================
Loopback Session 1 : Interface Fa0/2
Direction : facility
Type : vlan
Status : configured
MAC Mode : copy
Vlan : 3
Time out : 100
 

次に、2 つのインターフェイスでイーサネット ループバック機能設定を削除して、1 つのインターフェイスでイーサネット ターミナル ループバックを設定する例を示します。

Switch(config)# interface fastethernet 0/1
switch(config-if)# no ethernet loopback
switch(config-if)# interface fastethernet 0/2
switch(config-if)# no ethernet loopback
switch(config-if)# exit
switch(config)# default interface range fastethernet 0/1-2
switch(config)# interface fastethernet 0/1
switch(config-if)# ethernet loop terminal mad-address swap timeout 300 supported
switch(config-if)# end
 
Switch# show ethernet loopback
=====================================
Loopback Session 0 : Interface Fa0/1
Direction : terminal
Type : port
Status : configured
MAC Mode : swap
Time out : 300

 
関連コマンド

コマンド
説明

ethernet loopback(特権 EXEC)

インターフェイス上のイーサネット ループバック操作を開始または停止します。

show ethernet loopback

スイッチまたは指定したインターフェイスに設定されているイーサネット ループバックを表示します。

ethernet loopback(特権 EXEC)

インターフェイスでイーサネット ループバック機能を開始または停止するには、 ethernet loopback 特権 EXEC コマンドを使用します。

ethernet loopback { start interface-id | stop { interface-id | all }}

 
構文の説明

start

インターフェイスに設定されているイーサネット ループバック操作を開始します。

stop

イーサネット ループバック操作を停止します。

interface-id

ループバック操作を開始または停止するインターフェイスを指定します。

all

スイッチ上のすべてのイーサネット ループバック操作を停止します。このキーワードは、 stop キーワードの後にのみ使用できます。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

イーサネット ループバック操作を開始または停止する前に、 ethernet loopback インターフェイス コンフィギュレーション コマンドを入力して、インターフェイスでイーサネット ループバックを設定する必要があります。ループバックを開始すると、警告メッセージが表示されます。

物理ポートに対してのみ、イーサネット ループバックを設定して ethernet loopback start コマンドまたは ethernet loopback stop コマンドを入力できます。VLAN やポート チャネルに対してはこれらを行うことはできません。

非トランク インターフェイスでは VLAN ループバックを開始できません。ルーテッド インターフェイスではターミナル ループバックを開始できません。

ポート 1 つにつきループバックを 1 つのみ設定でき、スイッチ 1 つにつきループバックを 2 つまで設定できます。スイッチ 1 つにつきターミナル ループバックは 1 回だけ設定できます。

次に、ファシリティ ポート ループバック プロセスを開始し、確認して、停止する例を示します。

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ethernet loopback facility mac-address swap timeout 30 supported
Switch(config-if)# end
Switch# ethernet loopback start gigabitethernet 0/1
This is an intrusive loopback.
Therefore, while you test Ethernet connectivity,
you will be unable to pass traffic across that link.
Proceed with Local Loopback?[confirm]
Switch# show ethernet loopback
=====================================
Loopback Session 0 : Interface Gi0/1
Direction : facility
Type : port
Status : active
MAC Mode : swap
Time out : 30
Time remaining : 25 seconds
 
Switch# ethernet loop stop all
 
Dec 4 11:18:44.083: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up
 
Switch# show ethernet loopback
=====================================
Loopback Session 0 : Interface Gi0/1
Direction : facility
Type : port
Status : configured
MAC Mode : swap
Time out : 30
 

次に、VLAN の非侵入型ループバック プロセスを開始する例を示します。

Switch# ethernet loop start fastethernet 0/2
This is a non-intrusive loopback.
Therefore, while you test Ethernet connectivity on vlan 3, you will be unable to pass traffic across it, however, other vlans will be unaffected.
Proceed with Local Loopback?[confirm]
 
Switch# show ethernet loopback
=====================================
Loopback Session 1 : Interface Fa0/2
Direction : facility
Type : vlan
Status : active
MAC Mode : copy
Vlan : 3
Time out : 100
Time remaining : 94 seconds

 
関連コマンド

コマンド
説明

ethernet loopback(イーサネット コンフィギュレーション)

インターフェイス上のイーサネット ループバック操作を設定します。

show ethernet loopback

スイッチまたは指定したインターフェイスに設定されているイーサネット ループバックを表示します。

ethernet oam remote-failure

Ethernet Operation, administration, and Maintenance(EOM)リモート障害表示を設定するには、 ethernet oam remote-failure インターフェイス コンフィギュレーションまたはコンフィギュレーション テンプレート コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ethernet oam remote-failure { critical-event | dying-gasp | link-fault } action error-disable-interface

no ethernet oam remote-failure { critical-event | dying-gasp | link-fault } action

 
構文の説明

critical-event

未指定のクリティカルなイベントが発生したとき、インターフェイスを errdisable モードにするようにスイッチを設定します。

dying-gasp

回復不能な状態が発生したとき、インターフェイスを errdisable モードにするようにスイッチを設定します。

link-fault

レシーバが電力の損失を検出すると errdisable モードにインターフェイスを変更するようにスイッチを設定します。

 
デフォルト

設定テンプレート

インターフェイス コンフィギュレーション

 
コマンド モード

イーサネット サービス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、イーサネット OAM テンプレートおよびインターフェイスに適用できます。インターフェイス設定は、テンプレートの設定よりも優先されます。OAM テンプレート コンフィギュレーション モードを開始するには、 template template-name グローバル コンフィギュレーション コマンドを使用します。

Cisco CGS 2520 スイッチは、Link Fault と Critical Event OAM PDU を生成しません。ただし、スイッチがこれらの PDU をリンクの相手方から受信した場合は処理します。イーサネット OAM がディセーブルのとき、インターフェイスがシャットダウンしたとき、インターフェイスが errdisable ステートになったとき、またはスイッチがリロードしているときに、スイッチは Dying Gasp OAM PDU の生成と受信をサポートします。また、スイッチは電源喪失に基づいた Dying Gasp PDU を生成し、受信できます。PDU には、PDU が送信された理由を示す原因コードが含まれています。 リモート デバイスがディセーブルの場合、またはリモート デバイスがインターフェイス上のイーサネット OAM をディセーブルにした場合に、errdisable アクションを発生させるように設定できます。

イーサネット OAM プロトコルのコマンドと設定の詳細については、次の URL の Cisco IOS フィーチャ モジュールを参照してください。
http://www.cisco.com/en/US/products/ps6922/products_feature_guide09186a008067344c.html

CFM およびイーサネット OAM コマンドの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/ps6922/products_command_reference_book09186a0080699104.html

次に、回復不能なエラーが発生した場合のためのリモート障害表示のイーサネット OAM テンプレート設定方法、およびインターフェイスへの適用方法の例を示します。

Switch(config)# template oam1
Switch(config-template)# ethernet oam remote-failure dying-gasp action error-disable interface
Switch(config-template)# exit
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# source template oam1
Switch(config-if)# exit
 

次に、回復不能なエラーが発生した場合のイーサネット OAM リモート障害表示を 1 つのインターフェイスに設定する例を示します。

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ethernet oam remote-failure dying-gasp action error-disable interface
Switch(config-if)# exit

 
関連コマンド

コマンド
説明

show ethernet oam status [ interface interface-id ]

すべてのインターフェイスまたは指定されたインターフェイス上に設定済みのイーサネット OAM リモート障害条件を表示します。

ethernet uni

UNI バンドル属性を設定するには、 ethernet uni インターフェイス コンフィギュレーション コマンドを使用します。デフォルトのバンドル設定に戻すには、このコマンドの no 形式を使用します。

ethernet uni { bundle [ all-to-one ] | multiplex }

no ethernet uni { bundle | multiplex }

 
構文の説明

bundle

多重化しないでバンドルをサポートするように UNI を設定します。このサービスでは、UNI において、1 つまたは複数のカスタマー エッジ(CE)VLAN ID がマッピングされた 1 つのイーサネット仮想接続(EVC)のみがサポートされます。

all-to-one

(任意)UNI において、すべての CE VLAN がマッピングされた 1 つの EVC によるバンドルをサポートするように UNI を設定します。

multiplex

バンドルしないで多重化をサポートするように UNI を設定します。UNI には、それぞれに 1 つの CE VLAN ID がマッピングされた 1 つ以上の EVC を設定できます。

 
デフォルト

バンドルまたは多重化属性が設定されていない場合、デフォルトは多重化を使用したバンドリングです。その場合、UNI には、それぞれに 1 つ以上の CE VLAN VLAN がマッピングされた 1 つ以上の EVC を設定できます。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

UNI 属性によって、VLAN のバンドル、EVC の多重化、およびこれらの組み合わせについてのインターフェイスの機能が決定されます。

UNI にバンドルと多重化両方のサービスを行わせたい場合、バンドルまたは多重化を設定する必要はありません。バンドルまたは多重化だけする場合、これを適切に設定する必要があります。

UNI サービス タイプを設定、変更、削除する場合、EVC および CE-VLAN ID 設定をチェックして、コンフィギュレーションと UNI サービス タイプが一致していることを確認します。設定が一致しない場合、コマンドは拒否されます。

ethernet lmi ce-vlan map any サービス コンフィギュレーション コマンドを使用する場合、事前に all-to-one バンドルをインターフェイスで設定する必要があります。詳細については、 ethernet lmi ce-vlan map の項を参照してください。

次に、多重化しないでバンドルを設定する例を示します。

Switch(config-if)# ethernet uni bundle
 

UNI サービス タイプを確認するには、 show ethernet service interface detail 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ethernet service interface

サービス タイプなど、インターフェイスのイーサネット サービス インスタンスに関する情報を表示します。

ethernet uni id

ユーザ ネットワーク インターフェイス(UNI)ID を作成するには、 ethernet uni インターフェイス コンフィギュレーション コマンドを使用します。UNI ID を削除するには、このコマンドの no 形式を使用します。

ethernet uni id name

no ethernet uni id

 
構文の説明

name

イーサネット UNI ID を識別します。同じサービス インスタンスに属するすべての UNI の名前はそれぞれ、一意である必要があります。名前の長さは 64 文字までです。

 
デフォルト

UNI ID は作成されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ポートに UNI ID を設定すると、その ID はポートに設定されたすべてのメンテナンス エンド ポイント(MEP)のデフォルトの名前として使用されます。

カスタマー エッジ(CE)デバイスに直接接続されているすべてのポートで ethernet uni id name コマンドを入力する必要があります。指定された ID がデバイス上で一意でない場合は、エラー メッセージが表示されます。

次に、一意の UNI を識別する方法を示します。

Switch(config-if)# ethernet uni id test2
 

 
関連コマンド

コマンド
説明

show ethernet service interface

サービス タイプなど、インターフェイスのイーサネット サービス インスタンスに関する情報を表示します。

exceed-action

認定情報レート(CIR)または最大情報レート(PIR)の適合レートと、適合レートに超過バーストを加えたレートの間のレートのパケットに対するポリシーマップ クラスに複数のアクションを設定するには、 exceed-action ポリシーマップ クラス ポリシング コンフィギュレーション コマンドを使用します。アクションをキャンセルしたり、デフォルト アクションに戻したりする場合は、このコマンドの no 形式を使用します。

exceed-action { drop | set-cos-transmit { new-cos-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-dscp-transmit { new-dscp-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-prec-transmit { new-precedence-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-qos-transmit qos-group-value | transmit ]}

no exceed-action { drop | set-cos-transmit { new-cos-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-dscp-transmit { new-dscp-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-prec-transmit { new-precedence-value | [ cos | dscp | precedence ] [ table table-map name ]} | set-qos-transmit qos-group-value | transmit ]}

 
構文の説明

drop

パケットをドロップします。

set-cos-transmit new-cos-value

パケットの新しいサービス クラス(CoS)値を設定し、パケットを送信します。これにより、マーキング アクションの to - type が指定されます。新規 CoS 値に指定できる範囲は 0 ~ 7 です。

set-dscp-transmit new-dscp-value

パケットの新しい DiffServ コード ポイント(DSCP)値を設定し、パケットを送信します。これにより、マーキング アクションの to - type が指定されます。新規 DSCP 値に指定できる範囲は 0 ~ 63 です。

set-prec-transmit new-precedence-value

パケットの新しい IP precedence 値を設定し、パケットを送信します。これにより、マーキング アクションの to - type が指定されます。新規 IP precedence 値に指定できる範囲は 0 ~ 7 です。

set-qos-transmit qos-group-value

パケットの新しい Quality of Service(QoS)グループ値を設定し、パケットを送信します。これにより、マーキング アクションの to - type が指定されます。新規 QoS 値に指定できる範囲は 0 ~ 99 です。

cos

(任意)着信パケットの CoS 値に基づき上記のキーワードに指定されているパケット マーキングを設定し、パケットを送信します。これにより、拡張パケットマーキング アクションの from - type が指定されます。

dscp

(任意)着信パケットの DSCP 値に基づき上記のキーワードに指定されているパケット マーキングを設定し、パケットを送信します。これにより、拡張パケットマーキング アクションの from - type が指定されます。

precedence

(任意)着信パケットの IP precedence 値に基づき上記のキーワードに指定されているパケット マーキングを設定し、パケットを送信します。これにより、拡張パケットマーキング アクションの from - type が指定されます。

table table-map name

(任意)上記の from-type キーワードとともに使用します。拡張パケット マーキングに使用するテーブル マップを指定します。このテーブル マップを使用して、アクションの from-type パラメータに基づき、アクションの to-type がマーキングされます。

transmit

(任意)パケットを変更せずに送信します。

 
デフォルト

デフォルトのアクションは、パケットのドロップです。

 
コマンド モード

ポリシーマップ クラス ポリシング設定

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

パケット レートが、設定された適合レートと、適合レートに超過バーストを加えたレートの間である場合のパケットに対する超過アクションを設定します。

適合アクションが drop に設定されている場合、超過アクションおよび違反アクションは自動的に drop に設定されます。超過アクションが drop に設定されている場合、違反アクションは自動的に drop に設定されます。

超過アクションは、パケットの変更なしでの送信、明示値を使用したマーキング、および拡張パケット マーキングのすべての組み合わせの使用に設定できます。拡張パケット マーキングによって、任意の着信 QoS マーキングおよびテーブル マップに基づいて QoS マーキングを変更できます。スイッチでは、同じクラスに複数の QoS パラメータをマーキングし、同時に conform-action、exceed-action、violate-action マーキングを行う機能もサポートされています。

ポリシーマップ クラス ポリシング コンフィギュレーション モードにアクセスするには、 police ポリシーマップ クラス コマンドを入力します。詳細については、 police コマンドを参照してください。

このコマンドを使用して、トラフィック クラスに対して 1 つ以上の超過アクションを設定できます。

次に、情報レートを 23000 ビット/秒に、バースト レートを 10000 ビット/秒に設定するポリシー マップで複数のアクションを設定する例を示します。

Switch(config)# policy-map map1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# police 23000 10000
Switch(config-pmap-c-police)# conform-action transmit
Switch(config-pmap-c-police)# exceed-action set-prec-transmit prec table policed-prec-table-map-name
Switch(config-pmap-c-police)# exit
 

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class

指定したクラスマップ名のトラフィック分類一致基準を定義します。

conform-action

CIR に適合するトラフィックに対して実行するアクションを定義します。

police

分類したトラフィックにポリサーを定義します。

policy-map

複数のポートに接続可能なポリシー マップを作成または変更して、サービス ポリシーを指定します。

show policy-map

QoS ポリシー マップを表示します。

violate-action

適合レートに超過バーストを加えたレートよりも大きいレートのトラフィックで実行されるアクションを定義します。

 

fcs-threshold

フレーム チェック シーケンス(FCS)ビットエラー レートを設定するには、fcs-threshold インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

fcs-threshold value

no fcs-threshold value

 
構文の説明

value

値範囲は 6 ~ 11で、10-6 ~ 10-11 ビットエラー レートを示します。

 
デフォルト

デフォルトは 8 です。これは、イーサネット標準の 10-8 ビット エラー レートを示します。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

イーサネット標準の上限ビット エラー レートは 10-8 です。CGS 2520 スイッチで設定可能なビット エラー レートの範囲は 10-6 ~ 10-11 です。スイッチのビット エラー レートは自然数です。ビット エラー レートに 10-9 を設定する場合は、係数に 9 を入力します。

スイッチに FCS エラー ヒステリシスしきい値を設定して、実際のビット エラー レートの変動が設定したビット エラー レートに接近した場合のアラームを防止するには、alarm facility fcs hysteresis グローバル コンフィギュレーション コマンドを使用します。

次の例では、ポートの FCS ビット エラー レートを 10-10 に設定する方法を示します。

Switch(config)# interface fastethernet1/1
Switch(config-if)# fcs-threshold 10

 
関連コマンド

コマンド
説明

alarm facility fcs-hysteresis

スイッチの FCS ヒステリシスしきい値をポートに設定された FCS ビット エラー レートの許容変動率で設定します。

show fcs-threshold

インターフェイスそれぞれの FCS エラー ビット レート設定を正数の係数として表示します。

flowcontrol

インターフェイスの受信フロー制御ステート を設定するには、 flowcontrol インターフェイス コンフィギュレーション コマンドを使用します。ある装置に対してフロー制御 send が動作可能でオンになっていて、接続のもう一方の側で輻輳が少しでも検出された場合は、休止フレームを送信することによって、リンクの相手側またはリモート装置に輻輳を通知します。ある装置に対してフロー制御 receive がオンで、休止フレームを受信した場合、データ パケットの送信は停止します。こうすることにより、輻輳期間中にデータ パケットの損失を防ぎます。

フロー制御をディセーブルにする場合は、 receive off キーワードを使用します。

flowcontrol receive { desired | off | on }


) Cisco CGS 2520 スイッチはポーズ フレームのみを受信できます。


 
構文の説明

receive

インターフェイスがリモート装置からフロー制御パケットを受信できるかどうかを設定します。

desired

インターフェイスを、フロー制御パケットを送信する必要がある接続装置またはフロー制御パケットを送信する必要はないが送信することのできる接続装置とともに稼動させることができます。

off

接続装置がフロー制御パケットをインターフェイスへ送信する機能をオフにします。

on

インターフェイスを、フロー制御パケットを送信する必要がある接続装置またはフロー制御パケットを送信する必要はないが送信することのできる接続装置とともに稼動させることができます。

 
デフォルト

デフォルトは、 flowcontrol receive off に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

このスイッチでは、送信フロー制御の休止フレームはサポートされません。ポートがユーザ ネットワーク インターフェイス(UNI)または拡張ネットワーク インターフェイス(ENI)の場合、flowcontrol コマンドを使用する前に no shutdown インターフェイス コンフィギュレーション コマンドを使用してインターフェイスをイネーブルにする必要があります。UNI と ENI は、デフォルトでディセーブルに設定されています。ネットワーク ノード インターフェイス(NNI)はデフォルトでイネーブルです。

on および desired キーワードは同一の結果になることに注意してください。

flowcontrol コマンドを使用してポートが輻輳中にトラフィック レートを制御するよう設定する場合、フロー制御はポート上で次の条件のうちの 1 つに設定されます。

receive on または desired ポートはポーズ フレームを送信できませんが、ポーズ フレームを送信する必要がある装置、または送信可能な接続装置と連動できます。ポートでは、ポーズ フレームを受信できます。

receive off :フロー制御はどちらの方向にも動作しません。輻輳が生じても、リンクの相手側に通知はなく、どちら側の装置も休止フレームの送受信を行いません。

表 2-3 は、各設定の組み合わせによるローカル ポートおよびリモート ポート上のフロー制御の結果を示したものです。表は receive desired キーワードの使用時と receive on キーワードの使用時の結果が同一になることを前提としています。

 

表 2-3 フロー制御設定およびローカル/リモート ポート フロー制御解決

フロー制御設定
フロー制御解決
ローカル デバイス
リモート デバイス
ローカル デバイス
リモート デバイス

send off/receive on

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

受信だけ行います。

受信だけ行います。

受信だけ行います。

受信だけ行います。

受信だけ行います。

送受信を行いません。

送受信を行います。

送信だけ行います。

送受信を行います。

送信だけ行います。

受信だけ行います。

送受信を行いません。

send off/receive off

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

次の例では、リモート ポートによってフロー制御がサポートされないようにローカル ポートを設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# flowcontrol receive off
 

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

入出力フロー制御を含むスイッチのインターフェイス設定を表示します。

hw-module module logging onboard

オンボード障害ロギング(OBFL)をイネーブルにするには、 hw-module module logging onboard グローバル コンフィギュレーション コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

hw-module module [ slot-number ] logging onboard [ message level level ]

no hw-module module [ slot-number ] logging onboard [ message level ]

 
構文の説明

slot-number

(任意)スロット番号は常に 1 で、CGS 2520 には関連しません。

message level level

(任意)フラッシュ メモリに保存されるハードウェア関連のメッセージの重大度を指定します。指定できる範囲は 1 ~ 7 です。1 が最も高い重大度です。

 
デフォルト

OBFL はイネーブルになっており、すべてのメッセージが表示されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

OBFL はイネーブルにしておき、フラッシュ メモリに保存されたデータは消さないようにすることを推奨します。

OBFL データ ログ内のタイム スタンプを正確にするには、システム クロックを手動で設定するか、またはネットワーク タイム プロトコル(NTP)を使用して設定します。

message level level パラメータを入力しなければ、ハードウェア関連のすべてのメッセージがスイッチによって生成され、フラッシュ メモリに保存されます。

任意のスロット番号は常に 1 です。 hw-module modul e [ slot-number ] logging onboard [ message level level ] コマンドを入力することは、 hw-module module logging onboard [ message level level ] コマンドを入力することと同じです。

次に、スイッチ上で OBFL をイネーブルにし、ハードウェア関連のメッセージがフラッシュ メモリに保存されるように指定する例を示します。

Switch(config)# hw-module module logging onboard
 

次に、スイッチ上で OBFL をイネーブルにし、重大度 1 のハードウェア関連のメッセージだけがフラッシュ メモリに保存されるように指定する例を示します。

Switch(config)# hw-module module logging onboard message level 1
 

設定を確認するには、 show logging onboard 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

clear logging onboard

フラッシュ メモリ内の OBFL データを削除します。

show logging onboard

OBFL 情報を表示します。

 

interface port-channel

ポート チャネルの論理インターフェイスにアクセスしたり、作成したりするには interface port-channel グローバル コンフィギュレーション コマンドを使用します。ポート チャネルを削除する場合は、このコマンドの no 形式を使用します。

interface port-channel port - channel-number

no interface port-channel port - channel-number

 
構文の説明

port-channel-number

ポート チャネル番号。指定できる範囲は 1 ~ 48 です。

 
デフォルト

ポート チャネル論理インターフェイスは定義されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

レイヤ 2 EtherChannel では、物理ポートをチャネル グループに割り当てる前にポートチャネル インターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。チャネル グループが最初の物理ポートを獲得すると、ポートチャネル インターフェイスは自動的に作成されます。最初にポートチャネル インターフェイスを作成する場合は、 channel-group-number port - channel-number と同じ番号にしても、新しい番号にしてもかまいません。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。

interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポート チャネルの論理インターフェイスを手動で設定してください。

チャネル グループ内の 1 つのポート チャネルだけが許可されます。


注意 ポート チャネル インターフェイスをルーテッド ポートとして使用する場合、チャネル グループに割り当てられた物理ポート上のレイヤ 3 に、アドレスを割り当てないようにしてください。

interface port-channel コマンドを使用する場合は、次の注意事項に従ってください。

Cisco Discovery Protocol(CDP)を使用する場合には、これを物理ポートでだけ設定してください。ポート チャネル インターフェイスでは設定できません。


) CDP を使用できるのは、ネットワーク ノード インターフェイス(NNI)および拡張ネットワーク インターフェイス(ENI)上だけです。


EtherChannel のアクティブ メンバであるポートを IEEE 802.1x ポートとしては設定しないでください。まだアクティブになっていない EtherChannel のポートで IEEE 802.1x をイネーブルにしても、ポートは EtherChannel に加入しません。

設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」の章を参照してください。

次の例では、ポート チャネル番号 5 でポートチャネル インターフェイスを作成する方法を示します。

Switch(config)# interface port-channel 5
 

設定を確認するには、 show running-config 特権 EXEC コマンドまたは show etherchannel channel-group-number detail 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show running-config

動作設定を表示します。構文情報については、Cisco IOS Release 12.2 のコマンド リファレンス一覧ページへアクセスする次のリンクを使用します。 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html
Cisco IOS Commands Master List, Release 12.2 」を選択して、コマンドの項目へ移動します。

interface range

インターフェイス範囲コンフィギュレーション モードを開始し、複数のポートでコマンドを同時に実行するには、 interface range グローバル コンフィギュレーション コマンドを使用します。インターフェイス範囲を削除する場合は、このコマンドの no 形式を使用します。

interface range { port-range | macro name }

no interface range { port-range | macro name }

 
構文の説明

port-range

ポート範囲。p ort-range の有効値のリストについては、「使用上のガイドライン」の項を参照してください。

macro name

マクロ名を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス範囲コンフィギュレーション モードを開始して入力した、すべてのインターフェイスのパラメータは、その範囲内のすべてのインターフェイスに対する属性になります。

VLAN については、既存の VLAN Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)でだけ interface range コマンドを使用することができます。VLAN の SVI を表示する場合は、 show running-config 特権 EXEC コマンドを入力します。表示されない VLAN は、 interface range コマンドで使用することはできません。 interface range コマンドのもとで入力したコマンドは、この範囲のすべての既存の VLAN SVI に適用されます。

あるインターフェイス範囲に対して行われた設定変更は、すべて NVRAM に保存されますが、 インターフェイス範囲 自体は NVRAM に保存されません。

インターフェイス範囲は 2 つの方法で入力できます。

最大 5 つまでのインターフェイス範囲を指定。

定義済みのインターフェイス範囲マクロ設定を指定。

範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、各範囲をカンマ(,)で区切ることにより、1 つのコマンドで最大 5 つのインターフェイス範囲を定義できます。

port-range タイプおよびインターフェイスの有効値は次のとおりです。

vlan vlan-ID - vlan-ID (vlan ID の範囲は 1 ~ 4094)

fastethernet module/{ first port } - { last port } (module は常に 0

gigabitethernet module/{ first port } - { last port } (module は常に 0

物理インターフェイス

モジュールは常に 0 です。

指定できる範囲は、type 0/number - number です(例:gigabitethernet0/1 - 2)。

port-channel port-channel-number - port-channel-number port-channel-number は 1 ~ 48)


) ポート チャネルの interface range コマンドを使用した場合、範囲内の最初と最後のポート チャネル番号はアクティブなポート チャネルである必要があります。


範囲を定義するときは、最初の入力とハイフン(-)の間にスペースが必要です。

interface range gigabitethernet0/1 -2
 

範囲を複数定義するときでも、最初のエントリとカンマ(,)の間にスペースを入れる必要があります。

interface range fastethernet0/1 - 2, gigabitethernet0/1 - 2
 

同じコマンドでマクロとインターフェイス範囲の両方を指定することはできません。

port-range では単一のインターフェイスも指定できます(この場合、 interface interface-id グローバル コンフィギュレーション コマンドと同様)。


) インターフェイス範囲の設定の詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。


次の例では、 interface range コマンドを使用して、インターフェイス範囲コンフィギュレーション モードを開始し、2 つのポートにコマンドを入力する方法を示します。

Switch(config)# interface range gigabitethernet0/1 - 2
Switch(config-if-range)#
 

次の例では、同じ機能に対して 1 つのポート範囲マクロ macro1 を使用する方法を示します。この利点は、 macro1 を削除するまで再利用できることです。

Switch(config)# define interface-range macro1 gigabitethernet0/1 - 2
Switch(config)# interface range macro macro1
Switch(config-if-range)#

 
関連コマンド

コマンド
説明

define interface-range

インターフェイス範囲のマクロを作成します。

show running-config

動作設定を表示します。構文情報については、Cisco IOS Release 12.2 のコマンド リファレンス一覧ページへアクセスする次のリンクを使用します。 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html
Cisco IOS Commands Master List, Release 12.2 」を選択して、コマンドの項目へ移動します。

interface vlan

スイッチ仮想インターフェイス(SVI)を作成、またはこれにアクセスし、インターフェイス コンフィギュレーション モードを開始するには、 interface vlan グローバル コンフィギュレーション コマンドを使用します。SVI を削除するには、このコマンドの no 形式を使用します。

interface vlan vlan-id

no interface vlan vlan-id

 
構文の説明

vlan-id

VLAN 番号。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトの VLAN インターフェイスは VLAN 1 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

SVI は、特定の VLAN に対して、初めて interface vlan vlan-id コマンドを入力したときに作成されます。 vlan-id は、IEEE 802.1Q カプセル化トランクのデータ フレームに関連付けられた VLAN タグ、またはアクセス ポートに設定された VLAN ID に相当します。


) 物理ポートと関連付けられていない場合、SVI を作成してもアクティブにはなりません。


no interface vlan vlan -id コマンドを入力して SVI を削除すると、削除されたインターフェイスは、それ以降、 show interfaces 特権 EXEC コマンドの出力には表示されません。


) VLAN 1 インターフェイスを削除することはできません。


削除した SVI は、削除したインターフェイスに対して interface vlan vlan-id コマンドを入力することで、元に戻すことができます。インターフェイスは復元しますが、以前の設定の大半は失われます。

スイッチ上で設定された SVI の数と、設定された他の機能の数の相互関係によっては、ハードウェア制限により、CPU 使用率に影響が出る可能性もあります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

次に、VLAN ID 23 を作成し、インターフェイス コンフィギュレーション モードを開始する例を示します。

Switch(config)# interface vlan 23
Switch(config-if)#
 

設定を確認するには、 show interfaces および show interfaces vlan vlan-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces vlan vlan-id

すべてのインターフェイスまたは指定の VLAN の管理ステータスおよび動作ステータスを表示します。

ip access-group

レイヤ 2 またはレイヤ 3 インターフェイスへのアクセスを制御するには、 ip access-group インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスからすべてまたは指定のアクセス グループを削除するには、このコマンドの no 形式を使用します。スイッチでメトロ IP アクセス イメージが稼動している場合、レイヤ 3 インターフェイスへのアクセスを制御することもできます。

ip access-group { access-list-number | name } { in | out }

no ip access-group [ access-list-number | name ] { in | out }

 
構文の説明

access-list-number

IP Access Control List(ACL; アクセス コントロール リスト)の番号です。指定できる範囲は、1 ~ 199 または 1300 ~ 2699 です。

name

ip access-list グローバル コンフィギュレーション コマンドで指定された IP ACL 名です。

in

入力パケットに対するフィルタリングを指定します。

out

発信パケットに対するフィルタリングを指定します。このキーワードは、レイヤ 3 のインターフェイス上に限り有効です。

 
デフォルト

アクセス リストは、インターフェイスには適用されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

名前付きまたは番号付きの標準/拡張 IP アクセス リストをインターフェイスに適用できます。名前を付けてアクセス リストを定義するには、 ip access-list グローバル コンフィギュレーション コマンドを使用します。番号付きアクセス リストを定義するには、 access list グローバル コンフィギュレーション コマンドを使用します。1 ~ 99 および 1300 ~ 1999 の範囲の番号付き標準アクセス リスト、または 100 ~ 199 および 2000 ~ 2699 の範囲の番号付き拡張アクセス リストを使用できます。

スイッチでは、レイヤ 3 をサポートするため、メトロ IP アクセス イメージが稼動している必要があります。

レイヤ 2 インターフェイス(ポート ACL)またはレイヤ 3 インターフェイスにアクセス リストを適用するためにこのコマンドを使用できます。ただし、ポート ACL には、次のような制限があることに注意してください。

ACL は受信方向に対してだけ適用できます。 out キーワードはレイヤ 2 のインターフェイスでサポートされていません。

インターフェイスごとに 1 つの IP ACL と 1 つの MAC ACL だけを適用できます。

ポート ACL はロギングをサポートしていないため、IP ACL で log キーワードを指定しても無視されます。

レイヤ 2 のインターフェイスに適用された IP ACL は、IP パケットだけをフィルタにかけます。非 IP パケットをフィルタリングするには、MAC 拡張 ACL とともに mac access-group インターフェイス コンフィギュレーション コマンドを使用します。

ユーザは同一のスイッチ上で、ルータ ACL、入力ポート ACL、VLAN マップを使用できます。ただし、ポート ACL が常に優先されます。入力ポートの ACL と VLAN マップが両方適用されている場合、ポートの ACL が適用されたポート上で受信された着信パケットにはポート ACL のフィルタが適用されます。その他のパケットは、VLAN マップによってフィルタリングされます。

入力ポートの ACL がインターフェイスに適用され、さらにインターフェイスがメンバとなっている VLAN に VLAN マップが適用された場合、ACL のポート上で受信した着信パケットは、そのポート ACL でフィルタリングされます。その他のパケットは、VLAN マップによってフィルタリングされます。

入力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。他のポートで受信した着信のルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

出力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。発信するルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

VLAN マップ、入力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタだけが適用されます。他のポートで受信した着信のルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタだけが適用されます。

VLAN マップ、出力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタだけが適用されます。発信するルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタだけが適用されます。

IP の ACL は、送信側または受信側のレイヤ 3 インターフェイス両方に適用できます。

レイヤ 3 のインターフェイスでは、IP の ACL を各方向に 1 つ適用できます。

VLAN インターフェイス上の各方向(入力および出力)に VLAN マップおよびルータの ACL を 1 つずつに限り設定できます。

標準入力アクセス リストでは、スイッチは、パケットを受信すると、パケットの送信元アドレスをアクセス リストに比較して検査します。IP 拡張アクセス リストでは、任意で、宛先 IP アドレス、プロトコル タイプ、ポート番号などのパケット内の他のフィールドを検査することができます。アクセス リストがパケットを許可する場合に、スイッチはパケットの処理を続行します。アクセス リストがパケットを拒否する場合は、スイッチはそのパケットをドロップします。アクセス リストがレイヤ 3 のインターフェイスに適用された場合、パケットのドロップにともない(デフォルト設定)、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)の Host Unreachable のメッセージが生成されます。ICMP Host Unreachable メッセージは、レイヤ 2 インターフェイスでドロップされたパケットに対しては生成されません。

通常の発信アクセス リストでは、パケットを受信して、それを制御されたインターフェイスへ送信した後、スイッチがアクセス リストと照合することでパケットを確認します。アクセス リストがパケットを許可した場合、スイッチはパケットを送信します。アクセス リストがパケットを拒否した場合、スイッチはパケットをドロップし、デフォルトの設定では、ICMP Host Unreachable メッセージが生成されます。

指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。

次の例では、ポートの入力パケットに IP アクセス リスト 101 を適用する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 101 in
 

show ip interface、show access-lists、 または show ip access-lists 特権 EXEC コマンドを入力することにより、設定を確認できます。

 
関連コマンド

コマンド
説明

access list

番号付き ACL を設定します。構文情報については、『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 』 > 「 IP Services Commands 」を選択してください。

ip access-list

名前付き ACL を設定します。構文情報については、『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 』 > 「 IP Services Commands 」を選択してください。

show access-lists

スイッチで設定された ACL を表示します。

show ip access-lists

スイッチで設定された IP ACL を表示します。構文情報については、『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 』 > 「 IP Services Commands 」を選択してください。

show ip interface

インターフェイスのステータスと設定に関する情報を表示します。構文情報については、『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 』 > 「 IP Services Commands 」を選択してください。

ip address

レイヤ 2 スイッチの IP アドレスを設定したり、レイヤ 3 スイッチの各スイッチ仮想インターフェイス(SVI)またはルーテッド ポートの IP アドレスを設定したりするには、 ip address インターフェイス コンフィギュレーション コマンドを使用します。IP アドレスを削除したり、IP 処理をディセーブルにしたりするには、このコマンドの no 形式を使用します。

ip address ip-address subnet-mask [ secondary ]

no ip address [ ip-address subnet-mask ] [ secondary ]


) スイッチでメトロ IP アクセス イメージが稼動している場合にだけルーテッド ポートおよび SVI を設定できます。


 
構文の説明

ip-address

IP アドレス。

subnet-mask

関連する IP サブネットのマスク。

secondary

(任意)設定されたアドレスをセカンダリ IP アドレスに指定します。このキーワードが省略された場合、設定されたアドレスはプライマリ IP アドレスになります。

 
デフォルト

IP アドレスは定義されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

Telnet のセッションで、スイッチの IP アドレスを削除した場合、スイッチの接続が切断されます。

ホストは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)Mask Request メッセージを使用して、サブネット マスクを判別できます。ルータは、この要求に対して ICMP Mask Reply メッセージで応答します。

no ip address コマンドを使って IP アドレスを削除することで、特定のインターフェイス上の IP プロセスをディセーブルにできます。スイッチが、その IP アドレスのうちの 1 つを使用している他のホストを検出した場合、コンソールにエラー メッセージを送信します。

オプションで secondary キーワードを使用することで、セカンダリ アドレスの番号を無制限に指定することができます。システムがセカンダリの送信元アドレスのルーティングの更新以外にデータグラムを生成しないということを除けば、セカンダリ アドレスはプライマリ アドレスのように処理されます。IP ブロードキャストと ARP 要求は、IP ルーティング テーブル内のインターフェイス ルートと同様に、適切に処理されます。


) ネットワーク セグメント上のすべてのルータがセカンダリのアドレスを使用した場合、同一のセグメント上にある他のデバイスも、同一のネットワークまたはサブネットからセカンダリ アドレスを使用しなければなりません。ネットワーク セグメント上のセカンダリ アドレスの使用に矛盾があると、ただちにルーティング ループが引き起こされる可能性があります。


Open Shortest Path First(OSPF)のルーティングの場合、インターフェイスのすべてのセカンダリ アドレスが、プライマリ アドレスと同一の OSPF 領域にあることを確認してください。

スイッチが、Bootstrap Protocol(BOOTP)または DHCP サーバから IP アドレスを受信し、そのスイッチ IP アドレスを no ip address コマンドで削除した場合、IP 処理はディセーブルとなり、BOOTP サーバまたは DHCP サーバが再びアドレスを割り当てることはできません。

スイッチは、各ルーテッド ポートおよび SVI に割り当てられた IP アドレスを持つことができます。設定できるルーテッド ポートおよび SVI の数はソフトウェアでは制限されていません。ただし、この数と設定された他の機能の数との相互関係によっては、ハードウェア制限により、CPU 使用率に影響が出る可能性があります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

次の例では、サブネット ネットワークでレイヤ 2 スイッチの IP アドレスを設定する方法を示します。

Switch(config)# interface vlan 1
Switch(config-if)# ip address 172.20.128.2 255.255.255.0
 

次の例では、スイッチ上のレイヤ 3 ポートに IP アドレスを設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# no switchport
Switch(config-if)# ip address 172.20.128.2 255.255.255.0
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

動作設定を表示します。構文情報については、Cisco IOS Release 12.2 のコマンド リファレンス一覧ページへアクセスする次のリンクを使用します。 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html
Cisco IOS Commands Master List, Release 12.2 」を選択して、コマンドの項目へ移動します。

ip arp inspection filter vlan

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査がイネーブルの場合に、スタティック IP アドレスが設定されたホストからの ARP 要求および応答を許可または拒否するには、ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します

ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

no ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

 
構文の説明

arp-acl-name

ARP Access Control List(ACL; アクセス コントロール リスト)の名前

vlan-range

VLAN の番号または範囲。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。

static

(任意)ARP ACL 内の暗黙の拒否を明示的な拒否として取り扱い、ACL 内の前の句に一致しないパケットをドロップするために、 static を指定します。DHCP バインディングは使用されません。

このキーワードを指定しない場合は、パケットを拒否する明示的な拒否が ACL 内にないことを意味し、パケットが ACL 内の句に一致しないと DHCP バインディングがパケットの許可または拒否を決定します。

 
デフォルト

VLAN には、定義された ARP ACL が適用されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

ARP ACL を VLAN に適用してダイナミック ARP 検査を行う場合は、IP/MAC バインディングを含む ARP パケットだけが ACL と比較されます。ACL がパケットを許可すると、スイッチがパケットを転送します。それ以外のすべてのパケット タイプは、検証されずに、入力 VLAN 内でブリッジングされます。

スイッチが ACL 内の明示的な拒否ステートメントによってパケットを拒否すると、パケットがドロップされます。スイッチが暗黙の拒否ステートメントによってパケットを拒否すると、パケットは DHCP バインディングのリストと照合されます。ただし、ACL が スタティック (パケットがバインディングと比較されない)である場合を除きます。

ARP ACL を定義、または定義済みのリストの末尾に句を追加するには、 arp access-list acl-name グローバル コンフィギュレーション コマンドを使用します。

次の例では、ダイナミック ARP 検査用に ARP ACL static-hosts を VLAN 1 に適用する方法を示します。

Switch(config)# ip arp inspection filter static-hosts vlan 1
 

設定を確認するには、 show ip arp inspection vlan 1 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの照合に基づいて ARP パケットを拒否します。

permit(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの一致に基づいて ARP パケットを許可します。

show arp access-list

ARP アクセス リストに関する詳細を表示します。

show ip arp inspection vlan vlan-range

指定された VLAN のダイナミック ARP 検査の設定および動作ステートを表示します。

ip arp inspection limit

インターフェイス上の着信 Address Resolution Protocol(ARP; アドレス解決プロトコル)要求および応答のレートを制限するには、ip arp inspection limit インターフェイス コンフィギュレーション コマンドを使用します。DoS 攻撃が発生した場合にダイナミック ARP 検査によってスイッチ リソースのすべてが消費されないようにします。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection limit { rate pps [ burst interval seconds ] | none }

no ip arp inspection limit

 
構文の説明

rate pps

1 秒間に処理される着信パケット数の上限を指定します。範囲は、0 ~ 2048 pps です。

burst interval seconds

(任意)インターフェイスで高速 ARP パケットをモニタリングするインターバルを秒単位で指定します。範囲は 1 ~ 15 秒です。

none

処理可能な着信 ARP パケットのレートに上限を指定しません。

 
デフォルト

1 秒間に 15 台の新規ホストに接続するホストが配置されたスイッチド ネットワークの場合、信頼できないインターフェイスのレートは 15 pps に設定されます。

信頼できるすべてのインターフェイスでは、レートは無制限です。

バースト インターバルは 1 秒に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更箇所

12.2(53)EX

このコマンドが追加されました。

 
使用上のガイドライン

レートは、信頼できるインターフェイスおよび信頼できないインターフェイスの両方に適用されます。複数のダイナミック ARP 検査対応 VLAN でパケットを処理するようにトランクに適切なレートを設定するか、none キーワードを使用してレートを無制限にします。

スイッチが、設定されているレートを超えるレートのパケットを、バーストの秒数を超える連続する秒数受信すると、インターフェイスが errdisable ステートになります。

インターフェイス上のレート制限を明示的に設定しない限り、インターフェイスの信頼状態を変更することは、レート制限を信頼状態のデフォルト値に変更することになります。レート制限を設定すると、信頼状態が変更された場合でもインターフェイスはレート制限を保ちます。 no ip arp inspection limit インターフェイス コンフィギュレーション コマンドを入力すると、インターフェイスはデフォルトのレート制限に戻ります。

トランク ポートは、集約が反映されるように、より大きいレートに設定する必要があります。着信パケットのレートが、ユーザが定義したレートを超えると、スイッチはインターフェイスを errdisable ステートにします。errdisable 回復機能により、回復設定に従ってポートが errdisable ステートから自動的に解除されます。

EtherChannel ポートの着信 ARP パケットのレートは、すべてのチャネル メンバの着信 ARP パケット レートの合計と同じです。EtherChannel ポートのレート制限は、必ずすべてのチャネル メンバの着信 ARP パケットのレートを調べてから設定してください。

次の例では、ポート上の着信 ARP 要求のレートを 25 pps に制限し、インターフェイスのモニタリング間隔を 5 秒間に設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip arp inspection limit rate 25 burst interval 5
 

設定を確認するには、 show ip arp inspection interfaces interface-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip arp inspection interfaces

指定されたインターフェイスまたはすべてのインターフェイスの ARP パケットの信頼状態およびレート制限を表示します。

ip arp inspection log-buffer

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査のロギング バッファを設定するには、ip arp inspection log-buffer グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します

ip arp inspection log-buffer { entries number | logs number interval seconds }

no ip arp inspection log-buffer { entries | logs