Catalyst 2975 スイッチ コマンド リファレンス,12.2(46)EX
Catalyst 2960 スイッチ Cisco IOS コマンド-1
Catalyst 2975 スイッチ Cisco IOS コマンド
発行日;2012/02/14 | 英語版ドキュメント(2011/07/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

Catalyst 2975 スイッチ Cisco IOS コマンド

aaa accounting dot1x

aaa authentication dot1x

aaa authorization network

archive copy-sw

archive download-sw

archive tar

archive upload-sw

auto qos voip

boot auto-copy-sw

boot config-file

boot enable-break

boot helper

boot helper-config-file

boot manual

boot private-config-file

boot system

channel-group

channel-protocol

class

class-map

clear dot1x

clear eap sessions

clear errdisable interface

clear ip dhcp snooping

clear lacp

clear mac address-table

clear mac address-table move update

clear pagp

clear port-security

clear spanning-tree counters

clear spanning-tree detected-protocols

clear vmps statistics

clear vtp counters

cluster commander-address

cluster discovery hop-count

cluster enable

cluster holdtime

cluster member

cluster outside-interface

cluster run

cluster standby-group

cluster timer

define interface-range

delete

deny (MAC access-list configuration)

dot1x

dot1x auth-fail max-attempts

dot1x auth-fail vlan

dot1x control-direction

dot1x critical (global configuration)

dot1x critical (interface configuration)

dot1x default

dot1x fallback

dot1x guest-vlan

dot1x host-mode

dot1x initialize

dot1x mac-auth-bypass

dot1x max-reauth-req

dot1x max-req

dot1x pae

dot1x port-control

dot1x re-authenticate

dot1x reauthentication

dot1x test eapol-capable

dot1x test timeout

dot1x timeout

dot1x violation-mode

duplex

errdisable detect cause

errdisable detect cause small-frame

errdisable recovery cause small-frame

errdisable recovery

exception crashinfo

fallback profile

flowcontrol

interface port-channel

interface range

interface vlan

ip access-group

ip address

ip admission

ip admission name proxy http

ip dhcp snooping

ip dhcp snooping binding

ip dhcp snooping database

ip dhcp snooping information option

ip dhcp snooping information option allow-untrusted

ip dhcp snooping limit rate

ip dhcp snooping trust

ip dhcp snooping verify

ip dhcp snooping vlan

ip igmp filter

ip igmp max-groups

ip igmp profile

ip igmp snooping

ip igmp snooping last-member-query-interval

ip igmp snooping querier

ip igmp snooping report-suppression

ip igmp snooping tcn

ip igmp snooping tcn flood

ip igmp snooping vlan immediate-leave

ip igmp snooping vlan mrouter

ip igmp snooping vlan static

ip ssh

ipv6 mld snooping

ipv6 mld snooping last-listener-query-count

ipv6 mld snooping last-listener-query-interval

ipv6 mld snooping listener-message-suppression

ipv6 mld snooping robustness-variable

ipv6 mld snooping tcn

ipv6 mld snooping vlan

lacp port-priority

lacp system-priority

location (global configuration)

location (interface configuration)

link state group

link state track

logging event

logging event power-inline-status

logging file

mac access-group

mac access-list extended

mac address-table aging-time

mac address-table learning vlan

mac address-table move update

mac address-table notification

mac address-table static

mac address-table static drop

macro apply

macro description

macro global

macro global description

macro name

match (class-map configuration)

mdix auto

media-type

mls qos

mls qos aggregate-policer

mls qos cos

mls qos dscp-mutation

mls qos map

mls qos queue-set output buffers

mls qos queue-set output threshold

mls qos rewrite ip dscp

mls qos srr-queue input bandwidth

mls qos srr-queue input buffers

mls qos srr-queue input cos-map

mls qos srr-queue input dscp-map

mls qos srr-queue input priority-queue

mls qos srr-queue input threshold

mls qos srr-queue output cos-map

mls qos srr-queue output dscp-map

mls qos trust

monitor session

mvr (global configuration)

mvr (interface configuration)

pagp learn-method

pagp port-priority

permit (MAC access-list configuration)

police

police aggregate

policy-map

port-channel load-balance

power inline

power inline consumption

power inline police

priority-queue

queue-set

radius-server dead-criteria

radius-server host

rcommand

reload

remote command

remote-span

renew ip dhcp snooping database

Catalyst 2975 スイッチ Cisco IOS コマンド

aaa accounting dot1x

Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)アカウンティングをイネーブルにして、回線単位またはインターフェイス単位で 802.1x セッションの特定のアカウンティング方式を定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにする場合は、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ }...]}

no aaa accounting dot1x { name | default }

 
シンタックスの説明

name

サーバ グループ名。これは、 broadcast group および group キーワードのあとに入力する場合のオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。

start-stop

プロセスの最初にアカウンティング開始通知を送信し、プロセスの終了時にアカウンティング終了通知を送信します。アカウンティング開始レコードは、バックグラウンドで送信されます。アカウンティング開始通知がアカウンティング サーバで受信されたかどうかにかかわらず、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。最初のサーバが使用不可の場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。

group

アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は次のとおりです。

name - サーバ グループ名

radius - 全 RADIUS ホストのリスト

tacacs+ - 全 TACACS+ ホストのリスト

group キーワードは、 broadcast group および group キーワードのあとに入力する場合のオプションです。複数のオプション group キーワードを入力できます。

radius

(任意)RADIUS 認証をイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

 
デフォルト

AAA アカウンティングはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、RADIUS サーバへのアクセスが必要です。

インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。

次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。

Switch(config)# aaa new-model
Switch(config)# aaa accounting dot1x default start-stop group radius

) RADIUS 認証サーバは、AAA クライアントから更新パケットやウォッチドッグ パケットを受け入れて記録するよう、適切に設定する必要があります。


 
関連コマンド

コマンド
説明

aaa authentication dot1x

IEEE 802.1x が動作しているインターフェイスで使用する 1 つまたは複数の AAA を指定します。

aaa new-model

AAA アクセス制御モデルをイネーブルにします。構文情報については、 Cisco IOS Security Command Reference, Release 12.2 > Authentication, Authorization, and Accounting > Authentication Commands を参照してください。

dot1x reauthentication

定期的な再認証をイネーブルまたはディセーブルにします。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

aaa authentication dot1x

IEEE(米国電気電子学会)802.1x 認証に準拠するポートで使用する Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)方式を指定するには、 aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。認証をディセーブルにする場合は、このコマンドの no 形式を使用します。

aaa authentication dot1x { default } method1

no aaa authentication dot1x { default }

 
シンタックスの説明

default

この引数に続ける認証方式をログイン時のデフォルトの方式として使用します。

method1

認証用にすべての RADIUS サーバのリストを使用するには、 group radius キーワードを入力します。


) 他のキーワードがコマンドラインのヘルプ ストリングに表示されますが、サポートされているのは default および group radius キーワードだけです。


 
デフォルト

認証は実行されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式を指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、 radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。

設定された認証方式のリストを表示する場合は、 show running-config 特権 EXEC コマンドを使用します。

次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試行します。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。

Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

aaa new-model

AAA アクセス制御モデルをイネーブルにします。構文情報については、 Cisco IOS Security Command Reference, Release 12.2 > Authentication, Authorization, and Accounting > Authentication Commands を参照してください。

show running-config

現在の動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

 

aaa authorization network

IEEE 802.1x VLAN 割り当てといったすべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を使用するようにスイッチを設定するには、 aaa authorization network グローバル コンフィギュレーション コマンドを使用します。RADIUS ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization network default group radius

no aaa authorization network default

 
シンタックスの説明

default group radius

デフォルトの認証リストとして、サーバ グループ内のすべての RADIUS ホストのリストを使用します。

 
デフォルト

認証はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

スイッチが、デフォルトの認証リスト内にある RADIUS サーバから IEEE 802.1x 認証パラメータをダウンロードできるようにするには、aaa authorization network default group radius グローバル コンフィギュレーション コマンドを使用します。認証パラメータは、VLAN 割り当てなど、RADIUS サーバからパラメータを取得する機能で使用されます。

設定された認証方式リストを表示する場合は、 show running-config 特権 EXEC コマンドを使用します。

この例では、すべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を行うようスイッチを設定する方法を示します。

Switch(config)# aaa authorization network default group radius
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

現在の動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

archive copy-sw

特定のスタック メンバー上のフラッシュ メモリから実行イメージを、別の 1 つまたは複数のメンバー上にあるフラッシュ メモリにコピーするには、スタック マスター上で archive copy-sw 特権 EXEC コマンドを使用します。

archive copy-sw [ /destination-system destination-stack-member-number ] [ /force-reload ] [ leave-old-sw ] [ /no-set-boot ] [ /overwrite ] [ /reload ] [ /safe ] source-stack-member-number

 
シンタックスの説明

/destination-system destination-stack-
member-number

(任意)実行イメージのコピー先のメンバー番号。指定できる範囲は 1 ~ 9 です。

/force-reload

(任意)ソフトウェア イメージのダウンロードが成功したあと、無条件にシステムのリロードを強制します。

/leave-old-sw

(任意)ダウンロードが成功したあと、古いソフトウェア バージョンを保存します。

/no-set-boot

(任意)新しいソフトウェア イメージのダウンロードが成功したあと、BOOT 環境変数の設定は新しいソフトウェア イメージを示すように変更されません。

/overwrite

(任意)ダウンロードされたソフトウェア イメージで、フラッシュ メモリのソフトウェア イメージを上書きします。

/reload

(任意)変更された設定が保存されていない場合を除き、イメージをダウンロードしたあとでシステムをリロードします。

/safe

(任意)現在のソフトウェア イメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェア イメージ用の領域を作る目的で現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。

source-stack-member-
number

実行イメージのコピー元のメンバー番号。指定できる範囲は 1 ~ 9 です。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

現行のソフトウェア イメージは、コピーされたイメージで上書きされません。

ソフトウェア イメージと HTML ファイルの両方がコピーされます。

新しいイメージは flash: ファイル システムにコピーされます。

BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを指定するよう変更されます。

イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar 形式で提供されます。


) archive copy-sw 特権 EXEC コマンドを正常に使用するには、追加されるメンバー スイッチおよびマスターの両方のイメージを Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバからダウンロードしておく必要があります。ダウンロードを実行するには、archive download-sw 特権 EXEC コマンドを使用します。


互換性のないソフトウェアが搭載されたスイッチにコピーされるイメージは、少なくとも 1 つのメンバーで実行している必要があります。

/destination -system destination-stack-member-number のコマンド オプションを繰り返すことで、イメージのコピー先に複数のメンバーを指定し、各メンバーをアップグレードできます。 destination-stack-member-number を指定しない場合、デフォルト設定で、実行中のイメージ ファイルがすべてのメンバーにコピーされます。

/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュ メモリがないと、新しいイメージのコピーに失敗する場合があります。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合にエラーが発生します。

/leave-old-sw オプションを使用したために、新しいイメージをコピーしても古いイメージを上書きしなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除できます。詳細は、「delete」を参照してください。

フラッシュ デバイスのイメージを、コピーされたイメージで上書きする場合は、 /overwrite オプションを使用します。

/overwrite オプション なし でこのコマンドを指定する場合、新しいイメージが、スイッチ フラッシュ デバイスのイメージまたはメンバーで実行中のものと同じではないことが、アルゴリズムによって確認されます。イメージが同じである場合には、コピーは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがコピーされます。

新しいイメージをコピーしたあとで、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive copy-sw コマンドで /reload または /force-reload オプションを指定してください。

source-stack-member-number オプションを使用する場合、次のオプションを 1 つ以上入力できます。

/destination-system destination-stack-member-number

/ force-reload

/ leave-old-sw

/ no-set-boot

/ overwrite

/ reload

/safe

これらのオプションの前に source-stack-member-number オプションを入力する場合、 archive copy-sw source-stack-member-number コマンドしか入力できません。

次の例では、 archive copy-sw コマンドを入力する方法を示します。

実行イメージをメンバーから別のメンバーにコピーして、2 つめのメンバーのフラッシュ メモリのソフトウェア イメージ(すでに存在する場合)をコピーしたイメージで上書きするには、 archive copy-sw/destination destination-stack-member-number /overwrite source-stack-member-number コマンドを入力します。

実行イメージをメンバーから別のメンバーにコピーして、現在のソフトウェア イメージを維持しながらイメージのコピー後にシステムをリロードするには、 archive copy-sw/destination destination-stack-member-number /safe/reload source-stack-member-number コマンドを入力します。

次の例では、メンバー 6 から実行イメージをメンバー 8 にコピーする方法を示します。

Switch# archive copy-sw /destination-system 8 6
 

次の例では、メンバー 6 から実行イメージを他のすべてのメンバーにコピーする方法を示します。

Switch# archive copy-sw 6
 

次の例では、メンバー 5 から実行イメージをメンバー 7 にコピーする方法を示します。2 つめのメンバーのフラッシュ メモリにイメージがすでに存在する場合は、コピーされたイメージで上書きされます。イメージがコピーされたあと、システムはリロードされます。

Switch# archive copy-sw /destination-system 7 /overwrite /force-reload 5

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージを TFTP サーバからスイッチにダウンロードします。

archive tar

tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

delete

フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。

archive download-sw

新しいイメージを Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバからスイッチまたはスイッチ スタックにダウンロードして、既存のイメージを上書きまたは保存するには、 archive download-sw 特権 EXEC コマンドを使用します。

archive download-sw { /directory | /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /no-version-check | /destination-system stack-member-number | /only-system-type system-type | /overwrite | /reload | /safe } source-url

 
シンタックスの説明

/directory

イメージのディレクトリを指定します。

/force-reload

ソフトウェア イメージのダウンロードが成功したあとで無条件にシステムのリロードを強制します。

/imageonly

ソフトウェア イメージだけをダウンロードし、組み込みデバイス マネージャに関連する HTML ファイルはダウンロードしません。既存のバージョンの HTML ファイルは、既存のバージョンが上書きまたは削除されている場合だけに削除されます。

/leave-old-sw

ダウンロードに成功したあとで古いソフトウェア バージョンを保存します。

/no-set-boot

新しいソフトウェア イメージのダウンロードに成功したあとに、BOOT 環境変数の設定が新しいソフトウェア イメージを指定するように変更されません。

/no-version-check

スイッチ上で稼動しているイメージとのバージョンの互換性を確認せずに、ソフトウェア イメージをダウンロードします。

/no-version-check

イメージ上、およびスタック上のスタック プロトコルのバージョンの互換性を確認せずに、ソフトウェア イメージをダウンロードします。

/destination-system stack-member-number

アップグレードする特定のメンバーを指定します。指定できる範囲は 1 ~ 9 です。

/only-system-type system-type

アップグレードする特定のシステム タイプを指定します。指定できる範囲は 0 ~ FFFFFFFF です。

/overwrite

ダウンロードされたイメージで、フラッシュ メモリのソフトウェア イメージを上書きします。

/reload

設定が変更され、それが保存されていないという場合に限り、イメージのダウンロードに成功したあとでシステムをリロードします。

/safe

現在のソフトウェア イメージを保存します。新しいイメージがダウンロードされる前には、新しいソフトウェア イメージ用の領域を作るための現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。

source-url

ローカルまたはネットワーク ファイル システム用の送信元 URL エイリアス。次のオプションがサポートされています。

セカンダリ ブート ローダ(BS1)の構文:
bs1:

スタンドアロン スイッチまたはマスター上のローカル フラッシュ ファイル システムの構文:
flash:

メンバー上のローカル フラッシュ ファイル システムの構文:
flash member number :

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Remote Copy Protocol(RCP; リモート コピー プロトコル)の構文: rcp: [[ // username @ location ]/ directory ] / image-name .tar

Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)の構文:
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。

 
デフォルト

現在のソフトウェア イメージは、ダウンロードされたイメージでは上書きされません。

ソフトウェア イメージと HTML ファイルの両方がダウンロードされます。

新しいイメージは flash: ファイル システムにダウンロードされます。

BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを指定するよう変更されます。

イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar 形式で提供されます。

イメージのスタック プロトコルの互換性は、ダウンロードする場合にスタックのバージョンで確認されます。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。(HTML ファイルのない)Cisco IOS イメージだけがダウンロードされます。

/safe または /leave-old-sw オプションを使用すると、十分なフラッシュ メモリがない場合には新しいイメージのダウンロードを失敗させるようにできます。ソフトウェアをそのまま残し、メモリ領域の制約によって新しいイメージがフラッシュ メモリにうまく収まらない場合は、結果としてエラーが発生します。

/leave-old-sw オプションを使用し、新しいイメージをダウンロードしたときに古いイメージを上書きしなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除することができます。詳細は、「delete」を参照してください。

スタックの既存のバージョンとは異なるスタック プロトコルのバージョンのイメージをダウンロードする場合は、 /no-version-check オプションを使用します。このオプションを使用する場合には /destination-system オプションを使用し、イメージでアップグレードする特定のメンバーを指定してください。


/no-version-check オプションの使用には注意が必要です。同一のスタックにするためには、マスターを含め、すべてのメンバーは、スタック プロトコルのバージョンを同一にする必要があります。このオプションを指定することで、イメージをダウンロードする場合のスタック プロトコルのバージョンと、スタックのバージョンの互換性の最初の確認をスキップできます。


/destination-system のコマンド オプション繰り返すことで、複数のスタック メンバーを指定し、アップグレードできます。

フラッシュ デバイスのイメージをダウンロードされたイメージで上書きする場合は、 /overwrite オプションを使用します。

/overwrite オプション なし でこのコマンドを指定する場合、ダウンロード アルゴリズムは、新しいイメージが、スイッチ フラッシュ デバイスのイメージ、またはスタック メンバーで実行中のものと同じではないことを確認します。イメージが同じである場合には、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。

新しいイメージをダウンロードしたあとで、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive download-sw コマンドの /reload オプションまたは /force-reload オプションを指定してください。

次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチでイメージを上書きする方法を示します。

Switch# archive download-sw /overwrite tftp://172.20.129.10/test-image.tar
 

次の例では、172.20.129.10 の TFTP サーバからソフトウェア イメージだけをスイッチにダウンロードする方法を示します。

Switch# archive download-sw /imageonly tftp://172.20.129.10/test-image.tar
 

次の例では、ダウンロードに成功したあとで古いソフトウェア バージョンを保存する方法を示します。

Switch# archive download-sw /leave-old-sw tftp://172.20.129.10/test-image.tar
 

次の例では、スタック メンバー 6 および 8 をアップグレードする方法を示します。

Switch# archive download-sw /imageonly /destination-system 6 /destination-system 8 tftp://172.20.129.10/test-image.tar

 
関連コマンド

コマンド
説明

archive tar

tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

delete

フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。

archive tar

tar ファイルの作成、tar ファイル内のファイル一覧表示、tar ファイルからのファイル抽出を実行するには、 archive tar 特権 EXEC コマンドを使用します。

archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-ur l [ dir/file ...]}

 
シンタックスの説明

/create destination-url flash:/ file-url

ローカルまたはネットワーク ファイル システムに新しい tar ファイルを作成します。

destination-url には、ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスおよび作成する tar ファイルの名前を指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Remote Copy Protocol(RCP; リモート コピー プロトコル)の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、作成する tar ファイルです。

flash:/ file-url には、新しい tar ファイルが作成されるローカル フラッシュ ファイル システムの場所を指定します。

送信元ディレクトリ内でファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。

/table source-url

既存の tar ファイルの内容を画面に表示します。

source-url には、ローカルまたはネットワーク ファイル システムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文:
ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

RCP の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、表示する tar ファイルです。

/xtract source-url flash:/ file-url [ dir/file... ]

tar ファイルからローカル ファイル システムにファイルを抽出します。

source-url には、ローカル ファイル システムの 送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

RCP の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、抽出が行われる tar ファイルです。

flash:/ file-url [ dir/file ...] には、 tar ファイルが抽出されるローカル フラッシュ ファイル システムの場所を指定します。 dir/file ... オプションを使用して、tar ファイル内から抽出するファイルまたはディレクトリのオプション リストを指定します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

イメージ名では、大文字と小文字が区別されます。

次の例では、tar ファイルを作成する方法を示します。このコマンドはローカル フラッシュ デバイスの new-configs ディレクトリの内容を、172.20.10.30 の TFTP サーバの saved.tar という名前のファイルに書き込みます。

Switch# archive tar /create tftp:172.20.10.30/saved.tar flash:/new_configs
 

次の例では、フラッシュ メモリ内にあるファイルの内容を表示する方法を示します。tar ファイルの内容が画面に表示されます。

Switch# archive tar /table flash:c2975-lanbase-tar.12-46.EX.tar
info (219 bytes)
 
c2975-lanbase-mz.12-46.EX/ (directory)
c2975-lanbase-mz.12-46.EX (610856 bytes)
c2975-lanbase-mz.12-46.EX/info (219 bytes)
info.ver (219 bytes)
 

次の例では、 /html ディレクトリとその内容だけを表示する方法を示します。

Switch# archive tar /table flash:c2975-lanbase-12-46.EX.tar c2975-lanbase-12-46.EX/html
c2975-lanbase-mz.12-46.EX/html/ (directory)
c2975-lanbase-mz.12-46.EX/html/const.htm (556 bytes)
c2975-lanbase-mz.12-46.EX/html/xhome.htm (9373 bytes)
c2975-lanbase-mz.12-46.EX/html/menu.css (1654 bytes)
<output truncated>
 

次の例では、172.20.10.30 の TFTP サーバにある tar ファイルの内容を抽出する方法を示します。このコマンドは、 new-configs ディレクトリだけを、ローカル フラッシュ ファイル システムのルート(root)ディレクトリへ抽出します。 saved.tar ファイル内の残りのファイルは無視されます。

Switch# archive tar /xtract tftp://172.20.10.30/saved.tar flash:/new-configs

 
関連コマンド

コマンド
説明

archive copy-sw

あるスタック メンバーのフラッシュ メモリから実行イメージを、別の 1 つまたは複数のスタック メンバー上のフラッシュ メモリにコピーします。

archive download-sw

新しいイメージを TFTP サーバからスイッチにダウンロードします。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

archive upload-sw

既存のスイッチ イメージをサーバにアップロードするには、 archive upload-sw 特権 EXEC コマンドを使用します。

archive upload-sw [ /source-system-num stack member number | /version version_string ] destination-url

 
シンタックスの説明

/source-system-num stack member number

アップロードするイメージを持った特定のスタック メンバーを指定します。

/version version_string

(任意)アップロードするイメージの特定バージョン文字列を指定します。

destination-url

ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスです。次のオプションがサポートされています。

スタンドアロン スイッチまたはスタック マスター上のローカル フラッシュ ファイル システムの構文:
flash:

スタック メンバー上のローカル フラッシュ ファイル システムの構文:
flash member number :

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Secure Copy Protocol(SCP; セキュア コピー プロトコル)の構文:
scp: [[ // username @ location ]/ directory ] / image-name .tar

Remote Copy Protocol(RCP; リモート コピー プロトコル)の構文: rcp: [[ // username @ location ]/ directory ] / image-name .tar

Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)の構文:
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、サーバに保存するソフトウェア イメージの名前です。

 
デフォルト

フラッシュ ファイル システムから現在稼動中のイメージをアップロードします。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

/version オプションを使用するためには、 /source-system-num オプションを指定する必要があります。これらのオプションを同時に使用することで、指定のスタック メンバーの特定のイメージ(実行イメージではない)をアップロードできます。

組み込みデバイス マネージャに関連付けられている HTML ファイルが既存のイメージとともにインストールされている場合だけ、アップロード機能を使用します。

ファイルは、Cisco IOS イメージ、HTML ファイル、info の順序でアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。

イメージ名では、大文字と小文字が区別されます。

次の例では、スタック メンバー 6 で現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。

Switch# archive upload-sw/source-system-num 6 tftp://172.20.140.2/test-image.tar

 
関連コマンド

コマンド
説明

archive copy-sw

あるスタック メンバーのフラッシュ メモリから実行イメージを、別の 1 つまたは複数のスタック メンバー上のフラッシュ メモリにコピーします。

archive download-sw

新しいイメージをスイッチにダウンロードします。

archive tar

tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。

 

auto qos voip

Quality of Service(QoS; サービス品質)ドメイン内の Voice over IP(VoIP)に対し、QoS を自動的に設定するには、 auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

auto qos voip { cisco-phone | cisco-softphone | trust }

no auto qos voip [ cisco-phone | cisco-softphone | trust ]

 
シンタックスの説明

cisco-phone

このポートが Cisco IP Phone に接続されていると判断し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルが信頼されるのは、IP Phone が検知される場合に限ります。

cisco-softphone

このポートが Cisco SoftPhone が動作している装置に接続されていると判断し、自動的に VoIP の QoS を設定します。

trust

このポートが信頼できるスイッチまたはルータに接続されていると判断し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッド ポートの場合は、着信パケットの CoS 値が信頼されます。

 
デフォルト

auto-QoS は、すべてのポートでディセーブルです。

auto-QoS がイネーブルの場合は、 表 2-1 に示すように、入力パケットのラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。

 

表 2-1 トラフィック タイプ、パケット ラベル、およびキュー

 
VoIP データ トラフィック
VoIP コントロール
トラフィック
ルーティング プロトコル トラフィック
STP1 BPDU2 トラフィック
リアルタイム ビデオ トラフィック
その他すべてのトラフィック

dscp3

46

24, 26

48

56

34

-

CoS4

5

3

6

7

3

-

CoS から入力キューへのマッピング

2、3、4、5、6、7(キュー 2)

0、1(キュー 1)

CoS から出力キューへのマッピング

5(キュー 1)

3、6、7(キュー 2)

4(キュー 3)

2(キュー 3)

0、1(キュー 4)

1.STP = Spanning-Tree Protocol(スパニングツリー プロトコル)

2.BPDU = Bridge Protocol Data Unit(ブリッジ プロトコル データ ユニット)

3.DSCP = Differentiated Services Code Point

4.CoS = Class of Service(サービス クラス)

表 2-2 に、入力キューに対して生成される auto-QoS の設定を示します。

 

表 2-2 入力キューに対する auto-QoS の設定

入力キュー
キュー番号
CoS からキューへのマッピング
キューの重み
(帯域幅)
キュー(バッファ)サイズ

SRR5共有

1

0, 1

81%

67%

プライオリティ

2

2, 3, 4, 5, 6, 7

19%

33%

5.SRR = Shaped Round Robin。入力キューは共有モードだけをサポートします。

表 2-3 に、出力キューに対して生成される auto-QoS の設定を示します。

 

表 2-3 出力キューに対する auto-QoS の設定

出力キュー
キュー番号
CoS からキューへのマッピング
キューの重み
(帯域幅)
ギガビット対応ポートのキュー(バッファ)サイズ
10/100 イーサネット ポートのキュー(バッファ)サイズ

プライオリティ(シェイプド)

1

5

最大 100%

16%

10%

SRR 共有

2

3, 6, 7

10%

6%

10%

SRR 共有

3

2, 4

60%

17%

26%

SRR 共有

4

0, 1

20%

61%

54%

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(40)SE

コマンド出力の情報が変更されました。

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。

Auto-QoS は、スイッチ ポートおよびルーテッド ポート上の Cisco IP Phone を使用した VoIP と、Cisco SoftPhone アプリケーションが動作する装置を使用した VoIP に対してスイッチを設定します。これらのリリースは Cisco IP SoftPhone バージョン 1.3(3) 以降だけをサポートします。接続される装置は Cisco CallManager バージョン 4 以降を使用する必要があります。

show auto qos コマンド出力は、Cisco IP Phone のサービス ポリシー情報を表示します。

auto-QoS のデフォルトを利用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにした あと に、auto-QoS を調整できます。


) スイッチは、CLI(コマンドライン インターフェイス)からコマンドが入力されたかのように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用が失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。


これが auto-QoS をイネーブルにする最初のポートの場合は、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドに続いてインターフェイス コンフィギュレーション コマンドが実行されます。別のポートで auto-QoS をイネーブルにすると、そのポートに対して auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが実行されます。

最初のポートで auto-QoS 機能をイネーブルにすると、次の自動アクションが実行されます。

QoS はグローバルにイネーブル化され( mls qos グローバル コンフィギュレーション コマンド)、その他のグローバル コンフィギュレーション コマンドが追加されます。

Cisco IP Phone に接続されたネットワーク エッジのポートで auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを入力すると、スイッチは信頼境界の機能をイネーブルにします。スイッチは、Cisco Discovery Protocol(CDP)を使用して、Cisco IP Phone が存在するかしないかを検出します。Cisco IP Phone が検出されると、ポートの入力分類は、パケットで受け取った QoS ラベルを信頼するように設定されます。また、スイッチはポリシングを使用してパケットがプロファイル内かプロファイル外かを判断し、パケットに対するアクションも指定します。パケットに 24、26、または 46 という DSCP 値がない場合、またはパケットがプロファイル外にある場合、スイッチは DSCP 値を 0 に変更します。Cisco IP Phone が存在しない場合、ポートの入力分類は、パケットで受け取った QoS ラベルを信頼しないように設定されます。スイッチは、ポートの入力キューと出力キューを、 表 2-2 および 表 2-3 の設定値に従って設定します。ポリシングは、スイッチが信頼境界機能をイネーブルにする前に、ポリシーマップの分類に一致するトラフィックに適用されます。

Cisco SoftPhone が動作する装置に接続されたネットワーク エッジにあるポートに auto qos voip cisco-softphone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチはポリシングを使用してパケットがプロファイル内かプロファイル外かを判断し、パケットに対するアクションを指定します。パケットに 24、26、または 46 という DSCP 値がない場合、またはパケットがプロファイル外にある場合、スイッチは DSCP 値を 0 に変更します。スイッチは、ポートの入力キューと出力キューを、 表 2-2 および 表 2-3 の設定値に従って設定します。

ネットワーク内部に接続されたポート上で、 auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチは、入力パケットでルーティングされないポートの CoS 値を信頼します(トラフィックが他のエッジ装置ですでに分類されていることが前提条件になります)。スイッチは、ポートの入力キューと出力キューを、 表 2-2 および 表 2-3 の設定値に従って設定します。

スタティック ポート、ダイナミック アクセス ポート、音声 VLAN(仮想 LAN)アクセス ポート、およびトランク ポートで auto-QoS をイネーブルにすることができます。ルーテッド ポートにある Cisco IP Phone で auto-Qos をイネーブルにする場合、スタティック IP アドレスを IP Phone に割り当てる必要があります。


) Cisco SoftPhone が動作する装置がスイッチまたはルーテッド ポートに接続されている場合、スイッチはポートごとに 1 つの Cisco SoftPhone アプリケーションだけをサポートします。


auto-QoS をイネーブルにしたあと、名前に AutoQoS を含むポリシー マップや集約ポリサーを変更しないでください。ポリシー マップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシー マップやポリサーを変更します。生成されたポリシー マップの代わりに新しいポリシー マップを使用するには、生成したポリシー マップをインターフェイスから削除して、新しいポリシー マップを適用します。

auto-QoS がイネーブルのときに自動的に生成される Quality of Service(QoS; サービス品質)の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。詳細については、 debug auto qos コマンドを参照してください。

ポートの auto-QoS をディセーブルにするには、no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが削除されます。auto-QoS をイネーブルにした最後のポートで、 no auto qos voip コマンドを入力すると、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドが残っている場合でも、auto-QoS はディセーブルと見なされます(グローバル コンフィギュレーションによって影響を受ける他のポートでのトラフィックの中断を避けるため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドをディセーブルにできます。QoS がディセーブルの場合は、パケットが変更されない(パケット内の CoS、DSCP、および IP precedence 値は変更されない)ため、信頼できるポートまたは信頼できないポートといった概念はありません。トラフィックはパススルー モードでスイッチングされます(パケットは、書き直されずにスイッチングされ、ポリシングされずにベストエフォートとして分類されます)。

次の例では、ポートに接続されているスイッチまたはルータが信頼できる装置である場合に、auto-QoS をイネーブルにし、着信パケットで受信した QoS ラベルを信頼する方法を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# auto qos voip trust
 

show auto qos interface interface-id 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

debug auto qos

auto-QoS 機能のデバッグをイネーブルにします。

mls qos cos

デフォルトのポート CoS 値を定義するか、あるいはポートのすべての着信パケットにデフォルトの CoS 値を割り当てます。

mls qos map { cos-dscp dscp1 ... dscp8 | dscp-cos dscp-list to cos }

CoS/DSCP マップまたは DSCP/CoS マップを定義します。

mls qos queue-set output buffers

バッファをキューセットに割り当てます。

mls qos srr-queue input bandwidth

Shaped Round Robin(SRR)の重みを入力キューに割り当てます。

mls qos srr-queue input buffers

入力キュー間のバッファを割り当てます。

mls qos srr-queue input cos-map

CoS 値を入力キューにマッピングする、または CoS 値をキューとスレッシュホールド ID にマッピングします。

mls qos srr-queue input dscp-map

DSCP 値を入力キューにマッピングする、または DSCP 値をキューとスレッシュホールド ID にマッピングします。

mls qos srr-queue input priority-queue

入力プライオリティ キューを設定し、帯域幅を保証します。

mls qos srr-queue output cos-map

CoS 値を出力キュー、またはキューとスレッシュホールド ID にマッピングします。

mls qos srr-queue output dscp-map

DSCP 値を出力キュー、またはキューとスレッシュホールド ID にマッピングします。

mls qos trust

ポートの信頼状態を設定します。

queue-set

キューセットに対するポートをマッピングします。

show auto qos

auto-QoS 情報を表示します。

show mls qos interface

ポート レベルで QoS 情報を表示します。

srr-queue bandwidth shape

シェーピングされた重みを割り当て、ポートにマッピングされた出力キュー 4 つで帯域幅をシェーピングします。

srr-queue bandwidth share

共有する重みを割り当て、ポートにマッピングされた出力キュー 4 つで帯域幅を共有します。

boot auto-copy-sw

自動アップグレード プロセスをイネーブルにするには、スタック マスターから boot auto-copy-sw グローバル コンフィギュレーション コマンドを使用します。このコマンドにより、Version-Mismatch(VM)モードのスイッチは、スタック メンバー上で実行中のソフトウェア イメージ、またはスイッチ スタックのフラッシュ メモリの tar ファイル イメージをコピーして、自動的にアップグレードします。自動アップグレード プロセスをディセーブルにするには、このコマンドの no 形式を使用します。

boot auto-copy-sw

no boot auto-copy-sw

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

イネーブル

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

VM モードにあるスイッチは、スタックとは異なるマイナー バージョン番号が適用されています。VM モードのスイッチは、完全に機能しているメンバーとしてはスタックに加入できません。スタックが VM モードのスイッチにコピーできるイメージを保有している場合、自動アップグレード プロセスを使用することで、スタック メンバーからのイメージを VM モードのスイッチに自動的にコピーできます。その場合、スイッチは VM モードを終了し、再起動後にスタックに完全に機能しているメンバーとして加入します。

自動アップグレード プロセスは、VM モードのスイッチだけに影響します。既存のスタック メンバーには影響しません。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

show version

ハードウェアおよびファームウェアのバージョン情報を表示します。

boot config-file

システム設定の不揮発性コピーの読み込みおよび書き込みを行うために、Cisco IOS が使用するファイル名を指定するには、スタンドアロン スイッチ上で boot config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot config-file flash: / file-url

no boot config-file

 
シンタックスの説明

flash:/ file-url

コンフィギュレーション ファイルのパス(ディレクトリ)および名前です。

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、flash:config.text です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、スタンドアロン スイッチからだけ正常に動作します。

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 2975 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot enable-break

自動ブート プロセスの中断をイネーブルにするには、スタンドアロン スイッチ上で boot enable-break グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot enable-break

no boot enable-break

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブルです。コンソール上で Break キーを押しても自動ブート プロセスを中断できません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、スタンドアロン スイッチからだけ正常に動作します。

このコマンドを入力すると、フラッシュ ファイル システムが初期化されたあとで Break キーを押して、自動ブート プロセスを中断することができます。


) このコマンドの設定に関系なく、スイッチ前面パネルの MODE ボタンを押すと、いつでも自動ブート プロセスを中断することができます。


このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 2975 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot helper

ブート ローダ初期化中にダイナミックにファイルをロードして、ブート ローダの機能を拡張するかまたは機能にパッチを当てるには、 boot helper グローバル コンフィギュレーション コマンドを使用します。このコマンドをデフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

boot helper filesystem :/ file-url ...

no boot helper

 
シンタックスの説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ローダ初期化中に動的にロードするためのパス(ディレクトリ)およびロード可能なファイルのリストです。イメージ名はセミコロンで区切ります。

 
デフォルト

ヘルパー ファイルはロードされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、HELPER 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 2975 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot helper-config-file

Cisco IOS ヘルパー イメージが使用するコンフィギュレーション ファイルの名前を指定するには、 boot helper-config-file グローバル コンフィギュレーション コマンドを使用します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルがロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper-config-file filesystem :/ file-url

no boot helper-config file

 
シンタックスの説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ロードするパス(ディレクトリ)およびヘルパー コンフィギュレーション ファイルです。

 
デフォルト

ヘルパー コンフィギュレーション ファイルは指定されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 2975 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot manual

次回ブート サイクル中にスイッチの手動起動をイネーブルにするには、スタンドアロン スイッチ上で boot manual グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot manual

no boot manual

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

手動起動はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、スタンドアロン スイッチからだけ正常に動作します。

次回システムを再起動すると、スイッチはブート ローダ モードで起動します。これは switch: プロンプトによってわかります。システムを起動するには、 boot ブート ローダ コマンドを使用して起動可能なイメージの名前を指定します。

このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 2975 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot private-config-file

プライベート コンフィギュレーションの不揮発性コピーの読み込みおよび書き込みを行うために Cisco IOS が使用するファイル名を指定するには、スタンドアロン スイッチ上で boot private-config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot private-config-file filename

no boot private-config-file

 
シンタックスの説明

filename

プライベート コンフィギュレーション ファイルの名前です。

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、 private-config です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、スタンドアロン スイッチからだけ正常に動作します。

ファイル名は、大文字と小文字を区別します。

次の例では、プライベート コンフィギュレーション ファイルの名前を pconfig と指定する方法を示します。

Switch(config)# boot private-config-file pconfig

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot system

次回のブート サイクル中にロードする Cisco IOS イメージを指定するには、 boot system グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot system { filesystem :/ file-url ... | switch { number | all }}

no boot system

no boot system switch { number | all }

 
シンタックスの説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

起動可能なイメージのパス(ディレクトリ)および名前です。各イメージ名はセミコロンで区切ります。

switch

Cisco IOS イメージがロードされるスイッチを指定します。

number

スタック メンバーを指定します。

all

すべてのスタック メンバーを指定します。

 
デフォルト

スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムを起動しようとします。この変数が設定されていない場合、スイッチは、フラッシュ ファイル システム全体に再帰的な縦型検索を行って、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

スタック マスター上で boot system filesystem:/file-url コマンドを入力した場合、次回のブート サイクル中に指定のソフトウェア イメージがスタック マスター上だけでロードされます。

スタック マスター上で、次回のブート サイクル中に指定のスタック メンバーでソフトウェア イメージがロードされるように指定するには、 boot system switch number コマンドを使用します。次回のブート サイクル中にすべてのスタック メンバー上でソフトウェア イメージがロードされるように指定するには、 boot system switch all コマンドを使用します。

boot system switch number コマンドまたは boot system switch all コマンドをスタック マスター上で入力すると、スタック マスターはスタック メンバー上にソフトウェア イメージが存在しているかどうか確認します。スタック メンバー上(スタック メンバー 1 など)にソフトウェア イメージが存在しない場合、次のようなエラー メッセージが表示されます。

%Command to set boot system switch all xxx on switch=1 failed
 

archive download-sw 特権 EXEC コマンドを使用してシステム イメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。

このコマンドは、BOOT 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 2975 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

channel-group

EhterChannel グループにイーサネット ポートを割り当てたり、EtherChannel モードをイネーブルにしたりするには、 channel-group インターフェイス コンフィギュレーション コマンドを使用します。イーサネット ポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。

channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }

no channel-group

PAgP modes:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}

LACP modes:
channel-group channel -group-number mode {active | passive}

On mode:
channel-group channel -group-number mode on

 
シンタックスの説明

channel-group-number

チャネル グループ番号を指定します。指定できる範囲は 1 ~ 6 です。

mode

EtherChannel モードを指定します。

active

無条件に Link Aggregation Control Protocol(LACP)をイネーブルにします。

active モードは、ポートをネゴシエーション ステートにします。この場合、ポートは LACP パケットを送信することによって、他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードの別のポート グループで形成されます。

auto

Port Aggregation Protocol(PAgP; ポート集約プロトコル)装置が検出された場合に限り、PAgP をイネーブルにします。

auto モードは、ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケット ネゴシエーションを開始することはありません。チャネルは、desirable モードの別のポート グループだけで形成されます。 auto がイネーブルの場合は、デフォルトでサイレント動作となります。

desirable

PAgP を無条件でイネーブルにします。

desirable モードは、ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。EtherChannel は、desirable モードまたは auto モードの別のポート グループで形成されます。 desirable がイネーブルの場合は、デフォルトでサイレント動作となります。

non-silent

(任意)他の装置からのトラフィックが予想されている場合に PAgP モードで auto または desirable キーワードとともに使用されます。

on

on モードをイネーブルにします。

on モードでは、使用可能な EtherChannel が存在するのは両方の接続ポート グループが on モードの場合だけです。

passive

LACP 装置が検出された場合に限り、LACP をイネーブルにします。

passive モードは、ポートをネゴシエーション ステートにします。この場合、ポートは受信した LACP パケットに応答しますが、LACP パケット ネゴシエーションを開始することはありません。チャネルは、active モードの別のポート グループだけで形成されます。

 
デフォルト

チャネル グループは割り当てられません。

モードは設定されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

レイヤ 2 EtherChannel の場合、物理ポートをチャネル グループに割り当てる前に、先に interface port-channel グローバル コンフィギュレーション コマンドを使用してポートチャネル インターフェイスを作成しておく必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用します。論理インターフェイスがまだ作成されていない場合は、チャネル グループが最初の物理ポートを取得した時点で、自動的にポートチャネル インターフェイスが作成されます。最初にポートチャネル インターフェイスを作成する場合は、 channel-group-number port - channel-number と同じ番号を使用することもできれば、新しい番号を使用することもできます。新しい番号を使用すると、 channel-group コマンドが動的に新しいポート チャネルを作成します。

EtherChannel を設定したあと、ポートチャネル インターフェイスに加えられた設定の変更は、そのポートチャネル インターフェイスに割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、その設定を適用しているポートだけに影響します。EtherChannel 内のすべてのポートのパラメータを変更するには、ポートチャネル インターフェイスに対してコンフィギュレーション コマンドを適用します。たとえば、spanning-tree コマンドを使用して、レイヤ2 EtherChannel をトランクとして設定します。

auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものと見なされます。サイレント モードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレント パートナーの例は、トラフィックを生成しないファイル サーバまたはパケット アナライザなどです。この場合は、物理ポートで PAgP を稼動して、ポートが動作可能にならないようにします。ただし、PAgP によって、ポートは動作可能となり、そのポートをチャネル グループへ接続したり、伝送用として使用したりすることができます。リンクの両端はサイレントに設定できません。

on モードでは、使用可能な EtherChannel が存在するのは、 on モードのポート グループが、 on モードの別のポート グループに接続する場合だけです。


注意 on モードを使用する場合、注意が必要です。これは手動の設定であり、EtherChannel の両端にあるポートで同じ設定になっている必要があります。グループの設定を誤ると、パケット損失またはスパニングツリー ループが発生することがあります。

EtherChannel は、PAgP と LACP の両方のモードには設定しないでください。PAgP および LACP を実行している EtherChannle グループは、同一のスイッチ、またはスタックにある異なるスイッチ(クロススタック設定ではできません)上で共存できます。個々の EtherChannel グループは PAgP または LACP のどちらかを稼動できますが、それらを相互に稼動できません。

channel-protocol インターフェイス コンフィギュレーション コマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイス コンフィギュレーション コマンドによっては上書きされません。

アクティブまたはアクティブでない EtherChannel メンバーを 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

セキュア ポートを EtherChannel の一部として、または EtherChannel ポートをセキュア ポートとしては設定しないでください。

設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。

次の例では、スタック内の単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセス ポート 2 つを PAgP モード desirable であるチャネル 5 に割り当てます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet2/0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode desirable
Switch(config-if-range)# end
 

次の例では、スタック内の単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセス ポート 2 つを LACP モード active であるチャネル 5 に割り当てます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet2/0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode active
Switch(config-if-range)# end
 

次の例では、クロススタック EtherChannel を設定する方法を示します。LACP パッシブ モードを使用して、VLAN10 内のスタテイックアクセス ポートとしてスタック メンバー 2 のポートを 2 つ、スタック メンバー 3 のポートを 1 つチャネル 5 に割り当てます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet2/0/4 -5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode passive
Switch(config-if-range)# exit
Switch(config)# interface gigabitethernet3/0/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# channel-group 5 mode passive
Switch(config-if)# exit
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-protocol

チャネリングを管理するポート上で使用されるプロトコルを制限します。

interface port-channel

ポート チャネルへのアクセスや、ポート チャネルの作成を行います。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show lacp

LACP チャネル グループ情報を表示します。

show pagp

PAgP チャネル グループ情報を表示します。

show running-config

現在の動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

channel-protocol

チャネリングを管理するポート上で使用されるプロトコルを制限するには、 channel-protocol インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

channel-protocol { lacp | pagp }

no channel-protocol

 
シンタックスの説明

lacp

EtherChannel と Link Aggregation Control Protocol(LACP)を設定します。

pagp

EtherChannel と Port Aggregation Protocol(PAgP; ポート集約プロトコル)を設定します。

 
デフォルト

プロトコルは EtherChannel に割り当てられていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

LACP または PAgP に制限する場合だけ、 channel-protocol コマンドを使用してください。 channel-protocol コマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイス コンフィギュレーション コマンドによっては上書きされません。

EtherChannel パラメータを設定するには、 channel-group インターフェイス コンフィギュレーション コマンドを使用する必要があります。 channel-group コマンドを使用して、EtherChannel のモードを設定することもできます。

EtherChannel グループで PAgP と LACP の両方のモードをイネーブルにできません。

PAgP と LACP は非互換です。チャネルの両側で同じプロトコルを使用する必要があります。

次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。

Switch(config-if)# channel-protocol lacp
 

show etherchannel [ channel-group-number ] protocol 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel protocol

EtherChannel のプロトコル情報を表示します。

class

指定のクラス マップ名のトラフィックを分類する一致条件を( police set 、および trust ポリシーマップ クラス コンフィギュレーション コマンドを使用して)定義するには、class ポリシーマップ コンフィギュレーション コマンドを使用します。既存のクラス マップを削除する場合は、このコマンドの no 形式を使用します。

class class-map-name

no class class-map-name

 
シンタックスの説明

class-map-name

クラス マップ名です。

 
デフォルト

ポリシーマップ クラス マップは定義されません。

 
コマンド モード

ポリシーマップ コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

class コマンドを使用する前に、 policy-map グローバル コンフィギュレーション コマンドを使用してポリシー マップを識別し、ポリシーマップ コンフィギュレーション モードを開始する必要があります。ポリシー マップを指定すると、ポリシー マップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりすることができます。 service-policy インターフェイス コンフィギュレーション コマンドを使用して、ポリシー マップをポートへ添付することができます。

class コマンドを入力すると、ポリシー マップ クラス コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。

exit :ポリシー マップ クラス コンフィギュレーション モードを終了し、ポリシー マップ コンフィギュレーション モードに戻ります。

no :コマンドをデフォルト設定に戻します。

police :分類したトラフィックにポリサーまたは集約ポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate ポリシーマップ クラス コマンドを参照してください。

set :分類したトラフィックに割り当てる値を指定します。詳細については、 set コマンドを参照してください。

trust class コマンドまたは class-map コマンドで分類したトラフィックの信頼状態を定義します。詳細については、 trust コマンドを参照してください。

ポリシーマップ コンフィギュレーション モードに戻るには、 exit コマンドを使用します。特権 EXEC モードに戻るには、 end コマンドを使用します。

class コマンドは、 class-map グローバル コンフィギュレーション コマンドと同じ機能を実行します。他のポートと共有していない新しい分類が必要な場合は、 class コマンドを使用します。多数のポート間でマップを共有する場合には、class-map コマンドを使用します。

次の例では、 policy1 という名前のポリシー マップを作成する方法を示します。このコマンドが入力方向に添付された場合、 class1 で定義されたすべての着信トラフィックのマッチングを行い、IP Differentiated Services Code Point(DSCP)を 10 に設定し、平均レート 1 Mb/s、バースト 20 KB のトラフィックをポリシングします。プロファイルを超えるトラフィックは、ポリシング設定 DSCP マップから取得した DSCP 値がマークされてから送信されます。

Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit
Switch(config-pmap-c)# exit
 

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class-map

名前を指定したクラスとパケットとの比較に使用されるクラス マップを作成します。

police

分類したトラフィックにポリサーを定義します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定することができるポリシー マップを作成または変更します。

set

パケットに DSCP 値または IP precedence 値を設定することによって、IP トラフィックを分類します。

show policy-map

Quality of Service(QoS; サービス品質)ポリシー マップを表示します。

trust

class ポリシーマップ コンフィギュレーション コマンドまたは class-map グローバル コンフィギュレーション コマンドを使用して分類されたトラフィックの信頼状態を定義します。

class-map

パケットと名前を指定したクラスとの照合に使用するクラス マップを作成し、クラスマップ コンフィギュレーション モードを開始するには、 class-map グローバル コンフィギュレーション コマンドを使用します。既存のクラス マップを削除し、グローバル コンフィギュレーション モードに戻る場合は、このコマンドの no 形式を使用します。

class-map [ match-all | match-any ] class-map-name

no class-map [ match-all | match-any ] class-map-name

 
シンタックスの説明

match-all

(任意)このクラス マップ内のすべての一致ステートメントの論理積をとります。クラス マップ内のすべての基準が一致する必要があります。

match-any

(任意)このクラス マップ内の一致ステートメントの論理和をとります。1 つまたは複数の条件が一致していなければなりません。

class-map-name

クラス マップ名です。

 
デフォルト

クラス マップは定義されません。

match-all または match-any のどちらのキーワードも指定されていない場合、デフォルトは match-all です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

クラス マップ一致基準を作成または変更したいクラスの名前を指定し、クラス マップ コンフィギュレーション モードを開始する場合は、このコマンドを使用します。

ポートごとに適用されるグローバルに名付けられたサービス ポリシーの一部としてパケットの分類、マーキング、および集約ポリシングを定義する場合は、 class-map コマンドおよびそのサブコマンドを使用します。

Quality of Service(QoS; サービス品質)クラスマップ コンフィギュレーション モードでは、次の設定コマンドを利用することができます。

description :クラス マップを説明します(最大 200 文字)。s how class-map 特権 EXEC コマンドは、クラスマップの説明と名前を表示します。

exit :QoS クラスマップ コンフィギュレーション モードを終了します。

match :分類基準を設定します。詳細については、 match (class-map configuration) コマンドを参照してください。

no :クラス マップから一致ステートメントを削除します。

rename :現在のクラス マップの名前を変更します。クラス マップ名をすでに使用されている名前に変更すると、 A class-map with this name already exists が表示されます。

物理ポート単位でパケット分類を定義するため、クラス マップごとに 1 つずつだけ match コマンドがサポートされています。この状況では、 match-all キーワードと match-any キーワードは同じです。

1 つのクラス マップで設定できる Access Control List(ACL; アクセス制御リスト)は 1 つだけです。ACL には複数の Access Control Entry(ACE; アクセス制御エントリ)を含めることができます。

次の例では、クラス マップ class1 に 1 つの一致基準(アクセス リスト 103 )を設定する方法を示します。

次の例では、クラス マップ Switch(config)# access-list 103 permit ip any any dscp 10
Switch(config)# class-map class1
Switch(config-cmap)# match access-group 103
Switch(config-cmap)# exit
 

class1 を削除する方法を示します。

Switch(config)# no class-map class1
 

show class-map 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

class

指定されたクラスマップ名のトラフィック分類一致条件( police set 、および trust ポリシーマップ クラス コンフィギュレーション コマンドによる)を定義します。

match (class-map configuration)

トラフィックを分類するための一致条件を定義します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定することができるポリシー マップを作成または変更します。

show class-map

QoS クラス マップを表示します。

clear dot1x

スイッチまたは特定のポート用の IEEE 802.1x 情報をクリアするには、 clear dot1x 特権 EXEC コマンドを使用します。

clear dot1x { all | interface interface-id }

 
シンタックスの説明

all

スイッチのすべての IEEE 802.1x 情報をクリアします。

interface interface-id

指定されたインターフェイスの IEEE 802.1x 情報をクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

clear dot1x all コマンドを使用して、すべての情報をクリアできます。また、 clear dot1x interface interface-id コマンドを使用して、指定されたインターフェイスの情報だけをクリアできます。

次の例では、すべての IEEE 8021.x 情報をクリアする方法を示します。

Switch# clear dot1x all
 

次の例では、指定されたインターフェイスの IEEE 8021.x 情報をクリアする方法を示します。

Switch# clear dot1x interface gigabithethernet1/0/1
 

show dot1x 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

clear eap sessions

スイッチまたは特定のポートの Extensible Authentication Protocol(EAP)セッション情報をクリアするには、 clear eap sessions 特権 EXEC コマンドを使用します。

clear eap sessions [ credentials name [ interface interface-id ] | interface interface-id | method name | transport name ] [ credentials name | interface interface-id | transport name ] ...

 
シンタックスの説明

credentials name

指定されたプロファイルの EAP クレデンシャル情報をクリアします。

interface interface-id

指定されたインターフェイスの EAP 情報をクリアします。

method name

指定された方式の EAP 情報をクリアします。

transport name

指定された下位レベルの EAP トランスポート情報をクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

clear eap sessions コマンドを使用して、すべてのカウンタをクリアできます。キーワードを指定して、特定の情報だけをクリアできます。

次の例では、すべての EAP 情報をクリアする方法を示します。

Switch# clear eap
 

次の例では、指定されたプロファイルの EAP セッション クレデンシャル情報をクリアする方法を示します。

Switch# clear eap sessions credential type1

 

show dot1x 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

show eap

スイッチまたは特定のポートの EAP のレジストレーション情報およびセッション情報を表示します。

clear errdisable interface

errdisable になった VLAN を再びイネーブルにするには、 clear errdisable interface 特権 EXEC コマンドを使用します。

clear errdisable interface interface-id vlan [vlan-list]

 
シンタックスの説明

vlan list

(任意)再びイネーブルにする VLAN のリストを指定します。vlan-list が指定されていない場合、VLAN が再びイネーブルになります。

 
コマンドのデフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを使用して、ポートを再びイネーブルにすることができます。また、clear errdisable interface コマンドを使用して、VLAN の errdisable をクリアすることができます。

次の例では、ポート Gi4/0/2 で errdisable になっている VLAN を再びイネーブルにする方法を示します。

Switch# clear errdisable interface GigabitEthernet 4/0/2 vlan

 
関連コマンド

コマンド
説明

errdisable detect cause

特定の原因、またはすべての原因の errdisable 検出をイネーブルにします。

errdisable recovery

回復メカニズム変数を設定します。

show errdisable detect

errdisable 検出ステータスを表示します。

show errdisable recovery

errdisable 回復タイマー情報を表示します。

show interfaces status err-disabled

errdisable ステートにあるインターフェイスのリストについて、インターフェイスのステータスを表示します。

clear ip dhcp snooping

DHCP スヌーピング バインディング データベース、DHCP スヌーピング バインディング データベース エージェントの統計情報、または DHCP スヌーピングの統計情報のカウンタをクリアするには、 clear ip dhcp snooping 特権 EXEC コマンドを使用します。

clear ip dhcp snooping { binding {* | ip-address | interface interface-id | vlan vlan-id } | database statistics | statistics }

 
シンタックスの説明

binding

DHCP スヌーピング バインディング データベースをクリアします。

*

自動バインディングをすべてクリアします。

ip-address

バインディング エントリ IP アドレスをクリアします。

interface interface-id

バインディング入力インターフェイスをクリアします。

vlan vlan-id

バインディング エントリ VLAN をクリアします。

database statistics

DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアします。

statistics

DHCP スヌーピングの統計情報のカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは統計情報をクリアする前にバインディング データベースおよびバインディング ファイル内のエントリを更新しません。

次の例では、DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアする方法を示します。

Switch# clear ip dhcp snooping database statistics
 

統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

次の例では、DHCP スヌーピングの統計情報のカウンタをクリアする方法を示します。

Switch# clear ip dhcp snooping statistics
 

統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping statistics ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

VLAN 上で DHCP スヌーピングをイネーブルにします。

ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定します。

show ip dhcp snooping binding

DHCP スヌーピング データベース エージェントのステータスを表示します。

show ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントの統計情報を表示します。

show ip dhcp snooping statistics

DHCP スヌーピングの統計情報を表示します。

clear lacp

Link Aggregation Control Protocol(LACP)チャネルグループのカウンタをクリアするには、 clear lacp 特権 EXEC コマンドを使用します。

clear lacp { channel-group-number counters | counters }

 
シンタックスの説明

channel-group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 6 です。

counters

トラフィックのカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

clear lacp counters コマンドを使用すると、すべてのカウンタをクリアできます。また、 clear lacp channel-group-number counters コマンドを使用すると、指定のチャネル グループのカウンタだけをクリアできます。

次の例では、すべてのチャネル グループ情報をクリアする方法を示します。

Switch# clear lacp counters
 

次の例では、グループ 4 の LACP トラフィック カウンタをクリアする方法を示します。

Switch# clear lacp 4 counters
 

show lacp counters または show lacp 4 counters 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

show lacp

LACP チャネル グループ情報を表示します。

 

clear mac address-table

指定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、スタック メンバー上のすべてのダイナミック アドレス、または特定の VLAN(仮想 LAN)上のすべてのダイナミック アドレスを MAC(メディア アクセス制御)アドレス テーブルから削除するには、 clear mac-address-table 特権 EXEC コマンドを使用します。このコマンドは、MAC アドレス通知グローバル カウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }

 
シンタックスの説明

dynamic

すべてのダイナミック MAC アドレスを削除します。

dynamic address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

dynamic interface interface-id

(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。

dynamic vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。

notification

履歴テーブルの通知をクリアし、カウンタをリセットします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。

Switch# clear mac address-table dynamic address 0008.0070.0007
 

show mac address-table 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

mac address-table notification

MAC アドレス通知機能をイネーブルにします。

show mac access-group

MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。

show mac address-table notification

すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。

snmp trap mac-notification

特定のインターフェイスの SNMP(簡易ネットワーク管理プロトコル)MAC アドレス通知トラップをイネーブルにします。

clear mac address-table move update

MAC(メディア アクセス制御)アドレス テーブルの移行更新関連カウンタをクリアするには、 clear mac address-table move update 特権 EXEC コマンドを使用します。

clear mac address-table move update

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

次の例では、MAC アドレス テーブル移行更新関連カウンタをクリアする方法を示します。

Switch# clear mac address-table move update
 

show mac address-table move update 特権 EXEC コマンドを入力すると、情報がクリアされたかどうかを確認できます。

 
関連コマンド

コマンド
説明

mac address-table move update { receive | transmit }

スイッチ上の MAC アドレス テーブル移行更新を設定します。

show mac address-table move update

スイッチに MAC アドレス テーブル移行更新情報を表示します。

clear pagp

Port Aggregation Protocol(PAgP)チャネルグループの情報をクリアするには、 clear pagp 特権 EXEC コマンドを使用します。

clear pagp { channel-group-number counters | counters }

 
シンタックスの説明

channel- group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 6 です。

counters

トラフィックのカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

clear pagp counters コマンドを使用すると、すべてのカウンタをクリアできます。また、 clear pagp channel-group-number counters コマンドを使用すると、指定のチャネル グループのカウンタだけをクリアできます。

次の例では、すべてのチャネル グループ情報をクリアする方法を示します。

Switch# clear pagp counters
 

次の例では、グループ 10 の PAgP トラフィック カウンタをクリアする方法を示します。

Switch# clear pagp 10 counters
 

show pagp 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

show pagp

PAgP チャネル グループ情報を表示します。

 

clear port-security

MAC(メディア アクセス制御)アドレス テーブルからすべてのセキュア アドレスを削除する、またはスイッチ、インターフェイス上の特定タイプ(設定済み、ダイナミック、スティッキー)のすべてのセキュア アドレスを削除するには、 clear port-security 特権 EXEC コマンドを使用します。

clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | { access | voice}}]]

 
シンタックスの説明

all

すべてのセキュア MAC アドレスを削除します。

configured

設定済みセキュア MAC アドレスを削除します。

dynamic

ハードウェアによって自動学習されたセキュア MAC アドレスを削除します。

sticky

自動学習または設定済みセキュア MAC アドレスを削除します。

address mac-addr

(任意)指定されたダイナミック セキュア MAC アドレスを削除します。

interface interface-id

(任意)指定された物理ポートまたは VLAN(仮想 LAN)上のすべてのダイナミック セキュア MAC アドレスを削除します。

vlan

(任意)指定された VLAN から指定されたセキュア MAC アドレスを削除します。 vlan キーワードを入力後、以下のいずれかのオプションを入力します。

vlan-id - トランク ポート上で、クリアする必要のあるアドレスの VLAN の VLAN ID を指定します。

access - アクセス ポートで、アクセス VLAN 上の指定されたセキュア MAC アドレスをクリアします。

voice - アクセス ポートで、音声 VLAN 上の指定されたセキュア MAC アドレスをクリアします。

(注) voice キーワードは、音声 VLAN がポートに設定されていて、そのポートがアクセス VLAN でない場合にだけ使用できます。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

次の例では、MAC アドレス テーブルからすべてのセキュア アドレスを削除する方法を示します。

Switch# clear port-security all
 

次の例では、MAC アドレス テーブルから特定の設定済みセキュア アドレスを削除する方法を示します。

Switch# clear port-security configured address 0008.0070.0007
 

次の例では、特定のインターフェイスで学習されたすべてのダイナミック セキュア アドレスを削除する方法を示します。

Switch# clear port-security dynamic interface gigabitethernet1/0/1
 

次の例では、アドレス テーブルからすべてのダイナミック セキュア アドレスを削除する方法を示します。

Switch# clear port-security dynamic
 

show port-security 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

switchport port-security

インターフェイス上でポート セキュリティをイネーブルにします。

switchport port-security mac-address mac-address

セキュア MAC アドレスを設定します。

switchport port-security maximum value

セキュア インターフェイスにセキュア MAC アドレスの最大数を設定します。

show port-security

インターフェイスまたはスイッチに定義されたポート セキュリティ設定を表示します。

 

clear spanning-tree counters

スパニングツリーのカウンタをクリアするには、 clear spanning-tree counters 特権 EXEC コマンドを使用します。

clear spanning-tree counters [ interface interface-id ]

 
シンタックスの説明

interface interface-id

(任意)指定のインターフェイスのスパニングツリー カウンタをすべてクリアします。有効なインターフェイスとしては、物理ポート、VLAN(仮想 LAN)、およびポート チャネルがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 6 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

interface-id が指定されていない場合は、すべてのインターフェイスのスパニングツリー カウンタがクリアされます。

次の例では、すべてのインターフェイスのスパニングツリー カウンタをクリアする方法を示します。

Switch# clear spanning-tree counters

 
関連コマンド

コマンド
説明

show spanning-tree

スパニングツリー ステート情報を表示します。

clear spanning-tree detected-protocols

すべてのインターフェイス、または指定されたインターフェイスでプロトコル移行プロセスを再開する(強制的に近接スイッチと再度ネゴシエートさせる)には、 clear spanning-tree detected-protocols 特権 EXEC コマンドを使用します。

clear spanning-tree detected-protocols [ interface interface-id ]

 
シンタックスの説明

interface interface-id

(任意)指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスとしては、物理ポート、VLAN(仮想 LAN)、およびポート チャネルがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 6 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

Rapid Per-VLAN Spanning-Tree Plus(Rapid PVST+)プロトコルまたは Multiple Spanning-Tree Protocol(MSTP)が稼動するスイッチは、組み込み済みのプロトコル移行メカニズムをサポートしています。それによって、スイッチはレガシー IEEE 802.1D スイッチと相互に動作できるようになります。Rapid PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信した場合は、そのポートで IEEE 802.1D BPDU だけを送信します。Multiple Spanning-Tree(MST)スイッチは、レガシー BPDU、別のリージョンに関連付けられた MST BPDU(バージョン 3)、または Rapid Spanning-Tree(RST)BPDU(バージョン 2)を受信したときは、そのポートがリージョンの境界にあることを検知します。

ただし、スイッチは、IEEE 802.1D BPDU を受信しなくなった場合であっても、自動的には Rapid PVST+ モードまたは MSTP モードには戻りません。これは、レガシー スイッチが指定スイッチでなければ、リンクから削除されたかどうかを学習できないためです。この状況では、 clear spanning-tree detected-protocols コマンドを使用します。

次の例では、ポートでプロトコル移行プロセスを再開する方法を示します。

Switch# clear spanning-tree detected-protocols interface gigabitethernet2/0/1

 
関連コマンド

コマンド
説明

show spanning-tree

スパニングツリー ステート情報を表示します。

spanning-tree link-type

デフォルト リンクタイプ設定を上書きし、スパニングツリーがフォワーディング ステートに高速移行できるようにします。

clear vmps statistics

VLAN(仮想 LAN)Query Protocol(VQP)クライアントが保持する統計情報をクリアするには、 clear vmps statistics 特権 EXEC コマンドを使用します。

clear vmps statistics

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

次の例では、VLAN Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)統計情報をクリアする方法を示します。

Switch# clear vmps statistics
 

show vmps statistics 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

show vmps

VQP バージョン、再確認間隔、再試行回数、VMPS IP アドレス、および現在のサーバとプライマリ サーバを表示します。

clear vtp counters

VLAN(仮想 LAN)Trunking Protocol(VTP; VLAN トランキング プロトコル)およびプルーニング カウンタをクリアするには、 clear vtp counters 特権 EXEC コマンドを使用します。

clear vtp counters

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

次の例では、VTP カウンタをクリアする方法を示します。

Switch# clear vtp counters
 

show vtp counters 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。

 
関連コマンド

コマンド
説明

show vtp

VTP 管理ドメイン、ステータス、およびカウンタの一般情報を表示します。

cluster commander-address

このコマンドは、スイッチ スタックまたはスタンドアロン クラスタ メンバー スイッチから入力する必要はありません。クラスタ コマンド スイッチは、メンバー スイッチがクラスタに加入した場合に、MAC(メディア アクセス制御)アドレスをそのメンバー スイッチに自動的に提供します。クラスタ メンバー スイッチは、この情報および他のクラスタ情報をその実行コンフィギュレーション ファイルに追加します。デバッグまたはリカバリ手順の間だけスイッチをクラスタから削除する場合は、クラスタ メンバー スイッチ コンソール ポートから、このグローバル コンフィギュレーション コマンドの no 形式 を使用します。

cluster commander-address mac-address [ member number name name ]

no cluster commander-address

 
シンタックスの説明

mac-address

クラスタ コマンド スイッチの MAC アドレスです。

member number

(任意)設定されたクラスタ メンバー スイッチの番号。指定できる範囲は 0 ~ 15 です。

name name

(任意)設定されたクラスタの名前(最大 31 文字)です。

 
デフォルト

このスイッチはどのクラスタのメンバーでもありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、クラスタ コマンドのスイッチ スタックまたはクラスタ コマンド スイッチ上だけで使用できます。

各クラスタ メンバーは、クラスタ コマンド スイッチを 1 つしか持てません。

クラスタ メンバー スイッチは、mac-addressパラメータによりシステム リロード中にクラスタ コマンド スイッチの ID を保持します。

特定のクラスタ メンバー スイッチで no 形式を入力すると、デバッグまたはリカバリ手順の間そのクラスタ メンバー スイッチをクラスタから削除することができます。通常、メンバーがクラスタ コマンド スイッチと通信ができなくなった場合だけに、クラスタ メンバー スイッチ コンソール ポートからこのコマンドを入力します。通常のスイッチ構成では、クラスタ コマンド スイッチで no cluster member n グローバル コンフィギュレーション コマンドを入力することだけによってクラスタ メンバー スイッチを削除することを推奨します。

スタンバイ クラスタ コマンド スイッチがアクティブになった場合(クラスタ コマンド スイッチになった場合)、このスイッチは cluster commander-address 行をその設定から削除します。

次の例は、クラスタ メンバーの実行コンフィギュレーションの出力の一部です。

Switch(config)# show running-config
 
<output truncated>
 
cluster commander-address 00e0.9bc0.a500 member 4 name my_cluster
 
<output truncated>
 

次の例では、クラスタ メンバー コンソールでクラスタからメンバーを削除する方法を示します。

Switch # configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# no cluster commander-address
 

show cluster 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

debug cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster discovery hop-count

候補スイッチの拡張検出用にホップカウントの制限を設定するには、スイッチ スタックまたはクラスタ コマンド スイッチ上で cluster discovery hop-count グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster discovery hop-count number

no cluster discovery hop-count

 
シンタックスの説明

number

クラスタ コマンド スイッチが候補の検出を制限するクラスタ エッジからのホップ数。指定できる範囲は 1 ~ 7 です。

 
デフォルト

ホップ カウントは 3 に設定されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドが利用できるのは、クラスタ コマンド スタックまたはクラスタ コマンド スイッチに限られます。このコマンドは、クラスタ メンバー スイッチでは機能しません。

ホップ カウントが 1 に設定された場合、拡張検出はディセーブルになります。クラスタ コマンド スイッチは、クラスタのエッジから 1 ホップの候補だけを検出します。クラスタのエッジとは、最後に検出されたクラスタ メンバー スイッチと最初に検出された候補スイッチの間のポイントです。

次の例では、ホップ カウント制限を 4 に設定する方法を示します。このコマンドは、クラスタ コマンド スイッチ上だけで実行します。

Switch(config)# cluster discovery hop-count 4
 

show cluster 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show cluster candidates

候補スイッチのリストを表示します。

cluster enable

このコマンド対応スイッチをクラスタ コマンド スイッチとしてイネーブルにし、クラスタ名を割り当て、任意でメンバー番号を割り当てるには、コマンド対応スイッチまたはスイッチ スタック上で cluster enable グローバル コンフィギュレーション コマンドを使用します。すべてのメンバーを削除して、このクラスタ コマンド スイッチを候補スイッチにする場合は、このコマンドの no 形式を使用します。

cluster enable name [ command-switch-member-number ]

no cluster enable

 
シンタックスの説明

name

クラスタ名(最大 31 文字)です。指定できる文字は、英数字、ダッシュ、および下線だけです。

command-switch-member-number

(任意)クラスタのクラスタ コマンド スイッチにメンバー番号を割り当てます。指定できる範囲は 0 ~ 15 です。

 
デフォルト

このスイッチはクラスタ コマンド スイッチではありません。

クラスタ名は定義されません。

クラスタ コマンド スイッチになった場合のメンバー番号は 0 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、どのクラスタにも属していない任意のコマンド対応スイッチで入力します。装置がすでにクラスタのメンバーとして設定されている場合、コマンドはエラーとなります。

クラスタ コマンド スイッチをイネーブルにするときには、クラスタに名前を付けてください。スイッチがすでにクラスタ コマンド スイッチとして設定されており、クラスタ名が以前の名前と異なっている場合、コマンドはクラスタ名を変更します。

次の例では、クラスタ コマンド スイッチをイネーブルにし、クラスタに名前を付け、クラスタ コマンド スイッチ メンバー番号を 4 に設定する方法を示します。

Switch(config)# cluster enable Engineering-IDF4 4
 

クラスタ コマンド スイッチで show cluster 特権 EXEC コマンドを入力すると、設定を確認できます。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster holdtime

スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのハートビート メッセージを受信しなくなってからそのスイッチのダウンを宣言するまでの期間を秒単位で設定するには、スイッチ スタックまたはクラスタ コマンド スイッチ上で cluster holdtime グローバル コンフィギュレーション コマンドを使用します。デフォルト設定時間に戻す場合は、このコマンドの no 形式を使用します。

cluster holdtime holdtime-in-secs

no cluster holdtime

 
シンタックスの説明

holdtime-in-secs

スイッチ(コマンド スイッチまたはクラスタ メンバー スイッチ)が、他のスイッチのダウンを宣言するまでの時間(秒)。指定できる範囲は 1 ~ 300 秒です。

 
デフォルト

デフォルトのホールドタイムは 80 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、 cluster timer グローバル コンフィギュレーション コマンドとともにクラスタ コマンド スイッチだけで使用します。設定がクラスタ内のすべてのスイッチ間で一貫性を持つように、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝達します。

ホールドタイムは通常インターバル タイマー( クラスタ タイマー )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、(ホールド タイムをインターバル タイムで割った秒数)回のハートビート メッセージが連続して受信されなかったことになります。

次の例では、クラスタ コマンド スイッチでインターバル タイマーおよびホールド タイム時間を変更する方法を示します。

Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
 

show cluster 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster member

クラスタ コマンド スイッチから候補をクラスタに追加するには、 cluster member グローバル コンフィギュレーション コマンドを使用します。メンバーをクラスタから削除する場合は、このコマンドの no 形式を使用します。

cluster member [ n ] mac-address H.H.H [ password enable-password ] [ vlan vlan-id ]

no cluster member n

 
シンタックスの説明

n

クラスタ メンバーを識別する番号です。指定できる範囲は 0 ~ 15 です。

mac-address H.H.H

クラスタ メンバー スイッチの MAC(メディア アクセス制御)アドレス(16 進数)です。

password enable-password

候補スイッチのパスワードをイネーブルにします。候補スイッチにパスワードがない場合、パスワードは必要ありません。

vlan vlan-id

(任意)クラスタ コマンド スイッチが候補をクラスタに追加するときに使用される VLAN(仮想 LAN)ID です。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

新しくイネーブルになったクラスタ コマンド スイッチには、関連するクラスタ メンバーはありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、候補をクラスタに追加したり、メンバーをクラスタから削除したりする場合にクラスタ コマンド スイッチだけで入力することができます。このコマンドをクラスタ コマンド スイッチ以外のスイッチで入力すると、スイッチはコマンドを拒否し、エラー メッセージを表示します。

スイッチをクラスタから削除する場合はメンバー番号を入力してください。ただし、スイッチをクラスタに追加する場合には、メンバー番号を入力する必要はありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

候補スイッチがクラスタに加入した場合には、認証を行うためにそのスイッチのイネーブル パスワードを入力してください。パスワードは、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションには保存されません。候補スイッチがクラスタのメンバーになったあと、そのパスワードはクラスタ コマンド スイッチ パスワードと同じになります。

スイッチにホスト名が設定されていない場合、クラスタ コマンド スイッチは、メンバー番号をクラスタ コマンド スイッチ ホスト名に追加し、これをクラスタ メンバー スイッチに割り当てます。

VLAN ID を指定していない場合、クラスタ コマンド スイッチは自動的に VLAN を選択し、候補をクラスタに追加します。

次の例では、スイッチをメンバー 2、MAC アドレス 00E0.1E00.2222、パスワード key としてクラスタに追加する方法を示します。クラスタ コマンド スイッチは、VLAN 3 を経由して候補をクラスタに追加します。

Switch(config)# cluster member 2 mac-address 00E0.1E00.2222 password key vlan 3
 

次の例では、MAC アドレス 00E0.1E00.3333 のスイッチをクラスタに追加する方法を示します。このスイッチにはパスワードはありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

Switch(config)# cluster member mac-address 00E0.1E00.3333
 

クラスタ コマンド スイッチで show cluster members 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show cluster candidates

候補スイッチのリストを表示します。

show cluster members

クラスタ メンバーに関する情報を表示します。

cluster outside-interface

クラスタの Network Address Translation(NAT; ネットワーク アドレス変換)の外部インターフェイスを設定し、IP アドレスのないメンバーがクラスタの外部にある装置と通信できるようにするには、スイッチ スタックまたはクラスタ コマンド スイッチ上で cluster outside-interface グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster outside-interface interface-id

no cluster outside-interface

 
シンタックスの説明

interface-id

外部インターフェイスとして機能するインターフェイスです。有効なインターフェイスとしては、物理インターフェイス、ポート チャネル、または VLAN(仮想 LAN)があります。ポート チャネル範囲は 1 ~ 6 です。指定できる VLAN 範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトの外部インターフェイスは、クラスタ コマンド スイッチによって自動的に選択されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドが入力できるのは、クラスタ コマンド スイッチだけです。クラスタ メンバー スイッチでこのコマンドを入力すると、エラー メッセージが表示されます。

次の例では、VLAN 1 を外部インターフェイスとして設定する方法を示します。

Switch(config)# cluster outside-interface vlan 1
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

現在の動作設定を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を選択してください。

cluster run

スイッチでクラスタ処理をイネーブルにするには、 cluster run グローバル コンフィギュレーション コマンドを使用します。スイッチでクラスタ処理をディセーブルにする場合は、このコマンドの no 形式を使用します。

cluster run

no cluster run

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

すべてのスイッチでクラスタ処理がイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

クラスタ コマンド スイッチまたはクラスタ コマンド スイッチのスタック上で no cluster run コマンドを入力すると、クラスタ コマンド スイッチはディセーブルになります。クラスタ処理はディセーブルになり、スイッチは候補スイッチになることはできません。

クラスタ メンバー スイッチで no cluster run コマンドを入力すると、このクラスタ メンバー スイッチはクラスタから削除されます。クラスタ処理はディセーブルになり、スイッチは候補スイッチになることはできません。

クラスタに属していないスイッチで no cluster run コマンドを入力すると、クラスタ処理はそのスイッチでディセーブルになります。このスイッチは候補スイッチになることはできません。

次の例では、クラスタ コマンド スイッチでクラスタ処理をディセーブルにする方法を示します。

Switch(config)# no cluster run
 

show cluster 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster standby-group

既存の Hot Standby Router Protocol(HSRP)へクラスタをバインドすることにより、クラスタ コマンド スイッチ冗長をイネーブルにするには、 cluster standby-group グローバル コンフィギュレーション コマンドを使用します。routing-redundancy キーワードを入力すると、同じ HSRP グループを使用して、クラスタ コマンド スイッチ冗長とルーティング冗長を確立できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster standby-grou p HSRP-group-name [ routing-redundancy ]

no cluster standby-group

 
シンタックスの説明

HSRP-group-name

クラスタをバインドする HSRP グループの名前です。グループ名は 32 文字までです。

routing-redundancy

(任意)同じ HSRP スタンバイ グループを使用して、クラスタ コマンド スイッチ冗長とルーティング冗長を確立できます。

 
デフォルト

クラスタは、どの HSRP グループにもバインドされていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドが入力できるのは、クラスタ コマンド スイッチだけです。クラスタ メンバー スイッチでこれを入力すると、エラー メッセージが表示されます。

このクラスタ コマンド スイッチは、クラスタ HSRP バインディング情報をすべてのクラスタ HSRP 対応メンバーに伝播します。各クラスタ メンバー スイッチはバインディング情報を NVRAM(不揮発性 RAM)に保存します。HSRP グループ名は、有効なスタンバイ グループである必要があります。そうでないとコマンドを入力したときにエラーが発生します。

クラスタにバインドする HSRP スタンバイ グループのすべてのメンバーに同じグループ名を使用してください。バインドされる HSRP グループのすべてのクラスタ HSRP 対応メンバーに同じ HSRP グループ名を使用してください (クラスタを HSRP グループにバインドしない場合には、クラスタ コマンダおよびメンバーに異なった名前を使用することができます)。

次の例では、 my_hsrp という名前の HSRP グループをクラスタにバインドする方法を示します。このコマンドは、クラスタ コマンド スイッチ上だけで実行します。

Switch(config)# cluster standby-group my_hsrp
 

次の例では、同じ HSRP グループ名 my_hsrp を使用して、ルーティング冗長とクラスタ冗長を確立する方法を示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy
 

次の例では、このコマンドがクラスタ コマンド スイッチで実行され、指定された HSRP スタンバイ グループが存在しない場合のエラー メッセージを示します。

Switch(config)# cluster standby-group my_hsrp
%ERROR: Standby (my_hsrp) group does not exist
 

次の例では、このコマンドがクラスタ メンバー スイッチで実行された場合のエラー メッセージを示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy
%ERROR: This command runs on a cluster command switch
 

show cluster 特権 EXEC コマンドを入力すると、設定を確認することができます。出力は、クラスタ内の冗長がイネーブルになったかどうかを示します。

 
関連コマンド

コマンド
説明

standby ip

インターフェイスで HSRP をイネーブルにします。構文情報については、[Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2] > [IP Services Commands] を選択してください

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show standby

スタンバイ グループ情報を表示します。構文情報については、[Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2] > [IP Services Commands] を選択してください

cluster timer

ハートビート メッセージの間隔を秒単位で設定するには、スイッチ スタックまたはクラスタ コマンド スイッチ上で cluster timer グローバル コンフィギュレーション コマンドを使用します。デフォルト設定の間隔に戻す場合は、このコマンドの no 形式を使用します。

cluster timer interval-in-secs

no cluster timer

 
シンタックスの説明

interval-in-secs

ハートビート メッセージの間隔(秒)。指定できる範囲は 1 ~ 300 秒です。

 
デフォルト

間隔は 8 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、 cluster holdtime グローバル コンフィギュレーション コマンドとともにクラスタ コマンド スイッチだけで使用します。設定がクラスタ内のすべてのスイッチ間で一貫性を持つように、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝達します。

ホールドタイムは通常ハートビート インターバル タイマー( クラスタ タイマー )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、(ホールド タイムをインターバル タイムで割った秒数)回のハートビート メッセージが連続して受信されなかったことになります。

次の例では、クラスタ コマンド スイッチでハートビート インターバル タイマーおよびホールド タイムを変更する方法を示します。

Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
 

show cluster 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

define interface-range

インターフェイスレンジ マクロを作成するには、 define interface-range グローバル コンフィギュレーション コマンドを使用します。定義されたマクロを削除する場合は、このコマンドの no 形式を使用します。

define interface-range macro-name interface-range

no define interface-range macro-name interface-range

 
シンタックスの説明

macro-name

インターフェイス範囲マクロの名前(最大 32 文字)です。

interface-range

インターフェイス範囲です。インターフェイス範囲の有効値については、「使用上のガイドライン」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定がありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

マクロ名は、最大 32 文字の文字列です。

マクロには、最大 5 つの範囲を含めることができます。

1 つの範囲内ではすべてのインターフェイスが同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN(仮想 LAN)のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイス タイプを組み合わせることができます。

interface-range を入力する場合は、次のフォーマットを使用します。

type { first-interface } - { last-interface }

interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gigabitethernet 1/0/1 - 2 ならば範囲は指定されますが、 gigabit ethernet 1/0/1 -2 では指定されません。

type および interface の有効値は次のとおりです。

vlan vlan-id (VLAN ID の範囲は 1 ~ 4094)


) コマンドライン インターフェイスには複数のVLAN ID を設定するオプションがありますが、サポートされていません。


VLAN インターフェイスは、 interface vlan コマンドで設定してください( show running-config 特権 EXEC コマンドは、設定された VLAN インターフェイスを表示します)。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-ranges では使用できません。

port-channel port-channel-number port-channel-number は 1 ~ 6)

fastethernet stack member/module/{ first port } - { last port }

gigabitethernet stack member/module/{ first port } - { last port }

物理インターフェイスの場合は、次のとおりです。

stack member は、スタック内のスイッチ識別に使用する番号です。番号に指定できる範囲は 1 ~ 9 で、スタック メンバーの最初の初期化の際に、スイッチに割り当てられます。

モジュールは常に 0 です。

使用可能範囲は、type stack member /0/number - number です(例:gigabitethernet 1/0/1 - 2)。

範囲を定義するときは、ハイフン(-)の前にスペースが必要です。例:

gigabitethernet1/0/1 - 2

複数の範囲を入力することもできます。複数の範囲を定義するときは、最初のエントリとカンマ(,)の間にスペースが必要です。カンマの後ろのスペースは任意です。例:

fastethernet1/0/3, gigabitethernet 1/0/1 - 2

fastethernet1/0/3 -4, gigabitethernet 1/0/1 - 2

次の例では、複数のインターフェイス マクロを作成する方法を示します。

Switch(config)# define interface-range macro1 fastethernet1/0/1 - 2, gigabitethernet1/0/1 - 2

 
関連コマンド

コマンド
説明

interface range

複数のポートで同時にコマンドを実行します。

show running-config

定義されたマクロを含む現在の動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

delete

フラッシュ メモリ デバイス上のファイルまたはディレクトリを削除するには、 delete 特権 EXEC コマンドを使用します。

delete [ /force ] [/ recursive ] filesystem :/ file-url

 
シンタックスの説明

/force

(任意)削除を確認するプロンプトを抑制します。

/recursive

(任意)指定されたディレクトリ、そのディレクトリに含まれるすべてのサブディレクトリ、およびファイルを削除します。

filesystem :

フラッシュ ファイル システムのエイリアスです。

スタック メンバーまたはマスターのスタック上のローカル フラッシュ ファイル システムの構文:
flash:

スタック マスターから、スタック メンバー上のローカル フラッシュ ファイル システムの構文:
flash member number :

/ file-url

削除するパス(ディレクトリ)およびファイル名です。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

/force キーワードを使用すると、削除プロセスの最初に 1 回だけ削除の確認を要求するプロンプトが表示されます。

/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。

プロンプト動作は、 file prompt グローバル コンフィギュレーション コマンドの設定によって異なります。デフォルトでは、スイッチは、破壊的ファイル操作に関する確認をプロンプトで要求します。このコマンドの詳細については、『 Cisco IOS Command Reference Release 12.1 』を参照してください。

次の例では、新しいイメージが正常にダウンロードされたあとに、古いソフトウェア イメージを含むディレクトリを削除する方法を示します。

Switch# delete /force /recursive flash:/old-image
 

dir filesystem : 特権 EXEC コマンドを入力すると、ディレクトリが削除されたかどうかを確認することができます。

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチへダウンロードし、既存のイメージを上書きまたは保持します。

deny (MAC access-list configuration)

条件が一致した場合に、非 IP トラフィックの転送を回避するには、 deny MAC(メディア アクセス制御)アクセスリスト コンフィギュレーション コマンドを使用します。拒否条件を名前付き MAC アクセス リストから削除する場合は、このコマンドの no 形式を使用します。

{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

 
シンタックスの説明

any

あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワードです。

host src MAC-addr |
src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr |
dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの Ethertype 番号と、Ethernet II または SNAP カプセル化を使用して、パケットのプロトコルを識別します。

type には、0 ~ 65535 の 16 進数を指定できます。

mask は、マッチングを行う前に Ethertype に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。

amber

(任意)EtherType DEC-Amber を選択します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までの Class of Service(CoS;サービス クラス)値を選択します。CoS に基づくフィルタリングは、ハードウェアだけで実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニング ツリーを選択します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを選択します。

diagnostic

(任意)EtherType DEC-Diagnostic を選択します。

dsm

(任意)EtherType DEC-DSM を選択します。

etype-6000

(任意)EtherType 0x6000 を選択します。

etype-8042

(任意)EtherType 0x8042 を選択します。

lat

(任意)EtherType DEC-LAT を選択します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を選択します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを識別します。

mask は、マッチングを行う前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を選択します。

mop-dump

(任意)EtherType DEC-MOP Dump を選択します。

msdos

(任意)EtherType DEC-MSDOS を選択します。

mumps

(任意)EtherType DEC-MUMPS を選択します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を選択します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)を選択します。

vines-ip

(任意)EtherType VINES IP を選択します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を選択します。


appletalk は、コマンドラインのヘルプ ストリングには表示されていますが、一致条件としてはサポートされていません。


IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 表 2-4 に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。

 

表 2-4 IPX フィルタ基準

IPX カプセル化タイプ
フィルタ基準
Cisco IOS 名
Novel 名

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

 
デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

 
コマンド モード

MAC アクセス リスト コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

mac access-list extended グローバル コンフィギュレーション コマンドを使用して、MAC アクセス リスト コンフィギュレーション モードを開始します。

host キーワードを使用した場合、アドレス マスクは入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

Access Control Entry(ACE; アクセス制御エントリ)がアクセス制御リストに追加された場合、リストの最後には暗黙の deny - any - any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

名前付き MAC 拡張アクセス リストの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。

Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
 

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。

Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
 

次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。

Switch(config-ext-macl)# deny any any 0x4321 0
 

show access-lists 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

permit (MAC access-list configuration)

条件が一致した場合に非 IP トラフィックが転送されるのを許可します。

show access-lists

スイッチに設定された ACL を表示します。

dot1x

IEEE 802.1x 認証をグローバルにイネーブルにするには、 dot1x グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x { critical { eapol | recovery delay milliseconds } | { guest-vlan supplicant } | system-auth-control }

no dot1x { critical { eapol | recovery delay } | { guest-vlan supplicant } | system-auth-control }


credentials name キーワードは、コマンドラインのヘルプ ストリングには表示されますが、サポートされていません。


 
シンタックスの説明

critical { eapol | recovery delay milliseconds }

アクセス不能な認証バイパス パラメータを設定します。詳細については、 dot1x critical (global configuration) コマンドを参照してください。

guest-vlan supplicant

オプションのゲスト VLAN の動作をスイッチでグローバルにイネーブルにします。

system-auth-control

スイッチで IEEE 802.1x 認証をグローバルにイネーブルにします。

 
デフォルト

IEEE 802.1x 認証はディセーブルです。また、オプションのゲスト VLAN の動作もディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

IEEE 802.1x 認証をグローバルにイネーブルにする前に、Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)をイネーブルにし、認証方式リストを指定する必要があります。方式リストは、ユーザの認証に使用する、順序と認証方式を記述したものです。

スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする前に、IEEE 802.1x 認証および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除します。

EAP-Transparent LAN Service(TLS)および EAP-MD5 で IEEE 802.1x を認証する Cisco Access Control Server(ACS)アプリケーションが稼動する装置を使用している場合、装置が ACS バージョン 3.2.1 以降で稼動していることを確認します。

guest-vlan supplicant キーワードを使用すると、オプションの IEEE 802.1x ゲスト VLAN の動作をスイッチでグローバルにイネーブルにできます。詳細については、 dot1x guest-vlan コマンドを参照してください。

次の例では、スイッチで IEEE 802.1x 認証をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
 

次の例では、オプションのゲスト VLAN 動作をスイッチでグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x guest-vlan supplicant
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x critical (global configuration)

スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。

dot1x guest-vlan

アクティブ VLAN をイネーブルにし、IEEE 802.1x ゲスト VLAN として指定します。

dot1x port-control

ポートの許可ステートの手動制御をイネーブルにします。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x auth-fail max-attempts

ポートが制限 VLAN に移行するまでに許容可能な最大認証試行回数を設定するには、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

dot1x auth-fail max-attempts max-attempts

no dot1x auth-fail max-attempts

 
シンタックスの説明

max-attempts

ポートが制限 VLAN に移行するまでに許容される最大の認証試行回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルト値は 3 です。

 
デフォルト

デフォルト値は 3 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN で許容される最大の認証試行回数を再設定する場合、変更内容は再認証タイマーが期限切れになったあとで反映されます。

次の例では、ポート 3 の制限 VLAN にポートが移行する前に許容される最大の認証試行回数を 2 に設定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# dot1x auth-fail max-attempts 2
Switch(config-if)# end
Switch(config)# end
Switch#
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x auth-fail vlan [ vlan id]

オプションの制限 VLAN の機能をイネーブルにします。

dot1x max-reauth-req [ count]

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する最大回数を設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x auth-fail vlan

ポートで制限 VLAN をイネーブルにするには、 dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

dot1x auth-fail vlan vlan-id

no dot1x auth-fail v lan

 
シンタックスの説明

vlan-id

VLAN を 1 ~ 4094 の範囲で指定します。

 
デフォルト

制限 VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

次のように設定されたポートで制限 VLAN を設定できます。

シングルホスト(デフォルト)モード

認証用 auto モード

再認証をイネーブルにする必要があります。これがディセーブルになっていると、制限 VLAN のポートは再認証要求を受け取りません。再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブを介して接続されている場合、ホストが切断されているとポートがリンクダウン イベントを受け取ることがなく、その結果、次の再認証試行が行われるまで新しいホストが検出されないことがあります。

サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP 認証成功 メッセージがサプリカントに送信されます。サプリカントには実際の認証失敗が通知されないため、この制限ネットワーク アクセスに混乱が生じることがあります。EAP の成功メッセージは、次の理由で送信されます。

EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。

一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで DHCP を実行できません。

サプリカントは、認証から EAP 成功メッセージを受け取ったあとに不正なユーザ名とパスワードの組み合わせをキャッシュし、再認証のたびにその情報を使用する可能性があります。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN のままになります。

レイヤ 3 ポートに使用する内部 VLAN は、制限 VLAN として設定できません。

VLAN を制限 VLAN と音声 VLAN の両方に設定できません。そのように設定すると、syslog メッセージが生成されます。

制限 VLAN ポートが無許可ステートに移行すると、認証プロセスが再起動されます。サプリカントが再度認証プロセスに失敗すると、認証は保持ステートで待機します。サプリカントが正常に再認証されたあと、すべての IEEE 802.1x ポートが再初期化され、通常の IEEE 802.1x ポートとして扱われます。

制限 VLAN を異なる VLAN として再設定すると、制限 VLAN のポートも移行し、そのポートは現在認証されたステートのままになります。

制限 VLAN をシャットダウンするか VLAN データベースから削除すると、制限 VLAN のポートはただちに無許可ステートに移行し、認証プロセスが再起動します。制限 VLAN 設定がまだ存在するため、認証は保持ステートで待機しません。制限 VLAN が非アクティブである間も、制限 VLAN がアクティブになったときにポートがただちに制限 VLAN になるように、すべての認証試行がカウントされます。

制限 VLAN は、シングルホスト モード(デフォルトのポート モード)だけでサポートされます。そのため、ポートが制限 VLAN になると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加され、ポートに表示される他の MAC アドレスは、セキュリティ違反として扱われます。

次の例では、ポート 1 で制限 VLAN を設定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# dot1x auth-fail vlan 40
Switch(config-if)# end
Switch#
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x auth-fail max-attempts [ max-attempts]

サプリカントを制限 VLAN に割り当てる前に、試行可能な認証回数を設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x control-direction

Wake-on-LAN(WoL)機能を搭載したIEEE 802.1x 認証をイネーブルにし、ポート制御を単一方向または双方向に設定するには、 dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x control-direction { both | in }

no dot1x control-direction

 
シンタックスの説明

both

ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。

in

ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。

 
デフォルト

ポートは双方向モードに設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

デフォルト設定の双方向モードに戻すには、このコマンドの both キーワードまたは no 形式を使用します。

WoL の詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with Wake-on-LAN」を参照してください。

次の例では、単一方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction in
 

次の例では、双方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction both
 

show dot1x all 特権 EXEC コマンドを入力すると、設定を確認することができます。

show dot1x all 特権 EXEC コマンド出力は、ポート名とポートのステートを除き、すべてのスイッチで同一です。ホストがポートに接続されていてまだ認証されていない場合、次のように表示されます。

Supplicant MAC 0002.b39a.9275
AuthSM State = CONNECTING
BendSM State = IDLE
PortStatus = UNAUTHORIZED
 

dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力して単一方向制御をイネーブルにする場合、これが show dot1x all コマンド出力で次のように表示されます。

ControlDirection = In
 

dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力しても、設定の競合によりポートでこのモードをサポートできない場合、 show dot1x all コマンド出力で次のように表示されます。

ControlDirection = In (Disabled due to port settings)

 
関連コマンド

コマンド
説明

show dot1x [ all | interface interface-id ]

指定したインターフェイスに対する制御方向のポート設定ステータスを表示します。

 

dot1x critical (global configuration)

アクセス不能な認証バイパス機能のパラメータ(クリティカル認証または AAA 失敗ポリシーとも言う)を設定するには、 dot1x critical グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

dot1x critical { eapol | recovery delay milliseconds }

no dot1x critical { eapol | recovery delay }

 
シンタックスの説明

eapol

スイッチによりクリティカルなポートが critical-authentication ステートに置かれた場合、EAPOL-Success メッセージを送信するようスイッチを指定します。

recovery delay milliseconds

リカバリ遅延期間(ミリ秒)を指定します。指定できる範囲は 1 ~ 10000 です。

 
デフォルト

クリティカルなポートを critical-authentication ステートに置くことでスイッチが認証に成功した場合、スイッチは EAPOL-Success メッセージをホストに送信しません。

リカバリ遅延期間は、1000 ミリ秒(1 秒)です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

クリティカルなポートが critical-authentication ステートに置かれた場合、スイッチが EAPOL-Success メッセージを送信するよう指定するには、 eapol キーワードを使用します。

使用不能な RADIUS サーバが使用可能になった場合にスイッチがクリティカルなポートを再初期化するために待機するリカバリ遅延期間を設定するには、 recovery delay milliseconds キーワードを使用します。デフォルトのリカバリ遅延期間は 1000 ミリ秒です。ポートは、秒単位で再初期化できます。

アクセス不能な認証バイパスをポート上でイネーブルにするには、 dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。スイッチがクリティカルなポートに割り当てるアクセス VLAN を設定するには、 dot1x critical vlan vlan-id インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、リカバリ遅延期間として 200 をスイッチに設定する方法を示します。

Switch# dot1x critical recovery delay 200
 

show dot1x 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x critical (interface configuration)

アクセス不能な認証バイパス機能をイネーブルにし、この機能にアクセス VLAN を設定します。

show dot1x

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x critical (interface configuration)

アクセス不能な認証バイパス機能のパラメータ(クリティカル認証または AAA 失敗ポリシーとも言う)をイネーブルにするには、 dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。ポートが critical-authentication ステートに置かれた場合にスイッチがクリティカルなポートに割り当てるアクセス VLAN を設定することもできます。この機能をディセーブルにするか、またはデフォルトに戻すには、このコマンドの no 形式を使用します。

dot1x critical [ recovery action reinitialize | vlan vlan-id ]

no dot1x critical [ recovery | vlan ]

 
シンタックスの説明

recovery action reinitialize

アクセス不能な認証バイパスのリカバリ機能をイネーブルにし、認証サーバが使用可能になった場合にリカバリ アクションによりポートを認証するよう指定します。

vlan vlan-id

スイッチがクリティカルなポートに割り当てることのできるアクセス VLAN を指定します。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

アクセス不能認証バイパス機能はディセーブルです。

リカバリ アクションは設定されていません。

アクセス VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ポートが critical-authentication ステートに置かれた場合にスイッチがクリティカルなポートに割り当てるアクセス VLAN を指定するには、 vlan vlan-id キーワードを使用します。指定された VLAN タイプは、以下のポート タイプに適合している必要があります。

クリティカルなポートがアクセス ポートの場合、VLAN はアクセス VLAN でなければなりません。

クリティカルなポートがプライベート VLAN のホスト ポートである場合、VLAN はセカンダリ プライベート VLAN でなければなりません。

クリティカルなポートがルーテッド ポートの場合、VLAN を指定できます(指定は任意)。

クライアントで Windows XP を稼動し、クライアントが接続されているクリティカル ポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことを報告します。

Windows XP クライアントで DHCP が設定され、DHCP サーバからのIPアドレスがある場合、クリティカル ポートで EAP 認証成功メッセージを受信しても DHCP 設定プロセスを再初期化しません。

アクセス不能認証バイパス機能および制限 VLAN を IEEE 802.1x ポート上に設定できます。スイッチが制限付き VLAN でクリティカル ポートの再認証を試行し、RADIUS サーバがすべて使用できない場合、ポートの状態はクリティカル認証ステートに移行し、ポートは制限付き VLAN のままとなります。

アクセス不能認証バイパス機能とポート セキュリティは、同じスイッチ ポートに設定できます。

次の例では、アクセス不能認証バイパス機能をポート 21 上でイネーブルにする方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/0/21
Switch(config-if)# dot1x critical
Switch(config-if)# end
Switch(config)# end
Switch#
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x critical (global configuration)

スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x default

IEEE(米国電気電子学会)802.1x パラメータをデフォルト値にリセットするには、 dot1x default インターフェイス コンフィギュレーション コマンドを使用します。

dot1x default

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値は次のとおりです。

ポート単位の IEEE 802.1x プロトコルのイネーブル ステートはディセーブルです(force-authorized)。

再認証試行の間隔(秒数)は、3600 秒です。

定期的な再認証はディセーブルです。

待機期間は 60 秒です。

再送信時間は 30 秒間です。

最大再送信回数は、2 回です。

ホスト モードは、シングル ホストです。

クライアント タイムアウト時間は、30 秒間です。

認証サーバ タイムアウト時間は、30 秒間です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

次の例では、ポート上の IEEE 802.1x パラメータをリセットする方法を示します。

Switch(config-if)# dot1x default
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x fallback

IEEE 802.1x 認証をサポートしていないクライアントのフォールバック認証方式として Web 認証を使用するようにポートを設定するには、 dot1xfallback インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

dot1x fallback profile

no dot1x fallback

 
シンタックスの説明

profile

IEEE 802.1x 認証をサポートしていないクライアントのフォールバック プロファイルを指定します。

 
デフォルト

イネーブルのフォールバックはありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力する前に、スイッチ ポートで dot1x port-control 自動インターフェイス コンフィギュレーション コマンドを入力する必要があります。

次の例では、IEEE 802.1x 認証用に設定されているスイッチ ポートに対して、フォールバック プロファイルを指定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# dot1x fallback profile1
Switch(config-fallback-profile)# exit
Switch(config)# end
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

fallback profile

Web 認証フォールバック プロファイルを作成します。

ip admission

Web 認証をポートでイネーブルにします。

ip admission name proxy http

Web 認証をスイッチでグローバルにイネーブルにします。

dot1x guest-vlan

アクティブな VLAN(仮想 LAN)を IEEE 802.1x のゲスト VLAN として指定するには、 dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x guest-vlan vlan-id

no dot1x guest-vlan

 
シンタックスの説明

vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

ゲスト VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

次のいずれかのスイッチポートにゲスト VLAN を設定できます。

非プライベート VLAN に属するスタティックアクセス ポート

セカンダリ プライベート VLAN に属するプライベート VLAN ポート。スイッチ ポートに接続されるすべてのホストは、端末状態の妥当性の評価に成功したかどうかにかかわらず、プライベート VLAN に割り当てられます。スイッチが、スイッチのプライマリおよびセカンダリ VLAN の対応付けを使用してプライマリ プライベート VLAN を判別します。

スイッチの IEEE 802.1x ポートごとにゲスト VLAN を設定して、現在 IEEE 802.1x 認証を実行していないクライアント(スイッチに接続されているデバイスまたはワークステーション)へのサービスを制限することができます。こうしたユーザは IEEE 802.1x 認証のためにシステムをアップグレードすることができますが、Windows 98 システムなどのホストでは IEEE 802.1x に対応できません。

IEEE 802.1x ポートでゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN(EAPOL)Request/Identity フレームに対する応答を受信しないと、あるいは EAPOL パケットがクライアントから送信されないと、スイッチではクライアントをゲスト VLAN に割り当てます。

スイッチは、EAPOL パケット履歴を保持します。リンクの存続中にインターフェイスで別の EAPOL パケットが検出されると、ゲスト VLAN の機能がディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。リンクが切れると、EAPOL 履歴はリセットされます。

スイッチ ポートがゲスト VLAN に移行すると、IEEE 802.1x 非対応クライアントはいくつでもアクセスが許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN を設定しているポートと同じポートに加入すると、ポートはRADIUS 設定 VLAN またはユーザ設定アクセス VLAN では無許可ステートに移行し、認証が再開されます。

ゲスト VLAN は、シングルホスト モードとマルチホスト モードの IEEE 802.1x ポートでサポートされます。

Remote Switched Port Analyzer(RSPAN; リモート スイッチド ポート アナライザ)VLAN または音声 VLAN 以外のアクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、トランク ポート上ではサポートされません。サポートされるのはアクセス ポートだけです。

Dynamic Host Configuration Protocol(DHCP)クライアントが接続されている IEEE 802.1x ポートのゲスト VLAN を設定したあと、DHCP サーバからホスト IP アドレスを取得する必要があります。クライアント上の DHCP プロセスが時間切れとなり DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチ上の IEEE 802.1x 認証プロセスを再起動する設定を変更できます。IEEE 802.1x 認証プロセスの設定を減らします( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)。設定の減少量は、接続された IEEE 802.1x クライアントのタイプによって異なります。

Cisco IOS Release 12.2(25)SEE 以降では、スイッチは MAC 認証バイパス をサポートします。IEEE 802.1x ポートでイネーブルの場合、スイッチは、EAPOL メッセージ交換を待機している間に IEEE 802.1x 認証が期限切れになると、クライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出したあとで、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。認証が成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。認証が失敗すると、スイッチはポートにゲスト VLAN を割り当てます(指定されていない場合)。詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」を参照してください。

次の例では、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する方法を示します。

Switch(config-if)# dot1x guest-vlan 5
 

次の例では、スイッチの待機時間を 3 秒に設定し、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を 15 に設定する方法、および IEEE 802.1x ポートが DHCP クライアントに接続されているときに VLAN 2を IEEE 802.1x ゲスト VLAN としてイネーブルにする方法を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
 

次の例では、オプションのゲスト VLAN の動作をイネーブルにし、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する方法を示します。

Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# dot1x guest-vlan 5
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x

オプションのゲスト VLAN のサプリカント機能をイネーブルにします。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x host-mode

IEEE 802.1x 許可ポート上で、単一のホスト(クライアント)または複数のホストに設定するには、 dot1x host-mode インターフェイス コンフィギュレーション コマンドを使用します。IEEE 802.1x 許可ポート上でマルチドメイン認証(MDA)をイネーブルにするには、multi-domain キーワードを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x host-mode { multi-host | single-host | multi-domain }

no dot1x host-mode [ multi-host | single-host | multi-domain }

 
シンタックスの説明

multi-host

スイッチのマルチホスト モードをイネーブルにします。

single-host

スイッチのシングルホスト モードをイネーブルにします。

multi-domain

スイッチ ポートで MDA をイネーブルにします。

 
デフォルト

デフォルトは、シングルホスト モードです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、IEEE 802.1x 対応ポートを単一のクライアントに限定したり、複数のクライアントを IEEE 802.1x 対応ポートに接続したりできます。マルチホスト モードでは、接続されたホストのうち 1 つが許可されれば、すべてのホストのネットワーク アクセスが許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または Extensible Authentication Protocol over LAN[EAPOL]-logoff メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。

ポートで MDA をイネーブルにするには、multi-domain キーワードを使用します。MDA では、ポートがデータ ドメインと音声ドメインの両方に振り分けられます。また、MDA では、同じ IEEE 802.1x 対応ポート上で、データ デバイスと IP Phone(Cisco または Cisco 以外)などの音声デバイスの両方が許可されます。

このコマンドを入力する前に、指定のポートで dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

次の例では、IEEE 802.1x 認証をグローバルにイネーブルにし、ポートの IEEE 802.1x 認証をイネーブルにし、マルチホスト モードをイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
 

次の例では、IEEE 802.1x 認証をグローバルにイネーブルにする方法と、指定したポートで IEEE 802.1x 認証および MDA をイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-domain
 

show dot1x [ interface interface-id] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x initialize

ポート上で新しく認証セッションを初期化する前に、指定の IEEE 802.1x 対応ポートを、手動で無許可ステートに戻すには、 dot1x initialize 特権 EXEC コマンドを使用します。

dot1x initialize [ interface interface-id ]

 
シンタックスの説明

interface interface-id

(任意)ポートを初期化します。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IEEE 802.1x ステート マシンを初期化し、新たな認証環境を設定します。このコマンドを入力すると、ポート ステータスは無許可になります。

このコマンドには、 no 形式はありません。

次の例では、ポートを手動で初期化する方法を示します。

Switch# dot1x initialize interface gigabitethernet2/0/22
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、ポート ステータスが無許可になっていることを確認できます。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x mac-auth-bypass

MAC 認証バイパス機能をイネーブルにするには、 dot1x mac-auth-bypass インターフェイス コンフィギュレーション コマンドを使用します。MAC 認証バイパス機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

dot1x mac-auth-bypass [ eap | timeout inactivity value ]

no dot1x mac-auth-bypass

 
シンタックスの説明

eap

(任意)認証に Extensible Authentication Protocol(EAP)を使用するようスイッチを設定します。

timeout inactivity value

(任意)接続されているホストが非アクティブの場合に、無許可ステートに移行するまでの秒数を設定します。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

MAC 認証バイパスはディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

特に言及されないかぎり、MAC 認証バイパス機能の使用上のガイドラインは IEEE 802.1x 認証の使用上のガイドラインと同じです。

ポートが MAC アドレスで認証されたあとで、ポートから MAC 認証バイパス機能をディセーブルにした場合、ポート ステートには影響ありません。

ポートが未許可ステートであり、クライアント MAC アドレスが認証サーバ データベースにない場合、ポートは未許可ステートのままです。ただし、クライアント MAC アドレスがデータベースに追加されると、スイッチは MAC 認証バイパス機能を使用してポートを再認証できます。

ポートが認証ステートにない場合、再認証が行われるまでポートはこのステートを維持します。

リンクのライフタイム中に EAPOL パケットがインターフェイス上で検出された場合、スイッチは、そのインターフェイスに接続されているデバイスが IEEE 802.1x 対応サプリカントであることを確認し、(MAC 認証バイパス機能ではなく)IEEE 802.1x 認証を使用してインターフェイスを認証します。

MAC 認証バイパスで認証されたクライアントは再認証することができます。

MAC 認証バイパスおよび IEEE 802.lx 認証の相互作用の詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Understanding IEEE 802.1x Authentication with MAC Authentication Bypass」および「IEEE 802.1x Authentication Configuration Guidelines」を参照してください。

次の例では、MAC 認証バイパスをイネーブルにし、認証に EAP を使用するようスイッチを設定する方法を示します。

Switch(config-if)# dot1x mac-auth-bypass eap
 

次の例では、MAC 認証バイパスをイネーブルにし、接続されているホストが 30 秒間非アクティブの場合はタイムアウトになるように設定する方法を示します。

Switch(config-if)# dot1x mac-auth-bypass timeout inactivity 30
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x max-reauth-req

ポートが無許可ステートに変わるまでに、スイッチが認証プロセスを再始動する上限回数を設定するには、 dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max -reauth -req count

no dot1x max -reauth -req

 
シンタックスの説明

count

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数です。指定できる範囲は 0 ~ 10 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値を変更するのは、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限ってください。

次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数を 4 に設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが認証プロセスを再起動する前に、EAP フレーム(応答を受信しないと仮定して)を認証サーバに送信する最高回数を設定します。

dot1x timeout tx-period

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x max-req

スイッチが認証プロセスを再始動する前に、Extensible Authentication Protocol(EAP)フレームを認証サーバからクライアントに送信する最大回数を設定するには(応答を受信しないことが前提)、 dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max-req count

no dot1x max-req

 
シンタックスの説明

count

スイッチが、認証プロセスを再起動する前に、認証サーバから EAP フレームを再送信する回数です。指定できる範囲は 1 ~ 10 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値を変更するのは、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限ってください。

次の例では、認証プロセスを再起動する前に、スイッチが EAP フレームを認証サーバからクライアントに送信する回数を 5 回に設定する方法を示します。

Switch(config-if)# dot1x max-req 5
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x timeout tx-period

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x pae

IEEE 802.1x Port Access Entity(PAE)オーセンティケータとしてポートを設定するには、 dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。IEEE 802.1x 認証をポート上でディセーブルにする場合は、このコマンドの no 形式を使用します。

dot1x pae authenticator

no dot1x pae

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ポートは IEEE 802.1x PAE オーセンティケータではありません。IEEE 802.1x 認証はポート上でディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

IEEE 802.1x 認証をポート上でディセーブルにする場合は、このコマンドの no dot1x pae 形式を使用します。

dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。オーセンティケータの PAE 動作は、 no dot1x pae インターフェイス コンフィギュレーション コマンドを入力したあとでディセーブルになります。

次の例では、ポートの IEEE 802.1x 認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x pae
 

show dot1x または show eap 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

show eap

スイッチまたは特定のポートの EAP のレジストレーション情報およびセッション情報を表示します。

 

dot1x port-control

ポートの許可ステートを手動で制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x port-control { auto | force-authorized | force-unauthorized }

no dot1x port-control

 
シンタックスの説明

auto

ポートで IEEE 802.1x 認証をイネーブルにし、スイッチおよびクライアント間の IEEE 802.1x 認証交換に基づきポートを許可または無許可ステートに変更します。

force-authorized

ポートで IEEE 802.1x 認証をディセーブルにすれば、認証情報の交換をせずに、ポートを許可ステートに移行します。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

force-unauthorized

クライアントからの認証の試みをすべて無視し、ポートを強制的に無許可ステートに変更することにより、このポート経由のすべてのアクセスを拒否します。スイッチはポートを介してクライアントに認証サービスを提供することができません。

 
デフォルト

デフォルトは、force-authorized です。

 
コマンド モード

インターフェイス コンフィギュレーション。

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

特定のポートの IEEE 802.1x 認証をイネーブルにする前に、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用して、スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする必要があります。

IEEE 802.1x 規格は、レイヤ 2 スタティック アクセス ポートと音声 VLAN ポートでサポートされます。

ポートが、次の項目の 1 つとして設定されていない場合に auto キーワードを使用することができます。

トランク ポート - トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート - ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート - ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート - アクティブまたはアクティブでない EtherChannel メンバーを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN; リモート SPAN)宛先ポート - SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにすることができます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにすることができます。

スイッチの IEEE 802.1x 認証をグローバルにディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポートの IEEE 802.1x 認証をディセーブルにする、またはデフォルトの設定に戻すには、 no dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポートの IEEE 802.1x 認証をイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet2/0/21
Switch(config-if)# dot1x port-control auto
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x re-authenticate

指定の IEEE(米国電気電子学会)802.1x 対応ポートの再認証を手動で開始するには、 dot1x re-authenticate 特権 EXEC コマンドを使用します。

dot1x re-authenticate [ interface interface-id ]

 
シンタックスの説明

interface interface-id

(任意)再認証するスタックのスイッチ番号、モジュール、インターフェイスのポート番号。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、再認証試行間隔(re-authperiod)および自動再認証の設定秒数を待たずにクライアントを再認証することができます。

次の例では、ポートに接続された装置を手動で再認証する方法を示します。

Switch# dot1x re-authenticate interface gigabitethernet2/0/21

 
関連コマンド

コマンド
説明

dot1x reauthentication

クライアントの定期的再認証をイネーブルにします。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

dot1x reauthentication

定期的なクライアントの再認証をイネーブルにするには、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x reauthentication

no dot1x reauthentication

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

定期的な再認証はディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用して、定期的再認証の試行間隔の時間を設定します。

次の例では、クライアントの定期的な再認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x reauthentication
 

次の例では、定期的再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x re-authenticate

すべての IEEE 802.1x 対応ポートの再認証を手動で初期化します。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x test eapol-capable

すべてのスイッチ ポートでの IEEE 802.1x アクティビティをモニタし、IEEE 802.1x をサポートするポートに接続されているデバイスの情報を表示するには、 dot1x test eapol-capable 特権 EXEC コマンドを使用します。

dot1x test eapol-capable [ interface interface-id ]

 
シンタックスの説明

interface interface-id

(任意)クエリーするポート。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用して、スイッチ上のすべてのポートまたは特定のポートに接続されているデバイスの IEEE 802.1x 機能をテストします。

このコマンドには、 no 形式はありません。

次の例では、スイッチでの IEEE 802.1x への対応のチェックをイネーブルにして、ポートをクエリーする方法を示します。また、クエリーされたポートから受け取った応答を示し、そのポートに接続されているデバイスが IEEE 802.1x 対応かどうか確認します。

switch# dot1x test eapol-capable interface gigabitethernet1/0/13
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable
 

 
関連コマンド

コマンド
説明

dot1x test timeout timeout

IEEE 802.1x への対応を確認するクエリーに対する EAPOL 応答の待機に使用するタイムアウトを設定します。

dot1x test timeout

IEEE 802.1x への対応を確認するためにクエリーされているポートからの EAPOL 応答の待機に使用するタイムアウトを設定するには、 dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。

dot1x test timeout timeout

 
シンタックスの説明

timeout

EAPOL 応答を待機する時間(秒単位)。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルト設定は 10 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用して、EAPOL 応答の待機に使用するタイムアウトを設定します。

このコマンドには、 no 形式はありません。

次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。

Switch# dot1x test timeout 27
 

show run 特権 EXEC コマンドを入力すると、タイムアウト設定のステータスを確認することができます。

 
関連コマンド

コマンド
説明

dot1x test eapol-capable [ interface interface-id ]

すべてまたは指定された IEEE 802.1x 対応ポートに接続されているデバイスの IEEE 802.1x への対応を確認します。

dot1x timeout

IEEE 802.1x のタイマーを設定するには、 dot1x timeout インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { quiet-period seconds | ratelimit-period seconds | reauth-period { seconds | server } | server-timeout seconds | supp-timeout seconds | tx-period seconds }

no dot1x timeout { quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

 
シンタックスの説明

quiet- period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数。指定できる範囲は 1 ~ 65535 です。

ratelimit- period seconds

この期間中に認証に成功したクライアントからの Extensible Authentication Protocol over LAN(EAPOL)パケットをスイッチが無視した秒数 指定できる範囲は 1 ~ 65535 です。

reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds - 1 ~ 65535 の範囲で秒数を指定します 。デフォルトは 3600 秒です。

server - セッションタイムアウト RADIUS 属性(属性 [27])の値として秒数を設定します。

server-timeout seconds

スイッチが認証サーバへパケットを再送信する前に待機する秒数。指定できる範囲は 30 ~ 65535 です。

supp-timeout seconds

スイッチが IEEE 802.1x クライアントへパケットを再送信する前に待機する秒数。指定できる範囲は 30 ~ 65535 です。

tx- period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルト設定は次のとおりです。

reauth-period は、3600 秒です。

quiet-period は、60 秒です。

tx-period は、5 秒です。

supp-timeout は、30 秒です。

server-timeout は、30 秒です。

rate-limit は、1 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値を変更するのは、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限ってください。

dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドで定期的な再認証をイネーブルにした場合だけにスイッチの動作に影響を与えます。

待機時間の間、スイッチはどのような認証要求も受け付けず起動しません。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
 

次の例では、定期的な再認証をイネーブルにし、再認証の間隔としてセッションタイムアウト RADIUS 属性の値を指定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server
 

次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout quiet-period 30
 

次の例では、スイッチと認証サーバ間の再送信時間を 45 秒に設定する方法を示します。

Switch(config)# dot1x timeout server-timeout 45
 

次の例では、EAP Request フレームのスイッチとクライアント間の再送信時間を 45 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout supp-timeout 45
 

次の例では、EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout tx-period 60
 

次の例では、認証に成功したクライアントからの EAPOL パケットをスイッチが無視する秒数を 30 と設定する方法を示します。

Switch(config-if)# dot1x timeout ratelimit-period 30
 

show dot1x 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが、認証プロセスを再起動する前に、EAP-Request/Identity フレームを送信する最高回数を設定します。

dot1x reauthentication

クライアントの定期的再認証をイネーブルにします。

show dot1x

すべてのポートの IEEE 802.1x ステータスを表示します。

dot1x violation-mode

新しいデバイスをポートに接続する場合、または最大デバイス数に到達しているポートに新しいデバイスを接続する場合に発生する違反モードを設定するには、 dot1x violation-mode インターフェイス コンフィギュレーション コマンドを使用します。

dot1x violation-mode {shutdown | restrict | protect}

no dot1x violation-mode

 
シンタックスの説明

shutdown

予期しない新しい MAC アドレスが検出されたポートまたは仮想ポートを errdisable にします。

restrict

違反エラーが発生した場合に、syslog エラーを生成します。

protect

新しい MAC アドレスからのパケットをサイレントで破棄します。これは、デフォルト設定です。

 
デフォルト

デフォルトでは、dot1x violation-mode protect がイネーブルになっています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

次の例では、IEEE 802.1x 対応ポートを errdisable に設定し、そのポートに新しいデバイスが接続された場合にシャットダウンする方法を示します。

Switch(config-if)# dot1x violation-mode shutdown
 

次の例では、システム エラー メッセージを生成し、ポートに新しいデバイスが接続された場合に、そのポートを制限モードに変更するように IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# dot1x violation-mode restrict
 

次の例では、新しいデバイスがポートに接続された場合に、そのデバイスを無視するように IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# dot1x violation-mode protect
 

show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

duplex

ポートの動作のデュプレックス モードを指定するには、 duplex インターフェイス コンフィギュレーション コマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。

duplex { auto | full | half }

no duplex

 
シンタックスの説明

auto

自動デュプレックス設定をイネーブルにします。ポートは、接続する装置のモードに応じて、全二重または半二重のどちらのモードで稼動する必要があるかを自動的に検出します。

full

全二重モードをイネーブルにします。

half

半二重モードをイネーブルにします(10 または 100 Mb/s で動作するインターフェイス用だけ)。1000 または 10000 Mb/s で動作するインターフェイスに対して半二重モードを設定できません。

 
デフォルト

ファスト イーサネット ポートおよびギガビット イーサネット ポートに対するデフォルトは auto です。

100BASE- x (- x は -BX、-FX、-FX-FE、または - LX)SFP モジュールのデフォルトは full です。

二重オプションは、1000BASE- x (- x は -BX、-CWDM、-LX、-SX、または -ZX)SFP モジュールではサポートされていません。

ご使用のスイッチでサポートされている SFP モジュールについては、製品のリリース ノートを参照してください。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ファスト イーサネット ポートでは、接続された装置がデュプレックス パラメータの自動ネゴシエーションを行わない場合にポートを auto に設定すると、 half を指定するのと同じ効果があります。

ギガビット イーサネット ポートでは、接続装置がデュプレックス パラメータを自動ネゴシエートしない場合にポートを auto に設定すると、 full を指定するのと同じ効果があります。


) デュプレックス モードが auto で接続されている装置が半二重で動作している場合、半二重モードはギガビット イーサネット インターフェイスでサポートされます。ただし、これらのインターフェイスを半二重モードで動作するようには設定できません。


特定のポートを全二重または半二重のどちらかに設定することができます。このコマンドの適用可否は、このスイッチが接続されている装置によって異なります。

回線の両方のエンドが自動ネゴシエーションをサポートしている場合は、デフォルトの自動ネゴシエーション設定を使用することを強く推奨します。一方のインターフェイスが自動ネゴシエーションをサポートし、もう一方のエンドがサポートしていない場合は、両方のインターフェイスのデュプレックスと速度を設定します。サポートされる側には、 auto を設定します。

速度が auto に設定されている場合、スイッチはリンクの反対側のデバイスと速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。

速度が auto に設定されている場合、デュプレックス設定を行うことができます。


注意 インターフェイス速度とデュプレックス モードの設定を変更すると、インターフェイスをシャットダウンし、再設定中に再度イネーブルにする場合があります。

スイッチの速度およびデュプレックスのパラメータの設定に関する注意事項は、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring Interface Characteristics」の章を参照してください。

次の例では、インターフェイスを全二重動作に設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# duplex full
 

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

スイッチのインターフェイス設定を表示します。

speed

10/100 または 10/100/1000 Mb/s インターフェイスの速度を設定します。

errdisable detect cause

特定の原因、またはすべての原因に対して、errdisable 検出をイネーブルにするには、 errdisable detect cause グローバル コンフィギュレーション コマンドを使用します。errdisable 検出機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

errdisable detect cause { all | bpduguard | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | link-flap | loopback | pagp-flap | security-violation shutdown vlan | sfp-config-mismatch }

no errdisable detect cause { all | bpduguard | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | link-flap | loopback | pagp-flap | sfp-config-mismatch }

BPDU ガードおよびポート セキュリティ機能では、このコマンドを使用することで、違反が発生した場合にポート全体ではなく、問題のある VLAN だけをポートでシャットダウンするようにグローバルにスイッチを設定できます。

VLAN 単位の errdisable 機能がオフの状態で BPDU ガードの違反が発生すると、ポート全体がディセーブルになります。VLAN 単位の errdisable 機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

errdisable detect cause bpduguard shutdown vlan

no errdisable detect cause bpduguard shutdown vlan

 
シンタックスの説明

all

すべての errdisable 原因の検出をイネーブルにします。

bpduguard shutdown vlan

BPDU ガードに対して VLAN 単位の errdisable をイネーブルにします。

dhcp-rate-limit

DHCP スヌーピング用のエラー検出をイネーブルにします。

dtp-flap

Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)フラッピングのエラー検出をイネーブルにします。

gbic-invalid

無効な GBIC(ギガビット インターフェイス コンバータ)用のエラー検出をイネーブルにします。

(注) スイッチ上では、このエラーは無効な Small Form-factor Pluggable(SFP)モジュールを意味します。

inline-power

インライン パワーのエラー検出をイネーブルにします。

link-flap

リンク ステート フラッピングのエラー検出をイネーブルにします。

loopback

検出されたループバックのエラー検出をイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP; ポート集約プロトコル)フラップの errdisable 原因のエラー検出をイネーブルにします。

security-violation shutdown vlan

音声対応の 802.1x セキュリティをイネーブルにします。

sfp-config-mismatch

SFP 設定ミスマッチについてエラー検出をイネーブルにします。

 
コマンドのデフォルト

検出はすべての原因に対してイネーブルです。VLAN 単位の errdisable を除くすべての原因が ポート全体をシャットダウンするように設定されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

原因(link-flap、 dhcp-rate-limit など)は、errdisable ステートが発生した理由です。原因がポートで検出された場合、そのポートは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。

ポートが errdisable の場合、そのポートは実質的にシャッタダウンされた状態になり、トラフィックの送受信は行われません。BPDU ガード、音声対応 802.1x セキュリティ、およびポート セキュリティ機能では、違反が発生した場合にポート全体ではなく、問題のある VLAN だけをポートでシャットダウンするようにスイッチを設定できます。

原因に対して errdisable recovery グローバル コンフィギュレーション コマンドを入力し、原因の回復メカニズムが設定されている場合は、すべての原因がタイムアウトになった時点で、ポートは errdisable ステートから抜け出し、動作を再試行できます。回復メカニズムが設定されていない場合は、手動でポートを errdisable ステートから変更するために、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力する必要があります。

次の例では、リンクフラップ errdisable 原因の errdisable 検出をイネーブルにする方法を示します。

Switch(config)# errdisable detect cause link-flap
 

次のコマンドでは、VLAN 単位の errdisable に対して BPDU ガードをグローバルに設定する方法を示します。

Switch(config)# errdisable detect cause bpduguard shutdown vlan
 

次のコマンドでは、VLAN 単位の errdisable に対して音声対応の 802.1x セキュリティをグローバルに設定する方法を示します。

Switch(config)# errdisable detect cause security-violation shutdown vlan
 

show errdisable detect 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show errdisable detect

errdisable 検出情報を表示します。

show interfaces status err-disabled

インターフェイスのステータス、または errdisable ステートにあるインターフェイスのリストを表示します。

clear errdisable interface

VLAN 単位の errdisable 機能によって errdisable になっていたポートまたは VLAN から、errdisable ステートをクリアします。

errdisable detect cause small-frame

着信 VLAN タグ付きパケットがスモール フレーム(67 バイト以下)であり、最小設定レート(スレッシュホールド)で到着した場合に、スイッチ ポートを errdisable にするには、errdisable detect cause small-frame グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable detect cause small-frame

no errdisable detect cause small-frame

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能はディセーブルになっています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドにより、スモールフレーム到着機能がグローバルにイネーブルになります。small violation-rate インターフェイス コンフィギュレーション コマンドを使用して、各ポートのスレッシュホールドを設定します。

errdisable recovery cause small-frame グローバル コンフィギュレーション コマンドを使用することで、ポートが自動的に再びイネーブルになるように設定できます。回復時間を設定するには、errdisable recovery interval interval グローバル コンフィギュレーション コマンドを使用します。

次の例では、設定されたスレッシュホールドで着信スモール フレームが到着した場合に、スイッチ ポートを errdisable モードに移行するようにイネーブルにする方法を示します。

Switch(config)# errdisable detect cause small-frame
 

設定を確認するには、show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

errdisable recovery cause small-frame

回復タイマーをイネーブルにします。

errdisable recovery interval interval

指定された errdisable ステートから回復する時間を指定します。

show interfaces

入出力フロー制御を含むスイッチのインターフェイス設定を表示します。

small violation-rate

ポートが errdisable ステートに移行する着信スモール フレームのレート(スレッシュホールド)を設定します。

errdisable recovery cause small-frame

スモール フレームの到着によって errdisable になったあとで、ポートを自動的に再びイネーブルにするために使用する回復タイマーをイネーブルにするには、スイッチで errdisable recovery cause small-frame グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery cause small-frame

no errdisable recovery cause small-frame

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能はディセーブルになっています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドにより、errdisabled になったポートの回復タイマーがイネーブルになります。回復タイマーは、errdisable recovery interval interval インターフェイス コンフィギュレーション コマンドを使用して設定します。

次の例では、回復タイマーを設定する方法を示します。

Switch(config)# errdisable recovery cause small-frame
 

設定を確認するには、show interfaces ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

errdisable detect cause small-frame

着信フレームが、設定された最小サイズより小さく、指定されたレート(スレッシュホールド)で到着した場合に、スイッチ ポートを errdisable ステートに移行します。

show interfaces

入出力フロー制御を含むスイッチのインターフェイス設定を表示します。

small violation-rate

ポートが errdisable ステートに移行する着信(スモール)フレームのサイズを設定します。

 

errdisable recovery

回復メカニズムの変数を設定するには、 errdisable recovery グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery { cause { all | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | link-flap | loopback | pagp-flap | psecure-violation | security-violation | sfp-mismatch | udld | vmps } | { interval interval }

no errdisable recovery { cause { all | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | link-flap | loopback | pagp-flap | psecure-violation | security-violation | sfp-mismatch | udld | vmps } | { interval interval }

 
シンタックスの説明

cause

特定の原因から回復するように errdisable メカニズムをイネーブルにします。

all

すべての errdisable の原因から回復するタイマーをイネーブルにします。

bpduguard

Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)ガード errdisable ステートから回復するタイマーをイネーブルにします。

channel-misconfig

EtherChannel の設定矛盾による errdisable ステートから回復するタイマーをイネーブルにします。

dhcp-rate-limit

DHCP スヌーピング errdisable ステートから回復するタイマーをイネーブルにします。

dtp-flap

Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)フラップ errdisable ステートから回復するタイマーをイネーブルにします。

gbic-invalid

無効な GBIC(ギガビット インターフェイス コンバータ)モジュールの errdisable ステートから回復するタイマーをイネーブルにします。

(注) このエラーは、無効な Small Form-factor Pluggable(SFP)errdisable ステートを意味します。

inline-power

インラインパワーのエラー検出をイネーブルにします。

link-flap

リンクフラップ errdisable ステートから回復するタイマーをイネーブルにします。

loopback

ループバック errdisable ステートから回復するタイマーをイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP; ポート集約プロトコル)フラップ errdisable ステートから回復するタイマーをイネーブルにします。

psecure-violation

ポート セキュリティ違反ディセーブル ステートから回復するタイマーをイネーブルにします。

security-violation

IEEE 802.1x 違反ディセーブル ステートから回復するタイマーをイネーブルにします。

sfp-mismatch

SFP 設定ミスマッチについてエラー検出をイネーブルにします。

udld

UniDirectional Link Detection(UDLD; 単一方向リンク検出)errdisable ステートから回復するタイマーをイネーブルにします。

vmps

VLAN Membership Policy Server(VMPS)errdisable ステートから回復するタイマーをイネーブルにします。

interval interval

指定された errdisable ステートから回復する時間を指定します。指定できる範囲は 30 ~ 86400 秒です。同じ間隔がすべての原因に適用されます。デフォルト間隔は 300 秒です。

(注) errdisable 回復タイマーの開始時には、設定された間隔値からランダムな誤差があります。実際のタイムアウト値と設定された値の差は、設定された間隔の 15% まで認められます。

 
デフォルト

回復はすべての原因に対してディセーブルです。

デフォルトの回復間隔は 300 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

原因( link-flap、bpduguard など)は、errdisable ステートが発生した理由として定義されます。原因がインターフェイスで検出された場合、インターフェイスは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。

ポートが errdisable の場合、そのポートは実質的にシャッタダウンされた状態になり、トラフィックの送受信は行われません。BPDU ガードおよびポート セキュリティ機能では、違反が発生した場合にポート全体ではなく、問題のある VLAN だけをポートでシャットダウンするようにスイッチを設定できます。

その原因に対して errdisable の回復をイネーブルにしない場合、ポートは、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドが入力されるまで errdisable ステートのままです。原因の回復をイネーブルにした場合、ポートは errdisable ステートから回復し、すべての原因がタイムアウトになったときに動作を再開できるようになります。

それを行わない場合、手動でポートを errdisable ステートから回復するには、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力します。

次の例では、BPDU ガード errdisable 原因に対して回復タイマーをイネーブルにする方法を示します。

Switch(config)# errdisable recovery cause bpduguard
 

次の例では、タイマーを 500 秒に設定する方法を示します。

Switch(config)# errdisable recovery interval 500
 

show errdisable recovery 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show errdisable recovery

errdisable 回復タイマー情報を表示します。

show interfaces status err-disabled

インターフェイスのステータス、または errdisable ステートにあるインターフェイスのリストを表示します。

clear errdisable interface

VLAN 単位の errdisable 機能によって errdisable になっていたポートまたは VLAN から、errdisable ステートをクリアします。

 

exception crashinfo

Cisco IOS イメージのエラー時にスイッチで拡張クラッシュ情報ファイルが作成されるよう設定するには、 exception crashinfo グローバル コンフィギュレーション コマンドを使用します。この機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

exception crashinfo

no exception crashinfo

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチが拡張 crashinfo ファイルを作成します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

基本 crashinfo ファイルには、失敗した Cisco IOS のイメージ名およびバージョン、プロセッサ レジスタのリスト、およびスタック トレースが含まれます。拡張 crashinfo ファイルには、スイッチの障害の原因を判別するのに役立つその他の追加情報が含まれます。

スタック マスタに exception crashinfo グローバル コンフィギュレーション コマンドを入力すると、スタック メンバー上の Cisco IOS イメージが失敗したとき、すべてのスタック メンバーが拡張 crashinfo ファイルを作成するよう設定されます。

スイッチが拡張 crashinfo ファイルを作成しないように設定するには、 no exception crashinfo グローバル コンフィギュレーション コマンドを使用します。

次の例では、スイッチが拡張 crashinfo ファイルを作成しないように設定する方法を示します。

Switch(config)# no exception crashinfo
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

定義されたマクロを含む動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

fallback profile

Web 認証のフォールバック プロファイルを作成するには、fallback profile グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

fallback profile profile

no fallback profile

 
シンタックスの説明

profile

IEEE 802.1x 認証をサポートしていないクライアントのフォールバック プロファイルを指定します。

 
デフォルト

フォールバック プロファイルは設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

サプリカントを持たない IEEE 802.1x ポートの IEEE 802.1x フォールバック動作を定義するには、フォールバック プロファイルを使用します。サポートされている動作は、Web 認証へのフォールバックだけです。

fallback profile コマンドを入力すると、プロファイル コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。

ip:IP コンフィギュレーションを作成します。

access-group:未認証のホストから送信されたパケットのアクセス制御を指定します。

admission:IP 許可の規則を適用します。

次の例では、Web 認証で使用するフォールバック プロファイルを作成する方法を示します。

Switch# configure terminal
Switch(config)# ip admission name rule1 proxy http
Switch(config)# fallback profile profile1
Switch(config-fallback-profile)# ip access-group default-policy in Switch(config-fallback-profile)# ip admission rule1
Switch(config-fallback-profile)# exit
Switch(config)# interface gigabitethernet 1/0/1
Switch(config-if)# dot1x fallback profile1
Switch(config-if)# end
 

show running-configuration [ interface interface-id ] 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

dot1x fallback

IEEE 802.1x 認証をサポートしていないクライアントのフォールバック認証方式として Web 認証を使用するようにポートを設定します。

ip admission

スイッチ ポートでの Web 認証をイネーブルにします。

ip admission name proxy http

Web 認証をスイッチでグローバルにイネーブルにします。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

show fallback profile

スイッチの設定されたプロファイルを表示します。

flowcontrol

インターフェイスに対する受信フロー制御ステートを設定するには、 flowcontrol インターフェイス コンフィギュレーション コマンドを使用します。ある装置に対して send が動作可能でオンになっており、接続のもう一方の側で輻輳を検出した場合、休止フレームを送信することによって、リンクの相手側またはリモート装置に輻輳を通知します。ある装置に対してフロー制御 receive がオンであり、休止フレームを受信した場合、データ パケットの送信を停止します。こうすることにより、輻輳期間中のデータ パケットの損失を防ぎます。

フロー制御をディセーブルにする場合は、 receive off キーワードを使用します。

flowcontrol receive { desired | off | on }


) スイッチは、ポーズ フレームを受信できますが、送信はできません。


 
シンタックスの説明

receive

インターフェイスがリモート装置からフロー制御パケットを受信できるかどうかを設定します。

desired

インターフェイスを、フロー制御パケットを送信する必要がある接続装置またはフロー制御パケットを送信する必要はないが送信することのできる接続装置とともに稼動させることができます。

off

接続装置がフロー制御パケットをインターフェイスへ送信する機能をオフにします。

on

インターフェイスを、フロー制御パケットを送信する必要がある接続装置またはフロー制御パケットを送信する必要はないが送信することのできる接続装置とともに稼動させることができます。

 
デフォルト

デフォルトは、 flowcontrol receive off です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

スイッチは、フロー制御休止フレームの送信をサポートしていません。

on および desired キーワードの結果は同じになります。

flowcontrol コマンドを使用してポートが輻輳中にトラフィック レートを制御するよう設定する場合、フロー制御はポートで次の条件のうちの 1 つに設定されます。

receive on または desired ポートはポーズ フレームを送信できませんが、ポーズ フレームを送信する必要がある、または送信可能な接続装置とともに稼動できます。ポートはポーズ フレームを受信できます。

receive off :フロー制御はどちらの方向にも動作しません。輻輳が生じても、リンクの相手側に通知はなく、どちら側の装置も休止フレームの送受信を行いません。

表 2-5 は、設定を組み合わせることによりローカル装置およびリモート装置で生じるフロー制御の結果を示したものです。この表は、 receive desired キーワードの結果が receive on キーワードを使用した場合と同じであることを前提にしています。

 

表 2-5 フロー制御設定およびローカル/リモート ポート フロー制御解決

フロー制御設定
フロー制御解決
ローカル装置
リモート装置
ローカル装置
リモート装置

send off/receive on

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

受信だけ行います。

受信だけ行います。

受信だけ行います。

受信だけ行います。

受信だけ行います。

送受信を行いません。

送受信を行います。

送信だけ行います。

送受信を行います。

送信だけ行います。

受信だけ行います。

送受信を行いません。

send off/receive off

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

次の例では、リモート ポートによってフロー制御がサポートされないようにローカル ポートを設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/21
Switch(config-if)# flowcontrol receive off
 

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

入出力フロー制御を含むスイッチのインターフェイス設定を表示します。

interface port-channel

ポート チャネルの論理インターフェイスへのアクセス、または作成を行うには、 interface port-channel グローバル コンフィギュレーション コマンドを使用します。ポート チャネルを削除する場合は、このコマンドの no 形式を使用します。

interface port-channel port - channel-number

no interface port-channel port - channel-number

 
シンタックスの説明

port-channel-number

ボート チャネル番号です。指定できる範囲は 1 ~ 6 です。

 
デフォルト

ポート チャネル論理インターフェイスは定義されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

レイヤ 2 EtherChannel では、物理ポートをチャネル グループに割り当てる前にポートチャネル インターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用します。チャネル グループが最初の物理ポートを獲得すると、ポートチャネル インターフェイスは自動的に作成されます。最初にポートチャネル インターフェイスを作成する場合は、 channel-group-number port - channel-number と同じ番号を使用することもできれば、新しい番号を使用することもできます。新しい番号を使用すると、 channel-group コマンドが動的に新しいポート チャネルを作成します。

チャネル グループ内の 1 つのポート チャネルだけが許可されます。

interface port-channel コマンドを使用する場合は、次の注意事項に従ってください。

Cisco Discovery Protocol(CDP)を使用する場合には、これを物理ポートだけで設定してください。ポート チャネル インターフェイスでは設定できません。

EtherChannel のアクティブ メンバーであるポートを IEEE 802.1x ポートとしては設定しないでください。まだアクティブになっていない EtherChannel のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。

設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。

次の例では、ポート チャネル番号 5 でポートチャネル インターフェイスを作成する方法を示します。

Switch(config)# interface port-channel 5
 

show running-config 特権 EXEC コマンドまたは show etherchannel channel-group-number detail 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show running-config

現在の動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

interface range

インターフェイス レンジ コンフィギュレーション モードの開始、および複数のポートにおけるコマンドを同時に実行するには、 interface range グローバル コンフィギュレーション コマンドを使用します。インターフェイス範囲を削除する場合は、このコマンドの no 形式を使用します。

interface range { port-range | macro name }

no interface range { port-range | macro name }

 
シンタックスの説明

port-range

ポート範囲。p ort-range の有効値のリストについては、「使用上のガイドライン」を参照してください。

macro name

マクロ名を指定します。

 
デフォルト

このコマンドにはデフォルト設定がありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス範囲コンフィギュレーション モードを開始すると、入力するすべてのインターフェイス パラメータが範囲内のすべてのインターフェイスに適用されます。

VLAN(仮想 LAN)については、既存の VLAN Switch Virtual Interface(SVI)だけで interface range コマンドを使用することができます。VLAN SVI を表示する場合は、 show running-config 特権 EXEC コマンドを入力します。表示されない VLAN は、 interface range コマンドで使用できません。 interface range コマンドのもとで入力したコマンドは、この範囲のすべての既存の VLAN SVI に適用されます。

あるインターフェイス範囲に対して行われたすべての設定変更は、NVRAM(不揮発性 RAM)に保存されますが、 interface range 自体は NVRAM に保存されません。

インターフェイス範囲は 2 つの方法で入力することができます。

最大 5 つまでのインターフェイス範囲を指定。

定義済みのインターフェイス範囲マクロ設定を指定。

範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、各範囲をカンマ(,)で区切ることにより、1 つのコマンドで最大 5 つのインターフェイス範囲を定義することができます。

port-range タイプおよびインターフェイスの有効値は次のとおりです

vlan vlan-ID (VLAN ID の範囲は 1 ~ 4094)


) 複数のVLAN を設定するオプションがコマンドライン インターフェイス(CLI)に表示されますが、サポートされていません。


fastethernet stack member/module/{ first port } - { last port }(module は常に 0

gigabitethernet module/{ first port } - { last port }(module は常に 0

物理インターフェイスの場合は、次のとおりです。

stack member は、スタック内のスイッチ識別に使用する番号です。番号に指定できる範囲は 1 ~ 9 で、スタック メンバーの最初の初期化の際に、スイッチに割り当てられます。

モジュールは常に 0 です。

使用可能範囲は、type stack member /0/number - number です(例:gigabitethernet1/0/1 - 2)。

port-channel port-channel-number - port-channel-number port-channel-number は 1 ~ 6 です。


interface range コマンドに port-channel を指定する場合、範囲の先頭と最後のポート チャネルはアクティブなポート チャネルでなければなりません。


範囲を定義するときは、最初のエントリとハイフン(-)の間にスペースが必要です。

interface range gigabitethernet1/0/1 -2
 

複数の範囲を定義するときは、最初のエントリとカンマ(,)の間にスペースが必要です。

interface range fastethernet1/0/1 - 2, gigabitethernet1/0/1 - 2
 

同じコマンドでマクロとインターフェイス範囲の両方を指定できません。

また、 port-range で単一インターフェイスを指定することもできます。つまりこのコマンドは、 interface interface-id グローバル コンフィギュレーション コマンドに類似しています。

インターフェイス範囲の設定方法の詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、 interface range コマンドを使用して、インターフェイス範囲コンフィギュレーション モードを開始し、2 つのポートにコマンドを入力する方法を示します。

Switch(config)# interface range gigabitethernet1/0/1 - 2
Switch(config-if-range)#
 

次の例では、同じ機能に対して 1 つのポート範囲マクロ macro1 を使用する方法を示します。この利点は、 macro1 を削除するまで再利用できることです。

Switch(config)# define interface-range macro1 gigabitethernet1/0/1 - 2
Switch(config)# interface range macro macro1
Switch(config-if-range)#

 
関連コマンド

コマンド
説明

define interface-range

インターフェイス範囲マクロを作成します。

show running-config

スイッチで現在の動作設定情報を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

interface vlan

VLAN へのアクセス、または作成を行い、インターフェイス コンフィギュレーション モードを開始するには、 interface vlan グローバル コンフィギュレーション コマンドを使用します。VLAN を削除する場合は、このコマンドの no 形式を使用します。

interface vlan vlan-id

no interface vlan vlan-id

 
シンタックスの説明

vlan-id

VLAN 番号 指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトの VLAN インターフェイスは、VLAN 1 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN は、特定の VLAN に対して、初めて interface vlan vlan-id コマンドを入力すると作成されます。 vlan-id は、IEEE 802.1Q カプセル化トランクのデータ フレームに関連付けられた VLAN タグ、またはアクセス ポートに設定された VLAN ID に相当します。

no interface vlan vlan -id コマンドで VLAN を削除すると、削除されたインターフェイスは、それ以降、 show interfaces 特権 EXEC コマンドの出力には表示されません。


) VLAN 1 インターフェイスを削除できません。


削除した VLAN は、削除したインターフェイスに対して interface vlan vlan-id コマンドを入力することで、元に戻すことができます。インターフェイスはバックアップとなりますが、それまでの設定は削除されます。

次の例では、VLAN ID 23 の新しい VLAN を作成し、インターフェイス コンフィギュレーション モードを開始する方法を示します。

Switch(config)# interface vlan 23
Switch(config-if)#
 

show interfaces および show interfaces vlan

vlan-id 特権 EXEC コマンドを入力すると、設定を確認できます。

 
関連コマンド

コマンド
説明

show interfaces vlan vlan-id

すべてのインターフェイスまたは指定された VLAN の管理ステータスおよび動作ステータスを表示します。

ip access-group

レイヤ 2 インターフェイスへのアクセスを制御するには、 ip access-group インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスからすべてまたは指定のアクセス グループを削除する場合は、このコマンドの no 形式を使用します。

ip access-group { access-list-number | name } { in }

no ip access-group [ access-list-number | name ] { in }

 
シンタックスの説明

access-list-number

IP Access Control List(ACL;アクセス制御リスト)の番号です。指定できる範囲は、1 ~ 199 または 1300 ~ 2699 です。

name

ip access-list グローバル コンフィギュレーション コマンドで指定された IP ACL 名です。

in

入力パケットに対するフィルタリングを指定します。

 
デフォルト

アクセス リストは、インターフェイスには適用されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

名前付きまたは番号付きの標準/拡張 IP アクセス リストをインターフェイスに適用できます。名前を付けてアクセス リストを定義するには、 ip access-list グローバル コンフィギュレーション コマンドを使用します。番号付きアクセス リストを定義するには、 access list グローバル コンフィギュレーション コマンドを使用します。1 ~ 99 および 1300 ~ 1999 の範囲の番号付き標準アクセス リスト、または 100 ~ 199 および 2000 ~ 2699 の範囲の番号付き拡張アクセス リストを使用できます。

このコマンドを使用し、アクセス リストをレイヤ 2 のインターフェイスに適用できます。ただし、ポート ACL には、次のような制限があることに注意してください。

ACL は受信方向に対してだけ適用できます。

インターフェイスごとに 1 つの IP ACL と 1 つの MAC(メディア アクセス制御)ACL だけを適用できます。

ポート ACL はロギングをサポートしていません。 log キーワードが IP ACL で指定された場合、無視されます。

インターフェイスに適用された IP ACL は、IP パケットだけをフィルタにかけます。非 IP パケットをフィルタリングするには、MAC 拡張 ACL とともに mac access-group インターフェイス コンフィギュレーション コマンドを使用します。

標準入力アクセス リストでは、スイッチは、パケットを受信すると、パケットの送信元アドレスをアクセス リストに比較して検査します。IP 拡張アクセス リストでは、任意で、宛先 IP アドレス、プロトコル タイプ、ポート番号などのパケット内の他のフィールドを検査することができます。アクセス リストがパケットを許可する場合に、スイッチはパケットの処理を続行します。アクセス リストがパケットを拒否する場合は、スイッチはそのパケットを廃棄します。

指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。

次の例では、ポートの入力パケットに IP アクセス リスト 101 を適用する方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 101 in
 

show ip interface、show access-lists、 または show ip access-lists 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

access list

番号付き ACL を設定します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。

ip access-list

名前付き ACL を設定します。構文情報については、[Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2] > [IP Services Commands] を選択してください。

show access-lists

スイッチで設定された ACL を表示します。

show ip access-lists

スイッチで設定された IP ACL を表示します。構文情報については、[Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2] > [IP Services Commands] を選択してください。

show ip interface

インターフェイスのステータスと設定に関する情報を表示します。構文情報については、[Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2] > [IP Services Commands] を選択してください。

ip address

レイヤ 2 スイッチの IP アドレスを設定するには、 ip address インターフェイス コンフィギュレーション コマンドを使用します。IP アドレスを削除したり、IP 処理をディセーブルにしたりする場合は、このコマンドの no 形式を使用します。

ip address ip-address subnet-mask [ secondary ]

no ip address [ ip-address subnet-mask ] [ secondary ]

 
シンタックスの説明

ip-address

IP アドレスです。

subnet-mask

関連する IP サブネットのマスクです。

secondary

(任意)設定済みアドレスがセカンダリ IP アドレスになるよう指定します。このキーワードを省略すると、設定済みアドレスはプライマリ IP アドレスになります。

 
デフォルト

IP アドレスは定義されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

Telnet セッションを使用してスイッチ IP アドレスを削除すると、そのスイッチへの接続は切断されます。

ホストは、Internet Control Message Protocol(ICMP)Mask Request メッセージを使用して、サブネット マスクを判別できます。ルータは、ICMP Mask Reply メッセージでこの要求に応答します。

no ip address コマンドで IP アドレスを削除することで、特定インターフェイスの IP 処理をディセーブルにすることができます。スイッチは、その IP アドレスのいずれかを使用するホストを検出すると、エラー メッセージをコンソールに送ります。

任意のキーワード secondary を使用して、数に制限なくセカンダリ アドレスを指定できます。セカンダリ アドレスは、システムがセカンダリ送信元アドレスを持つルーティング アップデート以外生成しない点を除いて、プライマリ アドレスと同様に扱われます。IP ブロードキャストと ARP 要求は、IP ルーティング テーブル内のインターフェイス ルートと同様に、適切に処理されます。


) ネットワーク セグメント上のルータがセカンダリ アドレスを使用している場合は、同じセグメント上の他のすべての装置も同じネットワークまたはサブネットのセカンダリ アドレスを使用する必要があります。ネットワーク セグメント上のセカンダリ アドレスの使用に矛盾があると、ただちにルーティング ループを引き起こす可能性があります。


スイッチが、Bootstrap Protocol(BOOTP)または Dynamic Host Configured Protocol(DHCP)サーバから IP アドレスを受信し、そのスイッチ IP アドレスを no ip address コマンドで削除した場合、IP 処理はディセーブルとなり、BOOTP サーバまたは DHCP サーバが再びアドレスを割り当てることはできません。

次の例では、サブネット ネットワークでレイヤ 2 スイッチの IP アドレスを設定する方法を示しています。

Switch(config)# interface vlan 1
Switch(config-if)# ip address 172.20.128.2 255.255.255.0
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

スイッチの実行コンフィギュレーションを表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

ip admission

Web 認証をイネーブルにするには、 ip admission インターフェイス コンフィギュレーション コマンドを使用します。このコマンドは、フォールバック プロファイル モードでも使用できます。Web 認証をディセーブルにする場合は、このコマンドの no 形式を使用します。

ip admission rule

no ip admission

 
シンタックスの説明

rule

インターフェイスに IP 許可の規則を適用します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ip admission コマンドにより、Web 認証の規則がスイッチ ポートに適用されます。

次の例では、Web 認証の規則をスイッチポートに適用する方法を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip admission rule1
 

次の例では、IEEE 802.1x 対応のスイッチ ポートで使用するフォールバック プロファイルに Web 認証の規則を適用する方法を示します。

Switch# configure terminal
Switch(config)# fallback profile profile1
Switch(config)# ip admission name rule1
Switch(config)# end

 
関連コマンド

コマンド
説明

dot1x fallback

IEEE 802.1x 認証をサポートしていないクライアントのフォールバック認証方式として Web 認証を使用するようにポートを設定します。

fallback profile

Web 認証をポートでイネーブルにします。

ip admission name proxy http

Web 認証をスイッチでグローバルにイネーブルにします。

show ip admission

NAC にキャッシュされたエントリまたは NAC コンフィギュレーションに関する情報を表示します。

詳細については、Cisco.com で Network Admission Control Software Configuration Guide 』を参照してください。

ip admission name proxy http

Web 認証をイネーブルにするには、 ip admission name proxy http グローバル コンフィギュレーション コマンドを使用します。Web 認証をディセーブルにする場合は、このコマンドの no 形式を使用します。

ip admission name proxy http

no ip admission name proxy htt p

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

Web 認証はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ip admission name proxy http コマンドにより、スイッチで Web 認証がグローバルにイネーブルになります。

スイッチで Web 認証をイネーブルにしたら、ip access-group in および ip admission web-rule インターフェイス コンフィギュレーション コマンドを使用して、特定のインターフェイスで Web 認証をイネーブルにします。

次の例では、スイッチポートで Web 認証だけを設定する方法を示します。

Switch# configure terminal
Switch(config) ip admission name http-rule proxy http
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 101 in
Switch(config-if)# ip admission rule
Switch(config-if)# end
 

次の例では、フォールバック メカニズムとして Web 認証を使用する IEEE 802.1x 認証をスイッチポートで設定する方法を示します。

Switch# configure terminal
Switch(config)# ip admission name rule2 proxy http
Switch(config)# fallback profile profile1
Switch(config)# ip access group 101 in
Switch(config)# ip admission name rule2
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x fallback profile1
Switch(config-if)# end

 
関連コマンド

コマンド
説明

dot1x fallback

IEEE 802.1x 認証をサポートしていないクライアントのフォールバック認証方式として Web 認証を使用するようにポートを設定します。

fallback profile

Web 認証フォールバック プロファイルを作成します。

ip admission

Web 認証をポートでイネーブルにします。

show ip admission

NAC にキャッシュされたエントリまたは NAC コンフィギュレーションに関する情報を表示します。詳細については、Cisco.com で Network Admission Control Software Configuration Guide 』を参照してください。

ip dhcp snooping

DHCP スヌーピングをグローバルにイネーブルにするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping

no ip dhcp snooping

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP スヌーピングは、ディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルにイネーブルにする必要があります。

ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用して VLAN(仮想 LAN)上でスヌーピングをイネーブルにするまで DHCP スヌーピングはアクティブになりません。

次の例では、DHCP スヌーピングをイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping
 

show ip dhcp snooping ユーザ EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip dhcp snooping vlan

VLAN 上で DHCP スヌーピングをイネーブルにします。

show ip igmp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

 

ip dhcp snooping binding

Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング データベースを設定して、バインディング エントリをデータベースに追加するには、 ip dhcp snooping binding 特権 EXEC コマンドを使用します。バインディング データベースからエントリを削除するには、このコマンドの no 形式を使用します。

ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds

no ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id

 
シンタックスの説明

mac-address

MAC(メディア アクセス制御)アドレスを指定します。

vlan vlan-id

VLAN 番号を指定します。指定できる範囲は 1 ~ 4094 です。

ip-address

IP アドレスを指定します。

interface interface-id

バインディング エントリを追加または削除するインターフェイスを指定します。

expiry seconds

バインディング エントリが無効になるまでのインターバル(秒)を指定します。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

デフォルトのデータベースは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、スイッチをテストまたはデバッグするときに使用します。

DHCP スヌーピング バインディング データベースでは、各データベース エントリ(別名、バインディング)には IP アドレス、関連付けられた MAC アドレス、リース時間(16 進数)、バインディングが適用されるインターフェイス、およびインターフェイスが所属する VLAN が含まれます。データベースには、8192 のバインディングを含めることができます。

設定されたバインディングだけを表示するには、 show ip dhcp snooping binding 特権 EXEC コマンドを使用します。

次の例では、VLAN 1 のポートに、有効期限が 1000 秒の DHCP バインディング設定を生成する方法を示します。

Switch# ip dhcp snooping binding 0001.1234.1234 vlan 1 172.20.50.5 interface gigabitethernet1/0/1 expiry 1000
 

show ip dhcp snooping binding 特権 EXEC コマンドを入力すれば、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip dhcp snooping

VLAN 上で DHCP スヌーピングをイネーブルにします。

show ip dhcp snooping binding

DHCP スヌーピング バインディング データベース内の動的に設定されたバインディングおよび設定情報を表示します。

 

ip dhcp snooping database

Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定するには、 ip dhcp snooping database グローバル コンフィギュレーション コマンドを使用します。エージェントのディセーブル化、タイムアウト値のリセット、または書き込み遅延値のリセットを行うには、このコマンドの no 形式を使用します。

ip dhcp snooping database {{ flash [ number ] :/ filename | ftp:// user:password @host/filename | http: //[[username:password]@]{hostname | host-ip}[/directory]/image-name .tar | rcp:// user @host/filename | tftp:// host/filename } | timeout seconds | write-delay seconds }

no ip dhcp snooping database [ timeout | write-delay ]

 
シンタックスの説明

flash [ number ] :/ filename

データベース エージェントまたはバインディング ファイルがフラッシュ メモリにあることを指定します。

(任意)スタック マスターのスタック メンバー番号を指定するには、 number パラメータを使用します。 number に指定できる範囲は 1 ~ 9 です。

ftp:// user : password @ host / filename

データベース エージェントまたはバインディング ファイルが FTP サーバにあることを指定します。

http: //[[username:password]@]
{hostname | host-ip}[/directory]
/image-name
. tar

データベース エージェントまたはバインディング ファイルが FTP サーバにあることを指定します。

rcp:// user @ host / filename

データベース エージェントまたはバインディング ファイルが Remote Copy Protocol(RCP)サーバにあることを指定します。

tftp:// host / filename

データベース エージェントまたはバインディング ファイルが Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバにあることを指定します。

timeout seconds

データベース転送プロセスを打ち切るまでの時間(秒)を指定します。

デフォルト値は 300 秒です。指定できる範囲は 0 ~ 86400 です。無期限の期間を定義するには、0 を使用します。これは転送を無期限に続けることを意味します。

write-delay seconds

バインディング データベースが変更されたあとに、転送を遅らせる期間(秒)を指定します。デフォルト値は 300 秒です。指定できる範囲は 15 ~ 86400 です。

 
デフォルト

データベース エージェントまたはバインディング ファイルの URL は、定義されていません。

タイムアウト値は、300 秒(5 分)です。

書き込み遅延値は、300 秒(5 分)です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

DHCP スヌーピング バインディング データベースには、8192 のバインディングを含めることができます。

データベース内のリース時間を正確な時間にするには、Network Time Protocol(NTP)をイネーブルにし、次の機能を設定することを強く推奨します。

NTP 認証

NTP ピアおよびサーバ アソシエーション

NTP ブロードキャスト サービス

NTP アクセス制限

NTP パケット送信元 IP アドレス

NTP が設定されている場合、スイッチのシステム クロックが NTP と同期化されたときだけに、スイッチがバインディングの変更内容を書き込みます。

NVRAM(不揮発性 RAM)とフラッシュ メモリの両方のストレージ容量には限りがあるため、バインディング ファイルを TFTP サーバ上に保存することを推奨します。スイッチがネットワークベースの URL(TFTP や FTP など)の設定済み URL 内のバインディング ファイルにバインディングを書き込む前に、この URL に空のファイルを作成しておく必要があります。

DHCP スヌーピング バインディング データベースをスタック マスター NVRAM に保存するには、ip dhcp snooping database flash [ number ] :/ filename コマン を使用します。データベースは、スタック メンバー NVRAM に保存されません。

ip dhcp snooping database timeout コマンドに 0 秒を指定し、データベースを TFTP ファイルに書き込んでいるときに、TFTP サーバがダウンした場合、データベース エージェントは転送を無期限に続けようとします。この転送が進行中の間、他の転送は開始されません。サーバがダウンしている場合、ファイルを書き込むことができないので、これはあまり重要ではありません。

エージェントをディセーブルにするには、no ip dhcp snooping databaseコマンドを使用します。

タイムアウト値をリセットするには、no ip dhcp snooping database timeout コマンドを使用します。

書き込み遅延値をリセットするには、no ip dhcp snooping database write-delayコマンドを使用します。

次の例では、IP アドレス 10.1.1.1 の directory という名前のディレクトリ内にバインディング ファイルを保存する方法を示します。TFTP サーバに file という名前のファイルが存在しなければなりません。

Switch(config)# ip dhcp snooping database tftp://10.1.1.1/directory/file
 

次の例では、スタック マスター NVRAM に file01.txt というバインディング ファイルを保存する方法を示します。

Switch(config)# ip dhcp snooping database flash:file01.txt
 

設定を確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

VLAN 上で DHCP スヌーピングをイネーブルにします。

ip dhcp snooping binding

DHCP スヌーピング バインディング データベースを設定します。

show ip dhcp snooping database

DHCP スヌーピング データベース エージェントのステータスを表示します。

ip dhcp snooping information option

Dynamic Host Configuration Protocol(DHCP)オプション 82 データ挿入をイネーブルにするには、 ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。DHCP オプション 82 データ挿入をディセーブルにする場合は、このコマンドの no 形式を使用します。

ip dhcp snooping information option

no ip dhcp snooping information option

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP オプション 82 データは挿入されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

DHCP スヌーピング設定を有効にするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルの場合、スイッチがホストからの DHCP 要求を受信すると、オプション 82 情報がパケットに追加されます。オプション 82 情報には、スイッチ MAC(メディア アクセス制御)アドレス(リモート ID サブオプション)、およびパケットが受信された vlan-mod-port (回線 ID サブオプション)のポート識別子が含まれます。スイッチは、オプション 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。

DHCP サーバがパケットを受信する場合、リモート ID、回線 ID、または両方を使用して IP アドレスを割り当てるとともに、単一リモート ID または回線 ID に割り当てることができる IP アドレス値制限などのポリシーを適用することができます。さらに DHCP サーバは、DHCP 応答内にオプション 82 フィールドをエコーします。

スイッチによって要求がサーバにリレーされた場合、DHCP サーバは応答をスイッチにユニキャストします。クライアントとサーバが同一サブネットにある場合、サーバは応答をブロードキャストします。スイッチは、リモート ID または回線 ID フィールドを検査し、オプション 82 データが最初から挿入されていたかを確認します。スイッチは、オプション 82 フィールドを削除し、DHCP 要求を送信した DHCP ホストに接続するスイッチ ポートにパケットを転送します。

次の例では、DHCP オプション 82 データ挿入をイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping information option
 

show ip dhcp snooping ユーザ EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

 

ip dhcp snooping information option allow-untrusted

エッジ スイッチに接続されている信頼できないポートで受信する、オプション 82 情報を持つ DHCP パケットを受け入れるようにアグリゲーション スイッチを設定するには、アグリゲーション スイッチ ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping information option allow-untrusted

no ip dhcp snooping information option allow-untrusted

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチ は、エッジ スイッチに接続されている信頼できないポートで受信する、オプション 82 情報を持つ DHCP パケットを廃棄します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ホストが接続されたエッジ スイッチが、ネットワークのエッジで DHCP オプション 82 情報を挿入するようにしている場合に、また集約スイッチでは、DHCP スヌーピングなどの DHCP セキュリティ機能をイネーブルにすることもできます。しかし、アグリゲーション スイッチで DHCP スヌーピングをイネーブルにすると、スイッチは信頼できないポートで受信されたオプション 82 情報を持つパケットを廃棄し、信頼できるインターフェイスに接続されたデバイスの DHCP スヌーピング バインディングを学習しません。

ホストが接続されたエッジ スイッチがオプション 82 情報を挿入する場合に、アグリゲーション スイッチで DHCP スヌーピングを使用するには、アグリゲーション スイッチで ip dhcp snooping information option allow-untrusted コマンドを入力します。アグリゲーション スイッチは信頼できないポートで DHCP スヌーピング パケットを受信しますが、ホストのバインディングを学習できます。アグリゲーション スイッチで DHCP セキュリティ機能をイネーブルにすることもできます。アグリゲーション スイッチが接続されているエッジ スイッチ上のポートは、信頼できるポートとして設定する必要があります。


) 信頼できないデバイスが接続されたアグリゲーション スイッチに ip dhcp snooping information option allow-untrusted コマンドを入力しないでください。このコマンドを入力すると、信頼できないデバイスがオプション 82 情報をスプーフィングする可能性があります。


次の例では、アクセス スイッチが、エッジ スイッチからの信頼できないパケットのオプション 82 情報を確認せずに、パケットを受け入れるように設定する方法を示します。

Switch(config)# ip dhcp snooping information option allow-untrusted
 

show ip dhcp snooping ユーザ EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

 

ip dhcp snooping limit rate

インターフェイスが 1 秒あたりに受信可能な Dynamic Host Configuration Protocol(DHCP)メッセージの数を設定するには、 ip dhcp snooping limit rate インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping limit rate rate

no ip dhcp snooping limit rate

 
シンタックスの説明

rate

インターフェイスが 1 秒あたりに受信することのできる DHCP メッセージの数。指定できる範囲は 1 ~ 2048 です。

 
デフォルト

DHCP スヌーピング レート制限は、ディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

通常、レート制限は信頼できないインターフェイスに適用されます。信頼できるインターフェイスのレート制限を設定する場合、信頼できるインターフェイスはスイッチ内の複数の VLAN(仮想 LAN)上(一部はスヌーピングされない場合があります)の DHCP トラフィックを集約するので、インターフェイス レート制限を高い値に調整する必要があることに注意してください。

レート制限を超えた場合、インターフェイスが errdisable になります。 errdisable recovery dhcp-rate-limit グローバル コンフィギュレーション コマンドを入力してエラー回復をイネーブルにした場合、インターフェイスはすべての原因が時間切れになった際に動作を再試行します。エラー回復メカニズムがイネーブルでない場合、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力するまでインターフェイスは errdisable ステートのままです。

次の例は、インターフェイス上でメッセージ レート制限を 1 秒あたり 150 メッセージに設定する方法を示します。

Switch(config-if)# ip dhcp snooping limit rate 150
 

show ip dhcp snooping ユーザ EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

errdisable recovery

回復メカニズムを設定します。

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip dhcp snooping trust

Dynamic Host Configuration Protocol(DHCP)スヌーピングのためにポートを信頼性があるものとして設定するには、 ip dhcp snooping trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping trust

no ip dhcp snooping trust

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP スヌーピング信頼は、ディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

DHCP サーバ、その他のスイッチ、またはルータに接続されたポートを信頼できるポートとして設定します。DHCP クライアントに接続されたポートを信頼できないポートとして設定します。

次の例では、ポート上に DHCP スヌーピング信頼をイネーブルにする方法を示します。

Switch(config-if)# ip dhcp snooping trust
 

show ip dhcp snooping ユーザ EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

 

ip dhcp snooping verify

スイッチが、信頼性のないポート上で Dynamic Host Configuration Protocol(DHCP)パケットの送信元 MAC(メディア アクセス制御)アドレスがクライアントのハードウェア アドレスと一致することを確認するよう設定するには、 ip dhcp snooping verify グローバル コンフィギュレーション コマンドを使用します。スイッチが MAC アドレスを確認しないように設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping verify mac-address

no ip dhcp snooping verify mac-address

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチは、パケットのクライアント ハードウェア アドレスと一致する信頼されないポートで受信した DHCP パケットの送信元 MAC アドレスを確認します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

サービスプロバイダー ネットワークで、スイッチが信頼できないポートの DHCP クライアントからパケットを受信した場合、スイッチは自動的に送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致するかを確認します。アドレスが一致する場合、スイッチはパケットを転送します。アドレスが一致しない場合、スイッチはパケットを廃棄します。

次の例では、MAC アドレス確認をディセーブルにする方法を示します。

Switch(config)# no ip dhcp snooping verify mac-address
 

show ip dhcp snooping ユーザ EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

 

ip dhcp snooping vlan

VLAN 上で DHCP スヌーピングをイネーブルにするには、 ip dhcp snooping vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping vlan vlan-range

no ip dhcp snooping vlan vlan-range

 
シンタックスの説明

vlan-range

DHCP スヌーピングをイネーブルにする VLAN ID または VLAN 範囲を指定します。指定できる範囲は 1 ~ 4094 です。

VLAN ID 番号によって特定される単一の VLAN ID、それぞれをカンマで区切った一連の VLAN ID、ハイフンを間に挿入した VLAN ID の範囲、または先頭および末尾の VLAN ID で区切られた VLAN ID の範囲を入力することができます。これらはスペースで区切られています。

 
デフォルト

すべての VLAN 上で DHCP スヌーピングがディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN 上で DHCP スヌーピングをイネーブルにする前に、まず DHCP スヌーピングをグローバルにイネーブルにする必要があります。

次の例では、DHCP スヌーピングを VLAN 10 でイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping vlan 10
 

show ip dhcp snooping ユーザ EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip igmp filter

インターフェイスに Internet Group Management Protocol(IGMP)を適用することで、レイヤ 2 インターフェイス上のすべてのホストが 1 つまたは複数の IP マルチキャスト グループに加入できるかどうかを制御するには、 ip igmp filter インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスから指定されたプロファイルを削除するには、このコマンドの no 形式を使用します。

ip igmp filter profile number

no ip igmp filter

 
シンタックスの説明

profile number

適用する IGMP プロファイル番号です。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

IGMP フィルタは適用されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

IGMP フィルタはレイヤ 2 の物理インターフェイスだけに適用できます。EtherChannel グループに属するポートに対して IGMP フィルタを適用できません。

IGMP プロファイルは 1 つまたは複数のスイッチ ポート インターフェイスに適用できますが、1 つのポートに適用可能なプロファイルは 1 つだけです。

次の例では、IGMP プロファイル 22 をポートに適用する方法を示します。

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# ip igmp filter 22
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力し、インターフェイスを指定します。

 
関連コマンド

コマンド
説明

ip igmp profile

指定された IGMP プロファイル番号を設定します。

show ip dhcp snooping statistics

指定の IGMP プロファイルの特性を表示します。

show running-config interface interface-id

スイッチ インターフェイスに適用されている IGMP プロファイル(ある場合)を含む、そのインターフェイスの実行コンフィギュレーションを表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

ip igmp max-groups

レイヤ 2 インターフェイスが加入可能な Internet Group Management Protocol(IGMP)グループの最大数を設定したり、転送テーブル内でエントリが最大数に達する場合の IGMP スロットリング動作を設定したりするには、 ip igmp max-groups インターフェイス コンフィギュレーション コマンドを使用します。最大数をデフォルト値(無制限)に戻すか、デフォルトのスロットリング アクション(レポートを廃棄)に戻すには、このコマンドの no 形式を使用します。

ip igmp max-groups { number | action { deny | replace }}

no ip igmp max-groups { number | action }

 
シンタックスの説明

number

インターフェイスが加入できる IGMP グループの最大数です。指定できる範囲は 0 ~ 4294967294 です。デフォルトは無制限です。

action deny

エントリの最大数が IGMP スヌーピング転送テーブルにある場合は、次の IGMP 加入レポートを廃棄します。これは、デフォルトのアクションです。

action replace

エントリの最大数が IGMP スヌーピング転送テーブルにある場合は、既存のグループを IGMP レポートを受信した新しいグループに置き換えます。

 
デフォルト

デフォルトの最大グループ数は、無制限です。

インターフェイス上に IGMP グループ エントリの最大数があることをスイッチが学習したあとの、デフォルトのスロットリング アクションでは、インターフェイスが受信する次の IGMP レポートを廃棄し、インターフェイスに IGMP グループのエントリを追加しません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドはレイヤ 2 物理インターフェイス、および論理 EtherChannel インターフェイスだけで使用できます。EtherChannel グループに属するポートに対して IGMP 最大グループ数を設定できません。

IGMP スロットリング アクションを設定するときには、次の注意事項に従ってください。

スロットリング アクションを deny に設定し、最大グループ制限を設定する場合は、以前転送テーブルにあったエントリは削除されませんが、期限切れになります。これらのエントリの期限が切れたあとで、エントリの最大数が転送テーブルにある場合は、インターフェイス上で受信された次の IGMP レポートをスイッチが廃棄します。

スロットリング アクションを replace に設定し、最大グループ制限を設定する場合は、以前転送テーブルにあったエントリは削除されます。エントリの最大数が転送テーブルにある場合は、ランダムに選択されたマルチキャスト エントリが、スイッチにより受信 IGMP レポートに置き換えられます。

最大グループ制限が、デフォルト(上限なし)に設定された場合は、 ip igmp max-groups { deny | replace } コマンドを使用しても無効です。

次の例では、ポートが加入できる IGMP グループ数を 25 に制限する方法を示します。

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# ip igmp max-groups 25
 

次の例では、エントリの最大数が転送テーブルにある場合に、既存のグループを IGMP レポートを受信した新しいグループに置き換えるようにスイッチを設定する方法を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# ip igmp max-groups action replace
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力し、インターフェイスを指定します。

 
関連コマンド

コマンド
説明

show running-config interface interface-id

インターフェイスが加入できる最大 IGMP グループ数およびスロットリング アクションを含む、スイッチ インターフェイスの実行コンフィギュレーションを表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

ip igmp profile

Internet Group Mnagement Protocol(IGMP)プロファイルを作成し、IGMP プロファイル コンフィギュレーション モードを開始するには、 ip igmp profile グローバル コンフィギュレーション コマンドを使用します。このモードで、スイッチポートからの IGMP メンバーシップ レポートをフィルタリングするための IGMP プロファイルの設定を指定できます。IGMP プロファイルを削除する場合は、このコマンドの no 形式を使用します。

ip igmp profile profile number

no ip igmp profile profile number

 
シンタックスの説明

profile number

設定する IGMP プロファイル番号です。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

IGMP プロファイルは定義されません。設定されている場合、IGMP プロファイルに一致したときのデフォルト アクションは、一致アドレスの拒否です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

IGMP プロファイル コンフィギュレーション モードでは、次のコマンドを使用してプロファイルを作成できます。

deny :一致アドレスを拒否するように指定します。これはデフォルトの条件です。

exit :IGMP プロファイル コンフィギュレーション モードを終了します。

no :コマンドを無効にするか、デフォルトにリセットします。

permit :一致アドレスを許可するように指定します。

range :プロファイルの IP アドレスの範囲を指定します。単一の IP アドレスでも、開始アドレスと終了アドレスを持つ範囲でも構いません。

範囲の入力時は、最小の IP マルチキャスト アドレス、スペース、最大の IP マルチキャスト アドレスの順に入力します。

IGMP プロファイルは 1 つまたは複数のレイヤ 2 インターフェイスに適用できますが、各インターフェイスに適用できるプロファイルは 1 つだけです。

次の例では、指定の IP マルチキャスト アドレスの範囲を許可する IGMP プロファイル 40 を設定する方法を示します。

Switch(config)# ip igmp profile 40
Switch(config-igmp-profile)# permit
Switch(config-igmp-profile)# range 233.1.1.1 233.255.255.255
 

show ip igmp profile 特権 EXEC コマンドを入力すると、コマンド設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp filter

IGMP プロファイルを指定のインターフェイスに適用します。

show ip dhcp snooping statistics

すべての IGMP プロファイルまたは指定の IGMP プロファイル番号の特性を表示します。

ip igmp snooping

Internet Group Management Protocol(IGMP)スヌーピングをスイッチ上でグローバルにイネーブル、または VLAN(仮想 LAN)ごとにイネーブルにするには、 ip igmp snooping グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ]

no ip igmp snooping [ vlan vlan-id ]

 
シンタックスの説明

vlan vlan-id

(任意)指定された VLAN(仮想 LAN)で IGMP スヌーピングをイネーブルにします。指定できる範囲は、1 ~ 1001 および 1006 ~ 4094 です。

 
デフォルト

IGMP スヌーピングは、スイッチでグローバルにイネーブルです。

IGMP スヌーピングは VLAN インターフェイスでイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

IGMP スヌーピングがグローバルにイネーブルである場合は、すべての既存 VLAN インターフェイスでイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合は、すべての既存 VLAN インターフェイスでディセーブルになります。

VLAN ID 1002 ~ 1005 はトークンリングおよび FDDI VLAN 用に確保されているため、IGMP スヌーピングには使用できません。

次の例では、IGMP スヌーピングをグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping
 

次の例では、IGMP スヌーピングを VLAN 1 でイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1
 

show ip igmp snooping 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip dhcp snooping statistics

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチ上に設定された IGMP クエリアの設定および動作情報を表示します。

 

ip igmp snooping last-member-query-interval

Internet Group Management Protocol(IGMP)の設定可能脱退タイマーをグローバルにまたは VLAN(仮想 LAN)ベースごとにイネーブルにするには、 ip igmp snooping last-member-query-interval グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ] last-member-query-interval time

no ip igmp snooping [ vlan vlan-id ] last-member-query-interval

 
シンタックスの説明

vlan vlan-id

(任意)指定された VLAN(仮想 LAN)で IGMP スヌーピングおよび脱退タイマーをイネーブルにします。指定できる範囲は、1 ~ 1001 および 1006 ~ 4094 です。

time

秒単位のタイムアウト間隔。指定できる範囲は 100 ~ 32768 ミリ秒です。

 
デフォルト

デフォルトのタイムアウト設定は 1000 ミリ秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

IGMP スヌーピングがグローバルにイネーブルである場合は、IGMP スヌーピングはすべての既存 VLAN インターフェイスでイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合は、IGMP スヌーピングはすべての既存 VLAN インターフェイスでディセーブルになります。

VLAN ID 1002 ~ 1005 はトークンリングおよび FDDI VLAN 用に確保されているため、IGMP スヌーピングには使用できません。

VLAN 上に脱退タイマーを設定すると、グローバル設定を上書きします。

IGMP 設定可能脱退時間は、IGMP バージョン 2 を実行するデバイスだけでサポートされます。

設定は、NVRAM(不揮発性 RAM)に保存されます。

次の例では、IGMP 脱退タイマーを 2000 ミリ秒でグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping last-member-query-interval 2000
 

次の例では、VLAN 1 上で IGMP 脱退タイマーを 3000 ミリ秒に設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 last-member-query-interval 3000
 

show ip igmp snooping 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping

IGMP スヌーピングをスイッチまたは VLAN でイネーブルにします。

ip igmp snooping vlan immediate-leave

IGMP 即時脱退処理をイネーブルにします。

ip igmp snooping vlan mrouter

レイヤ 2 ポートをマルチキャスト ルータ ポートとして設定します。

ip igmp snooping vlan static

レイヤ 2 ポートをグループのメンバーとして設定します。

show ip igmp snooping

IGMP スヌーピング設定を表示します。

 

ip igmp snooping querier

レイヤ 2 ネットワークの Internet Group Management Protocol(IGMP)クエリア機能をグローバルにイネーブルにするには、 ip igmp snooping querier グローバル コンフィギュレーション コマンドを使用します。キーワードとともにコマンドを入力すると、VLAN インターフェイスの IGMP クエリア機能をイネーブルにし、設定できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping querier [ vlan vlan-id ] [ address ip-address | max-response-time response-time | query-interval interval-count | tcn query [ count count | interval interval ] | timer expiry | version version ]

no ip igmp snooping querier [ vlan vlan-id ] [ address | max-response-time | query-interval | tcn query { count count | interval interval } | timer expiry | version ]

 
シンタックスの説明

vlan vlan-id

(任意)指定された VLAN(仮想 LAN)で IGMP スヌーピングおよび IGMP クエリア機能をイネーブルにします。指定できる範囲は、1 ~ 1001 および 1006 ~ 4094 です。

address ip-address

(任意)送信元 IP アドレスを指定します。IP アドレスを指定しない場合、クエリアは IGMP クエリアに設定されたグローバル IP アドレスを使用しようとします。

max-response-time response-time

(任意)IGMP クエリア レポートを待機する最大時間を設定します。指定できる範囲は 1 ~ 25 秒です。

query-interval interval-count

(任意)IGMP クエリアの間隔を設定します。指定できる範囲は 1 ~ 18000 秒です。

tcn query[count count | interval interval ]

(任意)Topology Change Notification(TCN; トポロジー変更通知)に関連するパラメータを設定します。キーワードの意味は次のとおりです。

count count - TCN の間隔中に実行する TCN クエリーの数を設定します。指定できる範囲は 1 ~ 10 です。

interval interval - TCN クエリーの間隔を設定します。指定できる範囲は 1 ~ 255 です。

timer expiry

(任意)IGMP クエリアが期限切れになる時間を設定します。指定できる範囲は 60 ~ 300 秒です。

version version

(任意)クエリア機能が使用する IGMP バージョン番号を選択します。1 または 2 を選択できます。

 
デフォルト

IGMP スヌーピング クエリア機能は、スイッチでグローバルにディセーブルになっています。

イネーブルの場合、マルチキャスト対応デバイスからの IGMP トラフィックを検出すると、IGMP スヌーピング クエリア自身が機能をディセーブルにします。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

querier とも呼ばれる IGMP クエリー メッセージを送信するデバイスの IGMP バージョンおよび IP アドレスを検出するために IGMP スヌーピングをイネーブルにするには、このコマンドを使用します。

デフォルトでは、IGMP Version 2 (IGMPv2)を使用するデバイスを検出するように IGMP スヌーピング クエリアが設定されており、IGMP Version 1 (IGMPv1)を使用しているクライアントを検出しません。デバイスが IGMPv2 を使用する場合は、手動で max-response-time 値を設定できます。デバイスが IGMPv1 を使用する場合は、 max-response-time を設定できません (値を設定することができず、0 に設定されています)。

IGMPv1 が稼動している RFC に準拠しないデバイスは、 max-response-time 値として 0 以外の値を持つ IGMP の一般的なクエリー メッセージを拒否する可能性があります。デバイスが IGMP の一般的なクエリー メッセージを受け入れるようにする場合、IGMPv1 を稼動するように IGMP スヌーピング クエリアを設定します。

VLAN ID 1002 ~ 1005 はトークンリングおよび FDDI VLAN 用に確保されているため、IGMP スヌーピングには使用できません。

次の例では、IGMP スヌーピング クエリア機能をグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping querier
 

次の例では、IGMP スヌーピング クエリアの最大応答時間を 25 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier max-response-time 25
 

次の例では、IGMP スヌーピング クエリアの間隔を 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier query-interval 60
 

次の例では、IGMP スヌーピング クエリアの TCN クエリー カウントを 25 に設定する方法を示します。

Switch(config)# ip igmp snooping querier tcn count 25
 

次の例では、IGMP スヌーピング クエリアのタイムアウトを 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier timeout expiry 60
 

次の例では、IGMP スヌーピング クエリア機能をバージョン 2 に設定する方法を示します。

Switch(config)# ip igmp snooping querier version 2
 

show ip igmp snooping 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

IGMP スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

 

ip igmp snooping report-suppression

Internet Group Management Protocol(IGMP)レポート抑制をイネーブルにするには、 ip igmp snooping report-suppression グローバル コンフィギュレーション コマンドを使用します。IGMP レポート抑制をディセーブルにして、すべての IGMP レポートをマルチキャスト ルータへ転送するには、このコマンドの no 形式を使用します。

ip igmp snooping report-suppression

no ip igmp snooping report-suppression

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

IGMP レポート抑制は、イネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

IGMP レポート抑制は、マルチキャスト クエリーに IGMPv1 レポートおよび IGMPv2 レポートが含まれる場合だけにサポートされます。この機能は、クエリーに IGMPv3 レポートが含まれる場合はサポートされません。

このスイッチは、IGMP レポート抑制を使用してマルチキャスト ルータ クエリーごとに 1 つの IGMP レポートだけをマルチキャスト デバイスに転送します。IGMP ルータ抑制がイネーブル(デフォルト)にされている場合は、スイッチは最初の IGMP レポートをグループのすべてのホストからすべてのマルチキャスト ルータに転送します。スイッチは、グループの残りの IGMP レポートをマルチキャスト ルータに転送しません。この機能は、マルチキャスト デバイスに複製レポートが転送されるのを防ぎます。

マルチキャスト ルータ クエリーに IGMPv1 および IGMPv2 レポートの要求だけが含まれる場合は、スイッチは最初の IGMPv1 または IGMPv2 レポートだけをグループのすべてのホストからすべてのマルチキャスト ルータに転送します。マルチキャスト ルータ クエリーに IGMPv3 レポートの要求も含まれる場合は、スイッチはグループのすべての IGMPv1、IGMPv2、および IGMPv3 レポートをマルチキャスト デバイスに転送します。

no ip igmp snooping report-suppression コマンドを使用して IGMP レポート抑制をディセーブルにする場合は、すべての IGMP レポートがすべてのマルチキャスト ルータに転送されます。

次の例では、レポート抑制をディセーブルにする方法を示します。

Switch(config)# no ip igmp snooping report-suppression
 

show ip igmp snooping 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping

IGMP スヌーピングをスイッチまたは VLAN でイネーブルにします。

show ip igmp snooping

スイッチまたは VLAN の IGMP スヌーピング設定を表示します。

 

ip igmp snooping tcn

Internet Group Management Protocol(IGMP)Topology Change Notification(TCN; トポロジー変更通知)の動作を設定するには、 ip igmp snooping tcn グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping tcn { flood query count count | query solicit }

no ip igmp snooping tcn { flood query count | query solicit }

 
シンタックスの説明

flood query count count

マルチキャスト トラフィックがフラッディングする IGMP の一般的クエリ数を指定します。指定できる範囲は 1 ~ 10 です。

query solicit

TCN イベント中に発生したフラッド モードから回復するプロセスの速度を上げるために、IGMP 脱退メッセージ(グローバル脱退)を送信します。

 
デフォルト

TCN フラッド クエリー カウントは 2 です。

TCN クエリー要求はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

TCN イベント後にマルチキャスト トラフィックがフラッディングする時間を制御するには、 ip igmp snooping tcn flood query count グローバル コンフィギュレーション コマンドを使用します。 ip igmp snooping tcn flood query count コマンドを使用して TCN フラッド クエリー カウントを 1 に設定した場合、1 つの一般的クエリーの受信後にフラッディングが停止します。カウントを 7 に設定すると、TCN イベントによるマルチキャスト トラフィックのフラッディングは、7 つの一般的クエリーを受信するまで継続します。グループは、TCN イベント中に受信した一般的クエリーに基づいて学習されます。

スパニング ツリー ルートかどうかに関わらず、グローバル脱退メッセージを送信するようにスイッチをイネーブルにするには、 ip igmp snooping tcn query solicit グローバル コンフィギュレーション コマンドを使用します。また、このコマンドは、TCN イベント中に発生したフラッド モードから回復するプロセスの速度を上げます。

次の例では、マルチキャスト トラフィックがフラッディングする IGMP の一般的クエリー数を 7 に指定する方法を示します。

Switch(config)# no ip igmp snooping tcn flood query count 7
 

show ip igmp snooping 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping

IGMP スヌーピングをスイッチまたは VLAN でイネーブルにします。

ip igmp snooping tcn flood

インターフェイスのフラッディングを IGMP スヌーピング スパニングツリー TCN 動作として指定します。

show ip igmp snooping

スイッチまたは VLAN の IGMP スヌーピング設定を表示します。

 

ip igmp snooping tcn flood

マルチキャスト フラッディングを Internet Group Management Protocol(IGMP)スヌーピング スパニングツリー Topology Change Notification(TCN; トポロジー変更通知)の動作として設定するには、 ip igmp snooping tcn flood インターフェイス コンフィギュレーション コマンドを使用します。マルチキャスト フラッディングをディセーブルにする場合は、このコマンドの no 形式を使用します。

ip igmp snooping tcn flood

no ip igmp snooping tcn flood

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

マルチキャスト フラッディングは、スパニングツリー TCN のイベント中、インターフェイス上でイネーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

スイッチが TCN を受信すると、2 つの一般的クエリーが受信されるまで、マルチキャスト トラフィックはすべてのポートに対してフラッディングします。異なるマルチキャスト グループに加入している接続ホストを持つ、多くのポートがスイッチにある場合、フラッディングがリンクの容量を超過し、パケット損失を招くことがあります。

ip igmp snooping tcn flood query count count グローバル コンフィギュレーション コマンドを使用して、フラッディング クエリー カウントを変更できます。

次の例では、インターフェイス上でマルチキャスト フラッディングをディセーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# no ip igmp snooping tcn flood
 

show ip igmp snooping 特権 EXEC コマンドを入力すれば、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping

IGMP スヌーピングをスイッチまたは VLAN でイネーブルにします。

ip igmp snooping tcn

スイッチで IGMP TCM 動作を設定します。

show ip igmp snooping

スイッチまたは VLAN の IGMP スヌーピング設定を表示します。

ip igmp snooping vlan immediate-leave

VLAN(仮想 LAN)ごとに Internet Group Management Protocol(IGMP)スヌーピング即時脱退処理をイネーブルにするには、 ip igmp snooping immediate-leave グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id immediate-leave

no ip igmp snooping vlan vlan-id immediate-leave

 
シンタックスの説明

vlan-id

(任意)指定された VLAN(仮想 LAN)で IGMP スヌーピングおよび即時脱退機能をイネーブルにします。指定できる範囲は、1 ~ 1001 および 1006 ~ 4094 です。

 
デフォルト

IGMP 即時脱退処理はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN ID 1002 ~ 1005 はトークンリングおよび FDDI VLAN 用に確保されているため、IGMP スヌーピングには使用できません。

即時脱退機能を設定する必要があるのは、VLAN 内の各ポートに存在するレシーバーが最大 1 つである場合だけです。設定は、NVRAM(不揮発性 RAM)に保存されます。

即時脱退機能をサポートするのは、IGMP バージョン 2 が稼動しているホストだけです。

次の例では、VLAN 1 で IGMP 即時脱退処理をイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1 immediate-leave
 

show ip igmp snooping 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチ上に設定された IGMP クエリアの設定および動作情報を表示します。

 

ip igmp snooping vlan mrouter

マルチキャスト ルータ ポートを追加する、あるいはマルチキャスト学習方式を設定するには、 ip igmp snooping mrouter グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn { cgmp | pim-dvmrp }}

no ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn { cgmp | pim-dvmrp }}

 
シンタックスの説明

vlan-id

IGMP スヌーピングをイネーブルにし、指定された VLAN にマルチキャスト ルータ ポートとしてポートを追加します。指定できる範囲は、1 ~ 1001 および 1006 ~ 4094 です。

interface interface-id

マルチキャスト ルータにネクスト ホップ インターフェイスを指定します。キーワードの意味は次のとおりです。

fastethernet interface number - ファスト イーサネット IEEE 802.3 インターフェイス

gigabitethernet interface number - ギガビット イーサネット IEEE 802.3z インターフェイス。

port-channel interface number - チャネル インターフェイス。指定できる範囲は 0 ~ 6 です。

learn { cgmp | pim-dvmrp }

マルチキャスト ルータの学習方式を指定します。キーワードの意味は次のとおりです。

cgmp - Cisco Group Management Protocol(CGMP)パケットでのスヌーピングによりスイッチがマルチキャスト ルータ ポートを学習するよう設定します。

pim-dvmrp - IGMP クエリーおよび Protocol-Independent Multicasting-Distance Vector Multicast Routing Protocol(PIM-DVMRP)パケットのスヌーピングによりスイッチがマルチキャスト ルータ ポートを学習するよう設定します。

 
デフォルト

デフォルトでは、マルチキャスト ルータ ポートはありません。

デフォルトの学習方式は pim-dvmrp です。IGMP クエリーと PIM-DVMRP パケットをスヌーピングします。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN ID 1002 ~ 1005 はトークンリングおよび FDDI VLAN 用に確保されているため、IGMP スヌーピングには使用できません。

CGMP 学習方式は、制御トラフィックの削減に役立ちます。

設定は、NVRAM(不揮発性 RAM)に保存されます。

次の例では、ポートをマルチキャスト ルータ ポートとして設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 mrouter interface gigabitethernet1/0/22
 

次の例では、マルチキャスト ルータ学習方式を CGMP に指定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 mrouter learn cgmp
 

show ip igmp snooping 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチ上に設定された IGMP クエリアの設定および動作情報を表示します。

 

ip igmp snooping vlan static

Internet Group Management Protocol(IGMP)スヌーピングをイネーブルにし、レイヤ 2 ポートをマルチキャストグループ のメンバーとしてスタティックに追加するには、 ip igmp snooping static グローバル コンフィギュレーション コマンドを使用します。スタティック マルチキャスト グループのメンバーとして指定されたポートを削除するには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id static ip-address interface interface-id

no ip igmp snooping vlan vlan-id static ip-address interface interface-id

 
シンタックスの説明

vlan-id

指定された VLAN(仮想 LAN)で IGMP スヌーピングをイネーブルにします。指定できる範囲は、1 ~ 1001 および 1006 ~ 4094 です。

ip-address

レイヤ 2 ポートを、指定のグループ IP アドレスを持つマルチキャスト グループのメンバーとして追加します。

interface interface-id

メンバー ポートのインターフェイスを指定します。キーワードの意味は次のとおりです。

fastethernet interface number - ファスト イーサネット IEEE 802.3 インターフェイス

gigabitethernet interface number - ギガビット イーサネット IEEE 802.3z インターフェイス。

port-channel interface number - チャネル インターフェイス。指定できる範囲は 0 ~ 6 です。

 
デフォルト

デフォルトでは、マルチキャスト グループのメンバーとしてスタティックに設定されているポートはありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN ID 1002 ~ 1005 はトークンリングおよび FDDI VLAN 用に確保されているため、IGMP スヌーピングには使用できません。

設定は、NVRAM(不揮発性 RAM)に保存されます。

次の例では、インターフェイス上でホストをスタティックに設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 static 0100.5e02.0203 interface gigabitethernet1/0/1
Configuring port gigabitethernet1/0/1 on group 0100.5e02.0203
 

show ip igmp snooping 特権 EXEC コマンドを入力すれば、設定を確認することができます。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチ上に設定された IGMP クエリアの設定および動作情報を表示します。

 

ip ssh

Secure Shell(SSH; セキュア シェル)version 1(SSHv1)または SSH version 2(SSHv2)を実行するようにスイッチを設定するには、 ip ssh グローバル コンフィギュレーション コマンドを使用します。このコマンドを使用するには、スイッチで暗号化ソフトウェア イメージが実行されている必要があります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip ssh version [ 1 | 2 ]

no ip ssh version [ 1 | 2 ]

 
シンタックスの説明

1

(任意)スイッチが SSH バージョン 1(SSHv1)を実行するように設定します。

2

(任意)SSHv2 を実行するようにスイッチを設定します。

 
デフォルト

デフォルトのバージョンは、SSH クライアントによってサポートされる最新の SSH バージョンです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力しない場合、またはキーワードを指定しない場合は、SSH サーバは SSH クライアントがサポートする最新の SSH バージョンを選択します。たとえば、SSH クライアントが SSHv1 および SSHv2 をサポートする場合は、SSH サーバは SSHv2 を選択します。

スイッチは、SSHv1 または SSHv2 サーバをサポートします。また、スイッチは SSHv1 クライアントをサポートします。SSH サーバおよび SSH クライアントの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

SSHv1 サーバによって生成された Rivest、Shamir、Adelman(RSA)キー ペアは、SSHv2 サーバで使用することができます。その逆の場合も同様です。

次の例では、SSHv2 を実行するようにスイッチを設定する方法を示します。

Switch(config)# ip ssh version 2
 

show ip ssh または show ssh 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show ip ssh

SSH サーバがイネーブルかどうかを表示し、SSH サーバのバージョンおよび設定情報を表示します。構文情報については、 Cisco IOS Release 12.2 Configuration Guides and Command References > Cisco IOS Security Command Reference, Release 12.2 > Other Security Features > Secure Shell Commands を選択してください。

show ssh

SSH サーバのステータスを表示します。構文情報については、 Cisco IOS Release 12.2 Configuration Guides and Command References > Cisco IOS Security Command Reference, Release 12.2 > Other Security Features > Secure Shell Commands を選択してください。

ipv6 mld snooping

IP version 6(IPv6)Multicast Listener Discovery(MLD)スヌーピングをグローバルに、または指定の VLAN(仮想 LAN)上でイネーブルにするには、キーワードなしで ipv6 mld snooping グローバル コンフィギュレーション コマンドを使用します。MLD スヌーピングを、スイッチ、スイッチスタック、または VLAN 上でディセーブルにする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ]

no ipv6 mld snooping [ vlan vlan-id ]


) このコマンドは、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM)テンプレートが設定されている場合だけ使用できます。


 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN で IPv6 MLD スヌーピングをイネーブルまたはディセーブルにします。指定できる VLAN ID 範囲は 1 ~ 1001 および 1006 ~ 4094 です。

 
デフォルト

スイッチ上で、MLD スヌーピングはグローバルにディセーブルです。

すべての VLAN で MLD スヌーピングはイネーブルです。ただし、VLAN スヌーピングが実行される前に、MLD スヌーピングをグローバルにイネーブルにする必要があります。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

MLD スヌーピングがグローバルにディセーブルである場合、すべての既存の VLAN インターフェイスで MLD スヌーピングがディセーブルになります。MLD スヌーピングをグローバルにイネーブルにすると、デフォルトの状態(イネーブル)であるすべての VLAN インターフェイス上でMLD スヌーピングがイネーブルになります。VLAN 設定は、MLD スヌーピングがディセーブルのインターフェイス上のグローバル コンフィギュレーションを上書きします。

MLD スヌーピングがグローバルにディセーブルである場合、VLAN 上でMLD スヌーピングをイネーブルにできません。MLD スヌーピングがグローバルにイネーブルである場合、個々の VLAN 上でMLD スヌーピングをディセーブルにできます。

IPv6 マルチキャスト ルータが Catalyst 6500 スイッチであり、拡張 VLAN(範囲 1006 ~ 4094)を使用する場合、スイッチが VLAN 上でクエリーを受信できるようにするため、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの拡張 VLAN でイネーブルにする必要があります。標準範囲 VLAN(1 ~ 1005)の場合、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの VLAN でイネーブルにする必要はありません。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、MLD スヌーピングをグローバルにイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping
 

次の例では、MLD スヌーピングを VLAN でディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping vlan 11
 

設定を確認するには、 show ipv6 mld snooping ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

MLD スヌーピング設定を表示します。

 

ipv6 mld snooping last-listener-query-count

  1. クライアントがエージング アウトになる前に送信される IP version 6(IPv6)Multicast Listener Discovery(MLD)Multicast Address Specific Queries(MASQ)を設定するには、 ipv6 mld snooping last-listener-query-count グローバル コンフィギュレーション コマンドを使用します。クエリー カウントをデフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] last-listener-query-count integer_value

no ipv6 mld snooping [ vlan vlan-id ] last-listener-query-count


) このコマンドは、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM)テンプレートが設定されている場合だけ使用できます。


 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN で last-listener クエリー カウントを設定します。指定できる VLAN ID 範囲は 1 ~ 1001 および 1006 ~ 4094 です。

integer_value

指定できる範囲は 1 ~ 7 です。

 
コマンドのデフォルト

デフォルトのグローバル カウントは 2 です。

デフォルトの VLAN カウントは 0 です(グローバル カウントを使用します)。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

MLD スヌーピングでは、IPv6 マルチキャスト ルータはマルチキャスト グループに所属するホストにクエリーを定期的に送信します。ホストがマルチキャスト グループを脱退する場合、ホストはメッセージを表示せずに脱退するか、または Multicast Listener Done メッセージでクエリーに応答できます(IGMP Leave メッセージに相当)。即時脱退が設定されていない場合(1 つのグループに対し複数のクライアントが同じポート上に存在する場合は設定しない)、設定された last-listener クエリー カウントにより、MLD クライアントが期限切れになる前に送信する MASQ の数が決定します。

last-listener クエリー カウントが VLAN 用に設定されている場合、このカウントはグローバルに設定された値より優先されます。VLAN カウントが設定されていない(デフォルトの 0 に設定されている)場合は、グローバル カウントが使用されます。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、last-listener クエリー カウントをグローバルに設定する方法を示します。

Switch(config)# ipv6 mld snooping last-listener-query-count 1
 

次の例では、last-listener クエリー カウントを VLAN 10 に設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 10 last-listener-query-count 3
 

設定を確認するには、 show ipv6 mld snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping last-listener-query-interval

IPv6 MLD スヌーピング last-listener クエリー間隔を設定します。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping querier

MLD スヌーピング設定を表示します。

ipv6 mld snooping last-listener-query-interval

スイッチまたは VLAN で IP version 6(IPv6)Multicast Listener Discovery(MLD)スヌーピングの last-listener クエリー間隔を設定するには、 ipv6 mld snooping last-listener-query-interval グローバル コンフィギュレーション コマンドを使用します。この時間間隔は、Mulitcast Address Specific Query(MASQ)マルチキャスト グループからポートを削除する前にマルチキャスト ルータが待機する最大時間です。クエリー時間をデフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] last-listener-query-interval integer_value

no ipv6 mld snooping [ vlan vlan-id ] last-listener-query-interval


) このコマンドは、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM)テンプレートが設定されている場合だけ使用できます。


 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN(仮想 LAN)で last-listener クエリー時間を設定します。指定できる VLAN ID 範囲は 1 ~ 1001 および 1006 ~ 4094 です。

integer_value

MASQ を送信したあとマルチキャスト グループからポートを削除する前に MASQ マルチキャスト ルータが待機する時間(1000 秒単位)を設定します。指定できる範囲は 100 ~ 32,768 です。デフォルトは 1000(1 秒)です。

 
コマンドのデフォルト

デフォルトのグローバル クエリー間隔(最大応答時間)は 1000(1 秒)です。

デフォルトの VLAN クエリー間隔(最大応答時間)は 0 です(グローバル カウントが使用されます)。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

MLD スヌーピングでは、IPv6 マルチキャスト ルータが MLD 脱退メッセージを受信すると、マルチキャスト グループに所属するホストにクエリーを送信します。一定の時間、ポートから MASQ への応答がない場合、ルータはマルチキャスト アドレスのメンバーシップ データベースからそのポートを削除します。last listener クエリー間隔は、応答のないポートをマルチキャスト グループから削除する前にルータが待機する最大時間です。

VLAN クエリー間隔が設定されていると、グローバル クエリー間隔より優先されます。VLAN 間隔が 0 に設定されていると、グローバル値が使用されます。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、last-listener クエリー間隔を 2 秒にグローバルに設定する方法を示します。

Switch(config)# ipv6 mld snooping last-listener-query-interval 2000
 

次の例では、VLAN 1 用の last-listener クエリー間隔を 5.5 秒に設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 last-listener-query-interval 5500
 

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping last-listener-query-count

IPv6 MLD スヌーピング last-listener クエリー カウントを設定します。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping querier

IPv6 MLD スヌーピング last-listener クエリー間隔を設定します。

ipv6 mld snooping listener-message-suppression

IP version 6(IPv6)Multicast Listener Discovery(MLD)スヌーピング リスナー メッセージ抑制をイネーブルにするには、 ipv6 mld snooping listener-message-suppression グローバル コンフィギュレーション コマンドを使用します。MLD スヌーピング リスナー メッセージ抑制をディセーブルにする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping listener-message-suppression

no ipv6 mld snooping listener-message-suppression


) このコマンドは、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM)テンプレートが設定されている場合だけ使用できます。


 
コマンドのデフォルト

デフォルトでは、MLD スヌーピング リスナー メッセージ抑制はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

MLD スヌーピング リスナー メッセージ抑制は、IGMP レポート抑制に相当します。イネーブルの場合、グループに対する受信 MLDv1 レポートはレポート転送時間ごとに 1 回だけ IPv6 マルチキャスト ルータに転送されます。これにより、重複レポートの転送を避けられます。

次の例では、MLD スヌーピング リスナー メッセージ抑制をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping listener-message-suppression
 

次の例では、MLD スヌーピング リスナー メッセージ抑制をディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping listener-message-suppression
 

設定を確認するには、 show ipv6 mld snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping

IPv6 MLD スヌーピングをイネーブルにします。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

MLD スヌーピング設定を表示します。

ipv6 mld snooping robustness-variable

応答のないリスナーを削除するまでにスイッチが送信する IP version 6(IPv6)Multicast Listener Discovery(MLD)クエリーの数を設定するには、 ipv6 mld snooping robustness-variable グローバル コンフィギュレーション コマンドを使用します。VLAN ごとに設定するには、VLAN ID を入力します。変数をデフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] robustness-variable integer_value

no ipv6 mld snooping [ vlan vlan-id ] robustness-variable


) このコマンドは、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM)テンプレートが設定されている場合だけ使用できます。


 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN にロバストネス変数を設定します。指定できる VLAN ID 範囲は 1 ~ 1001 および 1006 ~ 4094 です。

integer_value

指定できる範囲は 1 ~ 3 です。

 
コマンドのデフォルト

デフォルトのグローバル ロバストネス変数(リスナーを削除する前のクエリー数)は、2 です。

デフォルトの VLAN ロバストネス変数(マルチキャスト アドレスが期限切れになる前のクエリー数)は 0 です。リスナーの期限の判断には、グローバル ロバストネス変数が使用されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

ロバストネスは、ポートをマルチキャスト グループから削除する前に送信された応答がなかった MLDv1 クエリー数の点から測定されます。設定された回数送信された MLDv1 クエリーに対して受信した MLDv1 レポートがない場合、ポートが削除されます。グローバル値により、スイッチが応答しないリスナーを削除する前に待機するクエリー数が決定し、VLAN 値が設定されていない VLAN すべてに適用します。

VLAN に設定されたロバストネス値はグローバル値より優先されます。VLAN ロバストネス値が 0(デフォルト)の場合、グローバル値が使用されます。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、スイッチが応答しないリスナー ポートを削除する前に 3 個のクエリーを送信するようグローバル ロバストネス変数を設定する方法を示します。

Switch(config)# ipv6 mld snooping robustness-variable 3
 

次の例では、VLAN 1 にロバストネス変数を設定する方法を示します。この値は VLAN のグローバル コンフィギュレーションより優先されます。

Switch(config)# ipv6 mld snooping vlan 1 robustness-variable 1
 

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping last-listener-query-count

IPv6 MLD スヌーピング last-listener クエリー カウントを設定します。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

MLD スヌーピング設定を表示します。

ipv6 mld snooping tcn

IP version 6(IPv6)Multicast Listener Discovery(MLD)Topology Change Notification(TCN; トポロジー変更通知)を設定するには、 ipv6 mld snooping tcn グローバル コンフィギュレーション コマンドを使用します。デフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping tcn { flood query count integer_value | query solicit }

no ipv6 mld snooping tcn { flood query count integer_value | query solicit }


) このコマンドは、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM)テンプレートが設定されている場合だけ使用できます。


 
シンタックスの説明

flood query count integer_value

フラッディング クエリー カウントを設定します。これは、クエリーの受信を要求したポートに対しマルチキャスト データを転送する前に送信されるクエリー数です。指定できる範囲は 1 ~ 10 です。

query solicit

TCN クエリーの送信請求をイネーブルにします。

 
コマンドのデフォルト

TCN クエリー送信請求はディセーブルです。

イネーブルの場合、デフォルトのフラッディング クエリー カウントは 2 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

次の例では、TCN クエリー送信請求をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping tcn query solicit.
 

次の例では、フラッディング クエリー カウントを 5 に設定する方法を示します。

Switch(config)# ipv6 mld snooping tcn flood query count 5.
 

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

MLD スヌーピング設定を表示します。

ipv6 mld snooping vlan

VLAN(仮想 LAN)インターフェイスで IP version 6(IPv6)Multicast Listener Discovery(MLD)スヌーピング パラメータを設定するには、 ipv6 mld snooping vlan グローバル コンフィギュレーション コマンドを使用します。パラメータをデフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping vlan vlan-id [ immediate-leave | mrouter interface interface-id | static ipv6-multicast-address interface interface-id ]

no ipv6 mld snooping vlan vlan-id [ immediate-leave | mrouter interface interface-id | static ip-address interface interface-id ]


) このコマンドは、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM)テンプレートが設定されている場合だけ使用できます。


 
シンタックスの説明

vlan vlan-id

VLAN 番号を指定します。指定できる範囲は、1 ~ 1001 および 1006 ~ 4094 です。

immediate-leave

(任意)VLAN インターフェイス上で、MLD の即時脱退処理をイネーブルにします。この機能をインターフェイス上でディセーブルにする場合は、このコマンドの no 形式を使用します。

mrouter interface

(任意)マルチキャスト ルータ ポートを設定します。設定を削除する場合は、このコマンドの no 形式を使用します。

static ipv6-multicast-address

(任意)指定の IPv6 マルチキャスト アドレスでマルチキャスト グループを設定します。

interface interface-id

レイヤ 2 ポートをグループに追加します。マルチキャスト ルータまたはスタティック インターフェイスは、物理ポートまたはインターフェイス範囲 1 ~ 48 の ポートチャネル インターフェイスになることができます。

 
コマンドのデフォルト

MLD スヌーピング即時脱退処理はディセーブルです。

デフォルトでは、スタティック IPv6 マルチキャスト グループは設定されていません。

デフォルトでは、マルチキャスト ルータ ポートはありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

VLAN の各ポート上に 1 つのレシーバーだけが存在する場合、即時脱退処理の機能だけを設定してください。設定は、NVRAM(不揮発性 RAM)に保存されます。

static キーワードは MLD メンバー ポートを静的に設定するために使用されます。

設定およびスタティック ポートとグループは、NVRAM に保存されます。

IPv6 マルチキャスト ルータが Catalyst 6500 スイッチであり、拡張 VLAN(範囲 1006 ~ 4094)を使用する場合、Catalyst 3750 または Catalyst 3560 スイッチが VLAN 上でクエリーを受信できるようにするため、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの拡張 VLAN でイネーブルにする必要があります。標準範囲 VLAN(1 ~ 1005)の場合、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの VLAN でイネーブルにする必要はありません。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、VLAN 1で MLD 即時脱退処理をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 immediate-leave
 

次の例では、VLAN 1で MLD 即時脱退処理をディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping vlan 1 immediate-leave
 

次の例では、ポートをマルチキャスト ルータ ポートとして設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 mrouter interface gigabitethernet1/01/2
 

次の例では、スタティック マルチキャスト グループを設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 2 static FF12::34 interface gigabitethernet1/01/2
 

設定を確認するには、 show ipv6 mld snooping vlan vlan-id ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping

IPv6 MLD スヌーピングをイネーブルにします。

ipv6 mld snooping vlan

VLAN で IPv6 MLD スヌーピングを設定します。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

IPv6 MLD スヌーピング設定を表示します。

 

lacp port-priority

Link Aggregation Control Protocol(LACP)のポート プライオリティを設定するには、 lacp port-priority インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

lacp port-priority priority

no lacp port-priority

 
シンタックスの説明

priority

LACP のポート プライオリティ。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルト値は 32768 です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

lacp port-priority インターフェイス コンフィギュレーション コマンドは、LACP チャネル グループに 8 つを超えるポートがある場合に、バンドルされるポートおよびホットスタンバイ モードになるポートを判別します。

LACP チャネルグループは、同じタイプのイーサネット ポートを 16 個まで保持できます。最大 8 つまでのポートがアクティブに、また最大 8 つのポートがスタンバイ モードになることができます。

ポートプライオリティの比較では、数値的に 小さい値ほど プライオリティが 高くなります 。LACP チャネル グループに 8 つを超えるポートがある場合、LACP ポート プライオリティで数値的に小さい(プライオリティの高い)方から 8 つのポートがチャネル グループにバンドルされ、プライオリティの低いポートはホットスタンバイ モードになります。2 つ以上のポートが同じ LACP ポート プライオリティである場合(たとえば、65535 のデフォルト設定になっている)、ポート番号の内部の値によってプライオリティが決まります。


) LACP ポート プライオリティは、LACP リンクを制御するスイッチ上にポートがある場合だけに有効です。リンクを制御するスイッチを判別するには、lacp system-priority グローバル コンフィギュレーション コマンドを参照してください。


LACP ポート プライオリティおよびポート番号内部の値を表示するには、 show lacp internal 特権 EXEC コマンド を使用します。

物理ポート上の LACP の設定に関する情報については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。

次の例では、ポートの LACP ポート プライオリティを設定する方法を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# lacp port-priority 1000
 

show lacp [ channel-group-number ] internal 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

lacp system-priority

LACP システム プライオリティを設定します。

show lacp [ channel-group-number ] internal

すべてのチャネル グループまたは指定のチャネル グループの内部情報を表示します。

lacp system-priority

Link Aggregation Control Protocol(LACP)のシステムプライオリティを設定するには、 lacp system-priority グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

lacp system-priority priority

no lacp system-priority

 
シンタックスの説明

priority

LACP のシステム プライオリティ。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルト値は 32768 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

lacp system-priority コマンドは、ポート プライオリティを制御する LACP リンクのスイッチを判別します。

LACP チャネルグループは、同じタイプのイーサネット ポートを 16 個まで保持できます。最大 8 つまでのポートがアクティブに、また最大 8 つのポートがスタンバイ モードになることができます。LACP チャネルグループに 8 つを超えるポートがある場合、リンクの制御エンドのスイッチはポート プライオリティを使用してチャネルにバンドルされるポート、およびホットスタンバイ モードになるポートを判別します。他のスイッチ(リンクの非制御エンド)のポート プライオリティは無視されます。

プライオリティの比較では、数値的に小さい値ほどプライオリティが高くなります。したがって、LACP システム プライオリティで数値的に小さい値(高いプライオリティ値)を持つシステムが、制御システムになります。両方のポートが同じ LACP システム プライオリティである場合(たとえば、両方とも 32768 のデフォルト設定になっている)、LACP システム ID(スイッチの MAC アドレス)によって制御されるスイッチが決まります。

lacp system-priority コマンドは、スイッチ上のすべての LACP EtherChannel に適用されます。

どのポートがホットスタンバイ モードであるかを確認するには、 show etherchannel summary 特権 EXEC コマンドを使用します(出力表示でポートステート フラグ H が表示されます)。

物理ポート上の LACP の設定に関する情報については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。

次の例では、LACP システム プライオリティを設定する方法を示します。

Switch(config)# lacp system-priority 20000
 

show lacp sys-id 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

lacp port-priority

LACP ポート プライオリティを設定します。

show lacp sys-id

LACP によって使用されるシステム識別子を表示します。

location (global configuration)

エンドポイントのロケーション情報を設定するには、 location global configuration コマンドを使用します。ローケーション情報を削除するには、このコマンドの no 形式を使用します。

location { admin-tag string | civic-location identifier id | elin-location string identifier id}

no location { admin-tag string | civic-location identifier id | elin-location string identifier id}

 
シンタックスの説明

admin-tag

管理タグまたはサイト情報を設定します。

civic-location

都市ロケーション情報を設定します。

elin-location

Emergency Location Information(ELIN; 緊急ロケーション情報)を設定します。

identifier id

都市ロケーションまたは ELIN ロケーションの ID を指定します。指定できる ID の範囲は 1 ~ 4095 です。

ストリング

サイトまたはロケーション情報を英数字で指定します。

 
デフォルト

このコマンドにはデフォルト設定がありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

location civic-location identifier id グローバル コンフィギュレーション コマンドを入力すると、都市ロケーション コンフィギュレーション モードに入ります。このモードでは、都市ロケーションと住所の情報を入力できます。

ロケーション TLV をディセーブルにするには、no lldp med-tlv-select location 情報インターフェイス コンフィギュレーション コマンドを使用します。ロケーション TLV は、デフォルトではイネーブルになっています。詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring LLDP and LLDP-MED」を参照してください。

次の例では、スイッチ上で都市ロケーション情報を設定する方法を示します。

Switch(config)# location civic-location identifier 1
Switch(config-civic)# number 3550
Switch(config-civic)# primary-road-name "Cisco Way"
Switch(config-civic)# city "San Jose"
Switch(config-civic)# state CA
Switch(config-civic)# building 19
Switch(config-civic)# room C6
Switch(config-civic)# county "Santa Clara"
Switch(config-civic)# country US
Switch(config-civic)# end
You can verify your settings by entering the show location civic-location privileged EXEC command.

次の例では、スイッチ上で 緊急ロケーション情報 を設定する方法を示します。

Switch (config)# location elin-location 14085553881 identifier 1
 

show location elin 特権 EXEC コマンド を入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

location (interface configuration)

インターフェイスのロケーション情報を設定します。

show location

エンドポイントのロケーション情報を表示します。

location (interface configuration)

インターフェイスのロケーション情報を入力するには、 location interface コマンドを使用します。インターフェイスのロケーション情報を削除する場合は、このコマンドの no 形式を使用します。

location { additional-location-information word | civic-location-id id | elin-location-id id}

no location { additional-location-information word | civic-location-id id | elin-location-id id}

 
シンタックスの説明

additional-location-information

ロケーションまたは場所の追加情報を設定します。

civic-location-id

インターフェイスのグローバル都市ロケーション情報を設定します。

elin-location-id

インターフェイスの緊急ロケーション情報を設定します。

id

都市ロケーションまたは ELIN ロケーションの ID を指定します。指定できる ID の範囲は 1 ~ 4095 です。

word

追加のロケーション情報を提供する語または語句を指定します。

 
デフォルト

このコマンドにはデフォルト設定がありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

location civic-location-id id インターフェイス コンフィギュレーション コマンドを入力すると、都市ロケーション コンフィギュレーション モードに入ります。このモードでは、追加のロケーション情報を入力できます。

次の例では、インターフェイスの都市ロケーション情報を入力する方法を示します。

Switch(config-if)# interface gigabitethernet1/0/1
Switch(config-if)# location civic-location-id 1
Switch(config-if)# end
 
Switch(config-if)# interface gigabitethernet2/0/1
Switch(config-if)# location civic-location-id 1
Switch(config-if)# end
 

show location civic interface 特権 EXEC コマンドを入力すると、設定を確認することができます。

次の例では、インターフェイスの緊急ロケーション情報を入力する方法を示します。

Switch(config)# interface gigabitethernet2/0/2
Switch(config-if)# location elin-location-id 1
Switch(config-if)# end
 

show location elin interface 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

link state group

エンドポイントのロケーション情報を設定します。

show location

エンドポイントのロケーション情報を表示します。

link state group

リンクステート グループのメンバーとしてポートを設定するには、 link state group インターフェイス コンフィギュレーション コマンドを使用します。リンクステート グループからポートを削除するには、このコマンドの no 形式を使用します。

link state group [ number ] { upstream | downstream }

no link state group [ number ] { upstream | downstream }

 
シンタックスの説明

number

(任意)リンクステート グループ番号を指定します。グループ番号は、1 ~ 2 です。デフォルトは 1 です。

upstream

ポートを特定のリンクステート グループのアップストリーム ポートとして設定します。

downstream

ポートを特定のリンクステート グループのダウンストリーム ポートとして設定します。

 
デフォルト

デフォルトのグループは group 1 です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

指定されたリンクステート グループのアップストリームまたはダウンストリーム インターフェイスとしてポートを設定するには、 link state group インターフェイス コンフィギュレーション コマンドを使用します。グループ番号が省略されている場合、デフォルトのグループ番号は 1 になります。

リンクステート トラッキングをイネーブルにするには、 リンクステート グループ を作成し、そのリンクステート グループに割り当てるインターフェイスを指定します。ポートの集合(EtherChannel)、アクセス モードまたはトランク モードの単一の物理ポート、またはルーテッド ポートをインターフェイスに指定できます。リンクステート グループでは、これらのインターフェイスが収束されます。 ダウンストリーム インターフェイス は、 アップストリーム インターフェイス にバインドされます。サーバに接続されているインターフェイスはダウンストリーム インターフェイスと見なされ、分散スイッチおよびネットワーク デバイスに接続されているインターフェイスはアップストリーム インターフェイスと見なされます。

ダウンストリーム インターフェイスとアップストリーム インターフェイスのやり取りに関する詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels and Link-State Tracking」を参照してください。

設定上の問題を回避するために、次の注意事項に従ってください。

アップストリーム インターフェイスとして定義されているインターフェイスを、同じまたは異なるリンクステート グループ内でダウンストリーム インターフェイスとしては定義できません。その逆も同様です。

インターフェイスは、複数のリンクステート グループのメンバーにはなれません。

スイッチごとに設定できるのは、2 つのリンクステート グループだけです。

次の例では、group 2 でインターフェイスを upstream として設定する方法を示します

Switch# configure terminal
Switch(config)# interface range gigabitethernet1/0/11 - 14
Switch(config-if-range)# link state group 2 downstream
Switch(config-if-range)# end
Switch(config-if)# end
 

show running-config 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

link state track

リンクステート グループをイネーブルにします。

show link state group

リンクステート グループ情報を表示します。

show running-config

現在の動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference for Release 12.2] > [Cisco IOS File Management Commands] > [Configuration File Commands] を選択してください。

 

link state track

リンクステート グループをイネーブルにするには、 link state track ユーザ EXEC コマンドを使用します。リンクステート グループをディセーブルにするには、このコマンドの no 形式を使用します。

link state track [ number ]

no link state track [ number ]

 
シンタックスの説明

number

(任意)リンクステート グループ番号を指定します。グループ番号は、1 ~ 2 です。デフォルト値は 1 です。

 
デフォルト

リンクステート トラッキングは、すべてのグループでディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

リンクステート グループをイネーブルにするには、 link state track グローバルコンフィギュレーション コマンドを使用します。

次の例では、リンクステート グループの group 2 をイネーブルにする方法を示します。

Switch(config)# link state track 2
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

link state track

リンクステート グループのメンバーとしてインターフェイスを設定します。

show link state group

リンクステート グループ情報を表示します。

show running-config

現在の動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference for Release 12.2] > [Cisco IOS File Management Commands] > [Configuration File Commands] を選択してください。

 

logging event

インターフェイス リンク ステータスの変更に関する通知をイネーブルにするには、 logging event インターフェイス コンフィギュレーション コマンドを使用します。通知をディセーブルにするには、このコマンドの no 形式を使用します。

logging event { bundle-status | link-status | spanning-tree | status | trunk status }

no logging event { bundle-status | link-status | spanning-tree | status | trunk status }

 
シンタックスの説明

bundle-status

BUNDLE および UNBUNDLE メッセージの通知をイネーブルにします。

link-status

インターフェイス データリンクのステータスの変更に関する通知をイネーブルにします。

spanning-tree

スパニングツリー イベントの通知をイネーブルにします。

status

スパニングツリー ステート変更メッセージの通知をイネーブルにします。

trunk-status

トランク ステータス メッセージの通知をイネーブルにします。

 
デフォルト

イベントのロギングはディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

次の例では、スパニングツリーのロギングをイネーブルにする方法を示します。

Switch(config-if)# logging event spanning-tree

logging event power-inline-status

Power over Ethernet(PoE)イベントのロギングをイネーブルにするには、 logging event power-inline-status インターフェイス コンフィギュレーション コマンドを使用します。PoE 状態イベントのロギングをディセーブルにする場合は、このコマンドの no 形式を使用しますが、このコマンドの no 形式を使用しても、PoE エラー イベントはディセーブルになりません。

logging event power-inline-status

no logging event power-inline-status

 
シンタックスの説明

power-inline-status

PoE メッセージのロギングをイネーブルにします。

 
デフォルト

PoE イベントのロギングはイネーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

power-inline-status キーワードは、PoE インターフェイスだけで使用できます。

次の例では、ポート上で PoE イベントのロギングをイネーブルにする方法を示します。

Switch(config-if)# interface gigabitethernet1/0/1
Switch(config-if)# logging event power-inline-status
Switch(config-if)#

 
関連コマンド

コマンド
説明

power inline

指定した PoE ポートまたはすべての PoE ポートの電力管理モードを設定します。

show controllers power inline

指定した PoE コントローラのレジスタの値を表示します。

 

logging file

ロギング ファイルのパラメータを設定するには、 logging file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します

logging file filesystem : filename [ max-file-size | nomax [ min-file-size ]] [ severity-level-number | type ]

no logging file filesystem: filename [ severity-level-number | type ]

 
シンタックスの説明

filesystem : filename

フラッシュ ファイル システムのエイリアスです。ログ メッセージが格納されるファイルのパスと名前が含まれます。

スタック メンバーまたはマスターのスタック上のローカル フラッシュ ファイル システムの構文:
flash:

スタック マスターから、スタック メンバー上のローカル フラッシュ ファイル システムの構文
flash member number

max-file-size

(任意)最大のロギング ファイル サイズを指定します。指定できる範囲は 4096 ~ 2147483647 です。

nomax

(任意)最大ファイル サイズ(2147483647)を指定します。

min-file-size

(任意)最小のロギング ファイル サイズを指定します。指定できる範囲は 1024 ~ 2147483647 です。

severity-level-number

(任意)ロギング重大度を指定します。指定できる範囲は 0 ~ 7 です。各レベルの意味については、 type オプションを参照してください。

type

(任意)ロギング タイプを指定します。次のキーワードが有効です。

emergencies - システムが使用不能(重大度 0)

alerts - すぐに対処が必要(重大度 1)

critical - クリティカル状態(重大度 2)

errors - エラー状態(重大度 3)

warnings - 警告状態(重大度 4)

notifications - 通常動作だが重要なメッセージ(重大度 5)

information - 通知メッセージ(重大度 6)

debugging - デバッグ メッセージ(重大度 7)

 
デフォルト

最小ファイル サイズは 2048 バイト、最大ファイル サイズは 4096 バイトです。

デフォルトの重大度レベルは 7 です( debugging メッセージと数値の小さいレベル)

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ログ ファイルは ASCII テキストの形式で、スタンドアロン スイッチの内部バッファに格納されます。スイッチ スタックの場合、スタック マスター上の内部バッファに格納されます。スタンドアロン スイッチまたはスタック マスターに障害が発生した場合、事前に logging file flash: filename グローバル コンフィギュレーション コマンドを使用して、フラッシュ メモリに保存していないかぎり、ログは失われます。

logging file flash: filename グローバル コンフィギュレーション コマンドによってログをフラッシュ メモリに保存したあとは、 more flash: filename 特権 EXEC コマンドを使用してその内容を表示することができます。

コマンドは、最小ファイル サイズが最大ファイル サイズから 1024 を引いたサイズより大きい場合は、それを拒否します。そのあと、最小ファイル サイズは、最大ファイル サイズから 1024 を引いたサイズになります。

level を指定すると、指定したレベル以下(数値的に)のメッセージが表示されます。

次の例では、フラッシュ メモリ内のファイルに通知ログ メッセージを保存する方法を示します。

Switch(config)# logging file flash:logfile informational
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

スイッチの実行コンフィギュレーションを表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

mac access-group

MAC(メディア アクセス制御)Access Control List(ACL; アクセス制御リスト)をレイヤ 2 インターフェイスに適用するには、 mac access-group インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスからすべてまたは指定の MAC ACL を削除する場合は、このコマンドの no 形式を使用します。MAC ACL を作成するには、 mac access-list extended グローバル コンフィギュレーション コマンドを使用します。

mac access-group { name } in

no mac access-group { name }

 
シンタックスの説明

name

名前付き MAC アクセス リストを指定します。

in

ACL が入力方向に適用されるように指定します。出力 ACL はレイヤ 2 インターフェイスではサポートされていません。

 
デフォルト

MAC ACL は、インターフェイスには適用されません。

 
コマンド モード

インターフェイス コンフィギュレーション(レイヤ 2 インターフェイスだけ)

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

MAC ACL は入力レイヤ 2 インターフェイスだけに適用できます。

レイヤ 2 インターフェイスでは、IP アクセス リストを使用して IP トラフィックをフィルタリングし、MAC アクセス リストを使用して非 IP トラフィックをフィルタリングできます。インターフェイスに IP ACL と MAC ACL の両方を適用すると、同じレイヤ 2 インターフェイスで IP トラフィックと非 IP トラフィックの両方をフィルタリングできます。同じレイヤ 2 インターフェイスには、IP アクセス リストと MAC アクセス リストを 1 つずつしか適用できません。

MAC ACL がすでにレイヤ 2 インターフェイスに設定されており、新しい MAC ACL をインターフェイスに適用した場合、以前に設定されていた ACL は新しい ACL で置換されます。

スイッチは、MAC ACL が適用されたインターフェイス上で入力パケットを受信すると、その ACL 内の一致条件を調べます。条件が一致すると、スイッチは ACL に従ってパケットを転送または廃棄します。

指定された ACL が存在しない場合、スイッチはすべてのパケットを転送します。

MAC 拡張 ACL を設定する方法の詳細については、このリリースのソフトウェア コンフィギュレーション ガイドの「Configuring Network Security with ACLs」の章を参照してください。

次の例では、macacl2 と名付けられた MAC 拡張 ACL をインターフェイスに適用する方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# mac access-group macacl2 in
 

show mac access-group 特権 EXEC コマンドを入力すると、設定を確認することができます。 show access-lists 特権 EXEC コマンドを入力すると、スイッチに設定された ACL を表示することができます。

 
関連コマンド

コマンド
説明

show access-lists

スイッチで設定される ACL を表示します。

show link state group

スイッチで設定される MAC ACL を表示します。

show running-config

スイッチの実行コンフィギュレーションを表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

mac access-list extended

非 IP トラフィックの MAC(メディア アクセス制御)アドレスに基づいたアクセス リストを作成するには、 mac access-list extended グローバル コンフィギュレーション コマンドを使用します。このコマンドを使用すると、拡張 MAC アクセス リスト コンフィギュレーション モードに入ります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mac access-list extended name

no mac access-list extended name

 
シンタックスの説明

name

MAC 拡張アクセス リストに名前を割り当てます。

 
デフォルト

デフォルトでは、MAC アクセス リストは作成されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

MAC 名前付き拡張リストは、クラス マップとともに使用されます。

名前付き MAC 拡張 ACL は、レイヤ 2 インターフェイスに適用できます。

mac access-list extended コマンドを入力すると、MAC アクセス リスト コンフィギュレーション モードがイネーブルになります。使用できるコンフィギュレーション コマンドは、次のとおりです。

default :コマンドをそのデフォルトに設定します。

deny :パケットを拒否するように指定します。詳細については、deny (MAC access-list configuration)MAC アクセス リスト コンフィギュレーション コマンドを参照してください。

exit :MAC アクセス リスト コンフィギュレーション モードを終了します。

no :コマンドを無効にするか、デフォルト値を設定します。

permit :パケットを転送するように指定します。詳細については、permit (MAC access-list configuration) コマンドを参照してください。

MAC 拡張アクセス リストの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、名前付き MAC 拡張アクセス リスト mac1 を作成し、拡張 MAC アクセス リスト コンフィギュレーション モードを開始する方法を示します。

Switch(config)# mac access-list extended mac1
Switch(config-ext-macl)#
 

次の例では、名前付き MAC 拡張アクセス リスト mac1 を削除する方法を示します。

Switch(config)# no mac access-list extended mac1
 

show access-lists 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

deny (MAC access-list configuration)

permit (MAC access-list configuration)

MAC ACL を設定します(拡張 MAC アクセス リスト コンフィギュレーション モード)。

show access-lists

スイッチで設定されるアクセス リストを表示します。

mac address-table aging-time

ダイナミック エントリが使用または更新されたあと、MAC(メディア アクセス制御)アドレス テーブル内に維持される時間を設定するには、 mac address-table aging-time グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。エージング タイムは、すべての VLAN(仮想 LAN)または指定の VLAN に適用されます。

mac address-table aging-time { 0 | 10-1000000 } [ vlan vlan-id ]

no mac address-table aging-time { 0 | 10-1000000 } [ vlan vlan-id ]

 
シンタックスの説明

0

この値はエージング タイムをディセーブルにします。スタティック アドレス エントリは、期限切れになることもテーブルから削除されることもありません。

10-1000000

エージング タイム(秒)。指定できる範囲は 10 ~ 1000000 秒です。

vlan vlan-id

(任意)エージング タイムを適用する VLAN ID を指定します。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルト値は 300 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

ホストが継続して送信しない場合、エージング タイムを増やして、より長い時間ダイナミック エントリを記録してください。時間を増やすと、ホストが再送信した場合にフラッディングが起こりにくくなります。

特定の VLAN を指定しない場合、このコマンドはすべての VLAN にエージング タイムを設定します。

次の例では、すべての VLAN に対してエージング タイムを 200 秒に設定する方法を示します。

Switch(config)# mac address-table aging-time 200
 

show mac address-table aging-time 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

show mac address-table aging-time

すべての VLAN または指定された VLAN の MAC アドレス テーブルのエージング タイムを表示します。

mac address-table learning vlan

VLAN 上で MAC アドレス ラーニングをイネーブルにするには、 mac address-table learning グローバル コンフィギュレーション コマンドを使用します。これは、デフォルトのステートです。どの VLAN が MAC アドレスを学習できるのかを制御する MAC アドレス ラーニングを VLAN 上でディセーブルにするには、このコマンドの no 形式を使用します。

mac address-table learning vlan vlan-id

no mac address-table notification vlan vlan-id

 
シンタックスの説明

vlan-id

指定できる VLAN ID の範囲は 1 ~ 4094 です。内部 VLAN であってはなりません。

 
デフォルト

デフォルトでは、すべての VLAN で MAC アドレス ラーニングがイネーブルになっています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN 上で MAC アドレス ラーニングを制御している場合、MAC アドレスを学習する VLAN(つまりポート)を制御することによって、有効な MAC アドレス テーブル スペースを管理できます。

MAC アドレス ラーニングをディセーブルにする場合は、ネットワーク トポロジとスイッチ システムの設定をよく理解していることを確認してください。MAC アドレス ラーニングをディセーブルにすると、ネットワークでのフラッディングの原因となる場合があります。たとえば、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)が設定された VLAN で MAC アドレス ラーニングをディセーブルにすると、そのスイッチでは、レイヤ 2 ドメインのすべての IP パケットでフラッディングが発生します。3 つ以上のポートを持つ VLAN で MAC アドレス ラーニングをディセーブルにすると、その VLAN ドメインでは、スイッチに入力されるすべてのパケットについてフラッディングが発生します。MAC アドレス ラーニングは、ポートを 2 つだけ持つ VLAN だけでディセーブルにし、SVI が設定されている VLAN で MAC アドレス ラーニングをディセーブルにする場合は注意を払うことをお勧めします。

スイッチが内部的に使用する VLAN で MAC アドレス ラーニングはディセーブルにできません。 no mac address-table learning vlan vlan-id コマンドで入力した VLAN ID が内部 VLAN の場合、エラー メッセージが生成されてコマンドが拒否されます。使用されている内部 VLAN を表示するには、 show vlan internal usage 特権 EXEC コマンドを入力します。

プライベート VLAN のプライマリまたはセカンダリ VLAN として設定されている VLAN で MAC アドレス ラーニングをディセーブルにしても、プライベート VLAN に属するもう一方の VLAN(プライマリまたはセカンダリ)では MAC アドレスの学習が実行されます。

RSPAN VLAN での MAC アドレス ラーニングはディセーブルにできません。この設定は許可されません。

セキュア ポートを含む VLAN で MAC アドレス ラーニングをディセーブルにしても、セキュア ポートでの MAC アドレス ラーニングはディセーブルになりません。あとでインターフェイスのポート セキュリティをディセーブルにすると、ディセーブルの MAC アドレス ラーニング ステートはイネーブルになります。

すべての VLAN または指定された VLAN の MAC アドレス ラーニングのステータスを表示するには、 show mac-address-table learning [ vlan vlan-id ] コマンドを入力します。

次の例では、VLAN 2003 上で MAC アドレス ラーニングをディセーブルにする方法を示します。

Switch(config)# no mac address-table learning vlan 2003
 

すべての VLAN または指定された VLAN の MAC アドレス ラーニングのステータスを表示するには、 show mac address-table learning [ vlan vlan-id ] コマンドを入力します。

 
関連コマンド

コマンド
説明

show mac address-table learning

すべての VLAN または指定された VLAN の MAC アドレス ラーニングのステータスを表示します。

mac address-table move update

MAC(メディア アクセス制御)アドレス テーブル移行更新機能をイネーブルにするには、 mac address-table move update グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mac address-table move update { receive | transmit }

no mac address-table move update { receive | transmit }

 
シンタックスの説明

receive

スイッチが MAC アドレステーブル移行更新メッセージを処理するよう指定します。

transmit

プライマリ リンクがダウンし、スタンバイ リンクが起動した場合、スイッチが MAC アドレステーブル移行更新メッセージをネットワークの他のスイッチに送信するよう指定します。

 
コマンド モード

グローバル コンフィギュレーション

 
デフォルト

デフォルトでは、MAC アドレステーブル移行更新機能はディセーブルです。

 
コマンドの履歴

リリース
変更内容

12.2(46)EX

このコマンドが追加されました。

 
使用上のガイドライン

MAC アドレステーブル移行更新機能により、プライマリ(フォワーディング)リンクがダウンし、スタンバイ リンクがトラフィックのフォワーディングを開始した場合、スイッチは高速双方向コンバージェンスを提供できます。

プライマリ リンクがダウンし、スタンバイ リンクが起動した場合、アクセス スイッチが MAC アドレステーブル移行更新メッセージを送信するように設定できます。アップリンク スイッチが、MAC アドレステーブル移行更新メッセージを受信および処理するように設定できます。

次の例では、アクセス スイッチが MAC アドレス テーブル移行更新メッセージを送信するように設定する方法を示します。

Switch# configure terminal
Switch(conf)# mac address-table move update transmit
Switch(conf)# end
 

次の例では、アップリンク スイッチが MAC アドレス テーブル移行更新メッセージを取得および処理するように設定する方法を示します。

Switch# configure terminal
Switch(conf)# mac address-table move update receive
Switch(conf)# end
 

show mac address-table move update 特権 EXEC コマンドを入力すると、設定を確認することができます。

 
関連コマンド

コマンド
説明

clear mac address-table move update

MAC アドレステーブル移行更新グローバル カウンタをクリアします。

debug matm move update

MAC アドレステーブル移行更新メッセージ処理をデバッグします。

show mac address-table move update

スイッチに MAC アドレス テーブル移行更新情報を表示します。

mac address-table notification

スイッチ スタックで MAC(メディア アクセス制御)アドレス通知機能をイネーブルにするには、 mac address-table notification グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mac address-table notification [ history-size value ] | [ interval value ]

no mac address-table notification [ history-size | interval ]

 
シンタックスの説明

history-size value

(任意)MAC 通知履歴テーブルの最大エントリ数を設定します。指定できる範囲は 0 ~ 500 エントリです。

interval value

(任意)通知トラップの間隔を設定します。この時間量が過ぎると、スイッチ スタックは通知トラップを送信します。指定できる範囲は 0 ~ 2147483647 秒です。

 
デフォルト

デフォルトでは、MAC アドレス通知機能はディセーブルです。

デフォルトのトラップ間隔は 1 秒です。

デフォルトの履歴テーブルのエントリ数は 1 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース